Overzicht van slachtoffers cyberaanvallen week 24-2023

Gepubliceerd op 19 juni 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De afgelopen week heeft een golf van cyberaanvallen door heel Europa laten zien, waarbij zowel Nederlandse als Belgische bedrijven en overheidsorganen werden getroffen. De aanvallen zijn afkomstig van verschillende bronnen en er wordt een scala aan technieken gebruikt, waaronder ransomware, spyware en zero-day lekken.

Het Nederlandse bedrijf Koper Automatisering was een doelwit van Rhysida, terwijl Landal en Doesburg Comp respectievelijk slachtoffers werden van de cybercriminelen CLOP en NoEscape. Evenzo werden de Belgische bedrijven CHRN en Automatic Systems het slachtoffer van dezelfde NoEscape groep en de BlackCat cybercriminelen.

Het juridische en politieapparaat in België ondervond ook ernstige gevolgen, met rechters en politieagenten die getroffen werden door een spyware-aanval. Verder ontsnapte ook de wereldwijde energiegigant Shell niet aan de golf van cyberaanvallen, slachtoffer van een geavanceerde ransomware-aanval via een zero-day lek in MOVEit Transfer.

In een opmerkelijke wending sloot de Hengelose Scholengemeenschap OSG een deal met een ransomwaregroep na een aanval, waarbij de details nog steeds onbekend zijn. Ten slotte lijkt de Clop ransomware bende nu de slachtoffers van de MOVEit data-diefstal in het vizier te hebben.

Hieronder volgt een volledig overzicht van deze cyberaanvallen van de afgelopen week, met meer gedetailleerde informatie over elke afzonderlijke gebeurtenis.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
FHR Electric Medusa In progress In progress In progress 19-jun.-23
Futura Agronegócios 8BASE In progress In progress In progress 19-jun.-23
LOONGSON 8BASE In progress In progress In progress 19-jun.-23
PORTBLUE 8BASE In progress In progress In progress 19-jun.-23
PALIG.COM (PANAMERICAN) CL0P palig.com USA Insurance Carriers 19-jun.-23
NUANCE.COM CL0P nuance.com USA IT Services 19-jun.-23
AON.COM CL0P aon.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
CEGEDIM.COM CL0P cegedim.com France IT Services 19-jun.-23
STIWA.COM CL0P stiwa.com Austria Machinery, Computer Equipment 19-jun.-23
CNCBINTERNATIONAL.COM CL0P cncbinternational.com Hong Kong Depository Institutions 19-jun.-23
BOSTONGLOBE.COM CL0P bostonglobe.com USA Publishing, printing 19-jun.-23
ARBURG.COM CL0P arburg.com Germany Machinery, Computer Equipment 19-jun.-23
ICSYSTEM.COM CL0P icsystem.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
UMSYSTEM.EDU CL0P umsystem.edu USA Educational Services 19-jun.-23
COLUMBIABANK.COM (UMPQUABANK.COM) CL0P umpquabank.com USA Depository Institutions 19-jun.-23
PRAGROUP.NO CL0P pragroup.no Norway Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
MARTI.COM CL0P marti.com Switzerland Construction 19-jun.-23
EDER Rhysida www.eder.co.at Austria Wholesale Trade-durable Goods 18-jun.-23
Bangkok Industrial Gas Co., Ltd. (BIG) Mallox www.bigth.com Thailand Oil, Gas 18-jun.-23
ASHLEY HOMESTORES BlackCat (ALPHV) www.ashleyfurniture.com USA Furniture 18-jun.-23
DSG BlackCat (ALPHV) www.dsgjobs.com USA Home Furniture, Furnishings, And Equipment Stores 18-jun.-23
The Dufresne Group BlackCat (ALPHV) thedufresnegroup.ca Canada Home Furniture, Furnishings, And Equipment Stores 18-jun.-23
Tyconz Rhysida www.tyconz.com Qatar IT Services 17-jun.-23
The Reddit Files BlackCat (ALPHV) www.reddit.com USA IT Services 17-jun.-23
tdm.com.pe LockBit tdm.com.pe Peru Wholesale Trade-durable Goods 17-jun.-23
Ziegelwerk Eder Rhysida www.ziegel-eder.de Germany Wholesale Trade-durable Goods 17-jun.-23
Bauer Built BlackCat (ALPHV) www.bauerbuilt.com USA Repair Services 17-jun.-23
Target-8 RA GROUP Unknown Unknown Unknown 16-jun.-23
McKechnie Vehicle Components BlackCat (ALPHV) www.mvcusa.com USA Transportation Equipment 16-jun.-23
CK Technologies BlackCat (ALPHV) www.cktech.biz USA Rubber, Plastics Products 16-jun.-23
Creative Liquid Coatings BlackCat (ALPHV) www.creativeliquidcoatings.com USA Engineering Services 16-jun.-23
cangas.gal LockBit cangas.gal Spain General Government 16-jun.-23
Kisco Senior Living BlackByte www.kiscoseniorliving.com USA Personal Services 16-jun.-23
Multistack BlackByte www.multistack.com USA Machinery, Computer Equipment 16-jun.-23
EASTWESTBANK.COM CL0P eastwestbank.com USA Depository Institutions 16-jun.-23
POWERFI.ORG CL0P powerfi.org USA Depository Institutions 16-jun.-23
BARHARBOR.BANK CL0P barharbor.bank USA Depository Institutions 16-jun.-23
APLUSFCU.ORG CL0P aplusfcu.org USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
BRAULT.US CL0P brault.us USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
GENERICON.AT CL0P genericon.at Austria Chemical Producers 16-jun.-23
CARESERVICESLLC.COM CL0P careservicesllc.com USA Health Services 16-jun.-23
ENZO.COM CL0P enzo.com USA Research Services 16-jun.-23
316FIDUCIARIES.COM CL0P 316fiduciaries.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
DELAWARELIFE.COM CL0P delawarelife.com USA Insurance Carriers 16-jun.-23
NAVAXX.LU CL0P navaxx.lu Luxembourg Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
CUANSWERS.COM CL0P cuanswers.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
SYNLAB.FR CL0P synlab.fr Germany Research Services 16-jun.-23
HEALTHEQUITY.COM CL0P healthequity.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-jun.-23
Badan Operasi Bersama Pt Bumi Siak Pusako Pertamina Hulu BlackCat (ALPHV) In progress In progress In progress 15-jun.-23
Roberto Verino Difusion RansomHouse www.robertoverino.com Spain Apparel And Accessory Stores 15-jun.-23
Prada Gayoso RansomHouse www.pradagayoso.com Spain Accounting Services 15-jun.-23
Koper Automatisering Rhysida www.koper-it.nl Netherlands IT Services 15-jun.-23
Law Society of South Africa 8BASE www.lssa.org.za South Africa Legal Services 15-jun.-23
DANIEL C. HARRIS, O.D 8BASE harriseyecareofdavison.com USA Health Services 15-jun.-23
Hornbill 8BASE www.hornbill.com UK IT Services 15-jun.-23
Stone Fox Ventures 8BASE stonefoxventures.com USA Holding And Other Investment Offices 15-jun.-23
Ligas Gerais Industria E Comercio 8BASE www.ligasgerais.com.br Brazil Metal Industries 15-jun.-23
Studio Legale Ranchino 8BASE www.studioranchino.com Italy Legal Services 15-jun.-23
San Luis Obispo County Office of Education 8BASE www.slocoe.org USA Educational Services 15-jun.-23
Law Offices of Sergio J. Siderman 8BASE sidermanlaw.com USA Legal Services 15-jun.-23
Plott Corporation BlackCat (ALPHV) In progress In progress In progress 15-jun.-23
ASZ GmbH & Co Qilin asz-gmbh.de Germany Health Services 15-jun.-23
ste-usa.com LockBit ste-usa.com USA Machinery, Computer Equipment 15-jun.-23
flybtr.com LockBit flybtr.com USA Transportation By Air 15-jun.-23
Salem Community Schools Medusa www.salemschools.com USA Educational Services 15-jun.-23
Alpha Data BlackCat (ALPHV) In progress In progress In progress 15-jun.-23
uga.edu CL0P uga.edu USA Educational Services 15-jun.-23
leggett.com CL0P leggett.com USA Fabricated Metal Products 15-jun.-23
bankers-bank.com CL0P bankers-bank.com USA Depository Institutions 15-jun.-23
heidelberg.com CL0P heidelberg.com UK Publishing, printing 15-jun.-23
landal.com CL0P landal.com Netherlands Miscellaneous Services 15-jun.-23
uhcsr.com CL0P uhcsr.com USA Insurance Carriers 15-jun.-23
oekk.ch CL0P oekk.ch Switzerland Insurance Carriers 15-jun.-23
studentclearinghouse.org CL0P studentclearinghouse.org USA Educational Services 15-jun.-23
putnam.com CL0P putnam.com USA Holding And Other Investment Offices 15-jun.-23
datasite.com CL0P datasite.com USA IT Services 15-jun.-23
1stsource.com CL0P 1stsource.com USA Depository Institutions 15-jun.-23
NEBRASKALAND BlackByte www.nebraskaland.com USA Wholesale Trade-non-durable Goods 14-jun.-23
The Texwipe BlackByte www.texwipe.com USA Chemical Producers 14-jun.-23
YAMAHA CORPORATION OF AMERICA BlackByte yamaha.com Japan Miscellaneous Manufacturing Industries 14-jun.-23
Fiege Sp. z o.o. BlackByte fiege.com Poland Motor Freight Transportation 14-jun.-23
Air Comfort Rancoz aircomfort.ac USA Engineering Services 14-jun.-23
iECM Company Limited Qilin www.iecm.co.th Thailand Construction 14-jun.-23
Wison Engineering RansomHouse www.wison.com China Engineering Services 14-jun.-23
Jalux Americas, Inc. Medusa Locker www.am.jalux.com USA Wholesale Trade-durable Goods 14-jun.-23
arborsct.com Medusa Locker arborsct.com USA Personal Services 14-jun.-23
Marchant Schmidt Black Basta www.marchantschmidt.com USA Machinery, Computer Equipment 14-jun.-23
New Horizons Medical BlackCat (ALPHV) newhorizonsmedical.org UK Health Services 14-jun.-23
granules.com LockBit granules.com India Chemical Producers 14-jun.-23
Venture Logistics BLACK SUIT venturelogistics.com USA Motor Freight Transportation 14-jun.-23
primeretailservices.com LockBit primeretailservices.com USA Construction 14-jun.-23
www.chrn.be NoEscape www.chrn.be Belgium Health Services 14-jun.-23
prioritydispatch.net LockBit prioritydispatch.net USA IT Services 14-jun.-23
www.doesburg-comp.nl NoEscape www.doesburg-comp.nl Netherlands Electronic, Electrical Equipment, Components 14-jun.-23
www.castec.com NoEscape www.castec.com USA Textile Mill Products 14-jun.-23
Tetrosyl Group Snatch tetrosyl.com UK Transportation Equipment 13-jun.-23
James Briggs Limited Snatch jamesbriggs.co.uk UK Chemical Producers 13-jun.-23
Bunker Hill Community College Snatch bhcc.edu USA Educational Services 13-jun.-23
Hemenway Financial Services Snatch hemenwayfs.com USA Accounting Services 13-jun.-23
MCNA Dental Snatch mcna.net USA Insurance Carriers 13-jun.-23
TF AMD Microelectronics Snatch tf-amd.com.my Malaysia Electronic, Electrical Equipment, Components 13-jun.-23
Fullerton India Snatch fullertonindia.com India Non-depository Institutions 13-jun.-23
Bogleboo Vice Society www.bogleboo.se Sweden IT Services 13-jun.-23
Jeff Wyler Automotive Family, Inc. 8BASE wyler.com USA Automotive Dealers 13-jun.-23
K********* ******* *** BianLian Unknown Canada Legal Services 13-jun.-23
*i**r** *e***l**** BianLian Unknown Spain IT Services 13-jun.-23
rammutual.com LockBit rammutual.com USA Insurance Carriers 13-jun.-23
eriematerials.com LockBit eriematerials.com USA Wholesale Trade-durable Goods 13-jun.-23
gslelectric.com LockBit gslelectric.com USA Engineering Services 13-jun.-23
Sonangol BlackCat (ALPHV) sonangol.co.ao Algeria Oil, Gas 13-jun.-23
t-s-c.eu LockBit t-s-c.eu Germany Legal Services 13-jun.-23
Automatic Systems BlackCat (ALPHV) www.automatic-systems.com Belgium Machinery, Computer Equipment 12-jun.-23
pneusbeaucerons.com LockBit pneusbeaucerons.com Canada Miscellaneous Retail 12-jun.-23
ai-thermal.com LockBit ai-thermal.com USA Transportation Equipment 12-jun.-23
Global Remote Services Snatch www.globalremoteservices.com Romania Business Services 12-jun.-23
Hill AeroSystems Inc. Black Basta www.hillaerosystems.com USA Aerospace 12-jun.-23
Regal West Corporation Black Basta www.regallogistics.com USA Transportation Services 12-jun.-23
Paris High School Rhysida www.pchs.k12.il.us USA Educational Services 12-jun.-23
MARJAM Supply company BLACK SUIT marjam.com USA Wholesale Trade-durable Goods 12-jun.-23
Northeastern State University Rhysida www.nsuok.edu USA Educational Services 12-jun.-23
Transprensa 8BASE transprensa.com Colombia Transportation Services 12-jun.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Koper Automatisering Rhysida www.koper-it.nl Netherlands IT Services 15-jun.-23
landal.com CL0P landal.com Netherlands Miscellaneous Services 15-jun.-23
www.chrn.be NoEscape www.chrn.be Belgium Health Services 14-jun.-23
www.doesburg-comp.nl NoEscape www.doesburg-comp.nl Netherlands Electronic, Electrical Equipment, Components 14-jun.-23
Automatic Systems BlackCat (ALPHV) www.automatic-systems.com Belgium Machinery, Computer Equipment 12-jun.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


"De Cybercrimeinfo AI Chatbot - Elke dag getraind, elke dag beter in de strijd tegen digitale criminaliteit."

In 92 talen!

In samenwerking met Digiweerbaar.nl


19-juni-2023 om 12:59


Akense kranten getroffen door cyberaanval

De Aachener Zeitung en Nachrichten, twee kranten uit Aken, zijn het doelwit geworden van een cyberaanval. Op vrijdagavond werd hun website getroffen en beperkt tot een liveblog. De app van de kranten is ook getroffen door de aanval. De exacte omvang en impact van de cyberaanval zijn nog niet bekend. Verschillende nieuwsportalen in Noordrijn-Westfalen zijn nog steeds niet bereikbaar. Volgens eigen verklaringen zijn de websites van de Rheinische Post Mediengruppe gehackt. Sinds vrijdag zijn de online portalen van de Rheinische Post Mediengruppe sterk beperkt als gevolg van een cyberaanval. Het mediahuis in Düsseldorf verklaarde op zaterdag tegenover de WDR dat de aanval op vrijdagavond leidde tot een technische storing bij een interne IT-dienstverlener. De getroffen websites zijn die van de Rheinische Post, de General-Anzeiger Bonn, de Aachener Zeitung, de Saarbrücker Zeitung en de Trierischer Volksfreund. Het bedrijf heeft de websites zelf uitgeschakeld. Er zijn geen schadegevallen gemeld en er zijn geen gegevens van klanten en gebruikers gestolen. De websites waren op zaterdagmiddag beperkt toegankelijk en er werden alleen persberichten weergegeven. Het is nog niet bekend wie verantwoordelijk is voor de cyberaanvallen op de Rheinische Post Mediengruppe. De afgelopen jaren zijn mediabedrijven in Duitsland vaker het doelwit geweest van cyberaanvallen, waaronder de Heilbronner Stimme, een IT-dienstverlener van het Duitse persbureau (dpa), de Madsack Mediengruppe en de Funke Mediengruppe.


Beloning van 10 miljoen dollar voor degene die criminelen achter Clop-ransomware vindt

De Amerikaanse autoriteiten hebben een beloning tot 10 miljoen dollar uitgeloofd voor informatie over de criminelen achter de Clop-ransomware. Het Amerikaanse ministerie van Buitenlandse Zaken deed de oproep via Twitter. De Clop-groep is verantwoordelijk voor een wereldwijde aanval via een zerodaylek in MOVEit Transfer, waardoor het mogelijk was om bij tal van organisaties gevoelige gegevens te stelen. De criminelen zeggen de gegevens openbaar te maken als er geen losgeld wordt betaald. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Verschillende Amerikaanse overheidsinstantie zijn slachtoffer van de aanvallen geworden, waarbij identiteitsgegevens van miljoenen Amerikanen zijn buitgemaakt. Er wordt met name gezocht naar informatie waaruit blijkt dat de Clop-ransomwaregroep in opdracht van een buitenlandse mogendheid aanvallen op vitale Amerikaanse infrastructuur heeft uitgevoerd. Wie over de gezochte informatie beschikt kan via WhatsApp, Signal, Telegram en het Tor-netwerk contact met het ministerie opnemen.


Identiteitsgegevens van miljoenen Amerikanen gestolen bij MOVEit-ransomware-aanval

Bij de wereldwijde ransomware-aanval waarbij gebruik is gemaakt van een zerodaylek in MOVEit Transfer zijn de identiteitsgegevens van miljoenen Amerikanen gestolen. Het ministerie van Transport van de Amerikaanse staat Oregon meldt dat de persoonlijke gegevens van 3,5 miljoen inwoners van de staat zijn buitgemaakt. Het gaat daarbij om informatie die op identiteitsbewijzen of rijbewijzen staat. De Amerikaanse staat Louisiana heeft een soortgelijke waarschuwing gegeven. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update. Het ministerie van Transport van Oregon maakt sinds 2015 gebruik van MOVEit Transfer voor het uitwisselen van bestanden. Na de waarschuwing voor de aanval besloot het ministerie het systeem te beveiligen. Op 12 juni werd vastgesteld dat de gegevens van 3,5 miljoen inwoners van de staat zijn gestolen. "Een deel daarvan is gevoelige persoonlijke informatie", aldus een verklaring. De Amerikaanse staat Louisiana meldt dat het ook door de aanval is getroffen. Het gaat dan specifiek om het Office of Motor Vehicles (OMV). Alle inwoners van de staat die een door de staat uitgegeven rijbewijs, identiteitsbewijs of autoregistratie hebben, moet ervan uitgaan dat hun gegevens zijn gestolen. Het gaat onder andere om naam, adresgegevens, social-securitynummer, geboortedatum, lengte, kleur van ogen, rijbewijsnummer, voertuigregistratiegegevens en informatie in het geval van een handicap. De lijst met getroffen organisaties wordt steeds langer. Gisteren werd bekend dat ook Shell één van de getroffen organisaties is. Eerder maakten de BBC, de Britse apothekersketen Boots, British Airways, de Britse toezichthouder Ofcom en Transport for London melding van een datalek als gevolg van de aanval. Landal GreenParks waarschuwde 12.000 gasten voor een mogelijk datalek. Daarnaast zijn ook Amerikaanse federale overheidsinstanties, de Amerikaanse staten Missouri en llinois, het American Board of Internal Medicine en Extreme Networks slachtoffer geworden. De criminelen achter de Clop-ransomware zijn inmiddels op hun eigen website begonnen met het noemen van de namen van slachtoffers.


Cybercriminelen maken gebruik van vergeten Telerik-lek om Amerikaanse overheidsinstantie te infiltreren

Opnieuw hebben aanvallers toegang gekregen tot systemen van een Amerikaanse overheidsinstantie door gebruik te maken van een zes jaar oude kwetsbaarheid in Telerik UI, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Progress Telerik UI maakt het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in de software, aangeduid als CVE-2017-9248, maakt het mogelijk voor aanvallers om de encryptiesleutel via een bruteforce-aanval te achterhalen, waardoor het uploaden en downloaden van willekeurige bestanden, cross-site scripting en andere aanvallen mogelijk zijn. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Softwareontwikkelaar Progress kwam zes jaar geleden met een beveiligingsupdate. Proof-of-concept exploitcode om van de kwetsbaarheid misbruik te maken is sinds januari 2018 beschikbaar. Afgelopen maart liet het CISA weten dat een andere Amerikaanse overheidsinstantie via een ander Telerik UI-lek (CVE-2019-18935) besmet was geraakt. De instantie maakte gebruik van een vulnerability scanner voor het vinden van kwetsbare software. De scanner detecteerde het beveiligingslek echter niet, omdat Telerik UI in een locatie was geïnstalleerd die het standaard niet controleert. In april van dit jaar hebben aanvallers gebruikgemaakt van CVE-2017-9248 om de IIS-server van de niet nader genoemde overheidsinstantie te compromitteren door een webshell te uploaden. Daarbij spreekt het CISA over "APT actors" maar geeft geen verdere details. Met advanced persistent threats (APT's) wordt vaak verwezen naar groepen die spionageoperaties uitvoeren. Of de aanvallers in dit geval ook data hebben gestolen kon het CISA niet vaststellen. "De aanwezigheid van webshells en file uploads duiden erop dat de APT actors toegang en de mogelijkheid hadden om verdere malafide activiteiten uit te voeren", aldus het CISA. Ook is onbekend of de getroffen overheidsinstantie de eigen systemen op kwetsbaarheden controleerde.


Cyberaanval op Antwerpen kost bijna 100 miljoen euro

De cyberaanval op Antwerpen heeft geleid tot een kostenplaatje van bijna 100 miljoen euro. Dit bedrag omvat zowel het herstel van de schade als nieuwe investeringen in beveiliging, evenals gederfde inkomsten. In december vorig jaar hebben hackers een halve terabyte aan data gestolen, waardoor verschillende stadsdiensten werden ontregeld. Het herstel van de getroffen applicaties heeft de stad 11 miljoen euro gekost. Daarnaast is er een investering van 84 miljoen euro nodig voor cyberveiligheid, inclusief extra personeelskosten voor 29 nieuwe voltijdse krachten. De impact op de inkomsten, zoals gratis toegang tot stedelijke zwembaden, verlies van inkomsten in culturele centra en niet-geïnde parkeerboetes, brengt de totale kosten richting de 100 miljoen euro. De stad Antwerpen zal het cybersecurityprogramma in één keer implementeren in plaats van gefaseerd over meerdere jaren. Vanwege onderinvestering in de afgelopen jaren worden nu in allerijl middelen vrijgemaakt. De stad heeft echter nog geen sluitend antwoord op wat er met de gestolen persoonsgegevens is gebeurd.


Belgische rechters en politieagenten getroffen door spyware

Op telefoons van verschillende Belgische rechters en politieagenten is spyware aangetroffen, zo heeft de Belgische minister van Justitie Vincent Van Quickenborne bevestigd na berichtgeving door de Franstalige omroep RTBF. Om welke spyware het gaat, wie erachter de aanvallen zit en waarom, is nog niet duidelijk. De getroffen rechters en politieagenten kregen een melding op hun toestel. In het verleden heeft Apple meerdere keren slachtoffers van de Pegasus-spyware een waarschuwing gestuurd. Of het in dit geval om besmette iPhones gaat is onbekend. "Het parket onderzoekt nu of het om een poging of een geslaagde poging gaat en wie er achter kan zitten. We moeten niet naïef zijn, er worden gevoelige onderzoeken uitgevoerd in ons land, door excellente magistraten die actie uúrven ondernemen", zegt Van Quickenborne tegenover VRT NWS. RTBF stelt dat onder andere de telefoon van onderzoeksrechter Michel Claise besmet is geraakt. Claise houdt zich bezig met financiële fraude en doet momenteel onderzoek naar Qatargate, het corruptieschandaal in het Europese Parlement waarbij Qatar en Marokko geprobeerd zouden hebben om de economische en politieke besluiten van het Europees Parlement te beïnvloeden. De Franstalige omroep suggereert dan ook dat de aanvallen daar mogelijk iets mee te maken hebben. Van Quickenborne merkt op dat er een link kan zijn met enkele gevoelige onderzoeken waarbij rechters betrokken zijn. Daarmee doelt hij volgens Het Nieuwsblad mogelijk impliciet op Qatargate. “We moeten hier niet naïef in zijn. Maar zulke praktijken wil ik absoluut veroordelen. Ze komen van vreemde mogendheden en bedreigen de veiligheid van ons land”, aldus de minister. Hij stelt dat de tijd van naïviteit voorbij is. "Brussel wordt al langer de spionagestad van Europa genoemd. We nemen deze bedreigingen zeer serieus. Daarom zijn we ook volop aan het investeren in een nieuw beveiligd communicatienetwerk dat ervoor moet zorgen dat mensen in gevoelige posities veilig informatie kunnen uitwisselen."


Nieuwe Android-malware GravityRAT steelt WhatsApp-back-ups

Sinds augustus 2022 is er een nieuwe Android-malwarecampagne actief waarbij de nieuwste versie van GravityRAT wordt verspreid. Deze campagne infecteert mobiele apparaten met een trojaanse chat-app genaamd 'BingeChat', die gegevens probeert te stelen van de slachtoffers. ESET-onderzoeker Lukas Stefanko heeft ontdekt dat een opvallende nieuwe toevoeging in de nieuwste versie van GravityRAT het stelen van WhatsApp-back-upbestanden is. WhatsApp-back-ups bevatten gevoelige gegevens zoals berichtgeschiedenis, mediabestanden en andere gegevens in niet-versleutelde vorm. GravityRAT is sinds minstens 2015 actief, maar richtte zich voor het eerst op Android in 2020. De malware wordt verspreid onder de naam 'BingeChat' en maakt gebruik van een trojaanse versie van OMEMO IM, een legitieme open-source instant messenger-app voor Android. GravityRAT vraagt bij installatie op het doelapparaat risicovolle toestemmingen, zoals toegang tot contacten, locatie, telefoon, SMS, opslag, oproeplogboeken, camera en microfoon. Naast het stelen van WhatsApp-back-ups kan GravityRAT ook media- en documentbestanden van verschillende types exfiltreren. De campagnes van GravityRAT zijn meestal gericht op India, maar alle Android-gebruikers moeten voorzichtig zijn bij het downloaden van APK's buiten Google Play en bij het accepteren van risicovolle toestemmingen tijdens de installatie van apps.


Shell slachtoffer van ransomware-aanval via zerodaylek in MOVEit Transfer

Olie- en gasgigant Shell is één van de slachtoffers van een wereldwijde ransomware-aanval waarbij gebruik is gemaakt van een zerodaylek in MOVEit Transfer. De criminelen achter de Clop-ransomware zijn begonnen om via hun eigen website namen van slachtoffers bekend te maken, waarop ook de naam van Shell is verschenen. "We zijn bekend met een cybersecurity-incident met een third-party tool van Progress genaamd MOVEit Transfer, dat door een klein aantal medewerkers en klanten van Shell wordt gebruikt", aldus een woordvoerder tegenover ComputerWeekly. "Er zijn geen aanwijzingen dat de kernsystemen van Shell zijn geraakt. Onze it-teams zijn bezig met een onderzoek en we communiceren niet met de hackers." MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update. De Clop-groep heeft een eigen website waar het namen van getroffen organisaties plaatst. Op deze manier proberen de criminelen druk uit te oefenen zodat de betreffende organisaties het gevraagde losgeld betalen. Vaak krijgen die hier een aantal dagen de tijd voor. Daarna dreigt de Clop-groep de gestolen data openbaar te maken. Eerder maakten BBC, de Britse apothekersketen Boots, British Airways, de Britse toezichthouder Ofcom en Transport for London maakten melding van een datalek als gevolg van de aanval. Landal GreenParks waarschuwde 12.000 gasten voor een mogelijk datalek.


Clop-ransomware-bende perst slachtoffers van MOVEit-datadiefstal af

De Clop-ransomwarebende is begonnen met het afpersen van bedrijven die getroffen zijn door de MOVEit-diefstalaanvallen. Ze vermelden de namen van de bedrijven op een dataleksite als een tactiek voordat ze de gestolen informatie openbaar maken. De aanvallen vonden plaats nadat de bedreigingsactoren op 27 mei een zero-day kwetsbaarheid in het beveiligde bestandsoverdrachtsplatform MOVEit Transfer misbruikten om bestanden te stelen die op de server waren opgeslagen. De Clop-bende heeft beweerd dat ze "honderden bedrijven" hebben getroffen en heeft gedreigd hun namen op 14 juni op een dataleklocatie te publiceren als er geen onderhandelingen plaatsvinden. Als er geen losgeld wordt betaald, dreigen de aanvallers op 21 juni de gestolen gegevens te lekken. Verschillende bedrijven hebben bevestigd dat ze zijn getroffen, waaronder Shell, UnitedHealthcare Student Resources, de University of Georgia, Heidelberger Druck en Landal Greenparks. Andere organisaties hebben in het verleden ook inbreuken op MOVEit Transfer gemeld. Het is belangrijk op te merken dat er geen garantie is dat de gegevens daadwerkelijk worden verwijderd, zelfs als de daders beweren dit te doen.

Openbaar bekendgemaakte datalekken

Andere organisaties die reeds inbreuken hebben gemeld op MOVEit Transfer zijn onder andere Zellis (BBC, Boots en Aer Lingus, Ierland's HSE via Zellis), de Universiteit van Rochester, de regering van Nova Scotia, de Amerikaanse staat Missouri, de Amerikaanse staat Illinois, BORN Ontario, Ofcam, en de American Board of Internal Medicine. Bij vergelijkbare aanvallen in het verleden, waarbij zero-day kwetsbaarheden werden benut in Accellion FTA, Everywhere MFT en SolarWinds Serv-U voor bestandsoverdracht, eisten de dreigingsactoren $ 10 miljoen aan losgeld om gegevenslekken te voorkomen. Er is vernomen dat de afpersingsoperatie niet erg succesvol was bij de afpersingspogingen van GoAnywhere, aangezien bedrijven de voorkeur gaven aan het openbaar bekendmaken van datalekken in plaats van losgeld te betalen. Vandaag meldde CNN dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) samenwerkte met verschillende Amerikaanse federale agentschappen en ook gecompromitteerd was met behulp van de MOVEit zero-day kwetsbaarheid. Twee entiteiten van het Amerikaanse Ministerie van Energie (DOE) waren ook getroffen, volgens het Federaal nieuwsnetwerk. De actoren van de Clop-dreiging vertelden echter dat ze automatisch alle gestolen gegevens van de overheid hadden verwijderd. "Ik wil je meteen laten weten dat het leger, kinderziekenhuizen, GOV, enzovoort niet zijn aangevallen en dat hun gegevens zijn gewist", beweerde de ransomware-operatie. Helaas is er, zodra gegevens zijn gestolen, geen manier om te bevestigen of de gegevens daadwerkelijk worden verwijderd zoals beloofd, en moet ervan worden uitgegaan dat ze risico lopen.


Wereldwijde organisaties aangevallen via zeroday in Barracuda ESG

Wereldwijd zijn organisaties aangevallen via het zerodaylek in de Barracuda Email Security Gateway (ESG), waardoor aanvallers toegang tot het apparaat kregen en e-mails konden stelen, zo stelt securitybedrijf Mandiant. Eerder liet Barracuda al weten dat naar schatting zo'n vijf procent van alle gateways gecompromitteerd is. De netwerkbeveiliger wil echter geen concreet aantal noemen. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien. Dat zou onderzoekers er moeten van weerhouden om een onderzoek in te stellen, aldus Mandiant. Het securitybedrijf zegt dat deze tactiek vaker bij zeroday-aanvallen in het verleden is toegepast. Wereldwijd zijn organisaties via de aanval getroffen. Het gaat zowel om publieke als private instellingen, waaronder buitenlandse handelskantoren en academische onderzoeksorganisaties in Taiwan en Hong Kong. Een derde van de getroffen organisaties waren overheidsinstellingen. Verder onderzoek wijst uit dat de aanvallers daardoor toegang hebben gekregen tot e-mails van bekende academici in Taiwan en Hong Kong alsmede Aziatische en Europese overheidsfunctionarissen in Zuidoost-Azië. Via de gecompromitteerde gateways werd actief gezocht naar e-mails om te stelen, die vervolgens als tar.gz-bestand naar de aanvallers werden teruggestuurd. In een klein aantal gevallen besloten de onderzoekers het netwerk van de getroffen organisatie verder te verkennen, merkt Mandiant op. Volgens het securitybedrijf zijn de aanvallen het werk van een aan de Chinese overheid gelieerde spionagegroep. Naar aanleiding van de aanvallen heeft Barracuda klanten opgeroepen om gecompromitteerde gateways te vervangen.


Russische hackers gebruiken PowerShell USB-malware om backdoors te installeren

De Russische staatshackersgroep Gamaredon, ook bekend als Armageddon of Shuckworm, blijft kritieke organisaties in de Oekraïense militaire en veiligheidsinlichtingensectoren targeten. Ze maken gebruik van geüpdatete tools en nieuwe infectietactieken. Symantec's threat research team meldt dat de hackers onlangs USB-malware zijn gaan gebruiken om zich te verspreiden binnen geïnfecteerde netwerken. Een opvallend element in Gamaredon's nieuwste campagne is het richten op HR-afdelingen, wat mogelijk wijst op spear-phishingaanvallen binnen geïnfecteerde organisaties. De hackers vertrouwen nog steeds op phishing-e-mails als initiële aanvalsmethode en richten zich voornamelijk op overheids-, militaire, beveiligings- en onderzoeksorganisaties, met name op hun Human Resources-afdelingen. Het artikel beschrijft ook hoe de PowerShell-scripts van Gamaredon zich verspreiden via USB-schijven en de hackers in staat stellen om zich te verplaatsen binnen geïnfecteerde netwerken. Symantec waarschuwt dat de USB-drives mogelijk worden gebruikt door de aanvallers om air-gapped machines binnen doelorganisaties te bereiken. Gamaredon zal naar verwachting zijn focus op Oekraïne behouden en hun tools en aanvalstactieken blijven verfijnen om gegevens te bemachtigen die nuttig kunnen zijn voor Russische militaire operaties.


Amerikaanse autoriteiten bevestigen actief misbruik van kritieke kwetsbaarheid in Fortinet VPN-servers

Een kritieke kwetsbaarheid in de vpn-oplossing van Fortinet is gebruikt bij aanvallen op organisaties, zo stellen de Amerikaanse autoriteiten. Fortinet houdt een slag om de arm en sprak eerder deze week nog over "mogelijk" misbruik bij een aantal klanten. Het gaat om een beveiligingslek in FortiOS en FortiProxy SSL-VPN, aangeduid als CVE-2023-27997. Door het versturen van speciaal geprepareerde requests kan een aanvaller willekeurige code en commando's op de apparatuur uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Volgens Fortinet is het beveiligingslek mogelijk in een "beperkt aantal gevallen" misbruikt en wordt de situatie samen met de betreffende klanten gemonitord. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst betreft CVE-2023-27997, waarbij het CISA stelt dat de toevoeging is gebaseerd op bewijs van actief misbruik. Federale overheidsinstanties moeten de update van Fortinet die het probleem verhelpt voor 4 juli hebben geïnstalleerd. Fortinet is vooralsnog niet met nieuwe informatie gekomen.


Nepversie van WannaCry-ransomware richt zich op Russische spelers van "Enlisted" FPS

Een ransomware-operatie richt zich op Russische spelers van de multiplayer first-person shooter "Enlisted" door gebruik te maken van een nepwebsite om getrojaniseerde versies van het spel te verspreiden. De ransomware, vermomd als de derde grote versie van de beruchte WannaCry, wordt verspreid via een geïnfecteerde game-installatiebestand met de naam "enlisted_beta-v1.0.3.115.exe". Als de installer wordt gestart, worden zowel het daadwerkelijke spel ("ENLIST~1") als de Python-ransomwarelanceringsbestand ("enlisted") op de schijf van de gebruiker geplaatst. De ransomware maakt gebruik van AES-256-encryptie en voegt de bestandsextensie ".wncry" toe aan vergrendelde bestanden. Na het versleutelingsproces wordt een losgeldbrief weergegeven op een speciale GUI-app, waarin het slachtoffer drie dagen de tijd krijgt om te reageren op de eisen van de aanvallers. De achtergrondafbeelding van het slachtoffer wordt ook gewijzigd om ervoor te zorgen dat de boodschap wordt overgebracht, zelfs als de antivirussoftware de lancering van de GUI-gebaseerde losgeldbrief blokkeert. De aanvallers communiceren niet via een Tor-site of een beveiligde chatlink, maar maken in plaats daarvan gebruik van een Telegram-bot. Deze nepversie van WannaCry is een voorbeeld van een toenemende trend waarbij aanvallers populaire spellen gebruiken om malware te verspreiden onder gamers.

Schadelijke website verspreidt Crypter ransomware


Nieuwe 'Shampoo' Chromeloader-malware verspreid via valse warez-sites

Een nieuwe ChromeLoader-campagne is gaande waarbij bezoekers van warez- en illegale filmsites worden geïnfecteerd met een nieuwe variant van de zoekkaper en adware-browserextensie genaamd Shampoo. Het onderzoeksteam van HP's bedreigingsanalyse (Wolf Security) heeft deze nieuwe campagne ontdekt en meldt dat de operatie sinds maart 2023 actief is. ChromeLoader is een browserkaper die browserextensies forceert die zoekresultaten omleiden om ongewenste software, nepcadeaus, enquêtes, volwassenenspellen, datingsites en andere irrelevante resultaten te promoten. De campagne verspreidt zich via een netwerk van kwaadaardige websites die gratis downloads van auteursrechtelijk beschermde muziek, films of videospellen beloven. In plaats van legitieme mediabestanden of software-installatieprogramma's downloaden slachtoffers VBScripts die PowerShell-scripts uitvoeren om een geplande taak met de naam "chrome_" in te stellen voor persistentie. Deze taak activeert een reeks scripts die een nieuw PowerShell-script downloaden en opslaan in het register van de host als "HKCU:\Software\Mirage Utilities\" en ook de kwaadaardige Chrome-extensie, Shampoo, ophalen. Shampoo is een variant van ChromeLoader en is in staat om advertenties in te voegen op de websites die het slachtoffer bezoekt en zoekopdrachten om te leiden. Na installatie van de kwaadaardige extensie wordt het slachtoffer verhinderd toegang te krijgen tot het scherm van Chrome-extensies. Gebruikers worden in plaats daarvan omgeleid naar het Chrome-instellingenscherm wanneer ze dit proberen te openen. De adware-operatie is naar verluidt financieel gemotiveerd en heeft als doel inkomsten te genereren uit de omleiding van zoekopdrachten en advertenties. Het verwijderen van de ChromeLoader Shampoo-malware is echter niet zo eenvoudig als het verwijderen van een legitieme extensie, omdat de malware afhankelijk is van scripts en een geplande taak om de extensie opnieuw te installeren wanneer het slachtoffer deze verwijdert of het apparaat opnieuw opstart. Om van ChromeLoader Shampoo af te komen, adviseert HP Wolf Security de volgende stappen uit te voeren: verwijder geplande taken met de prefix "chrome_"; verwijder de registervermelding "HKCU\Software\Mirage Utilities\"; en herstart de computer. Daarnaast moeten de PowerShell-scripts die de kwaadaardige extensie extraheren naar de map 'C:\Users\<gebruiker>\appdata\local\chrome_test' worden verwijderd als deze bestaat. Het is belangrijk om deze verwijderingsstappen snel uit te voeren voordat het script de malware opnieuw installeert. Gebruikers kunnen controleren of er een ChromeLoader-variant op hun webbrowser wordt uitgevoerd door te controleren of Chrome wordt uitgevoerd met het argument "-load-extension".


Microsoft koppelt dataverwijderingsaanvallen aan nieuwe Russische GRU-hackergroep

Microsoft heeft een bedreigingsgroep genaamd Cadet Blizzard, die het sinds april 2023 volgt, in verband gebracht met de Main Directorate of the General Staff of the Armed Forces van Rusland (ook bekend als GRU). Deze nieuwe GRU-hackergroep is eerder geassocieerd met de vernietigende dataverwijderingsaanvallen genaamd WhisperGate in Oekraïne, die begonnen op 13 januari 2022, meer dan een maand voor de Russische invasie van Oekraïne in februari 2022. Cadet Blizzard is ook verantwoordelijk voor het bekladden van Oekraïense websites en verschillende hack-en-leak-operaties. De groep richt zich voornamelijk op overheidsdiensten, rechtshandhaving, non-profit-/niet-gouvernementele organisaties, IT-serviceproviders/consultants en noodhulpdiensten in Oekraïne. Hoewel Cadet Blizzard minder succesvol is dan andere GRU-geaffilieerde hackergroepen, is de groep in 2023 opnieuw opgedoken en heeft ze zich gericht op het aanvallen van Oekraïense overheidsorganisaties en IT-providers. Daarnaast heeft Cadet Blizzard ook interesse in NAVO-lidstaten die militaire hulp aan Oekraïne bieden.


Chinese hackers gebruiken DNS-over-HTTPS voor communicatie van Linux-malware

De Chinese dreigingsgroep 'ChamelGang' infecteert Linux-apparaten met een eerder onbekende implant genaamd 'ChamelDoH', waardoor DNS-over-HTTPS-communicatie met de servers van de aanvallers mogelijk is. ChamelDoH maakt gebruik van versleutelde communicatie tussen geïnfecteerde apparaten en de command-and-control server, waardoor kwaadaardige queries onopgemerkt blijven tussen regulier HTTPS-verkeer. Het maakt ook gebruik van legitieme DNS-over-HTTPS-servers van Google en Cloudflare, waardoor het blokkeren ervan praktisch onmogelijk is zonder legitiem verkeer te verstoren. ChamelDoH kan verschillende opdrachten uitvoeren, zoals het uitvoeren van bestanden/shellcommando's, het downloaden of uploaden van bestanden en het wijzigen van de werkmappen. Deze nieuwe vorm van malware illustreert de uitdagingen waarmee beveiligingssoftware wordt geconfronteerd bij het detecteren en monitoren van kwaadaardig netwerkverkeer dat gebruikmaakt van versleutelde kanalen zoals DNS-over-HTTPS.


LockBit-ransomware heeft $91 miljoen afgeperst bij 1.700 aanvallen in de VS

Amerikaanse bedrijven en organisaties die slachtoffer van de LockBit-ransomware werden betaalden zo'n 91 miljoen dollar losgeld, zo stelt de FBI in een advisory waar ook de Australische, Britse, Canadese, Duitse, Franse en Nieuw-Zeelandse autoriteiten aan meewerkten. De Amerikaanse autoriteiten publiceren geregeld advisories over verschillende ransomwaregroepen om zo bewustzijn te kweken, maar het komt zelden voor dat zoveel buitenlandse diensten daar aan meewerken. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van LockBit is er een "point-and-click interface" toegevoegd waardoor de ransomware ook voor minder technische personen toegankelijk is, aldus de advisory. De reden dat diensten uit verschillende landen aan de advisory meewerkten is dat LockBit ook in deze landen zeer actief is. Volgens de FBI maakte LockBit sinds 2000 zo'n 1700 slachtoffers in de Verenigde Staten die 91 miljoen dollar losgeld betaalden. Om toegang tot de systemen van slachtoffers te krijgen wordt er gebruikgemaakt van bekende kwetsbaarheden, phishingaanvallen, drive-by downloads en RDP (remote desktop protocol). Om aanvallen tegen te gaan worden verschillende adviezen gegeven, zoals het gebruik van een browser die in een sandbox draait, netwerksegmentatie, het filteren van e-mails op de gateway, ervoor zorgen dat beheerinterfaces van systemen niet direct van het publieke internet toegankelijk zijn en het vergroten van bewustzijn in de organisatie. "Phishing is één van de primaire infectiemethodes bij ransomwarecampagnes", aldus de advisory. "Door de opkomst van geraffineerde phishingmethodes, zoals het gebruik van gestolen e-mailcommunicatie of AI-systemen zoals ChatGPT, wordt het onderscheid tussen legitieme en malafide e-mails een stuk lastiger."


Criminelen stelen $19.000 aan crypto via illegale Windows 10, aldus Dr. Web

Criminelen hebben via een illegale versie van Windows 10 zo'n 19.000 dollar aan cryptovaluta weten te stelen, zo stelt antivirusbedrijf Doctor Web. Het via torrent-trackers aangeboden ISO-bestand van Windows 10 is voorzien van malware die voor de besmetting van het systeem onder andere gebruikmaakt van een EFI-partitie, wat opvallend is, aldus de virusbestrijder. Het ISO-bestand bevat Windows 10, maar ook een aantal toegevoegde malafide applicaties. Eén daarvan mount een EFI-partitie waarop onderdelen van de malware worden opgeslagen. De EFI (Extensible Firmware Interface) systeempartitie wordt normaliter door de UEFI-firmware gebruikt voor het laden van bestanden tijdens het opstarten van de computer, maar in dit geval gebruikt de malware het als een opslaglocatie. Nadat de malware de EFI-systeempartitie heeft gemount en de onderdelen daarnaartoe zijn gekopieerd, wordt de oorspronkelijke malware van de C-schijf verwijderd en de EFI-partitie ge-unmount. Door middel van een techniek genaamd "process hollowing" wordt de malware in een systeemproces geïnjecteerd. De malware in kwestie is ontwikkeld om adressen van cryptowallets in het clipboard te wijzigen in die van de aanvallers. Clipper-malware, zoals deze vorm van malware wordt genoemd, maakt gebruik van het feit dat cryptogebruikers die een betaling willen doen of geld naar een andere wallet willen overmaken hiervoor vaak het walletadres van de begunstigde kopiëren en vervolgens in een veld op de transactiepagina plakken. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. Aan de hand van de door de aanvallers gebruikte cryptowallets stelt Doctor Web dat er via de malware 19.000 dollar aan cryptovaluta is buitgemaakt. Om dergelijke infecties te voorkomen adviseert de virusbestrijder om ISO-bestanden van besturingssystemen alleen via betrouwbare bronnen te downloaden.


Russische hackersgroep dreigt Europese banken binnen 48 uur plat te leggen

Samenvatting: De beruchte Russische hackersgroep KillNet heeft een video gepubliceerd waarin ze samen met het hackerscollectief REvil dreigen om de hele Europese bankensector binnen 48 uur plat te leggen. KillNet staat bekend om eerdere aanvallen tijdens de Russische invasie van Oekraïne. Hoewel experts de video met enige achterdocht bekijken, is het dreigement niet volledig uitgesloten. KillNet is berucht om DDoS-aanvallen op overheidswebsites, terwijl REvil bekendstaat als een ransomwarebende. Banken zijn doorgaans goed beveiligd, maar deze dreigvideo zal hun beveiligingsteams ongetwijfeld waakzaam maken.


Hengelose Scholengemeenschap OSG sluit deal met ransomwaregroep na aanval

De Hengelose Scholengemeenschap OSG is onlangs getroffen door een ransomware-aanval en heeft nu een deal gesloten met de verantwoordelijke criminelen. De aanval werd op 30 mei ontdekt en resulteerde in de versleuteling van bestanden op de servers van OSG en het stelen van gegevens. De scholengemeenschap heeft contact gehad met de criminelen en heeft een overeenkomst bereikt waarbij de versleutelde gegevens zijn teruggegeven en de criminelen hebben toegezegd de gestolen gegevens te vernietigen en niet openbaar te maken. De veiligheid van leerlingen en medewerkers had de hoogste prioriteit bij het sluiten van de deal. De scholengemeenschap werkt momenteel aan het herstel van de systemen, maar er is nog geen indicatie wanneer het herstel volledig zal zijn. Hoewel de oorzaak van de aanval nog onbekend is, neemt de scholengemeenschap maatregelen om de beveiliging te versterken en vergelijkbare incidenten in de toekomst te voorkomen.


Cyberaanval vertraagt uitslag eindexamen vmbo-leerlingen op Pius X College

Samenvatting: Vmbo-leerlingen van het Pius X College in Bladel zullen door een cyberaanval later te horen krijgen of ze geslaagd zijn voor hun eindexamen. De aanval heeft ervoor gezorgd dat de cijfers niet kunnen worden berekend. Het probleem is ontstaan door een storing bij SomToday, het leerlingenvolgsysteem dat de normering doorgeeft aan de scholen. Ongeveer 85% van de 400 scholen die gebruikmaken van dit systeem had de cijfers al berekend. De cybercriminelen voerden een grootschalige DDoS-aanval uit tijdens het installeren van updates, waardoor de taak vastliep. Naast het Pius X College ondervinden nog 19 andere scholen in Nederland hinder van de storing. De verwachting is dat de uitslag tussen twee en drie uur 's middags bekend zal worden gemaakt, waardoor de uitreiking van de voorlopige cijferlijsten en de geslaagd-vlag tot half vijf zal worden uitgesteld.


Hackers verspreiden nep zero-day PoC-exploits op GitHub en infecteren Windows en Linux met malware

Hackers doen zich voor als cybersecurity-onderzoekers op Twitter en GitHub om nep proof-of-concept (PoC) exploits te publiceren voor zero-day kwetsbaarheden die Windows en Linux met malware infecteren. Deze kwaadaardige exploits worden gepromoot door vermeende onderzoekers van een nep-cybersecuritybedrijf genaamd 'High Sierra Cyber Security', die de GitHub-repositories op Twitter promoten. Het doel lijkt te zijn om cybersecurity-onderzoekers en bedrijven die betrokken zijn bij kwetsbaarheidsonderzoek te targeten. De repositories lijken legitiem en de gebruikers die ze beheren doen zich voor als echte beveiligingsonderzoekers van Rapid7 en andere beveiligingsbedrijven, inclusief het gebruik van hun profielfoto's. Dezelfde personen beheren accounts op Twitter om hun onderzoek en de code-repositories zoals GitHub te legitimeren, en om slachtoffers aan te trekken vanaf het sociale media-platform. Deze campagne werd ontdekt door VulnCheck, die rapporteert dat deze al sinds minstens mei 2023 aan de gang is en vermeende exploits promoot voor zero-day kwetsbaarheden in populaire software zoals Chrome, Discord, Signal, WhatsApp en Microsoft Exchange. De kwaadaardige repositories bevatten allemaal een Python-script ('poc.py') dat fungeert als een malware-downloader voor Linux- en Windows-systemen. Het script downloadt een ZIP-archief vanaf een externe URL naar de computer van het slachtoffer, afhankelijk van hun besturingssysteem. Linux-gebruikers downloaden 'cveslinux.zip' en Windows-gebruikers ontvangen 'cveswindows.zip'. De malware wordt opgeslagen in de map Windows %Temp% of de Linux-map /home/<gebruikersnaam>/.local/share, uitgepakt en uitgevoerd. VulnCheck meldt dat de Windows-binair ('cves_windows.exe') in de ZIP-bestanden door meer dan 60% van de antivirus-engines op VirusTotal wordt gedetecteerd. De Linux-binair ('cves_linux') is veel stealthier en wordt slechts door drie scanners gedetecteerd. Het is niet duidelijk welk type malware geïnstalleerd wordt, maar beide uitvoerbare bestanden installeren een TOR-client en de Windows-versie heeft enkele detecties als een wachtwoordstelende trojan. Hoewel het succes van deze campagne onduidelijk is, merkt VulnCheck op dat de dreigingsactoren volhardend lijken te zijn en nieuwe accounts en repositories creëren wanneer de bestaande worden gerapporteerd en verwijderd. Op dit moment moeten deze zeven GitHub-repositories die beschikbaar zijn op het moment van schrijven, worden vermeden, evenals de bijbehorende Twitter-accounts van de impersonators. Beveiligingsonderzoekers en cybersecurity-enthousiastelingen moeten voorzichtig zijn bij het downloaden van scripts van onbekende repositories, aangezien impersonatie altijd mogelijk is. Het is van cruciaal belang dat alle code kritisch wordt bekeken op kwaadaardig gedrag bij het downloaden van code van GitHub.

Nepaccounts op GitHub ( VulnCheck )

Schadelijke repository die een nep MS Exchange PoC promoot ( BleepingComputer )


Datalek via onderzoeksbureau waarschuwt Montfoort inwoners voor cybercriminelen

De gemeente Montfoort in de provincie Utrecht heeft inwoners gewaarschuwd voor een mogelijk datalek via een marktonderzoek dat werd uitgevoerd door marktonderzoeker Dimensus. Dit nadat aanvallers in maart toegang hadden gekregen tot de systemen van Nebu, de software die door Dimensus wordt gebruikt. Het is nog niet bekend welke gegevens precies zijn gelekt, maar de gemeente waarschuwt dat persoonlijke informatie zoals naam, adres, woonplaats en geslacht mogelijk betrokken zijn. De gemeente is in contact met Dimensus om meer informatie te verkrijgen en te achterhalen of onbevoegden daadwerkelijk toegang hebben gekregen tot de gegevens van inwoners. Hoewel de gemeente denkt dat het risico voor inwoners beperkt is, worden er verdere onderzoeken uitgevoerd om de omvang van het datalek vast te stellen. In april meldde ook de gemeenteDen Haag dat het slachtoffer was geworden van een datalek via Dimensus, waarbij de persoonsgegevens van 36.000 burgers waren betrokken.


Pirated Windows 10 ISO's installeren clipper-malware via EFI-partities

Hackers verspreiden Windows 10 via torrents en verbergen cryptocurrency-hijackers in de EFI-partitie om detectie te ontwijken. De EFI-partitie is een kleine systeempartitie die de bootloader en gerelateerde bestanden bevat die worden uitgevoerd vóór het opstarten van het besturingssysteem. Omdat standaard antivirusprogramma's de EFI-partitie niet vaak scannen, kan de malware detectie omzeilen. De kwaadaardige Windows 10-builds verbergen clipper-componenten in de systeemdirectory. Bij installatie van het besturingssysteem worden deze componenten gekopieerd naar de C:\-schijf en wordt de clipper-malware geïnjecteerd in een legitiem systeemproces. De clipper controleert het systeemklembord op cryptocurrency-portefeuilleadressen en vervangt deze on-the-fly door adressen die onder controle staan van de aanvallers. Op deze manier kunnen de aanvallers betalingen naar hun eigen accounts omleiden en hebben ze al minstens $19.000 aan cryptocurrency verdiend. Het downloaden van illegale gekopieerde besturingssystemen wordt afgeraden omdat deze malware kunnen bevatten die zich persistent kan verbergen.


Chinese hackers gebruiken VMware ESXi zero-day om VM's te infiltreren

Chinese hackers hebben een zero-day kwetsbaarheid in VMware ESXi gebruikt om Windows- en Linux-virtual machines te infiltreren en gegevens te stelen. Het beveiligingslek, geëxploiteerd door een door China gesponsorde hackinggroep genaamd UNC3886, is inmiddels door VMware gepatcht. De hackers maakten gebruik van de kwetsbaarheid CVE-2023-20867 in VMware Tools om de backdoors VirtualPita en VirtualPie op gast-VM's te implementeren. Ze installeerden de malware via kwaadaardig ontworpen vSphere Installation Bundles (VIBs) en maakten gebruik van een derde malware genaamd VirtualGate. Deze aanval toont aan dat de hackers een diepgaand begrip hebben van ESXi, vCenter en de virtualisatieplatforms van VMware. UNC3886 richt zich voornamelijk op organisaties in de defensie-, overheids-, telecom- en technologiesectoren in de Verenigde Staten en APJ-regio. Ze richten zich op zero-day kwetsbaarheden in firewall- en virtualisatieplatforms zonder Endpoint Detection and Response (EDR) mogelijkheden. Deze aanvallen vormen een voortzetting van de Chinese spionage die al jaren aan de gang is en zijn moeilijk te detecteren vanwege de geavanceerde tradecraft van de hackers.


Massieve phishingcampagne maakt gebruik van 6.000 websites om 100 merken na te bootsen

Sinds juni 2022 is er een grootschalige merknabootsingscampagne aan de gang, gericht op meer dan honderd populaire kleding- en schoenenmerken. Deze campagne heeft tot doel mensen te misleiden om hun accountgegevens en financiële informatie in te voeren op valse websites. De nepwebsites bootsen merken na zoals Nike, Puma, Asics, Vans, Adidas en vele anderen. De campagne maakt gebruik van minstens 3.000 domeinen en ongeveer 6.000 websites, waarvan sommige inactief zijn. Tussen januari en februari 2023 kende de campagne een sterke activiteitspiek, met maandelijks 300 nieuwe valse websites. De domeinnamen volgen een patroon waarbij de merknaam wordt gecombineerd met een stad of land, gevolgd door een generieke TLD zoals ".com". De onderzoekers ontdekten dat de campagne meer dan tien nepwebsites exploiteerde voor merken als Nike, Puma en Clarks, die qua ontwerp zeer vergelijkbaar zijn met de officiële sites van de merken. De phishingsites werden gehost door twee internetproviders en de meeste domeinen zijn geregistreerd via Alibaba.com Singapore. Het verouderen van de domeinen speelt een cruciale rol in phishingoperaties, omdat oudere domeinen die onschadelijk lijken, minder snel worden opgemerkt als verdacht door beveiligingstools. Sommige van de kwaadaardige domeinen hebben zo lang overleefd zonder te worden gemeld dat ze nu hoog kunnen scoren in Google-zoekresultaten, wat gebruikers onbedoeld naar phishingwebsites lokt. De valse websites zijn goed opgezet en bevatten realistische "Over ons"-pagina's en contactgegevens, waardoor ze moeilijk te identificeren zijn als verdacht. De precieze oplichtingsstrategie van deze campagne is onbekend, maar het vermoeden bestaat dat de websites ofwel de producten die klanten betalen nooit leveren, ofwel Chinese imitaties verzenden. Het is belangrijk om bij het zoeken naar de officiële website van een merk alle gepromote resultaten op Google over te slaan en indien nodig de Wikipedia-pagina of social media-kanalen van het merk te controleren voor de legitieme URL.


RDP-honeypot doelwit van 3,5 miljoen brute-force aanvallen

Remote desktop-verbindingen zijn een aantrekkelijk doelwit voor hackers. Een onderzoeksproject met een RDP-honeypot heeft laten zien hoe vastberaden en georganiseerd deze aanvallers zijn. Gedurende drie maanden werden er bijna 3,5 miljoen inlogpogingen geregistreerd op het honeypot-systeem. De aanvallen waren geautomatiseerd, maar zodra de hackers de juiste toegangsgegevens hadden verkregen, gingen ze handmatig op zoek naar belangrijke of gevoelige bestanden. De aanvallen volgden een dagelijks patroon, met pauzes die wijzen op een soort werkschema. Opvallend was dat de activiteit tijdens weekenddagen stopte, wat erop kan wijzen dat de aanvallers de hackactiviteit als een reguliere baan beschouwen. Hoewel het een geautomatiseerde aanval was, bleek uit het onderzoek dat 25% van de hackers verderging met het zoeken naar belangrijke bestanden nadat ze waren ingelogd. Het volgende onderzoeksstadium omvat het vullen van de server met valse bedrijfsbestanden om de bewegingen en acties van de aanvallers te monitoren.


Amerikaans ziekenhuis sluit permanent de deuren vanwege ransomware-aanval

Een Amerikaans ziekenhuis, St. Margaret's Health in Spring Valley, Illinois, heeft besloten om permanent de deuren te sluiten als gevolg van een ransomware-aanval. De aanval vond plaats in 2021 en het ziekenhuis heeft maandenlang geen claims bij zorgverzekeraars kunnen indienen, wat leidde tot financiële problemen. Naast de ransomware-aanval werden ook personeelskosten, inflatie en logistieke problemen genoemd als oorzaken voor de sluiting. Dit is de eerste keer dat een ziekenhuis besluit te stoppen vanwege ransomware. De sluiting zal plaatsvinden na de laatste werkdag op aanstaande vrijdag.


Zwitserse overheid getroffen door ransomware-aanval op softwareleverancier

De Zwitserse overheid is slachtoffer geworden van een ransomware-aanval op Xplain, een softwareleverancier voor de overheid. Tijdens de aanval zijn gegevens gestolen en op internet gepubliceerd. De daders, achter de Play-ransomware, beweren negenhonderd gigabyte aan data te hebben buitgemaakt. Ook de systemen van Xplain zelf zijn versleuteld tijdens de aanval. De precieze methode waarmee de aanvallers toegang hebben gekregen, is nog niet bekendgemaakt. De Zwitserse overheid maakt gebruik van de diensten van Xplain en heeft bevestigd dat er "operationele gegevens" zijn gecompromitteerd. Eerder zijn ook de Zwitserse spoorwegen en het kanton Aargau slachtoffer geworden van deze aanval. Xplain heeft aangifte gedaan bij de politie en werkt samen met het Zwitserse Nationale Zentrum für Cybersicherheit. Zodra er meer informatie beschikbaar is, zullen de autoriteiten deze delen met het publiek.


Nieuwe FortiOS RCE-bug mogelijk misbruikt bij aanvallen

Fortinet heeft gemeld dat er mogelijk misbruik is gemaakt van een kritieke FortiOS SSL VPN-kwetsbaarheid die vorige week is gepatcht. De bug (aangeduid als CVE-2023-27997 / FG-IR-23-097) is een heap-gebaseerde bufferoverflow-kwetsbaarheid in FortiOS en FortiProxy SSL-VPN, waardoor niet-geauthenticeerde aanvallers via kwaadaardig gemaakte verzoeken externe code kunnen uitvoeren. De kwetsbaarheid werd ontdekt tijdens een code-audit van de SSL-VPN-module na een eerdere reeks aanvallen op overheidsorganisaties die misbruik maakten van de CVE-2022-42475 FortiOS SSL-VPN zero-day. Fortinet heeft onmiddellijk beveiligingsupdates uitgebracht om de kwetsbaarheid aan te pakken en adviseert klanten om onmiddellijk te upgraden naar de meest recente firmwareversie. Hoewel er geen direct verband is tussen deze kwetsbaarheid en de recente Volt Typhoon-aanvallen op kritieke infrastructuurorganisaties in de Verenigde Staten, waarschuwt Fortinet voor het blijvende risico van ongepatchte kwetsbaarheden die door dreigingsactoren worden uitgebuit. De aanvallers zijn bekend met het gebruik van geavanceerde technieken en apparaten van meerdere leveranciers om detectie te vermijden en de netwerkactiviteit te camoufleren. Fortinet dringt aan op een agressieve patchingcampagne om deze kwetsbaarheden te mitigeren.


Zwitserse overheid waarschuwt voor aanhoudende DDoS-aanvallen en datalek

De Zwitserse overheid heeft onthuld dat een recente ransomware-aanval op een IT-leverancier mogelijk gevolgen heeft gehad voor haar gegevens. Vandaag waarschuwt ze dat ze nu het doelwit is van DDoS-aanvallen. Deze situatie weerspiegelt de complexe bedreigingen waarmee organisaties en overheden worden geconfronteerd wanneer ze gebruikmaken van diensten van derden om gegevens te hosten en online diensten openbaar bloot te stellen. De ransomware-aanval heeft geleid tot het lekken van gegevens. De Zwitserse overheid werd getroffen door een ransomware-aanval op Xplain, een Zwitserse technologieprovider die verschillende overheidsdepartementen, administratieve eenheden en zelfs de militaire macht van het land voorziet van softwareoplossingen. De IT-bedrijf werd op 23 mei 2023 getroffen door de Play ransomware-bende, die beweerde diverse documenten met vertrouwelijke gegevens, financiële en belastinggegevens, etc. te hebben gestolen. Op 1 juni 2023 publiceerde de Play ransomware-groep het volledige lek, vermoedelijk nadat ze er niet in slaagden Xplain af te persen. De Zwitserse overheid meldt nu dat het onderzoek naar de inhoud en geldigheid van de gelekte gegevens nog gaande is, maar het is waarschijnlijk dat de aanvallers gegevens van de federale administratie hebben gepost. Er wordt momenteel onderzoek gedaan om de specifieke eenheden en gegevens te bepalen die betrokken zijn. Bovendien blijkt uit recente bevindingen dat operationele gegevens ook getroffen kunnen zijn. Daarnaast heeft de Zwitserse overheid vandaag een persbericht uitgebracht waarin ze waarschuwt voor toegangsproblemen op verschillende websites van de federale administratie en de online diensten als gevolg van een DDoS-aanval. Deze aanval werd gelanceerd door NoName, een pro-Russische hacktivistische groep die sinds begin 2022 gericht is op door de NAVO geallieerde landen en entiteiten in Europa, Oekraïne en Noord-Amerika. De specialisten van de federale administratie hebben de aanval snel opgemerkt en nemen maatregelen om de toegankelijkheid van de websites en applicaties zo snel mogelijk te herstellen. De Zwitserse overheid staat voor de uitdaging om zowel het datalek als de DDoS-aanvallen aan te pakken en maatregelen te nemen om de veiligheid van haar systemen te verbeteren.


Gegevenslek bij Zacks blijkt groter dan verwacht: 9 miljoen klanten getroffen

Het onderzoeksbureau Zacks, dat analyses van aandelen en aandelenbeurzen uitvoert voor financiële professionals, heeft niet de gegevens van 820.000, maar van bijna 9 miljoen klanten gelekt. Vorig jaar waarschuwde Zacks dat een onbekende derde partij toegang had gekregen tot klantgegevens. Deze klanten hadden zich aangemeld voor "Zacks Elite" tussen november 1999 en februari 2005. De gelekte gegevens bevatten namen, gebruikersnamen, e-mailadressen, adresgegevens, telefoonnummers en niet-gesalte SHA-256 wachtwoordhashes. Zacks bevestigt ook dat de aanvallers toegang hebben gekregen tot versleutelde wachtwoorden van klanten. Bijna negen miljoen e-mailadressen zijn toegevoegd aan de datalekzoekmachine Have I Been Pwned. Deze site stelt gebruikers in staat om te controleren of hun e-mailadres voorkomt in een bekend datalek. Van de door Zacks.com buitgemaakte e-mailadressen was 70% al bekend bij Have I Been Pwned door een ander datalek.


Persoonsgegevens van klanten Shell Recharge buitgemaakt door hackers

Klanten die gebruikmaken van de laadpalen van Shell Recharge lopen het risico dat hun persoonsgegevens zijn gestolen door hackers. Een beveiligingsonderzoeker ontdekte dat de database waarin de gegevens waren opgeslagen onbeveiligd was en voor iedereen toegankelijk. In de database stonden onder andere namen, adressen, e-mailadressen, telefoonnummers en voertuigidentificatienummers van miljoenen klanten. Ook waren de locaties van de laadpalen en de namen van organisaties die ze gebruikten te vinden. Het datalek werd gemeld aan Shell, maar het bedrijf reageerde pas nadat de media contact hadden opgenomen. Shell heeft aangegeven het voorval te onderzoeken en passende maatregelen te nemen om de gegevensblootstelling in te dammen. Het is niet bekend of er ook gegevens van Nederlandse gebruikers zijn gelekt. Shell Recharge is het wereldwijde netwerk van oplaadpalen van Shell, met meer dan driehonderdduizend publieke oplaadstations voor elektrische voertuigen in verschillende landen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024