🇳🇱 🇬🇧

Het Nederlandse klantencommunicatiebedrijf AddComm is recentelijk het doelwit geweest van een ransomware-aanval die de systemen van het bedrijf heeft versleuteld en gegevens heeft gestolen. Deze aanval, die plaatsvond tussen 5 en 17 mei, heeft een kettingreactie van waarschuwingen en onderzoeken veroorzaakt bij verschillende organisaties die AddComm als leverancier gebruiken. Energieleveranciers Essent en Vattenfall hebben hun klanten gewaarschuwd voor mogelijke phishing-berichten en oplichting via de telefoon als gevolg van dit incident. Beide bedrijven hebben maatregelen genomen om verdere risico’s te beperken, zoals het tijdelijk stopzetten van dataverbindingen en het informeren van de bevoegde autoriteiten. Ook ABN Amro, Staedion, Waterbedrijf Groningen, RBG en WMD hebben klanten geïnformeerd over mogelijke datalekken. Zij onderzoeken momenteel of er daadwerkelijk gegevens in verkeerde handen zijn gevallen. Essent benadrukt dat klanten die papieren post ontvangen, geïnformeerd zullen worden als hun gegevens betrokken zijn bij het datalek. De exacte omvang van de gestolen data en de verantwoordelijken voor de aanval zijn nog onbekend, maar AddComm bereidt een aangifte bij de politie voor.

In een ander incident zijn klanten van de onlinebank Bunq zwaar getroffen door phishing-aanvallen, waarbij bijna dertig klanten samen meer dan 1,6 miljoen euro hebben verloren. De fraudeurs stuurden e-mails of sms-berichten die afkomstig leken van Bunq, met een link naar een phishingsite. Na het inloggen op deze site werden de slachtoffers gebeld en misleid om hun geld zelf over te maken of hun toegangscodes te verstrekken. Soms moesten slachtoffers ook hun gezicht scannen voor transactieverificatie. Ondanks een coulancekader voor het vergoeden van schade door bankhelpdeskfraude, blijkt Bunq minder geneigd te zijn om schade te vergoeden dan andere banken. Na berichtgeving heeft Bunq maatregelen aangekondigd om klanten beter te beschermen en heeft klanten om suggesties gevraagd ter voorkoming van social engineering-aanvallen.

Naast deze incidenten is de gemeente Eindhoven geconfronteerd met een datalek waarbij 220.000 burgerservicenummers toegankelijk waren voor ambtenaren. Dit datalek werd ontdekt door een ict-medewerker tijdens een steekproef en de gemeente heeft het gemeld bij de Autoriteit Persoonsgegevens. Hoewel de gemeente de betrokkenen niet heeft geïnformeerd omdat het risico op identiteitsdiefstal of identiteitsfraude als laag werd ingeschat, roept dit incident vragen op over de interne beveiligingsmaatregelen en het bewustzijn van databeveiliging binnen gemeentelijke organisaties.

In een ander deel van de wereld heeft een cyberaanval op de European Southern Observatory (ESO) de communicatie- en netwerkdiensten tijdelijk verstoord. De aanval leidde tot beperkingen in de communicatie om de cyberbeveiligingsrespons van ESO niet in gevaar te brengen. Hoewel de waarnemingen en de bouw van de Extremely Large Telescope (ELT) niet werden beïnvloed, benadrukt dit incident de noodzaak voor constante waakzaamheid en verbeterde cyberbeveiligingsmaatregelen binnen wetenschappelijke organisaties.

Ondertussen hebben cybercriminelen die gebruikmaken van een gemodificeerde versie van het klassieke Minesweeper-spel financiële organisaties in Europa en de VS aangevallen. De aanvallen, uitgevoerd door de dreigingsactor ‘UAC-0188’, gebruikten legitieme code van het spel om kwaadaardige Python-scripts te verbergen, waardoor de aanvallers ongeautoriseerde toegang tot geïnfecteerde systemen kregen. Dit incident benadrukt de ingenieuze methoden die cybercriminelen gebruiken om aanvallen uit te voeren en onderstreept het belang van geavanceerde detectie- en reactietechnologieën.

In de Verenigde Staten heeft de Amerikaanse toezichthouder SEC een boete van 10 miljoen dollar opgelegd aan Intercontinental Exchange (ICE) voor het te laat melden van een cyberaanval. De aanval, die begin 2021 plaatsvond, maakte gebruik van een kwetsbaarheid in de vpn-server van ICE om gevoelige informatie te stelen. De vertraging in de melding verhinderde dochterondernemingen om tijdig aan hun wettelijke meldingsplicht te voldoen. Dit incident onderstreept het belang van snelle meldingen bij cybersecurity-incidenten om verdere schade te voorkomen.

Een nieuwe ransomware-variant genaamd ShrinkLocker maakt gebruik van Windows BitLocker om bedrijfsnetwerken te versleutelen. ShrinkLocker richt zich op overheidsinstanties en bedrijven in de vaccin- en productiesector. De aanvallers lieten geen losgeldbrief achter, maar gaven een moeilijk te vinden e-mailadres als partitie-etiket, wat erop wijst dat de aanvallen mogelijk destructief bedoeld zijn. Bedrijven worden geadviseerd om herstelcodes veilig op te slaan en regelmatig offline back-ups te maken om dergelijke aanvallen te mitigeren.

Conclusie

De voortdurende toename van cyberdreigingen en de diversiteit aan aanvallen benadrukken de noodzaak voor constante verbetering van cybersecurity-maatregelen en -bewustzijn. Organisaties moeten waakzaam blijven en proactieve stappen ondernemen om hun systemen en gegevens te beschermen tegen de steeds evoluerende dreigingen in het digitale landschap. Het is cruciaal om snelle en effectieve responsstrategieën te ontwikkelen en te implementeren om de impact van cyberaanvallen te minimaliseren en de integriteit van kritieke infrastructuur te waarborgen.

Dit was het wekelijkse overzicht van ‘Slachtofferanalyse en Trends voor Week 21-2024’, waarbij de meest recente en impactvolle cyberdreigingen werden belicht. Blijf op de hoogte van de laatste ontwikkelingen en neem de nodige maatregelen om uw organisatie en persoonlijke informatie te beschermen.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Ransomware: Een type malware (kwaadaardige software) dat de toegang tot een computersysteem of gegevens blokkeert, meestal door deze te versleutelen, totdat er losgeld wordt betaald.
• Phishing: Een vorm van fraude waarbij criminelen proberen gevoelige informatie zoals wachtwoorden, creditcardgegevens en burgerservicenummers te verkrijgen door zich voor te doen als een betrouwbare entiteit in elektronische communicatie.
• Autoriteit Persoonsgegevens: De Nederlandse toezichthouder die verantwoordelijk is voor het handhaven van de wetten op het gebied van privacy en gegevensbescherming.
• VPN (Virtual Private Network): Een technologie die een veilige verbinding over een minder beveiligd netwerk, zoals het internet, mogelijk maakt. VPN’s worden vaak gebruikt om gevoelige gegevens te beschermen.
• BitLocker: Een volledige schijfencryptatietechnologie van Microsoft die bedoeld is om gegevens te beschermen door schijfeenheden te versleutelen.
• Social Engineering: Een manier om mensen te misleiden zodat zij vertrouwelijke informatie prijsgeven. Dit gebeurt vaak door zich voor te doen als een vertrouwde entiteit.
• Malware: Een verzamelnaam voor allerlei soorten kwaadaardige software, waaronder virussen, wormen, Trojaanse paarden, ransomware en spyware, die schade kunnen toebrengen aan computers of netwerken.
• Datalek: Het ongeautoriseerde vrijgeven van gevoelige of vertrouwelijke informatie, meestal door een beveiligingsinbreuk.
• Cybersecurity: De praktijk van het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen kwaadaardige aanvallen.
• Multi-factor authenticatie (MFA): Een beveiligingsmaatregel die vereist dat gebruikers twee of meer verificatiefactoren leveren om hun identiteit te bewijzen bij het inloggen.
• Coulancekader: Een beleidskader dat bepaalt in welke gevallen en onder welke voorwaarden een organisatie schade vergoedt, vaak gebruikt bij banken voor het vergoeden van frauduleuze transacties.
• Trojaans paard: Een type malware dat zich voordoet als legitieme software maar een kwaadaardige functie uitvoert zodra het wordt geactiveerd.
• Command and control (C2) server: Een server die wordt gebruikt door cybercriminelen om malware te beheren en instructies te geven aan geïnfecteerde systemen.
• SQL (Structured Query Language): Een gestandaardiseerde programmeertaal die wordt gebruikt om databases te beheren en gegevens te manipuleren.
• Encryptie: Het proces van het coderen van informatie zodat alleen geautoriseerde partijen deze kunnen lezen. Dit wordt gebruikt om gegevens te beschermen tegen ongeoorloofde toegang.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Hackers gebruiken gemodificeerde Minesweeper om financiële organisaties aan te vallen

Hackers maken gebruik van een Python-versie van het klassieke Minesweeper-spel om kwaadaardige scripts te verbergen en financiële organisaties in Europa en de VS aan te vallen. Deze aanvallen, toegeschreven aan de dreigingsactor 'UAC-0188', gebruiken legitieme code van het spel om Python-scripts te verbergen die de SuperOps RMM-software downloaden en installeren. Deze software biedt aanvallers ongeautoriseerde toegang tot geïnfecteerde systemen. De aanval begint met een e-mail die afkomstig lijkt van een medisch centrum en bevat een link naar een 33MB .SCR-bestand. Dit bestand bevat naast de onschuldige Minesweeper-code ook schadelijke code die verdere scripts van een externe bron downloadt. De aanvallers verbergen de kwaadaardige code als een base64-gecodeerde string binnen de executable, die vervolgens wordt gedecodeerd om een ZIP-bestand samen te stellen met een MSI-installatieprogramma voor SuperOps RMM. Deze software wordt uiteindelijk gebruikt om de aanvallers toegang te geven tot de systemen van de slachtoffers. Organisaties die deze software niet gebruiken, wordt geadviseerd om verdachte activiteit rond de domeinen "superops.com" of "superops.ai" als een teken van compromittering te beschouwen. [cert]

🇳🇱 Essent en Vattenfall waarschuwen klanten voor datalek bij AddComm

Op 17 mei is AddComm, een bedrijf dat papieren post verzorgt voor onder andere Essent en Vattenfall, getroffen door een ransomware-aanval. Hierdoor zijn mogelijk klantgegevens in gevaar. Essent en Vattenfall hebben hun klanten gewaarschuwd voor mogelijke phishing-berichten en oplichting via de telefoon. AddComm onderzoekt nog welke gegevens zijn getroffen en of dit klantinformatie van Vattenfall betreft. Beide energieleveranciers hebben maatregelen genomen om verdere risico’s te beperken, zoals het tijdelijk stopzetten van dataverbindingen en het informeren van de bevoegde autoriteiten. Essent benadrukt dat klanten die papieren post ontvangen, geïnformeerd worden als hun gegevens betrokken zijn bij het datalek. De situatie wordt nauwlettend gevolgd om de veiligheid van klantinformatie te waarborgen. AddComm verwerkt post voor diverse gemeenten en commerciële partijen, waardoor meerdere organisaties mogelijk door deze aanval getroffen kunnen zijn. [vattenfall]

🇳🇱 ABN Amro, Staedion, Waterbedrijf Groningen, RBG en WMD melden mogelijk datalek

ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD en de Regionale Belasting Groep (RBG) hebben klanten gewaarschuwd voor een mogelijk datalek na een ransomware-aanval op hun leverancier AddComm. Eerder gaven ook Hoogheemraadschap Hollands Noorderkwartier en de Amsterdamse woningcorporatie Eigen Haard een soortgelijke waarschuwing. AddComm, verantwoordelijk voor het versturen van belastingaanslagen en rekeningen, verwerkt voor zijn klanten gegevens zoals naam, adres, burgerservicenummer (BSN), bankrekeningnummer en eigendomsgegevens. De getroffen organisaties onderzoeken of er daadwerkelijk gegevens in verkeerde handen zijn gevallen. ABN Amro heeft laten weten dat mogelijk een beperkt aantal klanten is getroffen en dat deze schriftelijk worden geïnformeerd. Alle betrokken organisaties hebben een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. AddComm heeft na een eerdere verklaring nog geen verdere informatie verstrekt over het incident.

🇳🇱 Bunq-klanten slachtoffer van bankhelpdeskfraude voor 1,6 miljoen euro

In de afgelopen maanden zijn bijna dertig klanten van Bunq slachtoffer geworden van bankhelpdeskfraude, waarbij in totaal meer dan 1,6 miljoen euro is buitgemaakt. De fraudeurs stuurden e-mails of sms-berichten die afkomstig leken van Bunq, met een link naar een phishingsite. Na het inloggen op deze site werden de slachtoffers gebeld en misleid om hun geld zelf over te maken of hun toegangscodes te verstrekken. Soms moesten slachtoffers ook hun gezicht scannen voor transactieverificatie. Bij Bunq kan een spaarrekening met één klik worden omgezet in een betaalrekening en zijn er geen limieten voor overschrijvingen, in tegenstelling tot andere banken die daglimieten en wachttijden hanteren. Hoewel banken een coulancekader hebben afgesproken voor het vergoeden van schade door bankhelpdeskfraude, worden niet alle slachtoffers volledig schadeloos gesteld. In 2023 werden tienduizend Nederlanders slachtoffer van deze vorm van fraude, met een totale schade van 28 miljoen euro. Bunq blijkt minder geneigd te zijn om schade te vergoeden dan andere banken. Na berichtgeving heeft Bunq op hun forum gereageerd met maatregelen om klanten beter te beschermen en heeft klanten om suggesties gevraagd ter voorkoming van social engineering-aanvallen. [fraudehelpdesk, bunq, ccinfo]

Nieuwe ATM Malware Bedreigt Europese Bankbeveiliging

Een verontrustende nieuwe vorm van ATM-malware, genaamd "EU ATM Malware", heeft Europa getroffen en vertoont een opmerkelijk succespercentage van 99%. Deze malware kan bijna elke geldautomaat in Europa compromitteren en ongeveer 60% van de geldautomaten wereldwijd, wat een aanzienlijke bedreiging vormt voor de mondiale bankbeveiliging. De malware richt zich op automaten van toonaangevende fabrikanten zoals Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG en Hitachi. De ontwikkelaars beweren dat deze malware tot $30.000 per ATM kan genereren, waardoor het een lucratief hulpmiddel is voor cybercriminelen. De malware is volledig geautomatiseerd, maar kan ook handmatig worden bediend voor degenen die een meer hands-on aanpak verkiezen. Verkoopopties voor de malware zijn flexibel, waaronder maandelijkse abonnementen, een testpayload van drie dagen, en een initiële vergoeding plus een deel van de opbrengsten uit succesvolle operaties. De Europese banksector, bekend om zijn strenge beveiligingsmaatregelen, staat nu voor de uitdaging om zijn ATM-infrastructuur te beschermen tegen deze geavanceerde en wijdverspreide dreiging.

Ghosthook v1.0: gevaarlijke nieuwe browser malware ontdekt

Op een populair cyberbeveiligingsforum is recent de innovatieve file-less browser malware GhostHook v1.0 ontdekt, ontwikkeld door Native-One. Deze malware onderscheidt zich door zijn unieke verspreidingsmethoden en veelzijdigheid, wat aanzienlijke risico's met zich meebrengt voor meerdere platforms en browsers. GhostHook v1.0 is compatibel met Windows, Android, Linux en macOS en werkt met browsers zoals Google Chrome, Mozilla Firefox, Opera en Microsoft Edge. De malware kan zich verspreiden via onschuldig ogende URL's die gedeeld worden via sociale media, forums, e-mails, sms-berichten, berichtenapps zoals WhatsApp en Telegram, en zelfs QR-codes. GhostHook opereert zonder dat er bestanddownloads nodig zijn, waardoor het ongemerkt systemen kan infiltreren. Het kan gebruikers naar elke gewenste website leiden, bestanden downloaden, integreren in bestaande websites of aangepaste HTML uploaden voor specifieke campagnes. Deze controle maakt GhostHook bijzonder gevaarlijk, aangezien het zich aan diverse kwaadaardige doeleinden kan aanpassen, van datadiefstal tot ransomware. Cybersecurity-experts en gebruikers moeten voorbereid zijn en de nodige voorzorgsmaatregelen treffen om zich tegen deze nieuwe vorm van malware te beschermen.

Hacker groep GLORIAMIST breekt in bij Sciences Po Parijs en eist losgeld

In een recente cyberaanval heeft de hackersgroep GLORIAMIST met succes ingebroken bij Sciences Po Parijs, een vooraanstaande Franse universiteit. De groep beweert toegang te hebben gekregen tot meerdere databases van de universiteit en eist een losgeld van $3.500 in Monero (XMR), een cryptocurrency die bekend staat om zijn privacy en ontraceerbaarheid. GLORIAMIST heeft een ultimatum gesteld aan Sciences Po Parijs: als er binnen 48 uur geen betaling of gunstige reactie komt, zullen zij de gestolen gegevens openbaar maken. Sciences Po, opgericht in 1872, is een toonaangevende instelling in de sociale wetenschappen en heeft door de jaren heen vele besluitvormers opgeleid in zowel de publieke als private sector.

Bianlian ransomware groep valt drie Amerikaanse bedrijven aan

De beruchte ransomware-groep BianLian heeft recentelijk drie Amerikaanse bedrijven aangevallen, zoals onthuld in hun laatste verklaring. Deze incidenten benadrukken de groeiende dreiging van ransomware-aanvallen die diverse sectoren treffen. De getroffen bedrijven zijn:

1. Nutec Group: Een vooraanstaande fabrikant van hoogtemperatuur isolatie- en brandbeveiligingsproducten, actief in sectoren zoals de auto-industrie, luchtvaart en petrochemie.
2. Critchfield & Johnston: Een advocatenkantoor gevestigd in Wooster, Ohio, dat uitgebreide juridische diensten aanbiedt, waaronder ondernemingsrecht, arbeidsrecht en vastgoed.
3. MAH Machine: Gespecialiseerd in machinediensten, biedt dit bedrijf een breed scala aan producten en oplossingen, waaronder prototyping en projectbeheer.

Deze aanvallen onderstrepen de ernstige gevolgen van cyberdreigingen voor bedrijven, waaronder risico’s voor databeveiliging, bedrijfsvoering en financiële stabiliteit. Organisaties wordt geadviseerd om hun cybersecuritymaatregelen te versterken, zoals regelmatige back-ups, netwerksegmentatie en investering in geavanceerde detectie- en reactietechnologieën. Snel handelen is cruciaal om de impact van ransomware-aanvallen te beperken en toekomstige bedreigingen te voorkomen.

Cyberaanval biedt ongeautoriseerde toegang tot groot Congolees mijnbedrijf

Onlangs is ontdekt dat ongeautoriseerde domeinbeheerder toegang tot een van de grootste mijnbedrijven in Congo te koop wordt aangeboden op het dark web. De verkoper vraagt minimaal $300 voor deze zeer bevoorrechte toegang. De toegang betreft Remote Desktop Protocol (RDP) met domeinbeheerrechten en omvat ongeveer 200 hosts in het domein, beveiligd door OfficeScan EDR. Dit mijnbedrijf heeft recent een investering van $75 miljoen veiliggesteld, wat duidt op een aanzienlijke omzet en de potentiële waarde van deze toegang. Ondanks de beperkte details nodigt de verkoper geïnteresseerde partijen uit om direct contact op te nemen voor verdere informatie.

Database medsecure te koop aangeboden voor $50.000

Op de dark web is de database van MedSecure, een gerenommeerd Australisch bedrijf voor medische voorschriften, te koop aangeboden voor $50.000. De datalek betreft een enorme hoeveelheid van 6,5 TB aan gevoelige informatie, met meer dan 50 miljoen rijen gegevens van burgers. De gestolen data omvat volledige namen, adressen, telefoonnummers, verzekeringsnummers, gedetailleerde informatie over medische voorschriften, gebruikersnamen en wachtwoorden voor de MedSecure-website, en gegevens van leveranciers en aannemers. Bovendien zijn ook de IP-adressen van websitebezoekers en e-mailadressen van gebruikers opgenomen. De hacker verkoopt de database aan slechts één koper, wat de privacy en veiligheid van miljoenen individuen ernstig in gevaar brengt en kritieke gezondheidsinformatie blootstelt aan mogelijk misbruik.

Baloo Stealer broncode te koop voor $1500

Op 23 mei 2024 kondigde een dreigingsactor de verkoop aan van de broncode van de geavanceerde malware Baloo Stealer voor $1500. Deze malware is een volledig ontwikkelde en zelfstandige stealer die nog niet breed is ingezet, maar klaar is voor gebruik of licentieverkoop.

Belangrijkste kenmerken van Baloo Stealer:

1. Geavanceerde encryptie: 256-bit encryptie voor veilige communicatie tussen database en client-server componenten.
2. Architectuurcomponenten: Een visueel paneel voor databeheer, een server voor queryverwerking, en de kernmalware voor datadiefstal.
3. Functionaliteiten: Het vastleggen van cookies, wachtwoorden, schermafbeeldingen, en desktopopnamen; het extraheren van diverse gegevens zoals DS Tokens, FTP-credentials, Steam-, Telegram-, en cryptocurrency-informatie.
4. Systeeminformatie: Verzamelt gegevens zoals serverinformatie, lokale data, tijdstempels, en systeemdetails zoals MAC-adres en processorinformatie.
5. Ondersteunde browsers: Richt zich op verschillende populaire browsers, waaronder Firefox, Chrome, Opera, en Edge.

Er is slechts één kopie van de broncode beschikbaar. De aankondiging onderstreept de geavanceerdheid en brede mogelijkheden van Baloo Stealer, wat zorgen oproept over de potentiële risico's van deze malware.

Catch news getroffen door datalek, gegevens van 2 miljoen gebruikers op straat

Op 23 mei 2024 werd Catch News, een prominente Engelstalige nieuwswebsite uit India, getroffen door een groot datalek. Hierbij zijn gevoelige gegevens van meer dan 2 miljoen gebruikers blootgelegd. De dataset, die te koop wordt aangeboden voor $1.400, bevat 41 GB aan persoonlijke en transactiegegevens, waaronder gebruikers-ID's, namen, e-mailadressen, stad-ID's, wachtwoorden, telefoonnummers, accountstatus, OTP-details en diverse metadata zoals aanmaak- en update-tijdstempels. Zowel versleutelde als platte tekst versies van wachtwoorden zijn inbegrepen, wat het risico op identiteitsdiefstal en ongeautoriseerde toegang vergroot. Daarnaast zijn ook gevoelige gegevens zoals geslacht, leeftijd en sessiebeheertokens gelekt, wat ernstige risico's met zich meebrengt voor de getroffen personen, waaronder identiteitsdiefstal en phishing-aanvallen.

🇧🇪 Belgisch Kamerlid Goedele Liekens maandenlang bespioneerd via malware

Open VLD-Kamerlid Goedele Liekens heeft onthuld dat ze maandenlang is bespioneerd via haar apparaten. De inbraak begon met een nepmail die leek te komen van Vlaams Belang-parlementslid Steven Creyelman, waarin malware was verborgen. Hierdoor kreeg een hacker toegang tot al haar bestanden, berichten en teksten op verschillende apparaten, inclusief haar laptop, iPad, telefoon en desktop. Liekens ontdekte de spionage toen ze geen toegang meer had tot haar Dropbox-account. ICT-specialisten hebben dagenlang gewerkt om de malware te verwijderen, waarbij zelfs de harde schijf van haar desktop moest worden vervangen. Liekens bekritiseerde de ICT-dienst van de Kamer, die volgens haar onvoldoende voorbereid was op cyberaanvallen. Ze benadrukte dat de Kamer meer aandacht moet besteden aan digitale beveiliging in plaats van ouderwetse praktijken zoals het inschenken van koffie tijdens commissievergaderingen. [radio1]

🇳🇱 Mogelijke datalek bij abn amro na cyberaanval op leverancier

Een cyberaanval op AddComm, een leverancier van ABN Amro, heeft mogelijk geleid tot het lekken van klantgegevens van de bank. Hoewel er momenteel geen aanwijzingen zijn dat onbevoegden daadwerkelijk gebruik hebben gemaakt van de gelekte gegevens, neemt ABN Amro de situatie serieus. De bank meldt dat haar eigen systemen niet getroffen zijn en heeft besloten voorlopig geen gebruik meer te maken van de diensten van AddComm. Klanten van wie de gegevens mogelijk zijn blootgesteld, zijn direct geïnformeerd. ABN Amro heeft ook cybersecurity-experts ingeschakeld en de situatie gerapporteerd aan de toezichthouders. Volgens AddComm vond de hack plaats tussen 5 en 17 mei, en is het nog onduidelijk welke gegevens precies zijn buitgemaakt. Het bedrijf benadrukt dat de toegang van cybercriminelen inmiddels is afgesloten. [bnr]

🇳🇱 Phishing-aanvallen raken klanten Bunq hard

Phishing-oplichters hebben klanten van de onlinebank Bunq zwaar getroffen, met financiële verliezen van vaak tienduizenden euro's per slachtoffer. Uit onderzoek van NOS en NRC blijkt dat in de afgelopen zeven maanden 28 klanten samen ruim 1,6 miljoen euro kwijtgeraakt zijn, gemiddeld bijna 60.000 euro per persoon. Sommige slachtoffers verloren meer dan 100.000 euro binnen enkele minuten. De oplichters misleiden slachtoffers via nagemaakte websites en persoonlijke telefoontjes, waarbij inloggegevens en gezichtsherkenning gescamd worden. Bunq wordt bekritiseerd voor het ontbreken van adequate beveiligingsmaatregelen die bij andere banken standaard zijn. De bank compenseert slachtoffers doorgaans niet, en klanten klagen over de gebrekkige hulp en de digitale afhandeling van fraudezaken. Hoewel Bunq stelt dat veiligheid prioriteit heeft en gebruikmaakt van geavanceerde technologieën, ervaren klanten dit anders. Deskundigen wijzen erop dat andere banken vergelijkbare fraudegevallen wel kunnen detecteren en voorkomen. [nos]

Hacker valt website van spyware-app aan en lekt database en broncode

Een hacker heeft de website van de spyware-applicatie pcTattletale gehackt en over een dozijn archieven met database- en broncodegegevens gelekt. Deze spyware, omschreven als software voor het monitoren van werknemers en kinderen, werd ook gevonden in de boekingssystemen van verschillende Wyndham-hotels in de Verenigde Staten. Vanwege een kwetsbaarheid in de API van pcTattletale lekte de spyware gevoelige informatie van hotelgasten en klanten. Beveiligingsonderzoeker Eric Daigle ontdekte de kwetsbaarheid, waarmee aanvallers recente schermafbeeldingen van geïnfecteerde apparaten konden verkrijgen. Ondanks pogingen van Daigle om de ontwikkelaars te waarschuwen, bleef de kwetsbaarheid onopgelost. Vervolgens hackte iemand de pcTattletale-website, gebruikte een Python-exploit om AWS-referenties te verkrijgen en lekte de gegevens. Microsoft heeft pcTattletale aangemerkt als een bedreiging die gevoelige informatie probeert te stelen door toetsaanslagen of schermbeelden op te nemen. De ontwikkelaars hebben nog niet gereageerd op vragen over de kwetsbaarheid. [ericdaigle, archive, techcrunch]

Datalek bij cencora blootlegt gegevens van amerikaanse patiënten van 8 farmaceutische bedrijven

In februari 2024 werd Cencora, voorheen bekend als AmerisourceBergen, getroffen door een cyberaanval waarbij persoonlijke gegevens werden buitgemaakt. Cencora is een farmaceutische dienstverlener die zich bezighoudt met medicijnendistributie en ondersteuning van klinische proeven. Het bedrijf heeft meer dan 46.000 medewerkers en opereert in 50 landen. De gegevens die werden buitgemaakt, omvatten volledige namen, adressen, gezondheidsdiagnoses, medicatie en voorschriften. Acht grote farmaceutische bedrijven, waaronder Novartis, Bayer en AbbVie, hebben melding gemaakt van datalekken als gevolg van deze aanval. De getroffen bedrijven hebben vergelijkbare datalekken notificaties uitgegeven en benadrukken dat er geen bewijs is dat de gestolen informatie openbaar is gemaakt of voor fraude is gebruikt. Cencora biedt de getroffen personen twee jaar gratis identiteitsbescherming en kredietbewaking aan via Experian. De interne onderzoeken van het bedrijf werden op 10 april 2024 afgerond. Verdere details over de aanval zijn niet vrijgegeven. [bleepingcomputer]

ShrinkLocker ransomware misbruikt BitLocker om systemen te vergrendelen

Een nieuwe ransomware-variant genaamd ShrinkLocker gebruikt Windows BitLocker om bedrijfsnetwerken te versleutelen. ShrinkLocker creëert een nieuwe opstartpartitie door bestaande niet-opstartpartities te verkleinen. Deze ransomware heeft zich gericht op overheidsinstanties en bedrijven in de vaccin- en productiesector. ShrinkLocker detecteert eerst de Windows-versie op de doelmachine. Voldoet deze aan de voorwaarden, dan verkleint de malware elke niet-opstartpartitie met 100MB en maakt nieuwe primaire volumes aan. Daarna installeert het de opstartbestanden op deze nieuwe partities en schakelt BitLocker-versleuteling in, zelfs op systemen zonder een TPM-chip. De malware verandert ook registerinstellingen om externe desktopverbindingen uit te schakelen en BitLocker zonder TPM mogelijk te maken. De aanvallers laten geen losgeldbrief achter, maar geven een e-mailadres als partitie-etiket, dat moeilijk te vinden is zonder herstelomgeving. Tot slot verwijdert ShrinkLocker alle BitLocker-beschermers, waardoor slachtoffers geen herstelopties hebben. Dit wijst erop dat de aanvallen mogelijk destructief bedoeld zijn in plaats van financieel gemotiveerd. Het is daarom essentieel voor bedrijven om hun herstelcodes veilig op te slaan en regelmatig offline back-ups te maken. [securelist]

🇳🇱 Nederlandse Groothandel Heras Slachtoffer van Medusa Cyberaanval

De Nederlandse groothandel Heras, actief in duurzame goederen, is op 21 mei 2024 het slachtoffer geworden van een cyberaanval door de criminele groepering Medusa. De cybercriminelen maakten de aanval op deze datum bekend op het darkweb. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen voor bedrijven in alle sectoren en de noodzaak voor adequate cyberbeveiligingsmaatregelen.

Bing kampt met wereldwijde storing, treft ook DuckDuckGo

Zoekmachine Bing heeft te maken met een wereldwijde storing waardoor de dienst niet bruikbaar is. Gebruikers die naar Bing.com gaan, krijgen een foutmelding te zien. Ook zoekmachines zoals DuckDuckGo en Qwant, die gebruikmaken van Bing-resultaten, hebben last van deze storing. De storing begon rond half 8 op donderdagochtend en de oorzaak en duur van de storing zijn onbekend. Gebruikers die via het Startmenu van Windows zoeken, krijgen soms nog wel resultaten te zien, maar vaak ook niet. DuckDuckGo's homepage werkt wel, maar geeft geen zoekresultaten weer. Bing heeft geen eigen statuspagina om updates over de storing te delen. Deze storing benadrukt de afhankelijkheid van andere zoekmachines van Bing voor hun zoekresultaten. [allestoringen]

🇳🇱 Ransomware-aanval treft AddComm en raakt waterschap HHNK

Het Nederlandse klantencommunicatiebedrijf AddComm is getroffen door een ransomwareaanval, waarbij de systemen van het bedrijf zijn versleuteld en data is gestolen. Deze aanval vond plaats tussen 5 en 17 mei. AddComm werkt samen met beveiligingsexperts om de gevolgen van de aanval te onderzoeken. Een van de klanten van AddComm, het waterschap Hoogheemraadschap Hollands Noorderkwartier (HHNK), is mogelijk indirect slachtoffer geworden. Het waterschap meldt dat het bedrijf zowel per post als digitaal aanslagen voor waterschapsbelasting verstuurde, waarbij mogelijk persoonsgegevens zoals namen, adressen en burgerservicenummers zijn buitgemaakt. HHNK heeft een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en wacht verdere details af. AddComm bereidt een aangifte bij de politie voor. De exacte omvang van de gestolen data en de verantwoordelijken voor de aanval zijn nog onbekend. [addcom, hhnk]

🇳🇱 Storing bij SNS, ASN en RegioBank opgelost

Op donderdag 23 mei 2024 was er een storing bij SNS Bank, ASN Bank en RegioBank, waardoor de websites en bankierenapps van deze banken slecht bereikbaar waren. De problemen begonnen iets na 9.00 uur en klanten konden daardoor niet inloggen op internetbankieren of de bankierenapp gebruiken. Dit zorgde voor ongemak, vooral omdat veel Nederlanders die dag hun salaris en vakantiegeld ontvingen. Om 14.15 uur meldde een woordvoerder van de Volksbank dat de storing was verholpen, waardoor klanten weer toegang kregen tot de diensten van de banken. [nu]

🇧🇪 Cyberaanval verstoort weerberichten van de RTBF

Sinds woensdagavond zijn de installaties van Dreamwall in Marcinelle onbeschikbaar door een cyberaanval. Hierdoor zijn de weerberichten van de RTBF en de lokale zenders verstoord. Donderdagmiddag moest presentatrice Caroline Dossogne vanuit het Centre Perex in Daussoulx de weerberichten presenteren, in plaats van de gebruikelijke studio in Marcinelle. De aanval, veroorzaakt door de ransomware Akira, heeft alle systemen geblokkeerd. Akira is een schadelijk programma dat gegevens eerst steelt en daarna versleutelt, waarna de aanvallers losgeld eisen voor het ontgrendelen van de bestanden. Hierdoor is het momenteel niet mogelijk om vanuit de virtuele studio's van Dreamwall weerberichten uit te zenden. Ook andere zenders zoals Télésambre in Charleroi en TV5MONDE hebben hinder ondervonden, waarbij sommige programma's niet of met afwijkende inhoud werden uitgezonden. [telepro]

🇧🇪 Cyberaanval treft deelmobiliteitsdiensten voor mensen met beperkingen

Sinds woensdag kampt Mpact, een aanbieder van verschillende deelmobiliteitsdiensten, met ernstige problemen door een cyberaanval. Hierdoor is ook de telefooncentrale van Cambio, het grootste autodeelbedrijf in België, onbereikbaar. Aanvankelijk leek het om een technische storing te gaan, maar het werd al snel duidelijk dat hackers de systemen hadden vergrendeld met ransomware. Deze gijzelsoftware blokkeert toegang tot gegevens tot er losgeld wordt betaald. Mpact heeft direct de politie ingeschakeld en maakt gebruik van een cyberverzekering voor een digitaal forensisch onderzoek. Meerdere diensten van Mpact, zoals Mobitwin, die mobiliteit biedt voor mensen met een beperking, ondervinden hinder. Hoewel er back-ups zijn ingezet, blijft de impact groot. Andere platforms zoals Olympus Mobility zijn niet getroffen. De federale politie onderzoekt de aanval en Mpact benadrukt de wrange situatie gezien hun inzet voor kwetsbare groepen. [destandaard]

🇳🇱 Datalek bij gemeente Eindhoven met 220.000 burgerservicenummers

De gemeente Eindhoven heeft vorig jaar een datalek gehad waarbij 220.000 burgerservicenummers (BSN's) toegankelijk waren voor ambtenaren. Dit bleek uit het recent openbaar gemaakte jaaroverzicht van de gemeente. Het datalek werd ontdekt door een ict-medewerker tijdens een steekproef. Twee bestanden met in totaal 221.511 BSN's waren voor ambtenaren toegankelijk. De gemeente heeft de betrokkenen niet geïnformeerd omdat het risico op identiteitsdiefstal of identiteitsfraude als laag werd ingeschat. De gemeente beschouwt het als een intern datalek, zonder toegang door buitenstaanders. Het incident is gemeld bij de Autoriteit Persoonsgegevens. In totaal had Eindhoven vorig jaar te maken met 266 datalekken van verschillende omvang. [ed]

Intercontinental Exchange schikt te laat melden van vpn-aanval voor 10 miljoen

Het Amerikaanse beursbedrijf Intercontinental Exchange (ICE) heeft een schikking getroffen van 10 miljoen dollar met de Amerikaanse Securities and Exchange Commission (SEC) vanwege het te laat melden van een cyberaanval. De aanval vond begin 2021 plaats en maakte gebruik van een onbekende kwetsbaarheid in de vpn-server van ICE. Aanvallers installeerden een webshell om gevoelige informatie, zoals inloggegevens en multifactorauthenticatiecodes van personeel, te stelen. Deze aanval trof negen dochterondernemingen van ICE, waaronder de New York Stock Exchange. De vertraging in de melding van vier dagen verhinderde deze dochterondernemingen om tijdig aan hun wettelijke meldingsplicht te voldoen. SEC-functionaris Gurbir Grewal benadrukte het belang van snelle meldingen bij cybersecurity-incidenten, vooral bij vitale marktpartijen, en wees op de ernst van de overtreding zoals weerspiegeld in de hoogte van de schikking.

Malware ontdekt in JAVS rechtbank software

Aanvallers hebben de installatiebestanden van de veelgebruikte Justice AV Solutions (JAVS) rechtbank video-opnamesoftware geïnfecteerd met malware, waardoor zij gecompromitteerde systemen kunnen overnemen. JAVS, dat wereldwijd meer dan 10.000 installaties heeft in rechtbanken, juridische kantoren, gevangenissen en overheidsinstellingen, heeft de besmette versie inmiddels van hun website verwijderd. Een audit wees uit dat het trojaanse ffmpeg.exe-bestand niet afkomstig was van JAVS of een derde partij gelieerd aan JAVS. Cyberbeveiligingsbedrijf Rapid7 ontdekte dat de aanvallers gebruikmaakten van de Rustdoor/GateDoor malware, die systeeminformatie naar een command-and-control (C2) server stuurt en vervolgens schadelijke PowerShell-scripts uitvoert om beveiligingsmechanismen te omzeilen en inloggegevens te verzamelen. Rapid7 adviseert getroffen gebruikers om alle systemen opnieuw te installeren en inloggegevens te resetten om verdere aanvallen te voorkomen. De besmette installatiebestanden werden in april voor het eerst opgemerkt door de S2W Talon threat intelligence groep. [rapid7]

Microsoft waarschuwt voor gift card dieven met cyber-espionage tactieken

Microsoft heeft een "Cyber Signals" rapport gepubliceerd waarin nieuwe informatie wordt gedeeld over de hackergroep Storm-0539 en een sterke toename van gift card diefstal rond de Memorial Day feestdag in de Verenigde Staten. De FBI had eerder gewaarschuwd voor de geavanceerde technieken van Storm-0539, die lijken op die van staatsgesponsorde hackers. Volgens Microsoft neemt de activiteit van deze groep toe voor belangrijke feestdagen, met een stijging van 60% tijdens de afgelopen kerstperiode en 30% tussen maart en mei 2024. Storm-0539 richt zich op organisaties die gift cards uitgeven en maakt misbruik van cloud service providers voor goedkope operaties. Deze groep, actief sinds 2021, staat bekend om hun verkenning en op maat gemaakte phishing berichten. Na toegang te hebben gekregen tot doelwitten, registreren ze hun eigen apparaten op de multi-factor authenticatie platforms van bedrijven en compromitteren vervolgens virtuele machines en andere omgevingen. Microsoft adviseert organisaties om voortdurend te monitoren op afwijkingen, beperkte toegang te handhaven, en FIDO2 beveiligingssleutels te gebruiken om hoog-risico accounts te beschermen. [rapporten]

🇧🇪 Ethisch hacker onthult datalek bij Belgische overheidsdiensten

Ethisch hacker Inti De Ceukelaire heeft ontdekt hoe verlopen domeinnamen van Belgische overheidsdiensten toegang gaven tot gevoelige informatie van inwoners. Door 107 oude domeinnamen te kopen, waaronder die van politiezones, ziekenhuizen en juridische instellingen, kon hij e-mails ontvangen die nog steeds naar deze domeinen werden gestuurd. Hierdoor verkreeg De Ceukelaire onder meer 'wachtwoordreset'-e-mails van populaire clouddiensten zoals Dropbox en Google Drive. In totaal identificeerde hij 848 e-mailadressen en ontving hij honderden berichten met vertrouwelijke informatie, zonder deze te lezen. De hacker adviseert instellingen om domeinnamen automatisch te verlengen of voor een langere periode te registreren om dergelijke datalekken te voorkomen. Hij is van plan de domeinnamen terug te geven aan de rechtmatige eigenaars. [inti, vrt]

Onbevoegde toegang aangeboden tot 3.256 computers in 10 bedrijven in het Midden-Oosten

In een recente cyberincident worden toegangsmogelijkheden tot 3.256 computers in tien bedrijven verspreid over verschillende landen in het Midden-Oosten te koop aangeboden. De getroffen landen omvatten Koeweit, de VAE en Oman, met betrokken bedrijven die jaaromzetten hebben variërend van 25 miljoen tot 2,8 miljard dollar. De bedreiger heeft geen vaste prijs voor deze verkoop vastgesteld, maar staat open voor onderhandelingen. Deze situatie vormt een aanzienlijke dreiging, aangezien kwaadwillende actoren hierdoor in staat zouden kunnen zijn om gevoelige gegevens te manipuleren, stelen of vernietigen binnen deze bedrijven.

Gegevenslek bij Saudisch winkelplatform Reefi.me

Op een forum op het darkweb wordt de persoonlijke data van ongeveer 140.557 klanten van het Saudische winkelplatform Reefi.me te koop aangeboden. De verkoper beweert een .csv-bestand te hebben met de nieuwste gegevens van 24 mei, en biedt dit aan voor $1.400. De transactie kan worden voltooid via cryptocurrency (XMR of BTC) en escrow-diensten. De gelekte data omvat een breed scala aan persoonlijke en transactiegegevens, waaronder klant-ID's, namen, winkel-ID's, telefoonnummers, e-mailadressen en geslacht. Daarnaast bevat het geografische gegevens zoals land en stad in zowel het Arabisch als Engels, evenals specifieke details zoals wijk- en straatnamen. Ook zijn klanttransacties blootgesteld, met informatie over de datum van registratie, orderstatussen (nieuw, in voorbereiding, klaar, in levering, geleverd, geannuleerd), het totale aantal gekochte artikelen en het totaalbedrag van het winkelmandje.

Databank van Gestion Kronos gelekt door Chucky: 1,6 miljoen records op straat

Een dreigingsactor met de naam Chucky heeft naar verluidt de database van Gestion Kronos gelekt, waardoor de veiligheid van gevoelige informatie in gevaar komt. Het vermeende lek vond plaats in 2024 en betreft een omvangrijke dataset van 1,6 miljoen rijen aan data. De gelekte gegevens zijn in .SQL-formaat en bevatten een breed scala aan gebruikersinformatie, waaronder persoonlijke gegevens, contactinformatie, werkgeschiedenis en financiële records. De dataset omvat velden zoals ID, inloggegevens, voor- en achternaam, geboortedatum, telefoonnummers, adressen, sociale verzekeringsnummers, e-mailadressen en wachtwoorden. Dit datalek roept grote zorgen op over de privacy en veiligheid van de betrokken individuen. Met de nu potentiële toegang van kwaadwillenden tot gevoelige persoonlijke en financiële gegevens, lopen de getroffen personen een verhoogd risico op identiteitsdiefstal, fraude en andere vormen van cybercriminaliteit. Deze incident benadrukt de noodzaak van robuuste databeveiligingsmaatregelen en proactieve dreigingsdetectiestrategieën om gevoelige informatie te beschermen tegen kwaadaardige actoren.

Groot ransomware-incident treft Australische gezondheidsgegevens

Australië is opnieuw getroffen door een groot ransomware-incident waarbij gezondheidsgegevens zijn gecompromitteerd. Aanvallers wisten toegang te krijgen tot een database van MediSecure, een nationale gezondheidsorganisatie die verantwoordelijk was voor het versturen van recepten van dokters naar apothekers. Het incident betreft persoonlijke informatie en beperkte gezondheidsinformatie met betrekking tot recepten, evenals persoonlijke gegevens van zorgverleners. Het is nog onbekend hoeveel mensen door het datalek zijn getroffen. Clare O'Neil, de Australische minister voor Cybersecurity, noemde het een 'grootschalig ransomware-incident'. De National Cyber Security Coordinator van Australië heeft een onderzoek ingesteld naar de aard en omvang van de gestolen data. Dit incident is een van de vele grote datalekken die Australië de afgelopen jaren heeft getroffen, waaronder de inbraken bij zorgverzekeraar Medibank en telecomprovider Optus. [au, medisecure]

Cyberaanval treft ESO-netwerk

Op vrijdag 17 mei werden verschillende netwerk- en communicatiediensten van de European Southern Observatory (ESO) uitgeschakeld om een belangrijke software-update door te voeren als reactie op een cyberbeveiligingsincident. Dit incident leidde tot beperkingen in communicatie om de cyberbeveiligingsrespons van ESO niet in gevaar te brengen. Vanaf dinsdag 21 mei zijn de e-maildiensten hersteld en is de website van ESO weer online. Andere diensten, zoals de ESO- en ALMA-wetenschappelijke archieven, zullen de komende dagen weer beschikbaar zijn. Het IT-team van ESO werkt samen met een cyberbeveiligingsconsultant om kwaadaardige software op alle systemen van ESO te detecteren en te verwijderen, en om de aanval en de gevolgen ervan te onderzoeken. Stakeholders worden direct geïnformeerd als blijkt dat zij zijn getroffen. De waarnemingen van ESO zijn niet beïnvloed omdat de observatoria grotendeels op afzonderlijke netwerken draaien. De bouw van de Extremely Large Telescope (ELT) blijft eveneens ongestoord doorgaan. [eso]

Crimineel biedt toegang tot Amerikaans bedrijf aan op hackersforum

Op een hackersforum wordt ongeautoriseerde toegang tot een groot Amerikaans bedrijf in zakelijke dienstverlening te koop aangeboden. Dit bedrijf, met een jaaromzet van $2,4 miljard, is nu doelwit van cybercriminelen. De aangeboden toegang omvat VPN-toegang en beheerdersrechten op domeinniveau, wat uitgebreide controle over het netwerk van het bedrijf mogelijk maakt. Deze mate van toegang vormt een aanzienlijk risico, omdat het kwaadwillenden in staat zou stellen gevoelige data te manipuleren, te stelen of te vernietigen. De prijs voor deze toegang is nog niet vastgesteld door de verkoper.

Database van Vasıtam.com gelekt door dreigingsactor

Een recente cyberaanval heeft geleid tot het uitlekken van de database van Vasıtam.com, een veelgebruikte Turkse autoverkoopwebsite. Op een populair hackingforum werd de database geüpload door een onbekende dreigingsactor. De gelekte gegevens bevatten gevoelige persoonlijke en financiële informatie, waaronder namen, e-mailadressen, telefoonnummers, identiteitsnummers en gedetailleerde verzekeringsinformatie. Deze inbreuk brengt aanzienlijke risico's met zich mee, zoals identiteitsdiefstal en financiële fraude, die ernstige gevolgen kunnen hebben voor zowel de getroffen individuen als bedrijven. Dit incident onderstreept de groeiende dreiging van cyberaanvallen gericht op persoonlijke en financiële gegevens. Getroffen gebruikers wordt geadviseerd hun accounts goed in de gaten te houden op verdachte activiteiten en de nodige voorzorgsmaatregelen te nemen om hun persoonlijke informatie te beschermen.

Reddish Eagle kondigt oprichting van Black Hat hackerskolonie aan

Op 21 mei 2024 heeft Reddish Eagle aangekondigd dat ze een nieuwe kolonie van Black Hat hackers hebben opgericht. Deze kolonie, die volgens hen de grootste ooit is, brengt hackers uit verschillende achtergronden samen onder één paraplu. De alliantie bestaat uit vijf teams, elk met hun eigen expertise en middelen, hoewel de exacte samenstelling en specialiteiten van deze teams nog niet bekend zijn gemaakt. Reddish Eagle beschrijft de alliantie als een belangrijke mijlpaal in de wereld van Black Hat hackers, met als doel het bundelen van talenten en middelen om hun impact op het cyberbeveiligingslandschap te vergroten. Hoewel de alliantie zich nog in de beginfase bevindt, belooft Reddish Eagle verdere ontwikkelingen in de nabije toekomst. Ze plannen de oprichting van een openbaar toegankelijke officiële communicatiekanaal en speciale groepen voor samenwerking binnen de hackersgemeenschap. De oprichting van deze alliantie roept zorgen op over de mogelijke escalatie van cyberdreigingen en aanvallen, wat aanzienlijke uitdagingen kan vormen voor cyberbeveiligingsprofessionals en organisaties wereldwijd.

Black basta ransomwaregroep kondigt zeven nieuwe slachtoffers aan

De Black Basta ransomwaregroep heeft zeven nieuwe slachtoffers aangekondigd, wat wijst op een verontrustende escalatie in hun aanvallen. De groep claimt gevoelige gegevens te hebben, zoals medewerkersinformatie, klantgegevens, financiële data en projectinformatie. Ze hebben de slachtoffers een ultimatum van zeven dagen gegeven om te reageren, anders zullen de gegevens openbaar worden gemaakt. Deze toename benadrukt de groeiende dreiging van ransomware, waarbij cybercriminelen zonder onderscheid bedrijven blijven aanvallen. De aangekondigde slachtoffers omvatten bedrijven uit verschillende sectoren, waaronder de landbouw, architectuur, juwelen en drukwerk, met gestolen data variërend van enkele honderden gigabytes tot meerdere terabytes. Deze ontwikkeling onderstreept de noodzaak voor bedrijven om hun cybersecuritymaatregelen te versterken om dergelijke aanvallen te voorkomen en te mitigeren.

GhostEngine-mijncampagne schakelt EDR-beveiliging uit met kwetsbare stuurprogramma's

Een kwaadaardige cryptominingcampagne, aangeduid als 'REF4578', verspreidt een schadelijke payload genaamd GhostEngine. Deze maakt gebruik van kwetsbare stuurprogramma's om beveiligingsproducten uit te schakelen en een XMRig-miner te installeren. Onderzoekers van Elastic Security Labs en Antiy hebben de verfijning van deze aanvallen benadrukt en detectieregels gedeeld om verdedigers te helpen. De aanvallen beginnen met de uitvoering van een bestand genaamd 'Tiworker.exe', dat zich voordoet als een legitiem Windows-bestand. Dit bestand downloadt een PowerShell-script, 'get.png', van een command and control-server, dat verschillende modules binnenhaalt, Windows Defender uitschakelt en logbestanden wist. Vervolgens worden geplande taken aangemaakt om persistentie te waarborgen en een uitvoerbaar bestand, 'smartscreen.exe', te downloaden, dat verantwoordelijk is voor het verwijderen van EDR-software en het starten van de XMRig-miner. GhostEngine gebruikt kwetsbare kernelstuurprogramma's, zoals aswArPots.sys en IObitUnlockers.sys, om EDR-processen te beëindigen en gerelateerde uitvoerbare bestanden te verwijderen. Voor verdediging tegen GhostEngine adviseren onderzoekers om te letten op verdachte PowerShell-activiteit, ongebruikelijke processen en netwerkverkeer dat wijst op cryptomining. [elastic, antiy]

Lockbit cyberaanval op london drugs: gegevens gestolen en dreiging van publicatie

De LockBit-ransomwaregroep heeft bevestigd dat zij verantwoordelijk zijn voor de cyberaanval in april op de Canadese apotheekketen London Drugs. Bij deze aanval werd beweerd dat gevoelige gegevens werden gestolen en nu dreigen zij deze online te publiceren na mislukte onderhandelingen. Op 28 april werd London Drugs gedwongen om al haar winkels in West-Canada te sluiten vanwege deze aanval. Ondanks grondige onderzoeken van externe cybersecurity-experts, beweert het bedrijf dat er geen bewijs is gevonden dat klant- of personeelsgegevens zijn aangetast. LockBit heeft echter de apotheekketen toegevoegd aan hun afpersingsportaal en eist een losgeld van 25 miljoen dollar, wat door London Drugs is geweigerd. Het bedrijf heeft alle huidige medewerkers gewaarschuwd en biedt hen twee jaar gratis kredietbewaking en identiteitsdiefstalbescherming aan. LockBit blijft actief ondanks eerdere acties van wetshandhavingsinstanties om hun infrastructuur neer te halen.

Datadiefstal bij Western Sydney University: studentengegevens blootgelegd

Western Sydney University (WSU) heeft studenten en medewerkers op de hoogte gebracht van een datalek waarbij kwaadwillenden toegang hebben gekregen tot de Microsoft 365 en SharePoint omgeving van de universiteit. De aanvallers wisten vanaf 17 mei 2023 ongemerkt binnen te dringen en e-mails en documenten te bemachtigen. Pas in januari 2024 werd het datalek ontdekt, waarna de IT-afdeling de toegang heeft geblokkeerd en een onderzoek is gestart in samenwerking met de NSW politie en cybersecurityspecialisten. Ongeveer 7.500 personen zijn getroffen door het incident, maar dit aantal kan nog oplopen. De universiteit benadrukt dat de kernactiviteiten, zoals lessen en onderzoek, niet zijn verstoord. Er zijn geen dreigementen ontvangen om de gestolen gegevens openbaar te maken en er is geen losgeld geëist. WSU heeft extra beveiligingsmaatregelen getroffen om herhaling te voorkomen en een gerechtelijk bevel gekregen om de verspreiding van gestolen data te voorkomen. Getroffenen kunnen ondersteuning krijgen via een speciaal telefoonnummer en nationale identiteits- en cyberondersteuningsdienst. [westermsydney, cyberincident]

🤔 VK introduceert meldplicht en vergunning voor ransomware-aanvallen

De Britse overheid stelt voor om alle organisaties die slachtoffer worden van ransomware te verplichten dit te melden. Daarnaast wordt voorgesteld dat organisaties die losgeld willen betalen, eerst een vergunning moeten aanvragen. Voor vitale organisaties wordt het betalen van losgeld geheel verboden. De voorstellen worden volgende maand in consultatie gebracht. Met deze meldplicht wil de overheid een beter inzicht krijgen in de omvang van ransomware-aanvallen. Het verbod op losgeldbetalingen door vitale organisaties is bedoeld om aanvallers te ontmoedigen deze partijen aan te vallen. Hoewel de details van de vergunningplicht nog onduidelijk zijn, is het doel om organisaties alternatieven voor losgeldbetalingen te bieden. Er zijn echter zorgen dat het vergunningsproces het herstel van aanvallen kan vertragen, wat de schade kan vergroten. Het National Cyber Security Centre en de Britse privacytoezichthouder ICO hebben eerder hun zorgen geuit over het niet melden van ransomware-aanvallen door slachtoffers. [therecord]

Amerikaanse toezichthouder waarschuwt voor gebrekkige cybersecurity bij drinkwatersystemen

De Amerikaanse milieutoezichthouder, EPA, heeft een dringende waarschuwing afgegeven over de cybersecurity van drinkwatersystemen in de Verenigde Staten. Een aanzienlijk aantal systemen voldoet niet aan de eisen van de Safe Drinking Water Act, en vertoont kritieke kwetsbaarheden zoals het gebruik van standaard wachtwoorden en het ontbreken van multifactorauthenticatie. Deze wet, die veilig drinkwater moet garanderen, werd eind 2013 aangevuld met vereisten voor risicobeoordelingen en noodresponsplannen. Uit recent onderzoek bleek echter dat meer dan zeventig procent van de drinkwaterbedrijven niet aan deze aanvulling voldoet. De EPA ontdekte dat sommige systemen kwetsbaar waren voor aanvallen, waarbij standaard wachtwoorden werden gebruikt. De toezichthouder heeft aangegeven meer inspecties te zullen uitvoeren en strenger te handhaven waar nodig. Tevens wordt bedrijven aangeraden hun systemen niet direct vanaf het internet toegankelijk te maken en regelmatig te controleren op kwetsbaarheden. [epa]

❗️ Kritieke kwetsbaarheid in Mirth Connect van NextGen HealthCare misbruikt

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Mirth Connect van NextGen HealthCare, een integratiesysteem voor zorginstellingen om medische gegevens uit te wisselen. De kwetsbaarheid (CVE-2023-43208) stelt ongeauthenticeerde aanvallers in staat om willekeurige code op de server uit te voeren. Dit beveiligingslek kan leiden tot initiële toegang of het compromitteren van gevoelige gezondheidsgegevens. Volgens analyses van Horizon3.ai waren meer dan twaalfhonderd Mirth Connect-systemen kwetsbaar en via internet toegankelijk. De kwetsbaarheid is inmiddels verholpen, maar de Amerikaanse overheid waarschuwt dat er nog steeds actief misbruik van wordt gemaakt. Zorginstellingen wordt geadviseerd om hun systemen te updaten naar de nieuwste versie van Mirth Connect om verdere aanvallen te voorkomen. [horizon3, cisa]

OmniVision onthult datalek na ransomware-aanval in 2023

De Californische fabrikant van beeldsensoren OmniVision heeft een datalek bekendgemaakt na een ransomware-aanval door de Cactus-groep in 2023. Dit bedrijf, een dochteronderneming van het Chinese Will Semiconductor, ontwikkelt sensoren voor onder andere smartphones, laptops en medische systemen. Tussen 4 september en 30 september 2023 werden hun systemen versleuteld door de aanval. Na ontdekking van het incident op 30 september, startte OmniVision een grondig onderzoek met hulp van externe cybersecurity-experts en werden de autoriteiten geïnformeerd. Het onderzoek, afgerond op 3 april 2024, bevestigde dat er persoonlijke gegevens waren gestolen. De Cactus-groep claimde de aanval en publiceerde voorbeelden van gestolen data, zoals paspoortscans en contracten. OmniVision biedt nu 24 maanden kredietbewaking en identiteitsherstel aan de getroffenen en heeft maatregelen genomen om de beveiliging te verbeteren en verdachte activiteiten sneller te detecteren. Geadviseerd wordt waakzaam te blijven tegen verdachte communicatie en regelmatig kredietrapporten en rekeningoverzichten te controleren. [omnivision pdf]

Nieuwe versie van BiBi Wiper vernietigt ook de partitietabel

Een nieuwe versie van de BiBi Wiper malware is nu in staat om de schijfpartitietabel te verwijderen, wat het herstel van data aanzienlijk bemoeilijkt en de uitvaltijd voor getroffen slachtoffers verlengt. Deze versie van BiBi Wiper wordt in verband gebracht met de Iraanse hackgroep 'Void Manticore' (Storm-842), die vermoedelijk gelieerd is aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). De activiteiten van deze malware zijn voor het eerst waargenomen in oktober 2023 door Security Joes en hebben geleid tot waarschuwingen van de Israëlische CERT voor grootschalige cyberaanvallen op kritieke organisaties. Recent onderzoek door Check Point onthult nieuwe varianten van BiBi Wiper en andere aangepaste wipers, zoals Cl Wiper en Partition Wiper. Void Manticore zou samenwerken met 'Scarred Manticore', waarbij Scarred Manticore de initiële toegang verkrijgt en Void Manticore zich richt op de uitvoering van de aanval. Deze nieuwe versies van BiBi Wiper zijn specifiek gericht op Israëlische systemen en verwijderen nu ook partitie-informatie, waardoor datherstel nog moeilijker wordt. [checkpoint]

🇳🇱🇧🇪 Marktplaats en 2dehands.be tijdelijk onbereikbaar door storing

Op maandagochtend rond 10.10 uur werden Marktplaats en 2dehands.be getroffen door een storing, waardoor beide websites onbereikbaar waren. Dit veroorzaakte meer dan 12.000 meldingen van problemen op een storingswebsite. Gebruikers konden geen toegang krijgen tot de website of app en ook de berichtenbox was niet toegankelijk, waardoor communicatie tussen kopers en verkopers onmogelijk werd. De storing duurde iets minder dan twee uur. Rond 12.00 uur waren beide platforms weer operationeel en nam het aantal meldingen van problemen drastisch af. De oorzaak van de storing is niet bekendgemaakt. Deze onderbreking vond plaats een dag na de viering van het 25-jarig jubileum van Marktplaats.

8Base Ransomware Groep Valp Drie Nieuwe Slachtoffers Aan

De 8Base ransomware groep heeft drie nieuwe slachtoffers aangekondigd op hun blog: LEMKEN, Embellir en Crooker. Deze groep heeft gedetailleerde informatie vrijgegeven over de recente datalekken, waarbij cruciale documenten van deze bedrijven zijn buitgemaakt. De gestolen gegevens omvatten onder andere facturen, financiële documenten, persoonlijke gegevens en vertrouwelijke bedrijfsinformatie. 8Base heeft een korte termijn van vier dagen gesteld voor de openbaarmaking van de data, wat de druk op de getroffen organisaties vergroot. LEMKEN, een internationaal fabrikant van landbouwmachines, Embellir, een specialist in stucwerk en schilderwerk, en Crooker Construction, een ervaren aannemer in grond- en wegenwerken in Maine, zijn nu blootgesteld aan mogelijke financiële en reputatieschade door deze cyberaanvallen.

Bedreiger beweert OpenSea-database te koop aan te bieden voor $30.000

Een bedreiger heeft aangekondigd een database te verkopen die naar verluidt afkomstig is van OpenSea, 's werelds grootste web3-marktplaats voor NFT's en cryptocollectibles. De database bevat naar verluidt ongeveer 300.000 regels met data en wordt aangeboden voor een vaste prijs van $30.000. De bedreiger staat ook open voor gedeeltelijke verkoop van de data, waarbij de prijs afhankelijk is van het aantal regels dat wordt gekocht. Om de veiligheid van de transactie te waarborgen, is de bedreiger bereid samen te werken met een garant. Als deze beweringen waar zijn, kan de verkoop van deze database aanzienlijke gevolgen hebben voor OpenSea en zijn gebruikers, waaronder het blootleggen van gevoelige informatie en het ondermijnen van het vertrouwen in de beveiligingsmaatregelen van het platform.

Brits ontwerpbureau Arup via deepfake voor 23,5 miljoen euro opgelicht

Het Britse ingenieurs- en ontwerpbureau Arup is slachtoffer geworden van een grootschalige oplichting waarbij deepfake-technologie werd gebruikt. Door middel van nepafbeeldingen en -stemmen werd een senior manager tijdens een videoconferentie nagebootst. De oplichter gaf zo opdracht tot verschillende financiële transacties, wat resulteerde in een verlies van omgerekend 23,5 miljoen euro. De oplichting vond eerder dit jaar plaats en werd aanvankelijk gerapporteerd als een diefstal van 200 miljoen Hongkong dollar bij een niet nader genoemde multinational. Arup heeft het incident bevestigd, maar geeft verder geen details omdat het onderzoek nog loopt. Dit incident benadrukt de toenemende risico's van deepfake-technologie en de noodzaak voor bedrijven om extra waakzaam te zijn. [ft, cnn]

Amerikaanse strafdatabank met 70 miljoen records gelekt

Een dreigingsactor, bekend als USDoD, heeft aangekondigd een grote datalek te hebben veroorzaakt waarbij een enorme databank met strafregisters van miljoenen Amerikanen is gelekt. De gelekte databank zou 70 miljoen records bevatten en is beschikbaar in CSV-formaat. Deze databank, die ongeveer 3 GB gecomprimeerd is en 22 GB uitgepakt, beslaat gegevens van 2020 tot 2024 en bevat onder andere namen, geboortedata, adressen en details van strafzaken. Het datalek wordt toegeschreven aan een entiteit genaamd SXUL. De implicaties van een dergelijke uitgebreide blootstelling zijn enorm en kunnen gevolgen hebben voor wetshandhaving, gerechtelijke procedures en de betrokken individuen. De gelekte informatie bevat een breed scala aan persoonlijke gegevens zoals volledige namen, geboortedatums, adressen, strafbeschrijvingen en veroordelingsdetails. Als deze lek bevestigd wordt, kan dit ernstige gevolgen hebben voor zowel privacy als veiligheid.

Exploit voor SonicWALL SSL-VPN te koop: Omzeilt 2FA en Toegang tot Gevoelige Gegevens

Een hacker biedt een exploit aan voor SonicWALL SSL-VPN systemen, waarmee ongeautoriseerde toegang tot gevoelige informatie verkregen kan worden. Voor $1000 belooft deze exploit de beveiliging met twee-factor authenticatie (2FA) te omzeilen en toegang te bieden tot records uit de RADIUS-database van SonicWALL. De beschikbare gegevens omvatten gebruikerscookies, inloggegevens, wachtwoorden, domeininformatie en details met betrekking tot Active Directory regels. Deze informatie kan een aanvaller in staat stellen volledige netwerken te compromitteren en kritieke data te stelen. Als extra stimulans biedt de verkoper bonussen zoals zoektermen voor IP-zoekopdrachten en een lijst met IP-adressen. Als de claims van de hacker waar zijn, vormt dit een aanzienlijke bedreiging voor organisaties die gebruik maken van SonicWALL SSL-VPN systemen.

Datalek bij Aziatische telecomreus ter waarde van $5 miljard

Op 18 mei 2024 is een dreigingsactor opgedoken die toegang aanbiedt tot een grote Aziatische telecomgigant met een jaarlijkse omzet van meer dan $5 miljard. Deze dreigingsactor beweert toegang te hebben tot verschillende kritieke systemen en gevoelige gegevens van het telecombedrijf. De aangeboden toegang omvat onder meer LAN-toegang tot meer dan 150 machines, een KI-decryptiebibliotheek, oproeplogs, databases met mogelijk gevoelige informatie, en de mogelijkheid om SIM-kaarten te klonen. Daarnaast omvat de aangeboden gegevens meer dan 250 GB aan data, met mogelijk nog meer te verkrijgen tijdens het verdere verloop van de inbreuk. De dreigingsactor accepteert escrow-diensten voor de transactie en vraagt een bedrag tussen de $150.000 en $10.000.000, afhankelijk van de onderhandelingsvoorwaarden en het gewenste toegangsniveau. De naam van de telecomprovider wordt pas onthuld bij een bewijs van fondsen van meer dan $150.000. Dit incident wordt beschouwd als een van de grootste en meest schadelijke datalekken tot nu toe.

Bedreigingsactor biedt france solar-database te koop aan: 42.000 gebruikersgegevens

Een bedreigingsactor heeft aangekondigd een database te koop aan te bieden die vermoedelijk persoonlijke informatie bevat van gebruikers van France Solar, een bekende Franse zonne-energiebedrijf. De database, die naar verluidt afkomstig is van de website france-solar.fr en dateert van 14 mei 2024, bevat gegevens van ongeveer 42.000 gebruikers en heeft een omvang van 200 MB. Belangrijke gegevensvelden zijn onder andere gebruikers-ID's, klant-ID's, persoonlijke details zoals namen, adressen, contactnummers, e-mails, geboortedata, nationaliteiten en meer. De bedreigingsactor biedt de gehele database aan voor $1.000, wat zorgen baart over mogelijke misbruik en schendingen van de privacy. Deze inbreuk benadrukt de voortdurende dreiging van cybercriminelen en het belang van robuuste cybersecuritymaatregelen om gevoelige gegevens te beschermen. Autoriteiten en getroffen individuen worden aangespoord om passende maatregelen te nemen om risico's te beperken en hun informatie te beschermen.

Killsec hackt laxmi capital en eist €10.000 losgeld

Het hackerscollectief KillSec heeft naar verluidt ingebroken bij Laxmi Capital, een vooraanstaand financieel instituut in Nepal. KillSec beweert toegang te hebben verkregen tot gevoelige gegevens van het bedrijf, waaronder broncodes, databases en SSL-certificaten. Ze eisen €10.000 losgeld voor de teruggave van de gestolen data. De groep heeft aangekondigd dat ze het backend-systeem van Laxmi Capital succesvol hebben geïnfiltreerd, waardoor cruciale data van het bedrijf is gecompromitteerd. KillSec heeft ook een link naar de website van Laxmi Capital gedeeld, wat zou aantonen dat de website is overgenomen als onderdeel van de aanval. Ze hebben echter geen verdere eisen of voorwaarden bekendgemaakt, behalve het losgeld. Dit incident benadrukt de voortdurende dreiging waarmee financiële instellingen te maken hebben en het cruciale belang van robuuste cybersecuritymaatregelen om gevoelige informatie te beschermen.

Cybercriminelen KillSec hacken Agrani Bank en eisen €5000 losgeld

Het beruchte cybercriminelen collectief KillSec heeft naar verluidt Agrani Bank PLC, een vooraanstaande staatsbank in Bangladesh, gehackt. Bij deze aanval zouden meer dan 12.000 vertrouwelijke bestanden van de e-mailserver van de bank zijn gestolen. Agrani Bank, opgericht in 1972 en gevestigd in de bruisende hoofdstad Dhaka, is een cruciale financiële instelling in het land. De diefstal van gevoelige informatie vormt een ernstige bedreiging voor de bedrijfsvoering van de bank en de veiligheid van klantgegevens. KillSec beweert gevoelige informatie in handen te hebben, wat de interne communicatie en klantdetails van de bank zou kunnen compromitteren. De groep eist een losgeld van €5000 om te voorkomen dat de gestolen gegevens openbaar worden gemaakt of misbruikt. Dit incident benadrukt de groeiende dreiging voor financiële instellingen wereldwijd en onderstreept de dringende noodzaak van verbeterde cybersecurity maatregelen om gevoelige informatie tegen kwaadwillenden te beschermen.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten