Overzicht van slachtoffers cyberaanvallen week 13-2023

Gepubliceerd op 3 april 2023 om 15:00

Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week hebben cybercriminelen opnieuw hun slag geslagen, waarbij diverse bedrijven en sectoren het slachtoffer zijn geworden van geraffineerde aanvallen. Nederlandse marktonderzoekers zijn getroffen door een groot datalek bij Nebu, terwijl de populaire 3CX VoIP-desktopapplicatie is geïnfecteerd met kwaadaardige software. Ook zien we een alarmerende stijging van 400% in aanvallen via API's en heeft het internationale bedrijf SAF-Holland te maken gehad met een cyberaanval. Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week.


Laatste wijziging op 3-april-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Aero Engine Solution INC RansomHouse www.aeroenginesolutions.com USA Aerospace 2-apr.-23
Mutual de Seguros de Chile BlackCat (ALPHV) www.mutualdeseguros.cl Chile Insurance Carriers 2-apr.-23
Gaston College Snatch gaston.edu USA Educational Services 2-apr.-23
LASOTEL.FR CL0P lasotel.fr France Communications 2-apr.-23
Arandell Corp Medusa arandell.com USA Publishing, printing 2-apr.-23
Ruekert & Mielke BlackCat (ALPHV) www.ruekertmielke.com USA Construction 1-apr.-23
p-and-r.com LockBit p-and-r.com USA Management Services 1-apr.-23
TRUSSWAY BlackCat (ALPHV) trussway.com USA Lumber And Wood Products 1-apr.-23
Vending Group Royal www.vendinggroup.com USA Miscellaneous Services 1-apr.-23
Benning Construction Royal www.benningnet.com USA Construction 1-apr.-23
ativy.com LockBit ativy.com Brazil IT Services 31-mrt.-23
etkinllc.com LockBit etkinllc.com USA Real Estate 31-mrt.-23
tecnova.com Industrial Spy tecnova.com USA Electronic, Electrical Equipment, Components 31-mrt.-23
OptionMetrics Karakurt www.optionmetrics.com USA Holding And Other Investment Offices 31-mrt.-23
1.com LockBit 1.com Unknown Unknown 31-mrt.-23
Armstrong Watson Royal armstrongwatson.co.uk UK Accounting Services 31-mrt.-23
Lewis & Clark College Vice Society www.lclark.edu USA Educational Services 31-mrt.-23
groupe-seche.com LockBit groupe-seche.com France Miscellaneous Services 30-mrt.-23
Meloc STORMOUS www.melco-resorts.com Hong Kong Amusement And Recreation Services 30-mrt.-23
MULTIPLAN.COM CL0P multiplan.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 30-mrt.-23
ieseco STORMOUS ieseco.es Spain Educational Services 30-mrt.-23
matrixtelecoms STORMOUS matrixtelecoms.com Cameroun Communications 30-mrt.-23
GOV.PL STORMOUS gov.pl Poland General Government 30-mrt.-23
theus-industries.fr LockBit theus-industries.fr France Machinery, Computer Equipment 30-mrt.-23
tharworx.com LockBit tharworx.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 30-mrt.-23
WESSEX BlackCat (ALPHV) www.wessexgroup.co.uk UK Engineering Services 30-mrt.-23
Hospital Clinic de Barcelona RansomHouse www.clinicbarcelona.org Spain Health Services 30-mrt.-23
Hit Promotional Products DAIXIN www.hitpromo.net USA Merchandise Stores 29-mrt.-23
Temporary Leak Page #0013995NTa Ragnar_Locker Unknown Unknown Unknown 29-mrt.-23
CANTALK Ragnar_Locker www.cantalk.com Canada Miscellaneous Services 29-mrt.-23
hammondlumber.com LockBit hammondlumber.com USA Wholesale Trade-durable Goods 29-mrt.-23
psenergy.com LockBit psenergy.com USA Oil, Gas 29-mrt.-23
FINANCE INSTITUTION AUCTION Karakurt www.money.com Puerto Rico Publishing, printing 29-mrt.-23
nts.go.kr LockBit nts.go.kr South Korea Public Finance, Taxation 29-mrt.-23
F********** *********-************ BianLian Unknown Unknown Miscellaneous Manufacturing Industries 29-mrt.-23
G****** **** & ************* BianLian Unknown USA Electronic, Electrical Equipment, Components 29-mrt.-23
X***** ***** BianLian Unknown USA Unknown 29-mrt.-23
A******* BianLian Unknown USA Transportation By Air 29-mrt.-23
F***** ******* ************** BianLian Unknown USA Transportation Services 29-mrt.-23
T***** ******** ********** BianLian Unknown USA Unknown 29-mrt.-23
Savanna Technical College Royal savannahtech.edu USA Educational Services 29-mrt.-23
The Ultra-met Royal www.ultra-met.com USA Metal Industries 29-mrt.-23
MERS Missouri Goodwill Industries Royal mersgooldwill.com USA Miscellaneous Services 29-mrt.-23
BMW France PLAY www.bmw.fr France Automotive Dealers 28-mrt.-23
Oscar Software PLAY www.oscar.fi Finland IT Services 28-mrt.-23
Jablite PLAY www.jablite.co.uk UK Miscellaneous Manufacturing Industries 28-mrt.-23
AV Industries RansomHouse www.avindustriesinc.com USA Aerospace 28-mrt.-23
PCCARX_2 Black Basta www.pccarx.com USA Miscellaneous Services 28-mrt.-23
C****** ******** BianLian Unknown USA Repair Services 28-mrt.-23
grupcovesa.com LockBit grupcovesa.com Spain Automotive Dealers 28-mrt.-23
swiftatlanta.com LockBit swiftatlanta.com USA Metal Industries 28-mrt.-23
piramal.com LockBit piramal.com India Chemical Producers 27-mrt.-23
City of Modesto, CA Snatch modestogov.com USA General Government 27-mrt.-23
tecnosysitalia.eu LockBit tecnosysitalia.eu Italy IT Services 27-mrt.-23
All4Labels BlackCat (ALPHV) all4labels.com Germany Publishing, printing 27-mrt.-23
IRCO STORMOUS www.irco.com USA Machinery, Computer Equipment 27-mrt.-23
Tanbridge House School RansomHouse www.tanbridge-house-sch.co.uk UK Educational Services 27-mrt.-23
Helmholtz Zentrum Munchen Royal www.helmholtz.de Germany Research Services 27-mrt.-23
Wymondham College Royal www.wymondhamcollege.org UK Educational Services 27-mrt.-23
OKSGROUP STORMOUS www.oksgroup.com USA Business Services 27-mrt.-23
ARROWAL STORMOUS arrowall.com USA Construction 27-mrt.-23
Ingersoll Rand STORMOUS www.ingersollrand.com USA Machinery, Computer Equipment 27-mrt.-23
Linx STORMOUS www.linx.com.br Brazil IT Services 27-mrt.-23
Furuno STORMOUS www.furuno.com Japan Electronic, Electrical Equipment, Components 27-mrt.-23
lqtbg.com.cn LockBit lqtbg.com.cn China Wholesale Trade-non-durable Goods 27-mrt.-23
islandinsurance.ca LockBit islandinsurance.ca USA Holding And Other Investment Offices 27-mrt.-23
County Materials Corporation Black Basta www.countymaterials.com USA Construction 27-mrt.-23
DUKANE Black Basta www.dukane.com USA Rubber, Plastics Products 27-mrt.-23
ulmacarretillas.com LockBit ulmacarretillas.com Spain Miscellaneous Retail 27-mrt.-23
ita-moulding-process.com LockBit ita-moulding-process.com France Lumber And Wood Products 27-mrt.-23
Ville de Lille Royal www.lille.fr France General Government 27-mrt.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum

In samenwerking met DarkTracer


Cyberaanvallen nieuws


3CX CEO: 'Cybercriminelen konden onze supplychain-aanval plegen omdat we eerste meldingen over malware niet serieus namen'

Leverancier van voip-software 3CX, dat slachtoffer werd van een supplychain-aanval, heeft eerste meldingen over malware in de eigen software niet serieus genomen. Dat laat ceo Nick Galea weten. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. 3CX biedt onder andere een desktopapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Deze malware kan aanvullende malware installeren, die informatie steelt en de aanvaller toegang tot het systeem geeft Op 22 maart lieten verschillende gebruikers van de software weten dat hun beveiligingssoftware een waarschuwing voor de 3CX-desktopapplicatie gaf. Medewerkers van 3CX besloten om de officiële installer dezelfde dag naar VirusTotal te uploaden. Dit is een online virusscandienst van Google waarmee bestanden door tientallen virusscanners zijn te controleren. Geen van de producten, ook niet het product dat bij klanten alarm sloeg, detecteerde malware in de installer. De scan van VirusTotal gebruikt alleen de command line versie van de antivirussoftware en voert alleen een statische analyse uit. De resultaten tussen VirusTotal en de desktopversie die bij gebruikers draait kunnen dan ook verschillen. "Vanwege de manier waarop voip-apps werken zou het niet de eerste keer zijn [dat een virusscanner alarm slaat]. Het gebeurt regelmatig, dus om eerlijk te zijn, hebben we het niet zo serieus genomen", aldus Galea in een interview met Cyberscoop. Nadat de scan via VirusTotal op 22 maart niets opleverde besloot het bedrijf het daarbij te laten, aldus Galea. Op 29 maart werd 3CX door securitybedrijf CrowdStrike ingelicht dat aanvallers malware aan de installer hadden toegevoegd. "Toen gaven we het veel meer aandacht, wat we achteraf gezien eigenlijk eerder hadden moeten doen. We hadden eerder echter niet door hoe ernstig het was", zo stelt de ceo. Gisteren kwam 3CX met een update over de situatie, maar die bevat geen echt nieuwe informatie. Gebruikers wordt nog altijd aangeraden de desktopapplicatie te verwijderen en de webapplicatie van de voip-software te gebruiken. Verder wordt organisaties opgeroepen om hun netwerken op de malware te controleren die de aanvallers via het installatieprogramma hebben geïnstalleerd.


Cybercriminelen maken misbruik van kwetsbaarheid in WordPress-plug-in Elementor Pro

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress-plug-in Elementor Pro om zo kwetsbare websites over te nemen of verkeer naar andere sites door te sturen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Wanneer Elementor Pro en WooCommerce zijn geïnstalleerd, een plug-in om van WordPress-sites een webwinkel te maken, kan een standaardgebruiker zichzelf beheerder van de website maken. De kwetsbaarheid in Elementor Pro maakt het namelijk mogelijk om de registratiepagina in te schakelen, wanneer die is uitgeschakeld, en de standaardrol naar beheerder te zetten. Elk aangemaakt account heeft dan beheerdersrechten. Daarnaast is het ook mogelijk om het e-mailadres van alle actieve beheerders te wijzigen of al het verkeer naar de WordPress-site naar een andere website door te sturen. Op 22 maart kwamen de ontwikkelaars van Elementor met een update, maar die maakt niet echt duidelijk wat het probleem is. "Improved code security enforcement in WooCommerce components", aldus de beschrijving. Inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo meldt securitybedrijf Patchstack. Beheerders wordt dan ook aangeraden om de update installeren.


Omvang Datalek Rond Marktonderzoeksbureaus en Softwareleverancier Nebu Mogelijk Nog Groter: Miljoenen Nederlanders Getroffen

De Autoriteit Persoonsgegevens (AP) sluit niet uit dat de omvang van het datalek rond verschillende marktonderzoeksbureaus die de software van leverancier Nebu gebruiken nog groter wordt. De privacytoezichthouder vraagt bedrijven die bij het datalek betrokken zijn om opheldering. Dat laat de AP vandaag via de eigen website weten. Mogelijk zijn van miljoenen Nederlanders de gegevens gelekt. Tal van grote organisaties maken gebruik van de marktonderzoeksbureaus voor het uitvoeren van klanttevredenheidsonderzoeken. Die gebruiken voor deze onderzoeken de software van Nebu. Bij het softwarebedrijf heeft zich een datalek voorgedaan, waardoor ook de gegevens van de marktonderzoekers op straat is beland. Het kan daarbij ook gaan om gegevens van hun klanten. Zo zijn bij NS de gegevens van mogelijk 780.000 klanten gelekt en bij VodafoneZiggo zo'n 700.000. De lijst met bedrijven en organisaties die inmiddels laten weten getroffen te zijn wordt steeds groter. Inmiddels zou de teller van mogelijk getroffen klanten de twee miljoen zijn gepasseerd. "De AP sluit niet uit dat het datalek nog groter wordt", zo stelt de toezichthouder. Volgens de AP moeten bedrijven en organisaties zorgvuldig omgaan met persoonsgegevens. De toezichthouder vraagt daarom partijen die zijn betrokken bij het datalek om opheldering. Zo wil de de Autoriteit Persoonsgegevens weten wat er in de contracten tussen de verschillende partijen is vastgelegd over het beschermen van persoonsgegevens. Ook houdt de AP er toezicht op dat de betrokken partijen mensen informeren over het datalek, aangezien dat verplicht is.

Cybercriminelen treffen Nederlandse marktonderzoekers door groot datalek bij Nebu ‘Probleem groter dan wij denken’

Het omvangrijke datalek bij softwarebedrijf Nebu in Wormerveer heeft veel Nederlandse marktonderzoeksbureaus en hun opdrachtgevers geraakt. Alleen al bij Blauw Research zijn veertien klanten getroffen die gebruik maakten van Nebu's applicatie voor het verzamelen van gegevens via vragenlijsten. Na de Nederlandse Spoorwegen heeft ook een andere prominente klant van Blauw, VodafoneZiggo, consumenten gewaarschuwd dat hun persoonlijke gegevens mogelijk zijn gelekt. Omdat Nebu slechts beperkt informatie over de hack verstrekt en zakelijke klanten aan het lijntje houdt, is het nog onduidelijk hoeveel klantgegevens mogelijk op straat liggen. Blauw moest zelfs dreigen met een kort geding om Nebu tot meer openheid te bewegen. Het is nog steeds een belangrijke vraag in hoeverre onbevoegden toegang hebben gehad tot de verzamelde gegevens. Sinds juni 2021 maakt Nebu deel uit van het Canadese Enghouse. Dit beursgenoteerde bedrijf bevestigt dat zijn dochteronderneming in Wormerveer, met ontwikkeling voornamelijk in het Hongaarse Debrecen, het slachtoffer is geworden van een cyberaanval. Voor meer details wordt verwezen naar Enghouse in Markham (Ontario). Het bedrijf kan telefonisch geen verdere vragen beantwoorden. De Nederlandse directeur is met ziekteverlof. Jos Vink, directeur van Blauw Research, dacht dat Nebu zijn zaken goed op orde had. De leverancier beschikt over ISO-certificaten voor onder andere gegevensbeveiliging. Blauw heeft die ook, en daarnaast een certificaat voor privacy. Vink is teleurgesteld dat Nebu sinds de cyberaanval op 6 maart vrijwel geen informatie van de Canadese eigenaar mag delen. Over de aard van de ransomware-aanval, de eisen van de aanvallers en de gestolen bestanden is bijna niets bekend. Nebu probeerde zo snel mogelijk de zaken weer op te pakken en vragenlijsten te versturen, zegt Vink. Er was geen sprake van een forensisch onderzoek. Back-ups werden snel weer teruggezet.  Meer info over datalek bij marktonderzoeker Blauw


Woningcorporatie Stadgenoot waarschuwt huurders voor datalek bij marktonderzoeksbureau na cyberaanval

De Amsterdamse woningcorporatie Stadgenoot waarschuwt vijftienduizend huurders voor een datalek dat zich heeft voorgedaan bij marktonderzoeksbureau USP Marketing Consultancy. Dit bedrijf voert voor klanten tevredenheidsonderzoeken uit en maakt hierbij gebruik van bepaalde software. De leverancier van deze software heeft te maken gekregen met een datalek. "Op 24 maart kregen wij schriftelijk bericht dat er sprake was van onbevoegde toegang tot het netwerk van de softwareleverancier. Op 28 maart bevestigde deze leverancier dat er daadwerkelijk data is ontvreemd. Dit betreuren wij zeer en wij hebben onze opdrachtgevers hierover ingelicht. Wij weten nog niet wat er exact is ontvreemd", zo laat het marktonderzoeksbureau weten. Een van de klanten van USP Marketing Consultancy is Stadgenoot. Vanwege het datalek bij het marktonderzoeksbureau kunnen ook gegevens zijn gelekt van huurders die in het verleden voor één of meer tevredenheidsonderzoeken van Stadgenoot zijn uitgenodigd. Het gaat dus ook om de gegevens van mensen die alleen zijn uitgenodigd en niet hebben deelgenomen. De mogelijk gelekte gegevens bestaan uit namen, e-mailadressen en telefoonnummers. Zowel USP Marketing Consultancy als Stadgenoot hebben melding bij de Autoriteit Persoonsgegevens gedaan. Eerder deze week meldde ook marktonderzoeker Blauw dat het te maken heeft gekregen met een datalek dat zich bij een softwareleverancier heeft voorgedaan.


Cybercriminelen infecteren populaire 3CX VoIP-desktopapplicatie met malware

Verschillende securitybedrijven slaan alarm over malware die in de officiële desktopapplicatie van de populaire voipsoftware 3CX is aangetroffen. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. 3CX biedt ook een Windowsapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Een library die 3CX voor de Windowsapplicatie gebruikt is voorzien van malware, zo laat het bedrijf in een waarschuwingweten. Dat werkt inmiddels aan een nieuwe Windows-app. In de tussentijd wordt klanten aangeraden de webapplicatie te gebruiken. Hoe de malware kon worden toegevoegd is niet bekendgemaakt. 3CX zegt met een onderzoek bezig te zijn en later vandaag met meer informatie te komen. De malware die aan de desktopapplicatie is toegevoegd downloadt aanvullende malware die informatie van het besmette systeem steelt en aanvallers verdere toegang kan geven, zo waarschuwen securitybedrijven SentinelOne, Sophos en Crowdstrike. Deze laatste partij vermoedt dat de aanval het werk is van een statelijke actor.


TVH in België worstelt nog steeds met herstart na cyberaanval, maar is vastberaden sterker terug te komen

Elf dagen na de cyberaanval ondervindt TVH in België nog steeds moeilijkheden om volledig te herstarten. Dit wordt bevestigd door Isabelle Van De Voorde namens TVH. "We zijn er echter van overtuigd dat we sterker dan ooit zullen terugkomen", voegt ze eraan toe. Het ICT-team van TVH werkt onvermoeibaar om de gevolgen van de aanval te minimaliseren, aldus het bedrijf. Er is vooruitgang geboekt, maar nog niet alles is opgelost. Uit het eerste onderzoek blijkt volgens TVH dat de cybercriminelen daadwerkelijk toegang hadden tot de gegevens van de West-Vlaamse multinational. "Er loopt nog verder onderzoek, maar we hebben geen enkel bewijs gevonden dat onze data op het openbare domein terecht zijn gekomen", zegt TVH. "We hanteren strikte regels voor gegevensbeheer voor zowel onze medewerkers als onze zakelijke partners, gebaseerd op vertrouwelijkheid. Externe experts ondersteunen ons nu bij het verder onderzoeken van de oorzaken."


Cybercriminelen verhogen aanvallen via API's met 400%

Salt Security heeft het nieuwste Salt Labs State of API Security rapport gepresenteerd. Het rapport toont aan dat cybercriminelen hun aanvallen via API's in de afgelopen zes maanden met 400% hebben verhoogd. Ongeveer 80% van deze aanvallen vindt plaats via geverifieerde API's. API-security is nu een C-level discussie in bijna de helft van de organisaties geworden, aangezien het een kritiek bedrijfsprobleem is geworden. Bijna alle respondenten (94%) hebben het afgelopen jaar security problemen gehad met productie API's. Het rapport benadrukt ook dat organisaties serieus werk moeten maken van hun API-security. De meeste respondenten geven aan dat de mogelijkheid om aanvallen te stoppen, het identificeren van kwetsbare API's en het voldoen aan eisen op het gebied van compliance of regelgeving de belangrijkste API-security mogelijkheden zijn. Het rapport toont ook aan dat API-aanvallen toenemen en dat slechte actoren zich richten op interne en geauthenticeerde API's. 'Zombie API's' staan bovenaan de lijst van API-zorgen. Het rapport toont aan dat de meeste organisaties nog steeds geen volwassen API-security programma hebben en dat kwetsbaarheden 'in het wild' een ernstig probleem vormen. Organisaties moeten overstappen op een moderne security strategie die iedere fase van de API-levenscyclus aanpakt.

Salt Security Report State Of API Security
PDF – 455,8 KB 279 downloads

Google onthult details over zeroday-aanvallen door cybercriminelen met spyware

De afgelopen maanden kwamen Apple, Google en Samsung met beveiligingsupdates voor meerdere actief aangevallen zerodaylekken. De kwetsbaarheden werden gebruikt bij aanvallen die begonnen met een sms-link en het werk waren van verschillende spywareleveranciers, zo laat Google vandaag weten. Fabrikanten zoals Apple, Google en Microsoft laten geregeld weten dat ze kwetsbaarheden hebben verholpen die al voor het uitkomen van de patch actief werden misbruikt. Details over dergelijke zeroday-aanvallen worden echter zelden gegeven. Vandaag geeft Google details over twee campagnes, gericht tegen Android- en iOS-gebruikers. Daarbij maakten de aanvallers gebruik van zowel bekende als zeroday-kwetsbaarheden. De eerste campagne werd afgelopen november ontdekt en bestond uit sms-berichten aan gebruikers in Italië, Maleisië en Kazachstan. Volgens het bericht had de ontvanger een pakketje gemist. De link wees naar een exploitpagina, die in het geval van iOS van drie kwetsbaarheden gebruikmaakte, waaronder één zerodaylek. Via de aanval was het mogelijk om spyware op de iPhone van het slachtoffer te installeren. Ook bij de aanval tegen Androidtelefoons werden drie kwetsbaarheden ingezet, waaronder weer één zeroday. Nadat slachtoffers op de link hadden geklikt en werden doorgestuurd naar de exploitpagina, stuurde die ze weer door naar een legitieme pagina om geen argwaan te wekken. De tweede campagne die Google beschrijft werd afgelopen december waargenomen. Dit keer waren gebruikers van de Samsung Internet Browser het doelwit, waarbij de aanvallers verschillende zerodaylekken en bekende kwetsbaarheden combineerden. Wederom begon de aanval met een link in een sms-bericht, gericht aan gebruikers in de Verenigde Arabische Emiraten. Bij een succesvolle aanval werd er spyware op het toestel geïnstalleerd. Google stelt dat het meer dan dertig spywareleveranciers volgt, die over verschillende mogelijkheden beschikken en hun diensten aan overheidsinstanties aanbieden. "Deze campagnes zijn een reminder dat de commerciële spyware-industrie springlevend is. Zelfs kleinere surveillanceleveranciers hebben toegang tot zerodays, en leveranciers die zerodaylekken in het geheim verzamelen en gebruiken vormen een grote dreiging voor het internet", aldus het techbedrijf.


Cybercriminelen achter Clop-ransomware zorgen voor explosie aan datalekken via zerodaylek in Fortra GoAnywhere

Een actief misbruikt zerodaylek in Fortra GoAnywhere zorgt op dit moment voor een explosie aan datalekken. Tal van grote organisaties melden dat er gegevens bij hen zijn gestolen. Het gaat onder andere om Procter & Gamble, Hitachi Energy, Investissement Québec, Saks Fifth Avenue, Pluralsight, Rio Tinto, US Wellness, securitybedrijf Rubrik, de grote Amerikaanse zorgorganisatie Community Health Systems (CHS), gokbedrijf Crown Resorts, de Hatch Bank, het Britse Pension Protection Fund, de stad Toronto en zorgverlener Brightline. Deze laatste partij levert therapie aan kinderen en de vrees is dat de gevoelige data van tienduizenden kinderen is buitgemaakt. De aanvallers achter deze aanvallen claimen dat ze bij meer dan honderddertig organisaties hebben toegeslagen. GoAnywhere is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. TechCrunch meldt op basis van twee getroffen organisaties dat Fortra klanten vertelde dat hun gegevens niet door de aanvallers waren buitgemaakt. Pas nadat de aanvallers deze getroffen organisaties benaderden ontdekten die dat dit wel het geval was. De aanvallen zijn het werk van de criminelen achter de Clop-ransomware. Die hebben nog niet alle slachtoffers op hun eigen website vermeld. Het is dan ook de verwachting dat de komende dagen nog veel meer organisaties bekend zullen worden.


Datalek bij marktonderzoeker Blauw / Nebu's applicatie


Datalek treft pensioenfondsen: data zowel werkenden als ouderen op straat

Ook PFZW heeft bericht gekregen dat er een datalek zat bij een softwareleverancier van een onderzoeksbureau waarmee ze werken. De woordvoerder van dit fonds voor medewerkers uit de zorg en welzijn: „Het zou kunnen dat hierbij persoonsgegevens van deelnemers zijn betrokken zoals naam en e-mailadres.” Volgens haar gaat het niet om financiële gegevens of wachtwoorden. „Het onderzoeksbureau heeft direct maatregelen getroffen om het lek te dichten en om herhaling te voorkomen. Wij vinden het heel vervelend dat dit mogelijk is gebeurd. Zodra er meer duidelijkheid is, laten we dat weten.” PME had donderdag al gemeld dat het mogelijk was getroffen door een datalek. Het pensioenfonds maakt gebruik van de diensten van een onderzoeksbureau, dat daarvoor software van het bedrijf Nebu uit Wormerveer gebruikt. In die software is een gat gevonden. Daardoor liggen de gegevens van mogelijk honderdduizenden mensen op straat. PME zegt in beeld te hebben ’welke gegevens het betreft en probeert in nauwe samenwerking met gespecialiseerde onderzoeksbureaus vast te stellen of onbevoegden daadwerkelijk de gegevens hebben ingezien of gestolen’.


Nationale Postcode Loterij, ProRail en RVO waarschuwen voor datalek

De Nationale Postcode Loterij, ProRail en Rijksdienst voor Ondernemend Nederland (RVO) waarschuwen duizenden mensen dat hun gegevens mogelijk zijn gelekt. Net als andere organisaties gaat het om het datalek dat zich voordeed bij marktonderzoekbureau Blauw. Dat deed in opdracht van de Nationale Postcode Loterij en ProRail onderzoek onder respectievelijk loterijdeelnemers en mensen die contact hadden met de afdeling Publieksvoorlichting. In het geval van de RVO gaat het om ondernemers die gebruikmaakten van de regelingen van de overheidsdienst. Voor het uitvoeren van het onderzoek maakt Blauw gebruik van de software van Nebu, dat met een datalek te maken kreeg. "Potentieel zijn persoonsgegevens van maximaal achtduizend deelnemers van de Nationale Postcode Loterij betrokken bij dit datalek. Deze deelnemers hebben inmiddels een mail van ons ontvangen", zo laat de Loterij weten. Er is inmiddels ook melding bij de Autoriteit Persoonsgegevens gedaan. In het geval van ProRail, dat ook melding bij de privacytoezichthouder deed, gaat het om mogelijk 4300 mensen. De RVO schat dat mogelijk 27.000 ondernemers zijn getroffen.


ArboNed: gegevens van klanten betrokken bij datalek marktonderzoeker

Gegevens van klanten van ArboNed zijn betrokken bij het datalek bij marktonderzoeksbureau Blauw, zo heeft de arbodienst voor het mkb bekendgemaakt. Net als de NS, VodafoneZiggo en CZ laat ook ArboNed de marktonderzoeker klanttevredenheidsonderzoeken uitvoeren. Voor deze onderzoeken maakt Blauw gebruik van de software van Nebu. De softwareleverancier kreeg te maken met een datalek. "Er zijn gegevens van onze klanten betrokken bij het datalek bij de softwareleverancier van marktonderzoeksbureau Blauw. Dat vinden wij uiteraard erg vervelend", laat ArboNed weten. "Wij informeren klanten die hebben deelgenomen aan ons klanttevredenheidsonderzoek uit voorzorg met het advies om extra alert te zijn op phishingberichten." Om hoeveel klanten het precies gaat is niet bekendgemaakt. De mogelijk gelekte gegevens bestaan uit naam, e-mailadres en telefoonnummer. Technische Unie, een groothandel in technische oplossingen voor installatie en industrie, waarschuwt klanten ook voor een datalek. Dat vond plaats bij de leverancier van het marktonderzoekbureau dat jaarlijks het klanttevredenheidsonderzoek uitvoert. "U bent hiervoor uitgenodigd in november 2022. Het is mogelijk dat uw gegevens via hen zijn gelekt. Er zijn direct maatregelen getroffen om het datalek te dichten en om herhaling te voorkomen", aldus de Technische Unie.


Datalek marktonderzoeker Blauw raakt ook 107.000 leden Golf Federatie

Het datalek bij marktonderzoeker Blauw heeft ook 107.000 leden van de Koninklijke Nederlandse Golf Federatie (NGF) geraakt. Onlangs hebben 29 golfclubs meegedaan aan een onderzoek naar "lidmaatschapsoptimalisatie" dat door de NGF was georganiseerd. Dit onderzoek werd uitgevoerd door een extern bureau, dat hiervoor weer Blauw inschakelde. Een softwareleverancier waar Blauw gebruik van maakt, Nebu b.v., heeft te maken gekregen met een datalek. Volgens de NGF zijn mogelijk achternaam, geslacht en het e-mailadres van golfers gelekt die voor het onderzoek zijn uitgenodigd. Mogelijk gaat het ook om de antwoorden van de respondenten. De Golf Federatie heeft melding van het datalek bij de Autoriteit Persoonsgegevens gedaan en gedupeerde golfers geïnformeerd. Tevens stelt de organisatie dat de gegevens van golfers bij de NGF veilig zijn. "Er heeft geen datalek bij de NGF plaatsgevonden en deze data zijn nog steeds veilig. Het betreft hier een externe datalek. Dit bedrijf heeft geen directe koppeling met de NGF." De lijst met getroffen organisaties die van de diensten van Blauw gebruikmaakten wordt steeds langer. Naast de NGF gaat het ook om de NS, VodafoneZiggo en Vrienden van Amstel Live.


Cybercriminelen bemachtigen gegevens van duizenden bezoekers Vrienden van Amstel Live

Door een datalek bij marktonderzoeker Blauw zijn de gegevens van 22.000 bezoekers van Vrienden van Amstel Live en drieduizend klanten van zorgverzekeraar CZ gelekt. Eerder waarschuwden de NS en VodafoneZiggo ook al voor een datalek bij het marktonderzoeksbureau. In het geval van de NS zouden mogelijk de gegevens van 780.000 reizigers op straat zijn beland. Bij VodafoneZiggo zou het om 700.000 klanten gaan. Blauw voert klanttevredenheidsonderzoeken uit en maakt hierbij gebruik van de software van Nebu. Dit bedrijf heeft te maken gekregen met een datalek waardoor mogelijk ook de gegevens die het voor klanten verzamelt in handen van aanvallers terecht zijn gekomen. Heineken zegt dat het alle bezoekers van Vrienden van Amstel Live in kwestie heeft geïnformeerd, zo meldt De Telegraaf. Volgens Blauw zijn in totaal veertien klanten voor wie het werk door het datalek getroffen. De gelekte gegevens bestaan uit namen, telefoonnummers en e-mailadressen.


Cybercriminelen mogelijk achter datalek bij marktonderzoeker Blauw, klanten zoals VodafoneZiggo en NS waarschuwen voor mogelijk gestolen gegevens

VodafoneZiggo heeft klanten gewaarschuwd die hebben deelgenomen aan een tevredenheidsonderzoek vanwege een mogelijk datalek met hun gegevens. Dit komt door het datalek bij marktonderzoeker Blauw, die deze onderzoeken uitvoert voor onder andere VodafoneZiggo. Blauw maakt hiervoor gebruik van specifieke software. De leverancier van deze software heeft te maken gehad met een datalek, waarbij mogelijk ook de gegevens die Blauw verzamelt en verwerkt voor klanttevredenheidsonderzoeken zijn gestolen. Hierbij gaat het om gegevens zoals namen, e-mailadressen, telefoonnummers en de antwoorden die zijn gegeven in het onderzoek. Het is niet bekend welke softwareleverancier hierbij betrokken is. Gisteren heeft de NS, die ook gebruikmaakt van de diensten van Blauw, een soortgelijke waarschuwing uitgegeven. Andere klanten van Blauw zijn onder andere de Efteling, Albert Heijn, Etos, bol.com en Vattenfall, maar zij hebben nog niet aangegeven of zij ook zijn getroffen door het datalek, aldus het AD. Het marktonderzoeksbedrijf heeft al melding gemaakt bij de Autoriteit Persoonsgegevens.


Cybercriminelen mogelijk betrokken bij datalek: 780.000 NS-klanten getroffen

De NS waarschuwt 780.000 klanten voor een datalek bij marktonderzoeksbureau Blauw waarbij mogelijk ook de gegevens van treinreizigers in handen van derden zijn gekomen. Blauw doet voor de NS onderzoek naar de klanttevredenheid. Het bedrijf maakt daarvoor gebruik van bepaalde software. De leverancier van deze software heeft te maken gekregen met een datalek. Daarbij zijn mogelijk ook de gegevens die Blauw voor klanttevredenheidsonderzoeken verzamelt en verwerkt gestolen. Het gaat dan om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan het onderzoek, zoals namen, e-mailadressen en telefoonnummers, en de gegeven antwoorden in het onderzoek. Om welke softwareleverancier het gaat is niet bekendgemaakt. "Het zou dus kunnen dat gegevens van onze klanten betrokken zijn bij het datalek bij marktonderzoeksbureau Blauw. Dat vinden wij uiteraard erg vervelend. We hebben Blauw opdracht gegeven om goed uit te zoeken hoe dit heeft kunnen gebeuren", zo laat de NS weten. Tegenover het ANP stelt de vervoerder dat mogelijk 780.000 reizigers zijn gedupeerd. Verdere details over het lek zijn niet gegeven, maar de NS meldt dat Blauw maatregelen heeft getroffen om het lek te dichten en herhaling te voorkomen. Zowel de vervoerder als het marktonderzoeksbureau hebben melding bij de Autoriteit Persoonsgegevens gedaan.


Cybercriminelen stelen gegevens van 14 miljoen klanten bij kredietverstrekker Latitude

De Australische kredietverstrekker Latitude heeft de gegevens van veertien miljoen klanten gelekt, waardoor het om één van de grootste datalekken in de Australische geschiedenis gaat. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. De Australische politie heeft aangegeven slachtoffers van het datalek via een speciale operatie te beschermen. Latitude is een grote kredietverstrekker in Australië en Nieuw-Zeeland. Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. Gisteren kwam Latitude met een update over de aanval en liet weten dat hierbij de gegevens van veel meer klanten zijn gestolen. Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt. Een Australisch advocatenkantoor kijkt inmiddels naar het starten van een mogelijk massaclaim. Vanwege eerdere grote datalekken in Australië startte de Australische politie Operation Guardian. Hierbij wordt specifiek gezocht naar gegevens die bij deze datalekken zijn buitgemaakt en op internet worden gepubliceerd of voor fraude worden gebruikt. De operatie is nu uitgebreid naar het datalek bij Latitude. De Australische politie zegt dat het "meteen" actie zal ondernemen, onder andere door middel van verstoring of aanklachten, als personen of groepen de gestolen informatie online aanbieden.


Pro-Russische hackersgroep NoName blokkeert website van Franse parlement

De website van het Franse parlement, de Assemblée Nationale, is gedurende een bepaalde periode geblokkeerd geweest door een cyberaanval. De aanval is opgeëist door de pro-Russische hackersgroep NoName, die beweert verantwoordelijk te zijn voor een soortgelijke aanval op het Franse persbureau AFP. De aanval lijkt te zijn uitgevoerd als gevolg van de steun van Frankrijk aan Oekraïne. Op maandag werden bezoekers van de website doorgestuurd naar een onderhoudspagina. Het pro-Russische hackerscollectief NoName057(16) heeft de website uit de lucht gehaald. Op Telegram heeft de groep aangegeven dat de steun van Frankrijk aan Oekraïne de reden voor de aanval is, aldus Ivan Fontarensky, technisch directeur cyberbeveiliging bij Thales.


Populair YouTube-kanaal LinusTechTips slachtoffer van cybercriminelen: 14.000 dollar aan crypto gestolen

De aanvaller die het YouTube-kanaal van LinusTechTips kaapte en dat gebruikte voor een cryptoscam maakte daarmee 14.000 dollar aan bitcoin en ethereum buit, zo stelt internetbedrijf Netcraft. Het kanaal kon dankzij een malafide e-mailbijlage worden overgenomen. LinusTechTips behoort tot de meest bekeken kanalen over technologie op YouTube en heeft ruim vijftien miljoen volgers. Vorige week werd het kanaal overgenomen en gebruikt voor het streamen van een video die een qr-code toonde. Deze qr-code wees naar een website die zogenaamd van Tesla leek en claimde dat elke verstuurde bitcoin of ethereum zou worden verdubbeld. De aanval was een paar uur live, maar in die tijd maakte de aanvaller zo'n 14.000 dollar buit, zo blijkt uit de gebruikte wallets. In een uitleg over de aanval laat Linus Sebastian weten dat iemand in het team een malafide e-mailbijlage had geopend. De e-mail leek een pdf-bestand met voorwaarden voor een sponsordeal te bevatten. In werkelijkheid was het malware die informatie, waaronder sessiecookies, uit de browsers op het besmette systeem stal. Met deze cookies kon de aanvaller zonder wachtwoord en tweefactorauthenticatie toegang tot het LinusTechTips-account en andere ingelogde accounts krijgen. Linus zegt dat hij geen disciplinaire maatregelen tegen de verantwoordelijke persoon gaat nemen. "Als we betere training voor onze nieuwkomers hadden en betere processen voor het opvolgen van meldingen van onze beveiligingssoftware had dit eenvoudig voorkomen kunnen worden."


Cybercriminelen maken gebruik van OneNote als nieuwe methode voor het verspreiden van malware

Sinds kort experimenteren cybercriminelen met het afleveren van malware via OneNote. Dat melden verschillende media, waaronder CPA Trendlines. OneNote is een notitie-applicatie die onderdeel is van het populaire Microsoft 365 Office-pakket, een pakket waar ook veel accountants gebruik van maken. Criminelen zijn constant verwikkeld in een kat en muis-spel met software die digitale aanvallen moet voorkomen. Sinds eind 2022 zien analisten een sterke toename in OneNote-bestanden (bestanden die eindigen met '.one') met daarin URL's die, wanneer ze worden aangeklikt, leiden tot een besmetting met malware. In het ergste geval zijn criminelen vervolgens in staat om alle bedrijfsinformatie te versleutelen door middel van ransomware. Het gebruik van OneNote als aflevermethode is problematisch, omdat beveiligingssoftware vaak niet in staat is de dreiging te detecteren. De criminelen gebruiken ook slimme trucs om ervoor te zorgen dat de bestanden geopend worden en ontvangers op links klikken, bijvoorbeeld door het maken van nepfacturen waarop bedrijfsnamen en zogenaamd ingekochte diensten of materialen daadwerkelijk lijken te kloppen. URL's in die facturen leiden vervolgens tot een besmetting met malware. Onderzoekers manen bedrijven om personeel nogmaals te wijzen op de gevaren van het openen van bijlagen in e-mails en het zomaar klikken op links. Onder meer het kritisch kijken naar de afzender, de bestandsnaam en eventuele links in toegestuurde documenten zou al een flink aantal besmettingen kunnen voorkomen.


SAF-Holland getroffen door cyberaanval, productie tijdelijk verstoord

In het weekend heeft bedrijfswagenleverancier SAF-Holland een cyberaanval moeten doorstaan. Hierdoor heeft het bedrijf maandag in Bessenbach laten weten dat hun systemen uit voorzorg zijn gecontroleerd, stilgelegd en losgekoppeld van het internet. Deze acties hebben geleid tot onderbrekingen in de productie op verschillende locaties, wat naar verwachting zeven tot veertien dagen zal duren. Het bedrijf is nog bezig met het onderzoeken van de volledige omvang van de impact van deze cyberaanval. Ondanks de verstoring in de productie, verwacht het management van SAF-Holland de opgelopen productieachterstand in de komende drie maanden in te halen. Het aandeel van het bedrijf, genoteerd aan de SDax, daalde even in het rood na de bekendmaking van het nieuws, maar herstelde zich snel en noteerde onlangs meer dan een procent hoger. Dit incident volgt op eerdere cyberaanvallen op bedrijven zoals Aurubis, Continental en het dochterbedrijf van Telekom, T-Mobile US, die in de afgelopen maanden ook het doelwit waren van hackers.


FBI waarschuwt voor cybercriminelen die leveranciers oplichten met vervalste e-mails en domeinnamen

De FBI waarschuwt leveranciers voor diefstal van allerlei soorten goederen via e-mailfraude, waarbij criminelen domeinnamen registreren die erg veel op die van bekende afnemers lijken. Vervolgens sturen ze een e-mail met de bestelling van goederen. Vaak maken de criminelen ook gebruik van valse kredietreferenties en belastingformulieren om een langere aflossingstermijn te krijgen, waardoor de fraude pas later wordt opgemerkt. De aanvallen zijn mede gericht tegen leveranciers van bouwmaterialen, landbouwbenodigdheden, computerhardware en zonnepaneelproducten. De FBI adviseert leveranciers om altijd via een bekend telefoonnummer contact met de afnemer op te nemen en niet het nummer te gebruiken dat via e-mail wordt opgegeven. Afgelopen december liet de FBI nog weten dat criminelen door middel van e-mailfraude honderdduizenden dollars aan voedsel van voedselproducenten hadden gestolen. Bij business email compromise (BEC), waarover de waarschuwing van de FBI gaat, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts weten te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier of afnemer. Vaak worden ook namen van echte medewerkers en logo's van de betreffende onderneming gebruikt. Microsoft liet onlangs weten hoe aanvallers twee uur lang de inbox van een slachtoffer doorzochten en vervolgens twee domeinen registreerden, zodat ze zich konden voordoen als de aangevallen organisatie en een partnerorganisatie die bij de e-mailconversatie betrokken was. Ook werden regels aangemaakt om berichten van de partnerorganisatie uit de inbox naar een andere map te verplaatsen.


Twitter broncode maandenlang beschikbaar op GitHub, cybercriminelen kunnen mogelijk profiteren

Een deel van de broncode van Twitter was maandenlang voor het publiek beschikbaar op GitHub, zo stelt The New York Times op basis van gerechtelijke documenten. Twitter verstuurde afgelopen vrijdag een bericht naar GitHub dat er sprake was van een copyrightschending en de broncode offline moest. Dat is inmiddels ook door GitHub gedaan. Daarnaast diende het platform van Elon Musk een verzoek bij de rechter in om GitHub te dwingen de persoon die de broncode deelde bekend te maken, alsmede personen die de code hebben gedownload. Twitter is inmiddels ook een onderzoek naar het lekken van de broncode gestart. Het platform vermoedt dat een persoon die vorig jaar bij Twitter vertrok verantwoordelijk is voor het lek, aldus twee bronnen die over het interne onderzoek zijn ingelicht, zo stelt The New York Times. Er zijn zorgen dat de gelekte broncode kan worden gebruikt voor het vinden van kwetsbaarheden in het platform of manieren biedt voor het verzamelen van gebruikersgegevens of aanvallen van de website.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024