CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN
De afgelopen week hebben diverse cyberaanvallen bedrijven en instellingen over de hele wereld getroffen, waarbij gevoelige gegevens op het darkweb zijn gepubliceerd. Deze incidenten onderstrepen de voortdurende dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun beveiligingsmaatregelen te versterken. Op 17 juli 2024 heeft de Nederlandse Verweij Elektrotechniek te maken gehad met een datalek door de hackersgroep "Fog", die gevoelige bedrijfsdata op het darkweb plaatste. Een dag eerder, op 16 juli, werd de website van Glow FM aangevallen door Ransomhub, met vergelijkbare gevolgen. Ook het architectenbureau KuiperCompagnons en het Belgische bedrijf Custom Support zijn recentelijk slachtoffer geworden van soortgelijke aanvallen, uitgevoerd door respectievelijk RansomHouse en LockBit 3.
Daarnaast werd een opmerkelijk patroon van toenemende ransomware-incidenten waargenomen. Ondanks succesvolle politieacties tegen grote ransomware-groepen zoals Lockbit, blijven aanvallen met gijzelsoftware toenemen. Experts signaleren een groei in de populariteit van het Ransomware as a Service (RaaS)-model, dat het eenvoudiger maakt voor criminelen om cyberaanvallen uit te voeren. Deze ontwikkelingen tonen aan dat ransomwaregroepen, geholpen door het lucratieve karakter van hun activiteiten, vaak doorgaan ondanks opsporingssuccessen. Energiedirect waarschuwde klanten voor mogelijke onnodige gegevensinzage, wat een risico op phishing en identiteitsfraude kan inhouden. Deze waarschuwing volgt op een routinecontrole waarin een ongebruikelijk hoog aantal gegevensopvragingen werd ontdekt. Hoewel er geen aanwijzingen zijn dat de gegevens buiten het systeem zijn geraakt, wordt verder onderzoek uitgevoerd.
Verstoringen door CrowdStrike- en Azure-storingen
Een bijzonder zorgwekkende ontwikkeling betreft neppe CrowdStrike-updates die malware en data-wipers bevatten. Deze kwaadaardige updates worden verspreid door onder andere de pro-Iraanse hacktivistengroep Handala. Deze incidenten werden verergerd door een logicafout in een recente CrowdStrike-update, die wereldwijd tot systeemcrashes en blue screens of death (BSOD) leidde. Deze problemen, veroorzaakt door een "NULL pointer" fout in de C++ code van CrowdStrike, benadrukken de noodzaak voor grondige tests van updates voordat ze naar gebruikers worden uitgerold.
De gevolgen van de CrowdStrike-storing waren wereldwijd merkbaar, met annuleringen van bijna 2700 vluchten en onderbrekingen in diverse sectoren, waaronder de zorg en de luchtvaart. Nederlandse ziekenhuizen moesten tijdelijk hun zorgverlening beperken door technische problemen veroorzaakt door de update. De storing benadrukt de kwetsbaarheid van ziekenhuizen voor IT-storingen en de impact daarvan op de zorgverlening. Cybercriminelen maakten ook gebruik van deze wereldwijde computerstoring voor phishingaanvallen, door zich voor te doen als supportmedewerkers van CrowdStrike. Het Britse National Cyber Security Centre (NCSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwden organisaties om alleen via officiële kanalen te communiceren om verdere schade te voorkomen.
Verder meldde Microsoft dat de storingen bij hun Azure-platform en de problemen met CrowdStrike's beveiligingssoftware onafhankelijk van elkaar waren. Deze storingen leidden tot ernstige connectiviteitsproblemen en annuleringen van vluchten door Amerikaanse luchtvaartmaatschappijen. Hoewel de Azure-storing inmiddels is verholpen, blijven er prestatieproblemen met Microsoft 365-diensten, wat de dagelijkse bedrijfsvoering van vele organisaties wereldwijd verstoort.
Impact op Bedrijven en Sectoren
In de Verenigde Staten werd AutoNation, een grote autohandelaar, getroffen door een cyberaanval in juni, wat resulteerde in aanzienlijke winstdalingen. Deze aanval, gericht op het dealer management systeem van CDK Global, toont de kwetsbaarheid van bedrijven voor digitale bedreigingen en onderstreept de noodzaak voor robuuste cybersecuritymaatregelen. De afgelopen week hebben we gezien hoe cybercriminelen blijven innoveren en gebruikmaken van nieuwe tactieken om toegang te krijgen tot gevoelige gegevens. Dit onderstreept de dringende noodzaak voor bedrijven en instellingen om voortdurend hun beveiligingsprotocollen te evalueren en te versterken. Proactieve maatregelen en verhoogde waakzaamheid zijn essentieel om de risico's van cyberaanvallen te minimaliseren en de schade te beperken.
Een opvallend incident deze week betrof de hack bij de Australische gezondheidsorganisatie MediSecure, waarbij persoonlijke gegevens van 13 miljoen Australiërs zijn gestolen. Deze data omvatten namen, geboortedata, e-mailadressen en medicatiegegevens van patiënten die gebruik maakten van de dienst tussen maart 2019 en november 2023. MediSecure heeft de omvang van het lek nog niet volledig in kaart kunnen brengen, wat de uitdagingen van grootschalige datalekken benadrukt.
Verkoop van Cybercrime Tools en Gevoelige Data
Een andere alarmerende gebeurtenis was de datadiefstal bij de Amerikaanse telecomgigant AT&T, waarbij de gegevens van bijna alle klanten werden gestolen. De aanvallers eisten aanvankelijk een miljoen dollar, maar na onderhandelingen betaalde AT&T uiteindelijk $370.000 om de data terug te krijgen. Dit incident toont de aanhoudende dreiging van cyberaanvallen op grote bedrijven en de noodzaak voor uitgebreide beveiligingsmaatregelen. Ook de hackergroep FIN7 kwam in het nieuws door de verkoop van hun "AvNeutralizer"-tool, die in staat is om bedrijfsbeveiligingssoftware uit te schakelen. Deze Russische groep, actief sinds 2013, staat bekend om hun geavanceerde phishing- en social engineering-aanvallen. De verkoop van dergelijke tools aan andere cybercriminelen vergroot de dreiging voor bedrijven wereldwijd.
In Europa werden bedrijven zoals de Franse sociale netwerksite Rencontre-Ados getroffen door een datalek waarbij persoonlijke gegevens van meer dan 346.000 gebruikers werden blootgesteld. Deze informatie omvatte gevoelige details zoals geboortedata, GPS-coördinaten en seksuele geaardheid, wat de ernst van dergelijke inbreuken benadrukt. Daarnaast werd bekend dat cybercriminelen toegang verkopen tot het interne netwerk van een groot Pools bedrijf, bestaande uit 5.068 computers en 34 subnetwerken, voor slechts $2.500. Dit incident benadrukt de dringende noodzaak voor bedrijven om hun netwerken te beveiligen en regelmatige audits uit te voeren om zwakke punten te identificeren en aan te pakken.
Conclusie
De wereldwijde storingen in de beveiligingssoftware van CrowdStrike hebben eveneens geleid tot grootschalige annuleringen van vluchten en onderbrekingen in vitale diensten. Deze storingen, in combinatie met een configuratiefout in Microsoft Azure, veroorzaakten aanzienlijke problemen bij diverse organisaties. Deze gebeurtenissen tonen de kwetsbaarheid van onze digitale infrastructuur en de noodzaak voor robuuste back-up- en herstelplannen.
Een ander belangrijk incident betrof de hack bij de Amerikaanse luchtvaartmaatschappij Directional Aviation, waarbij privévlootgegevens van alle dochterondernemingen werden buitgemaakt. Dit incident benadrukt opnieuw de kwetsbaarheid van luchtvaartmaatschappijen voor cyberaanvallen en de noodzaak voor strenge beveiligingsmaatregelen. Tot slot werden deze week diverse ransomware-aanvallen gemeld, waaronder de aanval op de PGD Group in Polen en de Amerikaanse meubelfabrikant Bassett Furniture. Deze aanvallen resulteerden in de versleuteling van gevoelige bedrijfsdata en ernstige verstoringen van de bedrijfsvoering. Bedrijven wereldwijd worden aangemoedigd om hun beveiligingsprotocollen te herzien en te versterken om zich te beschermen tegen dergelijke aanvallen.
In conclusie, de gebeurtenissen van de afgelopen week tonen duidelijk de groeiende dreiging van cyberaanvallen en de noodzaak voor continue waakzaamheid en proactieve maatregelen. Bedrijven en instellingen moeten hun beveiligingsstrategieën blijven evalueren en verbeteren om de risico's van cybercriminaliteit te minimaliseren. Samenwerking tussen overheden, bedrijven en beveiligingsexperts is essentieel om een veilige digitale omgeving te waarborgen en de impact van cyberaanvallen te beperken.
Hieronder vind je een compleet dag-tot-dag overzicht.
Begrippenlijst: Sleutelwoorden uitgelegd
-
Darkweb: Een deel van het internet dat niet toegankelijk is via standaard zoekmachines en waarvoor speciale software nodig is, zoals Tor. Het wordt vaak gebruikt voor anonieme communicatie en transacties.
-
Ransomware: Schadelijke software die toegang tot een computersysteem of gegevens blokkeert, meestal door middel van versleuteling, totdat een losgeld wordt betaald aan de aanvallers.
-
Ransomware as a Service (RaaS): Een model waarbij cybercriminelen ransomware aanbieden als een dienst aan andere criminelen, vergelijkbaar met legitieme software as a service (SaaS)-modellen.
-
Phishing: Een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als betrouwbare entiteiten om gevoelige informatie, zoals wachtwoorden en creditcardgegevens, van slachtoffers te verkrijgen.
-
Blue Screen of Death (BSOD): Een foutscherm dat wordt weergegeven op Windows-computers na een ernstige systeemfout, waardoor het besturingssysteem niet verder kan werken.
-
NULL Pointer Fout: Een programmeerfout die optreedt wanneer een programma probeert toegang te krijgen tot een geheugenlocatie die niet is toegewezen, wat vaak leidt tot crashes.
-
Logicafout: Een fout in de softwarelogica waardoor het programma niet correct werkt, ondanks dat de code syntactisch correct is.
-
Back-up- en herstelplannen: Strategieën en procedures om gegevens te back-uppen (kopiëren en opslaan) en te herstellen na verlies of beschadiging door een storing of aanval.
-
Social Engineering: Een techniek waarbij aanvallers misbruik maken van menselijke psychologie om vertrouwelijke informatie te verkrijgen, bijvoorbeeld door zich voor te doen als een betrouwbare bron.
-
Beveiligingsprotocollen: Regels en procedures die worden gevolgd om de beveiliging van een informatiesysteem te waarborgen.
-
Configuratiefout: Een fout die optreedt wanneer software of hardware verkeerd is ingesteld, wat kan leiden tot problemen in de werking ervan.
-
Tweefactorauthenticatie (2FA): Een extra beveiligingslaag waarbij gebruikers naast hun wachtwoord nog een tweede vorm van identificatie moeten invoeren, zoals een code van een mobiele app.
-
Versleuteling: Het proces van het omzetten van informatie in een code om toegang door onbevoegden te voorkomen.
-
Cybersecurity: De praktijk van het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen kwaadaardige aanvallen.
-
Data-wiper: Schadelijke software die gegevens op een geïnfecteerd systeem permanent verwijdert.
-
Patch: Een update voor software die fouten of beveiligingskwetsbaarheden verhelpt.
-
Audit: Een systematische evaluatie van een systeem, zoals een netwerk of software, om de veiligheid en efficiëntie ervan te controleren en verbeteren.
-
Infostealer: Schadelijke software die ontworpen is om gevoelige informatie van een geïnfecteerd systeem te stelen.
-
Cyberleveringsketen: De reeks van processen, organisaties en middelen die betrokken zijn bij de levering van IT- en cyberservices, inclusief hardware, software en menselijke elementen.
-
Credential: Verificatiegegevens zoals gebruikersnamen en wachtwoorden die worden gebruikt om toegang te krijgen tot systemen of gegevens.
Cyberaanvallen, datalekken, trends en dreigingen nieuws
Garudafood getroffen door ransomware-aanval
Garudafood Putra Putri Jaya, een van de grootste voedings- en drankenbedrijven in Indonesië, is recentelijk slachtoffer geworden van een ransomware-aanval uitgevoerd door de RansomHub-groep. De hackers beweren 10 GB aan gegevens te hebben buitgemaakt. Garudafood heeft tot 27 juli 2024 de tijd gekregen om het losgeld te betalen. De aanval onderstreept de toenemende dreiging van ransomware voor bedrijven wereldwijd, waarbij gevoelige bedrijfsdata wordt gegijzeld in ruil voor losgeld. Deze incidenten benadrukken het belang van robuuste cyberbeveiligingsmaatregelen om dergelijke aanvallen te voorkomen en bedrijfsgegevens te beschermen.
Daikin getroffen door cyberaanval: hackers eisen losgeld
Daikin, de grootste airconditionerfabrikant ter wereld, is recentelijk slachtoffer geworden van een cyberaanval door de Meow hacking groep. Deze groep hackers heeft naar verluidt 40 GB aan vertrouwelijke gegevens gestolen van de Amerikaanse tak van het bedrijf. De gestolen data omvat accountinformatie, bankgegevens en transactiegegevens. De hackers hebben een losgeld van $40.000 geëist om de gegevens niet openbaar te maken of te verkopen. Deze aanval benadrukt opnieuw het groeiende risico van cybercriminaliteit en de noodzaak voor bedrijven om hun digitale beveiliging serieus te nemen en proactieve maatregelen te treffen om dergelijke incidenten te voorkomen.
Ransomware-aanval treft Superior Court van Los Angeles County (USA)
De Superior Court van Los Angeles County is getroffen door een ransomware-aanval. De aanval vond plaats in de vroege ochtenduren van vrijdag en werd geïdentificeerd als een ernstige beveiligingsinbreuk. Direct na ontdekking werden alle netwerk systemen uitgeschakeld om verdere schade te voorkomen. Het netwerk blijft het hele weekend uitgeschakeld voor verdere oplossing van het probleem. Tot nu toe is er geen bewijs dat gegevens van rechtbankgebruikers zijn gecompromitteerd. Lokale, staats- en federale wetshandhavingsinstanties helpen bij het onderzoek. De rechtbank heeft de afgelopen jaren zwaar geïnvesteerd in haar cybersecurity-infrastructuur, waardoor de inbreuk snel werd ontdekt en aangepakt. 1
Cyberaanval Dwingt Twee Casino's in Aix-les-Bains (FRA) tot Sluiting
Op donderdag 18 juli 2024 werden de casino's Grand Cercle en Poker Bowl in Aix-les-Bains getroffen door een ernstige cyberaanval. Deze aanval, die plaatsvond in de nacht van woensdag op donderdag, richtte zich op de IT-systemen van beide casino's, waarbij de gegevens op hun servers werden versleuteld. De directie van de casino's heeft de systemen onmiddellijk offline gehaald om verdere schade te voorkomen en besloot de deuren te sluiten. Het incident wordt grondig onderzocht door het Office anti-cybercriminalité van de Franse politie. De cyberaanval heeft aanzienlijke financiële schade veroorzaakt. De directie werkt aan herstelmaatregelen en versterking van de beveiliging, maar een heropeningsdatum is nog niet vastgesteld. 1
Data-inbreuk treft L'Oréal: 5.110 Werknemers Gecompromitteerd
Een dreigingsactor, bekend als "w888", beweert verantwoordelijk te zijn voor een datalek bij het internationale cosmeticabedrijf L'Oréal. In juli 2024 zou een derde partij persoonlijke informatie van 5.110 werknemers van L'Oréal hebben blootgesteld. De gelekte gegevens omvatten voornamen, achternamen, functietitels, e-mailadressen en de steden, staten en landen van de werknemers. Hoewel deze beweringen nog niet onafhankelijk zijn geverifieerd, benadrukt het incident de aanhoudende risico's van gegevensinbreuken voor grote bedrijven en hun medewerkers. Dit lek onderstreept de noodzaak voor bedrijven om robuuste beveiligingsmaatregelen te implementeren om dergelijke bedreigingen te voorkomen en gevoelige informatie te beschermen.
βοΈNeppe CrowdStrike-updates verspreiden malware en data-wipers
Na een foutieve update van CrowdStrike worden bedrijven getroffen door neppe fixes die malware en data-wipers bevatten. Cybercriminelen maken gebruik van de verwarring om phishing-e-mails te sturen die zogenaamd updates van CrowdStrike aanbieden. Deze bevatten echter schadelijke software zoals Remcos RAT en data-wipers. De aanvallen worden uitgevoerd door onder andere de pro-Iraanse hacktivistengroep Handala. CrowdStrike waarschuwt bedrijven om alleen via officiële kanalen te communiceren om verdere schade te voorkomen. De initiële fout in de update trof wereldwijd miljoenen Windows-systemen en veroorzaakte aanzienlijke bedrijfsstoringen. 1
Gevoelige Militaire Gegevens te Koop op Darkweb
Een dreigingsactor heeft aangekondigd gegevens van actief dienstdoende militairen uit drie takken van het Amerikaanse leger te koop aan te bieden. Het betreft gegevens van 9.450 personeelsleden van de luchtmacht, 8.681 van de marine en 5.571 van het leger. De data omvatten identificatienummers, namen, functies, e-mails, telefoonnummers en eenheden van de betrokken militairen. De datalek vond plaats in juli 2024 en de prijs voor deze gevoelige informatie is onderhandelbaar. Dit lek benadrukt de dringende noodzaak voor betere cybersecurity-maatregelen binnen militaire organisaties. De verkoop van deze gegevens vormt een aanzienlijk veiligheidsrisico en kan ernstige gevolgen hebben voor de betrokken personen en de nationale veiligheid.
Grote datalek bij Franse sociale netwerksite Rencontre-Ados onthuld
In juli 2024 heeft een dreigingsacteur een groot datalek geclaimd bij de Franse sociale netwerksite Rencontre-Ados. Hierbij zouden de persoonlijke gegevens van meer dan 346.000 gebruikers, voornamelijk jongeren tussen de 13 en 25 jaar, zijn blootgesteld. De gestolen informatie omvat namen, geboortedata, GPS-coördinaten, geslachten, seksuele geaardheden, burgerlijke staten, beroepen, lengtes en maten, haarkleuren, oogkleuren, aantal kinderen, rook- en drinkgewoonten, religies en foto’s. Ook gebruikers-ID's, tijdstempels van laatste activiteiten en statussen zijn gelekt. Het datalek vond plaats op 5 juli 2024 en treft een kwetsbare gebruikersgroep, wat de ernst van de situatie onderstreept.
KYC Data van Embily Crypto en Fractal ID Gelekt door Dreigingsactor
Een dreigingsactor, bekend als “UnicornLover67”, beweert alle KYC (Know Your Customer) gegevens van de crypto bank visa kaart aanbieder Embily.com te hebben gelekt. De gestolen gegevens bevatten persoonlijke informatie zoals namen, geboortedata, nationaliteiten, ID-documenten en verificatiedetails zoals gezichtsherkenning en video’s. Daarnaast zijn ook registratiegegevens zoals e-mailadressen, IP-adressen en apparaattypes buitgemaakt. In een tweede aanval beweert dezelfde dreigingsactor 55.000 KYC-records van Fractal.id te hebben gestolen. Deze gegevens omvatten onder andere namen, e-mails, fysieke adressen, crypto wallets en scans van identiteitsdocumenten. De hacker heeft aangekondigd een gecensureerd voorbeeld van de gegevens te zullen publiceren en adviseert beide bedrijven om de data terug te kopen om verdere blootstelling te voorkomen. Deze incidenten benadrukken de dringende noodzaak voor sterke cyberbeveiligingsmaatregelen en snelle actie door de getroffen bedrijven om potentiële schade te beperken.
Gegevenslek bij Hirelocker: 239.000 Aanvragen Gecompromitteerd
Een cybercrimineel heeft op een dark web-forum een database gepubliceerd die naar verluidt afkomstig is van Hirelocker, een cloudoplossing voor het beheren van wervingsprocessen. Het bedrijf, gevestigd in Ierland maar wereldwijd actief, heeft te maken met een vermeende lek van 239.000 gebruikersaanvragen. De gelekte gegevens bevatten persoonlijke informatie van sollicitanten, zoals naam, e-mail, huidige werkgever, functie, locatie, en land, evenals details over de sollicitatie zelf en de betrokken bedrijven. De crimineel heeft een sample van de gelekte data gepost om de authenticiteit te bevestigen. Deze gegevens omvatten onder andere sollicitatie-ID's, datums, bedrijfsbeoordelingen, en jobstatussen. Dit lek benadrukt wederom het belang van robuuste cybersecurity-maatregelen voor bedrijven die gevoelige gegevens beheren.
Grote Gegevenslek bij Hajj en Pelgrimage Organisatie van Iran
Een dreigingsactor heeft op een dark web forum een database gepubliceerd die naar verluidt afkomstig is van de Hajj en Pelgrimage Organisatie van Iran, met gegevens vanaf 1984 tot 2024. Deze organisatie registreert pelgrimsreizen, en de gelekte gegevens zouden informatie bevatten over alle Iraanse functionarissen die minstens één keer op pelgrimstocht zijn geweest. Volgens de dreigingsactor bevat de database 1,25 TB aan gegevens met meer dan 168 miljoen records. De gelekte informatie omvat persoonlijke en gevoelige gegevens zoals namen, geboortedata, geboorteplaatsen, ID-nummers, paspoortinformatie, reisgegevens, verzekeringsinformatie en details van overheidsfunctionarissen. De prijs voor deze data is niet vermeld, maar is onderhandelbaar. Dit lek brengt een groot aantal mensen in gevaar vanwege de omvang en de aard van de gelekte gegevens, wat ernstige privacy- en veiligheidsrisico's met zich meebrengt.
Logicafout in CrowdStrike Update Zorgt voor Systeemcrashes
Een logicafout in een recente update van CrowdStrike's Falcon-beveiligingssoftware heeft wereldwijd tot systeemcrashes en blue screens of death (BSOD) geleid. Dit probleem ontstond na een routine configuratie-update die bedoeld was om nieuwe malware te detecteren. De update veroorzaakte echter een logicafout die op getroffen systemen een crash van het besturingssysteem tot gevolg had. Het exacte mechanisme achter deze fout wordt nog onderzocht. CrowdStrike voert dergelijke updates meerdere keren per dag uit om in te spelen op nieuwe cyberdreigingen. Op sociale media wordt er hevig gediscussieerd over hoe deze update de kwaliteitscontrole kon doorstaan en zijn weg vond naar miljoenen computers zonder grondig te zijn getest. Veel gebruikers wijzen op het belang van geleidelijke uitrol en uitgebreide testen van updates om soortgelijke problemen in de toekomst te voorkomen. 1, 2
You're correct.
β christian_taillon (@christian_tail) July 19, 2024
Full of zeros at least. pic.twitter.com/PJcCsUb9Vc
Crowdstrike Analysis:
β Zach Vorhies / Google Whistleblower (@Perpetualmaniac) July 19, 2024
It was a NULL pointer from the memory unsafe C++ language.
Since I am a professional C++ programmer, let me decode this stack trace dump for you. pic.twitter.com/uUkXB2A8rm
Problemen met Crowdstrike's C++ Code Leiden tot Systeemcrashes
Zach Vorhies, een voormalige Google-klokkenluider en professionele C++ programmeur, analyseerde recent een fout in de code van Crowdstrike die leidde tot systeemcrashes. Hij verklaart dat het probleem werd veroorzaakt door een "NULL pointer" fout in de onveilige C++ taal. Deze fout ontstaat wanneer een programma probeert toegang te krijgen tot een niet-bestaand geheugenadres, wat leidt tot een crash. Vorhies legt uit dat dit vaak gebeurt wanneer programmeurs vergeten om te controleren of een object geldig is voordat ze het gebruiken. Dit specifieke probleem werd niet opgevangen door automatische tests en werd uiteindelijk naar gebruikers uitgerold als een verplichte update, wat ernstige gevolgen had. Vorhies benadrukt dat betere controles en modernere programmeertalen zoals Rust, die veiliger zijn voor geheugenbeheer, nodig zijn om dergelijke fouten in de toekomst te voorkomen. Hij suggereert dat Microsoft en Crowdstrike hun beleid moeten herzien om de veiligheid en betrouwbaarheid van hun software te waarborgen.
Criminelen Misbruiken Wereldwijde Computerstoring voor Phishingaanvallen
Criminelen maken gebruik van een wereldwijde computerstoring veroorzaakt door de beveiligingssoftware van CrowdStrike om phishingaanvallen uit te voeren. De Amerikaanse en Britse overheden, samen met CrowdStrike, waarschuwen dat aanvallers zich voordoen als supportmedewerkers van CrowdStrike in e-mails en telefoongesprekken. Ze bieden ook betaalde scripts aan die de problemen zogenaamd automatisch oplossen. Organisaties wordt geadviseerd om alleen via officiële kanalen met CrowdStrike te communiceren. Het Britse National Cyber Security Centre (NCSC) heeft een toename in phishingaanvallen opgemerkt en benadrukt het belang van meerlaagse phishingbescherming. Ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) roept op tot waakzaamheid en benadrukt dat alleen instructies van legitieme bronnen gevolgd moeten worden. Deze aanvallen kunnen zowel organisaties als individuen treffen, met potentieel grote gevolgen voor getroffen partijen. 1
Microsoft: Azure- en CrowdStrike-storingen niet gerelateerd
Microsoft heeft laten weten dat de grote storingen bij hun Azure-platform en de problemen met CrowdStrike's beveiligingssoftware niet met elkaar in verband staan. Gisterenavond leidde een storing bij Azure tot het onbeschikbaar zijn van verschillende diensten, waaronder Microsoft 365, wat tot de annulering van meerdere vluchten door Amerikaanse luchtvaartmaatschappijen leidde. Hoewel de Azure-storing inmiddels verholpen is, waren er nog problemen met Microsoft 365-apps zoals SharePoint, Teams en OneDrive for Business. Daarnaast bracht CrowdStrike een defecte update uit voor hun Falcon-beveiligingssoftware, wat resulteerde in een 'blue screen of death' op Windows-computers wereldwijd en aanzienlijke problemen veroorzaakte. Microsoft benadrukte dat deze storingen onafhankelijk van elkaar waren; de Azure-storing was te wijten aan een configuratieaanpassing, terwijl de problemen bij CrowdStrike voortkwamen uit een gebrekkige software-update. 1
LockBit 3.0 Hacking Group Treft 13 Nieuwe Slachtoffers
In de afgelopen uren heeft de beruchte LockBit 3.0 hackinggroep 13 nieuwe slachtoffers aan hun lijst toegevoegd. Deze cyberaanvallen hebben zowel overheidsinstanties als organisaties in de onderwijssector getroffen. Enkele van de prominente slachtoffers zijn de Franse regio Pays de la Loire, de Amerikaanse Joliet Public Schools District 86, en het Thaise bedrijf Goldstar Metal. Ook bedrijven zoals Great Lakes Supply en hotel Albona Nova werden niet gespaard. De aanvallen benadrukken de voortdurende dreiging van ransomware, waarbij de hackers proberen om losgeld te verkrijgen door de toegang tot belangrijke gegevens te blokkeren. Het incident benadrukt opnieuw de noodzaak voor robuuste cyberbeveiligingsmaatregelen en continue waakzaamheid tegen dergelijke cyberdreigingen.
Cyberaanval op WazirX Multisig Wallet: Voorlopige Bevindingen
WazirX rapporteerde een cyberaanval op hun multisig wallet, wat resulteerde in een verlies van meer dan $230 miljoen. De wallet werd beheerd door zes ondertekenaars, waaronder vijf van WazirX en één van Liminal. De aanval kwam voort uit een discrepantie tussen de weergegeven gegevens en de daadwerkelijke transactie-inhoud, vermoedelijk door een payload-vervanging. Ondanks robuuste beveiligingsmaatregelen zoals Gnosis Safe en Liminal’s whitelisting beleid, slaagden de aanvallers erin de beveiliging te omzeilen. WazirX werkt intensief aan het terughalen van de gestolen fondsen en belooft verdere updates te geven. 1
Datalek bij MediSecure treft 13 miljoen Australiërs
De Australische gezondheidsorganisatie MediSecure heeft een groot datalek gemeld waarbij de persoonlijke gegevens van 13 miljoen Australiërs zijn gestolen. Dit komt neer op de helft van de bevolking. MediSecure, die recepten van zorgverleners naar apotheken verzendt, meldde op 16 mei dat het slachtoffer was geworden van een cybersecurity-incident. Twee dagen later werd bevestigd dat persoonlijke data waren gestolen en gedeeltelijk online waren aangeboden. De gestolen gegevens omvatten onder andere namen, geboortedata, geslacht, e-mailadressen, adresgegevens, telefoonnummers, medicatiegegevens en redenen voor medicatie. Het incident betrof data van patiënten die tussen maart 2019 en november 2023 gebruik maakten van de dienst. MediSecure heeft aangegeven dat ze vanwege de omvang van het lek en de bijbehorende kosten niet precies kunnen vaststellen wie er getroffen zijn. In totaal werd er 6,5 terabyte aan data buitgemaakt. De organisatie heeft de bevolking opgeroepen om niet naar de gestolen gegevens te zoeken op internet. 1
π§πͺ Data op het darkweb: Belgisch bedrijf slachtoffer van cyberaanval
Op 18 juli 2024 hebben cybercriminelen, bekend als LockBit 3, het Belgische bedrijf customssupport.be aangevallen. De gestolen data werd een dag later, op 19 juli 2024, gepubliceerd op het darkweb. Dit incident benadrukt wederom de voortdurende dreiging van cyberaanvallen en de noodzaak voor bedrijven om hun digitale beveiliging te versterken.
Toegang Verkocht aan Zuid-Amerikaans Bedrijf Actief in Drie Sectoren
Een bericht op een dark web-forum onthult dat een dreigingsactor toegang verkoopt tot een Zuid-Amerikaans bedrijf dat actief is in drie sectoren: bankwezen, een bezorgapp en een betaalapp. De naam van het bedrijf wordt niet vermeld en geïnteresseerden moeten bewijs van fondsen en reputatie tonen om deze informatie te verkrijgen. De toegang is gerelateerd aan recente ontwikkelingen met het Snowflake-product en omvat meer dan een miljard datarijen. De dreigingsactor heeft een afbeelding bijgevoegd om zijn claim te ondersteunen en stelt dat er veel tabellen zijn zoals die in het bericht. Betalingen worden alleen geaccepteerd via XMR, en geïnteresseerden kunnen contact opnemen via een Keybase-gebruiker vermeld in het forumbericht.
Amerikaanse Luchtvaartmaatschappij Slachtoffer van Databreach
Een Amerikaanse luchtvaartmaatschappij, Directional Aviation, is mogelijk het slachtoffer geworden van een datalek, aldus een bericht op een dark web-forum. De hacker beweert dat privévlootgegevens van alle dochterondernemingen en bijbehorende pilootgegevens zijn buitgemaakt, wat neerkomt op een totaal van 4.100.000 records. De gelekte gegevens zouden onder andere achternamen, vliegtuigregistratienummers en bedrijfsnamen bevatten. De hacker deelde een voorbeeld van de gelekte informatie, maar vermeldde geen prijs voor de gegevens. Het incident benadrukt opnieuw de kwetsbaarheid van grote bedrijven voor cyberaanvallen en de risico's van het omgaan met gevoelige informatie.
Kwetsbaarheid in Telefoon-Stalkerware te Koop op Dark Web Forum
Op een dark web forum wordt een authenticatie-bypass kwetsbaarheid voor een telefoon-stalkerware website te koop aangeboden. Met deze kwetsbaarheid kan men inloggen op elk account en toegang krijgen tot gevoelige informatie zoals foto's, berichten, oproepen en contacten. De bedreigingsactor heeft een voorbeeld van de kwetsbaarheid gedeeld in het forum. Ze verkopen een proof of concept (POC) exploit waarmee basisinformatie van elke gebruikersaccount kan worden gekraakt en de methode om op elk account in te loggen. De prijs voor deze informatie is vastgesteld op $7500, maar er is ruimte voor onderhandeling. Betaling via een escrow-dienst wordt geaccepteerd.
Gegevensdiefstal bij Maleisische telecombedrijf U Mobile
Het Maleisische telecombedrijf U Mobile is naar verluidt slachtoffer geworden van een datalek, zoals gemeld op een dark web-forum. Een hacker beweert dat de cyberaanval gegevens van vier miljoen mensen heeft getroffen. De gestolen informatie omvat namen, adressen, stad, identiteitskaartnummers, mobiele nummers, postcodes en provincies. De hacker biedt de gegevens aan voor $5000 in Bitcoin en heeft een voorbeeld van de gelekte data toegevoegd aan het forum. De hacker heeft ook een Telegram-link gedeeld voor contactinformatie.
π³π± Gegevens van Glow FM op het darkweb
Op 16 juli 2024 werd de website www.glowfm.nl aangevallen door de ransomwaregroep Ransomhub. De cybercriminelen maakten deze informatie drie dagen later, op 19 juli 2024, bekend op het darkweb. Het incident benadrukt opnieuw het voortdurende gevaar van ransomware-aanvallen en de noodzaak van sterke beveiligingsmaatregelen.
π³π± Data van KuiperCompagnons op het Darkweb
Op 24 juni 2024 hebben cybercriminelen van de groep RansomHouse gegevens van KuiperCompagnons openbaar gemaakt op het darkweb. Deze onthulling werd op 19 juli 2024 bevestigd. Het incident benadrukt de voortdurende dreiging van cyberaanvallen en de noodzaak voor organisaties om hun digitale beveiliging te versterken.
Revolver Rabbit-bende registreert 500.000 domeinnamen voor malwarecampagnes
De cybercriminelen van de Revolver Rabbit-bende hebben meer dan 500.000 domeinnamen geregistreerd voor infostealer-campagnes die gericht zijn op Windows- en macOS-systemen. Ze maken gebruik van Registered Domain Generation Algorithms (RDGAs), een geautomatiseerde methode waarmee meerdere domeinnamen snel kunnen worden geregistreerd. Hierdoor kunnen ze een groot aantal domeinen beheren, wat het voor onderzoekers moeilijker maakt om de patronen te ontdekken. Deze domeinen worden gebruikt om de XLoader-malware te verspreiden, een opvolger van Formbook, die gevoelige informatie verzamelt of schadelijke bestanden uitvoert. De bende heeft meer dan een miljoen dollar uitgegeven aan registraties van .BOND-domeinen, wat een aanzienlijke investering betekent in hun kwaadwillende activiteiten. De geregistreerde domeinnamen variëren en lijken vaak legitiem, wat het moeilijker maakt om ze te onderscheiden van reguliere domeinen. 1, 2
βοΈ CrowdStrike Update Veroorzaakt Blue Screen of Death bij Windows-systemen; Mogelijke Sabotage of Cyberaanval Wordt Onderzocht
Een recente update van de beveiligingssoftware van CrowdStrike heeft ernstige problemen veroorzaakt bij diverse Windows-systemen. Gebruikers rapporteren de gevreesde "blue screen of death" (BSOD) en herstartloops op forums zoals Hacker News en Reddit. Het probleem is te herleiden tot de 'Falcon Sensor', een cruciaal onderdeel van de CrowdStrike-software.
CrowdStrike heeft bevestigd dat zij op de hoogte zijn van de crashes en adviseerde aanvankelijk gebruikers om geen nieuwe supporttickets te openen. Inmiddels heeft het bedrijf een tijdelijke oplossing geboden waarbij beheerders een specifiek bestand moeten verwijderen om de problemen te verhelpen. Verdere details en een definitieve oplossing worden nog verwacht. Er wordt tevens onderzocht of er sprake is van mogelijke sabotage of een cyberaanval. 1, 2, 3
Belangrijk Bericht voor Bedrijven: CrowdStrike-problemen
Als je bedrijf wordt getroffen door de CrowdStrike-problemen en je hebt een patch toegepast om door te kunnen werken, wees dan extra alert. Het is cruciaal om te beseffen dat je beveiliging momenteel verzwakt is. Hackers zullen dit zeker proberen te misbruiken, wetende dat je 'cyberleger' tijdelijk minder effectief is.
Wat te doen?
- Blijf Waakzaam: Houd voortdurend toezicht op verdachte activiteiten en ongebruikelijke inlogpogingen.
- Beperk Toegang: Zorg ervoor dat alleen essentiële medewerkers toegang hebben tot gevoelige systemen.
- Update Beveiligingsprotocollen: Werk je beveiligingsprotocollen bij en zorg voor extra lagen van bescherming waar mogelijk.
Het is een uitdagende tijd, maar met verhoogde waakzaamheid en proactieve maatregelen kun je de risico's minimaliseren.
- Vluchten Geannuleerd Door Storing Microsoft Azure
Op 19 juli 2024 moesten twee Amerikaanse luchtvaartmaatschappijen, Frontier Airlines en Sun Country Airlines, meerdere vluchten annuleren vanwege een storing bij de diensten van Microsoft Azure en 365. Deze storing, veroorzaakt door een configuratieaanpassing in de backend workloads van Azure, leidde tot ernstige connectiviteitsproblemen die de werking van Microsoft 365-diensten, zoals SharePoint, Teams, en OneDrive, verstoorden.
Hoewel de Azure-diensten inmiddels zijn hersteld, kampen de Microsoft 365-diensten nog steeds met prestatieproblemen. Dit beperkt het gebruik van deze applicaties en diensten voor organisaties en gebruikers. De getroffen luchtvaartmaatschappijen hebben hun vluchten inmiddels hervat. 1, 2
- Zorg in Nederlandse Ziekenhuizen Afgeschaald Door CrowdStrike-Storing
Nederlandse ziekenhuizen hebben hun zorgverlening tijdelijk moeten beperken door een storing in de CrowdStrike-beveiligingssoftware. Deze software-update veroorzaakte ernstige technische problemen zoals het verschijnen van de "blue screen of death" en herstart-lussen op Windowscomputers. Het Slingeland Ziekenhuis in Doetinchem heeft hierdoor alle operaties stopgezet en patiënten voor spoedeisende hulp naar omliggende ziekenhuizen gestuurd. Poliklinische afspraken werden tot 11:30 uur geannuleerd. Ook het Scheperziekenhuis in Emmen en Ziekenhuis Nij Smellinghe in Drachten hebben vergelijkbare maatregelen getroffen. In Emmen zijn zowel de operaties als de spoedeisende hulp tijdelijk gestopt, terwijl in Drachten de poliklinieken en verloskamers gesloten zijn. Patiënten worden aangeraden om niet naar deze ziekenhuizen te komen totdat de problemen zijn opgelost. Deze situatie benadrukt de kwetsbaarheid van ziekenhuizen voor IT-storingen en de impact daarvan op de zorgverlening. 1, 2, 3
- Grote Gevolgen voor Vluchten op Schiphol door Wereldwijde Computerstoring
Schiphol heeft vandaag aangekondigd dat een 'wereldwijde computerstoring' voor grote problemen zorgt bij de luchthaven. Hoewel het onduidelijk is of de storing te maken heeft met de Azure-storing bij Microsoft of met de CrowdStrike-beveiligingssoftware, heeft het een aanzienlijke impact op vluchten van en naar Schiphol. De luchthaven brengt momenteel de gevolgen in kaart en adviseert reizigers om contact op te nemen met hun luchtvaartmaatschappij en de actuele vluchtinformatie te volgen. Transavia waarschuwt dat het een rommelige dag kan worden, aangezien hun website een foutmelding toont die verband houdt met de Azure-problemen bij Microsoft. 1
- Bussen in Utrecht, Amersfoort en Almere Stilgelegd door Wereldwijde Computerstoring
Regiovervoerder Keolis heeft besloten om tijdelijk geen bussen te laten rijden in de provincie Utrecht en de regio's Amersfoort en Almere vanwege een wereldwijde computerstoring. Door deze storing is de verkeersleiding niet bereikbaar voor de bussen, wat een veiligheidsrisico vormt. Keolis benadrukt dat het noodzakelijk is om de bussen te kunnen volgen en om communicatie met de chauffeurs te hebben voor noodsituaties. Zonder deze mogelijkheden kan de verkeersleiding geen hulpdiensten inschakelen of de veiligheid van de passagiers waarborgen. Daarom zijn de diensten van allGo, Keolis R-net en Syntus Utrecht tot nader order stilgelegd. 1, 2
- Mededeling van Knab: Wereldwijde Storing
Door een wereldwijde storing is het momenteel niet mogelijk om een rekening te openen. Daarnaast zijn zowel de Knab-app als je Persoonlijke Bankomgeving tijdelijk niet beschikbaar. We werken hard aan een oplossing en houden je op de hoogte van verdere ontwikkelingen. 1
-
UWV Websites Plat Door Wereldwijde Computerstoring
De websites van de uitkeringsinstantie UWV, waaronder uwv.nl en werk.nl, zijn momenteel onbereikbaar. Hierdoor kunnen klanten niet bij hun gegevens en is het voor de klantenservice onmogelijk om dossiers van uitkeringsgerechtigden te openen. De problemen lijken te worden veroorzaakt door een wereldwijde computerstoring. Op de website allestoringen.nl zijn vrijdagochtend honderden meldingen binnengekomen van gebruikers die hinder ondervinden van de storing. Het UWV heeft 1,3 miljoen cliënten die momenteel geen meldingen kunnen doen, zoals ziekmeldingen of het doorgeven van een nieuwe baan. Ook zijn salarisstroken niet beschikbaar. De impact van de storing is groot, en het UWV werkt hard aan een oplossing. Klanten wordt geadviseerd om de sociale media van het UWV in de gaten te houden voor updates. 1
- Duitse overheid kondigt 'code oranje' af wegens bedrijfskritische storingen
De Duitse overheid heeft 'code oranje' afgekondigd vanwege ernstige problemen met de beveiligingssoftware van CrowdStrike, wat betekent dat er een bedrijfskritische IT-dreiging is die de normale bedrijfsvoering ernstig kan verstoren. Het Bundesamt für Sicherheit in der Informationstechnik (BSI) meldt dat er wereldwijd grootschalige verstoringen zijn bij tal van organisaties, waaronder de annulering van bijna honderd vluchten in Duitsland en problemen bij vitale diensten. De BSI wijst ook op de recente wereldwijde storing bij Microsoft Azure, hoewel het nog onduidelijk is of deze incidenten met elkaar verbonden zijn. Eerder dit jaar kondigde de BSI ook al 'code oranje' af vanwege kwetsbare Exchange-servers in Duitsland. Het hoogste waarschuwingsniveau, 'code rood', werd in 2021 afgegeven in verband met het Log4j-lek. 1, 2
- Wereldwijde Storing Dwingt Bedrijven Terug naar Contant Geld
Een wereldwijde storing in de beveiligingssoftware van CrowdStrike heeft bedrijven gedwongen om tijdelijk terug te keren naar contante betalingen. In Australië en Nieuw-Zeeland hebben veel mensen geen toegang tot hun online bankrekeningen, wat tankstations ertoe heeft gebracht klanten te vragen met contant geld te betalen. Foto’s van winkels en restaurants in het Verenigd Koninkrijk, zoals de supermarktketen Waitrose, tonen aan dat kaartlezers niet functioneren. In het Verenigd Koninkrijk melden cafés en pubs ook problemen met kaartbetalingen, wat taxichauffeurs in Londen ertoe dwingt contant geld te accepteren. Deze incidenten onderstrepen de kwetsbaarheid van een samenleving zonder contant geld, volgens de Australische politiek commentator John Adams, die waarschuwt voor de risico’s van een cashless samenleving. 1, 2, 3
- Bijna 2700 vluchten wereldwijd geannuleerd wegens CrowdStrike-storing
Een storing bij cybersecuritybedrijf CrowdStrike heeft geleid tot de annulering van bijna 2700 vluchten wereldwijd. Vooral in de Verenigde Staten zijn veel vluchten getroffen, en het aantal annuleringen blijft stijgen. Ook Nederlandse luchthavens zoals Eindhoven Airport en Schiphol ondervonden problemen, hoewel Schiphol inmiddels weer opstart. KLM waarschuwt reizigers voor vertragingen en roept hen op om niet naar de luchthaven te komen als hun vlucht geannuleerd of vertraagd is. De storing veroorzaakt veel ongemak, vooral nu de zomervakantie is begonnen. De luchtvaartmaatschappijen werken hard om de situatie te herstellen en passagiers naar hun bestemming te krijgen. 1, 2, 3
CrowdStrike Aandelen Storten In na Grote Wereldwijde IT-Storing
CrowdStrike, een toonaangevend cybersecuritybedrijf, zag zijn aandelen vrijdag sterk dalen na een grote IT-storing veroorzaakt door een update van hun Falcon Sensor-product. Deze storing trof bedrijven wereldwijd, wat resulteerde in het uitvallen van verschillende websites, het stilleggen van vliegtuigen en onderbrekingen in tv-uitzendingen. De aandelen van CrowdStrike daalden met 20% in de Amerikaanse premarket-handel. De update veroorzaakte crashes op Windows-systemen, waarbij gebruikers de "blue screen of death" zagen. Ondanks dat CrowdStrike bezig is met het terugdraaien van de update, heeft dit incident de kwetsbaarheid van een enkel falingspunt in de cyberleveringsketen blootgelegd. Concurrenten van CrowdStrike, zoals Palo Alto en Fortinet, zagen hun aandelen juist stijgen doordat beleggers verwachten dat bedrijven mogelijk zullen overstappen naar andere aanbieders. 1
Oproep aan mijn contacten: Crowdstrike-update
Zijn er onder jullie die zijn getroffen door de recente Crowdstrike-update en kunnen jullie de volgende bestanden met mij delen: C-00000291*.sys en csagent.sys? Volg de onderstaande stappen om dit te doen:
- Start je computer op in veilige modus.
- Kopieer de bestanden uit de C:\Windows\System32\drivers\CrowdStrike directory.
- Hernoem de bestanden naar sys1.
- Zip de bestanden met een wachtwoord.
Stuur de gezipte bestanden naar contact formulier Onderzoeksvraag.
Belangrijk: We hebben meldingen ontvangen dat Microsoft Defender kwaadaardige infostealers en remote access-gedrag detecteert. Om hackingactiviteiten uit te sluiten, willen we deze bestanden grondig analyseren.
Alvast hartelijk dank voor je medewerking!
Nationaal Cyber Security Centrum monitort wereldwijde computerstoring
Het Nationaal Cyber Security Centrum (NCSC) houdt de wereldwijde computerstoring nauwlettend in de gaten. Deze storing wordt veroorzaakt door een probleem met de CrowdStrike-beveiligingssoftware, waarbij een update leidt tot een blue screen of death en bootloop bij Windowscomputers. Daarnaast zijn er problemen met Microsoft's Azure, wat eveneens bijdraagt aan de storing.
PGD Group Slachtoffer van Poolse Ransomware-aanval
De PGD Group, een grote speler in de Poolse markt, is recentelijk slachtoffer geworden van een ransomware-aanval door een groep cybercriminelen. Deze hackers beweren 960 GB aan gevoelige gegevens te hebben buitgemaakt. De ransomwaregroep heeft een losgeld geëist met een deadline van 2 augustus 2024. Dit incident benadrukt opnieuw de groeiende dreiging van ransomware-aanvallen en de noodzaak voor bedrijven om hun cyberbeveiliging op orde te hebben. De impact van deze aanval kan aanzienlijk zijn, afhankelijk van de aard van de gestolen gegevens en de reactie van PGD Group op de losgeldeisen. Dit incident onderstreept het belang van proactieve cyberbeveiligingsmaatregelen en voortdurende monitoring om dergelijke aanvallen te voorkomen en te beperken.
Ransomware-aanval legt Amerikaanse meubelfabrieken plat
De Amerikaanse meubelfabrikant Bassett Furniture heeft te maken gehad met een ernstige ransomware-aanval, waardoor de productie vier en een halve dag volledig stilviel. Het bedrijf ontdekte op 10 juli verdachte activiteiten in hun systemen en schakelde daarop bepaalde systemen uit om verdere schade te voorkomen. Dit resulteerde in de versleuteling van meerdere bestanden en een grote verstoring van de bedrijfsvoering. Ondanks dat de winkels open bleven, moesten ze handmatig werken zonder gebruik te kunnen maken van hun systemen. Hierdoor konden er geen bestellingen worden verwerkt. Op 15 juli meldde Bassett aan de Amerikaanse beurswaakhond SEC dat hun systemen inmiddels weer operationeel waren, maar het volledige impact van de aanval is nog onduidelijk. Het onderzoek naar de aanval is nog gaande, en het is onbekend of er losgeld is betaald of hoe de aanvallers toegang kregen tot de systemen. Bassett Furniture rapporteerde vorig jaar een omzet van 390 miljoen dollar. 1, 2
Zwak Wachtwoord Leidt tot Ransomware-aanval in LondensStadsdeel
Het Londense stadsdeel Hackney werd in 2020 getroffen door een ernstige ransomware-aanval door een account met een zwak wachtwoord en ontbrekende beveiligingsupdates. Onderzoek door de Britse privacytoezichthouder ICO onthulde dat de aanvaller toegang kreeg via een openstaande Remote Desktop Protocol (RDP) poort, waarbij een verouderd account met de gebruikersnaam en wachtwoord 'kiosk' werd misbruikt. Dit account, oorspronkelijk aangemaakt in 2005 en sinds 2012 niet meer gebruikt, was onterecht gemarkeerd als een service-account en uitgezonderd van automatische uitschakeling. De aanvaller verhoogde vervolgens zijn systeemrechten door gebruik te maken van een bekende Windows-kwetsbaarheid waarvoor een patch beschikbaar was, maar niet geïnstalleerd was. De aanval resulteerde in de versleuteling van 440.000 bestanden en de diefstal en openbaarmaking van gegevens, waardoor cruciale diensten tijdelijk niet beschikbaar waren. Hoewel Hackney maatregelen heeft genomen, benadrukt de ICO het belang van basale cyberveiligheidspraktijken om dergelijke aanvallen te voorkomen. 1
Grootschalig datalek bij Explore Talent: 5,7 miljoen gebruikers getroffen
In juli 2024 werd gemeld dat een hacker de gegevens van 5.749.601 gebruikers van Explore Talent, een wereldwijd platform voor acteer- en modellenaudities, heeft gelekt. De gelekte database bevat informatie uit 2023, waaronder volledige namen, adressen, e-mailadressen en telefoonnummers. Hoewel deze claims nog niet officieel zijn bevestigd, worden gebruikers van Explore Talent gewaarschuwd voor mogelijke phishingpogingen. Het incident benadrukt het belang van gegevensbescherming en de risico’s die verbonden zijn aan online platforms.
NullBulge: De Nieuwe Anti-AI Hacktivistengroep
NullBulge is een recent opgekomen hacktivistengroep die zich richt op AI-centrische toepassingen en spellen. De groep beweert data van Disney te hebben gestolen en gelekt, inclusief meer dan een terabyte aan gegevens van interne Slack-kanalen. Hoewel NullBulge beweert op te komen voor kunstenaars en tegen AI te zijn, suggereren activiteiten zoals de verkoop van gestolen OpenAI API-sleutels dat financiële motieven ook een rol spelen. Cybersecurity-experts vermoeden dat de aanval op Disney meer gericht is op financieel gewin dan op activisme. De groep opereert op verschillende dataleksites en heeft eerder campagnes gevoerd waarbij ze de software supply chain aanvielen, zoals GitHub en Hugging Face. Deze aanvallen bevatten het verspreiden van kwaadaardige code via populaire mod packs en AI-tools. NullBulge lijkt een laaggeschoolde groep te zijn die gebruik maakt van standaard malware en ransomware om hun doelen te bereiken. 1
Hackerservice legt 600.000 bankpasgegevens bloot
Een nieuwe hackerservice biedt voor £120 toegang tot 600.000 gestolen bankkaartgegevens. Deze dienst, bekend als "Breaking Security", maakt gebruik van gestolen informatie zoals kaartnummers, vervaldatums en CVV-codes om illegale transacties en identiteitsdiefstal mogelijk te maken. Deze lage kosten en uitgebreide database maken de service bijzonder gevaarlijk, omdat het de drempel verlaagt voor mensen die betrokken willen raken bij cybercriminaliteit. Onderzoekers van Flare benadrukken dat dergelijke diensten de toegankelijkheid van geavanceerde cybercrime-tools vergroten, wat leidt tot een stijging in cybercriminaliteit. Autoriteiten zijn bezig met het onderzoeken van Breaking Security om de daders op te sporen en de impact op de slachtoffers te beperken. Deze gebeurtenis benadrukt de noodzaak voor sterke cybersecuritymaatregelen, zowel voor individuen als organisaties. Regelmatige controle van bankafschriften en het gebruik van twee-factor-authenticatie zijn cruciaal. Organisaties moeten investeren in uitgebreide beveiligingsoplossingen om gevoelige data te beschermen en inbreuken snel te detecteren. Deze situatie laat zien hoe belangrijk het is om samen te werken in de strijd tegen cybercrime. 1
FIN7 Verkoopt EDR-Uitschakelingstool aan Andere Cybercriminelen
De beruchte hackersgroep FIN7 verkoopt hun zelfontwikkelde "AvNeutralizer"-tool, die bedrijfsbeveiligingssoftware uitschakelt, aan andere cybercriminelen. Deze Russische groep, actief sinds 2013, begon met financiële fraude en schakelde later over op ransomware-operaties zoals DarkSide en BlackMatter. Hun tool, voor het eerst gezien bij BlackBasta in 2022, blijkt ook door andere ransomwaregroepen te worden gebruikt. FIN7 staat bekend om hun geavanceerde phishing- en social engineering-aanvallen, en het opzetten van een nepbewakingsbedrijf om onwetende pentesters en ontwikkelaars in te huren. Dit toont hun voortdurende innovatie en bedreiging voor bedrijven wereldwijd aan.
Gegevensinbreuk bij MarineMax treft meer dan 123.000 mensen
MarineMax, de grootste recreatieve boot- en jachtverkoper ter wereld, heeft een gegevensinbreuk bekendgemaakt waarbij de persoonlijke informatie van meer dan 123.000 klanten is gestolen. Deze inbreuk, geclaimd door de Rhysida ransomware-bende, vond plaats in maart. Hoewel MarineMax aanvankelijk meldde dat er geen gevoelige gegevens waren gestolen, bleek uit een latere melding dat persoonlijke informatie van een onbekend aantal personen wel was buitgemaakt. Dit incident werd gedetecteerd op 10 maart, tien dagen nadat de aanvallers toegang kregen tot het netwerk van MarineMax. De gestolen gegevens bevatten namen en andere persoonlijke identificatiegegevens, maar de volledige omvang van de gestolen informatie is nog niet onthuld. Rhysida heeft een 225GB groot archief van de gestolen gegevens online gezet, inclusief financiële documenten en kopieën van rijbewijzen en paspoorten. Rhysida, actief sinds mei 2023, heeft eerder al grote organisaties zoals het Chileense leger en de British Library getroffen. 1
Gegevenslek bij Life360: 442.519 Gebruikers Getroffen
Een hacker heeft de persoonlijke gegevens van 442.519 gebruikers van Life360 blootgelegd. Dit gegevenslek vond plaats in maart 2024 en omvatte e-mailadressen, namen en telefoonnummers van gebruikers. Bij een poging om in te loggen op een Life360-account via Android werd de voornaam en het telefoonnummer van de gebruiker teruggestuurd in de API-respons, zonder dat dit zichtbaar was voor de gebruiker. Bij verificatie van het telefoonnummer werd alleen een gedeeltelijk nummer weergegeven. De hacker, bekend als "emo", die onlangs ook gegevens van Trello-gebruikers lekte, beweert verantwoordelijk te zijn voor deze aanval. De claims moeten nog bevestigd worden. Life360, gevestigd in San Francisco, biedt locatiegebaseerde diensten aan consumenten wereldwijd.
Russisch Petrochemisch Bedrijf Gehackt
Een Russische petrochemische onderneming, Sintez LLC, is mogelijk gehackt door een cybercrimineel met de naam CaptainAmerica, volgens een bericht op een dark web forum. De hacker beweert dat de gelekte data, die nog nooit eerder verkocht is, exclusief te koop wordt aangeboden. Het gaat om een databestand van 221 GB dat voor 1500 USD wordt aangeboden. Daarnaast biedt de hacker ook domeinbeheerderstoegang aan voor nog eens 1500 USD. Om vertrouwen te wekken bij potentiële kopers, is de hacker bereid om gebruik te maken van een escrow-service.
Windowsgebruikers aangevallen via uitgeschakelde Internet Explorer
Aanvallers hebben een kwetsbaarheid in Windows misbruikt om gebruikers aan te vallen via de uitgeschakelde Internet Explorer (IE). Hoewel IE sinds juni 2022 niet meer wordt ondersteund en is uitgeschakeld in Windows 10, blijft de browser aanwezig in het besturingssysteem. Deze kwetsbaarheid in het MSHTML-platform stelt aanvallers in staat om HTML Application (HTA) bestanden te starten via IE. De aanvallers verspreidden malafide zip-bestanden, zogenaamd e-books in pdf-formaat, via diverse online kanalen. In werkelijkheid bevatte het zip-bestand een .url-bestand dat, wanneer geopend, een HTA-bestand downloadt. Dit HTA-bestand voert infostealer-malware uit die wachtwoorden, cookies en andere gegevens steelt en terugstuurt naar de aanvallers. Trend Micro waarschuwt dat ondanks de uitschakeling van IE, de aanwezigheid ervan nog steeds een beveiligingsrisico vormt omdat het niet langer updates ontvangt, waardoor Windowsgebruikers kwetsbaar blijven voor aanvallen. 1
Ransomware-aanval treft Italiaans notariskantoor
Een Italiaans notariskantoor, Studio Notarile Bucci - Olmi, is slachtoffer geworden van een ransomware-aanval door de Everest-groep. De hackers hebben naar verluidt 400 GB aan data buitgemaakt. Het gestolen materiaal bevat ingevulde formulieren en persoonlijke documenten. Deze aanval benadrukt opnieuw de dreiging van ransomware en de noodzaak voor bedrijven om robuuste beveiligingsmaatregelen te implementeren om gevoelige informatie te beschermen. 1
RansomHub Hackt Braziliaanse Bedrijven CeoPag en CeoFood
De ransomwaregroep RansomHub heeft de Braziliaanse bedrijven CeoPag en CeoFood aangevallen en 200 GB aan gegevens gestolen. Deze gegevens bevatten privé-informatie van meer dan 600.000 klanten en ruim 6.000 restaurants, evenals privé-documenten, databases, webmails en broncodes. Naast CeoPag en CeoFood zijn er meerdere geaffilieerde bedrijven getroffen, waaronder Ailine, EvoluxBank, OceanPay en VibraPay. De hackers hebben een losgeld geëist en een deadline gesteld op 24 juli 2024. De omvang van de gegevensdiefstal en de betrokkenheid van verschillende bedrijven onderstreept de ernst van deze cyberaanval en benadrukt de noodzaak van robuuste cyberbeveiligingsmaatregelen. 1
Hoya Corporation - Hackers eisten $10.000.000
Hoya Corporation, een van de grootste wereldwijde fabrikanten van optische producten, is getroffen door een ransomware-aanval uitgevoerd door de Hunters International groep. Tijdens deze aanval werd 2 terabyte aan gevoelige gegevens, waaronder vertrouwelijke informatie, onderzoeks- en ontwikkelingsgegevens, technische tekeningen en persoonlijke gegevens, gestolen. De aanval begon in april en veroorzaakte destijds een "systeemstoring" waardoor servers in diverse productiefaciliteiten en bedrijfsafdelingen offline gingen. Later bleek dat de cybercriminelen een losgeld van 10 miljoen dollar eisten voor een bestandsdecryptor en om de gestolen gegevens niet openbaar te maken. Dit incident benadrukt de groeiende dreiging van ransomware-aanvallen voor bedrijven wereldwijd. 1
HackTuesday: Week 10 - 16 Juli 2024
In de week van 10 tot 16 juli 2024 waren er 76 slachtoffers van 28 verschillende hackinggroepen. De meest actieve ransomwaregroep was Hunters International, met 8 aanvallen. De Verenigde Staten waren het zwaarst getroffen, goed voor 50% van de slachtoffers. De meeste getroffen sectoren waren de professionele, wetenschappelijke en technische sectoren (22%), gevolgd door de productie (20%) en de gezondheidszorg (11%). De gemiddelde Cyber Risico Factor deze week was 4.2. Deze gegevens onderstrepen het belang van constante waakzaamheid en verbeterde cyberbeveiligingsmaatregelen om organisaties te beschermen tegen dergelijke bedreigingen. 1
Braum's slachtoffer van Hunters International ransomware-aanval
Braum's, een Amerikaanse keten van ijssalons en fastfoodrestaurants, is slachtoffer geworden van een ransomware-aanval door de Hunters International-groep. Tijdens de aanval is naar verluidt 1,5 terabyte aan data buitgemaakt. De gestolen gegevens bevatten onder andere persoonlijke informatie van medewerkers, zoals hun sofinummer, geboortedatum, namen, geslacht, datum van indiensttreding en adres. Daarnaast zijn ook productformules en recepten, contracten en verzekeringen voor 2024, gevoelige persoonlijke gegevens van de CEO, QuickBooks-data en informatie over rechtszaken geëxfiltreerd. Deze aanval benadrukt de voortdurende dreiging van ransomware en de noodzaak voor bedrijven om hun cyberbeveiliging te versterken om dergelijke inbreuken te voorkomen. 1
Lantronix getroffen door ransomware-aanval
Lantronix, een wereldwijd leverancier van veilige IoT- en draadloze connectiviteitsoplossingen, is slachtoffer geworden van een ransomware-aanval door de Hunters International-groep. Bij deze aanval is maar liefst 587,6 GB aan gegevens buitgemaakt, wat neerkomt op 906.225 bestanden. De gestolen data omvat onder meer medische en achtergrondcontrolegegevens van medewerkers, een rapport over penetratietesten, encryptie-DLL-praktijken, patentaanvragen, privéboekhouding en gegevens van de CFO. Deze aanval benadrukt opnieuw de groeiende dreiging van ransomware en de noodzaak voor bedrijven om hun cyberbeveiliging op orde te hebben en voortdurend te verbeteren. 1
Boliviaans Telecombedrijf Slachtoffer van Ransomware-aanval
Het Boliviaanse telecombedrijf VIVA Bolivia (Nuevatel PCS de Bolivia S.A) is het doelwit geworden van een grote ransomware-aanval door de Dunghill-groep. De aanvallers zouden naar verluidt 10 TB aan gegevens hebben buitgemaakt, waaronder projectbestanden, persoonlijke identificatiegegevens, vertrouwelijke documenten, databases, klantgegevens, financiële data, HR-informatie, bedrijfsstrategieën en IT-infrastructuur. Deze aanval benadrukt de voortdurende dreiging van ransomware voor bedrijven wereldwijd en onderstreept de noodzaak voor robuuste cyberbeveiligingsmaatregelen. 1
Nieuwe Hackergroep 'Fog' Actief in Onderwijssector
Een nieuwe hackergroep genaamd 'Fog' is ontdekt, met zeven aanvallen op hun naam. Hun doelwitten zijn voornamelijk onderwijsinstellingen en enkele bedrijven. De slachtoffers zijn onder andere de Duitse Technische Universiteit in Oman, het West Allis – West Milwaukee School District, DJG Projects, het Alvin Independent School District, Verweij Electrical Engineering, het Asbury Theological Seminary en het Geelong Lutheran College. Deze aanvallen vonden plaats tussen 19 juni en 17 juli 2024. 'Fog' heeft geen openbare informatie over hun organisatie, in tegenstelling tot de eerder ontdekte groep 'Mad Liberator'. Het patroon van hun aanvallen suggereert dat hun primaire focus momenteel op de onderwijssector ligt. 1
Nieuwe Hackergroep "Mad Liberator" Veroorzaakt Wereldwijde Schade
Een nieuwe hackergroep, genaamd "Mad Liberator", heeft recentelijk zes organisaties wereldwijd getroffen. Onder de slachtoffers bevinden zich het Italiaanse Ministerie van Cultuur, Vitaldent in Spanje, ZB Financial Holdings in Zimbabwe, het Zuid-Afrikaanse Steden Netwerk, Crosswear Trading in het Verenigd Koninkrijk, en Montero & Segura Procuradores Asociados in Spanje. De groep maakt gebruik van ransomware om gegevens te versleutelen met behulp van de AES/RSA-algoritmen, zoals beschreven in hun "Over ons" sectie. Slachtoffers zien bestanden met willekeurige extensies en instructiebestanden zoals "readme.txt" verschijnen, wat aangeeft dat hun bestanden veilig maar ontoegankelijk zijn zonder de decryptiesleutel. Sommige organisaties zijn volledig gelekt, terwijl anderen een deadline hebben om het losgeld te betalen. Deze nieuwe dreiging onderstreept het belang van sterke cyberbeveiligingsmaatregelen. 1
Cyberaanval Op Het Openbaar Ministerie van Allegheny County
Het Openbaar Ministerie van Allegheny County werd vorige week getroffen door een cyberaanval, die nog steeds hun telefoons en computers verstoort. De aanval werd vroegtijdig ontdekt door de afdeling, waardoor een ramp kon worden voorkomen. De aanval werd donderdagavond gemeld door het Department of Homeland Security en de FBI. Als voorzorgsmaatregel werden de servers stilgelegd om verdere verspreiding van de aanval en toegang tot vertrouwelijke informatie te voorkomen. Momenteel is het netwerk van het kantoor uitgeschakeld, waardoor het personeel beperkte toegang heeft tot e-mail en geen gebruik kan maken van vaste telefoons of automatische dossiersystemen. Ondanks de verstoringen, gaan drie moordzaken deze week gewoon door. Het kantoor werkt samen met partners om de gegevens te beschermen en het werk voort te zetten. Het incident benadrukt de aanhoudende dreiging van cyberaanvallen op overheidsinstanties en de noodzaak van robuuste beveiligingsmaatregelen. 1
Hewlett Packard Enterprise slachtoffer van BlackBasta ransomware-aanval
CDS, een onderdeel van Hewlett Packard Enterprise, is het doelwit geworden van de BlackBasta ransomware-groep. Tijdens de aanval werd naar verluidt 500 GB aan data buitgemaakt, waaronder bedrijfsgegevens, vertrouwelijke informatie, personeelsdossiers, klantgegevens en projectinformatie. De daders eisen losgeld en hebben de deadline gesteld op 23 juli 2024. Deze aanval benadrukt de toenemende dreiging van ransomware-aanvallen en de noodzaak voor bedrijven om hun cyberbeveiliging te versterken. Het incident vormt een ernstige inbreuk op de gegevensveiligheid en kan aanzienlijke gevolgen hebben voor de betrokken partijen. 1
Ransomware-aanval op Gramercy Surgery Center door Everest-hackergroep
Gramercy Surgery Center in de Verenigde Staten is getroffen door een cyberaanval uitgevoerd door de Everest-hackergroep. De aanvallers hebben naar verluidt 465 GB aan gegevens buitgemaakt. Dit omvat zowel informatie van artsen als patiëntgegevens. Deze aanval is een voorbeeld van de groeiende dreiging van ransomware, waarbij gevoelige informatie wordt gestolen en vaak gegijzeld in ruil voor losgeld. Het incident benadrukt de noodzaak voor gezondheidsinstellingen om hun cyberbeveiligingsmaatregelen te versterken en proactief te zijn in het beschermen van persoonlijke en medische gegevens tegen dergelijke aanvallen. 1
Energo in Kyrgyzstan Slachtoffer van Datadiefstal
Een dreigingsactor heeft aangekondigd vertrouwelijke gegevens van Energo, de belangrijkste producent van elektriciteit en warmte in Kirgizië, te verkopen. De gestolen data, rechtstreeks verkregen van Energo's netwerk, wordt aangeboden voor $5.000. Het totale volume van de gegevens bedraagt 230 GB. Voor een extra $5.000 biedt de dader ook domeinbeheerderstoegang aan. Dit aanbod wordt uniek gepresenteerd omdat de gegevens nog nooit eerder zijn verkocht, wat exclusiviteit garandeert voor de koper. Voor de transactie wordt aanbevolen gebruik te maken van de escrow-service van het forum voor vertrouwen en veiligheid. Betalingen kunnen worden gedaan in Monero, Bitcoin of USDT-TRC20. Deze gebeurtenis benadrukt de voortdurende kwetsbaarheden van kritieke infrastructuurorganisaties en de risico’s van datalekken in de energiesector.
Gegevenslek BMW Hong Kong
Op een dark web forum heeft een bedreigingsactor beweerd dat klantgegevens van BMW Hong Kong zijn gelekt. Volgens de dader omvat het lek bijna 14.000 rijen met klantinformatie. Het vermeende lek vond plaats in juli 2024 en bevat gegevens zoals aanhef, volledige naam, mobiel telefoonnummer en toestemming voor SMS-berichten. Er werd een voorbeeld van de gelekte gegevens verstrekt, maar er is geen prijsinformatie of aanvullende contactinformatie opgenomen in de post. BMW Hong Kong heeft nog niet gereageerd op de beweringen. Dit incident benadrukt opnieuw de noodzaak voor bedrijven om strenge beveiligingsmaatregelen te implementeren om klantgegevens te beschermen tegen dergelijke bedreigingen.
Cybercrimineel Biedt Toegang Tot Interne Netwerk van Groot Pools Bedrijf Te Koop Aan
Op een duister webforum is een bericht verschenen waarin een cybercrimineel volledige toegang tot het interne netwerk van een van de grootste bedrijven in Polen aanbiedt. Het netwerk bestaat uit 5.068 computers en strekt zich uit over 34 subnetwerken. De crimineel beweert momenteel controle te hebben over het netwerk en biedt deze toegang te koop aan voor $2.500. Dit soort praktijken benadrukt de groeiende dreiging van cyberaanvallen en de noodzaak voor bedrijven om hun beveiligingsmaatregelen voortdurend te evalueren en te versterken om dergelijke infiltraties te voorkomen. Het incident toont aan hoe kwetsbaar zelfs grote bedrijven kunnen zijn voor cyberaanvallen en de financiële drijfveren van cybercriminelen die misbruik maken van beveiligingslekken.
Kwaadaardige npm-pakketten verbergen achterdeurtjes in afbeeldingsbestanden
Onderzoekers in de cybersecurity hebben twee kwaadaardige npm-pakketten ontdekt die achterdeurtjes verbergen in afbeeldingsbestanden. Deze pakketten, genaamd `img-aws-s3-object-multipart-copy` en `legacyaws-s3-object-multipart-copy`, bevatten verborgen code die kwaadaardige opdrachten kan uitvoeren via een externe server. Ze waren vermomd als legitieme bibliotheken en gebruikten afbeeldingen met logo’s van bedrijven zoals Microsoft om kwaadaardige code te verbergen en uit te voeren tijdens de installatie. Deze pakketten zijn inmiddels verwijderd door het npm-beveiligingsteam. Ontwikkelaars wordt aangeraden om extra waakzaam te zijn bij het gebruik van open-sourcebibliotheken. 1
Lek van 15 miljoen Trello-gebruikers e-mailadressen op hackingforum
In januari is een groot datalek ontdekt waarbij meer dan 15 miljoen e-mailadressen van Trello-gebruikers op een hackingforum zijn gedeeld. Trello, een projectmanagementtool van Atlassian, werd getroffen doordat een onveilige API toegang gaf tot zowel publieke als niet-publieke gebruikersinformatie. Een hacker, bekend als 'emo', verzamelde deze data door een lijst van 500 miljoen e-mailadressen in de API te voeren om te controleren welke gekoppeld waren aan Trello-accounts. Hierdoor ontstond een dataset met profielinformatie van meer dan 15 miljoen gebruikers. De gelekte gegevens omvatten e-mailadressen en publieke Trello-accountinformatie, zoals namen, wat misbruikt kan worden voor gerichte phishingaanvallen en doxxing. Atlassian bevestigde dat de API inmiddels is beveiligd om dergelijk misbruik te voorkomen. Het incident benadrukt de kwetsbaarheid van onbeveiligde API’s die vaak doelwit zijn van cybercriminelen.
Rite Aid datalek treft 2,2 miljoen klanten
In juni 2024 heeft de Amerikaanse drogisterijketen Rite Aid een datalek ontdekt waarbij persoonlijke informatie van 2,2 miljoen klanten is gestolen. De daders, die het netwerk binnenkwamen via inloggegevens van een medewerker, kregen toegang tot gegevens zoals naam, adres, geboortedatum en rijbewijsnummer van klanten die tussen juni 2017 en juli 2018 aankopen hebben gedaan. De ransomware-groep RansomHub heeft de verantwoordelijkheid opgeëist en beweert 10 GB aan klantgegevens te hebben buitgemaakt. Rite Aid meldt dat geen socialezekerheidsnummers, financiële of gezondheidsinformatie zijn gelekt. 1
Scattered Spider cyberbende gebruikt nu Qilin-ransomware
Microsoft heeft ontdekt dat de cybercriminele groep Scattered Spider, ook bekend als Octo Tempest, recentelijk de Qilin-ransomware aan hun arsenaal heeft toegevoegd. Deze groep, die sinds 2022 actief is, stond al bekend om aanvallen op grote bedrijven zoals Microsoft, Binance en T-Mobile. Hun nieuwste aanvallen, die Qilin-ransomware gebruiken, richten zich vooral op VMware ESXi virtuele machines, wat populair is bij grote bedrijven vanwege hun efficiënte gebruik van middelen. De Qilin-groep heeft in de afgelopen jaren meer dan 130 bedrijven aangevallen en staat bekend om hun geavanceerde methoden, waaronder phishing en SIM-swapping, om toegang te krijgen tot netwerken. Na het verkrijgen van admin-credentials en gevoelige data, gebruiken ze de ransomware om alle netwerkapparaten te versleutelen en eisen ze losgeld. De impact van deze aanvallen is groot, zoals blijkt uit een aanval op de NHS in Londen die leidde tot het annuleren van honderden operaties en afspraken. 1
π³π± Gevoelige Data van Verweij Elektrotechniek op het Darkweb Geplaatst
Op 17 juli 2024 hebben cybercriminelen, opererend onder de naam "Fog," gevoelige data van Verweij Elektrotechniek vrijgegeven op het darkweb. Dit Nederlandse bedrijf, actief in de bouwsector, is het nieuwste slachtoffer van een cyberaanval. Het vrijgeven van deze data kan ernstige gevolgen hebben voor de bedrijfsvoering en veiligheid van Verweij Elektrotechniek. Bedrijven worden aangespoord om hun cyberbeveiligingsmaatregelen te versterken om dergelijke incidenten te voorkomen.
Eenvoudige Domeinkaping bij Squarespace Door Beveiligingslek
Onderzoekers Taylor Monahan, Andrew Mohawk en Samczsun hebben ontdekt dat aanvallers vorige week meerdere domeinnamen bij Squarespace konden kapen. Deze domeinen waren onderdeel van een recente migratie van Google Domains naar Squarespace. Tijdens deze migratie kregen vooraf ingestelde e-mailadressen beheerderstoegang tot de domeinen, ongeacht of de bijbehorende accounts al bestonden. Omdat Squarespace geen e-mailvalidatie vereiste voor het aanmaken van een account, konden aanvallers eenvoudig accounts aanmaken voor deze e-mailadressen en zo volledige toegang tot de domeinen krijgen. Vervolgens wijzigden de aanvallers DNS-instellingen om e-mail te onderscheppen en andere aanvallen uit te voeren. De onderzoekers raden Squarespace-gebruikers aan om tweefactorauthenticatie in te schakelen, automatisch aangemaakte 'contributor' accounts te verwijderen en DNS-instellingen terug te draaien. Ook wordt geadviseerd om domeinen eventueel naar een andere partij te verhuizen om toekomstige risico’s te minimaliseren.
π³π± Energiedirect Waarschuwt Klanten voor Mogelijk Onnodig Bekeken Gegevens
Energieleverancier Energiedirect heeft klanten gewaarschuwd dat hun gegevens mogelijk onnodig zijn bekeken, wat een risico op phishing en identiteitsfraude kan inhouden. In een e-mail aan klanten stelt het bedrijf dat er tijdens een routinecontrole een ongebruikelijk hoog aantal gegevensopvragingen is opgemerkt. Hoewel er geen aanwijzingen zijn dat de gegevens buiten het systeem zijn geraakt of verder zijn misbruikt, onderzoekt Energiedirect de situatie verder. Klanten worden aangemoedigd extra waakzaam te zijn voor verdachte e-mails, WhatsApp-berichten en sms'jes. Het bedrijf benadrukt dat er vooralsnog geen reden is om aan te nemen dat er daadwerkelijk iets mis is met de gegevens. Energiedirect heeft toegezegd om klanten op de hoogte te houden van eventuele nieuwe ontwikkelingen in het onderzoek. 1
Actief Misbruik van Kritieke Kwetsbaarheid in GeoServer Gerapporteerd door VS
De Amerikaanse autoriteiten waarschuwen voor een ernstig beveiligingslek in GeoServer, een open-source platform voor het delen, bewerken en publiceren van geografische gegevens. De kwetsbaarheid, aangeduid als CVE-2024-36401, scoort een 9.8 op een schaal van 10 en stelt kwaadwillenden in staat om op afstand willekeurige code uit te voeren. Dit kan gebeuren doordat GeoServer niet correct omgaat met gebruikersinvoer. Vier weken geleden werd GeoServer 2.25.2 uitgebracht, waarin het probleem is verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt dat aanvallers actief gebruikmaken van deze kwetsbaarheid. Overheidsinstanties die met GeoServer werken, zijn opgedragen om vóór 5 augustus de update te installeren om mogelijke aanvallen te voorkomen. 1
Nieuwe BugSleep Malware Gebruikt in MuddyWater Aanvallen
Het door Iran gesteunde MuddyWater-hackteam maakt gebruik van een nieuwe malware, genaamd BugSleep, om bestanden te stelen en opdrachten uit te voeren op geïnfecteerde systemen. Deze backdoor, ontdekt door Check Point Research, wordt verspreid via phishing-e-mails die zich voordoen als uitnodigingen voor webinars of online cursussen. De e-mails bevatten kwaadaardige bestanden die worden gehost op het Egnyte-platform voor bestandsdeling. BugSleep wordt geïnjecteerd in actieve processen van populaire applicaties zoals Microsoft Edge, Google Chrome en AnyDesk. Deze malware is nog in ontwikkeling, met verschillende versies die regelmatig worden bijgewerkt. MuddyWater richt zich met deze aanvallen wereldwijd op overheidsorganisaties, gemeenten, luchtvaartmaatschappijen en mediabedrijven, met specifieke doelen in Israël, Turkije, Saoedi-Arabië, India en Portugal. Sinds 2017 staat MuddyWater bekend om het aanvallen van entiteiten in het Midden-Oosten en breidt het zijn aanvallen nu uit naar Noord-Amerika, Europa en Azië. De groep wordt sinds januari 2022 officieel in verband gebracht met het Iraanse Ministerie van Inlichtingen en Veiligheid. 1
Cyberaanval bij AutoNation: Significant Winstverlies in Q2
AutoNation, een grote Amerikaanse autohandelaar, heeft een aanzienlijke winstdaling in het tweede kwartaal gerapporteerd als gevolg van een cyberaanval in juni. De aanval trof het dealer management systeem (DMS) van CDK Global, een belangrijke derde partij die systemen beheert die essentieel zijn voor de verkoop, service en administratie van meer dan 15.000 retail locaties. Deze verstoring vond plaats tijdens een cruciale verkoopperiode en zal naar verwachting de winst van AutoNation met $1,50 per aandeel verminderen. Dit resulteert in een verwachte winst per aandeel (EPS) tussen $3,15 en $3,30, wat aanzienlijk lager is dan de eerder door analisten verwachte $4,50. De impact van deze cyberaanval onderstreept de kwetsbaarheid van bedrijven voor digitale bedreigingen en de noodzaak voor robuuste cybersecuritymaatregelen. 1
Atos Group Slachtoffer van BlackBasta Ransomware Aanval
De Atos Group, een bekend internationaal IT-bedrijf, is recentelijk slachtoffer geworden van een cyberaanval door de BlackBasta ransomware-groep. Bij deze aanval is naar verluidt 710 GB aan data buitgemaakt. De gestolen data omvat bedrijfsgegevens, vertrouwelijke informatie, persoonlijke documenten van werknemers, projectinformatie en klantgegevens. De aanvallers hebben een deadline gesteld voor losgeldbetaling op 22 juli 2024. Deze aanval onderstreept opnieuw de noodzaak voor bedrijven om robuuste cyberbeveiligingsmaatregelen te implementeren en voortdurend waakzaam te zijn tegen dergelijke dreigingen. Atos werkt momenteel aan een oplossing en onderzoekt de volledige omvang van de schade. 1
U.S. Dermatology Partners opnieuw slachtoffer van ransomware-aanval
U.S. Dermatology Partners is voor de tweede keer slachtoffer geworden van een ransomware-aanval. Dit keer is de aanval uitgevoerd door de BlackBasta-groep, die het bedrijf heeft toegevoegd aan hun lijst van slachtoffers. Het is nog onduidelijk hoeveel en welke soorten gegevens zijn buitgemaakt. Eerder, op 26 juni, werd het bedrijf ook al getroffen door de BianLian-ransomwaregroep, waarbij naar verluidt 300 GB aan persoonlijke gegevens, financiële data, contractinformatie en personeelsdossiers werd gestolen. Deze herhaalde aanvallen benadrukken de dringende noodzaak voor bedrijven in de gezondheidszorg om hun cyberbeveiliging te versterken tegen de groeiende dreiging van ransomware-aanvallen. 1
Ransomware-groep SEXi hernoemd tot APT INC en blijft VMware ESXi-aanvallen uitvoeren
De ransomware-groep SEXi, berucht om hun aanvallen op VMware ESXi-servers, heeft zich hernoemd tot APT INC en voert nog steeds aanvallen uit op verschillende organisaties. Sinds februari 2024 gebruiken de aanvallers de gelekte Babuk-encryptor voor ESXi-servers en de LockBit 3-encryptor voor Windows-systemen. De groep kreeg media-aandacht na een grootschalige aanval op de Chileense hostingprovider IxMetro Powerhost, waarbij hun ESXi-servers werden versleuteld. De ransomware, oorspronkelijk bekend onder de naam SEXi, kreeg zijn naam van de SEXi.txt losgeldnota en de .SEXi-bestandsextensie. Er zijn ook varianten ontdekt onder de namen SOCOTRA, FORMOSA en LIMPOPO. Sinds juni opereert de groep onder de naam APT INC, waarbij ze nog steeds dezelfde encryptoren gebruiken. Slachtoffers melden dat de aanvallers toegang krijgen tot ESXi-servers en virtuele machinebestanden versleutelen, terwijl de overige bestanden ongemoeid blijven. De losgeldbedragen variëren van tienduizenden tot miljoenen dollars. Helaas is er momenteel geen gratis manier om de bestanden te herstellen. 1
Hacker verkoopt PHPBB SQL-injectie-exploit voor $40 Monero
Een hacker biedt een SQL-injectie-exploit aan voor PHPBB-forums, waarmee een aanvaller SQL-query's kan uitvoeren en databases van de doelinstallatie kan ophalen. De exploit, getest op de nieuwste versie van PHPBB, wordt verkocht voor $40 Monero (XMR). De verkoper beweert toestemming te hebben om deze exploit te verkopen en biedt een proof of concept (POC) op verzoek aan. Deze kwetsbaarheid vormt een aanzienlijke bedreiging voor PHPBB-beheerders, wat benadrukt hoe belangrijk het is om tijdige updates en robuuste beveiligingsmaatregelen te implementeren.
Hacker verkoopt OpenSSH 9.6 Exploit voor Command Injectie
Een hacker biedt een exploit aan voor OpenSSH versie 9.6, waarmee command injectie en remote code execution (RCE) mogelijk is. De verkoper beweert dat de exploit getest is en werkt, waardoor systemen die deze versie gebruiken ernstig gevaar lopen. De exploit kan remote opdrachten uitvoeren en de prijs is bespreekbaar, te betalen in Bitcoin, Monero of Litecoin. Alleen serieuze en betrouwbare kopers worden overwogen. Dit voorval benadrukt het belang van het up-to-date houden van beveiligingsmaatregelen en het monitoren van systemen op mogelijke kwetsbaarheden.
Grote Data-inbreuk bij 1Tx.io
In juli 2024 heeft een dreigingsactor geclaimd dat 1Tx.io te maken heeft gehad met een datalek waarbij mogelijk informatie van 23.000 bedrijven is blootgesteld. De gelekte gegevens, opgeslagen in een CSV-bestand met 23.305 rijen, bevatten gevoelige informatie zoals bedrijfs-ID's, accounttypen, bedrijfsnamen, e-mails, namen, rollen, gebruikers-ID's, telefoonnummers, vaardigheden en marketingtoestemmingsstatussen. Dit lek kan verstrekkende gevolgen hebben voor de getroffen bedrijven en individuen. 1Tx.io biedt technologie- en prestatie-testdiensten aan om organisaties te ondersteunen bij hun digitaliseringsproces.
Database van SFR Te Koop op Darkweb
Een cybercrimineel beweert een database van SFR, de derde grootste telecomprovider in Frankrijk, te verkopen. De database, gecompromitteerd op 7 juni 2024, bevat gegevens van 1.445.683 gebruikers, waaronder namen, telefoonnummers, geografische locaties, abonnementsstatus en meer. De dreigingsactor biedt deze database aan op Breachforums, met betaling via Monero en Litecoin. Ze beloven de verkoopthread te verwijderen na betaling van de exclusiviteitsprijs.
Persoonlijke gegevens van 11 miljoen Dresslily-gebruikers te koop op het darkweb
Op een darkweb-forum biedt een dreigingsactor de persoonlijke gegevens van 11 miljoen gebruikers van Dresslily te koop aan. De gegevens, waaronder gebruikers-ID's, volledige namen, telefoonnummers, e-mailadressen en thuisadressen, worden aangeboden voor $200.000 en de verkoop zou eenmalig zijn. De dreigingsactor heeft een voorbeeld van de gestolen data verstrekt en een e-mailadres voor contact opgegeven. In hun bericht geven de dreigingsactoren aan dat ook Dresslily zelf de mogelijkheid heeft om de gegevens terug te kopen. Dit incident benadrukt wederom de noodzaak van strikte beveiligingsmaatregelen voor bedrijven om de persoonlijke informatie van hun gebruikers te beschermen tegen dergelijke inbreuken.
Disney’s Interne Slack Breuk: 1,1 TB aan Gegevens Gelekt
Een dreigingsactor beweert Disney’s interne Slack-systeem te hebben gehackt, waarbij 1,1 terabyte aan gegevens zou zijn gelekt. De aanvaller stelt dat er bijna 10.000 kanalen aan berichten en bestanden zijn gedumpt, waaronder niet-uitgebrachte projecten, ruwe afbeeldingen, code, inloggegevens, en links naar interne API's en webpagina's. Het gelekte materiaal bevat miljoenen regels tekstconversaties en meer dan 2 miljoen bestanden. Sommige van deze bestanden hebben betrekking op Disney's kinderspellen, inclusief volledige pakketten van broncode en HTML. Deze inbreuk wordt gezien als een significante lek met potentieel voor het vergaren van inlichtingen. Disney heeft nog niet bevestigd of ontkend of deze claims waar zijn.
Gevoelige Overheidsdata Portugal op Darkweb Te Koop
Op een forum op het darkweb wordt beweerd dat gevoelige documenten van de XXIV Constitutionele Regering van Portugal te koop worden aangeboden. De vermeende data omvat personeelsinformatie en wordt exclusief verkocht voor een bedrag van $5000, betaalbaar met BTC, USDT of XMR. De verkoper accepteert escrow en biedt een bewijs van de data (PoC) aan potentiële kopers. Een voorbeeld van de gegevens is bij de forumpost bijgevoegd en geïnteresseerden kunnen contact opnemen via een gedeelde Telegram-handle. Deze situatie benadrukt de voortdurende dreiging van datalekken en de noodzaak voor strikte cyberbeveiligingsmaatregelen bij overheidsinstanties.
Gegevens van 5 Miljoen Roemenen Gelekt
Volgens een bericht op een darkweb forum zijn de gegevens van meer dan 5 miljoen Roemenen gelekt, met een dagelijkse toename van dit aantal. De gestolen informatie omvat volledige namen, BSN-nummers, fysieke en e-mailadressen, telefoonnummers, werkgeschiedenis, medische en financiële gegevens. De bedreigingsacteur biedt de gegevens in kleine hoeveelheden aan en accepteert alleen betalingen via Monero (XMR). Potentiële kopers moeten bewijs van financiële middelen tonen en gebruik maken van een escrow-dienst. Een Telegram-link is beschikbaar voor geïnteresseerden om contact op te nemen.
Facebook-advertenties voor Windows-thema's verspreiden wachtwoord-stelende malware
Cybercriminelen gebruiken Facebook-advertenties om nep-Windows-thema's te promoten die nietsvermoedende gebruikers infecteren met de SYS01-malware. Deze campagnes, uitgevoerd via nieuwe en gekaapte Facebook-bedrijfspagina's, lokken gebruikers naar websites die zich voordoen als downloadpagina's voor populaire software en games. De gedownloade bestanden bevatten echter de schadelijke SYS01-malware, die browsercookies, opgeslagen wachtwoorden en cryptowallets steelt. Deze gegevens worden vervolgens gebruikt voor verdere aanvallen of verkocht aan andere criminelen. De campagne benadrukt het gevaar van malafide advertenties op sociale media en de noodzaak voor gebruikers om voorzichtig te zijn met wat ze downloaden. 1
Aanvallers Maken Misbruik van URL-Bescherming voor Phishing
Cybercriminelen gebruiken legitieme URL-beschermingsdiensten om kwaadaardige phishing-links te verbergen, aldus onderzoekers van Barracuda. Ze ontdekten dat aanvallers drie verschillende URL-beschermingsdiensten gebruikten om phishing-URL's te maskeren en slachtoffers naar websites te leiden die zijn ontworpen om inloggegevens te stelen. Deze aanvallen richten zich op honderden bedrijven. Aanvallers verkrijgen toegang tot de URL-beschermingsdiensten via gecompromitteerde accounts en herschrijven hun eigen phishing-URL's, waardoor ze moeilijker te detecteren zijn. Traditionele e-mailbeveiligingstools kunnen deze nieuwe methoden vaak niet herkennen, wat leidt tot een vals gevoel van veiligheid bij gebruikers. 1
Nieuwe Versie van HardBit Ransomware Gebruikt Geavanceerde Obfuscatie Technieken
De nieuwste versie van HardBit ransomware, versie 4.0, introduceert nieuwe obfuscatie technieken om detectie te voorkomen. Deze versie maakt gebruik van Binary Obfuscation Enhancement met wachtwoordbescherming, wat betekent dat de ransomware pas wordt uitgevoerd na invoering van een wachtwoord. Dit bemoeilijkt de analyse voor beveiligingsonderzoekers. HardBit ransomware is beschikbaar in zowel CLI- als GUI-versies, waarbij de GUI-versie eenvoudiger te gebruiken is voor minder technisch onderlegde operators. De verspreiding van de malware gebeurt via het Neshta-virus en de ransomware zelf is een .NET binary. De ransomwaregroep HardBit verscheen voor het eerst in oktober 2022 en gebruikt geen dubbel afpersingsmodel zoals veel andere ransomware-operaties. Ze dreigen echter met verdere aanvallen als hun losgeldeisen niet worden ingewilligd. De malware verwijdert de Volume Shadow Copy Service en de Windows-back-upcatalogus, waardoor herstel van bestanden bijna onmogelijk wordt. De ransomware bewerkt ook de boot configuratie om problemen bij het opstarten van Windows te voorkomen en schakelt Windows Defender-functies uit om detectie te voorkomen. De exacte methode van initiële toegang is nog onbekend, maar experts vermoeden brute force-aanvallen op open RDP- en SMB-services. 1
π³π± Cybercriminaliteit verhardt na oprollen van Lockbit
Cyberaanvallen met gijzelsoftware blijven onverminderd doorgaan, ondanks recente politieacties tegen grote cybercriminele groepen zoals Lockbit. In Nederland waren er vorig jaar 147 ransomware-incidenten, hoewel dit vermoedelijk slechts een fractie van het werkelijke aantal is. Deskundigen zien geen afname in het aantal aanvallen; integendeel, de populariteit van Ransomware as a Service (RaaS) groeit. Bij dit model wordt ransomware als een dienst aangeboden, wat het eenvoudiger maakt voor andere criminelen om aanvallen uit te voeren. Na het neerhalen van servers blijven afnemers nog steeds slachtoffers maken. Hoewel de politie successen boekt tegen cybercriminele groepen, gaan deze criminelen vaak gewoon door, geholpen door het lucratieve karakter van hun activiteiten. De bedreigingen worden bovendien steeds fysieker en agressiever, met gevallen waarin criminelen zelfs persoonlijk langsgaan om slachtoffers te intimideren. Toch is het publiek maken van politieacties belangrijk om criminelen te demotiveren en te laten zien dat ze niet anoniem zijn. Ondanks deze inspanningen blijft cybercriminaliteit een voortdurend kat-en-muisspel. 1
Singapore Stapt Over van OTP naar Digitale Tokens voor Bankveiligheid
De Monetary Authority of Singapore (MAS) heeft aangekondigd dat alle grote retailbanken in het land binnen drie maanden stoppen met het gebruik van eenmalige wachtwoorden (OTPs). Deze maatregel is in samenwerking met de Association of Banks in Singapore (ABS) genomen om consumenten beter te beschermen tegen phishing en andere scams. OTPs, die sinds de jaren 2000 worden gebruikt als een vorm van multi-factor authenticatie, blijken kwetsbaar te zijn voor phishing-aanvallen, Android-malware en man-in-the-middle aanvallen. In plaats van OTPs zullen klanten digitale tokens gaan gebruiken, die ze moeten activeren op hun mobiele apparaten. Volgens de ABS zijn deze digitale tokens al geactiveerd voor 60% tot 90% van de klanten van de grootste banken in Singapore, namelijk DBS, OCBC en UOB. Klanten die nog geen digitale tokens hebben geactiveerd, worden sterk aangemoedigd dit snel te doen voor betere beveiliging. Klanten zonder digitale tokens blijven OTPs ontvangen, maar dit aantal zal naar verwachting snel afnemen. 1, 2
AT&T Betaalt Crimineel $370.000 Voor Verwijderen Gestolen Data
Telecomgigant AT&T heeft $370.000 betaald aan een crimineel voor het verwijderen van gestolen data. De gegevens, waaronder telefoonnummers, gespreks- en sms-gegevens, en locatie-informatie van bijna alle klanten, werden eerder dit jaar buitgemaakt uit de Snowflake-omgeving van het bedrijf. Aanvankelijk eiste de crimineel $1 miljoen, maar na onderhandelingen werd het bedrag verlaagd. Als bewijs voor de verwijdering van de data maakte de crimineel een video, waarna AT&T in mei het losgeld betaalde. De aanvaller gebruikte infostealing-malware om inloggegevens van 165 Snowflake-klanten te stelen, waardoor toegang tot de data mogelijk werd. De betreffende accounts hadden geen tweefactorauthenticatie, wat de aanvallen vergemakkelijkte. De Amerikaanse overheid heeft naar aanleiding van dit incident een waarschuwing afgegeven. AT&T heeft geen reactie gegeven op het incident. 1, 2
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb β |
---|---|---|---|---|
www.garudafood.com | Ransomhub | Indonesia | Food Products | 20-jul-24 |
Doodle Tech | Arcus Media | United Arab Emirates | IT Services | 20-jul-24 |
www.kumagaigumi.co.jp | Ransomhub | Japan | Construction | 20-jul-24 |
Arcmed Group | Hunters International | USA | Miscellaneous Manufacturing Industries | 19-jul-24 |
Leech Lake Gaming | Cicada3301 | USA | Amusement And Recreation Services | 19-jul-24 |
KuiperCompagnons | RansomHouse | Netherlands | Construction | 19-jul-24 |
A*****D | FSOCIETY | Unknown | Unknown | 19-jul-24 |
Hv*************.de | Cloak | Germany | Unknown | 19-jul-24 |
We*******.com | Cloak | United Kingdom | Unknown | 19-jul-24 |
Ka******.com | Cloak | USA | Unknown | 19-jul-24 |
www.glowfm.nl | Ransomhub | Netherlands | Communications | 19-jul-24 |
Law Offices of the Public Defender | Rhysida | USA | Legal Services | 19-jul-24 |
wattlerange.sa.gov.au | LockBit | Australia | General Government | 19-jul-24 |
claycountyin.gov | LockBit | USA | General Government | 19-jul-24 |
iteam.gr | LockBit | Greece | IT Services | 19-jul-24 |
albonanova.at | LockBit | Austria | Lodging Places | 19-jul-24 |
lothar-rapp.de | LockBit | Germany | Engineering Services | 19-jul-24 |
goldstarmetal.com | LockBit | Thailand | Fabricated Metal Products | 19-jul-24 |
glsco.com | LockBit | USA | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 19-jul-24 |
paysdelaloire.fr | LockBit | France | General Government | 19-jul-24 |
troyareasd.org | LockBit | USA | Educational Services | 19-jul-24 |
barkingwell.gr | LockBit | Greece | Communications | 19-jul-24 |
fbrlaw.com | LockBit | USA | Legal Services | 19-jul-24 |
customssupport.be | LockBit | Netherlands | Transportation Services | 19-jul-24 |
joliet86.org | LockBit | USA | Educational Services | 19-jul-24 |
Next step healthcar | Qilin | USA | Health Services | 18-jul-24 |
Infomedika | RansomHouse | Puerto Rico | IT Services | 18-jul-24 |
Northeast Rehabilitation Hospital Network | Hunters International | USA | Health Services | 18-jul-24 |
Santa Rosa | Hunters International | Argentina | General Government | 18-jul-24 |
Seamon Whiteside | Hunters International | USA | Construction | 18-jul-24 |
all-mode.com | D0N#T (Donut Leaks) | USA | Communications | 18-jul-24 |
www.erma-rtmo.it | Ransomhub | Italy | Machinery, Computer Equipment | 18-jul-24 |
metalfrio.com.br | Ransomhub | Brazil | Electronic, Electrical Equipment, Components | 18-jul-24 |
www.newcastlewa.gov | Ransomhub | USA | General Government | 18-jul-24 |
pgd.pl | Ransomhub | Poland | Automotive Dealers | 18-jul-24 |
Lacey Serrano | Space Bears | Unknown | Unknown | 18-jul-24 |
Jaden Hamilton | Space Bears | Unknown | Unknown | 18-jul-24 |
Yeo Nielsen | Space Bears | Unknown | Unknown | 18-jul-24 |
townandforest.co.uk | LockBit | United Kingdom | Accounting Services | 18-jul-24 |
merrymanhouse.org | LockBit | USA | Social Services | 18-jul-24 |
ws-stahl.eu | LockBit | Germany | Metal Industries | 18-jul-24 |
homelandvinyl.com | LockBit | USA | Miscellaneous Manufacturing Industries | 18-jul-24 |
eicher.in | LockBit | India | Transportation Equipment | 18-jul-24 |
noab.nl | LockBit | Netherlands | Business Services | 18-jul-24 |
latinusa.co.id | LockBit | Indonesia | Metal Industries | 18-jul-24 |
concorddirect.com | LockBit | USA | Business Services | 18-jul-24 |
fairfieldmemorial.org | LockBit | USA | Health Services | 18-jul-24 |
kbc-zagreb.hr | LockBit | Croatia | Health Services | 18-jul-24 |
norton.k12.ma.us | LockBit | USA | Educational Services | 18-jul-24 |
energateinc.com | LockBit | Canada | IT Services | 18-jul-24 |
plantmachineworks.com | LockBit | USA | Machinery, Computer Equipment | 18-jul-24 |
piedmonthoist.com | LockBit | USA | Machinery, Computer Equipment | 18-jul-24 |
gptchb.org | LockBit | USA | Health Services | 18-jul-24 |
assih.com | LockBit | Egypt | Health Services | 18-jul-24 |
Modernauto | BlackByte | USA | Automotive Dealers | 17-jul-24 |
Gandara Center | Rhysida | USA | Health Services | 17-jul-24 |
Encore | MEOW LEAKS | Unknown | Miscellaneous Services | 17-jul-24 |
C???o???m | PLAY | USA | Unknown | 17-jul-24 |
Hayden Power Group | PLAY | USA | Construction | 17-jul-24 |
MIPS Technologies | PLAY | USA | Electronic, Electrical Equipment, Components | 17-jul-24 |
ZSZAALEJI.cz | Qilin | Czech Republic | Educational Services | 17-jul-24 |
labline.it | D0N#T (Donut Leaks) | Italy | Research Services | 17-jul-24 |
www.hlbpr.com | Ransomhub | Puerto Rico | Accounting Services | 17-jul-24 |
Global Industry Analysts | MEOW LEAKS | USA | Research Services | 17-jul-24 |
Texas Tech University | MEOW LEAKS | USA | Educational Services | 17-jul-24 |
isometrix.com | Cactus | South Africa | IT Services | 17-jul-24 |
Geelong Lutheran College | Fog | Australia | Educational Services | 17-jul-24 |
Asbury Theological Seminary | Fog | USA | Educational Services | 17-jul-24 |
Djg Projects | Fog | Australia | Construction | 17-jul-24 |
Verweij Elektrotechniek | Fog | Netherlands | Construction | 17-jul-24 |
The Law Office of Omar O. Vargas, P.C. | Everest | USA | Legal Services | 17-jul-24 |
STUDIO NOTARILE BUCCI β OLMI | Everest | Italy | Business Services | 17-jul-24 |
VITALDENT.COM | MAD LIBERATOR | Spain | Health Services | 17-jul-24 |
BENICULTURALI.IT | MAD LIBERATOR | Italy | General Government | 17-jul-24 |
msprocuradores.es | MAD LIBERATOR | Spain | Legal Services | 17-jul-24 |
crosswear.co.uk | MAD LIBERATOR | United Kingdom | Wholesale Trade-non-durable Goods | 17-jul-24 |
sacities.net | MAD LIBERATOR | South Africa | Research Services | 17-jul-24 |
zb.co.zw | MAD LIBERATOR | Zimbabwe | Depository Institutions | 17-jul-24 |
A.L.P. Lighting Components | INC Ransom | USA | Electronic, Electrical Equipment, Components | 17-jul-24 |
GroupePRO-B | Cicada3301 | Canada | Fabricated Metal Products | 16-jul-24 |
Alvin Independent School District | Fog | USA | Educational Services | 16-jul-24 |
West Allis-West Milwaukee School District | Fog | USA | Educational Services | 16-jul-24 |
German University of Technology in Oman | Fog | Oman | Educational Services | 16-jul-24 |
ceofood.com.br | Ransomhub | Belize | IT Services | 16-jul-24 |
ceopag.com.br | Ransomhub | Brazil | Security And Commodity Brokers, Dealers, Exchanges, And Services | 16-jul-24 |
Lantronix Inc. | Hunters International | USA | IT Services | 16-jul-24 |
Braum's Inc | Hunters International | USA | Eating And Drinking Places | 16-jul-24 |
HOYA Corporation | Hunters International | Japan | Electronic, Electrical Equipment, Components | 16-jul-24 |
www.benchinternational.com | Ransomhub | USA | Business Services | 16-jul-24 |
www.cameronhodges.com | Ransomhub | USA | Legal Services | 16-jul-24 |
verco.co.uk | Cactus | United Kingdom | Furniture | 16-jul-24 |
Mainland Machinery | DragonForce | Canada | Machinery, Computer Equipment | 16-jul-24 |
SBRPCA | DragonForce | USA | Justice, Public Order, And Safety | 16-jul-24 |
Nuevatel | Dunghill Leak | Bolivia | IT Services | 15-jul-24 |
www.baiminstitute.org | Ransomhub | USA | Research Services | 15-jul-24 |
integraservices | Mallox | USA | Miscellaneous Services | 15-jul-24 |
XENAPP-GLOBER | Mallox | Spain | IT Services | 15-jul-24 |
Gramercy Surgery Center | Everest | USA | Health Services | 15-jul-24 |
Amino Transport | Akira | USA | Transportation Services | 15-jul-24 |
posiplus.com | Black Basta | Canada | Machinery, Computer Equipment | 15-jul-24 |
hpecds.com | Black Basta | United Kingdom | IT Services | 15-jul-24 |
Goede, DeBoest & Cross, PLLC. | Rhysida | USA | Legal Services | 15-jul-24 |
Gibbs Hurley Chartered Accountants | Hunters International | Australia | Accounting Services | 15-jul-24 |
MS Ultrasonic Technology Group | Hunters International | Germany | Machinery, Computer Equipment | 15-jul-24 |
ComNet Communications | Hunters International | USA | IT Services | 15-jul-24 |
RZO | Hunters International | USA | Construction | 15-jul-24 |
usdermpartners.com | Black Basta | USA | Health Services | 15-jul-24 |
atos.com | Black Basta | Italy | Machinery, Computer Equipment | 15-jul-24 |
thompsoncreek.com | Black Basta | USA | Construction | 15-jul-24 |
Hewlett Packard Enterprise | MEOW LEAKS | USA | IT Services | 15-jul-24 |
BCS Systems | MEOW LEAKS | Unknown | Unknown | 15-jul-24 |
Guhring | MEOW LEAKS | USA | Machinery, Computer Equipment | 15-jul-24 |
Odfjell Drilling | MEOW LEAKS | United Kingdom | Oil, Gas | 15-jul-24 |
Golan Christie Taglia | MEOW LEAKS | USA | Legal Services | 15-jul-24 |
First Commonwealth Federal Credit Union | MEOW LEAKS | USA | Depository Institutions | 15-jul-24 |
North Coast Petroleum | Medusa | Australia | Electric, Gas, And Sanitary Services | 15-jul-24 |
Strauss Brands | Medusa | USA | Wholesale Trade-non-durable Goods | 15-jul-24 |
Harry Perkins Institute of medical research | Medusa | Australia | Research Services | 15-jul-24 |
Viasat | Medusa | Spain | Communications | 15-jul-24 |
Cedar Technologies | Medusa | Brazil | IT Services | 15-jul-24 |
American Golf | Medusa | USA | Amusement And Recreation Services | 15-jul-24 |
Texas Alcohol & Drug Testing Service | BianLian | USA | Health Services | 15-jul-24 |
luzan5.com | Blackout | Spain | Business Services | 15-jul-24 |
Sherbrooke Metals | Brain Cipher | USA | Fabricated Metal Products | 15-jul-24 |
Apex Global | Brain Cipher | USA | Accounting Services | 15-jul-24 |
BrownWinick | Rhysida | USA | Legal Services | 15-jul-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|
KuiperCompagnons | RansomHouse | Netherlands | Construction | 19-jul-24 |
www.glowfm.nl | Ransomhub | Netherlands | Communications | 19-jul-24 |
customssupport.be | LockBit | Netherlands | Transportation Services | 19-jul-24 |
Verweij Elektrotechniek | Fog | Netherlands | Construction | 17-jul-24 |
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | 13.707 |
NU: 22-07-2024 | 14.820 |
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language