English | Français | Deutsche | Español | Meer talen
Nederlands energiebedrijf via e-mailfraude voor 1,3 miljoen euro opgelicht, Russische hackers gebruiken Google Drive, Dropbox om detectie te ontwijken en CPUs van Intel en AMD kwetsbaar voor Retbleed-aanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
Update: 25-juli-2022 | Aantal slachtoffers: 5.984
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
SRM Technologies | BlackCat (ALPHV) | www.srmtech.com | India |
riken.co.jp | LockBit | riken.co.jp | Japan |
daytonsuperior.com | LockBit | daytonsuperior.com | USA |
KKJM Lawfirm | BlackCat (ALPHV) | kkjmlawfirm.com | USA |
roedeanschool.co.za | LockBit | roedeanschool.co.za | South Africa |
Hometrust Mortgage Company | BlackCat (ALPHV) | www.hometrust.com | USA |
thep**************.com | BianLian | Unknown | Unknown |
sppc.com.sa | LV | sppc.com.sa | Saudi Arabia |
WARTSILA.COM | LV | wartsila.com | Finland |
Yong Mao Environmental Tech. Co.,Ltd | LockBit | Unknown | Taiwan |
laneprint.com.au | LockBit | laneprint.com.au | Australia |
Baliwag Maritime Academy | SiegedSec | bma.edu.ph | Philippines |
osde.com.ar | LockBit | osde.com.ar | Argentina |
taylorstafford.com | LockBit | taylorstafford.com | USA |
lanormandise.fr | LockBit | lanormandise.fr | France |
townofstmarys.com | LockBit | townofstmarys.com | Canada |
bizerba.com | LockBit | bizerba.com | Germany |
Fairfax | RansomHouse | www.fairfax.ca | Canada |
Crum & Forster | RansomHouse | www.cfins.com | USA |
CHDE POLSKA | Vice Society | www.eden-field.com.au | Poland |
HANDLER Bau GmbH | BlackCat (ALPHV) | handler-group.com | Austria |
CREMO | Black Basta | Unknown | Unknown |
a2-pas.fr | LockBit | a2-pas.fr | France |
Site-technology | Cuba | www.site-technology.com | United Arab Emirates |
ocrex.com | LockBit | ocrex.com | Ireland |
mwd.digital | LockBit | mwd.digital | Italy |
Chen Moore and Associates | BlackCat (ALPHV) | www.chenmoore.com | USA |
Edenfield | Vice Society | www.eden-field.com.au | Australia |
lexingtonnational.com | LockBit | lexingtonnational.com | USA |
mec.com | LockBit | mec.com | USA |
Tom Barrow | Karakurt | www.tombarrow.com | USA |
LaVan & Neidenberg | Hive | disabilityhelpgroup.com | USA |
COS2000 | Black Basta | www.cos.net.au | Australia |
MAI | Black Basta | www.maifl.com | USA |
The Minka Group | Black Basta | www.minkagroup.net | USA |
SPINNEYS.COM | CL0P | spinneys.com | United Arab Emirates |
competencia.com.ec | LockBit | competencia.com.ec | Ecuador |
addconsult.nl | LockBit | addconsult.nl | Netherlands |
coastalmedps.com | LockBit | coastalmedps.com | USA |
XQUADRAT GmbH | Vice Society | www.xquadrat.ag | Germany |
San Luis Coastal Unified School District | Vice Society | www.slcusd.org | USA |
GENSCO Inc. | Ragnar_Locker | www.gensco.com | USA |
An Insurance Company | Cheers | Unknown | Unknown |
hcp*******.com | BianLian | Unknown | Unknown |
keystonelegal.co.uk | RedAlert | keystonelegal.co.uk | UK |
cpicfiber.com | LockBit | cpicfiber.com | China |
madcoenergi.com | LockBit | madcoenergi.com | Indonesia |
rovagnati.it | LockBit | rovagnati.it | Italy |
clestra.com | LockBit | clestra.com | France |
crbrandsinc.com | LockBit | crbrandsinc.com | USA |
christianaspinecenter.com | LockBit | christianaspinecenter.com | USA |
columbiagrain.com | LockBit | columbiagrain.com | USA |
fedefarma.com | LockBit | fedefarma.com | Spain |
Turnberry Associates | Karakurt | www.turnberry.com | USA |
Delon Hampton & Associates, Chartered | Quantum | www.delonhampton.com | USA |
Autohaus | Quantum | autohaus.co.uk | UK |
Broshuis | Driving innovation | Quantum | www.broshuis.com | Netherlands |
Fedfina | Everest | www.fedfina.com | South Africa |
FederalBank | Everest | www.federalbank.co.in | India |
bizframe.co.za | LockBit | bizframe.co.za | South Africa |
integrate.ch | LockBit | integrate.ch | Switzerland |
aresfoods.ca | LockBit | aresfoods.ca | Canada |
An British Financial Company | Cheers | Unknown | UK |
ryanhanley.ie | LV | ryanhanley.ie | Ireland |
In samenwerking met DarkTracer
Twitter account gegevens van 5,4 miljoen gebruikers gehackt en te koop
Twitter heeft te maken gehad met een datalek waarbij de cybercriminelen een kwetsbaarheid gebruikten om een database op te bouwen met telefoonnummers en e-mailadressen van 5,4 miljoen accounts. De gegevens zijn nu te koop aangeboden op een hacker forum voor $ 30.000. De cybercriminelen die bekend staan als 'devil' melden op een gestolen datamarkt dat de database informatie bevat over verschillende accounts, waaronder beroemdheden, bedrijven en willekeurige gebruikers.
Nieuwe Kriptor ransomware
Kriptor Ransomware; Extension: .Kriptor; Ransom note: read_it.txt; Changes desktop wallpaperhttps://t.co/ZZ8mLyiXqr@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) July 22, 2022
Nederlands energiebedrijf via e-mailfraude voor 1,3 miljoen euro opgelicht
Een niet nader genoemd Nederlands energiebedrijf is door middel van e-mailfraude voor een bedrag van ruim 1,3 miljoen euro opgelicht. In de zaak is een 50-jarige inwoner uit Bergen op Zoom aangehouden. Het energiebedrijf ontving een e-mail die van een leverancier afkomstig leek en waarin werd verzocht om een rekeningnummer aan te passen. Vervolgens maakte het energiebedrijf een openstaand bedrag naar deze rekening over. Volgens de politie ging het om een bedrag van ruim 1,3 miljoen euro. De exacte rol van de verdachte in dit proces wordt nog nader onderzocht. Na de aanhouding is beslag gelegd op panden van de verdachte. Daarnaast is beslag gelegd op een auto, een groot geldbedrag en een duur horloge. Het energiebedrijf is slachtoffer geworden van Business Email Compromise (BEC). Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. De door BEC veroorzaakte schade bedroeg tussen juni 2016 en december 2021 ruim 43 miljard dollar, aldus de FBI afgelopen mei.
Atlassian waarschuwt voor misbruik hardcoded wachtwoord in Confluence-app
Aanvallers maken actief misbruik van een hardcoded wachtwoord in de Questions for Confluence app om toegang tot Confluence-omgevingen te krijgen, zo waarschuwt softwarebedrijf Atlassian. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Voor Confluence Server en Data Center zijn er allerlei uitbreidingen beschikbaar, waaronder Questions for Confluence. Via deze add-on is het mogelijk om kennis te delen en een Q&A community in Confluence op te zetten. Bij het inschakelen van de add-on wordt er een Confluence-gebruikersaccount aangemaakt bedoeld voor systeembeheerders om data van de app naar de Confluence Cloud te migreren. Het betreffende account wordt met een hardcoded wachtwoord aangemaakt en toegevoegd aan de Confluence-gebruikersgroep. Daarmee is het standaard mogelijk om alle niet-afgeschermde pagina's binnen Confluence te bekijken en wijzigen. Een ongeauthenticeerde aanvaller die het hardcoded wachtwoord weet kan zo op Confluence inloggen en pagina's bekijken waar de Confluence-gebruikersgroep toegang toe heeft. Het wachtwoord is inmiddels op Twitter gepubliceerd. Atlassian stelt dat het verwijderen van de Questions for Confluence app de kwetsbaarheid niet automatisch oplost. Het toegevoegde account wordt namelijk niet bij het verwijderen van de app verwijderd. Beheerders moeten dit account dan ook zelf uitschakelen of verwijderen. Daarnaast is er een update voor de Questions for Confluence app verschenen. De uitbreiding is volgens cijfers van Atlassian meer dan achtduizend keer geïnstalleerd.
Digitale beveiligingsgigant Entrust gehackt door ransomware-bende
Digitale beveiligingsgigant Entrust heeft bevestigd dat het te maken heeft gehad met een cyberaanval waarbij bedreigingsactoren hun netwerk binnendrongen en gegevens van interne systemen gestolen hebben. Entrust is een beveiligingsbedrijf dat zich richt op online vertrouwen en identiteitsbeheer en een breed scala aan diensten aanbiedt, waaronder gecodeerde communicatie, veilige digitale betalingen en oplossingen voor id-uitgifte. Afhankelijk van welke gegevens zijn gestolen, kan deze aanval gevolgen hebben voor een groot aantal kritieke en gevoelige organisaties die Entrust gebruiken voor identiteitsbeheer en verificatie. Dit omvat Amerikaanse overheidsinstanties, zoals het ministerie van Energie, het ministerie van Binnenlandse Veiligheid, het ministerie van Financiën, het ministerie van Volksgezondheid en Human Services, het ministerie van Veteranenzaken, het ministerie van Landbouw en nog veel meer.
Entrust security incident dated June 18th.
— Dominic Alvieri (@AlvieriD) July 21, 2022
Entrust blog still down on your left and official statement on your right.
No one seen taking credit to date.@Entrust_Corp #cybersecurity #infosec @Cyberknow20 @GossiTheDog @campuscodi @vxunderground @FBI pic.twitter.com/m54y0x1CIJ
Hoe Conti ransomware hackte en versleutelde de Costa Ricaanse overheid
Er zijn details naar voren gekomen over hoe de Conti ransomware-bende de Costa Ricaanse overheid heeft gehackt. Wat de precisie van de aanval en de snelheid van het verplaatsen van de eerste toegang naar de laatste fase van het versleutelen van apparaten aantoont.
Gegevens van tientallen miljoenen gamers te koop aangeboden
Persoonsgegevens van 69 miljoen gebruikers van de game Neopets zijn naar verluid gestolen. Cybercriminelen zouden de informatie voor vier bitcoin te koop aanbieden op internet. Dit meldt de website Jellyneo op basis van een anonieme bron. Neopets bevestigt op Twitter het datalek, al laat het bedrijf in het midden hoeveel gebruikers zijn getroffen. Wel meldt Neopets dat onder meer e-mailadressen en wachtwoorden van gebruikers zijn gestolen. Neopets is een webbrowsergame die draait om virtuele huisdieren. De game is in 1999 opgericht en bestaat ook vandaag de dag nog steeds. Het bedrijf is sinds juli 2017 in handen van het Chinese NetDragon via de overname van JumpStart. JumpStart kocht het bedrijf in 2014 van Viacom, dat de game op zijn beurt in 2005 Neopets overnam voor 160 miljoen dollar.
Neopets recently became aware that customer data may have been stolen. We immediately launched an investigation assisted by a leading forensics firm. We are also engaging law enforcement and enhancing the protections for our systems and our user data. (1/3)
— neopets (@Neopets) July 21, 2022
Franse Android- en iPhone-gebruikers doelwit van smishing-aanval
Franse Android- en iPhone-gebruikers zijn het doelwit van een smishing-aanval geworden, waarbij de aanvallers proberen om malware te installeren en inloggegevens te stelen. Mogelijk zijn bij de campagne tienduizenden telefoons besmet geraakt. Dat stelt securitybedrijf Sekoia in een analyse. De aanval begint met een sms-bericht waarin wordt gesteld dat de ontvanger een pakket heeft ontvangen. Via de meegestuurde url is er meer informatie te vinden. Deze url wijst naar een malafide website. Die controleert eerst of de gebruiker in kwestie vanaf een Frans ip-adres afkomstig is. Wanneer dit niet het geval is laat de website een 404-melding te zien. Bij een Franse iPhone-gebruiker toont de website een phishingpagina die van Apple lijkt en vraagt om met het Apple-account in te loggen. Gaat om het een Androidtelefoon in Frankrijk, dan wordt de gebruiker gevraagd een kwaadaardig APK-bestand te installeren dat claimt een browser-update te zijn. In werkelijkheid gaat het om de MoqHao-malware, een remote access trojan gebruikt voor het stelen van informatie en het bieden van een backdoor. Zodra gebruikers de malafide app installeren vraagt die toestemming voor het lezen en versturen van sms-berichten, waardoor de aanvallers bijvoorbeeld sms-berichten kunnen onderscheppen. Daarbij doet de malafide applicatie zich voor als Google Chrome om zo de gebruiker te misleiden om de permissie te geven. Verder communiceert de malware met een command & control-server. Begin dit jaar stelden securitybedrijven dat meer dan 90.000 unieke ip-adressen verbinding met deze server hadden gemaakt. Volgens Sekoia hebben de aanvallers een financieel motief en zouden bij de recente smishing-campagne mogelijk 70.000 Androidtoestellen besmet zijn geraakt.
Nieuwe Redeemer ransomware versie gepromoot op hacker forums
Cybercriminelen promoten een nieuwe versie van het gratis te gebruiken 'Redeemer'-ransomware bouwer op hacker forums, waardoor ongeschoolde cybercriminelen gemakkelijke toegang krijgen tot de wereld van door encryptie ondersteunde afpersingsaanvallen. Volgens de cybercriminelen is de nieuwe versie 2.0-release volledig geschreven in C ++ en werkt het op Windows Vista, 7, 8, 10 en 11, met multi-threaded prestaties en een gemiddelde AV-detectiesnelheid. In tegenstelling tot veel Ransomware-as-a-Service (RaaS) -bewerkingen, kan iedereen de Redeemer ransomware-builder downloaden en gebruiken om zijn eigen aanvallen te lanceren. Wanneer een slachtoffer echter besluit om het losgeld te betalen, ontvangt de cybercriminelen 20% van de kosten en deelt hij de hoofdsleutel die moet worden gecombineerd met de privé-buildsleutel die door de affiliate wordt gehouden voor decodering.
Russische hackers gebruiken Google Drive, Dropbox om detectie te ontwijken
De Russische door de staat gesponsorde hackers die bekend staan als APT29 zijn gestart met een nieuwe phishing-campagne die gebruik maakt van legitieme cloudservices zoals Google Drive en Dropbox om kwaadaardige payloads te leveren op gecompromitteerde systemen en detectie te omzeilen. De APT29-dreigingsgroep (ook bekend als Cozy Bear of Nobelium) is de Russische buitenlandse inlichtingendienst (SVR) hackdivisie. Het is gekarakteriseerd als een georganiseerde cyberspionagegroep die werkt aan het verzamelen van inlichtingen die aansluiten bij de strategische doelstellingen van Rusland. De groep heeft deze nieuwe techniek overgenomen in recente campagnes gericht op westerse diplomatieke missies en buitenlandse ambassades wereldwijd tussen begin mei en juni 2022. De lokmiddelen in deze campagnes suggereren het aanvallen van een buitenlandse ambassade in Portugal en een buitenlandse ambassade in Brazilië. Volgens analisten van Palo Alto Networks Unit 42 die de nieuwe trend hebben opgemerkt, maakt de alomtegenwoordige aard van Google Drive-cloudopslagservices en het feit dat ze worden vertrouwd door miljoenen klanten over de hele wereld het een uitdaging om te detecteren.
VS neemt losgeld van ransomware-aanval op ziekenhuis in beslag
De Amerikaanse autoriteiten hebben losgeld dat een Amerikaans ziekenhuis vorig jaar betaalde nadat het door ransomware was getroffen in beslag genomen. Ook het losgeld van een zorginstelling kon worden teruggehaald en teruggeven. Het ging bij elkaar om een bedrag van zo'n 500.000 dollar, zo maakte plaatsvervangend minister van Justitie Lisa Monaco tijdens een internationale conferentie over cybersecurity bekend. Het ziekenhuis en de zorginstelling waren getroffen door de Maui-ransomware. Eerder deze maand stelden de Amerikaanse autoriteiten dat Noord-Korea achter aanvallen met deze ransomware zit. Nadat het ziekenhuis het losgeld betaalde begon de FBI een onderzoek en kwam vervolgens bij een groep witwassers uit. Verdere blockchain-analyse onthulde ook losgeld betalingen van andere slachtoffers, waaronder de Amerikaanse zorginstelling en mogelijk meerdere slachtoffers uit het buitenland. Een aantal weken geleden wisten de Amerikaanse autoriteiten het geld van de accounts waarmee het losgeld werd witgewassen in beslag te nemen. Dat zal nu aan de slachtoffers worden teruggegeven. Volgens Monaco laat dit zien hoe belangrijk het is dat slachtoffers van ransomware-aanvallen dit aan de autoriteiten melden, zodat er onderzoek kan worden gedaan om het geld terug te krijgen. Onlangs bleek dat de Nederlandse politie erin was geslaagd om het losgeld dat de Universiteit Maastricht na een ransomware-aanval betaalde met winst terug te geven.
Bouwmaterialenproducent Knauf slachtoffer van ransomware-aanval
De Duitse fabrikant van bouwmaterialen Knauf is vorige maand het slachtoffer van een ransomware-aanval geworden. Het bedrijf, dat vorig jaar nog een omzet van 12,5 miljard euro had, werd op 29 juni getroffen door een cyberaanval, aldus een verklaring op de eigen website. Naar aanleiding van het incident werd besloten om proactief systemen uit te schakelen. Drie weken verder is Knauf nog altijd bezig met het herstel van systemen en het verhelpen van de gevolgen van de aanval voor klanten en partners. Vanwege het uitschakelen van de systemen heeft dit gevolgen voor het verwerken van bestellingen en bezorgingen. Op 7 juli maakte Knauf bekend dat het weer mogelijk was om pallets te retourneren. Verdere details over de aanval of updates zijn niet gegeven. De criminelen achter de Black Basta-ransomware hebben nu de aanval via hun eigen website opgeëist, zo melden verschillende onderzoekers op Twitter. Bij de aanval zijn ook gegevens buitgemaakt, waarvan een deel openbaar is gemaakt. Hoe de aanvallers toegang tot de systemen konden krijgen is onbekend.
Black Basta Ransomware Victim: KNAUF - https://t.co/6YE60ZcLfe#BlackBasta #Ransomware #OSINT #ThreatIntel
— RedPacket Security (@RedPacketSec) July 15, 2022
#DEU #cyberattack Knauf Gips KG von #BlackBasta #Ransomware betroffen. Tracked by @ecrime_ch pic.twitter.com/4iKbfOIOhq
— Ransomwaremap (@ransomwaremap) July 16, 2022
Massale cyberaanval op openbare diensten van Albanië
Albanië werd dit weekend getroffen door een massale cyberaanval, waarbij de servers van het Nationaal Agentschap voor informatiemaatschappij (AKSHI) dat veel overheidsdiensten afhandelt, werden getroffen. De gesynchroniseerde criminele aanval vanuit het buitenland zorgde ervoor dat alle Albanese overheidssystemen werden stilgelegd. Het Albanese Nationale Agentschap voor de Informatiemaatschappij verklaarde dat ze gedwongen zijn om overheidssystemen te sluiten totdat de vijandelijke aanvallen zijn geneutraliseerd. De meeste bureaudiensten voor de bevolking werden onderbroken en slechts enkele belangrijke diensten, zoals online belastingaangifte, werkten omdat ze worden geleverd door servers die niet het doelwit zijn van de aanval. De Albanese autoriteiten werkten samen met experts van Microsoft en de in de VS gevestigde Jones Group International om het effect van de aanval te verzachten en de activiteiten te herstellen. Het blokkeren van openbare diensten heeft veel individuen en bedrijven getroffen. Er is geen officieel commentaar geweest op wie er achter de aanval zat, hoewel sommige Albanese media Rusland de schuld hebben gegeven.
CPUs van Intel en AMD kwetsbaar voor Retbleed-aanval
Processors van zowel Intel als AMD zijn kwetsbaar voor een nieuwe cyberaanval die 'Retbleed' wordt genoemd. De aanval kan worden misbruikt om gevoelige informatie uit systemen te verkrijgen. Patches zijn beschikbaar, maar deze kunnen ten koste gaan van de prestaties van de CPU's. Retbleed is een vorm van zogeheten speculative execution-aanvallen. Speculative execution is een optimalisatie-techniek waarmee CPU's berekeningen kunnen uitvoeren nog voordat zij weten of deze vereist zijn voor taken die zij in de toekomst moeten uitvoeren. Hierbij rekenen de CPU's preventief meerdere codepaden uit. Zodra duidelijk is welk codepad nodig is, wordt deze geselecteerd en de overige codepaden verworpen. Dit is echter niet waterdicht, blijkt uit kwetsbaarheden die afgelopen jaren opdoken. Het gaat dan specifiek om Spectre en Meltdown. Hier komt nu Retbleed bij. Opvallend is dat Retbleed juist misbruik maakt van een maatregel die bedoeld is om aanvallen zoals Spectre tegen te gaan. Het gaat daarbij om Retpoline, wat een samenvoeging is van 'return' en 'trampoline'. Retpoline is ontwikkeld door Google. Retbleed is ontdekt door onderzoekers van de Zwitserse universiteit ETH Zurich. De kwetsbaarheid treft Intel Core CPU's van de zesde generatie (Skylake) tot de achtste generatie (Coffee Lake), evenals AMD Zen 1, Zen 1+ en Zen 2 CPU's die in de periode 2017 tot en met 2019 zijn uitgebracht. De onderzoekers van ETH Zurich hebben een proof of concept code ontwikkeld waarmee zij vanuit een applicatie met lage toegangsrechten data van andere software-processen kunnen benaderen. Dit doen zij door de data te extraheren uit de eerder beschreven codepaden die bij speculatieve executie worden gebruikt. In de onderstaande video geven de onderzoekers een demonstratie:
FBI: criminelen stelen miljoenen dollars via frauduleuze crypto-beleggingsapps
Criminelen hebben via frauduleuze crypto-beleggingsapps miljoenen dollars weten te stelen, zo laat de FBI via een Private Industry Notification weten. De Amerikaanse opsporingsdienst ontving aangiftes van 244 slachtoffers en schat de schade door de malafide apps op 42,7 miljoen dollar. De criminelen bieden apps aan die van legitieme bedrijven en financiële instellingen lijken en de mogelijkheid bieden voor crypto-investeringen. Zodra slachtoffers hun geld via de app willen opnemen ontvangen ze een e-mail dat er eerst belasting moet worden betaald of is het helemaal niet mogelijk om geld op te nemen. Een ander slachtoffer kreeg te horen dat hij, zonder hiervoor toestemming te hebben gegeven, deelnam aan een programma waarbij er minimaal 900.000 dollar moest worden geïnvesteerd. Het slachtoffer wilde zijn deelname stopzetten, maar kreeg te horen dat hij eerst het benodigde bedrag moest overmaken. De FBI stelt dat zowel financiële instellingen als beleggers verschillende maatregelen kunnen nemen om geen slachtoffer te worden. Zo moeten instellingen proactief voor dergelijke fraude waarschuwen en laten weten waar beleggers dit kunnen rapporteren. Verder moet er periodiek naar frauduleuze apps worden gezocht die zich als een app van de betreffende instelling voordoet. Beleggers krijgen het advies om alert te zijn op ongevraagde verzoeken om beleggingsapps te downloaden, met name van personen die men niet in persoon heeft ontmoet of waarvan de identiteit niet is geverifieerd. Verder moeten beleggers voor het downloaden verifiëren dat een app legitiem is en moeten apps met beperkte of niet werkende functionaliteit met de nodige scepsis worden behandeld (pdf).
België beschuldigt Chinese hackers van cyberaanvallen op Defensie en Binnenlandse Zaken
België beschuldigt Chinese hackers van cyberaanvallen op Defensie en de federale overheidsdienst Binnenlandse Zaken. Belgie roept China nu op alle nodige maatregelen te nemen om de situatie te onderzoeken en aan te pakken, klinkt het in een persbericht van Buitenlandse Zaken. De overheid detecteerde cyberaanvallen tegen de FOD Binnenlandse Zaken en Defensie. Die “hebben onze soevereiniteit, democratie, veiligheid en samenleving aanzienlijk aangetast”, aldus het persbericht. Volgens Buitenlandse Zaken kunnen beide aanvallen gelinkt worden aan Chinese hackergroepen. De hackers hadden bij Binnenlandse Zaken twee jaar lang toegang tot het netwerk. Het Centrum voor Cyberveiligheid (CCB) had eerder al gesuggereerd dat de aanval het werk van een inlichtingendienst leek. Door de cyberaanval bij Defensie was het netwerk wekenlang afgesloten van het internet en was het mailverkeer met de buitenwereld onderbroken. “België veroordeelt deze kwaadaardige cyberactiviteiten met klem, die in contradictie zijn met de normen van verantwoordelijk staatsgedrag, zoals die zijn onderschreven door alle VN-lidstaten”, aldus Buitenlandse Zaken. “We blijven er bij de Chinese autoriteiten op aandringen om zich aan deze normen te houden en niet toe te laten dat hun grondgebied gebruikt wordt voor kwaadaardige cyberactiviteiten.” Ook vraagt Belgie om “alle gepaste en mogelijke maatregelen te nemen om de situatie te detecteren, onderzoeken en aan te pakken”.
Nieuwe Luna ransomware versleutelt Windows, Linux en ESXi systemen
Een nieuwe ransomware-familie genaamd Luna kan worden gebruikt om apparaten met verschillende besturingssystemen te versleutelen, waaronder Windows-, Linux- en ESXi-systemen. Ontdekt door Kaspersky-beveiligingsonderzoekers via een darkweb ransomware-forumadvertentie die werd opgemerkt door het Threat Intelligence actieve monitoringssysteem van het bedrijf. Het lijkt dat Luna ransomware specifiek is afgestemd op gebruik door Russisch sprekende bedreigingsactoren. "In de advertentie staat dat Luna alleen werkt met Russischtalige filialen. Ook bevat de losgeldbrief die hardcoded is in het binaire bestand spelfouten. Er staat bijvoorbeeld 'a little team' in plaats van 'a small team' melde Kaspersky..
Staatsgelieerde cyberaanvallen richten zich op journalisten
Recent onderzoek van Proofpoint toont aan hoe verschillende hackersgroepen in opdracht van de overheid, zich richten op journalisten om spionage uit te voeren, malware te verspreiden en netwerken van mediabedrijven te infiltreren. Enkele bekende namen die het slachtoffer werden van deze praktijken, zijn de publicaties The Guardian en Fox News. Een doordachte, succesvolle aanval op het e-mailaccount van een journalist kan waardevolle inzichten verschaffen in gevoelige, actuele informatie en bij het blootleggen van bronnen. Journalisten en mediabedrijven zijn populaire doelwitten. Onderzoekers van Proofpoint hebben vastgesteld dat APT-actoren (Advanced Persistent Threat), met name die door de staat gesponsord of aan de staat gelieerd, zich voordoen als of zich richten op journalisten en mediabedrijven vanwege de informatie die zij kunnen bieden. Meestal worden gerichte phishing-aanvallen op journalisten gebruikt voor spionage of om belangrijke informatie te achterhalen over de overheid, de bedrijfswereld of een ander gebied dat voor de overheid belangrijk is. Uit onderzoek van Proofpoint blijkt dat vanaf begin 2021, APT-actoren worden ingezet om journalisten en mediakanalen te bereiken of te betrekken bij een cyberaanval. Het gaat onder meer om aanvallen die goed inspelen op politieke gebeurtenissen in de Verenigde Staten. Sommige cyberaanvallen zijn gericht op mediakanalen om concurrentie voor te blijven, terwijl andere zich richten op journalisten die het beleid van een land zwart hebben gemaakt. Maar ook als middel om desinformatie of propaganda te verspreiden.
Nieuwe CHAOS gebaseerde BlueKey ransomware
blueKey Ransomware; Extension: .blueKey; Ransom notes: desktop wallpaper and DECRYPTION_INSTRUCTIONS.txthttps://t.co/nDsr6TH3r8@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) July 18, 2022
Grootschalige aanval op WordPress-sites met kwetsbare plug-in
Criminelen hebben de afgelopen dagen een grootschalige aanval op WordPress-sites uitgevoerd waarbij werd geprobeerd om die via een kwetsbare plug-in over te nemen en een update voor het beveiligingslek is niet beschikbaar. De aanvallers maken misbruik van een kwetsbaarheid in de Kaswara Modern WPBakery Page Builder add-on. De uitbreiding moet het eenvoudiger maken om WordPress-sites te ontwerpen. Door het lek kan een ongeauthenticeerde aanvaller kwaadaardige PHP-bestanden uploaden en zo volledige controle over de website krijgen. Het beveiligingslek, aangeduid als CVE-2021-24284, werd vorig jaar april openbaar gemaakt. De ontwikkelaars van de add-on hebben echter nooit een beveiligingsupdate uitgebracht en bieden de uitbreiding inmiddels ook niet meer aan. Daardoor zijn alle WordPress-sites waar de plug-in is geïnstalleerd nog steeds kwetsbaar. Volgens securitybedrijf Wordfence hebben tussen de vierduizend en achtduizend websites de add-on nog geïnstalleerd. Recentelijk zag het securitybedrijf dat aanvallers een exploit voor de kwetsbaarheid op 1,6 miljoen WordPress-sites uitprobeerden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Aangezien er geen patch beschikbaar is krijgen webmasters het advies om de uitbreiding te verwijderen.
Artis betaalt geen losgeld aan hackers
Dierentuin Artis heeft de systemen die vorige maand door ransomware werden getroffen via back-ups weten te herstellen, zo heeft de dierentuin vandaag bekendgemaakt. Er is geen losgeld aan de criminelen betaald. Artis werd eind juni het slachtoffer van een ransomware-aanval. Systemen gingen offline en het was niet mogelijk om online tickets aan te schaffen. Vandaag meldt de dierentuin dat uit het onderzoek naar de aanval er geen aanwijzingen naar voren zijn gekomen dat de daders persoonsgegevens hebben gestolen of ingezien. "Dankzij veilige back-up data en extra maatregelen konden vrijwel alle ict-systemen in de dagen na de aanval weer worden opgestart", zo stelt de dierentuin, die toevoegt dat de cyberaanval is afgewend. De dierentuin stelt verder dat het door de aanval er des te meer van bewust is geworden dat het als organisatie nooit honderd procent veilig tegen dergelijke activiteiten van cybercriminelen kan zijn. "Sinds de hack hebben we ons laten bijstaan door een cybersecurityspecialist over de te nemen stappen. De bescherming en beveiliging van onze ict-systemen en achterliggende data hebben we nog een keer tegen het licht gehouden. Niet alleen om herhaling te voorkomen, maar ook om het nog beter te organiseren dan we al deden."
Politie Colorado onderzoekt ransomware-aanval op kleine stad
De politie van Frederick, Colorado zei dat het claims onderzoekt dat het stadsbestuur werd getroffen door een ransomware-aanval. Donderdag voegde de LockBit-ransomwaregroep de stad van ongeveer 15.000 inwoners toe aan zijn lijst met slachtoffers. Een woordvoerder van de stad vertelde The Record dat het "een melding heeft ontvangen van een mogelijke ransomware-aanval". "De Frederick Police Department werkt samen met Information Technology om de geldigheid van deze berichten te verifiëren," zei de woordvoerder. "Momenteel is er geen bewijs van inbraak in ons beveiligde netwerk." Een vertegenwoordiger van de Colorado Division of Homeland Security and Emergency Management voegde eraan toe dat het Colorado Information Analysis Center, dat opereert binnen de cybersecurity-divisie van de organisatie, ondersteuning biedt aan de stad bij het aanpakken van het incident.
A new #ransomware group named #BianLian claims to have hacked #Mooresville Schools (@MrsvlPioneers), a public school district in Indiana, 🇺🇸. The group claims to have stolen ~4,200 student records containing phone numbers, email addresses, and social security numbers... pic.twitter.com/QWECxn62L9
— BetterCyber (@_bettercyber_) July 11, 2022
New STOP247 ransomware
A new #Stop247 #Ransomware https://t.co/M9zAmnRp5m
— Amigo-A (@Amigo_A_) July 17, 2022
Extension: .stop
Extension pattern: .[<email>].id[<random{7}>].stop
Ransom note: RECOVERY_INFORMATION.TXT
Email: stop@onionmail* stop24msgsafe*
Telegram: stop247
cc @demonslay335 @BleepinComputer pic.twitter.com/LP8gQHQika
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in 🇬🇧 or another language