Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week zijn er verschillende cyberaanvallen uitgevoerd op zowel nationale als internationale organisaties. Twee Nederlandse organisaties zijn het slachtoffer geworden van cybercriminaliteit: Joriszorg door de LockBit groepering en Vopak tankopslag door BlackCat. Daarnaast zijn Noord-Koreaanse cybercriminelen verantwoordelijk voor een grootschalige supplychain-aanval op voip-leverancier 3CX, waarbij cruciale infrastructuurorganisaties in Europa en de Verenigde Staten zijn getroffen. Ook is de Europese luchtverkeersorganisatie Eurocontrol aangevallen door de pro-Russische groep Killnet, die een DDoS-aanval uitvoerde en wachtwoorden lekte. Russische cybercriminelen hebben zich tevens gericht op Europa en de Verenigde Staten door misbruik te maken van ongepatchte Cisco-routers. Tot slot is er een LockBit-ransomware ontdekt die specifiek gericht is op macOS-systemen. Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week.
Laatste wijziging op 24-april-2023
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| norton.com.ar | LockBit | norton.com.ar | Argentina | Food Products | 23-apr.-23 |
| NETISGROUP | BlackCat (ALPHV) | netisgroup.net | Mauritius | Communications | 23-apr.-23 |
| ECCI | BlackCat (ALPHV) | www.ecci.com | USA | Engineering Services | 23-apr.-23 |
| WestcoastSmile Dental Studio | Medusa | www.westcoastsmile.com | Canada | Health Services | 23-apr.-23 |
| MKU | BlackCat (ALPHV) | mku.eu | India | Aerospace | 23-apr.-23 |
| qcssinc.com | BlackCat (ALPHV) | qcssinc.com | USA | Business Services | 23-apr.-23 |
| Easy Automation | BlackByte | www.easy-automation.com | USA | Machinery, Computer Equipment | 23-apr.-23 |
| floraalpina.ch | LockBit | floraalpina.ch | Switzerland | Lodging Places | 23-apr.-23 |
| Pembina County Memorial Hospital | AvosLocker | cavalierhospital.com | USA | Health Services | 23-apr.-23 |
| Groupe Gambetta | PLAY | www.groupegambetta.fr | France | Real Estate | 22-apr.-23 |
| UECC | PLAY | www.uecc.com | Norway | Water Transportation | 22-apr.-23 |
| stuertz.com | LockBit | stuertz.com | Germany | Machinery, Computer Equipment | 22-apr.-23 |
| Neptune Lines | Vice Society | www.neptunelines.com | Greece | Transportation Services | 22-apr.-23 |
| Yellow Pages | Black Basta | www.yellowpages.ca | Canada | Miscellaneous Services | 22-apr.-23 |
| GKS Hydraulik | Royal | www.gks-hydraulik.com | Germany | Machinery, Computer Equipment | 22-apr.-23 |
| Daregal | BlackCat (ALPHV) | www.daregal.fr | France | Food Products | 21-apr.-23 |
| Groupe ACTIVA | BlackCat (ALPHV) | www.group-activa.com | Cameroun | Insurance Carriers | 21-apr.-23 |
| Slade Shipping | BlackCat (ALPHV) | sladeglobal.com | USA | Transportation Services | 21-apr.-23 |
| Saville Row | BlackCat (ALPHV) | savilerowco.com | UK | Apparel And Accessory Stores | 21-apr.-23 |
| AUT-TECH-GROUP.COM | CL0P | aut-tech-group.com | Germany | Machinery, Computer Equipment | 21-apr.-23 |
| Classic Stripes Pvt | BlackCat (ALPHV) | www.classicstripes.com | India | Transportation Equipment | 21-apr.-23 |
| Global Polymers | BlackCat (ALPHV) | www.globalpolymerscorp.com | USA | Rubber, Plastics Products | 21-apr.-23 |
| NAIVAS | BlackCat (ALPHV) | naivas.online | Kenya | Merchandise Stores | 21-apr.-23 |
| Astarc Group | BlackCat (ALPHV) | astarc.com | India | Transportation Equipment | 21-apr.-23 |
| VOPAK | BlackCat (ALPHV) | www.vopak.com | Netherlands | Electric, Gas, And Sanitary Services | 21-apr.-23 |
| Albert Ziegler | BlackCat (ALPHV) | www.ziegler.de | Germany | Transportation Equipment | 21-apr.-23 |
| Cementos Progreso | BlackCat (ALPHV) | www.cempro.com | Guatemala | Wholesale Trade-durable Goods | 21-apr.-23 |
| Wynn-Reeth | Karakurt | www.wynn-reeth.com | USA | Health Services | 21-apr.-23 |
| Banco Comercial do Huambo | BlackCat (ALPHV) | www.bch.co.ao | Angola | Depository Institutions | 21-apr.-23 |
| Eastern Cape Gambling Board | BlackCat (ALPHV) | www.ecgb.org.za | South Africa | Membership Organizations | 21-apr.-23 |
| Lisa LogΓstica | BlackCat (ALPHV) | lisalog.com.br | Brazil | Transportation Services | 21-apr.-23 |
| JK Residential Services | BlackCat (ALPHV) | jkrsi.com | USA | Real Estate | 21-apr.-23 |
| CA de Seguros La Occidental | BlackCat (ALPHV) | www.laoccidental.com | Venezuela | Insurance Carriers | 21-apr.-23 |
| sasa.com | BlackCat (ALPHV) | sasa.com | Hong Kong | Miscellaneous Retail | 21-apr.-23 |
| pkffinconta.ro | LockBit | pkffinconta.ro | Romania | Accounting Services | 21-apr.-23 |
| soapro.ao | LockBit | soapro.ao | Angola | Construction | 21-apr.-23 |
| soshin.co.jp | LockBit | soshin.co.jp | Japan | Electronic, Electrical Equipment, Components | 21-apr.-23 |
| ibp.com.br | LockBit | ibp.com.br | Brazil | Food Products | 21-apr.-23 |
| tubosreunidosgroup.com | LockBit | tubosreunidosgroup.com | Spain | Metal Industries | 20-apr.-23 |
| Insurance Agency Marketing Services | BlackCat (ALPHV) | www.iamsinc.com | USA | Insurance Carriers | 20-apr.-23 |
| Laragh Courseware | AvosLocker | www.laragh.com | South Africa | Educational Services | 20-apr.-23 |
| I*** *****Y ******* | BianLian | Unknown | USA | Unknown | 20-apr.-23 |
| L****** H********* | BianLian | Unknown | Italy | Health Services | 20-apr.-23 |
| L******** | BianLian | Unknown | USA | IT Services | 20-apr.-23 |
| M**** **** | BianLian | Unknown | USA | Health Services | 20-apr.-23 |
| M***** *****-******* | BianLian | Unknown | Canada | Lodging Places | 20-apr.-23 |
| P****** ****** | BianLian | Unknown | UK | Educational Services | 20-apr.-23 |
| S****** ********** ******** M****** ********** Inc. | BianLian | Unknown | USA | Health Services | 20-apr.-23 |
| V******* ****** ** ************ | BianLian | Unknown | USA | Health Services | 20-apr.-23 |
| Urban Import | CryptNet | www.urbanimport.com | USA | Miscellaneous Retail | 19-apr.-23 |
| Export Hub | CryptNet | www.exporthub.com | USA | Miscellaneous Retail | 19-apr.-23 |
| intuview.com | LockBit | intuview.com | Israel | IT Services | 19-apr.-23 |
| crossinggroup.com | LockBit | crossinggroup.com | Canada | Construction | 19-apr.-23 |
| ***** ***** M****** **** | BianLian | Unknown | USA | Health Services | 19-apr.-23 |
| A******* ******* ******** | BianLian | Unknown | USA | Construction | 19-apr.-23 |
| B****** ***** ***** | BianLian | Unknown | UK | Lodging Places | 19-apr.-23 |
| C***** ************ ******* | BianLian | Unknown | India | IT Services | 19-apr.-23 |
| C******* **N*** | BianLian | Unknown | USA | IT Services | 19-apr.-23 |
| D*** ***** S***** ******** | BianLian | Unknown | USA | Educational Services | 19-apr.-23 |
| E****** *********** | BianLian | Unknown | USA | Health Services | 19-apr.-23 |
| E******* | BianLian | Unknown | Unknown | IT Services | 19-apr.-23 |
| G********* ****** **** | BianLian | Unknown | UK | Real Estate | 19-apr.-23 |
| H***** ***** | BianLian | Unknown | Sweden | Health Services | 19-apr.-23 |
| jaco.com | LockBit | jaco.com | USA | Gasoline Service Stations | 19-apr.-23 |
| gizavc.com | LockBit | gizavc.com | Israel | Holding And Other Investment Offices | 19-apr.-23 |
| garrotbros.com | LockBit | garrotbros.com | USA | Construction | 19-apr.-23 |
| The Spooner Risk Control | Black Basta | spoonerinc.com | USA | Insurance Carriers | 19-apr.-23 |
| DOREL Industries | Black Basta | www.dorel.com | Canada | Miscellaneous Manufacturing Industries | 19-apr.-23 |
| Berlin Packaging | Black Basta | www.berlinpackaging.com | USA | Rubber, Plastics Products | 19-apr.-23 |
| bancodevenezuela.com | LockBit | bancodevenezuela.com | Venezuela | Depository Institutions | 19-apr.-23 |
| sommer.eu | LockBit | sommer.eu | Germany | Electronic, Electrical Equipment, Components | 19-apr.-23 |
| sbhc.us | LockBit | sbhc.us | USA | Health Services | 19-apr.-23 |
| 7G Distributing | BlackCat (ALPHV) | www.7gdistributing.com | USA | Wholesale Trade-non-durable Goods | 18-apr.-23 |
| Huissiers | PLAY | www.huissiers-cambron.com | France | Miscellaneous Services | 18-apr.-23 |
| Coldiretti | PLAY | www.coldiretti.it | Italy | Membership Organizations | 18-apr.-23 |
| Bang IT Solutions | PLAY | www.bangitsolutions.com | Australia | IT Services | 18-apr.-23 |
| Corrib Oil | PLAY | www.corriboil.com | Ireland | Gasoline Service Stations | 18-apr.-23 |
| Structab AB (MegTax) | PLAY | structab.se | Sweden | Accounting Services | 18-apr.-23 |
| Mainstream Engineering | Royal | mainstream-engr.com | USA | Aerospace | 18-apr.-23 |
| City of Ballwin | Royal | ballwin.mo.us | USA | General Government | 18-apr.-23 |
| gentex.com | Dunghill Leak | gentex.com | USA | Transportation Equipment | 18-apr.-23 |
| Western Digital | BlackCat (ALPHV) | www.westerndigital.com | USA | Machinery, Computer Equipment | 18-apr.-23 |
| MEADE TRACTOR | Black Basta | www.meadetractor.com | USA | Miscellaneous Retail | 18-apr.-23 |
| Esperanza Viva JΓ³venes de MΓ©xico | BlackByte | www.evmexico.org | Mexico | Educational Services | 18-apr.-23 |
| Gulliver International | BlackByte | www.glv.co.jp | Japan | Automotive Dealers | 18-apr.-23 |
| Saobacdau Technologies Group | BlackByte | www.saobacdau.vn | Vietnam | IT Services | 18-apr.-23 |
| Ozarks Community Hospital | Karakurt | www.ochonline.com | USA | Health Services | 18-apr.-23 |
| Lakeland Community College | Vice Society | lakelandcc.edu | USA | Educational Services | 18-apr.-23 |
| Unique Imaging | Trigona | uniqueimaging.com | USA | Health Services | 18-apr.-23 |
| thesoftwareconsultinggroup.com | LockBit | thesoftwareconsultinggroup.com | Canada | IT Services | 18-apr.-23 |
| Amouage | Trigona | www.amouage.com | Oman | Miscellaneous Retail | 17-apr.-23 |
| Winter Park Construction | Trigona | www.wpc.com | USA | Construction | 17-apr.-23 |
| Office Notarial de Baillargues | Trigona | www.onb-france.com | France | Legal Services | 17-apr.-23 |
| Albany Clinic | Trigona | www.albanyclinic.com.au | Australia | Health Services | 17-apr.-23 |
| McKinney Trailers | Trigona | www.mckinneytrailers.com | USA | Miscellaneous Retail | 17-apr.-23 |
| hkiff.org.hk | LockBit | hkiff.org.hk | Hong Kong | Miscellaneous Services | 17-apr.-23 |
| Pharm-Pacc Corporation | Karakurt | pharmpacc.com | USA | Health Services | 17-apr.-23 |
| pinelandschool.org | LockBit | pinelandschool.org | USA | Educational Services | 17-apr.-23 |
| joriszorg.nl | LockBit | joriszorg.nl | Netherlands | Health Services | 17-apr.-23 |
| SPARTAN Light Metal Products Inc | Unsafe | spartanlmp.com | USA | Fabricated Metal Products | 17-apr.-23 |
| validcertificadora.com.br | CrossLock | validcertificadora.com.br | Brazil | IT Services | 17-apr.-23 |
| brl.fr | LockBit | In progress | In progress | In progress | 17-apr.-23 |
| alpine4u.com | LockBit | alpine4u.com | USA | Wholesale Trade-durable Goods | 17-apr.-23 |
| Uniondale School District | Medusa | district.uniondaleschools.org | USA | Educational Services | 17-apr.-23 |
| Swanson Group | Royal | www.swansongroup.biz | USA | Lumber And Wood Products | 17-apr.-23 |
| Moon Capital | Royal | www.mooncapital.com | USA | Holding And Other Investment Offices | 17-apr.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| VOPAK | BlackCat (ALPHV) | www.vopak.com | Netherlands | Electric, Gas, And Sanitary Services | 21-apr.-23 |
| joriszorg.nl | LockBit | joriszorg.nl | Netherlands | Health Services | 17-apr.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
Kritieke Infrastructuurorganisaties in Europa en VS Getroffen door 3CX-Cyberaanval: Symantec Onderzoekt Noord-Koreaanse Connectie
De 3CX-cyberaanval heeft twee kritieke infrastructuurorganisaties geraakt in Europa en de VS. Dat ontdekte het Threat Hunter-team van Symantec na onderzoek. Het gaat om organisaties die actief zijn in de energiesector. Daarnaast zijn er ook twee organisaties in de financiële sector gekraakt. Alle aanvallen zijn uitgevoerd met een gecompromitteerde versie van de financiële X_Trader-software. Indien slachtoffers de Setup.exe uitvoeren, kunnen de aanvallers, die volgens Symantec gelieerd zijn aan Noord-Korea, een modulair achterdeurtje installeren in de systemen van de gedupeerden. Daarmee kan de malware kwaadaardige shellcode uitvoeren of een communicatiemodule plaatsen in Chrome-, Firefox- en Edge-browsers, legt Symantec uit. Omdat de ontwikkelaar van de X_Trader-software de handel in futures, waaronder energiefutures, mogelijk maakt, verwacht Symantec dat de aanval een financieel motief heeft. Het Threat Hunter-team noemt de inbreuk op de cruciale organisaties zorgwekkend, omdat door Noord-Korea gesteunde hackersgroepen bekendstaan om hun cyberspionage. Symantec sluit dus niet uit dat de gekraakte organisaties later verder uitgebuit worden. Om welke twee kritieke infrastructuurorganisaties het precies gaat wordt niet genoemd. Een van de twee bevindt zich in de VS, en de andere in Europa. Beide zijn 'energieleveranciers die energie opwekken en leveren aan het net', verduidelijkt het team tegen Bleeping Computer. Omdat er naast 3CX dus al ten minste vier andere organisaties door de software zijn gehackt, noemt Symantec het zeer waarschijnlijk dat er ook nog andere partijen de dupe zijn. "De aanvallers achter deze breaches hebben duidelijk een succesvol sjabloon voor supplychainaanvallen en nieuwe, gelijkwaardige aanvallen kunnen daardoor niet worden uitgesloten." Eind maart werd duidelijk dat aanvallers de desktopclient van 3CX misbruikten om malware te verspreiden via een supplychainaanval. De malware maakte het mogelijk gesprekken en voicemailberichten af te luisteren. 3CX is een VoIP-leverancier met klanten zoals McDonald's en Coca-Cola, maar ook de Britse gezondheidssector.
Dit is hoe Rusland digitaal oorlog voert tegen Oekraïne • RTLZ zoekt uit
Tankopslagbedrijf Vopak slachtoffer van cybercriminelen met gijzelsoftware
Verschillende partijen die hackersgroepen in de gaten houden melden dat tankopslagbedrijf Vopak slachtoffer is geworden van een aanval met gijzelsoftware. Daarbij zou kritische bedrijfsinformatie buit zijn gemaakt, onder meer over de tankinfrastructuur en systemen van het bedrijf. Vopak was vrijdagavond niet direct bereikbaar voor commentaar. Vopak is bekend van onder meer de opslag van fossiele brandstoffen als olie en vloeibaar gemaakt natuurlijk gas (lng). Het beursgenoteerde bedrijf, dat zijn geschiedenis kan terugvoeren tot 1616, is in Nederland actief met terminals in de Rotterdamse haven en in de Eemshaven in Groningen. Daarnaast is het bedrijf in tientallen landen wereldwijd actief. Gijzelsoftware of ransomware wordt door hackers gebruikt om systemen van bedrijven te blokkeren. Als zij niet betalen worden die systemen niet vrijgegeven of wordt buitgemaakte informatie verkocht of openbaar gemaakt. Deze week werd ook bekend dat voetbalbond KNVB slachtoffer was van zo'n hack.
Capita getroffen door cybercriminelen: mogelijke ransomware-aanval leidt tot datalek en verstoring diensten
Capita, één van de grootste dienstverleners van de Britse overheid die onder andere diensten levert voor de gezondheidszorg en de krijgsmacht, heeft gewaarschuwd voor een datalek nadat het eind maart slachtoffer van een "cyberincident" werd. Het cyberincident zou echter een ransomware-aanval zijn. Begin deze maand meldde Capita een "cyberincident" dat voor een verstoring van verschillende interne applicaties zorgde. Details werden echter niet gegeven, maar The Times meldde dat personeel niet meer op systemen kon inloggen. Capita telt 52.000 medewerkers in het Verenigd Koninkrijk, Europa, India en Zuid-Afrika. Het bedrijf levert onder andere logistieke, digitale en supportdiensten aan overheden. Gisteren kwam Capita met een update over het incident, waarin het laat weten dat bijna alle getroffen "client services" zijn hersteld. Daarnaast stelt het bedrijf dat de aanval vier procent van alle eigen servers raakte en er aanwijzingen zijn dat er gegevens zijn gestolen. Mogelijk gaat het om gegevens van klanten, leveranciers en personeel. Om wat voor soort cyberincident het precies gaat laat Capita niet weten. De aanval werd opgeëist door de criminelen achter de Black Basta-ransomware, lieten onderzoekers Brett Callow en Kevin Beaumont weten. Als bewijs hebben de aanvallers ook verschillende gestolen bestanden van Capita vrijgegeven. Eind vorig jaar werd het moederbedrijf van Makro slachtoffer van de Black Basta-groep.
Cybercriminelen richten zich op Linux-gebruikers met valse vacatures in geraffineerde spearphishing-aanval
Linux-gebruikers zijn het doelwit geworden van een aanval waarbij er een zip-bestand met een zogenaamde vacature wordt verstuurd. Dat stelt antivirusbedrijf ESET in een analyse. Het gaat om een spearphishing-aanval waarbij Linux-gebruikers vermoedelijk via e-mail of LinkedIn een "vacature" voor een positie bij de Britse bank HSBC ontvingen. Het zip-bestand lijkt een pdf-bestand te bevatten, maar is in werkelijkheid geen pdf. De aanvallers hebben een unicode-karakter gebruikt om de bestandsmanager het bestand als een executable te laten behandelen in plaats van een pdf. Bij het direct openen van het bestand via een dubbelklik wordt het dan ook uitgevoerd, aldus ESET. Zodra het bestand wordt geopend zal als afleidingsmanoeuvre een pdf-document via de pdf-viewer van het systeem worden getoond, terwijl in de achtergrond een backdoor vanaf cloudopslagdienst OpenDrive wordt gedownload en uitgevoerd. ESET stelt dat de aanval het werk is van de Lazarus-groep, die verantwoordelijk worden gehouden voor de aanval op Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Volgens de Amerikaanse autoriteiten opereert de groep vanuit Noord-Korea of wordt door het Noord-Koreaanse regime gesteund.
Cybercriminelen misbruiken verlaten WordPress-plug-in als backdoor: honderdduizenden websites in gevaar
Aanvallers gebruiken een "verlaten" WordPress-plug-in als backdoor voor websites, zo meldt securitybedrijf Sucuri. Het gaat om de plug-in Eval PHP die al meer dan tien jaar lang niet door de officiële ontwikkelaar is bijgewerkt en nauwelijks nog werd gedownload, tot drie weken geleden. Sindsdien is de plug-in ruim honderdduizend keer gedownload. Via Eval PHP is het mogelijk om "native PHP-code" aan WordPress-sites toe te voegen. De extensie werd voor het laatst op 22 oktober 2012 bijgewerkt. Sindsdien werd de plug-in nauwelijks nog gedownload, tot 29 maart, toen er opeens zevenduizend downloads op één dag werden geregistreerd. Inmiddels heeft het aantal downloads van de plug-in bijna de 110.000 aangetikt. De stijging van het aantal downloads is te verklaren doordat aanvallers de plug-in op gecompromitteerde WordPress-sites installeren, om vervolgens een script aan de site toe te voegen dat als backdoor fungeert. Volgens Sucuri heeft dit als voordeel dat het eenvoudig voor de aanvallers is om de website opnieuw te infecteren als de eerdere infectie is verwijderd en zo onopgemerkt voor de beheerder te blijven. WordPress-beheerders wordt dan ook opgeroepen om op de aanwezigheid van de Eval PHP-plug-in te controleren.
KNVB is van de Lockbit afpersing site verdwenen?!
Reactie KNVB
Jaap Paulsen, Hoofd Persvoorlichting en PR, meldt in een reactie aan Dutch IT Channel en Dutch IT Leaders:
"Op dit moment kunnen we niet meer zeggen dan wat er in ons eerdere statement staat en in de FAQ die we gisteren hebben gepubliceerd." Voor de zekerheid:
Cybercriminelen gebruiken Microsoft-driver om beveiligingssoftware uit te schakelen en ransomware uit te rollen
Criminelen maken gebruik van een Microsoft-driver om beveiligingssoftware op systemen uit te schakelen en vervolgens ransomware uit te rollen, zo meldt antivirusbedrijf Sophos. De driver in kwestie is onderdeel van een oudere versie van Microsoft Process Explorer, een tool die informatie geeft over actieve processen op de computer. Process Explorer beschikt over een gesigneerde kerneldriver waarmee het mogelijk is om processen uit te schakelen die zelfs niet door een systeembeheerder zijn uit te schakelen. Om de aanval uit te voeren en beveiligingssoftware via de Process Explorer-driver uit te schakelen moet een aanvaller wel al toegang tot het systeem hebben én over beheerdersrechten beschikken. Normaliter heeft een aanvaller met beheerdersrechten al volledige controle over de machine. Belangrijke processen, zoals endpointbeveiliging, zijn vaak met aanvullende beveiligingsmaatregelen beschermd zodat ze niet eenvoudig zijn uit te schakelen als een aanvaller eenmaal beheerdersrechten heeft. Om deze hindernis te overkomen moet een aanvaller nog hogere rechten krijgen. Iets dat kan via een kerneldriver. Daarmee is de securitysoftware wel uit te schakelen. Het is via de driver niet mogelijk om vanaf een standaardaccount beheerder worden. Dat moet een aanvaller op een andere manier doen, maar dat blijkt in de praktijk meestal geen probleem. Het gebruik van de Process Explorer-driver is al eerder bij aanvallen waargenomen, maar inmiddels maken ook verschillende ransomwaregroepen er gebruik van en is die onder andere bij aanvallen met de LockBit-ransomware ingezet, aldus Sophos.
Cybercriminelen uit Noord-Korea verantwoordelijk voor supplychain-aanval op voip-leverancier 3CX
De supplychain-aanval op voip-leverancier 3CX was mogelijk door een medewerker die zelf slachtoffer van een andere supplychain-aanval werd, waarbij hij een officiële, maar besmette versie van de handelssoftware van Trading Technologies op zijn privécomputer installeerde. Dat laten 3CX en securitybedrijf Mandiant in een update over de aanval weten. Volgens Mandiant is dit de eerste keer dat waarbij het heeft gezien dat de ene supplychain-aanval tot een andere leidt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Onderzoekers van securitybedrijf Mandiant hebben nu ontdekt hoe de aanvallers bij 3CX wisten binnen te komen. Een 3CX-medewerker had op zijn privécomputer de handelssoftware X_Trader geïnstalleerd. Daarbij had de medewerker de software van de officiële website van leverancier Trading Technologies gedownload. Aanvallers waren er echter in geslaagd om Trading Technologies te compromitteren en konden zo een backdoor aan X_Trader toevoegen. Nadat de privécomputer van de 3CX-medewerker was gecompromitteerd wisten de aanvallers inloggegevens te stelen waarmee ze toegang tot de 3CX-systemen konden krijgen. Twee dagen nadat de privécomputer besmet raakte wisten de aanvallers via de vpn-verbinding van de medewerker op de 3CX-systemen in te loggen. Vervolgens wisten de aanvallers andere inloggegevens te onderscheppen en zich lateraal door het 3CX-netwerk te bewegen, om uiteindelijk de build-omgevingen van de macOS- en Windows-versie van de desktopapplicatie te compromitteren. De toegevoegde malware aan de 3CX-desktopapplicatie verzamelt informatie over het systeem en browsergeschiedenis en stuurt die naar een server van de aanvallers. Bij een zeer select aantal slachtoffers werd vervolgens de Gopuram-backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem krijgen, zo liet antivirusbedrijf Kaspersky eerder weten. De virusbestrijder detecteerde op basis van de eigen telemetriegegevens afkomstig van klanten minder dan tien besmettingen wereldwijd. "We denken dat Gopuram de primaire malware en uiteindelijke payload in de aanvalsketen is", aldus onderzoeker Georgy Kucherin. Deze backdoor is eerder ingezet tegen cryptobedrijven en volgens Kucherin hebben de aanvallers achter de 3CX-aanval een specifieke interesse in cryptobedrijven. Volgens Mandiant is de aanval het werk van een uit Noord-Korea opererende groep.
RWS Holdings getroffen door cyberaanval, maar financiële impact blijft beperkt door snelle reactie op cybercriminelen
Op vrijdag heeft RWS Holdings PLC aangekondigd dat het getroffen is door een cyberaanval. Het bedrijf is gevestigd in Buckinghamshire, Engeland en biedt technologie-ondersteunde taaldiensten aan. RWS heeft echter verzekerd dat de kosten van de aanval naar verwachting niet aanzienlijk zullen zijn voor investeerders. De aanval was gericht op een oude workflowapplicatie voor projectbeheer die een klein deel van de Regulated Industries-divisie ondersteunt. Hoewel de applicatie voornamelijk wordt gebruikt voor projectbeheer van klantwerkzaamheden, bevat het geen inhoud die door klanten is gegenereerd. Na de ontdekking van ongeautoriseerde externe toegang tot de applicatie, heeft RWS onmiddellijk noodprotocollen geactiveerd en de applicatie tijdelijk afgesloten. Beveiligingsdeskundigen zijn ingeschakeld om de omstandigheden en de omvang van het incident te onderzoeken en hebben bevestigd dat de ongeautoriseerde toegang beperkt bleef tot de betreffende applicatie. RWS heeft alle getroffenen van de aanval geïnformeerd en de applicatie veilig hersteld en weer in gebruik genomen. Het bedrijf heeft bevestigd dat geen ander onderdeel van de groep is getroffen. Op basis van de huidige schattingen zullen de financiële gevolgen en extra kosten naar verwachting niet aanzienlijk zijn.
Cybercriminelen leggen systemen Canadese casino's plat
Veertien casino's in de Canadese provincie Ontario blijven gesloten na een cyberaanval op het casinobedrijf Gateway. De systemen van het bedrijf zijn platgelegd, waardoor de casino's tijdelijk dicht moeten blijven. Het is nog niet bekend wanneer ze weer opengaan. Gateway heeft een externe partij ingeschakeld om de oorzaak van de aanval te achterhalen en te onderzoeken welke gegevens er mogelijk zijn gestolen. Het bedrijf heeft verklaard dat er geen aanwijzingen zijn dat persoonlijke gegevens zijn gecompromitteerd. De vakbond Unifor Local 1090, waar het personeel van de casino's onder valt, zegt erop te vertrouwen dat het casino de nodige maatregelen zal nemen om de problemen op te lossen. Het is niet de eerste keer dat een gokbedrijf slachtoffer is van een cyberaanval. In het verleden zijn ook andere gokbedrijven in Azië aangevallen. Vaak is het doel van een dergelijke aanval om het bedrijf af te persen.
Cybercriminelen voeren DDoS-aanval uit op Eurocontrol en lekken wachtwoorden
Pro-Russische hackers hebben Eurocontrol, de organisatie die de luchtverkeersleiding in Europa coördineert, aangevallen. De hackersgroep Killnet heeft een 'Distributed Denial of Service'-aanval uitgevoerd, waarbij massaal veel internetverkeer wordt gestuurd naar bepaalde servers, waardoor websites onbereikbaar worden. De website van Eurocontrol en verschillende websites die door werknemers worden gebruikt, zijn het doelwit van de aanval. Hoewel er geen impact is op het Europese vliegverkeer, zijn er wel problemen met de website van Eurocontrol. Killnet beweert de aanval te hebben uitgevoerd en heeft ook wachtwoorden van Eurocontrol-werknemers gelekt. Het is nog onduidelijk wat de exacte reden van de aanval is en of er losgeld werd gevraagd. Een bericht op Telegram, vermoedelijk afkomstig van Killnet, meldt dat de aanval nog 100 uur zal duren. Er zijn 41 landen lid van Eurocontrol.
Het UWV is meerdere keren het doelwit geweest van cyberaanvallen
In het afgelopen jaar werd het Uitvoeringsinstituut Werknemersverzekeringen (UWV) geconfronteerd met twee ernstige digitale bedreigingen, waaronder een phishingaanval. Deze incidenten benadrukten het belang van een solide cybersecuritystrategie om de gevoelige gegevens van de organisatie en haar klanten te beschermen. Om toekomstige aanvallen te voorkomen en de digitale veiligheid van de organisatie te waarborgen, heeft het UWV besloten om advies in te winnen bij KPMG, een gerenommeerd adviesbureau op het gebied van cybersecurity.
Grootschalige data-inbraak bij zorginstelling Joris Zorg
Hackers zijn erin geslaagd om toegang te krijgen tot de computersystemen van een Brabantse zorginstelling, waardoor er een aanzienlijke hoeveelheid persoonlijke gegevens gestolen is. Deze gevoelige informatie is afkomstig van Joris Zorg, een zorgorganisatie gevestigd in Oirschot. Het is gebleken dat de gestolen gegevens inmiddels online worden gedeeld, wat leidt tot grote bezorgdheid onder de betrokkenen en de bredere gemeenschap. De cyberaanval op Joris Zorg lijkt te zijn uitgevoerd door dezelfde criminele groep die eerder verantwoordelijk was voor een inbraak bij de Koninklijke Nederlandse Voetbalbond (KNVB). Dit wijst op een groeiend probleem in de digitale wereld, waarin cybercriminelen steeds vaker gerichte aanvallen uitvoeren op organisaties om gevoelige informatie te stelen en vervolgens te gebruiken voor afpersing of andere criminele activiteiten. De impact van de cyberaanval op de zorgorganisatie is aanzienlijk, aangezien de gestolen gegevens niet alleen persoonlijke informatie van cliënten en medewerkers bevatten, maar ook medische dossiers en andere vertrouwelijke documenten. Dit roept vragen op over de beveiligingsmaatregelen die zowel door Joris Zorg als door andere zorginstellingen zijn genomen om hun digitale infrastructuur te beschermen tegen dergelijke aanvallen. Naast de zorgen over de gevolgen van de cyberaanval voor de betrokkenen, is er ook bezorgdheid over de mogelijke gevolgen voor de reputatie van zowel Joris Zorg als de KNVB. Beide organisaties zullen ongetwijfeld te maken krijgen met vragen over hun vermogen om de gegevens van hun leden en cliënten veilig te houden. Dit kan leiden tot een verlies van vertrouwen en mogelijk tot financiële gevolgen op de lange termijn.
Ransomware-groep Lockbit eist meer dan een miljoen euro losgeld van KNVB na hack met gestolen persoonsgegevens
Lockbit, een ransomware-groep, heeft de KNVB gehackt en eist meer dan een miljoen euro aan losgeld. De voetbalbond is in paniek omdat Lockbit dreigt kopieën van paspoorten en contracten van Oranje-spelers openbaar te maken. Diverse bronnen binnen de KNVB hebben dit bevestigd aan RTL Nieuws. De hack vond plaats nadat een medewerker in een phishingmail was getrapt. Door deze phishingaanval kreeg Lockbit toegang tot de G-computerschijf van de KNVB, waar honderdduizenden interne en deels vertrouwelijke documenten werden bewaard. Naar verluidt zijn ook kopieën van identiteitsbewijzen en contracten van bekende (oud-)voetballers, trainers en directieleden gestolen. De KNVB vreest dat Lockbit deze documenten openbaar zal maken. Volgens een medewerker van de voetbalbond worstelt het management enorm met deze situatie en weet het niet welke stappen het moet nemen. "We bevinden ons in een kwetsbare positie", aldus deze medewerker. Op het intranet van de KNVB staat te lezen: "De leiding worstelt enorm met de situatie en welke stappen ze moeten nemen". De ledenadministratie, waarin de privégegevens van meer dan een miljoen Nederlandse amateurvoetballers zijn opgeslagen, bevindt zich in een ander online systeem dat niet is getroffen door de cyberaanval, zo benadrukken de bronnen. Lockbit eist meer dan een miljoen euro aan losgeld van de KNVB. Als de voetbalbond betaalt, belooft Lockbit de gegijzelde bestanden en computers weer toegankelijk te maken en de gestolen documenten niet te publiceren. Lockbit staat bekend om het vragen van hoge losgeldbedragen, die vaak in de miljoenen euro's lopen. De G-computerschijf is de gedeelde harde schijf waarop KNVB-medewerkers toegang hadden. Alle bestanden, in totaal meer dan 300 gigabyte, zijn versleuteld en gestolen. De KNVB stelt dat de bestanden 'zeer waarschijnlijk niet te herstellen zijn'. Lockbit heeft bevestigd dat ze de KNVB hebben gehackt, maar wil verder geen commentaar geven op vragen van RTL Nieuws.
Cybercriminelen maken gebruik van nieuw beveiligingslek in Chrome's Skia graphics engine
Vier dagen na het verhelpen van het eerste gevonden zerodaylek in Chrome van 2023 heeft Google opnieuw een beveiligingsupdate voor een dergelijke kwetsbaarheid uitgebracht. Dit keer bevindt het aangevallen beveiligingslek zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2136, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 112.0.5615.137/138 is beschikbaar voor Windows, voor Linux en macOS is versie 112.0.5615.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Russische cybercriminelen misbruiken ongepatchte Cisco-routers in aanvallen op Europa en de Verenigde Staten
In 2021 werden Cisco-routers in onder andere Europa en de Verenigde Staten het doelwit van aanvallen, waarbij de aanvallers malware installeerden om toegang te behouden. Nu blijkt dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor Cisco al in 2017 beveiligingsupdates had uitgebracht, zo melden de Amerikaanse en Britse autoriteiten in een gezamenlijke advisory. De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) claimen dat de aanvallen het werk waren van een Advanced Persistent Threat (APT)-groep genaamd APT28, die ook bekendstaat als Fancy Bear. De groep zou volgens de diensten aan de Russische geheime dienst GRU gelieerd zijn. Volgens de Amerikaanse en Britse diensten heeft APT28 in 2021 een aantal aanvallen tegen organisaties in Europa, Amerikaanse overheidsinstellingen en Oekraïne uitgevoerd voor verkenningsdoeleinden, waarbij er op sommige Cisco-routers malware werd geïnstalleerd. Bij deze aanvallen werd misbruik gemaakt van CVE-2017-6742, een kwetsbaarheid waarvoor al sinds juni 2017 een patch beschikbaar is. Het beveiligingslek bevindt zich in het Simple Network Management Protocol (SNMP) subsysteem van Cisco IOS en IOS XE, de software die op routers van het bedrijf draait. Via de kwetsbaarheid kan een geauthenticeerde aanvaller op afstand code op Cisco-routers installeren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden ook toegang tot het apparaat te krijgen. Net voor het uitkomen van de gezamenlijke advisory van de Amerikaanse en Britse autoriteiten kwam Cisco zelf met een update van het beveiligingsbulletin uit 2017, waarin het laat weten dat in totaal acht SNMP-gerelateerde kwetsbaarheden zijn misbruikt bij aanvallen. De FBI, NSA, CISA en NCSC stellen dat de aanvallen tegen kwetsbare Cisco-routers nog steeds mogelijk zijn. Organisaties worden dan ook opgeroepen om updates te installeren en verdere mitigerende maatregelen te nemen.
KNVB Gegevens Gegijzeld door Hackers: Onderhandelen of Betalen?
Informatie van de KNVB is gegijzeld door hackers. Wat kan de bond doen? 'Wie betaalt, wordt gespaard.' De KNVB heeft tot 17:41 uur op 26 april om te voorkomen dat cybercriminelen van Lockbit gegijzelde data publiceren. Contracten, werknemers- en voetballersgegevens en financiële bedrijfsinformatie zullen dan op het internet verschijnen, tenzij de voetbalbond actie onderneemt. Moet de KNVB gewoon betalen? Of is er ruimte voor onderhandeling? Experts in Zeist analyseren momenteel de situatie. Ze doen geen uitspraken over de aanval en zijn bezig met digitaal forensisch onderzoek. Op basis daarvan kunnen ze een onderhandelingsstrategie kiezen. Wie is de vijand? En wat weten ze? Lockbit is een collectief van cybercriminelen, bekend van 'ransomware-aanvallen'. De hackers dringen computersystemen binnen om informatie te versleutelen en ontoegankelijk te maken. Vervolgens eisen ze geld van het getroffen bedrijf. Lockbit heeft de afgelopen jaren meerdere grote organisaties aangevallen, waaronder Deutsche Bank en de Belgische gemeente Geraardsbergen. Onlangs werd een Canadees kinderziekenhuis slachtoffer. Sommige leden van de groep hebben banden met de Russische overheid; crimineel hacken wordt in dat land gedoogd. Nu hebben ze informatie van de KNVB in handen. Lockbit stuurde verschillende screenshots naar de voetbalbond om het te bewijzen. Toch was de aanval geen voltreffer. De KNVB liet eerder weten dat het personeel gewoon door kan werken. Interne systemen, zoals de mail, doen het nog. Dat geeft een betere uitgangspositie voor de onderhandelingen, zegt Bart Schermer, hoogleraar privacy & cybercrime aan de Universiteit van Leiden. De KNVB krijgt ook relatief lang de tijd om te betalen, de hackers vragen cryptomunten. Afdingen op de prijs helpt; meestal zijn criminelen bereid korting te geven. Uit onderzoek van Fox-IT bleek in 2021 dat de helft van de getroffen partijen korting kreeg. Hackers gaan vaak berekenend te werk, zegt Schermer. "Ze kijken naar financiële draagkracht van het slachtoffer, de gevoeligheid van de informatie en hoeveel tijd de hack kost. Op basis daarvan onderhandelen partijen als Lockbit". De criminelen houden zich aan hun woord: wie betaalt, wordt gespaard. Volgens Schermer kunnen bedrijven en instellingen het losgeld meestal wel opbrengen; gemiddeld gaat het om 2 procent van de jaaromzet. Om de prijs te verlagen hebben cybersecurity-bedrijven speciale onderhandelaars in dienst. Allereerst moet de voetbalbond zien te achterhalen wat Lockbit allemaal weet. Het zou gaan om 305 gigabyte. Hoe minder informatie van spelers of hun makelaars gestolen is, hoe minder geld ze zullen bieden. Bart Schermer verwacht niet dat het bedrag in de miljoenen zal lopen, zelfs niet bij de rijke KNVB. De onderhandelingen zijn ook belangrijk voor het opsporen van de criminelen. Als het langer duurt, is er meer tijd om te ontdekken wie er achter de aanval zit. De criminelen weten dit en houden gesprekken daarom kort en de deadline in stand. Het zijn meer een soort chatgesprekken, via een website die de locatie van de criminelen verbergt. Lockbit is de naam van het platform waar de gesprekken plaatsvinden en de gestolen documenten uiteindelijk gelekt kunnen worden. De ontwikkelaar van dit platform krijgt ongeveer 20 procent van de buit. De criminelen die de informatie stalen, huren zelf ook vaak slimme onderhandelaars in. De KNVB kan de gestolen informatie niet zomaar laten lopen. Gedupeerde partijen, van wie gegevens op straat liggen, kunnen schadeclaims indienen. In het verleden waren dergelijke claims succesvol; dit kan de KNVB alsnog geld kosten. Het is dus in het belang van de voetbalbond om tot een oplossing te komen met de cybercriminelen, om zo de schade te beperken en verdere verspreiding van de informatie te voorkomen. Het blijft echter een uitdaging om met dergelijke partijen te onderhandelen en tegelijkertijd de daders op te sporen, zonder verdere complicaties te veroorzaken.
Cybercriminelen veroorzaken datalek bij MetaMask: 7.000 gebruikers getroffen
Zo'n zevenduizend gebruikers van MetaMask zijn het slachtoffer van een datalek geworden, nadat een aanvaller toegang tot de helpdesk van de cryptowallet kreeg. MetaMask is een door ConsenSys ontwikkelde cryptowallet. Het bedrijf heeft de helpdesk voor vragen van gebruikers uitbesteed aan een externe partij. Deze niet nader genoemde partij kreeg met een "cyberincident" te maken waarbij een aanvaller toegang tot systemen kreeg. Daardoor zijn gegevens van MetaMask-gebruikers die tussen 1 augustus 2021 en 10 februari 2023 bij de helpdesk aanklopten in handen van een aanvaller gekomen. Het kan per gebruiker verschillen wat voor soort informatie er is gelekt. Het gaat in ieder geval om e-mailadressen, aangevuld met gegevens die gebruikers zelf via een tekstveld deelden. ConsenSys stelt dat het vanwege de beperkte hoeveelheid data die het verzamelt niet alle getroffen gebruikers individueel kan identificeren en het daarom alle gebruikers die de helpdesk benaderden heeft gewaarschuwd. Het gaat om zo'n zevenduizend personen. Het datalek is bij de Ierse en Britse privacytoezichthouders gemeld. Daarnaast claimt de cryptowallet-aanbieder maatregelen te hebben genomen om soortgelijke incidenten in de toekomst te voorkomen. Wat die precies inhouden is niet bekendgemaakt.
De gegevens van mogelijk duizenden voetballers kunnen openbaar worden; de cybercriminelen van Lockbit geven de KNVB tot 26 april de kans om het losgeld te betalen
De Koninklijke Nederlandse Voetbalbond (KNVB) is getroffen door een cyberaanval waarbij mogelijk duizenden gegevens zijn buitgemaakt. Dit zou kunnen leiden tot het lekken van telefoonnummers van verschillende voetballers, wat het grootste datalek in de voetbalwereld ooit zou kunnen zijn. Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland, spreekt van een verontrustende situatie. "Toen bekend werd dat de KNVB slachtoffer was, gaven ze duidelijk aan dat het om persoonsgegevens ging," zegt Maasland. "Ze zijn niet alleen verantwoordelijk voor salarisverwerking, maar ook voor tuchtzaken, matchfixing en buitenlandse competities." Volgens Maasland hebben de hackers screenshots naar de KNVB gestuurd waaruit blijkt dat ze data van contracten, grootboekrekeningen en sponsorgelden in handen hebben. "Ze geven eigenlijk aan dat ze meer hebben dan de data die ze hebben laten zien, en dat als de KNVB niet betaalt, het op straat komt te liggen", vervolgt hij. Lockbit, de groep achter de aanval, staat bekend om hun creatieve en agressieve manieren om slachtoffers te chanteren om uiteindelijk te betalen. De KNVB heeft tot Koningsnacht de tijd om te betalen, anders dreigt Lockbit de gegevens te lekken volgens Maasland. Dit levert een duivels dilemma op voor de voetbalbond, die nog geen beslissing heeft genomen. "Wat je ook doet, er zal een stortvloed aan kritiek volgen", denkt Maasland. "Daarom pleit ik altijd voor transparantie - neem mensen mee in je beslissingsproces." Als de KNVB besluit te betalen, zal er kritiek zijn dat cybercriminelen worden gestimuleerd, terwijl er ook problemen ontstaan als de gegevens op straat komen te liggen. Bovendien verkoopt Lockbit regelmatig gegevens door als de eigenaar niet betaalt, aldus Maasland. Hij denkt dat de KNVB dag en nacht over de kwestie piekert. De KNVB wil nog niet reageren, omdat er momenteel een onderzoek gaande is. Maasland stelt dat de voetbalbond nog altijd hoopt dat het een storm in een glas water is en dat de hackers niet beschikken over de hoeveelheid data waarvan ze beweren dat ze die hebben. "Wat ze hebben laten zien, kan ook een kleine selectie zijn die ze toevallig in een verloren map hebben buitgemaakt", concludeert hij. "Maar de manier waarop het wordt gepresenteerd, doet vermoeden dat ze meer hebben."
Bron: cybercrimeinfo/Lockbit
Antwerpen worstelt nog steeds met gevolgen cyberaanval: Afvalverwerking en bouwprojecten zwaar getroffen
Bijna vijf maanden na de verwoestende cyberaanval op de stad Antwerpen blijven de gevolgen nog steeds merkbaar. De stad heeft te kampen met aanhoudende problemen, vooral op het gebied van afvalverwerking en bouwprojecten in de Antwerpse regio. Het is nu bijna vijf maanden geleden sinds de cyberaanval plaatsvond en de stad Antwerpen haar netwerk en systemen gedeeltelijk zag instorten. Hoewel veel van de diensten inmiddels weer operationeel zijn, zijn er nog steeds enkele sectoren die zwaar worden getroffen door de nasleep van de aanval. Een van de meest prominente problemen is de afvalverwerking in de stad. De cyberaanval heeft de systemen die verantwoordelijk zijn voor de logistiek en planning van afvalinzameling en -verwerking ernstig verstoord. Als gevolg hiervan zijn er vertragingen en onregelmatigheden ontstaan in de afvalophaling, wat heeft geleid tot een toename van illegale stortingen en overvolle afvalcontainers op verschillende locaties in de stad. Daarnaast ondervinden bouwprojecten in Antwerpen ook grote hinder van de cyberaanval. De aanval heeft de communicatie tussen verschillende belanghebbenden, zoals aannemers, bouwbedrijven, ingenieurs en de lokale overheid, verstoord. Dit heeft geleid tot vertragingen bij het verkrijgen van vergunningen, goedkeuringen en andere administratieve zaken die nodig zijn om bouwprojecten te kunnen uitvoeren. Veel bouwplaatsen zijn hierdoor stil komen te liggen en het is nog onduidelijk wanneer de situatie zal normaliseren. De stad Antwerpen werkt onvermoeibaar om de problemen die zijn ontstaan door de cyberaanval op te lossen en haar diensten zo snel mogelijk te herstellen. Echter, de langdurige nasleep van de aanval toont aan dat de gevolgen van dergelijke cyberaanvallen op stedelijk niveau diepgaand en langdurig kunnen zijn. Het benadrukt ook het belang van robuuste cyberbeveiliging en een effectieve respons op cyberincidenten om dergelijke situaties in de toekomst te voorkomen.
NCR getroffen door ransomware-aanval: Cybercriminelen saboteren Aloha-kassasystemen in horeca
NCR, fabrikant van geldautomaten en kassasystemen, is slachtoffer geworden van een ransomware-aanval waardoor bepaalde kassasystemen bij klanten niet meer volledig werken. Het gaat om het Aloha-kassasysteem voor restaurants en andere horecagelegenheden. Op 12 april kreeg NCR opeens met een storing in het kassaplatform te maken, zo meldt het bedrijf op de eigen website. Op 13 april stelde het bedrijf vast dat een datacenter gebruikt voor het Aloha-kassaplatform was getroffen door een ransomware-aanval. Afgelopen zaterdag kwam NCR met een update over het incident en dat het bezig was om systemen te herstellen. Door de storing getroffen restaurants zouden klanten blijven kunnen bedienen, alleen bepaalde functionaliteit zou niet meer werken. Wanneer alle systemen weer zijn hersteld en hoe de aanval kon plaatsvinden is niet bekendgemaakt. De aanval zou het werk zijn van de criminelen achter de BlackCat-ransomware, ook bekend als Alphv, zo meldt beveiligingsonderzoeker Dominic Alvieri.
NCR Corporation breached by Black Cat. https://t.co/6beimfrsze pic.twitter.com/Bnh6s3RKfu
β Dominic Alvieri (@AlvieriD) April 15, 2023
LockBit-ransomware ontdekt voor macOS: cybercriminelen nog niet klaar om Mac-gebruikers te bedreigen
Onderzoekers hebben een exemplaar van de LockBit-ransomware gevonden die op macOS kan werken. Gebruikers zouden zich echter nog geen zorgen hoeven te maken, zo stelt beveiligingsonderzoeker Patrick Wardle die de malware analyseerde. De LockBit-groep is al enige tijd actief. Het is echter de eerste keer dat er een versie van de LockBit-ransomware wordt gevonden die bestanden op een Mac kan versleutelen. De nu gevonden variant is gecompileerd voor macOS, maar niet specifiek voor het besturingssysteem ontworpen. Daarnaast is die nog niet klaar voor operationele inzet, aldus Wardle. Zo is de LockBit-variant erg buggy en crasht die tijdens het uitvoeren. Ook heeft die een ongeldige signature en houdt die geen rekening met de beveiligingsmechanismes van het macOS file system. Zo heeft Apple beveiliging aan macOS toegevoegd die bestanden in folders zoals de Desktop en Documenten moet beschermen. Daardoor kan ransomware niet zonder een exploit of toestemming van de gebruiker de bestanden versleutelen. "De impact voor Mac-gebruikers is voor nu nul", aldus Wardle, die toevoegt dat de Mac-versie geen bedreiging voor gebruikers is. De LockBit-ransomware wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Er waren al versies van de ransomware voor Linux en Windows. Een groot deel van de nu gevonden Mac-versie lijkt op een Linux-versie die voor macOS is gecompileerd. Onlangs werd bekend dat de KNVB vorige maand is getroffen door een aanval met de LockBit-ransomware.
Cybercriminelen besmetten miljoenen Android-apps met adware via malafide third-party library
In de Google Play Store zijn tientallen Android-apps ontdekt die dankzij een malafide third-party library met adware besmet zijn geraakt. De apps in kwestie hadden bij elkaar meer dan honderd miljoen downloads, zo laat antivirusbedrijf McAfee in een analyse weten. Een deel van de apps is inmiddels door Google uit de Play Store verwijderd. Veel app-ontwikkelaars maken binnen hun apps gebruik van third-party libraries, bijvoorbeeld voor het tonen van advertenties. Wat het zogenaamde doel van de door McAfee ontdekte library was is niet bekend. Eenmaal actief verzamelde de library een overzicht van alle geïnstalleerde applicaties op het toestel en informatie over eerder gebruikte wifi-netwerken en bluetooth-apparaten, waaronder gps-locaties. Daarnaast kan de library onzichtbaar voor gebruikers advertenties in de achtergrond laden en daarop klikken, waardoor het voor adverteerders lijkt alsof iemand hun advertentie heeft gezien. Zo wordt er ten onrechte voor deze clicks betaald, waarbij het geld naar de fraudeurs gaat. Een deel van de gevonden apps is inmiddels door Google uit de Play Store verwijderd. Daarnaast hebben sommige app-ontwikkelaars de library uit hun apps verwijderd. Gebruikers wordt aangeraden om naar de nieuwste versie van de betreffende apps te updaten. McAfee heeft een overzicht van de getroffen apps gemaakt.
Canadees ziekenhuis getroffen door cybercriminelen: patiënten gewaarschuwd voor langere wachttijden
Een Canadees ziekenhuis heeft patiënten vanwege een "cyberincident" gewaarschuwd voor langere wachttijden bij behandelingen. Het Cornwall Hospital kreeg afgelopen dinsdag met "netwerkproblemen" te maken, waardoor patiënten bij niet-urgente behandelingen met vertragingen te maken konden krijgen, aldus een melding van het ziekenhuis Om wat voor problemen het ging liet het ziekenhuis niet weten, behalve dat het bezig was om systemen te herstellen. Gisteren meldde het ziekenhuis dat het om een "cyberincident" gaat. Wederom is er geen enkele informatie gegeven wat dit precies inhoudt, waardoor de aard van het incident onbekend is. Wel kunnen patiënten nog steeds met langere wachttijden te maken krijgen en hebben patiënten geen toegang tot hun online patiëntendossier. Wanneer alle systemen naar verwachting weer zijn hersteld laat het ziekenhuis niet weten.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language