Cyberoorlog nieuws - Actuele aanvallen

Gepubliceerd op 2 januari 2025 om 16:18

Realtime cyberoorlog nieuws

Sinds de aanval van Hamas op Israël 7 oktober 2023 en de Russische invasie op 24-02-2022 is de cyberoorlog tussen de betrokken partijen significant geëscaleerd. Deze ontwikkeling heeft geleid tot de lancering van een nieuwe sectie op Cybercrimeinfo, genaamd 'Real Time Cyberwar News'. De geopolitieke spanningen zijn niet alleen beperkt tot fysieke confrontaties; zowel de aanval van Hamas op Israël als de Russische invasie hebben een digitale dimensie gekregen, waardoor de cyberoorlog in volle gang is. We hebben jullie sinds de Russische invasie op 24-02-2022 continu geïnformeerd over de cyberoorlog. Echter, door de recente escalatie in Israël is de cyberoorlog behoorlijk toegenomen. De aanvallen variëren van DDoS-aanvallen tot meer geavanceerde methoden zoals spear-phishing en malware-injecties. Om het publiek op de hoogte te houden van deze snel veranderende situatie, biedt de nieuwe 'Real Time Cyberwar News' sectie op Cybercrimeinfo real-time updates en analyses van de lopende cyberoorlog. Vanwege de recente escalatie in Israël zullen we nu dagelijks ook dit nieuws met jullie delen. De escalatie van de cyberoorlog, zowel in het conflict tussen Hamas en Israël als na de Russische invasie, benadrukt het belang van voortdurende waakzaamheid op het gebied van cyberveiligheid. Het is essentieel om op de hoogte te blijven van de laatste ontwikkelingen, en de nieuwe 'Real Time Cyberwar News' sectie dient als een betrouwbare bron voor dergelijke informatie.


Cyberoorlog nieuws


Deze pagina wordt voortdurend bijgewerkt.

Laatste update: 29-01-2025 | Cyberoorlog:

▽JANUARI 2025 ▽

Drie Russisch-Duitse Staatsburgers Beschuldigd van Spionage

Drie Russisch-Duitse staatsburgers, Dieter S., Alexander J., en Alex D., zijn door Duitse aanklagers aangeklaagd wegens spionage en sabotage in opdracht van de Russische geheime dienst. Dieter S. wordt beschuldigd van het verzamelen van informatie over militaire faciliteiten in Duitsland en het voorbereiden van sabotageacties tegen militaire infrastructuur en industrieën. Zijn acties waren gericht op het ondermijnen van de Duitse militaire steun aan Oekraïne.

Dieter S. werkte nauw samen met de andere twee verdachten en stond in contact met een lid van de Russische geheime dienst. Hij zou onder meer transportlijnen voor militaire goederen hebben gescout en informatie hebben overgedragen. Daarnaast werd hij ook aangeklaagd voor zijn betrokkenheid bij een gewapende eenheid van de Volksrepubliek Donetsk.

Deze zaak volgt op soortgelijke beschuldigingen tegen andere individuen die betrokken zijn bij spionage voor buitenlandse diensten.

Bron

Databreach Mossad Zaait Onrust over Nationale Veiligheid

Een vermeende datalek bij de Israëlische inlichtingendienst Mossad heeft geleid tot zorgen over nationale veiligheid. Volgens berichten zou gevoelige informatie uit hun database zijn uitgelekt. Dit zou mogelijk details bevatten over lopende operaties en de identiteit van medewerkers, wat ernstige gevolgen kan hebben voor de internationale betrekkingen en de operationele veiligheid van de dienst.

De Israëlische autoriteiten nemen de claims serieus en zullen een grondig onderzoek starten om de echtheid van de beweringen te verifiëren en verdere schade te beperken. Deze situatie benadrukt opnieuw hoe geavanceerde cyberdreigingen een reële bedreiging vormen voor zelfs de best beveiligde organisaties. Het incident onderstreept de dringende noodzaak van verbeterde cybersecuritymaatregelen om cruciale infrastructuur en gegevens beter te beschermen tegen cyberaanvallen.

▽WK02-2025 (06-01-2025 / 12-01-2025) ▽

China Versterkt Cyberaanvallen op Taiwan

In 2024 voerde China dagelijks gemiddeld 2,4 miljoen cyberaanvallen uit op Taiwan, een verdubbeling ten opzichte van het vorige jaar. Deze aanvallen richten zich voornamelijk op de telecom-, transport- en defensiesectoren, aangezien China Taiwan beschouwt als een afvallige provincie en streeft naar hereniging. De Taiwanese overheid heeft veel van deze aanvallen weten te detecteren en te blokkeren. Een groot aantal van de cyberaanvallen viel samen met Chinese militaire oefeningen rond het eiland, wat wijst op de strategische intenties achter deze digitale aanvallen. De aanvallers maakten gebruik van DDoS-aanvallen, social engineering en malware om toegang te krijgen tot gevoelige informatie en infrastructuur. Het doel lijkt te zijn om politieke en militaire druk uit te oefenen op de Taiwanese regering. China ontkent betrokkenheid bij deze cyberaanvallen, ondanks de herhaalde beschuldigingen van buitenlandse overheden.

Bron

Universitair Onderzoek Registreert 2000 Ransomware-aanvallen op Vitale Infrastructuur

Het CARE Lab van Temple University in Philadelphia heeft in de afgelopen tien jaar meer dan 2000 ransomware-aanvallen geregistreerd tegen vitale infrastructuren wereldwijd. Deze database, die sinds eind 2019 wordt bijgehouden, bevat gegevens over aanvallen tussen november 2013 en december 2024. De informatie is verzameld uit mediaberichten en beveiligingsrapporten. Bijna de helft van de aanvallen vond plaats in de laatste drie jaar. De database biedt gedetailleerde gegevens zoals de naam van het slachtoffer, de datum van de aanval, betrokken ransomwaregroepen en het mogelijk betaalde losgeld. Aanvallers eisen steeds hogere bedragen, vaak in de miljoenen dollars. De database is toegankelijk voor onderzoekers en de bredere gemeenschap, maar toegang wordt geweigerd voor aanvragen via persoonlijke e-mailadressen.

Bron

Grote Cyberaanval Richt Zich op Slovakische Kadaster en Vastgoedregister

Op 8 januari 2025 werd Slovenië getroffen door een grootschalige cyberaanval, gericht op het informatieplatform van het Kadaster, beheerd door de UGKK. Deze systemen worden gebruikt voor het vastleggen en beheren van land- en eigendomsinformatie. In reactie op de aanval werden alle systemen afgesloten, en de kadasterkantoren werkten vanaf 9 januari in beperkte capaciteit. De Slovakische regering onderzocht de mogelijkheid dat de aanval afkomstig was uit Oekraïne, hoewel er nog geen concrete daders zijn genoemd. De aanval heeft geleid tot ernstige verstoringen in openbare diensten, zoals de onmogelijkheid om vastgoedtransacties te voltooien of parkeerbewijzen aan te vragen. Experts wijzen op de enorme impact op de vastgoedmarkt en de realisatie dat het herstel van systemen nu prioriteit heeft. Ondertussen beweert de regering dat er geen risico is voor de integriteit van eigendomsgegevens, aangezien alle gegevens zijn geback-upt.

Bron

Hackergroep claimt Russische vastgoedregister te hebben gehackt

De hackergroep Silent Crow beweert toegang te hebben gekregen tot de database van het Russische kadaster en cartografiebureau. Volgens het onafhankelijke Russische nieuwsplatform Agentstvo bevatte de buitgemaakte gegevens persoonlijke informatie, zoals namen van vastgoedeigenaren, geboortedata, adresgegevens en paspoortinformatie. In totaal zou het gaan om 2 miljard records, waarvan 82 miljoen als bewijs zijn gepubliceerd.

De Russische autoriteiten ontkennen het incident en voeren nader onderzoek uit. De hackers publiceerden hun claim via een Telegram-kanaal dat pas eind december werd aangemaakt. De hack zou een ernstige inbreuk zijn op de privacyregels en brengt het gebruik van dergelijke registers voor het blootleggen van corruptie opnieuw in de aandacht. Dit komt op een moment dat zowel Rusland als Oekraïne regelmatig cyberaanvallen uitvoeren op elkaars staatsinstellingen tijdens de voortdurende oorlog.

Bron

Oekraïense Hackers Vernietigen Russisch Internetnetwerk Nodex

De Oekraïense hacktivisten van de groep Ukrainian Cyber Alliance hebben bevestigd dat ze het Russische internetbedrijf Nodex hebben aangevallen en het netwerk volledig hebben vernietigd. Tijdens de aanval werden gevoelige documenten gestolen en systemen gewist. Nodex, gevestigd in St. Petersburg, gaf op sociale media aan dat de aanval waarschijnlijk uit Oekraïne kwam. Het bedrijf meldde dat hun netwerk was vernietigd en dat ze bezig waren met het herstellen van de diensten, te beginnen met telefonie en klantenservice. De aanval leidde tot grote verstoringen in zowel vaste als mobiele internetverbindingen. Nodex heeft sindsdien enkele systemen hersteld, waardoor internettoegang voor veel klanten is hersteld. De Ukrainian Cyber Alliance heeft in het verleden al meerdere Russische doelen aangevallen, waaronder de Russische defensie en andere staatsinstellingen.

Bron

MirrorFace: De Chinese Cyberespionage Groep die Japan Aanvalt

De MirrorFace-groep, ook wel bekend als "Earth Kasha", richt zich sinds 2019 op Japan met geavanceerde cyberaanvallen. De groep, vermoedelijk gelieerd aan Chinese staatsbelangen, heeft in drie campagnes verschillende kwetsbaarheden uitgebuit. De aanvallen betroffen onder andere de Japanse overheid, media, academische instellingen en strategische industrieën zoals de lucht- en ruimtevaartsector en halfgeleiders.

In de eerste fase (2019-2023) gebruikte MirrorFace spear-phishing-e-mails met malware die Microsoft Office macro's misbruikte. De tweede fase (2023) richtte zich op kwetsbaarheden in netwerksystemen, zoals VPN's en SQL-injecties, en had als doel de industrieën van Japan. In 2024 keerde de groep terug naar e-mailaanvallen, waarbij nieuwe malware en technieken zoals Windows Sandbox werden gebruikt om detectie te omzeilen.

De groep blijft een aanzienlijke dreiging vormen voor de nationale veiligheid en de technologische infrastructuur van Japan.

Bron

Ivanti VPN Kwetsbaarheid Misbruikt voor Spionage

De Ivanti Connect Secure (ICS) VPN-apparaten zijn het doelwit geworden van geavanceerde cyberaanvallen, waarbij de recent ontdekte zero-day kwetsbaarheid CVE-2025-0282 wordt misbruikt. Deze kwetsbaarheid, die een onbevoegde stack-gebaseerde buffer overflow betreft, maakt het mogelijk voor aanvallers om op afstand code uit te voeren en volledige netwerken te compromitteren. Sinds half december 2024 wordt deze kwetsbaarheid actief geëxploiteerd. Mandiant rapporteert dat de Chinese spionagegroep UNC5337 de aanval uitvoert, waarbij geavanceerde malware zoals SPAWNSNAIL en SPAWNMOLE wordt ingezet. De aanvallers gebruiken deze malware voor persistente toegang, laterale bewegingen en datadiefstal. Ze gebruiken onder andere de PHASEJAM-malware, die webshells installeert voor externe toegang. Ivanti heeft patches uitgebracht en adviseert klanten dringend om te updaten naar versie 22.7R2.5 of later, evenals het uitvoeren van een volledige fabrieksreset voor gecompromitteerde apparaten.

Bron

Chinese Hackers vallen Japanse Overheid en Politici Aan Sinds 2019

Sinds 2019 is een Chinese hackinggroep, MirrorFace, actief in Japan met als doel gevoelige informatie te stelen, waaronder technologie en nationale veiligheidsgegevens. De groep heeft meerdere aanvallen uitgevoerd op overheidsinstellingen, politici, en bedrijven in de technologie- en defensiesector. De aanvallen omvatten phishingmails met malware, zoals 'MirrorStealer', en gebruik van kwetsbaarheden in netwerkinfrastructuur van apparaten van merken als Fortinet en Citrix.

MirrorFace heeft verschillende fasen doorgemaakt, waarbij de tactieken varieerden van het gebruiken van kwetsbaarheden in software tot het inzetten van geavanceerde malware om lange termijn toegang tot systemen te behouden. De groep maakt ook gebruik van tools zoals Visual Studio Code tunnels en Windows Sandbox om detectie te vermijden. De Japanse politie waarschuwt organisaties om verdachte activiteiten te monitoren, zoals ongebruikelijke communicatie via VSCode of verdachte zandbakactiviteiten.

Bron

RedDelta Verbreidt PlugX Malware in Espionage-aanvallen op Mongolië en Taiwan

RedDelta, een door de Chinese staat gesteunde cyberdreiging, heeft tussen juli 2023 en december 2024 een aangepaste versie van de PlugX-backdoor verspreid om verschillende Aziatische landen te bespioneren, waaronder Mongolië en Taiwan. De groep richtte zich op overheidsinstellingen, zoals het Ministerie van Defensie van Mongolië en de Communistische Partij van Vietnam, door documenten te gebruiken die als lokmiddelen fungeerden, bijvoorbeeld over de Taiwanese verkiezingen en ASEAN-bijeenkomsten. De aanvallen werden vaak uitgevoerd via phishing en gebruikten geavanceerde technieken zoals DLL-side loading om de malware in systemen te installeren. RedDelta is bekend om het verfijnen van zijn aanvalsmethoden, en in de recente aanvallen werden zelfs Cloudflare's CDN gebruikt om de communicatie tussen de aanvallers en hun servers te verbergen, wat het moeilijker maakt om de aanvalspogingen te detecteren.

Bron

▽WK03-2025 (13-01-2025 / 19-01-2025)▽

Onderzoek naar de impact van desinformatie op de rechtsstaat

De Nederlandse overheid heeft een onderzoek laten uitvoeren naar de gevolgen van desinformatie voor de democratische rechtsstaat. Dit onderzoek, gefinancierd door het ministerie van Binnenlandse Zaken, wordt uitgevoerd door de Wageningen Universiteit, de Universiteit van Amsterdam en Stichting Post-X Society. Het richt zich op de effecten van desinformatie op de publieke ruimte en onderzoekt welke technologische ontwikkelingen zowel de verspreiding als de bestrijding van desinformatie beïnvloeden. Daarbij wordt specifiek gekeken naar de rol van generatieve kunstmatige intelligentie. De onderzoekers benadrukken dat het vaak moeilijk is om te bepalen of informatie feitelijk correct is, aangezien desinformatie vaak een mengeling van waarheden, halve waarheden en verzonnen beweringen bevat. Het onderzoek begon in september 2024 en loopt tot 1 september 2026, met een tussentijdse rapportage halverwege 2025.

Bron

RedCurl APT-groep: Geavanceerde Cyberespionage met Slimme Technieken

De RedCurl Advanced Persistent Threat (APT)-groep, ook wel bekend als Earth Kapre of Red Wolf, is opnieuw actief met spionagecampagnes gericht op Canadese organisaties. Deze groep richt zich niet op geld, maar op het stelen van gevoelige informatie zoals e-mails en vertrouwelijke bedrijfsbestanden.

RedCurl maakt gebruik van “Living-off-the-Land” technieken om onder de radar te blijven, zoals het gebruik van legitieme systeemprocessen om malware uit te voeren. Zo werd bijvoorbeeld pcalua.exe ingezet om schadelijke taken via geplande processen te starten. Ook gebruikt de groep 7zip om gestolen data te versleutelen en via cloudopslag te verzenden. Daarnaast zetten ze Python-scripts in om proxyverbindingen te maken met hun command-and-control servers.

De malware van RedCurl omvat geavanceerde technieken zoals het camoufleren van geplande taken en het manipuleren van Windows-processen. De slachtoffers bevinden zich in sectoren als financiën, toerisme en consultancy. Deze groep blijft een uitdaging voor cybersecurity-experts vanwege hun vermogen om onopgemerkt te blijven.

Bron

APT28 lanceert spionagecampagne met geavanceerde infectieketen

Onderzoekers hebben een nieuwe cyberespionagecampagne ontdekt, genaamd de “Double-Tap Campaign”, uitgevoerd door de Russische groep APT28 (UAC-0063). Deze campagne richt zich op diplomatieke en strategische doelwitten in Centraal-Azië, met een focus op Kazachstan. Door legitieme overheidsdocumenten van het Kazachse ministerie van Buitenlandse Zaken te misbruiken als lokaas, proberen de aanvallers gevoelige informatie te bemachtigen.

De aanvalsmethode bestaat uit twee geïnfecteerde Word-bestanden. Het eerste document bevat macros die, wanneer geactiveerd, leiden tot het downloaden van een tweede bestand dat de kwaadaardige software HATVIBE installeert. Deze backdoor communiceert met Command & Control-servers en kan aanvullende spionagetools uitvoeren, waaronder CHERRYSPY, een geavanceerd Python-script.

De campagne is zeer verfijnd en ontwijkt detectie door geavanceerde technieken, zoals het verbergen van codes in XML-bestanden. Het doel is om strategische informatie te vergaren en de invloed van Rusland in de regio te behouden te midden van geopolitieke spanningen.

Bron

DDoS-aanvallen op Duitse websites door NoName-groep

De pro-Russische hackersgroep NoName heeft meerdere cyberaanvallen uitgevoerd op belangrijke Duitse organisaties. De aanvalsmethode was een DDoS (Distributed Denial of Service), waarbij websites tijdelijk onbereikbaar worden door een enorme hoeveelheid verzoeken te sturen. Onder de getroffen doelwitten bevonden zich onder andere NRW.BANK, S-Bahn Berlin, Bayerische Landesbank en diverse industriële bedrijven zoals COBUS Industries en Aluminium Rheinfelden. Dit soort aanvallen lijkt onderdeel te zijn van een gecoördineerde actie met een politieke ondertoon, gericht op het verstoren van vitale diensten in Duitsland. De incidenten benadrukken wederom het belang van sterke cyberverdedigingsmaatregelen, vooral voor organisaties met een publieke of economische functie.

Noord-Korea stal $659 miljoen aan cryptovaluta in 2024

Volgens een gezamenlijke verklaring van de Verenigde Staten, Zuid-Korea en Japan hebben Noord-Koreaanse hackers in 2024 meer dan $659 miljoen aan cryptovaluta buitgemaakt. De cyberaanvallen zijn gericht op bedrijven in de blockchain- en crypto-industrie. De hackers maken gebruik van geavanceerde social engineering-tactieken en schadelijke software, zoals TraderTraitor en AppleJeus.

Noord-Koreaanse hackers worden verantwoordelijk gehouden voor verschillende crypto-diefstallen, waaronder de aanval op het Indiase WazirX-platform, waarbij $235 miljoen werd gestolen. Ook zouden Noord-Koreaanse IT-werknemers wereldwijd proberen werk te vinden bij techbedrijven door hun identiteit te verhullen.

De betrokken landen waarschuwen bedrijven om waakzaam te zijn bij het aannemen van IT-personeel en bieden tot $5 miljoen aan voor informatie die kan leiden tot de ontmanteling van Noord-Koreaanse cybernetwerken. In totaal zouden Noord-Koreaanse cybercriminelen sinds 2016 al miljarden dollars hebben gestolen.

Bron

Pro-Russische hackers proberen WhatsApp-gegevens te stelen

Volgens Microsoft heeft een hackersgroep met banden met de Russische veiligheidsdienst FSB geprobeerd WhatsApp-gegevens te stelen van werknemers van organisaties die Oekraïne steunen. De aanvallers stuurden phishingmails waarin ze ontvangers uitnodigden om lid te worden van neppe WhatsApp-groepen. Deze berichten leken afkomstig van een Amerikaanse overheidsambtenaar en bevatten QR-codes die zogenaamd extra informatie boden.

Microsoft linkt de aanval aan de cyberspionagegroep Star Blizzard en meldt dat het Amerikaanse ministerie van Justitie, met hulp van Microsoft, sinds oktober 180 gerelateerde websites heeft uitgeschakeld. Of de hackers daadwerkelijk gegevens hebben buitgemaakt, is niet bekend.

WhatsApp benadrukt dat persoonlijke gesprekken beschermd zijn met end-to-end encryptie en adviseert gebruikers alleen op links van vertrouwde contacten te klikken.

Bron

VS Treedt Op Tegen Noord-Koreaanse IT-Fraude

De Amerikaanse schatkist heeft sancties opgelegd aan individuen en bedrijven die gelinkt zijn aan Noord-Korea's Ministerie van Defensie. Deze netwerken genereren illegale inkomsten via IT-werk op afstand. Noord-Korea gebruikt duizenden IT-specialisten die zich voordoen als westerse werknemers om opdrachten binnen te halen, waarbij tot 90% van hun verdiensten naar het regime gaat. Dit geld wordt ingezet voor het financieren van wapens en andere verboden activiteiten.

Naast Noord-Koreaanse frontbedrijven zijn ook Chinese organisaties bestraft die elektronica leverden aan het Noord-Koreaanse defensieapparaat. De sancties blokkeren hun tegoeden in de VS en verbieden transacties met hen. De Amerikaanse overheid looft daarnaast beloningen tot vijf miljoen dollar uit voor informatie die helpt deze illegale operaties te stoppen.

De FBI waarschuwt al jaren voor deze ‘IT-oorlogsmachine’, die misbruik maakt van westerse bedrijven. Sommige Noord-Koreaanse IT-werknemers hebben zelfs ex-werkgevers afgeperst met gestolen bedrijfsgegevens.

Bron

DDoS-aanvallen gericht op Britse websites door NoName

De hackgroep NoName heeft meerdere websites in het Verenigd Koninkrijk aangevallen met een DDoS-aanval. Onder de getroffen doelwitten bevinden zich onder andere de stad Dover, Warrington City, Suffolk Public Rights of Way, en verschillende andere overheids- en gemeentelijke websites zoals East Suffolk Council en Harwich International. Deze cyberaanvallen verstoren de toegankelijkheid van de websites door een enorme hoeveelheid verkeer te genereren, wat leidt tot systeemoverbelasting. Het is nog onduidelijk of er permanente schade is aangericht, maar de getroffen sites ondervinden tijdelijk operationele problemen. DDoS-aanvallen blijven een veelgebruikte tactiek van cybercriminelen om organisaties te verstoren en schade aan te richten zonder fysieke inbraak.

DDoS-aanvallen op websites in Litouwen door NoName-groep

De hacker-groep NoName heeft op 17 januari 2025 verschillende belangrijke websites in Litouwen aangevallen met een DDoS-aanval. De getroffen websites omvatten onder andere het Centrale Informatiesysteem voor Overheidsaanbestedingen, de Litouwse Wegenvereniging, verzekeringsmaatschappijen Compensa en ERGO, en diverse publieke diensten zoals Vilniaus Vandenys en de Kaunas Bus Passagiersdienst. Deze aanvallen, waarbij grote hoeveelheden verkeer naar de websites worden gestuurd om ze te verstoren, lijken een gerichte actie te zijn tegen kritieke infrastructuur en bedrijfsdiensten in Litouwen.

Lazarus APT misleidt werkzoekenden met gevaarlijke sollicitatietrick

De Noord-Koreaanse hackersgroep Lazarus APT heeft een nieuwe aanvalscampagne gelanceerd onder de naam Contagious Interview. Deze campagne richt zich op werkzoekenden via platforms zoals LinkedIn, Telegram en Discord. De hackers doen zich voor als recruiters van bekende bedrijven en lokken slachtoffers naar valse sollicitatiegesprekken.

Een opvallende techniek die ze gebruiken is ClickFix, een methode waarbij slachtoffers worden misleid met nep-foutmeldingen en verificatiestappen. Ze worden gevraagd om specifieke code in te voeren op hun computer, waardoor onopgemerkt malware wordt geïnstalleerd. Dit stelt de aanvallers in staat om gegevens te stelen en toegang te krijgen tot systemen.

De campagne, die sinds eind 2022 actief is, richt zich vooral op softwareontwikkelaars en maakt gebruik van schadelijke software zoals BeaverTail en InvisibleFerret. Werkzoekenden wordt aangeraden extra voorzichtig te zijn bij online sollicitaties en verdachte verzoeken kritisch te beoordelen.

Bron

▽WK04-2025 (20-01-2025 / 26-01-2025 )▽

Cybercriminelen misbruiken AnyDesk voor nepaudits

Het Oekraïense Computer Emergency Response Team (CERT-UA) waarschuwt voor een nieuwe cyberaanval waarbij criminelen zich voordoen als beveiligingsauditors. Ze sturen verzoeken om verbinding te maken via het remote access-programma AnyDesk, zogenaamd om de beveiliging van organisaties te controleren. In werkelijkheid proberen ze gebruikers te misleiden en toegang te krijgen tot systemen.

CERT-UA benadrukt dat zij zelf soms AnyDesk gebruiken, maar alleen na officiële goedkeuring. Slachtoffers moeten het programma geïnstalleerd en actief hebben, en criminelen moeten eerst de AnyDesk-ID van hun doelwit verkrijgen.

Daarnaast meldt Oekraïne een toename van cyberaanvallen in 2024, met meer dan 1.000 geregistreerde incidenten, waarvan de meeste te maken hadden met malware en inbraken. De aanvallen worden toegeschreven aan verschillende cybercriminelen en spionagegroepen, waaronder pro-Russische hackers.

Om risico’s te beperken, adviseert CERT-UA om remote access-software alleen tijdelijk in te schakelen en communicatie via officiële kanalen te laten verlopen.

Bron

🇳🇱 TU Eindhoven en Defensie bundelen krachten tegen cyberaanvallen

De TU Eindhoven gaat een strategisch partnerschap aan met Defensie om de cyberveiligheid in Nederland te versterken. Dit initiatief, genaamd 'de Slimme Reserve', moet ervoor zorgen dat wetenschappers van de universiteit Defensie kunnen ondersteunen bij grootschalige cyberdreigingen. De samenwerking richt zich op civiele toepassingen en niet op de ontwikkeling van wapens.

De aankondiging komt kort nadat de TU Eindhoven zelf werd getroffen door een cyberaanval, al zou dit volgens de universiteit toeval zijn. Door deze aanval lag het onderwijs meerdere dagen stil, maar de universiteit wist de dreiging snel te detecteren en systemen af te sluiten om verdere schade te beperken.

Bestuursvoorzitter Robert-Jan Smits benadrukt de noodzaak van deze samenwerking, gezien de toenemende dreiging van sabotage, cyberaanvallen en desinformatie, met name vanuit landen als Rusland en China. Nederland kan volgens hem niet langer volledig vertrouwen op bescherming door de Verenigde Staten.

Bron

Russische Propaganda Exploiteert Meta’s Advertentiesysteem

Een recent onderzoek onthult hoe een door de EU gesanctioneerde Russische IT-firma, de Social Design Agency (SDA), misbruik maakt van Meta’s advertentiesysteem om desinformatie te verspreiden. De zogeheten Doppelgänger-operatie had als doel publieke opinies te manipuleren door middel van misleidende advertenties en nepnieuwswebsites die legitieme media nabootsen.

Ondanks sancties van de EU, VS en het VK bleef Meta advertenties van de SDA goedkeuren. Deze advertenties, vaak goedgekeurd binnen enkele uren, bereikten miljoenen mensen en ondermijnden steun voor Oekraïne door desinformatie over conflicten te verspreiden. Zo werd kort na de Hamas-aanval in oktober 2023 valselijk beweerd dat Oekraïne wapens aan terroristen leverde.

Het onderzoek wijst op ernstige tekortkomingen in Meta’s handhaving van advertentieregels en naleving van internationale sancties. De onderzoekers benadrukken dat het platform nog steeds kwetsbaar is voor manipulatie door buitenlandse propagandanetwerken.

Bron

Nieuwe OceanLotus Groep onthuld in cyberespionagecampagnes

De New OceanLotus groep, actief sinds medio 2022, heeft zich opnieuw gemanifesteerd in november 2024 en richt zich op kritieke sectoren zoals militaire, energie- en luchtvaartindustrieën in Oost-Azië, Centraal-Azië en Afrika. De groep maakt gebruik van geavanceerde cyberaanvalstechnieken, waaronder zero-day kwetsbaarheden en aanvallen via supply chains. Ze gebruiken ook tools zoals Cobalt Strike om gevoelige informatie van slachtoffers te stelen, waaronder screenshots van geïnfecteerde machines.

De OceanLotus groep maakt gebruik van geavanceerde geheugenresident software voor gegevensdiefstal, zoals trojans die zowel Windows- als Linux-systemen infecteren. Hun aanvallen zijn vooral gericht op strategische informatie, zoals militaire en energiegerelateerde projecten in geopolitiek belangrijke regio’s. De recente heractivatie van de groep lijkt samen te vallen met een cybersecurity-overeenkomst in Zuidoost-Azië, wat kan wijzen op staatssteun.

Bron

GamaCopy: Nieuwe Cyberespionage Groep Doelt op Rusland

Een nieuw opgerichte cyberespionagegroep, GamaCopy, is recent opgemerkt en imiteert de methoden van de bekende Russische groep Gamaredon. GamaCopy richt zich voornamelijk op de Russische defensie- en kritieke infrastructuursectoren, waarbij het militaire documenten als lokmiddelen gebruikt. Deze documenten, verpakt in zelfuitpakkende 7z-bestanden, bevatten scripts die schadelijke payloads leveren. De groep maakt gebruik van UltraVNC, een open-source tool voor remote desktop toegang, die wordt vermomd om detectie te voorkomen.

Hoewel de tactieken van GamaCopy sterk lijken op die van Gamaredon, zijn er enkele verschillen, zoals het gebruik van Russische documenten in plaats van Oekraïense, en het inzetten van andere netwerkpoorten en aanvalsmethoden. GamaCopy is vermoedelijk sinds augustus 2021 actief en heeft een "false flag" operatie opgezet, waarbij het zijn identiteit en doelen zorgvuldig verbergt.

Bron

Massale Gegevenslek in Georgië: Gevaar voor 4 miljoen Burgers

Een enorme databreach heeft de persoonlijke gegevens van bijna de gehele Georgische bevolking blootgelegd. Onderzoekers ontdekten een onbeveiligde Elasticsearch-index in de cloud, die records bevatte van miljoenen Georgische burgers, waaronder ID-nummers, volledige namen, geboortedata, telefoonnummers en andere gevoelige informatie. De gegevens kwamen waarschijnlijk uit diverse bronnen, waaronder overheids- en commerciële datasets. Hoewel de server snel werd offline gehaald, blijft het risico bestaan dat cybercriminelen de informatie misbruiken voor fraude, identiteitsdiefstal of politieke manipulatie. Gezien de geopolitieke spanningen in de regio kan deze datalek verder worden gebruikt voor desinformatie of gerichte aanvallen. De verantwoordelijkheid voor de lekken is onduidelijk, wat het lastig maakt om de getroffen burgers te waarschuwen en gegevensbeschermingswetten af te dwingen. Dit incident benadrukt de noodzaak voor strengere beveiligingsmaatregelen en transparantie in het beheer van persoonlijke gegevens.

Bron

Ransomware-aanval op Stark Aerospace: Gevoelige Gegevens Geëxfiltreerd

Stark Aerospace, een belangrijke leverancier van raketsystemen en luchtdoelwapens voor het Amerikaanse ministerie van Defensie, is het slachtoffer geworden van een ransomware-aanval door de INC-groep. De cybercriminelen beweren 4TB aan gegevens van het bedrijf te hebben gestolen, waaronder broncode, ontwerpplannen, werknemersgegevens en firmware van UAV’s. Deze informatie, die onder andere betrekking heeft op militaire wapensystemen en technologieën voor defensie en surveillance, kan in de verkeerde handen zeer schadelijk zijn. De INC-groep dreigt de gestolen data openbaar te maken of te verkopen, tenzij Stark Aerospace samenwerkt. Dit incident benadrukt de kwetsbaarheid van defensiecontractors voor cyberaanvallen en de risico’s van verlies van gevoelige gegevens aan landen zoals Rusland, China of Noord-Korea.

Bron

Noord-Koreaanse hackers gebruiken RID-hijacking om verborgen beheerdersaccount te creëren

Een Noord-Koreaanse hacker-groep, Andariel, heeft een nieuwe aanvalstechniek ontdekt om verborgen beheerdersaccounts te creëren op Windows-systemen. Deze techniek, RID-hijacking genoemd, maakt misbruik van het Relative Identifier (RID) in de beveiligingsidentificator (SID) van Windows. Door de RID van een account met lage rechten te wijzigen naar een waarde die overeenkomt met die van een beheerdersaccount, krijgen de hackers verhoogde rechten, zonder dat dit direct zichtbaar is voor de gebruiker. Andariel gebruikt aangepaste malware en open-source tools om toegang te krijgen tot het SAM-register, waarna ze een lokaal account aanmaken en de privileges verhogen. Deze techniek is moeilijk te detecteren en stelt hackers in staat om toegang te behouden zonder dat hun aanwezigheid wordt opgemerkt. Beheerders wordt geadviseerd om strikte beveiligingsmaatregelen te nemen om dergelijke aanvallen te voorkomen, zoals het beperken van toegang tot het SAM-register en het implementeren van multi-factor authenticatie.

Bron

▽WK05-2025 (27-01-2025 / 02-02-2025 )▽

De impact van desinformatie op Europa: bedreiging voor democratie?

Desinformatie speelt een steeds grotere rol in de Europese politiek en samenleving. Grote technologiebedrijven, buitenlandse inmenging en sociale media beïnvloeden verkiezingen en publieke opinies. Zo wordt in Groot-Brittannië en Duitsland de invloed van big-tech-miljardairs op stemgedrag onderzocht, terwijl Rusland via desinformatie een hybride oorlog voert. In Roemenië spelen sociale media, zoals TikTok, een belangrijke rol in verkiezingscampagnes.

Europa is een van de weinige continenten die actief probeert nepnieuws te reguleren door beleid en wetgeving. Tijdens een bijeenkomst in Amsterdam bespreken experts wat desinformatie precies is, hoe het democratieën beïnvloedt en of Europese maatregelen effectief zijn. Sprekers zijn onder andere journalist Maurits Martijn, die schrijft over technologie en privacy, en desinformatie-expert Marije Arentz, gespecialiseerd in Russische propaganda. Het doel is om inzicht te geven in hoe nepnieuws werkt en hoe we samen kunnen werken aan een gedeelde werkelijkheid.

Bron

Russische telecomoperator MegaFon getroffen door DDoS-aanval vanuit Oekraïne

De Russische telecomprovider MegaFon is getroffen door een grootschalige DDoS-aanval, uitgevoerd door het Oekraïense Hoofd Inlichtingen Directoraat (HUR). De aanval veroorzaakte aanzienlijke verstoringen in de mobiele communicatie en internettoegang in Moskou, Sint-Petersburg en Centraal-Rusland. Ook andere providers, zoals Yota en NetByNet, ondervonden problemen.

Hoewel MegaFon aanvankelijk beweerde dat het netwerk normaal functioneerde, erkende de Russische communicatiewaakhond Roskomnadzor later dat er sprake was van een storing. Volgens Oekraïense bronnen had de aanval niet alleen impact op telecomdiensten, maar ook op platforms zoals Steam, Twitch en Discord. Deze worden naar verluidt gebruikt door Russische militaire en inlichtingendiensten.

De cyberaanval benadrukt de voortdurende digitale oorlogsvoering tussen Rusland en Oekraïne, waarbij kritieke infrastructuur steeds vaker doelwit wordt.

Bron

Polen beschuldigt Rusland van desinformatiecampagne via darkweb

Een hooggeplaatst lid van de Poolse regering heeft Rusland beschuldigd van pogingen om Poolse burgers via het dark web te rekruteren om desinformatie te verspreiden. Volgens vicepremier Krzysztof Gawkowski worden bedragen tot 4.000 euro geboden aan individuen die bereid zijn om de Poolse presidentsverkiezingscampagne te beïnvloeden.

De wervingspogingen zouden al sinds begin dit jaar plaatsvinden en worden gefinancierd door Russische inlichtingendiensten zoals de GRU en FSB. Polen waarschuwde eerder al voor mogelijke Russische inmenging bij de verkiezingen in mei. Moskou ontkent echter enige betrokkenheid.

Volgens Warschau is Polen een doelwit geworden vanwege zijn strategische rol in de leveringen aan Oekraïne. Eerder meldde Polen dat het een Russische groep had geïdentificeerd die probeerde instabiliteit te veroorzaken. Dit incident past binnen een bredere trend van Russische desinformatiecampagnes in Europa.

Bron

Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen