Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Het Belgische bedrijf SOVAC is slachtoffer geworden van de nieuwe ransomwaregroepering 8BASE, die afgelopen week gegevens van maar liefst 67 organisaties op het darkweb heeft gepubliceerd. Te midden van deze cyberchaos werd de dienstverlening van een regionaal ziekenhuis in Namen, België, beperkt door een cyberaanval. Het houdt echter niet op bij onze zuiderburen: in Nederland is er een digitale inbraak geweest bij de gemeente Asten, waarbij cybercriminelen toegang hebben gekregen tot tienduizenden gegevens. Ondertussen zorgt een massale compromittatie van Zyxel-firewalls door het Mirai-botnet voor groeiende zorgen bij beveiligingsexperts. De kers op de taart van deze week van digitale inbraken is een grootschalige aanval op de WordPress Cookie-Consent Plugin, waarbij maar liefst 1,5 miljoen sites bedreigd worden. Hieronder vindt u het volledige overzicht van de cyberaanvallen van afgelopen week.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| grantierra.com | LockBit | grantierra.com | Canada | Oil, Gas | 28-mei-23 |
| voyageursdumonde.fr | LockBit | voyageursdumonde.fr | France | Miscellaneous Services | 28-mei-23 |
| Australian Universal Crane Leak | Ragnar_Locker | universalcranes.com | Australia | Engineering Services | 28-mei-23 |
| Fiduagraria | Medusa | fiduagraria.gov.co | Colombia | Public Finance, Taxation | 27-mei-23 |
| ******MD | BianLian | Unknown | USA | Transportation By Air | 27-mei-23 |
| **G Inc. | BianLian | Unknown | USA | Engineering Services | 27-mei-23 |
| *a*** I********* | BianLian | Unknown | India | Chemical Producers | 27-mei-23 |
| H****** **e*** V******* **i** Project | BianLian | Unknown | USA | IT Services | 27-mei-23 |
| Servizi Omnia | MONTI | www.omniaservizi.com | Italy | Accounting Services | 26-mei-23 |
| fiduagraria.gov.co | LockBit | fiduagraria.gov.co | Colombia | Public Finance, Taxation | 26-mei-23 |
| arnoldoilco.com | LockBit | arnoldoilco.com | USA | Wholesale Trade-durable Goods | 26-mei-23 |
| watersaversinc.com | LockBit | watersaversinc.com | USA | Wholesale Trade-non-durable Goods | 26-mei-23 |
| floodlaw.com | LockBit | floodlaw.com | USA | Legal Services | 26-mei-23 |
| aimtron.com | LockBit | aimtron.com | India | Electronic, Electrical Equipment, Components | 26-mei-23 |
| Good Oil Company | 8BASE | goodoilcompany.com | USA | Gasoline Service Stations | 26-mei-23 |
| AFG Holdings | Royal | www.afgholdings.com | USA | Oil, Gas | 26-mei-23 |
| Volt | Royal | www.volt.com | USA | Business Services | 26-mei-23 |
| Groupe Sovitrat Interim and Recrutement | Royal | www.sovitrat.fr | France | Business Services | 26-mei-23 |
| BM Precision | Royal | www.bmprecision.com | USA | Miscellaneous Manufacturing Industries | 26-mei-23 |
| DirectViz Solutions | Royal | www.directviz.com | USA | IT Services | 26-mei-23 |
| The Best Connection | Royal | www.thebestconnection.co.uk | UK | Business Services | 26-mei-23 |
| Mitutoyo | Royal | www.mitutoyo.ch | Japan | Measuring, Analyzing, Controlling Instruments | 26-mei-23 |
| Grange Packing Solutions | Royal | www.co-pack.co.uk | UK | Miscellaneous Manufacturing Industries | 26-mei-23 |
| Marshall Construction Ltd | Trigona | marshallconstruction.co.uk | UK | Construction | 26-mei-23 |
| Colrich | Royal | www.colrich.com | USA | Real Estate | 26-mei-23 |
| Haworth Tompkins | Royal | www.haworthtompkins.com | UK | Construction | 26-mei-23 |
| Procurri | BlackCat (ALPHV) | www.procurri.com | Singapore | IT Services | 26-mei-23 |
| wiannoclub.com | LockBit | wiannoclub.com | USA | Lodging Places | 26-mei-23 |
| kyocera-avx.com | LockBit | kyocera-avx.com | USA | Electronic, Electrical Equipment, Components | 26-mei-23 |
| fams.net | LockBit | fams.net | USA | Business Services | 26-mei-23 |
| City of Augusta | BlackByte | www.augustaga.gov | USA | General Government | 25-mei-23 |
| Norton Healthcare | BlackCat (ALPHV) | nortonhealthcare.com | USA | Health Services | 25-mei-23 |
| sfponline.org | LockBit | sfponline.org | USA | Educational Services | 25-mei-23 |
| pneusbelislecarrieres.com | LockBit | pneusbelislecarrieres.com | Canada | Engineering Services | 25-mei-23 |
| affinityhealthservices.net | LockBit | affinityhealthservices.net | USA | Business Services | 25-mei-23 |
| Leidos | Trigona | leidos.com | USA | IT Services | 25-mei-23 |
| Stant | BLACK SUIT | www.stant.com | USA | Transportation Equipment | 25-mei-23 |
| globalinfovision.com | LockBit | globalinfovision.com | India | IT Services | 24-mei-23 |
| The Middleton Group | BlackCat (ALPHV) | themiddletongroup.net | USA | Construction | 24-mei-23 |
| Trabzonspor Football Club | Medusa | www.trabzonspor.org.tr | Turkey | Miscellaneous Services | 24-mei-23 |
| M******* ***** | BianLian | Unknown | USA | Fabricated Metal Products | 24-mei-23 |
| roha.com | LockBit | roha.com | India | Food Products | 24-mei-23 |
| Voxx Electronics | BlackCat (ALPHV) | www.voxxelectronics.com | USA | Electronic, Electrical Equipment, Components | 24-mei-23 |
| interstateplastics.com | LockBit | interstateplastics.com | USA | Rubber, Plastics Products | 24-mei-23 |
| Coos Bay | Royal | www.co.coos.or.us | USA | General Government | 23-mei-23 |
| Amaszonas S.A. | Medusa | www.amaszonas.com | Bolivia | Transportation By Air | 23-mei-23 |
| Leland Campbell LLP law firm | Medusa | www.lelandcampbell.com | Canada | Legal Services | 23-mei-23 |
| H***** | BianLian | Unknown | South Korea | Chemical Producers | 23-mei-23 |
| Rusan Pharma | BianLian | rusanpharma.com | India | Chemical Producers | 23-mei-23 |
| surfsidefoods.com | LockBit | surfsidefoods.com | USA | Food Products | 23-mei-23 |
| spectre.dk | LockBit | spectre.dk | Denmark | Apparel And Accessory Stores | 23-mei-23 |
| Dotcom Distribution | Royal | www.dotcomdist.com | USA | Motor Freight Transportation | 23-mei-23 |
| Chattanooga Heart Institute | Karakurt | www.chattanoogaheart.com | USA | Health Services | 23-mei-23 |
| The Travel Network Group | D0N#T (Donut Leaks) | www.thetravelnetworkgroup.co.uk | UK | Miscellaneous Services | 23-mei-23 |
| Jacklyn Dawson Solicitors | D0N#T (Donut Leaks) | www.jacklyndawson.co.uk | UK | Legal Services | 23-mei-23 |
| Southwest Healthcare Services | D0N#T (Donut Leaks) | swhealthcare.net | USA | Health Services | 23-mei-23 |
| JANUS Research Group | D0N#T (Donut Leaks) | www.janusresearch.com | USA | Defense industry | 23-mei-23 |
| Garden Hotel NARITA | D0N#T (Donut Leaks) | gardennarita.com | Japan | Lodging Places | 23-mei-23 |
| Montgomery General Hospital | D0N#T (Donut Leaks) | mghwv.com | USA | Health Services | 23-mei-23 |
| Nabtesco Motion Control | D0N#T (Donut Leaks) | www.nabtescomotioncontrol.com | USA | Machinery, Computer Equipment | 23-mei-23 |
| UnitedLex.com | D0N#T (Donut Leaks) | unitedlex.com | USA | Legal Services | 23-mei-23 |
| P1 Technical Services | 8BASE | p1-tech.com | USA | IT Services | 23-mei-23 |
| GIOTTO - COMΓRCIO DE VESTUΓRIO, UNIPESSOAL, LDA | 8BASE | Unknown | Portugal | Wholesale Trade-non-durable Goods | 23-mei-23 |
| ESSPEE | 8BASE | www.esspee.co.uk | UK | Electronic, Electrical Equipment, Components | 23-mei-23 |
| MTS Office | 8BASE | mtsoffice.com | USA | Miscellaneous Retail | 23-mei-23 |
| Concept Fasteners | 8BASE | conceptfasteners.com.au | Australia | Miscellaneous Manufacturing Industries | 23-mei-23 |
| Meklas Group | 8BASE | www.meklas.com | Turkey | Transportation Equipment | 23-mei-23 |
| AS Netz | 8BASE | www.as-netz.com | Germany | Communications | 23-mei-23 |
| THE HARCOURTS FOUNDATION (AUSTRALIA) PTY LTD | 8BASE | academyrealestatetraining.com | USA | Educational Services | 23-mei-23 |
| Butler and Gatz CPAs, LLC | 8BASE | www.garlandcpa.com | USA | Accounting Services | 23-mei-23 |
| LebensWohnArt | 8BASE | www.lebenswohnart.de | Germany | Home Furniture, Furnishings, And Equipment Stores | 23-mei-23 |
| Irmler RechtsanwΓ€lte | 8BASE | www.irmler.org | Germany | Legal Services | 23-mei-23 |
| Innormax LLC | 8BASE | innormax.com | USA | IT Services | 23-mei-23 |
| Moore Global | 8BASE | www.moore-global.com | UK | Accounting Services | 23-mei-23 |
| Shipmate | 8BASE | sbntech.com | India | IT Services | 23-mei-23 |
| SOVAC | 8BASE | www.sovac.be | Belgium | Home Furniture, Furnishings, And Equipment Stores | 23-mei-23 |
| Intermountain Centers | 8BASE | www.intermountaincenters.org | USA | Health Services | 23-mei-23 |
| Grupo 2MGA | 8BASE | grupo-2mga.negocio.site | Brazil | Accounting Services | 23-mei-23 |
| Brandao | 8BASE | brandaoeendo.com.br | Brazil | Accounting Services | 23-mei-23 |
| DBT Druckluft | 8BASE | www.dbt-gmbh.de | Germany | Machinery, Computer Equipment | 23-mei-23 |
| Constantino Contabilidade E Comunicacao | 8BASE | constantinocontabilidade.com | Brazil | Accounting Services | 23-mei-23 |
| FrameOne | 8BASE | frameone.com.br | Brazil | Miscellaneous Services | 23-mei-23 |
| Watex Solutions | 8BASE | watexsolutions.com | Egypt | Wholesale Trade-durable Goods | 23-mei-23 |
| Lerch Bates | 8BASE | www.lerchbates.com | USA | Construction | 23-mei-23 |
| Clear Start Accountants | 8BASE | clearstartaccountants.co.uk | UK | Accounting Services | 23-mei-23 |
| CST Medicina do Trabalho | 8BASE | www.cstbh.com.br | Brazil | Health Services | 23-mei-23 |
| Semba | 8BASE | www.semba.mg | Madagascar | Paper Products | 23-mei-23 |
| Direct Cleaning Services | 8BASE | www.directcleaningservicesltd.co.uk | UK | Management Services | 23-mei-23 |
| Bronzino Engineering | 8BASE | bronzinoengineering.com | USA | Construction | 23-mei-23 |
| Grupo Rimet | 8BASE | gruporimet.com | Guatemala | Business Services | 23-mei-23 |
| Taylor Made Hose | 8BASE | taylormadehose.com | USA | Home Furniture, Furnishings, And Equipment Stores | 23-mei-23 |
| Formax Credit UK | 8BASE | www.formaxcredit.co.uk | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 23-mei-23 |
| NORTCON | 8BASE | Unknown | Unknown | Accounting Services | 23-mei-23 |
| Redwood Lab Services | 8BASE | www.redwoodlabservices.com | USA | Research Services | 23-mei-23 |
| ER of Dallas | 8BASE | erofdallastx.com | USA | Health Services | 23-mei-23 |
| SMYRNAPEDIATRICS | 8BASE | www.smyrnapediatrics.com | USA | Health Services | 23-mei-23 |
| TTG Log | 8BASE | Unknown | Brazil | Electric, Gas, And Sanitary Services | 23-mei-23 |
| Colares Linhares | 8BASE | clinhares.com.br | Brazil | Engineering Services | 23-mei-23 |
| Ayers Mechanical Group | 8BASE | www.ayersmechanical.com | USA | Engineering Services | 23-mei-23 |
| FORMA ESPACOS IMOBILIARIOS LTDA | 8BASE | formaespacos.com.br | Brazil | Construction | 23-mei-23 |
| Conklin Benham | 8BASE | conklinbenham.com | USA | Legal Services | 23-mei-23 |
| China Export & Credit Insurance Corporation | 8BASE | www.sinosure.com.cn | China | Insurance Carriers | 23-mei-23 |
| Print Globe | 8BASE | www.printglobe.com | USA | Business Services | 23-mei-23 |
| Neighborhood Progress Fund | 8BASE | npfp.org | USA | Membership Organizations | 23-mei-23 |
| La CanasterΓa | 8BASE | lacanasteria.com | Peru | Miscellaneous Retail | 23-mei-23 |
| Richard W. Fuller CPA | 8BASE | rickfullercpa.com | USA | Accounting Services | 23-mei-23 |
| MRO SUPPORT, INC | 8BASE | www.mrosupport.net | USA | Transportation By Air | 23-mei-23 |
| IMASA | 8BASE | imasa.com.mx | Mexico | Engineering Services | 23-mei-23 |
| Immobilienmakler in Oldenburg | 8BASE | immobilienpartner-claussen.de | Germany | Real Estate | 23-mei-23 |
| COREAL | 8BASE | www.michel-nutrition.fr | France | Food Products | 23-mei-23 |
| Veal and Prasad | 8BASE | www.vealandprasad.com.au | Argentina | Accounting Services | 23-mei-23 |
| HELPHONE | 8BASE | helphone.com | Spain | Business Services | 23-mei-23 |
| Thayer Academy | 8BASE | www.thayer.org | USA | Educational Services | 23-mei-23 |
| Midway Ford | 8BASE | www.midwaymiami.com | USA | Transportation Equipment | 23-mei-23 |
| Lake Cable | 8BASE | www.lakecable.com | USA | Electronic, Electrical Equipment, Components | 23-mei-23 |
| Zenex | 8BASE | www.zenexint.com | USA | Chemical Producers | 23-mei-23 |
| M Metzler & Associates | 8BASE | Unknown | USA | Accounting Services | 23-mei-23 |
| General de Alimentos Nisa C.A. (GENICA) | 8BASE | genica.com.ve | Venezuela | Food Products | 23-mei-23 |
| Ellard-Willson Engineering Ltd | 8BASE | Unknown | Canada | Engineering Services | 23-mei-23 |
| CONTASS | 8BASE | contassconsultoria.com.br | Brazil | Accounting Services | 23-mei-23 |
| Artconta - Contabilidade e. AssistΓͺncia Fiscal | 8BASE | www.artconta.com.br | Brazil | Accounting Services | 23-mei-23 |
| Csc Baixo Sul Assessoria e Consultoria Empresarial e Contabil LTDA | 8BASE | csconline.com.br | Brazil | Accounting Services | 23-mei-23 |
| Just us lawyers | 8BASE | justuslaw.com | Australia | Legal Services | 23-mei-23 |
| Asbestos-Inspections-Solution-Management | 8BASE | www.a-i-s-m.net | USA | Miscellaneous Services | 23-mei-23 |
| SiComputer | 8BASE | sicomputer.com | Italy | Machinery, Computer Equipment | 23-mei-23 |
| Malkasian Accountancy | 8BASE | malkasian.com | USA | Accounting Services | 23-mei-23 |
| APIQROO | 8BASE | www.apiqroo.com.mx | Mexico | Water Transportation | 23-mei-23 |
| Inquirer | Cuba | www.inquirer.com | USA | Miscellaneous Services | 23-mei-23 |
| Black Cat Networks | PLAY | www.blackcat-networks.de | Germany | IT Services | 22-mei-23 |
| Paragon Software Lanka | PLAY | www.paragonsoft.net | Sri Lanka | IT Services | 22-mei-23 |
| Mayberry Investments | PLAY | www.mayberryinv.com | Jamaica | Holding And Other Investment Offices | 22-mei-23 |
| Grupo Corporacion Control | PLAY | www.ccontrol.com.mx | Mexico | Apparel And Accessory Stores | 22-mei-23 |
| Studioline Photography | PLAY | www.studioline.de | Germany | Miscellaneous Services | 22-mei-23 |
| Optimus Steel | PLAY | www.optimus-steelusa.com | USA | Metal Industries | 22-mei-23 |
| Chattanooga State Community College | Snatch | chattanoogastate.edu | USA | Educational Services | 22-mei-23 |
| Xplain | PLAY | www.xplain.ch | Switzerland | IT Services | 22-mei-23 |
| Aria Online | PLAY | www.ariaonline.com | USA | Apparel And Accessory Stores | 22-mei-23 |
| Royal Centre | PLAY | www.royalcentre.com | Canada | Merchandise Stores | 22-mei-23 |
| Poly | PLAY | www.poly.com | USA | Communications | 22-mei-23 |
| Cafpi | Vice Society | www.cafpi.fr | France | Non-depository Institutions | 22-mei-23 |
| Oppida Estates Limited | Qilin | oppida.com | UK | Real Estate | 22-mei-23 |
| SMDEA | Qilin | smdea09.fr | France | Miscellaneous Services | 22-mei-23 |
| ** T**** *** | BianLian | Unknown | USA | Miscellaneous Manufacturing Industries | 22-mei-23 |
| Alconex Specialty Products | BianLian | alconex.com | USA | Metal Industries | 22-mei-23 |
| H****** **** | BianLian | Unknown | UK | Engineering Services | 22-mei-23 |
| Zoni Language Centers | BianLian | zoni.edu | USA | Educational Services | 22-mei-23 |
| Westside | Royal | westside-health.org | USA | Health Services | 22-mei-23 |
| Harmony Gold | Akira | www.harmony.co.za | South Africa | Mining | 22-mei-23 |
| rmc-canada.com | LockBit | rmc-canada.com | Canada | Unknown | 22-mei-23 |
| TA Supply | Royal | www.tasupply.com | USA | Wholesale Trade-durable Goods | 22-mei-23 |
| Agostini Insurance Brokers | Royal | www.agostini.com | Trinidad and Tobago | Insurance Carriers | 22-mei-23 |
| Trinity Exploration and Production | Royal | www.trinityexploration.com | UK | Oil, Gas | 22-mei-23 |
| Morris Hospital | Royal | morrishospital.org | USA | Health Services | 22-mei-23 |
| Atlas Commodities | Royal | www.atlascommodities.com | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 22-mei-23 |
| Technology and Telecommunications Consultants Inc | Trigona | ttcin.com | USA | IT Services | 22-mei-23 |
| Loreto Normanhurst | Medusa | www.loretonh.nsw.edu.au | Australia | Educational Services | 22-mei-23 |
| SIGMA | Medusa | www.sigm.ca | Canada | IT Services | 22-mei-23 |
| Utah-Yamas Controls | Royal | www.utahyamas.com | USA | IT Services | 22-mei-23 |
| wenntownsend | BlackCat (ALPHV) | www.wenntownsend.co.uk | UK | Accounting Services | 22-mei-23 |
| Mazars Group | BlackCat (ALPHV) | www.mazars.com | France | Accounting Services | 22-mei-23 |
| hadefpartners.com | LockBit | hadefpartners.com | United Arab Emirates | Legal Services | 22-mei-23 |
| vdbassocies.fr | LockBit | vdbassocies.fr | France | Accounting Services | 22-mei-23 |
| softland.cl | LockBit | softland.cl | Chile | IT Services | 22-mei-23 |
| rapidmoldsolutions.com | LockBit | rapidmoldsolutions.com | USA | Rubber, Plastics Products | 22-mei-23 |
| siren-japan.com | LockBit | siren-japan.com | Japan | Miscellaneous Services | 22-mei-23 |
| Comoli Ferrari | Snatch | comoliferrari.it | Italy | Wholesale Trade-non-durable Goods | 22-mei-23 |
| Canadian Nurses Association | Snatch | cna-aiic.ca | Canada | Membership Organizations | 22-mei-23 |
| FRESCA | Snatch | fresca.com | USA | Food Products | 22-mei-23 |
| MSSNY | Snatch | mssny.org | USA | Membership Organizations | 22-mei-23 |
| LiveAction | Snatch | liveaction.com | USA | Membership Organizations | 22-mei-23 |
| Asia Vital Components | Snatch | avc.co | Taiwan | Electronic, Electrical Equipment, Components | 22-mei-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| SOVAC | 8BASE | www.sovac.be | Belgium | Home Furniture, Furnishings, And Equipment Stores | 23-mei-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
29-mei-2023 om 08:38
Slimme phishing-techniek misleidt gebruikers met nep WinRAR-vensters in de browser via ZIP-domeinen
Een nieuwe phishing-kit genaamd "File Archivers in the Browser" manipuleert ZIP-domeinen door valse WinRAR- of Windows File Explorer-vensters in de browser te tonen. Het doel is om gebruikers te overtuigen om schadelijke bestanden te starten. Sinds Google de mogelijkheid heeft geboden om ZIP TLD-domeinen te registreren, zoals bleepingcomputer.zip, is er veel debat over of deze domeinen een potentiële bedreiging voor de cyberveiligheid vormen. Beveiligingsonderzoeker mr.d0x heeft een toolkit ontwikkeld die nep WinRAR-instanties en File Explorer Windows kan creëren in de browser op ZIP-domeinen. Dit leidt gebruikers tot de overtuiging dat ze een .zip-bestand hebben geopend. Dit kan worden misbruikt om gebruikersinformatie te stelen of malware te verspreiden. Bijvoorbeeld, een dubbele klik op een PDF in het nep WinRAR-venster kan de gebruiker omleiden naar een andere pagina die om inloggegevens vraagt. mr.d0x staat bekend om het ontwikkelen van slimme phishing-kits. Deze nieuwe techniek illustreert hoe ZIP-domeinen misbruikt kunnen worden voor het uitvoeren van geraffineerde phishing-aanvallen en het verspreiden van malware of het stelen van inloggegevens.
FBI waarschuwt voor crypto-gerelateerde mensenhandel en uitbuiting in Zuidoost-Azië
De Amerikaanse Federal Bureau of Investigation (FBI) heeft een waarschuwing uitgegeven voor crypto-gerelateerde mensenhandel. Volgens de veiligheidsdienst worden er nepadvertenties verspreid om te komen werken in de Zuidoost-Aziatische crypto-industrie, waarbij de slachtoffers vervolgens gedwongen worden om anderen op te lichten. De advertenties beloven flexibele banen met een goed salaris en een mooie werkomgeving. Echter, eenmaal aangekomen, worden de paspoorten ingenomen en worden de slachtoffers gedwongen tot oplichting via crypto-scams. De waarschuwing van de FBI is voornamelijk gericht op Amerikaanse burgers, maar volgens het rapport zijn de primaire slachtoffers van Aziatische afkomst. De nepvacatures worden vooral gedeeld op sociale media en vacaturesites, en beloven onder andere IT-services, callcenters, en technische ondersteuning in beautysalons. Om te voorkomen dat men ten prooi valt aan deze vorm van uitbuiting, raadt de FBI aan om grondig onderzoek te doen naar een bedrijf alvorens te solliciteren en om banen met ongeloofwaardig goede salarissen en faciliteiten te vermijden. Bij migratieplannen moeten kennissen en familie goed geïnformeerd worden en moeten contactgegevens van het bedrijf worden doorgespeeld.
Twitter-account van The Sandbox CEO gehackt; promotie van crypto scam
Het Twitter-account van Arthur Madrid, CEO van The Sandbox, een Minecraft-achtig metaverse-project, is gehackt. De hackers gebruikten het account om een valse 'airdrop' te promoten, waarbij gebruikers werden aangemoedigd om op een link te klikken die sterk op de officiële website leek. Madrid waarschuwde dat men nooit op links moet klikken die airdrops promoten en er verdacht uitzien. De frauduleuze website werd snel gerapporteerd en offline gehaald door het team van The Sandbox. Madrid heeft echter niet uitgelegd hoe zijn account was gehackt. Twitter-hacks zijn een veelvoorkomend probleem. In april 2023 werd het Twitter-account van de crypto-uitwisseling KuCoin ook gehackt. Andere prominente slachtoffers van dergelijke hacks zijn onder andere het Twitter-account van Latoken, Target, Google en zelfs de premier van India. Volgens het Federal Bureau of Investigation (FBI) verloren Amerikanen het afgelopen jaar 2,57 miljard dollar aan crypto fraude, wat aanzienlijk meer is dan in 2021.
My Twitter was hacked today. and now is back. Please never click on any link that promote Airdrop or URL and look SCAMMY - and not 100% using our proper and unique URL/domain name : https://t.co/X3rXN9z8z7
β Arthur Madrid (@arthurmadrid) May 26, 2023
"Hot Pixels" -aanval: Een nieuwe bedreiging voor gegevensbeveiliging ontdekt door onderzoekers
Een team van onderzoekers aan de Georgia Tech, de Universiteit van Michigan en de Ruhr University Bochum heeft een innovatieve aanvalsmethode ontwikkeld genaamd "Hot Pixels". Deze aanval kan pixelgegevens van getoonde browserinhoud verzamelen en de navigatiegeschiedenis afleiden. De techniek gebruikt gegevensafhankelijke berekeningstijden op moderne systemen op een chip (SoC's) en grafische verwerkingseenheden (GPU's) om stiekem informatie te extraheren uit bezochte webpagina's op Chrome en Safari. De onderzoekers ontdekten dat moderne processors worstelen met het in balans houden van energieverbruik en warmteafvoerbeperkingen, wat leidt tot herkenbare gedragspatronen die specifieke instructies en bewerkingen suggereren. Deze patronen zijn detecteerbaar via interne sensormetingen, die vaak toegankelijk zijn via software, en kunnen, afhankelijk van het apparaattype, onderscheiden wat er op het doelapparaat wordt bekeken met een nauwkeurigheid tot wel 94%. Het team experimenteerde met verschillende apparaten, zoals de Apple M1-chips en Qualcomm Snapdragon 8 Gen 1 op een OnePlus 10 Pro. De nauwkeurigheid van de aanval varieerde van 60% tot 94% en de tijd die nodig was om elke pixel te decoderen lag tussen 8,1 en 22,4 seconden. De resultaten van het onderzoek zijn gedeeld met Apple, Nvidia, AMD, Qualcomm, Intel en Google. Alle partijen hebben de problemen erkend en werken aan oplossingen. Meer details over de Hot Pixels-aanval zijn te vinden in het technische document dat de onderzoekers eerder deze week publiceerden.
Datalek bij VodafoneZiggo: Klantgegevens Gestolen en Gedeeld in Telegram-groep
VodafoneZiggo heeft tientallen klanten gewaarschuwd voor een datalek nadat een oud-medewerker van een callcenter hun gegevens in een Telegram-groep deelde. "Met onze leverancier van callcenterdiensten gaan we in gesprek over de mogelijkheden dit voortaan te voorkomen", aldus VodafoneZiggo tegenover het AD. Details over het datalek zijn niet gegeven, behalve dat er volgens de provider geen tekortkoming in de systemen was. De medewerker in kwestie is niet meer werkzaam bij het bedrijf dat de callcenterdiensten voor VodafoneZiggo verzorgt. Er is daarnaast aangifte bij de politie gedaan en melding bij de Autoriteit Persoonsgegevens gemaakt. Van in totaal zestig klanten zijn de gegevens gedeeld. Deze personen zijn inmiddels ingelicht.
Massale Compromittatie van Zyxel-Firewalls door Mirai-Botnet; Beveiligingsexperts Bezorgd
Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren. Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was. Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.
Receiving word that someone started to use the #PoC for #CVE-2023-28771 published by @rapid7 to mass-scan the internet.
β Gi7w0rm (@Gi7w0rm) May 22, 2023
It can be found here: https://t.co/qZbQlyW45m
Currently, #Shodan lists more than 73.000 exposed devices using the query by @1ZRR4H .
"A VPN does not need to⦠https://t.co/8i26PQh14p pic.twitter.com/yzPJbg5eEz
ABB Bevestigt Ransomware-aanval en Diefstal van Gegevens door Black Basta Ransomware Bende
Het Zwitserse technologische multinationale bedrijf ABB, dat ook als contractant voor de Amerikaanse overheid dient, heeft bevestigd dat een aantal van haar systemen zijn getroffen door een ransomware-aanval. Volgens het bedrijf heeft een ongeautoriseerde derde partij toegang gekregen tot specifieke ABB-systemen, een type ransomware geïnstalleerd dat zichzelf niet voortplant, en bepaalde gegevens geëxfiltreerd. Hoewel ABB de naam van de aanvallers niet heeft vrijgegeven, heeft BleepingComputer onafhankelijk bevestigd dat de aanval werd uitgevoerd door de Black Basta ransomware bende. Volgens meerdere medewerkers van ABB was de Windows Active Directory van het bedrijf het doelwit van de aanval, waardoor honderden Windows-systemen werden getroffen. Als reactie hierop heeft ABB onmiddellijk de VPN-verbindingen met haar klanten beëindigd om te voorkomen dat de dreigingsactoren toegang kregen tot andere netwerken. ABB heeft verzekerd dat tot op heden geen enkel klantsysteem direct is getroffen en dat geen enkele klant heeft gemeld dat dit is gebeurd. Het bedrijf is nog steeds bezig met het onderzoek naar de aanval en heeft extra beveiligingsmaatregelen geïmplementeerd om het netwerk tegen toekomstige aanvallen te beveiligen. De aanval vond plaats op 7 mei, wat leidde tot een verstoring van de activiteiten, vertragingen in projecten en een aanzienlijke impact op de fabrieken van ABB. Het Black Basta is een Ransomware-as-a-Service (RaaS) operatie die in april 2022 opdook en meteen vele bedrijfsslachtoffers in dubbele afpersingsaanvallen begon te richten. Sinds de lancering heeft Black Basta aanvallen uitgevoerd op onder meer de American Dental Association, Sobeys, Knauf, Yellow Pages Canada, UK outsourcing bedrijf Capita en, recentelijk, de Duitse defensiecontractant Rheinmetall.
Emby sluit gehackte gebruikersmediaservers af na cyberaanval
Emby heeft aangekondigd dat het op afstand een onbekend aantal door gebruikers gehoste mediaserverinstanties heeft afgesloten die onlangs zijn gehackt. De hackers exploiteerden een eerder bekend beveiligingslek en een onveilige configuratie van een beheerdersaccount. De aanval werd uitgevoerd door middel van een 'proxyheader'-kwetsbaarheid, die al bekend was sinds februari 2020 en onlangs is gepatcht. De aanvallers maakten gebruik van hun toegang tot de gehackte Emby-servers door een kwaadaardige plug-in te installeren, wat leidde tot het oogsten van inloggegevens van gebruikers. Emby besloot de getroffen servers af te sluiten als voorzorgsmaatregel om de kwaadaardige plug-in uit te schakelen en de escalatie van de situatie te verminderen. Emby heeft de beheerders geadviseerd om de bestanden van de kwaadaardige helper.dll of EmbuHelper.dll onmiddellijk te verwijderen uit de plug-ins map en de cache- en gegevenssubmappen voordat ze hun servers opnieuw starten. Het bedrijf is van plan om snel een beveiligingsupdate, Emby Server 4.7.12, uit te brengen om het probleem aan te pakken. Hoewel Emby niet heeft onthuld hoeveel servers werden getroffen door de aanval, heeft een Emby-ontwikkelaar een nieuwe community post toegevoegd getiteld "How we took down a BotNet of 1200 hacked Emby Servers within 60 seconds."
BlackByte Ransomware Valt City of Augusta Aan, Data Gelekt
De stad Augusta, gelegen in de Amerikaanse staat Georgia, heeft bevestigd dat de recente storing in hun IT-systeem het gevolg was van ongeoorloofde toegang tot hun netwerk. De aard van de cyberaanval is niet bekendgemaakt, maar de ransomware-groep BlackByte heeft Augusta op zijn lijst van slachtoffers gepubliceerd. Op zondag 21 mei begon de stad technische problemen te ervaren die sommige van haar computersystemen verstoorden. Deze storing staat los van de IT-storing die de voorgaande week plaatsvond. Er is een onderzoek gestart om de volledige impact van de cyberaanval te bepalen en de volledige functionaliteit van de systemen zo snel mogelijk te herstellen. Hoewel onduidelijk is of de bedreigingsactoren toegang hebben gekregen tot of gevoelige gegevens hebben gestolen, heeft BlackByte beweerd grote hoeveelheden gevoelige data te hebben gestolen van Augusta's computers en heeft als bewijs 10GB aan data gelekt. De gelekte documenten bevatten looninformatie, contactgegevens, persoonlijk identificeerbare informatie (PII), fysieke adressen, contracten, stadsbudgettoewijzingsgegevens en andere details. Er wordt echter benadrukt dat de oorsprong en authenticiteit van de gelekte gegevens niet zijn geverifieerd. De stad ontkent recente mediaberichten dat Augusta gegijzeld wordt voor een losgeld van $50 miljoen. Toch eist BlackByte een losgeld van $400.000 voor het verwijderen van de gestolen informatie en biedt ze ook aan om de data te verkopen aan geïnteresseerde derde partijen voor $300.000. Er hebben dit jaar al meerdere ransomware-aanvallen plaatsgevonden in grote steden in Noord-Amerika, wat in de meeste gevallen de levering van essentiële diensten aan burgers heeft verstoord.
Official Statement on behalf of The Office of The Mayor and The City of Augusta. pic.twitter.com/yhtN5bYHwW
β Mayor Garnett Johnson (@MayorJohnson85) May 25, 2023
Cyberaanval Beperkt Diensten van Regionaal Ziekenhuis in Namen (B)
Het Centre Hospitalier Régional Sambre et Meuse (CHRSM), een regionaal ziekenhuis in Namen, werd vrijdagochtend het doelwit van een cyberaanval. Als gevolg daarvan moest het ziekenhuis zijn diensten beperken, zo heeft het CHRSM zelf bekendgemaakt. Op de locatie Meuse in Namen is momenteel alleen de afdeling spoedeisende hulp geopend voor ernstige gevallen. Andere patiënten wordt verzocht het ziekenhuis niet te bezoeken, tenzij er sprake is van een bevalling. Volgens het management zijn de communicatiesystemen van het ziekenhuis getroffen door de cyberaanval, maar blijven patiënten die al zijn opgenomen veilig. Dit komt omdat de medische apparatuur naar behoren blijft functioneren. Daarnaast is het nog steeds mogelijk voor patiënten om zich aan te melden op de Sambre-locatie in Auvelais. Het zorgcentrum voor slachtoffers van seksueel geweld op de Meuse-site blijft ook operationeel ondanks de cyberaanval. Deze gebeurtenis toont eens te meer de kwetsbaarheid van vitale infrastructuur voor cyberaanvallen en de noodzaak van continue verbetering van cybersecurity in gezondheidsinstellingen. Het is van cruciaal belang om deze bedreigingen te anticiperen en te voorkomen om de continuïteit van de zorg voor patiënten te waarborgen.
Capita Getroffen Door Miljoenen Ransomware-aanval en Onbeveiligde Amazon S3-bucket: Privacywaakhond Stelt Onderzoek in
Twee beveiligingsincidenten bij de grote Britse dienstverlener Capita hebben in het Verenigd Koninkrijk tot een Nebu-achtige situatie geleid. Capita is één van de grootste outsourcers en dienstverleners van de Britse overheid en levert onder andere diensten aan de gezondheidszorg en de krijgsmacht. Eind maart werd het bedrijf slachtoffer van een ransomware-aanval, waarbij ook gegevens van klanten werden gestolen. Capita verwacht dat de aanval een kostenplaatje tot 23 miljoen euro met zich meebrengt. Daarnaast werd begin deze maand bekend dat Capita een S3-bucket van Amazons cloudopslagdienst, met drieduizend bestanden, sinds 2016 niet had beveiligd. Daardoor kon iedereen toegang tot de 655 gigabyte aan opgeslagen data krijgen. Naar aanleiding van de twee incidenten heeft de Britse privacytoezichthouder ICO een groot aantal meldingen van datalekken ontvangen en heeft het een onderzoek ingesteld. Daarnaast worden bedrijven die van Capita's diensten gebruikmaken opgeroepen om te kijken of zij ook geen datalek moeten melden.
Intellexa's Predator Spyware ontleed: Veelzijdige spionagefunctionaliteiten blootgelegd
Intellexa's Android-spyware 'Predator' en zijn lader 'Alien' zijn diepgaand geanalyseerd door beveiligingsonderzoekers van Cisco Talos en Citizen Lab, die hun gegevensdiefstalcapaciteiten en operationele details onthullen. De Predator-module van de spyware, die het voortouw neemt, komt op het apparaat aan als een ELF-bestand en creëert een Python-runtime-omgeving om diverse spionagefunctionaliteiten mogelijk te maken. De spyware controleert of het draait op een Samsung, Huawei, Oppo of Xiaomi. Indien dit het geval is, doorloopt het recursief de inhoud van mappen die gebruikersgegevens bevatten van email, berichten-, sociale media- en browser-apps. Het houdt ook de contactlijst van het slachtoffer bij en lijst privébestanden op in de mediamappen van de gebruiker, inclusief audio, afbeeldingen en video's. Predator maakt bovendien gebruik van 'certificate poisoning' om aangepaste certificaten te installeren bij de huidige door de gebruiker vertrouwde certificaatautoriteiten. Hierdoor kan Predator man-in-the-middle-aanvallen uitvoeren en TLS-versleutelde netwerkcommunicatie bespioneren. Hoewel er diepgaand onderzoek is gedaan naar de componenten van de spyware, ontbreken er nog details over twee modules, 'tcore' en 'kmem'. Deze worden geladen in de Python-runtime-omgeving van Predator. Er wordt vermoed dat tcore geolocatietracking, het maken van foto's met de camera of het simuleren van een apparaatuitschakeling uitvoert. De hypothese voor de kmem-module is dat deze willekeurige lees- en schrijftoegang biedt tot de kernel-adresruimte. Delen van Intellexa's Predator-spyware blijven echter onbekend.
Gecodeerde RPMSG-bijlagen gebruikt in Microsoft 365 phishing-aanvallen
Aanvallers zijn begonnen met het gebruik van gecodeerde RPMSG-bestanden, ook bekend als berichten met beperkte toestemming, in phishing-aanvallen op Microsoft 365-accounts. Deze bestanden worden gecreëerd met Microsoft's Rights Management Services en bieden een extra beschermingslaag voor gevoelige informatie door alleen toegang te geven aan geautoriseerde ontvangers. Deze methode van aanval begint met een e-mail die afkomstig is van een gecompromitteerd Microsoft 365-account. Ontvangers worden gevraagd om op de knop "Lees het bericht" te klikken, wat hen omleidt naar een Office 365-webpagina waarin ze worden gevraagd in te loggen op hun Microsoft-account. Na authenticatie met deze legitieme Microsoft-service, zien de ontvangers de phishing-e-mail van de aanvallers die hen naar een nep SharePoint-document leidt, gehost op Adobe's InDesign-service. De aanvallers zijn vooral gericht op gebruikers op de factureringsafdeling van bedrijven. De gegevens die de aanvallers proberen te verzamelen omvatten bezoekers-ID, verbindingstoken en hash, informatie over videokaartrendering, systeemtaal, apparaatgeheugen, hardware-eindringing, geïnstalleerde browserplug-ins, browservensterdetails en OS-architectuur. Het detecteren en tegengaan van dergelijke phishing-aanvallen kan uitdagend zijn vanwege hun lage volume en gerichte aard. Bovendien voegt het gebruik van vertrouwde cloudservices door de aanvallers, zoals Microsoft en Adobe, een extra laag van complexiteit en betrouwbaarheid toe. Om Microsoft 365-accounts te beschermen tegen dergelijke aanvallen, wordt geadviseerd om Multi-Factor Authentication (MFA) in te schakelen. Gebruikers wordt ook geadviseerd om voorzichtig te zijn bij het decoderen of ontgrendelen van onverwachte berichten van externe bronnen.
Braziliaanse hackers targetten Portugese banken in 'Operatie Magalenha'
Sinds 2021 voert een Braziliaanse hackgroep een kwaadaardige campagne uit, genaamd 'Operatie Magalenha', gericht op dertig Portugese overheids- en particuliere financiële instellingen. De hackers maken gebruik van diverse methoden om malware te verspreiden, waaronder phishing-e-mails die zich voordoen als berichten van Energias de Portugal (ETP) en de Portugese belasting- en douaneautoriteit (AT). Ook maken ze gebruik van social engineering en kwaadaardige websites die deze organisaties imiteren. De infectie begint met het uitvoeren van een verduisterd VB-script dat een malware-loader ophaalt en uitvoert. Deze laadt vervolgens twee varianten van de 'PeepingTitle'-achterdeur op het systeem van het slachtoffer. Een variant wordt gebruikt om het scherm van het slachtoffer vast te leggen en de tweede om vensters en gebruikersinteracties te monitoren. De malware controleert op vensters die overeenkomen met een lijst van vooraf bepaalde financiële instellingen en, wanneer gevonden, logt deze alle gebruikersinvoer (inclusief inloggegevens) en stuurt deze naar de C2-server van de aanvaller. Het Sentinel Labs-rapport onthulde deze campagne en belichtte de tools die door de bedreigingsactor worden gebruikt, de verschillende infectievectoren en hun methoden voor malwaredistributie. Ze merkten ook op dat de groep in 2022 overschakelde van het misbruik van DigitalOcean Spaces naar obscure cloud service providers zoals het in Rusland gevestigde Timeweb, waarschijnlijk vanwege operationele problemen veroorzaakt door de zorgvuldigheid van DigitalOcean.
HVC Treft Cyberaanval: Klanten Gewaarschuwd Voor Verdachte Berichten
De afvalinzamelaar en energieleverancier HVC is getroffen door een cyberaanval, waardoor klanten tijdelijk niet konden inloggen op hun persoonlijke portaal. Het bedrijf ontdekte een storing in het systeem waarin de gegevens van de energieklanten zijn opgeslagen tijdens het weekend van 6 mei. Deze storing bleek veroorzaakt te zijn door een cyberaanval op het datacentrum van een IT-leverancier waarmee HVC samenwerkt. Hoewel de toegang tot het klantsysteem tijdelijk was verstoord, verwacht HVC dat de "Mijn HVC Energie"-omgeving van klanten binnenkort weer toegankelijk zal zijn, dankzij een back-up van het klantsysteem. Er is geen losgeld geëist in verband met de aanval. De getroffen IT-leverancier is momenteel in overleg met externe experts, de cybercriminelen en de politie. In een bericht aan haar klanten heeft HVC haar excuses aangeboden voor de overlast. Het bedrijf benadrukt dat de aanval geen invloed heeft gehad op de levering van warmte, stroom en gas. Hoewel HVC vermoedt dat klantgegevens niet zijn gelekt, kunnen zij dit op dit moment nog niet volledig uitsluiten. Het bedrijf is er echter wel zeker van dat er geen wachtwoorden in handen van derden zijn gekomen. Klanten zijn gewaarschuwd om extra alert te zijn op verdachte e-mails, app-berichten en telefoontjes. Ook de klanten die niet digitaal bereikt konden worden, zullen per brief worden geïnformeerd. Het incident is gemeld bij de Autoriteit Persoonsgegevens.
Potentiële Aanvalssoftware op Elektriciteitsnetwerk Gevonden - Mogelijk Gebruikt Voor Oefeningen, Zegt Beveiligingsbedrijf Mandiant
Onderzoekers hebben malware ontdekt die mogelijk is ontwikkeld voor het uitvoeren van oefenaanvallen op het elektriciteitsnet Dat meldt securitybedrijf Mandiant. De malware, die CosmicEnergy wordt genoemd, is niet bij daadwerkelijke aanvallen of op het netwerk van energiebedrijven aangetroffen, maar werd anderhalf jaar geleden geüpload naar een niet nader genoemde online virusscantool. Mandiant, dat onderdeel van Google is, vermoedt dat de malware is ontwikkeld voor red teaming-oefeningen, waarbij aanvallen worden uitgevoerd om de veiligheid van systemen en netwerk te testen. CosmicEnergy heeft overeenkomsten met malware zoals Industroyer die daadwerkelijk tegen energiesystemen is ingezet. De overeenkomsten willen niet zeggen dat CosmicEnergy door dezelfde mensen ontwikkeld is die ook achter Industroyer zaten, aldus Mandiant. Wel is de malware ontwikkeld om voor stroomstoringen te zorgen, door commando's uit te voeren op IEC 60870-5-104 (IEC-104) systemen die binnen de energievoorziening worden gebruikt. Het ontdekte CosmicEnergy-exemplaar is niet in staat om zelf aan te vallen systemen te ontdekken. Een aanvaller zou dan ook eerst informatie over deze systemen moeten verzamelen, zoals ip-adressen en MSSQL-inloggegevens. In de code van CosmicEnergy werd een naam aangetroffen van een bedrijf dat een subsidie van de Russische overheid kreeg voor het uitvoeren van noodoefeningen met stroomuitval, laat Mandiant verder weten. Dat wil niet zeggen dat dit bedrijf achter de malware zit. Mandiant heeft naar eigen zeggen onvoldoende bewijs om de herkomst of het doel van de malware te bepalen. "We denken dat de malware mogelijk is ontwikkeld door Rostelecom-Solar of een gelieerde partij voor het nabootsen van echte aanvalsscenario's tegen onderdelen van het elektriciteitsnetwerk. Het is mogelijk dat de malware is gebruikt bij oefeningen zoals degene die Rostelecom-Solar in 2021 organiseerde", zegt Ken Proska van Mandiant.
Zeroday-aanval op Barracuda Email Security Gateway door gemanipuleerd .tar-bestand
Bedrijven en organisaties die gebruikmaken van de Barracuda Email Security Gateway zijn het doelwit geworden van een zeroday-aanval met een .tar-bestand, waarmee aanvallers toegang tot de gateway kregen, zo heeft de netwerkbeveiliger bekendgemaakt. Barracuda ontdekte op 19 mei een kwetsbaarheid in de Email Security Gateway waarvoor het op 20 en 21 mei beveiligingsupdates uitbracht. Al voor het uitkomen van de patches maakten aanvallers misbruik van het beveiligingslek, dat wordt aangeduid als CVE-2023-2868. De kwetsbaarheid zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd .tar-bestand naar de e-mail gateway systeemcommando's op het apparaat kan uitvoeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda heeft de patches automatisch onder klanten uitgerold en zegt getroffen klanten te hebben geïnformeerd. Details over de aanvallen, het aantal getroffen klanten en in welke sectoren en regio's die zich bevinden zijn niet gegeven.
Buhti Ransomware-Groep Benut Leaks en Biedt Nieuwe Dreigingen
Een nieuwe ransomware-operatie, genaamd Buhti, die nu wordt gevolgd onder de naam 'Blacktail', benut gelekte codes van de LockBit- en Babuk-ransomwarefamilies om respectievelijk Windows- en Linux-systemen aan te vallen. Ondanks het hergebruik van malware, dat vaak wordt gezien als een teken van minder geavanceerde actoren, valt Blacktail op omdat ze niet alleen andermans tools met minimale aanpassingen gebruiken. Ze hebben namelijk ook een eigen op maat gemaakt hulpmiddel voor gegevensexfiltratie en een onderscheidende strategie voor netwerkinfiltratie ontwikkeld. Blacktail maakt misbruik van recent bekendgemaakte kwetsbaarheden, zoals de PaperCut NG en MF RCE, eerder uitgebuit door de LockBit en Clop groepen. De aanvallers vertrouwen op CVE-2023-27350 om Cobalt Strike, Meterpreter, Sliver, AnyDesk en ConnectWise te installeren op doelcomputers. Deze tools worden gebruikt om inloggegevens te stelen, zijdelings te bewegen in gecompromitteerde netwerken, bestanden te stelen, aanvullende payloads te lanceren en meer. Het gebruik door Blacktail van snel geadopteerde exploits voor recent onthulde kwetsbaarheden maakt ze een potentiële dreiging, die vraagt om verhoogde waakzaamheid en proactieve verdedigingsstrategieën, zoals tijdig patchen. De Buhti-operatie illustreert hoe gemakkelijk het is voor aspirant-bedreigingsactoren om in actie te komen met behulp van effectieve malware-tools en zo aanzienlijke schade aan organisaties aan te richten. Bovendien kan de gelekte LockBit- en Babuk-broncode worden gebruikt door bestaande ransomwarebendes die onder een andere naam willen opereren, zonder enige connectie met eerdere encryptors.
New #Buhti #Ransomware written in #Golang targets the #Linux platform.
β Unit 42 (@Unit42_Intel) February 16, 2023
Go build-id: 8yZfeORaUS9t0VEvm/6XZH_UamxCKSLaG5ICV9/o5iSux6xbO8HBoNLibae/0NSWg12Yrs4I1IE91H9o
MD5: 6dc27523eb048bb7197bfdf39d6d15dd pic.twitter.com/l7snbH305Z
PowerExchange, nieuwe gevaarlijke malware, valt Microsoft Exchange Servers aan
Een nieuwe malware genaamd PowerExchange, gebaseerd op PowerShell, wordt gebruikt in aanvallen die worden toegeschreven aan de Iraanse staatshackers APT34. Deze malware is specifiek gericht op lokale Microsoft Exchange-servers. Na het infiltreren van de mailserver via een phishing-e-mail met een gearchiveerd kwaadaardig uitvoerbaar bestand, implementeerden de aanvallers een webshell genaamd ExchangeLeech, die gebruikersreferenties kan stelen. Opmerkelijk is dat deze malware communiceert met zijn commando-en-controleserver (C2) via e-mails die worden verzonden met de Exchange Web Services (EWS) API. Deze malware kan zo gestolen informatie verzenden en base64-gecodeerde opdrachten ontvangen via tekstbijlagen in e-mails met als onderwerp "Microsoft Edge bijwerken". Door de Exchange-server van het slachtoffer te gebruiken voor het C2-kanaal, kan de achterdeur zich vermommen als goedaardig verkeer. Dit stelt de aanvaller in staat bijna alle netwerkgebaseerde detecties en herstelmaatregelen binnen en buiten de infrastructuur van de doelorganisatie te omzeilen. De ExchangeLeech-webshell verzamelt de gebruikersnamen en wachtwoorden van degenen die inloggen op de gecompromitteerde Exchange-servers. Dit doet het door duidelijke tekst HTTP-verkeer te monitoren en de referenties van webformuliergegevens of HTTP-headers vast te leggen. De aanvallers kunnen ook de webshell instrueren om het legitimatielogboek via cookieparameters te verzenden. FortiGuard Labs heeft deze aanvallen gelinkt aan de Iraanse door de staat gesteunde hackgroep APT34, op basis van overeenkomsten tussen PowerExchange en de eerder gebruikte TriFive-malware. APT34 gebruikt ook phishing-e-mails als een initiële infectievector bij hun aanvallen.
Chinese cyberspionagegroep zet de Amerikaanse kritieke infrastructuur op het spel
Een Chinese cyberspionagegroep genaamd Volt Typhoon wordt door Microsoft in de gaten gehouden omdat ze sinds medio 2021 gericht zijn op cruciale infrastructuurorganisaties in de Verenigde Staten. Microsoft denkt dat deze campagne de capaciteit ontwikkelt om de kritieke communicatie-infrastructuur tussen de VS en Azië te verstoren bij toekomstige crises. De hackers hebben netwerken geschonden en "living-off-the-land" aanvallen gelanceerd, met gebruik van tools zoals PowerShell, Certutil, Netsh en Windows WMIC, en ook open-source tools zoals Fast Reverse Proxy, Mimikatz en Impacket-netwerkraamwerk. De groep heeft netwerkapparatuur van merken zoals ASUS, Cisco, D-Link en Netgear gecompromitteerd om detectie te omzeilen. Volgens Mandiant Intelligence-analist, John Hultquist, is deze inbreuk waarschijnlijk een gezamenlijke inspanning om China toegang te verlenen in geval van toekomstige conflicten tussen de twee landen. In reactie hierop heeft Microsoft actief contact opgenomen met alle getroffen klanten om hen te voorzien van de benodigde informatie om hun netwerken tegen toekomstige hackpogingen te beveiligen.
Grootschalige Hackeraanvallen Gericht op WordPress Cookie-Consent Plugin, 1,5 Miljoen Sites Bedreigd
Er is een grootschalige hackercampagne gaande die zich richt op een beveiligingslek in een WordPress-plugin genaamd 'Beautiful Cookie Consent Banner'. Deze plugin, die door meer dan 40.000 websites wordt gebruikt, heeft een niet-geverifieerde cross-site scripting (XSS) kwetsbaarheid die hackers kunnen misbruiken. Het beveiligingsbedrijf Defiant, dat de aanvallen signaleerde, meldt dat dit lek niet-geverifieerde aanvallers de mogelijkheid biedt om frauduleuze beheerdersaccounts aan te maken op WordPress-sites met niet-gepatchte pluginversies, tot versie 2.10.1. De huidige aanvallers lijken een verkeerd geconfigureerde exploit te gebruiken, wat betekent dat ze waarschijnlijk geen schadelijke lading kunnen inzetten, zelfs niet bij het aanvallen van een WordPress-site met een kwetsbare plug-inversie. Ondanks deze tekortkoming wordt beheerders en website-eigenaren die de Beautiful Cookie Consent Banner-plugin gebruiken sterk aangeraden deze te updaten naar de nieuwste versie. Dit om te voorkomen dat zelfs een mislukte aanval de opgeslagen pluginconfiguratie beschadigt. De bedreigingsacteur achter deze campagne heeft echter de mogelijkheid om dit probleem op elk moment te corrigeren en alle nog kwetsbare sites te infecteren. Hoewel de huidige golf van aanvallen mogelijk geen websites met een schadelijke lading kan injecteren, kunnen de gevolgen desastreus zijn als de aanvaller zijn exploit aanpast. Gezien de omvang van de aanval wordt het belang van het updaten van de plugin naar de nieuwste versie benadrukt.
Iraanse Hackers Gebruiken Nieuwe Ransomware, Moneybird, om Israëlische Bedrijven te Verstoren
De Iraanse hackersgroep, bekend als 'Agrius', zet een nieuwe ransomware genaamd 'Moneybird' in tegen Israëlische organisaties. Volgens Check Point Research is deze ransomware specifiek gericht op het verstoren van bedrijfsactiviteiten in plaats van computers te blokkeren. Moneybird lijkt namelijk alleen het gedeelde map "F:\User Shares" op bedrijfsnetwerken aan te vallen, een plek waar vaak bedrijfsdocumenten, databases en andere samenwerkingsbestanden worden opgeslagen. Dataherstel en bestandsontcijfering na een Moneybird-aanval zijn uitermate uitdagend. Dit komt doordat de privésleutels die worden gebruikt voor de versleuteling van elk bestand, worden gegenereerd op basis van data uit de systeem GUID, bestandsinhoud, bestandspad en willekeurige nummers. Na de versleuteling worden losgeldnota's achtergelaten op de getroffen systemen, waarin het slachtoffer wordt aangespoord om binnen 24 uur een link te volgen voor instructies over het herstellen van hun data. Anders dan eerdere aanvallen van Agrius, is Moneybird naar verluidt bedoeld als ransomware in plaats van een 'wiper' (een tool die gegevens wist), met als doel om inkomsten te genereren om de kwaadwillige operaties van de dreigingsactoren te financieren. Echter, de losgeldeis in het geval dat door Check Point Research werd gezien, was zo hoog dat er vanaf het begin werd aangenomen dat er waarschijnlijk geen betaling zou worden gedaan, wat de aanval in wezen destructief maakt. Moneybird mist command-line parsing mogelijkheden die slachtoffer-specifieke configuraties en meer implementatie veelzijdigheid mogelijk maken. De gedragsparameters van de ransomware zijn vooraf gedefinieerd en kunnen niet gemakkelijk worden aangepast voor elk doel of omstandigheid, waardoor de stam ongeschikt is voor massale campagnes. Echter, voor Agrius blijft Moneybird een effectief middel voor bedrijfsverstoring, en verdere ontwikkeling zou het een geduchte bedreiging kunnen maken voor een breder scala aan Israëlische organisaties.
Cyberaanval brengt de operaties van Suzuki Motorcycle India tot stilstand
De productieactiviteiten van Suzuki Motorcycle India zijn sinds 10 mei onderbroken als gevolg van een cyberaanval, wat naar schatting heeft geleid tot een productieverlies van meer dan 20.000 voertuigen. De onderneming heeft niet onthuld waar de aanval vandaan kwam of wanneer de productie hervat zal worden. Suzuki Motorcycle India heeft onlangs aan zijn stakeholders laten weten dat het zijn jaarlijkse leveranciersconferentie, die gepland stond voor de volgende week, heeft uitgesteld vanwege een "ongekende bedrijfsvereiste" als onderdeel van haar inspanningen om de huidige ongekende situatie aan te pakken. In een e-mailreactie aan ETAuto zei een woordvoerder van Suzuki Motorcycle India: “We zijn op de hoogte van het incident en hebben dit onmiddellijk gemeld aan het betrokken overheidsdepartement. De zaak is momenteel in onderzoek, en om veiligheidsredenen kunnen we op dit moment geen verdere details verstrekken.” Het is nog niet bekend wanneer de productie zal worden hervat en waar de aanval vandaan kwam. Met een productie van ongeveer een miljoen eenheden was Suzuki Motorcycle de vijfde grootste producent van tweewielers in het land in FY23.
FBI en NSA Brengen Bijgewerkte Gids uit om Ransomware-aanvallen te Betwisten
De Amerikaanse Federal Bureau of Investigation (FBI) en de National Security Agency (NSA) hebben een bijgewerkte handleiding gepubliceerd om ransomware-aanvallen te beteugelen. De handleiding, die voor het eerst in 2020 werd uitgebracht, is bijgewerkt naar aanleiding van de veranderingen in de tactieken en technieken van aanvallers. De handleiding adviseert verschillende preventieve maatregelen tegen ransomware. Deze omvatten het voorbereiden op een aanval door middel van het maken van back-ups, het opzetten en onderhouden van een cyber incident response plan, en het toepassen van een zero trust-architectuur. Specifieke aanbevelingen zijn het uitschakelen van Server Message Block (SMB) v1 en v2, het beperken van het gebruik van het Remote Desktop Protocol (RDP), het gebruik van wachtwoorden met minstens vijftien karakters, en het vermijden van dagelijkse taken met accounts met roottoegang. Het Nationaal Cyber Security Centrum (NCSC), de centrale kennisautoriteit en responsorganisatie voor cybersecurity in Nederland, werkt samen met overheidsorganisaties en vitale sectoren om de digitale weerbaarheid van Nederland te versterken. Door hun krachten te bundelen, streeft de organisatie naar een veiliger digitaal Nederland.
Cybercriminelen Verstoppen Nieuwe AhRat Android-Malware in Populaire App
ESET malware-onderzoekers hebben een nieuwe Remote Access Trojan (RAT), genaamd AhRat, ontdekt in de Google Play Store, verstopt in een Android schermopname-app met meer dan 50.000 installaties. De malware heeft een breed scala aan functies, waaronder het volgen van de locatie van geïnfecteerde apparaten, het stelen van oproeplogboeken, contacten en sms-berichten, het verzenden van sms'jes, het maken van foto's en het opnemen van achtergrondgeluid. Hoewel de malware-applicatie een breed scala aan mogelijkheden heeft, ontdekte ESET dat de geïnfecteerde schermopname-app slechts een deel van deze mogelijkheden gebruikte. De app werd voornamelijk gebruikt om omgevingsgeluidsopnames te maken en te exporteren, evenals het stelen van bestanden met specifieke extensies, wat duidt op mogelijke spionageactiviteiten. Eerder werd de open-source AhMyth, waar AhRat op gebaseerd is, gebruikt door Transparent Tribe, een cyber spionagegroep bekend om zijn uitgebreide gebruik van sociale manipulatie technieken en gericht op overheids- en militaire organisaties in Zuid-Azië. Echter, ESET kon de huidige monsters niet toeschrijven aan een specifieke groep en er waren geen aanwijzingen dat ze geproduceerd werden door een bekende geavanceerde aanhoudende dreigingsgroep (APT). Google heeft verklaard dat wanneer ze apps vinden die hun beleid overtreden, ze passende maatregelen nemen. Gebruikers worden ook beschermd door Google Play Protect, dat gebruikers kan waarschuwen voor geïdentificeerde kwaadaardige apps op Android-apparaten. Desondanks benadrukt deze vondst het voortdurende risico dat cybercriminelen vormen door het verbergen van malware in schijnbaar onschadelijke apps.
Cybercriminelen van Cuba-ransomware richten zich op The Philadelphia Inquirer
De Cuba-ransomwarebende heeft de verantwoordelijkheid opgeëist voor een recente cyberaanval op The Philadelphia Inquirer, de grootste krant in Philadelphia. De aanval, die plaatsvond in mei 2023, verstoordde de distributie van de krant en had invloed op sommige bedrijfsactiviteiten. Om de verspreiding van de aanval te voorkomen, moest het IT-team van de krant hun computersystemen offline halen. Ook werden forensische experts van Kroll ingeschakeld om de ongewone activiteit te onderzoeken. De cyberaanval is de grootste verstoring van de krant sinds de sneeuwstorm in 1996. De aanval komt op een gevoelig moment, net na de voorverkiezingen voor de 100ste burgemeestersverkiezingen in Philadelphia. De Cuba-ransomwarebende heeft op hun afpersingswebsite openbaar gemaakt dat ze financiële documenten, correspondentie met bankmedewerkers, accountbewegingen, balansen, belastingdocumenten, compensatie en broncode hebben gestolen van de krant. Het lijkt erop dat de krant heeft geweigerd losgeld te betalen, omdat alle gestolen bestanden nu gratis beschikbaar zijn op de afpersingswebsite van de bende. De FBI heeft gerapporteerd dat deze ransomwarebende, ondanks hun relatief lage activiteit, toch 60 miljoen dollar heeft verdiend uit 100 aanvallen tot augustus 2022. De bende is tevens in verband gebracht met aanvallen op Oekraïense overheidsinstanties, waarbij de 'ROMCOM RAT' malware werd verspreid via phishing e-mails.
Cybercriminelen leggen website Spaarne Gasthuis plat met DDoS-aanval, patiëntenzorg onaangetast
De website van het Spaarne Gasthuis in Haarlem en Hoofddorp was afgelopen dinsdag voor lange tijd onbereikbaar als gevolg van een DDoS-aanval, uitgevoerd door kwaadwillende cybercriminelen. De site was vanaf 12 uur 's middags tijdelijk uit de lucht, maar is inmiddels weer volledig operationeel. Bij een DDoS-aanval genereren kwaadwillenden een enorme hoeveelheid dataverkeer naar een bepaalde website, met als doel deze te overbelasten. Dit wordt gedaan door het simuleren van honderdduizenden gelijktijdige bezoeken aan de site, iets wat de hostingservers niet aankunnen waardoor de site onbereikbaar wordt. Ondanks de aanval benadrukte het ziekenhuis dat de patiëntenzorg op geen enkel moment in gevaar was. Het elektronisch patiëntendossier, het ziekenhuisinformatiesysteem en het patiëntenportaal stonden volledig los van de aangetaste website en bleven gewoon beschikbaar voor patiënten en medisch personeel. Echter, enkele administratieve processen ondervonden wel hinder van de aanval. Hieronder viel onder andere het aanmelden voor patiëntenbijeenkomsten en het versturen van sollicitaties. Het Spaarne Gasthuis informeerde het publiek over de aanval via hun social media kanalen, waarin ze de details van de DDoS-aanval en de impact daarvan uitlegden. Ze gaven ook aan dat maatregelen zijn genomen om herhaling in de toekomst te voorkomen.
Cybercriminelen vallen satelliet-tv-aanbieder Dish aan: 300.000 medewerkers getroffen door datalek
De Amerikaanse satelliet-tv-aanbieder Dish Network heeft 300.000 huidige en voormalige medewerkers gewaarschuwd voor een omvangrijk datalek, veroorzaakt door een ransomware-aanval. Gevoelige gegevens zoals namen en persoonlijke identificatienummers zijn bij de aanval gestolen. De cyberaanval, die eind februari plaatsvond, had grote gevolgen voor de interne communicatie, servers, callcenters en websites van het bedrijf. Klanten konden geen contact opnemen, inloggen op hun accounts of betalen, terwijl medewerkers niet in staat waren om te werken. Het heeft volgens Dish enkele maanden geduurd om vast te stellen welke gegevens precies door de cybercriminelen zijn buitgemaakt. In de nasleep van de ransomware-aanval zijn er zes collectieve claims tegen Dish ingediend. De claimanten beweren dat Dish misleidende informatie heeft verstrekt over zijn cybersecurity, waardoor de diensten van het bedrijf kwetsbaar werden voor uitval. Deze problemen hebben uiteindelijk geleid tot een daling van de beurskoers van het bedrijf. De eisers proberen nu via een collectieve claim de geleden schade bij Dish te verhalen. Ondanks de uitdagingen blijft Dish zich inzetten om de gevolgen van de aanval te beperken en de beveiliging van hun systemen te versterken. De zaak onderstreept het toenemende belang van robuuste cybersecuritymaatregelen voor bedrijven in alle sectoren.
Rheinmetall bevestigt aanval door Black Basta-ransomware; Impact onduidelijk
Het Duitse defensiebedrijf Rheinmetall heeft bevestigd dat het vorige maand is aangevallen door de Black Basta-ransomware. Volgens een woordvoerder van Rheinmetall vond de aanval plaats op 14 april en werd alleen de civiele tak van het bedrijf getroffen, dat gebruikmaakt van een afzonderlijke IT-infrastructuur. Het bedrijf heeft ook industriële klanten, voornamelijk in de auto-industrie. De criminelen achter de Black Basta-ransomware hebben vorige week op hun eigen website bevestigd dat zij verantwoordelijk waren voor de aanval. Ze publiceerden ook screenshots van documenten die naar verluidt bij het bedrijf zijn gestolen. Desondanks zijn er geen details bekendgemaakt over het aantal getroffen systemen, de impact van de aanval, de hoeveelheid gestolen data en hoe de aanval heeft kunnen plaatsvinden. Rheinmetall is nog bezig met het oplossen van de gevolgen van de aanval. Dit incident vestigt opnieuw de aandacht op de toenemende dreiging van ransomware-aanvallen en de noodzaak voor bedrijven om hun cybersecurity te verbeteren om zichzelf te beschermen.
Technology and defense industry systems giant Rheinmetall AG been breached by Black Basta.
β Dominic Alvieri (@AlvieriD) May 20, 2023
Rheinmetall has over 27,000 employees and is in 138 countries. @RheinmetallAG pic.twitter.com/hCXAVBWBCX
BlackBasta #ransomware group added Rheinmetall AG (https://t.co/pE7CeuCJo8), a German automotive and arms manufacturer, to their victim list. #Germany#BlackBasta #darkweb #databreach #cyberrisk pic.twitter.com/ongLqFFdpP
β FalconFeedsio (@FalconFeedsio) May 20, 2023
Inferno Drainer: Cryptophishing-dienst berooft duizenden van $5.9 miljoen
Een cryptophishing- en scamdienst, genaamd 'Inferno Drainer', heeft naar verluidt meer dan $5,9 miljoen aan cryptovaluta gestolen van 4.888 slachtoffers. De dienst, actief sinds februari 2023, stimuleert multichain-fraude en het aftappen van diverse tokens. Web3Anti-Scam-bedrijf 'Scam Sniffer' ontdekte de service toen een Inferno Drainer-lid een screenshot op Telegram promootte van een diefstal ter waarde van $103.000. Inferno Drainer heeft minstens 689 nepwebsites gecreëerd, gericht op 229 populaire merken zoals MetaMask en OpenSea. Van het totale gestolen bedrag, $5,9 miljoen, werd het merendeel ($4,3 miljoen) van het hoofdnetwerk gehaald, gevolgd door $790.000 van Arbitrum, $410.000 van Polygon, en $390.000 van BNB. Eén van de grootste slachtoffers verloor $400.000 aan activa. Deze persoon probeerde de aanvallers te overtuigen om 50% van het bedrag niet juridisch te vervolgen, maar de daders negeerden deze berichten. Scam Sniffer meldt dat de dreigingsactoren de verzamelde aanvalsvergoedingen verdelen over vijf cryptoadressen, die momenteel tussen de 250 en 400 ETH bevatten. Ter verdediging tegen dergelijke aanvallen adviseren experts cryptohouders om waakzaam te zijn bij alle transacties, binnenkomende berichten sceptisch te behandelen, de identiteit van de afzender te verifiëren, multifactor-authenticatie te gebruiken en hun software up-to-date te houden.
BlackCat Ransomware Maakt Gebruik van Kwaadaardige Windows-Kernelstuurprogramma's om Beveiliging Te Omzeilen
De ALPHV-ransomwaregroep, beter bekend als BlackCat, is waargenomen bij het gebruik van ondertekende kwaadaardige Windows-kernelstuurprogramma's om detectie door beveiligingssoftware tijdens aanvallen te omzeilen. Deze aanpak vergroot hun privileges op gecompromitteerde machines en stopt processen die gerelateerd zijn aan beveiligingsagenten. Het gebruikte kernelstuurprogramma is een geüpdatete versie van de malware genaamd 'POORTRY'. Deze malware werd eerder waargenomen door Microsoft, Mandiant, Sophos en SentinelOne bij ransomware-aanvallen. De kwaadaardige stuurprogramma's werden eerst ingezet door de UNC3944-hackgroep, ook bekend als 0ktapus en Scattered Spider, om detectie door beveiligingssoftware op een Windows-apparaat te ontwijken. Het gebruikte stuurprogramma in de BlackCat-aanvallen, 'ktgn.sys', stelt een IOCTL-interface bloot die de gebruikersmodusclient, 'tjr.exe', opdrachten laat uitvoeren met Windows-kernelrechten. Echter, Trend Micro meldt dat bepaalde opdrachten, specifiek de Process/Thread Notification callbacks, momenteel niet werken. Dit suggereert dat de driver nog in ontwikkeling of in een testfase is. Systeembeheerders worden geadviseerd om de indicatoren van compromis die door Trend Micro zijn gedeeld te gebruiken en de kwaadaardige stuurprogramma's die door de ransomware-acteurs worden gebruikt, toe te voegen aan de Windows-stuurprogrammablokkeerlijst. Bovendien wordt aanbevolen dat Windows-beheerders ervoor zorgen dat de 'Driver Signature Enforcement' is ingeschakeld. Dit blokkeert de installatie van stuurprogramma's die niet over een geldige digitale handtekening beschikken.
Cybercriminelen misbruiken iPhone-bugs: CISA roept overheidsinstanties op tot actie
De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft federale agentschappen opgeroepen om drie recent gepatchte 'zero-day' fouten, bekend als CVE-2023-32409, CVE-2023-28204 en CVE-2023-32373, aan te pakken. Deze fouten, aanwezig in de WebKit-browser-engine, hebben invloed op iPhones, Macs en iPads en zijn al uitgebuit in aanvallen. Aanvallers kunnen met deze bugs uit de browser-sandbox ontsnappen, toegang krijgen tot gevoelige informatie op het gecompromitteerde apparaat en willekeurige code uitvoeren.
De beveiligingsproblemen zijn aan het licht gebracht door Clément Lecigne van Google's Threat Analysis Group en Donncha Ó Cearbhaill van Amnesty International's Security Lab. Deze onderzoekers brengen vaak informatie naar buiten over door de staat gesponsorde campagnes die zero-day kwetsbaarheden misbruiken om surveillance-spyware te installeren op de apparaten van politici, journalisten, dissidenten en andere gerichte individuen. Volgens de bindende operationele richtlijn (BOD 22-01), uitgegeven in november 2022, moeten de Federal Civilian Executive Branch Agencies (FCEB) patches toepassen op hun systemen voor alle beveiligingsbugs vermeld in CISA's Bekende Geëxploiteerde Kwetsbaarheden Catalogus. Met de update van vandaag moeten FCEB-bureaus hun iOS-, iPadOS- en macOS-apparaten uiterlijk op 12 juni 2023 beveiligen. Hoewel voornamelijk gericht op de Amerikaanse federale agentschappen, wordt sterk aangeraden dat ook particuliere bedrijven deze kwetsbaarheden met hoge prioriteit aanpakken.
Digitale inbraak bij gemeente Asten: Cybercriminelen krijgen toegang tot tienduizenden gegevens
De gemeente Asten is eind vorig jaar slachtoffer geworden van een digitale inbraak, waarbij aanvankelijk gedacht werd aan factuurfraude. Later is gebleken dat ongeveer 23.000 persoonlijke gegevens en andere bestanden ongeoorloofd zijn benaderd. De daders achter de hack zijn nog onbekend. Het lot van de persoonsgegevens blijft onduidelijk, inclusief of ze openbaar zijn gemaakt of op het darkweb zijn beland. De gemeente heeft aangifte gedaan en het gegevenslek gemeld bij de Autoriteit Persoonsgegevens. Veiligheidsmaatregelen zijn aangescherpt om herhaling te voorkomen. Criminelen hebben mogelijk namen, adressen, financiële gegevens en kopieën van identiteitsdocumenten kunnen inzien. Een gespecialiseerd bureau onderzoekt welke gegevens precies zijn gecompromitteerd. De gemeente roept inwoners, bedrijven en medewerkers op om waakzaam te zijn. Het incident is recentelijk naar buiten gebracht, nadat vermoedens van factuurfraude waren gerezen.
Cybercriminelen Vallen Duitse Werkplaatsketen ATU Aan, Resulterend in Langere Wachttijden
ATU, één van de grootste werkplaatsketens van Duitsland en Oostenrijk, is onlangs het slachtoffer geworden van een cyberaanval, gepleegd door cybercriminelen. De aanval had een brede impact, met de website van het bedrijf dat onder andere getroffen werd. Het bedrijf is momenteel bezig met het analyseren van de aanval en werkt aan tegenmaatregelen. Hoewel de duur van de IT-systeemstoringen momenteel onbekend is, blijft ATU operationeel in heel Duitsland. Desondanks worden klanten verzocht om geduld te hebben vanwege verschillende beperkingen die hebben geleid tot langere wachttijden in de filialen. Klanten die al een afspraak hebben, worden aangeraden telefonisch contact op te nemen met het betreffende filiaal om een soepele voortgang te waarborgen. ATU, dat deel uitmaakt van de Franse Mobivia Groupe - de grootste exploitant van autowerkplaatsen in Europa, heeft verschillende servers die door de cyberaanval zijn getroffen. Hierdoor werken sommige systemen niet of slechts in beperkte mate, terwijl andere systemen preventief zijn uitgeschakeld. Het bedrijf heeft beloofd om updates te geven zodra er nieuwe informatie beschikbaar is over de aanval en de getroffen maatregelen.
Android-telefoons kwetsbaar voor brute-force-aanvallen met vingerafdrukken, waardoor cybercriminelen de controle kunnen overnemen
Onderzoekers hebben een nieuwe aanval genaamd 'BrutePrint' ontdekt, waarmee cybercriminelen vingerafdrukken op moderne Android-telefoons kunnen omzeilen en de controle over het apparaat kunnen overnemen. De aanval maakt gebruik van zero-day kwetsbaarheden en manipuleert beveiligingsmechanismen, waardoor ze oneindige pogingen kunnen doen zonder dat mislukte pogingen worden geregistreerd. Hoewel iOS-apparaten minder kwetsbaar zijn, roept dit de vraag op naar privacyrechten en ethiek bij het omzeilen van apparaatbeveiliging. Deze aanvalstechniek vormt een potentieel risico, aangezien cybercriminelen gestolen apparaten kunnen ontgrendelen en waardevolle privégegevens kunnen extraheren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language