🇳🇱 🇬🇧

Cyberaanvallen op Nederlandse en Belgische bedrijven

Deze week was er een opmerkelijke toename in cyberaanvallen gericht op bedrijven en instellingen, zowel in Nederland als in het buitenland. Op 12 juni 2024 hebben de beruchte hackersgroepen Play en Blacksuit gevoelige gegevens van respectievelijk Aldenhoven en Eurotrol BV op het darkweb geplaatst. Deze aanvallen onderstrepen de voortdurende kwetsbaarheid van bedrijven voor cyberdreigingen. Play heeft klantinformatie en bedrijfsgegevens van Aldenhoven gelekt, terwijl Blacksuit dezelfde dag gegevens van Eurotrol BV openbaar maakte, hoewel de omvang van dit laatste lek nog niet volledig duidelijk is. Beide incidenten benadrukken het belang van versterkte cyberbeveiliging om zulke aanvallen te voorkomen.

Daarnaast werd de Belgische uitgeverij Groupe Multimedia IPM op dezelfde datum slachtoffer van een cyberaanval door de hackersgroep Akira. Deze groep heeft gevoelige data van de uitgeverij gestolen en op het darkweb geplaatst. Akira eist vermoedelijk losgeld om te voorkomen dat de data verder verspreid wordt. Ook hier is de volledige omvang van het lek nog niet bekend, maar het incident voegt zich bij de groeiende lijst van bedrijven die te maken hebben met cybercriminaliteit.

In Nederland werd ook het Gemeentelijk Belastingkantoor Twente (GBTwente) getroffen door een datalek bij hun leverancier AddComm. Bij deze ransomware-aanval zijn ruim 1800 documenten gestolen, waaronder persoonlijke gegevens van inwoners. AddComm betaalde losgeld om te voorkomen dat de gestolen data openbaar zou worden gemaakt. GBTwente heeft getroffen inwoners per brief geïnformeerd en waarschuwt voor mogelijke fraudeactiviteiten met de gelekte gegevens.

Toename van voorschotfraude en aanvallen op Edge-apparaten

Op nationaal niveau is er een alarmerende toename van voorschotfraude gemeld door de Fraudehelpdesk. In de eerste vijf maanden van 2024 is al bijna 2,5 miljoen euro schade gemeld, meer dan de helft van het totaalbedrag van vorig jaar. De verwachting is dat de schade dit jaar zal oplopen tot 7 miljoen euro. Vooral slachtoffers van eerdere fraude worden benaderd door oplichters die zich voordoen als advocaten of door mensen die neprecensies willen laten schrijven, waarvoor ze eerst een voorschot vragen.

Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat vpn-servers, firewalls en andere 'edge devices' steeds vaker doelwit zijn van cyberaanvallen. Deze apparaten zijn aantrekkelijk voor aanvallers omdat ze vaak gevoelige gegevens verwerken en toegang geven tot achterliggende netwerken. Het NCSC adviseert organisaties om deze apparaten in kaart te brengen, te monitoren op misbruik, een patchbeleid op te stellen en oude, onveilige apparaten tijdig te vervangen. De mentaliteit 'Assume breach' moet worden gehanteerd: ga ervan uit dat systemen eerder gehackt dan veilig zijn.

In het buitenland werden Britse ziekenhuizen zwaar getroffen door een ransomware-aanval, waardoor achthonderd operaties en zevenhonderd poliklinische behandelingen moesten worden uitgesteld. De aanval op het Synnovis-laboratorium zorgde voor een bloedtekort en dwong ziekenhuizen om behandelingen in het weekend in te halen. Het volledig herstel zal nog maanden duren.

Phishing-aanvallen en nieuwe malwarebedreigingen

Naast de eerder genoemde incidenten was er een opvallende toename in phishing-aanvallen deze week. Een nieuwe phishingcampagne maakt gebruik van HTML-bijlagen die het Windows-zoekprotocol (search-ms URI) misbruiken om batch-bestanden van externe servers te downloaden die malware verspreiden. Deze aanvallen beginnen met een e-mailbijlage in een klein ZIP-bestand dat een HTML-document bevat. Het document forceert de browser om automatisch een kwaadaardige URL te openen die een Windows-zoekopdracht initieert op een externe server van de aanvallers. De zoekopdracht toont vervolgens een snelkoppeling naar een script dat van diezelfde server wordt opgehaald. Als het slachtoffer hierop klikt, wordt mogelijk malware uitgevoerd. Deze techniek omzeilt beveiligingsmaatregelen door gebruik te maken van een legitieme Windows-functionaliteit. Voorzichtigheid is geboden bij het openen van HTML-bijlagen of het klikken op zoekopdrachten naar externe bronnen.

In een andere zorgwekkende ontwikkeling is een gevaarlijke nieuwe phishingkit uitgebracht waarmee cybercriminelen en ethische hackers Progressive Web Apps (PWA's) kunnen creëren die overtuigende bedrijfslogin-formulieren weergeven om inloggegevens te stelen. Een PWA is een webapplicatie die kan worden geïnstalleerd als een desktopapp, waardoor het eruit ziet als een legitieme app. Deze phishingkit maakt het mogelijk om een valse adresbalk met een nep-URL weer te geven, waardoor de login-vorm er nog overtuigender uitziet. Hoewel gebruikers overtuigd moeten worden de PWA te installeren, kan dit gemakkelijker zijn bij websites die software verspreiden. Daarnaast worden Windows-gebruikers actief gevraagd de PWA aan de taakbalk toe te voegen, waardoor ze de app vaker kunnen gebruiken. Met bestaande groepsbeleidsinstellingen kan de installatie van PWA's niet worden verboden. De onderzoeker waarschuwt dat mensen gemakkelijk bedrogen kunnen worden omdat ze niet bekend zijn met PWA-phishing.

Een nieuwe dreiging in de vorm van ransomware, TellYouThePass, maakt misbruik van de recent gepatchte kwetsbaarheid CVE-2024-4577, een kritieke remote code execution bug in PHP, om servers binnen te dringen. Minder dan 48 uur na de release van beveiligingsupdates op 6 juni begonnen de aanvallen met gebruik van openbaar beschikbare exploit-code. TellYouThePass is bekend om snel in te springen op nieuwe kwetsbaarheden met een grote impact. De aanvallers gebruiken de fout om webshells te leveren en vervolgens hun ransomware-payload uit te voeren op de gecompromitteerde systemen. De malware versleutelt bestanden en laat een losgeldnota achter met instructies om bitcoins te betalen voor een decryptiesleutel. Gebruikers melden dat meerdere websites zijn getroffen sinds 8 juni. De PHP-kwetsbaarheid treft alle versies en stelt aanvallers in staat willekeurige code uit te voeren.

Ondertussen heeft de Stormous ransomwaregroep aangekondigd dat hun operaties niet zijn opgeschort, maar dat er significante aanpassingen worden doorgevoerd. De belangrijkste verandering is de update van hun ransomwareprogramma, StmX/GhostLocker, naar versie 4, met verbeterde functies voor hun leden en andere gebruikers. Daarnaast verandert het servicemodel: ransomwarediensten worden onder bepaalde voorwaarden gratis aangeboden, terwijl andere diensten tegen betaling beschikbaar blijven. De exacte voorwaarden worden bij de lancering gecommuniceerd. Ook wordt de blog van de groep geüpdatet. Bedrijven en data die niet tijdens hun inactieve periode zijn gelekt, zullen na de herlancering gratis worden vrijgegeven. Bedrijven die voor decryptiediensten hebben betaald, worden van de opslaglijst verwijderd. Ten slotte zullen hun partners bij GhostSec, die met GhostLocker werken, naadloos worden geïntegreerd in de nieuwe softwareversie.

Nieuwe malware en geavanceerde cyberaanvallen onderstrepen noodzaak voor versterkte cyberbeveiliging

In een recent onderzoek heeft beveiligingsbedrijf Mandiant details onthuld over een grootschalige aanval waarbij inloggegevens van honderden Snowflake-klanten zijn gestolen. De aanvallers, een groep financieel gemotiveerde criminelen, wisten werksystemen en persoonlijke systemen van medewerkers te infecteren met infostealer-malware. Hierdoor konden ze inloggegevens bemachtigen en toegang krijgen tot de Snowflake-omgevingen van getroffen organisaties, vaak met beheerdersrechten. Volgens Mandiant vonden de infecties met malware vooral plaats op laptops van contractors die zowel voor werk als privédoeleinden werden gebruikt, zoals gaming en illegale downloads. Deze systemen vormden een groot risico, omdat ze toegang boden tot meerdere organisaties. Eenmaal binnen konden de aanvallers data stelen en de getroffen bedrijven afpersen. De kwetsbaarheid werd verergerd doordat de gecompromitteerde accounts geen gebruik maakten van multifactorauthenticatie. Mandiant benadrukt daarom het belang van MFA en monitoring op gestolen inloggegevens om dergelijke aanvallen te voorkomen.

Tot slot hebben we in deze week ook gezien dat criminelen in toenemende mate geavanceerde technieken gebruiken om hun aanvallen uit te voeren en detectie te omzeilen. De ontdekking van de Linux-malware DISGOMOJI, die via emoji's op Discord bestuurd wordt, toont de creativiteit en vastberadenheid van aanvallers om nieuwe methoden te vinden om beveiligingsmaatregelen te omzeilen. Deze malware wordt vermoedelijk gebruikt door een Pakistaanse groep om overheidsinstanties in India aan te vallen en laat zien hoe belangrijke communicatieplatformen zoals Discord misbruikt kunnen worden voor kwaadwillige doeleinden.

Het bovenstaande overzicht toont de diversiteit en ernst van cyberdreigingen die bedrijven en overheidsinstellingen wereldwijd treffen. Het is duidelijk dat continue waakzaamheid, tijdige updates en een robuuste beveiligingsstrategie cruciaal zijn om de impact van dergelijke aanvallen te minimaliseren. De noodzaak voor verbeterde cybersecurity-maatregelen blijft dan ook onverminderd groot.

De voortdurende evolutie van bedreigingen benadrukt het belang van een proactieve en adaptieve aanpak in cyberbeveiliging. Bedrijven en organisaties moeten investeren in het trainen van hun personeel, het implementeren van sterke wachtwoordbeheerpraktijken, en het toepassen van multifactorauthenticatie om hun verdediging te versterken. Door samen te werken en informatie over bedreigingen te delen, kunnen we gezamenlijk werken aan een veiliger digitale omgeving.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Darkweb: Een deel van het internet dat niet toegankelijk is via reguliere zoekmachines en waar veelal anoniem verkeer plaatsvindt. Het wordt vaak geassocieerd met illegale activiteiten.

• Datalek: Een incident waarbij gevoelige, beschermde of vertrouwelijke gegevens ongeautoriseerd zijn bekeken, gebruikt of vrijgegeven.

• Ransomware: Een type malware dat de toegang tot een computersysteem of bestanden blokkeert, vaak door middel van encryptie, totdat losgeld wordt betaald aan de aanvaller.

• Phishing: Een vorm van online fraude waarbij criminelen proberen persoonlijke gegevens te stelen door zich voor te doen als een betrouwbare bron via e-mails of andere communicatie.

• VPN (Virtual Private Network): Een technologie die een veilige en versleutelde verbinding maakt over een minder veilig netwerk, zoals het internet. Dit wordt vaak gebruikt om de privacy te waarborgen en anonieme communicatie te faciliteren.

• Edge devices: Apparaten aan de rand van een netwerk, zoals routers, firewalls, en VPN-servers, die de eerste lijn van communicatie met externe netwerken vormen.

• Multifactorauthenticatie (MFA): Een beveiligingsproces waarbij gebruikers meerdere vormen van identificatie moeten verstrekken om toegang te krijgen tot een systeem, zoals een wachtwoord én een verificatiecode.

• Progressive Web App (PWA): Een type webapplicatie die zich gedraagt als een native mobiele app maar via een webbrowser wordt geïnstalleerd en uitgevoerd.

• Remote Code Execution (RCE): Een kwetsbaarheid waarbij een aanvaller op afstand willekeurige code kan uitvoeren op een computer of server, vaak met volledige systeemtoegang.

• Exploit: Een stukje software, data of een reeks commando's die misbruik maakt van een bug of kwetsbaarheid om ongeautoriseerde toegang te krijgen tot een systeem.

• SQL-injectie: Een aanvalstechniek waarbij kwaadaardige SQL-code wordt ingevoerd in een invoerveld, met als doel de onderliggende database te manipuleren en ongeautoriseerde toegang tot gegevens te verkrijgen.

• Infostealer-malware: Schadelijke software die ontworpen is om gevoelige informatie zoals inloggegevens, creditcardnummers, en andere persoonlijke data te stelen.

• Webshell: Een script dat een aanvaller op een gecompromitteerde webserver plaatst om op afstand de server te kunnen bedienen.

• Zero-day kwetsbaarheid: Een softwarekwetsbaarheid die door hackers wordt misbruikt voordat de ontwikkelaar op de hoogte is en een patch of fix heeft uitgebracht.

• Credential stuffing: Een type cyberaanval waarbij gestolen accountgegevens van de ene dienst worden gebruikt om in te loggen op andere diensten, in de hoop dat gebruikers dezelfde wachtwoorden hebben gerecycled.

• OAuth: Een open standaard voor toegangsdelegatie, vaak gebruikt als een manier om internetgebruikers in staat te stellen in te loggen op websites met hun bestaande accounts zonder hun wachtwoorden prijs te geven.

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Nieuwe TIKTAG-aanval ondermijnt ARM-beveiligingsfunctie

Een nieuwe aanval genaamd "TIKTAG" ondermijnt de Memory Tagging Extension (MTE) van ARM, een beveiligingsfunctie ontworpen om geheugencorruptie tegen te gaan. Onderzoekers hebben aangetoond dat door speculatieve executie te misbruiken, ze MTE-geheugenmarkeringen kunnen lekken met meer dan 95% slagingskans. Dit maakt het mogelijk om de bescherming van MTE ongedaan te maken. De aanval is gedemonstreerd op Google Chrome en de Linux-kernel. TIKTAG-v1 maakt gebruik van speculatieve verkleining van vertakkingsvoorspelling en gegevens vooraf laden, terwijl TIKTAG-v2 de store-to-load forwarding-functie misbruikt. Hoewel de gelekte tags geen gevoelige gegevens direct blootleggen, kunnen aanvallers ze gebruiken om de MTE-bescherming te omzeilen bij stille geheugencorruptie-aanvallen. Ondanks rapportage aan betrokken partijen zijn er nog geen onmiddellijke oplossingen geïmplementeerd. De onderzoekersgroep stelt hardwarewijzigingen, speculatiebeperkingen en verbeterde sandboxing voor als mogelijke mitigaties. ARM erkent het probleem, maar beschouwt het niet als een schending van de architectuurprincipes, aangezien de tags niet geheimgehouden hoeven te worden. 1, 2

❗️ DISGOMOJI: Nieuw Linux-malware bestuurd via emoji's op Discord

De cyberbeveiligingsfirma Volexity heeft een nieuwe Linux-malware ontdekt genaamd 'DISGOMOJI'. Deze malware maakt gebruik van een ongebruikelijke methode om geïnfecteerde apparaten te besturen: emoji's op Discord. De aanvallers sturen bepaalde emoji's naar een Discord-server, waarbij elke emoji een specifieke opdracht vertegenwoordigt die op het gecompromitteerde systeem wordt uitgevoerd. Naast het uitvoeren van opdrachten, kan de malware ook screenshots maken, bestanden stelen en extra malware downloaden. DISGOMOJI wordt vermoedelijk gebruikt door een Pakistaanse groep, UTA0137, om overheidsinstanties in India aan te vallen. De malware verspreidt zich waarschijnlijk via phishing-e-mails en maskeert zich als een legitiem PDF-document. Eenmaal geïnstalleerd, maakt het een persistente verbinding met de aanvaller-gecontroleerde Discord-server. Opmerkelijk is dat de emoji-besturing DISGOMOJI mogelijk helpt detectie door beveiligingssoftware te omzeilen, die vaak op tekst gebaseerde commando's controleert. Volexity beschrijft DISGOMOJI als een geavanceerde vorm van cyberespionage gericht op Indiase overheidsentiteiten. 1, 2

🇳🇱 Alarmerende toename van voorschotfraude in 2024

De Fraudehelpdesk waarschuwt voor een zorgwekkende stijging van voorschotfraude in 2024. In de eerste vijf maanden werd al bijna 2,5 miljoen euro schade gemeld, meer dan de helft van het totaalbedrag van vorig jaar. Naar verwachting zal de totale schade dit jaar oplopen tot 7 miljoen euro. Deze vorm van oplichting treft veel slachtoffers die eerder al met fraude te maken hadden of online werk zochten. Bij zogenaamde 'recoveryfraude' worden eerdere fraudeslachtoffers benaderd door oplichters die zich voordoen als advocaat en beloven het verloren geld terug te halen, maar daarvoor eerst een voorschot vragen. Ook worden mensen geronseld voor het schrijven van neprecensies, waarbij ze betaald zouden worden maar eerst geld moeten overmaken. "Ik ben veel te goedgelovig geweest," verklaart een slachtoffer. De politie houdt geen cijfers bij, dus de werkelijke schade ligt mogelijk nog hoger. Lees ook het artikel over erfenisfraude

Britse ziekenhuizen verzetten 800 operaties wegens ransomware-aanval

Twee ziekenhuizen in Londen hebben wegens een ransomware-aanval bij een extern laboratorium achthonderd operaties en zevenhonderd poliklinische behandelingen moeten uitstellen. De Britse gezondheidszorg NHS maakte dit bekend. Het getroffen Synnovis-laboratorium verwerkt normaal bloedtests voor Londense ziekenhuizen en zorgorganisaties. Door de cyberaanval kunnen veel minder bloedtests worden verwerkt, waardoor de NHS een dringend beroep heeft gedaan op bloeddonoren met bloedgroep O. De ransomware-aanval veroorzaakt niet alleen een bloedtekort, maar dwong de ziekenhuizen ook talloze ingrepen en behandelingen te verzetten. Van 3 tot 9 juni ging het om meer dan 800 operaties en 700 poliklinieken. Om de achterstand in te halen, vinden er nu behandelingen in het weekend plaats. Synnovis stelt dat volledig herstel tijd zal kosten en dat de impact van de aanval nog maanden voelbaar zal zijn. 1

Datalek bij Keytronic na ransomware-aanval van Black Basta

Keytronic, een Amerikaans technologiebedrijf en een van de grootste producenten van printplaten, heeft een datalek bevestigd nadat de ransomwaregroep Black Basta twee weken geleden 530GB aan gestolen gegevens van het bedrijf had gelekt. In mei ondervond Keytronic een cyberaanval die de toegang tot bedrijfstoepassingen belemmerde en de productie twee weken lang stillegde. Onderzoek toont aan dat de aanvallers persoonlijke informatie hebben gestolen, waaronder paspoorten, sociale verzekeringsnummers van werknemers, klantendata en bedrijfsdocumenten. Keytronic is verplicht meldingen te doen aan potentieel getroffen partijen en toezichthouders. De aanval zal een materiële impact hebben op de financiële situatie van het bedrijf in het vierde kwartaal. Tot dusver heeft Keytronic al ongeveer $600.000 uitgegeven aan externe cyberbeveiligingsexperts. Black Basta, een van de belangrijkste ransomwaregroepen die verantwoordelijk is voor talrijke aanvallen, wordt ervan verdacht achter deze aanval te zitten. 1

Cyberaanvallers richten zich op cloudapps voor diefstal van gegevens

De hackergroep Scattered Spider, ook bekend als Octo Tempest, 0ktapus, Scatter Swine en UNC3944, is overgestapt op het stelen van gegevens uit software-as-a-service (SaaS) applicaties en het creëren van persistentie door nieuwe virtuele machines aan te maken. De groep maakt gebruik van social engineering aanvallen om toegang te krijgen tot privileged accounts en vervolgens de Okta-rechten te misbruiken om bij de cloudapps en SaaS-applicaties van hun slachtoffers te komen. Eenmaal binnen maken ze nieuwe virtuele machines aan om beveiligingen uit te schakelen en laterale verplaatsing en gegevensexfiltratie mogelijk te maken. De criminelen gebruiken legitieme cloudtools om gestolen data over te brengen naar hun eigen cloudopslagdiensten. Bedrijven moeten zich richten op betere monitoring van SaaS-apps, waaronder gecentraliseerde logboeken, multi-factor authenticatie herinschrijvingen en VM-infrastructuur om potentiële compromissen te detecteren. 1

Datalek bij verzekeringsreus Globe Life na inbraak in webportaal

De Amerikaanse financiële dienstverlener Globe Life onderzoekt een mogelijke datablik nadat aanvallers een van hun webportalen hebben gehackt. Het bedrijf ontdekte de inbreuk donderdag tijdens een controle op kwetsbaarheden in toegangsbeheer voor het portaal, na een vraag van een verzekeringstoezichthouder. Onmiddellijk werd de externe toegang tot het portaal verwijderd. Globe Life denkt dat het incident beperkt is tot dit ene portaal en andere systemen operationeel blijven. Het bedrijf heeft zijn incidentresponsplan geactiveerd en externe cyberbeveiligingsexperts ingehuurd om eventuele beveiligingsproblemen aan te pakken en de volledige omvang en impact te beoordelen. De omvang en impact van de inbreuk zijn nog niet volledig bekend, maar vooralsnog heeft het geen materiële gevolgen voor de bedrijfsactiviteiten. Het datablek hoeft mogelijk niet gemeld te worden onder de regelgeving. Globe Life biedt via dochterondernemingen levensverzekeringen en andere verzekeringsproducten aan consumenten aan. 1

Ransomwaregroep maakt misbruik van Windows-kwetsbaarheid

Aanvallers maken actief misbruik van een kwetsbaarheid in Windows voor het uitvoeren van ransomware-aanvallen. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat de kwetsbaarheid in de Windows Error Reporting Service (CVE-2024-26169) wordt misbruikt. Deze kwetsbaarheid stelt een aanvaller die al toegang tot een systeem heeft in staat om zijn rechten te verhogen naar die van SYSTEM, waardoor volledige controle over het systeem wordt verkregen. Microsoft kwam in maart met een beveiligingsupdate voor deze kwetsbaarheid. Securitybedrijf Symantec heeft aanwijzingen dat de ransomwaregroep Black Basta de kwetsbaarheid mogelijk al voor de release van de update heeft ingezet sinds december 2023. Via het lek kunnen aanvallers bijvoorbeeld aanwezige beveiligingssoftware uitschakelen of aanpassen. Aanvankelijk meldde Microsoft dat er geen misbruik bekend was, maar inmiddels is duidelijk dat de kwetsbaarheid actief wordt misbruikt. 1, 2, 3

Nieuwe Cybercriminelen Gezocht door 62IX GROUP

De dreigingsgroep 62IX GROUP is op zoek naar nieuwe hackers om hun team te versterken. Via hun Telegram-kanaal hebben ze aangekondigd dat ze specifiek hackers zoeken met vaardigheden in DDoS-aanvallen en pentesting. Geïnteresseerden kunnen zich aanmelden door een vragenlijst in te vullen waarin ze hun nickname, gewenste positie, mogelijke activiteitsuren, tijdzone en methoden moeten opgeven. De aanmeldingen worden door de groep beoordeeld voordat iemand kan toetreden. Een Telegram-bot is beschikbaar gesteld om toegang te krijgen tot de vragenlijst.

Toegang tot Zuid-Afrikaans productiebedrijf te koop op darkweb

Een dreigingsactor op een darkweb forum beweert toegang te verkopen tot een Zuid-Afrikaans productiebedrijf dat actief is in de chemische en productiesector. De naam van het bedrijf wordt niet vermeld, maar de jaarlijkse omzet bedraagt ongeveer 115 miljoen USD. De toegang wordt aangeboden voor 1400 USD en verloopt via een escrow-service. De toegang betreft een domeinbeheerder niveau en maakt gebruik van Forti VPN. Geïnteresseerden kunnen contact opnemen met de verkoper via een Tox ID, die in de forum post is vermeld. Dit soort toegang kan ernstige veiligheidsrisico's met zich meebrengen voor het bedrijf in kwestie.

Grootschalige Databreach in Ecuador: Gegevens van 5 Miljoen Burgers Gelekt

Op 13 juni 2024 kondigde een dreigingsactor aan dat een database met gegevens van meer dan 5 miljoen Ecuadoriaanse burgers was gelekt. De database bevat 5.360.157 records en werd in 2024 verzameld. Het bestand is 800MB groot in gecomprimeerde vorm en 11,7GB na decompressie. Deze inbreuk op persoonlijke informatie heeft ernstige implicaties voor de privacy en veiligheid van de betrokken burgers. Het type gegevens en de mogelijke manieren waarop deze kunnen worden misbruikt zijn nog onduidelijk, maar de omvang van het lek benadrukt de noodzaak van verbeterde beveiligingsmaatregelen.

Stormous Ransomware Group Voert Belangrijke Wijzigingen Door

De Stormous ransomwaregroep heeft aangekondigd dat hun operaties niet zijn opgeschort, maar dat er significante aanpassingen worden doorgevoerd. De belangrijkste verandering is de update van hun ransomwareprogramma, StmX/GhostLocker, naar versie 4, met verbeterde functies voor hun leden en andere gebruikers. Daarnaast verandert het servicemodel: ransomwarediensten worden onder bepaalde voorwaarden gratis aangeboden, terwijl andere diensten tegen betaling beschikbaar blijven. De exacte voorwaarden worden bij de lancering gecommuniceerd. Ook wordt de blog van de groep geüpdatet. Bedrijven en data die niet tijdens hun inactieve periode zijn gelekt, zullen na de herlancering gratis worden vrijgegeven. Bedrijven die voor decryptiediensten hebben betaald, worden van de opslaglijst verwijderd. Ten slotte zullen hun partners bij GhostSec, die met GhostLocker werken, naadloos worden geïntegreerd in de nieuwe softwareversie.

Ongeautoriseerde toegang aangeboden tot Italiaanse internetprovider

Een cybercrimineel biedt ongeautoriseerde toegang aan tot de database van een grote Italiaanse internetprovider via een SQL-injectie kwetsbaarheid. Deze toegang geeft toegang tot kritieke gegevens van 20 verschillende databases, waaronder klantgegevens en systeembeheerinformatie. Enkele van de genoemde databases zijn "clienti", "information_schema", "dns", en "ldap". Om detectie te voorkomen, zijn sommige databasenaam verwijderd. De cybercrimineel beweert dat deze database de belangrijkste is die door de hele internetprovider wordt gebruikt, wat de ernst van de inbreuk benadrukt. Deze situatie laat opnieuw zien hoe kwetsbaar organisaties kunnen zijn voor dergelijke aanvallen en benadrukt de noodzaak van robuuste beveiligingsmaatregelen om ongeautoriseerde toegang te voorkomen.

Onbevoegde Toegang tot VPN van Amerikaans Bedrijf te Koop

Een cybercrimineel biedt onbevoegde VPN-toegang aan tot het netwerk van een grote Amerikaanse fabrikant. De aangeboden toegang omvat beheerdersrechten voor twee hoofd domeinen, wat een ernstig beveiligingsrisico vormt. Het doelwit is een bedrijf met een omzet van meer dan $3 miljard en meer dan 6.000 computers in hun Active Directory. De toegang, die wordt aangeboden via GlobalProtect VPN, omvat domeinbeheerder en NTDS-rechten en wordt beveiligd door Cortex XDR. De crimineel vraagt $25.000 voor deze toegang, maar staat open voor onderhandelingen. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen en de noodzaak voor robuuste beveiligingsmaatregelen in bedrijven.

Gegevens van patiënten van Metro Group of Hospitals te koop aangeboden op het darkweb

Een dreigingsacteur beweert op een darkweb forum in het bezit te zijn van patiëntgegevens van de Metro Group of Hospitals in India. De aangeboden database is 379 GB groot en bevat ongeveer 1,5 miljoen IPD patiëntgegevens en 1,3 miljoen OPD patiëntgegevens. De data omvat namen, geslacht, leeftijd, mobiele nummers, adressen en burgerlijke staat van de patiënten. De dreigingsacteur heeft contactinformatie verstrekt maar geen specifieke prijs genoemd, alleen dat de prijs onderhandelbaar is. Er zijn ook voorbeeldgegevens bij de post gevoegd.

🇳🇱 Data op het darkweb: Play lekt gegevens van Nederlands interieurbedrijf

Op 12 juni 2024 hebben de cybercriminelen van Play gegevens van het Nederlandse interieurbouwbedrijf Aldenhoven op het darkweb geplaatst. De gelekte data omvat vermoedelijk gevoelige klantinformatie en bedrijfsgegevens van Aldenhoven. Play is een beruchte hackerscollectief dat zich richt op het stelen en lekken van vertrouwelijke gegevens. Organisaties wordt dringend geadviseerd hun cyberveiligheid te verhogen om dergelijke aanvallen te voorkomen en de impact ervan te beperken. De autoriteiten zijn een onderzoek gestart naar deze datalek.

Datalek bij Truist Bank na cyberstaking in oktober 2023

De toonaangevende Amerikaanse bank Truist heeft bevestigd dat haar systemen in oktober 2023 gehackt zijn, nadat een cybercrimineel geprobeerd heeft gestolen gegevens van de bank te verkopen op een hackforum. De aanvaller claimde data van 65.000 medewerkers, inclusief bankgegevens zoals namen, rekeningnummers en saldi, in handen te hebben. Truist heeft gezegd dat een kleine groep klanten in de herfst van 2023 al op de hoogte is gebracht van het incident. Na nieuwe informatie uit het lopende onderzoek zijn aanvullende klanten recent geïnformeerd. De bank zegt tot dusver geen aanwijzingen te hebben dat er fraude heeft plaatsgevonden als gevolg van de hack. Truist werkt samen met wetshandhavers en cyberbeveiligingsexperts om verdere maatregelen te nemen en de systemen te beveiligen.

Ransomware-aanval bij Ascension na downloadfout van werknemer

Ascension, één van de grootste Amerikaanse gezondheidszorgsystemen, onthulde dat een ransomware-aanval in mei 2024 werd veroorzaakt doordat een werknemer per ongeluk een kwaadaardig bestand had gedownload op een bedrijfsapparaat. Deze "eerlijke vergissing" had grote gevolgen, aangezien het de systemen voor elektronische patiëntendossiers, telefoons en bestellingen voor testen, procedures en medicijnen platlegde. Ascension moest noodgedwongen sommige apparaten offline halen en medewerkers instructies op papier laten bijhouden. De aanval forceerde Ascension ook om niet-dringende ingrepen, testen en afspraken uit te stellen en spoeddiensten door te verwijzen. Hoewel de daders toegang hadden tot slechts 7 van de 25.000 servers, vermoedt Ascension dat sommige gestolen bestanden medische en persoonlijke gegevens bevatten. Vooralsnog lijkt het elektronische patiëntendossier echter gespaard. De Black Basta-ransomwaregroep wordt in verband gebracht met deze aanval op één van de grootste non-profitsystemen in de VS. 1, 2

New York Times waarschuwt freelancers over datalekken na GitHub-inbraak

De New York Times heeft een onbekend aantal medewerkers gewaarschuwd dat een deel van hun gevoelige persoonlijke informatie is gestolen en gelekt nadat de GitHub-repositories van de krant in januari 2024 werden gehackt. De aanvallers gebruikten blootgestelde inloggegevens om toegang te krijgen tot de GitHub-repo's van de krant, maar de inbraak had geen invloed op de interne bedrijfssystemen of de operaties. De gestolen informatie omvatte namen, telefoonnummers, e-mailadressen, adresgegevens, nationaliteit, bio's, websites en sociale mediaprofielen van medewerkers. Daarnaast bevatten de gehackte repo's informatie over opdrachten, zoals duik- en dronecertificaten. De New York Times raadt getroffen personen aan voorzichtig te zijn met onverwachte e-mails, telefoontjes of berichten waarin om persoonlijke gegevens wordt gevraagd en sterk aan om twee-factorauthenticatie in te schakelen. 1

Ransomware-aanval op Torontoschoolbestuur

Het grootste schoolbestuur van Canada, het Toronto District School Board (TDSB), heeft een ransomware-aanval gemeld op zijn testsoftware-omgeving. Het bestuur onderzoekt momenteel of er gevoelige persoonlijke informatie is gelekt. TDSB beheert 473 basisscholen, 110 middelbare scholen en vijf volwasseneneducatie-instellingen met een jaarlijks budget van ongeveer 2,5 miljard dollar. Hoewel alle systemen operationeel blijven, heeft TDSB de politie en privacytoezichthouder ingelicht. Het werkt samen met cyberveiligheidsexperts om de omvang van het incident vast te stellen. TDSB zal getroffen personen op de hoogte brengen als uit het onderzoek blijkt dat er een datalek heeft plaatsgevonden. Het bedient ongeveer 247.000 leerlingen en 40.000 medewerkers, dus de impact kan aanzienlijk zijn. 1

Panera Bread waarschuwt voor datalek van werknemersgegevens na ransomware-aanval

Panera Bread, een grote Amerikaanse voedselbedrijf, waarschuwt werknemers voor een datalek nadat cybercriminelen hun gevoelige persoonlijke informatie hebben gestolen tijdens een ransomware-aanval in maart. De aanval veroorzaakte een week durende storing in de interne IT-systemen, websites, apps en kassa's van de onderneming. Panera heeft de aanval onderzocht, externe cyberbeveiligingsexperts ingehuurd en de autoriteiten ingelicht. De gestolen bestanden bevatten de namen en sociale zekerheidsnummers van werknemers. Panera biedt getroffen werknemers een jaar lang identiteitsmonitoring aan om de schade te beperken. Details over de aanvallers en het aantal getroffen werknemers zijn nog niet bekendgemaakt. 1

🇳🇱 Datalek op het darkweb: Eurotrol BV slachtoffer van cyberaanval

Op 12 juni 2024 doken gestolen gegevens van Eurotrol BV, een Nederlands bedrijf, op het darkweb op. De cybercriminelen groep Blacksuit claimde verantwoordelijk te zijn voor deze dataschending. Hoewel de precieze omvang van het lek nog onbekend is, waarschuwen deskundigen dat dergelijke lekken ernstige gevolgen kunnen hebben voor bedrijven en individuen wier gegevens zijn gestolen. Eurotrol BV heeft nog geen officiële verklaring afgegeven over dit incident. Verdere details worden verwacht zodra het onderzoek vordert.

🇧🇪 Data van Belgische Uitgeverij Groupe Multimedia IPM op Darkweb na Cyberaanval 

De Belgische uitgeverij Groupe Multimedia IPM is het recentste slachtoffer van een grootschalige cyberaanval door de hackersgroep Akira. Op 12 juni 2024 werd op het darkweb aangekondigd dat gevoelige data van het bedrijf was gestolen en gelekt. Groupe Multimedia IPM is uitgever van meerdere vooraanstaande kranten en tijdschriften in België. Akira eist vermoedelijk losgeld om de gelekte data niet openbaar te maken. Meer details over de omvang van het datalek zijn momenteel nog niet bekend. Cybercriminaliteit blijft een groeiend probleem waar bedrijven en overheden wereldwijd mee te maken krijgen.

🇳🇱 GBTwente getroffen door datalek bij leverancier AddComm

Bij de ransomware-aanval op het klantcommunicatiebedrijf AddComm zijn ruim 1800 documenten gestolen van het Gemeentelijk Belastingkantoor Twente (GBTwente). AddComm verstuurt belastingaanslagen en andere documenten voor ongeveer 60 gemeenten en commerciële partijen. Tijdens de inbraak wisten criminelen gegevens van klanten te stelen, waaronder 1873 documenten van GBTwente. Volgens het belastingkantoor bevatten sommige documenten persoonsgegevens zoals naam, adres, woonplaats, WOZ-waarde en aanslag bedragen, maar geen bankrekening- of BSN-nummers. GBTwente heeft gedupeerden per brief geïnformeerd. AddComm betaalde losgeld om te voorkomen dat de gestolen data openbaar zou worden gemaakt, maar GBTwente adviseert inwoners alert te blijven op mogelijke fraudeactiviteiten met de gelekte gegevens. 1, 2

Phishing-mails misbruiken Windows-zoekprotocol om malafide scripts te verspreiden

Een nieuwe phishingcampagne maakt gebruik van HTML-bijlagen die het Windows-zoekprotocol (search-ms URI) misbruiken om batch-bestanden van externe servers te downloaden die malware verspreiden. De aanvallen beginnen met een e-mailbijlage in een klein ZIP-bestand dat een HTML-document bevat. Dit document forceert de browser om automatisch een kwaadaardige URL te openen die een Windows-zoekopdracht initieert op een externe server van de aanvallers. De zoekopdracht toont vervolgens een snelkoppeling naar een script dat van diezelfde server wordt opgehaald. Als het slachtoffer hierop klikt, wordt mogelijk malware uitgevoerd. Deze techniek omzeilt beveiligingsmaatregelen door gebruik te maken van een legitieme Windows-functionaliteit. Voorzichtigheid is geboden bij het openen van HTML-bijlagen of het klikken op zoekopdrachten naar externe bronnen. 1

Criminelen geven zich uit voor CISA-medewerkers in telefoongesprekken

Het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt dat criminelen zich voordoen als CISA-medewerkers tijdens telefoongesprekken. De oplichters proberen slachtoffers te misleiden en over te halen geld over te maken. Dit is een groeiende trend waarbij fraudeurs overheidsmedewerkers nadoen om hun zwendelpraktijken geloofwaardig te laten lijken. CISA-personeel zal echter nooit vragen om geld over te maken of om discretie te betrachten. Het agentschap adviseert verdachte telefoongesprekken direct te beëindigen, de identiteit van de beller te verifiëren en de poging bij de autoriteiten te melden. Vorig jaar leidde dit soort oplichting tot meer dan $1,1 miljard aan verliezen, drie keer meer dan in 2020, volgens de Federal Trade Commission. [cisa]

Gevaarlijke nieuwe phishingkit maakt gebruik van Progressive Web Apps

Een nieuwe gevaarlijke phishingkit is uitgebracht waarmee cybercriminelen en ethische hackers Progressive Web Apps (PWA's) kunnen creëren die overtuigende bedrijfslogin-formulieren weergeven om inloggegevens te stelen. Een PWA is een webapplicatie die kan worden geïnstalleerd als een desktopapp, waardoor het eruit ziet als een legitieme app. Deze phishingkit maakt het mogelijk om een valse adresbalk met een nep-URL weer te geven, waardoor de login-vorm er nog overtuigender uitziet. Hoewel gebruikers overtuigd moeten worden de PWA te installeren, kan dit gemakkelijker zijn bij websites die software verspreiden. Daarnaast worden Windows-gebruikers actief gevraagd de PWA aan de taakbalk toe te voegen, waardoor ze de app vaker kunnen gebruiken. Met bestaande groepsbeleidsinstellingen kan de installatie van PWA's niet worden verboden. De onderzoeker waarschuwt dat mensen gemakkelijk bedrogen kunnen worden omdat ze niet bekend zijn met PWA-phishing. [github]

Afpersingspoging na datalek bij Life360 en Tile

Locatie- en veiligheidsdienstverlener Life360 was het doelwit van een afpersingspoging nadat een aanvaller gevoelige klantinformatie had gestolen van het klantenondersteuningsplatform van Tile, een bedrijf dat Life360 in 2021 heeft overgenomen. De aanvaller wist namen, adressen, e-mailadressen, telefoonnummers en apparaat-id's van Tile-klanten te bemachtigen. Volgens Life360 zijn er geen gevoeliger gegevens zoals creditcardnummers, wachtwoorden of locatiegegevens gelekt. Het bedrijf heeft stappen ondernomen om de systemen te beveiligen en de afpersingspoging gemeld bij de autoriteiten. Life360 heeft nog niet bekendgemaakt hoeveel klanten precies zijn getroffen door het datalek. [tile, 404media]

Black Basta ransomwaregroep misbruikt Windows-kwetsbaarheid vóór patch

De Black Basta ransomwaregroep wordt ervan verdacht een Windows privilege-escalatiekwetsbaarheid, CVE-2024-26169, te hebben misbruikt voordat er een patch beschikbaar was. Deze kwetsbaarheid in de Windows Error Reporting Service laat aanvallers toe om hun privileges te verhogen tot SYSTEM-niveau. Microsoft loste het lek op 12 maart 2024 op met beveiligingsupdates, hoewel hun pagina aangeeft dat er geen actieve aanvallen waren. Beveiligingsonderzoeker Symantec ontdekte dat de Black Basta-groep een exploit-tool voor deze kwetsbaarheid gebruikte na een initiële infectie met de DarkGate loader. De timestamps van de exploit-tool suggereren dat Black Basta de kwetsbaarheid mogelijk als een zero-day heeft misbruikt, tot 85 dagen voordat Microsoft een patch uitbracht. Black Basta heeft eerder expertise getoond in het misbruiken van Windows-hulpmiddelen en heeft naar schatting meer dan 500 organisaties aangevallen sinds april 2022, met een geschatte $100 miljoen aan losgeldbetalingen.

Demonstratie van CVE-2024-26169-exploit gebruikt door Black Basta

Cyberaanval ontwricht digitale dienstverlening in Cleveland

De stad Cleveland in de Amerikaanse staat Ohio kampt momenteel met een cyberaanval waardoor burgergerichte diensten offline zijn gehaald. Dit omvat openbare kantoren en faciliteiten bij Erieview en het stadhuis. Cleveland is met een bevolking van meer dan 2 miljoen inwoners in de grootstedelijke regio een belangrijk centrum voor gezondheidszorg, productie, financiën, logistiek, onderwijs en technologie in Ohio. De verstoring werd zaterdag bekendgemaakt, waarbij de autoriteiten waarschuwden dat openbare diensten waren teruggebracht tot essentiële operaties vanwege een cyber-incident. Een update meldde dat cruciale diensten zoals noodhulpdiensten, politie, brandweer, openbare werken, nutsvoorzieningen en luchthavens niet waren getroffen. De autoriteiten onderzoeken de aanval met externe experts en beloven updates zodra er meer informatie beschikbaar is. Tot dusver is bevestigd dat belastinggegevens en klantinformatie van nutsbedrijven niet zijn buitgemaakt. Burgers worden geadviseerd 311 te bellen voor nadere informatie.

Nieuwe Warmcookie-malware verspreidt zich via nepvacatures

De Warmcookie-malware, een nooit eerder gezien kwaadaardig programma voor Windows, wordt verspreid via phishingcampagnes met nepvacatures om toegang te krijgen tot bedrijfsnetwerken. Dit malwarevoorbeeld is in staat tot uitgebreide vingerafdrukherkenning van machines, screenshotopname en het deployen van extra malafide lading. De cybercriminelen maken wekelijks nieuwe domeinen aan om hun schadelijke operaties te ondersteunen en versturen phishingmails met geloofwaardige vacatureaanbiedingen. De bijgevoegde links leiden naar nagebouwde recruteringssites waar slachtoffers JavaScript-bestanden downloaden die de malware installeren. Eenmaal geïnstalleerd, verzamelt Warmcookie informatie over het geïnfecteerde systeem, maakt screenshots, voert opdrachten uit en kan extra kwaadaardige code downloaden. Het is een geavanceerde backdoor die al aanzienlijke schade kan aanrichten, ondanks dat er nog ruimte voor verbetering is. [elastic]

❗️TellYouThePass ransomware maakt misbruik van recente PHP-kwetsbaarheid

De TellYouThePass ransomwaregroep maakt misbruik van de recent gepatchte kwetsbaarheid CVE-2024-4577, een kritieke remote code execution bug in PHP, om servers binnen te dringen. Minder dan 48 uur na de release van beveiligingsupdates op 6 juni, begonnen de aanvallen met gebruik van openbaar beschikbare exploit-code. TellYouThePass is bekend om snel in te springen op nieuwe kwetsbaarheden met een grote impact. De aanvallers gebruiken de fout om webshells te leveren en vervolgens hun ransomware-payload uit te voeren op de gecompromitteerde systemen. De malware versleutelt bestanden en laat een losgeldnota achter met instructies om bitcoins te betalen voor een decryptiesleutel. Gebruikers melden dat meerdere websites zijn getroffen sinds 8 juni. De PHP-kwetsbaarheid treft alle versies en stelt aanvallers in staat willekeurige code uit te voeren. [imperva]

Beveiligingsinbreuk bij Pure Storage treft klantgegevens

Pure Storage, een cloudprovider die diensten voor cloudopslag aanbiedt, heeft een beveiligingsinbreuk gemeld waarbij klantgegevens mogelijk in handen van aanvallers zijn gekomen. De inbraak vond plaats in de Snowflake-omgeving van het bedrijf, waar telemetriegegevens voor klantondersteuning worden opgeslagen. Deze gegevens bevatten bedrijfsnamen, LDAP-gebruikersnamen, e-mailadressen en informatie over gebruikte Pure Storage-software. Het is onduidelijk hoe de aanvallers toegang tot de Snowflake-omgeving hebben gekregen. Eerder meldde beveiligingsbedrijf Mandiant dat ongeveer 165 Snowflake-klanten mogelijk slachtoffer zijn geworden van aanvallen met behulp van malware. Pure Storage onderzoekt de zaak verder en raadt klanten aan voorzorgsmaatregelen te nemen. [purestorage]

Hackergroep Darkmeta claimt omvangrijke cyberaanvallen op Microsoft

De hackergroep Darkmeta claimt verantwoordelijk te zijn voor een reeks gedistribueerde denial-of-service (DDoS) aanvallen op meerdere Microsoft-platformen. De groep beweert dat hun aanvallen al meer dan 27 uur duren en ernstige verstoringen hebben veroorzaakt in Microsoft's online diensten. Volgens Darkmeta zijn de supportdiensten van Microsoft zo zwaar getroffen dat klanten wereldwijd geen klachten meer kunnen indienen of assistentie kunnen krijgen via de website. De groep zegt ook dat de officiële Microsoft News-app en -website niet goed meer functioneren door de aanvallen. Darkmeta dreigt ermee de aanvallen uit te breiden naar de Microsoft Store, wat kan leiden tot verdere serviceonderbrekingen. De cybercampagne lijkt gericht op verschillende segmenten binnen Microsoft.

Ongeoorloofde VPN-toegang tot IT-servicebeheerder in de VS en ander land te koop aangeboden

Een cybercrimineel biedt ongeoorloofde VPN-toegang te koop aan tot de systemen van een IT-servicebeheerder die actief is in de Verenigde Staten en een ander niet nader genoemd land. Het bedrijf zou een jaarlijkse omzet van meer dan 500 miljoen dollar hebben. De vraagprijs voor deze toegang is vastgesteld op 5.000 dollar, met ruimte voor onderhandeling. De aangeboden toegang omvat netwerkadministratorcredentials, wat een aanzienlijke controle over de IT-infrastructuur van het bedrijf mogelijk maakt. Er zou geen antivirussoftware actief zijn, wat kan wijzen op kwetsbaarheden in het systeem. De verkoper accepteert een tussenpersoon voor de transactie, mogelijk om anonimiteit en veiligheid te waarborgen. Deze ongeoorloofde toegang vormt een ernstige bedreiging voor de bedrijfsvoering en kan leiden tot datalekken, dienstverstoring en mogelijke blootstelling van gevoelige klantgegevens. De aanbieding onderstreept de noodzaak van robuuste cyberbeveiligingsmaatregelen om ongeautoriseerde toegang te voorkomen.

Mogelijke 0-day-kwetsbaarheden in OpenCart Aangevallen

In een bericht op een darkwebforum beweerde een aanvaller twee kritieke 0-day-kwetsbaarheden in de meest recente versie van OpenCart, een populair e-commerceplatform, te hebben ontdekt. De eerste kwetsbaarheid is een SQL-injectielek in het beheerdersdashboard. De tweede stelt ongeregistreerde gebruikers in staat backups te downloaden door een gebrek aan toegangscontrole. De aanvaller noemde ook twee andere mogelijke kwetsbaarheden, maar kon die niet verifiëren. Een video ter ondersteuning werd gedeeld, en geïnteresseerden werden uitgenodigd vragen te stellen via priveberichten en commentaren. Er werd geen prijs of losgeldverzoek vermeld. De lengte van de samenvatting is ongeveer 150 woorden.

Dreigende Verkoop van Gevoelige Truist Bank Data na Snowflake Datalek

Een cybercrimineel claimt een grote hoeveelheid vertrouwelijke gegevens van Truist Bank in handen te hebben en te koop aan te bieden voor $1.000.000. De aangeboden data omvat onder meer persoonlijke informatie van 65.000 werknemers, details van banktransacties zoals klantnamen, rekeningnummers en saldi, en de broncode van het interactieve spraaksysteem voor geldoverdrachten. De crimineel linkt dit datalek aan een eerdere inbraak bij Snowflake. Het openbaar maken van deze gevoelige gegevens zou verstrekkende gevolgen kunnen hebben voor de bank, haar personeel en klanten, zoals identiteitsfraude en financiële criminaliteit. De torenhoge vraagprijs onderstreept de waargenomen waarde van de buitgemaakte informatie.

Datalek van Italiaans hostingbedrijf Aruba met 10.400 klantenrecords

Een cybercrimineel claimt dat hij een database van het Italiaanse hostingbedrijf Aruba S.p.A. heeft gestolen met daarin 10.400 records met uitgebreide persoonlijke gegevens van klanten. De gelekte data omvat onder meer namen, geboortedata, contactgegevens, beroepsdetails, lidmaatschapsinformatie en woonadresgegevens. De dader biedt een datavoorbeeld aan en potentiële kopers moeten privé contact opnemen voor de prijs. Aruba is een toonaangevend Italiaans bedrijf voor webhosting en domeinnaamregistratie. Dit datalek onderstreept de voortdurende kwetsbaarheid op het gebied van digitale beveiliging en het belang van datasecurity.

Handala Team claimt toegang te hebben tot 800GB data van SolidCAM

De hackergroep Handala Team heeft aangekondigd dat ze met succes SolidCAM, een toonaangevende aanbieder van geïntegreerde CAD/CAM-oplossingen voor productiebedrijven, hebben gehackt. Volgens de groep hebben ze toegang gekregen tot meer dan 800GB aan data van het bedrijf. SolidCAM levert CAM-software voor o.a. de luchtvaart- en dronesector. Handala Team stelt maandenlang actief te zijn geweest in SolidCAM's netwerk en hint naar een link met recente ongevallen en explosies. Het bedrijf genereert jaarlijks meer dan $200 miljoen omzet, waardoor de hack mogelijk verstrekkende gevolgen kan hebben voor de betrokken gevoelige industrieën.

Ongeautoriseerde toegang tot Turkse productiemaatschappij te koop aangeboden

Een cybercrimineel beweert lokale admin-toegang te hebben tot een Turkse onderneming in de bouwmaterialen- en productiesector via een kwetsbare WatchGuard VPN-verbinding. De ongeautoriseerde toegang wordt aangeboden voor verkoop, met een omzet van ongeveer 169 miljoen dollar voor de betreffende onderneming. De verkoper eist een gegarandeerde escrow-dienst voor de transactie om vertrouwen te waarborgen. Eventuele bronvermeldingen naar andere websites zijn weggelaten uit deze samenvatting.

Mandiant onthult details over aanval op Snowflake-klanten

In een recent onderzoek heeft beveiligingsbedrijf Mandiant details onthuld over een grootschalige aanval waarbij inloggegevens van honderden Snowflake-klanten zijn gestolen. De aanvallers, een groep financieel gemotiveerde criminelen, wisten werksystemen en persoonlijke systemen van medewerkers te infecteren met infostealer-malware. Hierdoor konden ze inloggegevens bemachtigen en toegang krijgen tot de Snowflake-omgevingen van getroffen organisaties, vaak met beheerdersrechten. Volgens Mandiant vonden de infecties met malware vooral plaats op laptops van contractors die zowel voor werk als privédoeleinden werden gebruikt, zoals gaming en illegale downloads. Deze systemen vormden een groot risico, omdat ze toegang boden tot meerdere organisaties. Eenmaal binnen konden de aanvallers data stelen en de getroffen bedrijven afpersen. De kwetsbaarheid werd verergerd doordat de gecompromitteerde accounts geen gebruik maakten van multifactorauthenticatie. Mandiant benadrukt daarom het belang van MFA en monitoring op gestolen inloggegevens om dergelijke aanvallen te voorkomen. [Mandiant]

Kwaadaardige actoren misbruiken GitHub-meldingen voor afpersing

Kwaadaardige actoren maken misbruik van GitHub-meldingen om valse phishing-mails te verspreiden waarin ze zich voordoen als GitHub's beveiligingsteam of recruiters. Deze mails bevatten kwaadaardige OAuth-apps die toegang vragen tot privérepositories en gebruikersgegevens. Zodra de slachtoffers de app autoriseren, wissen de aanvallers de inhoud van de repositories en eisen losgeld om de data terug te krijgen. Sinds februari zijn tientallen ontwikkelaars doelwit geweest van deze campagne, waarbij ze nepjoboffers of beveiligingswaarschuwingen ontvingen van "notifications@github.com". De phishing-mails leiden naar oplichtersites als githubcareers.online. Eenmaal toegang verkregen, hernoemen de aanvallers de repositories en laten ze een README-bestand achter met Telegram-contactgegevens voor losgeldonderhandelingen. GitHub waarschuwt gebruikers om onbekende OAuth-apps nooit te autoriseren, periodiek geautoriseerde apps te controleren en misbruik te melden. Hoewel GitHub aan een oplossing werkt, roept het platform op om deze phishingcampagne vooral niet te negeren.

Cylance bevestigt datalek gekoppeld aan een 'derde-partijplatform'

Cyberbeveiligingsbedrijf Cylance heeft bevestigd dat gestolen gegevens die te koop worden aangeboden op een hackforum inderdaad legitiem zijn. Het bedrijf verklaarde dat het om oude gegevens gaat die zijn buitgemaakt van een 'derde-partijplatform' dat niet gerelateerd is aan BlackBerry, de huidige eigenaar van Cylance. De gestolen data lijkt afkomstig uit de periode 2015-2018, voordat BlackBerry Cylance overnam. Volgens Cylance zijn er geen actuele klantgegevens of gevoelige informatie gelekt. De hacker die de gegevens verkoopt, eist 750.000 dollar voor een dataset met naar verluidt 34 miljoen e-mailadressen van klanten, werknemers en partners. Cylance onderzoekt de situatie, maar stelt dat hun eigen systemen en klantdata niet zijn gecompromitteerd.

Grootschalig datalek bij 23andMe onderzoek door privacytoezichthouders

Privacytoezichthouders uit het Verenigd Koninkrijk en Canada hebben een gezamenlijk onderzoek ingesteld naar dna-testbedrijf 23andMe vanwege een groot datalek vorig jaar. Door een credential stuffing-aanval wisten aanvallers toegang te krijgen tot de accounts van 14.000 gebruikers. Vervolgens slaagden zij erin de afstammingsgegevens van 6,9 miljoen gebruikers die gebruikmaakten van de 'DNA Relatives'-functie te stelen. Daarnaast werden ook gezondheidsrapporten en genetische gegevens buitgemaakt. De toezichthouders onderzoeken de omvang van de gelekte informatie, de eventuele schade voor gebruikers, en of 23andMe voldoende beveiligingsmaatregelen had getroffen en de melding correct heeft afgehandeld. Met meer dan 14 miljoen gebruikers wereldwijd, waaronder in Nederland, vormt dit datalek een grote privacyschending.[ico, priv]

🇳🇱 Edge-apparaten steeds vaker doelwit van cyberaanvallen

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat vpn-servers, firewalls en andere zogenaamde 'edge devices' in toenemende mate worden aangevallen door kwaadwillenden. Deze apparaten vormen een aantrekkelijk doelwit, omdat ze vaak gevoelige gegevens verwerken en toegang kunnen geven tot achterliggende netwerken. Na toegang te hebben verkregen, kunnen aanvallers malware installeren, inloggegevens stelen of het netwerk verder binnendringen. Het NCSC beschrijft vijf risico's bij het gebruik van edge devices: onbekend aanvalsoppervlak, beperkt inzicht in de apparaten zelf, misconfiguraties, gebrekkig patchmanagement en complexe herstelacties na een aanval. Bovendien zijn veel apparaten niet ontwikkeld volgens hedendaagse veiligheidsprincipes en hebben organisaties weinig controle over de onderliggende broncode. Om deze risico's te beperken, adviseert het NCSC organisaties om edge devices in kaart te brengen, te monitoren op misbruik, een patchbeleid op te stellen en oude, onveilige apparaten tijdig te vervangen. Ook moet de mentaliteit 'Assume breach' worden gehanteerd: ga ervan uit dat systemen eerder gehackt dan veilig zijn.

Bloedtekort in Britse ziekenhuizen door ransomware-aanval

De Britse gezondheidszorg heeft een dringende oproep gedaan aan bloeddonoren met bloedgroep O om bloed te doneren. Dit komt door een ransomware-aanval op de IT-leverancier Synnovis, waardoor verschillende ziekenhuizen getroffen zijn. Door de aanval konden operaties niet doorgaan en waren bloedtransfusies en testresultaten ernstig verstoord. Ziekenhuizen kunnen de bloedgroep van patiënten niet snel genoeg matchen, wat handmatig moet gebeuren. Daarom is er een grote vraag naar bloedgroep O, omdat dit bloed veilig voor alle patiënten te gebruiken is. NHS Blood and Transplant benadrukt dat de bloedvoorraad continu moet worden aangevuld, omdat bloed maar 35 dagen goed blijft. De chief medical officer roept op meer donoren met bloedgroep O te werven om Londense ziekenhuizen operaties te laten uitvoeren. [nhsbt, bbc, telegraph]

Christie's Lekt Persoonlijke Gegevens van 46.000 Klanten na Ransomware-aanval

Het gerenommeerde Britse veilinghuis Christie's is getroffen door een ransomware-aanval waarbij de persoonsgegevens van circa 46.000 klanten zijn gestolen. De criminelen achter de RansomHub-ransomware claimden aanvankelijk dat ze data van 500.000 klanten hadden buitgemaakt, maar Christie's meldt dat het om ongeveer 46.000 personen gaat. De gestolen gegevens werden gedeeltelijk online gedeeld, maar de ransomwaregroep beweert inmiddels dat de data is verkocht. Christie's biedt getroffen klanten een jaar gratis identiteitsbescherming aan. Een gedupeerde klant heeft een rechtszaak aangespannen tegen het veilinghuis, stellende dat Christie's nalatig is geweest in de beveiliging waardoor de aanval had kunnen worden voorkomen.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Slachtoffers België en Nederland

Meer weekoverzichten