NortonLifeLock waarschuwt klanten voor hack wachtwoordmanager, Royal Mail slachtoffer van Lockbit ransomware, geen internationale post verstuurd en de rechter heeft besloten dat Nederland de verdachte cybercrimineel mag uitleveren aan de Verenigde Staten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Laatste wijziging op 16-januari-2023
Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.
Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? π€
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| Nu | 7.139 |
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| Hills Salvage and Recycling | Royal | www.hills-motors.co.uk | UK | Miscellaneous Retail | 15-jan.-23 |
| Samuels and Son Seafood | Royal | www.samuelsseafood.com | USA | Wholesale Trade-non-durable Goods | 15-jan.-23 |
| El Seif Development | Mallox | elseif.com.sa | Saudi Arabia | Miscellaneous Manufacturing Industries | 15-jan.-23 |
| Holovis | RansomHouse | www.holovis.com | UK | Miscellaneous Services | 15-jan.-23 |
| matrixschools.edu.my | LockBit | matrixschools.edu.my | Malaysia | Educational Services | 15-jan.-23 |
| Central Texas College | Vice Society | www.ctcd.edu | USA | Educational Services | 15-jan.-23 |
| TIMco | Vice Society | www.timco.co.uk | UK | Wholesale Trade-durable Goods | 15-jan.-23 |
| K2 Sports | BlackByte | k2sports.com | USA | Apparel And Accessory Stores | 14-jan.-23 |
| G.W. Becker | Hive | gwbcrane.com | USA | Machinery, Computer Equipment | 13-jan.-23 |
| fujikura-electronics.co.th | LockBit | fujikura-electronics.co.th | Thailand | Electronic, Electrical Equipment, Components | 13-jan.-23 |
| NYCBAR.ORG | CL0P | nycbar.org | USA | Membership Organizations | 13-jan.-23 |
| Trans Maldivian Airways | RansomHouse | www.transmaldivian.com | Maldives | Transportation By Air | 13-jan.-23 |
| Fu Yu Corporation | BlackCat (ALPHV) | www.fuyucorp.com | Singapore | Rubber, Plastics Products | 13-jan.-23 |
| Air Comm Corporation | BlackCat (ALPHV) | Unknown | Unknown | Unknown | 13-jan.-23 |
| IMI Hydronic Engineering | RansomHouse | www.imi-hydronic.com | Switzerland | Wholesale Trade-durable Goods | 12-jan.-23 |
| lloyddowson.co.uk | LockBit | lloyddowson.co.uk | UK | Accounting Services | 12-jan.-23 |
| muellergartenbau.ch | LockBit | muellergartenbau.ch | Switzerland | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 12-jan.-23 |
| lidestrifoodanddrink.com | LockBit | lidestrifoodanddrink.com | USA | Food Products | 12-jan.-23 |
| versteden.com | LockBit | versteden.com | Netherlands | Miscellaneous Manufacturing Industries | 12-jan.-23 |
| nuxe.com | LockBit | nuxe.com | France | Merchandise Stores | 12-jan.-23 |
| russellfinex.com | LockBit | russellfinex.com | UK | Machinery, Computer Equipment | 12-jan.-23 |
| Physician Partners of America | Snatch | www.physicianpartnersofamerica.com | USA | Health Services | 12-jan.-23 |
| Ruhrpumpen | Royal | www.ruhrpumpen.com | Mexico | Machinery, Computer Equipment | 12-jan.-23 |
| Chinery and Douglas | Royal | www.lvcdlaw.com | USA | Legal Services | 12-jan.-23 |
| T A Supply | Royal | www.tasupply.com | USA | Wholesale Trade-durable Goods | 12-jan.-23 |
| DAYTON PROGRESS | PLAY | www.daytonprogress.de | UK | Machinery, Computer Equipment | 11-jan.-23 |
| Liebra Permana | BlackCat (ALPHV) | liebrapermana.com | Indonesia | Apparel And Other Finished Products | 11-jan.-23 |
| TIME TECHNOPLAST LIMITED | BlackCat (ALPHV) | www.timetechnoplast.com | India | Rubber, Plastics Products | 11-jan.-23 |
| Honey Lady | BlackCat (ALPHV) | www.honeylady.com | Indonesia | Food Products | 11-jan.-23 |
| Arnold Clark | PLAY | www.arnoldclark.com | UK | Automotive Dealers | 11-jan.-23 |
| circlevillecourt.com | LockBit | circlevillecourt.com | USA | Justice, Public Order, And Safety | 11-jan.-23 |
| ADIVA CO. LTD | Mallox | adiva-tw.com | Taiwan | Transportation Equipment | 11-jan.-23 |
| Cambian Group | AvosLocker | cambiangroup.com | UK | Educational Services | 11-jan.-23 |
| datair.com | LockBit | datair.com | USA | IT Services | 10-jan.-23 |
| Fire Rescue Victoria | Vice Society | www.frv.vic.gov.au | Australia | National Security And International Affairs | 10-jan.-23 |
| Chestertons Inc. | Lorenz | www.chestertons.co.uk | UK | Real Estate | 10-jan.-23 |
| Thor Specialties, Inc. | Lorenz | thorsp.com | USA | Chemical Producers | 10-jan.-23 |
| Shelco | Lorenz | shelcollc.com | USA | Miscellaneous Manufacturing Industries | 10-jan.-23 |
| CARS.com | Endurance | cars.com | USA | Automotive Dealers | 10-jan.-23 |
| Aviacode | 0mega | www.aviacode.com | USA | Health Services | 9-jan.-23 |
| River City Science Academy | Karakurt | rivercityscience.org | USA | Educational Services | 9-jan.-23 |
| Arizona Labor Force | AvosLocker | azlaborforce.com | USA | Business Services | 9-jan.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| versteden.com | LockBit | versteden.com | Netherlands | Miscellaneous Manufacturing Industries | 12-jan.-23 |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1.322 | Actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | BlackCat (ALPHV) | 249 | Actief |
NortonLifeLock waarschuwt klanten voor hack wachtwoordmanager
Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS. Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf). Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren. Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder. Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen.
Royal Mail slachtoffer van Lockbit ransomware, geen internationale post verstuurd
Het Britse postbedrijf Royal Mail is slachtoffer geworden van ransomware waardoor het geen internationale post meer kan versturen. De Royal Mail spreekt nog altijd van een cyberincident, maar bronnen laten aan The Telegraph en BBC weten dat het om een aanval met de Lockbit-ransomware gaat. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De aanvallers claimen ook allerlei gegevens te hebben buitgemaakt. Tevens zouden de printers in het distributiecentrum van de Royal Mail in Noord-Ierland kopieën van de losgeldboodschap hebben geprint. De Lockbit-groep zegt de gestolen data openbaar te maken als er geen losgeld wordt betaald. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De Royal Mail heeft mensen via social media opnieuw opgeroepen geen internationale post of pakketten te versturen. Wanneer de problemen zijn hersteld kan het postbedrijf nog niet zeggen. Eerder werd al bekend dat het Britse National Crime Agency en National Cyber Security Centre ondersteuning bieden en de Britse privacytoezichthouder ICO vragen heeft gesteld. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.
We're experiencing disruption to our international export services and are temporarily unable to despatch items to overseas destinations.
β Royal Mail (@RoyalMail) January 12, 2023
Please do not post any export items while we work to resolve the issue.
Sorry for any disruption this may cause.
Zeroday-kwetsbaarheid in FortiOS SSL-VPN uitgebuit door geavanceerde aanvaller
Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor. Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen. Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd.
Ransomware-aanval op The Guardian met persoonsgegevens diefstal bevestigd
Bij de ransomware-aanval op The Guardian zijn ook persoonsgegevens van medewerkers buitgemaakt, zo heeft de Britse krant laten weten. Door de aanval, die op 20 december werd gedetecteerd, moet personeel nog weken thuiswerken. In een e-mail aan het personeel spreekt Anna Bateson, hoofd van The Guardian Media Group, van een "zeer geraffineerde cyberaanval". Details waaruit zou blijken dat het om een geraffineerde aanval gaat zijn echter niet gegeven. Waarschijnlijk hebben de aanvallers via een phishingmail toegang tot het netwerk gekregen, aldus Bateson. Daarnaast stelt ze dat het hier om een criminele aanval gaat en The Guardian niet specifiek als mediaorganisatie is aangevallen. Er zijn op dit moment geen aanwijzingen dat de aanvallers persoonlijke informatie van lezers of abonnees hebben buitgemaakt. Vanwege de aanval was personeel gevraagd om zeker tot 23 januari thuis te werken, maar dat is inmiddels verschoven naar begin februari.
Hackersgroep Lockbit uit Rusland hackt Royal Mail
Het Britse postbedrijf Royal Mail is gehackt door een collectief dat banden heeft met Rusland. Dat schrijft de Britse krant The Telegraph. Door de hack kan het postbedrijf sinds gisteren geen brieven en pakketten naar het buitenland versturen. The Telegraph wijst naar hackerscollectief Lockbit, waarvan cyberexperts zeggen dat het leden heeft in Rusland. De krant schrijft niet hoe ze aan die informatie komen. Royal Mail heeft nog niet gereageerd op de bevindingen van de krant, maar zegt experts in de arm te hebben genomen die de zaak onderzoeken. Om te voorkomen dat de internationale pakketten en brieven die niet verstuurd kunnen worden zich opstapelen, heeft de postbezorger aan zijn klanten gevraagd voorlopig geen post met een bestemming in het buitenland te versturen. Het Britse Cyber Security Centrum is op de hoogte van het incident bij Royal Mail en probeert samen met het bedrijf de computersystemen te bevrijden van de ransomware. De National Crime Agency, een Britse organisatie die strijdt tegen georganiseerde misdaad, doet ook onderzoek naar de cyberaanval. Hackersgroep Lockbit staat bekend om zijn cyberaanvallen waarbij het computersystemen platlegt totdat er losgeld wordt betaald. Honderden bedrijven, waaronder autohandelaren en zelfs kinderziekenhuizen, zijn in de afgelopen jaren slachtoffer geworden van het collectief. The Telegraph schrijft dat een lid van Lockbit op Telegram heeft gezegd dat de groepering profiteert van de vijandige houding van het Westen ten opzichte van Rusland. "Daardoor kunnen wij agressief handelen en vrijuit opereren binnen de grenzen van de voormalige Sovjet-Unie."
APT10 gebruikt VLC Media Player voor spionage via Cobalt Strike
Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse. De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt. VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven. "Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen. Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd.
Royal Mail getroffen door mogelijke ransomware aanval
Wat het cyberincident precies inhoudt is niet helemaal duidelijk. Mogelijk gaat het om ransomware waardoor het 507 jaar oude Royal Mail niet bij zijn systemen kan. Het bedrijf zegt met externe experts samen te werken om de problemen op te lossen. Ook is het incident aan toezichthouders en veiligheidsdiensten gemeld. Het lukt Royal Mail nog wel om poststukken van bedrijven buiten Groot-Brittannië in te voeren. Bij dat soort pakketten moet wel met een iets langere levertijd rekening worden gehouden. Op de website van het postbedrijf staat vooralsnog niets vermeld bij de pagina's voor internationale verzendingen. Op social network Twitter maakt Royal Mail wel melding van de verstoring.
We're experiencing disruption to our international export services and are temporarily unable to despatch items to overseas destinations.
β Royal Mail (@RoyalMail) January 11, 2023
We strongly advise customers to hold any export items while we work to resolve the issue.
Sorry for any disruption this may cause.
Twitter onduidelijk over bron gelekte data
Twitter weet niet precies waar de dataset vandaan komt met de gegevens van ruim 200 miljoen gebruikers die op internet wordt aangeboden, zo heeft het in een reactie laten weten. Vorige week bleek dat de e-mailadressen van ruim 211 miljoen Twitter-gebruikers zijn gelekt op internet. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned was de data in 2021 verkregen door misbruik te maken van een Twitter-API waardoor de e-mailadressen die bij Twitterprofielen horen konden worden opgevraagd. In een reactie stelt Twitter dat er geen bewijs is gevonden dat de aangeboden data is verkregen door misbruik te maken van een kwetsbaarheid in de systemen van Twitter. "De data is waarschijnlijk een verzameling van al publiek beschikbare data afkomstig van verschillende bronnen", zo stelt het bedrijf. Twitter zegt in contact te staan met privacytoezichthouders en andere relevante autoriteiten om opheldering over het "vermeende incident" te geven. Verder adviseert Twitter gebruikers om tweefactorauthenticatie in te schakelen.
Cybercriminelen gebruiken oude Intel-driverkwetsbaarheid voor antivirusomzeiling
Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden. Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen.
Ransomware sluit grootste school district Iowa
Door een ransomware-aanval op het grootste schooldistrict van de Amerikaanse staat Iowa konden dertigduizend leerlingen de afgelopen twee dagen niet naar school. Inmiddels zijn genoeg systemen hersteld dat de schooldeuren weer kunnen worden geopend. Het Des Moines Independent Community School District biedt onderwijs aan dertigduizend leerlingen, verdeeld over meer dan zestig scholen. Bijna vijfduizend leerkrachten zijn werkzaam in het schooldistrict. Maandagochtend ontdekte het schooldistrict dat het doelwit van een cyberaanval was geworden. Daarop werd besloten de internet- en netwerkdiensten van het schooldistrict offline te halen. Aangezien veel van de lessen in de klassen en het beheer van het schooldistrict hiervan afhankelijk zijn, alsmede medische informatie over leerlingen en noodcontactgegevens digitaal zijn, Daarnaast werkten toegangspassen niet en beveiligingscamera's. Daarop werd besloten het gehele district dinsdag en woensdag te sluiten. De aanval komt op een zeer ongelegen moment. Afgelopen vrijdag eindigde namelijk het semester, waardoor leraren het afgelopen weekend de lesprogramma's wisselden. Door de aanval was het niet mogelijk voor docenten om hun nieuwe lesschema's te printen. Het schooldistrict ging vervolgens de afgelopen dagen naar eigen zeggen non-stop bezig met het herstellen van de besmette systemen. Inmiddels is een groot deel van de systemen hersteld. Leerlingen moeten echter wel rekening houden met een "offline leerervaring", aldus het schooldistrict. Slechts een beperkt aantal medewerkers zal toegang tot internet hebben en wifi is nog altijd niet beschikbaar. Hoe de ransomware-aanval precies kon plaatsvinden is niet bekendgemaakt.
There is no school today, Wednesday, Jan. 11, but many school food pantries are open from 10 a.m. - 2 p.m. DMPS partner pantries are also operating. Follow the link for a complete list: https://t.co/Fb85Kziwbv pic.twitter.com/8uhOGMSbJH
β DM Public Schools (@DMschools) January 11, 2023
Geen aanwijzingen cyberaanval bij computerstoring luchtvaart USA
Er zijn geen aanwijzingen dat de computerstoring in de Amerikaanse luchtvaart het gevolg is van een cyberaanval. Dat meldt de woordvoerster van president Joe Biden op Twitter. De president heeft het ministerie van Vervoer opdracht gegeven om onderzoek te doen. De Amerikaanse luchtvaartautoriteit FAA kampt met een storing aan het systeem dat piloten waarschuwt voor problemen onderweg. Dat systeem heet Notice to Air Missions, afgekort NOTAM. Daarin staat bijvoorbeeld waar er slecht zicht is, waar sneeuw valt en welke landingsbanen gesloten zijn. De FAA zegt dat het bezig is om het systeem weer in de lucht te krijgen. In afwachting daarvan moeten voorlopig bij alle binnenlandse vluchten de vliegtuigen aan de grond blijven.
Storing in luchtvaartsysteem stopt vluchten binnen VS
Het luchtvaartverkeer binnen de Verenigde Staten ligt volledig stil door een storing in een belangrijk meldingssysteem voor piloten. Dat meldt de Amerikaanse luchtvaartautoriteit FAA. Vluchten zouden wel nog veilig kunnen landen, meldt president Biden. Sinds woensdagochtend plaatselijke tijd zijn er problemen met het Notice to Air Missions-systeem (NOTAM). Dat wordt beheerd door de Amerikaanse luchtvaartautoriteit en geeft mededelingen met essentiële informatie aan werknemers op vluchten. Het gaat bijvoorbeeld om de weersvoorspellingen voor luchthavens, actieve taxibanen of sluitingen van het luchtruim vanwege een ruimtelancering of een presidentiële vlucht. In alle stadia van hun opleiding worden piloten erin getraind te vertrouwen op de NOTAM-gegevens. Zeker 100 vluchten werden al geschrapt en meer dan 1.000 andere vluchten zijn vertraagd, en vanmiddag meldde de Amerikaanse luchtvaartautoriteit dat alle binnenlandse vluchten worden stilgelegd tot 15 uur Belgische tijd. Volgens de FAA wordt er met man en macht gewerkt om het systeem dan weer operationeel te krijgen. De Amerikaanse president Biden meldde ondertussen dat vliegtuigen wel gewoon veilig kunnen landen. Volgens het Witte Huis wordt de oorzaak van de panne onderzocht, maar zijn er voorlopig geen aanwijzingen dat het om een cyberaanval gaat.
Patchbevel voor Microsoft Exchange kwetsbaarheid gebruikt bij ransomware
De Amerikaanse overheid heeft federale overheidsinstanties een patchbevel gegeven voor een kwetsbaarheid in Microsoft Exchange die gebruikt is bij ransomware-aanvallen. Het beveiligingslek, aangeduid als CVE-2022-41080, werd onder andere gebruikt tegen hostingbedrijf Rackspace, dat had nagelaten de beschikbare beveiligingsupdate te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties opdragen om de betreffende patches voor deze beveiligingslekken voor een bepaalde datum te installeren. Dat is mogelijk door een "Binding Operational Directive". Het gaat in dit geval om richtlijnen die moeten worden gevolgd voor het beschermen van systemen tegen kwetsbaarheden waarvan bekend is dat er misbruik van wordt gemaakt. Amerikaanse federale overheidsinstanties zijn verplicht om de Directives van het ministerie van Homeland Security te volgen. Eind december maakte securitybedrijf Crowdstrike bekend dat de criminelen achter de Play-ransomware misbruik van de Exchange-kwetsbaarheden CVE-2022-41080 en CVE-2022-41082 maakten voor het aanvallen van organisaties. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden, alsmede CVE-2022-41080, te verhelpen. Microsoft adviseerde organisaties op deze datum ook om de url-rewrites niet meer te gebruiken en de beschikbare patch te installeren. Hostingbedrijf Rackspace raakte op 2 december via Exchange-kwetsbaarheid CVE-2022-41080 besmet met de Play-ransomware, waardoor klanten geen toegang meer tot hun e-mail hadden. Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. De gemeente Antwerpen werd ook slachtoffer van de Play-ransomware, de gebruikte infectievector is nog niet bekendgemaakt. Het CISA heeft Amerikaanse federale overheidsinstanties nu opgedragen om de patch voor 31 januari te installeren.
Extra handeling vereist na Microsoft SharePoint-patch voor kritieke kwetsbaarheid
Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken.
De rechter heeft besloten dat Nederland de verdachte cybercrimineel mag uitleveren aan de Verenigde Staten
De Nederlandse autoriteiten mogen een Oekraïense man die een sleutelrol zou hebben gespeeld bij de ontwikkeling en verspreiding van de Raccoon Infostealer uitleveren aan de Verenigde Staten, zo heeft de Hoge Raad geoordeeld in het vonnis. De Raccoon Infostealer steelt wachtwoorden en gegevens voor internetbankieren en cryptowallets en zou volgens de VS miljoenen computers wereldwijd hebben besmet. De FBI ontwikkelde een tool waarmee mensen kunnen zien of ze slachtoffer van de malware zijn. Vorig jaar maart kon de man, dankzij het traceren van zijn telefoon en een operationele securityfout met het koppelen van een Gmail-adres aan een iCloud-account, door de Nederlandse politie worden aangehouden. Tegelijkertijd wisten de FBI en de Italiaanse en Nederlandse autoriteiten de digitale infrastructuur van de Raccoon Infostealer te ontmantelen. De Raccoon Infostealer werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Afnemers gebruikten de malware bij phishingaanvallen om zo computers van nietsvermoedende slachtoffers te infecteren. Vervolgens werden via de Raccoon Infostealer allerlei persoonlijke informatie gestolen, waaronder inloggegevens, financiële informatie en andere persoonlijke gegevens. De gestolen data werd vervolgens gebruikt voor financiële fraude en verkocht op online forums. De Oekraïense man zou één van de sleutelfiguren achter de malware zijn. Zo wordt hij verdacht van de ontwikkeling, aanbieden en verkopen van de malware. De Amerikaanse autoriteiten vroegen Nederland om zijn uitlevering. Een rechter keurde de uitlevering goed, maar daar tekende de verdachte beroep tegen aan. Volgens zijn advocaat is er onvoldoende bewijs tegen zijn cliënt. Er is daardoor niet gebleken dat de verdachte betrokken is geweest bij de strafbare feiten waarvoor de uitlevering wordt verzocht. De Hoge Raad gaat daar niet in mee en stelt dat er wel voldoende bewijs is. Het beroep van de verdachte is dan ook verworpen, wat inhoudt dat hij aan de VS mag worden uitgeleverd.
Amerikaans schooldistrict annuleert alle lessen wegens cyberaanval
Het grootste schooldistrict van de Amerikaanse staat Iowa heeft alle lessen wegens een cyberaanval moeten annuleren. Het Des Moines Independent Community School District biedt onderwijs aan dertigduizend leerlingen, verdeeld over meer dan zestig scholen. Bijna vijfduizend leerkrachten zijn werkzaam in het schooldistrict. Dat ontdekte maandagochtend dat het doelwit van een cyberaanval was geworden. Daarop werd besloten de internet- en netwerkdiensten van het schooldistrict offline te halen. Aangezien veel van de lessen in de klassen en het beheer van het schooldistrict hiervan afhankelijk zijn is besloten het gehele district vandaag te sluiten, zo laat de onderwijsorganisatie via Twitter en Facebook weten. Om wat voor aanval het precies gaat en hoe die kon plaatsvinden is niet bekendgemaakt.
Classes are canceled at Des Moines Public Schools for Tuesday, January 10. Offices will be open although staff may be working remotely and services limited. Athletics and activities are currently scheduled to take place.
β DM Public Schools (@DMschools) January 9, 2023
1/3 pic.twitter.com/BkGawXrW4W
Canadese kinderziekenhuis heeft geen gebruik gemaakt van de decryptietool die werd aangeboden door een ransomwaregroep
Het grootste kinderziekenhuis van Canada dat vorige maand door ransomware werd getroffen en vervolgens van de verantwoordelijke ransomwaregroep een decryptietool kreeg voor het ontsleutelen van systemen heeft besloten hier geen gebruik van te maken. Ook is er geen losgeld aan de criminelen betaald. Inmiddels is tachtig procent van de systemen hersteld en is "code grijs" opgeheven. Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het ging om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. Code grijs staat voor verlies van essentiële diensten. Door de uitval van systemen kregen patiënten en gezinnen met vertragingen te maken in behandelingen en onderzoeken. Ook duurde het langer voordat artsen onderzoeksresultaten en röntgenfoto's konden ophalen, wat weer voor langere wachttijden voor patiënten kon zorgen. Veel van de inmiddels herstelde systemen zouden volgens het ziekenhuis hebben bijgedragen aan vertragingen bij behandelingen en onderzoeken. De aanval werd opgeëist door de groep achter de LockBit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De groep liet via de eigen website weten dat de voor de aanval verantwoordelijke partner de "regels" heeft overtreden en uit het partnerprogramma is gezet. De groep heeft daarop een gratis decryptietool beschikbaar gemaakt. Het ziekenhuis liet vervolgens externe experts naar de decryptietool kijken, maar heeft besloten die niet te gebruiken. Een reden voor deze beslissing is niet gegeven. Wel herhaalt het ziekenhuis dat er geen losgeld aan de groep is betaald en dat inmiddels tachtig procent van de systemen is hersteld. Daarop is besloten om "code grijs" op te heffen. Verder claimt het ziekenhuis dat de impact op de zorgverlening aan patiënten minimaal was. Het digitaal patiëntendossier van het ziekenhuis was niet getroffen, maar wel systemen die daarmee zijn geïntegreerd. Ook was het niet mogelijk om röntgenfoto's te bekijken. Hoe de ransomware-aanval mogelijk was is niet bekendgemaakt.
Er zijn honderden SugarCRM-servers gehackt via een zerodaylek
De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd. Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language