Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week hebben we wederom een golf van cyberaanvallen gezien die verschillende sectoren en regio's wereldwijd heeft getroffen. Van de bekende uitgever Wolters Kluwer, slachtoffer van CLOP ransomware, tot het oliegigant Shell, die personeel waarschuwde voor een datalek na een aanval op hun MOVEit Transfer. Daarnaast werd de haven van Nagoya, de grootste containerhaven van Japan, getroffen door een verwoestende ransomware-aanval, wat aantoont dat geen enkele industrie veilig is voor deze dreiging.
Europa werd evenmin gespaard, met Chinese hackers die Europese overheidsinstanties targeten in een gesofisticeerde SmugX-phishingcampagne. Bovendien zagen we een opkomst van de 'Big Head' ransomware, die neppe Windows-updatewaarschuwingen verspreidt om onoplettende gebruikers te misleiden.
Deze incidenten benadrukken de voortdurende urgentie voor organisaties van elke omvang en uit elke sector om hun cyberbeveiliging serieus te nemen. In dit artikel geven we een uitgebreid overzicht van de cyberaanvallen van de afgelopen week, waarin we dieper ingaan op elke aanval en wat we ervan kunnen leren om toekomstige incidenten te voorkomen.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| roys.co.uk | LockBit | roys.co.uk | UK | Merchandise Stores | 9-jul.-23 |
| Evergreen Seamless Pipes & Tubes | BianLian | evergreenseamless.com | India | Miscellaneous Manufacturing Industries | 9-jul.-23 |
| M****** ***** | BianLian | Unknown | USA | Personal Services | 9-jul.-23 |
| Tracker de Colombia SAS | Medusa | detektor.com.co | Colombia | IT Services | 8-jul.-23 |
| Lane Valente Industries | PLAY | www.canadalvi.com | Canada | Construction | 7-jul.-23 |
| Industrial Heat Transfer | Rancoz | iht-inc.com | USA | Machinery, Computer Equipment | 7-jul.-23 |
| DELARUE.COM | CL0P | delarue.com | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 7-jul.-23 |
| ENERGYTRANSFER.COM | CL0P | energytransfer.com | USA | Electric, Gas, And Sanitary Services | 7-jul.-23 |
| PAYCOR.COM | CL0P | paycor.com | USA | IT Services | 7-jul.-23 |
| NETSCOUT.COM | CL0P | netscout.com | USA | IT Services | 7-jul.-23 |
| WOLTERSKLUWER.COM | CL0P | wolterskluwer.com | Netherlands | IT Services | 7-jul.-23 |
| CADENCEBANK.COM | CL0P | cadencebank.com | USA | Depository Institutions | 7-jul.-23 |
| BANKWITHUNITED.COM | CL0P | bankwithunited.com | USA | Depository Institutions | 7-jul.-23 |
| NEWERATECH.COM | CL0P | neweratech.com | USA | IT Services | 7-jul.-23 |
| Lazer Tow | PLAY | www.lazertow.com | USA | Miscellaneous Services | 6-jul.-23 |
| Star Island Resort | PLAY | www.star-island.com | USA | Lodging Places | 6-jul.-23 |
| Indiana Dimension | PLAY | www.indianadimension.com | USA | Lumber And Wood Products | 6-jul.-23 |
| Lawer SpA | PLAY | www.lawer.com | Italy | Machinery, Computer Equipment | 6-jul.-23 |
| NST Attorneys at Law | PLAY | www.nstlaw.com | USA | Legal Services | 6-jul.-23 |
| Uniquify | PLAY | www.uniquify.com | USA | Electronic, Electrical Equipment, Components | 6-jul.-23 |
| Geneva Software | PLAY | www.genevasi.com | USA | IT Services | 6-jul.-23 |
| MUJI Europe Holdings Limited | PLAY | www.muji.eu | UK | Merchandise Stores | 6-jul.-23 |
| Betty Lou's | PLAY | www.bettylousinc.com | USA | Food Products | 6-jul.-23 |
| Capacity LLC | PLAY | www.capacityllc.com | USA | Motor Freight Transportation | 6-jul.-23 |
| Wesco Equipment | PLAY | www.wescopbe.com | USA | Machinery, Computer Equipment | 6-jul.-23 |
| Safety Network | PLAY | www.safetynetworkinc.com | USA | Construction | 6-jul.-23 |
| Centex Personnel | BianLian | centexpersonnel.com | USA | Business Services | 6-jul.-23 |
| Encore Pro Staffing | BianLian | encoreprostaffing.com | USA | Business Services | 6-jul.-23 |
| Carvin Software | BianLian | carvinsoftware.com | USA | IT Services | 6-jul.-23 |
| Ella Insurance Brokerage | BianLian | ellabrokerage.com | USA | Insurance Carriers | 6-jul.-23 |
| A** ************** | BianLian | Unknown | India | Real Estate | 6-jul.-23 |
| chasc.org | LockBit | chasc.org | USA | Real Estate | 6-jul.-23 |
| cls-group.com | LockBit | cls-group.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 6-jul.-23 |
| gacegypt.net | LockBit | gacegypt.net | Egypt | Transportation Services | 6-jul.-23 |
| siegfried.com.mx | LockBit | siegfried.com.mx | Mexico | Chemical Producers | 6-jul.-23 |
| betalandservices.com | LockBit | betalandservices.com | USA | Real Estate | 6-jul.-23 |
| Pinnergy | Akira | www.pinnergy.com | USA | Oil, Gas | 6-jul.-23 |
| eyedoc.com.na | LockBit | eyedoc.com.na | Namibia | Health Services | 6-jul.-23 |
| Bangladesh Krishi Bank | BlackCat (ALPHV) | www.krishibank.org.bd | Bangladesh | Depository Institutions | 6-jul.-23 |
| ASIC Soluciones | Qilin | asicamericas.com | Colombia | IT Services | 6-jul.-23 |
| TRANSPERFECT.COM | CL0P | transperfect.com | USA | Miscellaneous Services | 6-jul.-23 |
| QUORUMFCU.ORG | CL0P | quorumfcu.org | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 6-jul.-23 |
| MERATIVE.COM | CL0P | merative.com | USA | IT Services | 6-jul.-23 |
| NORGREN.COM | CL0P | norgren.com | UK | Machinery, Computer Equipment | 6-jul.-23 |
| CIENA.COM | CL0P | ciena.com | USA | IT Services | 6-jul.-23 |
| KYBURZDRUCK.CH | CL0P | kyburzdruck.ch | Switzerland | Publishing, printing | 6-jul.-23 |
| UNITEDREGIONAL.ORG | CL0P | unitedregional.org | USA | Health Services | 6-jul.-23 |
| TDECU.ORG | CL0P | tdecu.org | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 6-jul.-23 |
| BRADYID.COM | CL0P | bradyid.com | USA | Machinery, Computer Equipment | 6-jul.-23 |
| BARRICK.COM | CL0P | barrick.com | Canada | Mining | 6-jul.-23 |
| Avalign Technologies | BlackByte | www.avalign.com | USA | Miscellaneous Manufacturing Industries | 5-jul.-23 |
| Portugal Scotturb | Ragnar_Locker | www.scotturb.com | Portugal | Passenger Transportation | 5-jul.-23 |
| guestgroup.com.au | LockBit | guestgroup.com.au | Australia | Furniture | 5-jul.-23 |
| Murphy | Akira | www.murphyplywood.com | USA | Lumber And Wood Products | 5-jul.-23 |
| recamlaser.com | LockBit | recamlaser.com | Spain | Fabricated Metal Products | 5-jul.-23 |
| eurosupport.com | LockBit | eurosupport.com | Netherlands | Chemical Producers | 5-jul.-23 |
| mitr.com | LockBit | mitr.com | Thailand | Construction | 5-jul.-23 |
| DURR.COM | CL0P | durr.com | Germany | Machinery, Computer Equipment | 5-jul.-23 |
| Hoosier Equipment company | Medusa Locker | www.hoosierequipment.com | USA | Construction | 4-jul.-23 |
| Yunus Emre Institute Turkey | Medusa | www.yee.org.tr | Turkey | Miscellaneous Services | 4-jul.-23 |
| Peroni Pompe | D0N#T (Donut Leaks) | www.peronipompe.com | Italy | Machinery, Computer Equipment | 3-jul.-23 |
| **** I******** ********* | BianLian | Unknown | USA | Insurance Carriers | 3-jul.-23 |
| Jefferson County Health Center | Karakurt | jeffersoncountyhealthcenter.org | USA | Health Services | 3-jul.-23 |
| Townsquare Media Inc | BlackCat (ALPHV) | www.townsquaremedia.com | USA | Communications | 3-jul.-23 |
| oneexchangecorp.com | LockBit | oneexchangecorp.com | Canada | Security And Commodity Brokers, Dealers, Exchanges, And Services | 3-jul.-23 |
| snjb.net | LockBit | snjb.net | USA | Miscellaneous Services | 3-jul.-23 |
| Duncan Disability Law | BlackCat (ALPHV) | www.duncandisability.com | USA | Legal Services | 3-jul.-23 |
| Mutuelle LMP | Medusa | www.mutuellelmp.fr | France | Insurance Carriers | 3-jul.-23 |
| Luna Hotels & Resorts | Medusa | www.lunahoteis.com | Portugal | Lodging Places | 3-jul.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| WOLTERSKLUWER.COM | CL0P | wolterskluwer.com | Netherlands | IT Services | 7-jul.-23 |
| eurosupport.com | LockBit | eurosupport.com | Netherlands | Chemical Producers | 5-jul.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
10-juli-2023 om 09:30
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Nieuwe 'Big Head' ransomware verspreidt nep Windows-updatewaarschuwing
Beveiligingsonderzoekers hebben de 'Big Head' ransomware geanalyseerd, een recent opgekomen ransomware-stam die zich mogelijk verspreidt via malvertising. Deze malvertising promoot nep-Windows-updates en Microsoft Word-installatieprogramma's. De ransomware, een .NET-binair bestand, installeert drie AES-gecodeerde bestanden op het doelsysteem. Het verspreidt zich, communiceert via een Telegram bot en versleutelt bestanden. Daarnaast kan de ransomware de gebruiker een nep Windows-update laten zien. De malware voert verschillende acties uit, zoals het maken van een autorun-sleutel, overschrijven van bestanden en het uitschakelen van de taakbeheer. Big Head verwijdert ook shadow copies om systeemherstel te voorkomen. De ransomware richt zich op bepaalde bestandstypen en voegt de extensie ".poop" toe aan versleutelde bestanden. Het vermijdt het versleutelen van specifieke systeemdirectories en controleert of het op een virtuele omgeving draait. Na het versleutelen toont de ransomware een scherm dat lijkt op een legitieme Windows-update. Big Head heeft ook verschillende varianten, waaronder een die gevoelige gegevens steelt en een andere met een bestandsinfectie-component. Hoewel de ransomware niet geavanceerd is, is het belangrijk om waakzaam te zijn voor de trucs en beveiligingsrisico's die het met zich meebrengt. De ontwikkelaars blijven de malware echter voortdurend verbeteren en verfijnen.
Twee Google Play apps sturen gegevens van 1,5M gebruikers naar China: een grootschalige gegevensinbreuk ontdekt
Beveiligingsonderzoekers hebben twee kwaadaardige bestandsbeheerapps op Google Play ontdekt, genaamd File Recovery en Data Recovery, die samen meer dan 1,5 miljoen installaties hebben. Deze apps verzamelen meer gebruikersgegevens dan nodig is voor hun functionaliteit en sturen deze gegevens naar servers in China. Hoewel de apps op Google Play verklaren geen gebruikersgegevens te verzamelen, ontdekte Pradeo dat de apps gevoelige informatie verzamelen zoals contactlijsten, afbeeldingen, audio en video, real-time locatie, netwerk- en simproviderinformatie en apparaatdetails. Deze gegevens worden verzameld zonder toestemming van de gebruiker. Bovendien verbergen de apps hun pictogrammen om ontdekking en verwijdering te bemoeilijken. Ondanks melding aan Google zijn de apps nog steeds beschikbaar op Google Play.
Nieuwe Truebot-malwarevarianten verspreiden zich via Netwrix Auditor-kwetsbaarheid
CISA en de FBI hebben gewaarschuwd voor nieuwe varianten van de Truebot-malware die worden gebruikt bij aanvallen op organisaties in de Verenigde Staten en Canada. Deze malware wordt ingezet op netwerken die zijn gecompromitteerd door een kritieke kwetsbaarheid in de Netwrix Auditor-software, waardoor aanvallers kwaadaardige code kunnen uitvoeren met de privileges van de SYSTEM-gebruiker. De Truebot-malware is gekoppeld aan de Silence-cybercriminaliteitsgroep en wordt gebruikt door hackers van de TA505- en FIN11-groepen om Clop-ransomware op gecompromitteerde netwerken te installeren. Organisaties wordt geadviseerd om te letten op tekenen van een Truebot-infectie en passende maatregelen te nemen om het beveiligingslek aan te pakken.
π¨ ALERT: Increased #Truebot malware activity targets U.S. & Canada organizations.
β CISA Cyber (@CISACyber) July 6, 2023
π€ Joint advisory by @CISAgov, @FBI, @CISecurity's MS-ISAC, & @cybercentre_ca reveals new variants exploiting #Netwrix Auditor vulnerability.
π https://t.co/04ZzAWnmMn #Cybersecurity pic.twitter.com/8hTbDVxJVm
Personeel van Shell op de hoogte gesteld van datalek na aanval op MOVEit Transfer
Shell heeft personeel in onder andere Nederland gewaarschuwd voor een datalek nadat criminelen toegang kregen tot het MOVEit Transfer-systeem van de olie- en gasgigant. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van meer dan honderdvijftig organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceerde de Clop-groep vervolgens de namen van getroffen organisaties, waaronder Shell. Vorige maand bevestigde Shell dat het inderdaad slachtoffer was geworden. Op de eigen website meldt het bedrijf dat de aanvallers toegang tot persoonlijke informatie van personeel hebben gekregen. Om wat voor gegevens het gaat is niet bekendgemaakt. Medewerkers die zich zorgen maken en meer informatie over hun situatie willen kunnen via een speciaal telefoonnummer contact opnemen.
TeamsPhisher-tool maakt gebruik van bug in Microsoft Teams voor malware-aanvallen
Een lid van de Amerikaanse marine heeft een tool genaamd TeamsPhisher gepubliceerd, die gebruik maakt van een beveiligingsprobleem in Microsoft Teams om beperkingen voor inkomende bestanden van externe gebruikers te omzeilen. De tool maakt gebruik van een probleem dat eerder werd benadrukt door beveiligingsonderzoekers van Jumpsec. Het probleem stelt aanvallers in staat om malware van een extern account te leveren door de client-side beveiliging van de applicatie te misleiden. TeamsPhisher is een op Python gebaseerde tool die geautomatiseerde aanvallen mogelijk maakt. Het controleert eerst of de doelgebruiker externe berichten kan ontvangen en stuurt vervolgens een bericht met een Sharepoint-bijlage-link naar het doel. Microsoft heeft het beveiligingsprobleem nog niet opgelost en raadt organisaties aan om de communicatie met externe gebruikers uit te schakelen of een toegestane lijst met vertrouwde domeinen te maken om het risico op exploitatie te beperken.
Ransomware treft haven van Nagoya, grootste containerhaven van Japan
De grootste containerhaven van Japan is getroffen door een ransomware-aanval, die de containeroverslag heeft stilgelegd. De aanval op de haven van Nagoya deed zich gisterenavond voor. Door de systeemuitval kunnen minder containerschepen de haven aandoen, wat weer gevolgen heeft voor de in- en uitvoer van containers. De haven van Nagoya verwerkt elk jaar tweehonderd miljoen ton aan goederen. Volgens de Japanse publieke omroep NHK hebben de aanvallers via de printers hun losgeldboodschap verspreid, waarin staat dat gegevens zijn versleuteld en er losgeld moet worden betaald. Details over de aanval zijn niet gegeven, maar de autoriteiten verwachten dat werkzaamheden bij de getroffen containerterminals morgen kunnen worden hervat, zo meldt The Asahi Shimbun. Autofabrikant Toyota Motor, dat via de haven van Nagoya de meeste auto's verscheept, stelt dat de aanval nog geen gevolgen heeft voor de leveringen van nieuwe auto's, maar dat te importeren en exporteren onderdelen niet kunnen worden geladen op de haven totdat het probleem is verholpen. Een woordvoerder laat aan The Business Times weten dat er op dit moment geen impact op de productie is.
Microsoft ontkent datalekken en diefstal van 30 miljoen klantenaccounts
Microsoft heeft de beweringen van hacktivisten genaamd "Anoniem Sudan" ontkend dat ze de servers van het bedrijf hebben gehackt en inloggegevens hebben gestolen voor 30 miljoen klantaccounts. Anoniem Sudan is eerder verantwoordelijk geweest voor DDoS-aanvallen tegen Westerse entiteiten. Vorige maand heeft Microsoft toegegeven dat Anonymous Sudan verantwoordelijk was voor verstoringen van verschillende diensten, waaronder Azure, Outlook en OneDrive. De hacktivisten beweerden gisteren dat ze succesvol Microsoft hadden gehackt en toegang hadden tot een database met miljoenen Microsoft-accounts, e-mails en wachtwoorden. Microsoft heeft deze claims echter botweg ontkend en zegt dat er geen bewijs is dat klantgegevens zijn benaderd of gecompromitteerd. Het is nog onduidelijk of het onderzoek van Microsoft is afgerond en hoe het bedrijf zal reageren op de mogelijke openbare vrijgave van de gegevens.
Chinese hackers targeten Europese overheidsinstanties in SmugX-phishingcampagne
Sinds december 2022 heeft een phishingcampagne genaamd SmugX Europese ambassades en ministeries van Buitenlandse Zaken in het VK, Frankrijk, Zweden, Oekraïne, Tsjechië, Hongarije en Slowakije aangevallen. Onderzoekers van Check Point hebben vastgesteld dat de campagne gerelateerd is aan Chinese dreigingsactoren en overlapt met eerdere activiteiten van geavanceerde aanhoudende dreigingsgroepen zoals Mustang Panda en RedDelta. De aanvallen maken gebruik van HTML-smokkeltechnieken om kwaadaardige ladingen te verbergen in gecodeerde HTML-documenten. De malware die wordt verspreid, omvat de PlugX remote access trojan (RAT), die wordt gebruikt voor spionageactiviteiten. De campagne wijst erop dat Chinese dreigingsgroepen steeds meer geïnteresseerd zijn in Europese doelen, hoogstwaarschijnlijk voor spionagedoeleinden.
NCTV waarschuwt voor voortdurende en evoluerende digitale dreiging in Nederland
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in het Cybersecuritybeeld Nederland 2023 gewaarschuwd dat de digitale dreiging voor Nederland onverminderd groot is en voortdurend verandert. Het rapport benadrukt dat het nemen van basismaatregelen nog steeds een effectieve barrière vormt tegen verschillende soorten cyberaanvallen. NCTV Pieter-Jaap Aalbersberg wijst erop dat cybercriminelen steeds slimmer worden en dat het vergroten van de weerbaarheid essentieel is. Het rapport waarschuwt ook voor de dreigingen van nieuwe technologieën, zoals generatieve AI, die het ontwikkelen van malware gemakkelijker kunnen maken en de geloofwaardigheid van phishingmails kunnen vergroten. Organisaties worden aangemoedigd om basismaatregelen te treffen om digitale incidenten te voorkomen of tijdig te detecteren. Desondanks benadrukt de NCTV dat cyberincidenten niet altijd te voorkomen zijn en dat het belangrijk is om het onverwachte te verwachten.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language