🇳🇱 🇬🇧

Cyberaanvallen in Nederland en België

In de afgelopen week hebben verschillende cyberaanvallen Nederland en België getroffen. De Nederlandse keten Ranzijn Dierenarts werd slachtoffer van een cyberaanval waarbij persoonsgegevens en gegevens van huisdieren zijn gelekt. Hoewel er geen financiële informatie werd gestolen, zijn namen, adresgegevens, e-mailadressen en informatie over huisdieren mogelijk in handen van criminelen gevallen. De getroffenen zijn via e-mail op de hoogte gesteld en er zijn maatregelen genomen om verdere schade te voorkomen. Klanten worden gewaarschuwd voor mogelijke phishing-pogingen. Het bedrijf heeft het incident gemeld bij de Autoriteit Persoonsgegevens en externe experts ingeschakeld om het incident te onderzoeken.

Het Ministerie van Defensie rapporteerde een significante toename van datalekken in 2023, voornamelijk veroorzaakt door onjuist ingestelde autorisaties op SharePoint-sites, onzorgvuldig verzonden e-mails en problemen met medische dossiers. In totaal werden er 294 incidenten gemeld, waarvan 285 als datalekken werden geregistreerd. De toename wordt toegeschreven aan verbeterde bewustwording en een nieuwe, gedetailleerde instructie voor het afhandelen van datalekken. Het ministerie heeft 29 van deze lekken gemeld bij de Autoriteit Persoonsgegevens.

Ook de Sociale Verzekeringsbank (SVB) meldde in 2023 een toename van datalekken, met bijna 700 meldingen bij de Autoriteit Persoonsgegevens. Hoewel deze incidenten meestal een beperkte impact hadden, zoals verkeerd geadresseerde brieven, zijn ze zorgwekkend vanwege de privacyimplicaties. De SVB heeft maatregelen genomen om herhaling te voorkomen en investeert in bewustzijn en alertheid onder haar medewerkers.

In België werd de Fédération wallonne de l'agriculture (FWA) slachtoffer van een cyberaanval die oorspronkelijk bedoeld was voor de Service public de Wallonie (SPW). Hackersgroep 8Base voerde de aanval uit, waarbij gegevens werden versleuteld en slachtoffers werden gedwongen losgeld te betalen onder dreiging van openbaarmaking van de gestolen data. Dit incident onderstreept de risico’s van cyberaanvallen voor zowel overheidsinstanties als de private sector.

Daarnaast meldt Ombudsfin dat Belgische banken vaak weigeren fraudeurs te vergoeden, zelfs bij terechte klachten. In meer dan 67% van de gevallen waarin klanten terecht klaagden over fraude, werd geen compensatie geboden. Banken interpreteren 'grove nalatigheid' en de effectiviteit van hun fraudedetectiesystemen vaak in hun eigen voordeel, wat resulteert in een laag percentage van vergoede klachten.

Internationale Cyberdreigingen en Malware

De banktrojaan Grandoreiro is weer actief na een politieactie in januari 2024, waarbij vijf arrestaties werden verricht en dertien huiszoekingen in Brazilië plaatsvonden. De malware, die zich richt op bankrekeningen, verspreidt zich via phishingcampagnes in meer dan 60 landen. Ondanks de wetshandhavingsacties lijkt de malwareoperatie te zijn doorgegaan, mogelijk via een Malware-as-a-Service (MaaS) model.

In een andere campagne maken cybercriminelen gebruik van de Windows Quick Assist-functie om Black Basta ransomware te verspreiden. Door zich voor te doen als Microsoft-technische ondersteuning of IT-personeel, verkrijgen aanvallers toegang tot apparaten en installeren ze schadelijke bestanden. Microsoft adviseert om Quick Assist te blokkeren of te verwijderen als deze niet nodig is en medewerkers te trainen in het herkennen van tech support oplichting.

Een dreigingsactor genaamd "Cvsp" biedt een Remote Code Execution (RCE) exploit voor Microsoft Outlook te koop aan voor $1,700,000. Deze exploit vormt een ernstige bedreiging voor gebruikers van verschillende versies van Microsoft Office en wordt aangeboden via escrow-diensten om de clandestiene aard van de verkoop te waarborgen.

Op hackerfora wordt de broncode van INC Ransomware aangeboden voor $300.000. Deze ransomware heeft verschillende prominente doelwitten getroffen en de verkoop kan leiden tot geavanceerdere en geteste encryptors die wereldwijd problemen kunnen veroorzaken voor organisaties.

De American Radio Relay League (ARRL) onderging een cyberaanval die hun IT-systemen en online diensten, waaronder het Logbook of the World (LoTW), platlegde. Hoewel er geen creditcardgegevens of sofinummers werden opgeslagen, bevat het ledenbestand persoonlijke informatie. De aard van de aanval is nog onbekend, maar de organisatie werkt aan herstelmaatregelen.

CISA waarschuwde voor misbruik van kwetsbaarheden in Google Chrome en bepaalde D-Link routers, die actief worden uitgebuit door dreigingsactoren. Federale agentschappen in de VS hebben tot 6 juni om getroffen apparaten te vervangen of maatregelen te nemen om risico’s te verminderen.

Datalekken en Beveiligingsmaatregelen

In de Verenigde Staten vond een grootschalige ransomware-aanval plaats, ditmaal op MediSecure, een dienstverlener voor elektronische recepten. De aanval, die mogelijk persoonlijke en gezondheidsinformatie van individuen heeft getroffen, leidde tot onmiddellijke stappen om de impact te beperken. MediSecure werkt nauw samen met de Australische Digital Health Agency en de nationale cyberveiligheidscoördinator om de gevolgen te beheersen. De Australische federale politie is eveneens betrokken bij het onderzoek.

In de wereld van mobiele netwerken is er een datalek gemeld bij Patriot Mobile, waarbij persoonlijke gegevens van ongeveer 65.000 gebruikers zijn gecompromitteerd. De hack vond plaats in 2022 en de gestolen gegevens omvatten account-PINs, volledige namen, e-mailadressen, kredietscores en de laatste vier cijfers van burgerservicenummers (SSN's). De verkoop van deze gevoelige informatie vindt plaats in Monero (XMR), een cryptocurrency die bekendstaat om zijn privacykenmerken.

In Nederland zorgde een landelijke pinstoring op 16 mei 2024 voor grote problemen in het betaalverkeer. Dertig tot veertig procent van de pintransacties werd getroffen, wat leidde tot lange rijen in winkels en frustratie onder het winkelend publiek. Hoewel de storing inmiddels verholpen is, kunnen problemen met pinbetalingen nog enige tijd aanhouden.

Op internationaal niveau ontdekte de stad Helsinki in april 2024 een ernstig datalek binnen haar onderwijsafdeling, waarbij tienduizenden studenten, hun voogden en personeelsleden werden getroffen. Een onbevoegde kreeg toegang tot een netwerkschijf via een kwetsbaarheid in een server voor externe toegang, waarbij gevoelige informatie zoals gebruikersnamen, e-mailadressen, persoonlijke ID's en fysieke adressen werd blootgesteld. Het onderzoek naar de volledige impact vergt nog enige tijd.

In de financiële sector meldde Banco Santander een datalek waarbij klanten en werknemers in Spanje, Chili en Uruguay werden getroffen. Een ongeautoriseerde derde partij kreeg toegang tot een database die werd gehost door een externe dienstverlener van de bank. De bank heeft onmiddellijk maatregelen genomen om het incident in te dammen en extra fraudepreventiecontroles ingevoerd om de getroffen klanten te beschermen.

De nieuwe ransomwaregroep "Arcus" richt zich op prominente organisaties in Zuid-Amerika, waaronder Grupo SASMET en Braz Assessoria Contábil. Deze aanvallen kunnen aanzienlijke verstoringen veroorzaken in de bedrijfscontinuïteit van de getroffen organisaties en leiden tot dataverlies. De exclusieve lidmaatschapsstructuur van de groep benadrukt de gesloten aard van deze ransomware-aanvallen.

In de educatieve sector heeft IntelBroker de database van een ouder-leraarvereniging (PTA) gelekt, waarbij persoonlijke en institutionele informatie werd gestolen. De gelekte gegevens omvatten verzekeringsgegevens, medische informatie, betalingsdetails en contactgegevens van onderwijsinstellingen. Dit incident benadrukt de noodzaak voor robuuste beveiligingsmaatregelen om gevoelige informatie te beschermen tegen cyberaanvallen.

Tot slot heeft de Britse overheid recent richtlijnen uitgebracht voor organisaties die geconfronteerd worden met ransomware-aanvallen. Het National Cyber Security Centre (NCSC) moedigt organisaties aan om alle beschikbare opties te overwegen, inclusief het niet betalen van losgeld. Het NCSC benadrukt dat zelfs na de betaling van losgeld en het verkrijgen van een decryptiesleutel, de problemen niet direct zijn opgelost. Het ontsleutelingsproces kan tijdrovend zijn en het is cruciaal om de aanvalsvector die tot de infectie heeft geleid te identificeren om herhaling te voorkomen.

Conclusie

Deze incidenten tonen aan dat cyberdreigingen blijven evolueren en dat zowel publieke als private organisaties moeten blijven investeren in cybersecuritymaatregelen om zich te beschermen tegen de toenemende complexiteit en frequentie van cyberaanvallen. Het is essentieel om medewerkers continu te trainen en bewust te maken van de nieuwste dreigingen en om technische oplossingen regelmatig bij te werken en te verbeteren om de veiligheid van gevoelige informatie te waarborgen.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Cyberaanval: Een poging door hackers om een computersysteem, netwerk, of digitaal apparaat te infiltreren, beschadigen of stil te leggen met kwaadaardige bedoelingen.

• Datalek: Een incident waarbij gevoelige, beschermde of vertrouwelijke gegevens worden gekopieerd, verzonden, bekeken, gestolen of gebruikt door een individu die geen autorisatie heeft om deze gegevens te raadplegen.

• Phishing: Een type cyberaanval waarbij criminelen proberen persoonlijke informatie zoals wachtwoorden en creditcardnummers te stelen door zich voor te doen als een betrouwbare entiteit in elektronische communicatie, vaak via e-mail.

• Malware: Kwaadaardige software die wordt gebruikt om een computer te verstoren, gegevens te stelen of ongeautoriseerde toegang te krijgen tot systemen. Voorbeelden zijn virussen, wormen, ransomware en spyware.

• Ransomware: Een type malware dat de toegang tot het computersysteem van de gebruiker blokkeert en losgeld eist om de toegang te herstellen.

• Remote Code Execution (RCE): Een kwetsbaarheid die een aanvaller in staat stelt om willekeurige code op een afstandige computer uit te voeren, meestal met volledige systeemrechten, waardoor ze volledige controle over het getroffen systeem kunnen krijgen.

• Malware-as-a-Service (MaaS): Een model waarbij ontwikkelaars van malware hun kwaadaardige software verhuren aan andere criminelen, vergelijkbaar met legitieme software-as-a-service (SaaS) bedrijven.

• Autoriteit Persoonsgegevens: De Nederlandse toezichthouder die verantwoordelijk is voor het handhaven van de privacywetgeving en het beschermen van persoonsgegevens.

• Functionaris voor Gegevensbescherming (FG): Een persoon binnen een organisatie die verantwoordelijk is voor het toezicht houden op de naleving van de privacywetgeving en het beschermen van persoonsgegevens.

• SharePoint: Een platform voor webgebaseerde samenwerking en documentbeheer ontwikkeld door Microsoft. Het wordt vaak gebruikt voor het opslaan, organiseren, delen en openen van informatie vanaf elk apparaat.

• SSL VPN: Secure Sockets Layer Virtual Private Network, een technologie die een veilige en versleutelde verbinding biedt over een minder veilig netwerk, zoals het internet.

• CISA: Cybersecurity and Infrastructure Security Agency, een Amerikaans overheidsagentschap dat verantwoordelijk is voor het verbeteren van de cybersecurity, het beschermen van infrastructuren en het bevorderen van de veerkracht tegen cyberaanvallen.

• Multifactorauthenticatie (MFA): Een beveiligingsproces waarbij een gebruiker twee of meer verificatiefactoren moet verstrekken om toegang te krijgen tot een systeem, wat extra beveiligingslagen toevoegt bovenop de traditionele wachtwoorden.

• Credential Stuffing: Een type cyberaanval waarbij geautomatiseerde tools worden gebruikt om grote hoeveelheden gelekte inloggegevens (gebruikersnamen en wachtwoorden) te testen op meerdere websites, in de hoop dat gebruikers dezelfde combinatie op meerdere sites hebben hergebruikt.

• Escrow-dienst: Een neutrale derde partij die een transactie tussen twee andere partijen beveiligt. In de context van cybercriminaliteit wordt het vaak gebruikt om betalingen veilig te beheren en te verifiëren.

• Sliver: Een C2 (Command and Control) framework dat wordt gebruikt door red teams (beveiligingsprofessionals die systemen testen) en kwaadwillende actoren om communicatie met geïnfecteerde systemen te beheren en te controleren.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

🇧🇪 Belgische Constructiebedrijf Persyn Slachtoffer van Cyberaanval

Op 14 mei 2024 kondigden de cybercriminelen van DragonForce op het darkweb aan dat ze het Belgische constructiebedrijf Persyn hadden gehackt. Deze aanval benadrukt opnieuw de noodzaak voor bedrijven om hun cyberbeveiliging serieus te nemen en proactieve maatregelen te nemen tegen dergelijke dreigingen.

🇧🇪 Cyberaanval treft Belgische overheidsdienst

De Service public de Wallonie (SPW) is slachtoffer geworden van een cyberaanval uitgevoerd door de 8BASE groep. De aanval, gericht op de Belgische overheidsdienst, werd op 13 mei 2024 bekendgemaakt op het darkweb. Dit incident onderstreept het toenemende risico dat overheidsinstellingen lopen in de huidige digitale wereld.

Cyberaanval legt Logbook of the World van American Radio Relay League plat

De American Radio Relay League (ARRL), de nationale vereniging voor amateurradio in de Verenigde Staten, heeft een cyberaanval ondergaan die hun IT-systemen en online diensten heeft verstoord, waaronder e-mail en het Logbook of the World (LoTW). De ARRL vertegenwoordigt de belangen van amateurradio bij overheidsinstanties en biedt technische ondersteuning en educatieve programma's. In een persbericht meldde de ARRL dat ze bezig zijn met het reageren op een ernstige inbreuk op hun netwerk en systemen, wat invloed heeft op verschillende online diensten zoals het ARRL Learning Center. Hoewel de organisatie verzekerde dat ze geen creditcardgegevens of sofinummers opslaan, bevat hun ledenbestand wel persoonlijke informatie zoals namen, adressen en roepnamen. Het is nog onbekend of de aanval een vorm van ransomware of een ander cyberincident betreft. [arrl]

CISA waarschuwt voor misbruik van kwetsbaarheden in Chrome en D-Link routers

De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft drie beveiligingskwetsbaarheden toegevoegd aan hun 'Known Exploited Vulnerabilities' catalogus, waaronder één in Google Chrome en twee in bepaalde D-Link routers. Deze kwetsbaarheden worden actief uitgebuit door dreigingsactoren. Federale agentschappen in de VS hebben tot 6 juni om getroffen apparaten te vervangen of maatregelen te nemen om het risico op aanvallen te verminderen. De kwetsbaarheid in Google Chrome, geïdentificeerd als CVE-2024-4761, is een ernstige fout in de V8 JavaScript-engine van de browser. Daarnaast worden twee oude kwetsbaarheden in D-Link routers nog steeds uitgebuit. De eerste, CVE-2014-100005, betreft een tien jaar oude cross-site request forgery (CSRF) fout in D-Link DIR-600 routers. De tweede, CVE-2021-40655, treft D-Link DIR-605 routers en stelt aanvallers in staat om admin gegevens te verkrijgen via een speciaal geprepareerd verzoek. Het wordt aangeraden om verouderde routers te vervangen door nieuwere modellen die nog ondersteund worden door de fabrikant. [cisa]

Ransomware-aanval gericht op Windows-beheerders via PuTTY en WinSCP malvertising

Een ransomware-groep richt zich op Windows-systeembeheerders door Google-advertenties te plaatsen die nep-downloadsites voor PuTTY en WinSCP promoten. PuTTY en WinSCP zijn populaire Windows-hulpprogramma's; respectievelijk een SSH-client en een SFTP/FTP-client. Systeembeheerders hebben vaak uitgebreide netwerkrechten, waardoor ze waardevolle doelwitten zijn voor aanvallers. De campagne gebruikt typosquatting-domeinen zoals puutty.org en vvinscp.net, die op echte websites lijken. Bij het downloaden van bestanden van deze nep-sites, ontvangen gebruikers een ZIP-bestand met een legitiem ogend installatieprogramma (Setup.exe), dat in werkelijkheid een schadelijke versie van een Python DLL-bestand bevat. Zodra de Setup.exe wordt uitgevoerd, wordt de schadelijke DLL geladen, wat leidt tot de installatie van het Sliver post-exploitatie toolkit. De aanvallers gebruiken Sliver om verdere kwaadaardige payloads te plaatsen, zoals Cobalt Strike bakens, waarmee zij toegang krijgen tot netwerkgegevens en proberen ransomware te installeren. Ondanks gelijkenissen met eerdere BlackCat/ALPHV-campagnes, werden sommige recente pogingen om ransomware te installeren door beveiligingsmaatregelen geblokkeerd. Deze malvertising-aanvallen benadrukken de toenemende dreiging van zoekmachine-advertenties die worden misbruikt voor het verspreiden van malware en phishing-websites. [rapid7]

Grandoreiro malware keert terug na politieactie

De banktrojaan "Grandoreiro" is weer actief en verspreidt zich via een grootschalige phishingcampagne in meer dan 60 landen, gericht op rekeningen van ongeveer 1.500 banken. In januari 2024 kondigde een internationale wetshandhavingsoperatie, met betrokkenheid van Brazilië, Spanje, Interpol, ESET en Caixa Bank, aan dat ze de malware-operatie hadden verstoord. Er werden vijf arrestaties verricht en dertien huiszoekingen uitgevoerd in Brazilië. Desondanks lijkt Grandoreiro sinds maart 2024 weer operationeel te zijn, mogelijk verhuurd aan cybercriminelen via een Malware-as-a-Service (MaaS) model, en richt zich nu ook op Engelssprekende landen. De malware heeft technische updates ondergaan, zoals verbeterde versleuteling en nieuwe mechanismen voor aanhoudende aanwezigheid op systemen. Phishingmails, vaak vermomd als communicatie van overheidsinstanties, bevatten links die een ZIP-bestand downloaden dat de malware laadt. Deze hernieuwde activiteit en verbeteringen laten zien dat de makers van Grandoreiro de recente wetshandhavingsacties hebben overleefd en hun activiteiten voortzetten. [securityintelligence]

Datalek bij WebTPA treft 2,4 miljoen verzekeringsnemers

Een recente datalek bij WebTPA Employer Services heeft bijna 2,5 miljoen personen getroffen, volgens het Amerikaanse ministerie van Volksgezondheid en Human Services. WebTPA, een dochteronderneming van GuideWell Mutual Holding Corporation, levert administratieve diensten aan zorgplannen en verzekeringsmaatschappijen. De datalek, die plaatsvond tussen 18 en 23 april 2023, werd pas in december 2023 ontdekt. De aanval leidde tot het mogelijk verkrijgen van persoonlijke gegevens zoals volledige namen, contactinformatie, geboortedata, en sofinummers. WebTPA informeerde de betrokken partijen op 25 maart 2024 en stuurde op 8 mei 2024 meldingen naar de getroffen personen. De gelekte gegevens bevatten geen financiële rekeninginformatie, creditcardnummers of medische behandelingsgegevens. WebTPA biedt twee jaar kredietbewaking en identiteitsdiefstalbescherming aan de getroffenen. Ondanks dat er geen misbruik van de gegevens is gerapporteerd, worden betrokkenen geadviseerd waakzaam te blijven voor frauduleuze communicatie en hun kredietrapporten zorgvuldig te controleren. [webtpa, pdf]

Nieuwe slachtoffers van Arcus Media Group: De Egyptisch-Soedanese Company en Rio Technology

Arcus Media Group heeft recentelijk twee nieuwe slachtoffers aangekondigd: The Egyptian-Sudanese Company en Rio Technology. The Egyptian-Sudanese Company, opgericht in 2021 door de Egyptische Ministerraad, richt zich op het bevorderen van handelsuitwisseling en economische integratie tussen Egypte en Soedan. De recente cyberaanval op deze organisatie kan aanzienlijke gevolgen hebben voor deze bilaterale samenwerking en de bedrijfsvoering. Rio Technology, bekend om zijn software- en hardwareoplossingen en onderhoudsdiensten, is ook getroffen door een datalek. Dit incident brengt de reputatie van het bedrijf in gevaar en roept vragen op over de veiligheid van klantgegevens en de integriteit van hun systemen. Deze aankondigingen benadrukken de aanhoudende dreiging van cyberaanvallen wereldwijd en het belang van robuuste cybersecuritymaatregelen voor organisaties.

Ransomware team zoekt partners voor toegang tot Windows netwerken

Het Rape Ransomware team is op zoek naar partners die gespecialiseerd zijn in het verkrijgen van toegang tot Windows netwerken van ondernemingen. Ze bieden een aantrekkelijke winstdeling waarbij partners 80% van de losgeldwinsten ontvangen, terwijl het team 20% behoudt voor softwareontwikkeling en onderhandelingsdiensten. Potentiële partners moeten aan strikte criteria voldoen en mogen alleen opereren in bepaalde landen zoals Guinea, Paraguay en Ethiopië, onder andere. Gezondheidszorg- en non-profitorganisaties zijn uitgesloten van hun doelwitten. De ransomware kan functioneren op Windows, Linux (x86/x64/ARM) en ESXi platformen, wat de technische expertise en brede doelgerichtheid van het team benadrukt. Deze oproep voor partners markeert een strategische zet om hun bereik uit te breiden en winsten te maximaliseren via samenwerking in de cybercriminaliteit.

Digitale marketingbedrijf Especialistas Contacto Directo getroffen door grote datalek

Op 15 mei 2024 werd Especialistas Contacto Directo (ECD), een bedrijf dat gespecialiseerd is in digitale marketingdiensten zoals e-mailmarketing, SMS, sociale media en webontwikkeling, getroffen door een groot datalek. Een cybercrimineel beweert in het bezit te zijn van meer dan 27.562.000 klantgegevens. De gelekte gegevens, in totaal 38 GB, omvatten persoonlijke details zoals namen, adressen, telefoonnummers, e-mailadressen, account- en kaartinformatie. Deze dataset wordt te koop aangeboden voor $5000. Dit incident benadrukt het cruciale belang van robuuste cybersecuritymaatregelen om gevoelige informatie te beschermen tegen kwaadwillende actoren.

Snatch ransomwaregroep onthult gegevenslek bij Frans Neovia bedrijf

De beruchte ransomwaregroep "Snatch" heeft opnieuw toegeslagen, dit keer bij het Franse IT-dienstverleningsbedrijf Neovia. De groep beweert ongeveer 1 TB aan gevoelige informatie te hebben bemachtigd en gelekt. Ondanks eerdere waarschuwingen van de groep in oktober 2023 over de kwetsbaarheid van Neovia's systemen, heeft het bedrijf onvoldoende beveiligingsmaatregelen getroffen. Deze situatie benadrukt de ontoereikende verdediging van Neovia tegen cyberaanvallen. Daarnaast heeft Snatch gedreigd om binnenkort gegevens vrij te geven die betrekking hebben op de Franse minister van Binnenlandse Zaken, Gérald Darmanin, wat de complexiteit van deze cyberveiligheidscrisis verder vergroot.

GhostSec schakelt over van financiële motivatie naar puur hacktivisme

GhostSec, een bekende groep in de wereld van cybercriminaliteit en ransomware, heeft aangekondigd dat ze stoppen met financiële activiteiten en zich volledig richten op hacktivisme. De groep zal al haar huidige diensten beëindigen, inclusief de ransomware Ghostlocker. Ze hebben beloofd de code van Ghostlocker V3 over te dragen aan Stormous, om een soepele overgang voor bestaande gebruikers te garanderen.Ondanks het stopzetten van hun financiële activiteiten, blijft GhostSec zijn privékanalen en chatrooms onderhouden. Ze bieden een tijdelijke promotie aan voor levenslange toegang tot deze kanalen tegen een gereduceerd tarief tot 23 mei. GhostSec benadrukte hun toewijding aan positieve verandering in de wereld en moedigt individuen aan om hun persoonlijke vrijheid en dromen na te streven.

Dreiging voor Amerikaanse lucht- en defensiebedrijf: IntelBroker verkoopt ongeautoriseerde toegang

IntelBroker heeft onlangs de aandacht getrokken door te beweren ongeautoriseerde toegang te verkopen tot een vooraanstaand Amerikaans lucht- en defensiebedrijf met een gerapporteerde omzet van 75 miljard dollar. Deze verontrustende aankondiging benadrukt de toenemende dreigingen voor kritieke industrieën. De aangeboden toegang omvat diverse kritieke systemen en repositories zoals CI/CD, Bitbucket, GitHub, SVN, broncode, en zelfs domeinbeheer. Dit soort toegang kan aanvallers aanzienlijke invloed geven op de operaties en intellectuele eigendommen van het bedrijf. IntelBroker eist dat de transacties uitsluitend worden uitgevoerd in XMR, een cryptocurrency die bekend staat om zijn privacyfuncties. De verkoop wordt gefaciliteerd via het Breachforums-escrowsysteem of rechtstreeks met Baphomet, de beheerder van BreachForums, wat een extra laag van anonimiteit en beveiliging biedt voor de dreigingsactor en potentiële kopers.

🇳🇱 Cyberaanval bij Ranzijn Dierenarts: Gegevens van klanten en huisdieren gelekt

De Nederlandse keten Ranzijn Dierenarts heeft bekendgemaakt dat zij slachtoffer zijn geworden van een cyberaanval. Bij deze aanval zijn persoonsgegevens en gegevens van huisdieren buitgemaakt. De getroffenen zijn via e-mail op de hoogte gesteld. In de e-mail werd gemeld dat criminelen toegang hebben verkregen tot interne systemen, waarbij namen, adresgegevens, e-mailadressen, correspondentie en informatie over huisdieren mogelijk zijn gestolen. Er is geen financiële informatie gelekt. Ranzijn Dierenarts heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en externe experts ingeschakeld om het incident te onderzoeken. Alleen klanten van de dierenartspraktijken binnen de keten zijn getroffen. Het bedrijf heeft benadrukt dat maatregelen zijn genomen om verdere schade te voorkomen en dat klanten alert moeten zijn op mogelijke phishing-pogingen. Ze bieden hun excuses aan voor het ongemak en benadrukken dat zij zich blijven inzetten voor de bescherming van klantgegevens.

E-mail
Beste klant van Ranzijn Dierenarts,

We willen je op de hoogte brengen van een recente gebeurtenis met betrekking tot de veiligheid van gegevens en persoonlijke informatie bij Ranzijn Dierenarts. Ondanks onze strenge veiligheidsmaatregelen zijn we helaas het doelwit geweest van een cyberaanval door een criminele groep. Deze aanval heeft mogelijk geleid tot ongeautoriseerde toegang tot jouw gegevens. We begrijpen de zorg die dit kan veroorzaken en willen je verzekeren dat we direct actie hebben ondernomen om de impact te minimaliseren en jouw privacy te beschermen. Wij leggen je graag uit welke maatregelen we hebben genomen, om welke gegevens het gaat en wat je zelf kunt doen om te voorkomen dat je slachtoffer wordt van een phishing poging.

Welke maatregelen hebben we getroffen?
Onze eerste prioriteit was om de getroffen systemen af te sluiten, externe experts op het gebied van cyberbeveiliging in te schakelen en ons responsplan in werking te stellen. Omdat er onbedoeld persoonlijke informatie terecht is gekomen bij personen die deze informatie niet mochten krijgen, hebben wij meteen een melding gedaan van dit datalek bij de Autoriteit Persoonsgegevens. We werken hard om dit probleem aan te pakken en hebben extra maatregelen getroffen om toekomstige incidenten te voorkomen.

Om welke gegevens gaat het?
Ondanks de maatregelen die we hebben getroffen, is uit ons onderzoek gebleken dat jouw gegevens mogelijk in handen zijn gekomen van onbevoegde personen. Dit omvat mogelijk naam, adresgegevens, e-mailadres, correspondentie en/of informatie over jouw huisdier(en). De datalek heeft geen betrekking op data als financiële transacties/bank- en creditcardgegevens. Je hoeft je daarom geen zorgen te maken dat die gegevens in verkeerde handen zijn gekomen.

Wat zijn de risico's voor mij en wat kan ik doen om mijzelf te beschermen?
We begrijpen dat dit verontrustend kan zijn en willen je waarschuwen om alert te zijn op phishing e-mails of ander misbruik van jouw gegevens. We raden je aan om inkomende e-mails zorgvuldig te controleren, vooral op verdachte links of bijlagen en alert te zijn op ongebruikelijke e-mails met spelfouten of vreemde afzenders. Wees voorzichtig met verzoeken om persoonlijke informatie via e-mail, sms of telefoon, zelfs als het lijkt alsof het van Ranzijn Dierenarts afkomstig is.

Het spijt ons
De persoonsgegevens hadden natuurlijk niet in verkeerde handen mogen komen. We begrijpen dat dit voor ongemak kan zorgen en bieden onze oprechte excuses aan voor het ontstane ongemak.

Hoe kan ik contact opnemen?
Wij kunnen ons voorstellen dat je met vragen zit. Als je vragen hebt of als je nadelige gevolgen ondervindt, kan je contact met ons opnemen via AVG@ranzijn.nl. We zijn hier om je te ondersteunen en zullen ons blijven inzetten om jouw gegevens te beschermen en onze beveiligingsmaatregelen te verbeteren

We hopen dat deze informatie je geruststelt en verzekert dat we alles in het werk stellen om jouw gegevens te beschermen. Ranzijn Dierenarts zal blijven streven naar verbetering van onze beveiligingsmaatregelen.

Met vriendelijke groet,

David Zwanenburg
Algemeen Directeur

🇳🇱 Landelijke pinstoring zorgt voor chaos in betaalverkeer

Op donderdagavond 16 mei 2024 zorgde een landelijke pinstoring voor grote problemen in het betaalverkeer. Mensen konden in tal van winkels niet met hun pinpas betalen, waardoor lange rijen ontstonden en sommige winkels klanten zonder contant geld zelfs weigerden. Betaalvereniging Nederland meldde dat dertig tot veertig procent van de pintransacties werd getroffen. Supermarkten, zoals een filiaal in Haarlem, weigerden klanten zonder contant geld binnen te laten. De storing veroorzaakte veel overlast en frustratie onder winkelend publiek. Hoewel de storing inmiddels verholpen is, kunnen problemen met pinbetalingen nog enige tijd aanhouden. 

Update

De storing is inmiddels voorbij, maar het kan nog even duren voordat het pinnen bij alle automaten weer mogelijk is. De oorzaak van de problemen is op dit moment onbekend.

Politiegegevens gestolen bij ransomware-aanval op Amerikaanse stad

In mei 2024 vond een ransomware-aanval plaats op de Amerikaanse stad Wichita, waarbij ook politiegegevens werden gestolen. De aanvallers wisten voorafgaand aan de aanval diverse data te kopiëren, waaronder informatie over incidenten, verkeersgegevens, social-securitynummers, identiteitsnummers en creditcardinformatie. De stad Wichita is momenteel bezig met het herstellen van de getroffen systemen, maar het is nog onduidelijk wanneer alles volledig hersteld zal zijn. Inwoners moeten zelf beslissen welke stappen zij willen ondernemen in reactie op de aanval. Hoe de aanval precies heeft kunnen plaatsvinden is nog niet bekendgemaakt en ook het exacte aantal getroffenen is niet vermeld. De aanval is opgeëist door de LockBit-ransomwaregroep, die aangeeft de gestolen gegevens inmiddels te hebben verkocht. [wichita]

Datalek bij waterschap HHNK: kadastrale gegevens gelekt

Het Hoogheemraadschap Hollands Noorderkwartier (HHNK) heeft een datalek gemeld waarbij kadastrale gegevens, inclusief burgerservicenummers en andere persoonsgegevens, mogelijk zijn gelekt. Deze data was via het geoinformatieportaal van het waterschap toegankelijk. Het lek ontstond door een fout in de versleuteling van de data, die zes maanden lang (van 11 december vorig jaar tot 2 mei dit jaar) onveilig was. Het lek betrof onder andere identificatiegegevens, BSN, naam, geslacht, geboorte- en overlijdensdata, partnerinformatie en adresgegevens. Na de ontdekking heeft HHNK de verwerking van deze gegevens stopgezet en de Autoriteit Persoonsgegevens geïnformeerd. Volgens HHNK waren de gegevens alleen toegankelijk voor personen met specifieke technische kennis. Er werd benadrukt dat de data niet gewijzigd kon worden. Het waterschap werkt momenteel aan het veiligstellen van de kadastrale gegevens, wat kan leiden tot vertragingen bij vergunningsaanvragen en grondtransacties. [hhnk]

🇳🇱 Nieuw kabinet wil veiligheidsdiensten meer bevoegdheden geven en cybercrime strenger aanpakken

Het nieuwe kabinet, bestaande uit PVV, VVD, NSC en BBB, heeft in het hoofdlijnenakkoord aangekondigd dat de veiligheidsdiensten meer bevoegdheden krijgen om digitale dreigingen en economische spionage aan te pakken. De samenwerking tussen overheid, wetenschap en bedrijfsleven zal worden bevorderd om cybercriminaliteit effectiever te bestrijden. Er komt meer prioriteit voor de digitale slagkracht van de inlichtingendiensten en cyberveiligheid bij Defensie. Ook worden maximumstraffen voor cybercriminaliteit verhoogd. Daarnaast wil het kabinet een decentraal elektronisch patiëntendossier invoeren om de gegevensuitwisseling binnen de zorg te verbeteren. Het gebruik van AI door de overheid wordt gezien als voordelig, mits zorgvuldig toegepast. De kennis over digitalisering binnen de overheid moet worden versterkt en de maatschappij moet weerbaar worden gemaakt tegen desinformatie en deepfakes. Verder wordt de inzet van digitale apparatuur door de politie in grensregio's geëvalueerd en wordt bij cold cases gebruik gemaakt van genealogische dna-databanken. Het handhaven van niet-digitale communicatie met burgers blijft eveneens een aandachtspunt.

Noorwegen beveelt vervanging van SSL VPN aan ter voorkoming van inbreuken

Het Noorse Nationaal Cyberbeveiligingscentrum (NCSC) adviseert organisaties om SSLVPN/WebVPN-oplossingen te vervangen door veiligere alternatieven vanwege herhaaldelijke exploitatie van kwetsbaarheden in deze technologieën. Bedrijven die onder de 'Veiligheidswet' vallen of deel uitmaken van de kritieke infrastructuur moeten deze overgang voor het einde van 2024 voltooien; andere organisaties krijgen de tijd tot 2025. Het NCSC beveelt het gebruik van Internet Protocol Security (IPsec) met Internet Key Exchange (IKEv2) aan. Hoewel IPsec met IKEv2 niet volledig foutloos is, biedt het een significant betere beveiliging dan SSLVPN door minder configuratiefouten. Aanbevolen implementatiemaatregelen zijn onder andere het herconfigureren of vervangen van bestaande VPN-oplossingen, het migreren van gebruikers en systemen naar het nieuwe protocol en het uitschakelen van SSLVPN-functies. Als IPsec geen optie is, wordt 5G-breedband als alternatief voorgesteld. Deze aanbevelingen volgen na meldingen van geavanceerde dreigingsactoren die zero-day kwetsbaarheden in SSLVPN's hebben misbruikt om toegang te krijgen tot netwerken, waaronder kritieke infrastructuur. [nsm]

Grote ransomware-aanval op MediSecure onder onderzoek door Australische overheid

De Australische overheid onderzoekt een grote ransomware-aanval op MediSecure, een dienstverlener voor elektronische recepten. Dit incident, aangekondigd door de nationale cyberveiligheidscoördinator, betreft een datalek dat persoonlijke en gezondheidsinformatie van individuen heeft getroffen. MediSecure vermoedt dat de aanval afkomstig is van een derde partij en heeft onmiddellijk stappen ondernomen om de impact te beperken. De website van MediSecure is offline gehaald en het bedrijf werkt nauw samen met de Australische Digital Health Agency en de nationale cyberveiligheidscoördinator om de gevolgen te beheersen. De Australische federale politie is ook betrokken bij het onderzoek. Cyber Security Minister Clare O'Neil heeft benadrukt dat speculatie over de situatie het lopende werk kan ondermijnen. Eerder dit jaar werd Medibank ook getroffen door een grootschalige cyberaanval waarbij miljoenen klanten werden getroffen. [abc, medisecure]

Sonne finance getroffen door $20 miljoen hack

Sonne Finance moest de activiteiten stopzetten na een hack waarbij $20 miljoen aan cryptovaluta werd gestolen, waaronder WETH en USDC. De aanval werd op 14 mei gedetecteerd door Cyvers, een Web3-beveiligingsfirma, en 25 minuten later was het geld al verdwenen. Ondanks inspanningen om de fondsen terug te krijgen, heeft de hacker een groot deel van het gestolen geld verplaatst naar een nieuwe wallet, waardoor de traceerbaarheid bemoeilijkt wordt. Sonne Finance onderzoekt momenteel opties om de fondsen terug te halen, inclusief het aanbieden van een bug bounty aan de hacker, maar de hacker lijkt niet bereid tot onderhandelen. De aanval maakte gebruik van een bekende bug in Sonne's Compound v2 forks. Tegelijkertijd werd BlockTower Capital, een grote institutionele investeerder in crypto, ook getroffen door een exploit, waarbij een deel van hun fondsen werd gestolen. De situatie wordt nog steeds onderzocht en de gestolen fondsen zijn nog niet teruggevonden. [cointelegraph]

Nissan North America getroffen door datalek met impact op meer dan 53.000 medewerkers

In november 2023 werd Nissan North America (Nissan) slachtoffer van een gerichte cyberaanval waarbij een externe VPN werd aangevallen en systemen werden uitgeschakeld om losgeld te eisen. Na de ontdekking van het incident op 7 november, werd de aanval gemeld aan de autoriteiten en ondernam Nissan onmiddellijk actie om de dreiging te onderzoeken, in te dammen en te beëindigen. Uit het daaropvolgende onderzoek bleek dat de aanvaller toegang had gekregen tot bestanden op lokale en netwerkshares die voornamelijk zakelijke informatie bevatten. Op 28 februari 2024 ontdekte Nissan dat er ook persoonlijke gegevens van meer dan 53.000 huidige en voormalige werknemers waren blootgesteld, waaronder namen en socialezekerheidsnummers. Financiële gegevens waren niet toegankelijk. Nissan heeft geen aanwijzingen dat de gelekte gegevens zijn misbruikt. Om risico's te beperken, biedt het bedrijf de getroffen personen 24 maanden gratis kredietbewaking en identiteitsdiefstalbescherming aan. Eerdere incidenten tonen aan dat Nissan de afgelopen jaren vaker doelwit is geweest van cyberaanvallen. [pdf]

Windows Quick Assist misbruikt voor Black Basta ransomware aanvallen

Cybercriminelen maken gebruik van de Windows Quick Assist-functie in social engineering-aanvallen om Black Basta ransomware op netwerken van slachtoffers te installeren. Sinds april 2024 onderzoekt Microsoft deze campagne, waarbij de daders (geïdentificeerd als Storm-1811) e-mailbommetjes sturen naar doelwitten en zich voordoen als Microsoft-technische ondersteuning of IT-personeel om toegang te krijgen tot de apparaten van de slachtoffers via Quick Assist. Zodra toegang is verkregen, gebruiken de aanvallers een scripted cURL-opdracht om schadelijke bestanden te downloaden, waaronder Qakbot, RMM-tools en Cobalt Strike. Vervolgens voeren ze domeinenumeratie uit, bewegen zich lateraal door het netwerk en gebruiken PsExec om Black Basta ransomware te verspreiden. Microsoft adviseert om Quick Assist en soortgelijke tools te blokkeren of te verwijderen als deze niet nodig zijn, en om medewerkers te trainen in het herkennen van tech support oplichting. De Black Basta-groep, ontstaan uit de Conti-cybergroep, heeft sinds 2022 veel prominente slachtoffers getroffen en meer dan $100 miljoen aan losgeld verzameld. [rapid7]

Banco Santander meldt datalek met klantgegevens

Banco Santander S.A. heeft een datalek aangekondigd dat klanten en werknemers in Spanje, Chili en Uruguay heeft getroffen. Een ongeautoriseerde derde partij kreeg toegang tot een database die werd gehost door een externe dienstverlener van de bank. Santander heeft onmiddellijk maatregelen genomen om het incident in te dammen en de toegang tot de database te blokkeren. Extra fraudepreventiecontroles zijn ingevoerd om de getroffen klanten te beschermen. Hoewel de bank geen details heeft vrijgegeven over de soorten gegevens die zijn blootgesteld, benadrukte zij dat transactie-informatie of online bankgegevens niet zijn aangetast. Andere markten waar Santander actief is, blijven onbeïnvloed. Klanten en werknemers die door de gegevensblootstelling zijn getroffen, worden rechtstreeks door de bank op de hoogte gebracht. Law enforcement autoriteiten worden eveneens geïnformeerd. [pdf]

🇧🇪 Belgische banken vergoeden fraudeslachtoffers niet na terechte klacht

Volgens Ombudsfin, de Belgische Ombudsman voor financiële diensten, vergoeden Belgische banken klanten die slachtoffer zijn geworden van fraude vaak niet, zelfs wanneer de klacht terecht is. Banken zijn verplicht om slachtoffers te vergoeden tenzij er sprake is van 'grove nalatigheid'. Echter, in meer dan 67% van de gegronde klachten weigeren banken compensatie. Banken interpreteren 'grove nalatigheid' en de doeltreffendheid van hun fraudedetectiesystemen vaak in hun eigen voordeel. Ombudsfin heeft geconstateerd dat deze detectiesystemen regelmatig falen, waardoor fraudeurs onopgemerkt blijven. Ondanks deze tekortkomingen vergoeden banken de schade vaak niet. Slechts 32,7% van de gegronde klachten leidde tot een volledige of gedeeltelijke compensatie, aldus de Ombudsman.

Nieuwe ransomwaregroep "arcus" richt zich op zuid-amerikaanse bedrijven

Onderzoekers hebben de opkomst van een nieuwe ransomwaregroep genaamd Arcus Media ontdekt. Deze groep richt zich op prominente organisaties in Zuid-Amerika, waaronder Grupo SASMET, GOLD RH S.A.S, Frigrífico Boa Carne, Cusat, FILSCAP, Thibabem Atacadista, Braz Assessoria Contábil en BRAZIL GOV. Deze organisaties bestrijken diverse sectoren, van productie en detailhandel tot overheidsdiensten. De aanvallen van Arcus kunnen aanzienlijke verstoringen veroorzaken in de bedrijfscontinuïteit van de getroffen organisaties en leiden tot dataverlies. De exclusieve lidmaatschapstructuur van de groep, die alleen op uitnodiging toegankelijk is, benadrukt de gesloten aard van deze ransomware-aanvallen.

Patriot Mobile datalek brengt privacy en financiële veiligheid in gevaar

Een database van Patriot Mobile, een Amerikaanse mobiele netwerkoperator, is naar verluidt gehackt en te koop aangeboden door IntelBroker namens een dreigingsactor genaamd Centre. Deze hack vond plaats in 2022 en betreft de persoonlijke gegevens van ongeveer 65.000 gebruikers. De gecompromitteerde data bevat account-PINs, volledige namen, e-mailadressen, kredietscores, fysieke adressen, geboortedata, de laatste vier cijfers van burgerservicenummers (SSN's), accountbalansen en inschrijvingstypen. De verkoop van deze gevoelige informatie vindt uitsluitend plaats in Monero (XMR), een cryptocurrency die bekendstaat om zijn privacykenmerken. Deze vermeende datalek werpt een schaduw op de beveiliging van gebruikersgegevens binnen de systemen van Patriot Mobile en benadrukt de voortdurende dreigingen van cybercriminelen voor de privacy en financiële veiligheid van individuen. Indien bevestigd, kan dit incident ernstige gevolgen hebben voor de betrokken gebruikers, zoals identiteitsdiefstal en andere vormen van cybercriminaliteit.

RansomHub ransomwaregroep kondigt vier nieuwe slachtoffers aan

Op 14 mei 2024 heeft de RansomHub ransomwaregroep vier nieuwe slachtoffers bekendgemaakt, wat wijst op een verontrustende toename van hun aanvallen. Deze ontwikkeling benadrukt de groeiende dreiging van ransomware, waarbij cybercriminelen bedrijven wereldwijd blijven treffen. Onder de slachtoffers bevinden zich onder andere Rocky Mountain Sales, eucatex.com.br, confins.com.br, en LPDB KUMKM. RansomHub heeft aanzienlijke hoeveelheden data van deze organisaties buitgemaakt, variërend van honderden gigabytes tot zelfs terabytes aan gevoelige documenten, financiële gegevens en broncodes. Bedrijven moeten alert blijven en hun beveiligingsmaatregelen versterken om hun gegevens en bedrijfsvoering te beschermen tegen deze kwaadaardige aanvallen.

Datalek bij thais ministerie van internationale handelspromotie

In juni 2023 heeft een datalek plaatsgevonden bij het Department of International Trade Promotion (DITP) van het Thaise Ministerie van Handel. Een kwaadwillende actor zou een database van DITP hebben gelekt, waardoor gevoelige informatie openbaar is geworden. De gelekte gegevens omvatten onder andere namen, gebruikersnamen, nationale ID-nummers, DITP ID's, telefoonnummers, e-mailadressen, bedrijfsnamen, exporteursgegevens, adressen, wachtwoorden en andere persoonlijke informatie. De omvang van het gelekte gegevensbestand wordt geschat op ongeveer 500.000 records, hoewel het exacte aantal nog onzeker is. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen en het belang van robuuste beveiligingsmaatregelen bij overheidsinstellingen.### datalek bij thais ministerie van internationale handelspromotie onthult gevoelige gegevens In juni 2023 werd het Department of International Trade Promotion (DITP) van het Thaise Ministerie van Handel getroffen door een datalek. Dit incident resulteerde in de blootstelling van verschillende gebruikersdatabases van het DITP.go.th-domein. De uitgelekte gegevens omvatten persoonlijk identificeerbare informatie (PII), zoals voornamen, achternamen, gebruikersnamen, nationale ID-nummers, DITP-ID's, Single Sign-On (SSO)-ID's, telefoonnummers, e-mailadressen, bedrijfsnamen, exporteurgegevens, adressen, wachtwoorden en wachtwoordzouten. Het gecompromitteerde dataset, gepubliceerd door een onbekende dreigingsactor, bevat ongeveer 500.000 regels aan gegevens, hoewel het exacte aantal nog onzeker is. Dit lek benadrukt de voortdurende dreiging van cyberaanvallen en de noodzaak voor robuuste beveiligingsmaatregelen om gevoelige informatie te beschermen.

Hackers blootleggen gevoelige data van Hatari Electric Co. in Thailand

Hatari Electric Co., de grootste fabrikant van elektrische apparaten in Thailand, is slachtoffer geworden van een cyberaanval uitgevoerd door de hacker GHOSTR. De aanval, die naar verluidt plaatsvond op 19 maart 2024, resulteerde in de diefstal van maar liefst 617,3 gigabyte aan gegevens verspreid over 18 databases. Tot de gestolen informatie behoren belangrijke bedrijfsgegevens, boekhoudinformatie, personeelsdossiers, verkoopgegevens, leverancierslijsten en klantinformatie. Ook de oprichter van Hatari Electric, Joon Wanavit, een van de rijkste personen in Thailand, is getroffen door de datalek. GHOSTR heeft aangekondigd de volledige set gestolen databases te willen verkopen. Deze omvangrijke datalek benadrukt de ernstige beveiligingsrisico's waarmee grote bedrijven worden geconfronteerd.

Ransomware-aanval treft LPDB KUMKM, gevoelige documenten gecompromitteerd

Op 7 mei 2024 werd het Indonesische overheidsorgaan LPDB KUMKM slachtoffer van een ransomware-aanval door de RansomHub-groep. LPDB KUMKM beheert revolverende fondsen voor coöperaties en kleine en middelgrote ondernemingen (KMO's) en biedt financiële ondersteuning om hun groei en ontwikkeling te bevorderen. Tijdens deze aanval werden meer dan 15TB aan privé-documenten, back-ups en NAS-back-ups versleuteld. De RansomHub-groep beweert bewijsmateriaal te hebben van verschillende illegale diensten en documenten die op het netwerk van LPDB KUMKM zijn opgeslagen. Ze dreigen deze gevoelige documenten vrij te geven als hun eisen niet worden ingewilligd.

❗️Outlook RCE exploit te koop voor $1,700,000

Een dreigingsactor, bekend als "Cvsp," heeft de verkoop aangekondigd van een vermeende Remote Code Execution (RCE) exploit voor Microsoft Outlook. Deze exploit, gericht op verschillende versies van Microsoft Office, vormt een ernstige bedreiging voor gebruikers wereldwijd. Volgens de dreigingsactor is de exploit uitvoerig getest op Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise, met een verontrustend succespercentage van 100%. De exploit wordt aangeboden voor een bedrag van $1,700,000, wat de ernst en effectiviteit van deze kwetsbaarheid benadrukt. Alle transacties worden uitgevoerd via escrow-diensten om de clandestiene aard van de verkoop te waarborgen. Specifieke details over de exploit worden alleen privé onthuld, wat de geheimhouding en de illegale aard van deze verkoop in de cyberondergrondse wereld onderstreept.

Gegevens van FrotCom te koop aangeboden na vermeende inbraak door DuckyMummy

De dreigingsactor bekend als "DuckyMummy" beweert dat hij succesvol de beveiliging van FrotCom, een vooraanstaande aanbieder van intelligente voertuigvlootbeheer en GPS-tracking oplossingen, heeft geschonden. FrotCom opereert in meer dan 40 landen en bedient wereldwijd meer dan 5.000 bedrijven. Volgens DuckyMummy heeft de inbraak geleid tot ongeautoriseerde toegang tot de interne systemen van FrotCom, waarbij gevoelige gegevens zijn buitgemaakt. De aangeboden informatie omvat GPS IMEI-nummers, realtime voertuigvolggegevens, factureringsgegevens, e-mailadressen, telefoonnummers, kentekenplaten, brandstofverbruiksgegevens en andere bedrijfsgerelateerde informatie. DuckyMummy biedt aan om voorbeelden van live GPS-voertuigvolggegevens per land te verstrekken aan potentiële kopers. Als bewijs van de inbraak beweert de dreigingsactor toegang te hebben tot bedrijfsaccounts en biedt hij inloggegevens aan zonder wachtwoorden, die pas na aankoop worden verstrekt. De minimale prijs voor toegang tot deze informatie is vastgesteld op $5.000, en geïnteresseerden worden verzocht direct contact op te nemen met DuckyMummy.

Gegevenslek bij LocalPlace JP blootgesteld door dreigingsactor

Op 13 mei 2024 heeft een dreigingsactor, bekend als Satanic, de verantwoordelijkheid opgeëist voor een datalek bij LocalPlace JP, een vooraanstaand Japans online reserveringsbedrijf. Bij dit incident is gevoelige informatie van duizenden individuen blootgelegd. De gelekte database bevat maar liefst 839.999 regels aan gegevens, waaronder klant-ID's, bedrijfsgegevens, telefoonnummers, volledige namen, e-mailadressen en factuurinformatie. Deze ernstige gegevensblootstelling werpt vragen op over de integriteit van de systemen van LocalPlace JP en de mogelijke gevolgen voor de privacy en veiligheid van hun klanten en partners.

Datadiefstal bij Patricia AI blootlegt gebruikersgegevens

Op 13 mei 2024 is een zorgwekkende ontwikkeling gemeld waarbij een cybercrimineel, bekend als 888, beweert verantwoordelijk te zijn voor een datalek bij Patricia AI, een toonaangevend 3D-commerce platform voor woninginrichting en design, gevestigd in Tel Aviv. Het lek zou hebben geleid tot de blootstelling van gevoelige gebruikersinformatie die in de database van het bedrijf was opgeslagen. Volgens de berichten bevat het gelekte gegevensbestand 9.681 gebruikersrecords met cruciale details zoals gebruikers-ID, voornaam, achternaam, e-mailadres, telefoonnummer en aanmaakdatum. Dit aanzienlijke datalek roept serieuze zorgen op over de privacy en beveiliging van de gebruikers van Patricia AI. De blootgestelde gegevens kunnen de betrokken personen blootstellen aan verschillende vormen van misbruik, waaronder identiteitsdiefstal, phishing-aanvallen en spamming.

Lekken van ouder-leraarvereniging database door IntelBroker

IntelBroker, een beruchte dreigingsactor, heeft naar verluidt de database van de ouder-leraarvereniging (PTA) gelekt. Dit incident, toegeschreven aan een individu bekend als GodLike, vond plaats in maart 2024 en leidde tot ongeautoriseerde toegang en het stelen van gevoelige informatie van PTA-gebruikers. De gelekte gegevens omvatten meerdere databases met persoonlijke en institutionele informatie. De blootgestelde datasets bevatten onder andere verzekeringsgegevens, medische informatie, betalingsdetails en contactgegevens van onderwijsinstellingen. In totaal werden duizenden rijen met gegevens gecompromitteerd, waaronder persoonlijke adressen, telefoonnummers, e-mailadressen en verzekeringsinformatie. Het lekken van zulke grote hoeveelheden gevoelige informatie brengt ernstige zorgen met zich mee over de privacy en veiligheid van de getroffen individuenen organisaties. Mogelijke gevolgen zijn identiteitsdiefstal, reputatieschade en uitdagingen bij het naleven van regelgeving. Aangetaste partijen staan voor de taak om persoonlijke informatie te beveiligen, aan juridische verplichtingen te voldoen en het vertrouwen van hun belanghebbenden te herstellen.

Toename van datalekken bij het Ministerie van Defensie in 2023

Het Ministerie van Defensie rapporteerde in 2023 een significante toename van datalekken, voornamelijk veroorzaakt door onjuist ingestelde autorisaties op SharePoint-sites, onzorgvuldig verzonden e-mails en problemen rondom medische dossiers. Volgens het jaarverslag van de Functionaris voor Gegevensbescherming (FG) bij Defensie werden er in totaal 294 incidenten gemeld, waarvan uiteindelijk 285 als datalekken werden geregistreerd. Dit is een opvallende stijging ten opzichte van het jaar 2022, waarbij 197 meldingen en 248 geregistreerde datalekken werden genoteerd. Deze toename kan gedeeltelijk worden verklaard door verbeterde bewustwording en de nadruk op het belang van het melden van datalekken onder de medewerkers. Binnen Defensie is er tevens een nieuw centraal systeem voor het registreren van datalekken ingevoerd, samen met een gedetailleerdeinstructie voor het afhandelen van dergelijke incidenten. Het ministerie heeft 29 van deze lekken gemeld bij de Autoriteit Persoonsgegevens. De ingezette maatregelen en procedures zijn onderdeel van een breder initiatief om de afhandeling van datalekken te verbeteren en de gegevensbescherming binnen het ministerie te versterken.

Dringend Beter Waarschuwen voor Cyberdreigingen Vereist van Softwarebedrijven

Cyberagentschappen uit zes landen, waaronder Canada, Estland, Finland, Japan, het Verenigd Koninkrijk en de Verenigde Staten, benadrukken dat softwarebedrijven hun gebruikers actiever moeten waarschuwen voor onveilige configuraties, verdacht gedrag en mogelijk besmette downloads. Dit advies komt voort uit een recent document gericht op het vergroten van de cyberveiligheid van maatschappelijke organisaties zoals denktanks, ngo's, mensenrechtenbewegingen, activisten en journalisten, die vaak doelwit zijn van staatshackers met als doel het ondermijnen van democratische waarden. De overheden adviseren verschillende beschermingsmaatregelen: regelmatige updates van beveiligingssoftware, het gebruik van multifactorauthenticatie (MFA), het minimaliseren van persoonlijke informatie online, het activeren van de Lockdown Mode op iOS-apparaten en het versleutelen van communicatie om infiltratie door malware te voorkomen. Softwarebedrijven worden specifiek aangespoord om MFA standaard te activeren, bekende kwetsbaarheden te verhelpen en gebruikers zonder extra kosten te voorzien van adequate logging-opties. Er wordt gepleit voor het gebruik van opvallende, niet te negeren waarschuwingssignalen, vergelijkbaar met het waarschuwingsgeluid in auto's wanneer de gordel niet wordt gedragen. [pdf1, pdf2]

🇳🇱 Stijging van datalekken bij de Sociale Verzekeringsbank in 2023

In 2023 heeft de Sociale Verzekeringsbank (SVB) bijna zevenhonderd datalekken gemeld bij de Autoriteit Persoonsgegevens (AP), wat een stijging betekent ten opzichte van het voorgaande jaar, maar een lichte daling ten opzichte van 2021. De datalekken hadden meestal een relatief beperkte impact, zoals verkeerd geadresseerde brieven, maar zijn desondanks zorgwekkend omdat ze de privacy van betrokkenen schenden. In reactie op een significant datalek in 2019, waarbij een medewerker onbevoegd persoonlijke informatie deelde, heeft de SVB boetes opgelegd gekregen. Oorspronkelijk stond de boete op 310.000 euro, maar deze werd verlaagd naar 150.000 euro nadat de SVB maatregelen nam om herhaling te voorkomen. De SVB streeft naar verbetering van de privacybescherming en heeft geïnvesteerd in het bewustzijn en de alertheid van haar medewerkers om datalekken actief te detecteren en te voorkomen. Ondanks de stijging van het aantal meldingen lijken de inspanningen tot verbeterde meldingsbereidheid onder medewerkers te leiden. [tweedekamer]

🇧🇪 Verkeerd Doelwit: FWA Getroffen door Cyberaanval Bedoeld voor Wallonische Overheid

De Fédération wallonne de l'agriculture (FWA), een agrarische syndicaat in Wallonië, is het slachtoffer geworden van een cyberaanval. De aanval werd uitgevoerd door een groep hackers genaamd 8Base. Deze groep verklaarde dat ze eigenlijk hadden geprobeerd de website van de Service public de Wallonie (SPW) te hacken, maar het lijkt erop dat ze per ongeluk de FWA hebben getroffen. De hackersgroep 8Base staat bekend om hun aanvallen waarbij ze gegevens versleutelen en slachtoffers proberen te dwingen losgeld te betalen door dreiging met openbaar maken van gestolen data. Ze publiceren zelfs lijsten van hun slachtoffers en de gestolen gegevens op het darkweb. Ondertussen ontkent de SPW dat ze gehackt zijn, wat suggereert dat de hackers de verkeerde organisatie als doelwit hadden gekozen. Dit incident onderstreept het risico van cyberaanvallen voor zowel overheidsinstanties als private sectoren en toont de complexiteit en mogelijke verwarring aan in het identificeren van de juiste doelwitten door cybercriminelen. [lalibre]

Tweede Cyberaanval Treft Californische Stad Binnen Een Maand

De stad St. Helena in Californië werd opnieuw het doelwit van een cyberaanval, slechts enkele weken na een eerdere verstoring van haar bibliotheeksysteem. De aanval dwong de stad om uit voorzorg haar computersystemen en de openbare bibliotheek te sluiten. De stad werkt samen met de Northern California Computer Crimes Task Force en krijgt bijstand van de United States Secret Service en de FBI voor forensisch onderzoek. De aanval begon vroeg in de ochtend en lijkt gelijkaardig aan eerdere aanvallen op andere Californische steden. Meer dan 20 computers en een netwerkserver zijn mogelijk gecompromitteerd. Hoewel de antivirus van de stad vele aanvallen wist af te slaan, leidden verdachte activiteiten tot verder onderzoek door IT-specialisten. Ondanks de ernstige cyberdreiging heeft de aanval geen invloed gehad op de water- en afvalwaterzuiveringsinstallaties of op de noodservices, aangezien deze op afzonderlijke netwerken opereren. De stad had alle bestanden geback-upt de dag voor de aanval als onderdeel van hun cybersecurity- en bedrijfscontinuïteitsplan. Het zal echter 24 tot 72 uur duren voordat de systemen volledig zijn gecontroleerd en hersteld. [statescoop]

Grootschalige Datalek bij Singing River Gezondheidssysteem door Ransomware-aanval

In augustus 2023 werd het Singing River Gezondheidssysteem in Mississippi getroffen door een geavanceerde ransomware-aanval, waarbij de persoonlijke en medische gegevens van ongeveer 895.000 mensen mogelijk zijn gestolen. Dit gezondheidssysteem omvat onder meer het Singing River Ziekenhuis in Pascagoula, Ocean Springs Ziekenhuis, en Singing River Gulfport Ziekenhuis, samen goed voor meer dan 700 bedden, en wordt ondersteund door ruim 3.500 werknemers. De getroffen gegevens omvatten volledige namen, geboortedata, fysieke adressen, Social Security Numbers, en uitgebreide medische informatie. Hoewel er geen aanwijzingen zijn dat deze gegevens misbruikt zijn voor identiteitsdiefstal of fraude, biedt Singing River nu 24 maanden gratis kredietbewaking en identiteitshersteldiensten aan via IDX. De Rhysida ransomware-groep heeft deze aanval opgeëist en heeft reeds ongeveer 80% van de geclaimde gegevens gelekt. Getroffen individuen wordt geadviseerd om zich aan te melden bij de beschermingsdiensten van IDX, voorzichtig te zijn met ongevraagde communicatie, hun accounts te monitoren op verdachte activiteiten, en overwegen om een beveiligingsbevriezing op hun kredietrapporten aan te vragen. [maine, pdf, singingriverhealthsystem]

Britse Regering Geeft Advies over Losgeldbetaling bij Ransomware

De Britse overheid heeft recent richtlijnen uitgebracht voor organisaties die geconfronteerd worden met ransomware-aanvallen en overwegen losgeld te betalen. Het advies, afkomstig van het National Cyber Security Centre (NCSC), benadrukt dat de beslissing om losgeld te betalen uiteindelijk bij het slachtoffer ligt. Echter, het NCSC moedigt organisaties aan om alle beschikbare opties te overwegen, inclusief het niet betalen van losgeld. De redenatie hierachter is dat cybercriminelen vaak druk uitoefenen door te stellen dat betaling de enige oplossing is, terwijl er alternatieven zoals goede back-ups of onverwachte herstelmethodes kunnen bestaan. Daarnaast waarschuwt het NCSC dat zelfs na de betaling van losgeld en het verkrijgen van een decryptiesleutel, de problemen niet direct zijn opgelost. Het ontsleutelingsproces kan tijdrovend zijn en het is cruciaal om de aanvalsvector die tot de infectie heeft geleid te identificeren om herhaling te voorkomen. Verder benadrukt de overheidsinstantie dat betalen organisaties niet vrijstelt van hun wettelijke verplichtingen, zoals het melden van het incident bij toezichthouders. Het voorbereid zijn op dergelijke incidenten kan de impact ervan aanzienlijk verminderen. [ncsc]

Omvangrijke Ebury-malware Infecteert Linux Servers Sinds 2009

Sinds 2009 heeft een malware-botnet genaamd 'Ebury' bijna 400.000 Linux-servers geïnfecteerd, waarvan er eind 2023 nog ongeveer 100.000 actief besmet waren. Dit botnet, dat voornamelijk financiële motieven heeft, werd door ESET-onderzoekers ruim een decennium gevolgd. De malware heeft door de jaren heen verschillende updates gekregen die zijn capaciteiten aanzienlijk hebben versterkt. Ebury richt zich voornamelijk op het compromitteren van hostingproviders en het uitvoeren van supply chain-aanvallen op klanten die virtuele servers huren. De initiële compromittatie gebeurt vaak via credential stuffing-aanvallen met gestolen inloggegevens. Na besmetting exfiltreert de malware een lijst van SSH-verbindingen en steelt SSH-authenticatiesleutels, die vervolgens gebruikt worden om toegang te krijgen tot andere systemen. Deze tactieken omvatten ook het uitbuiten van bekende kwetsbaarheden in de software die op de servers draait. Recente aanvallen tonen aan dat Ebury ook actief SSH-verkeer onderschept en login-credentials vastlegt. In sommige gevallen, waar servers cryptocurrency wallets hosten, gebruikt de malware deze credentials om de wallets te legen. ESET's recente onderzoek toonde aan dat Ebury in 2023 minstens 200 servers heeft getarget, waaronder Bitcoin en Ethereum nodes. Naast het stelen van cryptocurrency, omvatten de monetisatie strategieën ook het kapen van creditcardgegevens, omleiden van webverkeer voor advertentie-inkomsten, versturen van spam, en de verkoop van gestolen credentials. In 2023 introduceerde Ebury nieuwe verhullingstechnieken en een domeingeneratie-algoritme om detectie te ontwijken en zijn veerkracht te verbeteren. De samenwerking tussen ESET en de Nederlandse Nationale Recherche heeft geleid tot het in beslag nemen van een back-upserver die door de cybercriminelen werd gebruikt, wat nieuwe inzichten gaf in hun operaties. [welivesecurity]

Ransomware-aanvallen via vervalste WinSCP en PuTTY advertenties

Cybercriminelen richten zich op IT-professionals met kwaadaardige advertenties voor populaire softwaretools zoals WinSCP en PuTTY, waarschuwt het beveiligingsbedrijf Rapid7. Deze advertenties leiden gebruikers naar nagemaakte websites waar een getrojaniseerde versie van de software aangeboden wordt als een downloadbaar zip-bestand. Zodra deze software geïnstalleerd is, infecteert het de computersystemen met malware, waaronder ransomware. De aanvallers proberen eerst gegevens te stelen en vervolgens ransomware te installeren. Gebruikers van dergelijke software worden aangespoord om altijd de bron van hun downloads zorgvuldig te controleren en te verifiëren dat de hashes van de bestanden overeenkomen met de officiële versies. Vooral IT-medewerkers, die frequent dergelijke software nodig hebben, worden getroffen en hun hogere systeemtoegang maakt het moeilijk voor beveiligingsteams om de activiteiten van aanvallers te onderscheiden van reguliere beheeractiviteiten. [rapid7]

Cyberaanval legt Brits veilinghuis Christie's dagenlang plat

Het gerenommeerde Britse veilinghuis Christie's heeft te kampen gehad met een ernstige cyberaanval, waardoor hun hoofdwebsite dagenlang offline is gegaan. Als gevolg hiervan zijn bezoekers omgeleid naar een tijdelijke website en is er minstens één veiling met een dag uitgesteld. Christie's heeft bevestigd dat meerdere van hun systemen zijn getroffen door wat zij omschrijven als een 'technology security issue'. Over de aard van het beveiligingsprobleem zijn geen specifieke details vrijgegeven. De situatie binnen het veilinghuis is gespannen, zoals blijkt uit uitspraken van twee anonieme medewerkers in The New York Times. Deze medewerkers geven aan dat er onder het personeel paniek heerst en dat er vanuit de top weinig tot geen informatie wordt gedeeld over het incident. Het blijft onduidelijk of er vertrouwelijke informatie is buitgemaakt door de aanvallers en wanneer de systemen volledig hersteld zullen zijn. Christie's heeft zijn excuses aangeboden voor het ongemak dat hierdoor is veroorzaakt. [christies, linkedIn, nytimes]

Cyberaanval treft Macon-Bibb County in Georgia

In Macon-Bibb County, Georgia, heeft afgelopen weekend een significante cyberaanval plaatsgevonden, waarbij de lokale overheid gedwongen werd haar netwerk en telefoonsystemen offline te halen. De aanval, ontdekt door de autoriteiten, leidde ertoe dat zowel e-mailaccounts als vaste telefoonlijnen van overheidskantoren op maandag nog steeds onbetrouwbaar waren. Volgens een verklaring van Chris Floore, een woordvoerder van de county, werd uit voorzorg het netwerk offline gehaald en worden momenteel extra beveiligingsmaatregelen genomen en onderzoeken verricht. De lokale overheid, die een populatie van ongeveer 150.000 inwoners dient, heeft niet bevestigd of het om een ransomware-aanval ging, vergelijkbaar met een recente aanval in Wichita, Kansas. De Cybersecurity Infrastructure and Security Administration heeft lokale overheden geadviseerd geen losgeld te betalen bij dergelijke aanvallen, omdat dit geen garantie biedt dat de gegevens gedecodeerd worden of dat het systeem niet langer gecompromitteerd is. [statescoop]

Toename van Cyberaanvallen via Vervalst Python-pakket

Een nieuw Python-pakket op de Python Package Index (PyPI) genaamd 'requests-darwin-lite', gemodelleerd naar de populaire 'requests' bibliotheek, heeft recentelijk macOS-apparaten getarget. Dit pakket maakt gebruik van het Sliver C2 framework, een veelzijdig hulpmiddel voor 'red team' operaties die netwerkverdedigingen simuleren. Het pakket bevat een gecamoufleerde Sliver payload binnen een PNG-bestand. Deze malware werd ontdekt door het cybersecuritybedrijf Phylum en is inmiddels verwijderd van PyPI. De aanval begint met de installatie van dit kwaadaardige pakket, waarbij tijdens het installatieproces een Go-binary uit het PNG-bestand wordt geëxtraheerd en uitgevoerd. Dit gebeurt alleen als het UUID van het systeem overeenkomt met een vooraf gedefinieerde UUID, wat wijst op een zeer gerichte aanval. Deze methode van aanval is een indicator voor de toenemende voorkeur van cybercriminelen voor het Sliver framework, dat nu breed wordt ingezet in diverse soorten cyberaanvallen, inclusief ransomware en BYOVD-aanvallen. De recente toename in het gebruik van Sliver toont een verschuiving in de methoden die door hackers worden gebruikt om netwerken te infiltreren. [phylum]

FCC Identificeert Eerste Robocall-Dreigingsactor 'Royal Tiger'

De Federal Communications Commission (FCC) heeft 'Royal Tiger' aangewezen als eerste officieel benoemde robocall-dreigingsactor. Deze benoeming is onderdeel van een strategie om internationale partners en wetshandhavingsinstanties te helpen bij het opsporen van de individuen en entiteiten achter herhaalde robocall-campagnes. Royal Tiger is een collectief dat opereert vanuit India, het Verenigd Koninkrijk, de Verenigde Arabische Emiraten en de Verenigde Staten. Ze voeren robocalls uit waarbij ze zich voordoen als overheidsinstanties, banken en nutsbedrijven met vervalste telefoonnummers, en promoten valse aanbiedingen voor kredietkaartrenteverlaging. De groep, vermoedelijk geleid door Prince Jashvantlal Anand en zijn medewerker Kaushal Bhavsar, is verbonden aan verschillende entiteiten in de VS die illegale oproepen plegen. Deze oproepen worden doorgeschakeld naar het in Texas gevestigde Great Choice Telecom, dat eerder een boete van $225 miljoen kreeg voor het plaatsen van illegale robocalls. De FCC benadrukt dat dergelijke ongewenste oproepen, ontworpen om consumenten te bedriegen of schaden, moeten stoppen en verklaart alle beschikbare middelen te zullen gebruiken om dit te bewerkstelligen. Dit nieuwe classificatiesysteem voor robocall-bedreigingen, bekend als Consumer Communications Information Services Threat (C-CIST), stelt de FCC in staat om dreigingsgroepen te identificeren en passende maatregelen te nemen tegen hen. [fcc pdf, fcc pdf2]

Verkoop broncode INC Ransomware op hackerfora

De broncode van INC Ransom, een ransomware-as-a-service operatie opgestart in augustus 2023, wordt momenteel aangeboden op hackerfora door iemand onder de schuilnaam "salfetka". Voor $300.000 kunnen drie kopers de code van de Windows en Linux/ESXi versies bemachtigen. Deze software heeft doelwitten zoals de Amerikaanse divisie van Xerox Business Solutions, Yamaha Motor Filipijnen en de Schotse Nationale Gezondheidsdienst aangevallen. Tegelijkertijd ondergaat de INC Ransom operatie wijzigingen, wat wijst op mogelijke interne conflicten of een nieuwe fase waarbij een nieuwe encryptor gebruikt zal worden. Ondanks dat de verkoop legitiem lijkt, door gedetailleerde technische informatie in de forumberichten en de aanwezigheid van zowel oude als nieuwe URLs in de handtekening van "salfetka", kan dit ook een doorgedreven scam zijn. Daarnaast is INC Ransom verhuisd naar een nieuw TOR-adres en heeft het een nieuwe lijst van slachtoffers gepubliceerd, wat duidt op veranderingen in leiderschap of groepsstructuur binnen de operatie. Deze private verkoop van de broncode kan wereldwijd voor meer uitdagingen zorgen voor organisaties, aangezien het kopers mogelijk maakt geavanceerdere en geteste encryptors te gebruiken.

Gebruik van DNS-tunneling door hackers voor netwerkscanning en het volgen van slachtoffers

Hackers zetten steeds vaker Domain Name System (DNS) tunneling in om de activiteiten van hun doelwitten te volgen. Deze techniek wordt gebruikt om te detecteren wanneer slachtoffers phishing-e-mails openen en op kwaadaardige links klikken, en ook om netwerken te scannen op potentiële kwetsbaarheden. DNS tunneling maakt gebruik van DNS-aanvragen om gecodeerde gegevens of commando's te verzenden, waardoor DNS een verborgen communicatiekanaal wordt. Dit wordt vaak ingezet om netwerkfirewalls en filters te omzeilen, zowel voor command and control operaties als voor virtuele privé-netwerken (VPN's). Unit 42 van Palo Alto Networks heeft onlangs nieuwe campagnes ontdekt waarbij DNS tunneling wordt ingezet voor het volgen van interacties van slachtoffers met phishing e-mails en het scannen van netwerkinfrastructuren. De 'TrkCdn'-campagne bijvoorbeeld, volgt hoe slachtoffers interageren met e-mailinhoud door DNS-aanvragen naar aanvaller-gecontroleerde subdomeinen te sturen. Een andere campagne, 'SecShow', gebruikt DNS tunneling om netwerkstructuren te scannen door IP-adressen en tijdstempels in DNS-aanvragen te verwerken. Experts adviseren organisaties om DNS-monitoring en -analysetools in te zetten om ongewone verkeerspatronen te herkennen en zo misbruik van DNS tunneling tegen te gaan. [unit42]

Grootschalige LockBit Black Ransomwarecampagne Via Phorpiex Botnet

Sinds april zijn miljoenen phishing-e-mails verzonden via het Phorpiex botnet als onderdeel van een omvangrijke LockBit Black ransomwarecampagne. Deze aanvallen gebruiken ZIP-bijlagen met een uitvoerbaar bestand dat, eenmaal geopend, het LockBit Black ransomware op het systeem van de ontvanger installeert. Dit programma is waarschijnlijk gemaakt met de LockBit 3.0 builder, die in september 2022 werd gelekt door een ontevreden ontwikkelaar. Ondanks de massale aanpak en het gebruik van de namen "Jenny Brown" of "Jenny Green" uit meer dan 1.500 unieke IP-adressen wereldwijd, is er geen directe band met de officiële LockBit ransomware-operatie. Deze phishingaanval begint wanneer iemand het ZIP-archief opent en het bestand binnenin uitvoert. Het gedownloade ransomwarebestand probeert vervolgens gevoelige data te stelen, services te beëindigen en bestanden te versleutelen. Het bedrijf Proofpoint, dat deze aanvallen sinds 24 april onderzoekt, merkt op dat deze tactiek, hoewel niet nieuw, opvalt door het enorme volume van de verzonden e-mails en het gebruik van ransomware als eerste payload. De Phorpiex botnet, actief voor meer dan tien jaar, werd oorspronkelijk verspreid via verwijderbare USB-opslag en messaging apps en heeft zich ontwikkeld tot een veelzijdige dreiging, inclusief sextortion e-mails en crypto-clipping. [bin, nj]

Omvangrijke Datalek in Onderwijssector Helsinki door Ongepatchte Kwetsbaarheid

In april 2024 ontdekte de stad Helsinki een ernstig datalek binnen haar onderwijsafdeling, waarbij tienduizenden studenten, hun voogden en personeelsleden werden getroffen. Het lek kwam aan het licht nadat een onbevoegde toegang had verkregen tot een netwerkschijf via een kwetsbaarheid in een server voor externe toegang. Opmerkelijk is dat er ten tijde van de aanval een beveiligingspatch beschikbaar was, die echter niet was geïmplementeerd. De betreffende schijf bevatte tientallen miljoenen bestanden, waarvan vele gevoelige informatie zoals gebruikersnamen, e-mailadressen, persoonlijke ID's en fysieke adressen omvatten. Ook gegevens over onderwijskosten, kinderopvang, welzijnsaanvragen en medische verklaringen waren toegankelijk. De stad heeft de Data Protection Ombudsman, de politie en het Nationale Cybersecurity Centrum van Traficom ingelicht. Getroffen personen zijn opgeroepen om verdachte communicatie te melden, maar hoeven vooralsnog geen contact op te nemen met de politie. De omvang van het lek en de identiteit van de daders zijn nog onbekend, waardoor het onderzoek naar de volledige impact enige tijd zal vergen. De stad heeft haar spijt uitgesproken over het incident en benadrukt de ernst van de situatie. [hel, kyberturvallisuuskeskus]

Aanpassingen in KeePassXC Debian-package door veiligheidsoverwegingen

De maintainer van de Debian-package van KeePassXC heeft recent alle netwerkfuncties uit de software verwijderd. Dit is gedaan om eventuele veiligheidsproblemen te voorkomen, aangezien deze functionaliteiten kunnen leiden tot extra beveiligingsrisico's. Volgens het ontwikkelteam van KeePassXC is deze wijziging eenzijdig doorgevoerd, zonder hun instemming. De beslissing heeft online tot honderden reacties geleid. KeePassXC, een populaire opensourcewachtwoordmanager die beschikbaar is voor Linux, macOS en Windows, is oorspronkelijk een afsplitsing (fork) van KeePassX en een port van KeePass. De maintainer argumenteert dat zijn versie van KeePassXC, nu zonder netwerkfuncties zoals SSH-agent, browserplug-in en FDO secret storage, een verminderd aanvalsoppervlak biedt. Gebruikers die toch behoefte hebben aan de verwijderde functies, kunnen overstappen naar de 'keepassxc-full' versie. Deze versie zal de oorspronkelijke functionaliteiten bevatten indien deze wijzigingen worden doorgevoerd in de stabiele release van Debian. Het ontwikkelteam heeft gesuggereerd dat een naamswijziging naar 'keepassxc-minimal' passender zou zijn voor de uitgeklede versie, omdat de verwijderde opties standaard niet actief zijn en door gebruikers gekozen moeten worden. [packages, ycombinator]

Scherpe Toename van Ransomware-Gerelateerde Datalekken in het VK

In het Verenigd Koninkrijk is het aantal datalekken dat door ransomware werd veroorzaakt aanzienlijk gestegen. De Britse privacytoezichthouder ICO rapporteerde een stijging van 66% in dergelijke incidenten: van 739 meldingen in 2022 tot 1231 in 2023. Deze specifieke toename maakt deel uit van een algemene stijging van het totale aantal datalekken, die steeg van 8800 in 2022 naar meer dan 11.000 in het afgelopen jaar. Een prominente oorzaak voor veel van deze lekken was het misbruik van een zerodaylek in MOVEit Transfer, een bestandsuitwisselingsapplicatie. Deze kwetsbaarheid werd uitgebuit door de criminelen achter de Clop-ransomware, waarbij gegevens van bijna 96 miljoen personen gestolen werden van bijna 2800 organisaties. De ICO benadrukt dat het betalen van losgeld niet alleen onveilig is, omdat er geen garanties zijn op het terugkrijgen van data, maar ook geen effectieve oplossing biedt tegen de publicatie van gestolen data. De toezichthouder dringt er bij organisaties op aan om betere beschermingsmaatregelen tegen dergelijke aanvallen te implementeren. [ico]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten