Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week hebben cyberaanvallen een ongekende piek bereikt, waarbij zowel grote als kleine organisaties het doelwit waren van geavanceerde cybercriminelen. TomTom Nederland en TenneT werden slachtoffers van de beruchte CLOP-cybercriminelen en gegevensdiefstal via een aanval op MOVEit Transfer-software. Progress, de ontwikkelaar van MOVEit Transfer, heeft opnieuw gewaarschuwd voor kritieke kwetsbaarheden in hun software, die honderden organisaties hebben getroffen.
Ransomware-betalingen hebben in 2023 een recordhoogte bereikt, met een toename van zowel grote als kleine betalingen. Cybercriminelen hebben actieve aanvallen uitgevoerd op een zerodaylek in de Zimbra-mailserver en er is een aanzienlijke toename waargenomen van USB-gedreven malware-aanvallen in de eerste helft van 2023.
Een Russische hackgroep heeft diplomaten gelokt met BMW-advertenties voor een malware-aanval, terwijl andere cybercriminelen toegang hebben verkregen tot e-mails via vervalste tokens op Outlook.com en Outlook Web Access. Een nog niet gepatchte zeroday in Microsoft Office is gebruikt in aanvallen op Europese instanties.
Tot slot hebben de RomCom Hackers phishing-aanvallen uitgevoerd op organisaties die Oekraïne steunen en gasten van de NAVO-top.
Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| selmi.com.br | LockBit | selmi.com.br | Brazil | Food Products | 16-jul.-23 |
| Baumschlager Hutter Partners | BlackCat (ALPHV) | baumschlagerhutter.com | Austria | Construction | 16-jul.-23 |
| confido.ae | STORMOUS | confido.ae | United Arab Emirates | Construction | 16-jul.-23 |
| confido.eu | STORMOUS | confido.eu | Netherlands | IT Services | 16-jul.-23 |
| equmedia.es | LockBit | equmedia.es | Spain | Business Services | 15-jul.-23 |
| magnumphotos.com | LockBit | magnumphotos.com | USA | Membership Organizations | 15-jul.-23 |
| Jasper Picture Company | STORMOUS | www.jasperpictures.com.au | Australia | Miscellaneous Services | 15-jul.-23 |
| co.langlade.wi.us | LockBit | co.langlade.wi.us | USA | General Government | 15-jul.-23 |
| hgc.com.hk | LockBit | hgc.com.hk | Hong Kong | Communications | 15-jul.-23 |
| province.namur.be | LockBit | province.namur.be | Belgium | General Government | 15-jul.-23 |
| energym.co.il | LockBit | energym.co.il | Israel | Miscellaneous Retail | 15-jul.-23 |
| konrad-mr.de | LockBit | konrad-mr.de | Germany | Measuring, Analyzing, Controlling Instruments | 15-jul.-23 |
| greatlakesmbpm.com | LockBit | greatlakesmbpm.com | USA | Health Services | 15-jul.-23 |
| Highland Health Systems | BlackCat (ALPHV) | highlandhealthsystems.org | USA | Health Services | 15-jul.-23 |
| Superloop ISP | Cyclops | superloop.com | Australia | Communications | 15-jul.-23 |
| Chin Hin Group | BlackCat (ALPHV) | www.chinhingroup.com | Malaysia | Wholesale Trade-durable Goods | 14-jul.-23 |
| Meteksan Defence Industry | Money Message | www.meteksan.com | Turkey | Depository Institutions | 14-jul.-23 |
| www.jordanairmotive.com | NoEscape | www.jordanairmotive.com | Jordan | Repair Services | 14-jul.-23 |
| www.bsdc.ac.uk | NoEscape | www.bsdc.ac.uk | UK | Educational Services | 14-jul.-23 |
| CPA Advisors Group | 8BASE | www.cpaadvisorsgroup.com | USA | Accounting Services | 14-jul.-23 |
| Info Salons | 8BASE | infosalonsgroup.com | Australia | IT Services | 14-jul.-23 |
| Kenya Bureau Of Standards | Rhysida | www.kebs.org | Kenya | General Government | 14-jul.-23 |
| VOSS.NET | CL0P | voss.net | Germany | Transportation Equipment | 14-jul.-23 |
| UFCU.ORG | CL0P | ufcu.org | USA | Non-depository Institutions | 14-jul.-23 |
| YAKULT.COM.PH | CL0P | yakult.com.ph | Philippines | Food Products | 14-jul.-23 |
| ROCHESTER.EDU | CL0P | rochester.edu | USA | Educational Services | 14-jul.-23 |
| SHUTTERFLY.COM | CL0P | shutterfly.com | USA | Personal Services | 14-jul.-23 |
| DISCOVERY.COM | CL0P | discovery.com | USA | Communications | 14-jul.-23 |
| ASPENTECH.COM | CL0P | aspentech.com | USA | IT Services | 14-jul.-23 |
| MOTHERSON.COM | CL0P | motherson.com | India | Transportation Equipment | 14-jul.-23 |
| PAYCOM.COM | CL0P | paycom.com | USA | IT Services | 14-jul.-23 |
| Gerber Childrenswear LLC | Akira | www.gerberchildrenswear.com | USA | Apparel And Accessory Stores | 13-jul.-23 |
| Blackjewel L.L.C. | LockBit | Unknown | USA | Mining | 13-jul.-23 |
| Telepizza | 8BASE | www.telepizza.es | Spain | Eating And Drinking Places | 13-jul.-23 |
| The Traffic Tech | 8BASE | www.traffic-tech.com | USA | Motor Freight Transportation | 13-jul.-23 |
| Quikcard Solutions Inc. | 8BASE | www.quikcard.com | Canada | Insurance Carriers | 13-jul.-23 |
| Jadranka Group | 8BASE | jadranka.hr | Croatia | Lodging Places | 13-jul.-23 |
| Dental One Craigieburn | 8BASE | dental1.com.au | Australia | Health Services | 13-jul.-23 |
| ANL Packaging | 8BASE | www.anlpackaging.fr | Belgium | Rubber, Plastics Products | 13-jul.-23 |
| BTU | 8BASE | btu-sa.com | Argentina | Construction | 13-jul.-23 |
| GRIPA.ORG | CL0P | gripa.org | USA | Health Services | 13-jul.-23 |
| SLB.COM | CL0P | slb.com | USA | Engineering Services | 13-jul.-23 |
| AMCTHEATRES.COM | CL0P | amctheatres.com | USA | Amusement And Recreation Services | 13-jul.-23 |
| AINT.COM | CL0P | aint.com | USA | Aerospace | 13-jul.-23 |
| JACKENTERTAINMENT.COM | CL0P | jackentertainment.com | USA | Amusement And Recreation Services | 13-jul.-23 |
| NASCO.COM | CL0P | nasco.com | USA | IT Services | 13-jul.-23 |
| TGIDIRECT.COM | CL0P | tgidirect.com | USA | Business Services | 13-jul.-23 |
| HONEYWELL.COM | CL0P | honeywell.com | USA | Aerospace | 13-jul.-23 |
| CLEARESULT.COM | CL0P | clearesult.com | USA | Engineering Services | 13-jul.-23 |
| RADIUSGS.COM | CL0P | radiusgs.com | USA | Business Services | 13-jul.-23 |
| Ministry of Energy and Mines of Cuba | STORMOUS | www.minem.gob.cu | Cuba | General Government | 12-jul.-23 |
| Ministerio de Cultura de la RepΓΊblica de Cuba | STORMOUS | www.mincult.cu | Cuba | General Government | 12-jul.-23 |
| Ministry of Foreign Trade and Foreign Investment of Cuba | STORMOUS | www.mincex.gob.cu | Cuba | Public Finance, Taxation | 12-jul.-23 |
| affinityhealthservices.net | LockBit | affinityhealthservices.net | USA | Business Services | 12-jul.-23 |
| Henock Construction | BianLian | henockconstruction.com | USA | Construction | 12-jul.-23 |
| innodisgroup.com | NoEscape | innodisgroup.com | Mauritius | Food Products | 12-jul.-23 |
| Divgi-TTS | BlackCat (ALPHV) | www.divgi-tts.com | India | Transportation Equipment | 12-jul.-23 |
| Eastin Hotel Makkasan Bangkok | BlackCat (ALPHV) | www.eastinhotelsresidences.com | Bangkok | Lodging Places | 12-jul.-23 |
| SMS-SME | BlackCat (ALPHV) | sms-sme.com | Singapore | Transportation Equipment | 12-jul.-23 |
| Algeiba.com | BlackCat (ALPHV) | algeiba.com | Argentina | IT Services | 12-jul.-23 |
| Amber Court | BlackCat (ALPHV) | www.ambercourtal.com | USA | Health Services | 12-jul.-23 |
| Maruchan Inc | BlackCat (ALPHV) | www.maruchan.com | USA | Food Products | 12-jul.-23 |
| Schmidt Salzman & Moran, Ltd | Akira | www.ssmtax.com | USA | Legal Services | 12-jul.-23 |
| Wright Moore DeHart Dupuis & Hutchinson | BlackCat (ALPHV) | www.wmddh.com | USA | Accounting Services | 12-jul.-23 |
| Better System Co.,Ltd | Qilin | www.bettersystem.co.th | Thailand | Transportation Services | 12-jul.-23 |
| www.protactics.com.co | NoEscape | www.protactics.com.co | Colombia | Engineering Services | 12-jul.-23 |
| BM GROUP POLYTEC S.p.A. | Rhysida | www.polytec.bmgroup.com | Italy | Machinery, Computer Equipment | 12-jul.-23 |
| Hollywood Forever | Rhysida | www.hollywoodforever.com | USA | Miscellaneous Services | 12-jul.-23 |
| Ayuntamiento de Arganda City Council | Rhysida | www.ayto-arganda.es | Spain | General Government | 12-jul.-23 |
| Polanglo | 8BASE | www.polanglo.pl | Poland | Wholesale Trade-non-durable Goods | 12-jul.-23 |
| KIRWIN FRYDAY MEDCALF Lawyers LLP | 8BASE | kevinfryday.homesandland.com | Canada | Legal Services | 12-jul.-23 |
| ROBERT L BAYLESS PRODUCER LLC | 8BASE | www.rlbayless.com | USA | Oil, Gas | 12-jul.-23 |
| Cabra Consulting Ltd | 8BASE | www.cabra.ca | Canada | Oil, Gas | 12-jul.-23 |
| Pesquera Diamante S.A. | 8BASE | www.diamante.com.pe | Peru | Food Products | 12-jul.-23 |
| Weitkamp Β· Hirsch and Kollegen Steuerberatungsgesellschaft mbH | 8BASE | whk-schleswig.de | Germany | Accounting Services | 12-jul.-23 |
| Kansas medical center LLC | 8BASE | ksmedcenter.com | USA | Health Services | 12-jul.-23 |
| Danbury Public Schools | 8BASE | www.danbury.k12.ct.us | USA | Educational Services | 12-jul.-23 |
| Advanced Fiberglass Industries | 8BASE | www.afi.ae | United Arab Emirates | Miscellaneous Manufacturing Industries | 12-jul.-23 |
| Citelis Mobility | 8BASE | citelis.com.mx | Mexico | Automotive Dealers | 12-jul.-23 |
| Motor Components, LLC | 8BASE | www.facet-purolator.com | USA | Machinery, Computer Equipment | 12-jul.-23 |
| CONSOLENERGY.COM | CL0P | consolenergy.com | USA | Mining | 12-jul.-23 |
| KALEAERO.COM | CL0P | kaleaero.com | Turkey | Aerospace | 12-jul.-23 |
| AGILYSYS.COM | CL0P | agilysys.com | USA | IT Services | 12-jul.-23 |
| SCCU.COM | CL0P | sccu.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 12-jul.-23 |
| ARVATO.COM | CL0P | arvato.com | Germany | Transportation Services | 12-jul.-23 |
| RITEAID.COM | CL0P | riteaid.com | USA | Miscellaneous Retail | 12-jul.-23 |
| PIONEERELECTRONICS.COM | CL0P | pioneerelectronics.com | Japan | Electronic, Electrical Equipment, Components | 12-jul.-23 |
| BAM.COM.GT | CL0P | bam.com.gt | Guatemala | Security And Commodity Brokers, Dealers, Exchanges, And Services | 12-jul.-23 |
| TOMTOM.COM | CL0P | tomtom.com | Netherlands | Electronic, Electrical Equipment, Components | 12-jul.-23 |
| EMERSON.COM | CL0P | emerson.com | USA | Machinery, Computer Equipment | 12-jul.-23 |
| Propper International | Money Message | www.propper.com | USA | Apparel And Other Finished Products | 11-jul.-23 |
| Nipun Consultancy | STORMOUS | nipunpharmaskill.com | Unknown | Educational Services | 11-jul.-23 |
| mamboafricaadventure | STORMOUS | mamboafricaadventure.com | Tanzania | Amusement And Recreation Services | 11-jul.-23 |
| A123 Systems | Akira | www.a123systems.com | USA | Electronic, Electrical Equipment, Components | 11-jul.-23 |
| LivaNova | Qilin | livanova.com | UK | Miscellaneous Manufacturing Industries | 11-jul.-23 |
| MicroPort Scientific | Qilin | microport.com | China | Miscellaneous Manufacturing Industries | 11-jul.-23 |
| panoramaeyecare.com | LockBit | panoramaeyecare.com | USA | Business Services | 11-jul.-23 |
| gis4.addison-il | Cuba | gis4.addison-il.org | USA | General Government | 11-jul.-23 |
| RICOHACUMEN.COM | CL0P | ricohacumen.com | USA | Machinery, Computer Equipment | 11-jul.-23 |
| SMA.DE | CL0P | sma.de | Germany | Machinery, Computer Equipment | 11-jul.-23 |
| VRM.DE | CL0P | vrm.de | Germany | Publishing, printing | 11-jul.-23 |
| UMASSMED.EDU | CL0P | umassmed.edu | USA | Educational Services | 11-jul.-23 |
| VISIONWARE.CA | CL0P | visionware.ca | Canada | IT Services | 11-jul.-23 |
| JHU.EDU | CL0P | jhu.edu | USA | Educational Services | 11-jul.-23 |
| FMFCU.ORG | CL0P | fmfcu.org | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 11-jul.-23 |
| JPRMP.COM | CL0P | jprmp.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 11-jul.-23 |
| WESTAT.COM | CL0P | westat.com | USA | Research Services | 11-jul.-23 |
| RADISSONHOTELSAMERICAS.COM | CL0P | radissonhotelsamericas.com | USA | Lodging Places | 11-jul.-23 |
| Customer Elation | RansomHouse | www.customerelation.com | USA | Business Services | 10-jul.-23 |
| Hamre Schumann Mueller & Larson HSML | Akira | www.hsml.com | USA | Legal Services | 10-jul.-23 |
| Green Diamond | Akira | www.greendiamond.com | USA | Lumber And Wood Products | 10-jul.-23 |
| Belize Electricity Limited | Ragnar_Locker | www.bel.com.bz | Belize | Electric, Gas, And Sanitary Services | 10-jul.-23 |
| CROWE.COM | CL0P | crowe.com | USA | Accounting Services | 10-jul.-23 |
| AUTOZONE.COM | CL0P | autozone.com | USA | Miscellaneous Retail | 10-jul.-23 |
| BCDTRAVEL.COM | CL0P | bcdtravel.com | Netherlands | Miscellaneous Services | 10-jul.-23 |
| AMERICANNATIONAL.COM | CL0P | americannational.com | USA | Insurance Carriers | 10-jul.-23 |
| USG.EDU | CL0P | usg.edu | USA | Educational Services | 10-jul.-23 |
| CYTOMX.COM | CL0P | cytomx.com | USA | Chemical Producers | 10-jul.-23 |
| MARYKAY.COM | CL0P | marykay.com | USA | Merchandise Stores | 10-jul.-23 |
| FISCDP.COM | CL0P | fiscdp.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 10-jul.-23 |
| KERNAGENCY.COM | CL0P | kernagency.com | USA | Business Services | 10-jul.-23 |
| UOFLHEALTH.ORG | CL0P | uoflhealth.org | USA | Health Services | 10-jul.-23 |
| L8SOLUTIONS.CO.UK | CL0P | l8solutions.co.uk | UK | IT Services | 10-jul.-23 |
| TDAMERITRADE.COM | CL0P | tdameritrade.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 10-jul.-23 |
| leeindustries.com | LockBit | leeindustries.com | USA | Furniture | 10-jul.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| province.namur.be | LockBit | province.namur.be | Belgium | General Government | 15-jul.-23 |
| ANL Packaging | 8BASE | www.anlpackaging.fr | Belgium | Rubber, Plastics Products | 13-jul.-23 |
| TOMTOM.COM | CL0P | tomtom.com | Netherlands | Electronic, Electrical Equipment, Components | 12-jul.-23 |
| BCDTRAVEL.COM | CL0P | bcdtravel.com | Netherlands | Miscellaneous Services | 10-jul.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
17-juli-2023 om 08:57
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Gamaredon-hackers stelen gegevens binnen 30 minuten na inbraak
Het Oekraïense Computer Emergency Response Team (CERT-UA) waarschuwt voor de snelle operaties van de Gamaredon-hackers, die gegevens stelen van geïnfecteerde systemen binnen een uur na een inbraak. Gamaredon, ook bekend als Armageddon, UAC-0010 en Shuckworm, is een door de staat gesponsorde Russische cyber-spionagegroep die wordt gelinkt aan de FSB. Sinds het begin van de Russische invasie heeft de groep duizenden aanvallen uitgevoerd op de regering en andere kritieke organisaties in Oekraïne. De aanvallen van Gamaredon beginnen meestal met het verzenden van kwaadaardige e-mails of berichten via verschillende instant messaging-apps. Zodra het slachtoffer de kwaadaardige bijlagen opent, wordt er malware geïnstalleerd en worden PowerShell-scripts uitgevoerd. Gamaredon heeft ook de mogelijkheid om bestanden met specifieke extensies te targeten en binnen 30-50 minuten gegevens te exfiltreren. Om de effectiviteit van Gamaredon-aanvallen te beperken, adviseert CERT-UA het blokkeren of beperken van de uitvoering van bepaalde uitvoerbare bestanden.
Microsoft onzeker over hoe Azure AD-ondertekeningssleutel door hackers is gestolen
Microsoft heeft onthuld dat het nog steeds niet zeker weet hoe Chinese hackers erin geslaagd zijn om een inactieve Microsoft-account (MSA) consumentenondertekeningssleutel te stelen. Deze sleutel werd gebruikt om de Exchange Online- en Azure AD-accounts van ongeveer 24 organisaties, waaronder overheidsinstellingen, te schenden. Microsoft heeft aangegeven dat de manier waarop de hackers de sleutel hebben verkregen nog steeds wordt onderzocht. Na de schending heeft Microsoft de gestolen MSA-ondertekeningssleutel ongeldig gemaakt, wat heeft geleid tot een afname van gerelateerde hackeractiviteiten. Ondanks deze maatregel hebben de aanvallers, bekend als Storm-0558, nu andere technieken omarmd.
Rockwell waarschuwt voor gevaren van ongepatchte communicatiemodules door nieuwe APT RCE-exploit
Rockwell Automation heeft gewaarschuwd voor een nieuwe externe code-uitvoering (RCE) -exploit die is gekoppeld aan een niet nader genoemde Advanced Persistent Threat (APT) -groep. Deze exploit zou kunnen worden gebruikt om ongepatchte ControlLogix-communicatiemodules te targeten, welke veelvuldig worden ingezet in productie, elektrische, olie- en gas- en vloeibaar gemaakte aardgasindustrieën. Rockwell werkte samen met de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) om de exploit te analyseren. De exploit kan ook de firmware van de module manipuleren, het geheugen van de module wissen, het dataverkeer van en naar de module wijzigen, en mogelijk van invloed zijn op het industriële proces dat het ondersteunt. Rockwell raadt dringend aan de beveiligingspatches toe te passen op alle betrokken producten.
Staatsgestuurde Spearphishing Aanval op JumpCloud: Specifieke Klanten Doelwit
Het beveiligingsincident waar JumpCloud een week geleden mee te maken kreeg was een aanval door een statelijke actor gericht tegen een "klein aantal specifieke klanten", aldus het softwarebedrijf in een verklaring. Door middel van spearphishing werd er toegang tot systemen van JumpCloud gekregen, waarna klanten het doelwit werden. Na ontdekking van de aanval besloot het bedrijf om alle admin API-keys van klanten te roteren. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Vorige week donderdag verstuurde het bedrijf een e-mail naar klanten dat uit voorzorg vanwege een lopend incident de API-keys werden geroteerd. JumpCloud is nu met iets meer details gekomen en stelt dat het om een aanval door een statelijke actor ging die toegang tot de systemen van het softwarebedrijf had gekregen. Deze toegang vond plaats via spearphishing. Verdere details over deze phishingcampagne zijn niet gegeven, behalve dat die op 22 juni plaatsvond. Op 27 juni ontdekte JumpCloud verdachte activiteit op een intern systeem. Op dat moment waren er volgens het softwarebedrijf geen gevolgen voor klanten zichtbaar. Er werd besloten om de getroffen infrastructuur opnieuw op te bouwen en inloggegevens te wijzigen. Op 5 juli werd echter verdachte activiteit waargenomen in het "commands framework" van een "klein aantal" klanten. Om hoeveel klanten het precies laat JumpCloud niet weten. Na ontdekking werd besloten om de API-keys te roteren. Nader onderzoek wijst volgens JumpCloud uit dat het om een "zeer gerichte en beperkte aanval" tegen specifieke klanten gaat. Verdere details zijn echter niet gegeven.
Cybercriminelen voeren actieve aanvallen uit op Zerodaylek in Zimbra-mailserver
Google waarschuwt organisaties voor een actief aangevallen zerodaylek in Zimbra-mailservers. Een beveiligingsupdate is nog niet beschikbaar, wel een fix die beheerders handmatig moeten doorvoeren. Dat laat Zimbra in een beveiligingsbulletin weten, maar daarin wordt nergens gemeld dat er actief misbruik van de kwetsbaarheid plaatsvindt. Via Twitter laat Googles Maddie Stone weten dat het zerodaylek bij een gerichte aanval is ontdekt. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Details over de kwetsbaarheid zijn niet door Zimbra gegeven, behalve dat in versie 8.8.15 aanwezig is en de "vertrouwelijkheid en integriteit" van de data kan beïnvloeden. Zolang een patch niet beschikbaar is kunnen organisaties zich beschermen door voor alle mailbox-nodes een parameter te wijzigen. Zimbra-mailservers zijn vaker het doelwit van aanvallen. Eerder dit jaar waarschuwde de Amerikaanse overheid voor een actief aangevallen cross-site scripting (XSS) lek in Zimbra-webmail, waarmee aanvallers inloggegevens van gebruikers stelen en vervolgens toegang tot de mailbox krijgen. Eind vorig jaar liet antivirusbedrijf Kaspersky weten dat aanvallers bijna negenhonderd Zimbra-mailservers door middel van een kritieke kwetsbaarheid hadden overgenomen.
.@_clem1 discovered this being used in-the-wild in a targeted attack. Thank you to @Zimbra for publishing this advisory and mitigation advice! If you run Zimbra Collaboration Suite, please go manually apply the fix! #itw0days https://t.co/lqwt0kOFWA
β Maddie Stone (@maddiestone) July 13, 2023
AVrecon Malware Infecteert Meer Dan 70.000 SOHO-Routers, Bouwt Gigantisch Botnet
Sinds mei 2021 heeft de sluipende Linux-malware AVrecon meer dan 70.000 Linux-gebaseerde kleine kantoor/thuiskantoor (SOHO) routers geïnfecteerd en een botnet opgebouwd dat ontworpen is om bandbreedte te stelen en verborgen residentiële proxy-services te bieden. Volgens het bedreigingsonderzoeksteam van Black Lotus Labs, zijn er ongeveer 40.000 apparaten toegevoegd aan het botnet. AVrecon heeft met succes detectie vermeden sinds het voor het eerst werd gezien in mei 2021, waarbij het zich voornamelijk richtte op Netgear-routers. Hierdoor kon het langzaam nieuwe bots slaven maken en zich ontwikkelen tot een van de grootste SOHO-routergerichte botnets die de afgelopen jaren zijn ontdekt. Het Black Lotus-beveiligingsteam is erin geslaagd de verbinding tussen het botnet en de centrale controleserver te verbreken, waardoor de mogelijkheid voor schadelijke activiteiten aanzienlijk wordt verminderd. AVrecon wordt door bedreigingsactoren gebruikt om verkeer te proxyen en te betrekken bij kwaadaardige activiteiten, zoals wachtwoordspuiten. (Bron, bron 2)
Nep-Linux Exploit Brengt Wachtwoord-Stelende Malware Aan het Licht
Cybersecurity-onderzoekers en dreigingsactoren zijn het doelwit van een valse Proof of Concept (PoC) CVE-2023-35829 exploit, die een Linux wachtwoord-stelende malware installeert. De valse PoC, die is ontdekt door Uptycs-analisten, is vermomd als een exploit voor de ernstige CVE-2023-35829 fout, maar is in werkelijkheid een kopie van een oude, legitieme exploit. Na de lancering creëert de PoC een 'kworker' bestand voor persistentie en contacteert vervolgens de aanvaller's C2-server om een Linux bash-script te downloaden en uit te voeren. Dit script steelt waardevolle data van het systeem, wijzigt het '~/.ssh/authorized_keys' bestand om de aanvaller ongeautoriseerde externe toegang te geven tot de server, en exfiltreert uiteindelijk gegevens via 'transfer.sh'. Onderzoekers worden geadviseerd om verdachte ssh-sleutels te verwijderen, de kworker-bestanden te verwijderen, en de code van PoC's te inspecteren alvorens deze uit te voeren.
Toenemende Cyberaanvallen via Browserextensies en Gebruikersprofielinstallaties
Cyberaanvallen worden steeds vaker uitgevoerd via browserextensies en installaties van tools in gebruikersprofielen. Deze trend is het resultaat van een verschuiving van aanvallen op beheerdersaccounts naar beperkte gebruikersaccounts. Cybercriminelen richten zich nu op applicaties die gebruikers zelf kunnen installeren, variërend van extensies tot pakketten die automatisch kunnen updaten en legitiem lijken. Recent is er een toename van aanvallen via Chrome-extensies, zoals de Rilide malware die zich voordoet als een Google Drive-extensie. Om zich te beschermen, is het belangrijk dat IT-organisaties proactief controleren wat hun gebruikers kunnen installeren en gebruiken. In geval van een aanval moeten de inloggegevens van de gebruiker snel worden geverifieerd en gereset met tools zoals Specops uReset. Het gebruik van meervoudige authenticatie (MFA) wordt sterk aangeraden om toekomstige inbreuken te voorkomen.
Cybercriminelen kunnen misbruik maken van upload-lek in WordPress plug-in
Tienduizenden WordPress-sites zijn door middel van een kritiek lek in een gebruikte plug-in voor het registreren van gebruikers over te nemen. De ontwikkelaar heeft een update uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. De kwetsbaarheid bevindt zich in User Registration, een plug-in waarmee WordPress-sites de registratiepagina voor gebruikers kunnen aanpassen, alsmede profielpagina's voor gebruikers maken. Meer dan 60.000 WordPress-sites maken gebruik van de plug-in. User Registration blijkt een hardcoded encryptiesleutel te gebruiken, die voor alle installaties van de plug-in hetzelfde is, en bepaalde bestandstypes bij het uploaden van profielafbeeldingen niet te controleren. Daardoor kan een aanvaller bijvoorbeeld malafide PHP-code als "profielafbeelding" uploaden en zo de website overnemen. De ontwikkelaar werd op 19 juni door onderzoekers van securitybedrijf Wordfence over het lek ingelicht. Op 29 juni verscheen er een beveiligingsupdate, maar die bleek het probleem niet volledig te verhelpen. Op 4 juli kwam er wel een volledig werkende patch. Uit cijfers van WordPress blijkt dat van de meer dan 60.000 WordPress-sites die de plug-in hebben geïnstalleerd er pas 24.000 up-to-date zijn. Beheerders die de laatste versie nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen, aangezien Wordfence details over de kwetsbaarheid openbaar heeft gemaakt.
Aanzienlijke Toename van USB-Gedreven Malware Aanvallen in Eerste Helft van 2023
In de eerste helft van 2023 is er een drievoudige toename waargenomen in malware aanvallen gedistribueerd via USB-drives, volgens een rapport van cybersecurity bedrijf Mandiant. Twee belangrijke USB-geleverde malwarecampagnes zijn ontdekt, genaamd 'Sogu' en 'Snowydrive'. 'Sogu', gelinkt aan de Chinese spionagegroep 'TEMP.HEX', is een agressieve wereldwijde cyberspionagecampagne die gegevens probeert te stelen van geïnfecteerde computers. De slachtoffers bevinden zich voornamelijk in de farmaceutische, IT-, energie-, communicatie-, gezondheids- en logistieke sector in verschillende landen. De 'Sogu' malware maakt gebruik van een methode genaamd DLL-orderkaping en creëert een register-run sleutel voor persistentie. Vervolgens worden waardevolle gegevens in documenten verzameld en geëxtraheerd naar de C2 server. 'Snowydrive', gelinkt aan UNC4698 en gericht op olie- en gasbedrijven in Azië, infecteert computers met een achterdeur die de aanvallers toestaat om willekeurige payloads uit te voeren, het register te wijzigen en bestands- en mapacties uit te voeren. De malware gebruikt een legitieme Notepad++ updater om specifieke bestanden en extensies te verbergen. Ondanks dat USB-aanvallen fysieke toegang tot de doelcomputers vereisen, bieden ze unieke voordelen zoals het omzeilen van beveiligingsmechanismen en de mogelijkheid om air-gapped systemen te infecteren. Daarom blijven USB-aanvallen relevant en stijgen in 2023, volgens Mandiant.
Nieuwe PyLoose-malware exploiteert Linux-cloudwerkbelastingen voor Monero-mining
PyLoose, een nieuwe bestandloze malware, exploiteert cloudwerkbelastingen om de computationele bronnen te kapen voor het minen van Monero-cryptocurrency. Dit Python-script voert een voorgecompileerde XMRig-miner uit, een vaak misbruikte open-source tool voor het oplossen van complexe algoritmes voor cryptomining. Vanwege de directe uitvoering uit het geheugen, is PyLoose uitzonderlijk moeilijk te detecteren met beveiligingstools en laat het geen fysieke voetafdruk achter op de systeemschijven, wat de detectie op basis van handtekeningen vermindert. Het maakt gebruik van legitieme systeemtools om kwaadaardige code in echte processen te injecteren. PyLoose wordt opgehaald via een HTTPS GET-verzoek van een Pastebin-achtige site en rechtstreeks geladen in het runtime-geheugen van Python. Vervolgens wordt het PyLoose-script gedecodeerd en gedecomprimeerd, waardoor een XMRig-miner rechtstreeks in het geheugen wordt geladen met behulp van het "memfd" Linux-hulpprogramma. Ondanks dat de identiteit van de bedreigingsactoren onbekend blijft, lijkt de aanvaller achter PyLoose zeer geavanceerd en onderscheidt deze zich van typische dreigingsactoren in cloudwerkbelastingaanvallen. Beheerders van cloudinstanties wordt aangeraden diensten met code-uitvoeringsmogelijkheden niet openbaar bloot te stellen, sterke wachtwoorden en multi-factor authenticatie te gebruiken, en systeemcommando-uitvoeringsrestricties in te stellen. (Bron, Bron2)
Russische Hackgroep Lokt Diplomaten met BMW Advertenties voor Malware-aanval
De door de Russische overheid gesponsorde hackgroep 'APT29', ook bekend als Nobelium of Cloaked Ursa, gebruikt onconventionele middelen zoals autolijsten om diplomaten in Oekraïne te verleiden tot het klikken op kwaadaardige links die malware verspreiden. Deze groep, verbonden aan de Russische buitenlandse inlichtingendienst (SVR), heeft meerdere cyberspionagecampagnes uitgevoerd tegen hooggeplaatste individuen wereldwijd. In de afgelopen twee jaar hebben zij zich gericht op de NAVO, de EU en Oekraïense doelen via phishing-e-mails, valse documenten en websites. Een recent rapport van Palo Alto Network's Unit 42 team toont aan dat APT29 zijn phishing-tactieken heeft aangepast, waarbij ze nu meer persoonlijk afgestemde lokmiddelen gebruiken. Een recente campagne betrof het sturen van een BMW-autoreclame naar diplomaten in de Oekraïense hoofdstad Kiev, waarbij een legitieme autoverkoop werd geïmiteerd. Wanneer de ontvangers op de link "meer hoogwaardige foto's" klikten, werden zij doorgestuurd naar een HTML-pagina die kwaadaardige ISO-bestanddownloads leverde. De groep gebruikte een techniek genaamd HTML-smokkel om kwaadaardige payloads te verbergen in de webpagina. Het is onbekend hoeveel diplomaten er uiteindelijk geïnfecteerd zijn geraakt, maar minstens 22 van de 80 buitenlandse missies in Kiev werden getarget, waaronder die van de Verenigde Staten, Canada, Turkije, Spanje, Nederland, Griekenland, Estland en Denemarken.
TenneT slachtoffer van gegevensdiefstal na aanval op MOVEit Transfer-software
Netbeheerder TenneT is slachtoffer van een datalek geworden nadat criminelen via een zerodaylek toegang tot bestanden op de MOVEit Transfer-server van het bedrijf kregen. TenneT ontdekte naar eigen zeggen op woensdag 31 mei dat aanvallers bezig waren met het kopiëren van gegevens. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De criminelen achter de Clop-ransomware gebruikten eind mei een zerodaylek in MOVEit Transfer voor het stelen van allerlei databases met persoonsgegevens. De criminelen dreigen de gestolen data via hun eigen website te publiceren als slachtoffers niet betalen. Volgens TenneT is erbij de aanval data gekopieerd die via MOVEit Transfer werd verstuurd of ontvangen. "De gekopieerde data is geanalyseerd op (privacy)gevoeligheid. Indien nodig zoekt TenneT contact met bedrijven en personen waarvan mogelijk (privacygevoelige) informatie is gekopieerd", aldus de netbeheerder. TenneT onderzoekt nog waarom sommige data al langere tijd op de server stond. Er is melding bij de Autoriteit Persoonsgegevens gemaakt en personen die door het datalek zijn getroffen hebben een brief ontvangen. Gisteren bevestigde ook TomTom dat het slachtoffer van de aanval op MOVEit Transfer is geworden.
Waakzaamheid vereist: FBI waarschuwt organisaties voor monitoring van Exchange Online
De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben vitale organisaties opgeroepen om hun Exchange Online-omgeving te monitoren. Aanleiding is een aanval waarbij aanvallers via een Microsoft account (MSA) consumer signing key valse authenticatietokens maakten, en zo toegang tot de e-mailaccounts van zo'n 25 organisaties kregen, alsmede accounts van eindgebruikers. De aanval kwam aan het licht toen een Amerikaanse overheidsinstantie verdachte activiteit in hun Microsoft 365 cloudomgeving waarnam. De overheidsinstantie informeerde Microsoft en het CISA, waarna de aanval werd ontdekt. Volgens de FBI en het CISA kunnen organisaties hun "cyberpostuur" versterken en dergelijke aanvallen detecteren door de gedane aanbevelingen over logging op te volgen. De Amerikaanse overheidsinstantie detecteerde de verdachte activiteit door van uitgebreide logging gebruik te maken, waarbij er met name naar "MailItemsAccessed" events werd gekeken. De FBI en het CISA stellen dat het mogelijk is om lastig te detecteren activiteiten van aanvallers via MailItemsAccessed events toch te detecteren. De twee diensten voegen toe dat ze niet bekend zijn met andere auditlogs of events waarmee de activiteit gedetecteerd had kunnen worden. In een vandaag gepubliceerde advisory worden verschillende aanbevelingen gedaan voor logging bij Exchange Online-omgevingen. "Hoewel deze mitigaties niet kunnen voorkomen wanneer aanvallers misbruik maken van gecompromitteerde consumer keys, verminderen ze de impact van minder geraffineerde activiteit gericht tegen cloudomgevingen", aldus de diensten.
Ransomware-betalingen in 2023 naar recordhoogte; zowel grote als kleine betalingen nemen toe
In de eerste helft van 2023 laten gegevens een toename zien in ransomware-activiteit, met een verwacht recordaantal aan betalingen voor zowel grote als kleine bedragen. Volgens een rapport van blockchain analysebureau Ketenanalyse is ransomware de enige categorie van cryptocurrency-gerelateerde misdaden die een stijging vertoont in 2023, terwijl alle andere categorieën, zoals hacks, oplichting, malware, verkoop van misbruikmateriaal, fraudewinkels en inkomsten uit darknet-markten, een aanzienlijke daling laten zien. Belangrijke ransomwaregroepen zoals BlackBasta, LockBit, ALPHV/Blackcat en Clop voeren het klassement aan met hoge betalingen. In het bijzonder heeft Clop twee massale aanvalsgolven uitgevoerd, waarbij twee nul-dag kwetsbaarheden in bestandsoverdrachtstools werden uitgebuit. Het gevolg hiervan was een recordbrekende maand in maart 2023. Daarnaast worden ook kleinere betalingen waargenomen, toe te schrijven aan opportunistische ransomware-aanbieders zoals Dharma, Phobos, en STOP/DJVU, die slachtoffers chanteren voor een paar honderd dollar. Deskundigen geloven dat de jaarlijkse afname van organisaties die bereid zijn om losgeld te betalen, ertoe kan leiden dat dreigingsactoren hun losgeldeisen strategisch verhogen, in een poging hun verliezen te compenseren met substantiële betalingen van de weinige organisaties die toegeven aan de eisen. (Bron)
Rootkits en malware profiteren van Microsoft's onbedoelde goedkeuring van drivers
Microsoft heeft tientallen drivers gesigneerd die door rootkits en andere malware zijn gebruikt voor het uitschakelen van beveiligingssoftware en Windows User Account Control, alsmede het onderscheppen van netwerkverkeer. Het techbedrijf heeft een update voor Windows uitgebracht die ervoor zorgt dat de drivers niet meer zijn te gebruiken. Ook zijn de accounts van de betreffende driver-ontwikkelaars geschorst. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen. Het gaat om meer dan honderd drivers bij elkaar. Een aanvaller die de driver wil gebruiken moet wel al beheerdersrechten op een gecompromitteerd systeem hebben. De malafide drivers werden door antivirusbedrijven Sophos en Trend Micro en netwerkbedrijf Cisco ontdekt. Volgens Sophos valt het grootste deel van de drivers in de categorie "Endpoint protection killers", bedoeld om beveiligingssoftware op het systeem uit te schakelen. De andere drivers waren rootkits, gebruikt voor het onderscheppen van netwerkverkeer en het uitschakelen van User Account Control. Naast het uitbrengen van een update waardoor de drivers niet meer werken zegt Microsoft ook maatregelen te nemen om toekomstig misbruik van het Windows Hardware Developer Program tegen te gaan. Afgelopen december bleek ook al dat criminelen misbruik van het programma hadden gemaakt.
Cybercriminelen bemachtigen toegang tot e-mail via vervalste tokens op Outlook.com en Outlook Web Access
Een spionagegroep heeft door middel van vervalste authenticatietokens toegang gekregen tot de e-mailaccounts van zo'n 25 organisaties en een niet nader genoemd aantal eindgebruikers die via Outlook.com en Outlook Web Access (OWA) in Exchange Online worden aangeboden, zo heeft Microsoft laten weten. Onder de getroffen organisaties bevinden zich ook overheidsinstanties. Nadat een klant op 16 juni verdachte mailactiviteit aan Microsoft rapporteerde startte het techbedrijf een onderzoek. Daaruit blijkt dat de aanvallers sinds 15 mei toegang tot de e-mailaccounts van getroffen organisaties en gebruikers hadden. De aanvallers gebruikten een verkregen Microsoft account (MSA) consumer signing key voor het vervalsen van de tokens waarmee er toegang tot mailaccounts bij OWA en Outlook.com werd verkregen. MSA keys en Azure AD keys worden vanaf aparte systemen uitgegeven en beheerd en zouden alleen voor hun respectievelijke systemen geldig moeten zijn, aldus Microsoft. De aanvallers maakten echter gebruik van een probleem bij het valideren van tokens, waardoor het mogelijk was om via de vervalste tokens Azure AD-gebruikers te imiteren en zo toegang tot de e-mailaccounts te krijgen. Hoe de aanvallers de MSA signing key in handen kregen laat Microsoft niet weten. Het techbedrijf zegt dat het de beveiliging van de MSA key managementsystemen heeft aangescherpt. Daarnaast is het gebruik van de tokens die met de verkregen MSA key zijn gesigneerd binnen OWA-omgevingen geblokkeerd en is de key in kwestie ook vervangen. Verder zijn alle getroffen organisaties ingelicht. Microsoft stelt dat de spionagegroep, die het Storm-0558 noemt, vanuit China opereert.
Chinese hackers misbruiken Windows-beleid om kwaadaardige drivers te laden
Microsoft heeft code-ondertekeningscertificaten geblokkeerd die voornamelijk door Chinese hackers worden gebruikt om kwaadaardige kerneldrivers te laden op gecompromitteerde systemen, door gebruik te maken van een maas in het Windows-beleid. Deze drivers werken op het hoogste privilege-niveau in Windows en kunnen dus volledige toegang tot de doelmachine krijgen. Ondanks beleidswijzigingen die Microsoft met Windows Vista heeft doorgevoerd, zijn er nog steeds manieren om oudere drivers te laden. Hackers hebben hiervan geprofiteerd door open-source tools 'HookSignTool' en 'FuckCertVerify' te gebruiken om de ondertekeningstijd van kwaadaardige drivers vóór 29 juli 2015 te wijzigen. Ondanks dat Microsoft de misbruikte certificaten heeft ingetrokken en ontwikkelaarsaccounts heeft geschorst, bestaat het risico nog steeds,omdat er mogelijk nog meer certificaten aan het licht komen of gestolen kunnen worden. (Bron)
Cybercriminelen Betrokken bij Datalek bij Serviceprovider van Deutsche Bank
Deutsche Bank AG heeft bevestigd dat er een datalek heeft plaatsgevonden bij een van haar dienstverleners, waardoor klantgegevens werden blootgesteld in wat lijkt op een MOVEit Transfer datadiefstal aanval. Het incident zou te maken kunnen hebben met de recente golf van Clop ransomware-aanvallen, waarbij meer dan 100 bedrijven in meer dan 40 landen mogelijk zijn getroffen. Deutsche Bank heeft verzekerd dat haar eigen systemen op geen enkel moment beïnvloed zijn door dit incident. Het exacte aantal getroffen klanten is niet bekend, maar de bank heeft aangegeven dat alle betrokkenen zijn geïnformeerd over de impact van het lek en de noodzakelijke voorzorgsmaatregelen die ze moeten nemen met betrekking tot hun blootgestelde gegevens. Deutsche Bank is momenteel bezig met het onderzoeken van de oorzaken van het lek en het nemen van maatregelen om haar gegevensbeveiligingsmaatregelen te verbeteren. Hoewel cybercriminelen volgens de bank geen toegang kunnen krijgen tot accounts met behulp van de blootgestelde gegevens, kunnen ze proberen om ongeautoriseerde automatische afschrijvingen te initiëren. Als reactie hierop heeft Deutsche Bank de periode voor het melden van ongeautoriseerde automatische incasso's verlengd tot 13 maanden. Het beveiligingsincident heeft ook andere grote banken en financiële dienstverleners geraakt, waaronder Commerzbank, Postbank, Comdirect en ING. Het Duitse nieuwscentrum Handelsblatt heeft bevestigd dat de inbreukmakende serviceprovider 'Majorel' is, die ook onafhankelijk heeft bevestigd dat het het doelwit was van een cyberaanval.
Amerikaanse Zorgverlener HCA Healthcare Slachtoffer van Cybercriminelen: Privegegevens van Elf Miljoen Patiënten Gelekt
HCA Healthcare, een grote Amerikaanse zorgverlener, heeft privégegevens van elf miljoen patiënten gelekt. De gelekte data, waaronder naam, adres, e-mailadres, telefoonnummer, geboortedatum, geslacht en behandellocatie, wordt online aangeboden. Het bedrijf, dat 180 ziekenhuizen en 2300 locaties in de VS beheert, heeft aangegeven dat de data uitsluitend betrekking heeft op hun Amerikaanse locaties. De informatie werd gestolen van een systeem dat wordt gebruikt voor het opmaken van e-mailberichten. HCA beweert geen kwaadwillige activiteit op hun netwerk of systemen te hebben ontdekt. Het bedrijf gelooft dat er geen informatie over behandelingen, diagnoses of aandoeningen is gestolen. Het onderzoek naar het datalek is nog steeds aan de gang. Na ontdekking van het lek is de toegang tot de gecompromitteerde opslaglocatie onmiddellijk uitgeschakeld. Volgens beveiligingsonderzoeker Brett Callow kan dit mogelijk een van de grootste zorggerelateerde datalekken ooit zijn.
Ongedichte zeroday in Microsoft Office gebruikt in aanvallen op Europese instanties
Overheidsinstanties en defensiebedrijven in Europa en de Verenigde Staten zijn aangevallen via een zerodaylek in Microsoft Office waarvoor nog geen patch beschikbaar is. Alleen het openen van een malafide document is voldoende om met malware besmet te raken, zo heeft Microsoft bekendgemaakt. Het zerodaylek, aangeduid als CVE-2023-36884, is ingezet bij een phishingcampagne die de NAVO-top in Vilnius als onderwerp heeft. Via het beveiligingslek is remote code execution met rechten van de ingelogde gebruiker mogelijk. Volgens Microsoft wordt via de malafide documenten een backdoor geïnstalleerd waarmee de aanvallers inloggegevens stelen die bij latere aanvallen worden gebruikt. De zeroday werd door Microsoft zelf ontdekt, alsmede door onderzoekers van Google en securitybedrijf Volexity. Zolang er nog geen beveiligingsupdate beschikbaar is kunnen gebruikers en organisaties verschillende maatregelen nemen om zich te beschermen, waaronder het aanmaken van een registersleutel. De verschillende maatregelen staan in het beveiligingsbulletin vermeld. Dit kan echter gevolgen voor het functioneren van Office hebben, aldus Microsoft.
TomTom Doelwit van Cyberaanval, Echter Geen Materiële Schade
Navigatiebedrijf TomTom is het slachtoffer geworden van cybercriminelen die toegang hebben verkregen tot het softwareplatform MOVEit. Dit platform wordt gebruikt door bedrijven voor het digitaal verzenden van bestanden. Volgens een woordvoerder van TomTom is "de deur gesloten" en zijn er geen gegevens buitgemaakt die een "negatieve materiële impact kunnen hebben voor TomTom of zijn klanten." De beperkte impact is bevestigd door externe cybersecurity-experts, aldus de woordvoerder. TomTom heeft geen specifieke informatie vrijgegeven over welke gegevens de hackers mogelijk hebben bereikt. Het bedrijf heeft melding gedaan van het lek bij de relevante toezichthouders. Eerder meldde cybersecurity-adviseur FalconFeeds op Twitter dat de hackersgroep CL0P beweerde een succesvolle aanval op TomTom-gegevens te hebben uitgevoerd. Deze Russischsprekende groep beweerde toegang te hebben gekregen tot 82 gigabyte aan bedrijfsgegevens. Deze groep zou achter meer aanvallen zitten via een zwakke plek binnen MOVEit, wat leidde tot datalekken bij bedrijven zoals British Airways, de BBC en drogisterijketen Boots. In Nederland waarschuwde de exploitant van vakantiepark Landal dat hun klantgegevens mogelijk waren gelekt door een aanval op MOVEit.
Razer Onderzoekt Mogelijke Datalek Na Cyberaanval op Razer Gold
Razer is momenteel een mogelijke cyberaanval op het digitale valutaplatform Razer Gold aan het onderzoeken. Volgens berichten beweert een hacker op een online forum toegang te hebben gekregen tot gevoelige informatie, waaronder de broncode, encryptiesleutels, databases en backend inloggegevens van Razer Gold. Hij biedt deze informatie aan voor een bedrag van 100.000 dollar. Het bedrijf werd op 9 juli op de hoogte gebracht van de potentiële hack en begon onmiddellijk met een grondig onderzoek naar de beveiliging van hun website. Het onderzoek loopt nog steeds, en de resultaten zullen, na voltooiing, naar de relevante autoriteiten worden gestuurd. Het is momenteel onduidelijk of de beweerde cybercrimineel daadwerkelijk toegang heeft gekregen tot de Razer Gold-gegevens en eventuele gebruikersgegevens. Razer Gold is een digitaal valuta- en portemonneesysteem waarmee gebruikers games en in-game content kunnen kopen. Er zijn meer dan tweehonderd individuele games en platformen aangesloten bij dit initiatief van Razer. Het bedrijf kwam in 2020 in het nieuws door een groot datalek waarbij gegevens van 100.000 klanten toegankelijk waren. Het datalek werd veroorzaakt door een extern IT-bedrijf, maar Razer bleek niet verantwoordelijk te zijn, volgens een rechtszaak in Singapore. Het IT-bedrijf is echter deze week in beroep gegaan tegen deze zaak.
RomCom Hackers Voeren Phishing Aanvallen uit op Organisaties Die Oekraïne Steunen en Gasten van NAVO-top
Een cyberbedreiging genaamd 'RomCom' richt zich op organisaties die Oekraïne steunen en gasten van de aanstaande NAVO-top die morgen in Vilnius, Litouwen, van start gaat. De RomCom-hackers hebben kwaadaardige documenten gemaakt, zich voordoend als communicatie van het Oekraïense Wereldcongres en onderwerpen die verband houden met de NAVO-top, om specifieke doelwitten te lokken. Deze documenten bevatten kwaadaardige code die, eenmaal gedownload, verbinding maakt met externe bronnen om uiteindelijk malware op het systeem van het slachtoffer te laden. De RomCom-malware is oorspronkelijk ontdekt door Unit 42 in augustus 2022 en was eerder gelinkt aan een Cuba Ransomware-partner. Het achterdeurtje van RomCom schrijft 'security.dll' om automatisch opnieuw te starten bij herstart voor persistentie enwacht op commando's van de C2 (Command and Control) server. Deze commando's kunnen omvatten: het extraheren van data, het downloaden van extra payloads, het verwijderen van bestanden of mappen, het genereren van processen met nagemaakte PID's en het opzetten van een reverse shell. BlackBerry vermoedt dat de geanalyseerde campagne een herbranded RomCom-operatie is of een operatie die kernleden van de oude groep bevat die nieuwe dreigingsactiviteiten ondersteunen. Het rapport van de onderzoekers bevat indicatoren van compromis voor de valse documenten, tweede fase malware, en de gebruikte IP-adressen en domein voor de campagne.
Progress waarschuwt opnieuw voor kritieke kwetsbaarheden in MOVEit Transfer: honderden organisaties getroffen
Softwareontwikkelaar Progress heeft klanten opnieuw gewaarschuwd voor ernstige lekken in MOVEit Transfer, een applicatie die door veel bedrijven wordt gebruikt om vertrouwelijke bestanden uit te wisselen. Door een SQL-injectie kunnen onbevoegde gebruikers de inhoud van de MOVEit Transfer-database manipuleren en stelen. De ontwikkelaar adviseert klanten om de recent uitgebrachte patch zo snel mogelijk te installeren. Eerder meldde de ontwikkelaar een zero-day exploit waarbij ongeautoriseerde gebruikers toegang kregen tot de MOVEit Transfer-database via een SQL-injectie. Ze konden vertrouwelijke gegevens stelen en, met admin-rechten, in andere delen van bedrijfsnetwerken inbreken. Onderzoekers hebben sindsdien drie nieuwe kritieke kwetsbaarheden in MOVEit Transfer ontdekt, die zijn gepatcht in de laatste Service Pack. Ondanks deze inspanningen beweert de Russische hackersgroep Clop honderden organisaties te hebben getroffen door de kwetsbaarheden in MOVEit Transfer te misbruiken, waaronder British Airways, Aer Lingus, BBC en Shell.
Windows-malware faalt, Mac-malware treft doel: Amerikaanse denktank onder cyberaanval
Een Amerikaanse denktank op het gebied van buitenlandse zaken is aangevallen met Mac-malware, nadat een aanval met Windows-malware niet werkte. Dat stelt securitybedrijf Proofpoint in een analyse. Afgelopen mei stuurden de aanvallers een e-mail waarin ze zich voordeden als een onderzoeker van het Royal United Services Institute (RUSI). Na een eerste onschuldige e-mail stuurden de aanvallers vervolgens een bericht waarin werd gelinkt naar een Google Script-macro, die weer linkte naar een Dropbox-url. Via de Dropbox-link werd een met wachtwoord beveiligd RAR-bestand aangeboden. Dit RAR-bestand bevatte weer een malafide LNK-bestand dat de GorjolEcho-malware downloadt. Dit is een backdoor waarmee de aanvallers toegang tot het systeem krijgen. Volgens onderzoeker Joshua Miller ontdekten de aanvallers dat hun aanval niet werkte op de Mac van het doelwit. Een week later werd het doelwit opnieuw benaderd, maar dan met Mac-malware. Het ging om een e-mail voorzien van een met wachtwoord beveiligd ZIP-bestand. Dit zip-bestand bevatte weer het eerste deel van de Mac-malware. Volgens de instructies zou het om vpn-software gaan waarmee toegang tot afgeschermde content kan worden verkregen. In werkelijkheid gaat het om malware die informatie van het systeem verzamelt en een remote access trojan installeert. Volgens Proofpoint is de aanval uitgevoerd door een vanuit Iran opererende groep.
Charmante Kitten Hackers Zetten Nieuwe 'NokNok' Malware In Tegen macOS-systemen
Beveiligingsonderzoekers hebben een nieuwe cyberaanvalscampagne opgemerkt, die wordt toegeschreven aan de Charming Kitten APT-groep. Deze groep hackers heeft de nieuwe NokNok-malware ingezet, gericht op macOS-systemen. De campagne is van start gegaan in mei en hanteert een andere infectiemethode dan voorheen, waarbij LNK-bestanden worden gebruikt om de malware te installeren, in plaats van kwaadaardige Word-documenten die in vorige aanvallen werden gebruikt. Charming Kitten, ook bekend als APT42 of Phosphorus, heeft sinds 2015 ten minste 30 operaties in 14 landen gelanceerd. Deze groep is gelinkt aan de Iraanse staat, specifiek het Islamitische Revolutionaire Garde Corps (IRGC). In hun nieuwste campagne deden de hackers zich voor als Amerikaanse nucleaire experts en benaderden ze doelwitten met een aanbod om buitenlands beleidsontwerpen te herzien. De eindmalware is GorjolEcho, een eenvoudige achterdeur die commando's accepteert en uitvoert van zijn externe operators. Als het doelwit macOS gebruikt, sturen ze een nieuwe link naar een ZIP-bestand dat zich voordoet als een RUSI (Royal United Services Institute) VPN-app. De uitgevoerde Apple-scriptfile haalt de NokNok-malware op en zet een achterdeur op in het systeem van het slachtoffer. Deze campagne onderstreept de grote aanpassingsvermogen van Charming Kitten, hun vermogen om macOS-systemen te targeten en benadrukt de groeiende dreiging van geavanceerde malware-campagnes voor macOS-gebruikers.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language