First click here and then choose your language with the Google translate bar at the top of this page ↑
Ferrari getroffen door RansomEXX ransomware, Microsoft waarschuwt voor actief aangevallen zerodaylekken in Exchange Server en Golf van Fargo ransomware-aanvallen raakt Microsoft SQL servers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 03-oktober-2022 | Aantal slachtoffers: 6.350
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Ferrari | RansomEXX | www.ferrari.com | Italy |
| Simex Defence Inc | BlackCat (ALPHV) | simexdefence.com | Canada |
| Aesthetic Dermatology Associates | BianLian | www.adaderm.com | USA |
| Almoayed ICT | BlackByte | almoayedgroup.com | Bahrain |
| Swiss American | BlackByte | swissam.net | USA |
| MultiCare Home Health | Everest | multicareinc.com | USA |
| CBLSYS.CO.UK | LV | cblsys.co.uk | UK |
| PENDULUM ASSOCIATES | BlackCat (ALPHV) | pendulumassociates.com | USA |
| ASSOCIATED RETAILERS LIMITED | BlackCat (ALPHV) | www.arl.com.au | Australia |
| ID-ware | BlackCat (ALPHV) | id-ware.com | Netherlands |
| NJVC | BlackCat (ALPHV) | njvc.com | USA |
| Midwest Petroleum | BlackCat (ALPHV) | mwpetroleum.com | USA |
| seaviewresortkhaolak.com | LockBit | seaviewresortkhaolak.com | Thailand |
| kimed.pl | LockBit | kimed.pl | Poland |
| hriindia.com | LockBit | hriindia.com | India |
| aidsalabama.org | LockBit | aidsalabama.org | USA |
| Mansfield Independent School District (MISD) | Hive | www.mansfieldisd.org | USA |
| toyotaalabang.com.ph | LockBit | toyotaalabang.com.ph | Philippines |
| Tanzania Telecommunications Company | Karakurt | www.ttcl.co.tz | Tanzania |
| Bay Crane | Karakurt | www.baycrane.com | USA |
| Deerberg | Karakurt | www.deerberg.de | Germany |
| Los Angeles Unified School District | Vice Society | www.lausd.net | USA |
| Abdullah Al-Othaim Markets | Karakurt | www.othaimmarkets.com | Saudi Arabia |
| Rick Shipman Construction | Black Basta | www.rickshipman.com | USA |
| Stages Pediatric Care | Everest | stages-pediatric-care.business.site | USA |
| bew.co.th | LockBit | bew.co.th | Thailand |
| samyang.com | LockBit | samyang.com | South Korea |
| Karl Gemünden GmbH & Co. KG | Black Basta | gemuenden-bau.de | Germany |
| Health Care Solutions Group | D0N#T (Donut Leaks) | www.hcsgi.com | USA |
| Evo exhibits | D0N#T (Donut Leaks) | evoexhibits.com | USA |
| DLS Motors | AvosLocker | dlsmotors.com.py | Paraguay |
| Cosmopoint College | AvosLocker | cosmopointcollege.edu | Malaysia |
| Southwell, Inc. | Hive | mysouthwell.com | USA |
| hdhopwood.com | LockBit | hdhopwood.com | Jamaica |
| vitalityhp.net | LockBit | vitalityhp.net | USA |
| Ministerio de Relaciones Exteriores | VSOP (Onyx) | www.minex.gob.gt | Guatemala |
| TAKAO-UK | Hive | www.g-tem.co.uk | UK |
| GFG | Hive | www.fatbrands.com | USA |
| TSMTU | Hive | www.meccanotecnica.us.com | USA |
| JANMARINI | Hive | www.janmarini.com | USA |
| Hendry Regional Medical Center | Hive | www.hrmc.us | USA |
| Ginspectionservices | Cuba | www.ginspectionservices.com | Spain |
| Etna GmbH | Black Basta | www.etna.de | Germany |
| Associated Bag | Black Basta | www.associatedbag.com | USA |
| melorita.com | LockBit | melorita.com | Malaysia |
| Nihonsakari Co. , Ltd | LockBit | nihonsakari.net | Japan |
| yehu.org | LockBit | yehu.org | Kenya |
| multicareinc.com | LockBit | multicareinc.com | USA |
| bliss-d.com | LockBit | bliss-d.com | Japan |
| STADLER | Black Basta | www.stadlerrail.com | Switzerland |
| AES Clean Technology | Black Basta | www.aesclean.com | USA |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| ID-ware | BlackCat (ALPHV) | id-ware.com | Netherlands |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1157 | Nog actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | REvil | 246 | Niet meer actief |
Ferrari getroffen door RansomEXX ransomware
Er zou 7G aan data zijn gestolen zo meldt cybergang RansomEXX op darkweb. Het onder andere om interne documenten, datasheets, reparatiehandleidingen en andere documenten. In feite zijn de gegevens die beschikbaar worden gesteld en gratis kunnen worden gedownload 7 GB. RansomEXX is een cyberbende (ook bekend onder de naam Defray777) die medio 2020 naam begon te maken en verschillende overheidsinstanties andere doelen heeft aangevallen. Onlanngs nog werd bekend dat RansomEXX ook Bombardier consumer products in Canada, Gigabyte moederborden fabrikant in Taiwan en American Megatrends oftewel AMI vooral bekend van de Bios op veel laptops, desktops en servers hebben geransomwared. Ook van deze bedrijven word momenteel de data op de afpersingspagina gratis ter beschikking gesteld. Volgens Erik Westhovens, oprichter van Ransomwared, zijn met name de sourcecodes voor hackers heel interessant omdat ze daarmee nieuwe gerichte aanvallen kunnen plaatsen en misbruik kunnen maken van mogelijke lekken in de hardware.
Microsoft zag in augustus eerste zeroday-aanvallen tegen Exchange-servers
Aanvallen tegen Microsoft Exchange Server waarbij gebruikt wordt gemaakt van twee zerodaylekken, die eerder deze week openbaar werden gemaakt, zijn sinds augustus bij Microsoft bekend. Updates zijn nog altijd niet beschikbaar en het techbedrijf verwacht dat het aantal aanvallen zal toenemen. Volgens Microsoft zijn de twee kwetsbaarheden, waarmee een aanvaller kwetsbare Exchange-servers op afstand kan overnemen, de afgelopen weken op kleine en gerichte schaal gebruikt. Microsoft is naar eigen zeggen bekend met aanvallen tegen minder dan tien organisaties wereldwijd. Bij deze organisaties, waarvan de naam niet is genoemd, werd de Active Directory verkend en data gestolen. De aanvallen zouden het werk van één groep zijn, die vermoedelijk door een staat wordt gesteund. Om Exchange-servers aan te kunnen vallen moet een aanvaller wel over inloggegevens van een e-mailaccount beschikken, maar die zijn op allerlei manieren te verkrijgen, aldus Microsoft. Nadat de aanvallen in augustus werden waargenomen startte Microsoft een onderzoek om te bepalen of er van onbekende kwetsbaarheden gebruik werd gemaakt. Vervolgens werden de twee zerodaylekken in september door het Zero Day Initiative aan Microsoft gerapporteerd. Deze week maakte securitybedrijf GTSC het bestaan van de twee kwetsbaarheden (CVE-2022-41040 en CVE-2022-4108) bekend. Microsoft verwacht dat misbruik van de zerodaylekken nu zal toenemen. In afwachting van een beveiligingsupdate kunnen organisaties verschillende URL-rewrites voor hun Exchange-server instellen, die de huidige aanvallen voorkomen. Verder wordt gebruik van multifactorauthenticatie (MFA) aangeraden en het uitschakelen van legacy authenticatie. Dit moet voorkomen dat een aanvaller met gestolen inloggegevens op de Exchange-server kan inloggen.
Cyberaanvallen op kritieke kwetsbaarheid in Atlassian Bitbucket
Aanvallers maken actief misbruik van een kwetsbaarheid in Atlassian Bitbucket om kwetsbare servers op afstand over te nemen, zo stelt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Bitbucket is een platform van Atlassian dat wordt gebruikt voor de opslag van broncode en ontwikkeling van software. Organisaties kunnen hun eigen Bitbucket-servers hosten en ervoor kiezen om hun code publiek toegankelijk te maken of af te schermen. Eind augustus kwam Atlassian met een update voor een kritieke kwetsbaarheid in Bitbucket (CVE-2022-36804) waardoor een aanvaller willekeurige code op de server kan uitvoeren. Voorwaarde is wel dat de repository met code publiek is, of in het geval van een afgeschermde code repository de aanvaller over leesrechten beschikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Twee weken geleden verschenen details over de kwetsbaarheid op internet. Sinds een week melden verschillendeorganisaties dat aanvallers actief naar Bitbucket-servers zoeken. Dinsdag liet het Belgische federale Cyber Emergency Response Team weten dat er ook exploits voor de kwetsbaarheid beschikbaar ziijn. Het CISA heeft nu daadwerkelijke aanvallen waargenomen en verplicht alle federale Amerikaanse overheidsinstanties die met Bitbucket werken om de beschikbaar gestelde update voor 21 oktober te installeren.
WARNING: An exploit kit is now available for CVE-2022-36804 affecting @Atlassian @Bitbucket Server and Data Center. More information on https://t.co/ccK9ng8j58
— CERT.be (@certbe) September 27, 2022
If you haven't done so already, it's time to #patch #patch #patch https://t.co/fytm6ZEGiw
With quite a few PoCs for @Atlassian @Bitbucket CVE-2022-36804 pre-auth command injection RCE published, not surprisingly picked up first exploitation attempts in our honeypot sensors today. Patch!
— Shadowserver (@Shadowserver) September 23, 2022
NVD entry: https://t.co/umz8fG7Eag
Patch info: https://t.co/ykx0xi3hhu
Nieuwe malware infecteert wereldwijd verschillende architecturen en besturingssystemen
Er is een nieuwe malware-variant ontdekt die geschreven is in de programmeertaal Go en verschillende platformen op hardware- en softwareniveau kan infecteren. In september zijn er wereldwijd meer dan 111 nieuwe systemen besmet, die een netwerk vormen dat ook andere malware kan verspreiden. Black Lotus Labs, onderdeel van beveiligingsbedrijf Lumen, ontdekte de malware die Chaos genoemd wordt en analyseerde deze. De onderzoekers noemen het het Zwitserse zakmes van malware, vanwege de veelzijdigheid. De malware is ontworpen om op de cpu-architecturen x86, arm, mips en PowerPC gebruikt te worden. Windows, Linux en FreeBSD zijn de besturingssystemen die vatbaar zijn. Sinds 16 april zijn er computers, routers en grote enterprise-servers besmet door het uitbuiten van bekende CVE-kwetsbaarheden, zoals van Huawei en Zyxel. De meeste van de ip-adressen bevinden zich in Europa en met name in Italië, met kleinere aantallen in Noord- en Zuid-Amerika en Azië. De onderzoekers vermoeden dat het netwerk vooral gebruikt wordt voor ddos-aanvallen. Er zijn zelf-ondertekende certficaten gevonden, en de emulator die gedraaid wordt ontving meerdere ddos-commando's gericht op ongeveer 25 verschillende organisaties. Er is geen kant-en-klare oplossing om besmetting met de malware tegen te gaan, maar Lumen raadt aan wachtwoorden veilig te houden, root-toegang zoveel mogelijk uit te schakelen en de firmware van apparaten up-to-date te houden.
Microsoft waarschuwt voor actief aangevallen zerodaylekken in Exchange Server
Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren. Een beveiligingsupdate is nog niet beschikbaar. Organisaties kunnen echter mitigerende maatregelen nemen om hun Exchange-servers te beschermen. De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is. Bij de waargenomen aanvallen werd eerst CVE-2022-41040 gebruikt om vervolgens via CVE-2022-41082 code op de Exchange-server uit te voeren. Om beide kwetsbaarheden te kunnen misbruiken moet een aanvaller geauthenticeerde toegang tot de Exchange-server hebben, bijvoorbeeld via een gecompromitteerd e-mailaccount. Zodra aanvallers een Exchange-server hebben gecompromitteerd installeren ze een webshell om toegang te behouden en verdere aanvallen uit te voeren, zo meldt securitybedrijf GTSC dat de zerodays ontdekte. Volgens beveiligingsonderzoeker Kevin Beaumont is een groot aantal Exchange-servers via de kwetsbaarheden van een backdoor voorzien. Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen. Verder kan ook het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3.
🚨 There’s reports emerging that a new zero day exists in Microsoft Exchange, and is being actively exploited in the wild 🚨
— Kevin Beaumont (@GossiTheDog) September 29, 2022
I can confirm significant numbers of Exchange servers have been backdoored - including a honeypot.
Thread to track issue follows:
Nieuwe 'Wizard' Ransomware
Wizard Ransomware; Extension: .wizard; Ransom note: decrypt_instructions.txthttps://t.co/EOMvkNJjNI@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) September 28, 2022
Fast Company haalt website offline na hack op CMS-systeem
Het Amerikaanse zakenmagazine Fast Company heeft de eigen website offline gehaald nadat een aanvaller toegang tot het contentmanagementsysteem (CMS) wist te krijgen en beledigende teksten op de website zelf en onder volgers van Fast Company op Apple News verspreidde. De aanvaller beweert dat hij via een eenvoudig wachtwoord van acht karakters op de CMS-installatie kon inloggen. Het in 1995 gelanceerde Fast Company claimt dat het maandelijks 12,3 miljoen unieke bezoekers heeft. Op Twitter telt het zakenmagazine 2,3 miljoen volgers. In een verklaring op de eigen website stelt Fast Company dat het de aanvaller eerst lukte om zondag toegang tot het CMS-systeem te krijgen, waarna dinsdag de berichten naar volgers op Apple News werden verstuurd. Sindsdien is de website offline. Op een forum claimt de aanvaller dat hij via een "zeer eenvoudig standaardwachtwoord" van acht karakters toegang tot de WordPress-installatie van Fast Company wist te krijgen. De aanvaller merkt op dat hij het ip-adres van de WordPress-installatie vond en zo de "HTTP basic auth" kon omzeilen. Daardoor was alleen het WordPress-wachtwoord voldoende om in te loggen. Dit wachtwoord zou daarnaast voor tientallen accounts zijn gebruikt, waaronder het beheerdersaccount. Vervolgens lukte het de aanvaller om vanuit de WordPress-installatie Auth0-tokens, Apple News API-keys en Amazon Simple Email Service (SES) secrets te stelen. Met deze gegevens kon de aanvaller onder andere berichten via Apple News verspreiden. Verder claimt de aanvaller dat hij duizenden records met informatie over FastCompany-medewerkers in handen heeft gekregen. Fast Company heeft zelf geen informatie gegeven over hoe de inbraak kon plaatsvinden.
Cybercriminelen stelen broncode authenticatieplatform Auth0
Een onbekende partij is erin geslaagd om de broncode van authenticatieplatform Auth0 in handen te krijgen, zo heeft het bedrijf, dat sinds vorig jaar eigendom van authenticatieprovider Okta is, bekendgemaakt. In een zeer summiere verklaring maakt Auth0 melding van een beveiligingsincident met code repositories van oktober 2020 en eerder. Het bedrijf werd vorige maand benaderd door iemand die liet weten dat hij over bepaalde Auth0 code repositories beschikte. Softwareontwikkelaars gebruiken repositories voor de opslag van broncode van hun projecten. Na te zijn benaderd stelt Auth0 dat er twee onderzoeken zijn ingesteld. Deze onderzoeken hebben geen bewijs gevonden dat er ongeautoriseerde toegang tot de omgevingen van Auth0 of van klanten hebben plaatsgevonden. Ook is er geen bewijs aangetroffen voor de diefstal van data of permanente toegang tot de repositories. Auth0 spreekt echter wel van een beveiligingsincident en heeft ook justitie gewaarschuwd. Daarnaast zijn er maatregelen genomen om ervoor te zorgen dat de betreffende code niet kan worden gebruikt om toegang tot de omgevingen van het bedrijf of klanten te krijgen. In de verklaring stelt Auth0 dat er geen bewijs is gevonden voor ongeautoriseerde toegang en diefstal van data. Er wordt niet gezegd dat er geen ongeautoriseerde toegang heeft plaatsgevonden, zo laat iemand op Twitter weten. Het authenticatieplatform van Auth0 verwerkt naar eigen zeggen dagelijks tientallen miljoenen inlogpogingen voor tweeduizend bedrijven, waaronder Subaru, Sharp, Siemens, Zalando, Capcom, Securitas, AMD, Generali, Blackboard en Electrolux. Auth0 werd vorig jaar voor 6,5 miljard dollar door Okta overgenomen.
No, it said that there was no *evidence* of unauthorised access. It didn't say there was no unauthorised access.
— Performative Normality (@normonaut) September 28, 2022
Malafide vacatures voor cryptobeurs Crypto.com bevatten macOS-malware
Aanvallers maken gebruik van malafide vacatures voor cryptobeurs Crypto.com om macOS-gebruikers met malware te infecteren, zo stelt securitybedrijf SentinelOne. Eerder ontdekte antivirusbedrijf ESET een soortgelijke campagne, alleen dan met malafide vacatures voor cryptobeurs Binance. Volgens SentinelOne is de Lazarus-groep verantwoordelijk voor de malware. Deze groep zou vanuit Noord-Korea opereren en wordt verantwoordelijk gehouden voor inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt. Potentiele doelwitten worden zeer waarschijnlijk via LinkedIn benaderd en krijgen vervolgens het malafide bestand toegestuurd. De gebruikte bestanden zijn niet versleuteld of geobfusceerd om detectie of analyse te bemoeilijken. Dat suggereert volgens SentinelOne dat het mogelijk om een kortlopende campagne gaat of de aanvallers niet bang zijn dat hun doelwitten de aanval detecteren. Daarnaast zijn de bestanden "ad hoc" gesigneerd, waardoor ze door de controle van Apples Gatekeeper komen, ook al is het bestand niet gelinkt aan een ontwikkelaar voorzien van een door Apple uitgegeven ontwikkelaarscertificaat. Eenmaal geopend krijgt het slachtoffer als afleiding een pdf-document met een vacature te zien. In de achtergrond wordt echter de malware geïnstalleerd. Deze malware kan aanvullende malware installeren en wacht op verdere instructies van de aanvallers. Eerder dit jaar maakte de Lazarus-groep gebruik van zogenaamde vacatures van Lockheed Martin. Deze tactiek blijkt succesvol. In 2020 werd bekend dat een niet nader genoemd cryptobedrijf het slachtoffer van een aanval was geworden nadat een systeembeheerder een malafide vacature van de Lazarus-groep had geopend.
#ESETresearch #BREAKING A signed Mac executable disguised as a job description for Coinbase was uploaded to VirusTotal from Brazil 🇧🇷. This is an instance of Operation In(ter)ception by #Lazarus for Mac. @pkalnai @dbreitenbacher 1/7 pic.twitter.com/dXg89el5VT
— ESET research (@ESETresearch) August 16, 2022
Golf van Fargo ransomware-aanvallen raakt Microsoft SQL servers
Securityexperts waarschuwen voor een golf van ransomware-aanvallen op Microsoft SQL servers. Hackers misbruiken kwetsbaarheden in internet-facing servers om de Fargo-ransomwarevariant te verspreiden. In februari waarschuwde website BleepingComputer voor een reeks vergelijkbare aanvallen op Microsoft SQL servers. Een tweede golf vond plaats in juli. Beiden incidenten waren gebaseerd op Cobalt Strike. Microsoft SQL servers functioneren doorgaans als databasemanagementsysteem (DBMS). De servers slaan gevoelige gegevens op met betrekking tot tal van internetapps en -diensten. Microsoft SQL Server is een van van de populairste DBM-systemen voor enkelvoudige en grootschalige apps. Aanvallen op SQL-servers kunnen tot kritieke incidenten leiden. Hackers wisten onlangs servers te kapen om bandbreedte te stelen voor proxy-diensten, waardoor een nieuwe golf van aanvallen op gang kwam. De cybercriminelen chanteerden en bedreigden databasebeheerders om geld te verdienen. De databaseservers werden gecompromitteerd met behulp van brute-force aanvallen op zwakke inloggegevens. Ook ongepatchte kwetsbaarheden vergroten de kans op een hack. Slachtoffers worden gechanteerd met gelekte bestanden totdat ze het losgeld betalen. Volgens beveiligingsexperts van securitybedrijf ASEC is Fargo een van de gevaarlijkste en populairste vormen van ransomware onder aanvallers van Microsoft SQL servers. De ransomwarevariant is ook wel bekend als Mallox, aangezien het programma een .mallox-extensie vastmaakt tijdens de bestandsversleuteling. Fargo is een file-encrypting malwarevorm. De infectie begint met Microsoft SQL-processen. De variant kaapt systemen door een .NET bestand te downloaden met powershell.exe- en cmd.exe-extensies. De payload haalt aanvullende malware binnen terwijl het een BAT-bestand genereert en uitvoert dat diensten en processen beëindigt. De ransomware injecteert zichzelf automatisch in AppLaunche.exe, een Windows-proces. Vervolgens probeert het de registry key te wissen die voor ransomwarepreventie wordt gebruikt. Daarnaast voert de ransomware commands uit om database-gerelateerde processen te beëindigen. Kritieke mappen met opstartbestanden, browsers en gebruikersgegevens worden niet aangetast, aangezien de hackers willen voorkomen dat het systeem volledig onbruikbaar wordt. Uiteindelijk hernoemt de ransomware de vergrendelde bestanden als ‘.Fargo3’ terwijl het een losgeldbrief genereert met de naam ‘RECOVERYFILES.txt’. Experts adviseren om sterke en unieke inloggegevens te implementeren, systemen up-to-date te houden en patches voor beveiligingsproblemen toe te passen.
LockBit 3.0: Decryptor Analyse
Cybercriminelen eisen 1 miljoen dollar losgeld voor data van miljoenen Optus-klanten
Een aanvaller die claimt verantwoordelijk te zijn voor de inbraak bij de Australische telecomprovider Optus, waarbij de informatie van meer dan negen miljoen klanten werd gestolen, eist 1 miljoen dollar losgeld. De Australische politie is inmiddels samen met internationale opsporingsdiensten een onderzoek gestart. De datadiefstal zou via een onbeveiligd API-endpoint van Optus hebben plaatsgevonden. Daarbij werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers gestolen. De aanvaller heeft een deel van de gegevens gepubliceerd en volgens de Australische journalist Jeremy Kirk lijken die echt bij Optus vandaan te komen. "We zijn bekend met berichten dat gestolen data op het darkweb wordt verkocht en daarom monitort de Australische politie door middel van een reeks speciale mogelijkheden het darkweb. Criminelen die pseudoniemen en anonimiseringstechnologieën gebruiken kunnen ons niet zien, maar ik kan je vertellen dat wij hen wel zien", zegt Justine Gough van de Australische politie. Optus heeft een sms en e-mail gestuurd naar klanten van wie de identiteitsdocumenten zijn gecompromitteerd. Daarnaast biedt het bedrijf deze klanten een jaar lang gratis kredietmonitoring. Daarbij herhaalt de telecomprovider dat het in de communicatie richting klanten geen gebruikmaakt van links, omdat criminelen zeer waarschijnlijk het incident voor phishingaanvallen zullen gebruiken.
UPDATE: I reached the person who claims to have hacked Optus. I've also been contacted by a second, separate source who says the hacker's version of events is approximately correct. Here's what they said. #OptusHack #infosec #auspol
— Jeremy Kirk (@Jeremy_Kirk) September 24, 2022
Nieuwe Wanqu ransomware
Wanqu Ransomware; Extension: .Wanqu; Ransom notes: RESTORE_FILES_INFO.hta and RESTORE_FILES_INFO.txthttps://t.co/tiYMc9C4mw@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) September 26, 2022
E-mailaccounts personeel American Airlines gebruikt voor phishingaanvallen
Aanvallers zijn erin geslaagd om e-mailaccounts van American Airlines-medewerkers over te nemen, om daarmee vervolgens phishingmails te versturen. Dat laat de grootste luchtvaartmaatschappij ter wereld weten. Eerder deze maand waarschuwde American Airlines klanten en medewerkers voor een datalek, nadat verschillende medewerkers in een phishingmail waren getrapt. Het bedrijf heeft in een brief aan de procureur-generaal van de Amerikaanse staat New Hampshire iets meer details over de aanval gegeven (pdf). De aanval werd ontdekt nadat verschillende personen lieten weten dat ze phishingmails van een American Airlines-account hadden ontvangen. Verder onderzoek wees uit dat de aanvaller verschillende Microsoft 365-accounts van de luchtvaartmaatschappij had gecompromitteerd en gebruikt voor phishing. Volgens American Airlines maakte de aanvaller gebruik van het IMAP-protocol om de mailboxes te benaderen, waarin ook persoonsgegevens stonden. "Het gebruik van dit protocol maakte het mogelijk voor de aanvaller om de inhoud van de mailboxes naar een ander apparaat te synchroniseren." Dit zou echter niet het doel van de aanval zijn geweest, aldus de brief aan de procureur-generaal. De aanvaller zou het IMAP-protocol hebben gebruikt om toegang tot de accounts te krijgen en zo verdere phishingmails te versturen. Verder zou de aanvaller mogelijk ook toegang tot bepaalde bestanden op een SharePoint-site voor personeel hebben gekregen. American Airlines denkt dat de kans op misbruik van gestolen identiteitsgegevens klein is. Het datalek zou 1700 klanten en medewerkers hebben getroffen. Die krijgen twee jaar lang gratis kredietmonitoring aangeboden. Ook heeft de luchtvaartmaatschappij aangegeven dat het aanvullende beveiligingsmaatregelen gaat nemen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language