Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De afgelopen week zijn er diverse cyberaanvallen gemeld die verschillende sectoren wereldwijd hebben getroffen. Van IT-dienstverleners in Nederland tot ministeries in Noorwegen, de reeks incidenten onderstreept de aanhoudende uitdagingen op het gebied van cybersecurity.
De ransomwaregroep Clop heeft gegevens op het web gezet die zijn gestolen van de Nederlandse IT-dienstverlener Softtech.nl, IT-Dienst DATAENGINE.EU, de Nederlandse olie- en gasgigant SBM Offshore, en de Belgische tak van Toyota Boshoku. Deze organisaties zijn allemaal getroffen door de CL0P Ransomware.
Daarnaast zijn twaalf Noorse ministeries het doelwit geworden van een aanval door een nog onbekende actor via een zerodaylek. De Android Stalkerware Spyhide heeft invloed gehad op 60.000 telefoons wereldwijd. De ALPHV ransomware heeft een nieuwe dimensie toegevoegd aan zijn afpersingsstrategie door een datalek-API te implementeren. Een nieuwe 'Stikstof' malware maakt misbruik van Google en Bing advertenties om ransomware-aanvallen uit te voeren. Bovendien blijken gekaapte accounts de meest succesvolle aanvalsmethode te zijn in de vitale sector.
Hieronder presenteren we een gedetailleerd overzicht van deze cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| All States Ag Parts | Black Basta | www.tractorpartsasap.com | USA | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 30-jul.-23 |
| twv-staderland.de | LockBit | twv-staderland.de | Germany | Miscellaneous Services | 30-jul.-23 |
| Alinabal | Snatch | alinabal.com | USA | Fabricated Metal Products | 29-jul.-23 |
| One Health Solutions | Nokoyawa | www.onehealthsolutions.com | USA | Health Services | 29-jul.-23 |
| Village Church of Barrington | Nokoyawa | www.vcbweb.org | USA | Membership Organizations | 29-jul.-23 |
| Modern Eyez | Nokoyawa | www.visionsource-moderneyez.com | USA | Health Services | 29-jul.-23 |
| AT&S | Nokoyawa | www.atssh.com | Singapore | Oil, Gas | 29-jul.-23 |
| Muncy Homes | Nokoyawa | www.muncyhomes.com | USA | Construction | 29-jul.-23 |
| N** ******* ****** | BianLian | Unknown | USA | Real Estate | 29-jul.-23 |
| Axity | Rhysida | www.axity.com | Mexico | IT Services | 29-jul.-23 |
| ESMOD | Rhysida | www.esmod.com | France | Educational Services | 28-jul.-23 |
| Frost & Sullivan | Akira | www.frost.com | USA | Business Services | 28-jul.-23 |
| Chu De Rennes | BianLian | chu-rennes.fr | France | Health Services | 28-jul.-23 |
| CMC Marine | BianLian | cmcmarine.com | Italy | Transportation Equipment | 28-jul.-23 |
| Dekko Window Systems | BianLian | dekkowindows.com | UK | Wholesale Trade-durable Goods | 28-jul.-23 |
| Regional Family Medicine | Karakurt | www.rfmmh.com | USA | Health Services | 28-jul.-23 |
| Rouzbeh Educational Complex | Rhysida | www.rouzbeh.info | Iran | Educational Services | 28-jul.-23 |
| McAlester Regional Health Center | Karakurt | www.mrhcok.com | USA | Health Services | 28-jul.-23 |
| INSULCANA CONTRACTING LTD | Medusa Locker | www.insulcana.com | Canada | Construction | 27-jul.-23 |
| Handi Quilter | Akira | handiquilter.com | USA | Machinery, Computer Equipment | 27-jul.-23 |
| Morehead State University (MSU) | Akira | moreheadstate.edu | USA | Educational Services | 27-jul.-23 |
| Offutt Nord | Akira | Unknown | Unknown | Legal Services | 27-jul.-23 |
| MACOM.COM | CL0P | macom.com | USA | Electronic, Electrical Equipment, Components | 27-jul.-23 |
| KALEPW.COM | CL0P | kalepw.com | Turkey | Transportation Equipment | 27-jul.-23 |
| DATAENGINE.EU | CL0P | dataengine.eu | Netherlands | IT Services | 27-jul.-23 |
| SAUL.ORG.UK | CL0P | saul.org.uk | UK | Insurance Carriers | 27-jul.-23 |
| CCED.COM.OM | CL0P | cced.com.om | Oman | Oil, Gas | 27-jul.-23 |
| VIRGINPULSE.COM | CL0P | virginpulse.com | USA | IT Services | 27-jul.-23 |
| ACLARA.COM | CL0P | aclara.com | USA | Electric, Gas, And Sanitary Services | 27-jul.-23 |
| QUARK.COM | CL0P | quark.com | USA | IT Services | 27-jul.-23 |
| INFINIGATE.CH (INFINIGATE.CO.UK) | CL0P | infinigate.ch | Switzerland | IT Services | 27-jul.-23 |
| INFORMATICA.COM | CL0P | informatica.com | USA | IT Services | 27-jul.-23 |
| ALOHACARE.ORG | CL0P | alohacare.org | USA | Insurance Carriers | 27-jul.-23 |
| SOFTTECH.NL | CL0P | softtech.nl | Netherlands | IT Services | 27-jul.-23 |
| ALOGENT.COM | CL0P | alogent.com | USA | IT Services | 27-jul.-23 |
| CONVERGEONE.COM | CL0P | convergeone.com | USA | IT Services | 27-jul.-23 |
| AMERISAVE.COM | CL0P | amerisave.com | USA | Non-depository Institutions | 27-jul.-23 |
| KELLYSERVICES.COM | CL0P | kellyservices.com | USA | Business Services | 27-jul.-23 |
| HUBBELL.COM | CL0P | hubbell.com | USA | Electronic, Electrical Equipment, Components | 27-jul.-23 |
| ALEKTUM.COM | CL0P | alektum.com | Sweden | Security And Commodity Brokers, Dealers, Exchanges, And Services | 27-jul.-23 |
| HOERMANN-GRUPPE.COM | CL0P | hoermann-gruppe.com | Germany | Transportation Equipment | 27-jul.-23 |
| SALELYTICS.COM | CL0P | salelytics.com | USA | Business Services | 27-jul.-23 |
| FLUTTER.COM | CL0P | flutter.com | Ireland | Miscellaneous Services | 27-jul.-23 |
| ENTERPRISEBANKING.COM | CL0P | enterprisebanking.com | USA | Depository Institutions | 27-jul.-23 |
| MECHANICSBANK.COM | CL0P | mechanicsbank.com | USA | Depository Institutions | 27-jul.-23 |
| TRICOPRODUCTS.COM | CL0P | tricoproducts.com | USA | Miscellaneous Manufacturing Industries | 27-jul.-23 |
| JONESLANGLASALLE.COM | CL0P | joneslanglasalle.com | USA | Real Estate | 27-jul.-23 |
| ARISTOCRAT.COM | CL0P | aristocrat.com | Australia | Miscellaneous Services | 27-jul.-23 |
| ADARESEC.COM | CL0P | adaresec.com | UK | Business Services | 27-jul.-23 |
| TTIGROUP.COM | CL0P | ttigroup.com | Hong Kong | Electronic, Electrical Equipment, Components | 27-jul.-23 |
| CHUCKECHEESE.COM | CL0P | chuckecheese.com | USA | Eating And Drinking Places | 27-jul.-23 |
| DELOITTE.COM | CL0P | deloitte.com | UK | Accounting Services | 27-jul.-23 |
| SIU.EDU | CL0P | siu.edu | USA | Educational Services | 27-jul.-23 |
| WSP.COM | CL0P | wsp.com | Canada | Construction | 27-jul.-23 |
| SAFILOGROUP.COM | CL0P | safilogroup.com | Italy | Apparel And Other Finished Products | 27-jul.-23 |
| SLEEPCOUNTRY.CA | CL0P | sleepcountry.ca | Canada | Home Furniture, Furnishings, And Equipment Stores | 27-jul.-23 |
| PLANETHOMELENDING.COM | CL0P | planethomelending.com | USA | Non-depository Institutions | 27-jul.-23 |
| TOYOTA-BOSHOKU.BE | CL0P | toyota-boshoku.be | Belgium | Miscellaneous Manufacturing Industries | 27-jul.-23 |
| DDCOS.COM | CL0P | ddcos.com | UK | Business Services | 27-jul.-23 |
| THEVITALITYGROUP.COM | CL0P | thevitalitygroup.com | USA | IT Services | 27-jul.-23 |
| METROBANK.COM.PH | CL0P | metrobank.com.ph | Philippines | Depository Institutions | 27-jul.-23 |
| GENESISENERGY.COM | CL0P | genesisenergy.com | USA | Oil, Gas | 27-jul.-23 |
| GNC.COM | CL0P | gnc.com | USA | Chemical Producers | 27-jul.-23 |
| INFORMA.COM | CL0P | informa.com | UK | Publishing, printing | 27-jul.-23 |
| EMSBILLING.COM | CL0P | emsbilling.com | USA | Miscellaneous Services | 27-jul.-23 |
| AWAZE.COM | CL0P | awaze.com | UK | Lodging Places | 27-jul.-23 |
| PAYBACK.GROUP | CL0P | payback.group | Germany | Security And Commodity Brokers, Dealers, Exchanges, And Services | 27-jul.-23 |
| scmh.org.tw | LockBit | scmh.org.tw | Taiwan | Health Services | 26-jul.-23 |
| CF Assicurazioni | BlackCat (ALPHV) | www.cfassicurazioni.com | Italy | Legal Services | 26-jul.-23 |
| www.beijer.es | NoEscape | www.beijer.es | Spain | Machinery, Computer Equipment | 26-jul.-23 |
| www.ville-chevilly-larue.fr | NoEscape | www.ville-chevilly-larue.fr | France | General Government | 26-jul.-23 |
| www.addison-electronique.com | NoEscape | www.addison-electronique.com | Canada | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 26-jul.-23 |
| Globacom Limited | BlackCat (ALPHV) | www.gloworld.com | Nigeria | Communications | 26-jul.-23 |
| Lumberton Independent School District | Rhysida | www.lumbertonisd.org | USA | Educational Services | 26-jul.-23 |
| Kovair Software | Everest | kovair.com | USA | IT Services | 26-jul.-23 |
| GARRETTMOTION.COM | CL0P | garrettmotion.com | Switzerland | Transportation Equipment | 26-jul.-23 |
| SMURFITKAPPA.COM | CL0P | smurfitkappa.com | Ireland | Paper Products | 26-jul.-23 |
| MCW.EDU | CL0P | mcw.edu | USA | Educational Services | 26-jul.-23 |
| GOALSOLUTIONS.COM | CL0P | goalsolutions.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 26-jul.-23 |
| GENSLER.COM | CL0P | gensler.com | USA | Construction | 26-jul.-23 |
| HINDUJAGROUP.COM | CL0P | hindujagroup.com | India | Transportation Equipment | 26-jul.-23 |
| FANUCAMERICA.COM | CL0P | fanucamerica.com | Japan | Machinery, Computer Equipment | 26-jul.-23 |
| CHEVRONFCU.ORG | CL0P | chevronfcu.org | USA | Depository Institutions | 26-jul.-23 |
| FERRING.COM | CL0P | ferring.com | Switzerland | Publishing, printing | 26-jul.-23 |
| SBMOFFSHORE.COM | CL0P | sbmoffshore.com | Netherlands | Oil, Gas | 26-jul.-23 |
| CAP.ORG | CL0P | cap.org | USA | Educational Services | 26-jul.-23 |
| QBITS.CH | CL0P | qbits.ch | Switzerland | IT Services | 26-jul.-23 |
| MESVISION.COM | CL0P | mesvision.com | USA | Health Services | 26-jul.-23 |
| PBINFO.COM | CL0P | pbinfo.com | USA | IT Services | 26-jul.-23 |
| HALLMARKCHANNEL.COM | CL0P | hallmarkchannel.com | USA | Communications | 26-jul.-23 |
| MAXIMUS.COM | CL0P | maximus.com | USA | Health Services | 26-jul.-23 |
| ARROW.COM | CL0P | arrow.com | USA | Home Furniture, Furnishings, And Equipment Stores | 26-jul.-23 |
| AJOOMAL.COM | CL0P | ajoomal.com | Spain | IT Services | 26-jul.-23 |
| DRYDOCKS.GOV.AE | CL0P | drydocks.gov.ae | United Arab Emirates | Nonclassifiable Establishments | 26-jul.-23 |
| HILLROM.COM | CL0P | hillrom.com | USA | Miscellaneous Manufacturing Industries | 26-jul.-23 |
| PRO2COL.COM | CL0P | pro2col.com | UK | IT Services | 26-jul.-23 |
| ENCOREANYWHERE.COM | CL0P | encoreanywhere.com | Unknown | IT Services | 26-jul.-23 |
| AMF.SE | CL0P | amf.se | Sweden | Insurance Carriers | 26-jul.-23 |
| ORAU.ORG | CL0P | orau.org | USA | Membership Organizations | 26-jul.-23 |
| AGILYSYSAP.COM | CL0P | agilysysap.com | USA | IT Services | 26-jul.-23 |
| Decimal Point Analytics Pvt | RA GROUP | www.decimalpointanalytics.com | India | Security And Commodity Brokers, Dealers, Exchanges, And Services | 25-jul.-23 |
| Spectra Industrial | 8BASE | www.spectra.com.pg | Papua New Guinea | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 25-jul.-23 |
| Miranda Brokerage | 8BASE | www.mirandacustomsbrokerage.com | USA | Transportation Services | 25-jul.-23 |
| Institut Mensalus S.L. | 8BASE | www.mensalus.es | Spain | Health Services | 25-jul.-23 |
| Kersey & Co | 8BASE | www.kerseygov.com | USA | General Government | 25-jul.-23 |
| FANSIPAN CONSTRUCTION CONSULTANTS CO.,LTD | 8BASE | www.fansipan.com.vn | Vietnam | Construction | 25-jul.-23 |
| DV8 Technology Group | 8BASE | www.dv8techgroup.com | South Africa | IT Services | 25-jul.-23 |
| CROWD | 8BASE | www.crowd.pt | Portugal | Miscellaneous Services | 25-jul.-23 |
| BoomData | 8BASE | www.boomdata.com.au | Australia | IT Services | 25-jul.-23 |
| EDVMS | Black Basta | bsb-steuerberatung.de | Germany | Accounting Services | 25-jul.-23 |
| rampi.com | NoEscape | rampi.com | Italy | Chemical Producers | 25-jul.-23 |
| Becht Engineering | Akira | www.bechtbt.com | USA | Engineering Services | 25-jul.-23 |
| The Sinbad Club | Medusa | www.sindbadclub.com | Egypt | Lodging Places | 25-jul.-23 |
| ridgeviewindustries.com | LockBit | ridgeviewindustries.com | USA | Transportation Equipment | 25-jul.-23 |
| NEBRASKALAND | BlackCat (ALPHV) | www.nebraskaland.com | USA | Wholesale Trade-non-durable Goods | 25-jul.-23 |
| Republic Steel | BlackCat (ALPHV) | www.republicsteel.com | USA | Metal Industries | 25-jul.-23 |
| IT Luggage | BLACK SUIT | www.itluggage.co.uk | UK | Merchandise Stores | 24-jul.-23 |
| John Mulder Heating & Air Conditioning | PLAY | www.johnmulderheating.ca | Canada | Engineering Services | 24-jul.-23 |
| Scharco Elektronik | PLAY | www.scharco.eu | Germany | Electronic, Electrical Equipment, Components | 24-jul.-23 |
| Primoteq | PLAY | www.primoteq.com | Netherlands | Machinery, Computer Equipment | 24-jul.-23 |
| Grupo MH | PLAY | www.grupmh.com | Spain | Engineering Services | 24-jul.-23 |
| FERRE BARNIEDO | PLAY | www.ferrebarniedo.com.mx | Mexico | Metal Industries | 24-jul.-23 |
| BionPharma | Black Basta | www.bionpharma.com | USA | Chemical Producers | 24-jul.-23 |
| El Milagro | Akira | el-milagro.com | USA | Food Products | 24-jul.-23 |
| SBM | Akira | sbmmanagement.com | Singapore | Management Services | 24-jul.-23 |
| DYNAMITE | STORMOUS | www.dynamite.com | USA | Publishing, printing | 24-jul.-23 |
| Charles & Colvard Ltd. | Akira | www.charlesandcolvard.com | USA | Apparel And Accessory Stores | 24-jul.-23 |
| IRIS Informatique | Rhysida | www.iris-info.com | Unknown | IT Services | 24-jul.-23 |
| ebpsupply.com | LockBit | ebpsupply.com | USA | Transportation Services | 24-jul.-23 |
| ICT-College | Rhysida | www.ict-college.net | Unknown | Educational Services | 24-jul.-23 |
| EJM Engineered Systems | 8BASE | ejmrefrigeration.co.uk | UK | Engineering Services | 24-jul.-23 |
| Bluelinea | RA GROUP | bluelinea.com | France | IT Services | 24-jul.-23 |
| The Big Life group | Rhysida | www.thebiglifegroup.com | UK | Membership Organizations | 24-jul.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| DATAENGINE.EU | CL0P | dataengine.eu | Netherlands | IT Services | 27-jul.-23 |
| SOFTTECH.NL | CL0P | softtech.nl | Netherlands | IT Services | 27-jul.-23 |
| TOYOTA-BOSHOKU.BE | CL0P | toyota-boshoku.be | Belgium | Miscellaneous Manufacturing Industries | 27-jul.-23 |
| SBMOFFSHORE.COM | CL0P | sbmoffshore.com | Netherlands | Oil, Gas | 26-jul.-23 |
| Primoteq | PLAY | www.primoteq.com | Netherlands | Machinery, Computer Equipment | 24-jul.-23 |
In samenwerking met StealthMol
Cyberaanvallen nieuws
31-juli-2023
Ransomware-aanval haalt kankerbehandelcentrum offline, potentieel levensbedreigend
FBI-directeur Christopher Wray heeft gemeld dat een kankerbehandelcentrum in Puerto Rico onlangs offline is gegaan door een ransomware-aanval. Deze aanval had tot de dood van patiënten kunnen leiden. Tijdens een evenement van de Atlanta Press Club sprak Wray over de toenemende cyberdreiging en hoe cybercriminelen bij ransomware-aanvallen gebruik kunnen maken van kunstmatige intelligentie (AI). Eerdere gevallen van ransomware-aanvallen op kankercentra in de Verenigde Staten werden ook genoemd, waarbij de behandeling van patiënten werd verstoord, naaktfoto's online werden gepubliceerd, en instellingen werden afgeperst. De FBI heeft hulp geboden bij het herstel na de recente aanval in Puerto Rico. Het Amerikaanse Ministerie van Volksgezondheid waarschuwde in juni zorginstellingen naar aanleiding van deze cyberdreigingen. (bron)
Israëlische olieraffinaderij BAZAN Group getroffen door DDoS-aanval
De website van de BAZAN Group, de grootste olieraffinaderij-exploitant in Israël, is ontoegankelijk gemaakt voor het grootste deel van de wereld na een vermeende hack van de cyber-systemen van de groep. De Iraanse hacktivistengroep 'Cyber Avengers', ook bekend als 'CyberAv3ngers', heeft de verantwoordelijkheid opgeëist voor het hacken van het netwerk van BAZAN in het weekend. De groep beweerde screenshots te hebben gelekt van BAZAN's SCADA-systemen, softwaretoepassingen die worden gebruikt om industriële controlesystemen te monitoren en te bedienen. Deze omvatten diagrammen van de "Flare Gas Recovery Unit", het "Amine Regeneration"-systeem, een petrochemische "Splitter Section" en PLC-code. Een woordvoerder van BAZAN ontkende echter dat het gelekte materiaal authentiek was, noemde het "volledig verzonnen", en stelde dat het bedrijf zijn cyberbeveiligingsmaatregelen heeft aangescherpt in samenwerking met de Israëlische Nationale Cyber Directie en andere partners. Het vermeende gebruik van een exploit gericht op een Check Point firewall van het bedrijf door de hacktivistengroep werd ook tegengesproken door een woordvoerder van Check Point, die benadrukte dat er geen eerdere kwetsbaarheid was die zo'n aanval mogelijk maakte. Het is belangrijk op te merken dat de beweringen van de Cyber Avengers niet onafhankelijk zijn geverifieerd. (bron, bron2, bron3)
Abyss Locker Ransomware Richt Zich op VMware ESXi Servers
De Abyss Locker operatie, een relatief nieuwe ransomware-operatie die in maart 2023 van start ging, heeft een Linux encryptor ontwikkeld om VMware's ESXi virtuele machineplatform te treffen. Naarmate bedrijven overstappen van individuele servers naar virtuele machines, creëren ransomwarebendes encryptors die zich specifiek richten op dergelijke platforms. Bijna elke ransomwarebende heeft inmiddels Linux encryptors uitgebracht om alle virtuele servers op een apparaat te versleutelen, met VMware ESXi als een van de meest populaire virtuele machineplatforms. Andere ransomware operaties die Linux ransomware encryptors gebruiken zijn onder andere Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, en Hive. De dreigingsactoren van Abyss Locker zullen bedrijfsnetwerken binnendringen, data stelen voor dubbele afpersing, en apparaten op het netwerk versleutelen. De gestolen data wordt vervolgens gebruikt als hefboom door te dreigen met het lekken van bestanden als er geen losgeld wordt betaald. Om de gestolen bestanden te lekken, hebben de dreigingsactoren een Tor datalek-site genaamd 'Abyss-data' gecreëerd die momenteel veertien slachtoffers vermeldt. Deze week ontdekte beveiligingsonderzoeker MalwareHunterTeam een Linux ELF encryptor voor de Abyss Locker-operatie. Uit analyse blijkt dat de encryptor specifiek VMware ESXi servers target. Daarnaast wordt elke VM afgesloten en worden de bijbehorende virtuele schijven, snapshots en metadata correct versleuteld. Naast het richten op virtuele machines, zal de ransomware ook alle andere bestanden op het apparaat versleutelen en de .crypt extensie aan hun bestandsnamen toevoegen. Voor elk bestand wordt ook een bestand met een .README_TO_RESTORE extensie gecreëerd, dat fungeert als losgeldbriefje. Het losgeldbriefje bevat informatie over wat er met de bestanden is gebeurd en een unieke link naar de Tor-onderhandelingssite van de dreigingsactoren. Volgens ransomware-expert Michael Gillespie is de Abyss Locker Linux encryptor gebaseerd op Hello Kitty, maar gebruikt het ChaCha-encryptie. Helaas is HelloKitty historisch gezien een veilige ransomware, wat het gratis herstellen van bestanden voorkomt. (bron)
Abyss Locker website met gelekte gegevens
Nieuwe Submarine Malware Ontdekt op Gehackte Barracuda ESG-apparaten, volgens CISA
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat nieuwe malware, genaamd Submarine, is gebruikt om de ESG-apparaten (Email Security Gateway) van Barracuda te infiltreren op de netwerken van federale agentschappen. Deze aanval maakte gebruik van een nu gepatchte zero-day kwetsbaarheid. Een vermoedelijke pro-Chinese hackergroep, UNC4841, wordt verdacht van deze aanval die dataroof betrokken was en sinds oktober 2022 actief is. De aanvallers gebruikten de CVE-2023-2868 zero-day kwetsbaarheid voor remote injectie, samen met eerder onbekende malware, Saltwater en SeaSpy, en een kwaadaardig hulpmiddel genaamd SeaSide voor het maken van omgekeerde schelpen voor gemakkelijke toegang op afstand. Barracuda nam een onconventionele stap door vervangende apparaten gratis aan te bieden aan alle betrokken klanten. Dit kwam na de aanbeveling om alle gecompromitteerde ESG-apparaten direct te vervangen, aangezien volledige verwijdering van malware niet kon worden gegarandeerd. CISA onthulde dat Submarine, ook gevolgd door Mandiant als DepthCharge, een meercomponenten achterdeur werd gevonden op de gecompromitteerde apparaten, gebruikt voor detectieontduiking, persistentie en dataverzameling. In reactie op de aanvallen, adviseerde Barracuda haar getroffen klanten hun netwerken grondig te controleren op mogelijke compromitteringen. CISA waarschuwde dat deze malware een ernstige bedreiging vormt voor laterale beweging. Mensen die verdachte activiteiten opmerken gerelateerd aan de Submarine malware en de Barracuda ESG-aanvallen worden aangemoedigd om contact op te nemen met CISA's 24/7 Operations Center. (bron, bron2)
@CISACyber just released malware analysis reports on backdoors used by #UNC4841. SUBMARINE, which we track as DEPTHCHARGEπ£, is a new malware family identified on a small number of already compromised ESG appliances deployed in response to remediation efforts. https://t.co/0iVBOYeaOh
β Austin Larsen (@AustinLarsen_) July 28, 2023
Nieuwe Android-malware 'CherryBlos' en 'FakeTrade' steelt crypto-inloggegevens via OCR
Twee nieuwe malware families, genaamd 'CherryBlos' en 'FakeTrade', zijn ontdekt op Google Play. Deze malware is specifiek ontworpen om cryptocurrency-gegevens en fondsen te stelen of scams uit te voeren. CherryBlos, dat voor het eerst werd verspreid in april 2023, gebruikt valse gebruikersinterfaces die officiële apps nabootsen om inloggegevens te stelen. Interessant genoeg kan CherryBlos ook gebruik maken van OCR (optische tekenherkenning) om tekst uit afbeeldingen en foto's op het apparaat te extraheren. Dit is met name zorgwekkend voor cryptocurrency-gebruikers, die vaak herstelzinnen van 12 of meer woorden krijgen om hun portemonnee op een computer te herstellen. Hoewel het niet aanbevolen is om foto's te maken van deze herstelzin, doen mensen dit toch en slaan ze de foto's op op hun apparaten. Als deze malware-functie is ingeschakeld, kan het potentieel de herstelzin uit de afbeelding halen en de portemonnee stelen. De andere malware, FakeTrade, werd gevonden in 31 scam-apps op Google Play. Deze apps misleiden gebruikers om te kijken naar advertenties, gaan akkoord met premium abonnementen, of vullen hun in-app portemonnees bij en staan nooit toe dat ze de virtuele beloningen verzilveren. Beide malwares zijn voornamelijk gericht op gebruikers in Maleisië, Vietnam, Indonesië, de Filipijnen, Oeganda en Mexico. Ondanks dat Google de gemelde malware-apps heeft verwijderd van Google Play, kunnen handmatige opruimingen nodig zijn op geïnfecteerde apparaten, aangezien duizenden gebruikers deze al hebben gedownload. (bron)
This evening, I was cleaning out some old photos in my phone and found a screenshot of a generic recovery phrase from May of 2021. Out of curiosity, I uploaded a new wallet with the words in the recovery phrase photo and it was the wallet containing my 21 NFTsβ¦.
β Albert_Inestine |KOOK| (@Albert_Inestine) October 27, 2022
University of Hawaii betaalt losgeld aan ransomwaregroep om verwijdering van gestolen data te waarborgen
De University of Hawaii heeft losgeld betaald aan een ransomwaregroep om de gegevens van ongeveer 28.000 personen, die tijdens een aanval op 13 juni werden gestolen, te laten verwijderen. De aanval trof systemen van het Hawaii Community College, dat daarna offline ging. De universiteit besloot tot betaling om te voorkomen dat de gestolen gegevens openbaar zouden worden gemaakt, aangezien de betrokken ransomwaregroep dreigde dit te doen bij het niet ontvangen van losgeld. De universiteit heeft verklaard dat het een overeenkomst heeft gesloten met de criminelen om alle gestolen data te vernietigen. Alle betrokken personen zullen per brief worden geïnformeerd over de situatie. De ransomwaregroep die verantwoordelijk is voor de aanval noemt zichzelf NoEscape. (bron, bron2)
NOESCAPE #ransomware group added 3 new victims to their darkweb portal.
β FalconFeedsio (@FalconFeedsio) June 21, 2023
- University of Hawaii System (https://t.co/2pthDkVuVK) πΊπΈ
- Promotion Fulfillment Center (https://t.co/a7nqD3fgbU) πΊπΈ
- Cyril Johnston Hire Ltd. (https://t.co/5jBqlu6HUM) π¬π§#Noescape #darkweb #databreach pic.twitter.com/8uJuD3GrR7
CoinsPaid legt verantwoordelijkheid voor $ 37,3 miljoen cryptodiefstal bij Lazarus-hackers
Op 22 juli 2023 werd de Estse crypto-betalingsdienst CoinsPaid getroffen door een cyberaanval die resulteerde in de diefstal van $ 37,2 miljoen aan cryptocurrency. Ondanks de aanzienlijke economische schade en de impact op de beschikbaarheid van het betalingsplatform, verzekert het bedrijf dat de klantfondsen veilig zijn en geen materiële invloed hebben op hun bedrijfsvoering. CoinsPaid beweert dat de Noord-Koreaanse hackgroep Lazarus achter de aanval zit, en dat deze geavanceerde, financieel gemotiveerde, door de staat gesteunde speler op zoek was naar een hogere uitbetaling. CoinsPaid heeft echter geen bewijs geleverd hoe ze de aanval hebben gelinkt aan Lazarus en deze claims zijn nog niet onafhankelijk bevestigd. Het bedrijf is bezig met herstel en verwacht volledig te compenseren voor de omzetdaling in de komende periode. Chainalysis, Binance, Crystal, Match Systems, Staped.us, OKCoinJapan en Valkyrieinvest assisteren bij het onderzoek en Estse wetshandhavingsinstanties zijn ook op de hoogte gebracht. In het verleden heeft de Lazarus groep vergelijkbare diefstallen uitgevoerd, waaronder een diefstal van $ 35 miljoen van Atomic Wallet, $ 100 miljoen van Harmony Horizon, en een recordbrekende $ 617 miljoen van het op blockchain gebaseerde spel Axie Infinity. Deze recente aanval kan wijzen op een focus van de Lazarus Groep op cryptocurrency betaalprocessors. (bron)
BreachForums Hacker Forum Gegevenslek: Database Te Koop
De database van het beruchte hacker forum, BreachForums, is te koop aangeboden na een data-inbreuk, waardoor het nu de beurt is aan de hackers om zich zorgen te maken over hun blootgestelde informatie. De gegevenslek heeft 212.000 records blootgelegd, waaronder gebruikersnamen, IP- en e-mailadressen, privéberichten tussen leden en wachtwoorden die zijn opgeslagen als argon2-hashes. De informatie is gedeeld met de service 'Have I Been Pwned', zodat gebruikers kunnen controleren of hun informatie is blootgesteld. De database wordt verkocht door een dreigingsactor met de naam 'breached_db_person', die beweert dat de database waardevolle informatie bevat voor zowel cybersecurity-onderzoekers als mogelijk andere dreigingsactoren. (bron)
Spelers Call of Duty: Modern Warfare 2 besmet door computerworm
Aanvallers hebben een manier gevonden om spelers van het populaire spel Call of Duty: Modern Warfare 2 automatisch te infecteren met een computerworm. Dit nieuws werd bekendgemaakt door TechCrunch. De aanval maakt gebruik van "gehackte lobbies" op het gameplatform Steam om de malware te verspreiden en vervangt daarbij een dll-bestand van het spel. De precieze verspreidingsmethode is nog onbekend. Op het spelforum zijn instructies geplaatst voor spelers die mogelijk een "gehackte lobby" hebben bezocht. Als gevolg van meldingen van het probleem heeft de speluitgever Activision de servers van het spel, dat stamt uit 2009, offline gehaald. Verdere details zijn op dit moment nog niet bekend. (bron, bron2, bron3, bron4)
π’ Multiplayer for Call of Duty: Modern Warfare 2 (2009) on Steam was brought offline while we investigate reports of an issue.
β Call of Duty Updates (@CODUpdates) July 26, 2023
Swiss Visumafspraken geannuleerd in het VK vanwege 'IT-incident'
Alle afspraken voor toeristische en transitvisa voor Zwitserland (Schengen) zijn in het hele VK geannuleerd. TLSContact, de door de Zwitserse regering gekozen IT-provider voor het faciliteren van visumaanvragers voor burgers van derde landen, heeft een 'IT-incident' bij zijn centra in Londen, Manchester en Edinburgh de schuld gegeven voor de annulering van afspraken. TLSContact, dat visa verwerkt en IT-diensten levert aan verschillende regeringen, beweert miljoenen visumaanvragen te hebben afgehandeld. Het bedrijf is verantwoordelijk voor het verwerken van visumaanvragen voor burgers van landen die een visum nodig hebben om naar Europa te reizen, met inbegrip van Zwitserland, Frankrijk, België en Duitsland, allemaal onderdeel van het Schengengebied. Het incident heeft geleid tot een blanco scherm bij het boeken van afspraken op de website. Dit is een groot probleem, vooral gezien het feit dat het boeken van Schengen-visa-afspraken al moeilijk is, vooral in drukke reisperiodes naar populaire bestemmingen in Europa. TLSContact bezit zeer gevoelige informatie van aanvragers, zoals persoonlijke gegevens, biometrische gegevens en reisplannen. Daarom is het van groot belang dat de IT-systemen van externe visumverwerkingsbureaus goed functioneren en beveiligd zijn tegen cyberaanvallen. BleepingComputer heeft contact opgenomen met TLSContact om de oorzaak van het incident te begrijpen en wanneer de afspraken worden hervat. De Zwitserse ambassade in Londen heeft geautomatiseerde e-mails verstuurd waarin wordt vermeld dat de afspraken wegens technische redenen zijn geannuleerd en zo snel mogelijk opnieuw zullen worden ingepland. Dit heeft echter tot grote verstoringen geleid voor Zwitserse visumaanvragers, die nu afhankelijk zijn van de externe dienstverlener en mogelijk hun reisplannen moeten wijzigen. Het incident onderstreept de afhankelijkheid van derde partijen bij het verwerken van visumaanvragen, waardoor extra zorg en beveiliging nodig zijn om ervoor te zorgen dat gevoelige gegevens veilig blijven. (bron, bron2, bron3, bron4)
Gekaapte accounts de meest succesvolle aanvalsmethode in vitale sector, volgens CISA-rapport
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een onderzoeksrapport gepubliceerd waaruit blijkt dat gekaapte accounts vorig jaar de meest succesvolle methode waren om organisaties in de vitale sector aan te vallen. Uit het rapport blijkt dat 54,3% van de succesvolle aanvallen werd uitgevoerd met behulp van een gekaapt, geldig account, gevolgd door spearphishing met 33,8%. Aanvallers verkrijgen toegang tot accounts door wachtwoorden te raden of via phishing. Als preventieve maatregel adviseert het CISA vitale organisaties om een sterk wachtwoordbeleid te implementeren en phishingbestendige multifactorauthenticatie (MFA) toe te passen. Tevens dienen ze logs te monitoren op afwijkend gedrag, zodat cyberaanvallen tijdig kunnen worden geïdentificeerd en de schade kan worden beperkt. Deze bevindingen zijn van cruciaal belang om de digitale veiligheid van de vitale sector te waarborgen.
Gegevens van 8 tot 11 miljoen personen gestolen bij MOVEit-aanval op Maximus
Bij een zeroday-aanval op de MOVEit Transfer-server van de Amerikaanse dienstverlener Maximus zijn de persoonlijke gegevens van 8 tot 11 miljoen personen gestolen. De aanval heeft plaatsgevonden via een zerodaylek in de software, waarbij criminelen achter de Clop-ransomware toegang kregen tot de MOVEit-servers van honderden organisaties. Het totaal aantal organisaties dat slachtoffer werd van de wereldwijde MOVEit-aanval is gestegen naar 513, met bijna 35 miljoen personen waarvan gegevens zijn buitgemaakt. Maximus, een Amerikaanse dienstverlener die diverse overheidsprogramma's beheert, werd eind mei getroffen door de aanval. De gestolen informatie omvat onder andere social-securitynummers, gezondheidsgegevens en andere persoonlijke informatie. Het bedrijf verwacht dat de kosten van de aanval uitkomen op 15 miljoen dollar.In totaal heeft de Clop-groep gegevens van 34,6 miljoen individuen in handen gekregen bij de verschillende getroffen organisaties. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden, en veel organisaties gebruiken het om vertrouwelijke informatie binnen de organisatie te delen. Als de gevraagde losgeldbetaling niet wordt voldaan, dreigt de Clop-groep de gestolen data te publiceren. Gedupeerden krijgen gratis kredietmonitoring aangeboden om verdere schade te beperken. De aanval heeft grote gevolgen gehad, aangezien Maximus wereldwijd actief is in meerdere landen en meer dan 39.000 medewerkers heeft. Het incident benadrukt de urgentie van cybersecuritymaatregelen om dergelijke datalekken en aanvallen in de toekomst te voorkomen. (bron, bron2)
Toename aanvallen via HTML- en OneNote-bestanden, waarschuwt VirusTotal
Cyberbeveiligingsdienst VirusTotal meldt een opvallende toename van aanvallen via HTML- en OneNote-bestanden, terwijl het gebruik van Word- en Excel-bestanden juist afneemt. De aanvallers maken gebruik van HTML-bestanden, die JavaScript laden, om phishingaanvallen uit te voeren en inloggegevens van slachtoffers te bemachtigen. Daarnaast is er ook een stijging in het gebruik van OneNote-bestanden voor aanvallen. Ondanks het ontbreken van macro's in OneNote-bestanden, weten de aanvallers nog steeds via verschillende trucs malware te verspreiden. Gebruikers worden gewaarschuwd voor de opkomst van deze nieuwe aanvalstechnieken. (bron)
Belgische tak van Toyota Boshoku slachtoffer van CL0P Ransomware
Op 27 juli 2023 is op het darkweb onthuld dat de Belgische website van Toyota Boshoku, een bedrijf uit de diverse productie-industrieën, is getroffen door de CL0P ransomware. De cybercriminelen hebben hun actie publiekelijk aangekondigd, waardoor de ernst van de situatie duidelijk werd. Verdere details zijn momenteel onbekend.
Nederlandse IT-dienstverlener Softtech.nl getroffen door ransomware
Het Nederlandse IT-bedrijf Softtech.nl is het nieuwste slachtoffer van de beruchte ransomwarebende CL0P. De cybercriminelen hebben hun aanval op 27 juli 2023 openbaar gemaakt op het darkweb. Experts raden aan om altijd up-to-date beveiligingsmaatregelen te treffen tegen dergelijke cyberaanvallen.
Lazarus-hackers gelinkt aan $60 miljoen Alphapo-cryptocurrency-overval
Blockchain-analisten geven de Noord-Koreaanse Lazarus-hackgroep de schuld van een recente aanval op het betalingsverwerkingsplatform Alphapo, waarbij de aanvallers bijna $60 miljoen aan crypto hebben gestolen. Alphapo is een gecentraliseerde crypto-betaalleverancier voor goksites, e-commerce abonnementsdiensten en andere online platforms. De aanval vond plaats op zondag 23 juli en het aanvankelijk gestolen bedrag werd geschat op $23 miljoen. De gestolen crypto omvatte meer dan 6 miljoen USDT, 108k USDC, 100,2 miljoen FTN, 430k TFL, 2,5k ETH en 1.700 DAI, allemaal afkomstig uit hete portemonnees, vermoedelijk door een lek van privésleutels. Crypto-ketenonderzoeker "ZackXBT" waarschuwde dat de aanvallers ook nog eens $37 miljoen aan TRON en BTC hebben buitgemaakt, waardoor het totale gestolen bedrag uit Alphapo op $60 miljoen komt. Analisten vermoeden dat de aanval kenmerken vertoont van een Lazarus-overval, en dit wordt ondersteund door het feit dat de Lazarus Group eerder betrokken was bij andere grootschalige crypto-diefstallen. De groep staat bekend om het gebruik van valse vacature-aanbiedingen om werknemers van crypto-bedrijven te lokken, waarna ze geïnfecteerde bestanden openen en toegang krijgen tot accountreferenties. Hoewel er nog geen onafhankelijke bevestiging is van de betrokkenheid van de Noord-Koreaanse groep, volgen blockchain-analyses de gestolen fondsen naar cryptocurrency-beurzen waarbij pogingen tot witwassen zijn waargenomen. Het onderzoek naar de zaak is nog steeds gaande. (bron, bron2)
#PeckShieldAlert @zachxbt has detected that #Alphapo hot wallets were drained for $23M+ worth of cryptos.
β PeckShieldAlert (@PeckShieldAlert) July 23, 2023
~6.074M $USDT, $108K $USDC, 100.2M $FTN, 430K $TFL, 2.5K $ETH, and ~1.7K $DAI were drained from #Alphapo to 0x040a...0d17.
The drainer then swapped stablecoins and some other⦠https://t.co/PGrk9QK2Cr pic.twitter.com/obK8qAel3Z
Hack update: An additional $37M stolen on TRON & BTC from this hack has been located.
β ZachXBT (@zachxbt) July 25, 2023
This now brings the total amount stolen to $60M.
This hack appears to likely have been done by Lazarus as they create a very distinct fingerprint on-chain. pic.twitter.com/ACGSXiDwW3
#PeckShieldAlert Seems like the #Alphapo hot wallet drainer on #TRON has transferred ~58M $TRX (worth at $4.7M) out and sent some of them to #CEXs, e.g. #Bitget, #Bybithttps://t.co/69Ri5s9fbl https://t.co/3ZQg0kUW4X pic.twitter.com/EKsu1O1Bm1
β PeckShieldAlert (@PeckShieldAlert) July 25, 2023
Nederlandse IT-Dienst DATAENGINE.EU Slachtoffer van Cyberaanval
DATAENGINE.EU, een Nederlandse IT-dienstverlener, is slachtoffer geworden van cybercriminelen genaamd CL0P. De aanval kwam op 27 juli 2023 aan het licht toen de criminelen de daad openbaar maakten op het darkweb. Verdere details zijn momenteel onbekend.
NAVO Bevestigt Onderzoek naar Mogelijke Gegevensdiefstal door Hacker Groep SiegedSec
De NAVO heeft aangekondigd dat haar IT-team onderzoek doet naar claims van een mogelijke gegevensdiefstal door de hacker groep SiegedSec. De hack zou hebben plaatsgevonden op het Communities of Interest (COI) Cooperation Portal, een niet-geclassificeerde informatie-uitwisselings- en samenwerkingsomgeving voor NAVO-organisaties en lidstaten. SiegedSec heeft op Telegram honderden documenten gepost die volgens hen afkomstig zijn van het COI-portaal. Cybersecuritybedrijf CloudSEK heeft deze gelekte gegevens geanalyseerd en ontdekt dat het om 845 MB aan bestanden gaat, met 8.000 rijen van gevoelige, gebruikersgerelateerde informatie, niet-geclassificeerde documenten en toegangsgegevens van gebruikersaccounts. Volgens de analyse van CloudSEK zou het datalek, indien bevestigd, gevolgen kunnen hebben voor 31 NAVO-lidstaten. De hackersgroep SiegedSec, die eerder dit jaar beweerde een softwarebedrijf te hebben gehackt, lijkt meer gemotiveerd door activisme dan financieel gewin. In hun bericht op Telegram geven ze aan dat de aanval op het NAVO-portaal een reactie is op schendingen van de mensenrechten door NAVO-lidstaten. (bron, Telegram)
SiegedSec post op Telegram
Nieuwe 'Stikstof' Malware Maakt Misbruik van Google en Bing Advertenties voor Ransomware Aanvallen
Een nieuwe malwarecampagne, genaamd 'Stikstof', maakt misbruik van Google- en Bing-zoekadvertenties om valse softwarewebsites te promoten die gebruikers onopgemerkt infecteren met Cobalt Strike en ransomware-payloads. Het doel van de stikstofmalware is om bedreigingsactoren initiële toegang tot bedrijfsnetwerken te bieden, waardoor ze datadiefstal en cyberspionage kunnen uitvoeren en de BlackCat / ALPHV-ransomware kunnen inzetten. De campagne richt zich voornamelijk op technologie- en non-profitorganisaties in Noord-Amerika en doet zich voor als populaire software zoals AnyDesk, Cisco AnyConnect VPN, TreeSize Free en WinSCP. Trend Micro was de eerste die deze activiteit documenteerde, waarbij WinSCP-advertenties leidden tot BlackCat / ALPHV-ransomware-infecties op het netwerk van een slachtoffer. Gebruikers worden geadviseerd om "gepromote" resultaten in zoekmachines te vermijden bij het downloaden van software en alleen te downloaden van de officiële site van de ontwikkelaar. (bron)
ALPHV ransomware voegt datalek-API toe aan nieuwe afpersingsstrategie
De ALPHV ransomware-groep, ook wel bekend als BlackCat, probeert meer druk uit te oefenen op hun slachtoffers om losgeld te betalen door een API voor hun lekwebsite beschikbaar te stellen. Hiermee willen ze de zichtbaarheid van hun aanvallen vergroten. Na een recente aanval op Estée Lauder, waarbij het schoonheidsbedrijf de dreiging om te onderhandelen over losgeld volledig negeerde, heeft de ransomware-groep deze nieuwe strategie ingezet. De nieuwe sectie op de ALPHV/BlackCat lekwebsite is ontdekt door meerdere onderzoekers. De API, of Application Programming Interface, stelt gebruikers in staat om tijdige updates over nieuwe slachtoffers te verzamelen. De groep heeft de API-oproepen gepost waarmee verschillende informatie over nieuwe slachtoffers die aan hun lekwebsite zijn toegevoegd, of updates vanaf een specifieke datum, kunnen worden opgehaald. Het lijkt erop dat het vrijgeven van de API mogelijk te maken heeft met een afname van het aantal slachtoffers dat losgeld betaalt. Uit een rapport van het incident response-bedrijf Coveware blijkt dat het aantal betalende slachtoffers dat getroffen werd door ransomware in het tweede kwartaal van dit jaar "tot een historisch laagtepunt van 34%" is gedaald. Met minder betalende slachtoffers zoeken ransomware-groepen naar nieuwe methoden om druk uit te oefenen en geld te verdienen. Het beschikbaar maken van hun lekken aan een groter publiek lijkt de nieuwste afpersingslaag te zijn, maar het is waarschijnlijk gedoemd om te mislukken.
ALPHV ransomware group now provides an API for their ransomware leak site.
β vx-underground (@vxunderground) July 24, 2023
Neat. pic.twitter.com/Ww0gjA3SSw
Overheid (NL) verwijdert drieduizend DigiD-accounts aangeboden door criminelen
Overheidsinstantie Logius heeft meer dan drieduizend actieve DigiD-accounts verwijderd, die door criminelen werden aangeboden op de illegale online marktplaats Genesis Market. Deze marktplaats bood gestolen gegevens van met malware besmette computers aan, waaronder inloggegevens, cookies en andere data, waaronder gebruikersnamen en wachtwoorden van DigiD-accounts. Door het gebruik van een aparte browser en browserplug-in konden afnemers met gestolen inloggegevens op allerlei diensten inloggen. Naar schatting werden de gegevens van twee miljoen slachtoffers, waaronder vijftigduizend Nederlanders, via de marktplaats verhandeld. De Genesis Market werd offline gehaald tijdens een internationale operatie. Logius heeft de gedupeerden ingelicht en benadrukt dat dit soort gegevensdiefstal kan leiden tot identiteitsfraude, waardoor hackers het digitale leven van slachtoffers kunnen overnemen. (bron)
Nederlandse Olie- en Gasgigant SBM Offshore Getroffen door Cyberaanval
In een recente onthulling op het darkweb, is bekendgemaakt dat de Nederlandse olie- en gasgigant SBM Offshore het slachtoffer is geworden van een cyberaanval. De aanval, uitgevoerd door de beruchte cybercriminele groep CL0P, werd op 26 juli 2023 openbaar gemaakt. Verdere details over de omvang van de schade of de aard van de gestolen gegevens zijn nog niet bekend.
Informatiediefstal malware steelt meer dan 400.000 bedrijfsgegevens: Diepe infiltratie in bedrijfsomgevingen onthuld
Uit een analyse van bijna 20 miljoen logboeken van informatiediefstal malware, verkocht op het dark web en Telegram-kanalen, is gebleken dat deze malware een aanzienlijke infiltratie heeft bereikt in bedrijfsomgevingen. Deze malware steelt informatie opgeslagen in applicaties zoals webbrowsers, e-mailclients, en meer, en verpakt de gestolen informatie in 'logs'. Deze worden vervolgens naar de dreigingsactor geüpload voor gebruik bij aanvallen of verkoop op marktplaatsen voor cybercriminaliteit. Families van malware zoals Redline, Raccoon, Titan, Aurora, en Vidar zijn de meest prominente informatiedieven. Cyberbeveiligingsbedrijf Flare ontdekte bijvoorbeeld ongeveer 375.000 logs met toegang tot zakelijke applicaties zoals Salesforce en AWS. Om het risico op malware-infecties te minimaliseren, wordt bedrijven geadviseerd het gebruik van wachtwoordbeheerders op te leggen, authenticatie met meerdere factoren af te dwingen en strikte controles in te stellen op het gebruik van persoonlijke apparaten. (bron)
Android Stalkerware Spyhide Treft 60.000 Telefoons Wereldwijd, Inclusief Miljoenen Onderschepte SMS-berichten
De Android-stalkerware Spyhide is sinds 2016 op 60.000 telefoons geïnstalleerd en heeft onder meer miljoenen sms-berichten onderschept, volgens een beveiligingsonderzoeker. Via de software kunnen gebruikers diverse informatie verzamelen van hun doelwitten, waaronder gespreksgeschiedenis, sms-berichten, locatiegeschiedenis en bestandsinformatie. Een gebrek aan beveiliging in de ontwikkelomgeving van de stalkerware stelde de onderzoeker in staat om toegang te krijgen tot de broncode van het dashboard waarmee gebruikers de verzamelde telefoongegevens van hun slachtoffers kunnen bekijken. De database toonde aan dat wereldwijd 60.000 Android-telefoons zijn gecompromitteerd door de stalkerware, inclusief duizenden in Europa. De database bevatte ook 3,29 miljoen sms-berichten met persoonlijke informatie, gesprekslogs, opgenomen gesprekken, contactlijsten en informatie over foto's en afbeeldingen. (bron)
Zenbleed-aanval op AMD Zen2-CPU's maakt gevoelige data buit
Google's beveiligingsonderzoeker Tavis Ormandy heeft een nieuw beveiligingslek geïdentificeerd, bekend als Zenbleed, dat AMD Zen2-CPU's beïnvloedt. Het lek kan een kwaadwillige partij toestaan om gevoelige informatie te stelen, zoals wachtwoorden en coderingssleutels, met een snelheid van 30KB/sec van elke CPU-kern. Het lek wordt veroorzaakt door de onjuiste behandeling van een instructie, 'vzeroupper', tijdens speculatieve uitvoering. Ormandy ontdekte het lek met behulp van fuzzing en prestatietellers en valideerde zijn resultaten met een methode genaamd "Oracle Serialization". AMD heeft reeds een bijgewerkte microcode voor getroffen systemen vrijgegeven. Het is belangrijk voor gebruikers om hun systemen up-to-date te houden met de nieuwste beveiligingspatches en BIOS-updates. Hoewel de praktische impact van Zenbleed op reguliere gebruikers relatief laag is, blijft waakzaamheid belangrijk vanwege het potentieel voor gegevensdiefstal. (bron, bron2, bron3, bron4)
First big result from our new CPU research project, a use-after-free in AMD Zen2 processors! π₯ AMD have just released updated microcode for affected systems, please update! https://t.co/NVPWFpVopz pic.twitter.com/HgKwu9w8Av
β Tavis Ormandy (@taviso) July 24, 2023
Lazarus-Hackers Misbruiken Microsoft IIS-Servers voor Malware Distributie
De door de Noord-Koreaanse staat gesponsorde Lazarus-hackgroep maakt misbruik van Windows Internet Information Service (IIS)-webservers om ze te kapen voor de distributie van malware. De hackers maken gebruik van slecht beveiligde IIS-diensten, die eigendom zijn van betrouwbare organisaties, om bezoekers van websites of gebruikers van diensten te infecteren. Recentelijk heeft Lazarus legitieme Zuid-Koreaanse websites gecompromitteerd om 'Watering Hole'-aanvallen uit te voeren op bezoekers door gebruik te maken van een kwetsbare versie van de INISAFE CrossWeb EX V6-software. Deze software wordt in Zuid-Korea veel gebruikt voor elektronische financiële transacties en internetbankieren. Aanbevolen wordt dat gebruikers van NISAFE CrossWeb EX V6 hun software updaten naar de nieuwste versie om zich tegen dergelijke aanvallen te beschermen. (bron, bron2, bron3, bron4)
Noord-Koreaanse hackers gelinkt aan JumpCloud inbraak na veiligheidsfout
De aanvallers achter de aanval op it-dienstverlener JumpCloud hebben door een fout met de gebruikte vpn-dienst hun eigen ip-adressen onthuld, zo stelt securitybedrijf Mandiant. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken. Eerder deze maand werd bekend dat aanvallers via een spearphishing-aanval toegang tot systemen van JumpCloud hadden gekregen, om daarvandaan systemen van klanten te compromitteren. Volgens JumpCloud hebben de aanvallers bij minder dan vijf bedrijven toegeslagen. Eén van deze getroffen ondernemingen is een niet nader genoemd Amerikaans softwarebedrijf dat Mandiant inschakelde. De aanvallers gebruikten JumpCloud om het softwarebedrijf met malware te infecteren. Daarbij hadden de aanvallers het onder andere voorzien op macOS keychains en data over directeuren en interne securityteams. Volgens Mandiant is de aanval het werk van een Noord-Koreaanse groep. De aanvallers maken gebruik van Operational Relay Boxes (ORBs) in combinatie met commerciële vpn-diensten om hun eigen ip-adres te verbergen. Daarbij is de vpn-dienst de laatste hop naar het slachtoffer. Volgens Mandiant maakten de aanvallers niet altijd gebruik van de vpn-oplossing of stopte die met werken, waardoor het ip-adres van de ORB zichtbaar werd. Het ging om een Noord-Koreaans ip-adres. Ook zagen de onderzoekers dat de aanvallers vanaf een Noord-Koreaans ip-adres op een box inlogden. "Ons bewijs ondersteunt dat dit een operationele securityfout was, aangezien de verbinding naar het Noord-Koreaanse netblock van korte duur was." De groep zou het vooral op cryptovaluta en cryptobedrijven hebben voorzien. Het is niet de eerste supplychain-aanval waarvoor Noord-Korea verantwoordelijk wordt gehouden. Het land zou ook achter de aanvallen op de X_TRADER-applicatie
Noorse ministeries onder vuur door Zerodaylek in MobileIron Core
Bij de aanval op de Noorse overheid die gisteren werd gemeld is gebruikgemaakt van een kritiek zerodaylek in Ivanti Endpoint Manager Mobile (EPMM), dat eerder bekend stond als MobileIron Core. Dat heeft de Noorse veiligheidsdienst NSM laten weten. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren. Gisteren maakte de Noorse overheid bekend dat een zerodaylek was gebruikt tegen een niet nader genoemd ict-platform waar twaalf Noorse ministeries mee werken. Nu blijkt dat het om Ivanti Endpoint Manager Mobile gaat. Het beveiligingslek in de software, aangeduid als CVE-2023-35078, betreft een "authentication bypass" waardoor een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen. Vervolgens is het mogelijk om aanpassingen aan de server door te voeren of toegang tot persoonlijke informatie van gebruikers te krijgen, zo meldt de Australische overheid. De Amerikaanse overheid laat weten dat de aanvaller ook een beheerdersaccount kan aanmaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Volgens Ivanti is de zeroday voor zover bekend tegen een "zeer beperkt aantal" klanten ingezet. Een exact aantal wordt echter niet genoemd. De Noorse autoriteiten hebben inmiddels alle organisaties in het land die van EPMM/MobileIron Core gebruikmaken over het zerodaylek ingelicht en opgeroepen de beschikbaar gemaakte patches meteen te installeren. "De kwetsbaarheid wordt op beperkte schaal actief misbruikt. Alhoewel ten tijde van schrijven weinig inhoudelijke details publiek beschikbaar zijn, is de verwachting dat de kans op misbruik toeneemt naarmate meer informatie beschikbaar komt", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Ook het NCSC adviseert organisaties om de door Ivanti beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren.
Ransomware-aanval op Amerikaans ziekenhuis leidt tot diefstal van data van 1,2 miljoen patiënten
Bij een ransomware-aanval op een Amerikaans ziekenhuis zijn de gegevens van 1,2 miljoen patiënten gestolen. De monitoringssystemen van het ziekenhuis voorkwamen dat er data werd versleuteld, maar op dat moment hadden de aanvallers al allerlei gevoelige gegevens buitgemaakt. Het gaat om namen, adresgegevens, telefoonnummers, geboortedata, social-securitynummers, zorgverzekeringsinformatie, medische dossiernummers, patiëntnummers, datum van behandeling en "beperkte" informatie over de behandeling zelf. Tegenover de Tampa Bay Times laat het Tampa General Hospital weten dat het om de data van 1,2 miljoen patiënten gaat. De aanval werd op 31 mei opgemerkt. Verder onderzoek wees uit dat de aanvallers in de drie weken daarvoor de gegevens hadden buitgemaakt. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Wel zegt het ziekenhuis aanvullende beveiligingsmaatregelen te hebben genomen en is de monitoring opgeschroefd. Het ziekenhuis zal daarnaast alle getroffen patiënten via brief informeren.
15.000 Citrix-servers riskeren cyberaanvallen door ontbrekende beveiligingsupdate
Vijftienduizend Citrix-servers missen een kritieke beveiligingsupdate voor een kwetsbaarheid die in eerste instantie als zeroday werd aangevallen, zo laat de Shadowserver Foundation weten. In Nederland gaat het nog om ruim driehonderd servers. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers sinds juni misbruik van de kwetsbaarheid om op Citrix-servers een webshell te installeren. Met dergelijke software is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren. De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het gaat 331 machines in Nederland. De VS is met 6100 kwetsbare Citrix-servers koploper. Beheerders worden dan ook opgeroepen om de update zo snel mogelijk te installeren. Vorige week kwam securitybedrijf Mandiant met een analyse van de aanvallen op kwetsbare Citrix-servers, waarbij een webshell werd geïnstalleerd. Volgens het bedrijf zijn de aanvallen vermoedelijk het werk van "cyber espionage threat actors". Tevens geeft het bedrijf informatie waarmee organisaties kunnen kijken of ze gecompromitteerd zijn.
Update on CVE-2023-3519 vulnerable IPs: we now tag 15K Citrix IPs as vulnerable to CVE-2023-3519. We extended the tagging logic to tag as vulnerable all that return Last Modified headers with a date before July 1, 2023 00:00:00Z. We also improved NetScaler AAA detection coverage. https://t.co/xvHv4r5e8g pic.twitter.com/jd1shpdXjF
β Shadowserver (@Shadowserver) July 21, 2023
Nederlandse Machinefabrikant Primoteq Getroffen door Cyberaanval
Primoteq, een Nederlandse producent van machines en computerapparatuur, is het recente slachtoffer geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep PLAY. De onthulling van de aanval vond plaats op 24 juli 2023, toen PLAY de informatie op het darkweb publiceerde. Het is nog onduidelijk wat de gevolgen van deze cyberaanval zijn voor Primoteq en haar klanten.
Twaalf Noorse ministeries aangevallen door onbekende actor via zerodaylek
De Noorse overheid is het slachtoffer geworden van een aanval waarbij gebruik is gemaakt van een zerodaylek om een ict-platform aan te vallen waar twaalf ministeries gebruik van maken, zo laat het Noorse ministerie van Lokaal Bestuur en Regionale Ontwikkeling in een verklaring weten. Volgens de autoriteiten hebben de aanvallers misbruik gemaakt van een "voorheen onbekende kwetsbaarheid" in de software van een leverancier. "Deze kwetsbaarheid is misbruikt door een onbekende actor. We hebben het beveiligingslek verholpen. Het is nog te vroeg om iets te zeggen over wie erachter zit en de omvang van de aanval", aldus de verklaring. Daarin wordt ook gesteld dat het werk van de Noorse regering gewoon doorgaat en er extra beveiligingsmaatregelen zijn genomen om de gegevens op het ict-platform te beveiligen. Het gevolg van de maatregelen is dat medewerkers van de twaalf ministeries nu geen toegang hebben tot allerlei diensten, waaronder e-mail. Medewerkers kunnen op kantoor of thuis nog wel gewoon op hun computer werken. De Noorse politie heeft inmiddels een onderzoek ingesteld en de Noorse privacytoezichthouder is ingelicht.
Ransomwaregroep Clop zet gestolen gegevens op het web
De criminelen achter de Clop-ransomware hebben gegevens van organisaties die via een zerodaylek in MOVEit Transfer zouden zijn gestolen op verschillende clearnet websites gepubliceerd. Het gaat volgens de aanvallers om data die bij consultancybedrijven PwC en EY is buitgemaakt. Dat melden vx-underground en beveiligingsonderzoeker Dominic Alvieri via Twitter. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Via een zerodaylek konden de aanvallers toegang tot data op de servers krijgen en die stelen. De groep dreigt gestolen data via hun eigen website openbaar te maken als slachtoffers geen losgeld betalen. Op deze manier worden slachtoffers extra onder druk gezet om aan de eisen van de aanvallers tegemoet te komen. De website van de Clop-groep is alleen via Tor Browser toegankelijk. Eerder dit jaar werd al bekend dat de criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, gestolen gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer. Deze website was toegankelijk via het "clearnet", zoals het "normale" internet wordt genoemd. De tactiek is nu ook door de Clop-groep overgenomen. Volgens vx-underground is het de vraag hoe succesvol de websites zijn, aangezien gigabytes aan gestolen data via slechts 90 kilobyte per seconde zijn te downloaden.
Let me know what you would like to know and how to contact you or just have them check their DMs which I disclosed more of the details.
β Dominic Alvieri (@AlvieriD) July 22, 2023
The image I posted above and here again was the landing page, now offline. pic.twitter.com/7jQuTaBHfv
cl0p ransomware group made a clearnet domain to distribute stolen files from PwC.
β vx-underground (@vxunderground) July 20, 2023
The files download at 90KB/s.
cl0p, how is anyone going to verify GB (or TB) of stolen data at 90KB/s? pic.twitter.com/WJQ2BxsRWU
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language