Overzicht cyberaanvallen week 36-2022

Gepubliceerd op 12 september 2022 om 16:30


Cybercriminelen stelen creditcardgegevens van klanten Intratuin, ziekenhuis Maastricht sluit alle poliklinieken door ICT-storing en InterContinental Hotels Group getroffen door cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ πŸ€”


LAATSTE WIJZIGING: 12-september-2022 | Aantal slachtoffers: 6.147



Week overzicht

Slachtoffer Cybercriminelen Website Land
Our Lady of Lake University AvosLocker ollusa.edu USA
Paul Smiths College AvosLocker paulsmiths.edu USA
hamiota.com LockBit hamiota.com Canada
aralaw.cr LockBit aralaw.cr Costa Rica
canadiansolar.com LockBit canadiansolar.com Canada
TIB Development Bank BlackByte www.tib.co.tz Tanzania
Davin Industries Ltd BlackByte www.davin.co.nz New Zealand
Xybion AvosLocker xybion.com Canada
Ipca Laboratories RansomHouse www.ipca.com India
connectvitypoint.com LockBit connectivitypoint.com USA
marugokiso.co.jp LockBit marugokiso.co.jp Japan
lacalera.pe LockBit lacalera.pe Peru
kisan.com.tr LockBit kisan.com.tr Turkey
diakonissen-riehen.ch LockBit diakonissen-riehen.ch Switzerland
kortrijkserijschool.be LockBit kortrijkserijschool.be Belgium
Ministry of National Education STORMOUS education.gov.dz Algeria
UVT STORMOUS uvt.vn Vietnam
Phu Hung STORMOUS phti.vn Vietnam
BND STORMOUS bnd.vn Vietnam
midway Black Basta www.midwayimporting.com USA
Stratford University AvosLocker www.stratford.edu USA
MGSMFG Black Basta www.mgsmfg.com USA
EMEPLATING Black Basta www.emeplating.com USA
STEVENG Black Basta www.stevenengineering.com USA
SHI Black Basta www.shi.com USA
marcopolohotels.com LockBit marcopolohotels.com Hong Kong
hunters.com LockBit hunters.com UK
California-Oregon Telecommunications Company Hive www.cot.net USA
TeladanPrima Argo Group AvosLocker teladanprima.com Indonesia
Sunland Asphalt And Construction AvosLocker sunlandasphalt.com USA
crownuniform.com Bl00dy crownuniform.com USA
metaage.com.tw LockBit metaage.com.tw Taiwan
misumi.com.tw LockBit misumi.com.tw Taiwan
gavresorts.com.br LockBit gavresorts.com.br Brazil
lafondasantafe.com LockBit lafondasantafe.com USA
tapcocu.org LockBit tapcocu.org USA
monnensenpartners.be LockBit monnensenpartners.be Belgium
pdh.com.tw LockBit pdh.com.tw Taiwan
sbr-zwiesel.de LockBit sbr-zwiesel.de Germany
finnco.eu LockBit finnco.eu Portugal
ADTRANSPORT Black Basta Unknown Unknown
cleantech Black Basta www.cleantech-newyork.com USA
sportscity.com.tw LockBit sportscity.com.tw Taiwan
VANICREAM Black Basta www.vanicream.com USA
kamut.com LockBit kamut.com USA
www3.comune.gorizia.it LockBit www3.comune.gorizia.it Italy
divultec.pt LockBit divultec.pt Portugal
comune-italia.it LockBit comune-italia.it Italy
eneva.com.br LockBit eneva.com.br Brazil
Truckslogic AvosLocker truckslogic.com Panama
peakinternational.com LockBit peakinternational.com Hong Kong
hmets.com LockBit hmets.com Singapore
floresfunza.com LockBit floresfunza.com Colombia

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
kortrijkserijschool.be LockBit In progress Belgium
monnensenpartners.be LockBit monnensenpartners.be Belgium

In samenwerking met DarkTracer


VS leggen Iran sancties op vanwege cyberaanvallen

De Verenigde Staten hebben vrijdag sancties opgelegd aan het Iraanse ministerie van Inlichtingen en zijn minister. Volgens de Amerikanen zijn de Iraniërs betrokken geweest bij een cyberaanval die Albanië in juli trof en bij soortgelijke activiteiten tegen de VS en hun bondgenoten. Albanië verbrak woensdag alle diplomatieke betrekkingen met Iran vanwege het incident en beval dat Iraanse diplomaten en ambassadepersoneel het land binnen 24 uur moesten verlaten. Volgens het Amerikaanse ministerie van Financiën geeft het Iraanse inlichtingenministerie leiding aan verschillende cybernetwerken die onder meer betrokken zijn bij cyberspionage en gijzelsoftware-aanvallen ter ondersteuning van de regering in Irak. 'We zullen de steeds agressievere cyberactiviteiten van Iran niet tolereren', zei onderminister Brian Nelson van Financiën voor Terrorisme en Financiële Inlichtingen in een verklaring. Iran verwerpt de sancties, noemt ze ineffectief en politiek gemotiveerd. 'Net als eerdere illegale sancties van de VS tegen het ministerie van Inlichtingen, zal dit nieuwe label nooit de geringste belemmering kunnen vormen voor de vastberadenheid van de Iraanse veiligheidsdiensten in deze trotse instelling', aldus een woordvoerder van het Iraanse ministerie van Buitenlandse Zaken.


Nieuwe MLF ransomware


Aanvallers stelen creditcardgegevens van klanten Intratuin

Tuincentrumketen Intratuin is getroffen door een cyberaanval. Aanvallers vervingen de betaalpagina van Intratuin die klanten die met een creditcard willen betalen door een malafide pagina. Zo wisten zij creditcardgegevens in handen te krijgen. Intratuin bevestigt de cyberaanval aan Tweakers. De aanval is volgens Intratuin uitgevoerd via automatiseringspartners. Het is onduidelijk om welke partners het gaat. Getroffen klanten zijn via e-mail op de hoogte gesteld van de aanval en het datalek. Ook hebben creditcardmaatschappijen naar verluid actie ondernemen naar aanleiding van de hack. Ook is de Autoriteit Persoonsgegevens geïnformeerd over het datalek. Online creditcardbetalingen zijn door de aanval tijdelijk niet mogelijk bij Intratuin. De aanvallers zouden alle benodigde gegevens in handen hebben gekregen om frauduleuze betalingen uit te voeren. Het gaat daarbij om het creditcardnummer, de naam die aan de creditcard is gekoppeld, de verloopdatum en de ccv.


Microsoft meldt gebruik van encryptietool BitLocker bij ransomware-aanvallen

Een groep aanvallers maakt bij het uitvoeren van ransomware-aanvallen gebruik van Microsofts encryptietool BitLocker, zo laat het techbedrijf zelf in een blogposting weten. Microsoft noemt de groep DEV-0270 en vermoedt dat die vanuit Iran opereert. De groep weet organisaties binnen te dringen via bekende kwetsbaarheden in Exchange Server, zoals het ProxyLogon-lek, en Fortinet FortiOS. Zodra er toegang tot een server is verkregen verkennen de aanvallers eerst de netwerkomgeving en proberen daarna wachtwoorden te bemachtigen. Ook maken ze een account aan om toegang te behouden en schakelen het remote desktopprotocol (RDP) in. Hiervoor wordt ook een aanpassing in de firewall doorgevoerd om RDP-verbindingen toe te staan. De volgende stap in het proces is het uitschakelen van Microsoft Defender Antivirus en zich lateraal door het netwerk bewegen. Als laatste wordt Microsofts BitLocker-tool gebruikt voor het versleutelen van bestanden. Getroffen organisaties moeten vervolgens betalen voor de decryptiesleutel. Hiervoor vraagt de groep volgens Microsoft achtduizend dollar, wat in vergelijking met andere ransomware-aanvallen een zeer laag bedrag is. DEV-0270 is volgens Microsoft een subgroep van een andere groep genaamd Phosphorus die ook vanuit Iran zou opereren. Eind vorig jaar beschreef Microsoft verschillende ransomware-aanvallen die door Phosphorus zouden zijn uitgevoerd en waarbij ook gebruik werd gemaakt van kwetsbaarheden in Exchange Server en bestanden via BitLocker werden versleuteld. Microsoft denkt dat de aanvallen van DEV-0270 mogelijk voor persoonlijk financieel gewin zijn. Om de aanvallen te voorkomen krijgen organisaties het advies om hun Exchange-servers te patchen.


WordPress-sites aangevallen via zerodaylek in BackupBuddy

Aanvallers maken zeker sinds 26 augustus gebruik van een zerodaylek in de plug-in BackupBuddy voor het aanvallen van WordPress-sites. BackupBuddy is een plug-in voor het beheer van back-ups en maakt het eenvoudig om back-ups lokaal of in de cloud op te slaan. De optie om back-ups lokaal op te slaan bevat een kwetsbaarheid (CVE-2022-31474) waardoor een ongeauthenticeerde aanvaller elk bestand op de server kan downloaden. Bij de nu waargenomen aanvallen downloaden aanvallers onder andere bestanden zoals wp-config.php, passwd en .accesshash. De informatie in deze bestanden is te gebruiken om de WordPress-site verder te compromitteren. Sinds 2 september is er een update (versie 8.7.5) die het probleem verhelpt. BackupBuddy claimt dat het sinds 2010 één miljoen WordPress-sites beschermt. Securitybedrijf Wordfence vermoedt dat het aantal actieve installaties rond de 140.000 ligt. Aanvallers maken inmiddels op grote schaal misbruik van de kwetsbaarheid, waarbij Wordfence naar eigen zeggen al zo'n vijf miljoen aanvallen heeft waargenomen. Eigenaren van een gecompromitteerde website wordt aangeraden om hun databasewachtwoord te resetten, alsmede WordPress-salts en andere secrets in wp-config.php.


Nieuwe DoyUk ransomware


Vertrouwelijke NAVO-documenten van Portugal belanden op darkweb na cyberaanval

Honderden vertrouwelijke documenten die door de NAVO naar Portugal zijn gestuurd, zijn op het darkweb te koop aangetroffen na een cyberaanval gericht tegen de generale staf van het Portugese leger en de militaire inlichtingendiensten, zo meldt de krant Diario de Noticias donderdag. “Het was een langdurige en ondetecteerbare cyberaanval, uitgevoerd door bots die geprogrammeerd zijn om dit soort documenten op te sporen,” aldus een van de anonieme bronnen die het online dagblad heeft geciteerd. Eerst zouden de Amerikaanse inlichtingendiensten de aanval hebben opgemerkt. Zij signaleerden dit afgelopen augustus aan de Portugese autoriteiten. Volgens onderzoek kwamen de generale staf van het leger, de militaire inlichtingendienst en een afdeling van het ministerie van Defensie in het vizier van de hackers. Volgens informatie van Diario de Noticias zouden de documenten in kwestie tussen verschillende Portugese diensten zijn uitgewisseld via onbeveiligde communicatielijnen.


Ziekenhuis Maastricht sluit alle poliklinieken door ICT-storing

Het Maastricht UMC+ kan donderdag honderden patiënten niet behandelen. Een ICT-storing heeft het ziekenhuis platgelegd. Alle poliklinieken zijn gesloten. Alleen oncologie en dialyse gaan nog door, zegt een woordvoerder van het ziekenhuis. Geplande opnames van patiënten kunnen wel doorgaan. Het ziekenhuis is telefonisch en digitaal niet bereikbaar. Ook de systemen met patiëntgegevens liggen plat, waardoor consulten en behandelingen nagenoeg onmogelijk zijn. Wat precies de oorzaak van de storing is, kan de woordvoerder niet zeggen. Een crisisbeheerteam probeert erachter te komen wat er aan de hand is. De woordvoerder weet niet of het ziekenhuis gehackt is. Mensen die vergeefs naar het ziekenhuis komen, worden opgevangen en naar huis gestuurd. "Als patiënten denken dat de afspraak op een poli moet doorgaan, kunnen ze wel worden gezien door hun behandelaar", aldus de woordvoerder. Zodra de storing voorbij is, worden nieuwe afspraken ingepland.


Aanvallers kapen bijna 200.000 North Face-accounts via credential stuffing

Aanvallers hebben in juli en augustus van dit jaar bijna 200.000 accounts van The North Face via een credential stuffing-aanval weten te kapen, zo blijkt een datalekmelding die door de procureur-generaal van de Amerikaanse staat Maine openbaar is gemaakt. Twee jaar geleden kreeg de website van het kledingmerk ook al met een credential stuffing-aanval te maken. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. The North Face ontdekte op 11 augustus verdachte activiteit op thenorthface.com. Uit het onderzoek dat volgde bleek dat aanvallers tussen 26 juli en 19 augustus via credential stuffing toegang tot 195.000 accounts hadden gekregen. Naast e-mailadres en wachtwoord van deze gebruikers hebben de aanvallers mogelijk ook adresgegevens, gekochte producten, namen, geboortedata, telefoonnummer, geslacht en klantenkaartgegevens ingezien. Volgens het kledingmerk zijn er geen creditcardgegevens buitgemaakt. Vanwege de aanval is besloten de wachtwoorden van gecompromitteerde accounts te resetten en zijn creditcardtokens verwijderd. Hierdoor zullen deze klanten hun creditcardgegevens opnieuw moeten invoeren. The North Face adviseert klanten om een uniek wachtwoord voor hun account in te stellen en alert te zijn op phishingaanvallen.


Cryptohandelsplatform Bitvavo getroffen door 'caching-incident'

Bitvavo is getroffen door een datalek. Het bedrijf bevestigt in een bericht op Twitter dat het bedrijf een probleem onderzoekt waarbij gebruikers de gegevens van andere klanten konden zien. Bitvavo is een Nederlands handelsplatform waar gebruikers normale valuta kunnen omwisselen voor cryptovaluta zoals de Bitcoin. Bitvavo claimt meer dan 1 miljoen klanten te hebben. Meerdere klanten van Bitvavo melden via NUjij dat zij gegevens van andere klanten te zien hebben gekregen. Klanten zagen de persoonlijke gegevens en financiële tegoeden van andere Bitvavo-klanten. Bitvavo spreekt op Twitter over een 'caching-incident'. Het bedrijf heeft toegang tot zijn app geblokkeerd om te voorkomen dat nog meer klanten de gegevens van anderen te zien krijgen. Omdat het om een datalek gaat, zal Bitvavo naar eigen zeggen melding maken bij de autoriteiten. Het bedrijf belooft ook dat getroffen klanten geïnformeerd zullen worden.


InterContinental Hotels Group getroffen door cyberaanval

InterContinental Hotels, een keten met meer dan zesduizend hotels wereldwijd, is getroffen door een cyberaanval. Daardoor zijn er onder meer reservatieproblemen, ook bij dochterbedrijven Crowne Plaza en Holiday Inn. InterContintental Hotels Group is een van de grootste hotelketens ter wereld. Met iets meer dan zesduizend hotels en zo'n 1.800 hotels in aantocht verspreid over honderd landen. Naast de InterContintental hotels is de Britse multinational ook eigenaar van onder meer Holiday Inn, Crowne Plaza, Regent en Six Senses. Op dinsdag meldde de groep aan de London Stock Exchange dat haar IT-systemen het slachtoffer zijn van 'ongeautoriseerde activiteiten'. Daardoor zijn verschillende boekingsmethodes en andere toepassingen verstoord. Het bedrijf zegt samen te werken met externe specialisten om de cyberaanval te onderzoeken. Veel technische details geeft de hotelgroep niet. Het zegt te werken aan een herstel en de totale impact te bekijken. Het benadrukt ook dat individuele hotels nog steeds kunnen werken en rechtstreekse reservaties kunnen aannemen.


Albanië breekt diplomatieke banden met Iran vanwege cyberaanval

Albanië heeft woensdag besloten om zijn diplomatieke banden met Iran te verbreken. Dat heeft de Albanese premier Edi Rama bekendgemaakt in een persbericht. Tirana beschuldigt Teheran er namelijk van meerdere grote cyberaanvallen tegen het Balkanland uit te voeren. “De ministerraad heeft besloten om de diplomatieke relatie met Iran onmiddellijk te verbreken”, aldus Rama. De Iraanse ambassade in Tirana heeft een officiële melding gekregen waarin wordt gevraagd dat het voltallige ambassadepersoneel binnen de 24 uur vertrekt. Edi Rama beschuldigde Iran ervan op 15 juli achter een “zware cyberaanval tegen de digitale infrastructuur van de Albanese regering” te zitten “met als doel deze te vernietigen”. “Een grondig onderzoek heeft ons duidelijk bewijs geleverd” dat het “georkestreerd en gesponsord” was door Teheran, voegde hij eraan toe.


Nieuwe Ballacks Ransomware


Wachtwoord 700.000 leerlingen en leraren in VS gereset na ransomware-aanval

Wegens een ransomware-aanval op het op één na grootste schooldistrict van de Verenigde Staten zijn de wachtwoorden van bij zo'n 700.000 leerlingen en leraren gereset. Volgens het Los Angeles Unified School District (LAUSD) was de wachtwoordreset de grootste uitdaging waar leerlingen en schoolmedewerkers gisteren mee te maken kregen. Alle belangrijke systemen zijn inmiddels weer online en de eerste schooldag kon zoals gepland gewoon doorgang vinden. Afgelopen weekend raakten systemen van het schooldistrict besmet met ransomware, waardoor de website offline ging, alsmede mailservers en het systeem waarmee leraren lessen publiceren en aanwezigheid bijhouden. Ook diensten voor leerlingen en ouders waren onbereikbaar. Vanwege de ransomware-aanval werd besloten om van 700.000 leerlingen, leraren en andere schoolmedewerkers het wachtwoord van hun lausd.net-account te resetten. "Alle systemen zijn weer operationeel", zegt Soheil Katal chief information officer van het schooldistrict, tegenover LAist. "Het wachtwoord is de sleutel. Ze stellen het wachtwoord in en krijgen toegang tot het netwerk. Zodra ze op het netwerk zitten hebben ze toegang tot de applicaties." Het resetten van 700.000 wachtwoorden zal wegens beperkte bandbreedte echter de nodige tijd in beslag nemen, aldus Katal. De wachtwoordreset is alleen op locaties van het schooldistrict uit te voeren. Dit zorgde volgens het districtsbestuur voor bottlenecks in de ochtend en wachttijden bij de telefonische helpdesk. Het schooldistrict roept alle leerlingen en medewerkers op om hun wachtwoord zo snel mogelijk te veranderen. Vanuit de Amerikaanse overheid krijgt het getroffen schooldistrict allerlei steun. Zo zijn zes FBI-agenten ter plekke om support te bieden.


FBI waarschuwt scholen voor ransomware-aanvallen door Vice Society

De FBI heeft Amerikaanse schooldistricten gewaarschuwd voor ransomware-aanvallen door een groep genaamd Vice Society. De waarschuwing volgt na een ransomware-aanval op het op één na grootste schooldistrict van de Verenigde Staten met meer dan 660.000 leerlingen. Vice Society is volgens de FBI sinds vorig jaar zomer actief en maakt gebruik van varianten van bekende ransomware-exemplaren, waaronder Hello Kitty/Five Hands en Zeppelin. De groep krijgt vermoedelijk via gecompromitteerde inloggegevens en kwetsbaarheden in "internet-facing applications" toegang tot de netwerken van schooldistricten. Om welke applicaties het precies gaat laat de FBI niet weten. Verder maken de aanvallers gebruik van de PrintNightmare-kwetsbaarheid in Windows om hun rechten, zodra ze eenmaal toegang hebben, te verhogen om vervolgens toegang tot de accounts van domeinbeheerders te krijgen. Tevens worden de wachtwoorden van accounts aangepast zodat getroffen organisaties niet eenvoudig de aanval kunnen herstellen. Voordat de aanvallers hun ransomware uitrollen worden eerst allerlei gevoelige gegevens gestolen. Als het getroffen schooldistrict het gevraagde losgeld niet betaalt dreigen de aanvallers deze data openbaar te maken. In de waarschuwing geeft de FBI ook verschillende adviezen om aanvallen te beperken en voorkomen en herhaalt onder andere eerder advies dat organisaties hun medewerkers niet periodiek moeten verplichten om hun wachtwoord te wijzigen.


Groot Amerikaans schooldistrict getroffen door ransomware-aanval

Het op één na grootste schooldistrict van de Verenigde Staten is getroffen door een ransomware-aanval wat voor aanzienlijke verstoringen van de digitale infrastructuur heeft gezorgd. Het Los Angeles Unified School District (LAUSD) telt ruim 660.000 leerlingen en 25.000 leraren. Het district had vorig jaar, mede vanwege corona steun, een budget van 13,8 miljard dollar. Dit weekend raakten systemen van het schooldistrict besmet met ransomware, waardoor de website offline ging, alsmede mailservers en het systeem waarmee leraren lessen publiceren en aanwezigheid bijhouden. Ook diensten voor leerlingen en ouders waren onbereikbaar. Ondanks de omvangrijke verstoring van systemen zullen de scholen in het schooldistrict vandaag gewoon zoals gepland hun deuren openen. Na ontdekking van de aanval bracht het Witte Huis het ministerie van Onderwijs, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland security samen om ondersteuning te bieden. Details over de aanval, zoals hoe de aanvallers wisten binnen te dringen, zijn niet gegeven. In eerste instantie sprak het schooldistrict nog over "technische problemen". Later vandaag wordt er naar verwachting meer informatie gegeven.


Ransomware kost Ierse zorg tientallen miljoenen (niet aan losgeld)

De Ierse gezondheidszorg heeft een forse prijs betaald voor de ransomware-aanval van begin vorig jaar, wat dus niet losgeld voor de afpersers betreft. De kosten zijn opgelopen tot net iets minder dan 52 miljoen euro, blijkt nu. Het leeuwendeel daarvan is voor herstel van de versleutelde en daarmee gegijzelde systemen. Een relatief kleine kostenpost - van nog altijd miljoenen - is voor preventieve maatregelen. Het door de staat gefinancierde HSE (Health Service Executive) heeft nu 51.845.579 euro gespendeerd aan de nasleep van de ransomware-aanval, meldt de Ierse krant The Independent. HSE en daarmee de Ierse gezondheidszorg is in mei vorig jaar hard getroffen door een ransomware-aanval, die volgens de Ierse minister Ossian Smyth de kern van het systeem heeft geraakt. Volgens de bewindsman was het geen staatsgedreven actie, maar een aanval door internationale criminelen die uit zijn op geld. De Ierse premier Micheál Martin heeft toen al gelijk gesteld dat er geen losgeld betaald zal worden, ondanks de ernst van de aanval. De regering heeft aan die weigering vastgehouden en daarmee is de zorg in Ierland een lang herstel tegemoet gegaan. Dat blijkt nu een kostbare operatie te zijn, waarbij 42 miljoen euro is besteed aan het herstellen van getroffen systemen. Die kosten zijn vorig jaar gemaakt en zijn dit jaar opgevolgd door nog eens 9,7 miljoen euro aan maatregelen om herhaling te voorkomen. Het is mogelijk dat die laatste kostenpost nog oploopt, want The Independent schrijft over "9,7 miljoen euro tot op heden" aan preventie. Security-experts wijzen op met name de eerste kostenpost als bewijs voor de hoge kosten van ransomware-aanvallen. Betere bescherming vooraf had wellicht voor minder kosten gezorgd. De HSE heeft wel een uitgebreid rapport over de afpersingsaanval laten opstellen door consultancy PwC. Dat rapport is openlijk vrijgegeven (pdf). Het document bevat naast een tijdslijn van de aanval ook leerzame bevindingen en aanbevelingen, die niet alleen voor de getroffen zorginstelling nuttig zijn. Zo stelt PwC in het rapport dat veel van de kwetsbaarheden die zijn belicht door de Conti-ransomware niet uniek zijn voor de HSE. "Kwesties die zijn geïdentificeerd in dit rapport zullen ook worden aangetroffen in andere organisaties."

Conti Cyber Attack On The Hse Full Report
PDF – 2,0 MB 211 downloads

Loos ransomware-alarm in Microsoft Defender veroorzaakt paniek

Microsoft patcht een bug in Defender die apps ten onrechte identificeert als Hive ransomware payloads. Afgelopen weekend liepen Windows-gebruikers tegen een bug aan in Defender. De antivirusoplossing identificeerde Electron en Chromium workloads als dreigingen. Meerdere gebruikers vernamen dat hun pc was geïnfecteerd met Win32/Hive.ZY malware. De alerts baarden zorgen. Honderden gebruikers zochten hulp op social media en forums. Windows Defender beweerde dat de dreigingen in quarantine waren geplaatst. Na ongeveer twee minuten verscheen de melding opnieuw. De waarschuwingen veroorzaakten verwarring. Meerdere gebruikers controleerden de alerts met third-party tools, waaronder Malwarebytes. De alerts werden getriggerd door populaire apps als Slack, Chrome, Edge, Discord en Spotify. Het starten van een getroffen applicatie activeerde de waarschuwing. Defender beweerde dat de dreiging was opgelost door de applicatie te verwijderen. In werkelijkheid waren de applicaties onaangetast en bleven de alerts binnenkomen. Gebruikers ontdekten dat de bug werd veroorzaakt door een Defender-update van zondag 4 september. Met verloop van de dag publiceerde Microsoft vier updates. De techgigant repareerde de bug uiteindelijk met versie 1.373.1537.0, ongeveer 12 uur nadat het probleem voor het eerst voorkwam. Windows-gebruikers worden geadviseerd om te updaten naar 1.373.1537.0 of een latere versie.


NSA heeft meer dan 10.000 “vicieuze” cyberaanvallen uitgevoerd op Chinese doelwitten, meent Peking

De Chinese regering heeft de National Security Agency (NSA), de beruchte Amerikaanse inlichtingendienst die in opspraak kwam nadat het onder andere Europese politici bespioneerde, ervan beschuldigd duizenden cyberaanvallen te hebben uitgevoerd. Er zou op die manier meer dan 140 gigabyte aan data zijn verzameld, die volgens de Chinese regering van “grote waarde” waren. China beschuldigt de inlichtingendienst er onder andere van een door de overheid gefinancierde universiteit te hebben gehackt, waar onderzoek wordt gedaan naar de ruimtevaart. Het gaat om de Noordwestelijke Polytechnische Universiteit in Xi’an, in de provincie Shaanxi. De aanval zou al in juni zijn uitgevoerd. Uit onderzoek door de Chinese waakhond voor cyberveiligheid (CNCERT) bleek dat de NSA de boosdoener zou zijn. Volgens China zou de NSA de voorbije jaren bovendien meer dan 10.000 “vicieuze” cyberaanvallen hebben uitgevoerd op Chinese doelwitten, waarbij meer dan 140 gigabyte aan belangrijke data werd verzameld. Het nieuws werd bericht door zowel de Chinese staatsomroep als de staatskrant Global Times. Kort nadat het nieuws werd bekendgemaakt, werd dit het meest gelezen onderwerp op Chinese sociale media. Het werd meer dan 210 miljoen keer bekeken op Weibo, het grootste socialmediaplatform van het land. Het is de zoveelste keer dat China de VS ervan beschuldigt cyberaanvallen uit te voeren. Daarbij wijst het ook steeds meer met de vinger naar specifieke Amerikaanse instanties. In het verleden noemde het de VS al een “keizerrijk van hackers” en verwees het naar Edward Snowden, de voormalige werknemer van de NSA die in 2013 geheime documenten over spionageactiviteiten lekte aan de pers. Maar de VS zelf beschuldigt China al langer van hetzelfde. Het land zou in 2021 bijvoorbeeld een grootschalige aanval hebben uitgevoerd, waarbij tienduizenden bedrijven wereldwijd werden getroffen. Recenter heeft de FBI, de binnenlandse inlichtingendienst van het land, westerse bedrijven nog gewaarschuwd dat China massaal hacks zou uitvoeren om intellectuele eigendommen te stelen. Dat zou het doen om de bovenhand te krijgen in een aantal industrieën. Dat alles is opvallend, want beide landen kwamen in 2015 overeen dat de wederzijdse diefstal van intellectuele eigendommen en handelsgeheimen niet getolereerd zal worden. Die afspraak lijkt nu door beide landen steeds minder te worden opgevolgd.


QNAP patcht zero-day gebruikt in nieuwe Deadbolt ransomware aanvallen

QNAP waarschuwt klanten voor aanhoudende DeadBolt ransomware-aanvallen die zaterdag begonnen door misbruik te maken van een zero-day kwetsbaarheid in Photo Station. Het bedrijf heeft de beveiligingsfout gepatcht, maar de aanvallen gaan vandaag door. "QNAP® Systems, Inc. heeft vandaag de beveiligingsbedreiging DEADBOLT gedetecteerd door gebruik te maken van de kwetsbaarheid van Photo Station om QNAP NAS te versleutelen die rechtstreeks met internet zijn verbonden", legt de beveiligingsmelding uit. De aanvallen waren wijdverspreid, waarbij de ID Ransomware-service op zaterdag en zondag een toename van inzendingen zag.


TikTok ontkent te zijn gehackt na reeks screenshots op forum

TikTok ontkent te zijn gehackt nadat een hackersgroep onthullende screenshots zou hebben gedeeld op een forum. Daarop zouden volgens de groep gegevens van gebruikers te zien zijn. Volgens het sociale medium is daar niets van waar. Volgens Bleeping Computer zeggen de hackers de gegevens te hebben verkregen via een server die wordt gebruikt door TikTok. Ze beweren dat er meer dan 790 gigabyte aan gebruikersgegevens, platformstatistieken en broncodes op staat. Een woordvoerder van TikTok laat in een reactie aan The Verge weten dat het platform "geen bewijs heeft gevonden van een inbreuk op de beveiliging". Het bedrijf denkt niet dat gebruikers "veiligheidsmaatregelen moeten nemen". Volgens de woordvoerder zijn de data die de hackers op het forum hebben gedeeld sowieso openbaar. "We kunnen bevestigen dat de data in kwestie openbaar toegankelijk zijn en niet het gevolg zijn van een hack op de TikTok-systemen, -netwerken of -databases", aldus de zegspersoon. De hackgroep, die zichzelf AgainstTheWest noemt, beweert ook gegevens te hebben verkregen van de Chinese berichtenapp WeChat. Dat platform heeft nog niet op de beschuldigingen gereageerd.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


December 2024
November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024