First click here and then choose your language with the Google translate bar at the top of this page ↑
Microsoft meldt gerichte aanvallen met nieuwe Prestige-ransomware, Amerikaanse websites vliegvelden doelwit van Russische hackers en Chinese hackers kosten Belgische Defensie al 2,25 miljoen euro. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 17-oktober-2022 | 10:27 | Aantal slachtoffers: 6.460
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| HUSSEY GAY BELL | BlackCat (ALPHV) | husseygaybell.com | USA |
| Murphyfamilyventures | Cuba | www.murphyfamilyventures.com | USA |
| Döhler | BlackCat (ALPHV) | www.doehler.com | Germany |
| tokaisolidtire.com | LockBit | tokaisolidtire.com | Thailand |
| castemark.tw | LockBit | castemark.tw | Taiwan |
| kingteam.com.tw | LockBit | kingteam.com.tw | Taiwan |
| eeckman.eu | LockBit | eeckman.eu | Belgium |
| Quantumce.com | LockBit | quantumce.com | USA |
| centurion.com.pl | LockBit | centurion.com.pl | Poland |
| oomiya.co.jp | LockBit | oomiya.co.jp | Japan |
| groupesavoie.com | LockBit | groupesavoie.com | Canada |
| eureka-puzzle.eu | LockBit | eureka-puzzle.eu | Belgium |
| Air Defense Solutions company | Everest | Unknown | USA |
| mk.co.th | LockBit | mk.co.th | Thailand |
| tamhash.co.il | LockBit | tamhash.co.il | Israel |
| heronconstruction.co.nz | LockBit | heronconstruction.co.nz | New Zealand |
| villajuris.be | LockBit | villajuris.be | Belgium |
| kilvington.vic.edu.au | LockBit | kilvington.vic.edu.au | Australia |
| bankruptcypa.com | LockBit | bankruptcypa.com | USA |
| API MDC Technical Research Centre Sdn Bhd | Mallox | Unknown | Malaysia |
| Aerotech Precision Manufacturing | Mallox | www.aero-tech.co.uk | UK |
| Wellington College Hangzhou | Mallox | hangzhou.wellingtoncollege.cn | China |
| Canny Elevator Co Ltd | Mallox | canny-elevator.com | China |
| RecordTV | BlackCat (ALPHV) | recordtv.r7.com | Brazil |
| Jam Filled Entertainment | BlackCat (ALPHV) | www.jamfilled.com | Canada |
| nelsonautohaus.com | LockBit | nelsonautohaus.com | Thailand |
| ZIGI NY | Ragnar_Locker | www.ziginy.com | USA |
| www.projectredirectdc.org | VSOP (Onyx) | www.projectredirectdc.org | USA |
| CSW GmbH | Black Basta | www.cswgmbh.de | Germany |
| ALFATECH | Black Basta | www.atce.com | USA |
| AMPORTS | Black Basta | www.amports.com | USA |
| martel.es | LockBit | martel.es | Spain |
| Michael Sullivan & Associates | Black Basta | www.sullivanattorneys.com | USA |
| SMART Mechanical Solutions | Black Basta | www.holadayparks.com | USA |
| Quality Telecom Consultants Inc | Black Basta | www.qualitytelecominc.com | USA |
| bigcenters.rs | LockBit | bigcenters.rs | Serbia |
| mtrx.com | LockBit | mtrx.com | USA |
| Hiersun Jewelry Co Ltd | Karakurt | www.hiersun.com | China |
| Infinitum | Karakurt | infinitum.gr | Greece |
| Energy Transfer Durafin Tubes | Karakurt | durafintube.com | USA |
| Consorci Sanitari Integral & Geseme | RansomEXX | www.csi.cat | Spain |
| Regulatory Authority for Telecommunications and Posts (ARTP) | Karakurt | artp.sn | Senegal |
| Municipalidad de belen | Karakurt | belen.go.cr | Costa Rica |
| TMShipping | Vice Society | www.tmshipping.com | USA |
| HALYVOURGIKI.S.A. | Vice Society | www.halyvourgiki.com | Greece |
| Marist College Ashgrove | Vice Society | www.marash.qld.edu.au | Australia |
| Pate's Grammar School | Vice Society | www.patesgs.org | UK |
| Test Valley School | Vice Society | www.testvalley.hants.sch.uk | UK |
| Mars Area School District | Vice Society | wwww.marsk12.org | USA |
| The Hibbert Group | BlackCat (ALPHV) | hibbert.com | USA |
| DMCI Holding | Ragnar_Locker | www.dmcihomes.com | Philippines |
| marktel.es | LockBit | marktel.es | Spain |
| Cloud Gaming GeForce | NVIDIA GeForce NOW | STORMOUS | nvidia.com | USA |
| tdwood.com | LockBit | tdwood.com | USA |
| jtchapman.com | LockBit | jtchapman.com | USA |
| polycube.co.th | LockBit | polycube.co.th | Thailand |
| dmcinet.com | LockBit | dmcinet.com | Philippines |
| Shiloh Industries | Black Basta | www.shiloh.com | USA |
| RS.GOV.BR | Everest | rs.gov.br | Brazil |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| eeckman.eu | LockBit | eeckman.eu | Belgium |
| eureka-puzzle.eu | LockBit | eureka-puzzle.eu | Belgium |
| villajuris.be | LockBit | villajuris.be | Belgium |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1186 | Nog actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | REvil | 246 | Niet meer actief |
Bulgaarse regeringwebsites gehackt: ‘Aanval uit Rusland’
In Bulgarije zijn bij een grote cyberaanval de websites van de president, de regering, verscheidene ministeries en het Grondwettelijk Hof lamgelegd. Volgens het openbaar ministerie kwam de aanval uit Rusland. Door de cyberaanval waren de betrokken websites niet toegankelijk of werkten ze heel traag. ‘De hacking kwam uit het grondgebied van de Russische Federatie’, zei adjunct-procureur-generaal Borislav Sarafov. Procureur-generaal Ivan Geshev sprak over ‘een aanval op de Bulgaarse staat’. Ondertussen zijn de cyberaanvallen volgens de Bulgaarse regering afgewend. De hackers zouden geen data buit hebben gemaakt. Bulgarije ondersteunt Oekraïne in de oorlog met Rusland met humanitaire hulp. De Europese en NAVO-lidstaat vangt ook massaal Oekraïense vluchtelingen op.
High Tech Campus slachtoffer van hack bij IT-bedrijf, foto’s van duizenden werknemers belanden op darkweb
Een criminele bende heeft de foto’s van een paar duizend mensen die werkzaam zijn op de High Tech Campus in Eindhoven buitgemaakt en waarschijnlijk gepubliceerd op het dark web. Oorzaak is een hack bij toegangspassenbedrijf ID-ware.
Microsoft meldt gerichte aanvallen met nieuwe Prestige-ransomware
Verschillende organisaties in Oekraïne en Polen zijn het doelwit geworden van gerichte aanvallen met een nieuw ransomware-exemplaar genaamd Prestige, zo claimt Microsoft. De aanval vond op 11 oktober plaats, waarbij alle slachtoffers binnen een uur van elkaar werden getroffen. Volgens Microsoft verschilt deze ransomware-aanval van andere aanvallen. De getroffen organisaties zijn actief in de transportsector en gerelateerde logistieke industrieën in Oekraïne en Polen. Microsoft stelt dat er een overlap is met organisaties die eerder dit jaar slachtoffer van aanvallen met wiper-malware werden. Hoe de aanvallers toegang tot de netwerken van de getroffen organisaties wisten te krijgen is niet bekend. Eenmaal actief verwijderden de aanvallers de back-upcatalogus van het systeem, alsmede alle volume shadow copies. Dit moet herstel van versleutelde bestanden voorkomen. Bij de aanvallen maakten de aanvallers onder andere gebruik van RemoteExec en Impacket WMIexec voor het op afstand uitvoeren van code. Organisaties die zich tegen de aanvallen willen beschermen wordt onder andere aangeraden om processen die afkomstig zijn van PSExec- en WMI-commando's te blokkeren, om zo laterale bewegingen via het WMIexec-onderdeel van Impacket te stoppen. Verder wordt het inschakelen van de Tamper protection van Microsoft Defender geadviseerd.
Microsoft has identified a new ransomware strain "Prestige" in limited targeted attacks in Ukraine and Poland. Several notable features differentiate this ransomware from other campaigns and payloads tracked by MSTIC. Get TTPs and protection info: https://t.co/4E3gaj1K7b
— Microsoft Security Intelligence (@MsftSecIntel) October 14, 2022
Grootschalig misbruik Fortinet-lek na online verschijnen van exploitcode
Verschillende securitybedrijven melden dat aanvallers op grote schaal misbruik proberen te maken van een kritieke kwetsbaarheid in de FortiGate firewalls, FortiProxy webproxies en FortiSwitch Manager van fabrikant Fortinet. Via het beveiligingslek in FortiOS, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Begin oktober bracht Fortinet een beveiligingsupdate uit voor het probleem. Inmiddels is er een proof-of-concept exploit online verschenen. Na het verschijnen hiervan melden verschillende securitybedrijven dat er een toename is van aanvalspogingen tegen Fortinet-apparaten. Bij de aanvallen wordt geprobeerd om de SSH-key van de beheerder aan te passen. Een aanvaller kan zo vervolgens op het systeem als beheerder inloggen. Eerder gaf Fortinet al het advies aan klanten om te controleren of hun netwerkapparaten niet al zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast.
Started seeing larger scale exploitation attempts for critical @Fortinet CVE-2022-40684 auth bypass today from over 40 IPs, with a "fake-key" payload. Expect attacks to spike now that POC publicly available.
— Shadowserver (@Shadowserver) October 14, 2022
Patch details and security recommendations:https://t.co/1I5xGmmoJe pic.twitter.com/Xx9zMjhirh
GreyNoise has observed the first IP exploiting CVE-2022-40684, FortiOS Authentication Bypass Attempt. The IP leveraged the authentication bypass and attempted to export a backup of the FortiOS configuration. https://t.co/AknYbOfLYn pic.twitter.com/zdpKHYB1Kk
— GreyNoise (@GreyNoiseIO) October 13, 2022
Cloudflare detecteert gigantische DDoS-aanval op Minecraft-server
Wynncraft, een populaire Minecraft-server, is onlangs getroffen door een DDoS-aanval van 2,5 terabyte per seconde. Securitybedrijf Cloudflare laat weten dat de cybercriminelen honderdduizenden gebruikers probeerden te blokkeren door de server twee minuten lang met een stortvloed van UDP en TCP packets te overweldigen. Cloudflare ontwikkelt securitydiensten tegen DDoS-aanvallen. Volgens de organisatie had de aanval op Wynncraft een van de hoogste bitrates die ooit is gedocumenteerd. In 2020 publiceerde Google een rapport over een vergelijkbare DDoS-aanval, uitgevoerd door cybercriminelen met geavanceerde methodes en overheidsbanden. Volgens een recent rapport van Cloudflare komen DDoS-aanvallen van meerdere terabytes steeds vaker voor. In november 2021 piekte een van de grootste DDoS-aanvallen aller tijden op op 3,47 terabyte per seconde. Cloudflare noteerde in het derde kwartaal van 2022 meer dan twee keer zoveel DDoS-aanvallen als in derde kwartaal van 2021. De hoeveelheid layer 3- en layer 4-aanvallen (L3/4) verdubbelde. De meeste aanvallen werden op Taiwan gericht, met een stijging van 200 procent ten opzichte van het vorige kwartaal. Japan zag een stijging van 105 procent. L3/4 DDoS-aanvallen waren vooral gericht op de game-industrie. Door een opleving van de Mirai-malwarevariant nam het volume met 405 procent toe ten opzichte van het tweede kwartaal van 2022. Cloudflare zag een stijging in het aantal DDoS-aanvallen van meer dan 100 Gbps, maar benadrukte dat dergelijke aanvallen zeldzaam blijven. Aanvallen van meer dan 100 Gbps zijn goed voor slechts 0,1 procent van alle incidenten. Het overgrote merendeel (97,3 procent) ligt onder de 500 Mbps. Cloudflare bestempelt dergelijke aanvallen als cybervandalisme. De incidenten worden toegeschreven aan ‘script-kiddies’ met toegankelijke DDoS-tools en een voorkeur voor kleine, slecht beveiligde sites. De meeste aanvallen zijn kort en duren minder dan 20 minuten (94 procent). Incidenten van meer dan een uur of drie uur stegen met respectievelijk 8,6 procent en 3,2 procent.
Eindgebruikers via nep-updates geïnfecteerd met Magniber-ransomware
De afgelopen jaren kwamen vooral grote ransomware-aanvallen tegen bedrijven en organisaties in het nieuws, maar ook eindgebruikers zijn nog altijd een doelwit, zo stelt HP Wolf Security. Het securitybedrijf beschrijft een aanvalscampagne waarbij eindgebruikers via nep-updates met de Magniber-ransomware besmet raken. De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Zodra gebruikers dit bestand openen wordt geprobeerd de User Account Control (UAC) in Windows te omzeilen. Vervolgens zal de malware de Shadow Coopies verwijderen en de herstelopties uitschakelen, zodat gebruikers hun bestanden niet terugkrijgen wanneer die zijn versleuteld. Als laatste zal de ransomware bestanden op het systeem versleutelen en de gebruiker een losgeldboodschap tonen. Voor het ontsleutelen van bestanden vraagt de Magniber-ransomware bedragen van tussen de 2500 en 5000 dollar. Hoe gebruikers op de malafide websites terechtkomen laat HP niet weten. Wel adviseert het bedrijf eindgebruiker om updates alleen via de officiële website van de leverancier te downloaden. Eerder deze week meldde securitybedrijf Sucuri dat het in het derde kwartaal van dit jaar tienduizenden legitieme websites door aanvallers waren overgenomen en voorzien van malafide JavaScript. Deze code laat bezoekers van de legitieme websites geloven dat ze een aangeboden update moeten installeren, terwijl dit in werkelijkheid malware is waarmee de aanvallers volledige controle over het systeem krijgen.
Webwinkels kwetsbaar door zeer kritiek lek in Adobe Commerce en Magento
Een zeer kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk om webshops op afstand over te nemen en bijvoorbeeld gevoelige klantgegevens te stelen. De impact van het beveiligingslek, aangeduid als CVE-2022-35698, is op een schaal van 1 tot en met 10 beoordeeld met een 10. Door middel van stored cross-site scripting kan een aanvaller willekeurige code binnen de webshop uitvoeren. Daarbij hoeft de aanvaller niet over inloggegevens van de webshop of een beheerder te beschikken en ook adminrechten zijn niet vereist. Adobe is niet bekend met aanvallen die misbruik van het beveiligingslek maken. Webshops krijgen het advies om de update te installeren wanneer het hen uitkomt. Aanleiding voor dit advies is dat Adobe Commerce en Magento Open Source volgens Adobe historisch gezien geen doelwit van aanvallers zijn. Vorige maand meldde een securitybedrijf nog dat er een toename van aanvallen was op webwinkels waarbij er van een bekend Magento-lek misbruik werd gemaakt.
Chinese hackers kosten Belgische Defensie al 2,25 miljoen euro
In december 2021 werd de BelgischeDefensie het slachtoffer van een Chinese cyberaanval. Hackers legden een maand lang het interne mailverkeer van onze militairen volledig plat. De hersteloperatie heeft Defensie al 2,25 miljoen euro gekost. Ruim vier weken lang was interne communicatie per e-mail bij Belgische Defensie onmogelijk, zelfs de militaire inlichtingendienst ADIV kampte met problemen. Soldaten kregen volgens hun vakbond even zelfs bevelen via andere kanalen zoals Whatsapp. Om een nieuwe cyberaanval in de toekomst te voorkomen werd prompt geïnvesteerd in nieuwe apparatuur, waarop ‘Het Laatste Nieuws' en ‘VTM NIEUWS’ ontdekten dat daarbij materiaal van het bedenkelijke Chinese telecombedrijf Huawei werd aangekocht. Intussen spendeerde Defensie al 2,25 miljoen euro aan personeel, materiaal en diensten om een nieuwe inbraak te voorkomen. Dat blijkt uit het antwoord van minister van Defensie Ludivine Dedonder (PS) op een parlementaire vraag van N-VA-Kamerlid Michael Freilich. Maar de hersteloperatie loopt niet van een leien dakje. Eind augustus hadden IT’ers van Defensie al 12.000 werkuren gestopt in het verbeteren van de digitale beveiliging. Daarnaast riepen de Belgische militairen ook hulp in van buitenaf. Verschillende buitenlandse firma’s, waaronder Microsoft, werden ingehuurd om het mailsysteem waterdicht te maken. Goed voor nog eens 3.735 werkuren. Tot slot lijkt de oorzaak voor de cyberaanval vast te staan: Minister Dedonder weerlegt niet langer dat China hiervoor verantwoordelijk is.
Fortinet waarschuwt voor actief misbruik van kritiek lek in FortiOS en FortiProxy
Netwerkbeveiliger Fortinet waarschuwt organisaties en bedrijven voor actief misbruik van een kritieke kwetsbaarheid in FortiOS, FortiProxy en FortiSwitchManager en adviseert om netwerkapparaten op de aanwezigheid van aanvallers te controleren. Via het beveiligingslek, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Een aantal dagen geleden bracht Fortinet een beveiligingsupdate uit voor het probleem. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzocht Fortinet klanten om de beveiligingsupdate meteen te installeren. In een gisteren gepubliceerd beveiligingsbulletin stelt Fortinet dat aanvallers nu actief misbruik van het beveiligingslek maken. Organisaties worden dan ook opgeroepen om aan de hand van loggegevens te controleren of hun netwerkapparaten niet zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast.
Bevestigd: Spelersdata gestolen bij cyberaanval op 2K Games
Na een recente cyberaanval op de helpdesk van 2K Games is er inderdaad spelersdata gestolen, zo meldt de uitgever. In september liet de uitgever al weten dat het was getroffen door een cyberaanval, waarbij e-mails met malware naar consumenten zijn verstuurd. Hackers kregen toegang tot het helpdeskaccount van de uitgever. Daardoor konden ze e-mails naar klanten sturen met daarin malware, onder de vermomming van een nieuwe 2K-launcher. 2K waarschuwde toen al dat mensen die op de link in de e-mail hadden geklikt, zo snel mogelijk hun wachtwoord moesten aanpassen. Nu blijkt dat 2K sinds 6 oktober klanten wiens persoonlijke informatie is gestolen contacteert. Het zou daarbij gaan om een e-mailadres, gamertag, het ID-nummer bij de helpdesk en details over de console waarop men speelt. "Er is geen indicatie dat financiële informatie of wachtwoorden in ons systeem zijn gestolen." Toch raadt de uitgever slachtoffers wederom aan om wachtwoorden te resetten en tweestapsverificatie aan te zetten.
Amerikaanse websites vliegvelden doelwit van Russische hackers
Veertien websites van Amerikaanse vliegvelden zijn maandag getroffen door cyberaanvallen van de Russische hackersgroepering Killnet. Het zou om de publieke websites gaan, waardoor het daadwerkelijke vliegverkeer ongehinderd bleef. Onder meer Hartsfield-Jackson International Airport en Los Angeles International Airport werden volgens CNN slachtoffer van ddos-aanvallen uitgevoerd door Killnet. Enkele uren later zouden de meeste getroffen websites weer toegankelijk zijn, terwijl vliegreizen en wachttijden niet beïnvloed zouden zijn. Wel zou het gedurende de cyberaanvallen lastig zijn geweest voor consumenten om vluchten te boeken via de betreffende websites. Killnet is een pro-Russische hackersgroepering die sinds de invasie van Oekraïne door Rusland meerdere cyberaanvallen tegen NATO-landen uitvoerde. In bijna alle gevallen ging het om ddos-aanvallen op websites van overheidsinstanties. Zo werd vorige week nog de verantwoordelijkheid opgeëist voor cyberaanvallen op Amerikaanse overheidswebsites. Het is niet duidelijk of de hacktivisten directe banden met Moskou hebben of op eigen houtje opereren. Killnet was eerder dit jaar doelwit van hackersgroepering Anonymous na vermeende dreigingen tegen Italiaanse openbare diensten.
Pro-Russische hackers DDossen websites Amerikaanse luchthavens plat
Een blijkbaar gecoördineerde distributed denial of service (DDoS) aanval georganiseerd door pro-Russische hackers maakte begin maandag de websites van enkele grote Amerikaanse luchthavens onbereikbaar, hoewel ambtenaren zeiden dat vluchten niet werden beïnvloed. De aanvallen – waarbij hackers systemen overspoelen met ongewenste gegevens – werden georkestreerd door een schimmige groep die zichzelf Killnet noemt. Aan de vooravond van de aanvallen publiceerde de groep een lijst met doelwitten op zijn Telegram-kanaal. Hoewel zeer zichtbaar en gericht op maximale psychologische impact, zijn DDoS-aanvallen vooral een chaos veroorzakende overlast, anders dan hacken waarbij wordt ingebroken in netwerken en ernstige schade kan worden aangericht. “We merkten vanmorgen dat de externe website plat lag, en onze IT- en beveiligingsmensen zijn bezig met een onderzoek,” zei Andrew Gobeil, een woordvoerder van Atlanta’s Hartsfield-Jackson International Airport. “Er zijn geen gevolgen voor de operaties.” Delen van de website van Los Angeles International Airport die voor het publiek toegankelijk zijn, werden ook verstoord, zei woordvoerster Victoria Spilabotte. “Er werden geen interne luchthavensystemen aangetast en er waren geen operationele verstoringen.” Spilabotte zei dat de luchthaven de FBI en de Transportation Security Administration heeft ingelicht en dat het informatietechnologieteam van de luchthaven bezig is alle diensten te herstellen en de oorzaak te onderzoeken. Verschillende andere luchthavens die op Killnet‘s doellijst stonden meldden problemen met hun websites. Het Chicago Department of Aviation zei in een verklaring dat de websites van de luchthavens O’Hare International en Midway begin maandag offline gingen, maar dat er geen gevolgen waren voor de luchthavenactiviteiten. Vorige week eiste dezelfde groep hackers de verantwoordelijkheid op voor DDoS-aanvallen op websites van staatsoverheden in verschillende staten. John Hultquist, vice president voor threat intelligence bij het cyberbeveiligingsbedrijf Mandiant, twitterde dat denial-of-service-aanvallen zoals die op de luchthavens en staatsoverheden zijn gericht meestal van korte duur zijn en “meestal oppervlakkig”. “Dit zijn niet de ernstige gevolgen die ons wakker hebben gehouden,” zei hij. Dergelijke aanvallen wijzen eerder op onvoldoende aandacht van webmasters voor een adequate beveiliging van sites, waaronder nu ook DDoS-bescherming.
Gezondheidszorg VS gewaarschuwd voor Cobalt Strike, PowerShell en Mimikatz
Het Amerikaanse ministerie van Volksgezondheid heeft zorginstanties in het land gewaarschuwd voor aanvallen waarbij legitieme tools als Cobalt Strike, PowerShell en Mimikatz worden gebruikt. Verschillende van de tools waarvoor het Office of Information Security en het HHS Health Sector Cybersecurity Coordination Center (HC3) een waarschuwing hebben gegeven kunnen standaard op systemen aanwezig zijn (pdf). Dat maakt het lastig om misbruik te detecteren. Een oplossing is dan ook niet zo eenvoudig als het installeren van een update of het doorvoeren van een configuratie-aanpassing. In de waarschuwing staan zes tools genoemd die geregeld bij aanvallen zijn ingezet. Het gaat om Cobalt Strike, PowerShell, Mimikatz, Sysinternals, Anydesk en Brute Ratel. Het gaat hierbij om een selectie van veelgebruikte legitieme tools en is geen volledig overzicht, aldus de Amerikaanse overheidsinstanties. De tools worden onder andere door aanvallers gebruikt om inloggegevens te stelen, verbinding met machines te maken en zich lateraal door netwerken te bewegen. In de waarschuwing laten de Amerikaanse overheidsinstanties zien welke groepen van de genoemde tools bij aanvallen gebruikmaken en hoe die in de loop van de tijd steeds vaker bij aanvallen zijn ingezet. Ook word advies gegeven hoe er met de dreiging van de betreffende tool kan worden omgegaan.
ID-ware: ‘Geen gegevens Kamerleden gelekt’
ID-ware bevestigt dat het medio september getroffen is door een ransomware-aanval. Daarbij zijn vertrouwelijke gegevens van klanten buitgemaakt. Er zijn echter geen aanwijzingen dat er persoonsgegevens van Kamerleden of andere Haagse politici zijn gestolen door de hackers. Dat laat het technologiebedrijf weten in een statement.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language