Reading in 🇬🇧 or another language

Grootschalige cyberaanvallen op bedrijven en organisaties

In week 28 van 2024 zien we een zorgwekkende toename van cyberaanvallen op diverse sectoren, van financiële instellingen tot technologiebedrijven en overheidsorganisaties. Een van de meest opvallende incidenten is de aanval door de Vanir Group, een beruchte cybercriminelenbende, die op 11 juli vertrouwelijke gegevens van Athlon op het darkweb publiceerde. Athlon, actief in de Nederlandse niet-deposito instellingen sector, benadrukt met dit incident de noodzaak voor bedrijven om hun cyberbeveiliging te versterken.

NOAB, de branchevereniging voor administratie- en belastingadvieskantoren, is eveneens getroffen door cybercriminelen. Op 6 juli kondigde Lockbit3 aan dat zij NOAB hebben aangevallen en vertrouwelijke gegevens op het darkweb hebben gezet. NOAB, met 1.100 aangesloten kantoren die 175.000 ondernemers ondersteunen, ziet hiermee een serieuze bedreiging voor de vertrouwelijkheid van hun gegevens.

Daarnaast werden verschillende gedecentraliseerde financiële (DeFi) platforms slachtoffer van gecoördineerde DNS-hijackings. Platforms zoals Compound Finance en Celer Network zagen hoe hun gebruikers werden omgeleid naar phishingpagina's die ontworpen waren om cryptovaluta en NFT's te stelen. De aanvallen worden in verband gebracht met een kwetsbaarheid tijdens de migratie van domeinen van Google Domains naar Squarespace.

Gecompromitteerde gegevens en losgeldeisen

Ticketmaster werd ook getroffen door een grootschalige data-inbreuk waarbij 10 miljoen barcodes van evenementen werden gecompromitteerd. De aanvaller eist een losgeld van 1 miljoen dollar en beweert dat deze barcodes niet vernieuwd kunnen worden, waardoor gebruikers hun tickets mogelijk opnieuw moeten afdrukken om toegang te krijgen tot evenementen.

Een ander incident betrof Microsoft, waarbij een bedreigingsacteur gegevens van ongeveer 2.000 Microsoft-werknemers publiceerde. Dit lek onderstreept opnieuw de kwetsbaarheid van zelfs de grootste techbedrijven voor datalekken en de noodzaak van voortdurende waakzaamheid en beveiligingsmaatregelen.

Daarnaast heeft een kwetsbaarheid in de Modern Events Calendar WordPress-plugin, die door meer dan 150.000 websites wordt gebruikt, geleid tot aanvallen waarbij hackers willekeurige bestanden konden uploaden en code op afstand uitvoeren. Webnus, de ontwikkelaar van de plugin, heeft een update uitgebracht om deze kwetsbaarheid te verhelpen, maar gebruikers worden geadviseerd om zo snel mogelijk te upgraden.

Kwetsbaarheden en snelle exploitatie

Microsoft meldde ook actief misbruik van twee kwetsbaarheden in Windows Hyper-V en MSHTML. Deze kwetsbaarheden stellen aanvallers in staat om systeemtoegang te krijgen en spoofing-aanvallen uit te voeren. Gebruikers wordt aangeraden om de benodigde updates snel te installeren om misbruik te voorkomen.

Het Application Security-rapport van Cloudflare laat zien dat proof-of-concept (PoC) exploits soms al binnen 22 minuten na vrijgave door hackers worden gebruikt in aanvallen. Deze snelle exploitatie van kwetsbaarheden benadrukt de noodzaak voor bedrijven om snel te reageren op beveiligingslekken en proactieve maatregelen te nemen om hun systemen te beschermen.

Een mogelijke gegevensinbreuk bij Dresslily, waarbij 11 miljoen gebruikersrecords te koop werden aangeboden, roept verdere bezorgdheid op over de beveiliging van e-commerce platforms. Dresslily-gebruikers worden geadviseerd om alert te zijn op phishingpogingen.

Ransomware aanvallen en gegevensdiefstal

De ransomware-aanval op Rite Aid, een van de grootste drogisterijketens in de VS, leidde tot de bevestiging van een datalek waarbij klantgegevens werden gestolen. Dit incident toont aan hoe kwetsbaar zelfs de grootste bedrijven zijn voor ransomware-aanvallen en de noodzaak van robuuste beveiligingsmaatregelen.

Een hacktivistische groep genaamd "NullBulge" beweerde de interne Slack van Disney te hebben gelekt, waarbij 1,1 terabytes aan data werd vrijgegeven. Dit incident benadrukt de toenemende dreiging van gegevensdiefstal via interne communicatiesystemen.

Softwarebedrijf CDK Global betaalde 25 miljoen dollar losgeld na een ransomware-aanval, wat de impact van dergelijke aanvallen op de bedrijfsvoering en financiële stabiliteit van organisaties benadrukt. De kritiek op het betalen van losgeld wijst op de bredere implicaties voor de ondersteuning van criminele activiteiten.

Wereldwijde impact van cyberdreigingen

De hernieuwde aanvallen door gebruik te maken van een jaar oude kwetsbaarheid in Veeam tonen aan dat verouderde software vaak een doelwit blijft voor cybercriminelen. Dit benadrukt het belang van regelmatige updates en proactieve beveiligingsmaatregelen om systemen te beschermen tegen bekende bedreigingen.

Spywareleverancier mSpy heeft tien jaar aan klantgegevens gelekt door een inbraak in hun Zendesk-omgeving. Dit incident onderstreept de risico's van spyware en de noodzaak van strenge beveiligingsmaatregelen voor bedrijven die gevoelige gebruikersgegevens beheren.

AT&T meldde dat de telefoongegevens van bijna alle klanten zijn gelekt, wat de omvang van de schade door datalekken in de telecomsector illustreert. Dit incident benadrukt de noodzaak van verbeterde beveiligingsmaatregelen om klantgegevens te beschermen tegen cybercriminelen.

Het Amerikaanse technologiebedrijf Hyperice werd slachtoffer van de Play ransomware groep, die vertrouwelijke gegevens buitmaakte en losgeld eiste. Dit incident toont de voortdurende dreiging van ransomware voor technologiebedrijven en de noodzaak van robuuste cyberbeveiligingsstrategieën.

De Japanse ruimtevaartorganisatie JAXA ontdekte meerdere zero-day exploits tijdens een onderzoek naar een cyberaanval, wat de geavanceerdheid van cyberdreigingen en de noodzaak van voortdurende beveiligingsinspanningen illustreert.

Een grootschalige Bitcoin-diefstal bij de Japanse cryptobeurs Bitcoin.DMM.com toont de kwetsbaarheid van cryptoplatforms voor cyberaanvallen en de noodzaak van sterke beveiligingsmaatregelen om digitale activa te beschermen.

American Golf Corporation werd getroffen door een cyberaanval door de Medusa-ransomwaregroep, waarbij gevoelige gegevens werden buitgemaakt en een losgeld werd geëist. Dit incident benadrukt de voortdurende dreiging van ransomware voor diverse sectoren.

In Zuidoost-Azië kwamen twee grote crypto-misdaadzaken aan het licht, waarbij miljarden aan scamtransacties en elektriciteitsdiefstal werden ontdekt. Deze zaken illustreren de grootschalige en complexe aard van cryptofraude in de regio.

Een dreigingsactor beweerde een SQL-injectie kwetsbaarheid voor phpBB te verkopen, wat de voortdurende risico's van webapplicatiekwetsbaarheden benadrukt. Bedrijven moeten waakzaam blijven en regelmatige beveiligingsupdates uitvoeren om hun systemen te beschermen.

De Spaanse verkeerswebsite sede.dgt.gob.es werd slachtoffer van een cyberaanval, waarbij gegevens van 1,6 miljoen gebruikers werden gelekt. Dit incident benadrukt de noodzaak van effectieve beveiligingsmaatregelen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Darkweb:

  • Uitleg: Een deel van het internet dat niet toegankelijk is via standaard webbrowsers en zoekmachines. Het wordt vaak gebruikt voor illegale activiteiten omdat het anonimiteit biedt.

• DNS-hijacking:

  • Uitleg: Een type cyberaanval waarbij de aanvaller de DNS-instellingen van een website manipuleert, waardoor bezoekers worden omgeleid naar kwaadaardige websites.

• Phishing:

  • Uitleg: Een vorm van internetfraude waarbij criminelen proberen persoonlijke gegevens te verkrijgen door zich voor te doen als een betrouwbare partij, vaak via e-mails of nepwebsites.

• DeFi (Decentralized Finance):

  • Uitleg: Een systeem van financiële toepassingen gebouwd op blockchain-technologie die traditionele financiële diensten zoals lenen en sparen aanbieden zonder tussenkomst van traditionele financiële instellingen.

• Proof-of-concept (PoC) exploits:

  • Uitleg: Demonstraties of testen die aantonen dat een bepaald beveiligingslek of kwetsbaarheid kan worden misbruikt. PoC-exploits worden vaak snel na de ontdekking van een kwetsbaarheid gebruikt door hackers.

• Ransomware:

  • Uitleg: Schadelijke software die de toegang tot een computersysteem of gegevens blokkeert totdat een losgeld wordt betaald aan de aanvallers.

• Zero-day exploits:

  • Uitleg: Kwetsbaarheden in software die onbekend zijn bij de maker van de software. Deze worden vaak misbruikt door aanvallers voordat de kwetsbaarheid wordt verholpen door een update of patch.

• SQL-injectie:

  • Uitleg: Een type aanval waarbij de aanvaller kwaadaardige SQL-code invoegt in een invoerveld van een webapplicatie, waardoor hij toegang krijgt tot de database en mogelijk gevoelige gegevens kan stelen of manipuleren.

• Typosquatting:

  • Uitleg: Een vorm van cyberaanval waarbij aanvallers domeinnamen registreren die lijken op populaire websites, maar met typfouten, om zo nietsvermoedende bezoekers naar hun kwaadaardige sites te lokken.

• Cryptovaluta:

  • Uitleg: Digitale of virtuele valuta die gebruikmaakt van cryptografie voor beveiliging en onafhankelijk opereert van centrale banken, zoals Bitcoin en Ethereum.

• NFT (Non-Fungible Token):

  • Uitleg: Een type digitale activa die eigendom en authenticiteit van een uniek item vertegenwoordigt, vaak gebruikt voor digitale kunstwerken, video's en andere digitale goederen.

• Multi-factor authenticatie (MFA):

  • Uitleg: Een beveiligingsmethode waarbij de gebruiker twee of meer verificatiestappen moet doorlopen om toegang te krijgen tot een systeem. Dit kan bijvoorbeeld een combinatie zijn van een wachtwoord en een code die naar de telefoon van de gebruiker wordt gestuurd.

📚 Bibliotheek: Begrippen en vormen van cybercrime en darkweb

Cyberaanvallen, datalekken, trends en dreigingen nieuws

🇳🇱 Athlon's Gegevens Op het Darkweb Door Vanir Group

Op 11 juli 2024 heeft de Vanir Group, een beruchte cybercriminele organisatie, vertrouwelijke gegevens van Athlon op het darkweb gepubliceerd. Athlon, een Nederlandse onderneming in de sector van niet-deposito instellingen, is hierdoor het nieuwste slachtoffer van cybercriminaliteit. Dit incident benadrukt de dringende noodzaak voor bedrijven om hun cyberbeveiliging te versterken en zich beter te beschermen tegen dergelijke dreigingen.

Hackers Maken Gebruik van PoC Exploits binnen 22 Minuten na Vrijgave

Volgens het Application Security-rapport van Cloudflare worden proof-of-concept (PoC) exploits soms al binnen 22 minuten na vrijgave door hackers gebruikt in aanvallen. Tussen mei 2023 en maart 2024 zag Cloudflare een toename in het scannen van bekende kwetsbaarheden (CVE’s), gevolgd door pogingen om beschikbare PoC's te misbruiken. De meest getroffen kwetsbaarheden waren te vinden in Apache-producten, ColdFusion en MobileIron.Een voorbeeld is de exploit voor CVE-2024-27198, een authenticatie-omzeilingsfout in JetBrains TeamCity, die slechts 22 minuten na publicatie werd misbruikt. Cloudflare benadrukt dat het tempo van exploitatie vaak sneller is dan de snelheid waarmee verdedigers kunnen reageren met updates of patches. Daarom adviseert het bedrijf het gebruik van AI om snel effectieve detectieregels te ontwikkelen. Daarnaast meldt het rapport dat 6,8% van al het internetverkeer bestaat uit DDoS-aanvallen, een stijging ten opzichte van de vorige periode. Bij grote aanvalsgolven kan dit oplopen tot 12% van het HTTP-verkeer. 1

Gegevensinbreuk bij Dresslily, 11 miljoen gebruikersrecords te koop

Er is mogelijk een gegevensinbreuk bij Dresslily ontdekt op een hackersforum, waarbij naar verluidt 11 miljoen gebruikersrecords zijn getroffen en te koop worden aangeboden voor $200.000. De gecompromitteerde gegevens bevatten naar verluidt voornamen, achternamen, telefoonnummers, e-mailadressen en volledige thuisadressen. Hoewel deze claims nog moeten worden bevestigd of ontkend, worden Dresslily-gebruikers geadviseerd voorzichtig te zijn voor mogelijke phishingpogingen.

Rite Aid bevestigt gegevenslek na ransomware-aanval in juni

In juni werd de Amerikaanse apotheekgigant Rite Aid getroffen door een cyberaanval, geclaimd door de RansomHub ransomware-groep. Rite Aid, de derde grootste drogisterijketen in de Verenigde Staten, bevestigde dat bij deze aanval klantgegevens zijn buitgemaakt. Het bedrijf werkt samen met externe experts om de impact van de aanval te onderzoeken en heeft inmiddels alle getroffen systemen hersteld. Rite Aid benadrukt dat er geen gezondheids- of financiële informatie is gelekt, zoals burgerservicenummers en patiëntgegevens. Het onderzoek is nog gaande en klanten worden geïnformeerd over het datalek. De RansomHub-groep beweert meer dan 10 GB aan klantinformatie te hebben gestolen en dreigt de gegevens openbaar te maken als er geen losgeld wordt betaald. RansomHub richt zich voornamelijk op gegevensdiefstal en afpersing, in plaats van het versleutelen van bestanden.

❗️Gecoördineerde DNS-aanvallen richten zich op DeFi-cryptoplatforms

Recent zijn meerdere gedecentraliseerde financiële (DeFi) platforms het doelwit geworden van gecoördineerde DNS-hijackings. Hierbij werden bezoekers van deze websites omgeleid naar phishingpagina’s die zogenaamde wallet drainers bevatten, ontworpen om cryptovaluta en NFT's te stelen. Deze aanvallen waren specifiek gericht op domeinen die geregistreerd waren via de Squarespace-registrar. Platforms zoals Compound Finance, Celer Network en Pendle ondervonden problemen door deze aanvallen. Compound Finance waarschuwde gebruikers om hun website niet te bezoeken en gaf een veilig alternatief. Celer Network kon de aanval snel onderscheppen en herstellen, terwijl Pendle gebruikers adviseerde om toegang tot hun smart contracts in te trekken en hun browsercache te wissen. Onderzoek suggereert dat de aanvallen mogelijk verband houden met een kwetsbaarheid die ontstond tijdens de migratie van domeinen van Google Domains naar Squarespace, waarbij multi-factor authenticatie was uitgeschakeld. Gebruikers van deze platforms wordt aangeraden waakzaam te zijn en beveiligingsmaatregelen te treffen om verdere schade te voorkomen. 1, 2

Grote datalek bij Disney via interne Slack

Een hacktivistische groep genaamd "NullBulge" beweert de interne Slack van Disney te hebben gelekt, waarbij 1.1 terabytes aan data is vrijgegeven, inclusief bijna 10.000 kanalen, berichten en bestanden, onuitgebrachte projecten, afbeeldingen en code, en enkele inloggegevens. NullBulge stelt zichzelf voor als een groep die opkomt voor de rechten van artiesten en eerlijke compensatie voor hun werk. Of deze claims waar zijn, moet nog worden geverifieerd. In een vergelijkbaar incident wordt ook gemeld dat Rite Aid slachtoffer is geworden van de ransomware groep RansomHub, waarbij 10 GB aan gegevens, waaronder klantinformatie, is buitgemaakt. De cyberaanvallen laten de toenemende dreiging van gegevensdiefstal zien.

CDK Global betaalde 25 miljoen dollar losgeld aan ransomwaregroep

Softwarebedrijf CDK Global heeft 25 miljoen dollar losgeld betaald aan criminelen na een ransomware-aanval op hun systemen. Het bedrijf levert een cloudplatform dat door vijftienduizend autodealers in de VS wordt gebruikt voor hun dagelijkse werkzaamheden. Als gevolg van de aanval konden de autodealers het platform twee weken lang niet gebruiken, wat resulteerde in ernstige verstoring van de bedrijfsvoering. TRM Labs meldde dat 387 bitcoin naar de ransomwaregroep BlackSuit was overgemaakt. Het bedrag is een van de grootste losgelden die ooit zijn betaald. Het is niet bekend hoe de aanvallers de aanval hebben uitgevoerd. Er wordt kritiek geuit op het betalen van losgeld aan cybercriminelen, aangezien dit hun activiteiten in stand houdt. 1

Jaar oud Veeam-lek opnieuw gebruikt bij ransomware-aanvallen

Een jaar oude kwetsbaarheid in Veeam, aangeduid als CVE-2023-27532, is opnieuw gebruikt bij ransomware-aanvallen volgens securitybedrijf Group-IB. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat versleutelde inloggegevens te stelen uit de configuratiedatabase van Veeam Backup & Replication en Veeam Cloud Connect en zo toegang te krijgen tot de back-upserver. De eerste ransomware-aanvallen waarbij het Veeam-lek werd gebruikt werden vorig jaar augustus waargenomen. Recentelijk heeft Group-IB opnieuw een aanval gezien waarbij de kwetsbaarheid in Veeam werd benut door aanvallers. De criminelen achter de EstateRansomware zaten naar verluidt achter deze aanval. Het is dus van belang dat organisaties hun systemen up-to-date houden en alert blijven op mogelijke kwetsbaarheden.

Spywareleverancier mSpy lekt 10 jaar aan klantgegevens

Spywareleverancier mSpy heeft tien jaar aan klantgegevens gelekt door een inbraak in de Zendesk-omgeving van het bedrijf. De gestolen data omvat 2,4 miljoen e-mailadressen en persoonlijke informatie van klanten. Via mSpy kunnen gebruikers het telefoongebruik van anderen monitoren, met functies zoals het bekijken van gesprekken, berichten, locaties en meer. Beveiligingsonderzoeker Troy Hunt heeft de gestolen data toegevoegd aan de datalekzoekmachine Have I Been Pwned. Het bedrijf heeft in het verleden meerdere datalekken gehad. De gestolen informatie bevat onder andere supporttickets en bijlagen zoals screenshots van financiële transacties en naaktselfies. Het overgrote deel van de gestolen e-mailadressen was al bekend in andere datalekken volgens de zoekmachine. 1

Telecomgigant AT&T lekt telefoongegevens van 'bijna alle' klanten

Telecombedrijf AT&T heeft aangekondigd dat de telefoongegevens van bijna alle klanten zijn gelekt, inclusief telefoonnummers, gespreks- en sms-gegevens en locatiegerelateerde data. De data werd gestolen door criminelen uit de Snowflake-omgeving van het bedrijf. Hoewel de gestolen data geen inhoud van gesprekken of sms-berichten bevat, bevat het wel gegevens zoals welke telefoonnummers contact met elkaar hadden. Dit datalek omvat gegevens van 110 miljoen klanten over een periode van zes maanden. Eerder dit jaar had AT&T al een ander datalek gemeld, waarbij gegevens van ruim 51 miljoen klanten waren gelekt. Het bedrijf zal de getroffen klanten op de hoogte brengen van het nieuwe datalek. 1, 2

Hyperice Slachtoffer van Play Ransomware Groep

Hyperice, een bekend Amerikaans technologiebedrijf, is het nieuwste slachtoffer geworden van de Play ransomware groep. De hackers hebben naar verluidt vertrouwelijke en persoonlijke gegevens buitgemaakt, waaronder klantendocumenten, budgetten, loonadministratie, boekhoudkundige gegevens, contracten, belastinginformatie, identiteitsbewijzen en financiële informatie. De hackers eisen losgeld en hebben een deadline gesteld voor 16 juli 2024. Hyperice moet een beslissing nemen om aan de eisen te voldoen of te riskeren dat de gestolen gegevens openbaar worden gemaakt. De cyberaanval benadrukt de voortdurende dreiging van ransomware en de noodzaak voor bedrijven om robuuste cyberbeveiligingsmaatregelen te implementeren.

Japanse Ruimtevaartorganisatie JAXA Ontdekt Zero-Day Aanvallen

Tijdens een onderzoek naar een cyberaanval op hun systemen in 2023 heeft de Japanse ruimtevaartorganisatie JAXA meerdere zero-day exploits ontdekt. De aanval was voornamelijk gericht op JAXA’s Active Directory en begon met ongeautoriseerde toegang tot hun Microsoft 365-diensten. Samenwerking met Microsoft wees uit dat er geen inbreuken waren op geclassificeerde gegevens over raketten of satellieten, maar persoonlijke informatie in M365 was wel toegankelijk voor de aanvallers. 1

Grootschalige Bitcoin Diefstal bij Japanse Beurs

Op 31 mei 2024 werd 4502,9 BTC (ongeveer $308 miljoen) gestolen van de Japanse cryptobeurs Bitcoin.DMM.com door een hack. De cybersecurity organisatie Match Systems onderzocht de zaak en ontdekte dat de hacker voornamelijk de cryptocurrency mixer JoinMarket gebruikte om de gestolen fondsen te witwassen. Meer dan 2000 BTC zijn naar JoinMarket-gerelateerde adressen verzonden, terwijl de resterende 2500 BTC verspreid zijn over vijf initiële adressen van de hacker. Door middel van software-analyse en patroonherkenning kon Match Systems een grote opname van 223,38 BTC ($12,8 miljoen) identificeren naar een specifiek adres. Daarnaast werden meer dan 50 opnames van 10 BTC of meer getraceerd, die momenteel meer dan 850 BTC bevatten en mogelijk verband houden met de hack. Het volledige witwasproces kan enkele maanden tot een jaar duren. Match Systems blijft de beweging van de gestolen fondsen nauwlettend volgen.

Medusa Ransomware treft American Golf Corporation

American Golf Corporation is het slachtoffer geworden van een cyberaanval door de Medusa-ransomwaregroep. De hackers eisen een losgeld van $2.000.000 en beweren 154,9 GB aan gegevens te hebben buitgemaakt. Deze gegevens omvatten onder andere e-mailcorrespondentie, ledeninformatie, bestellingen, volledige toegangsaccountgegevens (gebruikers-ID, wachtwoorden, geheime sleutels), rapporten, licenties, paspoorten en financiële gegevens. De deadline voor het betalen van het losgeld is vastgesteld op 20 juli 2024. American Golf Corporation, een ervaren en innovatieve speler in de golfindustrie, wordt geconfronteerd met een aanzienlijke dreiging door deze aanval.

Miljardenfraude en Martelingen in Zuidoost-Azië: Nieuwe Crypto Zaken Aan het Licht

In Zuidoost-Azië zijn twee grote crypto-misdaadzaken aan het licht gekomen, met betrokkenheid van Cambodja en Maleisië. Het bedrijf Elliptic onthulde dat het Chinese platform Huione Guarantee $11 miljard aan scamtransacties faciliteerde met behulp van tether (USDT). Dit platform voorziet oplichters van persoonlijke gegevens, telecomapparatuur en AI-software voor gezichtsverandering. Bovendien is het platform gelinkt aan Hun Manet, de neef van de Cambodjaanse premier. In Maleisië hebben Bitcoin-mijnwerkers sinds 2018 voor $725 miljoen aan elektriciteit gestolen. De autoriteiten hebben in oktober 2022 in totaal 2.022 Bitcoin-mijnmachines in beslag genomen. Deze zaken illustreren de grootschalige en complexe aard van cryptofraude in de regio. 1

❗️Grote Ticketmaster Data-inbreuk: 10 Miljoen Barcodes Gecompromitteerd

Een dreigingsactor beweert Ticketmaster te hebben gehackt en daarbij 10 miljoen barcodes van Mail- en E-tickets voor diverse high-profile evenementen te hebben gecompromitteerd. Dit incident volgt op een eerdere lek van Taylor Swift's online barcodes, waarbij Ticketmaster nog benadrukte dat hun SafeTix-technologie veilig was. De dreigingsactor heeft een lijst van evenementen en artiesten, zoals Taylor Swift, Jennifer Lopez en Justin Timberlake, gepubliceerd en beweert dat de barcodes van deze tickets niet kunnen worden vernieuwd. Gebruikers worden geadviseerd hun tickets thuis te printen met een verstrekte handleiding. De aanvaller eist een losgeld van 1 miljoen dollar om verdere datalekken te voorkomen. Ticketmaster heeft nog niet bevestigd of ontkend of deze claims waar zijn.

SQL-Injectie Kwetsbaarheid in phpBB te Koop

Een dreigingsactor heeft aangekondigd een SQL-injectie kwetsbaarheid te verkopen voor phpBB, een populair open-source forumsysteem. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om SQL-query's uit te voeren en databases te verkrijgen. De kwetsbaarheid is getest op de nieuwste versie van phpBB, wat een aanzienlijk risico vormt voor gebruikers van de software. De prijs voor dit exploit is $69, te betalen in Bitcoin. Deze aankondiging benadrukt de voortdurende risico's van webapplicatiekwetsbaarheden en het belang van regelmatige beveiligingsupdates en patches.

Gegevens van 1,6 Miljoen Gebruikers van Spaanse Verkeersdienst Te Koop Aangeboden

Een cybercrimineel beweert toegang te hebben verkregen tot de Spaanse verkeerswebsite sede.dgt.gob.es en biedt een database met informatie van 1,6 miljoen gebruikers te koop aan. Deze gegevens, die worden verkocht voor $2000, bevatten onder meer gebruikersidentificatienummers, namen, adressen, kentekeninformatie en details over verkeersovertredingen. De dataset bevat ook informatie over de datums, tijden en locaties van de overtredingen, beschrijvingen, inspecteursgegevens, resolutiecodes en betaalstatussen. De getroffen website biedt diensten aan voor het beheren van boetes en sancties, zoals het betalen van boetes, indienen van bezwaren en opvragen van openbare kennisgevingen voor niet-geleverde sancties.

Hacker Groep SiegedSec Stopt Activiteiten

De hacker groep SiegedSec heeft via hun Telegram-kanaal aangekondigd hun activiteiten te beëindigen. De belangrijkste redenen voor deze beslissing zijn de mentale gezondheid van de teamleden en de stress veroorzaakt door de massale publiciteit. Daarnaast willen ze vermijden in de problemen te komen met de FBI. Hoewel ze stoppen met cybercriminaliteit, benadrukken ze dat ze altijd hackers zullen blijven en zullen blijven vechten voor de rechten van anderen. In hun bericht refereerden ze ook aan diverse cyberaanvallen die ze in het verleden hebben uitgevoerd, waarvan de details al naar journalisten zijn gestuurd.

ARRL bevestigt datadiefstal na ransomware-aanval

De American Radio Relay League (ARRL) heeft bevestigd dat de gegevens van enkele werknemers zijn gestolen tijdens een ransomware-aanval in mei. Het incident, aanvankelijk beschreven als een "ernstig voorval," werd ontdekt nadat aanvallers op 14 mei de computersystemen van ARRL binnendrongen en versleutelden. Na de ontdekking werden de getroffen systemen offline gehaald om de situatie onder controle te krijgen. Externe forensische experts werden ingehuurd om de impact van de aanval te beoordelen. ARRL heeft in een kennisgeving aan de getroffen personen laten weten dat persoonlijke gegevens, waaronder namen, adressen en sofinummers, mogelijk zijn gestolen. Hoewel er geen bewijs is dat de gestolen gegevens zijn misbruikt, biedt ARRL uit voorzorg 24 maanden gratis identiteitsbewaking aan via Kroll. De aanval wordt toegeschreven aan de Embargo ransomware-groep, maar ARRL staat niet op hun lijst van slachtoffers. Het datalek heeft naar verluidt 150 werknemers getroffen. 1, 2

Ransomware-aanval op Dallas County: Gegevens van 200.000 Personen Blootgesteld

In oktober 2023 werd Dallas County getroffen door een ransomware-aanval van de Play-groep, waarbij persoonlijke gegevens van meer dan 200.000 personen werden blootgesteld. Deze aanval trof verschillende afdelingen van de county en leidde tot de publicatie van gevoelige informatie, zoals volledige namen, burgerservicenummers, geboortedata, rijbewijsnummers en medische gegevens. Dallas County heeft in januari 2024 een speciaal callcenter opgezet om bezorgde burgers te helpen en heeft recent een update geplaatst over de situatie. Getroffen personen, waaronder inwoners en medewerkers van Dallas, zijn inmiddels op de hoogte gebracht en ontvangen twee jaar lang gratis kredietbewaking en identiteitsdiefstalbescherming. Als reactie op de aanval heeft Dallas County meerdere beveiligingsmaatregelen geïmplementeerd, waaronder de inzet van Endpoint Detection and Response-oplossingen en het blokkeren van verdachte IP-adressen. Eerder leed de stad Dallas al onder soortgelijke aanvallen, wat wijst op voortdurende cybersecurity-uitdagingen in het gebied. 1, 2

CRYSTALRAY-breaches via SSH-Snake-tool getroffen systemen

Een nieuwe dreigingsactor genaamd CRYSTALRAY heeft zijn aanvallen uitgebreid met nieuwe tactieken en exploits, waardoor nu meer dan 1.500 slachtoffers zijn getroffen. Onderzoekers van Sysdig hebben CRYSTALRAY gevolgd sinds februari, toen het gebruik van de open-source worm SSH-Snake werd gerapporteerd. SSH-Snake steelt SSH-sleutels op gecompromitteerde servers en gebruikt deze om zich lateraal te verspreiden naar andere servers, waarbij extra schadelijke software wordt geplaatst. CRYSTALRAY gebruikt diverse open-source tools en aangepaste exploits om kwetsbaarheden te misbruiken en achterdeurtjes in systemen te plaatsen. De aanvallen richten zich onder andere op kwetsbaarheden zoals CVE-2022-44877 en CVE-2021-3129. Bovendien steelt CRYSTALRAY inloggegevens en zet cryptominers in om winst te genereren. De beste manier om deze dreiging tegen te gaan is door tijdig beveiligingsupdates uit te voeren en kwetsbaarheden te verhelpen zodra deze worden ontdekt. 1

Ransomwaregroep begint campagne tegen Braziliaanse zorgorganisatie

Een nieuwe ransomwaregroep genaamd Ransomcortex is begonnen met een campagne tegen Policlínica Dona Anita, een Braziliaanse zorgorganisatie. De polikliniek waarschuwt voor fraudepogingen die worden gedaan onder hun naam en adviseert om officiële kanalen te raadplegen bij twijfel. Het incident wordt gemeld als een #CyberAttack in Brazilië en illustreert de dreiging van ransomware voor de gezondheidszorgsector. Er is nog geen verdere informatie bekend over de omvang van de aanval en de mogelijke gevolgen voor de organisatie. Het is belangrijk dat zorginstellingen alert blijven op dergelijke bedreigingen en proactieve maatregelen nemen om zichzelf te beschermen tegen cyberaanvallen.

Verdubbeling van het gestolen bedrag aan cryptocurrency door hackers in het eerste halfjaar van 2024

Het artikel meldt dat het bedrag aan cryptocurrency dat in het eerste halfjaar van 2024 door hackers gestolen is, is verdubbeld ten opzichte van vorig jaar. In totaal is er in januari-juni 2024 $1,55 miljard gestolen, vergeleken met $857 miljoen in juli-december 2023. 70% van dit bedrag kwam voort uit vijf grote hacks, waaronder de hack van de Japanse crypto exchange DMM Bitcoin, waar meer dan $300 miljoen aan bitcoins werd gestolen. Ook wordt het geval van de "Dust attack" genoemd, waarbij het volledige bedrag van $68 miljoen aan schadevergoedingen kon worden teruggevorderd.

Vermeende gegevens van Vietnam Posts and Telecommunications Group te koop aangeboden op het dark web

Een bedreigingsactor heeft naar verluidt de database van de Vietnam Posts and Telecommunications Group gecompromitteerd en verkoopt deze op een dark web forum. De gecompromitteerde gegevens bevatten meer dan 700.000 regels, verdeeld over drie aparte tabellen, met onder andere klant-ID's, namen, poortcodes, adressen, telefoonnummers en belastingnummers. De prijs voor de vermeende lekken wordt gesteld op $2000. Dit incident benadrukt het belang van databeveiliging en de dreiging van gegevenslekken via het dark web. Bedrijven en organisaties dienen waakzaam te zijn voor cyberdreigingen en te investeren in effectieve beveiligingsmaatregelen om dergelijke incidenten te voorkomen.

LuluMarket-database naar verluidt aangetast door cyberaanval

Een bedreigingsacteur heeft naar verluidt de LuluMarket-database aangetast en de gegevens gedeeld op een dark web forum. De bedreigingsacteur beweert dat de inbraak nieuw is en plaatsvond in juli 2024. De database bevat miljoenen gebruikers en bestellingen, inclusief telefoonnummers en e-mailadressen. De bedreigingsacteur is van plan om een deel van de informatie op een later tijdstip vrij te geven. Er zijn geen prijzen genoemd. Het bericht bevat ook een voorbeeld van de aangetaste gegevens. Het incident is een van de vele recente cyberaanvallen waarbij gevoelige informatie wordt gelekt en bedrijven wereldwijd getroffen worden.

Verkoop van 0day Kwetsbaarheid voor Netgear Orbi Router op Dark Web

Een bedreigingsacteur heeft aangekondigd een zero-day (0day) kwetsbaarheid te verkopen voor Netgear Orbi-routers, waardoor pre-authentication remote code-executie (RCE) met root privileges mogelijk is. Volgens de bedreigingsacteur is deze kwetsbaarheid van invloed op in totaal 51.287 apparaten. De verkoop zal worden uitgevoerd via een vertrouwde bron die optreedt als tussenpersoon. Bewijs van fondsen is vereist voordat ze het 'proof of concept' (PoC) zullen sturen, om tijdverspilling te voorkomen. Deze verkoop benadrukt het kritieke beveiligingsrisico van niet-gepatchte kwetsbaarheden in veelgebruikte consumentennetwerkapparaten.

Mogelijke lek van gegevens van Indonesische overheidsmedewerkers onthuld op het dark web

Een bedreigingsacteur deelde een vermeend datalek op een dark web-forum. Volgens de bedreigingsacteur behoort het vermeende lek toe aan een online aanwezigheidsservice voor overheidsmedewerkers in het district Blora, Indonesië. Het forumbericht bevat ook een gegevensvoorbeeld uit het vermeende lek, met onder meer ID's, e-mailadressen, namen, wachtwoorden, gebruikersnamen en andere gegevens. Prijsinformatie, details van het lek en informatie over het tijdstip van het lek worden niet vermeld. De bedreigingsacteur zegt alleen dat geïnteresseerden voor meer informatie kunnen DM'en. Volgens de taal van de bedreigingsacteur bevat deze aanval geen politieke of ideologische motieven, maar het forumbericht heeft een dreigende taal.

Dreigende actor beweert klantendatabase van Neiman Marcus te verkopen

Een dreigende actor heeft de verantwoordelijkheid opgeëist voor een datalek bij Neiman Marcus, een luxe warenhuisketen, en heeft het bedrijf een ultimatum gesteld. De groep beweert toegang te hebben tot de persoonlijke gegevens van 40 miljoen klanten, waaronder bekende personen en beroemdheden. De hackers stellen dat Neiman Marcus het lek aanvankelijk bagatelliseerde en beweerde dat slechts 60.000 mensen waren getroffen. Nu eisen ze $1 miljoen om de verkoop of vrijgave van de gestolen informatie te voorkomen. De hackers hebben voorbeelden verstrekt van de gecompromitteerde data, waaronder namen, e-mails, telefoonnummers, creditcardgegevens en adressen. Ze hebben ook gedreigd om auto-gegevens, creditgeschiedenissen en andere gevoelige informatie van beroemdheden en politici te lekken als Neiman Marcus niet aan hun eisen voldoet. Het incident roept ernstige zorgen op over de beveiligingsmaatregelen bij Neiman Marcus en de mogelijke impact op haar klanten.

Microsoft bekritiseerd om waarschuwingsmails die op phishing lijken

Verschillende beveiligingsexperts hebben kritiek geuit op Microsoft vanwege waarschuwingsmails die naar klanten zijn gestuurd en op phishingmails lijken. De e-mails informeerden klanten dat hun e-mails waren gestolen door aanvallers die waren binnengedrongen in systemen van Microsoft. Klanten twijfelden aan de authenticiteit van de waarschuwing en vroegen zich af of het wel echt was. Beveiligingsonderzoeker Kevin Beaumont waarschuwde dat de e-mails mogelijk in de spamfolder belandden en wees op verschillende indicaties dat het om phishing kon gaan. De link in de e-mail leidde naar een domein dat niet aan Microsoft deed denken, en verschillende klanten vermoedden dat het om een phishingaanval ging. Na contact met hun contactpersoon bij Microsoft werd bevestigd dat het toch een legitiem bericht betrof. 1

FBI en CISA roepen op einde te maken aan command injection

De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben softwareontwikkelaars opgeroepen om een einde te maken aan command injection in hun producten. Command-injection kwetsbaarheden ontstaan wanneer softwareleveranciers en fabrikanten gebruikersinvoer niet juist valideren en sanitizen, waardoor aanvallers malafide commando's kunnen uitvoeren op het onderliggende besturingssysteem. De overheidsdiensten benadrukken dat het voorkomen van deze kwetsbaarheden cruciaal is voor de veiligheid van consumenten. Om dit aan te pakken, roepen ze software- en techbedrijven op om een plan op te stellen om deze kwetsbaarheden te elimineren. Het 'Secure by Design' initiatief bevat zeven doelen voor leveranciers om binnen een jaar te bereiken, waaronder het vergroten van het gebruik van multifactorauthenticatie en het verminderen van standaard wachtwoorden. 1, 2

Apple waarschuwt iPhone-gebruikers voor spyware-aanvallen

Apple heeft iPhone-gebruikers in 98 landen gewaarschuwd voor het doelwit te zijn van spyware-aanvallen. Dit is de tweede keer dit jaar dat Apple een dergelijke waarschuwing heeft uitgestuurd. Gebruikers worden aangemoedigd om deze waarschuwing serieus te nemen en hulp van experts in te schakelen. De aanval richt zich specifiek op de gebruiker en probeert de iPhone gelinkt aan hun Apple ID te compromitteren. Apple adviseert verschillende maatregelen, waaronder het installeren van updates, beveiligen van het toestel met een passcode, en het gebruik van tweefactorauthenticatie en sterke wachtwoorden. Het inschakelen van de Lockdown Mode wordt ook aanbevolen. De waarschuwingen van Apple hebben geholpen bij het ontdekken van spywaremisbruik en veranderen de informatiebalans tussen slachtoffers en aanvallers. 1

Fin7 herrijst met hulp van hosting provider Stark Industries Solutions

Heropleving van de cybercrime groep "Fin7," gevestigd in Rusland, die bekend staat om phishing- en malware-aanvallen die sinds 2013 naar schatting $3 miljard aan verliezen hebben veroorzaakt. Ondanks eerdere verklaringen van de VS dat Fin7 was uitgeschakeld, is de groep in 2024 weer in actie gekomen met duizenden websites die mediabedrijven en technologiebedrijven nabootsen. Met behulp van Stark Industries Solutions, een hostingprovider die cyberaanvallen tegen Rusland's vijanden faciliteert, heeft Fin7 zijn cybercrime-infrastructuur snel laten groeien. De groep gebruikt typosquatting, malafide advertenties en phishing om merken zoals American Express, Google en Netflix na te bootsen. Er wordt opgeroepen tot actie van wetshandhavingsinstanties om de activiteiten van Fin7 aan te pakken. 1

Huione Guarantee is een platform voor cybercriminaliteit ter waarde van $11 miljard

Huione Guarantee, een online marktplaats die er legitiem uitziet, feitelijk wordt gebruikt als platform voor het witwassen van geld van online oplichting, vooral van "pig butchering" binnen investeringsfraude. Het onderzoek van Elliptic blockchain-analysebureau toont aan dat handelaren op Huine Guarantee transacties hebben uitgevoerd van minstens $11 miljard, waarvan sommige zijn gekoppeld aan verschillende vormen van cybercriminaliteit, waaronder het creëren van websites voor investeringsfraude, verkoop van persoonlijke gegevens en witwassen van geld. De marktplaats, gelanceerd in 2021 en eigendom van het Cambodjaanse conglomeraat Huione Group, biedt onvoldoende moderatie maar garandeert wel de veiligheid van transacties via Huione Pay, waardoor het een actieve rol speelt bij het faciliteren van de verkoop van illegale goederen. Elliptic meldt dat het platform opereert als darknet-markten en zelfs het personeel betrekt bij het witwassen van geld. 1

ViperSoftX malware verhult PowerShell in AutoIT-scripting

De laatste varianten van de ViperSoftX info-stelende malware gebruiken de common language runtime (CLR) om PowerShell-commando's binnen AutoIt-scripts te laden en uit te voeren om detectie te omzeilen. CLR is een essentieel onderdeel van Microsoft's .NET Framework. De malware maakt van AutoIt gebruik door code te laden en te verbergen, wat normaal gesproken door beveiligingsoplossingen wordt vertrouwd. De ontwikkelaar van de malware heeft ook aangepaste aanvallende scripts in de nieuwste versies geïntegreerd om de complexiteit te vergroten. ViperSoftX, die sinds ten minste 2020 bestaat, wordt verspreid op torrentsites als e-books die schadelijke RAR-archieven bevatten. Slachtoffers raken geïnfecteerd wanneer ze de .LNK-bestanden uitvoeren. De malware verbergt PowerShell-scripts in afbeeldingsbestanden en maakt gebruik van Base64-obfuscatie en AES-encryptie om detectie te voorkomen. ViperSoftX heeft verfijnde methoden ontwikkeld om detectie te omzeilen en vormt nu een grotere bedreiging. 1

Kritieke Windows MSHTML zero-day kwetsbaarheid misbruikt door malwareaanvallen gedurende meer dan een jaar

Een recent gepatchte zero-day kwetsbaarheid in Windows werd actief misbruikt door malwareaanvallers gedurende achttien maanden. De kwetsbaarheid, bekend als CVE-2024-38112, maakte het mogelijk voor aanvallers om kwaadaardige scripts uit te voeren en ingebouwde beveiligingsfuncties te omzeilen. De ontdekking van deze kwetsbaarheid werd gedaan door Haifei Li van Check Point Research, die hun bevindingen in mei 2024 aan Microsoft hebben gemeld. Aanvallers hebben Windows Internet Shortcut-bestanden (.url) gebruikt om legitiem ogende bestanden zoals PDF's te spoofen, maar in werkelijkheid HTA-bestanden te downloaden en malware te installeren. Ondanks de pensionering van Internet Explorer door Microsoft twee jaar geleden, kunnen aanvallers nog steeds misbruik maken van de browser. De kwetsbaarheid is inmiddels gepatcht door Microsoft, waardoor mhtml-URL's nu in Microsoft Edge worden geopend. 1

Mogelijke datalek van de voetbalfederaties van Tenerife en Las Palmas

Een bedreigingsacteur heeft twee aparte datalekken gepubliceerd op een dark web forum, waarbij wordt geclaimd dat de lekken afkomstig zijn van de Voetbalfederatie van Tenerife en de Voetbalfederatie van Las Palmas. Het lek van Tenerife bevat ongeveer 115k regels zonder prijsinformatie, terwijl het lek van Las Palmas rond de 130k regels bevat, ook zonder prijsinformatie. Beide lekken tonen overeenkomsten in de gelekte gegevens, waaronder DNI, volledige naam, telefoonnummer en adres. De bedreigingsacteur heeft ook voorbeelden van de vermeende lekken toegevoegd. Het is belangrijk om op de hoogte te blijven van opkomende cyberbedreigingen, zoals ongeautoriseerde toegang tot databases en het lekken van gevoelige informatie die wereldwijde bedrijven en organisaties kunnen beïnvloeden.

❗️Cybercriminelen publiceren veronderstelde datalek van Microsoft op een darkweb forum

Een bedreigingsacteur op een darkweb profiel deelt veronderstelde gelekte Microsoft-gegevens. Het bedreigingsacteur beweert dat ongeveer 2.000 Microsoft-werknemersgegevens zijn blootgesteld door een datalek van een derde partij. De gecompromitteerde gegevens bevatten persoonlijke informatie zoals naam, e-mail, telefoonnummer, bedrijfsnummer, stad en landinformatie. Het bericht bevat ook een voorbeeld van het veronderstelde lek. Volgens het bericht vond het lek plaats in 2024 en er zijn geen prijzen of contactgegevens in het bericht vermeld. Dit incident benadrukt de noodzaak van beveiligingsmaatregelen en bewustwording over cyberdreigingen en datalekken die wereldwijde organisaties en bedrijven kunnen treffen.

Gegevensdiefstal: Bedreigingsactor beweert Credit Suite database te verkopen

Een bedreigingsactor beweert de database van Credit Suite, een kredietreparatie- en bedrijfsleningmakelaar, te verkopen. De database bevat bedrijfsnamen, adressen, contactgegevens, schuld- en betalingsinformatie, en unieke identificatienummers. De bedreigingsactor beweert dat de gegevens in februari 2024 zijn gelekt en dat de database slechts één keer verkocht zal worden, waarbij de prijs onderhandelbaar is. Betalingen worden geaccepteerd in XMR of ETH, en alleen serieuze kopers mogen contact opnemen. Dit incident benadrukt het belang van gegevensbeveiliging en de dreiging van gegevenslekken in de cyberwereld. Het is een wake-up call voor bedrijven om hun gegevensbeveiligingsmaatregelen te versterken en zich bewust te zijn van de potentiële risico's van cybercriminaliteit.

Grote data-inbreuk bij Angel One, miljoenen gebruikersrecords blootgesteld

Een bedreigingsacteur beweert dat er een grote data-inbreuk heeft plaatsgevonden bij Angel One (voorheen Angel Broking), een prominente online handels- en effectenmakelaardij in India. De gelekte gegevens omvatten bijna 8 miljoen gebruikersrecords, 1,2 miljoen aandelen en 1,6 miljoen winst- en verliesoverzichten. De acteur dreigt meer gegevens vrij te geven en verklaart geen interesse te hebben in de verkoop van deze informatie. Deze inbreuk vormt een aanzienlijk risico voor de privacy en financiële beveiliging van miljoenen Angel One-gebruikers. Het blootgestelde data zou gebruikt kunnen worden voor frauduleuze activiteiten, identiteitsdiefstal en ongeautoriseerde toegang tot financiële accounts. Angel One-gebruikers worden geadviseerd om waakzaam te blijven en hun accounts te controleren op verdachte activiteiten.

Groot fraudenetwerk van 700 domeinen verkoopt valse Olympische Spelen-tickets

Een grootschalige fraudecampagne met meer dan 700 domeinnamen richt zich naar alle waarschijnlijkheid op Russisch sprekende gebruikers die op zoek zijn naar tickets voor de Zomerspelen in Parijs. Het netwerk, genaamd Ticket Heist, biedt valse tickets voor de Olympische Spelen aan, maar lijkt ook te profiteren van andere grote sport- en muziekevenementen. Met prijzen ver boven de normale kosten van officiële tickets proberen de criminelen geld te stelen van nietsvermoedende slachtoffers. Onderzoekers hebben ontdekt dat alle frauduleuze domeinen dezelfde IP-adresstructuur delen en dat de operatie nog steeds actief is. Ook proberen de fraudeurs mensen te lokken met valse tickets voor de UEFA European Championship en muziekconcerten, voornamelijk gericht op Russisch sprekende personen. 1

Nieuwe Blast-RADIUS-aanval omzeilt veelgebruikte RADIUS-authenticatie

Een recente aanval genaamd Blast-RADIUS omzeilt de veelgebruikte RADIUS/UDP-protocolauthenticatie, waardoor cybercriminelen netwerken en apparaten kunnen compromitteren met MD5-collisionaanvallen in een man-in-the-middle scenario. De RADIUS-protocol wordt veel gebruikt voor authenticatie in verschillende netwerkapparaten en -services, waaronder switches, routers en mobiele roaming. De aanval maakt gebruik van een nieuw protocolverkorting (CVE-2024-3596) en een MD5-collisionaanval, waardoor aanvallers toegang kunnen krijgen tot beheerdersprivileges op RADIUS-apparaten zonder brute force of credential-diefstal. De aanval duurt 3-6 minuten om een vervalste MD5-hash te maken, maar kan sneller worden uitgevoerd met geavanceerde hardware. Om jezelf te beschermen tegen deze aanval, wordt aanbevolen om over te stappen naar RADIUS over TLS, 'multihop' RADIUS-implementaties te gebruiken en RADIUS-verkeer te isoleren van internettoegang. 1, 2

Fujitsu bevestigt dat klantgegevens blootgesteld zijn bij cyberaanval in maart

Fujitsu heeft bevestigd dat informatie met betrekking tot enkele individuen en klanten tijdens een datalek eerder dit jaar is gecompromitteerd. De Japanse techgigant meldt dat de aanval geen ransomware betrof, maar gebruik maakte van een geavanceerd mechanisme om detectie te vermijden en gegevens te exfiltreren. Na de ontdekking van malware op verschillende systemen in maart, isoleerde Fujitsu de getroffen computers en startte een onderzoek om de omvang van het datalek te bepalen. Uit het onderzoek blijkt dat gegevens gestolen zijn door malware die zich vanuit één punt van compromis naar 49 computers verspreidde. Hoewel Fujitsu geen meldingen heeft ontvangen van misbruik van de gecompromitteerde gegevens, heeft het bedrijf nieuwe beveiligingsmaatregelen geïmplementeerd om herhaling van dergelijke aanvallen te voorkomen. 1

❗️Hackers richten zich op WordPress kalender plugin gebruikt door 150.000 sites

Hackers proberen een kwetsbaarheid in de Modern Events Calendar WordPress plugin te misbruiken die aanwezig is op meer dan 150.000 websites om willekeurige bestanden naar een kwetsbare site te uploaden en code op afstand uit te voeren. De plugin, ontwikkeld door Webnus, wordt gebruikt om in-persoonlijke, virtuele of hybride evenementen te organiseren en te beheren. De kwetsbaarheid, geïdentificeerd als CVE-2024-5441 en gerapporteerd op 20 mei, stelt hackers in staat om riskante bestanden, waaronder .PHP-bestanden, te uploaden en uit te voeren, wat kan leiden tot de overname van een hele website. Webnus heeft de kwetsbaarheid verholpen door versie 7.12.0 van Modern Event Calendar uit te brengen. Gebruikers wordt geadviseerd om zo snel mogelijk te upgraden of de plugin uit te schakelen om cyberaanvallen te voorkomen. 1, 2

Amerikaans incassobureau lekt persoonlijke gegevens van 4 miljoen mensen

Het Amerikaanse incassobureau FBCS heeft per ongeluk de persoonlijke gegevens van vier miljoen mensen gelekt, waaronder medische informatie. Aanvallers wisten in februari toegang te krijgen tot de systemen van het bedrijf en maakten gegevens zoals namen, adressen, geboortedata, social-securitynummers en medische informatie buit. Oorspronkelijk werd er gesproken over 1,9 miljoen slachtoffers, maar dit bleek later meer dan het dubbele te zijn. FBCS heeft na de aanval besloten om het netwerk opnieuw op te bouwen en biedt slachtoffers een jaar lang kosteloos kredietmonitoring aan. De precieze manier waarop de aanvallers toegang hebben gekregen tot de systemen is nog onbekend. 1

Amerika waarschuwt voor gevaarlijk beveiligingslek in Rejetto HTTP File Server

De Amerikaanse autoriteiten hebben gewaarschuwd voor een actief misbruikte kwetsbaarheid in Rejetto HTTP File Server, een software waarmee gebruikers eenvoudig een fileserver kunnen opzetten. Een kritieke 'template injection' kwetsbaarheid in de software stelt ongeauthenticeerde aanvallers in staat om willekeurige code op de server uit te voeren. De kwetsbare versies 2.3 en 2.4 worden niet meer ondersteund, maar worden nog steeds gebruikt. De impact van het beveiligingslek is beoordeeld met een 9.8 op een schaal van 1 tot 10. Antivirusbedrijf Ahnlab heeft bevestigd dat aanvallers de kwetsbaarheid gebruiken om fileservers met een cryptominer te infecteren. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gebruikers geadviseerd om naar versie 3 te upgraden om het probleem op te lossen. 1

Datalek bij Neiman Marcus treft 31 miljoen klanten

De Amerikaanse warenhuisketen Neiman Marcus heeft per ongeluk gegevens van 31 miljoen klanten gelekt via een gecompromitteerde Snowflake-omgeving. De inbreuk werd ontdekt door beveiligingsonderzoeker Troy Hunt, die bevestigt dat verschillende gegevens, waaronder e-mailadressen, adresgegevens, telefoonnummers en creditcardnummers, zijn buitgemaakt. Neiman Marcus heeft de datalekmelding naar de procureur-generaal van Maine gestuurd en stellen dat het om ruim 64.000 mensen gaat. De gestolen gegevens werden te koop aangeboden op het internet, waarbij de aanvaller beweerde dat het om gegevens van 180 miljoen klanten ging. Hoewel Neiman Marcus spreekt van 64.000 getroffen klanten, meldt Hunt dat het daadwerkelijke aantal 31 miljoen unieke records betreft. De gestolen e-mailadressen zijn toegevoegd aan de Have I Been Pwned-database. 1, 2

❗️Actief misbruik van kwetsbaarheden in Windows Hyper-V en MSHTML gemeld door Microsoft

Microsoft heeft gewaarschuwd voor actief misbruik van twee kwetsbaarheden in Windows Hyper-V en het Windows MSHTML-platform. De kwetsbaarheid in Hyper-V (CVE-2024-38080) stelt een aanvaller in staat om toegang te krijgen tot het systeem en zijn rechten te verhogen tot die van SYSTEM. De impact van deze kwetsbaarheid wordt beoordeeld met een 7.8 op een schaal van 1 tot 10. De kwetsbaarheid in het Windows MSHTML-platform (CVE-2024-38112) maakt spoofing-aanvallen mogelijk, waarbij aanvallers 'Windows internet shortcut' bestanden gebruiken om Internet Explorer malafide websites te laten laden. Microsoft en securitybedrijven zoals ZDI en Check Point raden gebruikers aan om de benodigde updates snel te installeren om misbruik te voorkomen. 1, 2, 3

Deskundigen waarschuwen voor Mekotio Banking Trojan die Latijns-Amerikaanse landen als doelwit heeft

Deskundigen hebben gewaarschuwd voor de Mekotio Banking Trojan die financiële instellingen in Latijns-Amerika bedreigt door bankgegevens te stelen. Deze malware, ook bekend als Melcoz, richt zich met name op landen als Brazilië, Chili, Mexico, Spanje, Peru en Portugal. De trojan maakt gebruik van nep-pop-ups die lijken op legitieme bankwebsites om gevoelige informatie te stelen, zoals toetsaanslagen en klembordgegevens. Door middel van phishingmails met belastingthema's worden de gebruikers verleid tot het openen van schadelijke bijlagen of valse links. De ontwikkeling van deze trojan komt samen met de opkomst van een nieuwe banking-trojan genaamd Red Mongoose Daemon, die ook gericht is op Latijns-Amerikaanse landen. Cybercriminelen gebruiken deze trojans om ongeautoriseerde toegang te krijgen tot bankrekeningen en frauduleuze transacties uit te voeren. 1

Hacker groep claimt grote cyberaanval op Amplify AI, onthult high-profile klanten

De hacker groep SiegedSec heeft verantwoordelijkheid opgeëist voor een cyberaanval op Amplify AI, een door AI aangedreven gespreksservice die wordt gebruikt door grote sociale mediaplatforms zoals Facebook, Twitter, Instagram en WhatsApp. De groep verklaarde toegang te hebben gekregen tot de broncode en het beheerdersportaal van het bedrijf, waarbij ze verschillende high-profile klanten onthulden. Onder de meest opvallende klanten die naar verluidt zijn getroffen door deze inbreuk zijn president Joe Biden, ActBlue, Sony Entertainment, Kentucky Fried Chicken en Universal Pictures, samen met vele anderen. De hackers onthulden dat hun toegang hen in staat stelde gevoelige informatie te bekijken, waaronder sociale media-accountstatistieken en toegangssleutels. Ze merkten zelfs op dat president Joe Biden 27.000 Facebook-berichten had. SiegedSec benadrukte dat deze aanval, ondanks het treffen van een politieke figuur, niet hun politieke overtuiging of steun voor politici weerspiegelt. De groep heeft naar verluidt alle klantinformatie en de broncode van het bedrijf gelekt, inclusief een volledige lijst van alle klanten. Deze bewering roept serieuze zorgen op over gegevensbeveiliging en privacy voor de getroffen partijen. Tot nu toe is er geen officiële reactie geweest van Amplify AI of de getroffen klanten met betrekking tot de vermeende inbreuk.

Hacker beweert database van PT Tekno Mandiri Abadi te lekken

Een hacker beweert de klantgegevens van PT. Tekno Mandiri Abadi, een distributeur van Epson Indonesië, te hebben en te koop aan te bieden. De gecompromitteerde gegevens bevatten uitgebreide persoonlijke en zakelijke informatie van 60.000 klanten, waaronder klant-ID's, contactgegevens, bedrijfstelefoonnummers, mobiele nummers, e-mails, factuurnummers, enzovoort. De hacker heeft een voorbeeld van persoonlijke gegevens uit de hack gegeven om hun beweringen te valideren. Op dit moment hebben PT. Tekno Mandiri Abadi en Epson Indonesië nog geen verklaring afgegeven over de vermeende inbreuk, wat zorgen oproept over de omgang met de situatie en de genomen maatregelen om de schade te beperken.

Threat Actor lekt Nokia-werknemersgegevens na inbreuk bij derde partij

Een bedreigingsacteur, bekend als 888, heeft de verantwoordelijkheid op zich genomen voor het lekken van gegevens van Nokia die zijn verkregen via een inbreuk bij een derde partij. De gelekte dataset bevat gedetailleerde informatie over 7.622 Nokia-werknemers, waaronder persoonlijke en professionele gegevens zoals namen, functies, e-mails en telefoonnummers. Dit incident benadrukt het belang van robuuste beveiligingsmaatregelen, niet alleen binnen bedrijven maar ook bij hun externe partners, om gegevensinbreuken te voorkomen en gevoelige informatie te beschermen. Het lek van deze gegevens brengt de getroffen werknemers mogelijk in gevaar voor phishingaanvallen, identiteitsdiefstal en verdere uitbuiting door kwaadwillende partijen.

Dreigingsacteur beweert toegang en database te verkopen voor EmploiPartner.com

Een dreigingsacteur beweert toegang tot en de database van EmploiPartner.com te verkopen, een door de staat goedgekeurd e-recruitmentbedrijf gevestigd in Algerije. De dataverkoop omvat een uitgebreide set gegevens, waaronder gebruikers (kandidaten en recruiters), sollicitaties, cv's en telefoonnummers, met in totaal 13 GB aan data. Dit lek vormt een aanzienlijk risico voor de privacy en veiligheid van de individuen wiens gegevens zijn gecompromitteerd. Hieruit blijkt de cruciale behoefte aan robuuste cybersecuritymaatregelen en strikte gegevensbeschermingsbeleid om persoonlijke informatie te beschermen tegen ongeautoriseerde toegang en misbruik. Het incident onderstreept de groeiende bedreiging van datalekken en de noodzaak van verhoogde waakzaamheid op het gebied van online veiligheid.

Amerikaanse bank lekt gegevens van 7,6 miljoen klanten bij ransomware-aanval

De Amerikaanse Evolve Bank heeft de gegevens van 7,6 miljoen klanten gelekt na een ransomware-aanval. De bank ontdekte eind mei dat sommige systemen niet goed werkten en aanvallers toegang hadden gekregen tot gevoelige klantinformatie. Naast namen, social-securitynummers en bankrekeningnummers zijn ook gegevens van personeel en klanten van 'Open Banking' partners buitgemaakt. Hoewel de exacte wijze van de aanval onbekend is, heeft de bank geen losgeld betaald aan de criminelen. De datalekmelding aan de procureur-generaal van Maine onthulde dat ongeveer 7,6 miljoen personen zijn getroffen. Evolve Bank werkt nu aan het versterken van de beveiligingssystemen om verdere datalekken te voorkomen. 1, 2, 3

Cyberaanval treft Frankfurter (D) University of Applied Sciences

De Frankfurter University of Applied Sciences is slachtoffer geworden van een cyberaanval, waardoor de hogeschool momenteel niet bereikbaar is per e-mail of telefoon. Op zaterdag om 20.00 uur kregen onbekenden toegang tot delen van de IT-infrastructuur van de hogeschool, wat resulteerde in het offline halen van de officiële website en het stopzetten van online inschrijvingen. De externe toegang tot IT-systemen is geblokkeerd als beveiligingsmaatregel, maar de lessen gaan door zoals gepland. Er wordt gecommuniceerd via social media en een speciale onderhoudspagina. Deze aanval volgt op eerdere cyberaanvallen op andere universiteiten en instellingen in de regio. De UAS werkt aan het herstellen van de getroffen systemen, maar het is nog niet duidelijk wanneer de diensten weer operationeel zullen zijn. 1

Dreigende hacker eist losgeld van Ticketmaster en dreigt met vrijgeven van meer tickets

Een bedreigende hacker heeft aangekondigd de aanval op Ticketmaster op te voeren door meer dan 30.000 extra tickets voor verschillende evenementen aan te bieden en een handleiding te verstrekken voor het maken van afdrukbare tickets. De groep betwist de claim van Ticketmaster dat hun SafeTix-technologie barcodes onbruikbaar maakt zodra ze gedeeld zijn en beweert dat fysieke tickettypes zoals Ticketfast, e-tickets en mailtickets nog steeds kunnen worden misbruikt. Ze eisen $2 miljoen losgeld van Ticketmaster en dreigen barcodes voor alle overgebleven mail- en e-tickets vrij te geven als niet aan hun eisen wordt voldaan. De hackers hebben publieke verklaringen van Ticketmaster uitgedaagd en bieden een stapsgewijze handleiding voor het maken van afdrukbare tickets met behulp van officiële Ticketmaster-richtlijnen.

Bedreigingsacteur beweert database van SpiderOak te verkopen

Een bedreigingsacteur beweert de database van SpiderOak, een bedrijf dat bekend staat om zijn veilige cloudservices die de nadruk leggen op privacy en gegevensbeveiliging, te hebben geschonden. Het bedrijf, opgericht in 2007, staat bekend om de robuuste bescherming van gebruikersgegevens. De hacker beweert te beschikken over de broncode van spideroak.com, de broncode van Semaphore, gebruikersgegevens voor beide applicaties, een uitgebreide lijst met bestanden, een totale gegevensvolume van meerdere petabytes en interne bestanden en alles wat verband houdt met ongeveer 300.000 accounts. De hacker biedt de gestolen data te koop aan voor 0.33 BTC per koper, beperkt tot drie kopers, of 1 BTC voor exclusieve toegang tot alle data. De hacker dreigt ook met het onthullen van data van meer dan 20 miljoen andere cloudgebruikers in de nabije toekomst.

Nieuwe cyberdreiging genaamd CloudSorcerer steelt gegevens van Russische overheid via cloudservices

Een nieuwe geavanceerde bedreigingsgroep genaamd CloudSorcerer maakt misbruik van openbare cloudservices om gegevens te stelen van Russische overheidsorganisaties in cyberespionageaanvallen. Kaspersky-beveiligingsonderzoekers ontdekten de groep in mei 2024 en merken op dat CloudSorcerer aangepaste malware gebruikt die legitieme cloudservices gebruikt voor commando- en controle-operaties en gegevensopslag. De modus operandi van CloudSorcerer lijkt op die van CloudWizard APT, maar de malware is toch uniek, wat suggereert dat dit een nieuwe dreigingsacteur is. De malware voert verschillende acties uit op geïnfecteerde machines, zoals het verzamelen van systeeminformatie en het uitvoeren van schadelijke commando's. Kaspersky beschrijft de aanvallen van CloudSorcerer als zeer geavanceerd vanwege de dynamische aanpassing van de malware en de verborgen communicatiekanalen voor gegevens. 1, 2

Datalek bij Roblox leidt tot blootstelling van deelnemers aan ontwikkelingsconferentie

Roblox heeft onlangs aangekondigd dat het getroffen is door een datalek dat van invloed is op deelnemers aan de Roblox Developer Conference van 2022, 2023 en 2024. Een leverancier van Roblox, FNTech, werd gehackt waardoor onbevoegden toegang kregen tot systemen en informatie van de conferentiebijeenkomsten. De gestolen gegevens omvatten namen, e-mailadressen en IP-adressen van de conferentiebezoekers. Deze inbreuk is toegevoegd aan de dataleknotificatieservice Have I Been Pwned, die meldt dat 10.386 unieke e-mailadressen zijn blootgesteld. Hoewel Roblox stappen heeft ondernomen om herhaling van dit incident te voorkomen, verhoogt de blootgestelde informatie het risico op gerichte phishingaanvallen. Gezien de omvang van de gemeenschap van Roblox en de actieve economische activiteit van het platform, is dit niet de eerste keer dat hackers het op Roblox en zijn gebruikers voorzien hebben. 1

Britse ziekenhuizen verzetten duizenden operaties wegens ransomware

Twee ziekenhuizen in Londen hebben als gevolg van een ransomware-aanval op een laboratorium dat bloedtests verwerkt, duizenden operaties en behandelingen moeten verzetten. Meer dan 4900 acute poliklinische procedures, waaronder kankerbehandelingen, moeten worden uitgesteld, evenals meer dan vijftienhonderd niet-dringende operaties. De aanval heeft geleid tot een tekort aan bloed en heeft ernstige gevolgen voor patiënten, waaronder een kankerpatiënte die moest kiezen tussen een borstsparende operatie of het wachten op het herstel van de systemen van het laboratorium. De NHS in Londen heeft de situatie als een 'regionaal incident' bestempeld en ziet zich genoodzaakt een groot aantal afspraken te verzetten. 1, 2

Aanvallers maken misbruik van Ghostscript-kwetsbaarheid voor serveraanvallen

Aanvallers maken actief misbruik van een kwetsbaarheid in Ghostscript, software voor het verwerken van PostScript en pdf-bestanden, om servers te compromitteren. Onderzoekers hebben gewaarschuwd dat de kwetsbaarheid, aangeduid als CVE-2024-29510, kan leiden tot buffer overflow en het uitvoeren van kwaadaardige code op het systeem. Met name websites en webapplicaties die Ghostscript gebruiken om bestanden om te zetten, lopen risico. De ontwikkelaars van Ghostscript hebben inmiddels een patch uitgebracht om het beveiligingslek te dichten. Desondanks waarschuwen experts voor actief misbruik van de kwetsbaarheid, die als 'super slecht' wordt bestempeld vanwege het brede gebruik van Ghostscript zonder bewustzijn van de kwetsbaarheid. 1, 2, 3

🇳🇱 Data op het darkweb: NOAB: Innovatieve branchevereniging voor administratie- en belastingadvieskantoren

NOAB, de branchevereniging voor administratie- en belastingadvieskantoren, is recentelijk slachtoffer geworden van cybercriminelen. Op het darkweb hebben de criminelen van Lockbit3 op 6 juli 2024 bekendgemaakt dat ze NOAB hebben getroffen. NOAB, met 30 jaar aan ervaring, begeleidt kantoren naar een toekomstbestendig businessmodel, waarbij het ontzorgen, begeleiden en adviseren van ondernemers centraal staat. Met 1.100 aangesloten kantoren die zich inzetten voor 175.000 ondernemers in het mkb-segment, is NOAB een energieke en innovatieve organisatie. De NOAB Academy biedt diverse cursussen om kennis op peil te houden. Voor meer informatie over NOAB en hun drijfveren nodigen zij geïnteresseerden uit om de professionele kantoren te ontdekken die met plezier adviseren, begeleiden en het keurmerk dragen voor administratieve behoeften.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Slachtoffers België en Nederland

Meer weekoverzichten