🇳🇱 🇬🇧

Overheid en Private Sector Slachtoffer van Cyberaanvallen

In week 22 van 2024 hebben diverse cyberaanvallen en datalekken wederom de kwetsbaarheid van onze digitale infrastructuren benadrukt. Recentelijk werd het Webex-programma, dat door de rijksoverheid wordt gebruikt voor videovergaderingen, gehackt. Deze kwetsbaarheid werd ontdekt door een Duitse journalist die daardoor toegang kreeg tot gegevens van diverse bewindslieden, waaronder ministers zoals Mark Harbers en Hugo de Jonge. Staatssecretaris Alexandra van Huffelen kondigde in een brief aan de Tweede Kamer een grondig onderzoek aan naar dit datalek. Dit incident onderstreept de risico's verbonden aan het gebruik van software van derden, vooral wanneer deze niet voldoen aan de hoogste beveiligingsstandaarden.

Het UWV was eveneens het slachtoffer van een hackaanval op een videoplatform dat werd gebruikt voor communicatie met cliënten in het buitenland. Gegevens van honderden personen, waaronder tolken en UWV-medewerkers, werden hierbij blootgesteld. Dit incident illustreert hoe belangrijk het is dat organisaties niet alleen op de beveiliging van hun eigen systemen letten, maar ook op die van externe dienstverleners. In de eerste drie maanden van 2024 meldde het UWV daarnaast tweehonderd datalekken bij de Autoriteit Persoonsgegevens (AP), grotendeels veroorzaakt door verkeerd geadresseerde post. Dit benadrukt dat niet alle datalekken voortkomen uit cyberaanvallen; menselijke fouten spelen ook een grote rol. Vergelijkbare problemen werden gemeld door de Sociale Verzekeringsbank (SVB), die in dezelfde periode 610 datalekken rapporteerde.

Gezondheidszorg en Gemeenten in de Vuurlinie

De gezondheidszorgsector blijft een zorgenkindje op het gebied van datalekken, met meer dan 47.000 incidenten in de afgelopen zes jaar. Dit vormt een derde van alle meldingen bij de AP sinds 2018. In 2022 was de zorgsector verantwoordelijk voor 41 procent van alle datalekken. De meeste van deze incidenten betroffen verkeerd verzonden brieven, wat aangeeft dat er dringend behoefte is aan verbeterde procedures en bewustwording onder medewerkers om de privacy van patiënten beter te beschermen.

Ook gemeentelijke websites kwamen onder de loep te liggen vanwege onvoldoende beveiliging. Uit onderzoek bleek dat slechts een deel van deze websites aan alle beveiligingseisen voldoet, wat een groot risico vormt voor de gegevens van burgers. Demissionair staatssecretaris Van Huffelen pleit voor strengere controle en verbeterde beveiligingsstandaarden om deze risico’s te mitigeren. Bol.com werd indirect getroffen door een ransomware-aanval op AddComm, hun klantencommunicatiebedrijf. Dit incident benadrukt hoe kwetsbaar ketens van bedrijven kunnen zijn voor cyberaanvallen en hoe belangrijk het is om de beveiliging van externe leveranciers te waarborgen. Bol.com heeft actie ondernomen door de samenwerking met AddComm tijdelijk stop te zetten totdat de beveiliging gegarandeerd kan worden.

Misbruik en Innovatieve Fraudepraktijken

Het misbruik van de namen van het NCSC en de Fraudehelpdesk door oplichters die zich voordeden als medewerkers, toont aan hoe creatief en doortrapt cybercriminelen kunnen zijn. Deze frauduleuze activiteiten onderstrepen de noodzaak voor burgers om altijd voorzichtig te zijn met onverwachte communicatie en om nooit persoonlijke of financiële informatie te delen zonder verificatie. Ook Heineken werd slachtoffer van een datalek, waarbij gevoelige informatie van duizenden werknemers werd blootgesteld. Dit incident roept vragen op over de beveiligingsmaatregelen die grote bedrijven moeten nemen om de gegevens van hun werknemers te beschermen tegen dergelijke inbreuken.

Een opvallende vorm van oplichting is de zogenaamde voorschotfraude via WhatsApp en sociale media, waarbij oplichters mensen benaderen met aanbiedingen voor eenvoudige baantjes. Dit jaar heeft deze fraude al voor meer schade gezorgd dan in heel 2023. Slachtoffers worden gelokt met kleine betalingen om vertrouwen te winnen en worden vervolgens gevraagd om een groter bedrag te betalen om hun vermeende verdiensten te ontvangen, wat natuurlijk nooit gebeurt. In België werd een cyberaanval uitgevoerd op verschillende mediakanalen, waaronder La Libre Belgique en DH-Les Sports. De uitgeverij IPM slaagde erin om de situatie snel onder controle te krijgen en de dienstverlening te herstellen, wat essentieel was in deze verkiezingsperiode. De aanval op de website van het Instituut voor Democratiepedagogiek (IDP) benadrukt opnieuw de noodzaak van sterke beveiligingsmaatregelen om dergelijke incidenten te voorkomen.

Belang van Cyberbeveiliging

Concluderend laten deze incidenten zien dat cyberbeveiliging een cruciale en voortdurende inspanning vereist van zowel overheidsinstanties als private bedrijven. Het is essentieel om niet alleen te investeren in technologische oplossingen, maar ook in het bewustzijn en de training van medewerkers om de risico's van menselijke fouten en opzettelijke aanvallen te minimaliseren. Organisaties moeten hun beveiligingsmaatregelen blijven evalueren en aanpassen aan het steeds veranderende dreigingslandschap om zichzelf en hun klanten te beschermen tegen de toenemende golf van cybercriminaliteit.

Met de juiste voorzorgsmaatregelen en een proactieve houding kunnen de risico's van cyberaanvallen worden geminimaliseerd, waardoor een veiliger digitale omgeving wordt gecreëerd voor iedereen.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Webex: Webex is een softwareprogramma voor videovergaderingen, ontwikkeld door Cisco. Het wordt gebruikt voor online vergaderingen, webinars en teamcollaboratie.

• Datalek: Een datalek is een beveiligingsincident waarbij gevoelige, beschermde of vertrouwelijke gegevens worden gekopieerd, verzonden, bekeken, gestolen of gebruikt door een individu die geen toestemming heeft om toegang tot deze gegevens te hebben.

• Autoriteit Persoonsgegevens (AP): De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder op de verwerking van persoonsgegevens. Zij ziet toe op de naleving van de privacywetgeving.

• Ransomware: Ransomware is een type malware dat de toegang tot het systeem van de gebruiker blokkeert of bestanden versleutelt. Vervolgens eisen de aanvallers losgeld van de gebruiker om de toegang te herstellen of de gegevens te ontsleutelen.

• Fraudehelpdesk: De Fraudehelpdesk is een Nederlandse organisatie die voorlichting geeft over fraude en oplichting en waar slachtoffers terecht kunnen voor advies en hulp.

• Voorschotfraude: Voorschotfraude is een vorm van oplichting waarbij het slachtoffer wordt overtuigd om een vooruitbetaling te doen voor een dienst of product dat nooit wordt geleverd.

• Social engineering: Social engineering is een techniek die door cybercriminelen wordt gebruikt om mensen te manipuleren en vertrouwelijke informatie te verkrijgen, bijvoorbeeld door zich voor te doen als een betrouwbare entiteit.

• Cybersecurity: Cybersecurity is het geheel van maatregelen en technologieën die worden ingezet om computers, netwerken, programma's en gegevens te beschermen tegen ongeoorloofde toegang, aanvallen of schade.

• Zero-day kwetsbaarheid: Een zero-day kwetsbaarheid is een beveiligingslek in software dat onbekend is bij de softwaremaker en waarvoor nog geen oplossing of patch beschikbaar is. Cybercriminelen kunnen deze kwetsbaarheid misbruiken voordat de softwaremaker het probleem kan verhelpen.

• Sociale Verzekeringsbank (SVB): De Sociale Verzekeringsbank is een Nederlandse overheidsorganisatie die verantwoordelijk is voor de uitvoering van nationale regelingen zoals de Algemene Ouderdomswet (AOW) en kinderbijslag.

• Staatssecretaris: Een staatssecretaris is een politicus die een specifieke verantwoordelijkheid heeft binnen een ministerie, vaak onder leiding van een minister. In dit geval wordt verwezen naar de staatssecretaris van Digitalisering.

• Credential stuffing: Credential stuffing is een cyberaanvalsmethode waarbij gestolen accountgegevens (zoals gebruikersnamen en wachtwoorden) worden gebruikt om in te loggen op meerdere websites. Deze methode maakt gebruik van de neiging van mensen om dezelfde inloggegevens voor meerdere accounts te gebruiken.

• SQL: Structured Query Language (SQL) is een programmeertaal die wordt gebruikt om gegevens in een relationele database te beheren en te manipuleren.

• TLS: Transport Layer Security (TLS) is een cryptografisch protocol dat veilige communicatie over een computernetwerk biedt. Het wordt vaak gebruikt om internetverbindingen te beveiligen.

• Patches: Patches zijn software-updates die door softwareontwikkelaars worden uitgebracht om beveiligingslekken te dichten, bugs te repareren of de functionaliteit van de software te verbeteren.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Ongeoorloofde toegang tot Frans IT-dienstverlener te koop aangeboden

Een cybercrimineel biedt ongeoorloofde domeinadministratortoegang tot een prominente Franse IT-dienstverlener en cloudoperator te koop aan. De verkoper beweert uitgebreide controle over het netwerk van het bedrijf te hebben verkregen en zoekt een eerlijke prijs voor deze hoge toegangsniveau. Het lek omvat naar verluidt toegang tot meer dan 50 terabyte aan data en 673 vermeldingen in de Remote Desktop Manager, waarvan sommige zijn verbonden met verschillende domeinen. Binnen het domein zijn 35 hosts aanwezig en het systeem is beveiligd met WithSecure Elements Agent, dat indien nodig kan worden uitgeschakeld. De toegang wordt verleend via Remote Desktop Protocol (RDP) met domeinadministratorrechten. De verkoper staat open voor onderhandelingen over de prijs voor deze ongeoorloofde toegang.

Italiaanse ziekenhuizen getroffen door grootschalige cyberaanval

De ziekenhuizen van Garbagnate, Bollate en Rho hebben medische ingrepen en procedures moeten uitstellen na een hackeraanval op de computersystemen van ASST Rhodense. De aanval begon in de nacht en heeft de systemen van het ziekenhuisnetwerk lamgelegd. Er is losgeld geëist, maar het is onduidelijk of het om dezelfde cybercriminelen gaat die vorige maand Synlab Italia aanvielen. De regio Lombardije heeft de regionale cyberbeveiligingstaskforce en de nationale cyberbeveiligingsautoriteit gealarmeerd, die een team heeft gestuurd om de instelling bij te staan met het herstel. De getroffen ziekenhuizen bedienen een gebied met 483.000 inwoners.

🇳🇱 Pas op voor nepvacatures en simpele baantjes via WhatsApp

Oplichters veroorzaken steeds meer financiële schade met zogenoemde voorschotfraude. Ze benaderen mensen via WhatsApp, Telegram of sociale media met aanbiedingen voor simpele baantjes, waarbij je geld zou kunnen verdienen door eenvoudige opdrachten uit te voeren. Dit jaar heeft dit al voor ruim 330.000 euro aan schade geleid, meer dan in heel 2023. De criminelen lokken slachtoffers met kleine betalingen om vertrouwen te winnen. Vervolgens krijgen ze een uitgebreidere opdracht waarvoor ze zogenaamd honderden euro's per dag kunnen verdienen. Maar om dat bedrag uitbetaald te krijgen, moet je eerst een voorschot betalen, bijvoorbeeld voor validatie van je gegevens. Het voorschot dat je betaalt, ben je kwijt en het vermeende verdiende bedrag zul je nooit ontvangen. De Fraudehelpdesk waarschuwt om niet in te gaan op dergelijke thuiswerkaanbiedingen via chatapps en sociale media, en nooit te betalen voor werk waarvoor jij juist betaald zou moeten worden. Airbnb benadrukt dat zulke praktijken niets met hen te maken hebben en dat ze actie ondernemen tegen misbruik van hun naam. [fraudehelpdesk]

Malafide Visual Studio Code-extensies met miljoenen installaties ontdekt

Een groep Israëlische onderzoekers heeft de veiligheid van de Visual Studio Code Marketplace onderzocht en slaagde erin meer dan 100 organisaties te "infecteren" door een kopie van het populaire 'Dracula Official'-thema te trojaniseren met riskante code. Verder onderzoek in de VSCode Marketplace bracht duizenden extensies met miljoenen installaties aan het licht. De onderzoekers creëerden een extensie die het 'Dracula Official'-thema nabootste, met meer dan 7 miljoen installaties. Deze nep-extensie verzamelde systeeminformatie zoals de hostnaam, het aantal geïnstalleerde extensies, domeinnaam en het besturingssysteem, en stuurde dit naar een externe server. Hoewel de code geen malware bevatte, ontglipte deze activiteit aan endpoint-beveiligingstools. De nep-extensie werd snel geïnstalleerd door meerdere grote organisaties, waaronder een beursgenoteerd bedrijf met een marktkapitalisatie van $483 miljard, beveiligingsbedrijven en een nationaal rechtssysteem. Na dit succesvolle experiment onderzochten de onderzoekers de gehele VSCode Marketplace en vonden duizenden risicovolle extensies met miljoenen installaties, waaronder extensies met bekende malware, hardcoded IP-adressen en onbekende uitvoerbare bestanden. Microsoft's gebrek aan controles en codereviews in de VSCode Marketplace stelt cybercriminelen in staat de markt op grote schaal te misbruiken, een probleem dat verergert naarmate de markt vaker wordt gebruikt. De onderzoekers hebben Microsoft op de hoogte gesteld, maar de meeste gevaarlijke extensies zijn nog steeds beschikbaar. [marketplace]

Datalek bij CoinGecko treft meer dan 23.000 gebruikers via phishing-e-mails

De cryptocurrency data aggregator CoinGecko heeft een datalek bij zijn externe e-mailplatform GetResponse bevestigd. Een aanvaller kon meer dan 1,9 miljoen contactgegevens van gebruikers ongeautoriseerd exporteren, waaronder namen, e-mailadressen, IP-adressen en metadata. Vervolgens verstuurde de aanvaller meer dan 23.000 phishing e-mails naar deze gebruikers vanaf een ander GetResponse account. Hoewel CoinGecko's primaire e-maildomein niet werd gecompromitteerd, vormden de phishing e-mails een aanzienlijk risico voor gebruikers. CoinGecko heeft gebruikers gewaarschuwd voor onbekende domeinen, links en bijlagen, en voorzichtigheid geboden bij token airdrops. De accounts en wachtwoorden van gebruikers bleven veilig. CoinGecko onderzoekt de inbreuk actief in samenwerking met GetResponse en verbetert de beveiligingsprotocollen. Getroffen gebruikers zijn rechtstreeks op de hoogte gesteld. Dit incident benadrukt de evoluerende tactieken van crypto-oplichters en de noodzaak van waakzaamheid bij het beschermen van persoonlijke gegevens. [bitcoinmagazine]

Vermeende verkoop van gevoelige data van State Grid Corporation of China (SGCC)

Een cybercrimineel claimt onlangs toegang te hebben gekregen tot een derdepartijsysteem van de State Grid Corporation of China (SGCC), de grootste nutsbedrijf ter wereld. De aanvaller beweert daarbij gevoelige informatie te hebben bemachtigd, waaronder bedrijfsaccounts, gebruikersgegevens, afdelingsdetails en rollen van duizenden werknemers. De gestolen data omvat onder meer eID's, gebruikersnamen, telefoonnummers, e-mailadressen, werknemernummers en wachtwoorden. De cybercrimineel biedt deze data te koop aan voor $1000, met gebruikmaking van een escrow-dienst. De informatie is verkrijgbaar in SQL- en XLSX-formaten. Deze vermeende datadiefstal bij een grootschalige nutsvoorziening benadrukt het belang van robuuste cyberbeveiligingsmaatregelen.

Ongeoorloofde toegang tot Egyptische universiteiten te koop

Een dreigende actor op een darkweb-forum biedt ongeautoriseerde webshelltoegang aan tot de websystemen van vier Egyptische universiteiten. Volgens de actor verleent elke webshell NT Authority- of www-data-toegang. Ze beweren dat bij elke webshell de credentials voor de SQL-server of een extra shell die verbinding maakt met de universiteitsdatabase worden geleverd. De actor wil dat kopers contact opnemen om meer details te verkrijgen, zoals bewijs, prijs en gedetailleerde informatie over de universiteiten. Er wordt een Telegram ID gedeeld om in contact te komen. Ook is er de mogelijkheid om een escrow-dienst te gebruiken om de transactie veilig te laten verlopen voor beide partijen.

Dreigende verkoop van geavanceerde Android exploit voor 5 miljoen dollar

Een cybercrimineel beweert een zeer geavanceerde zero-click exploit voor Android-apparaten te verkopen voor een bedrag van 5 miljoen dollar. Deze exploit stelt een aanvaller in staat om zonder enige gebruikersinteractie volledige controle over een Android-apparaat te krijgen via een MMS-payload. De verkoper benadrukt dat de exploit uiterst geavanceerd is en niet geschikt voor amateurs. Enkel serieuze gegadigden worden verzocht contact op te nemen via Telegram. Het forum-account van de verkoper is inmiddels permanent verbannen wegens het uitvoeren van transacties zonder gebruik te maken van een vertrouwde tussenpersoon, wat een standaardprocedure is in dergelijke ondergrondse zaken.

Datalek bij verzekeringsmaatschappij Qualitas Mexico

Een dreigende actor beweert een server van de Mexicaanse verzekeringsmaatschappij Qualitas te hebben gecompromitteerd. Volgens de actor zijn er uitgebreide databases, video's van managers en cruciale broncode buitgemaakt. De vermeende gelekte gegevens bevatten naar verluidt meer dan 300.000 klantenrecords met gevoelige informatie zoals namen, telefoonnummers, adressen en bedrijfsrelaties. De dreigende actor biedt deze gecompromitteerde data te koop aan voor $400. Het datalek roept grote zorgen op over de veiligheidsmaatregelen bij Qualitas Mexico en de mogelijke risico's voor de privacy en veiligheid van haar klanten. Het bedrijf heeft het lek nog niet bevestigd.

Diefstal van broncode bij The New York Times via lekke GitHub-token

In januari 2024 werd de broncode en interne data van The New York Times gestolen na een lek waarbij een GitHub-token beschikbaar kwam. De daders gebruikten deze token om toegang te krijgen tot de GitHub-repositories van de krant en downloadden zo'n 273 GB aan data, waaronder broncode, IT-documentatie en infrastructuurtools. De gestolen data, met daarin naar verluidt ook de code van het populaire woordspelletje Wordle, werd een paar maanden later gelekt op 4chan. Volgens The Times was er geen indicatie van ongeautoriseerde toegang tot de eigen systemen en had het lek geen impact op de bedrijfsvoering. Het datalek is het tweede grote lek bij een mediabedrijf deze week, na een eerdere hack bij Disney waarbij interne data over Club Penguin werd gestolen.

Christies waarschuwt klanten over gegevenslek door RansomHub

Het Britse veilinghuis Christie's waarschuwt individuen van wie de gegevens zijn gestolen door de ransomwaregroep RansomHub na een recente netwerkovertreding. Op 9 mei ontdekte Christie's dat sommige van hun systemen waren aangevallen, waarna ze maatregelen namen om hun netwerk te beveiligen en externe cyberbeveiligingsexperts inschakelden. De aanvallers kregen tussen 8 en 9 mei toegang tot en stalen klantgegevens. Na onderzoek heeft Christie's de getroffen personen op de hoogte gesteld. Het veilinghuis bevestigt dat het geen pogingen kent om de gestolen informatie te misbruiken, maar biedt getroffen mensen gratis identiteitsdiensten aan om fraude op te sporen. RansomHub claimt dat ze gegevens van minstens 500.000 Christie's-klanten hebben gestolen en deze hebben doorverkocht op hun eigen veilingplatform.

Frontier waarschuwt 750.000 klanten na datalek door ransomware-aanval

Frontier Communications, een Amerikaanse telecombedrijf, heeft 750.000 klanten gewaarschuwd dat hun persoonlijke gegevens zijn buitgemaakt na een cyberaanval in april 2024. De aanval werd opgeëist door de RansomHub-ransomwaregroep. Tijdens de aanval konden de hackers toegang krijgen tot de interne IT-systemen van Frontier, waar klantgegevens zoals namen, geboortedaten, adressen en sociale verzekeringsnummers waren opgeslagen. Frontier heeft de autoriteiten ingelicht en extra beveiligingsmaatregelen genomen. Getroffen klanten krijgen een jaar gratis identiteitsbewaking en -bescherming aangeboden. De RansomHub-groep dreigde eerder deze week met het lekken van 5 GB aan gestolen data van 2 miljoen klanten als er niet aan hun eisen wordt voldaan. Frontier adviseerde klanten voorzichtig te zijn met onbekende communicatie, wachtwoorden te resetten en bankafschriften in de gaten te houden. [maine]

Rubyminer malware richt zich op linux- en windows-servers

Onderzoekers hebben een nieuwe malware genaamd RubyMiner ontdekt, die cryptocurrency-mijnsoftware installeert op verouderde webservers. Deze aanvallen, die begonnen op 9-10 januari 2018, richten zich zowel op Linux- als Windows-servers. De aanvallers gebruiken een fingerprinting-tool genaamd p0f om kwetsbare servers te identificeren en maken gebruik van bekende exploits zoals CVE-2013-0156 en CVE-2012-1823 om toegang te krijgen. Op Linux-systemen verbergt RubyMiner kwaadaardige scripts in de robots.txt-bestanden van diverse domeinen en installeert vervolgens de XMRig Monero miner. Voor Windows-systemen zijn de details van de infectieroutine nog niet volledig bekend. De aanvallen zijn bijzonder omdat de gebruikte exploits verouderd zijn, wat suggereert dat de aanvallers zich richten op vergeten of verlaten systemen voor langdurige mijnactiviteiten. Tot nu toe zijn ongeveer 700 servers geïnfecteerd, wat de aanvallers naar schatting $540 heeft opgeleverd. Er is een algemene toename in malware die Monero mineert, waarbij RubyMiner slechts een van de vele recente voorbeelden is. [bleepingcomputer]

Nieuwe ransomware groep el dorado duikt op met gepubliceerde lijst van slachtoffers

Een nieuwe ransomware-groep, genaamd El Dorado, is naar voren gekomen en claimt verantwoordelijk te zijn voor een reeks cyberaanvallen op diverse organisaties. De groep heeft een lijst van hun vermeende slachtoffers gepubliceerd, met bedrijven en instellingen uit verschillende sectoren en landen. Deze lijst bevat onder andere Adams Homes (vastgoed in Florida), CelPlan (technologie in Virginia), en BUROTEC S.A. (diverse sectoren in de Republiek Congo). Andere getroffen organisaties zijn onder meer LINDOSTAR (schoonmaakdiensten in Italië), Thunderbird Country Club (hospitality in Rancho Mirage), en de stad Pensacola (gemeentelijke diensten in Florida). De omvang van de inbreuken en de specifieke gegevens die zijn aangetast, zijn nog onduidelijk. De opkomst van El Dorado voegt toe aan de groeiende lijst van ransomware-groepen die wereldwijd aanzienlijke risico's vormen voor bedrijven en openbare instellingen.

Gegevens VWholesaleTour te koop aangeboden door dreigingsactor

Een dreigingsactor beweert gegevens van VWholesaleTour, een online reisbureau, te verkopen. De aangeboden gegevens bevatten meer dan 196.000 logs en meer dan 2.800 gebruikersrecords. Deze gegevens omvatten persoonlijke informatie zoals namen, e-mailadressen, telefoonnummers en andere contactgegevens. VWholesaleTour, opgericht in 2003 en gevestigd in Orlando, Florida, biedt tours en reizen aan tegen groothandelsprijzen. De verkoop van deze gegevens benadrukt de aanzienlijke kwetsbaarheden in de cyberbeveiliging van het bedrijf, wat zorgen oproept over de bescherming van gebruikersinformatie. Dit incident is een herinnering aan de voortdurende risico's die cyberdreigingen vormen voor organisaties en hun klanten. De dreigingsactor vraagt $1.000 voor de gegevens.

Data-inbreuk bij HopSkipDrive: Gevoelige gegevens van chauffeurs gelekt

Een cybercrimineel heeft aangekondigd dat hij of zij verantwoordelijk is voor een grootschalige datalek bij het vervoersbedrijf HopSkipDrive. De aanval vond in juni 2023 plaats waarbij het netwerk en de cloud-infrastructuur van het bedrijf werd gecompromitteerd. Hierdoor kwamen gevoelige persoonsgegevens van ongeveer 60.000 chauffeurs op straat te liggen. De gelekte informatie omvat onder meer namen, e-mailadressen, sociale verzekeringsnummers, adresgegevens, rijbewijzen, verzekeringsdocumenten, voertuiginspecties en zelfs strafbladen. In totaal zou 500 gigabyte aan data openbaar zijn gemaakt. De dader claimt ook de broncode van HopSkipDrive inclusief het admin-paneel buit te hebben gemaakt. Dit ernstige datalek betekent een grote privacyschending voor de getroffen chauffeurs. Hun identiteitsgegevens en andere vertrouwelijke informatie liggen nu op straat, wat kan leiden tot identiteitsfraude en andere vormen van misbruik. HopSkipDrive onderzoekt nog de precieze omvang van de inbreuk.

Dreigende datalekken bij Indonesische telecombedrijf PT Nap Info Lintas Nusa

Een cybercrimineel heeft aangekondigd dat hij data heeft gestolen van het Indonesische telecombedrijf PT Nap Info Lintas Nusa in Jakarta. Het bedrijf, met een omzet van $6,2 miljoen, wordt geconfronteerd met een ernstige beveiligingsdreiging. De gehackte gegevens omvatten vermoedelijk inloggegevens, databasebestanden, SSL-VPN-logbestanden en -configuraties, systeemconfiguraties, API-informatie en meer. De hacker biedt de gestolen data te koop aan voor $1.300 in XMR-cryptovaluta. Daarnaast vraagt hij losgeld van $20.000 aan PT Nap Info Lintas Nusa om verspreiding van de data te voorkomen, anders dreigt hij de systemen onbruikbaar te maken. Als het bedrijf ingrijpt of probeert de situatie op te lossen, zal een failsafe-mechanisme extra schade aanrichten. Het bedrijf heeft 30 dagen om aan de losgeldeis te voldoen.

Gelekt Facebook-gebruikersdatabase brengt risico's met zich mee

Een dreigende actor claimt een database met gegevens van 100.000 Facebook-gebruikers uit 2024 te hebben gelekt. De vermeende database bevat volledige namen, profielen, e-mailadressen, telefoonnummers, registratiedatums en locaties. Deze leak vormt een aanzienlijk risico voor de getroffen gebruikers, zoals identiteitsdiefstal, phishingpogingen en social engineering-aanvallen. Gebruikers wordt aangeraden hun wachtwoorden te wijzigen, twee-factor-authenticatie in te schakelen en hun accounts te controleren op verdachte activiteiten. Met toegang tot de gelekte gegevens kunnen kwaadwillenden de persoonlijke informatie misbruiken voor gerichte phishingcampagnes, identiteitsdiefstal en andere aanvallen. Gebruikers wordt geadviseerd waakzaam te blijven en proactief maatregelen te nemen om hun accounts en persoonlijke gegevens te beveiligen.

🇧🇪 Cyberaanval treft Belgische media

Op woensdag 5 juni 2024 werden de kranten La Libre Belgique en DH-Les Sports, evenals de nieuwszender LN24, getroffen door een cyberaanval. De uitgeverij IPM, eigenaar van deze media, had de situatie onder controle en de websites en apps functioneerden normaal. De gedrukte kranten zouden de volgende dag in een vereenvoudigde vorm verschijnen, evenals de digitale editie. De distributie van de papieren kranten kon echter verstoord worden. IPM bevestigde vastbesloten te zijn haar informatietaak voort te zetten, zeker in deze verkiezingsperiode. Gespecialiseerde teams werkten eraan de dienstverlening aan lezers en adverteerders te verzekeren. Ondanks deze aanval bedankte de hoofdredacteur van La Libre, Dorian de Meeûs, de lezers voor hun steun. [lalibre]

Phishingmail maakt gebruik van malafide code in klembord

Onderzoekers hebben een nieuwe vorm van phishing ontdekt waarbij een bijlage in de phishingmail schadelijke code naar het klembord van de gebruiker kopieert. De ontvanger wordt gevraagd om een meegestuurde html-bijlage te openen. Deze bijlage bevat een PowerShell-commando dat automatisch de kwaadaardige code naar het klembord kopieert. Vervolgens krijgt het slachtoffer de instructie om de PowerShell-terminal te openen en de inhoud van het klembord (via ctrl-v) in te voeren en uit te voeren. Dit proces leidt tot het downloaden van een HTA-bestand dat de inhoud van het klembord wist en een nieuw PowerShell-commando uitvoert. Hierdoor wordt de uiteindelijke malware gedownload en uitgevoerd. Deze nieuwe methode benadrukt de voortdurende innovatie van cybercriminelen om slachtoffers te misleiden en hun systemen te compromitteren. Het is daarom belangrijk om voorzichtig te zijn met het openen van bijlagen en het opvolgen van onbekende instructies. [asec]

🇳🇱 Datalek bij UWV na inbraak op videoplatform

Het UWV is eerder dit jaar getroffen door een inbraak op een commercieel videoplatform waar de uitkeringsinstantie gebruik van maakte voor videogesprekken met cliënten in het buitenland. Bij de hackaanval zijn mogelijk de persoonsgegevens van honderden personen gelekt. In de logbestanden van het gehackte platform stonden namen, e-mailadressen en andere gegevens van 378 cliënten, tolken en UWV-medewerkers. Na ontdekking sloot de leverancier het videoplatform af en meldde een datalek bij de Autoriteit Persoonsgegevens. Vervolgens heeft het UWV zelf ook een melding gedaan en de gedupeerden per e-mail ingelicht over het datalek. Dit ernstige incident toont aan dat videoplatformen kwetsbaar kunnen zijn voor aanvallen, met mogelijk ernstige gevolgen voor de privacy van gebruikers.

🇳🇱 UWV meldt 200 datalekken dit jaar: vooral verkeerd geadresseerde post

In de eerste drie maanden van 2024 heeft de UWV tweehonderd datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het merendeel van deze datalekken is veroorzaakt door verkeerd geadresseerde post. Dit staat vermeld in de 'Stand van uitvoering sociale zekerheid juni 2024', die door demissionair minister Van Gennip van Sociale Zaken en Werkgelegenheid naar de Tweede Kamer is gestuurd. Volgens het rapport betroffen de datalekken meestal persoonsgegevens van slechts één persoon, waardoor de risico's beperkt bleven. Vaak ontvangt de UWV de verkeerd geadresseerde post ongeopend retour. De Sociale Verzekeringsbank (SVB) meldde in dezelfde periode 610 datalekken met beperkte impact, waarvan drie bij de AP. De SVB heeft geïnvesteerd in bewustwording onder medewerkers om signalen van datalekken beter te herkennen en te registreren, wat resulteerde in een hoger aantal gerapporteerde datalekken dan in voorgaande jaren.

Snowflake waarschuwt klanten over gestolen inloggegevens en belang van multifactorauthenticatie

Volgens technologiewebsite TechCrunch staan de inloggegevens van honderden klanten van Snowflake, een cloudplatform voor dataopslag, online. Criminelen zouden deze gegevens hebben gestolen met behulp van zogenoemde 'infostealing' malware. TechCrunch trof meer dan vijfhonderd gebruikersnamen en wachtwoorden aan, alsmede inlogpagina's van de bijbehorende Snowflake-omgevingen. Snowflake bevestigde dat accounts van klanten inderdaad waren gecompromitteerd, maar stelde dat dit mogelijk was omdat inloggegevens gestolen waren en er geen gebruik werd gemaakt van multifactorauthenticatie (MFA). Onder het gedeelde verantwoordelijkheidsmodel zijn klanten volgens Snowflake zelf verantwoordelijk voor het inschakelen van MFA. TechCrunch bekritiseerde Snowflake voor het niet verplichten van gebruikers om beveiligingsmaatregelen zoals MFA te activeren. Het incident onderstreept het belang van het gebruik van MFA om toegang tot gevoelige data en systemen beter te beveiligen. [techcrunch]

Datadiefstalaanklacht tegen Los Angeles Unified School District

Het Los Angeles Unified School District (LAUSD) onderzoekt de claims van een cybercrimineel die beweert databases met informatie van miljoenen leerlingen en duizenden leraren te hebben gestolen en te koop aan te bieden. De dader claimt meer dan 26 miljoen leerlingenrecords, 24.000 lerarenrecords en 500 personeelsrecords gestolen te hebben, met gevoelige gegevens zoals sociale zekerheidsnummers, adressen en geboortedatums. LAUSD, de op een na grootste scholengemeenschap in de VS, bevestigde de beweringen te onderzoeken. In september 2022 werd het district ook al getroffen door een ransomware-aanval van de Vice Society-groep, waarbij 500GB aan data werd gestolen. Het is nog onduidelijk of de huidige datahandel verband houdt met die eerdere aanval. Na die aanval kondigde LAUSD aan geen losgeld te betalen.

PandaBuy Betaalt Losgeld maar Wordt Opnieuw Afgeperst

PandaBuy, een Chinees online winkelplatform, heeft toegegeven eerder losgeld te hebben betaald aan een hacker om te voorkomen dat gestolen data zou worden gelekt. Desondanks werd het bedrijf deze week opnieuw afgeperst door dezelfde cybercrimineel. In maart 2024 lekte de hacker, met de bijnaam 'Sanggiero', 3 miljoen rijen aan klantendata van PandaBuy, waaronder namen, telefoonnummers, e-mailadressen en bestellingsgegevens. PandaBuy betaalde destijds een niet nader genoemd bedrag aan de hacker om verdere lekken te voorkomen. Deze week claimde Sanggiero echter de volledige database van PandaBuy te hebben gestolen, met naar verluidt 17 miljoen rijen aan data. Als bewijs deelde hij screenshots met gevoelige medewerkersinformatie. PandaBuy ontkent dat er nieuwe data is gestolen en stelt dat alle beveiligingslekken zijn gedicht. Het bedrijf zegt geen verdere samenwerking meer te zullen aangaan met de hacker, die de data mogelijk heeft doorverkocht na de eerste losgeldbetaling.

Hack-aanval tegen ASST Rhodense zet computersystemen plat (IT)

Een grootschalige hack-aanval heeft de computersystemen van de ASST Rhodense (gezondheidsdienst van de regio Rho) platgelegd. De aanvallers eisten losgeld, waardoor ziekenhuizen in Garbagnate, Bollate en Rho gedwongen werden om operaties en procedures uit te stellen. De regio Lombardije heeft het Nationaal Agentschap voor Cyberveiligheid ingeschakeld, dat een team heeft gestuurd om bij het herstellen van de systemen te helpen. De aanval begon afgelopen nacht en treft vooralsnog alleen de ASST Rhodense, een regio met 483.000 inwoners. De regio heeft een speciale cyberbeveiligingstaakgroep geactiveerd en de regionale ICT-dienstverlener Aria betrokken bij de aanpak. Het is nog onduidelijk of dezelfde cybercriminelen verantwoordelijk zijn als bij de aanval op medisch laboratorium Synlab eind mei. [rainews]

Chinese hackers misbruiken ThinkPHP-kwetsbaarheden uit 2018 om 'Dama'-webshells te installeren

Chinese cybercriminelen richten zich op ThinkPHP-toepassingen die kwetsbaar zijn voor CVE-2018-20062 en CVE-2019-9082 om een persistente webshell genaamd Dama te installeren. Deze webshell stelt hen in staat verdere exploits op de geïnfecteerde systemen uit te voeren, zoals het inzetten van deze systemen als onderdeel van hun infrastructuur om detectie te ontwijken. De aanval, die sinds oktober 2023 is waargenomen, maakt gebruik van zes jaar oude kwetsbaarheden in ThinkPHP. Door deze bugs kunnen aanvallers de Dama-webshell downloaden, die geavanceerde mogelijkheden biedt zoals het navigeren door het bestandssysteem, het uploaden van bestanden, en netwerkpoortscans uitvoeren. De aanbevolen maatregel voor getroffen organisaties is om te upgraden naar de nieuwste versie van ThinkPHP, die beveiligd is tegen bekende kwetsbaarheden voor remote code execution. [akamai]

Hackers misbruiken SyncThing voor datadiefstal

Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft een nieuwe cyberaanvalscampagne geïdentificeerd, genaamd "SickSync". Deze aanval is uitgevoerd door de hackersgroep UAC-0020 (Vermin), die gelinkt is aan de regio Luhansk en vaak Russische belangen dient. De aanval richt zich op het stelen van gevoelige informatie van Oekraïense militaire organisaties.De aanval begint met een phishingmail die een wachtwoordbeschermd archief bevat. Bij het openen van dit bestand worden een PDF, een installer en een script uitgevoerd, waardoor het legitieme bestandsynchronisatieprogramma SyncThing wordt gestart, samen met de SPECTR-malware. SyncThing wordt gebruikt om een peer-to-peer verbinding op te zetten voor datadiefstal. De SPECTR-malware heeft verschillende functies, waaronder het maken van schermafbeeldingen, het kopiëren van bestanden en het stelen van authenticatiegegevens van browsers en berichtenapps. De gestolen gegevens worden gesynchroniseerd met de systemen van de aanvallers. CERT-UA waarschuwt dat elke interactie met SyncThing's infrastructuur voldoende reden is om een systeem als gecompromitteerd te beschouwen en een grondig onderzoek te starten. [cert.gov.ua]

Fog ransomware richt zich op de Amerikaanse onderwijssector via gehackte VPN's

In mei 2024 is een nieuwe ransomware-operatie genaamd 'Fog' van start gegaan. Deze ransomware maakt gebruik van gecompromitteerde VPN-gegevens om netwerken van onderwijsinstellingen in de Verenigde Staten binnen te dringen. Volgens Arctic Wolf Labs hebben de aanvallers VPN-gegevens van minstens twee verschillende VPN-leveranciers gebruikt om toegang te krijgen tot de doelwitten. Eenmaal binnen in het netwerk voeren de aanvallers "pass-the-hash"-aanvallen uit op beheerdersaccounts om RDP-verbindingen met Windows-servers op te zetten. Ze gebruiken ook credential stuffing om waardevolle accounts over te nemen en PsExec om meerdere hosts te infecteren. De ransomware schakelt Windows Defender uit voordat de versleuteling begint, en versleutelt vervolgens VMDK-bestanden in virtuele machines en verwijdert back-ups om herstel te voorkomen. Bestanden die door Fog zijn versleuteld krijgen de extensie '.FOG' of '.FLOCKED'. De ransomware plaatst een losgeldbrief met instructies voor het betalen van een losgeld om de bestanden terug te krijgen. Het is nog onduidelijk of Fog opereert als een open ransomware-as-a-service of door een kleine groep cybercriminelen wordt beheerd. [arcticwolf]

Nieuwe aanvallen op github-repositories door gitloker

In recente aanvallen hebben cybercriminelen, opererend onder de naam "Gitloker," zich gericht op GitHub-repositories. Deze aanvallen zijn voor het eerst waargenomen door Germán Fernández van het Chileense cybersecuritybedrijf CronUp. De aanvallers compromitteren GitHub-accounts met gestolen inloggegevens, wissen de inhoud van de repositories en laten een bericht achter waarin slachtoffers wordt gevraagd contact op te nemen via Telegram. De aanvallers beweren een back-up van de gegevens te hebben gemaakt en bieden aan deze te herstellen tegen betaling. Om dergelijke aanvallen te voorkomen, wordt gebruikers geadviseerd om hun wachtwoorden te wijzigen, twee-factor-authenticatie in te schakelen, en ongeautoriseerde toegang tot SSH-sleutels en integraties te herzien en in te trekken. Ook is het belangrijk om accountbeveiligingslogboeken te controleren en de toegang van nieuwe gebruikers en teamleden te beheren. Eerdere soortgelijke aanvallen benadrukken het belang van proactieve beveiligingsmaatregelen om gegevensdiefstal en accountcompromittering te voorkomen. [github, docs.github]

Club penguin fans hacken disney server en stelen 2,5 GB aan gegevens

Club Penguin-fans hebben ingebroken op een Disney Confluence-server en 2,5 GB aan interne bedrijfsgegevens gestolen. Het oorspronkelijke doel was informatie over hun favoriete spel, Club Penguin, te verkrijgen. De gestolen data bevatte echter niet alleen oude Club Penguin-gegevens, maar ook actuele bedrijfsstrategieën, advertentieplannen, interne ontwikkeltools en bedrijfsprojecten van Disney. De hack werd uitgevoerd met behulp van eerder blootgestelde inloggegevens. Op 4Chan verscheen een link naar een archief met interne Club Penguin PDF's, wat slechts een klein deel bleek te zijn van de grotere dataset. Naast oudere Club Penguin-data bevatte het ook recentere informatie uit 2024 over interne Disney-projecten. Ondanks meerdere pogingen van BleepingComputer om Disney te bereiken voor een reactie, heeft het bedrijf nog niet gereageerd.

Samenwerkende Chinese hackergroepen richten zich op cyberespionagecampagne

Sinds maart 2023 richten door de staat gesponsorde Chinese actoren zich op een overheidsinstantie in een cyberespionagecampagne die onderzoekers 'Crimson Palace' noemen. Onderzoek door het cybersecuritybedrijf Sophos wijst op een gecoördineerde aanval, waarbij nieuwe malwarevarianten en drie verschillende activiteitclusters werden gebruikt. Deze clusters, verbonden met bekende Chinese dreigingsgroepen zoals 'BackdoorDiplomacy' en 'APT41,' voerden gecoördineerde operaties uit. Cluster Alpha richtte zich op het verstoren van netwerken en het uitvoeren van verkenningen, terwijl Cluster Bravo zich concentreerde op laterale bewegingen en volharding. Cluster Charlie was gericht op blijvend toegangsbeheer en uitgebreide verkenning. Deze activiteiten vonden plaats tijdens reguliere Chinese werkuren, wat duidt op een hoge mate van coördinatie. Ondanks de moeite van Sophos om de dreigingsactoren te blokkeren, blijft de monitoring van hun activiteiten doorgaan. [sophos]

Ransomware-aanval op ziekenhuizen in Londen gelinkt aan Qilin-groep

Een ransomware-aanval op Synnovis, een leverancier van pathologiediensten, heeft verschillende grote NHS-ziekenhuizen in Londen getroffen. De aanval, die plaatsvond op maandag 3 juni 2024, is nu gelinkt aan de Qilin ransomware-groep. Dit incident heeft geleid tot aanzienlijke verstoringen bij Guy's and St Thomas' NHS Foundation Trust, King's College Hospital NHS Foundation Trust en andere zorgverleners in zuidoost Londen. Synnovis is buitengesloten van zijn systemen, wat een grote impact heeft gehad op de procedures en operaties van de getroffen ziekenhuizen. Het gaat vermoedelijk om een Russische cybercriminele groep, die voornamelijk uit is op geld. Hoewel urgente en spoedeisende diensten normaal functioneren, zijn sommige niet-dringende pathologieafspraken, bloedtransfusies en operaties uitgesteld of geannuleerd. De NHS onderzoekt momenteel de volledige omvang van de aanval en de impact op patiënt- en werknemersgegevens. De Qilin-groep, actief sinds augustus 2022, gebruikt geavanceerde methoden zoals dubbele afpersing door gegevens te stelen en systemen te versleutelen. [anoniem, darkweb]

🇳🇱 Rijksoverheid gehackt via kwetsbaar Webex-programma, kabinet belooft onderzoek

Webex, het softwareprogramma voor videovergaderingen dat door de rijksoverheid wordt gebruikt, is recentelijk gehackt. Dit werd onthuld door een onderzoek van een Duitse journalist. Het lek stelde de journalist in staat om gegevens van verschillende bewindslieden te achterhalen, waaronder die van ministers als Mark Harbers, Conny Helder, Hugo de Jonge, Franc Weerwind, Dilan Yeşilgöz en staatssecretaris Alexandra van Huffelen. Van Huffelen kondigde in een brief aan de Tweede Kamer aan dat er een grondig onderzoek zal komen naar het datalek. Ze benadrukte het onacceptabele karakter van de situatie en het feit dat de kwetsbaarheid via de media in plaats van via de leverancier aan het licht kwam. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties zal het incident onderzoeken om herhaling te voorkomen. De kwetsbaarheid van Webex werd eerder al opgemerkt in verband met een lek van een vergadering van Duitse officieren.

Datadiefstal bij Advance Auto Parts: 3TB aan Gegevens te Koop

Een dreigingsactor beweert een omvangrijke database van Advance Auto Parts (AAP) te koop aan te bieden. Deze gegevens, afkomstig uit het Snowflake datawarehouse van AAP, omvatten een enorme hoeveelheid gevoelige informatie en beslaan 3 terabyte. De gegevens bevatten onder andere 380 miljoen klantprofielen met namen, e-mails, telefoonnummers en adressen, 140 miljoen klantbestellingen, 44 miljoen loyaliteits- en tankkaartnummers, en 358.000 personeelsdossiers. Daarnaast zijn er gedetailleerde informatie over auto-onderdelen, verkoopgeschiedenis en sollicitantengegevens, waaronder sociale zekerheidsnummers en rijbewijsnummers. De dreigingsactor vraagt 1,5 miljoen dollar voor de database en eist dat de transactie via een tussenpersoon verloopt. Als deze claims waar blijken te zijn, kan dit ernstige gevolgen hebben voor AAP, zoals juridische problemen en verlies van klantvertrouwen.

Toegang tot cloudopslag van amerikaans bedrijf te koop aangeboden

Een cybercrimineel biedt toegang aan tot de cloudopslag van een Amerikaanse zakelijke dienstverlener. Deze cloudopslag bevat gevoelige bestanden en gegevens die sinds 2014 zijn verzameld, waaronder interacties en data van grote wereldwijde bedrijven zoals Red Bull en PepsiCo. De prijs voor deze ongeautoriseerde toegang is $2.500, maar de verkoper staat open voor onderhandeling. Deze gebeurtenis benadrukt de voortdurende dreiging van gegevensdiefstal en de verkoop van gestolen informatie op het dark web. Dit incident is een van de vele recente voorbeelden van cyberaanvallen waarbij toegang tot waardevolle bedrijfsgegevens wordt verkocht aan de hoogste bieder, wat aanzienlijke risico's voor de betrokken organisaties met zich meebrengt.

Daixinteam claimt datalek bij gemeente dubai

De DaixinTeam datalekgroep heeft recentelijk een grote datalek bij de gemeente Dubai aangekondigd. De groep beweert gevoelige gegevens van de gemeente te hebben buitgemaakt en dreigt deze openbaar te maken. De gestolen gegevens omvatten onder andere bedrijfsregistraties, inspectiegegevens, hotelinformatie, klantendatabase, SAP-betalingsgegevens, landafdelingsdata, HR-medewerkersgegevens en contactgegevens van bedrijven. In totaal zijn er miljoenen records gestolen, waaronder persoonlijke identificeerbare informatie zoals ID-kaarten en paspoorten. De omvang en ernst van de gelekte informatie zijn aanzienlijk, met naar verluidt 60 tot 80 GB aan gescande documenten en PDF-bestanden. De gemeente Dubai staat nu voor een ernstige bedreiging van databeveiliging en privacy.

Ongeautoriseerde toegang tot Aziatische telecombedrijf te koop

Een cybercrimineel, bekend onder de alias "kiberphant0m", heeft de verkoop aangekondigd van volledige roottoegang en beheerdersinloggegevens van een groot telecommunicatiebedrijf in Thailand, genaamd Asian Telecom. De inbreuk omvat meer dan 900 GB aan data, wat dit een van de meest significante datalekken in de regio maakt. De aangeboden gegevens omvatten beheerdersinlogdetails, waarmee onbeperkte toegang tot de systemen en data van het telecombedrijf mogelijk is. De cybercrimineel biedt deze ongeautoriseerde toegang aan voor $2.000. Deze gebeurtenis onderstreept de groeiende dreiging van cyberaanvallen en de verkoop van gevoelige gegevens op het darkweb.

Databank van werknemers van Railway Assets Corporation gelekt door cybercrimineel

Een cybercrimineel claimt de databank van de Railway Assets Corporation (RAC) te hebben gelekt, een belangrijke federale organisatie onder het Maleisische Ministerie van Transport. RAC, opgericht in 1992, beheert en ontwikkelt de spoorwegbezittingen van het land. De gelekte gegevens bevatten uitgebreide persoonlijke en professionele informatie van werknemers, zoals namen, e-mails, geboortedata, functies, salarisinformatie, bankgegevens en noodcontacten. Deze datalek vormt een ernstig risico voor de privacy en veiligheid van de betrokken werknemers en onderstreept de noodzaak voor sterke cybersecuritymaatregelen binnen overheidsinstanties.

Data-inbreuk bij pezeshha: gegevens van miljoenen gebruikers te koop aangeboden

In een recente cyberaanval beweert een hacker de systemen van Pezesha, een vooraanstaand Keniaans financieel platform, te hebben gehackt en gevoelige gebruikersdata te hebben bemachtigd. Pezesha, dat kleine en middelgrote ondernemingen helpt met werkkapitaal, is nu geconfronteerd met een mogelijke data-beveiligingscrisis. De aanval zou op 31 januari 2024 hebben plaatsgevonden en resulteerde in de blootstelling van verschillende databases met gevoelige gebruikersinformatie. Volgens de hacker bevat de gestolen data onder andere 1.122.000 unieke nationale ID-nummers, 328.000 telefoonnummers, 4.535 foto-ID's, SMS-berichten, documenten, persoonlijke gegevens en leningaanvragen. De volledige dataset wordt voor $300 te koop aangeboden, met een eenmalige verkoopvoorwaarden.

Databreach bij Tech in Asia: 230.000 gebruikersgegevens gelekt

Een hacker, bekend onder de naam Sanggiero, beweert de database van Tech in Asia te hebben gehackt en gelekt. De gelekte gegevens omvatten ongeveer 230.000 records met gebruikers-ID's, e-mailadressen, rollen, voor- en achternamen, weergavenamen, registratiedata, avatar-URL's en auteur-URL's. Volgens Sanggiero vond de hack plaats in juni 2024, waarbij kritieke kwetsbaarheden in de API van het platform werden uitgebuit. Daarnaast werden andere bugs ontdekt die toegang gaven tot interne diensten van de website. Hoewel de exacte aard van deze kwetsbaarheden niet nader is gespecificeerd, worden gebruikers van Tech in Asia geadviseerd om waakzaam te blijven, hun wachtwoorden te wijzigen en hun accounts te monitoren op verdachte activiteiten. De volledige impact van de datalek en de mogelijke gevolgen voor de gebruikers en het platform zelf moeten nog worden vastgesteld.

Dreigingsactor biedt Pandabuy-database met 17 miljoen gebruikersgegevens te koop aan

Een dreigingsactor, bekend als Sanggiero, beweert de volledige database van Pandabuy, een vooraanstaande online marktplaats, in handen te hebben. De gecompromitteerde database bevat 17 miljoen gebruikersgegevens, waaronder namen, gebruikers-ID's, e-mailadressen, bestelinformatie, IP-adressen, landen, wachtwoorden en meer. Sanggiero heeft aangegeven dat de kwetsbaarheden die zijn gebruikt om de beveiliging van Pandabuy te doorbreken, binnenkort openbaar worden gemaakt op hun blog. Bovendien dreigt Sanggiero om de namen en wachtwoorden van Pandabuy-medewerkers te onthullen, gecodeerd in base-64. Er is een vraagprijs van $40,000 voor de gegevens gesteld, en er is gewaarschuwd dat de tijd dringt voor onderhandelingen.

🇧🇪 Hackerincident op website IDP (B)

Het Instituut voor Democratiepedagogiek (IDP) werd vorige maand het doelwit van een hackerincident. Dit werd dinsdag door het instituut en de netwerkorganisatie Speak Up! openbaar gemaakt om anderen te waarschuwen. Er werden meer dan 3.000 pogingen geregistreerd om in te loggen op de website, voornamelijk vanuit Aziatische landen. Minstens één poging was succesvol, waarbij inhoud van de website werd verwijderd of gewijzigd. Dankzij snel ingrijpen kon erger worden voorkomen. Momenteel werkt het webteam aan het herstel van de website. [brf, lesoir]

Webwinkel bol: mogelijk klantdata gestolen bij ransomwareaanval op AddComm

Bol.com, nu bekend als Bol, heeft klanten geïnformeerd over een mogelijke diefstal van klantgegevens na een ransomware-aanval op AddComm. Hoewel het onzeker is of er daadwerkelijk gegevens zijn buitgemaakt, sluit Bol dit niet uit. De potentieel gestolen data omvat namen, adressen, klant- en bestelnummers, gekochte artikelen en eventuele openstaande bedragen. Er zijn geen bankgegevens zoals creditcardinformatie betrokken. Bol heeft de samenwerking met AddComm tijdelijk stopgezet totdat de veiligheid van de gegevens gewaarborgd kan worden. AddComm, een klantencommunicatiebedrijf, heeft bevestigd dat eind vorige maand gegevens van een beperkte groep klanten zijn gestolen. Andere klanten van AddComm, zoals Infomedics en diverse waterschappen, zijn ook getroffen, hoewel Infomedics stelt dat hun klantgegevens niet zijn gecompromitteerd. Bol en AddComm werken nauw samen om de IT-omgeving opnieuw veilig te maken voordat de samenwerking wordt hervat.

Gevaarlijke Android-malware vermomd als Google Play-update

Een nieuwe Android-malware genaamd 'Antidot' richt zich op bankgegevens van gebruikers door zich voor te doen als een Google Play-update. Ontdekt door het cybersecuritybedrijf Cyble, verspreidt deze malware zich via phishing-e-mails en sms'jes die afkomstig lijken te zijn van Google. Gebruikers worden verzocht een nep-update te downloaden, waarna de malware wordt geïnstalleerd en toegang krijgt tot de telefoon. Eenmaal geïnstalleerd, kan Antidot toetsaanslagen registreren, de telefoon op afstand vergrendelen, de camera bedienen, en inkomende berichten en telefoongesprekken onderscheppen. Bovendien kan het vervalste inlogpagina's creëren voor banken, waardoor de hackers inloggegevens kunnen stelen. De malware is al gesignaleerd in verschillende talen, waaronder Engels, Duits, Spaans en Frans. Om besmetting te voorkomen, wordt geadviseerd geen linkjes in ongevraagde e-mails of sms'jes aan te klikken en alleen apps te downloaden van betrouwbare bronnen. Een goede virusscanner op de telefoon kan extra bescherming bieden. [bnnvara]

🇳🇱 Gezondheidszorg getroffen door 47.000 datalekken in zes jaar

De gezondheidszorgsector heeft de afgelopen zes jaar te maken gehad met meer dan 47.000 datalekken, wat neerkomt op een derde van alle meldingen bij de Autoriteit Persoonsgegevens (AP) sinds 2018. In totaal ontving de AP meer dan 143.000 datalekmeldingen, waarvan 47.597 afkomstig uit de zorgsector. In 2022 was de zorg verantwoordelijk voor 41 procent van de datalekken, met 8.900 gemelde incidenten. Hiervan betrof 65 procent (5.779 gevallen) een verkeerd verzonden brief. De AP benadrukt het belang van zorgvuldige omgang met persoonsgegevens binnen zorginstellingen om de privacy van patiënten te beschermen. De organisatie heeft eerder richtlijnen gegeven om datalekken te voorkomen en spoort zorginstellingen aan om privacybescherming als prioriteit te beschouwen.

Bugs in Cisco Webex Meetings gebruikt voor ongeautoriseerde toegang

Cisco heeft aangekondigd dat meerdere bugs in zijn Webex Meetings-platform zijn gebruikt om ongeautoriseerde toegang te krijgen tot vergaderinformatie en metadata van bepaalde klanten in een datacenter in Frankfurt. Deze kwetsbaarheden werden ontdekt tijdens een gericht beveiligingsonderzoek begin mei. De getroffen klanten zijn geïnformeerd en de problemen zijn opgelost met een wereldwijde update die op 28 mei is uitgerold. Cisco heeft sindsdien geen verdere pogingen tot ongeautoriseerde toegang waargenomen. Hoewel de security-advisory van Cisco niet gedetailleerd ingaat op de aard van de bugs of de specifieke onderzoeksmethoden, benadrukt het bedrijf dat er geen CVE-nummers zijn toegekend en spreekt het niet expliciet van kwetsbaarheden. [cisco]

Cisco Webex lekt metadata van overheden en bedrijven

Cisco Webex, een veelgebruikte cloudservice voor videoconferenties, heeft maandenlang metadata van meetings gelekt, inclusief die van overheden en bedrijven, waaronder Nederlandse. Onderzoekers ontdekten dat metadata zoals de titel van de meeting, de host, starttijd en profielfoto’s toegankelijk waren via eenvoudige webbrowser queries. Dit lek ontstond doordat Cisco geen willekeurige nummers gebruikte voor meeting-URL’s, wat het eenvoudig maakte om opeenvolgende meetings en bijbehorende metadata te vinden. Hierdoor werden duizenden videoconferenties, inclusief die van ministeries en beursgenoteerde bedrijven, blootgesteld. Cisco heeft aangegeven het probleem opgelost te hebben en getroffen klanten te hebben geïnformeerd, hoewel sommige klanten niet volledig op de hoogte zijn gebracht van de omvang van het datalek. Het Nationaal Cyber Security Centrum (NCSC) werd door dit onderzoek op de hoogte gesteld van het probleem. Ondanks het verzoek om meer informatie, bleef Cisco’s reactie summier. [netzbegruenung]

RansomHub evolueert uit Knight ransomware

Onderzoek naar de nieuwe ransomware-as-a-service (RaaS) RansomHub suggereert dat deze is geëvolueerd uit het inmiddels opgeheven Knight ransomware-project. RansomHub richt zich op gegevensdiefstal en afpersing, waarbij gestolen bestanden aan de hoogste bieder worden verkocht. De groep kwam in de schijnwerpers toen ze gegevens lekte van Change Healthcare na een aanval door BlackCat/ALPHV. Symantec-onderzoekers ontdekten meerdere overeenkomsten tussen RansomHub en Knight, zoals het gebruik van dezelfde programmeertaal (Go), vergelijkbare obfuscatie-technieken, en vrijwel identieke uitvoeringsmethoden. Knight ransomware, dat in juli 2023 werd gelanceerd als een hermerk van de Cyclops-operatie, hield op te bestaan toen de broncode in februari 2024 te koop werd aangeboden op hackersforums. RansomHub verscheen op datzelfde moment en heeft sindsdien zijn activiteiten uitgebreid, mede dankzij voormalige ALPHV-affiliates. Hoewel het onwaarschijnlijk is dat de oorspronkelijke makers van Knight achter RansomHub zitten, wijst het bewijs erop dat de nieuwe groep de broncode heeft gekocht en verder heeft ontwikkeld. [symantec]

FBI waarschuwt voor nep remote werk advertenties gericht op cryptovaluta fraude

De FBI heeft vandaag een waarschuwing uitgegeven over oplichters die nep advertenties voor thuiswerk gebruiken om cryptovaluta van werkzoekenden in de Verenigde Staten te stelen. Deze scams lokken slachtoffers met eenvoudig uitvoerbare taken zoals het beoordelen van bedrijven online of het "optimaliseren" van een dienst. De oplichters doen zich voor als legitieme bedrijven, zoals wervings- of uitzendbureaus, en nemen contact op met slachtoffers via ongevraagde berichten of oproepen. De fraude werkt vaak met een verwarrende beloningsstructuur die slachtoffers verplicht om cryptovaluta betalingen te doen om meer geld te verdienen of werk te "ontgrendelen". Deze betalingen gaan rechtstreeks naar de oplichters. Om de fraude geloofwaardiger te maken, wordt slachtoffers ook gevraagd een nepportaal te gebruiken dat laat zien hoeveel ze zogenaamd hebben verdiend, zonder dat ze deze fondsen kunnen opnemen. De FBI adviseert werkzoekenden om voorzichtig te zijn met ongevraagde baanaanbiedingen, geen geld te sturen naar vermeende werkgevers en geen persoonlijke of financiële informatie te delen met onbekenden. Slachtoffers worden aangemoedigd om verdachte activiteiten te melden bij het Internet Crime Complaint Center (IC3). [fbi]

Datadiefstal bij Australisch mijnbedrijf Northern Minerals

Northern Minerals, een Australisch bedrijf dat zich richt op zware zeldzame aardmetalen, heeft vandaag bekendgemaakt dat het slachtoffer is geworden van een datadiefstal. De diefstal vond plaats eind maart 2024 en de gestolen gegevens zijn inmiddels gepubliceerd op het dark web. De gegevens omvatten onder andere bedrijfsinformatie, operationele en financiële gegevens, en persoonlijke informatie van huidige en voormalige werknemers en aandeelhouders. Het bedrijf heeft de Australische Cyber Security Centre en de Office of the Australian Information Commissioner ingelicht en zal betrokkenen persoonlijk op de hoogte brengen. De cyberaanval werd opgeëist door de BianLian ransomware-groep, die zich heeft toegelegd op datadiefstal en chantage. Northern Minerals heeft bevestigd dat de aanval geen invloed heeft op haar mijnbouw- of bedrijfsactiviteiten. [wcsecure pdf]

Amerikaanse Radio Relay League getroffen door internationale cyberaanval

De American Radio Relay League (ARRL), de nationale vereniging voor amateurradio in de Verenigde Staten, is in mei getroffen door een cyberaanval. Deze aanval bracht hun Logbook of the World (LoTW) offline, wat frustratie veroorzaakte bij leden vanwege het gebrek aan informatie. Op 16 mei meldde ARRL een ernstige inbraak waarbij toegang werd verkregen tot hun netwerk en systemen op het hoofdkantoor. De aanval, uitgevoerd door een internationale cybergroep, verstoorde hun telefoonsystemen en de LoTW-dienst, die door radioamateurs wereldwijd wordt gebruikt om succesvolle contacten te loggen. De FBI en externe experts werden direct ingeschakeld om het incident te onderzoeken. ARRL heeft nog niet bevestigd of er sprake was van ransomware of dat er gegevens zijn gestolen. Dit gebrek aan transparantie leidde tot zorgen en kritiek onder de leden over de gebrekkige communicatie vanuit ARRL. [arrl]

Nieuwe phishingkit V3B richt zich op klanten van 54 Europese banken

Cybercriminelen promoten een nieuwe phishingkit genaamd 'V3B' via Telegram, gericht op klanten van 54 grote financiële instellingen in landen zoals Ierland, Nederland, Finland, Oostenrijk, Duitsland, Frankrijk, België, Griekenland, Luxemburg en Italië. Deze kit, variërend in prijs van $130 tot $450 per maand, biedt geavanceerde methoden voor het omzeilen van detectie, lokalisatieopties, ondersteuning voor eenmalige wachtwoorden (OTP/TAN/2FA), en live chat met slachtoffers. De kit gebruikt sterk verduisterde JavaScript-code en een aangepast CMS om detectie te vermijden. Professioneel vertaalde pagina's in meerdere talen verbeteren de effectiviteit van aanvallen. De kit kan zowel bankgegevens als creditcardinformatie onderscheppen en maakt gebruik van real-time interacties om eenmalige wachtwoorden te verkrijgen via op maat gemaakte meldingen. Gestolen gegevens worden via de Telegram API naar de cybercriminelen verzonden. De ondersteuning van alternatieve validatiemechanismen zoals PhotoTAN en Smart ID maakt deze kit extra gevaarlijk voor banken in Duitsland en Zwitserland.

🇳🇱 Onvoldoende beveiliging gemeentelijke websites zorgwekkend volgens Van Huffelen

Demissionair staatssecretaris Van Huffelen van Digitalisering heeft aangegeven dat het onwenselijk is dat veel gemeentelijke websites niet voldoen aan de verplichte beveiligingseisen. Dit komt naar voren uit een onderzoek van Forum Standaardisatie, waaruit blijkt dat slechts 54 procent van de gemeentelijke websites alle afgesproken standaarden toepast. Als alleen naar webbeveiligingsstandaarden wordt gekeken, voldoet 76 procent van de gemeentesites aan de eisen. Echter, er is geen volledig beeld van de beveiliging van secundaire internetdomeinen van decentrale overheden. Van Huffelen benadrukt de verantwoordelijkheid van overheden om online informatie en diensten veilig aan te bieden en beschouwt dit als een voorbeeldfunctie. Ze onderzoekt momenteel hoe strenger toezicht kan worden gehouden op de naleving van wettelijke beveiligingsstandaarden om de beveiligingsrisico's voor overheidsorganisaties te verminderen. [forumstandaardisatie]

Datadiefstal bij incassobureau FBCS treft 3,2 miljoen mensen

Het Amerikaanse incassobureau Financial Business and Consumer Solutions (FBCS) heeft onthuld dat meer dan 3,2 miljoen mensen zijn getroffen door een datalek dat in februari plaatsvond. Dit is een aanzienlijke toename ten opzichte van de aanvankelijke schatting van 1,9 miljoen mensen die in april werd gerapporteerd. De persoonlijke gegevens die zijn blootgesteld, omvatten volledige namen, sofinummers, geboortedata, rekeninginformatie en rijbewijsnummers of ID-kaarten. FBCS heeft een aanvullend bericht ingediend bij het kantoor van de procureur-generaal van Maine en heeft nieuwe datalekmeldingen verstuurd naar de betrokkenen, waarin zij worden geïnformeerd over de verhoogde risico's en de stappen die zij moeten ondernemen. De getroffen personen worden geadviseerd om alert te zijn op phishing, fraude en social engineering-aanvallen. FBCS biedt twee jaar gratis kredietbewakings- en identiteitsherstelservices aan via CyEx. Om toekomstige incidenten te voorkomen, heeft FBCS een nieuwe omgeving met sterkere beveiligingsmaatregelen opgezet. De exacte aard van het beveiligingsincident is niet bekendgemaakt. [maine]

Britse ziekenhuizen annuleren operaties na ransomware-aanval

Drie ziekenhuizen in Londen hebben diverse operaties moeten annuleren vanwege een ransomware-aanval. De getroffen ziekenhuizen zijn King’s College Hospital, Guy’s and St Thomas’ Hospital en Royal Brompton & Harefield Hospital. Deze ziekenhuizen verloren de verbinding met de servers van hun IT-leverancier Synnovis, waardoor cruciale operaties zoals transplantaties en bloedtransfusies niet konden doorgaan. Volgens verschillende bronnen, waaronder interne communicatie, werd bevestigd dat het om een ransomware-aanval gaat. Details over de specifieke aard en de gevolgen van de aanval zijn nog niet bekendgemaakt. De annuleringen hebben aanzienlijke impact op de gezondheidszorg en benadrukken de kwetsbaarheid van kritieke infrastructuren voor cyberaanvallen. [bbc]

Microsoft India's Twitter-account gehackt voor crypto scam

Het officiële Twitter-account van Microsoft India, met meer dan 211.000 volgers, werd gehackt door cryptovaluta-oplichters die zich voordeden als "Roaring Kitty", de bekende meme-aandelenhandelaar Keith Gill. De hackers maakten gebruik van de verificatie van het account om geloofwaardigheid aan hun berichten te geven en slachtoffers te lokken naar een schadelijke website. Deze site beweerde dat gebruikers GameStop (GME) crypto konden kopen tijdens een zogenaamde voorverkoop. Slachtoffers die hun cryptowallets aan de site koppelden, raakten hun tegoeden kwijt door een wallet-drainer malware. Bovendien retweetten veel botaccounts de gehackte berichten om het bereik te vergroten. Dit incident maakt deel uit van een bredere golf van accountkapingen waarbij vooral geverifieerde accounts worden gebruikt om cryptoscams te promoten. Ook andere bekende accounts, zoals die van de Amerikaanse SEC en Netgear, werden recentelijk gehackt voor soortgelijke doeleinden.

Grootschalige datalek: 361 miljoen gestolen accounts toegevoegd aan HIBP

Een enorme verzameling van 361 miljoen e-mailadressen, verkregen via wachtwoord-stelende malware, credential stuffing aanvallen en datalekken, is toegevoegd aan de Have I Been Pwned (HIBP) databank. Deze dienst stelt gebruikers in staat om te controleren of hun accounts zijn gecompromitteerd. Onderzoekers verzamelden deze gegevens van diverse cybercrimekanalen op Telegram, waar de gestolen informatie vaak wordt gedeeld. De data omvat gebruikersnamen, wachtwoorden en bijbehorende URL's, vaak verkregen via malware. De onderzoekers deelden 122 GB aan gegevens met Troy Hunt, de oprichter van HIBP. Deze dataset bevatte 361 miljoen unieke e-mailadressen, waarvan 151 miljoen nog niet eerder in de HIBP-database waren opgenomen. Hunt bevestigde de geldigheid van veel e-mailadressen door gebruik te maken van wachtwoordherstelformulieren van websites. Aangezien er geen eenvoudige oplossing is voor deze aanvallen, blijft het belangrijk om goede cyberveiligheidspraktijken te hanteren, zoals het gebruik van antivirussoftware en het vermijden van verdachte links en bijlagen. [hibp]

🇳🇱 Misbruik van naam NCSC en Fraudehelpdesk bij fraude

Het Nationaal Cyber Security Centrum (NCSC) en de Fraudehelpdesk waarschuwen voor oplichters die zich voordoen als medewerkers van deze organisaties. Er zijn meldingen ontvangen van burgers die per e-mail en telefoon zijn benaderd door personen die zich voordoen als NCSC-medewerkers en hulp aanbieden bij online fraude. Het NCSC benadrukt dat zij nooit op eigen initiatief persoonlijk contact opnemen en adviseert waakzaam te zijn bij dergelijke berichten. De Fraudehelpdesk waarschuwt ook voor fraudeurs die hun naam misbruiken in sms-berichten, waarin wordt beweerd dat een geldopname is mislukt. In deze berichten wordt gevraagd een bepaald nummer te bellen, waarna slachtoffers worden overtuigd om geld over te maken of inloggegevens te verstrekken. Dit type fraude staat bekend als bankhelpdeskfraude, waarbij oplichters proberen geld van slachtoffers veilig te stellen door het naar een andere rekening over te maken of persoonlijke gegevens te verkrijgen. [ncsc, fraudehelpdesk]

Qiulong Ransomware Group breekt in bij Indigo ENT Group en onthult gevoelige data

Op 30 mei 2024 kondigde de Qiulong Ransomware Group een aanzienlijke datalek aan bij Indigo ENT Group, een gezondheidszorgbedrijf gevestigd in Coquitlam, British Columbia, Canada. De groep beweert wekenlang toegang te hebben gehad tot het netwerk van Indigo ENT, waarbij ze duizenden persoonlijke en vertrouwelijke gegevens, waaronder beschermde gezondheidsinformatie (PHI) en persoonlijk identificeerbare informatie (PII) van patiënten, hebben buitgemaakt. De gestolen data omvatten ook financiële gegevens, contractdetails, geheimhoudingsovereenkomsten en archieven van e-mails en berichten. Als deze inbraak wordt bevestigd, vormt het een ernstige bedreiging voor de privacy en beveiliging van zowel de patiënten als de organisatie.

Onbevoegde FTP-toegang tot Amerikaanse zorgaanbieder aangeboden

Op de darkweb wordt onbevoegde FTP-toegang aangeboden tot 1,5 terabyte aan gevoelige patiëntgegevens van een grote Amerikaanse zorgaanbieder. Deze toegang stelt potentiële kopers in staat om de data te manipuleren en te downloaden. De data, die beschikbaar is sinds 30 januari 2024, omvat volledige patiëntendossiers met persoonlijke informatie zoals namen, adressen, geboortedata, burgerservicenummers, geslacht en telefoonnummers. Ondanks dat de toegang al sinds 2 maart 2024 te koop wordt aangeboden, is deze nog niet verkocht. Het getroffen bedrijf beheert meer dan 50 vestigingen in de Verenigde Staten, wat de mogelijke impact van deze datalek groot maakt. De gegevens worden dagelijks bijgewerkt door de zorgaanbieder, wat de situatie nog zorgwekkender maakt.

Illegale VPN-toegang tot Europees ministerie aangeboden

Een dreigingsacteur beweert ongeautoriseerde VPN-toegang te hebben tot de interne systemen van het ministerie van Landelijke Ontwikkeling en Voedsel van een Europees land. Deze toegang wordt te koop aangeboden voor $5.000. De dreigingsacteur benadrukt dat potentiële kopers hun financiële middelen moeten aantonen en transacties via een betrouwbare tussenpersoon moeten uitvoeren om detectie door wetshandhavers te vermijden. De toegang wordt omschreven als een directe VPN-verbinding, wat wijst op een serieus beveiligingslek binnen de overheidsinfrastructuur. Dit incident benadrukt de voortdurende dreiging van cybercriminelen voor kritieke overheidsgegevens en de noodzaak van robuuste cyberbeveiligingsmaatregelen.

Database van Real Madrid te koop aangeboden voor $50,000

Een onbekende dreigingsactor beweert in het bezit te zijn van 74GB aan gegevens afkomstig van de website van Real Madrid CF. Deze gegevens worden aangeboden voor een bedrag van $50,000, uitsluitend voor serieuze kopers. De aard van de gegevens is nog niet volledig onthuld, maar een sample zou beschikbaar zijn voor geïnteresseerden. Als deze inbreuk wordt bevestigd, kan dit grote gevolgen hebben voor de privacy en beveiliging van de online infrastructuur en gebruikersinformatie van Real Madrid CF.

Datalek Dkhoonemirates: Gevoelige Klantinformatie Te Koop op Darkweb

Een recente cyberaanval heeft geleid tot een datalek bij Dkhoonemirates, een bekende online retailer. Een dreigingsactor beweert een database met 1.187.492 rijen aan klantinformatie en transactiegegevens te hebben buitgemaakt. Deze gegevens worden te koop aangeboden voor $4800 in cryptocurrency (XMR of BTC). De aanvaller dreigt de data openbaar te maken als er geen koper gevonden wordt. De gestolen data, bijgewerkt tot 2 juni 2024 en opgeslagen in een bestand genaamd "Dkhoonemirates.csv" van 514MB, bevat onder andere klantnamen, e-mails, mobiele nummers, adressen, bestelstatussen, betaalmethoden, verzendmethoden, en financiële informatie zoals betalingsstatussen en orderbedragen. Verder omvat het gegevens over Google Maps-locaties, kortingscodes, productnamen, SKU’s, hoeveelheden, en transactie referenties. Als deze datalek bevestigd wordt, kan dit ernstige gevolgen hebben voor zowel Dkhoonemirates als haar klanten, zoals identiteitsdiefstal en fraude.

Ongeautoriseerde toegang tot grootste telecombedrijf van Taiwan te koop aangeboden

Een dreigingsacteur, bekend als 303, beweert ongeautoriseerde shell-toegang te verkopen tot Chungwa Telecom, het grootste telecombedrijf van Taiwan. De aanvaller geeft aan dat zij toegang hebben tot 910 GB aan gegevens van de interne systemen van het bedrijf. Deze toegang wordt aangeboden voor $4.000, waarbij betaling in Bitcoin (BTC) en Monero (XMR) mogelijk is. Dit incident benadrukt de voortdurende risico's van cybercriminaliteit en de kwetsbaarheid van grote ondernemingen met betrekking tot de beveiliging van gevoelige gegevens. Chungwa Telecom, met een jaarlijkse omzet van $7,2 miljard, vormt een aantrekkelijk doelwit voor cybercriminelen. De situatie roept op tot verhoogde waakzaamheid en versterkte beveiligingsmaatregelen binnen de telecomsector en andere vitale industrieën.

🇳🇱 Gegevens van heineken-medewerkers gelekt door dreigingsactor "888"

In juni 2024 heeft de dreigingsactor "888" naar verluidt gegevens van medewerkers van de bekende brouwerij Heineken gelekt. Het bedrijf, met een omzet van €36,4 miljard, zou slachtoffer zijn geworden van een datalek waarbij gegevens van 8.174 werknemers uit verschillende landen zijn blootgesteld. Deze gegevens omvatten onder andere werknemers-ID's, gebruikers-ID's, volledige namen, e-mailadressen, bedrijfsgegevens en functieomschrijvingen. Volgens "888" vond het lek plaats via een derde partij, hoewel de specifieke details van de inbreuk niet zijn onthuld. Dit incident roept grote zorgen op over de beveiligingsmaatregelen van Heineken om gevoelige informatie van werknemers te beschermen. Het benadrukt de voortdurende uitdagingen waarmee organisaties worden geconfronteerd bij het beschermen van hun gegevens tegen kwaadwillende actoren in een steeds digitaler wordende wereld.

Cybercrimineel biedt gegevens van QuoteWizard en LendingTree aan voor $2 miljoen

Een cybercrimineel beweert op een darkweb forum dat hij toegang heeft tot een grote hoeveelheid gegevens van QuoteWizard.com en LendingTree. Deze bedrijven zijn actief in de verzekerings- en financiële sector. Het gelekte bestand, dat naar verluidt 2TB aan gecomprimeerde data bevat, zou gevoelige persoonlijke informatie van 190 miljoen individuen en 3 miljard tracking pixel data records omvatten. De aangeboden gegevens bevatten volledige klantgegevens, gedeeltelijke creditcardinformatie (waarbij de middelste vijf cijfers zijn gemaskeerd), autohistorie en rijrecords, persoonlijke achtergrondinformatie en tracking pixel data. De crimineel stelt dat de data afkomstig is van meerdere verzekeraars, waaronder Allstate, State Farm, Progressive en Liberty Mutual. De data is georganiseerd in gedetailleerde tabellen die alles van klantinteracties tot financiële transacties en communicatie logs omvatten. De gevraagde prijs voor deze data bedraagt $2 miljoen USD.

Gevoelige gegevens van werknemers Riyadh Airport gelekt

Een dreigingsactor beweert gevoelige gegevens van werknemers van Riyadh Airport te hebben gelekt, waardoor de persoonlijke informatie van honderden medewerkers mogelijk is blootgesteld. De gelekte database zou informatie bevatten van 864 medewerkers, waaronder personeelsnummers, volledige namen, e-mailadressen en mobiele nummers. Riyadh Airports Company, verantwoordelijk voor het beheer van King Khalid International Airport, moet dit incident grondig onderzoeken, de betrokken medewerkers informeren en hun cyberbeveiligingsmaatregelen versterken om toekomstige incidenten te voorkomen. Het potentiële datalek benadrukt het belang van robuuste gegevensbescherming, vooral voor organisaties die cruciale infrastructuur beheren. Werknemers wordt geadviseerd waakzaam te zijn voor verdachte e-mails en berichten, en ongebruikelijke activiteiten onmiddellijk te melden aan hun IT-afdeling.

Gegevenslek bij V12 Software blootlegt miljoenen records

Een dreigingsactor beweert een database van V12 Software, een bedrijf dat softwareoplossingen biedt voor autodealers, te hebben gelekt. Het vermeende lek zou 8 miljoen records bevatten, waaronder gevoelige informatie zoals ID's, inloggegevens, wachtwoorden en andere data. De aankondiging werd gedaan op een ondergronds forum en beschrijft de omvang van het gegevenslek. Naast gegevens van voertuigen omvat het ook klant-, order- en dealerinformatie. De gelekte gegevens bevatten diverse velden, wat de diepte van de blootgestelde informatie benadrukt. Dit lek kan ernstige gevolgen hebben voor zowel V12 Software als hun klanten, waarbij gevoelige klant- en bedrijfsinformatie mogelijk wordt blootgesteld. Het benadrukt de noodzaak van robuuste cyberbeveiligingsmaatregelen en regelmatige beveiligingsaudits. Organisaties die gebruikmaken van V12 Software worden geadviseerd om verdachte activiteiten te monitoren, hun wachtwoorden bij te werken en extra beveiligingsmaatregelen te implementeren. V12 Software moet een grondig onderzoek uitvoeren, de getroffen partijen informeren en hun beveiligingsprotocollen versterken om toekomstige lekken te voorkomen.

Windows LPE 0-day exploit te koop voor $120.000

Een cybercrimineel heeft aangekondigd een Windows Local Privilege Escalation (LPE) 0-day exploit te verkopen voor $120.000. Deze exploit treft verschillende versies van Windows, waaronder de nieuwste releases zoals Windows 10 en Windows 11. De exploit, geschreven in C++, verhoogt privileges van medium naar systeemniveau in slechts 2 seconden, met een slagingspercentage van 99,4%. De verkoper beweert dat de exploit zeer stabiel is en geen sporen achterlaat tijdens de uitvoering, wat ernstige beveiligingsrisico's kan veroorzaken voor organisaties die de getroffen Windows-versies gebruiken. De verkoop van dergelijke exploits benadrukt de voortdurende dreiging van geavanceerde cybercriminelen en de noodzaak voor bedrijven om waakzaam te blijven, beveiligingspatches tijdig toe te passen en uitgebreide cybersecuritymaatregelen te nemen om deze kritieke kwetsbaarheden te mitigeren.

Databank Banco de Crédito del Perú gelekt door dreigingsactor

Recent is de database van Banco de Crédito del Perú (BCP) naar verluidt gelekt en beschikbaar gesteld voor download. De gelekte gegevens bevatten 57.694 regels met gevoelige klantinformatie, zoals type kaart, type uitgifte, bankidentificatienummers, namen van kaarthouders en rekeninghouders, thuisadressen, provincies van verblijf, klant-ID's en primaire telefoonnummers. Als deze inbreuk inderdaad heeft plaatsgevonden, vormt dit een aanzienlijk risico voor de getroffen personen. De gelekte gegevens kunnen leiden tot identiteitsdiefstal, financiële fraude en andere kwaadaardige activiteiten. Deze cyberaanval onderstreept de voortdurende dreiging die uitgaat van cybercriminelen en de noodzaak voor banken om hun beveiligingsmaatregelen voortdurend te verbeteren.

Datalek bij online kaartverkoper Ticketek na inbraak op cloudplatform

Op 3 juni 2024 meldde de Australische online kaartverkoper Ticketek een datalek nadat aanvallers toegang kregen tot een derde-partij cloudplatform. Volgens de Australische minister voor Cybersecurity zijn veel Australiërs getroffen, maar de naam van het cloudplatform werd niet bekendgemaakt. Speculaties wijzen naar Snowflake, dat recentelijk waarschuwde voor inbraken op klantaccounts. Ticketek heeft echter geen bevestiging gegeven over de betrokkenheid van Snowflake. De gestolen gegevens omvatten namen, geboortedata en e-mailadressen van gebruikers. Hoewel het aantal getroffen personen niet specifiek genoemd is, wordt gesproken over een groot aantal slachtoffers. Dit incident volgt na eerdere waarschuwingen dat klanten van Snowflake het doelwit zijn van cyberaanvallen. Zowel Ticketek als andere bedrijven zoals Ticketmaster en de bank Santander hebben soortgelijke incidenten gerapporteerd waarbij hun gegevens zijn gecompromitteerd via inbraken op derde-partij cloudomgevingen. De Australische overheid blijft gebruikers waarschuwen voor verhoogde cyberdreigingen. [teg]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

Meer weekoverzichten