De Russische cyberespionagegroep Turla heeft de infrastructuur van de Pakistaanse hackersgroep Storm-0156 overgenomen om eigen geheime aanvallen uit te voeren. Deze methode stelt Turla in staat om al gecompromitteerde netwerken, zoals die van de Afghaanse en Indiase overheid, verder te infiltreren en malware te verspreiden. Het gebruik van Storm-0156’s servers maakt het voor Turla mogelijk om data te stelen zonder hun eigen sporen te verraden, wat de attributie van de aanvallen bemoeilijkt. Dit soort cyberoperaties zijn een manier voor Turla om hun spionageactiviteiten onopgemerkt voort te zetten en de schuld te verleggen naar andere groepen. De Russische hackers hebben al eerder vergelijkbare tactieken gebruikt, bijvoorbeeld door de infrastructuur van de Iraanse groep OilRig in te zetten. Het achterhalen van deze aanvallen toont hoe kwetsbaar zelfs professionele cybercriminelen kunnen zijn voor exploitatie door concurrerende staten.

Bron: 1

De Chinese hackergroep Salt Typhoon heeft telecombedrijven in tientallen landen aangevallen, inclusief acht in de Verenigde Staten, waarvan vier aanvallen voorheen onbekend waren. Deze aanvallen, die al één tot twee jaar gaande zouden zijn, betroffen het misbruiken van kwetsbaarheden in de netwerken van telecombedrijven. De groep heeft toegang gekregen tot privécommunicaties en interne systemen van sommige bedrijven, waaronder Amerikaanse telecombedrijven zoals T-Mobile en Verizon. Hoewel de aanvallen zich wereldwijd uitstrekten, is er op dit moment geen bewijs dat vertrouwelijke communicatie van de Amerikaanse overheid is gecompromitteerd. De Amerikaanse overheid heeft maatregelen genomen, waaronder het adviseren van encryptie van communicatie om de impact van deze aanvallen te beperken. Daarnaast zijn er richtlijnen opgesteld voor systeembeheerders om kwetsbare systemen tegen Salt Typhoon te beschermen.

Bron: 1

Roemenië's verkiezingsinfrastructuur werd het doelwit van meer dan 85.000 cyberaanvallen, zo blijkt uit een declassificatie van de Roemeense inlichtingendienst. De aanvallen, die plaatsvonden tussen 19 en 25 november 2024, waren gericht op het verkrijgen van toegang tot gevoelige verkiezingsgegevens, het verstoren van de systemen en het manipuleren van verkiezingsinformatie. De aanvaller maakte gebruik van kwetsbaarheden zoals SQL-injecties en cross-site scripting, en haalde inloggegevens van verkiezingswebsites. Deze gegevens werden vervolgens gelekt op een Russisch cybercriminaliteitsforum. De aanvallen kwamen uit 33 verschillende landen. Daarnaast werd ook een invloedscampagne opgezet, waarbij meer dan 100 Roemeense influencers op TikTok werden ingezet om een kandidaat te promoten. De Roemeense inlichtingendienst wijst op de mogelijkheid van een staatsactor achter de cyberaanvallen, zonder specifiek Rusland te noemen.

Bron: 1

De 43-jarige Russische ingenieur German A. heeft een inreisverbod van twintig jaar gekregen vanwege spionageverdachten bij de Nederlandse chipbedrijven ASML en Mapper. A., die in Nederland werkte voor onder andere ASML en het inmiddels failliete Mapper, wordt beschuldigd van het stelen van bedrijfsinformatie, waaronder documenten over microchips, en deze te hebben doorgespeeld aan Rusland. In ruil hiervoor ontving hij tienduizenden euro's. Het inreisverbod werd opgelegd door Asielminister Marjolein Faber vanwege een dreiging voor de nationale veiligheid. De zaak is verder gecompliceerd doordat de ingenieur ook betrokken was bij de Russische chipindustrie. Het strafproces tegen A. begint maandag in Rotterdam. ASML heeft aangifte gedaan, maar doet verder geen commentaar zolang de rechtszaak loopt.

Bron: 1

Onderzoekers waarschuwen voor een toename van cyberaanvallen door Russische hacktivisten op de Amerikaanse water- en energiesector. Twee groepen, de People's Cyber Army en Z-Pentest, richten zich op kritieke infrastructuren, zoals waterzuiveringsinstallaties en olie- en gasfaciliteiten. In een incident in Texas wisten de aanvallers kleppen van een waterzuiveringsinstallatie te openen, wat onbehandeld water vrijgaf. Deze groepen, die verder gaan dan traditionele DDoS-aanvallen en website-hacks, hebben hun aanvallen gedocumenteerd met video's op sociale media. Z-Pentest heeft onlangs meer dan tien aanvallen geclaimd, waarbij ze controlepanelen in industriële systemen aanvielen. De onderzoekers benadrukken dat de kwetsbaarheid van verouderde systemen en de verkoop van toegangscertificaten op het dark web zorgwekkend zijn. Cybersecurity-experts adviseren organisaties om veiligheidsupdates snel door te voeren en netwerken goed te segmenteren om dergelijke aanvallen te voorkomen.

Bron: 1

De cyberaanvalsgroep UAC-0185 heeft een reeks phishingaanvallen gelanceerd op Oekraïense defensiebedrijven en veiligheidsdiensten. De aanvallers gebruikten e-mails die zich voordeden als officiële communicatie van de Oekraïense Liga van Industriëlen en Ondernemers. De berichten bevatten een valse uitnodiging voor een conferentie over het afstemmen van de Oekraïense defensie-industrie op NAVO-normen. De e-mails bevatten een schadelijke link die, wanneer aangeklikt, malware op de systemen van de slachtoffers installeerde. De Oekraïense cyberdefensieautoriteit CERT-UA ontdekte de aanval en identificeerde UAC-0185 als de verantwoordelijke groep. Deze groep is actief sinds de Russische invasie in 2022 en heeft zich in het verleden gericht op het stelen van inloggegevens en het verkrijgen van ongeautoriseerde toegang tot militaire systemen. De aanval maakt deel uit van een bredere cyclus van digitale dreigingen tegen Oekraïne.

Bron: 1

Electrica Group, een belangrijke speler in de Roemeense elektriciteitsdistributie en -levering, onderzoekt momenteel een ransomware-aanval die nog steeds aan de gang is. Het bedrijf bedient meer dan 3,8 miljoen gebruikers in heel Roemenië, waaronder Transilvania en Muntenia. Hoewel de kritieke systemen niet zijn aangetast, heeft Electrica tijdelijke maatregelen getroffen om de interne infrastructuur te beschermen, aldus CEO Alexandru Aurelian Chirita. De Roemeense autoriteiten werken samen met het bedrijf om het incident te onderzoeken. De SCADA-systemen die het elektriciteitsnet beheren, blijven operationeel en geïsoleerd van de aanval. Deze cyberaanval komt kort na de annulering van de Roemeense presidentsverkiezingen, die werden beïnvloed door een TikTok-campagne gelinkt aan Rusland. De energievoorziening blijft stabiel ondanks de aanval, maar de communicatie met klanten wordt tijdelijk beïnvloed.

Bron: 1

Radiant Capital heeft bevestigd dat Noord-Koreaanse cybercriminelen verantwoordelijk zijn voor een diefstal van $50 miljoen aan cryptocurrency, die plaatsvond na een cyberaanval op 16 oktober 2024. Het hackteam, bekend als Citrine Sleet (ook wel UNC4736 en AppleJeus genoemd), maakte gebruik van geavanceerde malware om de systemen van Radiant te infiltreren. De hackers wisten toegang te krijgen tot de apparaten van drie ontwikkelaars en misbruikten het multi-signatureproces om de gestolen fondsen van de Arbitrum- en Binance Smart Chain-markten te verplaatsen. Radiant ontdekte later dat de aanval begon op 11 september, toen een ontwikkelaar werd misleid om schadelijke software te downloaden via een vervalst Telegram-bericht. Ondanks verschillende beveiligingsmaatregelen en controles werd de aanval succesvol uitgevoerd, wat de hoge mate van vakbekwaamheid van de aanvallers benadrukt. Radiant werkt samen met Amerikaanse wetshandhavers om de gestolen gelden te traceren.

Bron: 1

In het derde kwartaal van 2024 heeft Meta vijf verborgen beïnvloedingsoperaties uit verschillende landen ontmanteld, waaronder India, Iran, Libanon, Moldavië en Rusland. Het rapport benadrukt de voortdurende dreiging van gecoördineerd onauthentiek gedrag (CIB), waarbij nepaccounts worden ingezet om publieke debatten te manipuleren. Sinds 2017 heeft Meta 39 Russische CIB-operaties verstoord, gevolgd door Iran (31 netwerken) en China (11). In 2024 werden 20 nieuwe operaties ontmanteld, verspreid over het Midden-Oosten, Azië, Europa en de VS. Het gebruik van generatieve AI door sommige netwerken werd opgemerkt, maar deze tactieken bleken Meta's vermogen om deze dreigingen te verijdelen niet te belemmeren. Het rapport benadrukt de noodzaak van samenwerking tussen industrieën om deze bedreigingen effectief tegen te gaan door de internetinfrastructuur die deze campagnes ondersteunt, te verstoren.

Bron: 1

De Roemeense nationale directeur cybersecurity (DNSC) heeft bevestigd dat de Lynx ransomware-groep verantwoordelijk is voor een cyberaanval op Electrica Group, een van de grootste energieleveranciers van het land. Electrica, die elektriciteit levert aan miljoenen klanten in Roemenië, meldde dat de aanval werd onderzocht in samenwerking met nationale autoriteiten. Hoewel de aanval sommige systemen verstoorde, bleven kritieke netwerkinfrastructuren en de elektriciteitsvoorziening operationeel. Electrica heeft geen contact gehad met de aanvallers, en het is nog onduidelijk of er losgeld is geëist. De DNSC heeft aanbevelingen gedaan voor andere bedrijven in de energiesector om hun systemen te scannen op mogelijke infecties met behulp van een YARA-script. De Lynx-groep, actief sinds juli 2024, heeft in de afgelopen maanden verschillende bedrijven, vooral uit de energiesector, aangevallen. De autoriteiten benadrukken dat bedrijven nooit losgeld moeten betalen.

Bron: 1

Secret Blizzard, een Russische staatsactor, heeft de tools en infrastructuur van andere hacker-groepen ingezet om aanvallen op Oekraïne uit te voeren. Dit blijkt uit waarnemingen van Microsoft Threat Intelligence. Het gaat hierbij vooral om activiteiten gericht op de download van hun eigen malware op geselecteerde Oekraïense militaire doelen. Zo is er tussen maart en april 2024 gebruikgemaakt van de Amadey-bot malware om achterdeuren, zoals Tavdig en KazuarV2, te installeren. Dit is een vervolgstap na eerdere campagnes vanaf 2022. Secret Blizzard, ook bekend als Turla, Venomous Bear, of Waterbug, maakt gebruik van technologieën als spear-phishing en infrastructuur die het overneemt of inkoopt van andere actoren. Hun strategie richt zich op langdurige toegang tot overheids- en militaire netwerken wereldwijd, met name voor inlichtingenvergaring. Microsoft blijft deze dreiging monitoren en adviseert organisaties hun netwerken te versterken tegen dergelijke geavanceerde aanvallen.

Bron: 1

Volgens het nieuwste Europol-rapport passen terroristen voortdurend hun methoden en narratieven aan om in te spelen op geopolitieke en sociaaleconomische ontwikkelingen. In 2023 registreerde de EU 120 terroristische incidenten, waarvan de meeste jihadistische aanslagen waren. Een groeiende zorg is de werving en betrokkenheid van jongeren bij terroristische groepen, die online propaganda produceren en aanvallen plannen. Daarnaast benutten terroristische organisaties geavanceerde technologieën zoals kunstmatige intelligentie en versleutelde communicatie om hun operaties te versterken en detectie te vermijden. Geopolitieke gebeurtenissen, zoals de Hamas-aanval op Israël in oktober 2023, hebben extremistische narratieven versterkt en anti-semitische en anti-moslim spanningen in de EU doen toenemen. Europol benadrukt het belang van real-time inlichtingen, grensoverschrijdende samenwerking en geavanceerde technologieën om deze evoluerende bedreigingen het hoofd te bieden en de veiligheid van gemeenschappen te waarborgen.

Bron: pdf

Recent onderzoek onthult dat een in Canada geregistreerd financieel bedrijf, Cryptomus, fungeert als betalingsverwerker voor tientallen Russische cryptocurrency exchanges en websites die cybercriminelen diensten aanbieden aan Russisch sprekende klanten. Deze bedrijven gebruiken Cryptomus om cryptogelden om te zetten in contant geld, vaak ten behoeve van het witwassen van geld voor drugshandelnetwerken. Onderzoek naar het adres van Cryptomus in Vancouver toont aan dat er geen fysieke aanwezigheid is van deze bedrijven, ondanks dat het adres geregistreerd staat voor tientallen geldservicebedrijven en cryptocurrency exchanges. Blockchain-analist Richard Sanders ontdekte dat alle onderzochte diensten transacties via Cryptomus verwerken, wat het moeilijk maakt om geldstromen te traceren. Bovendien hebben sancties tegen Russische banken ertoe geleid dat deze exchanges vaker cryptocurrency gebruiken voor internationale betalingen, waardoor het eenvoudiger wordt om de sancties te omzeilen. De Russische overheid heeft recentelijk ook wetten ingevoerd die het gebruik van cryptocurrency legaliseren, wat deze trend verder versterkt.

Bron: 1

Een nieuwe malware genaamd IOCONTROL wordt gebruikt door Iraanse cyberaanvallers om apparaten in het Internet of Things (IoT) en OT/SCADA-systemen te compromitteren, die cruciaal zijn voor de infrastructuur van Israël en de Verenigde Staten. De doelwitten zijn onder andere routers, programmeerbare logische controllers (PLC's), mens-machine interfaces (HMI's), IP-camera's en brandwanden. IOCONTROL is modulair, waardoor het in staat is om verschillende apparaten van diverse fabrikanten aan te vallen. De malware wordt gebruikt voor het verstoren van systemen, zoals tankstations en brandstofbeheersystemen. Deze aanvallen worden toegeschreven aan de Iraanse hackgroep CyberAv3ngers, die zich eerder richtte op industriële systemen. IOCONTROL maakt gebruik van geavanceerde technieken zoals versleuteling en netwerkverkeerverhulling, waardoor detectie lastig is. De aanvallen vonden plaats vanaf eind 2023 en gingen door in 2024.

Bron: 1

Een gerichte cybercampagne heeft verschillende belangrijke organisaties in Zuidoost-Azië getroffen, waaronder overheidsministeries, luchtverkeersleiding, telecommunicatiebedrijven en mediakanalen. Deze aanvallen, die sinds oktober 2023 aan de gang zijn, hebben als doel het verzamelen van inlichtingen. De aanvallers, vermoedelijk verbonden aan Chinese APT-groepen, gebruikten een mix van open-source en "living-off-the-land" tools. Dit omvatte onder andere de rakshasa proxytool, Impacket voor netwerkmanipulatie, en de PlugX Trojan voor externe toegang. De aanvallers benutten legitieme software zoals Bitdefender’s Crash Handler voor DLL sideloading en maakten gebruik van PowerShell, Windows Management Instrumentation (WMI) en andere technieken om detectie te vermijden. Bestanden werden gecomprimeerd met WinRAR en naar cloudopslag geüpload. De langdurige aanwezigheid en doordachte benadering wijzen op een geavanceerde en persistente dreiging.

Bron: 1

De Russische APT-groep Gamaredon heeft twee geavanceerde Android-spywarefamilies geïntroduceerd: BoneSpy en PlainGnome. Deze malware is ontworpen voor uitgebreide surveillance, waaronder het volgen van GPS-locaties, het verzamelen van berichten en oproepgeschiedenis, en het opnemen van omgevingsgeluiden en foto's. BoneSpy bestaat sinds 2021 en is gebaseerd op de open-source app DroidWatcher, terwijl PlainGnome, geïdentificeerd in 2024, gebruik maakt van een twee-fasen installatieproces om de spyware onopgemerkt te laten functioneren. Beide tools worden toegeschreven aan de Russische Federale Veiligheidsdienst (FSB) en worden vooral ingezet tegen slachtoffers in voormalige Sovjetstaten, zoals Oekraïne en andere Russische sprekende landen. Gamaredon maakt gebruik van dynamische DNS-diensten en infrastructuur die verband houdt met Russische hostingproviders. De spyware heeft als doel om spionageactiviteiten uit te voeren en informatie te stelen van doelwitten in deze regio's.

Bron: 1

Een geavanceerde phishingaanval, toegeschreven aan de APT-groep UAC-0185, richt zich op de defensie-industrie van Oekraïne. De aanval maakt gebruik van sociale-engineeringtechnieken, waarbij de aanvallers zich voordoen als de Oekraïense Unie van Industrieel Ondernemers (UUIE). Via valse uitnodigingen voor een NAVO-conferentie worden slachtoffers verleid om kwaadaardige links te openen. Deze links downloaden een bestand dat malware installeert en uiteindelijk een Remote Access Trojan (RAT) genaamd MESHAGENT uitvoert. Dit stelt de aanvallers in staat om gevoelige gegevens te stelen en volledige controle over de systemen te krijgen. De aanval is complex en maakt gebruik van meerdere stappen, waaronder het verbergen van kwaadaardige bestanden als onschuldige documenten. UAC-0185 is al sinds 2022 actief en heeft zich specifiek gericht op militaire en defensiegerelateerde doelen in Oekraïne.

Bron

De Russische telecomwaakhond Roskomnadzor heeft de versleutelde berichtenapp Viber geblokkeerd, onder het mom van schending van nationale wetgeving. De autoriteiten stellen dat de app niet voldoet aan eisen voor informatieverspreiders en mogelijk wordt misbruikt voor terrorisme, extremisme en andere illegale activiteiten. Deze stap volgt op eerdere maatregelen tegen buitenlandse communicatieplatforms, zoals het verbod op gebruik door overheidsinstanties en de blokkade van de Signal-app. Daarnaast werden meerdere VPN-diensten verboden, en technologiebedrijven werden gedwongen om VPN-apps uit hun Russische appstores te verwijderen.

Viber, met wereldwijd honderden miljoenen gebruikers, is een populair communicatiemiddel op zowel desktop als mobiele platforms. In juni 2023 kreeg het bedrijf al een boete van 1 miljoen roebel vanwege het niet verwijderen van door Rusland als illegaal bestempelde inhoud, waaronder informatie over de oorlog in Oekraïne. Deze acties zijn onderdeel van een bredere trend van digitale censuur in Rusland.

Bron

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Environmental Protection Agency (EPA) hebben waterbedrijven gewaarschuwd om hun Human Machine Interfaces (HMI’s) beter te beveiligen. Deze systemen, die operators in staat stellen om industriële processen te monitoren en te besturen, zijn kwetsbaar voor cyberaanvallen wanneer ze blootgesteld worden aan het internet. Criminelen kunnen misbruik maken van onbeveiligde HMI’s door instellingen te manipuleren, alarmen uit te schakelen en toegang voor operators te blokkeren.

Voorbeelden van recente aanvallen tonen aan dat hacktivisten water- en afvalwaterbehandelingsfaciliteiten hebben verstoord door apparatuur buiten veilige parameters te laten functioneren. De CISA en EPA adviseren waterbedrijven om de toegang tot deze systemen te versterken, bijvoorbeeld door het implementeren van betere beveiligingsmaatregelen en het beperken van externe toegang. Onvoldoende beveiliging kan leiden tot operationele verstoringen, zoals het handmatig moeten overnemen van processen.

Bron

Het ministerie van Defensie waarschuwt militairen opnieuw voor de risico’s van datingapps zoals Tinder. Onderzoek toont aan dat honderden militairen via deze apps te traceren zijn. Met nepprofielen wisten onderzoekers gegevens te verzamelen, zoals woonadressen en reisbewegingen. Dit vormt een potentieel veiligheidsrisico, zeker wanneer militairen hun functie of werkgever delen in hun profiel of herkenbaar in uniform poseren.

Hoewel Defensie geen controle heeft over het gebruik van privéapps, benadrukt het ministerie dat het onverstandig is om persoonlijke informatie publiekelijk te delen. Vergelijkbare waarschuwingen zijn al eerder gegeven, onder andere voor fitness- en social media-apps. Het ministerie zet zich in om bewustwording onder militairen te vergroten, zodat de risico’s van onzorgvuldig gebruik van apps beperkt blijven.

Bron

Amnesty International heeft onthuld dat het forensische bedrijf Cellebrite een kwetsbaarheid in Android misbruikt om de beveiliging van smartphones te omzeilen. Dit lek, bekend als CVE-2024-43047, bevindt zich in de Qualcomm DSP-driver en werd eerder in oktober gepatcht. De kwetsbaarheid maakt het mogelijk om code uit te voeren of rechten te verhogen op een apparaat, met een impactscore van 7.8.

Servische autoriteiten gebruikten Cellebrite-tools om toegang te krijgen tot de telefoon van een milieuactivist. Terwijl het apparaat ontgrendeld was, werd geprobeerd spyware genaamd NoviSpy te installeren. Hoewel Google Play Protect deze poging blokkeerde, waren andere activisten minder gelukkig. De spyware kan gevoelige gegevens verzamelen, de camera en microfoon activeren en berichten onderscheppen.

Amnesty waarschuwt dat dergelijke tactieken, vaak zonder toezicht, een groot risico vormen voor activisten en journalisten wereldwijd. Cellebrite ontkent betrokkenheid bij het installeren van malware, maar benadrukt dat het misbruik van hun technologie serieus neemt.

Bron

De Russische veiligheidsdienst (FSB) gebruikt een nieuwe tactiek waarbij Oekraïense tieners worden ingezet voor criminele activiteiten onder het mom van zogenaamde 'quest games'. Deze spellen, die lijken op populaire geolocatiespellen, worden gebruikt om de jongeren taken te laten uitvoeren, zoals het verzamelen van inlichtingen en het uitvoeren van sabotage.

In Oekraïne werden onlangs twee groepen tieners, van 15 en 16 jaar oud, gearresteerd. Onder leiding van de FSB verzamelden zij gegevens over luchtverdedigingsinstallaties en pleegden zij brandstichtingen die strategische doelen van Oekraïne hinderden. De opdrachten werden gepresenteerd als spelelementen, wat het eenvoudiger maakte om de jongeren te manipuleren.

De verzamelde informatie werd via anonieme chatrooms gedeeld met hun FSB-contactpersonen en gebruikt bij luchtaanvallen in Charkov. De Oekraïense veiligheidsdiensten hebben inmiddels ook een Russische politieagent geïdentificeerd die als contactpersoon diende voor de FSB.

Bron

Meerdere Duitse bedrijven zijn recent het doelwit geweest van ddos-aanvallen, volgens een claim van de hackersgroep NoName. Onder de getroffen organisaties bevinden zich AVANCIS GmbH, Bertrandt AG, BONVENTURE, HAUPA GmbH & Co. KG, Leoni AG en LEONINE Distribution GmbH. Dergelijke aanvallen richten zich vaak op het verstoren van de toegankelijkheid van websites door servers te overladen met een groot aantal verzoeken. Dit kan leiden tot operationele verstoringen en financiële schade voor de getroffen partijen. De exacte impact van de aanvallen en de gebruikte technieken zijn nog niet volledig duidelijk, maar dergelijke incidenten onderstrepen de noodzaak van robuuste cyberbeveiligingsmaatregelen. Bedrijven worden geadviseerd om waakzaam te blijven en hun beveiligingssystemen regelmatig te evalueren.

De pro-Russische cybergroep NoName heeft meerdere Duitse bedrijven aangevallen met ddos-aanvallen. Tot de getroffen bedrijven behoren onder andere H3 Grob Aircraft SE, COBUS Industries GmbH, en verschillende Rheinfelden-bedrijven, zoals Aluminium Rheinfelden en Rheinfelden Carbon Products. Ook Auticon, een technologisch bedrijf, is getroffen. Bij ddos-aanvallen wordt een website overladen met verkeer, waardoor deze tijdelijk onbereikbaar wordt. Dit soort aanvallen heeft vaak een verstorend effect op de bedrijfsvoering en kan leiden tot financiële en operationele schade. De aanvallen zijn onderdeel van een bredere trend waarbij kritieke infrastructuur en bedrijven in Europa doelwit zijn van cybercriminaliteit, vaak met geopolitieke motieven.

Een recente onthulling van Amnesty International heeft aangetoond dat de NSO Group’s Pegasus-spionagesoftware werd ingezet om iPhones van Servische journalisten en activisten te infecteren. Deze aanvallen maakten gebruik van een zero-click-exploit in de HomeKit-functie van Apple, waardoor de aanvallers apparaten konden compromitteren zonder enige interactie van de gebruiker. De aanvallen, die in oktober 2023 begonnen, werden uitgevoerd via iCloud-e-mailaccounts die verband hielden met de Pegasus-infrastructuur. Amnesty bevestigde dat de slachtoffers werden besmet met Pegasus, maar had moeite te achterhalen of de aanvallen volledig succesvol waren. De exploit maakte gebruik van een kwetsbaarheid in HomeKit, waarmee aanvallers via iMessage kwaadaardige content naar het apparaat konden sturen, wat hen in staat stelde persoonlijke gegevens te verzamelen en het apparaat te monitoren. Apple werkt aan een oplossing voor deze kwetsbaarheid, en gebruikers wordt aangeraden hun apparaten up-to-date te houden.

Bron

Een cyberespionagegroep bekend als 'Bitter' heeft zich gericht op defensieorganisaties in Turkije met behulp van een nieuwe malwarefamilie genaamd MiyaRAT. Deze malware wordt ingezet naast WmRAT, eerder geassocieerd met Bitter. Volgens Proofpoint is de nieuwe malware waarschijnlijk bedoeld voor hooggewaardeerde doelwitten en wordt deze spaarzaam verspreid. Bitter, vermoedelijk een Zuid-Aziatische groep, is sinds 2013 actief en heeft eerder overheden en kritieke organisaties in Azië aangevallen. In recente aanvallen in Turkije begonnen de cyberaanvallen met phishing-e-mails die een investeringsproject als lokaas gebruikten, waarna schadelijke bestanden werden gedownload. MiyaRAT biedt geavanceerde mogelijkheden zoals data-exfiltratie, remote control en verbeterde encryptie, wat wijst op een verfijnde aanpak. De selectieve inzet van MiyaRAT suggereert dat de groep deze malware bewaart voor strategische doelen, waardoor de blootstelling aan analyse wordt geminimaliseerd.

Bron

Recorded Future, een toonaangevend Amerikaans bedrijf in dreigingsinformatie, is door de Russische overheid aangemerkt als een ‘ongewenste’ organisatie. Dit maakt het de eerste cybersecurityfirma die dit label ontvangt. Volgens de Russische autoriteiten biedt het bedrijf technische ondersteuning en informatie voor Westerse propaganda tegen Rusland en helpt het Oekraïne met gegevens over Russische militaire activiteiten. Recorded Future wordt ook beschuldigd van het leveren van tools om cyberaanvallen op Russische doelen te ondersteunen.

De CEO van Recorded Future, Christopher Ahlberg, reageerde door de designation als een "bijzonder compliment" te beschouwen. Het bedrijf, dat meer dan 1.900 klanten wereldwijd bedient, benadrukt zijn rol in het analyseren van cyberdreigingen en ondersteuning van klanten in 75 landen. Recent werd Recorded Future overgenomen door Mastercard voor $2,65 miljard.

De officiële reacties vanuit het bedrijf blijven beperkt, maar de opmerkelijke Russische stap onderstreept de geopolitieke spanningen in cyberspace.

Bron

Een nieuw rapport van CYFIRMA waarschuwt voor een escalatie van cyberdreigingen gericht op het Verenigd Koninkrijk, uitgevoerd door door de staat gesponsorde Russische actoren en privateer-groepen. Sinds de oorlog in Oekraïne heeft Rusland zijn cyberaanvallen verscherpt, met een focus op kritieke infrastructuur, overheidsinstanties en toeleveringsketens. Belangrijke dreigingsgroepen zoals Sandworm en APT29 worden verantwoordelijk gehouden voor aanvallen op de energie-, transport- en defensiesector. Deze groepen maken gebruik van phishing, ransomware en supply chain aanvallen om gevoelige data te stelen en systemen te verstoren. Ook hacktivisten, zoals Noname057(16) en OVERFLAME, hebben hun activiteiten verhoogd, gericht op Britse financiële en luchtvaartsectoren. De Britse overheid heeft in 2024 al meer dan 430 incidenten gemeld, wat wijst op een toenemende dreiging. De cyberaanvallen van Rusland worden gezien als een van de meest significante dreigingen sinds de Tweede Wereldoorlog.

Bron

De TIDRONE cybergroep, oorspronkelijk gericht op de Taiwanese defensie- en drone-industrieën, heeft zijn activiteiten uitgebreid naar Zuid-Korea. Ze richten zich op Enterprise Resource Planning (ERP)-software, die ze misbruiken om de CLNTEND backdoor malware te installeren. Deze malware, die via een techniek genaamd DLL side-loading wordt verspreid, maakt het mogelijk om malware te verbergen in legitieme programma’s. De aanvallen zijn vooral gericht op kleinere ERP-oplossingen, ontwikkeld door kleine bedrijven, die vaak minder aandacht besteden aan beveiliging. TIDRONE maakt gebruik van aangepaste versies van ERP-software om de malware te verspreiden, wat leidt tot ernstige beveiligingsrisico’s voor getroffen organisaties. De CLNTEND-malware stelt aanvallers in staat om op afstand toegang te krijgen tot systemen en met command-and-control servers te communiceren. Organisaties die ERP-software gebruiken, vooral van kleinere leveranciers, wordt geadviseerd om strengere beveiligingsmaatregelen te implementeren.

De geavanceerde groep Earth Koshchei, vermoedelijk gesponsord door de Russische buitenlandse inlichtingendienst (SVR), voerde een grootschalige aanval uit via het Remote Desktop Protocol (RDP). Hierbij gebruikten ze spear-phishing-e-mails met kwaadaardige RDP-configuratiebestanden om slachtoffercomputers te verbinden met hun eigen servers. Deze techniek stelde hen in staat om data te exfiltreren en malware te installeren. De aanvallen richtten zich op hoge profile sectoren zoals overheden, militaire organisaties en academische instellingen. De aanvallers maakten gebruik van red team-tools, oorspronkelijk ontwikkeld voor ethisch hacken, en voegden daar lagen van anonimisatie toe, zoals VPN's, TOR en residentiële proxies, om hun activiteiten te verbergen. Door gebruik te maken van deze techniek konden ze het slachtoffer onopgemerkt overnemen en gegevens stelen. De campagne was goed voorbereid, met meer dan 200 geregistreerde domeinen en 34 kwaadaardige RDP-servers.

Bron

Het kabinet stelt strengere veiligheidstoetsen in voor meer Nederlandse bedrijven die willen fuseren met of overgenomen worden door buitenlandse partijen. Sinds 2023 geldt de Wet Veiligheidstoets investeringen, fusies en overnames (Wet vifo), waarmee de overheid gevoelige technologie en infrastructuur wil beschermen tegen ongewenste invloed van buitenaf. Nu worden ook sectoren als biotechnologie, kunstmatige intelligentie, nanotechnologie, sensor- en navigatietechnologie en isotopen toegevoegd aan de lijst die onder deze wet vallen. Hierdoor moeten nog meer ondernemingen verplicht langs het Bureau Toetsing Investering (BTI) voordat een deal mag doorgaan.

Volgens de minister van Economische Zaken is deze uitbreiding bedoeld om vitale kennis en technologie binnen Nederland te houden. Het kabinet benadrukt dat het niet gaat om extra handelsbarrières, maar om het voorkomen dat cruciale innovaties in verkeerde handen vallen. Uiteindelijk kan de overheid, indien nodig, fusies of overnames terugdraaien. Het doel is de nationale veiligheid te waarborgen en bedrijven te beschermen tegen strategische risico’s.

Bron

In 2025 blijft de nationale veiligheid onder druk staan door aanhoudende internationale conflicten, spanningen en de dreiging van terrorisme, extremisme en criminele ondermijning. De AIVD werkt steeds meer in een grijs gebied tussen conflict en vrede, waarin landen niet alleen zichtbaar, maar ook onzichtbaar via cyberaanvallen en beïnvloedingsacties opereren.

De oorlog in Oekraïne blijft een bron van zorg, net als de groeiende dreiging vanuit Rusland, dat ook na een eventuele wapenstilstand het Westen als vijand blijft beschouwen. Daarnaast richt de AIVD zich meer op China, dat zich als wereldspeler manifesteert en technologische kennis probeert te vergaren via spionage, met mogelijke gevolgen voor de economische veiligheid.

Ook criminele netwerken vormen een toenemend risico voor de nationale veiligheid, door gewelddadige acties, infiltratie in overheidsdiensten en mogelijke misbruik van regelgeving. De AIVD blijft inzetten op onderzoek en advies, zodat betrokken partijen maatregelen kunnen nemen om de weerbaarheid en de bescherming van belangrijke belangendragers te vergroten.

Bron

De Oekraïense overheid is getroffen door een omvangrijke cyberaanval op cruciale overheidsregisters, die worden beschouwd als essentieel voor het functioneren van de staat. Volgens de Oekraïense minister van Justitie, tevens vicepremier, is dit de grootste aanval van buitenaf op de staatsregisters in recente tijden. Door de aanval liggen verscheidene registers, met daarin persoonsgegevens en bedrijfsinformatie, tijdelijk volledig plat. Deze systemen zijn noodzakelijk voor het verlenen van online publieke diensten en het faciliteren van economische activiteiten.

Om verdere schade te beperken, heeft het ministerie van Justitie besloten de systemen tijdelijk offline te halen. De prioriteit ligt nu bij het herstellen van drie belangrijke databases die privépersonen, ondernemingen en onroerend goed registreren. Verwacht wordt dat het herstel ten minste twee weken in beslag zal nemen. In de tussentijd blijft de dienstverlening beperkt. De Oekraïense autoriteiten vermoeden dat Rusland achter de aanval zit en het incident wil uitbuiten voor desinformatiecampagnes en het zaaien van onrust.

Bron

Op 20 december 2024 heeft de cybercriminelen groep NoName een grootschalige Distributed Denial of Service (DDoS) aanval uitgevoerd op diverse Belgische websites. De getroffen organisaties omvatten prominente bedrijven zoals Umicore, Van Hool, Televic, de luchthaven Antwerpen International Airport, Noordzee Helikopters Vlaanderen, Sabena en Dexia. Deze aanval resulteerde in tijdelijke onbereikbaarheid van de genoemde diensten, wat leidde tot verstoringen in hun dagelijkse operaties. Experts op het gebied van cyberbeveiliging benadrukken dat dergelijke aanvallen steeds geavanceerder worden en roepen bedrijven op om hun beveiligingsmaatregelen te versterken. De impact van deze DDoS-aanval onderstreept de noodzaak voor organisaties om proactief te zijn in het beschermen tegen digitale bedreigingen en het waarborgen van de continuïteit van hun diensten.

Bron

Op 21 december 2024 heeft de groep NoName meerdere websites in België het slachtoffer gemaakt van een DDoS-aanval. De getroffen websites behoren tot diverse overheidsinstanties, waaronder de Waalse Regering, Fédération Wallonie-Bruxelles, en provincies zoals Oost-Vlaanderen, Vlaams-Brabant en Luik. Daarnaast werden ook gemeentelijke websites van Bever, Drogenbos, Kraainem en Linkebeek geblokkeerd. Deze gecoördineerde aanval verstoort de online dienstverlening van deze overheden aanzienlijk en kan leiden tot vertragingen in de communicatie en dienstverlening aan burgers. Autoriteiten onderzoeken momenteel de omvang en de bron van de aanval om verdere incidenten te voorkomen en de beveiliging van overheidswebsites te versterken. Cybersecurity-experts benadrukken het belang van robuuste verdedigingen tegen dergelijke bedreigingen om de continuïteit van essentiële diensten te waarborgen.

Bron

RipperSec heeft een DDoS-aanval uitgevoerd op de website van de Belgische Federale Politie. Volgens een melding van FalconFeeds.io is de site momenteel niet bereikbaar als gevolg van deze cyberaanval. Een DDoS-aanval houdt in dat de server wordt overspoeld met verkeer, waardoor legitieme gebruikers geen toegang meer hebben tot de diensten. De Federale Politie is hierdoor tijdelijk niet in staat haar online diensten aan te bieden, wat de effectiviteit van haar communicatie en operaties kan beïnvloeden. Het is nog onduidelijk wat de motieven van de aanvallers zijn en of er verdere schade is aangericht. De autoriteiten werken aan het herstellen van de website en onderzoeken de bron van de aanval. Cybersecurity blijft een cruciaal aandachtspunt voor overheidsinstanties om dergelijke incidenten te voorkomen en snel te kunnen reageren wanneer ze zich voordoen.

Bron