Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In deze turbulente tijden van digitale dreigingen heeft de afgelopen week helaas geen uitzondering gevormd. Woningcorporatie Woonkracht10 zag zich gedwongen losgeld te betalen na een ransomware-aanval om de publicatie van gestolen gegevens te voorkomen. Ondertussen verwacht de Britse dienstverlener Capita dat de kosten van een recente ransomware-aanval oplopen tot 23 miljoen euro. Het cybersecuritybedrijf Dragos heeft zelf ook een cybersecurity-incident en afpersingspoging gemeld. Opvallend is dat negen verschillende ransomware-bendes de Babuk-code hebben gebruikt om VMware ESXi-servers te versleutelen. Het multinationale technologiebedrijf ABB is eveneens getroffen door een Black Basta-ransomwareaanval. Ten slotte heeft een DDoS-aanval het online platform van Holland Casino tijdelijk platgelegd, waarbij Playtech als het vermoedelijke doelwit wordt gezien.
Hieronder vindt u een uitgebreid overzicht van de cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|---|
tool-temp.net | LockBit | tool-temp.net | UK | Engineering Services | 14-mei-23 |
pikenursery.com | LockBit | pikenursery.com | USA | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 14-mei-23 |
troteclaser.com | LockBit | troteclaser.com | Austria | Machinery, Computer Equipment | 14-mei-23 |
Academy Mortgage Corporation | BlackCat (ALPHV) | academymortgage.com | USA | Non-depository Institutions | 14-mei-23 |
TTCCPA | Trigona | ttccpa.com | USA | Accounting Services | 13-mei-23 |
HostAfrica | Medusa | www.hostafrica.co.za | South Africa | IT Services | 13-mei-23 |
AKRON Mquinas Agrcolas | BlackCat (ALPHV) | akron.com.ar | Argentina | Machinery, Computer Equipment | 13-mei-23 |
Wallick Communities | Medusa | www.wallick.com | USA | Real Estate | 12-mei-23 |
Aspen Dental Management Inc. | Money Message | www.aspendental.com | USA | Health Services | 12-mei-23 |
bankbsi.co.id | LockBit | bankbsi.co.id | Indonesia | Depository Institutions | 12-mei-23 |
Peachtree Orthopedics | Karakurt | www.peachtreeorthopedics.com | USA | Health Services | 12-mei-23 |
Sterling Solutions | BlackByte | www.sterlingsolutions.co.uk | UK | Publishing, printing | 12-mei-23 |
prolinerrescue.com | LockBit | prolinerrescue.com | USA | Repair Services | 12-mei-23 |
weberweber.at | LockBit | weberweber.at | Austria | Insurance Carriers | 12-mei-23 |
Libyana | BlackCat (ALPHV) | libyana.ly | Libya | Communications | 12-mei-23 |
Rockbridge Capital | Akira | rockbridgecapital.com | USA | Holding And Other Investment Offices | 12-mei-23 |
Schottenstein Property Group Inc | Akira | www.spgroup.com | USA | Real Estate | 12-mei-23 |
Settlement Music School | Akira | settlementmusic.org | USA | Educational Services | 12-mei-23 |
Pak-Rite, Ltd. | Akira | www.pak-rite.com | USA | Miscellaneous Manufacturing Industries | 12-mei-23 |
Alliance Sports Group | Akira | new.alliancesportsgroup.net | USA | Apparel And Other Finished Products | 12-mei-23 |
Thompson Builders | Akira | tbcorp.com | USA | Construction | 12-mei-23 |
BridgeValley Community & Technical College | Akira | www.bridgevalley.edu | USA | Educational Services | 12-mei-23 |
The McGregor | Akira | mcgregor.com | USA | Agriculture | 12-mei-23 |
4LEAF, Inc. | Akira | www.4leafinc.com | USA | Construction | 12-mei-23 |
Novatech Engineering Consultants | Akira | novatech-eng.com | Canada | Construction | 12-mei-23 |
Columbia Distributing | Akira | www.coldist.com | USA | Food Products | 12-mei-23 |
Gregory Poole Equipment Company | Akira | www.gregorypoole.com | USA | Miscellaneous Retail | 12-mei-23 |
Ipleiria Student Brnch | Akira | www.ipleiria.pt | Portugal | Educational Services | 12-mei-23 |
Sun Windows | Akira | sunwindows.com | USA | Miscellaneous Manufacturing Industries | 12-mei-23 |
Mercer University | Akira | www.mercer.edu | USA | Educational Services | 12-mei-23 |
The Perry Law Firm | Akira | Unknown | Unknown | Legal Services | 12-mei-23 |
The Lab Consulting | Akira | thelabconsulting.com | USA | Business Services | 12-mei-23 |
New World Travel, Inc. | Akira | www.newworldtravel.com | USA | Miscellaneous Services | 12-mei-23 |
The Mitchell Partnership | Akira | tmptoronto.com | Canada | Machinery, Computer Equipment | 12-mei-23 |
Garcia Hamilton & Associates | Akira | garciahamiltonassociates.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 12-mei-23 |
Fee, Smith & Sharp | Akira | www.feesmith.com | USA | Legal Services | 12-mei-23 |
Family Day Care Services | Akira | familydaycare.com | Canada | Educational Services | 12-mei-23 |
DATALAN | Vice Society | www.datalan.sk | Slovakia | IT Services | 11-mei-23 |
ResultsCX | BlackCat (ALPHV) | results-cx.com | USA | Business Services | 11-mei-23 |
A****** ********* **o***** | BianLian | Unknown | USA | Fabricated Metal Products | 11-mei-23 |
DA Alexander Company INC | BianLian | daalexander.com | USA | Construction | 11-mei-23 |
viseg.com | LockBit | viseg.com | Colombia | Miscellaneous Manufacturing Industries | 11-mei-23 |
vuteq.mx | LockBit | vuteq.mx | Mexico | Transportation Equipment | 11-mei-23 |
CSD Network Services Ltd | MONTI | csd.co | England | IT Services | 11-mei-23 |
tec-mex.com.mx | LockBit | tec-mex.com.mx | Mexico | Wholesale Trade-non-durable Goods | 11-mei-23 |
wuppermann.com | LockBit | wuppermann.com | Germany | Metal Industries | 11-mei-23 |
metronottevigilanza.it | LockBit | metronottevigilanza.it | Italy | Management Services | 11-mei-23 |
Axiom Professional Solutions | Trigona | axiomprofessional.com | USA | Business Services | 11-mei-23 |
Sauerbruch Hutton | PLAY | www.sauerbruchhutton.de | Germany | Construction | 10-mei-23 |
JP Maguire & Associates | PLAY | www.jpmaguire.com | USA | Miscellaneous Services | 10-mei-23 |
Germany Trade & Invest (GTAI) | PLAY | www.gtai.de | Germany | Public Finance, Taxation | 10-mei-23 |
Houser LLP | BlackCat (ALPHV) | houser-law.com | USA | Legal Services | 10-mei-23 |
Vdi | Cuba | www.vdi.lt | Lithuania | Administration Of Human Resource Programs | 10-mei-23 |
gocontec.com | LockBit | gocontec.com | USA | Electronic, Electrical Equipment, Components | 10-mei-23 |
Cooperativa de Ahorro y CrΓ©dito Ahorrocoop Ltda | Medusa | www.ahorrocoop.cl | Chile | Security And Commodity Brokers, Dealers, Exchanges, And Services | 10-mei-23 |
mbwswim.com | LockBit | mbwswim.com | USA | Apparel And Other Finished Products | 9-mei-23 |
interfides.de | LockBit | interfides.de | Germany | Accounting Services | 9-mei-23 |
CADOpt Technologies | BianLian | cadopt.com | India | IT Services | 9-mei-23 |
Department of Education of the Canton of Basel-Stadt | BianLian | ed.bs.ch | Switzerland | Administration Of Human Resource Programs | 9-mei-23 |
Humana | BianLian | humanagroup.com | Sweden | Health Services | 9-mei-23 |
Fresh Insurance IT Services | Trigona | freshinsuranceitservices.co.uk | UK | IT Services | 9-mei-23 |
hk-finance.pl | LockBit | hk-finance.pl | Poland | Accounting Services | 9-mei-23 |
cbelaw.com | LockBit | cbelaw.com | Canada | Legal Services | 9-mei-23 |
KLC Network Services | PLAY | www.klcnetworks.com | USA | IT Services | 9-mei-23 |
ASL 1 - Avezzano Sulmona L'Aquila | MONTI | asl1abruzzo.it | Italy | Administration Of Human Resource Programs | 9-mei-23 |
LUX Automation | MONTI | lux-automation.com | Germany | IT Services | 9-mei-23 |
stmarys.net | LockBit | stmarys.net | UK | Educational Services | 8-mei-23 |
astate.edu | LockBit | astate.edu | USA | Educational Services | 8-mei-23 |
lssny.org | LockBit | lssny.org | USA | Membership Organizations | 8-mei-23 |
unity.edu | LockBit | unity.edu | USA | Educational Services | 8-mei-23 |
First Community Credit Union | BlackCat (ALPHV) | www.firstcommunity.com | USA | Non-depository Institutions | 8-mei-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|
In samenwerking met DarkTracer
Cyberaanvallen nieuws
15-mei-2023 om 14:53
DDoS-aanval legt Holland Casino Online tijdelijk plat: Playtech als doelwit
Het Holland Casino Online werd op vrijdag 12 mei voor een periode getroffen door een storing, waardoor het voor spelers tijdelijk onbereikbaar was. Deze storing werd veroorzaakt door een probleem bij de leverancier Playtech, die zelf het slachtoffer was van een cyberaanval. Deze aanval had wereldwijd effect op verschillende casino's. Ondanks dat een deel van het platform van het Holland Casino Online op vrijdag een storing had, was het voornamelijk het sportsbook dat getroffen werd en ontoegankelijk was voor de spelers. De oorzaak van de storing bleef lange tijd onbekend, waardoor spelers in het onduidelijke bleven. Een soortgelijk incident vond ongeveer een maand geleden plaats toen Bingoal eveneens onbereikbaar was als gevolg van een storing, welke meerdere dagen aanhield. Holland Casino Online heeft bevestigd dat de storing het gevolg was van een DDoS-aanval op Playtech, de softwareprovider. Holland Casino werkt al geruime tijd met deze provider samen en maakt gebruik van het Playtech-platform. Het Holland Casino stelde: "Holland Casino Online heeft te maken gehad met een aantal technische storingen als gevolg van een DDoS-incident gericht op onze platformleverancier Playtech. De storingen begonnen op woensdagavond en komen terug in golven, waardoor spelers op bepaalde momenten problemen kunnen ondervinden bij het inloggen en het functioneren van de spellen." Het casino kon echter bevestigen dat er geen persoonsgegevens
Cybercriminelen stelen mogelijk gegevens: Capita waarschuwt klanten
Capita, een toonaangevend Brits bedrijf op het gebied van zakelijke processen en IT-diensten, heeft klanten gewaarschuwd dat ze ervan uit moeten gaan dat hun gegevens gestolen zijn. Het bedrijf ontdekte een beveiligingsinbreuk die hun IT-systemen heeft getroffen, wat mogelijk heeft geleid tot de diefstal van klantgegevens. De inbreuk vond plaats op een onbekend tijdstip en het is nog niet duidelijk wie er verantwoordelijk is. Capita heeft echter maatregelen genomen om de situatie aan te pakken en heeft het incident bij de relevante autoriteiten gemeld. Ze werken ook samen met externe experts om de omvang van de inbreuk te onderzoeken en klanten te helpen bij het beschermen van hun gegevens. Het bedrijf adviseert klanten om voorzorgsmaatregelen te nemen en ervan uit te gaan dat hun persoonlijke gegevens zijn gestolen. Dit omvat het wijzigen van wachtwoorden, het controleren van bankrekeningen op verdachte activiteiten en het alert zijn op mogelijke phishingpogingen. Capita heeft ook een speciale hotline opgezet voor klanten die vragen hebben of hulp nodig hebben bij het beveiligen van hun gegevens. Capita benadrukt dat ze de veiligheid van klantgegevens uiterst serieus nemen en betreurt het incident ten zeerste. Ze werken hard om de situatie aan te pakken en zullen de nodige maatregelen nemen om herhaling in de toekomst te voorkomen. Het bedrijf biedt excuses aan aan getroffen klanten en verzekert hen dat ze er alles aan zullen doen om de gevolgen van het datalek te beperken.
Gemeente Hof van Twente verliest rechtszaak tegen Switch IT Solutions na ransomware geschil
De gemeente Hof van Twente heeft de rechtszaak verloren die tegen hen was aangespannen door Switch IT Solutions. De rechtszaak draaide om een geschil tussen de gemeente en het IT-bedrijf over een contract voor IT-dienstverlening. Switch IT Solutions beweerde dat de gemeente Hof van Twente contractbreuk had gepleegd door de overeenkomst vroegtijdig te beëindigen. De gemeente had echter betoogd dat het IT-bedrijf de contractvoorwaarden niet correct had nageleefd. De rechter heeft nu geoordeeld in het voordeel van Switch IT Solutions en bevestigde dat de gemeente inderdaad contractbreuk had gepleegd. Als gevolg hiervan moet de gemeente Hof van Twente een schadevergoeding betalen aan Switch IT Solutions. De uitspraak van de rechter is een tegenslag voor de gemeente Hof van Twente, omdat zij nu niet alleen een schadevergoeding moeten betalen, maar ook op zoek moeten gaan naar een nieuwe IT-dienstverlener om aan hun behoeften te voldoen. Het is nog onduidelijk welke stappen de gemeente Hof van Twente zal nemen na deze uitspraak en hoe zij de gevolgen van de verloren rechtszaak zullen aanpakken.
Cybercriminelen zorgen voor hoogste niveau van data-encryptie door ransomware in 4 jaar
Het niveau van data-encryptie door ransomware heeft het hoogste punt bereikt in vier jaar tijd, volgens een recent rapport. Ransomware is een vorm van kwaadaardige software die gegevens op computersystemen versleutelt en vervolgens losgeld eist van de slachtoffers om de toegang tot hun gegevens terug te krijgen. Uit het rapport blijkt dat het aantal ransomware-aanvallen de afgelopen vier jaar aanzienlijk is gestegen. Dit heeft geleid tot een alarmerend hoog niveau van data-encryptie, waarbij bedrijven en individuen worden getroffen en gedwongen worden te betalen om hun gegevens te herstellen. Het is belangrijk voor bedrijven en individuen om proactieve maatregelen te nemen om zichzelf te beschermen tegen ransomware. Het rapport benadrukt het belang van het regelmatig maken van back-ups van gegevens en het implementeren van sterke beveiligingsmaatregelen, zoals het gebruik van up-to-date antivirussoftware en het uitvoeren van regelmatige systeemupdates. Daarnaast wordt ook aangeraden om bewustwording te creëren over de risico's van phishing-e-mails en verdachte bijlagen of links te vermijden. Door deze voorzorgsmaatregelen te nemen, kunnen bedrijven en individuen hun kansen verkleinen om slachtoffer te worden van ransomware-aanvallen en de nadelige gevolgen ervan te ervaren. Het rapport benadrukt ook dat overheden en beveiligingsinstanties zich bewust moeten zijn van de ernstige gevolgen van ransomware en de noodzaak om passende maatregelen te nemen om deze dreiging aan te pakken. Het samenwerken met internationale partners en het verbeteren van de cybersecurity-infrastructuur zijn cruciale stappen om ransomware-effecten te verminderen en de digitale veiligheid te waarborgen. Het is belangrijk voor organisaties en individuen om waakzaam te blijven en op de hoogte te blijven van de nieuwste ontwikkelingen op het gebied van ransomware en cybersecurity. Alleen door proactief te handelen en effectieve beveiligingsmaatregelen te implementeren, kunnen we de groeiende dreiging van ransomware aanpakken en onze gegevens en systemen veiligstellen.
Cybercriminelen veroorzaken datalek via Discord helpdeskmedewerker
Discord heeft zijn gebruikers gewaarschuwd voor een potentieel datalek dat is ontstaan door een helpdeskmedewerker. De populaire communicatie-app heeft bevestigd dat er ongeautoriseerde toegang was tot bepaalde gebruikersgegevens als gevolg van een beveiligingsincident. Volgens Discord's verklaring hebben onbevoegde personen toegang gekregen tot bepaalde gegevens, waaronder e-mailadressen, gebruikersnamen en versleutelde wachtwoorden. Hoewel de versleutelde wachtwoorden zelf mogelijk niet toegankelijk waren, kunnen de aanvallers proberen ze te kraken met behulp van geavanceerde methoden. Het bedrijf heeft benadrukt dat financiële informatie, zoals creditcardgegevens, niet zijn gecompromitteerd. Discord heeft ook stappen ondernomen om het beveiligingsincident aan te pakken en de nodige maatregelen te nemen om de gegevens van de gebruikers te beschermen. Om veiligheidsredenen adviseert Discord gebruikers om hun wachtwoorden te wijzigen, vooral als ze hetzelfde wachtwoord voor andere online accounts hebben gebruikt. Het is ook raadzaam om extra voorzichtig te zijn met verdachte e-mails of berichten die mogelijk phishingpogingen kunnen zijn. Als voorzorgsmaatregel zal Discord verdere onderzoeken uitvoeren naar het incident en samenwerken met de relevante autoriteiten om de situatie te begrijpen en verdere inbreuken te voorkomen. Gebruikers van Discord wordt aangeraden om de officiële communicatiekanalen van het bedrijf te volgen voor verdere updates en aanbevelingen met betrekking tot de beveiliging van hun accounts.
FBI waarschuwt voor ransomware-aanvallen met kwetsbaarheid in PaperCut
De FBI waarschuwt organisaties en bedrijven voor ransomware-aanvallen waarbij gebruik wordt gemaakt van een kritieke kwetsbaarheid in PaperCut. Papercut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid, die door securitybedrijf Trend Micro was gerapporteerd. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) maken aanvallers sinds halverwege april misbruik van het beveiligingslek. Sinds het begin van deze maand vinden er ransomware-aanvallen plaats die het werk zijn van de "Bl00dy Ransomware Gang". De aanvallen zouden vooral zijn gericht tegen onderwijsvoorzieningen. Eerder liet securitybedrijf Huntress weten dat veel organisaties die van PaperCut gebruikmaken een kwetsbare versie draaien. De FBI en het CISA roepen organisaties op om hun PaperCut-installatie te updaten. Daarnaast hebben de Amerikaanse overheidsinstanties indicators of compromise (IoC's) gegeven waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd.
Multinationaal technologiebedrijf ABB getroffen door Black Basta-ransomwareaanval
ABB, een multinational op het gebied van technologie, is het doelwit geworden van een ransomwareaanval met de Black Basta-ransomware. De aanval heeft de IT-systemen van het bedrijf aangetast en heeft mogelijk gevolgen voor de operationele activiteiten. ABB, gevestigd in meerdere landen, biedt verschillende technologische oplossingen en diensten, waaronder industriële automatisering, robotica en energiebeheer. Het bedrijf heeft wereldwijd klanten in diverse sectoren, waaronder de energiesector, transport, productie en infrastructuur. De Black Basta-ransomware is een geavanceerd type kwaadaardige software dat bestanden op computersystemen versleutelt en vervolgens losgeld eist van de slachtoffers om de bestanden te herstellen. Het is nog niet duidelijk hoe de aanvallers toegang hebben gekregen tot het netwerk van ABB en hoever de schade reikt. ABB heeft gereageerd op de aanval en werkt samen met cybersecurity-experts om de situatie aan te pakken en de getroffen systemen te herstellen. Het bedrijf heeft ook contact opgenomen met relevante autoriteiten om het incident te melden en te onderzoeken. Ransomwareaanvallen op grote bedrijven en organisaties zijn de afgelopen jaren steeds vaker voorgekomen en hebben geleid tot aanzienlijke financiële verliezen en operationele verstoringen. Het benadrukt het belang van sterke cybersecuritymaatregelen en regelmatige back-ups om dergelijke aanvallen te voorkomen en de impact ervan te beperken.
Negen ransomware-bendes gebruiken de Babuk-code om VMware ESXi-servers te versleutelen
Volgens recent nieuws wordt de Babuk-code door negen verschillende ransomware-bendes gebruikt om VMware ESXi-servers te versleutelen. Dit is een zorgwekkende ontwikkeling in de wereld van cybersecurity. De Babuk-ransomware is een beruchte variant die eerder bekend stond om het versleutelen van Windows-systemen. Het feit dat deze code nu wordt gebruikt om VMware ESXi-servers aan te vallen, is een teken dat de cybercriminelen steeds geavanceerder worden in hun methoden. VMware ESXi is een populair virtualisatieplatform dat wordt gebruikt door veel bedrijven en organisaties om virtuele servers te beheren. Het versleutelen van deze servers kan ernstige gevolgen hebben, waaronder verlies van gegevens en verstoring van bedrijfsactiviteiten. Het is belangrijk voor bedrijven en organisaties om de nodige voorzorgsmaatregelen te nemen om zichzelf te beschermen tegen ransomware-aanvallen. Dit omvat regelmatige back-ups van belangrijke gegevens, het updaten van beveiligingspatches en het implementeren van sterke beveiligingsmaatregelen. De cybersecurity-gemeenschap volgt de ontwikkelingen rond de Babuk-ransomware en werkt aan oplossingen en tegenmaatregelen om de impact ervan te beperken. Het is essentieel dat organisaties waakzaam blijven en proactieve maatregelen nemen om zichzelf te beschermen tegen dergelijke bedreigingen.
Cybercriminelen kunnen accounts op 1 miljoen websites overnemen door bug in WordPress Elementor-plugin
Een beveiligingsprobleem in de Elementor-plugin voor WordPress stelt aanvallers in staat om accounts over te nemen op meer dan 1 miljoen websites. Elementor is een populaire plug-in waarmee gebruikers aangepaste lay-outs en ontwerpen kunnen maken voor hun WordPress-sites. Het beveiligingslek werd ontdekt door beveiligingsonderzoekers van Wordfence en stelt aanvallers in staat om via een Cross-Site Scripting (XSS)-kwetsbaarheid kwaadaardige code uit te voeren op een website die de Elementor-plugin gebruikt. Door misbruik te maken van deze kwetsbaarheid kunnen aanvallers accounts overnemen en zich voordoen als legitieme gebruikers. Het beveiligingslek werd gemeld aan de ontwikkelaars van Elementor, die snel hebben gereageerd door een patch uit te brengen om het probleem op te lossen. Gebruikers van de Elementor-plugin wordt geadviseerd om zo snel mogelijk de nieuwste versie (of de patch) te installeren om ervoor te zorgen dat hun websites beschermd zijn tegen deze kwetsbaarheid. Het is belangrijk voor websitebeheerders om altijd de nieuwste beveiligingsupdates toe te passen en regelmatig te controleren op kwetsbaarheden in de plug-ins en thema's die ze gebruiken. Door proactief te zijn op het gebied van beveiliging kunnen aanvallen zoals deze worden voorkomen en de integriteit van WordPress-websites worden beschermd.
Britse overheid en cybersecurity instanties waarschuwen voor ongerapporteerde ransomware-aanvallen: Het zwijgen bevordert de criminelen
De Britse overheid maakt zich steeds meer zorgen over ransomware-aanvallen die niet door bedrijven en organisaties worden gerapporteerd en roept ondernemingen op om wel melding te maken. ''Als aanvallen worden weggemoffeld hebben de criminelen meer succes en vinden er meer aanvallen plaats. We weten hoe schadelijk dit is", zeggen Eleanor Fairford van het Britse National Cyber Security Centre (NCSC) en Mihaela Jembei van de Britse privacytoezichthouder ICO. Met name bij ransomware-aanvallen betalen bedrijven losgeld om zo snel mogelijk, zonder enige ruchtbaarheid, verder te gaan. Elke aanval die wordt verzwegen waarbij er geen onderzoek plaatsvindt of informatie wordt gedeeld, maakt andere aanvallen waarschijnlijker, omdat niemand ervan leert, zo stellen beide overheidsinstanties. "Elk losgeld dat stilletjes wordt betaald geeft criminelen de boodschap dat deze aanvallen werken en het loont om door te gaan." Het NCSC en ICO stellen dat het geheimhouden van een cyberincident niemand helpt, behalve de criminelen. Daarnaast is het betalen van losgeld ook geen oplossing, gaan ze verder. "Het betalen van losgeld is niets meer dan een toezegging van criminelen dat ze je netwerk ontsleutelen of gestolen data niet lekken. Er is geen garantie en hou er rekening mee dat organisaties die losgeld betalen waarschijnlijk weer worden aangevallen." Door niet te betalen en informatie te delen kan de cyclus worden doorbroken, zo claimen de overheidsinstanties. "Door open over een aanval te zijn en ondersteuning te zoeken en in de dagen na een incident open met het NCSC en ICO te communiceren kan je alleen maar helpen, terwijl het delen van informatie over de aanval met vertrouwde communities uiteindelijk het dreigingslandschap voor iedereen zal verbeteren."
RapperBot DDoS-malware voegt cryptojacking toe als nieuwe inkomstenbron
Een recent rapport onthult dat de RapperBot DDoS-malware nu cryptojacking heeft toegevoegd als een nieuwe manier om inkomsten te genereren. RapperBot, een kwaadaardig programma dat gebruikt wordt voor Distributed Denial of Service (DDoS) aanvallen, is geëvolueerd en heeft een extra functie gekregen om cryptocurrencies te delven. Cryptojacking is het ongeoorloofd gebruik van de rekenkracht van geïnfecteerde apparaten om digitale valuta te delven. Door cryptojacking-functionaliteit toe te voegen aan de DDoS-malware, kunnen de aanvallers hun winstpotentieel vergroten. Hierbij kunnen ze niet alleen schade aanrichten door het verstoren van netwerken en diensten met DDoS-aanvallen, maar ook profiteren van de illegale cryptomining op de geïnfecteerde apparaten. De RapperBot-malware werd voor het eerst ontdekt in 2019 en werd destijds voornamelijk gebruikt voor het uitvoeren van DDoS-aanvallen. Het programma heeft zich echter ontwikkeld en kan nu ook een cryptojacking-component implementeren op geïnfecteerde systemen. Hierdoor kunnen de aanvallers stiekem cryptocurrency minen zonder medeweten of toestemming van de eigenaars van de apparaten. Deze nieuwe ontwikkeling benadrukt de voortdurende evolutie van malware en de creativiteit van cybercriminelen bij het vinden van nieuwe manieren om financieel voordeel te behalen. Het is van cruciaal belang dat gebruikers en organisaties hun systemen en netwerken up-to-date houden met de nieuwste beveiligingsmaatregelen om zichzelf te beschermen tegen dergelijke dreigingen.
Noord-Koreaanse hackers hebben ingebroken in een belangrijk ziekenhuis in Seoul om gegevens te stelen
Volgens recent nieuws heeft een groep Noord-Koreaanse hackers met succes ingebroken in een belangrijk ziekenhuis in Seoul en hebben ze gevoelige gegevens gestolen. Het ziekenhuis, wiens naam niet is vrijgegeven, is een prominente medische instelling in de Zuid-Koreaanse hoofdstad. De hackers, die naar verluidt banden hebben met de Noord-Koreaanse regering, hebben de aanval uitgevoerd met als doel waardevolle medische en persoonlijke gegevens te bemachtigen. Ze hebben mogelijk toegang gekregen tot patiëntendossiers, medische geschiedenissen en andere vertrouwelijke informatie. Het exacte aantal getroffen patiënten en de aard van de gestolen gegevens zijn op dit moment niet bekend. Het ziekenhuis heeft echter maatregelen genomen om het beveiligingsincident aan te pakken en heeft aangifte gedaan bij de autoriteiten. Noord-Koreaanse hackers staan erom bekend dat ze zich bezighouden met cyberaanvallen en spionageactiviteiten, gericht op zowel overheidsinstanties als particuliere bedrijven. Ze hebben in het verleden verschillende grote cyberaanvallen uitgevoerd, waaronder de beruchte hack van Sony Pictures in 2014. Deze recente inbraak in het ziekenhuis in Seoul benadrukt opnieuw het belang van robuuste cybersecuritymaatregelen, vooral voor organisaties die gevoelige persoonlijke en medische gegevens verwerken. Het incident dient als een herinnering aan de voortdurende dreiging van cybercriminaliteit en de noodzaak om proactief te zijn bij het beschermen van digitale systemen en gegevens. Lazarus staat bekend om het richten op Zuid-Koreaanse entiteiten met ransomware sinds april 2021.
Valse in-browser Windows-updates verspreiden Aurora Info Stealer-malware
Een recente beveiligingsdreiging heeft zich voorgedaan in de vorm van valse in-browser Windows-updates die kwaadwillende software verspreiden. Deze bedreiging heeft als doel de Aurora Info Stealer-malware te installeren en persoonlijke gegevens van gebruikers te stelen. Volgens beveiligingsonderzoekers zijn cybercriminelen begonnen met het imiteren van legitieme Windows-updatepop-ups, die verschijnen in webbrowsers zoals Google Chrome en Mozilla Firefox. Deze pop-ups zijn ontworpen om gebruikers te misleiden en hen te laten geloven dat er een kritieke update beschikbaar is voor hun Windows-besturingssysteem. Zodra een gebruiker op de valse updatepop-up klikt, wordt de Aurora Info Stealer-malware gedownload en geïnstalleerd op hun systeem. Deze malware is speciaal ontworpen om gevoelige informatie te stelen, zoals inloggegevens, financiële gegevens en andere persoonlijke gegevens. De gestolen gegevens kunnen vervolgens worden misbruikt voor frauduleuze activiteiten, zoals identiteitsdiefstal en financiële fraude. Om te voorkomen dat slachtoffers argwaan krijgen, hebben de aanvallers zelfs een nagemaakte updatepagina gemaakt die lijkt op de legitieme Microsoft-website. Dit draagt bij aan de geloofwaardigheid van de valse updates en maakt het moeilijker voor gebruikers om de bedreiging te herkennen. Om dergelijke dreigingen te voorkomen, wordt gebruikers geadviseerd om voorzichtig te zijn bij het klikken op pop-ups die beweren Windows-updates aan te bieden. Het is raadzaam om updates alleen te downloaden van officiële bronnen, zoals de officiële Microsoft-website. Daarnaast is het belangrijk om een bijgewerkte en betrouwbare antivirussoftware te gebruiken om schadelijke programma's te detecteren en te verwijderen. Het is essentieel om alert te blijven en bewust te zijn van de nieuwste beveiligingsbedreigingen om de persoonlijke gegevens en online veiligheid te beschermen.
Nieuwe ransomware-decryptor herstelt gegevens van gedeeltelijk versleutelde bestanden
Beveiligingsonderzoekers hebben een nieuwe decryptor ontwikkeld voor slachtoffers van ransomware. Deze decryptor kan gegevens herstellen van bestanden die gedeeltelijk zijn versleuteld door bepaalde soorten ransomware. Ransomware is schadelijke software die bestanden op een computer versleutelt en vervolgens losgeld vraagt aan het slachtoffer om de gegevens te herstellen. Normaal gesproken moeten slachtoffers het volledige losgeldbedrag betalen om hun bestanden terug te krijgen. Deze nieuwe decryptor is ontwikkeld door beveiligingsonderzoekers en stelt slachtoffers in staat om gegevens te herstellen van bestanden die slechts gedeeltelijk zijn versleuteld. Dit betekent dat zelfs als een deel van het bestand is versleuteld door ransomware, het resterende deel kan worden hersteld zonder het betalen van losgeld. Het ontwikkelen van decryptors is een voortdurende strijd tussen beveiligingsonderzoekers en cybercriminelen. Terwijl beveiligingsonderzoekers werken aan het vinden van manieren om gegevens te herstellen zonder te betalen, blijven cybercriminelen nieuwe ransomware-varianten ontwikkelen om hun slachtoffers te misleiden. Hoewel deze nieuwe decryptor een doorbraak is in de strijd tegen ransomware, is het nog steeds belangrijk om preventieve maatregelen te nemen om infecties te voorkomen. Het regelmatig maken van back-ups van gegevens en het vermijden van verdachte e-mailbijlagen en onveilige websites kan helpen om het risico op ransomware-infecties te verminderen. Het is bemoedigend om te zien dat er voortdurend vooruitgang wordt geboekt in de strijd tegen ransomware. Hopelijk zullen er in de toekomst nog meer decryptors worden ontwikkeld om slachtoffers te helpen bij het herstellen van hun gegevens zonder het betalen van losgeld.
Cybersecuritybedrijf Dragos meldt cybersecurity-incident en afpersingspoging
Cybersecuritybedrijf Dragos heeft onlangs een cybersecurity-incident meegedeeld waarbij ze het doelwit waren van een afpersingspoging. Het bedrijf, dat gespecialiseerd is in het beveiligen van industriële controlesystemen, heeft de aanval openbaar gemaakt om andere organisaties bewust te maken van het gevaar. Volgens Dragos werd het incident veroorzaakt door een aanvaller die zich toegang verschafte tot een ongeautoriseerd account van een medewerker. De aanvaller probeerde vervolgens het bedrijf te chanteren door dreigementen te uiten en losgeld te eisen. Dragos benadrukt dat er geen bewijs is dat klantgegevens of vertrouwelijke informatie zijn buitgemaakt tijdens de aanval. Het bedrijf heeft onmiddellijk gereageerd door het account te beveiligen, het incident te onderzoeken en de relevante autoriteiten op de hoogte te stellen. Het openbaar maken van het incident dient als een waarschuwing aan andere organisaties om waakzaam te zijn en de nodige beveiligingsmaatregelen te nemen. Dragos benadrukt ook het belang van het implementeren van sterke beveiligingsprotocollen en het regelmatig trainen van medewerkers in cybersecuritybewustzijn. Deze gebeurtenis benadrukt opnieuw het toenemende belang van cybersecurity in het moderne digitale landschap en de noodzaak voor organisaties om proactieve maatregelen te nemen om zichzelf te beschermen tegen cyberdreigingen. Het incident heeft de aandacht gevestigd op de voortdurende dreiging van cybercriminaliteit en de kwetsbaarheid van organisaties, zelfs diegenen die gespecialiseerd zijn in cybersecurity. Dragos benadrukt dat niemand immuun is voor dergelijke aanvallen en dat constante waakzaamheid essentieel is. Als reactie op het incident heeft Dragos zijn beveiligingsmaatregelen verder versterkt. Ze hebben hun interne systemen en processen geëvalueerd en verbeteringen aangebracht om de kans op toekomstige inbreuken te minimaliseren. Daarnaast hebben ze hun medewerkers voorzien van aanvullende trainingen over cybersecurity en het herkennen van verdachte activiteiten. De afpersingspoging is ook gemeld aan relevante autoriteiten en wetshandhavingsinstanties, die nu het onderzoek naar het incident leiden. Dragos werkt nauw samen met deze instanties om de daders op te sporen en verantwoordelijkheid te laten nemen voor hun daden. Het bedrijf benadrukt dat het incident hun toewijding aan de veiligheid van hun klanten en de bredere gemeenschap niet zal veranderen. Ze zullen blijven streven naar het bieden van geavanceerde cybersecurity-oplossingen en het delen van kennis en expertise om anderen te helpen zich te beschermen tegen digitale bedreigingen. Dit incident is een herinnering aan het belang van een gecoördineerde en proactieve aanpak van cybersecurity op alle niveaus. Organisaties moeten blijven investeren in robuuste beveiligingsmaatregelen, regelmatige audits en het bijwerken van hun systemen om een veilige digitale omgeving te waarborgen. Tot slot is het essentieel dat alle medewerkers binnen een organisatie zich bewust zijn van de risico's en best practices op het gebied van cybersecurity. Door voortdurende educatie en training kunnen ze een cruciale rol spelen bij het voorkomen van incidenten en het snel reageren op mogelijke bedreigingen. Dragos blijft vastbesloten om het incident te overwinnen en zal zijn inspanningen voortzetten om een veiligere digitale wereld te creëren, waarin bedrijven en individuen kunnen gedijen zonder voortdurende angst voor cyberaanvallen.
The criminals obviously grew frustrated because we never attempted to contact them. Paying was never an option. They continued to call me, threaten my family, and the family of many of our employees by their names. We hope sharing this can help other organizations prepare.
β Robert M. Lee (@RobertMLee) May 10, 2023
Toename activiteit cybercriminelen gericht op Microsoft 365-gebruikers
Het Phishing-as-a-Service (PhaaS) platform genaamd 'Greatness' heeft een toename gezien in activiteit, waarbij het zich richt op organisaties die gebruikmaken van Microsoft 365 in de Verenigde Staten, Canada, het Verenigd Koninkrijk, Australië en Zuid-Afrika. Het cloudgebaseerde productiviteitsplatform Microsoft 365 wordt wereldwijd door veel organisaties gebruikt, waardoor het een waardevol doelwit is voor cybercriminelen die proberen gegevens of inloggegevens te stelen voor gebruik bij netwerkinbraken. In een nieuw rapport van Cisco Talos leggen onderzoekers uit hoe het phishingplatform Greatness werd gelanceerd in het midden van 2022, met een toename in activiteit in december 2022 en opnieuw in maart 2023. De meeste slachtoffers bevinden zich in de Verenigde Staten, waarbij velen werkzaam zijn in de sectoren productie, gezondheidszorg, technologie, onderwijs, vastgoed, bouw, financiën en zakelijke dienstverlening. Het Greatness Phishing-as-a-Service bevat alles wat een aspirant phishing-cybercrimineel nodig heeft om een campagne succesvol uit te voeren. Om een aanval te lanceren, gebruikt de gebruiker van de diensten de 'Greatness' beheerdersinterface met behulp van hun API-sleutel en verstrekt een lijst met doel-e-mailadressen. Het PhaaS-platform wijst de benodigde infrastructuur toe, zoals de server die de phishingpagina zal hosten, evenals het genereren van de HTML-bijlage. De medewerker stelt vervolgens de e-mailinhoud op en levert eventueel ander materiaal of wijzigingen aan de standaardinstellingen zoals vereist. De dienst stuurt vervolgens e-mails naar de slachtoffers, die een phishing-e-mail ontvangen met een HTML-bijlage. Wanneer deze bijlage wordt geopend, wordt er een geobfusceerde JavaScript-code uitgevoerd in de browser om verbinding te maken met de 'Greatness'-server en de phishingpagina op te halen die aan de gebruiker wordt getoond. De phishingdienst zal automatisch het bedrijfslogo van het doelwit en de achtergrondafbeelding van de daadwerkelijke Microsoft 365 inlogpagina van de werkgever injecteren. Het slachtoffer voert alleen zijn wachtwoord in op de overtuigende phishingpagina, omdat Greatness het juiste e-mailadres vooraf invult om een gevoel van legitimiteit te creëren. Op dit punt fungeert het phishingplatform als een proxy tussen de browser van het slachtoffer en de daadwerkelijke Microsoft 365 inlogpagina, waarbij het de authenticatiestroom afhandelt om een geldige sessiecookie voor het doelaccount te verkrijgen. Als het account beveiligd is met tweefactorauthenticatie, zal Greatness het slachtoffer vragen om deze te verstrekken en tegelijkertijd een verzoek naar de echte Microsoft-service sturen, zodat de eenmalige code naar het apparaat van het doelwit wordt verzonden. Zodra de MFA-code is verstrekt, authenticeert Greatness zich als het slachtoffer op het echte Microsoft-platform en stuurt de geauthenticeerde sessiecookie naar de medewerker via een Telegram-kanaal of het webpaneel van de service. "Geauthenticeerde sessies verlopen meestal na verloop van tijd, wat mogelijk een van de redenen is waarom de Telegram-bot wordt gebruikt - deze informeert de aanvaller zo snel mogelijk over geldige cookies om ervoor te zorgen dat ze snel toegang hebben als het doelwit interessant is", legt Cisco uit. Van daaruit kunnen de aanvallers deze sessiecookie gebruiken om toegang te krijgen tot e-mails, bestanden en gegevens van een slachtoffer in Microsoft 365-services. In veel gevallen worden de gestolen referenties ook gebruikt om bedrijfsnetwerken te infiltreren, wat leidt tot nog gevaarlijkere aanvallen, zoals het implementeren van ransomware.
Ransomware-aanval op Britse Dienstverlener Capita: Verwachte Kosten Lopen Op tot 23 Miljoen Euro
De grote Britse dienstverlener Capita verwacht dat de ransomware-aanval waardoor het eind maart werd getroffen het bedrijf tot 23 miljoen euro zal kosten. Dat heeft het bedrijf vandaag bekendgemaakt. Begin april meldde Capita een "cyberincident" dat voor een verstoring van verschillende interne applicaties zorgde. Personeel zou volgens berichtgeving de Britse media door de aanval niet meer op systemen kunnen inloggen. Een paar weken later eiste de Black Basta-ransomwaregroep de aanval op. De groep lekte vervolgens bestanden die bij Capita gestolen zouden zijn en persoonlijke en financiële informatie bevatte. Capita stelt in een vandaag verschenen update dat van "minder dan 0,1 procent" van de servers van het bedrijf data is gestolen. Om hoeveel data en servers het precies gaat laat het bedrijf in de zeer summiere verklaring niet weten. Ook of Capita wel of geen losgeld heeft betaald wordt niet vermeld. Tijdens een webinar met investeerders werd deze vraag gesteld, maar gaf Capita geen antwoord. De 17 miljoen tot 23 miljoen euro die de aanval naar verwachting zal kosten gaat onder andere naar het inschakelen van experts, herstelkosten en investeringen om de cybersecurity te versterken. Capita is één van de grootste dienstverleners van de Britse overheid en levert onder andere diensten aan de gezondheidszorg en de krijgsmacht.
Capitaβs investor webinar happened today, thereβs some recaps in this. https://t.co/bIzddfz2dF pic.twitter.com/s36PEq6T1X
β Kevin Beaumont (@GossiTheDog) May 9, 2023
Cybercriminelen breken in bij Sysco: Gevoelige bedrijfs-, klant- en werknemersgegevens gestolen
Sysco, een toonaangevend wereldwijd voedseldistributiebedrijf, heeft bevestigd dat zijn netwerk eerder dit jaar is gehackt door aanvallers die gevoelige informatie hebben gestolen, waaronder zakelijke, klant- en werknemersgegevens. In een intern memo dat op 3 mei aan werknemers werd gestuurd, onthulde het bedrijf dat klant- en leveranciersgegevens in de VS en Canada, evenals persoonlijke informatie van Amerikaanse werknemers, mogelijk zijn getroffen door het incident. "Op 5 maart 2023 werd Sysco zich bewust van een cybersecurity-incident, gepleegd door een bedreiger waarvan wordt aangenomen dat deze op 14 januari 2023 is begonnen, waarbij de bedreiger zonder toestemming toegang kreeg tot onze systemen en beweerde bepaalde gegevens te hebben verkregen," voegde Sysco toe in brieven over de data-inbreuk die naar sommige van de getroffen personen zijn gestuurd. Sysco bevestigde de veiligheidsinbreuk ook in een 10-Q kwartaalrapport dat een week geleden, op 2 mei, werd ingediend bij de Amerikaanse Securities and Exchange Commission. "Het onderzoek wees uit dat de bedreiger bepaalde bedrijfsgegevens heeft geëxtraheerd, waaronder gegevens met betrekking tot de bedrijfsvoering, klanten, werknemers en persoonlijke gegevens," zei het bedrijf. "Het onderzoek is nog gaande en Sysco is begonnen met het proces om te voldoen aan zijn verplichtingen met betrekking tot de geëxtraheerde gegevens." Het bedrijf gelooft dat de gegevens van de werknemers die tijdens de inbreuk uit zijn systemen zijn gestolen, een combinatie zijn van de volgende: persoonlijke informatie die aan Sysco is verstrekt voor salarisdoeleinden, waaronder naam, sofinummer, rekeningnummers of vergelijkbare info. Sysco heeft ook een cybersecurity-bedrijf ingehuurd om te helpen bij het onderzoek naar het incident en heeft de federale politie op de hoogte gebracht van de cyberaanval. Het incident heeft de bedrijfsvoering niet beïnvloed en de klantenservice is niet onderbroken, volgens het 10-Q SEC-bestand. Sysco vertelde ook aan getroffen personen dat er geen voortdurende dreiging voor zijn netwerk is en dat zijn beveiligingsteam extra veiligheidsmaatregelen heeft geïmplementeerd om een vergelijkbare inbreuk in de toekomst te voorkomen. Met meer dan 71.000 werknemers heeft Sysco 333 distributiefaciliteiten wereldwijd en bedient het ongeveer 700.000 klantlocaties, waaronder restaurants, gezondheidszorg- en onderwijsfaciliteiten. Volgens haar website genereerde Sysco meer dan $68 miljard aan verkoop in het boekjaar 2022, dat eindigde op 2 juli 2022.
Woningcorporatie Woonkracht10 betaalt losgeld na ransomware-aanval om publicatie van gestolen gegevens te voorkomen
De woningcorporatie Woonkracht10, die getroffen werd door een ransomware-aanval, heeft losgeld betaald aan de verantwoordelijke criminelen om te voorkomen dat de gestolen gegevens worden gepubliceerd. Gisteren werd gemeld dat de criminelen achter de Play-ransomware de aanval op Woonkracht10 hadden opgeëist. De woningcorporatie verhuurt meer dan elfduizend sociale en vrije sector huurwoningen in de Drechtsteden. In een bericht op hun eigen website gaf Woonkracht10 aan dat aanvallers tijdens het weekend van 22 en 23 april toegang hadden gekregen tot hun computersysteem. In eerste instantie was het voor de corporatie onduidelijk welke gegevens precies waren gestolen. "Samen met externe experts hebben we geconcludeerd dat er inderdaad gegevens van huurders, werknemers en andere betrokkenen zijn bekeken en gestolen", aldus de corporatie in een update over het incident. Verder meldt Woonkracht10 dat ze na zorgvuldige overweging hebben besloten het losgeld te betalen, zodat de criminelen de gestolen gegevens zouden verwijderen en niet publiceren, zoals de Play-groep op hun eigen website had gedreigd te doen. Het exacte bedrag is niet bekendgemaakt. Eerder gaf Woonkracht10 al aan dat ze er alles aan wilde doen om de gegevens van huurders, werknemers en andere belanghebbenden te beschermen. "We willen nu zo goed mogelijk voorkomen dat deze gegevens misbruikt kunnen worden. We werken hiervoor samen met onze externe experts."
Iraanse hackgroepen sluiten zich aan bij 'papercut' aanvalsgolf
Microsoft waarschuwt voor een groeiend aantal cyberaanvallen uitgevoerd door Iraanse hackgroepen die zich richten op organisaties in verschillende landen en sectoren. De aanvallen, die de naam 'papercut' hebben gekregen, hebben voornamelijk betrekking op het uitbuiten van kwetsbaarheden in populaire bedrijfssoftware. De aanvallen zijn voornamelijk gericht op organisaties in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Israël en diverse andere landen in het Midden-Oosten. Betrokken hackgroepen zijn onder andere APT33, APT34 en APT35, die al lang in verband worden gebracht met Iraanse cyberoperaties. Microsoft heeft een uitgebreide analyse van de aanvallen gedeeld in een blogpost, waarin de verschillende technieken en tactieken van de betrokken groepen worden beschreven. Ze maken gebruik van geavanceerde spear-phishing technieken, het exploiteren van kwetsbaarheden in bedrijfssoftware zoals Microsoft Exchange en het gebruik van aangepaste malware om toegang te krijgen tot en controle te krijgen over getroffen systemen. Het bedrijf benadrukt dat de aanvallers zich richten op een breed scala van doelwitten, waaronder overheidsinstellingen, onderzoeks- en onderwijsinstellingen, technologiebedrijven en defensie-gerelateerde organisaties. De impact van deze aanvallen kan variëren van verstoring van bedrijfsvoering tot diefstal van gevoelige informatie en intellectueel eigendom. Microsoft roept bedrijven en organisaties op om hun beveiligingsmaatregelen te versterken en waakzaam te blijven voor dergelijke bedreigingen. Het bedrijf benadrukt het belang van het tijdig patchen van kwetsbaarheden, het implementeren van meerlaagse beveiliging en het trainen van medewerkers in het herkennen van phishing-aanvallen om het risico op succesvolle aanvallen te minimaliseren. In het verleden hebben Iraanse hackgroepen verschillende soorten aanvallen uitgevoerd, waaronder DDoS-aanvallen, ransomware en spionagecampagnes. Deze recente golf van 'papercut' aanvallen benadrukt het aanhoudende gevaar van dergelijke cyberaanvallen en de noodzaak voor organisaties om hun digitale beveiliging te waarborgen.
More actors are exploiting unpatched CVE-2023-27350 in print management software Papercut since we last reported on Lace Tempest. Microsoft has now observed Iranian state-sponsored threat actors Mint Sandstorm (PHOSPHORUS) & Mango Sandstorm (MERCURY) exploiting CVE-2023-27350.
β Microsoft Threat Intelligence (@MsftSecIntel) May 5, 2023
Amerikaans county betaalt cybercriminelen 1,1 miljoen dollar losgeld na verwoestende ransomware-aanval
Een Amerikaans county heeft 1,1 miljoen dollar losgeld betaald na een ransomware-aanval waardoor verschillende overheidsdiensten werden getroffen. Dat heeft de lokale overheid bekendgemaakt. De aanval vond plaats op 29 maart en raakte onder andere de politie, brandweer, het openbaar vervoer en andere overheidsinstellingen. Hierdoor konden ambtenaren geen toegang krijgen tot systemen en e-mail, en werden de getroffen diensten verstoord. Na de aanval schakelde het county een cybersecuritybedrijf in om te helpen bij het onderzoek en de reactie op het incident. Uiteindelijk werd besloten om het losgeld te betalen, omdat het risico van niet betalen te groot werd geacht. Er was geen garantie dat de getroffen diensten snel zouden kunnen herstellen zonder betaling, wat zou kunnen leiden tot verdere ontwrichting van de openbare diensten en mogelijk zelfs een gevaar voor de openbare veiligheid. De lokale overheid benadrukt dat het betalen van losgeld een moeilijke beslissing was, maar dat het noodzakelijk werd geacht om de dienstverlening zo snel mogelijk te herstellen. Het losgeld is betaald met behulp van een verzekeringspolis die specifiek is ontworpen voor cyberincidenten. Hierdoor zal het grootste deel van het bedrag worden gedekt door de verzekering. Toch zal het county nog een deel van de kosten zelf moeten dragen. Hoewel het betalen van losgeld in dergelijke situaties controversieel is, stellen sommige experts dat het in bepaalde gevallen onvermijdelijk is. De FBI en andere opsporingsdiensten adviseren over het algemeen om geen losgeld te betalen, aangezien dit criminelen kan aanmoedigen om door te gaan met het uitvoeren van dergelijke aanvallen. Echter, in situaties waarin de gevolgen van niet betalen te groot zijn, kan het betalen van losgeld soms de enige optie zijn. De lokale overheid heeft aangegeven dat ze de beveiliging van hun netwerken en systemen zullen versterken om toekomstige aanvallen te voorkomen. Daarnaast zullen ze blijven samenwerken met federale en lokale autoriteiten om de verantwoordelijken voor de aanval te identificeren en te vervolgen.
Nieuwe Cactus Ransomware versleutelt zichzelf om antivirus te ontwijken
Een nieuw soort ransomware, genaamd 'Cactus', is recentelijk ontdekt en is in staat om zichzelf te versleutelen om detectie door antivirusprogramma's te voorkomen. Dit unieke kenmerk maakt het voor de ransomware gemakkelijker om computers en netwerken te infecteren zonder te worden opgemerkt. Cactus maakt gebruik van een geavanceerde versleutelingstechniek om zijn eigen code te verbergen en te beschermen tegen reverse engineering. Zodra het zichzelf heeft geïnstalleerd, zoekt het naar waardevolle bestanden op de geïnfecteerde computer en versleutelt deze. Vervolgens worden de slachtoffers geconfronteerd met een losgeldbericht waarin wordt geëist dat ze betalen in ruil voor de decryptiesleutel. Deze ransomware is bijzonder moeilijk te bestrijden, omdat het in staat is om zichzelf voortdurend te versleutelen en te herschrijven, waardoor antivirusprogramma's moeite hebben om de kwaadaardige code te identificeren en te verwijderen. Bovendien kan Cactus zich snel verspreiden naar andere computers binnen hetzelfde netwerk, waardoor hele systemen worden getroffen. Beveiligingsexperts raden gebruikers aan om hun antivirussoftware up-to-date te houden en regelmatig back-ups te maken van hun belangrijke bestanden. Daarnaast is het belangrijk om voorzichtig te zijn met het openen van e-mailbijlagen en het downloaden van software van onbekende bronnen, aangezien dit vaak de manier is waarop ransomware zich verspreidt. Onderzoekers werken momenteel aan het ontwikkelen van een decryptietool om slachtoffers van Cactus te helpen. Hoewel er nog geen garantie is dat een dergelijke tool succesvol zal zijn, is het een stap in de goede richting om deze gevaarlijke ransomware te bestrijden.
Cybercriminelen lanceren nieuwe ransomware gericht op bedrijven
Een nieuwe ransomware-operatie genaamd "Akira" is onlangs ontdekt en richt zich voornamelijk op bedrijven. De aanvallers achter deze campagne eisen betalingen in cryptocurrencies en dreigen gestolen gegevens openbaar te maken als er niet aan hun eisen wordt voldaan. Akira maakt gebruik van gerichte phishing-aanvallen en misbruikt kwetsbaarheden in de beveiliging van bedrijfsnetwerken om zichzelf toegang te verschaffen tot bedrijfssystemen. Zodra het zich in het netwerk bevindt, versleutelt de ransomware bestanden en laat het een losgeldbrief achter voor de slachtoffers. De aanvallers achter Akira claimen dat ze in het bezit zijn van gevoelige bedrijfsinformatie, zoals klantgegevens en intellectueel eigendom. Ze dreigen deze informatie openbaar te maken of te verkopen aan derden als het losgeld niet binnen een bepaalde tijd wordt betaald. Om hun dreigementen kracht bij te zetten, hebben de cybercriminelen een "lekwebsite" opgezet waar ze gestolen gegevens publiceren van slachtoffers die weigeren te betalen. De website bevat tevens een sectie waar andere criminelen zich kunnen registreren om toegang te krijgen tot de gestolen informatie. Volgens onderzoekers is de Akira-ransomware nog in ontwikkeling, en worden er voortdurend nieuwe functies en verbeteringen toegevoegd. Ze waarschuwen bedrijven om hun beveiligingsmaatregelen te versterken en hun medewerkers te trainen in het herkennen van phishing-aanvallen om het risico op een Akira-infectie te minimaliseren. Experts benadrukken ook het belang van het regelmatig maken van back-ups van belangrijke gegevens en het opslaan van deze back-ups op een veilige, offline locatie. Dit kan bedrijven helpen hun gegevens te herstellen zonder losgeld te betalen in het geval van een ransomware-aanval.
#Akira seems to be a new #ransomware on the block. No ransom note yet. Just encrypts in Video folder. (3/65)https://t.co/hzuiE9fIfh pic.twitter.com/uedJbrlPl2
β Karsten Hahn (@struppigel) August 29, 2017
MSI-ransomware-aanval
Een grootschalige ransomware-aanval heeft talloze bedrijven en organisaties getroffen die gebruikmaken van MSI-software. De aanval vond plaats in de vroege uren van 7 mei en trof zowel grote als kleine bedrijven in verschillende sectoren. Naast het verstoren van de dagelijkse bedrijfsvoering, vormen dergelijke cyberaanvallen ook een bedreiging voor de veiligheid van persoonlijke gegevens van klanten. Het Nationaal Cyber Security Centrum (NCSC) volgt de situatie op de voet en werkt samen met getroffen bedrijven om de impact van de aanval te beperken. Het NCSC heeft ook andere organisaties gewaarschuwd die mogelijk kwetsbaar zijn voor soortgelijke aanvallen en hen geadviseerd om passende maatregelen te nemen om zichzelf te beschermen. Om te voorkomen dat ransomware-aanvallen schade aanrichten, is het belangrijk om regelmatig back-ups te maken van belangrijke gegevens, software up-to-date te houden en sterke, unieke wachtwoorden te gebruiken. Het is ook raadzaam om medewerkers te trainen in het herkennen en rapporteren van verdachte e-mails en andere vormen van phishing. Als u slachtoffer bent geworden van een ransomware-aanval, wordt aanbevolen om niet te betalen, omdat dit geen garantie biedt dat de toegang tot uw gegevens wordt hersteld en het criminele gedrag verder aanmoedigt. In plaats daarvan kunt u contact opnemen met de autoriteiten en een gespecialiseerd IT-beveiligingsbedrijf inschakelen om te proberen uw gegevens te herstellen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language