Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In het cyberaanvallen weekoverzicht bespreken we recente aanvallen op bedrijven en organisaties, waaronder Sabena Engineering, Royal Dirkzwager, en Deutsche Bank, alsook de melding van 870 vitale organisaties bij de FBI en aanvallen op de gemeente Krimpen aan den IJssel en bezoekers van de Amsterdamse Waterleidingduinen. Lees verder voor een gedetailleerd dag-tot-dag verslag van de gebeurtenissen van afgelopen week.
Laatste wijziging op 20-maart-2023
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|---|
jaureguy.com.ar | LockBit | jaureguy.com.ar | Argentina | Wholesale Trade-non-durable Goods | 19-mrt.-23 |
stavinvest.cz | LockBit | stavinvest.cz | Czech Republic | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 19-mrt.-23 |
hitzler-ingenieure.de | LockBit | hitzler-ingenieure.de | Germany | Construction | 19-mrt.-23 |
id-logistics.com | LockBit | id-logistics.com | France | Motor Freight Transportation | 19-mrt.-23 |
bbsautomation.com | LockBit | bbsautomation.com | Germany | Machinery, Computer Equipment | 19-mrt.-23 |
spoormaker.co.za | LockBit | spoormaker.co.za | South Africa | Engineering Services | 19-mrt.-23 |
FABREGA MOLINO (fmm.com.pa) | BlackCat (ALPHV) | fmm.com.pa | Panama | Legal Services | 18-mrt.-23 |
Law Firm Vazquez Nava Consultores y Abogados, S.C | Medusa | www.vazqueznava.com | Mexico | Legal Services | 18-mrt.-23 |
Sutton and Jacobs | Royal | www.sutton-jacobs.com | USA | Legal Services | 18-mrt.-23 |
Collins Electrical | BlackCat (ALPHV) | collinselectric.com | USA | Electric, Gas, And Sanitary Services | 18-mrt.-23 |
James Group | BlackCat (ALPHV) | www.jamesgroupintl.com | USA | Transportation Services | 18-mrt.-23 |
boothtransport.com | LockBit | boothtransport.com | Australia | Motor Freight Transportation | 17-mrt.-23 |
Stanley Steemer | PLAY | www.stanleysteemer.com | USA | Miscellaneous Services | 17-mrt.-23 |
A&T group of companies | PLAY | www.atglobalsolutions.eu | Poland | Wholesale Trade-non-durable Goods | 17-mrt.-23 |
Berga Recycling | PLAY | www.bergarecycling.com | Canada | Miscellaneous Services | 17-mrt.-23 |
Pine Tree Commercial Realty | PLAY | www.pinetree.com | USA | Real Estate | 17-mrt.-23 |
Norman Shutters | PLAY | www.normanusa.com | USA | Miscellaneous Manufacturing Industries | 17-mrt.-23 |
TaxAssist Accountants | PLAY | www.taxassist.co.uk | UK | Accounting Services | 17-mrt.-23 |
draftPros | PLAY | www.draftpros.com | USA | Construction | 17-mrt.-23 |
DGM Industrie | Royal | www.dgm-industrie.fr | France | Machinery, Computer Equipment | 17-mrt.-23 |
AAA Energy Service | Royal | www.aaaenergy.com | USA | Construction | 17-mrt.-23 |
r-pac.com | LockBit | r-pac.com | USA | Miscellaneous Manufacturing Industries | 17-mrt.-23 |
Dancenter | BlackCat (ALPHV) | www.dancenter.com | Denmark | Lodging Places | 17-mrt.-23 |
Optieng | BlackCat (ALPHV) | optieng.com | Portugal | Machinery, Computer Equipment | 17-mrt.-23 |
Guardian Capital | BlackCat (ALPHV) | www.guardiancapital.com | Canada | Security And Commodity Brokers, Dealers, Exchanges, And Services | 17-mrt.-23 |
Ring: Security Systems | BlackCat (ALPHV) | ring.com | USA | Management Services | 17-mrt.-23 |
WALSHALBERT | BlackCat (ALPHV) | walshalbert.com | USA | Construction | 17-mrt.-23 |
npauctions.com | BlackCat (ALPHV) | npauctions.com | USA | Automotive Dealers | 17-mrt.-23 |
Muzzo Group | BlackCat (ALPHV) | muzzogroup.com | Canada | Real Estate | 17-mrt.-23 |
copart.com | BlackCat (ALPHV) | copart.com | USA | Automotive Dealers | 17-mrt.-23 |
JAYMART.CO.TH | CL0P | jaymart.co.th | Thailand | Miscellaneous Retail | 16-mrt.-23 |
SERVICESTREAM.COM.AU | CL0P | servicestream.com.au | Australia | Construction | 16-mrt.-23 |
WORLDMARKET.COM | CL0P | worldmarket.com | USA | Merchandise Stores | 16-mrt.-23 |
WILDFIRE-DEFENSE.COM | CL0P | wildfire-defense.com | USA | Management Services | 16-mrt.-23 |
SWEEPINGCORP.COM | CL0P | sweepingcorp.com | USA | Management Services | 16-mrt.-23 |
TUEBORA.COM | CL0P | tuebora.com | USA | IT Services | 16-mrt.-23 |
RATELINX.COM | CL0P | ratelinx.com | USA | Transportation Services | 16-mrt.-23 |
FERGUSON.COM | CL0P | ferguson.com | USA | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 16-mrt.-23 |
ACENURSING.ORG | CL0P | acenursing.org | USA | Membership Organizations | 16-mrt.-23 |
WELLBE.COM | CL0P | wellbe.com | USA | Health Services | 16-mrt.-23 |
HELLOBRIGHTLINE.COM | CL0P | hellobrightline.com | USA | Health Services | 16-mrt.-23 |
HITACHIENERGY.COM | CL0P | hitachienergy.com | Switzerland | Electronic, Electrical Equipment, Components | 16-mrt.-23 |
SAE.ORG | CL0P | sae.org | USA | Membership Organizations | 16-mrt.-23 |
AVIDXCHANGE.COM | CL0P | avidxchange.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 16-mrt.-23 |
GALDERMA.COM | CL0P | galderma.com | Switzerland | Chemical Producers | 16-mrt.-23 |
NEWEUROPEANOFFSHORE.COM | CL0P | neweuropeanoffshore.com | UK | Oil, Gas | 16-mrt.-23 |
MEDEXHCO.COM | CL0P | medexhco.com | USA | Insurance Carriers | 16-mrt.-23 |
INVESTQUEBEC.COM | CL0P | investquebec.com | Canada | Holding And Other Investment Offices | 16-mrt.-23 |
RIOTINTO.COM | CL0P | riotinto.com | UK | Mining | 16-mrt.-23 |
ITXCOMPANIES.COM | CL0P | itxcompanies.com | USA | Health Services | 16-mrt.-23 |
HOMEWOODHEALTH.COM | CL0P | homewoodhealth.com | Canada | Health Services | 16-mrt.-23 |
GUINNESSPARTNERSHIP.COM | CL0P | guinnesspartnership.com | UK | Real Estate | 16-mrt.-23 |
ALLIEDBENEFIT.COM | CL0P | alliedbenefit.com | USA | Insurance Carriers | 16-mrt.-23 |
USWELLNESS.COM | CL0P | uswellness.com | USA | Health Services | 16-mrt.-23 |
ktcs.com.my | LockBit | ktcs.com.my | Malaysia | Fabricated Metal Products | 16-mrt.-23 |
National Institute of Ocean Technology | Medusa | niot.res.in | India | Administration Of Environmental Quality And Housing Programs | 16-mrt.-23 |
******* A********* *********** ******* | BianLian | Unknown | USA | Water Transportation | 16-mrt.-23 |
buehnen.de | LockBit | buehnen.de | Germany | Chemical Producers | 16-mrt.-23 |
meatel.com | LockBit | meatel.com | Lebanon | Communications | 16-mrt.-23 |
perfectplacement.co.uk | LockBit | perfectplacement.co.uk | UK | Business Services | 16-mrt.-23 |
waldogeneral.com | LockBit | waldogeneral.com | USA | Business Services | 16-mrt.-23 |
mandirisekuritas.co.id | LockBit | mandirisekuritas.co.id | Indonesia | Holding And Other Investment Offices | 16-mrt.-23 |
Ecolog International | Vice Society | www.ecolog-international.com | United Arab Emirates | Motor Freight Transportation | 16-mrt.-23 |
regaltax.us | LockBit | regaltax.us | USA | Accounting Services | 16-mrt.-23 |
Fichtner Water & Transportation | STORMOUS | In progress | In progress | In progress | 15-mrt.-23 |
Liberty Lines | Royal | www.libertylines.com | USA | Passenger Transportation | 15-mrt.-23 |
NRG Innovations | Everest | getnrg.com | USA | Transportation Equipment | 14-mrt.-23 |
essendant.com | LockBit | essendant.com | USA | Wholesale Trade-non-durable Goods | 14-mrt.-23 |
kaycan.com | LockBit | kaycan.com | Canada | Miscellaneous Manufacturing Industries | 14-mrt.-23 |
Faraday Technology | RansomHouse | www.faraday-tech.com | Taiwan | Electronic, Electrical Equipment, Components | 14-mrt.-23 |
fiege.com | LockBit | fiege.com | Germany | Motor Freight Transportation | 14-mrt.-23 |
dmos.com | LockBit | dmos.com | USA | Health Services | 14-mrt.-23 |
St. Kitts & Nevis | RansomHouse | www.gov.kn | Saint Kitts and Nevis | General Government | 14-mrt.-23 |
RUBRIK.COM | CL0P | rubrik.com | USA | IT Services | 14-mrt.-23 |
ONEX.COM | CL0P | onex.com | Canada | Holding And Other Investment Offices | 14-mrt.-23 |
Manning Building Supplies | Lorenz | www.mbs-corp.com | USA | Miscellaneous Manufacturing Industries | 14-mrt.-23 |
Tarolli | Lorenz | www.tarolli.com | USA | Legal Services | 14-mrt.-23 |
LLPGroup | Medusa | www.llpgroup.com | Czech Republic | IT Services | 14-mrt.-23 |
sabena-engineering.com | LockBit | sabena-engineering.com | Belgium | Transportation Equipment | 13-mrt.-23 |
maximumind.com | LockBit | maximumind.com | USA | Electronic, Electrical Equipment, Components | 13-mrt.-23 |
plasticproductsco.com | LockBit | plasticproductsco.com | USA | Rubber, Plastics Products | 13-mrt.-23 |
Royal Dirkzwager | PLAY | www.dirkzwager.com | Netherlands | Water Transportation | 13-mrt.-23 |
S********* ***** | BianLian | Unknown | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 13-mrt.-23 |
Entigrity Solutions | AvosLocker | entigrity.com | USA | Business Services | 13-mrt.-23 |
Bishop Luffa School | Medusa | www.bishopluffa.org.uk | UK | Educational Services | 13-mrt.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
sabena-engineering.com | LockBit | sabena-engineering.com | Belgium | Transportation Equipment | 13-mrt.-23 |
Royal Dirkzwager | PLAY | www.dirkzwager.com | Netherlands | Water Transportation | 13-mrt.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
Ziekenhuiskliniek van Barcelona herstelt langzaam van cyberaanval en behoudt beperkte capaciteit
De Ziekenhuiskliniek van Barcelona herstelt langzaam van de recente cyberaanval die is uitgevoerd door cybercriminelen van RamsonHouse. De regering is gechanteerd en gevraagd om $4,5 miljoen te betalen om te voorkomen dat de gegevens, waaronder klinische onderzoeken naar kanker en auto-immuunziekten, worden doorverkocht. Hoewel de regering heeft geweigerd te betalen, heeft het ziekenhuis een deel van zijn functies kunnen herstellen en behandelt het momenteel patiënten met beroerte- en hartaanvalcodes, die eerder naar andere ziekenhuizen waren doorverwezen. Het ziekenhuis heeft echter nog steeds een beperkte capaciteit, met slechts 30% van de servers die zijn hersteld en worden geanalyseerd om er zeker van te zijn dat er geen sporen van de cyberaanval zijn. De professionals van de kliniek werken nog steeds handmatig, maar het ziekenhuis heeft de meeste van zijn geplande operaties, poliklinische chirurgie en externe consultaties kunnen behouden. Het ziekenhuis blijft ook de zorg voor slachtoffers van seksueel geweld en de continuïteit van behandelingen, operaties en invasieve tests garanderen voor patiënten die dit nodig hebben. Mensen die het ziekenhuis moeten bezoeken, krijgen een bevestiging per telefoon.
Cybercriminelen achter Lockbit-ransomware vermijden systemen met bepaalde taalinstellingen
De "nieuwste" versie van de Lockbit-ransomware infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om het Russisch, Oekraïens en Syrisch. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De Amerikaanse overheidsdiensten waarschuwen instanties geregeld voor specifieke ransomware-exemplaren, waarbij ze informatie over de werkwijze van ransomwaregroep delen, alsmede andere details. Met de gedeelde tactieken, technieken en procedures (TTP's) en indicators of compromise (IOC's) kunnen organisaties zich dan tegen de ransomware beschermen. De nieuwste waarschuwing richt zich op Lockbit 3.0, die vorig jaar juni voor het eerst werd opgemerkt. Net als de vorige versies wordt ook LockBit 3.0 aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Lockbit 3.0 infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om Russisch, Oekraïens en Syrisch. Wanneer de ransomware een dergelijke taalinstelling detecteert stopt de ransomware zichzelf en zal het systeem niet infecteren. Dit zouden de ransomware-ontwikkelaars, waarvan wordt vermoed dat ze vanuit deze regio's opereren, opzettelijk doen om vervolging door de autoriteiten daar te ontlopen. Zolang er geen "lokale" slachtoffers worden gemaakt kunnen de ransomwaregroepen dan met hun activiteiten doorgaan is het idee. In het verleden hebben experts weleens gesteld dat het wijzigen van de taalinstelling ransomware kan voorkomen. Verder bevat de waarschuwing van de FBI en het CISA informatie over de tools die partners/afnemers van de ransomware gebruiken. Het gaat dan om software zoals FileZilla, MegaSync, PuTTY Link, rclone, Splashtop en WinSCP. Daarnaast maken Lockbit-partners vaak gebruik van publieke file sharing websites voor het uploaden van data voordat ze die versleutelen. Dit wordt gedaan om slachtoffers extra af te persen. Wanneer er niet wordt betaald dreigen de aanvallers de data openbaar te maken. Om aanvallen met ransomware te voorkomen doen de Amerikaanse overheidsdiensten allerlei aanbevelingen, maar met drie zaken moeten organisaties vandaag nog beginnen, zo laat de waarschuwing weten. Het gaat dan om het verhelpen van bekende, aangevallen kwetsbaarheden, het trainen van personeel om phishingaanvallen te herkennen en te melden en het implementeren van phishingbestendige multifactorauthenticatie.
Cybercriminelen kunnen Samsung-telefoons op afstand overnemen via achttien kwetsbaarheden in Exynos-modems zonder beschikbare beveiligingsupdates
In Androidtelefoons die gebruikmaken van een Samsung Exynos-modem bevinden zich meerdere kwetsbaarheden waardoor de toestellen op afstand zijn over te nemen. Een aanvaller hoeft alleen het telefoonnummer van het doelwit te weten, interactie van de gebruiker is niet vereist. Beveiligingsupdates om de problemen te verhelpen zijn niet beschikbaar. Gebruikers die zich willen beschermen worden aangeraden om bellen via wifi en Voice-over-LTE (VoLTE) uit te schakelen. Dat meldt Google. Het Project Zero-team van het techbedrijf ontdekte achttien kwetsbaarheden in Exynos-modems van Samsung. Vier van de achttien kwetsbaarheden maken internet-to-baseband remote code execution mogelijk. Daarbij is het mogelijk om een Androidtelefoon op afstand over te nemen waarbij de aanvaller alleen het telefoonnummer van het doelwit moet weten. Interactie van de gebruiker is niet vereist. Vooralsnog heeft één van de vier kwetsbaarheden een CVE-nummer gekregen, namelijk CVE-2023-24033. "Met beperkt aanvullend onderzoek en ontwikkeling, denken we dat ervaren aanvallers snel een operationele exploit zouden kunnen maken om telefoons in kwestie heimelijk en op afstand over te nemen", zegt Tim Willis van Google Project Zero. Het gaat onder andere om telefoons van Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04), Vivo (waaronder de S16, S15, S6, X70, X60 en X30), de Pixel 6 en Pixel 7 van Google, wearables met de Exynos W920-chipset en voertuigen met de Exynos Auto T5123-chipset. Google verwacht dat het verschijnen van beveiligingsupdates per fabrikant verschilt. Voor kwetsbare Pixel-telefoons is CVE-2023-24033 met de patchronde van maart al verholpen. Normaliter maakt Google details over kwetsbaarheden negentig dagen nadat het de fabrikant heeft ingelicht openbaar. Vanwege de impact van de vier kwetsbaarheden en dat aanvallers hier vermoedelijk zeer snel misbruik van kunnen maken heeft Google nu besloten om van het eigen beleid af te wijken en vooralsnog geen details openbaar te maken.
Antwoorden op Kamervragen VVD over cyberaanvallen op Nederlandse ziekenhuizen
Minister Kuipers (VWS) en minister YeΕilgöz-Zegerius (JenV) geven antwoord op vragen over het bericht 'Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan'. De Tweede Kamerleden Tielen en Rajkowski (beiden VVD) hebben deze vragen gesteld.
870 vitale organisaties melden ransomware-aanvallen bij FBI
Vorig jaar hebben 870 organisaties in vitale sectoren melding bij de FBI gemaakt dat ze slachtoffer van ransomware zijn geworden. In 2021 ging het nog om 641 organisaties. Een kwart van de getroffen organisaties bevindt zich in de zorgsector, zoals ziekenhuizen. Dat laat de Amerikaanse opsporingsdienst in het eigen Internet Crime Report 2022 weten (pdf). Drie ransomwaregroepen waren bij elkaar voor 350 van de 870 aanvallen verantwoordelijk, namelijk LockBit, ALPHV/Blackcat en Hive. Naast de zorgsector raakten ook veel overheidsorganisaties en productiebedrijven besmet met ransomware. Volgens de FBI zijn phishingmails en misbruik van kwetsbaarheden en het remote desktop protocol (RDP) de drie voornaamste methodes waardoor organisaties besmet raken. In totaal ontving het Internet Crime Complaint Center (IC3) van de FBI vorig jaar 2400 meldingen van ransomware-slachtoffers. Die hadden bij elkaar een schade van meer dan 34 miljoen dollar geleden. Het aantal meldingen nam af ten opzichte van 2021, toen het nog om meer dan 3700 meldingen ging. De FBI stelt wel dat niet alle slachtoffers melding maken en sommige slachtoffers helemaal geen financiële schade melden, wat het schadebedrag kunstmatig drukt. Verder zijn in het schadebedrag voor ransomware niet de kosten voor herstel, onderzoek en productiviteitsverlies meegenomen. Als laatste gaat het alleen om meldingen bij het IC3. Slachtoffers die bij een FBI-kantoor aanklopten ontbreken in de cijfers. De FBI stelt dan ook vast dat ransomware nog altijd een ernstige dreiging voor het publiek en de economie vormt.
Cybercriminelen gebruiken politieportaal en social media om slachtoffers af te persen
In de Verenigde Staten zijn twee mannen aangeklaagd die informatie uit een politieportaal en van socialmediaplatforms gebruikten voor het afpersen van slachtoffers. Volgens het Amerikaanse openbaar ministerie was het duo onderdeel van een groep genaamd "ViLE" die persoonlijke informatie van slachtoffers zocht, zoals adresgegevens, telefoonnummers, social-securitynummers en e-mailadressen. De informatie werd op de publieke website van ViLE geplaatst, of de groep dreigde hiermee, waarna slachtoffers konden betalen om die te verwijderen of niet te laten plaatsen. Eén van de mannen was in het bezit gekomen van de inloggegevens van een agent van de Drug Enforcement Administration (DEA). Met deze gegevens kon hij op een DEA-portaal inloggen en daar naar allerlei persoonlijke informatie zoeken. Via de betreffende portaal wordt inlichtingeninformatie van overheidsdatabases met databases van staat en lokale politiediensten in de VS gedeeld. Het duo gebruikte de informatie uit de politieportaal voor het afpersen van slachtoffers. Eén van de mannen wist daarnaast toegang te krijgen tot het officiële e-mailaccount van een politieagent uit Bangladesh. De verdachte gebruikte vervolgens het e-mailaccount om zich tegenover socialmediaplatforms als de agent voor te doen en vroeg vervolgens allerlei informatie over gebruikers op. Tevens probeerde de man via het e-mailaccount een licentie bij een niet nader genoemd gezichtsherkenningsbedrijf te kopen, waarvan de diensten niet voor het algemene publiek toegankelijk zijn. Hoe de verdachten toegang tot de account van de DEA-agent en politieagent uit Bangladesh wisten te krijgen is niet bekendgemaakt. Eén van de mannen, die ook is aangehouden, kan indien schuldig worden veroordeeld tot een gevangenisstraf van vijf jaar. De andere man, die voortvluchtig is en zich voordeed als politieagent, kan maximaal 25 jaar krijgen.
Cybercriminelen compromitteren Amerikaanse overheidsinstantie via oude Telerik UI-kwetsbaarheid
Een Amerikaanse overheidsinstantie is via een drie jaar oude kwetsbaarheid in Telerik UI door meerdere aanvallers gecompromitteerd, waaronder een spionagegroep. De instantie scande systemen wel op kwetsbaarheden, maar de Telerik-installatie bevond zich in een locatie die niet werd gescand, waardoor het beveiligingslek niet werd opgemerkt. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Progress Telerik UI maakt het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in de software, aangeduid als CVE-2019-18935, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op de IIS-webserver waarop Telerik UI is geïnstalleerd. Het probleem, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd in december 2019 door Telerik via een beveiligingsupdate verholpen. Toch zijn er nog altijd kwetsbare installaties te vinden. Dit was onder ander het geval bij de niet nader genoemde Amerikaanse overheidsinstantie. Die had een kwetsbare versie van Telerik UI draaien. De instantie maakte gebruik van een vulnerability scanner voor het vinden van kwetsbare software. De scanner detecteerde het beveiligingslek echter niet, omdat Telerik UI in een locatie was geïnstalleerd die het standaard niet controleert. Meerdere aanvallers wisten de server in 2021 en 2022 via het Telerik-lek te compromitteren, waaronder een spionagegroep en een groep cybercriminelen. Het CISA doet naar aanleiding van de aanval verschillende aanbevelingen, waaronder het updaten van Telerik-installaties en het goed configureren van vulnerability scanners.
Cybercriminelen stelen gegevens van bezoekers Amsterdamse Waterleidingduinen: Datalek jarenlang onopgemerkt
De Amsterdamse Waterleidingduinen waarschuwt bezoekers voor een datalek met hun gegevens dat zich een aantal jaren geleden heeft voorgedaan, maar nu pas tijdens een politieonderzoek aan het licht is gekomen. De Amsterdamse Waterleidingduinen is een duingebied tussen Noordwijk en Zandvoort. Het is ingericht voor de winning van drinkwater voor de gemeente Amsterdam. Wie in het gebied wil wandelen moet hiervoor een kaartje kopen. Dit is onder andere mogelijk via de website van Waterleidingduinen. Een kwetsbaarheid in de website maakte het mogelijk om gegevens van kaartjeskopers te stelen. De Amsterdamse Waterleidingduinen zegt dat het beveiligingslek in 2021 is gedicht, maar dat het destijds niet wist dat er ook gegevens waren gestolen. Dat is aan het licht gekomen tijdens een politieonderzoek naar drie mannen, die worden verdacht van het stelen van tientallen miljoenen gevoelige persoonsgegevens bij vermoedelijk duizenden kleine en grote bedrijven én instellingen, zowel nationaal als internationaal. Het datalek is nu gemeld bij de Autoriteit Persoonsgegevens en er is aangifte gedaan bij de politie. "Ook hebben wij een mailing verstuurd naar alle personen van wie wij weten dat de persoonsgegevens gestolen zijn en van wie wij de e-mailadressen in bezit hebben. Aangezien wij deze gegevens niet langer mogen bewaren dan vijf jaar, kan het zijn dat uw gegevens niet zijn meegenomen met de mailing", aldus de Amsterdamse Waterleidingduinen. Eerder liet ook Ticketcounter weten dat het slachtoffer was geworden van de verdachten.
Cybercriminelen stelen bijna 200 miljoen dollar van Euler Labs cryptocurrency platform
Bij het cryptoplatform Euler Labs is bijna 200 miljoen dollar buitgemaakt. Het Britse platform, dat zich richt op het lenen en uitlenen van cryptocurrency, heeft te maken gehad met een diefstal. Volgens Elliptic is er 137,1 miljoen dollar aan Staked Ether tokens gestolen, evenals 18,9 miljoen dollar aan Wrapped Bitcoin, 34,1 miljoen Amerikaanse dollar en 8,8 miljoen aan Dai tokens. Het totale bedrag komt neer op ongeveer 199 miljoen dollar. De criminelen hebben de gestolen middelen gewitgewassen via Tornado Cash, een 'tumbler' voor cryptovaluta. Dit bedrijf is omstreden en staat sinds augustus op een Amerikaanse zwarte lijst vanwege het witwassen van meer dan 7 miljard dollar aan digitale valuta. Om het gestolen geld terug te halen zijn Chainalysis, TRM Labs en de Ethereum security community ingeschakeld. Het platform is ook in contact met Amerikaanse en Britse opsporingsinstanties en probeert zelfs contact te leggen met de aanvallers. Euler Labs geeft aan dat de aanval gebruik heeft gemaakt van een kwetsbaarheid die tijdens audits uitgevoerd door externe securitybedrijven niet aan het licht is gekomen. Het bedrijf werkt samen met meerdere securitygroepen bij het uitvoeren van deze audits en wijst op een bug bounty van een miljoen dollar die beschikbaar was tijdens de aanval.
Cybercriminelen slaan toe bij gemeente Krimpen aan den IJssel: 176.000 euro overgemaakt via CEO-fraude
De gemeente Krimpen aan den IJssel is slachtoffer geworden van ceo-fraude, waarbij het 176.000 euro naar criminelen overmaakte. Dat heeft de gemeente zelf bekendgemaakt. Eind vorig jaar ontving een gemeentemedewerker een e-mail die zogenaamd van een directielid afkomstig was en vroeg om het betalen van valse rekeningen. Het ging in totaal om een bedrag van 176.040 euro dat naar buitenlandse rekeningen werd overgemaakt. Volgens de gemeente blijkt uit onderzoek dat de medewerkers niets met de onderzochte frauduleuze handelingen te maken hebben. "Het is uitgesloten dat medewerkers betrokken zijn bij deze fraude." Bij ceo-fraude en afgeleide varianten doen oplichters zich bijvoorbeeld voor als de directeur van een onderneming en vragen medewerkers om een betaling naar een opgegeven rekening over te maken. Ook komt het voor dat oplichters zich voordoen als leverancier en afnemers verzoeken om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. "Het gaat om een niet verwachte en doortrapte aanval. Deze is helaas door onoplettendheid niet onderschept", stelt burgemeester Jan Luteijn. De gemeente zegt dat het er alles aan gaat doen om herhaling in de toekomst te voorkomen. "We geven de risicobewustheid voor fraude in onze organisatie een extra impuls en scherpen deze verder aan", aldus de aankondiging. " In samenwerking met GR IJsselgemeenten hebben we een programma doorlopen om alertheid op phishing te verhogen. Helaas moeten we nu de conclusie trekken dat dit niet voldoende is. Maar door extra training willen wij hiertegen een nieuwe dam opwerpen." De gemeente heeft een fraudeverzekering en heeft schade bij de verzekeraar gedeponeerd. "De stand van zaken daarvan is, dat de verzekeraar ons een set aan vragen heeft voorgelegd. Die zullen we beantwoorden met gebruikmaking van de Hoffmannrapportage over de reconstructie van het proces", aldus de burgemeester (pdf).
Indien er nog vragen zijn omtrent cybercriminaliteit en het darkweb, dan kunt u tevens onze pagina met veelgestelde vragen raadplegen.
Adobe waarschuwt voor actief misbruikt zerodaylek in ColdFusion door cybercriminelen
Adobe waarschuwt voor een actief misbruikt zerodaylek in ColdFusion en roept organisaties op om de kwetsbaarheid zo snel mogelijk te patchen. Gisteren bracht het softwarebedrijf een update voor het beveiligingslek uit, dat wordt aangeduid als CVE-2023-26360. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Details over de huidige aanvallen zijn niet door Adobe gegeven, behalve dat het om "zeer beperkte" aanvallen gaat. Het beveiligingslek is aanwezig in ColdFusion 2018 Update 15 en eerder en ColdFusion2021 Update 5 en eerder. Organisaties wordt aangeraden te updaten naar Update 16 en Update 6. Daarbij adviseert Adobe dit zo snel mogelijk te doen, waarbij als voorbeeld binnen 72 uur wordt gegeven.
Cybercriminelen gebruiken zerodaylek in Microsoft SmartScreen voor aanvallen met Magniber-ransomware en omzeilen patch met nieuwe variant
Een zerodaylek in Microsoft SmartScreen is zeker sinds januari gebruikt bij aanvallen met de Magniber-ransomware, zo heeft Google ontdekt. Gisterenavond kwam Microsoft met een patch voor de kwetsbaarheid. Een soortgelijk beveiligingslek werd eerder al door de ransomwaregroep gebruikt. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek (CVE-2023-24880) zorgt ervoor dat de waarschuwing niet verschijnt. De aanvallers doen dit door het bestand van een speciaal geprepareerde, ongeldige digitale handtekening is te voorzien. Deze handtekening zorgt voor een fout binnen SmartScreen, waardoor het waarschuwingsvenster niet verschijnt. Een gebruiker moet nog wel zelf het malafide bestand openen. Google meldde de kwetsbaarheid op 15 februari aan Microsoft, dat zoals gezegd gisteren met een update kwam. Volgens Google heeft de Magniber-ransomware zeker sinds januari misbruik van het beveiligingslek gemaakt en zijn de malafide bestanden sindsdien meer dan honderdduizend keer gedownload. De Magniber-ransomware richtte zich in het verleden vaak op Zuid-Korea, maar meer dan tachtigduizend van de honderdduizend downloads sinds januari vonden plaats in Europa. Google stelt verder dat Microsoft de oorspronkelijke oorzaak niet heeft verholpen. Daardoor konden de aanvallers de update voor de eerdere, soortgelijke kwetsbaarheid omzeilen en gebruikers opnieuw aanvallen. "Omdat de hoofdoorzaak achter de SmartScreen security bypass niet werd opgelost, konden de aanvaller snel een variant van de oorspronkelijke bug vinden", aldus Google, dat spreekt over een trend waarbij softwareleveranciers beperkte patches uitbrengen waardoor aanvallers de kans krijgen nieuwe varianten te vinden.
Cybercriminelen stelen gegevens bij Rubrik door zerodaylek in Fortra's GoAnywhere-software
Cybercriminelen hebben bij securitybedrijf Rubrik gegevens weten te stelen door misbruik te maken van een zerodaylek in GoAnywhere. Dit is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. Eén van de getroffen organisaties is securitybedrijf Rubrik, zo heeft het zelf bekendgemaakt. De aanvallers wisten vervolgens gegevens van het bedrijf te stelen, waaronder interne verkoopinformatie met gegevens van klanten, alsmede bestellingen van Rubrik-leveranciers. Hoe de aanvallers toegang tot de beheerdersconsole van de GoAnywhere-installatie konden krijgen heeft het securitybedrijf niet laten weten.
Zoll lekt persoonlijke gegevens van één miljoen mensen na cyberaanval
Fabrikant van medische apparatuur Zoll heeft de persoonlijke gegevens van één miljoen mensen gelekt. Dit bedrijf levert diverse soorten medische apparaten, waaronder defibrillatoren. In januari van dit jaar heeft Zoll verdachte activiteit op het eigen netwerk ontdekt. Hierop heeft het bedrijf een onderzoek ingesteld en enkele dagen later vastgesteld dat aanvallers gegevens van meer dan een miljoen personen hebben bemachtigd. Volgens de fabrikant zijn ook "beschermde gezondheidsgegevens" gestolen. In een datalek-melding geeft het bedrijf aan dat ten minste de naam, adresgegevens, geboortedatum en social security-nummer zijn gecompromitteerd. Daarnaast kan worden afgeleid dat de betrokken personen een Zoll-product gebruiken of hiervoor mogelijk in aanmerking komen. Zoll heeft niet bekendgemaakt hoe de data is gestolen. Getroffen personen kunnen twee jaar lang gratis gebruikmaken van een identiteitsbeschermingsdienst.
DLP-leverancier gehackt: aanvallers injecteren malware in software van klanten
Er is een DLP-leverancier gehackt, waarbij de aanvallers malware hebben geïnjecteerd in de software. Hierdoor zijn klanten van het bedrijf besmet geraakt. DLP-software moet het lekken van gevoelige gegevens voorkomen door monitoring van systemen en netwerkverkeer. De aanval vond vermoedelijk al in maart 2021 plaats en wordt toegeschreven aan een APT-groep genaamd Tick, die mogelijk uit China afkomstig is en eerder verantwoordelijk werd gehouden voor een aanval op Mitsubishi Electric.
Remcos Trojan keert terug in top tien van meest voorkomende malware in februari 2023
Check Point Software heeft de Global Threat Index van februari 2023 gepubliceerd. De Remcos Trojan keerde terug in de top tien van meest voorkomende malware, nadat deze gebruikt werd om Oekraïense overheidsinstanties aan te vallen via phishing. Emotet en Formbook stegen wereldwijd op de ranglijst van malware. Onderwijs en onderzoek bleven de meest aangevallen sector, terwijl nutsbedrijven in Nederland het meest werden aangevallen. Emotet was de meest voorkomende malware in Nederland, gevolgd door Formbook en Qbot. Het is belangrijk voor organisaties en overheidsinstanties om veiligheidspraktijken te volgen bij het ontvangen en openen van e-mails en om bijlagen niet te downloaden zonder eerst de eigenschappen te bekijken en geen links te klikken in de body van een e-mail.
Cybercriminelen gaan 'all-in' om winst te vergroten: stijging van 55% in gedetecteerde dreigingen in 2022
Uit cijfers van cyberbeveiligingsbedrijf Trend Micro blijkt dat het aantal gedetecteerde dreigingen in 2022 met 55% is gestegen ten opzichte van het voorgaande jaar. Cybercriminelen richtten zich op consumenten en organisaties in alle sectoren en dit leidde tot een stijging van 242% in geblokkeerde schadelijke bestanden. Trend Micro identificeert verschillende trends, waaronder een toename van het aantal gedetecteerde backdoor-malware en initiële toegang via externe diensten. Een recordaantal van 1.706 Zero Day Initiative-adviezen en een verdubbeling van het aantal kritieke kwetsbaarheden zijn ook gerapporteerd. Trend Micro adviseert organisaties om een platformgebaseerde aanpak te volgen om het aanvalsoppervlak te beheren en kosten te minimaliseren. Dit omvat asset management, cloudbeveiliging, juiste beveiligingsprotocollen en zichtbaarheid van het aanvalsoppervlak.
Cybercriminelen stelen 60 GB aan gegevens van Deutsche Bank met LockBit-ransomware
Hackers zijn erin geslaagd om de interne systemen van Deutsche Bank te infiltreren en 60 GB aan gegevens te stelen, waaronder persoonsgegevens van bankmedewerkers, SQL-data en andere vertrouwelijke bestanden. De aanvallers hebben gedreigd de data te verkopen aan de hoogste bieder en hebben al een sample van de gestolen data op een populair hackerforum geplaatst. De aanval werd uitgevoerd met LockBit-ransomware, die bekend staat om zijn beruchte reputatie en die al vele slachtoffers heeft gemaakt. Eerdere slachtoffers van LockBit zijn onder meer het Canadese Hospital for Sick Children en Royal Mail. De Belgische stad Geraardsbergen weigerde losgeld te betalen en kreeg te maken met een datalek. Deutsche Bank heeft nog niet gereageerd op het voorval.
Amerikaanse overheid waarschuwt organisaties proactief voor ransomware-kwetsbaarheden in vitale infrastructuur
De Amerikaanse overheid is een pilot gestart waarbij het organisaties in de vitale infrastructuur proactief gaat waarschuwen als het systemen aantreft met kwetsbaarheden die bij ransomware-aanvallen worden gebruikt. De Ransomware Vulnerability Warning Pilot (RVWP) bestaat uit twee delen: het scannen en vinden van kwetsbare systemen en het informeren van de eigenaars. Die kunnen dan maatregelen nemen om het probleem te verhelpen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security worden organisaties in allerlei sectoren te vaak getroffen door schadelijke ransomware-incidenten. Veel van deze incidenten vinden plaats omdat organisaties hebben nagelaten om beschikbare beveiligingsupdates voor bekende kwetsbaarheden te installeren. Juist door het tijdig verhelpen van deze beveiligingslekken kunnen organisaties de kans op een ransomware-aanval aanzienlijk verkleinen, aldus het CISA. Veel organisaties hebben mogelijk geen idee dat hun systemen kwetsbaarheden bevatten waar ransomwaregroepen misbruik van kunnen maken, zo stelt de dienst verder. Op 30 januari is het CISA daarom de Ransomware Vulnerability Warning Pilot gestart om deze kwetsbare systemen te vinden en de betreffende organisaties te waarschuwen. De waarschuwingen bestaan uit het type kwetsbare apparaat, fabrikant, ip-adres, hoe CISA de kwetsbaarheid ontdekte en advies om het probleem te verhelpen. Voor het scannen van de vitale infrastructuur gebruikt de Amerikaanse overheidsdienst zowel opensourcetools als zelfontwikkelde tooling.
Fortinet bevestigt zeroday-aanvallen op overheden met gebruik van kwetsbaarheid in FortiOS
Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven. Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde. Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert. Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven.
Criminelen achter ALPHV-ransomware claimen data te hebben gestolen van Amazon Ring
De groep criminelen achter de ALPHV-ransomware, die eerder ook toesloeg bij it-bedrijf ID-ware en vaccinbedrijf Bilthoven Biologicals, claimt nu te hebben toegeslagen bij Amazons Ring. Op de eigen website meldt ALPHV dat het over gegevens van Ring beschikt. Om wat voor data het gaat is niet bekend. Verschillende beveiligingsonderzoekers maakten melding van het verschijnen van Ring op de ALPHV-website. In een verklaring tegenover zakenblad Forbes laat een woordvoerder weten dat er op dit moment geen aanwijzingen zijn dat Ring met een ransomware-aanval te maken heeft gekregen. Vice Magazine claimt dat in een intern Slack-kanaal van Amazon iemand een bericht plaatste om niet over het incident te spreken en dat de "juiste securityteams" hiermee bezig zijn. Bij de aanvallen die de ALPHV-groep uitvoert wordt niet alleen data versleuteld, maar ook gestolen. Als slachtoffers het losgeld niet betalen dreigt de groep die via de eigen website openbaar te maken. Zoals gezegd is het onduidelijk om wat voor data het mogelijk gaat. De deurbellen en beveiligingscamera's van Ring kunnen gemaakte beelden bij Ring opslaan. Standaard gebeurt dit zonder end-to-end encryptie, waardoor die ook door Ring of opsporingsdiensten kunnen worden bekeken.
#Alphv has listed #Amazon-owned #Ring. pic.twitter.com/MzYup45COp
β Brett Callow (@BrettCallow) March 13, 2023
Ring LLC, the home security and smart home company owned by Amazon, has been ransomed by ALPHV ransomware group.
β vx-underground (@vxunderground) March 13, 2023
They left a simple message to Ring: "There's always the option to let us leak your data". pic.twitter.com/RfrvpXBgGh
πππ
β CyberKnow (@Cyberknow20) March 13, 2023
Wowee #ring security from #Amazon has been posted by #ALPHV as an alleged victim. #cybersecurity #infosec #ransomware pic.twitter.com/0E1k1jXsgp
Noord-Koreaanse hackers richten phishingaanvallen op securityonderzoekers en media-organisaties
Noord-Koreaanse hackers, bekend als UNC2970, voeren sinds juni 2022 een phishingcampagne uit gericht op securityonderzoekers, volgens Mandiant. Ze proberen drie nieuwe malwarefamilies te verspreiden en nieuwe technieken te gebruiken om endpoint detectie-tools te omzeilen. UNC2970 heeft in de afgelopen maanden vooral media-organisaties in de VS en Europa aangevallen. UNC2970 benadert securityexperts via nep-accounts op LinkedIn en verstuurt vervolgens malware via WhatsApp of e-mail. Bedrijven kunnen zich beschermen door multi-factor authenticatie, specifieke 'cloud-only'-accounts, speciale admin-accounts en meer securityrestricties in te voeren.
S.T.A.L.K.E.R. 2 ontwikkelaar GSC Game World bevestigt dat het bedrijf is aangevallen door hackers en dat er datadiefstal heeft plaatsgevonden
De Oekraïense gameontwikkelaar GSC Game World bevestigt dat er een datadiefstal heeft plaatsgevonden na een hack van het account van een medewerker. Een Russische hackersgroep wordt mogelijk verantwoordelijk gehouden en er zijn afbeeldingen van de gameplay en designs van de game uitgelekt op een Russische sociaal medium. Dit is niet de eerste keer dat het bedrijf te maken heeft met chantage en intimidatie door hackers, maar het bedrijf weigert in te gaan op de eisen van de daders. GSC Game World vraagt gamers om geen aandacht te schenken aan de gelekte beelden en benadrukt dat het om work-in-progress beelden gaat die geen goede indruk geven van het finale product. De ontwikkelaar spreekt zijn waardering uit voor de steun van de gaming community en kondigt aan dat S.T.A.L.K.E.R. 2: Heart of Chornobyl, een first-person shooter met een niet-lineaire verhaallijn die zich afspeelt in een post-apocalyptische wereld, in de loop van 2023 zal verschijnen.
A message from GSC Game World team pic.twitter.com/rqRM0tFZmO
β S.T.A.L.K.E.R. OFFICIAL (@stalker_thegame) March 12, 2023
Cyberaanval op marketingvendor treft 9 miljoen AT&T-klanten: netwerkinformatie gestolen
Ongeveer negen miljoen klanten zijn door AT&T gewaarschuwd dat hun informatie is gestolen via een cyberaanval op een marketingvendor. Onder meer netwerkinformatie is gestolen, waaronder het aantal telefoonabonnementen of telecompakketten die klanten afnemen. Dit meldt AT&T aan BleepingComputer. Een woordvoerder benadrukt dat de gestolen informatie geen creditcardgegevens, Social Security-nummers, wachtwoorden van accounts of andere gevoelige persoonlijke informatie omvat. Alle getroffen klanten worden door AT&T op de hoogte gesteld. Het datalek treft ongeveer negen miljoen klanten van AT&T. Onder meer voornamen, accountnummers, telefoonnummers en e-mailadressen zijn uitgelekt. Van een klein deel van de klanten gaat het ook om informatie over onder meer bundels, openstaande bedragen, maandelijkse tarieven en het aantal verbruikte belminuten gestolen. Het gaat daarbij volgens AT&T om gegevens van enkele jaren terug. AT&T meldt de autoriteiten te hebben ingeschakeld nadat de aanval is ontdekt.
Cybercrimineel steelt $120.000 aan ether door verborgen walletadres in spreadsheet te plaatsen
PeopleDAO, een organisatie die naar eigen zeggen maatschappelijk welzijn en web3 wil bevorderen, is voor 120.000 dollar bestolen omdat iemand een Google Docs-spreadsheet kon aanpassen, zo heeft het zelf bekendgemaakt. PeopleDAO omschrijft zich als een MetaDAO die andere DAO's ondersteunt. DAO staat voor 'decentrale autonome organisatie' en is een organisatie zonder centraal leiderschap. "Hoe het werkt is dat een DAO gebruikers stemrecht geeft door tokens uit te delen. Door op voorstellen van de DAO te stemmen kunnen dan beslissingen worden genomen. Vaak gaat dat nu nog over het verdelen van geld of het bepalen in welke richting het protocol van de DAO gebouwd moet worden", zo liet Mathijs van Esch van blockchain-investeringsfonds Maven 11 eerder tegenover RTL Nieuws weten. Bij PeopleDAO worden transacties via een gecentraliseerd Google Docs-formulier verzamelt. Deze transacties worden vervolgens uitgevoerd als vijf van negen personen hier voor stemmen. PeopleDAO is de opvolger van de ConstitutionDAO, een organisatie die in 2021 nog probeerde om de Amerikaanse Grondwet te kopen. Het heeft als doel gesteld om andere DAO's te ondersteunen die zich bezighouden met het bevorderen van maatschappelijk welzijn en web3. Daarbij keert het elke maand beloningen uit aan mensen die in de betreffende maand de grootste bijdrage aan het project hebben geleverd. Hiervoor maakt PeopleDAO gebruik van een Google Docs-spreadsheet met personen die in aanmerking komen voor een betaling. Deze spreadsheet moet zoals gezegd door meerdere personen worden goedgekeurd, waarna de betaling plaatsvindt. Onlangs plaatste de hoofdboekhouder van PeopleDAO een spreadsheet met gegadigden, maar die bleek aanpasbaar en niet read-only te zijn. Daardoor was het mogelijk voor onbevoegden om de spreadsheet aan te passen. Een aanvaller plaatste zijn eigen walletadres in de spreadsheet en maakte dit veld vervolgens verborgen. Geen van de personen die de spreadsheet moesten controleren en goedkeuren zagen het verborgen veld en gaven het akkoord. Vervolgens werd de spreadsheet naar een tool geüpload die automatisch de betalingen uitvoert, waardoor er 120.000 dollar aan ether naar het walletadres van de aanvaller ging, aldus de uitleg van PeopleDAO. De organisatie is bereid de aanvaller 12.000 dollar te betalen als die het gestolen geld binnen twee dagen teruggeeft.
1/10
β PeopleDAO (π, π€) (@The_PeopleDAO) March 11, 2023
Bad news:
PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.
This expoloit is not related to $PEOPLE token contract.
Details below:
Cyberaanval zorgt voor sluiting spoedeisende hulp van ziekenhuis in Brussel
Het Saint-Pierre ziekenhuis in Brussel moest afgelopen zaterdag de spoedeisende hulp sluiten vanwege een cyberaanval, waarvan het type niet bekend is gemaakt. Het zorgpersoneel moest op pen en papier terugvallen en ambulances werden omgeleid naar andere ziekenhuizen. Het ziekenhuis heeft een noodplan in werking gesteld en de meeste applicaties zijn weer operationeel, maar herinnerings-sms'jes voor afspraken kunnen nog niet worden verstuurd en er is geen wifi voor patiënten. Er zijn geen patiëntgegevens gestolen, maar het onderzoek is nog gaande en het is niet bekend of er losgeld is geëist. Het is onbekend of er losgeld is geëist, meldt Le Soir.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language