EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.
In de afgelopen week hebben we wederom een reeks verontrustende cyberaanvallen en kwetsbaarheden waargenomen die zowel de publieke als private sector raken. Van nieuwe phishing-aanvallen die DarkGate Malware verspreiden via Microsoft Teams, tot gerichte ransomware-aanvallen door de Ragnar Locker-groep op een Israëlisch ziekenhuis. Cisco heeft tevens gewaarschuwd voor een actief uitgebuite zero-day-kwetsbaarheid in VPN-systemen. Ondertussen blijft de stad Antwerpen worstelen met de langdurige impact van een ransomware-aanval die vorig jaar plaatsvond, met name op het gebied van AVG-naleving. Iraanse hackers hebben succesvol ingebroken bij een Amerikaanse luchtvaartorganisatie door gebruik te maken van kwetsbaarheden in Zoho en Fortinet. iPhones zijn niet gespaard gebleven en zijn geïnfecteerd met Pegasus-spyware via nieuwe zero-day-lekken. Op het gebied van Distributed Denial of Service (DDoS) aanvallen, is een nieuwe variant van het Mirai Malware Botnet ontdekt die goedkope Android TV-boxen besmet. Er zijn ook beveiligingsproblemen gevonden in LastPass die mogelijk gelinkt zijn aan een grote diefstal van cryptocurrency. Het W3LL Phishing Kit heeft duizenden Microsoft 365 accounts weten te compromitteren en heeft zelfs meerfactorauthenticatie weten te omzeilen. In de crypto-industrie heeft het online casino Stake.com maar liefst $41 miljoen verloren door een hack van hun hot wallets. Bovendien heeft de Nederlandse chipfabrikant NXP te maken gekregen met een omvangrijk datalek, en is gevoelige klantdata van Orange en andere telecomaanbieders te koop aangeboden door een hackergroep. Hieronder vindt u een volledig overzicht van deze en andere significante cyberaanvallen en beveiligingsincidenten van de afgelopen week.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|---|
Core Desktop | Rhysida | www.coredesktop.com.au | Australia | IT Services | 10-sep.-23 |
Singing River Health System | Rhysida | www.singingriverhealthsystem.com | USA | Health Services | 10-sep.-23 |
Kirby Risk | BlackByte | www.kirbyrisk.com | USA | Electronic, Electrical Equipment, Components | 9-sep.-23 |
IT-Center Syd | Rhysida | www.itcsyd.dk | Denmark | IT Services | 9-sep.-23 |
Low Keng Huat | RansomHouse | www.lkhs.com.sg | Singapore | Real Estate | 8-sep.-23 |
sd69.org | LockBit | sd69.org | USA | Educational Services | 8-sep.-23 |
monaco-technologies.com | LockBit | monaco-technologies.com | Monaco | IT Services | 8-sep.-23 |
UNIVERSAL REALTY GROUP | 8BASE | universalproperties.ca | Canada | Real Estate | 8-sep.-23 |
Geo Tek | Cactus | www.geotekusa.com | In progress | Engineering Services | 8-sep.-23 |
hanwha.com | LockBit | hanwha.com | South Korea | Chemical Producers | 8-sep.-23 |
JSS Almonds | Cactus | www.jssalmonds.com | USA | Food Products | 8-sep.-23 |
BRiC Partnership | Cactus | www.bricpartnership.com | USA | Engineering Services | 8-sep.-23 |
Custom Powder Systems | Cactus | www.custom-powder.com | USA | Machinery, Computer Equipment | 8-sep.-23 |
atWork Office Furniture | Cactus | www.atwork.ca | Canada | Home Furniture, Furnishings, And Equipment Stores | 8-sep.-23 |
PAUL-ALEXANDRE DOICESCO | Qilin | notairedoicesco.be | Belgium | Real Estate | 8-sep.-23 |
WACOAL | Qilin | wacoal-america.com | USA | Apparel And Accessory Stores | 8-sep.-23 |
24/7 Express Logistics | RA GROUP | 247expresslogistics.com | USA | Transportation Services | 8-sep.-23 |
PetroVietnam Metallic Structures & Erection Joint Stock Company (PVC-MS) | STORMOUS | www.pvc-ms.vn | Vietnam | Machinery, Computer Equipment | 8-sep.-23 |
Chambersburg Area School District | BlackByte | www.casdonline.org | USA | Educational Services | 7-sep.-23 |
FOCUS Business Solutions | BlackByte | focus-solutions.net | India | Management Services | 7-sep.-23 |
toua.net | LockBit | toua.net | USA | Electric, Gas, And Sanitary Services | 7-sep.-23 |
Omniatel | NoEscape | www.omniatel.it | Italy | Security And Commodity Brokers, Dealers, Exchanges, And Services | 7-sep.-23 |
Conselho Superior da Justiça do Trabalho | 8BASE | www.csjt.jus.br | Brazil | Justice, Public Order, And Safety | 7-sep.-23 |
K***** **** *********** | BianLian | Unknown | USA | Management Services | 7-sep.-23 |
Sebata Holdings (MICROmega Holdings) | BianLian | www.sebataholdings.com | South Africa | Security And Commodity Brokers, Dealers, Exchanges, And Services | 7-sep.-23 |
West Craft Manufacturing | Cactus | www.westcraftmfg.net | USA | Machinery, Computer Equipment | 7-sep.-23 |
Trimaran Capital Partners | Cactus | www.trimarancapital.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 7-sep.-23 |
TORMAX USA | Cactus | www.tormaxusa.com | USA | Wholesale Trade-durable Goods | 7-sep.-23 |
Specialised Management Services | Cactus | www.sms-alderley.com | United Kingdom | Machinery, Computer Equipment | 7-sep.-23 |
ragasa.com.mx | LockBit | ragasa.com.mx | Mexico | Food Products | 6-sep.-23 |
qsoftnet.com | LockBit | qsoftnet.com | Spain | IT Services | 6-sep.-23 |
protosign.it | LockBit | protosign.it | Italy | Construction | 6-sep.-23 |
concrejato.com.br | LockBit | concrejato.com.br | Brazil | Construction | 6-sep.-23 |
meroso.be | LockBit | meroso.be | Belgium | Food Products | 6-sep.-23 |
nobleweb.com | LockBit | nobleweb.com | USA | Real Estate | 6-sep.-23 |
gormanusa.com | LockBit | gormanusa.com | USA | Real Estate | 6-sep.-23 |
onyx-fire.com | LockBit | onyx-fire.com | Canada | Engineering Services | 6-sep.-23 |
Smead | BlackByte | www.smead.com | USA | Paper Products | 6-sep.-23 |
Israel Medical Center | Ragnar_Locker | www.mymc.co.il | Israel | Health Services | 6-sep.-23 |
I Keating Furniture World | INC Ransom | ikeatingfurniture.com | USA | Home Furniture, Furnishings, And Equipment Stores | 6-sep.-23 |
It4 Solutions Robras | INC Ransom | it4solutions.net | USA | IT Services | 6-sep.-23 |
Ayass BioScience | BlackCat (ALPHV) | ayassbioscience.com | USA | Health Services | 6-sep.-23 |
Energy One | Akira | www.energyone.com | Australia | Oil, Gas | 6-sep.-23 |
FRESH TASTE PRODUCE USA AND ASSOCIATES INC. | 8BASE | freshtasteproduce.com | USA | Agriculture | 6-sep.-23 |
Chula Vista Electric (CVE) | 8BASE | www.c-v-e.com | USA | Engineering Services | 6-sep.-23 |
Precisely | PLAY | www.precisely.com | USA | IT Services | 5-sep.-23 |
Kikkerland Design | PLAY | www.kikkerland.com | USA | Miscellaneous Services | 5-sep.-23 |
Markentrainer Werbeagentur | PLAY | www.micro-automation.de | Germany | Machinery, Computer Equipment | 5-sep.-23 |
Winshuttle | PLAY | www.winshuttle.com | USA | IT Services | 5-sep.-23 |
Master Interiors | PLAY | www.masterinteriors.com | USA | Construction | 5-sep.-23 |
Bordelon Marine | PLAY | www.bordelonmarine.com | USA | Water Transportation | 5-sep.-23 |
Majestic Spice | PLAY | www.majesticspice.com | USA | Wholesale Trade-non-durable Goods | 5-sep.-23 |
Infinity Construction Company | NoEscape | www.infinityconstruction.com | USA | Construction | 5-sep.-23 |
Seymours | Cactus | www.seymours-estates.co.uk | United Kingdom | Real Estate | 5-sep.-23 |
Promotrans | Cactus | www.promotrans.fr | In progress | In progress | 5-sep.-23 |
MINEMAN Systems | Cactus | www.mineman.com | Australia | Mining | 5-sep.-23 |
Maxxd Trailers | Cactus | www.maxxdtrailers.com | USA | Transportation Equipment | 5-sep.-23 |
Marfrig Global Foods | Cactus | www.marfrig.com.br | Brazil | Food Products | 5-sep.-23 |
Treadwell, Tamplin & Company, Certified Public Accountants, Madison, GA | Trigona | ttccpa.com | USA | Accounting Services | 5-sep.-23 |
Flamingo Holland | Trigona | www.flamingoholland.com | USA | Wholesale Trade-non-durable Goods | 5-sep.-23 |
Aria Care Partners | Trigona | ariacarepartners.com | USA | Health Services | 5-sep.-23 |
Cedar Holdings | Trigona | www.cedarhd.com | China | Holding And Other Investment Offices | 5-sep.-23 |
Unimed | Trigona | unimed.coop.br | Brazil | Insurance Carriers | 5-sep.-23 |
Cyberport | Trigona | cyberport.hk | Hong Kong | IT Services | 5-sep.-23 |
Lagarde Meregnani | Cactus | www.lagardemeregnani.fr | France | Construction | 5-sep.-23 |
Hornsyld KΓΈbmandsgaard | Cactus | www.hk-hornsyld.dk | Denmark | Miscellaneous Manufacturing Industries | 5-sep.-23 |
Foroni SPA | Cactus | www.foroni.com | Italy | Metal Industries | 5-sep.-23 |
Barsco | Cactus | www.barsco.com | USA | Wholesale Trade-durable Goods | 5-sep.-23 |
spmblaw.com | LockBit | spmblaw.com | USA | Legal Services | 5-sep.-23 |
godbeylaw.com | LockBit | godbeylaw.com | USA | Legal Services | 5-sep.-23 |
24****r | RA GROUP | Unknown | Unknown | Unknown | 4-sep.-23 |
He****rk | RA GROUP | Unknown | Unknown | Unknown | 4-sep.-23 |
wantager.com | RansomedVC | wantager.com | Unknown | Transportation Services | 4-sep.-23 |
easydentalcare.us | RansomedVC | easydentalcare.us | USA | Health Services | 4-sep.-23 |
quantinuum.com | RansomedVC | quantinuum.com | United Kingdom | IT Services | 4-sep.-23 |
laasr.eu | RansomedVC | laasr.eu | Unknown | Unknown | 4-sep.-23 |
medcenter-tambov.ru | RansomedVC | medcenter-tambov.ru | Russia | Health Services | 4-sep.-23 |
makflix.eu | RansomedVC | makflix.eu | Unknown | Miscellaneous Services | 4-sep.-23 |
nucleus.live | RansomedVC | nucleus.live | Unknown | Unknown | 4-sep.-23 |
Mulkay Cardiology Consultants | NoEscape | www.mulkaycardiology.com | USA | Health Services | 4-sep.-23 |
HBME LLC | NoEscape | hbme.com | USA | Accounting Services | 4-sep.-23 |
Northwave s.r.l. | NoEscape | northwave.it | Italy | Apparel And Accessory Stores | 4-sep.-23 |
Barco Uniforms | Cactus | www.barcouniforms.com | USA | Apparel And Accessory Stores | 4-sep.-23 |
Balcan | Cactus | www.balcan.com | Canada | Miscellaneous Manufacturing Industries | 4-sep.-23 |
Swipe.bg | RansomedVC | swipe.bg | Bulgaria | Home Furniture, Furnishings, And Equipment Stores | 4-sep.-23 |
Balmit Bulgaria | RansomedVC | balmit.bg | Bulgaria | Miscellaneous Manufacturing Industries | 4-sep.-23 |
Knight Barry Title | Snatch | knightbarry.com | USA | Insurance Carriers | 4-sep.-23 |
cdwg.com | LockBit | cdwg.com | USA | IT Services | 4-sep.-23 |
Betton France | Medusa | betton.fr | France | General Government | 4-sep.-23 |
Jules B | Medusa | www.julesb.com | United Kingdom | Apparel And Accessory Stores | 4-sep.-23 |
VV&A | 8BASE | cftvyv.com | Costa Rica | Accounting Services | 4-sep.-23 |
Prodegest Assessors | 8BASE | www.prodegest.com | Spain | Legal Services | 4-sep.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|---|
PAUL-ALEXANDRE DOICESCO | Qilin | notairedoicesco.be | Belgium | Real Estate | 8-sep.-23 |
meroso.be | LockBit | meroso.be | Belgium | Food Products | 6-sep.-23 |
In samenwerking met StealthMol
Cyberaanvallen nieuws
Belgisch Vastgoedbedrijf Paul-Alexandre Doicesco Slachtoffer van Qilin Ransomware
Op 8 september 2023 is het Belgische vastgoedbedrijf Paul-Alexandre Doicesco het slachtoffer geworden van een ransomware-aanval door de criminele groep Qilin. De aanval is bekendgemaakt op het darkweb en betreft de website notairedoicesco.be. Dit incident benadrukt het groeiende risico van cyberaanvallen op bedrijven in de vastgoedsector. Extra waakzaamheid en het nemen van passende cybersecuritymaatregelen zijn dringend aanbevolen.
Nieuwe Phishing-aanval via Microsoft Teams Verspreidt DarkGate Malware
Een nieuwe phishing-campagne die in eind augustus 2023 begon, maakt misbruik van Microsoft Teams om de DarkGate Loader-malware te verspreiden. De aanval maakt gebruik van twee gecompromitteerde externe Office 365-accounts om phishing-berichten naar andere organisaties te sturen. Deze berichten moedigen gebruikers aan om een ZIP-bestand met de titel "Wijzigingen in het vakantieschema" te downloaden en te openen. Het ZIP-bestand wordt gedownload van een SharePoint-URL en bevat een LNK-bestand dat zich voordoet als een PDF-document. Dit bestand bevat een kwaadaardig VBScript dat een infectieketen in gang zet, resulterend in de installatie van de DarkGate Loader-malware. Onderzoekers van Truesec en Deutsche Telekom CERT hebben deze campagne geanalyseerd en ontdekten dat het script verschillende technieken gebruikt om detectie te vermijden. Het script checkt bijvoorbeeld of Sophos antivirus aanwezig is en gebruikt een techniek genaamd "stacked strings" om de uitvoerbare bestanden te construeren. Ondanks de ernst van deze ontdekking heeft Microsoft ervoor gekozen het risico niet aan te pakken. Daarbij komt dat DarkGate, dat sinds 2017 in omloop is, in toenemende mate wordt verspreid via verschillende kanalen zoals phishing en malvertising. Dit maakt DarkGate een opkomende dreiging die nauwlettend in de gaten gehouden moet worden. (bron, bron2, bron3, bron4, bron5)
Forumbericht over DarkGate
Ragnar Locker Ransomware Groep Viseert Israëlisch Ziekenhuis en Dreigt met Datalek
De Ragnar Locker ransomware-groep heeft de verantwoordelijkheid opgeëist voor een cyberaanval op het Israëlische ziekenhuis Mayanei Hayeshua. De aanval vond begin augustus plaats en leidde tot ernstige verstoringen in het patiëntregistratiesysteem van het ziekenhuis, waardoor nieuwe patiënten niet konden worden geholpen. Ondanks het gevoelige karakter van de doelwitinstelling heeft de groep ervoor gekozen de apparaten in het ziekenhuis niet te versleutelen. Dit werd gedaan om essentiële medische apparatuur en diensten niet te verstoren. Echter, de aanvallers beweren dat ze 1 TB aan gevoelige gegevens hebben buitgemaakt door gebruik te maken van ernstige kwetsbaarheden in het netwerk van het ziekenhuis.Security onderzoekers zoals MalwareHunterTeam hebben deze beweringen bevestigd en hebben gemeld dat Ragnar Locker een specifieke pagina op hun dataleksite voor het ziekenhuis heeft aangemaakt. Op deze pagina staat dat tot dusver 420 GB van de gestolen data is gepubliceerd en waarschuwen ze dat er in de komende week meer zal volgen. De gestolen informatie omvat medische dossiers, behandelingsprocedures en voorgeschreven medicatie. Een losgeldbrief van de aanvallers, gezien door BleepingComputer, specificeert verder dat er ook een SQL-database en e-mails zijn ontvreemd. Het ziekenhuis heeft nog niet gereageerd op de beweringen en het is onduidelijk of de gestolen gegevens daadwerkelijk aan hen toebehoren. De aanval markeert een zorgwekkende trend van verhoogde activiteit tegen medische instellingen, die worden beschouwd als hoge waarde doelwitten vanwege de gevoelige aard van hun data. Dit incident benadrukt het voortdurende risico van cyberaanvallen op medische faciliteiten en de noodzaak voor robuuste cybersecuritymaatregelen om zowel patiëntgegevens als kritieke gezondheidsdiensten te beschermen. (bron)
So, if there was a negotiation, it was not successful, as the Ragnar Locker gang just started leaking files from the medical center.
β MalwareHunterTeam (@malwrhunterteam) September 6, 2023
π«
"According to our rules we are publishing the data which were compromised during security research of the MYMC network."
Security research?
π pic.twitter.com/JKO9SHtVU6
Datalek bij Dymocks Booksellers: Cybercriminelen lekken gegevens van 836.000 klanten op hackforums
Dymocks Booksellers, een boekhandelketen met vestigingen in Australië, Nieuw-Zeeland en Hong Kong, heeft een datalek ervaren waarbij de persoonlijke informatie van 836.000 klanten is blootgesteld. Het bedrijf werd op de hoogte gebracht van het lek op 6 september 2023 door Troy Hunt, de oprichter van de datalek-meldingsdienst 'Have I Been Pwned'. Het lek werd ontdekt nadat de klantendatabase van Dymocks op diverse hackersfora werd gedeeld. Ondanks het onderzoek is het nog onduidelijk hoe de data precies is gelekt. Het bedrijf zelf heeft geen bewijs gevonden van ongeautoriseerde toegang tot hun eigen computersystemen en is momenteel de mogelijkheid van een beveiligingsincident via derde partijen aan het onderzoeken. De gecompromitteerde gegevens omvatten de volledige naam, geboortedatum, e-mailadres, postadres, geslacht en lidmaatschapsdetails van de klanten. Financiële gegevens zijn niet blootgesteld. Hoewel wachtwoorden niet direct zijn gelekt, adviseert Dymocks klanten om hun accountwachtwoord te wijzigen als voorzorgsmaatregel. De gelekte data wordt al sinds juni 2023 gecirculeerd op verschillende Telegram-kanalen en hackersfora, wat kwaadwillenden de kans heeft gegeven om de data te misbruiken voor phishing en scamming gericht op Dymocks klanten. Dymocks werkt actief aan het afronden van het onderzoek en het implementeren van aanvullende beveiligingsmaatregelen. Alle relevante autoriteiten zijn op de hoogte gesteld en het bedrijf verzekert klanten dat het nog steeds veilig is om aankopen te doen op hun online winkel. (bron, bron2)
Cisco waarschuwt voor een zero-day-kwetsbaarheid in VPN-systemen die actief wordt uitgebuit door ransomware-groepen
Cisco waarschuwt voor een medium-ernstige zero-day-kwetsbaarheid (CVE-2023-20269) in hun Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) systemen. Deze kwetsbaarheid wordt actief misbruikt door ransomwaregroepen om toegang te krijgen tot bedrijfsnetwerken.
Details van de kwetsbaarheid:
- Invloed:
De kwetsbaarheid heeft invloed op de VPN-functies van Cisco ASA en FTD. Het stelt niet-geautoriseerde externe aanvallers in staat brute force-aanvallen uit te voeren op bestaande accounts.
- Werkingsmechanisme:
Aanvallers kunnen met succesvolle brute force-aanvallen een 'clientless SSL VPN'-sessie opzetten binnen het getroffen bedrijfsnetwerk.
- Technische Specificaties:
Het probleem zit in de webdiensten-interface van de Cisco-apparaten en betreft de AAA (Authentication, Authorization, and Accounting) functies.
Eerdere Incidenten:
BleepingComputer en cybersecuritybedrijf SentinelOne rapporteerden vorige maand dat de Akira-ransomwaregroep vrijwel uitsluitend via Cisco VPN-apparaten inbrak in bedrijfsnetwerken. Later meldde Rapid7 dat ook de Lockbit-ransomware-operatie een nog niet gedocumenteerd probleem in Cisco VPN-apparaten uitbuitte.
Tijdelijke Maatregelen:
Cisco heeft bevestigd dat de kwetsbaarheid bestaat en heeft in een tussentijdse veiligheidsbulletin enkele workarounds voorgesteld. Er zijn nog geen veiligheidsupdates beschikbaar. Aanbevolen maatregelen zijn onder andere:
- Gebruik van DAP (Dynamic Access Policies)
- Beperkingen instellen in de LOCAL gebruikersdatabase
- Multi-Factor Authentication (MFA) activeren
Tot Slot:
De situatie is ernstig, maar er zijn tijdelijke maatregelen die systeembeheerders kunnen nemen om de risico's te minimaliseren totdat er een definitieve oplossing beschikbaar is. (bron)
Langdurige Impact van Ransomware-aanval Hindert Antwerpen in AVG-naleving
De gemeente Antwerpen ondervindt nog steeds de gevolgen van een ransomware-aanval die in december vorig jaar plaatsvond. Tien maanden na de aanval is de dienstverlening aan burgers op verschillende vlakken nog steeds beperkt. Dit heeft ook invloed op de naleving van de Algemene Verordening Gegevensbescherming (AVG). Inwoners die hun AVG-rechten willen uitoefenen, zoals het opvragen van hun persoonsgegevens, kunnen dit momenteel niet doen. De stad kan daarnaast niet garanderen dat er geen burgergegevens zijn gelekt. Hierdoor kunnen inwoners niet volledig worden geïnformeerd over welke gegevens van hen mogelijk gecompromitteerd zijn. De langdurige impact toont aan dat het herstel van een ransomware-aanval complex is en serieuze gevolgen kan hebben voor de naleving van databeschermingswetgeving. (bron)
See Tickets opnieuw slachtoffer: Cybercriminelen stelen creditcardgegevens van 320.000 klanten
Ticketsite See Tickets heeft opnieuw een datalek ervaren waarbij malware creditcardgegevens van meer dan 320.000 klanten heeft gestolen. Het lek komt een jaar nadat het bedrijf, dat een onderdeel is van het Franse mediaconglomeraat Vivendi, al eerder klanten waarschuwde voor een soortgelijk incident. Aanvallers konden toegang krijgen tot de website en malafide code op de bestelpagina plaatsen, waardoor klantgegevens werden onderschept. De malware was actief van 28 februari tot 2 juli dit jaar. Details over hoe de aanvallers toegang hebben gekregen tot de website zijn niet bekendgemaakt. Hoewel See Tickets stelt aanvullende beveiligingsmaatregelen te hebben getroffen, neemt het vertrouwen in hun vermogen om klantgegevens veilig te houden af. Vorig jaar werd namelijk onthuld dat malware 2,5 jaar lang creditcardgegevens van klanten had kunnen stelen. (bron)
Iraanse Hackers Breken In Bij Amerikaanse Luchtvaartorganisatie via Zoho en Fortinet Kwetsbaarheden
Op 7 september 2023 heeft een gezamenlijke verklaring van CISA (Cybersecurity and Infrastructure Security Agency), de FBI en het United States Cyber Command (USCYBERCOM) onthuld dat Iraanse hackers een Amerikaanse luchtvaartorganisatie zijn binnengedrongen. Hoewel de dreigingsgroepen achter deze inbraak nog niet zijn geïdentificeerd, wijst USCYBERCOM's persbericht de kwaadwillige actoren toe aan Iraanse exploitatiepogingen. De aanvallers maakten gebruik van kritieke kwetsbaarheden in Zoho ManageEngine ServiceDesk Plus en een Fortinet firewall. De hack was mogelijk door het uitbuiten van twee belangrijke CVE's (Common Vulnerabilities and Exposures): CVE-2022-47966, waardoor externe code-uitvoering mogelijk is op de Zoho-toepassing, en CVE-2022-42475, die werd gebruikt om aanwezigheid te vestigen op het firewall-apparaat van de organisatie. CISA was betrokken bij het incident tussen februari en april en meldt dat de hackers sinds januari in het netwerk van de getroffen luchtvaartorganisatie waren na het hacken van een internetblootgestelde server. De dreigingsgroepen zijn vaak op zoek naar ongepatchte, internetgeconfronteerde apparaten om toegang te krijgen tot netwerken. Eenmaal binnen handhaven ze hun aanwezigheid en kunnen ze deze infrastructuur gebruiken voor verdere aanvallen. Ter verdediging zijn organisaties aangeraden om mitigerende maatregelen toe te passen, zoals het dichten van alle bekende kwetsbaarheden, het monitoren op ongeautoriseerd gebruik van software voor externe toegang en het verwijderen van onnodige accounts, vooral die met speciale rechten.Deze aanval komt na eerdere waarschuwingen en maatregelen van CISA en de FBI omtrent kwetsbaarheden in ManageEngine en Fortinet, die werden misbruikt door andere staatgesteunde groepen, waaronder de Noord-Koreaanse Lazarus-groep, vooral tegen financiële diensten en gezondheidszorgsectoren. (bron, bron2, bron3)
Misbruik van Google Looker Studio in Cryptocurrency Phishing-aanvallen
Cybercriminelen hebben een nieuwe tactiek gevonden om cryptocurrency gebruikers op te lichten. Ze misbruiken Google's Looker Studio, een online tool oorspronkelijk bedoeld voor het omzetten van ruwe data naar aanpasbare rapporten. Onderzoekers van Check Point hebben ontdekt dat deze vertrouwde service wordt geëxploiteerd om overtuigende phishingpagina's te maken gericht op het stelen van digitale activa. Het proces begint met een phishing e-mail die zogenaamd van Google afkomstig is. De e-mail bevat het Google-logo en informeert de ontvanger dat ze ongeveer 0,75 Bitcoin (ongeveer $19.200) hebben gewonnen als onderdeel van Google's "premium cryptocurrency insights and trading strategies" programma. Deze goed geschreven e-mail bevat een link en moedigt de Gmail-gebruikers aan om hun "winst" op te halen. Wanneer de ontvanger op de link klikt, wordt hij of zij doorgestuurd naar een phishingpagina met een Google Slideshow. Deze belooft nu zelfs een verhoogd bedrag van 1,35 BTC (ongeveer $34.700). Er is een timer aanwezig om urgentie te creëren, waardoor slachtoffers mogelijk belangrijke aanwijzingen van fraude over het hoofd zien. Ze worden vervolgens verzocht om hun crypto-wallet login-gegevens in te voeren, die vervolgens door de cybercriminelen worden gestolen. Deze tactiek stelt de aanvallers in staat om andere accounts en mogelijk fondsen van crypto-uitwisselingen te compromitteren. Hoewel Check Point Google op de hoogte heeft gebracht van dit misbruik op 22 augustus 2023, is het onduidelijk welke maatregelen Google heeft genomen om deze phishingcampagnes te blokkeren. Gebruikers kunnen kwaadaardige inhoud melden via Google Looker Studio's eigen rapportagetool, maar waakzaamheid blijft geboden. Deze zaak benadrukt het belang van voortdurende alertheid en het verifiëren van de legitimiteit van e-mails en websites, zelfs als ze van vertrouwde bronnen lijken te komen. (bron, bron2)
Noord-Koreaanse Hackers Richten Zich op Russische Overheid en Defensieorganisaties
Microsoft heeft in een recent rapport aangegeven dat Noord-Koreaanse hackersgroepen sinds het begin van dit jaar meerdere Russische overheids- en defensiedoelen hebben aangevallen. Volgens het bedrijf maken deze cyberdreigingsactoren gebruik van de Russische focus op de invasie van Oekraïne om inlichtingen te verzamelen uit gecompromitteerde Russische systemen. Het hoofd van Microsoft's Digital Threat Analysis Center, Clint Watts, meldt dat de aanvallen waarschijnlijk gericht zijn op het verzamelen van inlichtingen. Hoewel Microsoft nog geen verdere details heeft verstrekt over welke Russische organisaties zijn getroffen, biedt het rapport wel enig inzicht in de timing van sommige aanvallen. Een Russisch luchtvaartonderzoeksinstituut en Russische diplomatieke accounts werden bijvoorbeeld allemaal gehackt in maart 2023. De aanvallen zijn georkestreerd door dreigingsgroepen die worden bijgehouden als Ruby Sleet (ook bekend als CERIUM) en Diamond Sleet (ook bekend als ZINC en Lazarus). Deze groepen hebben hun scope uitgebreid naar wapenfabrikanten in verschillende landen, waaronder Duitsland en Israël. Ook zijn defensiebedrijven in Brazilië, Tsjechië, Finland, Italië, Noorwegen en Polen doelwit geweest van deze inbraken. Dit rapport van Microsoft volgt op een eerder rapport van SentinelLabs, waarin werd vastgesteld dat de door de Noord-Koreaanse staat gesteunde hackersgroep APT37 betrokken was bij de inbraak van de Russische raketmaker NPO Mashinostroyeniya. De aanvallen lijken deel uit te maken van een gecoördineerde inspanning om de militaire capaciteiten van het land te verbeteren, hoewel het uiteindelijke doel van de aanvallers nog onduidelijk is. SentinelLabs benadrukt dat de inspanningen van de groep voornamelijk gericht zijn op het stelen van data uit de netwerken van de gecompromitteerde organisaties. (bron, bron2, bron3, bron4)
Windows cryptomining-aanvallen gericht op grafisch ontwerpers
Cybercriminelen zetten een geraffineerde aanval op touw gericht op grafisch ontwerpers, animators en videobewerkers die gebruik maken van krachtige grafische kaarten (GPU's). De aanvallers maken gebruik van een legitieme Windows-tool genaamd 'Advanced Installer' om de computers van deze specifieke doelgroep te infecteren met cryptomining-software. Ze verspreiden valse installers van populaire ontwerpsoftware zoals Adobe Illustrator, Autodesk 3ds Max en SketchUp Pro, waarschijnlijk door middel van black hat SEO-technieken. Zodra deze valse installers worden uitgevoerd, activeren verborgen kwaadaardige scripts Remote Access Trojans (RATs) en cryptomining payloads. Het doel is om stiekem toegang te krijgen tot systemen en deze te gebruiken voor het delven van cryptocurrency. Grafisch ontwerpers zijn een aantrekkelijk doelwit omdat hun krachtige GPU's hogere mining-hashes ondersteunen, waardoor de cryptojacking-operaties winstgevender zijn. Cisco Talos ontdekte deze campagne, die sinds ten minste november 2021 actief is. De meeste slachtoffers bevinden zich in Frankrijk en Zwitserland, maar er zijn ook gevallen in de VS, Canada, Duitsland, Algerije en Singapore. Er zijn twee aanvalsmethoden geïdentificeerd: de eerste levert een achterdeur-payload op voor langdurige toegang, terwijl de tweede is gericht op snelle financiële winst via cryptomining, met een hoger risico op detectie. De RAT-tool kan verschillende functies uitvoeren, zoals systeemverkenning, bestandsbeheer en procesbeheer. Bovendien proberen de aanvallers detectie te vermijden door het GPU-vermogen en de systeemtemperatuur te beperken. Gezien de ernst en complexiteit van deze aanvallen, is het van groot belang om waakzaam te blijven en preventieve maatregelen te nemen. (bron, bron2)
Herhaalde Aanvallen op Beveiligingsonderzoekers via Onbekende Zerodaylek
Google heeft onlangs aangegeven dat beveiligingsonderzoekers opnieuw het doelwit zijn van aanvallen, georganiseerd door een Noord-Koreaanse groep. De aanvallers maken gebruik van een nog onbekend zerodaylek in een niet nader genoemd softwareprogramma. Het techbedrijf is momenteel bezig met de ontwikkeling van een update om deze kwetsbaarheid te dichten. Bovendien hebben de aanvallers een tool gehost op GitHub, bedoeld om de systemen van de onderzoekers te compromitteren. De aanvallers gebruiken diverse methoden om contact te leggen met de beveiligingsonderzoekers, onder andere via sociale media en chatapps zoals Signal, WhatsApp en Wire. Eenmaal in contact sturen ze een bestand dat minimaal één zerodaylek bevat. De malware die hierdoor wordt geïnstalleerd, stelt de aanvallers in staat om commando's op het getroffen systeem uit te voeren. Als extra gelaagde aanpak hebben de aanvallers een tool gepubliceerd voor het downloaden van 'debugging symbols' van grote technologiebedrijven zoals Microsoft, Google, Mozilla en Citrix. Hoewel deze tool de beloofde functionaliteit biedt, wordt er ook kwaadaardige code op de achtergrond uitgevoerd. Google adviseert iedereen die de tool heeft gedownload om hun systeem opnieuw te installeren en heeft tevens gedetailleerde informatie over de aanvallers gepubliceerd, zoals IP-adressen, domeinen en accounts. Dit nieuws benadrukt het belang van waakzaamheid en continue monitoring van de cyberbeveiligingsomgeving, zeker voor professionals in het veld. (bron)
iPhones geïnfecteerd met Pegasus-spyware via nieuwe zerodaylekken
Op vrijdag 8 september 2023 hebben aanvallers iPhones weten te infecteren met de gevaarlijke Pegasus-spyware door gebruik te maken van twee nieuwe zerodaylekken. Deze aanvallen vereisten geen enkele interactie van de slachtoffers, wat ze bekend maakt als 'zero-click' aanvallen. Gelukkig heeft Apple snel gereageerd door beveiligingsupdates uit te brengen om deze kwetsbaarheden te verhelpen. Deze beveiligingslekken werden aangetroffen in ImageIO (CVE-2023-41064) en Wallet (CVE-2023-41061). Hierdoor konden aanvallers kwaadaardige afbeeldingen of bijlagen versturen om willekeurige code op de telefoon van het slachtoffer uit te voeren. Het gerenommeerde onderzoeksteam van Citizen Lab ontdekte deze Pegasus-spyware op de iPhone van een medewerker van een internationale maatschappelijke organisatie, hoewel de organisatie niet nader is genoemd. Verdere analyse toonde aan dat de aanvallers gebruik maakten van zerodaylekken die op dat moment nog niet bekend waren. De aanval werd uitgevoerd door malafide afbeeldingen via iMessage naar het slachtoffer te sturen. Citizen Lab zal in de toekomst meer details bekendmaken over deze aanval. Deze dreiging is van toepassing op iOS 16.6 en eerdere versies, maar Apple heeft snel gereageerd en de problemen opgelost met Er is ook goed nieuws voor gebruikers: Citizen Lab en Apple bevelen het instellen van de Lockdown Mode op iPhones aan, omdat dit specifiek deze aanval kan blokkeren. De Lockdown Mode beperkt bepaalde functionaliteiten, waardoor het aanvalsoppervlak voor aanvallers wordt verkleind. In Lockdown Mode worden de meeste bijlagetypes voor berichten geblokkeerd, met uitzondering van bepaalde afbeeldingen. Het is cruciaal voor iPhone-gebruikers om deze beveiligingsupdates te installeren en, indien mogelijk, de Lockdown Mode in te schakelen om zichzelf te beschermen tegen deze geavanceerde dreiging. (bron, bron2)
FBI waarschuwt voor risico's van ongebruikte, uitgeschakelde admin-accounts
De FBI heeft organisaties gewaarschuwd om onmiddellijk ongebruikte, uitgeschakelde accounts te verwijderen, vooral als het gaat om admin-accounts. Deze waarschuwing komt naar aanleiding van aanvallen door verschillende statelijke actoren die kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966) uitbuiten. De aanvallers wisten via deze kwetsbaarheden de controle te krijgen over de firewalls van organisaties, met name in de luchtvaartsector. Opmerkelijk is dat ze een eerder uitgeschakeld account van een externe medewerker gebruikten. De FBI benadrukt dat het een gangbare praktijk is voor aanvallers om uitgeschakelde admin-accounts te benutten, evenals het verwijderen van logbestanden van belangrijke servers om onderzoek naar de aanvallen te bemoeilijken. Om deze dreiging aan te pakken, raadt de FBI organisaties aan om de genoemde kwetsbaarheden te patchen als dat nog niet is gebeurd. Daarnaast moeten ze de activiteiten van remote access software, zoals ConnectWise ScreenConnect, nauwlettend monitoren, omdat aanvallers dit gebruiken om verbinding te maken met systemen. Verder wordt aangeraden onnodige, uitgeschakelde accounts en groepen te verwijderen. Het opstellen van beleid en procedures voor het snel verwijderen van overbodige accounts en groepen wordt sterk aanbevolen om de beveiliging te versterken. Deze waarschuwing benadrukt het belang van proactieve beveiligingsmaatregelen en het verwijderen van ongebruikte toegangen om potentiële aanvallers voor te blijven. (bron)
Recente Ransomware Aanval op Belgische Voedingswebsite
Op 6 september 2023 werd bekend dat de Belgische website meroso.be, gericht op voedselproducten, het doelwit was van een ransomware-aanval. De cybercriminele groep LockBit heeft de verantwoordelijkheid voor deze aanval opgeëist.
Flipper Zero kan iOS Bluetooth spam-aanvallen lanceren
De Flipper Zero, een draagbaar draadloos pentest- en hackgereedschap, kan worden ingezet voor het agressief spammen van Bluetooth-verbinding berichten naar Apple iOS-apparaten, zoals iPhones en iPads. Deze techniek werd ontwikkeld door een beveiligingsonderzoeker met de naam 'Techryptic', die een YouTube-video publiceerde om te laten zien hoe het werkt. Apple-apparaten die Bluetooth Low Energy (BLE) technologie ondersteunen, gebruiken advertentiepakketten (ADV-pakketten) om hun aanwezigheid aan andere apparaten kenbaar te maken. Deze pakketten worden uitgebreid gebruikt in het Apple-ecosysteem voor gegevensuitwisseling via AirDrop, het verbinden met de Apple Watch of AppleTV, het activeren van Handoff en vele andere scenario's. De Flipper Zero, als draadloos en radio-capabel gereedschap, kan ADV-pakketten nabootsen en verzenden volgens het BLE-protocol. Hierdoor zullen BLE-compatibele apparaten binnen bereik deze uitzendingen beschouwen als legitieme verbindingsverzoeken. Dit kan worden gebruikt om een doelwit te verwarren door valse verzoeken te sturen, waardoor het moeilijk wordt om legitieme apparaten te onderscheiden tussen een groot aantal vervalsingen of om vertrouwde apparaten na te bootsen om phishing-aanvallen uit te voeren. Techryptic richt zich op het plagerige aspect van de aanval en beweert dat als er een groot aantal verzoeken wordt gegenereerd, het doelapparaat talloze niet-aflatende meldingen zal weergeven, wat de gebruikerservaring ernstig kan verstoren. Voor iOS-gebruikers kan deze nabootsing meer dan alleen een irritatie zijn, het kan leiden tot verwarring, verstoring van workflows en in zeldzame gevallen zelfs veiligheidsproblemen veroorzaken. De onderzoeker geeft aan dat om de aanval uit te voeren, de firmware van de Flipper Zero moet worden bijgewerkt om Bluetooth-functionaliteit mogelijk te maken, en het 'gap.c'-bestand de code moet bevatten die de valse melding genereert. Techryptic heeft code gemaakt en gedeeld voor het genereren van verschillende meldingen, zoals AirTag-verbindingverzoeken, Apple Keyboard-verbindingverzoeken en meer. Flipper Zero-gebruikers die met deze aanval willen experimenteren, kunnen de gegenereerde code van Techryptic's website kopiëren naar 'gap.c' en hun firmware aanpassen, dus er zijn enkele aanpassingen vereist. Hoewel de meeste van deze aanvallen vereisen dat de Flipper Zero dicht bij een iOS-apparaat wordt geplaatst, beweert de onderzoeker dat hij een techniek heeft ontwikkeld die over duizenden voet zou werken met behulp van een versterker. Hij heeft echter geen plannen om deze methode vrij te geven vanwege het grotere risico op misbruik. De onderzoeker merkte op dat de aanval zelfs werkt als het doelapparaat in vliegtuigmodus staat, omdat Apple geen maatregelen heeft genomen om dit onwaarschijnlijke misbruikscenario te voorkomen. (bron, bron2)
What's the purpose of posting this? It has the capability to effectively launch a DDOS notification attack on any iOS device, rendering it nonfunctional. Even if the device is in airplane mode, it's still susceptible. Apple should consider implementing safeguards to mitigate.
β Techryptic, Ph.D. (@tech) September 4, 2023
Chinese Hackers Stelen Microsoft Ondertekeningscode uit Windows Crash Dump
Microsoft heeft onthuld dat Chinese hackers, bekend als Storm-0558, een ondertekeningscode hebben gestolen die werd gebruikt om overheidse-mailaccounts te hacken. Deze code werd verkregen uit een Windows crash dump nadat de hackers toegang hadden gekregen tot het bedrijfsaccount van een Microsoft-engineer. Met de gestolen MSA-code slaagden de aanvallers erin om de Exchange Online- en Azure Active Directory (AD)-accounts van ongeveer twee dozijn organisaties te hacken, waaronder overheidsinstanties in de Verenigde Staten, zoals het Amerikaanse ministerie van Buitenlandse Zaken en het ministerie van Handel. De aanvallers profiteerden van een nu gepatcht zero-day validatieprobleem in de GetAccessTokenForResourceAPI, waardoor ze ondertekende toegangstokens konden vervalsen en accounts binnen de getroffen organisaties konden imiteren. Het onderzoek van Microsoft onthulde dat de MSA-code werd gelekt in een crash dump nadat een consumentensigneringssysteem in april 2021 was gecrasht. Hoewel deze crash dump eigenlijk geen ondertekeningscodes had moeten bevatten, leidde een racevoorwaarde ertoe dat de code toch werd toegevoegd. Deze dump werd later verplaatst van het geïsoleerde productienetwerk van het bedrijf naar de internetverbonden bedrijfsdebugomgeving. De hackers vonden de code nadat ze met succes toegang hadden gekregen tot het bedrijfsaccount van een Microsoft-engineer, dat toegang had tot de debugomgeving met daarin de per abuis opgenomen code uit de crash dump van april 2021. Ondanks het ontbreken van specifieke logboeken met bewijs van deze gegevensexfiltratie, is dit volgens Microsoft de meest waarschijnlijke manier waarop de hackers de code hebben bemachtigd. De gestolen code gaf de hackers wijdverspreide toegang tot Microsoft-cloudservices, waaronder Outlook, SharePoint, OneDrive en Teams, evenals klantenapplicaties die Microsoft Account-authenticatie ondersteunen. Als reactie op het beveiligingsincident heeft Microsoft alle geldige MSA-ondertekeningscodes ingetrokken om te voorkomen dat dreigingsactoren toegang krijgen tot andere gecompromitteerde codes. Microsoft heeft ook de recent gegenereerde toegangstokens verplaatst naar de sleutelopslag die wordt gebruikt door zijn bedrijfssystemen. (bron)
Nieuwe Mirai Malware Botnet Variant Besmet Goedkope Android TV Boxen voor DDoS-aanvallen
Een nieuwe variant van de Mirai-malware botnet is ontdekt en richt zich op goedkope Android TV set-top boxen die door miljoenen mensen worden gebruikt voor media streaming. Deze malwarevariant is gespot door het antivirus-team van Dr. Web en betreft een nieuwe versie van de 'Pandora' backdoor die voor het eerst opdook in 2015. De belangrijkste doelwitten van deze campagne zijn betaalbare Android TV boxen zoals de Tanix TX6 TV Box, MX10 Pro 6K en H96 MAX X3, die zijn uitgerust met quad-core processors die krachtige DDoS-aanvallen kunnen lanceren, zelfs in kleine zwermen. De malware komt op de apparaten terecht via een kwaadaardige firmware-update die is ondertekend met publiekelijk beschikbare testkeys of wordt verspreid via kwaadaardige apps op domeinen die gericht zijn op gebruikers die geïnteresseerd zijn in illegale content. Deze situatie benadrukt het belang van voorzichtigheid bij de aanschaf van Android TV boxen en het vermijden van goedkope, mogelijk risicovolle opties. In plaats daarvan wordt aanbevolen om te kiezen voor streamingapparaten van vertrouwde merken zoals Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV en Roku Stick. Het is van vitaal belang om bewust te zijn van de mogelijke risico's die budgetvriendelijke Android TV boxen met zich meebrengen, omdat ze vaak een ondoorzichtige reis van fabrikant naar consument hebben, waardoor gebruikers in het duister worden gelaten over hun oorsprong, mogelijke firmwarewijzigingen en de verschillende handen waardoor ze zijn gegaan. Zelfs voor voorzichtige gebruikers die de originele ROM behouden en selectief zijn in hun app-installaties, blijft het risico bestaan dat de apparaten worden geleverd met vooraf geladen malware. (bron)
Zweedse Criminelen Gebruiken Spotify voor Witwassen van Geld
Uit een recent onderzoek blijkt dat Zweedse criminele bendes Spotify gebruiken om illegaal verkregen geld wit te wassen. Deze bendes kopen bots via Telegram om hun muziek te streamen, waardoor het aantal streams en de bijbehorende vergoedingen toenemen. Artiesten die betrokken zijn bij deze praktijken ontvangen een deel van de opbrengst, terwijl het grootste deel naar de criminele organisaties gaat. De bendes zijn vooral actief in het witwassen van geld via muziekstreams sinds 2019. Een politierechercheur heeft Spotify zelfs een "geldautomaat" voor criminele activiteiten genoemd. Spotify beweert echter dat minder dan één procent van alle streams op deze manier wordt gemanipuleerd en dat er geen bewijs is dat het platform daadwerkelijk wordt gebruikt voor witwaspraktijken. (bron)
Beveiligingslek in LastPass Mogelijk Gelinkt aan Grote Cryptodiefstal
Beveiligingsonderzoekers vermoeden dat criminelen toegang hebben gekregen tot gestolen wachtwoordkluizen van de cloudgebaseerde wachtwoordmanager LastPass. Deze inbraak zou hebben geleid tot het stelen van miljoenen dollars aan cryptocurrency. De aanval op LastPass vond vorig jaar plaats en werd mogelijk gemaakt door een kwetsbaarheid in een oude versie van de Plex-software, die op de thuiscomputer van een DevOps-engineer draaide. Taylor Monahan, oprichter en CEO van cryptowallet MetaMask, heeft onderzoek gedaan naar slachtoffers van cryptodiefstal. Ze ontdekte dat meer dan 150 mensen voor meer dan 35 miljoen dollar aan crypto zijn bestolen. Volgens Monahan werden in de meeste gevallen de benodigde 'seeds/keys' uit LastPass-wachtwoordkluizen gehaald. LastPass kwam eerder al onder vuur te liggen voor onvoldoende beveiligingsmaatregelen. Zo werd het bedrijf bekritiseerd voor het niet verplicht stellen van langere wachtwoorden voor bestaande gebruikers en het niet aanpassen van het aantal iteraties dat bescherming biedt tegen bruteforce-aanvallen. Hoewel het onderzoek niet met 100% zekerheid kan aantonen dat de diefstal van crypto direct gelinkt is aan het lek bij LastPass, zijn de aanwijzingen sterk. LastPass heeft nog niet gereageerd op de bevindingen, aangezien de zaak nog onder de rechter is. (bron, bron2)
At this point I'm also confident in saying that, in most of these cases, the compromised keys were stolen from @LastPass
β Tay π (@tayvano_) August 28, 2023
The number of victims who only had the specific group of seeds/keys that were drained stored in LastPass is simply too much to ignore.
Crypto theft is bad.
β Nick Bax.eth (@bax1337) September 6, 2023
Be careful when migrating but also don't procrastinate on this.
Change passwords while you're at it.https://t.co/p584adzxvG pic.twitter.com/ePhOhfiuCM
W3LL Phishing Kit Compromitteert Duizenden Microsoft 365 Accounts en Omzeilt Meerfactorauthenticatie
Een cybercrimineel bekend als W3LL heeft een geavanceerd phishing-kit ontwikkeld waarmee meerfactorauthenticatie (MFA) kan worden omzeild. Deze kit heeft al meer dan 8.000 zakelijke Microsoft 365-accounts gecompromitteerd. Onderzoekers ontdekten dat in de afgelopen tien maanden W3LL's tools zijn gebruikt om ongeveer 850 phishing-aanvallen op te zetten, waarbij meer dan 56.000 Microsoft 365-accounts als doelwit werden genomen. W3LL's phishing-tools worden gebruikt in Business Email Compromise (BEC)-aanvallen, wat miljoenen dollars aan financiële schade heeft veroorzaakt. De toolkit van W3LL is zo uitgebreid dat het bijna de hele "kill chain" van een BEC-aanval dekt en kan worden bediend door cybercriminelen van alle technische niveaus. Naast phishing en BEC-gerelateerde tools biedt W3LL ook toegang tot gecompromitteerde webservers, SSH- en RDP-servers, en zakelijke e-maildomeinen. Enkele technieken die W3LL gebruikt om e-mailfilters en beveiligingsagenten te omzeilen, zijn verschillende verhullingsmethoden voor e-mailkoppen en -tekst. De phishing-links worden ook geleverd via meerdere methoden die detectie ontwijken, zoals het plaatsen van de link in een HTML-bijlage. Volgens onderzoekers van Group-IB heeft W3LL tussen oktober 2022 en juli 2023 meer dan 3.800 items verkocht, met een geschatte omzet die de $500.000 overschrijdt. Het blijkt dat W3LL al ongeveer vijf jaar actief is en een klantenbestand van meer dan 500 cybercriminelen heeft opgebouwd. Door de complexiteit en effectiviteit van W3LL's phishing-kit is het belangrijker dan ooit om waakzaam te zijn en veiligheidsprotocollen regelmatig bij te werken. (bron, bron2)
Fraude via Gekaapte Politie-accounts voor Persoonsgegevens op Social Media
Criminelen zijn erin geslaagd om e-mailaccounts van politieagenten en rechercheurs over te nemen om gevoelige persoonlijke data bij socialmediabedrijven zoals Meta en TikTok op te vragen. Deze praktijken maken gebruik van de zogenaamde Emergency Disclosure Requests (EDR), een soort verzoeken die normaliter alleen door politie in dringende situaties worden ingediend om snel informatie te verzamelen. Deze verzoeken hebben geen juridische goedkeuring nodig en kunnen rechtstreeks vanuit het e-mailaccount van een politieagent worden verstuurd. De Lapsus$-groep, een criminele organisatie die toegang had tot systemen van Microsoft, Samsung, Nvidia en Okta, is ook betrokken bij het indienen van frauduleuze EDR-verzoeken. E-mailaccounts die kunnen worden gebruikt voor EDR's worden nu actief online verhandeld, aldus een rapport van 404 Media. Socialmediabedrijven erkennen het probleem en proberen deze frauduleuze verzoeken te blokkeren, maar de exacte omvang van dit probleem is nog onbekend. (bron, bron2, bron3)
Coffee Meets Bagel Dating Platform Getroffen door Ernstige Cyberaanval
Het datingplatform Coffee Meets Bagel (CMB) heeft bevestigd dat een recente wereldwijde storing het resultaat was van een cyberaanval. Hackers wisten binnen te dringen in de systemen van het bedrijf en verwijderden bedrijfsgegevens, waardoor de productieservers niet meer correct functioneerden. De aanval had grote gevolgen voor de gebruikers, die hierdoor geen geplande afspraken konden maken of communiceren met hun matches. Het bedrijf heeft snel actie ondernomen om een veilige omgeving te herstellen en heeft de autoriteiten ingeschakeld. Hoewel het nog niet bevestigd is of de aanval het resultaat was van ransomware of een opzettelijke verwijdering van gegevens om de dienst te ontregelen, is het platform sinds 3 september weer online. Ter compensatie heeft Coffee Meets Bagel de duur van chats met zeven dagen en abonnementen met 14 dagen verlengd. Ook krijgen bestaande leden 1.000 gratis 'bonen' (de interne valuta van het platform). Gebruikers die op 27 augustus een ‘Discover Like’ of bloemen naar matches hebben gestuurd, ontvangen een extra item in hun profiel. Daarnaast wordt gebruikers die hun profiel een boost hebben gegeven, een extra boost toegekend zodra dit systeem weer online is. CMB benadrukt ook dat niemand zich 'geghost' moet voelen; de storing trof immers alle gebruikers. Dit is niet de eerste keer dat Coffee Meets Bagel het doelwit is van cybercriminelen. In 2019 leed het bedrijf ook al aan een datalek waarbij e-mailadressen en namen van gebruikers werden blootgesteld. Ter beveiliging zijn alle gebruikers automatisch uitgelogd en moeten zij opnieuw inloggen om het systeem te gebruiken. Het incident onderstreept het voortdurende risico van cyberaanvallen, zelfs op platforms die gericht zijn op persoonlijke en gevoelige activiteiten zoals daten. (bron, bron2)
Crypto Casino Stake.com Verliest $41 Miljoen door Hack van Hot Wallets
Het online cryptocurrency casino Stake.com is onlangs het slachtoffer geworden van een omvangrijke hack, waarbij meer dan 40 miljoen dollar aan cryptovaluta is gestolen. De hot wallets van het platform, waar Ethereum en Binance Smart Chain worden bewaard, zijn gecompromitteerd. Hoewel het platform direct bevestigde dat de fondsen van gebruikers veilig waren en andere wallets niet werden beïnvloed, veroorzaakte de situatie veel onrust onder de gebruikers. Een aantal kon tijdelijk niet storten of opnemen op Stake.com. Inmiddels heeft Stake.com laten weten dat alle diensten weer operationeel zijn. Onderzoekers die de geldsporen hebben gevolgd, rapporteerden dat de hackers $15,7 miljoen in Ethereum en $25,6 miljoen in Binance Smart Chain en Polygon hebben buitgemaakt. Dit maakt de hack een van de grootste in de crypto-industrie van 2023 met een totaal verlies van $41,3 miljoen. Er zijn suggesties dat het om staatsgesponsorde hackers zou kunnen gaan, maar er is nog geen definitief bewijs. Het is ook interessant op te merken dat de beruchte Noord-Koreaanse dreigingsgroep 'Lazarus', bekend voor grootschalige crypto-heists, onlangs zeer actief is geweest. Echter, er is geen directe link tussen deze groep en de Stake.com hack. Stake.com heeft nog geen details vrijgegeven over de oorzaak van de beveiligingsproblemen, die meestal ontstaan wanneer de private key lekt of op een andere manier wordt gecompromitteerd. Volgens de medeoprichter Ed Craven worden slechts kleine hoeveelheden van de digitale valutareserves in hot wallets bewaard, vanwege de inherente risico's. Door deze gebeurtenis wordt opnieuw de aandacht gevestigd op de kwetsbaarheden in de beveiliging van online platforms voor cryptovaluta, en het belang van sterke beveiligingsmaatregelen. (bron, bron2)
Three hours ago, unauthorised txβs were made from Stakeβs ETH/BSC hot wallets.
β Stake.com (@Stake) September 4, 2023
We are investigating and will get the wallets up as soon as theyβre completely re-secured.
User funds are safe.
BTC, LTC, XRP, EOS, TRX + all other wallets remain fully operational.
Chaes Malware Maakt Gebruik van Google Chrome DevTools voor Gegevensdiefstal
De Chaes malware, die voor het eerst opdook in november 2020, heeft een nieuwe en geavanceerdere variant. Deze nieuwe versie maakt gebruik van Google's DevTools protocol om direct toegang te krijgen tot browserfuncties van slachtoffers en om gegevens te stelen via WebSockets. In het verleden richtte Chaes zich op e-commerce klanten in Latijns-Amerika. Het gebruikte 800 gecompromitteerde WordPress-sites om de malware te verspreiden. Zodra een computer besmet is, installeert Chaes kwaadaardige extensies in de Chrome-browser van het slachtoffer. Hiermee kan het screenshots maken, opgeslagen wachtwoorden en creditcardinformatie stelen, cookies exfiltreren en online bankgegevens onderscheppen. De nieuwste versie van Chaes is gespot door het beveiligingsbedrijf Morphisec en richt zich nu vooral op platforms zoals Mercado Libre, Mercado Pago, WhatsApp Web, en verschillende banken en CMS-diensten zoals WordPress en Joomla. De malware heeft diverse verbeteringen ondergaan, waaronder een herziene code-architectuur, meerdere lagen van encryptie en verbeterde stealth-technieken. In plaats van gebruik te maken van het 'Puppeteer'-framework, gebruikt het nu Chrome DevTools om Chromium-browseractiviteiten te monitoren. Dit maakt de malware nog gevaarlijker omdat het actief diensten kan openen en relevante data kan stelen zonder te wachten tot de gebruiker de dienst zelf opent. Belangrijk is ook dat Chaes nu gebruikmaakt van WebSockets voor communicatie tussen de malwaremodules en de Command & Control-server, in plaats van HTTP. Dit maakt de communicatie real-time, laag in latency en minder detecteerbaar. Morphisec geeft aan dat Chaes nog steeds actief ontwikkeld wordt, wat suggereert dat toekomstige versies nog geavanceerder en gevaarlijker kunnen worden. Dit benadrukt de noodzaak voor zowel particulieren als organisaties om waakzaam te blijven en hun cybersecurity-maatregelen op te schroeven. (bron, bron2, bron3, bron4)
Nederlandse chipfabrikant NXP getroffen door cybercriminelen in omvangrijk datalek
De Nederlandse chipfabrikant NXP Semiconductors heeft te maken gehad met een datalek, waarbij persoonlijke gegevens van klanten zijn buitgemaakt. Het lek werd ontdekt op 14 juli en het bedrijf heeft klanten die een NXP.com-account hebben hierover geïnformeerd. De exacte omvang en het aantal getroffen personen is nog niet bekend. Het datalek werd veroorzaakt door een 'ongeautoriseerde partij' die toegang wist te krijgen tot het systeem dat verbonden is met het online portaal van NXP. De gestolen gegevens omvatten namen, woonadressen, e-mailadressen, telefoonnummers, bedrijfsnamen, functietitels en communicatievoorkeuren. NXP heeft onmiddellijk een intern onderzoek gestart en de autoriteiten op de hoogte gebracht. Hoewel er geen aanwijzingen zijn dat de gestolen data voor frauduleuze doeleinden zijn gebruikt, adviseert het bedrijf klanten alert te zijn op phishing en identiteitsfraude. Het bedrijf was tot 2006 een onderdeel van Philips en is nu een belangrijke speler op het gebied van onder andere automotive chips en Internet of Things (IoT). In 2022 genereerde NXP een omzet van 13,2 miljard dollar en had het wereldwijd meer dan 31.000 medewerkers. Er zijn nog veel onbeantwoorde vragen, waaronder hoe de ongeautoriseerde toegang heeft kunnen plaatsvinden en waarom er niet eerder is gecommuniceerd over het incident. (bron)
Data breach at @NXP pic.twitter.com/oMxYXNKbf3
β Troy Hunt (@troyhunt) September 3, 2023
Hackergroep Verkoopt Gevoelige Klantdata van Orange en Andere Telecomaanbieders
Een hackergroep, bekend als Ragnar_Locker, biedt gestolen klantgegevens van de telecomoperator Orange te koop aan op Telegram. De gegevens omvatten volledige namen, adressen, telefoonnummers, SIM-kaartgegevens, gespreksduur en locatie. De gegevens zijn waarschijnlijk afkomstig uit een cyberaanval op de Belgische politie in Zwijndrecht, die in november vorig jaar plaatsvond. Ook andere telecomoperators zijn toen getroffen. De hackergroep claimt over 46 gigabyte aan deze telecomgegevens te beschikken. Het gaat om data die oorspronkelijk verzameld was voor gerechtelijke onderzoeken. De telecombedrijven zelf zeggen dat hun systemen niet zijn gehackt; de data kwam in het bezit van de hackers via de eerdere inbraak bij de politie. Agoria, de technologiefederatie, bevestigt dat de data correct en legaal aan de politie was overgedragen. De gelekte gegevens kunnen potentieel ernstige gevolgen hebben, zoals het schenden van privacy en het volgen van gebruikers. De operators overwegen juridische stappen en benadrukken dat er van hun kant geen datalek is geweest.
Freecycle bevestigt enorme datalek door cybercriminelen: 7 miljoen gebruikers getroffen
Freecycle, een online platform waar mensen gebruikte spullen kunnen uitwisselen in plaats van ze weg te gooien, heeft een groot datalek bevestigd dat meer dan 7 miljoen gebruikers heeft getroffen. Het non-profitorganisatie ontdekte het lek op 30 augustus 2023, enkele weken nadat een kwaadwillige partij de gestolen gegevens te koop had aangeboden op een hackersforum op 30 mei. Het gelekte informatiepakket bestaat uit gebruikersnamen, gebruikers-ID's, e-mailadressen en MD5-gehashte wachtwoorden. Er zijn geen andere gegevens blootgesteld, volgens de organisatie. De inloggegevens van Deron Beal, de oprichter en uitvoerend directeur van Freecycle, zijn ook gestolen, waardoor de aanvaller volledige toegang heeft gekregen tot lidmaatschapsinformatie en forumberichten. Als reactie op het lek adviseert Freecycle alle leden om hun wachtwoorden zo snel mogelijk te wijzigen. Mensen die dezelfde inloggegevens gebruiken voor andere online diensten, moeten die ook aanpassen om te voorkomen dat hun accounts daar worden gehackt. Freecycle heeft een vertraging tot een uur gemeld in het wachtwoordherstelproces via e-mail omdat hun e-mailsysteem momenteel overbelast is. Het bedrijf meldde verder dat het de zaak heeft gemeld bij de relevante autoriteiten en waarschuwt gebruikers om extra waakzaam te zijn voor phishing-e-mails. Gebruikers moeten oppassen voor onverwachte bijlagen en links in e-mails om verdere problemen te voorkomen. Dit incident onderstreept het voortdurende risico van datalekken, zelfs bij platforms die gericht zijn op duurzaamheid en gemeenschapsopbouw. Het is essentieel dat gebruikers zich bewust zijn van de beveiligingsrisico's die gepaard gaan met online activiteiten en passende voorzorgsmaatregelen nemen. (bron, bron2)
Duitse Financiële Toezichthouder Getroffen door Aanhoudende DDoS-aanval
De Duitse Federale Financiële Toezichthouder, beter bekend als BaFin, heeft aangekondigd sinds afgelopen vrijdag het doelwit te zijn van een aanhoudende Distributed Denial-of-Service (DDoS) aanval. BaFin is een belangrijke instantie die verantwoordelijk is voor het toezicht op zo'n 2.700 banken, 800 financiële dienstverleners en 700 verzekeringsmaatschappijen. De organisatie heeft in het verleden miljoenenboetes opgelegd aan grote banken zoals Deutsche Bank en Bank of America. Als reactie op de cyberaanval heeft BaFin verschillende beveiligingsmaatregelen getroffen. Hoewel hun publieke website “bafin.de” tijdelijk offline is gehaald, benadrukt de organisatie dat alle andere cruciale systemen normaal functioneren. De website van BaFin bevat belangrijke informatie voor consumenten, regelgevingen, waarschuwingen en dient ook als een platform voor klokkenluiders. Deze informatie is sinds de aanval niet toegankelijk voor het publiek. Het IT-team van BaFin werkt intensief om de website weer volledig operationeel te krijgen, maar kan nog geen schatting geven van wanneer dit zal zijn. Het is nog onduidelijk wie achter de aanval zit, maar er wordt gespeculeerd dat pro-Russische hacktivisten verantwoordelijk zouden kunnen zijn vanwege Duitslands steun aan Oekraïne. De aanval legt extra druk op financiële instituties om hun cybersecurity maatregelen te evalueren en te versterken, gezien de kritieke rol die zij spelen in de economie.
Aufgrund eines DDoS-Angriffs ist die BaFin-Website seit Freitag, 01.09.23, nur eingeschrΓ€nkt erreichbar. Die BaFin hat entsprechende Sicherheitsvorkehrungen getroffen und unmittelbar nach Einsetzen des Angriffs AbwehrmaΓnahmen in Gang gesetzt, die auch greifen. (1/3) pic.twitter.com/U1gCVSOtDF
β Bundesanstalt fΓΌr Finanzdienstleistungsaufsicht (@BaFin_Bund) September 4, 2023
Cybercriminelen misbruiken MinIO opslagsysteem om bedrijfsnetwerken binnen te dringen
Hackers hebben recentelijk twee ernstige kwetsbaarheden in het MinIO opslagsysteem uitgebuit om toegang te krijgen tot bedrijfsnetwerken. MinIO is een open-source objectopslagdienst die compatibel is met Amazon S3 en wordt vaak gebruikt voor het opslaan van grote hoeveelheden ongestructureerde data. De kwetsbaarheden, geïdentificeerd als CVE-2023-28432 en CVE-2023-28434, maken het mogelijk voor aanvallers om willekeurige code uit te voeren en servers potentieel over te nemen. Beide kwetsbaarheden zijn reeds gepatcht door de fabrikant op 3 maart 2023, maar veel systemen zijn nog steeds kwetsbaar. In een recente aanval ontdekten beveiligingsanalisten van Security Joes een gemodificeerde versie van MinIO, genaamd "Evil MinIO", die de genoemde kwetsbaarheden gebruikt om een backdoor in het systeem te installeren. De aanval begon met social engineering technieken om een DevOps-ingenieur te overtuigen een oudere, kwetsbare versie van MinIO te installeren. Eenmaal geïnstalleerd, kregen de aanvallers toegang tot de serveromgeving, inclusief beheerdersreferenties zoals de MinIO geheime sleutel en rootwachtwoord. Hiermee konden ze een kwaadaardige update pushen en willekeurige commando's uitvoeren op de gecompromitteerde server. Beveiligingsonderzoekers waarschuwen dat er meer dan 52.000 MinIO-instanties op het openbare internet zijn en ongeveer 38% daarvan loopt nog steeds risico. Cloud systeembeheerders worden dringend geadviseerd om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen. Deze aanvallen onderstrepen het belang van het up-to-date houden van alle softwarecomponenten om zo het risico op inbreuken en andere veiligheidsincidenten te minimaliseren. (bron, bron2, bron3, bron4)
Okta waarschuwt voor Sociale Ingenieursaanvallen op IT Helpdeskmedewerkers om Super Admin-rechten te verkrijgen en MFA uit te schakelen
Het identiteits- en toegangsbeheerbedrijf Okta heeft een waarschuwing uitgegeven over een toename van sociale ingenieursaanvallen gericht op IT-helpdeskmedewerkers bij klanten in de VS. Het doel van de aanvallers is om hen te misleiden en zo de Multi-Factor Authenticatie (MFA) voor accounts met hoge bevoegdheden te resetten. De aanvallers streven ernaar de Super Administrator-accounts van Okta over te nemen om zo identiteitsfederatiefunctionaliteiten te misbruiken, waarmee ze andere gebruikers binnen de gecompromitteerde organisatie kunnen imiteren. Okta heeft indicatoren voor deze aanvallen verstrekt die zijn waargenomen tussen 29 juli en 19 augustus. Voordat de IT-helpdesk wordt benaderd, heeft de aanvaller al wachtwoorden van geprivilegieerde accounts of kunnen ze de authenticatiestroom via de Active Directory manipuleren. Na het succesvol compromitteren van een Super Admin-account, gebruikt de aanvaller proxydiensten, een nieuw IP-adres en een nieuw apparaat om hun sporen te verbergen. Ze gebruiken hun admin-toegang om bevoegdheden voor andere accounts te verhogen, ingestelde authenticatoren te resetten en in sommige gevallen zelfs de twee-factor-authenticatie (2FA) uit te schakelen. Een tweede Identity Provider wordt geconfigureerd om als "impersonation app" te fungeren, waardoor de aanvallers zich kunnen voordoen als andere gebruikers en toegang krijgen tot applicaties met de Single-Sign-On (SSO) authenticatiemechanisme. Ter bescherming adviseert Okta onder andere het gebruik van phishing-bestendige authenticatie, sterke authenticators, en het beperken van Super Administrator-rollen. Ze raden ook aan om waarschuwingen voor nieuwe apparaten en verdachte activiteiten te activeren en te testen. (bron)
Bundesnetzagentur Schakelt 7800 Telefoonnummers Uit in Strijd Tegen WhatsAppfraude
De Duitse toezichthouder voor telecommunicatie, Bundesnetzagentur, heeft dit jaar al 7800 telefoonnummers uitgeschakeld die betrokken waren bij WhatsAppfraude, een forse stijging vergeleken met de 5900 nummers van vorig jaar. Deze vorm van fraude, ook wel bekend als de 'kleinkind truc', (VIN-fraude) houdt in dat oplichters zich voordoen als een kind of kleinkind van het slachtoffer en om dringende financiële hulp vragen. Vaak beweren ze ook dat ze een nieuw telefoonnummer hebben. Bundesnetzagentur adviseert burgers om dergelijke berichten te negeren, geen persoonlijke informatie te delen en ouderen specifiek te waarschuwen voor deze vorm van oplichting. (bron, bron2)
Cyberaanval Treft Duitse Banktoezichthouder BaFin
De website van de Duitse banktoezichthouder BaFin is sinds afgelopen vrijdag slechts gedeeltelijk toegankelijk door een ddos-aanval. Bij een ddos-aanval worden er zo veel verzoeken naar een server gestuurd dat deze vastloopt, waardoor de website onbereikbaar wordt. Na de aanval heeft BaFin beveiligings- en verdedigingsmaatregelen getroffen, die de toegang tot hun website ook enigszins beperken. Volgens een woordvoerster werken alle andere systemen van de toezichthouder wel naar behoren. BaFin is bezig om de volledige toegang tot haar website te herstellen. Europese toezichthouders waarschuwen banken dat cyberaanvallen een steeds groter risico vormen voor hun bedrijfsvoering. De aanvallers zijn nog niet geïdentificeerd, maar in juni waarschuwden drie grote hackersgroepen, mogelijk met banden met Rusland, al voor aanvallen op het Europese bankensysteem. Ook in Nederland zijn er recentelijk diverse ddos-aanvallen geweest op onder meer de websites van Groningen Airport Eelde, Maastricht, Aachen Airport, en de Bank Nederlandse Gemeenten.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language