Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Killnet wil bondgenoten van Oekraïne straffen, 31 Nederlandse ziekenhuizen onder vuur, Belgische stad Geraardsbergen getroffen door ransomware en datadiefstal en een weekend van door DDoS-aanvallen op Nederlands cyberspace en kwetsbaarheid in ESXi. Hier het overzicht van de afgelopen week en het dagelijkse nieuws.
Laatste wijziging op 06-februari-2023
Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.
Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
Nu | 7.258 |
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
El-Mohandes | BlackCat (ALPHV) | In progress | In progress | In progress | 6-feb.-23 |
Schandy | AvosLocker | schandy.com.uy | Uruguay | Water Transportation | 6-feb.-23 |
Finaport | BlackCat (ALPHV) | www.finaport.com | Switzerland | Security And Commodity Brokers, Dealers, Exchanges, And Services | 5-feb.-23 |
bplawyers.co.id | LockBit | bplawyers.co.id | Indonesia | Legal Services | 5-feb.-23 |
Five Guys Enterprises, LLC | BlackCat (ALPHV) | www.fiveguys.com | USA | Eating And Drinking Places | 4-feb.-23 |
nexuspoint.com | LockBit | nexuspoint.com | Hong Kong | Holding And Other Investment Offices | 4-feb.-23 |
virtuosgames.com | LockBit | virtuosgames.com | Singapore | IT Services | 3-feb.-23 |
urmgroup.com.au | LockBit | urmgroup.com.au | Australia | Miscellaneous Services | 3-feb.-23 |
Point Dedicated Services | PLAY | www.pointdedicated.com | USA | Motor Freight Transportation | 3-feb.-23 |
redfordpd.com | LockBit | redfordpd.com | USA | Justice, Public Order, And Safety | 3-feb.-23 |
jjdentistry.com | LockBit | jjdentistry.com | USA | Health Service | 3-feb.-23 |
CannonDesign | AvosLocker | cannondesign.com | USA | Construction | 3-feb.-23 |
guardiananalytics.com | LockBit | guardiananalytics.com | USA | IT Services | 3-feb.-23 |
sakrgroup.net | LockBit | sakrgroup.net | Egypt | Food Products | 3-feb.-23 |
crystalcreamery.com | LockBit | crystalcreamery.com | USA | Food Products | 3-feb.-23 |
tonoli.com | LockBit | tonoli.com | Italy | Motor Freight Transportation | 3-feb.-23 |
scandia.ro | LockBit | scandia.ro | Romania | Food Products | 2-feb.-23 |
bethrivkah.edu | LockBit | bethrivkah.edu | USA | Educational Services | 2-feb.-23 |
fabricatedpipe.com | LockBit | fabricatedpipe.com | USA | Rubber, Plastics Products | 2-feb.-23 |
kostika.co.il | LockBit | kostika.co.il | Israel | Fabricated Metal Products | 2-feb.-23 |
seelllc.com | LockBit | seelllc.com | USA | Engineering Services | 2-feb.-23 |
biosonicsinc.com | LockBit | biosonicsinc.com | USA | Miscellaneous Manufacturing Industries | 2-feb.-23 |
nlsmichigan.org | LockBit | nlsmichigan.org | USA | Legal Services | 2-feb.-23 |
plasmasurgical.com | LockBit | plasmasurgical.com | USA | Electronic, Electrical Equipment, Components | 2-feb.-23 |
avantetextil.com.mx | LockBit | avantetextil.com.mx | Mexico | Apparel And Accessory Stores | 2-feb.-23 |
byte.gr | LockBit | byte.gr | Greece | IT Services | 2-feb.-23 |
transportsn.com | LockBit | transportsn.com | Canada | Motor Freight Transportation | 2-feb.-23 |
MESSER CUTTING SYSTEMS | Royal | us.messer-cutting.com | USA | Machinery, Computer Equipment | 2-feb.-23 |
McEwan Fraser Legal | BlackCat (ALPHV) | www.mcewanfraserlegal.co.uk | UK | Real Estate | 2-feb.-23 |
iongroup.com | LockBit | iongroup.com | UK | IT Services | 2-feb.-23 |
Casa Ley | Royal | www.casaley.com.mx | Mexico | Merchandise Stores | 2-feb.-23 |
pharmagestao.com.br | LockBit | pharmagestao.com.br | Brazil | Miscellaneous Services | 2-feb.-23 |
N** ****** | BianLian | Unknown | Unknown | Wholesale Trade-non-durable Goods | 1-feb.-23 |
TK Elevator | Royal | www.tkelevator.com | Germany | Miscellaneous Manufacturing Industries | 1-feb.-23 |
Guildford County School | Vice Society | www.guildfordcounty.co.uk | UK | Educational Services | 1-feb.-23 |
TechInsights | Vice Society | www.semiconductor.com | Canada | Business Services | 31-jan.-23 |
Societa Italiana Brevetti SpA | Vice Society | www.sib.it | Italy | Miscellaneous Services | 31-jan.-23 |
geraardsbergen.be | LockBit | geraardsbergen.be | Belgium | General Government | 31-jan.-23 |
2cara.fr | LockBit | 2cara.fr | France | Accounting Services | 31-jan.-23 |
tcels.or.th | LockBit | tcels.or.th | Thailand | Nonclassifiable Establishments | 31-jan.-23 |
parkavedoors.com | LockBit | parkavedoors.com | USA | Miscellaneous Manufacturing Industries | 31-jan.-23 |
Okanagan College | Vice Society | www.okanagan.bc.ca | Canada | Educational Services | 30-jan.-23 |
municipality of Torre del Greco | Royal | comune.torredelgreco.na.it | Italy | General Government | 30-jan.-23 |
Scheppersinstituut Wetteren | Vice Society | www.scheppers-wetteren.be | Belgium | Educational Services | 30-jan.-23 |
fujikura.co.jp | LockBit | fujikura.co.jp | Japan | Electronic, Electrical Equipment, Components | 30-jan.-23 |
wealthwise.com.au | LockBit | wealthwise.com.au | Australia | Security And Commodity Brokers, Dealers, Exchanges, And Services | 30-jan.-23 |
fritsche.eu.com | LockBit | fritsche.eu.com | Austria | Wholesale Trade-durable Goods | 30-jan.-23 |
luacesasesores.es | LockBit | luacesasesores.es | Spain | Accounting Services | 30-jan.-23 |
perenitysoftware.com | LockBit | perenitysoftware.com | Morocco | IT Services | 30-jan.-23 |
thermal.com | LockBit | thermal.com | USA | Electronic, Electrical Equipment, Components | 30-jan.-23 |
cm-vimioso.pt | LockBit | cm-vimioso.pt | Portugal | General Government | 30-jan.-23 |
cplindustries.co.uk | LockBit | cplindustries.co.uk | UK | Oil, Gas | 30-jan.-23 |
bulldoggroupinc.com | LockBit | bulldoggroupinc.com | USA | Construction | 30-jan.-23 |
airalbania.com.al | LockBit | airalbania.com.al | Albania | Transportation By Air | 30-jan.-23 |
dsavocats.com | LockBit | dsavocats.com | France | Legal Services | 30-jan.-23 |
itsservicios.com.mx | LockBit | itsservicios.com.mx | Mexico | Transportation Services | 30-jan.-23 |
juvaskin.com | LockBit | juvaskin.com | USA | Health Services | 30-jan.-23 |
kvie.org | LockBit | kvie.org | USA | Communications | 30-jan.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
geraardsbergen.be | LockBit | geraardsbergen.be | Belgium | General Government | 31-jan.-23 |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
Groepering | Aantal slachtoffers | ||
---|---|---|---|
1 | LockBit | 1.376 | Actief |
2 | Conti | 674 | Niet meer actief |
3 | BlackCat (ALPHV) | 266 | Actief |
Weekend van door DDoS-aanvallen op Nederlandse cyberspace en kwetsbaarheid in ESXi
Check Point Software zag dit weekend een massale serie-aanval op Nederlandse cyberspace waarbij websites van onder andere SVB en CBS werden getroffen door hackersgroep MT ‘voor het beledigen van de Heilige Koran’. De groep, Mysterious Team Bangladesh (MT), richtte zich in 2022 op websites en servers van de Indiase overheid. De activiteit van de groep is ontdekt door een door AI aangedreven cyberinlichtingenanalysebedrijf, dat meldde dat de aanvallen vergelijkbaar waren met de techniek die werd gebruikt door de Dragon Force-groep, bekend om het gebruik van verschillende scripts voor DDoS-aanvallen en het exploiteren van de HTTP-overstromingsaanvaltechniek, vergelijkbaar met DragonForce. “./404found.my”, een tool die eerder door Dragonforce werd gebruikt om Indiase overheidswebsites aan te vallen, zou nu zijn gebruikt om de aanvallen uit te voeren. Aanvullende details en analyses van de tool zijn uitgevoerd in het TTP-rapport van de DragonForce-groep. De groep heeft op Twitter aangekondigd dat de lijst met landen die het doelwit zijn, zal worden uitgebreid omdat deze staten de koran niet eerbiedigen. Tevens vond dit weekend een grootschalige aanval met gijzelsoftware plaats. “De recente aanval op ESXi-servers, waarop virtuele machines draaien, wordt beschouwd als de meest uitgebreide aanval op niet-Windows-machines die ooit is gerapporteerd. De aanvallers maken misbruik van een bekende zwakte, CVE-2021-21974, die op 21 februari was verholpen. De ransomware valt ESXi-servers aan, dit zijn servers die meestal andere servers opslaan, dus de schade zal wijdverspreid zijn”, zegt Zahier Madhar, security engineer expert bij Check Point Software. “Tot voor kort bleven ransomware-aanvallen uiteindelijk beperkt tot op Windows gebaseerde machines. Het is mogelijk dat aanvallers van ransomware hebben ingezien hoe cruciaal Linux-servers zijn voor organisaties, waardoor ze nu hebben geïnvesteerd in de ontwikkeling van zo’n krachtig cyberwapen.”
Getroffen sites DDoS-aanval:
https://www.nbtc.nl/en/home.htm
https://check-host.net/check-report/e838f83k65
https://check-host.net/check-report/e8394eak8d4
https://check-host.net/check-report/e839d56kd24
https://check-host.net/check-report/e839f95k792
https://check-host.net/check-report/e83a0f5k757
https://www.cbs.nl/en-GB/default.htm
https://check-host.net/check-report/e83a437k794
Massale Ransomware-aanval bedrijven Europa, Noord-Amerika
Er zijn momenteel meer dan 6000 bedrijven in Europa en Noord-Amerika getroffen door Ransomware. In Frankrijk, Italië, Canada en de Verenigde Staten worden momenteel veel bedrijven aangevallen door deze ransomware-aanvallen. De hackers hebben het lek in VMware ESXi dat vorige week is gepubliceerd misbruikt en hebben snel de omgevingen ge-encrypt. Via Shodan zijn al enkele servers gevonden. De hackers vragen ongeveer 2 Bitcoin, wat overeenkomt met ongeveer 42.000 euro. Er wordt geschat dat meer dan 6000 bedrijven zijn getroffen, waaronder Frankrijk, Finland, Canada, de Verenigde Staten, België, het Verenigd Koninkrijk en Duitsland. Italië heeft alarm geslagen vanwege de grote omvang van de aanval.
ChatGPT wordt waarschijnlijk al gebruikt bij nationale cyberaanvallen
BlackBerry publiceert nieuw onderzoek waaruit blijkt dat de helft (51%) van de IT-professionals voorspelt dat we minder dan een jaar verwijderd zijn van een succesvolle cyberaanval waarbij ChatGPT wordt ingezet. Bijna drie kwart (71%) gelooft dat de technologie in het buitenland mogelijk al gebruikt wordt voor kwaadaardige doeleinden tegen andere landen. Uit het onderzoek blijkt dat internationale respondenten vinden dat ChatGPT over het algemeen voor "goede" doeleinden wordt gebruikt. Toch erkent 74 procent dat het een potentiële bedreiging voor de cyberveiligheid vormt en zegt zich zorgen te maken. Hoewel de meningen verschillen over hoe die dreiging zich zou kunnen manifesteren, is het vermogen van ChatGPT om wereldwijd hackers te helpen bij het opstellen van realistischere en geloofwaardigere e-mails de grootste zorg (53%). Gevolgd door de mogelijkheid voor minder ervaren hackers om hun technische kennis te verbeteren en meer gespecialiseerde vaardigheden te ontwikkelen (49%) en het gebruik ervan voor het verspreiden van desinformatie (49%). Shishir Singh, Chief Technology Officer, Cybersecurity bij BlackBerry legt uit: "De invloed van ChatGPT in de cyberindustrie zal op termijn ongetwijfeld toenemen. We hebben allemaal veel hypes en bangmakerij gezien, maar de tendens in de industrie blijft vrij pragmatisch - en met een reden. Er zijn veel voordelen te behalen met deze geavanceerde technologie en we beginnen nog maar net, maar we moeten ook denken aan de mogelijke gevolgen. Naarmate de volwassenheid van het platform toeneemt, neemt ook de ervaring van hackers om toe het in te zetten. Dit zorgt ervoor dat het steeds moeilijker wordt om onszelf te verdedigen zonder zelf ook AI te gebruiken."
Door ransomware getroffen VMWare ESXi-servers soms te herstellen
Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid. "Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet." Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties.
Nog vier aanvallen op de gezondheidszorg in Amerika
Het is misschien weekend, maar er is geen rust voor de vermoeiden als het gaat om het volgen van aanvallen op de gezondheidszorg. Hier zijn nog vier incidenten waar je misschien nog nooit van hebt gehoord:
Cardiovasculaire medewerkers
Cardiovascular Associates ("CVA") stelt enkele van hun patiënten op hun locaties in Alabama op de hoogte van een hackincident dat op 5 december 2022 is ontdekt. Uit hun onderzoek bleek dat een onbevoegde derde partij tussen 28 november 2022 en 5 december 2022 toegang had tot en exfiltreerde sommige gegevens van het netwerk. De melding van CVA zwijgt volledig of dit incident betrekking had op ransomware of losgeldaanvraag(en).
De persoonlijke informatie die bij dit incident betrokken is, kan een of meer van de volgende elementen bevatten:
- demografische informatie om de patiënt te identificeren en contact op te nemen, zoals volledige naam, geboortedatum en adres;
- Burgerservicenummer;
- ziektekostenverzekeringsinformatie, zoals naam van verzekeraar/overheidsbetaler en leden-ID, polis en/of groepsnummer;
- medische en behandelingsinformatie, zoals medisch dossiernummer, dienstdata, namen van zorgverleners en faciliteiten, andere bezoek-, procedure- en diagnose-informatie, en mogelijk beoordelingen, tests en beeldvorming;
- facturerings- en claiminformatie, zoals account- en/of claimstatus, facturerings- en diagnostische codes en betalerinformatie;
- paspoort en rijbewijsnummer;
- creditcard- en bankpasgegevens; en
- financiële rekeninginformatie.
CVA merkt op dat niet alle gegevenselementen voor alle personen betrokken waren.
U kunt hun kennisgeving lezen aan het kantoor van de procureur-generaal van Californië en een begeleidende veelgestelde vragen over het incident. Het incident staat nog niet op de openbare inbreuktool van HHS, dus we weten niet hoeveel getroffen patiënten is.
Regal Medische Groep
Regal Medical Group, Lakeside Medical Organization, ADOC Medical Group en Greater Covina Medical (gezamenlijk "Regal") hebben patiënten op de hoogte gebracht van een inbreuk die het gevolg was van een ransomware-aanval.
In hun kennisgeving van 1 februari schrijft Regal dat ze zich voor het eerst bewust werden van de inbreuk van 1 december op 8 december 2022. Op 2 december merkten ze moeite met toegang tot sommige servers en ontdekten ze malware op sommige servers. Die malware resulteerde in toegang tot en exfiltratie van sommige gegevens.
Persoonlijke informatie die mogelijk is beïnvloed, omvat
naam, burgerservicenummer (voor bepaalde, maar niet alle, potentieel getroffen personen), geboortedatum,
adres, diagnose en behandeling, laboratoriumtestresultaten, receptgegevens, radiologierapporten, lidnummer van het gezondheidsplan en telefoonnummer.
Regal's kennisgeving aan het kantoor van de procureur-generaal van Californië identificeert niet het type ransomware, of ze losgeld hebben ontvangen en of ze losgeld hebben betaald, maar vanaf publicatie is geen van de entiteiten van de Regal Group verschenen op een dark webleksite die wordt beheerd door verschillende ransomwarebendes.
Het incident is nog niet gepost op de openbare inbreuktool van HHS, dus we weten nog niet het totale aantal getroffen patiënten.
Ziekenhuisdistrict Zuidoost-Colorado
Op 6 december werd Southeast Colorado Hospital District ("SECHD") zich bewust van verdachte activiteiten met betrekking tot het e-mailaccount van één SECHD-medewerker. Uit een onderzoek bleek dat een onbevoegde derde partij tussen 23 november en 5 december op verschillende tijdstippen toegang had gekregen tot het e-mailaccount.
Beoordeling van het e-mailaccount van de werknemer onthulde de persoonlijke informatie van sommige personen die mogelijk het volgende omvatte:
naam, burgerservicenummer, rijbewijsnummer, geboortedatum, medische behandelings- of diagnose-informatie en/of ziektekostenverzekeringsinformatie.
Schriftelijke brieven werden op 3 februari naar de getroffenen gestuurd. U kunt een kopie van hun melding lezen op hun website.
SECHD heeft ook een kennisgeving ingediend bij het kantoor van de procureur-generaal van Montana, maar het lijkt erop dat dat kantoor door een administratieve fout de verkeerde kennisgeving heeft geüpload.
Dit incident verschijnt niet op de inbreuktool van HHS op het moment van publicatie. Of het zal verschijnen of niet, kan afhangen van het feit of dat e-mailaccount informatie had over meer dan 500 patiënten.
Jackson & Joyce Familie Tandheelkunde
Van de vier incidenten in dit bericht is de Jackson Joyce Family Dentistry de enige waarvoor we geen melding of zelfs maar erkenning van de entiteit hebben.
De tandartspraktijk van Ocala, Florida werd op 3 februari toegevoegd aan de leksite van LockBit 3.0 met verschillende screenshots als bewijs van beweringen. DataBreaches vond geen kennisgeving op de website of het sociale media-account van de tandheelkundige groep en stuurde een e-mailvraag naar de beweerde aanval. Er is geen antwoord geweest. Hoewel de screenshots overtuigend lijken, wordt dit incident op dit moment als onbevestigd behandeld.
Cybercriminelen misbruiken kwetsbaarheid ESXi-systemen
Via collega CERT-organisaties en particuliere onderzoekers heeft het NCSC informatie ontvangen dat een ernstige, twee jaar oude kwetsbaarheid in VMWare ESXi wederom actief wordt misbruikt. Dit keer om ransomware te plaatsen op ESXi-systemen die nog niet voorzien zijn van de beveiligingsupdate. Het NCSC heeft voor deze kwetsbaarheid in 2021 een beveiligingsadvies gepubliceerd. In dat jaar is reeds actief misbruik waargenomen. Het beveiligingsadvies heeft de inschaling HIGH/HIGH. Het NCSC adviseert nogmaals met klem om ESXi-systemen te voorzien van alle benodigde beveiligingsupdates.
Cybercriminelen misbruiken op grote schaal Google-advertenties
Cybercriminelen maken op grote schaal gebruik van Google-advertenties om internetgebruikers die naar bekende software zoeken met malware te infecteren. Dat stellen Spamhaus en Abuse.ch. Wie bijvoorbeeld op Thunderbird, Microsoft Teams, GIMP, Tor Browser of CCleaner zoekt krijgt advertenties te zien die zogenaamd naar de officiële website van de betreffende software wijzen. In werkelijkheid gaat het om malafide websites die malware aanbieden. De afgelopen maanden is herhaaldelijk voor deze werkwijze van criminelen gewaarschuwd, maar Google slaagt er maar niet in om de situatie onder controle te krijgen. Het lijkt zelfs juist erger te worden. Volgens de Zwitserse beveiligingsonderzoeker en oprichter van Abuse.ch Roman Hüssy is er waarschijnlijk een partij actief die het verspreiden van malware via Google-advertenties als dienst aan criminelen aanbiedt. Daarnaast blijkt uit onderzoek dat malafide advertenties voor dezelfde zoekopdrachten verschillende malware verspreiden, wat ook op "malvertising as a service" duidt, aldus Spamhaus. De malware die via de advertenties wordt verspreid is voornamelijk ontwikkeld om wachtwoorden en andere inloggegevens te stelen. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker.
IcedID #malvertising tricking users searching for Thunderbird on Google Search ⚠️🚨
— abuse.ch (@abuse_ch) January 30, 2023
IcedID payload hosted on Cloud Storage for Firebase:
🌐 https://t.co/LrKGsYA45Y
IcedID payload:
🪲 https://t.co/1p3VnHkJOk
IcedID C2:
🔥 https://t.co/Bl6xS4cnNK
/cc @GoogleAds pic.twitter.com/6o0TQ3HmSI
A search for Microsoft Teams on Google currently leads to a rogue ad spreading #IcedID 🔍👀
— abuse.ch (@abuse_ch) February 1, 2023
Payload domains:
🌐 teams-mss .online
🌐 mlcrosofteams-us .top
Payload:
📄 https://t.co/uC6kY3tXBT
IcedID C2:
🔥restorahlith .com @tucows
Full list of IOCs:
📣 https://t.co/KMHb65pLKy pic.twitter.com/YwaMQ2wbk6
Malvertising on Google Search spreading MetaStealer trojan 📣
— abuse.ch (@abuse_ch) January 31, 2023
🔥gimptop .life @namesilo
🔥tor-brows .store @Namecheap
MetaStealer botnet C2:
uiouaqcqqcgueweg .xyz @Namecheap
Payload hosted on Dropbox:
🌐 https://t.co/tlexKP7rWO
Payload:
📄 https://t.co/r5JJqZnp1h pic.twitter.com/KkmN5kX1oq
Rogue ad campaigns on @GoogleAds continue 😑 This time threat actors are targeting users searching for @CCleaner on Google Search with Vidar credentials stealer 🔥
— abuse.ch (@abuse_ch) February 3, 2023
C2: 95.217.246.37:80
Payload hosted on @Dropbox:
🌐 https://t.co/fWVsnfFm0F
Payload:
⚙️ https://t.co/BHxMAbluXM pic.twitter.com/1PvfkqBewR
Amerikaans ziekenhuis annuleert operaties wegens cyberaanval
Een groot ziekenhuis in Florida heeft alle niet-dringende operaties en behandelingen wegens een cyberaanval geannuleerd. Ook worden ambulances omgeleid naar andere ziekenhuizen. Alleen de meest ernstige trauma's worden nog toegelaten. In de Amerikaanse media wordt over een mogelijke ransomware-aanval gesproken. De cyberaanval op Tallahassee Memorial HealthCare vond in de nacht van donderdag op vrijdag plaats. Uit voorzorg werd besloten om alle it-systemen gisteren uit te schakelen, aldus het ziekenhuis in een verklaring. Vanwege de situatie is besloten alle niet-dringende operaties en behandelingen te annuleren en te verplaatsen. Ook worden ambulances omgeleid. Om wat voor aanval het precies gaat laat het ziekenhuis niet weten. Wel zijn opsporingsdiensten ingelicht en wordt hiermee samengewerkt. Gisteren aan het eind van de middag meldde het ziekenhuis dat het "IT system downtime protocol" nog steeds van kracht is. Het ziekenhuis telt bijna achthonderd bedden en vierduizend medewerkers.
CDA vraagt maatregelen DDoS aanval
Het CDA heeft minister Kuipers van Volksgezondheid naar de meest effectieve maatregelen tegen ddos-aanvallen gevraagd. Aanleiding zijn de recente ddos-aanvallen op de websites van Nederlandse ziekenhuizen. Door de aanvallen waren onder andere websites van het Universitair Medisch Centrum Groningen (UMCG) tijdelijk onbereikbaar. Naar aanleiding van de aanvallen heeft het CDA vandaag Kamervragen gesteld. "Welke acties worden ondernomen om adequaat op deze cyberaanvallen te reageren en de gevolgen voor de zorg in Nederland zoveel mogelijk te beperken? Hoe worden de betreffende ziekenhuizen ondersteund?", vraagt CDA-Kamerlid Bontenbal aan Kuipers. "Wat zijn de meest effectieve maatregelen om DDoS-aanvallen te pareren?", wil de CDA'er verder weten. Afgelopen woensdag meldde het Nationaal Cyber Security Centrum (NCSC) dat de aanvallen succesvol worden afgeslagen. Bontenbal wil ook de garantie van de minister dat overheidsinstanties die dreigingsinformatie ontvangen dit snel en volledig met de betreffende bedrijven en sectoren kunnen delen. "Zijn er op dit moment wettelijke beperkingen die het delen van dreigingsinformatie bemoeilijken en zo ja, welke zijn dat specifiek", vraagt het CDA-Kamerlid verder. De minister moet tevens duidelijk maken of er in Europees verband wordt samengewerkt om de ddos-aanvallen tegen te gaan en of er zaken zijn die Nederland op dit gebied van andere landen kan leren. Kuipers heeft drie weken om de vragen te beantwoorden.
Cyberaanvallen op SugarCRM en Oracle E-Business Suite kwetsbaarheid
De Amerikaanse overheid waarschuwt voor actief misbruik van kwetsbaarheden in SugarCRM en Oracle E-Business Suite. Via de beveiligingslekken kunnen aanvallers volledige controle over kwetsbare systemen krijgen. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee verdere aanvallen mogelijk zijn. Begin januari werd bekend dat honderden SugarCRM-servers via de kwetsbaarheid waren gecompromitteerd. SugarCRM kwam eerst met een hotfix, gevolgd door een beveiligingsupdate en meer informatie. Het probleem (CVE-2023-22952) bevindt zich in de Email Templates van SugarCRM. Door middel van een speciaal geprepareerd request is het mogelijk om via Email Templates PHP-code te injecteren. Dit is mogelijk doordat de invoer van gebruikers niet wordt gecontroleerd. Elke gebruiker kan misbruik van de kwetsbaarheid maken, er zijn geen speciale rechten vereist. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek in Oracle E-Business Suite heeft een impactscore van 9.8 en is zonder authenticatie op afstand te misbruiken. De kwetsbaarheid is specifiek in de Oracle Web Applications Desktop Integrator aanwezig. Via deze tool is het mogelijk om Oracles E-Business Suite-applicaties met desktopapplicaties zoals Microsoft Word of Excel te integreren. Afgelopen oktober kwam Oracle met een update voor de kwetsbaarheid (CVE-2022-21587). Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties opdragen om de betreffende patches voor deze beveiligingslekken voor een bepaalde datum te installeren. De lijst is nu uitgebreid met de kwetsbaarheden in SugarCRM en Oracle E-Business Suite. Federale overheidsinstanties die de software gebruiken moeten die voor 23 februari patchen. Details over de waargenomen aanvallen zijn niet gegeven.
Killnet kondigt DDoS aanvallen aan op Amerikaanse medische sector
‼️Объявляем крупнейшую Ddos-атаку на медицинский сектор США. Призываем всех неравнодушных хактивистов присоединиться к мероприятию.
Vertaling:
‼️We kondigen de grootste DDoS-aanval op de Amerikaanse medische sector aan. We roepen alle betrokken hacktivisten op om deel te nemen aan het evenement.
Ziekenhuizen en online zorgverleners
https://www.massgeneral.org/ - de hoofdsite van het grootste militaire hospitaal
https://molbio-api.massgeneral.org/ - API
https://giving.massgeneral.org/donate - donaties
https://globalhealth.massgeneral.org/
https://partnershealthcare.okta.com/ - bedrijfslogin
https://spine.massgeneral.org/ - beheerderspaneel
https://webamoss.cbp.dhs.gov/login - corp login Department of Homeland Security
https://mychartwa.providence.org/mychart/Authentication/Login? - de grootste Medicine-login in de VS
https://providenceaccounts.b2clogin.com/
https://www.providence.org/
https://www.swedish.org/
https://virtual.swedish.org/ - virtuele sessie met de dokter
https://www.uchealth.org/
https://stage.uchealth.org/
https://giftshop.uchealth.org/
https://app.powerbi.com/
https://tpa.uchealth.org/
https://msowprodapp.uchealth.org/ - Log in
https://login.microsoftonline.com/ - sorry microsoft
https://myapps.uchealth.org/logon/LogonPoint/tmindex.html - inloggen
https://nyp.org/ - Het grootste ziekenhuis van New York
https://nyulangone.org/
https://connect.nyulangone.org/
https://healthlink.nyulangone.org/
https://jacksonhealth.org/ - Het grootste ziekenhuis in Miami
https://transplant.jacksonhealth.org/ – Transplantologie
https://www.adventhealth.com/ (СloudFlare)
https://login.adventhealth.com/dataark/ - inloggen
https://portal.realtimemed.com/login/
https://telehealth.adventhealth.com/ - videodokter
https://ahvpn02.adventhealth.com/+CSCOE+/logon.html - vpn
https://realtimemed.com/
https://status.realtimemed.com/ - online systeemstatus
https://stage.realtimemed.com/login - inloggen
https://qa-linux.admin.realtimemed.com/login - Alleen VPN-toegang (login)
https://www.livewellah.org/
https://livewell.aah.org/chart/billing/guestpay/ – Loginka
https://wsit.aah.org/logon/LogonPoint/index.html - inloggen
https://www.umms.org/ummc
https://appt.umms.org/ - inloggen
https://myremote.umms.org/logon/LogonPoint/index.html - inloggen
https://refills.umms.org/
https://menshealth.mayoclinic.org/
Ziekenhuizen per staat
Maryland
https://www.holycrosshealth.org
Massachusetts
https://www.brighamandwomensfaulkner.org
Michigan
https://uofmhealthwest.org
Minnesota
https://www.granditasca.org
Mississippi
https://www.qchospital.org
Missouri
https://www.tcmh.org
Montana
https://www.logan.org
https://www.nebraskamed.com
Nevada
https://www.bchcares.org/
New Hampshire
https://www.exeterhospital.com/
New Jersey
https://www.hudsonregionalhospital.com
New Mexico
https://lovelace.com
New York
https://www.nychealthandhospitals.org
Noord Carolina
https://www.wakemed.org
Noord-Dakota
https://www.trinityhealth.org
Ohio
https://wexnermedical.osu.edu
Oklahoma
https://lakeside-wh.com
Oregon
https://bayareahospital.org
Pennsylvania
https://www.conemaugh.org
Rhode Island
https://www.westerlyhospital.org
zuid Carolina
https://prismahealth.org
zuid Dakota
https://bhsh.com
Tennessee
https://www.erlanger.org
Texas
https://www.texashealth.org
Utah
https://intermountainhealthcare.org
Ransomware-aanval op gegevensbedrijf ION kan dagen duren om te herstellen
Een ransomware-aanval die ION Trading UK heeft getroffen kan dagen duren om te herstellen, waardoor tientallen brokers geen derivatentransacties meer kunnen verwerken, aldus bronnen die bekend zijn met de zaak tegen Reuters. ION Group, het moederbedrijf van het financiële data bedrijf, zei in een verklaring op haar website dat de aanval dinsdag begon. "Het incident is beperkt tot een specifieke omgeving, alle getroffen servers zijn losgekoppeld en het herstel van de diensten is gaande", aldus ION Group, die verzoeken om verder commentaar afwees. De Britse Financial Conduct Authority en de Prudential Regulation Authority zeiden donderdag: "We zijn ons bewust van dit lopende incident en blijven samenwerken met onze tegenhangers en de getroffen bedrijven." Onder de vele klanten van ION die waarschijnlijk getroffen zijn, zijn ABN Amro Clearing en Intesa Sanpaolo, de grootste bank van Italië. De Futures Industry Association zei dat de problemen bij ION de handel in en clearing van op de beurs verhandelde financiële derivaten hadden beïnvloed, hoewel er geen berichten waren over margeproblemen op de financiële markten. ABN liet haar klanten woensdag weten dat door een "technische storing" bij ION sommige toepassingen niet beschikbaar waren en dat dit naar verwachting een aantal dagen zo zou blijven. Een bron met kennis van de zaak zei dat de aanval brokers die complexe over-the-counter transacties verwerken met producten zoals opties in een moeilijke situatie bracht en dat het nog vijf dagen kon duren om het probleem te verhelpen. Lockbit zei dat het gestolen gegevens zou publiceren op 4 februari als ION Group geen losgeld zou betalen, bleek uit een screenshot van de blog van de groep op het dark web op darkfeed.io, een website die ransomware groepen volgt. Lockbit ransomware is ontdekt in veel landen, met organisaties in de Verenigde Staten, India en Brazilië als gemeenschappelijke doelwitten, aldus cyberbeveiligingsbedrijf Trend Micro.
Oud-president hint erop dat Rusland gekraakte software zal legaliseren
De Russische oud-president Dmitri Medvedev heeft gezegd dat Rusland het gebruik van gekraakte software mogelijk zal legaliseren. Hij bedankte de makers van software die het mogelijk maken om betaalde software gratis te gebruiken. Medvedev noemt het een 'vergeldingsactie op intellectueel eigendom'. Veel softwarebedrijven mogen niet langer handelen met Rusland door de sancties die vorig jaar na de inval in Oekraïne tegen het land zijn ingesteld. Daarom is Rusland aangewezen op gekraakte software, zegt Medvedev. De oud-president staat bekend als rechterhand van de huidige president Vladimir Poetin. Hij was president van 2008 tot 2012 en premier van 2012 tot 2020. De politicus bedankt de ontwikkelaars die het mogelijk hebben gemaakt om betaalde software gratis te gebruiken. Volgens Torrentfreak is Rusland bezig met wetgeving die streamingdiensten en bioscopen toestaat om films zonder licentie te laten zien. Omdat dat in strijd is met internationale verdragen, zouden zij mogelijk wel betalen voor het gebruik ervan.
Minister Wiersma steunt meldplicht cyberaanvallen
Minister Wiersma voor Primair en Voortgezet Onderwijs is voorstander van een meldplicht die scholen verplicht om cyberaanvallen bij het ministerie van Onderwijs te melden. Dat liet de bewindsman weten in reactie op een motie van de VVD die tijdens een debat over digitalisering in het onderwijs werd ingediend door VVD-Kamerlid El Yassini. Volgens El Yassini worden scholen steeds vaker doelwit van cyberaanvallen, maar is er geen overzicht van alle aanvallen waar scholen mee te maken krijgen. Uit angst voor voor reputatieschade kunnen scholen cyberaanvallen stil houden, aldus het VVD-Kamerlid. Daardoor kunnen andere scholen niet leren van de methodes die de aanvallers gebruikten en zo hun eigen beveiliging verbeteren. Een meldplicht moet hier verandering in brengen, zo stelt het Kamerlid. Wiersma laat weten dat hij voor een meldplicht is. "Het is belangrijk dat scholen zich ergens kunnen melden als ze te maken krijgen met een hack of een cyberincident." De Tweede Kamer moet nog over de motie stemmen. Vorig jaar werd een Computer Emergency Response Team (CERT) voor het primair en voortgezet onderwijs aangekondigd. Wanneer het CERT operationeel is zal er ook een meldplicht voor cyberincidenten gaan gelden. Scholen moeten incidenten dan verplicht rapporteren.
Microsoft waarschuwt voor 100 ransomware criminelen
Microsoft Intelligence onderzoek toont aan dat er op dit moment meer dan 100 cybercriminelen of groepen actief zijn die ransomware als hoofdwapen gebruiken en aanbieden als een dienst. Dit werd gedeeld in een Twitter-thread over ransomware door de techgigant. Volgens de Twitter-posts hebben de securityteams van de techgigant meer dan 100 ‘threat actors’ in het vizier die ransomware verspreiden tijdens aanvallen. Inmiddels zouden ook meer dan 50 unieke ransomwarefamilies actief gevolgd worden. Op dit moment signaleert de techgigant de Lockbit Black-, BlackCat- (aka ALPHV), Play-, Vice Society-, Black Basta-, & Royal-ransomware payloads als de meest prominente bedreigingen. In het onderzoek constateert Microsoft verder dat verspreiders van ransomware steeds vaker dezelfde strategie gebruiken. Het inbreken en de manier waarop ze door netwerken bewegen is steeds beter te monitoren. Daarnaast geeft Microsoft aan dat aanvallers steeds meer vertrouwen op aanvalstactieken die verder gaan dan bijvoorbeeld phishing. Recent ontdekte aanvallen als DEV-0671 en DEV-0882 richten zich bijvoorbeeld op recent gepatchte Exchange-kwetsbaarheden. Doel hiervan is kwetsbare servers te compromitteren en daarop Cuba- en Play-ransomware uit te rollen.
Some of the most prominent ransomware payloads in recent campaigns include Lockbit Black, BlackCat (aka ALPHV), Play, Vice Society, Black Basta, & Royal. Defense strategies, however, should focus less on payloads but more on the chain of activities that lead to their deployment.
— Microsoft Security Intelligence (@MsftSecIntel) January 31, 2023
Malware blokkeert contactloze betaalautomaten
Onderzoekers hebben malware voor betaalautomaten ontdekt die contactloze creditcardbetalingen blokkeert, zodat slachtoffers worden gedwongen hun kaart in het apparaat te steken, waarna creditcardgegevens kunnen worden gestolen. Dat meldt antivirusbedrijf Kaspersky. Malware voor "point of sale" terminals bestaan al jaren. Via het besmette betaalsysteem worden creditcardgegevens uitgelezen en opgeslagen. De aanvallers kunnen de data vervolgens verkopen of voor fraude gebruiken. Een bekend malware-exemplaar dat kassasystemen kan infecteren is Prilex. Onderzoekers ontdekten eind vorig jaar verschillende nieuwe varianten die op een besmette betaalautomaat contactloze creditcardbetalingen kan blokkeren. Contactloze transacties genereren vaak een uniek ID of kaartnummer dat slechts voor één transactie geldig is. Het is daardoor niet bruikbaar voor cybercriminelen, aldus de onderzoekers. Om ervoor te zorgen dat slachtoffers hun creditcard toch in de automaat steken, en de data van de transactie kan worden uitgelezen, is de malware in staat om contactloze betalingen te blokkeren. De betaalautomaat laat gebruikers dan een foutmelding zien waarin staat dat ze hun kaart in de automaat moeten steken. Kaspersky merkt op dat er wereldwijd steeds meer contactloos wordt betaald. "Door deze slimme truc kan de bende zich bezig blijven houden met creditcardfraude", aldus de virusbestrijder.
Amerikaans schooldistrict al twee dagen gesloten wegens ransomware
Een Amerikaans schooldistrict is wegens een ransomware-aanval al twee dagen gesloten. De aanval op Nantucket Public Schools deed zich dinsdagochtend voor en zorgde ervoor dat systemen van leerlingen en personeel zijn uitgeschakeld, alsmede veiligheidssystemen, waaronder telefoons en beveiligingscamera's. Het schooldistrict telt bijna dertienhonderd leerlingen. Uit voorzorg werd besloten de scholen dinsdagmiddag te sluiten. Ook gisteren werd er geen les gegeven. Volgens de directrice van het schooldistrict zijn veel van de systemen met elkaar verbonden, waaronder de Chromebooks van de leerlingen, het telefoonsysteem, beveiligingscamera's en zelfs de kopieerapparaten. Het uitschakelen van het netwerk zorgt dan ook voor een grote verstoring waardoor zowel studenten als leraren geen toegang tot hun gegevens hebben. De voornaamste reden dat de scholen gesloten zijn is vanwege veiligheid, aldus één van de leraren tegenover de National Public Radio. "We hebben geen telefoons. We hebben geen camera's. Het is duidelijk een echt ongemak voor de leraren, maar de veiligheid is de reden voor de sluiting." Hoe de aanval kon plaatsvinden en om welke ransomware het gaat is niet bekendgemaakt.
NCSC: "Op dit moment worden de ddos-aanvallen succesvol gemitigeerd en de impact van de aanvallen is beperkt"
Ddos-aanvallen op de websites van Nederlandse ziekenhuizen worden op dit moment succes afgeslagen, zo stelt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Begin deze week waren websites van het Universitair Medisch Centrum Groningen tijdelijk onbereikbaar door een ddos-aanval, die afgelopen zaterdag begon. "Collega's van de ict-afdeling hebben samen met de leverancier van de servers hard gewerkt om de gevolgen van de ddos-aanval op te lossen. Dat is vanavond gelukt door een extra 'verdedigingslinie' in te bouwen. De ddos-aanval op de website van het UMCG is dus nog steeds aan de gang, maar de website kan de aanval met deze aanpassing afwenden", aldus het ziekenhuis afgelopen maandag. Naast websites van ziekenhuizen werd ook de site van Z-Cert, het Computer Emergency Response Team voor de Nederlandse zorg, doelwit van een aanval waardoor die mogelijk minder beschikbaar is geweest. "Op dit moment worden de ddos-aanvallen succesvol gemitigeerd en de impact van de aanvallen is beperkt", zo laat het NCSC vandaag weten. De overheidsinstantie stelt verder dat het in contact staat met haar nationale en internationale samenwerkingspartners en de situatie monitort.
Voor alle duidelijkheid bovenstaande overzicht heeft aan als een website/ip bereikbaar is. Waarbij gekeken wordt uit diverse landen. Dit overzicht heeft dus aan dat z-cert nergens in de wereld bereikbaar was op het moment van de DDoS aanvallen van Killnet.
Wat is Z-Cert, Computer Emergency Response Team voor de Nederlandse zorg.
Killnet wil bondgenoten van Oekraïne straffen, 31 Nederlandse ziekenhuizen op de korrel
Meerdere Nederlandse ziekenhuizen zuchten momenteel onder zware ddos-aanvallen afkomstig van de pro-Russische hackersgroep Killnet. Z-Cert, het expertisecentrum voor cybersecurity in de zorg, onderzoekt momenteel welke ziekenhuizen worden aangevallen en hoeveel hinder ze hiervan ondervinden. Killnet richt zijn digitale pijlen in ieder geval op 31 Nederlandse ziekenhuizen. Een woordvoerder van Z-Cert kon dinsdag middag nog geen exact aantal noemen omdat niet alle ziekenhuizen hierover naar buiten treden. Ook de website van Z-Cert heeft last van de Russische aanvallen. Voorlopig zijn er nog geen aanwijzingen dat de patiëntveiligheid hierdoor in gevaar komt. Overigens is het de Russen daar wel om te doen. Killnet roept via Telegram op tot cyberaanvallen tegen ziekenhuizen in landen die Oekraïne helpen zich tegen de Russen te verdedigen. Ook Amerikaanse ziekenhuizen en zorginstellingen worden bestookt. Zeker vijftien sites gingen korte of langere tijd plat. Killnet heeft Russische media laten weten dat in totaal 31 Nederlandse ziekenhuizen op een lijst staan van te aanvallen instellingen. Ook worden ddos-aanvallen uitgevoerd op ziekenhuizen in Scandinavië, Polen, het Verenigd Koninkrijk en Duitsland. De website van het UMCG was afgelopen zaterdag en zondag uit de lucht, maar sinds maandag is het UMCG online weer grotendeels bereikbaar. Het Groningse ziekenhuis wist vrij snel een verdedigingslinie op te bouwen. Het verkeer van de ddos-aanval wordt nu omgeleid zodat er meer ruimte ontstaat voor de echte bezoekers. Probleem is wel dat de aanvallen in golven komen. Naast het Universitair Medisch Centrum Groningen (UMCG) behoort ook het Maastricht UMC tot de doelwitten. Het universitair medisch centrum in de Limburgse hoofdstad ligt sinds afgelopen weekeinde onder vuur. De website was twee keer korte tijd onbereikbaar. Volgens een woordvoerder slaagde Maastricht er tot nog toe goed in de aanvallen te weerstaan. Meer info
NFT Investments bevriest gestolen tegoeden na cyberaanval
NFT Investments PLC - Belegt in niet-fungibele tokens - Eerder in januari constateerde NFT Investments een cyberbeveiligingsincident, waardoor de activa van de onderneming 250.000 USD verloren gingen. Op dinsdag, zei dat na de aanval, het onmiddellijk haar juridische team in de VS heeft ingeschakeld en erin geslaagd is een tijdelijk verbod te verkrijgen in Delaware. Als gevolg daarvan is de online portemonnee met de gestolen activa van NFT Investments bevroren en kunnen de activa niet worden verplaatst door de daders. "Er moet een aantal juridische stappen worden genomen om de activa terug te kunnen geven aan NFT Investments en de onderneming werkt samen met haar advocaten om dit te bereiken", voegt NFT toe.
Cybercriminelen misbruiken verificatieproces Microsoft voor phishingaanval via OAuth-apps
Cybercriminelen hebben Microsofts proces voor het verifiëren van uitgevers van OAuth-apps misbruikt voor een phishingaanval, waardoor het leek alsof malafide apps van een betrouwbare uitgever afkomstig waren, zo laten het techbedrijf zelf en securitybedrijf Proofpoint weten. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen, zonder dat die hiervoor hun wachtwoord hoeven af te staan. Gebruikers moeten dergelijke applicaties zelf toegang tot hun account geven, maar zodra dat is gedaan kan de app vervolgens allerlei acties binnen het account uitvoeren, zoals het lezen van e-mail of toegang krijgen tot bestanden. Microsoft heeft een proces waarbij het de uitgevers van OAuth-apps verifieert. Wanneer een app toestemming vraagt voor toegang tot het account krijgt de gebruiker te zien dat de uitgever door Microsoft is gecontroleerd. Afgelopen december ontdekte Microsoft een phishingaanval waarbij aanvallers zich voordeden als legitieme bedrijven en door het techbedrijf als uitgever van OAuth-apps waren geverifieerd. Vervolgens gebruikten de aanvallers hun verificatiestatus voor malafide OAuth-apps die werden ingezet bij phishingaanvallen op organisaties in het Verenigd Koninkrijk en Ierland. Wanneer gebruikers toestemming aan deze apps gaven werd hun e-mail gestolen. Na ontdekking van de aanval heeft Microsoft de door de aanvallers gebruikte accounts en apps uitgeschakeld en klanten gewaarschuwd. Verder stelt het techbedrijf dat het aanvullende maatregelen neemt om het verificatieproces te verbeteren om zo herhaling in de toekomst te voorkomen. Hieronder twee van de malafide apps en de permissies die ze aan gebruikers vroegen.
GitHub trekt certificaten in na hack
GitHub heeft besloten om meerdere eigen certificaten in te trekken nadat een aanvaller op de repositories van het ontwikkelaarsplatform wist in te breken. De maatregel heeft gevolgen voor gebruikers van GitHub Desktop for Mac en Atom, aangezien meerdere versies van deze software vanaf 2 februari niet meer zullen werken. Begin vorige maand ontdekte GitHub ongeautoriseerde toegang tot meerdere repositories gebruikt voor de ontwikkeling van GitHub Desktop en Atom. GitHub Desktop is software die ontwikkelaars via een grafische gebruikersinterface gebruik laat maken van GitHub in plaats van een commandline of browser. Atom is een teksteditor. Een aanvaller wist door middel van een gecompromitteerd Personal Access Token (PAT) van een machine-account de repositories te klonen. Daarbij werden ook meerdere versleutelde certificaten buitgemaakt, gebruikt voor het signeren van code. GitHub stelt dat de certificaten met een wachtwoord waren beveiligd en er geen bewijs van misbruik is. Uit voorzorg is besloten om de betreffende certificaten gebruikt voor GitHub Desktop en Atom in te trekken. Daardoor zullen sommige versies van beide applicaties vanaf 2 februari niet meer werken. De maatregel heeft geen impact voor gebruikers van GitHub Desktop for Windows. Volgens GitHub is er geen risico voor bestaande installaties van de Desktop- en Atom-apps. Mocht een aanvaller de certificaten weten te ontsleutelen is het mogelijk om onofficiële applicaties te signeren waardoor het lijkt alsof ze door GitHub zijn ontwikkeld. Op 4 januari heeft GitHub een nieuwe versie van de Desktop-app uitgebracht die met een nieuw certificaat is gesigneerd. Hoe de PAT kon worden gecompromitteerd laat GitHub niet weten.
Belgische stad Geraardsbergen getroffen door ransomware en datadiefstal
De Belgische stad Geraardsbergen is getroffen door ransomware, waarbij de aanvallers ook claimen gegevens te hebben gestolen. Als de stad het gevraagde losgeld niet betaalt wordt de data openbaar gemaakt. Burgemeester Guido De Padt van Geraardsbergen laat tegenover VRT NWS weten dat de ransomware-aanval een grote impact had. De stad telt zo'n 34.000 inwoners. Details over de aanval en hoe die kon plaatsvinden zijn niet gegeven. Vorig jaar september raakten de computers van de stadsdiensten al geïnfecteerd met de ransomware. Hierdoor was de dienstverlening aan inwoners dagenlang ontregeld. "Dit betekent dat de loketdiensten niet werken en dat e-mails met vertraging zullen worden beantwoord. Voor dringende zaken blijven we wel telefonisch bereikbaar", zo liet een woordvoerder destijds weten. Mogelijk zijn de gegevens bij deze aanval gestolen, meldt Het Laatste Nieuws. Om wat voor gegevens het gaat is onduidelijk. "Er waren geen indicaties dat er belangrijke info is ontvreemd”, aldus wethouder ict Veerle Mertens tegenover Het Nieuwsblad. De ransomware-aanval op Geraardsbergen zou het werk zijn van de LockBit-groep, die eerder toesloeg bij de Britse Royal Mail. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware.
Verschilde ziekenhuizen in verschillende landen doelwit
Ziekenhuizen doelwit van Russische cybercriminelen Killnet. Waaronder ziekenhuizen in Nederland, het Verenigd Koninkrijk, Spanje, Finland, Noorwegen, Polen en Duitsland. Ook in de USA zijn er aanvallen op ziekenhuizen. De DDoS campagne door Killnet is gestart op 28 januari.
Nederland
Achterstand nog niet opgelost bij Hof van Twente
De gemeente Hof van Twente heeft de achterstanden die zijn opgelopen vanwege de cyberaanval eind 2020 nog niet weggewerkt. Inwoners in Hengevelde en rest van Hof van Twente kregen voor de cyberaanval de aanslagen voor de gemeentelijke belastingen zoals rioolheffing, de afvalstoffenheffing en de onroerendezaakbelastingen eind februari in de bus. Dat gaat dit jaar nog niet lukken vanwege de nog niet geheel ingelopen achterstanden. “We proberen om de aanslagen eind april 2023 te versturen”, aldus de gemeente op haar website. De aanslagen voor 2022 zijn eind mei 2022 verstuurd, dit jaar mogen inwoners de aanslag dus een maand eerder verwachten.
Ransomware aanval op Atlantic General Hospital (USA)
Atlantic General Hospital heeft maandagmiddag een zogenaamd ransomware event meegemaakt. Een woordvoerder van het ziekenhuis vertelde 47 ABC dat de oorzaak van de storing wordt onderzocht. Er waren netwerkstoringen, maar de onderbreking van patiënten was beperkt. De Spoedeisende Hulp van het ziekenhuis blijft patiënten ontvangen en behandelen en zal doorgaan met electieve operaties en andere poliklinische procedures. De officieren van Atlantic General Health System blijven open en alle diensten zijn operationeel, met uitzondering van RediScripts, het poliklinische inlooplab van het ziekenhuis, en longfunctietesten en poliklinische beeldvorming.
Ransomware aanval op LSSI
Lutheran Social Services of Illinois (LSSI) heeft onlangs meer dan 184.000 personen op de hoogte gebracht van een inbreuk op de gezondheidszorggegevens, volgens een kennisgeving van inbreuk aan het kantoor van de procureur-generaal van Maine. Op 27 januari 2022 ontdekte LSSI dat het slachtoffer was geworden van een ransomware-aanval. Ondanks de ontdekking van het incident in januari, voltooide LSSI haar gegevensonderzoek pas op 28 december 2022. Tegen die tijd had de sociale dienstverlener vastgesteld dat de onbevoegde partij toegang had tot bestanden met bepaalde gevoelige informatie die werd bewaard op de getroffen systemen. De getroffen gegevens omvatten namen, sofinummers, geboortedata, financiële informatie, biometrische informatie, rijbewijsnummers, informatie over ziektekostenverzekeringen en informatie over medische diagnoses en behandelingen. "LSSI heeft geen aanwijzingen dat informatie die bij dit incident betrokken was, is gebruikt voor identiteitsdiefstal of financiële fraude, en we hebben alle beschikbare maatregelen genomen om individuele informatie te beschermen sinds de ontdekking van het incident", aldus LSSI. "We hebben onze informatiebeveiligingspraktijken herzien en onze bestaande beveiliging versterkt om de kans op een toekomstig incident te verkleinen."
Cyberaanval op Ukrinform door Sandworm
Oekraïense cyberexperts hebben meerdere stukken destructieve malware ontdekt die eerder deze maand werden gebruikt bij een aanval op het nationale nieuwsagentschap van het land (Ukrinform). Het Computer Emergency Response Team van het land (CERT-UA) onthulde in een update dat de aanval op 17 januari bekend werd gemaakt op een Telegram-kanaal "CyberArmyofRussia_Reborn". Nadat een team van CERT-UA door Ukrinform was gevraagd om een onderzoek in te stellen, ontdekte het vijf scripts - "waarvan de functionaliteit is gericht op het schenden van de integriteit en beschikbaarheid van informatie (het schrijven van bestanden/schijven met nul bytes/arbitraire gegevens en de daaropvolgende verwijdering ervan)". De dreigers zouden al op 7 december 2022 ongeautoriseerde toegang op afstand tot het netwerk van Ukrinform hebben verkregen, maar wachtten hun tijd af alvorens de destructieve malware te lanceren. In feite bevatten de vijf monsters één legitiem Windows-hulpprogramma, SDelete. "Er werd vastgesteld dat de aanvallers een mislukte poging deden om de normale werking van de computers van gebruikers te verstoren met behulp van de kwaadaardige programma's CaddyWiper en ZeroWipe, evenals het legitieme SDelete-hulpprogramma (dat moest worden gestart met behulp van 'news.bat')", aldus het rapport. "Tegelijkertijd werd voor de gecentraliseerde distributie van kwaadaardige programma's een group policy object (GPO) aangemaakt, dat op zijn beurt zorgde voor het aanmaken van overeenkomstige geplande taken." De volledige lijst van bij de aanval gebruikte malware/software is: CaddyWiper, ZeroWipe, AwfulShred, BidSwipe en SDelete. CaddyWiper werd voor het eerst ontdekt in maart 2022 aan het begin van de Russische invasie. Onderzoekers die het toen profileerden, zeiden dat het geen kenmerken gemeen had met eerdere destructieve malware die door Rusland werd gebruikt, zoals HermeticWiper, IsaacWiper en WhisperGate. Net als de Ukrinform-aanval werd het ingezet via een GPO, wat aangeeft dat de dreigers controle hadden over het netwerk van het doelwit. "Gelet op de resultaten van het onderzoek menen wij te kunnen stellen dat de cyberaanval is uitgevoerd door de groep UAC-0082 (Sandworm), waarvan de activiteiten in verband worden gebracht met de Russische Federatie", aldus het rapport. Sandworm opereert vanuit het Russische leger (GRU) en is in het verleden in verband gebracht met meerdere destructieve campagnes, waaronder aanvallen op de Oekraïense energie-infrastructuur in december 2015 en de beruchte NotPetya-worm van 2017.
Hackers gebruiken TrickGate-software om Emotet, REvil en andere malware te verspreiden.
Een kwaadaardige live software service genaamd TrickGate wordt al meer dan zes jaar door threat actors gebruikt om endpoint detection and response (EDR) beschermingssoftware te omzeilen. De bevindingen komen van Check Point Research (CPR), die ze eerder vandaag met Infosecurity heeft gedeeld. Beschreven in een nieuw advies, suggereert het onderzoek ook dat verschillende dreigingsactoren van groepen zoals Emotet, REvil, Maze en meer de dienst misbruikten om malware in te zetten. Meer specifiek schat CPR dat in de afgelopen twee jaar tussen de 40 en 650 aanvallen per week werden uitgevoerd met behulp van TrickGate. De slachtoffers bevonden zich voornamelijk in de productiesector, maar ook in het onderwijs, de gezondheidszorg, de financiële sector en zakelijke ondernemingen. "De aanvallen zijn over de hele wereld verspreid, met een verhoogde concentratie in Taiwan en Turkije," schreef CPR. "De populairste malwarefamilie die in de afgelopen twee maanden werd gebruikt is Formbook, goed voor 42% van de totale getraceerde distributie." Volgens CPR wist TrickGate jarenlang onder de radar te blijven door zijn transformerende eigenschap om periodieke veranderingen te ondergaan. "Hoewel de wrapper van de packer in de loop der tijd veranderde, zijn de belangrijkste bouwstenen binnen de TrickGate shellcode nog steeds in gebruik", luidt het advies. Vanuit een technisch standpunt schrijft CPR-beveiligingsonderzoeker Arie Olshtein dat het kwaadaardige programma wordt versleuteld en vervolgens wordt ingepakt met een speciale routine, die op zijn beurt is ontworpen om het beveiligde systeem te omzeilen om te voorkomen dat systemen de payload statisch en tijdens het uitvoeren kunnen detecteren. Verder vertelde CPR malware research and protection group manager Ziv Huyan aan Infosecurity dat het team erin slaagde om de puntjes van eerder onderzoek met elkaar te verbinden en te wijzen op een enkele bewerking die als dienst leek te worden aangeboden. "Het feit dat veel van de grootste dreigingsactoren in de afgelopen jaren TrickGate hebben gekozen als hulpmiddel om verdedigingssystemen te overwinnen, is opmerkelijk," legde Huyan uit. "We volgden het uiterlijk van TrickGate, geschreven door het gebruik van verschillende soorten codetaal en het gebruik van verschillende bestandstypen. Maar de kernstroom bleef relatief stabiel. Dezelfde technieken van zes jaar geleden worden nog steeds gebruikt." Een ander stuk malware dat is ontworpen om detectie te ontwijken is SparkRAT, dat onlangs door de DragonSpark-groep werd ingezet om Oost-Aziatische organisaties als doelwit te nemen.
Russische hackers vallen Gronings ziekenhuis aan
De cyberaanval waar het Universitair Medisch Centrum Groningen (UMCG) sinds zaterdag mee kampt, is afkomstig van de pro-Russische hackersgroep Killnet. Dat stellen specialisten van Z-CERT, de instantie die de zorg bijstaat bij problemen die te maken hebben met cybersecurity. 'Soms houdt het even op, en dan begint het weer', zegt een woordvoerder. Met de aanval lijkt Killnet de daad bij het woord te voegen, eerder kondigde de groep aan aanvallen te zullen uitvoeren op landen die Oekraïne helpen in de oorlog tegen Rusland. Nederlandse instellingen vormen dan ook een doelwit. Volgens Z-CERT, het Computer Emergency Response Team, is het UMCG mogelijk niet het enige ziekenhuis dat slachtoffer is van de aanval, maar is nog onduidelijk of er daadwerkelijk meerdere ziekenhuizen zijn aangevallen. Momenteel ligt alleen de website van het UMCG plat, de site met de medische dossiers van UMCG-patiënten is volgens het ziekenhuis niet gecorrumpeerd. Patiënten kunnen daardoor nog steeds hun ziektegeschiedenis, operaties, medicijnen en afspraken inzien. Volgens het UMCG komt de aanval in golven: 'Soms houdt het even op, en dan begint het weer. Op dit moment is het even rustig, maar we weten niet of het nu dus ook echt stopt', zegt een woordvoerder van het ziekenhuis. Het UMCG is getroffen door een DDoS-aanval, een Distributed Denial of Service. Bij een DDoS-aanval wordt een computersysteem overspoeld met bezoekers, die allemaal tegelijk op het doelwit worden afgestuurd. En dat is precies waar Killnet goed in is en om bekend staat. Politico omschrijft Killnet als 'een groep Russische hacktivisten die zich met cyberaanvallen en desinformatiecampagnes op Europese regeringen, infrastructuur en zelfs het gewaardeerde Eurovisiesongfestival richten, in een poging steun voor Oekraïne in de oorlog af te schrikken'. De groep was vooral in de zomer van 2022 zeer actief met een spervuur van aanvallen op westerse overheidsnetwerken en kritieke infrastructuur, waarbij het op sociale mediakanalen en in de Russische media luidkeels overwinningen claimde. Killnet verschilt radicaal van Ruslands hoogopgeleide hackers die werken voor groepen van zijn inlichtingendiensten, zoals Fancy Bear en Sandworm, die bekendheid hebben gekregen door respectievelijk het hacken van het Amerikaanse Democratic National Committee en het lanceren van de verwoestende ransomware NotPetya. Killnet daarentegen is volgens Politico meer 'een boze, nationalistische online bende gewapend met laagwaardige cyberoffensieve instrumenten en tactieken'. Professionele cyberbeveiligers beschrijven de groep dan ook eerder als hinderlijk dan als een serieuze bedreiging. Killnet maakte naam in 2022 met aanvallen in meer dan tien westerse landen, waaronder Letland, Litouwen, Noorwegen, Italië, de VS en Estland. Een van de meest opvallende aanvallen van de groep was in mei 2022 tegen het Eurovisiesongfestival. Rusland mocht niet deelnemen aan de wedstrijd, waarop de hackersgroep een DDoS-aanval uit probeerde te voeren. De Italiaanse politie verijdelde de aanval.
Usb-malware gebruikt unicode-karakter om bestanden te verbergen
Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem. De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd. De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks. Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft.
Metasploit 6.3 voor Active Directory aanvallen
Securitybedrijf Rapid7 heeft Metasploit Framework 6.3 uitgebracht waarin Kerberos- en Active Directory-aanvallen centraal staan. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Metasploit 6.3 is vooral bedoeld om Active Directory- en Kerberos-gebaseerde aanvallen te stroomlijnen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te verifiëren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken. Zowel Kerberos als Active Directory zijn volgens Rapid7 al vele jaren een geliefd doelwit van zowel pentesters als aanvallers. Daarom is besloten om in Metasploit 6.3 aanvallen die zich hierop richten te stroomlijnen. Zo is het nu mogelijk om gebruikers bij meerdere diensten via Kerberos te authenticeren en meerdere "attack chains" via nieuwe modules uit te voeren. In de aankondiging geeft Rapid7 ook verschillende voorbeelden van hoe de nieuwe modules zijn te gebruiken.
DDoS-aanval op UMCG duurt voort: “We werken hard aan een oplossing”
Het UMCG heeft zondagavond nog altijd te kampen met een DDoS-aanval. Sinds zaterdagmiddag zijn verschillende websites van het ziekenhuis onbereikbaar. Wie zondagavond de website van het UMCG bezoekt, krijgt de melding dat de pagina’s voorlopig niet bereikbaar zijn: “We werken hard aan een oplossing maar het is niet mogelijk om aan te geven hoe lang het gaat duren”, is te lezen. Behalve de hoofdpagina zijn ook nieuws-, research, en onderwijswebsites, die door het ziekenhuis beheerd worden, offline, evenals de pagina Werkenbijhetumcg. Het ziekenhuis laat weten dat de aanval de processen in het ziekenhuis niet belemmert. Wel kunnen bepaalde online-diensten op dit moment niet aangeboden worden. Zo kun je momenteel geen herhaalrecepten aanvragen bij de Academische Huisartsen Praktijk. Ook kun je je hier niet als patiënt aanmelden. Het aanmelden als patiënt bij de afdeling Tandheelkunde en Mondzorg is op dit moment ook niet mogelijk. Tevens kunnen er geen adreswijzigingen doorgegeven worden. Het ziekenhuis gaat maandag bekijken of het nodig is om een telefoonnummer te openen waar dergelijke zaken geregeld kunnen gaan worden. Het patiëntenportaal MijnUMCG is wel bereikbaar.
Hack bij JD Sports
Sportketen JD Sports heeft klanten na een inbraak op een systeem gewaarschuwd voor een datalek met persoonsgegevens. In een vandaag verstuurde e-mail stelt het bedrijf dat het slachtoffer is geworden van een aanval waarbij een aanvaller toegang heeft gekregen tot een systeem met "historische klantgegevens". Het gaat om klanten die van november 2018 tot oktober 2020 bestellingen bij de webshop van JD Sports hebben geplaatst. De gecompromitteerde klantendatabase bevatte naam, bezorg- en factuuradres, e-mailadres, telefoonnummer, bestelgegevens en laatste vier cijfers van de creditcard. Hoe de inbraak kon plaatsvinden, wanneer die precies werd ontdekt en hoeveel klanten zijn getroffen laat JD Sports niet weten. De keten heeft ook in Nederland verschillende winkels.
“We would like to inform you of a security incident that happened over 4 YEARS ago” 🤦♂️ #JDSports pic.twitter.com/coxJBiDx7i
— Jake Moore (@Jake_MooreUK) January 30, 2023
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language