Overzicht van slachtoffers cyberaanvallen week 48-2023

Gepubliceerd op 4 december 2023 om 17:34

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De afgelopen week werd de digitale wereld opgeschrikt door een reeks aanvallen, variërend van gerichte ransomware-aanvallen op grote bedrijven tot meer geraffineerde phishing- en malwarecampagnes. Nederlandse bedrijven zoals Skalar.com en Smidts Autogroep werden getroffen door de Medusa Locker Ransomware en andere cyberaanvallen. In België viel IRC Engineering ten prooi aan de BlackCat cyberaanval, terwijl de Belgische online retailer Medi-Market ook onder vuur lag. In Duitsland ondervond Grimme, een fabrikant van landbouwmachines, de impact van een cyberaanval, en in Frankrijk werd transportgroep Guyamier verlamd door een grote cyberaanval.

Verder reikte de chaos tot de Britse Nationale Bibliotheek, die maandenlang ontwricht werd door een ransomware-aanval. In de Verenigde Staten werden waterschappen en ziekenhuizen zoals Capital Health en Ardent getroffen, en vonden er datalekken plaats bij grote organisaties zoals 23andMe en Dollar Tree. De waterschappen werden zelfs gekraakt via een eenvoudig wachtwoord.

Ook Japan ontsnapte niet aan de aanvallen, met de Japanse Ruimtevaartorganisatie JAXA die het slachtoffer werd van een zomercyberaanval. Naast deze specifieke aanvallen waren er ook meer algemene dreigingen zoals de kwetsbaarheden in Microsoft Exchange Servers, de nieuwe malware achterdeur Agent Raccoon in de VS, en de geavanceerde Android malware FjordPhantom.

De week werd ook gekenmerkt door diverse meldingen over cybercriminelen, zoals de Black Basta Ransomware-groep die meer dan $100 miljoen verdiende met afpersing en de Qilin Ransomwaregroep die Yanfeng Automotive Interiors aanviel.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week, die de noodzaak van waakzaamheid en geavanceerde beveiligingsmaatregelen opnieuw onderstrepen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Bern Hotels & Resorts Akira www.bernhotelspanama.com Panama Lodging Places 3-dec-23
Tipalti BlackCat (ALPHV) tipalti.com USA IT Services 3-dec-23
Roblox BlackCat (ALPHV) www.roblox.com USA IT Services 3-dec-23
Lisa Mayer CA, Professional Corporation BlackCat (ALPHV) cpasarnia.ca USA Legal Services 2-dec-23
royaleinternational.com BlackCat (ALPHV) royaleinternational.com Hong Kong Transportation Services 2-dec-23
inseinc.com Black Basta inseinc.com USA Amusement And Recreation Services 2-dec-23
HTC Global Services BlackCat (ALPHV) www.htcinc.com USA IT Services 2-dec-23
Dörr Group BlackCat (ALPHV) www.doerrgroup.com Germany Miscellaneous Services 2-dec-23
IRC Engineering BlackCat (ALPHV) irc.be Belgium IT Services 2-dec-23
Austal USA Hunters International austalusa.com USA Transportation Equipment 1-dec-23
St. Johns River Water Management District Hunters International www.sjrwmd.com USA Administration Of Environmental Quality And Housing Programs 1-dec-23
Iptor Akira iptor.com Sweden IT Services 1-dec-23
Centroedile Milano BLACK SUIT centroedilemilano.com Italy Wholesale Trade-durable Goods 1-dec-23
Kellett & Bartholow PLLC INC Ransom kblawtx.com USA Legal Services 1-dec-23
Grupo PRIDES NoEscape www.grupoprides.com Costa Rica IT Services 1-dec-23
Rudolf GmbH & Rudolf Venture Chemicals Inc MONTI rudolf.com Germany Chemical Producers 30-nov-23
Bauwerk Boen Group Akira bauwerk-group.com Switzerland Miscellaneous Manufacturing Industries 30-nov-23
Covenant Care Hunters International covenantcare.com USA Health Services 30-nov-23
A**** *********** Inc BianLian Unknown Canada Engineering Services 30-nov-23
DePauw University BLACK SUIT www.depauw.edu USA Educational Services 30-nov-23
andersonandjones.com Black Basta andersonandjones.com USA Legal Services 30-nov-23
Science History Institute NoEscape www.sciencehistory.org USA Research Services 30-nov-23
Verdecora NoEscape www.verdecora.es Spain Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 30-nov-23
Chetu Medusa www.chetu.com USA IT Services 29-nov-23
AQIPA BlackCat (ALPHV) www.aqipa.com Australia Home Furniture, Furnishings, And Equipment Stores 29-nov-23
***s****** ***t*** *e****** *** BianLian Unknown USA Business Services 29-nov-23
**o** ******l***** BianLian Unknown Canada Machinery, Computer Equipment 29-nov-23
New River Community Technical College BLACK SUIT newriver.edu USA Educational Services 29-nov-23
jacobsfarmdelcabo.com Black Basta jacobsfarmdelcabo.com USA Agriculture Production Livestock And Animal Specialties 29-nov-23
skalar.com Medusa Locker skalar.com Netherlands Machinery, Computer Equipment 29-nov-23
Lydall, Inc. Akira www.lydall.com USA Machinery, Computer Equipment 29-nov-23
Bergeron LLC Akira www.bergeronltd.com USA Repair Services 29-nov-23
REV Engineering Akira www.reveng.ca Canada Electronic, Electrical Equipment, Components 29-nov-23
ALPS Ltd RansomHouse www.alpsltd.co.uk United Kingdom Legal Services 29-nov-23
Alpura Akira alpura.com Mexico Food Products 29-nov-23
Teleflora Akira www.teleflora.com USA Miscellaneous Retail 29-nov-23
Great Valley School District Medusa www.gvsd.org USA Educational Services 29-nov-23
masterk.com LockBit masterk.com France Machinery, Computer Equipment 29-nov-23
Servicio Móvil Akira serviciomovil.com Spain Transportation Services 29-nov-23
King Edward VII's Hospital Rhysida www.kingedwardvii.co.uk United Kingdom Health Services 29-nov-23
tcw.com LockBit tcw.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 29-nov-23
Incisive Media 8BASE incisivemedia.com United Kingdom Miscellaneous Services 29-nov-23
GOLDMUND 8BASE goldmund.com Switzerland Electronic, Electrical Equipment, Components 29-nov-23
Wild Republic 8BASE wildrepublic.com USA Miscellaneous Manufacturing Industries 29-nov-23
Groupe Apex-Isast 8BASE apex-isast.fr France Accounting Services 29-nov-23
Leezer Agency 8BASE leezeragency.com USA Insurance Carriers 29-nov-23
Cimbali National Accounts 8BASE www.cimbali.com Italy Electronic, Electrical Equipment, Components 29-nov-23
Fortiss LLC 8BASE fortiss.com USA Business Services 29-nov-23
hi-schoolpharmacy.com LockBit hi-schoolpharmacy.com USA Miscellaneous Retail 28-nov-23
nal.res.in LockBit nal.res.in India Aerospace 28-nov-23
dawsongroup.uk LockBit dawsongroup.uk United Kingdom Miscellaneous Retail 28-nov-23
New River Community & Technical College BLACK SUIT newriver.edu USA Educational Services 28-nov-23
Byfod PLAY www.byfod.com Netherlands Wholesale Trade-non-durable Goods 28-nov-23
Retailer Web Services PLAY www.nflandisappliances.com USA IT Services 28-nov-23
China Petrochemical Development BlackCat (ALPHV) www.cpdc.com.tw Taiwan Chemical Producers 28-nov-23
Sparex PLAY www.sparex.com United Kingdom Wholesale Trade-non-durable Goods 28-nov-23
Continental Shipping Line PLAY www.cslusa.com Singapore Water Transportation 28-nov-23
MooreCo PLAY www.moorecoinc.com USA Furniture 28-nov-23
AMERICAN INSULATED GLASS PLAY www.aiglass.com USA Miscellaneous Manufacturing Industries 28-nov-23
Elston-nationwide PLAY www.elstonnationwide.com USA Motor Freight Transportation 28-nov-23
Thillens PLAY www.thillens.com USA Depository Institutions 28-nov-23
SinglePoint Outsourcing PLAY www.single-point.com USA Business Services 28-nov-23
First Housing Development Hunters International firsthousingfl.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 28-nov-23
JD Sprinter Holdings 2010 SL Metaencryptor www.sprintersports.com Spain Apparel And Accessory Stores 28-nov-23
Odalys Vacances Cactus www.odalys-vacances.com France Lodging Places 28-nov-23
Axiom Construction & Consulting Cactus www.axiomconstruction.net USA Construction 28-nov-23
Medi-Market Cactus www.medi-market.be Belgium Miscellaneous Retail 28-nov-23
FYIdoctors Cactus www.fyidoctors.com Canada Health Services 28-nov-23
Giti Tire MEOW LEAKS www.giti.com Singapore Rubber, Plastics Products 28-nov-23
Wema Bank PLC MEOW LEAKS www.wemabank.com Nigeria Depository Institutions 28-nov-23
Es Saadi MEOW LEAKS www.essaadi.com Morocco Lodging Places 28-nov-23
North Texas Municipal Water District (US) DAIXIN www.ntmwd.com USA Electric, Gas, And Sanitary Services 28-nov-23
First Financial Security RansomHouse www.firstfinancialsecurity.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 27-nov-23
Bangkok University Rhysida www.bu.ac.th Thailand Educational Services 27-nov-23
NC Central University Rhysida www.nccu.edu USA Educational Services 27-nov-23
Yanfeng Qilin yanfeng.com China Transportation Equipment 27-nov-23
Imt MONTI Unknown Unknown Unknown 27-nov-23
Law Offices of John E Hill MONTI www.hill-law-offices.com USA Legal Services 27-nov-23
Fischione Instruments Inc. BlackCat (ALPHV) www.fischione.com USA Measuring, Analyzing, Controlling Instruments 27-nov-23
stsaviationgroup.com LockBit stsaviationgroup.com United Kingdom Transportation By Air 27-nov-23
InstantWhip Hunters International instantwhip.com USA Wholesale Trade-non-durable Goods 27-nov-23
Vertex Resource Group BlackCat (ALPHV) vertex.ca Canada Miscellaneous Services 27-nov-23
Legacy Mail Management Akira Unknown USA Transportation Services 27-nov-23
carrellblanton.com ThreeAM carrellblanton.com USA Legal Services 27-nov-23
Huber Heights BLACK SUIT www.hhoh.org USA General Government 27-nov-23
New River Community & Technical College BLACK SUIT newriver.edu USA Educational Services 27-nov-23
sillslegal BlackCat (ALPHV) www.sillslegal.co.uk United Kingdom Legal Services 27-nov-23
Honey Birdette 8BASE www.honeybirdette.com Australia Apparel And Accessory Stores 27-nov-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
IRC Engineering BlackCat (ALPHV) irc.be Belgium IT Services 2-dec-23
skalar.com Medusa Locker skalar.com Netherlands Machinery, Computer Equipment 29-nov-23
Byfod PLAY www.byfod.com Netherlands Wholesale Trade-non-durable Goods 28-nov-23
Medi-Market Cactus www.medi-market.be Belgium Miscellaneous Retail 28-nov-23

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


❗️IRC Engineering Slachtoffer van BlackCat Cyberaanval"

Op 2 december 2023 werd IRC Engineering, een Belgisch IT-servicebedrijf, het slachtoffer van een cyberaanval door BlackCat, ook bekend als ALPHV. Deze aanval, onthuld op het darkweb, benadrukt de groeiende dreiging van cybercriminaliteit binnen de IT-sector. Terwijl de volledige impact nog onderzocht wordt, roept deze gebeurtenis op tot verhoogde digitale waakzaamheid en beveiligingsmaatregelen bij bedrijven om zich tegen dergelijke aanvallen te beschermen.


❗️Kwetsbaarheden in Microsoft Exchange Servers: "600 in Nederland en 220 in België Blootgesteld aan Aanvallen"

Onlangs is gebleken dat ongeveer 20.000 Microsoft Exchange e-mailservers wereldwijd, waaronder 600 in Nederland en 220 in België, kwetsbaar zijn voor aanvallen door remote code execution. Deze servers, die op het openbare internet zijn blootgesteld, draaien op verouderde softwareversies die niet langer ondersteund worden en geen updates meer ontvangen. Dit maakt ze vatbaar voor diverse beveiligingsproblemen, waarvan sommige een kritieke ernst hebben. Uit onderzoek van The ShadowServer Foundation blijkt dat bijna 20.000 Microsoft Exchange servers die het einde van hun levensduur (EoL) hebben bereikt, nog steeds bereikbaar zijn via het openbare internet. Een aanzienlijk deel van deze kwetsbare systemen bevindt zich in Europa, met Nederland en België als opvallende gevallen met respectievelijk 600 en 220 servers. Yutaka Sejiyama, een beveiligingsonderzoeker van Macnica, heeft via Shodan-scans ontdekt dat er wereldwijd meer dan 30.000 Microsoft Exchange servers op het openbare web zijn met een niet-ondersteunde versie van Microsoft Exchange. Dit omvat onder andere 275 exemplaren van Exchange Server 2007, 4.062 van Exchange Server 2010 en 26.298 van Exchange Server 2013. Sejiyama benadrukt dat de afname van het aantal EoL Exchange servers sinds april dit jaar slechts 18% is, wat wijst op een trage reactie op de beveiligingsrisico's. Veel van de verouderde Exchange machines zijn kwetsbaar voor verschillende remote code execution fouten, waaronder ProxyLogon, een kritieke beveiligingskwestie. Volgens ShadowServer zijn de machines in hun scans kwetsbaar voor meerdere beveiligingsfouten, waaronder CVE-2020-0688, CVE-2021-26855 (ProxyLogon), en CVE-2021-27065 (deel van de ProxyLogon exploitketen). Hoewel de meeste van deze kwetsbaarheden niet als kritiek worden beschouwd, heeft Microsoft ze als "belangrijk" bestempeld. Voor bedrijven in Nederland en België die nog steeds verouderde Exchange servers gebruiken, is het aan te bevelen om te upgraden naar een versie die ten minste beveiligingsupdates ontvangt.


Agent Raccoon: Nieuwe Malware Achterdeur in VS en daarbuiten

Een nieuwe malware genaamd 'Agent Raccoon' wordt gebruikt in cyberaanvallen tegen organisaties in de Verenigde Staten, het Midden-Oosten en Afrika. De aanvallers worden vermoedelijk gesponsord door een staat, zoals geïdentificeerd door Unit 42 van Palo Alto Networks. De slachtoffers zijn divers: overheidsinstellingen, telecommunicatie, onderwijs, vastgoed, detailhandel en non-profit organisaties. Volgens Unit 42 wijzen de gekozen doelwitten, ingezette tools, methoden voor gegevensonttrekking, gerichte intelligentie en het heimelijke karakter van de aanvallen op spionage als hoofddoel. Agent Raccoon is een .NET-malware, vermomd als een Google Update of Microsoft OneDrive Updater, en maakt gebruik van het DNS-protocol (Domain Name Service) om een verborgen communicatiekanaal op te zetten met de command-and-control-infrastructuur van de aanvallers. De backdoor maakt gebruik van met Punycode gecodeerde subdomeinen voor ontwijking en bevat ook willekeurige waarden om communicatie moeilijker traceerbaar te maken. Hoewel de malware zelf geen persistentiemechanisme heeft, lijkt het te worden uitgevoerd via geplande taken. De malware kan op afstand commando's uitvoeren, bestanden uploaden en downloaden, en biedt externe toegang tot het geïnfecteerde systeem. Unit 42 merkt op dat er verschillende versies van Agent Raccoon zijn gevangen, elk met kleine codevariaties en optimalisaties, wat aangeeft dat de auteurs van de malware deze actief ontwikkelen en aanpassen aan specifieke operationele vereisten. Naast Agent Raccoon gebruikten de aanvallers ook een aangepaste versie van het Mimikatz-hulpprogramma voor het dumpen van inloggegevens, genaamd 'Mimilite', en een DLL die gebruikersreferenties steelt en die lijkt op de Windows Network Provider-module, genaamd 'Ntospy'. Ntospy registreert zich als een legitieme Network Provider-module met de naam "credman" om het authenticatieproces te kapen en gebruikersreferenties te onderscheppen. Deze tool slaat ook onderschepte referenties op in platte tekst op het gecompromitteerde apparaat. Tot slot gebruikten de aanvallers PowerShell-snap-ins om e-mails te stelen van Microsoft Exchange-servers of om de Roaming Profile-mappen van slachtoffers te stelen, waarbij de map wordt gecomprimeerd met 7-Zip voor efficiëntie en onzichtbaarheid. Het waargenomen proces voor het exfiltreren van e-mails betrof specifieke zoekcriteria voor elke inbox, wat wijst op een gerichte benadering van gegevensoogst die past bij het vermoedelijke spionageprofiel van de operatie. Er zijn opmerkelijke overeenkomsten waargenomen met een andere dreigingsactor die Unit 42 volgt, bekend als 'CL-STA-0043', gekarakteriseerd als een door de staat gesponsorde dreigingsactor. [1]


Waterschappen in VS Gekraakt via Eenvoudig Wachtwoord

Onlangs hebben cyberaanvallers de industriële controlesystemen van Amerikaanse waterschappen en sectoren in andere vitale industrieën gecompromitteerd door gebruik te maken van het standaardwachtwoord '1111'. Deze onthulling, gedaan door de FBI, NSA, en het Cybersecurity and Infrastructure Security Agency (CISA), heeft geleid tot een dringende oproep aan organisaties om hun standaardwachtwoorden te wijzigen. De aanvallen waren gericht op de programmeerbare logische controllers (PLC's) van de fabrikant Unitronics. Deze PLC's zijn essentieel in de waterschappen voor het beheer en de monitoring van verschillende stadia van water- en afvalwaterzuivering, zoals het bedienen van pompen, het vullen van tanks, het toevoegen van chemicaliën, het verzamelen van gegevens voor toezichtsrapporten en het signaleren van kritieke situaties. Vanwege hun controle- en monitoringsfuncties zijn deze PLC's vaak via het internet toegankelijk. De aanvallers richten zich op de gebruikersinterfaces van deze systemen. Eenmaal toegang verkregen, plaatsen zij een boodschap op het scherm van het apparaat, wat kan resulteren in het uitvallen van het apparaat. De toegang tot deze PLC's kan ook worden gebruikt voor verdere aanvallen, die potentieel grotere fysieke gevolgen kunnen hebben voor de processen en apparatuur. Naast waterschappen worden de PLC's van Unitronics ook gebruikt in andere vitale sectoren zoals energie, voeding, productie en gezondheidszorg. De apparaten worden soms onder verschillende namen en merken aangeboden. Verschillende organisaties in meerdere Amerikaanse staten zijn al slachtoffer geworden. De Amerikaanse overheidsdiensten adviseren organisaties niet alleen om hun wachtwoorden te wijzigen, maar ook om de PLC's los te koppelen van het openbare internet om verdere risico's te verminderen. [1]


Geraffineerde Phishingaanval op WordPress-beheerders met Malafide Extensie

Beheerders van WordPress-websites zijn recentelijk het doelwit geworden van een geraffineerde phishingaanval. De aanvallers proberen een malafide extensie te laten installeren die fungeert als een backdoor op de website. De aanval wordt uitgevoerd via een phishingmail, die ogenschijnlijk van het WordPress Security Team afkomstig is. Deze mail suggereert dat de website van de beheerder een kritieke kwetsbaarheid bevat, inclusief een verzonnen CVE-nummer. De oplossing die de e-mail biedt, is het installeren en activeren van een plug-in die via een link in de e-mail wordt aangeboden. Het domein waar de plug-in beschikbaar is, bevat de naam WordPress en lijkt sterk op de officiële WordPress.org website. De zogenaamde "Security Update Plugin" is echter een schadelijke extensie die een verborgen beheerdersaccount met de naam 'wpsecuritypatch' creëert. Deze extensie installeert ook een PHP-backdoor met een hardcoded wachtwoord, waardoor aanvallers volledige controle over de website kunnen krijgen. Dit werd gemeld door het securitybedrijf Wordfence. Desondanks is de aanval te herkennen aan typische kenmerken van phishing, zoals een gevoel van urgentie, nep afzenders, en URL's die sterk lijken op legitieme websites. Met adequaat bewustzijn over cybersecurity en training kan zo'n phishingaanval echter goed geïdentificeerd worden. [1]


Grootschalige Diefstal van Afstammingsgegevens bij 23andMe

Bij dna-testbedrijf 23andMe heeft een omvangrijke diefstal van afstammingsgegevens plaatsgevonden. Aanvallers verkregen via credential stuffing toegang tot de accounts van duizenden gebruikers, waarna ze een significant aantal bestanden met gebruikersgegevens stalen. Deze aanval trof in totaal veertienduizend klanten. Credential stuffing houdt in dat aanvallers eerder gestolen inloggegevens gebruiken om toegang te krijgen tot accounts op andere websites, wat mogelijk is als gebruikers dezelfde wachtwoorden hergebruiken. Nadat toegang was verkregen, maakten de aanvallers gebruik van de 'DNA Relatives' service van 23andMe. Deze service stelt gebruikers in staat om familieleden te vinden die ook hun DNA hebben laten testen bij het bedrijf. Hierdoor zijn niet alleen de direct getroffen gebruikers, maar ook anderen die voor deze service waren aangemeld, getroffen door de datadiefstal. 23andMe heeft als reactie op deze inbraak voor alle gebruikers de wachtwoorden gereset en tweestapsverificatie ingevoerd. Dit is een standaard veiligheidsmaatregel om de accounts te beveiligen en toekomstige aanvallen van deze aard te voorkomen. De exacte omvang van de diefstal, met name hoeveel gegevens van 'DNA Relatives' gebruikers zijn gestolen, is echter onbekend. [1, 2]


Nieuwe macOS-ransomware 'Turtle' Vormt Beperkt Gevaar

Een recent ontdekte ransomware, genaamd 'Turtle', specifiek gericht op macOS-systemen, wordt niet beschouwd als een groot gevaar voor de meeste gebruikers. Dit is de conclusie van beveiligingsonderzoeker Patrick Wardle. De manier waarop deze ransomware zich verspreidt, blijft onduidelijk. Belangrijk is dat, hoewel de ransomware gesigneerd is om op macOS te draaien, het niet door Apple's 'notarization' proces is gegaan. Dit betekent dat het standaardbeveiligingssysteem van Apple, Gatekeeper, de ransomware blokkeert, tenzij gebruikers expliciet kiezen om deze te draaien of als er gebruik wordt gemaakt van een exploit. Wanneer geactiveerd, probeert Turtle bestanden op de geïnfecteerde systemen te versleutelen. Echter, dankzij de gebruikte crypto/AES-bibliotheek, is het mogelijk om de door de ransomware gebruikte encryptie- en decryptiesleutels te achterhalen. Daarnaast heeft Apple diverse maatregelen geïmplementeerd om dergelijke ransomware-aanvallen te voorkomen. Zo zijn systeembestanden beveiligd en kunnen ze niet gemakkelijk worden versleuteld door ransomware. Bovendien zijn de bestanden van gebruikers geplaatst in beveiligde directories. Dit impliceert dat zonder een exploit of duidelijke toestemming van de gebruiker, de gebruikersbestanden beschermd blijven. Ondanks de relatieve veiligheid, benadrukt Wardle dat het opduiken van dergelijke ransomware voor macOS nog steeds zorgwekkend is. Dit wijst op een noodzaak voor voortdurende waakzaamheid en het bijhouden van veiligheidsmaatregelen door zowel gebruikers als ontwikkelaars. [1, 2]


Grote Cyberaanval Verlamt Transportgroep Guyamier in Gironde (F)

Op woensdag 29 november 2023 werd de transportgroep Guyamier, onder leiding van Nicolas Guyamier, getroffen door een ernstige cyberaanval. Deze aanval resulteerde in de volledige stopzetting van hun informatietechnologie systemen. Alle klantendossiers en toegang tot e-mails en andere digitale bestanden gingen verloren. Nicolas Guyamier, de Girondinse ondernemer die in 2022 werd verkozen tot transporteur van het jaar, leidt meerdere transportbedrijven waaronder Guyamier, Lacassagne, SMGE en Atlantic Europe Express. Als reactie op deze aanval werd die avond een crisisunit van ongeveer veertig personen opgericht om de meest dringende problemen aan te pakken en de bedrijfsactiviteiten de volgende ochtend zoveel mogelijk te hervatten. De computersystemen van de bedrijven, gevestigd in Ambès of Cestas, liepen vast door de aanval. Een virus werd snel geïdentificeerd door hun IT-expert. Alle computers moesten onmiddellijk worden uitgeschakeld. Nicolas Guyamier beschrijft de situatie als een "catastrofe" en geeft aan dat het bedrijf, met een omzet van dertig miljoen euro in 2022 en meer dan 200 werknemers, een ingrijpende en uitgebreide aanval heeft ondergaan, veel ernstiger dan een kleinere aanval die vijf jaar eerder plaatsvond. De aanvallers zouden gedurende de dag een losgeldeis hebben gesteld, hoewel het exacte bedrag niet werd vermeld. Het grootste probleem voor het bedrijf op dat moment was het onvermogen om contact op te nemen met klanten, aangezien de bestanden met klantgegevens en berichten niet toegankelijk waren. Nicolas Guyamier en zijn team probeerden die avond zo veel mogelijk contactgegevens te verzamelen om de communicatie met klanten te herstellen. [1]


Cyberaanval Treft Capital Health Ziekenhuizen, Veroorzaakt IT-Storingen

Capital Health, een non-profitorganisatie die diverse gezondheidszorgfaciliteiten in New Jersey (VS) beheert, is getroffen door een cyberaanval die heeft geleid tot IT-storingen. Deze storingen beïnvloeden zowel ziekenhuizen als huisartsenpraktijken in de regio. De getroffen faciliteiten omvatten twee ziekenhuizen - het Regional Medical Center in Trenton en het Capital Health Medical Center in Hopewell - een polikliniek in Hamilton, en tientallen eerstelijns en gespecialiseerde zorgpraktijken. Na de detectie van het incident heeft Capital Health onmiddellijk de relevante autoriteiten ingelicht en is het samen met wetshandhavingsinstanties en externe forensische en IT-experts bezig met het herstellen van de getroffen diensten. De IT-afdeling van de ziekenhuizen werkt prioritair aan het herstel van de systemen, terwijl operaties worden ingepland op basis van urgentie en patiëntomstandigheden. Ondanks de netwerkstoringen blijven alle spoedeisende hulpen van Capital Health open en worden patiënten die ziekenhuisopname nodig hebben, nog steeds toegelaten en behandeld. Niet-dringende chirurgische ingrepen en procedures zijn aangepast, maar dit heeft momenteel minimale impact op de operatieschema's. Poliklinische radiologie is momenteel niet beschikbaar, en neurofysiologische en niet-invasieve cardiologische testen worden opnieuw ingepland. Capital Health verwacht nog minstens een week met enkele systeembeperkingen te opereren, maar kan geen exacte tijdlijn geven voor de volledige oplossing van de problemen. Brett Callow, een dreigingsanalist bij Emsisoft, benadrukt dat alleen al dit jaar minstens 36 Amerikaanse ziekenhuizen zijn getroffen door ransomware, waarbij in 26 van de 36 gevallen gegevens zijn gestolen. Deze aanval maakt deel uit van een bredere trend van ransomware-aanvallen op gezondheidsorganisaties in de VS. Ardent Health Services, een andere gezondheidszorgaanbieder die 30 ziekenhuizen beheert, werd ook onlangs getroffen door een ransomware-aanval. De Amerikaanse overheid, inclusief het Department of Health and Human Services (HHS), CISA en de FBI, heeft herhaaldelijk gewaarschuwd voor dergelijke aanvallen op gezondheidszorgorganisaties. [1]


Cyberaanval veroorzaakt serviceonderbrekingen en leveringsproblemen bij Staples

De Amerikaanse kantoorartikelenleverancier Staples heeft eerder deze week enkele van zijn systemen offline gehaald na een cyberaanval, om de impact van de inbreuk te beperken en klantgegevens te beschermen. Staples heeft 994 winkels in de VS en Canada, evenals 40 distributiecentra voor landelijke productopslag en -verzending. De onthulling volgde op meerdere rapporten op Reddit over verschillende interne operationele problemen bij Staples, waaronder problemen met toegang tot Zendesk, VPN-werknemersportalen, print-e-mail, telefoonlijnen en meer. Medewerkers van Staples op Reddit meldden dat ze geen toegang hadden tot verschillende systemen en een medewerker merkte op dat hij in zijn 20 jaar bij Staples nog nooit zoiets had meegemaakt. Er zijn onbevestigde berichten dat medewerkers van Staples zijn geïnstrueerd om niet in te loggen op Microsoft 365 met single sign-on (SSO) en dat callcentermedewerkers twee opeenvolgende dagen naar huis zijn gestuurd. Staples bevestigde dat het beschermende maatregelen heeft genomen om een "cybersecurityrisico" te mitigeren, wat leidde tot verstoring van de bedrijfsvoering, met name de backend-verwerking en productlevering. Hoewel de winkels van Staples open en operationeel zijn, worden bestellingen op staples.com mogelijk niet volgens de standaardtijdschema's verwerkt, aangezien gerelateerde systemen nog steeds niet functioneren. Er is vernomen dat er geen ransomware werd ingezet bij de aanval en dat er geen bestanden werden versleuteld. Een snelle reactie van Staples, waaronder het uitschakelen van het netwerk en VPN, heeft mogelijk voorkomen dat de aanval zijn laatste fase bereikte. De tijd zal leren of er gegevens zijn gestolen terwijl de bedreigers toegang hadden tot het netwerk van Staples. Als er gegevens zijn gestolen, is het waarschijnlijk dat de hackers Staples zullen proberen af te persen door te dreigen de gegevens openbaar te lekken. In maart 2023 ondervond Essendant, een distributeur van Staples, ook een meerdaagse uitval die klanten en leveranciers verhinderde online bestellingen te plaatsen of te vervullen. Bijna drie jaar eerder, in september 2020, leed het bedrijf een datalek waarbij gevoelige klant- en bestelinformatie werd blootgesteld nadat hackers een kwetsbaarheid op een ongepatchte VPN-eindpunt hadden uitgebuit om toegang te krijgen. [1, 2, 3, 4, 5]


FjordPhantom: Geavanceerde Android Malware Gebruikt Virtualisatie voor Ontduiking Detectie

Een nieuwe Android malware, genaamd FjordPhantom, is ontdekt. Deze malware maakt gebruik van virtualisatie om kwaadaardige code in een container uit te voeren en detectie te omzeilen. Ontdekt door Promon, verspreidt het zich via e-mails, sms-berichten en berichtenapps, gericht op bank-apps in Indonesië, Thailand, Vietnam, Singapore en Maleisië. Slachtoffers worden misleid tot het downloaden van wat lijkt op legitieme bank-apps, maar deze bevatten kwaadaardige code die in een virtuele omgeving draait om de echte bank-app aan te vallen. FjordPhantom heeft als doel om online bankgegevens te stelen en transacties te manipuleren door fraude op het apparaat uit te voeren. In een opvallend geval stal FjordPhantom $280.000 van één slachtoffer, mogelijk gemaakt door de ontwijkende aard van de malware te combineren met sociale engineering, zoals telefoontjes die zogenaamd van bankklantenservice zijn. Op Android kunnen meerdere apps om legitieme redenen in geïsoleerde omgevingen, bekend als "containers", draaien. FjordPhantom maakt gebruik van een virtualisatie-oplossing uit open-source projecten om een virtuele container op het apparaat te creëren zonder dat de gebruiker het weet. Bij de lancering installeert de malware de APK van de bank-app die de gebruiker wilde downloaden en voert kwaadaardige code uit binnen dezelfde container, waardoor het deel uitmaakt van het vertrouwde proces. FjordPhantom kan zijn code injecteren om belangrijke API's te onderscheppen, waardoor het in staat is om inloggegevens vast te leggen, transacties te manipuleren en gevoelige informatie te onderscheppen. In sommige apps manipuleert het hooking-framework van de malware ook gebruikersinterface-elementen om waarschuwingsdialogen automatisch te sluiten en de gebruiker onbewust te houden van de compromittering. Deze virtualisatietruc doorbreekt het 'Android Sandbox'-beveiligingsconcept, dat voorkomt dat apps elkaars gegevens openen of hun operaties verstoren, aangezien apps binnen een container dezelfde sandbox delen. Dit is een bijzonder sluwe aanval, omdat de bank-app zelf niet wordt gewijzigd, waardoor detectie van code-aanpassing niet helpt bij het opsporen van de dreiging. Bovendien verhindert FjordPhantom door het aankoppelen van API's gerelateerd aan GooglePlayServices root-gerelateerde beveiligingscontroles. De malware-extensies strekken zich zelfs uit tot loggen, wat mogelijk aanwijzingen geeft aan de ontwikkelaars voor het uitvoeren van meer gerichte aanvallen op verschillende apps. Promon merkt op dat dit een teken is van actieve ontwikkeling, waardoor het risico toeneemt dat FjordPhantom zijn doelgebied in toekomstige releases uitbreidt voorbij de genoemde landen. [1]


❗️Nederlands Bedrijf Skalar.com Getroffen door Medusa Locker Ransomware

Op 29 november 2023 werd het Nederlandse bedrijf Skalar.com, bekend in de machinerie- en computerapparatuur sector, het slachtoffer van een ransomware-aanval door de beruchte groepering Medusa Locker. Dit incident, bekendgemaakt op het darkweb, benadrukt de voortdurende dreiging van cybercriminaliteit, vooral gericht op vitale technologische sectoren. De aanval onderstreept het belang van robuuste cybersecuritymaatregelen om dergelijke dreigingen het hoofd te bieden. Skalar.com werkt momenteel samen met cyberexperts om de schade te beoordelen en verdere beveiligingsinbreuken te voorkomen.


❗️Sprinter Sports, Voorheen Perry en Aktiesport, Getroffen door Cyberaanval

Winkelketen Sprinter Sports, eerder bekend als Perry Sport en Aktiesport, heeft een cyberaanval ervaren. Klanten worden gewaarschuwd om alert te zijn op ongebruikelijke activiteiten op hun bankrekeningen. Dit advies volgt op de ontdekking dat criminelen toegang hebben gekregen tot het bestelsysteem en klantaccountgegevens van Sprinter. De keten, die benadrukt geen volledige betaalkaartinformatie op te slaan, heeft samen met cyberexperts een uitvoerig onderzoek ingesteld naar de aanval. Het onderzoek is nog gaande, maar de hackersgroep Metaencryptor heeft via sociale media beweerd verantwoordelijk te zijn. Deze groep staat bekend om het hacken van bedrijfssystemen en het verspreiden van gijzelsoftware. Sprinter, onderdeel van de Spaanse International Sports Retail Group (ISRG), heeft meer dan vierhonderd winkels wereldwijd. ISRG nam in 2021 de Nederlandse winkels van Aktiesport en Perry Sport over en voegde deze later samen onder de naam Sprinter. Deze aanval past in een groeiende trend van cybercriminaliteit, waarbij bedrijven steeds vaker het doelwit zijn van dergelijke aanvallen. Klanten van Sprinter worden geadviseerd contact op te nemen met hun bank bij het waarnemen van verdachte transacties. Dit incident onderstreept het belang van waakzaamheid en preventieve maatregelen tegen cybercriminaliteit, zowel voor bedrijven als consumenten.


Maandenlange Ontwrichting bij de Britse Nationale Bibliotheek door Ransomware-aanval

De Britse nationale bibliotheek, British Library, heeft te kampen met langdurige verstoringen als gevolg van een ransomware-aanval eind oktober 2023. Vier weken na de aanval is de bibliotheek nog steeds ernstig getroffen, met aanzienlijke storingen die zowel de website als diverse online en lokale diensten beïnvloeden. De verwachting is dat herstelwerkzaamheden meerdere maanden in beslag zullen nemen, ondanks inspanningen om enkele diensten in de komende weken te herstellen. De British Library is een van 's werelds grootste bibliotheken en vormt een cruciaal onderdeel van het cultureel erfgoed van het Verenigd Koninkrijk. De aanval heeft niet alleen de dienstverlening verstoord, maar leidde ook tot diefstal van gevoelige gegevens. Interne HR-bestanden met persoonlijke gegevens van medewerkers werden buitgemaakt en online gepubliceerd. Er zijn echter nog geen aanwijzingen dat gegevens van gebruikers zijn gestolen.Desondanks heeft de British Library uit voorzorg geadviseerd dat gebruikers hun wachtwoorden veranderen, zowel voor hun bibliotheekaccounts als voor andere diensten waar zij mogelijk hetzelfde wachtwoord gebruiken. Dit wijst op een verhoogd bewustzijn van de bibliotheek over potentiële secundaire risico's voortvloeiend uit de aanval. Hoe de aanvallers toegang hebben verkregen tot de systemen van de bibliotheek is nog onbekend. De bibliotheek heeft echter bevestigd dat er sinds de aanval gerichte beveiligingsmaatregelen zijn genomen om de systemen beter te beschermen tegen toekomstige aanvallen. Deze aanval onderstreept de ernstige impact die ransomware kan hebben op essentiële instellingen, zoals nationale bibliotheken, en benadrukt het belang van robuuste cyberbeveiligingsmaatregelen en snelle incidentresponsplannen. [1]


Grootschalige Datalek bij Dollar Tree door Derde Partij

Het winkelketen Dollar Tree, bekend om zijn discountwinkels in de Verenigde Staten en Canada, is getroffen door een significant datalek dat bijna twee miljoen mensen raakt. Dit incident vond plaats na een hack bij de dienstverlener Zeroed-In Technologies. Het datalek, dat persoonlijke informatie van Dollar Tree en Family Dollar-medewerkers blootlegde, omvatte namen, geboortedata en Social Security-nummers (SSN's). Zeroed-In Technologies, die tussen 7 en 8 augustus 2023 een beveiligingsincident ondervond, kon niet bevestigen welke specifieke bestanden door de ongeautoriseerde actoren werden geraadpleegd of meegenomen. Dit leidde tot een uitgebreide evaluatie van de aanwezige informatie op het moment van de inbraak. Zeroed-In heeft de betrokken individuen geïnformeerd en instructies gegeven over het inschrijven voor een twaalf maanden durende identiteitsbescherming en kredietbewakingsdienst. Een woordvoerder van Family Dollar verklaarde dat Zeroed-In een dienstverlener is die zij en andere bedrijven gebruiken, en dat Zeroed-In hen op de hoogte heeft gesteld van het beveiligingsincident. BleepingComputer heeft Dollar Tree benaderd voor commentaar op het datalek. Er is nog niet bevestigd of andere klanten van Zeroed-In ook door deze beveiligingsbreuk zijn getroffen. De omvang van het datalek heeft al geleid tot onderzoeken van advocatenkantoren die een mogelijke collectieve rechtszaak tegen Zeroed-In onderzoeken. [1, pdf]


Black Basta Ransomware Verdient Meer dan $100 Miljoen met Afpersing

De Russisch-gekoppelde ransomwarebende Black Basta heeft sinds april 2022, toen zij voor het eerst opdook, meer dan $100 miljoen aan losgeld ontvangen van meer dan 90 slachtoffers. Dit blijkt uit gezamenlijk onderzoek van Corvus Insurance en Elliptic. Black Basta heeft wereldwijd meer dan 329 slachtoffers getarget met dubbele afpersingsaanvallen, waarbij gevoelige gegevens worden gestolen voordat ransomware wordt ingezet om systemen te versleutelen. De gestolen data wordt gebruikt om slachtoffers onder druk te zetten tot betalen, met dreiging van publicatie op Black Basta's dark web leksite. Volgens het Corvus Threat Intel-team heeft Black Basta sinds begin 2022 minstens $107 miljoen aan losgeld ontvangen, waarbij de grootste betaling $9 miljoen bedroeg. Minstens 18 van de betalingen overschreden de $1 miljoen, met een gemiddelde van $1,2 miljoen. Ongeveer 35% van de bekende slachtoffers van Black Basta heeft een losgeld betaald, wat overeenkomt met bevindingen van het onderhandelingsbedrijf Coveware dat ondanks recordlage losgeldbetalingen in 2022, ongeveer 41% van alle ransomwareslachtoffers een losgeld heeft betaald. Black Basta verscheen in april 2022 als een Ransomware-as-a-Service (RaaS) operatie, gericht op bedrijven wereldwijd met dubbele afpersingsaanvallen. Na het stopzetten van de beruchte Conti ransomware-bende in juni 2022, splitste deze bende zich in meerdere groepen, waarvan één vermoedelijk Black Basta is. Experts vermoeden dat Black Basta een rebranding kan zijn van de Russisch-sprekende RaaS-bende Conti, of gelinkt is aan andere Russisch-sprekende cyberdreigingsgroepen. Sinds hun verschijning heeft Black Basta vele high-profile slachtoffers geïnfiltreerd en afgeperst, waaronder de American Dental Association, Sobeys, Knauf, Yellow Pages Canada, Toronto Public Library, en de Duitse defensieaannemer Rheinmetall. Ook staan Capita, een Brits technologie-uitbestedingsbedrijf, en ABB, een bedrijf in industriële automatisering, op de slachtofferlijst. Geen van beiden heeft publiekelijk bekendgemaakt of ze losgeld aan Black Basta hebben betaald. [1]


Cyberaanval op Amerikaanse Waterfaciliteit via Kwetsbare Unitronics PLC's

CISA (Cybersecurity & Infrastructure Security Agency) waarschuwt voor een cyberaanval op een Amerikaanse waterzuiveringsinstallatie, uitgevoerd via online blootgestelde Unitronics programmeerbare logische controllers (PLC's). Deze PLC's zijn essentiële controle- en beheerapparaten in industriële omgevingen. De aanval kon ernstige gevolgen hebben, zoals waterverontreiniging door manipulatie van de chemische dosering, dienstonderbrekingen, en fysieke schade aan de infrastructuur. CISA bevestigde dat de aanvallers daadwerkelijk toegang hadden verkregen tot de waterzuiveringsinstallatie, maar het drinkwater van de betrokken gemeenschappen werd niet aangetast. De waterautoriteit van de getroffen gemeente schakelde onmiddellijk over op handmatige bediening om verdere risico's te vermijden. De aanvallers maakten gebruik van zwakke beveiligingspraktijken om de Unitronics Vision Series PLC's met een mens-machine-interface (HMI) te hacken, in plaats van een zero-day kwetsbaarheid uit te buiten. CISA adviseert systeembeheerders om de standaardwachtwoorden van Unitronics PLC's te vervangen, multifactorauthenticatie (MFA) te implementeren, de PLC's los te koppelen van het openbare internet, regelmatig back-ups te maken, en de firmware van de PLC/HMI bij te werken. Cyberscoop meldde dat Iraanse aanvallers verantwoordelijk waren voor een recente hack bij de Municipal Water Authority van Aliquippa, Pennsylvania, waarbij zij een bericht van de aanvallers op de Unitronics PLC's toonden. CISA kondigde ook aan dat zij in september 2023 een gratis beveiligingsscansprogramma voor kritieke infrastructuurfaciliteiten zoals waterbedrijven lanceerden om beveiligingslacunes te identificeren en hun systemen tegen opportunistische aanvallen te beschermen. [1, 2, 3, 4]


Japanse Ruimtevaartorganisatie JAXA Getroffen door Zomercyberaanval

De Japan Aerospace Exploration Agency (JAXA), de nationale ruimtevaartorganisatie van Japan, is deze zomer het slachtoffer geworden van een cyberaanval. Deze aanval heeft mogelijk gevoelige ruimtevaarttechnologie en -data in gevaar gebracht. De inbraak werd ontdekt nadat rechtshandhavingsautoriteiten in de herfst melding maakten van een compromittering van het systeem van de organisatie. Tijdens een persconferentie bevestigde de hoofdkabinetssecretaris van Japan, Hirokazu Matsuno, dat aanvallers toegang hadden verkregen tot de Active Directory (AD) server van de organisatie, een cruciaal onderdeel dat het netwerk van JAXA beheert. Deze server bevat waarschijnlijk cruciale informatie, zoals werknemersgegevens, wat de mogelijke impact van de inbreuk aanzienlijk vergroot. JAXA werkt momenteel samen met overheidsinstanties op het gebied van cybersecurity en rechtshandhaving om de volledige omvang van de inbreuk te bepalen. Hoewel er nog geen datalek is bevestigd, heeft een JAXA-functionaris zijn bezorgdheid uitgesproken, aangezien de AD-server gehackt was, wat betekent dat de meeste informatie waarschijnlijk zichtbaar was. Deze aanval is niet de eerste keer dat JAXA te maken heeft met veiligheidsinbreuken. In 2016 en 2017 was de organisatie doelwit van een grootschalige cyberaanval waarbij bijna 200 Japanse onderzoeksinstellingen en bedrijven betrokken waren bij defensie. Deze aanvallen werden in april 2021 door de Japanse Metropolitan Police Department toegeschreven aan een groep Chinese militaire hackers, bekend als Tick, ook bekend als BRONZE BUTLER en STALKER PANDA. In september 2023 waarschuwden Amerikaanse en Japanse wetshandhavings- en cybersecurity-agentschappen in een gezamenlijk advies dat door de Chinese staat gesteunde BlackTech-hackers netwerkapparaten van bedrijven hadden geïnfiltreerd. [1, 2, 3, 4, 5]


Ransomware-aanval via Kwetsbaarheden in Analyticsplatform Qlik Sense

Criminelen hebben onlangs gebruik gemaakt van kwetsbaarheden in het analyticsplatform Qlik Sense om ransomware te verspreiden. Qlik Sense, een platform dat grote hoeveelheden data van organisaties inzichtelijk maakt, werd geïdentificeerd met verschillende kwetsbaarheden (CVE-2023-41266, CVE-2023-41265 en CVE-2023-48365) in augustus en september. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller in staat om op afstand code uit te voeren op Qlik Sense-servers. Arctic Wolf Labs meldt dat aanvallers deze kwetsbaarheden benutten om organisaties te infecteren met ransomware. Na het verkrijgen van toegang gebruiken de criminelen tools zoals AnyDesk en Plink, wijzigen het beheerderswachtwoord en maken gebruik van het remote desktop protocol (RDP) om zich door het netwerk te bewegen. Uiteindelijk proberen ze de Cactus-ransomware uit te rollen. Het artikel benadrukt het belang van het updaten van Qlik Sense-servers, aangezien updates voor deze kwetsbaarheden reeds beschikbaar zijn. Deze oproep tot actie is cruciaal om verdere aanvallen en de verspreiding van ransomware te voorkomen. Het artikel onderstreept hiermee de noodzaak voor organisaties om hun systemen regelmatig te updaten en te beveiligen tegen dergelijke kwetsbaarheden, die kunnen leiden tot ernstige beveiligingsinbreuken. [1]


Cyberaanval treft Amerikaans Waterschap

Een industrieel controlesysteem van een Amerikaans waterschap, gebruikt voor het monitoren van de waterdruk, is onlangs het doelwit geworden van een cyberaanval. Het systeem werd gehackt, wat resulteerde in de uitval van het apparaat en een boodschap van de aanvallers op het scherm. Na ontdekking van de aanval werd het systeem offline gehaald, en het waterschap schakelde over op handmatige bediening. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven over het misbruik van Unitronics programmable logic controllers (PLC's). Deze PLC's worden door waterschappen gebruikt voor het beheer en de monitoring van verschillende fasen van water- en rioolzuivering. Het betreft onder andere het in- en uitschakelen van pompen, het vullen van tanks en reservoirs, het toevoegen van chemicaliën, het verzamelen van gegevens voor toezichtsrapporten, en het waarschuwen voor kritieke situaties. CISA stelt dat ongeautoriseerde toegang tot deze systemen de levering van schoon drinkwater in gevaar kan brengen. De aanvallers hebben vermoedelijk toegang gekregen tot het systeem via een Unitronics Vision Series PLC met een Human Machine Interface (HMI), door gebruik te maken van een kwetsbaarheid, mogelijk veroorzaakt door slechte wachtwoorden. Als reactie adviseert CISA waterschappen het standaard wachtwoord van Unitronics PLC's, dat standaard op 1111 is ingesteld, te wijzigen en te controleren op wijzigingen. Ook wordt aangeraden multifactorauthenticatie (MFA) in te stellen voor alle externe toegang tot operationele technologienetwerken en de PLC's niet direct vanaf het normale internet toegankelijk te maken. Daarnaast wordt geadviseerd de standaard TCP-poort van de PLC te wijzigen. [1, 2, 3]


Okta’s Datalek: Gevoelige Klantinformatie Blootgesteld

Het authenticatieplatform Okta, dat wereldwijd door duizenden bedrijven wordt gebruikt voor toegangsbeheer tot systemen en applicaties, heeft recentelijk gegevens gelekt van alle klanten die support zochten. Dit lek werd veroorzaakt door een aanval eind september, waarbij met name namen en e-mailadressen werden ontvreemd. De inbreuk vond plaats nadat aanvallers toegang hadden verkregen tot Okta's supportsysteem door inloggegevens te stelen die een medewerker in zijn privé Google-account op een zakelijk beheerde laptop had opgeslagen. In eerste instantie leek het erop dat de aanval beperkt was tot gegevens van 134 bedrijven. Echter, bij vijf klanten werd met gestolen sessietokens ingelogd op hun klantomgeving. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, brachten de inbraak zelf naar buiten. Verder onderzoek onthulde dat de aanvaller gegevens van alle klanten in het supportsysteem heeft opgevraagd, wat neerkomt op volledige namen en e-mailadressen van 99,6% van de klanten. Dit opent de deur voor mogelijke phishing of social engineering aanvallen gericht op Okta-klanten. Het bedrijf geeft toe dat dit deel van het datalek aanvankelijk over het hoofd werd gezien vanwege het specifieke zoekfilter dat door de aanvaller werd gebruikt. Deze ontwikkeling markeert een significant veiligheidsincident voor Okta, waarbij niet alleen klantgegevens zijn blootgesteld, maar ook het vertrouwen in hun beveiligingspraktijken in het geding komt. Okta spreekt van een verhoogd risico op phishing en social engineering aanvallen als gevolg van het lek. Deze situatie benadrukt het belang van zorgvuldige opslag en beheer van inloggegevens en het proactief informeren van betrokkenen bij datalekken. [1]


Cyberaanval Treft Landbouwmachinefabrikant Grimme in Damme (D)

In de nacht van maandag op dinsdag werd de Landmaschinenfabrik Grimme uit Damme, een toonaangevende fabrikant in de kartoffelerntetechnik, getroffen door een cyberaanval. Deze aanval heeft geleid tot de tijdelijke stopzetting van de productie, zoals bevestigd door woordvoerder Jürgen Feld. Als gevolg hiervan zijn veel werknemers naar huis gestuurd. De impact van de aanval is momenteel nog onduidelijk, maar het bedrijf hoopt de schade te minimaliseren. Dankzij vroegtijdige detectie door de interne IT-afdeling van het bedrijf zijn alle systemen uit voorzorg offline gehaald en worden momenteel grondig onderzocht. Er is ook een crisisteam opgericht om de situatie te beheren. De Grimme-groep, die wereldwijd opereert, ziet de cyberaanval als een grote uitdaging. In het verleden heeft het bedrijf de beveiligingsmaatregelen aanzienlijk versterkt, wat nu in hun voordeel zou kunnen werken. Feld is van mening dat het bedrijf goed voorbereid is op dergelijke incidenten en hoopt dat de productie snel hervat kan worden. Dit incident benadrukt het belang van cyberveiligheid in de moderne, wereldwijd verbonden industrie. [1]


Hendricks Regionale Gezondheidswebsite Neergehaald door Cyberaanval

In Danville, Indiana (VS), is de website van Hendricks Regional Health dinsdag neergehaald als gevolg van een cyberaanval. Dit werd bevestigd door de leiders van het ziekenhuis, die aangaven dat de aanval gericht was op een externe websiteleverancier. Ze benadrukten dat de website van het ziekenhuis niet verbonden is met enige van hun patiëntenplatforms. Tot op heden is er geen informatie beschikbaar over wanneer de website weer operationeel zal zijn. Belangrijk is dat de ziekenhuisleiding niet op de hoogte is van enig risico voor patiëntgegevens als gevolg van deze cyberaanval. Dit is een geruststellend detail, aangezien de bescherming van patiëntinformatie een cruciale prioriteit is voor gezondheidszorginstellingen, vooral in het licht van de toenemende frequentie en verfijning van cyberaanvallen op de gezondheidszorgsector. Deze gebeurtenis onderstreept het belang van cybersecurity, met name voor essentiële diensten zoals gezondheidszorginstellingen. Het laat zien dat zelfs externe partners en leveranciers een potentiële kwetsbaarheid kunnen vormen, en dat het van vitaal belang is om een robuust en uitgebreid cybersecuritybeleid te hebben dat alle aspecten van een organisatie en haar externe relaties omvat. Er zijn geen aanvullende details verstrekt over de aard van de cyberaanval, de identiteit van de daders of de specifieke maatregelen die genomen worden om de website te herstellen en verdere veiligheidsmaatregelen te implementeren. Deze informatie kan cruciaal zijn voor het begrijpen van de volledige omvang en impact van de cyberaanval, en voor het nemen van stappen om toekomstige incidenten te voorkomen.


Nieuwe BLUFFS-aanval Bedreigt Bluetooth Beveiliging op Wereldschaal

Onderzoekers aan Eurecom hebben een nieuwe aanvalsreeks ontwikkeld, genaamd 'BLUFFS', die de veiligheid van Bluetooth-sessies kan compromitteren. Deze aanvallen stellen aanvallers in staat om Bluetooth-verbindingen over te nemen, wat kan leiden tot apparaatimitatie en man-in-the-middle (MitM) aanvallen. De onderzoekers, onder leiding van Daniele Antonioli, hebben ontdekt dat BLUFFS twee voorheen onbekende zwakke punten in de Bluetooth-standaard benut. Deze zwakke punten betreffen de afleiding van sessiesleutels voor het ontcijferen van gegevensuitwisseling. De kwetsbaarheden zijn geïdentificeerd als CVE-2023-24023 en beïnvloeden de Bluetooth Core Specificatie van versie 4.2 tot en met 5.4. Gezien de wijdverspreide toepassing van deze versies, zouden miljarden apparaten, zoals laptops, smartphones en andere mobiele toestellen, risico lopen. BLUFFS richt zich op het ondermijnen van zowel de huidige als toekomstige geheimhouding van Bluetooth-sessies, waardoor de vertrouwelijkheid van zowel voorbije als toekomstige communicatie tussen apparaten wordt aangetast. Dit wordt bereikt door vier zwakke punten in het proces van sleutelafleiding uit te buiten, waarbij aanvallers een korte, zwakke en voorspelbare sessiesleutel afdwingen, die vervolgens met brute kracht wordt ontcijferd. De aanval vereist dat de aanvaller binnen het Bluetooth-bereik van de doelapparaten is. Door zich voor te doen als een legitiem apparaat, onderhandelen ze over een zwakke sessiesleutel. De onderzoekers hebben zes soorten BLUFFS-aanvallen gedemonstreerd, die verschillende combinaties van imitatie en MitM-aanvallen omvatten. Ze hebben een toolkit op GitHub ontwikkeld om de effectiviteit van BLUFFS aan te tonen. Om de risico's van BLUFFS te beperken, stellen de onderzoekers enkele achterwaarts compatibele wijzigingen voor. Dit omvat de introductie van een nieuwe 'Key Derivation Function' voor Legacy Secure Connections (LSC) en het gebruik van een gedeelde koppelingsleutel voor wederzijdse authenticatie van sleuteldiversifiers. Daarnaast wordt aanbevolen om waar mogelijk Secure Connections (SC) modus te gebruiken en een cache van sleuteldiversifiers bij te houden. De Bluetooth SIG, verantwoordelijk voor de ontwikkeling van de Bluetooth-standaard, heeft het rapport ontvangen en stelt voor om verbindingen met lage sleutelsterktes te weigeren en alleen in 'Secure Connections Only' modus te werken tijdens het koppelen. [1, 23, 4, pdf]


Qilin Ransomwaregroep valt Yanfeng Automotive Interiors aan

De Qilin ransomwaregroep heeft de verantwoordelijkheid opgeëist voor een cyberaanval op Yanfeng Automotive Interiors, een van 's werelds grootste leveranciers van auto-onderdelen. Yanfeng, een Chinees bedrijf gespecialiseerd in interieuronderdelen, heeft meer dan 57.000 werknemers verspreid over 240 locaties wereldwijd. Het bedrijf is een essentieel onderdeel van de toeleveringsketen voor grote automakers zoals General Motors, Volkswagen, Ford, Stellantis, BMW, Daimler AG, Toyota, Honda, Nissan en SAIC Motor. Eerder deze maand werd Yanfeng getroffen door een cyberaanval die directe gevolgen had voor Stellantis, wat resulteerde in een productiestop in hun Noord-Amerikaanse fabrieken. Yanfeng bleef onbereikbaar voor commentaar over de situatie, en hun hoofdwebsite was tot gisteren offline. Stellantis bevestigde aan BleepingComputer dat hun productie werd verstoord door een probleem bij een externe leverancier. De productie in alle getroffen fabrieken werd tegen 16 november hervat. De Qilin groep, ook bekend onder de naam "Agenda", bevestigde hun aanval op Yanfeng door het bedrijf toe te voegen aan hun Tor datalek-afpersingssite. Ze publiceerden meerdere bestanden, waaronder financiële documenten, geheimhoudingsovereenkomsten, offertes, technische datasheets en interne rapporten, om hun toegang tot Yanfeng's systemen en bestanden te bewijzen. Qilin dreigt met het vrijgeven van alle gegevens in hun bezit, maar heeft geen specifieke deadline gesteld. Qilin lanceerde in augustus 2022 hun RaaS (ransomware-as-a-service) platform onder de naam 'Agenda'. In 2023 werd de naam veranderd in 'Qilin', waaronder ze nu opereren. [1, 2]


Cyberaanval op DP World: Data Gestolen Zonder Ransomware

De internationale logistieke gigant DP World heeft bevestigd dat tijdens een cyberaanval op hun Australische operaties begin november data is gestolen. Opvallend is dat er geen ransomware of versleuteling is gebruikt in de aanval. Op 10 november 2023 werden de operaties van DP World Australia, dat 40% van de containerhandel van het land afhandelt, verstoord door hackers. Dit leidde tot het stranden van 30.137 containers en het volraken van beschikbare opslagruimtes. De aanval had alleen invloed op de Australische bedrijfsvoering van DP World, waarbij geen tekenen van ransomware-inzet op de gehackte systemen werden gevonden. De onderzoekers van DP World Australia bevestigden dat de incidenten beperkt bleven tot de Australische activiteiten en geen andere markten beïnvloedden. Er werd geen ransomware op het netwerk aangetroffen. De schade was echter niet beperkt tot operationele verstoringen, aangezien uit onderzoek bleek dat er data was gestolen. Er werd toegang verkregen tot sommige bestanden van DP World Australia, en een kleine hoeveelheid data werd ontvreemd. De gestolen data omvatte persoonlijke informatie van huidige en voormalige werknemers van DP World Australia. Getroffen individuen zullen worden geïnformeerd over de nodige voorzorgsmaatregelen en zullen ook ondersteuning ontvangen om risico's van identiteitsdiefstal en fraude te verminderen. De daders van de aanval zijn nog onbekend, en geen enkele dreigingsactor heeft verantwoordelijkheid opgeëist. De Australische Cyber Security Coördinator, het Australian Cyber Security Center, de Australische federale politie, het ministerie van Binnenlandse Zaken en het Office of the Australian Information Commissioner zijn op de hoogte gebracht en werken samen met DP World om de impact voor degenen van wie de data is gestolen te verminderen. [1]


Kritieke Kwetsbaarheid in ownCloud Actief Benut door Hackers

Hackers benutten actief een kritieke kwetsbaarheid in ownCloud, een open-source oplossing voor bestandssynchronisatie en -deling. De kwetsbaarheid, bekend als CVE-2023-49103, scoort het maximum van 10.0 op de CVSS-schaal en stelt aanvallers in staat om gevoelige informatie te stelen, waaronder beheerderswachtwoorden, e-mailservergegevens en licentiesleutels in containergebaseerde implementaties. Op 21 november waarschuwden de ontwikkelaars van ownCloud voor drie beveiligingslekken die tot gegevensinbreuken kunnen leiden en drongen er bij beheerders op aan om onmiddellijk maatregelen te nemen. CVE-2023-49103 is bijzonder ernstig omdat het aanvallers toelaat de phpinfo() functie uit te voeren via de 'graphapi' app van ownCloud, waardoor serveromgevingsvariabelen zichtbaar worden. Deze omgevingsvariabelen kunnen gevoelige gegevens bevatten en, indien andere diensten in dezelfde omgeving dezelfde configuraties gebruiken, kunnen dezelfde inloggegevens ook toegang geven tot die diensten. De dreigingmonitoringsfirma Greynoise meldde dat de uitbuiting van de fout op 25 november 2023 begon, met een stijgende trend. Shadowserver rapporteert ook soortgelijke bevindingen en waarschuwt dat het momenteel meer dan 11.000 blootgestelde instanties detecteert, voornamelijk in Duitsland, de Verenigde Staten, Frankrijk en Rusland. De aanbevolen oplossing voor dit probleem is het verwijderen van het bestand 'owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php', het uitschakelen van de 'phpinfo'-functie in Docker-containers en het wijzigen van mogelijk blootgestelde geheimen zoals het beheerderswachtwoord van ownCloud, e-mailserver- en databankgegevens, en toegangssleutels voor Object-Store/S3. Het is belangrijk op te merken dat het uitschakelen van de graphapi-app de dreiging niet mitigeert, en dat de kwetsbaarheid even ernstig is in zowel gecontaineriseerde als niet-gecontaineriseerde omgevingen. Docker-containers die vóór februari 2023 zijn gemaakt, zijn de enigedie bestand zijn tegen het lekken van inloggegevens. Het artikel is bijgewerkt om een feitelijke fout over het aantal kwetsbare ownCloud-instanties gedetecteerd door Shadowserver te corrigeren. [1, 2, 3, 4, 5]


Actief aangevallen zerodaylek in Chrome: Google waarschuwt en brengt updates uit

Google heeft gebruikers van de Chrome-browser gewaarschuwd voor een actief aangevallen zerodaylek, bekend als CVE-2023-6345. Dit lek bevindt zich in de Skia graphics engine die Chrome gebruikt voor het weergeven van tekst en afbeeldingen. Een soortgelijk lek werd eerder in april aangepakt door Google. Het lek wordt beoordeeld als 'high' qua impact, wat betekent dat het kan leiden tot uitvoering van code binnen de browser. Dit kan resulteren in het stelen van gevoelige informatie van gebruikers door toegang tot data van andere websites. Om volledige systeemovername mogelijk te maken, zou echter een tweede kwetsbaarheid nodig zijn, bijvoorbeeld in het onderliggende besturingssysteem. Google heeft specifieke details over de aard van de aanvallen en de doelwitten niet openbaar gemaakt. De ontdekking van de kwetsbaarheid is gedaan door een onderzoeker van Googles Threat Analysis Group, die zich richt op het bestrijden van door overheden gesponsorde aanvallen. Er zijn beveiligingsupdates uitgebracht voor Chrome: versie 119.0.6045.199/.200 voor Windows en versie 119.0.6045.199 voor Linux en macOS. De updates worden meestal automatisch uitgevoerd, maar in het geval van actief aangevallen kwetsbaarheden kan dit tot zeven dagen duren. Gebruikers die direct de update willen ontvangen, moeten handmatig controleren op updates. Voor gebruikers van Microsoft Edge, dat gebaseerd is op Googles Chromium-browser, is nog geen update beschikbaar. [1, 2, 3]


Ransomware-aanval kost Gloucester 1,3 miljoen euro

In 2021 werd de Britse stad Gloucester getroffen door een ernstige ransomware-aanval, waarvan het herstel de stad maar liefst 1,3 miljoen euro kostte. Deze aanval, geïnitieerd door een malafide e-mail die leek te behoren tot een bestaande conversatie met een leverancier, leidde tot de compromittering van het gehele netwerk van de stad. De aanvallers maakten voorafgaand aan de ransomware-uitrol ongeveer 240.000 bestanden buit, goed voor 230 gigabyte aan data. De Britse privacytoezichthouder ICO heeft de stad berispt vanwege het ontbreken van adequate logging- en monitoringssystemen. Een belangrijk punt van kritiek was het gebrek aan een security information and event management (SIEM) systeem, dat had kunnen helpen bij het detecteren en mogelijk voorkomen van de verdere verspreiding van de aanval. Het bestaande protocol en de documentatie van de stad waren alleen ingericht voor het omgaan met kleine datalekken en niet toereikend voor incidenten van deze omvang. Het grootste deel van de herstelkosten ging naar externe consultants, software en support. Daarnaast werd 162.000 euro besteed aan het vervangen van servers, firewalls, laptops en andere apparatuur. Een deel van de herstelstrategie omvatte ook de migratie van systemen naar de cloud, wat de stad een extra 314.000 euro kostte. Deze gebeurtenis onderstreept het belang van adequate cybersecurity-maatregelen en de potentiële financiële en operationele gevolgen van cyberaanvallen voor overheidsinstanties. [1]


❗️Nederlands Groothandelsbedrijf Byfod Doelwit van Cyberaanval

Het Nederlandse groothandelsbedrijf Byfod, gespecialiseerd in niet-duurzame goederen, is onlangs het slachtoffer geworden van een cyberaanval. De aanval, uitgevoerd door de hackersgroep PLAY, werd op 28 november 2023 bekendgemaakt op het darkweb. Byfod, bekend om zijn online aanwezigheid via www.byfod.com, werd hierdoor blootgesteld aan potentiële data-inbraken en beveiligingsrisico's. Dit incident benadrukt de toenemende dreiging van cybercriminaliteit binnen de Nederlandse handelssector en onderstreept het belang van verhoogde digitale beveiligingsmaatregelen voor bedrijven.


❗️Belgische Online Retailer Medi-Market Doelwit van Cyberaanval

De Belgische online retailer Medi-Market werd recentelijk het slachtoffer van een cyberaanval, uitgevoerd door de beruchte groep 'Cactus'. De aanval, waarbij vermoedelijk gevoelige klantgegevens zijn gecompromitteerd, kwam aan het licht toen de cybercriminelen de inbreuk op 28 november 2023 openbaar maakten op het darkweb. De aanval benadrukt de groeiende risico's in de sector van online retail, waarbij bedrijven zich steeds meer moeten wapenen tegen dergelijke dreigingen. Medi-Market, bekend om haar divers aanbod in gezondheids- en welzijnsproducten, onderzoekt momenteel de volledige omvang van de inbreuk en neemt maatregelen om de beveiliging te versterken en klanten te informeren.


❗️Smidts Autogroep Getroffen door Cyberaanval

Smidts Autogroep, een Forddealer, is recentelijk het slachtoffer geworden van een cyberaanval. Deze aanval is bevestigd door het bedrijf via hun website. Menno Smidts, de directeur, heeft in een communicatie naar de klanten toe aangegeven dat kwaadwillende cybercriminelen het familiebedrijf, dat sinds 1867 bestaat, proberen te schaden. Na de aanval, die plaatsvond aan het eind van oktober, heeft de directie direct maatregelen genomen om de impact te beperken. Ondanks deze maatregelen, kan niet uitgesloten worden dat er klantgegevens zijn ingezien of gekopieerd. Als reactie op de aanval heeft Smidts zijn klanten en voormalige klanten gewaarschuwd voor mogelijke phishing-pogingen via verdachte e-mails en telefoontjes. Deze waarschuwing is een preventieve maatregel om te voorkomen dat zij slachtoffer worden van verdere frauduleuze activiteiten. Conform de juridische richtlijnen is de cyberaanval ook gemeld bij de Autoriteit Persoonsgegevens. Het familiebedrijf van Menno Smidts, nu geleid door de vijfde generatie, heeft meerdere dealerschappen in plaatsen zoals Tolbert, Roden, Groningen en Sappemeer. Begin dit jaar breidde het bedrijf uit met de overname van Auto Bolhuis in Farmsum.Het incident bij Smidts Autogroep is indicatief voor een bredere trend in Nederland. Telecomaanbieder KPN rapporteert een bijna vertienvoudiging in het aantal phishing-pogingen bij Nederlandse bedrijven op weekbasis vergeleken met vorig jaar. Meer dan 40% van de ondernemers erkent onvoldoende voorbereid te zijn op cybercriminaliteit. Chantal Vergouw, KPN-bestuurder voor de zakelijke markt, benadrukt het belang voor mkb’ers om cybercriminaliteit serieus te nemen en wijst op de toenemende beschikbaarheid van middelen om deze dreiging tegen te gaan. [1]


Grootschalige Ransomware-aanval Treft Indie Game Maker en Wist Alle Spelersaccounts

Een recente ransomware-aanval op 'Ethyrial: Echoes of Yore', een old-school MMORPG ontwikkeld door indie game uitgever Gellyberry Studios, heeft geleid tot de vernietiging van 17.000 spelersaccounts. Deze aanval, die plaatsvond op een vrijdag, heeft alle in-game items en voortgang van spelers gewist. 'Ethyrial: Echoes of Yore' is beschikbaar op Steam als een 'Early Access'-titel en is nog in een vroege ontwikkelingsfase, waarbij het afhankelijk is van maandelijkse abonnementen en community-ondersteuning. De ransomware-aanvallers vielen de hoofdserver aan en versleutelden alle data, inclusief lokale back-upschijven, en eisten een betaling in Bitcoin voor een decryptiesleutel. De ontwikkelaars besloten echter om de systemen handmatig te herstellen, omdat ze geen vertrouwen hadden dat betaling zou leiden tot het verkrijgen van de decryptiesleutel. De impact van dit incident is aanzienlijk, waarbij alle 17.000 spelersaccounts en hun in-game karakters verloren zijn gegaan. Gellyberry heeft toegezegd alles wat verloren is gegaan zo volledig mogelijk handmatig te herstellen voor iedereen die getroffen is. Getroffen spelers krijgen al hun items en voortgang terug, plus een premium 'huisdier' als blijk van waardering voor hun begrip en ondersteuning. Als reactie op de aanval heeft de gameontwikkelaar beloofd de frequentie van offline back-ups van de accountdatabase te verhogen, een P2P VPN in te stellen voor alle externe toegang tot de ontwikkelingsserver en alleen toegang toe te staan vanuit een specifiek IP-adresbereik. De server was laat op vrijdag weer beschikbaar, en Gellyberry moedigde alle spelers aan om nieuwe accounts aan te maken en de dev-team te vragen om handmatige herstel via email. Dit is niet de eerste keer dat een game-uitgever doelwit is van een ransomware-aanval, maar dergelijke aanvallen hebben meestal meer impact op het bedrijf dan op de spelers. Eerdere opmerkelijke gevallen van ransomware-aanvallen op game-uitgevers omvatten de aanval op CD PROJEKT RED in februari 2021 en een eis van $10,000,000 in januari 2023 aan Riot Games, de maker van 'League of Legends' en 'Valorant'. [1, 2]


Henry Schein Tweemaal Getroffen door BlackCat Ransomware

Het Amerikaanse gezondheidszorgbedrijf Henry Schein is deze maand voor de tweede keer het doelwit geworden van een cyberaanval door de BlackCat/ALPHV ransomwaregroep. Deze groep was ook verantwoordelijk voor een inbreuk op hun netwerk in oktober. Henry Schein, een Fortune 500-bedrijf gespecialiseerd in gezondheidsproducten en -diensten, met activiteiten in 32 landen en een omzet van meer dan 12 miljard dollar in 2022, maakte voor het eerst melding van een cyberaanval op 15 oktober. Het bedrijf moest enkele systemen offline halen om de aanval, die een dag eerder plaatsvond, te beperken. Meer dan een maand later, op 22 november, gaf het bedrijf aan dat sommige van zijn apps en het e-commerceplatform opnieuw offline waren gehaald na nog een aanval van BlackCat ransomware. Hoewel bepaalde applicaties van Henry Schein, waaronder hun e-commerceplatform, momenteel niet beschikbaar zijn, blijft het bedrijf bestellingen verwerken via alternatieve methoden en blijft het leveren aan klanten. Het bedrijf heeft de oorzaak van de inbreuk geïdentificeerd en de dader van het eerdere cyberincident heeft de verantwoordelijkheid opgeëist. Onlangs heeft Henry Schein aangekondigd dat hun Amerikaanse e-commerceplatform is hersteld en dat ze verwachten dat hun platforms in Canada en Europa binnenkort ook weer online zullen zijn. In de getroffen gebieden blijft de zorgverlener bestellingen ontvangen via alternatieve kanalen en leveren aan klanten. De BlackCat ransomwaregroep heeft Henry Schein toegevoegd aan hun darkweb-leksite en beweert 35 terabytes aan gevoelige gegevens van het bedrijf te hebben gestolen. Na het mislukken van onderhandelingen eind oktober, toen Henry Schein op het punt stond zijn systemen te herstellen, zou de groep de apparaten van het bedrijf opnieuw hebben gecodeerd. Dit zou de derde keer zijn sinds 15 oktober dat BlackCat de systemen van Henry Schein codeerde na een netwerkinbraak. BlackCat, dat in november 2021 opdook, wordt beschouwd als een rebranding van de beruchte DarkSide/BlackMatter-groep. Onder de naam DarkSide trok de groep wereldwijde aandacht na een aanval op Colonial Pipeline, wat leidde tot uitgebreide onderzoeken door wetshandhavingsinstanties. De FBI heeft de ransomwaregroep in verband gebracht met meer dan 60 inbreuken op organisaties wereldwijd tussen november 2021 en maart 2022. Een woordvoerder van Henry Schein heeft nog niet gereageerd op verzoeken om commentaar met betrekking tot de cyberaanvallen die deze maand zijn gemeld. [pdf1, pdf2]


Ransomware-aanval verstoort ziekenhuisdiensten van Ardent in zes Amerikaanse staten

Op 23 november 2023 werd Ardent Health Services, een gezondheidszorgaanbieder die 30 ziekenhuizen in zes Amerikaanse staten beheert, getroffen door een ransomware-aanval. Als gevolg hiervan moest het bedrijf zijn gehele netwerk offline halen, de wetshandhaving inlichten en externe experts inschakelen om de omvang en impact van de aanval te onderzoeken. De getroffen ziekenhuizen zijn momenteel genoodzaakt alle patiënten die spoedeisende hulp nodig hebben, door te verwijzen naar andere ziekenhuizen in hun omgeving. Ze kunnen echter nog steeds medische screening en stabiliserende zorg bieden aan patiënten die op de spoedeisende hulp arriveren. Ondanks de inspanningen van IT-teams om de toegang tot getroffen diensten te herstellen, kan Ardent geen definitieve tijdlijn geven voor het herstelproces. Patiëntenzorgdiensten in Ardent's klinieken blijven actief, hoewel bepaalde niet-dringende electieve operaties tijdelijk zijn stopgezet. Ardent's teams zullen individuen die een herplanning van afspraken of procedures nodig hebben, rechtstreeks contacteren. [1, 2, 3]


Slovenië's grootste energieleverancier HSE getroffen door ransomware-aanval

Holding Slovenske Elektrarne (HSE), Slovenië's grootste energiebedrijf, is recent getroffen door een ernstige ransomware-aanval. Deze aanval heeft de systemen van het bedrijf gecompromitteerd en bestanden versleuteld, hoewel HSE bevestigt dat de stroomproductie niet verstoord is. HSE, opgericht in 2001 door de Sloveense regering en volledig in staatshanden, is verantwoordelijk voor ongeveer 60% van de binnenlandse stroomproductie. Het bedrijf beheert meerdere waterkracht-, thermische en zonne-energiecentrales en steenkoolmijnen in Slovenië, met dochterondernemingen in Italië, Servië en Hongarije. De aanval werd als eerste gemeld door het lokale nieuwsplatform 24ur.com en vond plaats op een woensdag, waarna HSE de situatie tegen vrijdag onder controle had. De directeur van het Informatiebeveiligingsbureau, Uroš Svete, meldde dat ondanks de grootschalige cyberaanval de energieproductie niet werd beïnvloed. De aanval "vergrendelde" IT-systemen en bestanden met een 'crypto virus'. HSE heeft direct de Nationale Dienst voor Cyberincidenten Si-CERT en de Politieadministratie van Ljubljana ingelicht, en werkte samen met externe experts om de aanval te mitigeren en verdere verspreiding te voorkomen. Tot nu toe heeft HSE geen losgeldeis ontvangen, maar blijft waakzaam terwijl het opruimen van de systemen doorgaat. Uroš Svete en algemeen directeur Tomaž Štokelj verzekeren dat er geen operationele verstoringen of significante economische schade zijn. De impact lijkt beperkt tot de websites van de Šoštanj Thermische Energiecentrale en de Velenje Steenkoolmijn. Onofficiële bronnen wijzen naar de Rhysida ransomware-bende als de mogelijke dader, recent actief en onderwerp van FBI- en CISA-waarschuwingen. Er zijn aanwijzingen dat de aanvallers toegang kregen tot HSE's systemen door wachtwoorden te stelen uit een onbeveiligde cloudopslag. Rhysida heeft recentelijk vergelijkbare aanvallen uitgevoerd op onder anderehet Chileense leger, Prospect Medical en de Britse Bibliotheek. [1, 2, 3, 4]


Inferno Drainer Stopt Operaties Na Miljoenenwinst uit Crypto-Oplichting

Inferno Drainer, een dienst die bekend staat als 'crypto scam as a service', heeft aangekondigd te stoppen met het aanbieden van kant-en-klare codes aan crypto-oplichters. Sinds februari dit jaar is Inferno Drainer actief geweest in het ondersteunen van phishing-oplichters, wat heeft geleid tot de diefstal van bijna 70 miljoen dollar aan cryptovaluta van nietsvermoedende investeerders. Deze dienst werd snel populair en bood een phishing software-service aan die kwaadwillenden konden gebruiken in combinatie met hun eigen phishing-websites. De dienst leverde niet alleen de software, maar ook de hosting voor deze schadelijke websites, waardoor gebruikers gevoelige informatie van slachtoffers konden stelen. In ruil voor deze service werd een commissie van 20 procent van de totale buit gevraagd. Op 26 november kondigde het team achter Inferno Drainer via een Telegram-bericht hun vertrek aan. Ze spraken hun dank uit naar hun samenwerkingspartners en hoopten herinnerd te worden als de beste in hun vakgebied. Ze lieten weten dat de bestanden en infrastructuur actief zullen blijven voor een soepele overgang naar andere diensten. Het bijbehorende Telegram-account is inmiddels verwijderd. Volgens het Web3-platform Scam Sniffer heeft Inferno Drainer sinds februari bijna 70 miljoen dollar gestolen van meer dan 100.000 slachtoffers. Het team zelf claimt echter meer dan 80 miljoen dollar te hebben gestolen. De totale buit is via diverse blockchains verzameld. Blockchain-beveiligingsbedrijf CertiK waarschuwt dat er nog steeds veel aanbieders van dergelijke diensten actief zijn, waaronder 'Pink Drainer' en 'Angel Drainer'. Inferno Drainer wordt door CertiK beschouwd als een van de meest schadelijke phishing kits in de crypto-gemeenschap. [1]


HTX Herstelt van $30 Miljoen Cyberaanval: Nieuwe Beveiligingsuitdagingen voor de Cryptomarkt

HTX, voorheien Huobi, is erin geslaagd de stortingen en opnames van Bitcoin te herstellen na een ernstige exploit van $30 miljoen op 22 november. Deze cryptocurrency-uitwisseling, die verbonden is met ondernemer Justin Sun, kondigde op 26 november aan dat de functionaliteit voor meerdere valuta’s, waaronder BTC, Ethereum, Tron, en USDT, is hersteld. Justin Sun onthulde op X (voorheen Twitter) het strategische plan van HTX om de functionaliteit voor andere cryptocurrencies geleidelijk te herstellen. Hij toonde zich optimistisch over het afronden van dit proces in de komende week. Deze exploit, waarbij hot wallets van HTX werden gecompromitteerd, was de vierde inbreuk op de beveiliging in twee maanden tijd voor platforms gelieerd aan of beheerd door Sun. Op dezelfde dag werd ook de HTX Eco Chain-brug, die HTX, Tron en BitTorrent omvat, gehackt, met een verlies van $86,6 miljoen. Eerder, op 10 november, werd Sun's andere cryptocurrency-uitwisseling, Poloniex, getroffen door een aanval van $100 miljoen. CertiK-analisten suggereren dat de compromittering van privésleutels een hoofdoorzaak kan zijn geweest. Een aanvaller stal bijna $8 miljoen aan cryptocurrency uit de hot wallet van HTX kort na de rebranding van Huobi. Deze opeenvolgende inbreuken werpen vragen op over de cyberbeveiligingsinfrastructuur van Sun's cryptocurrency-ondernemingen. Ze onderstrepen de noodzaak voor verbeterde beveiligingsprotocollen om gebruikersgelden te beschermen en vertrouwen in het cryptocurrency-ecosysteem te herstellen. Terwijl HTX zich inspant om de volledige functionaliteit te herstellen, zal de cryptocurrency-gemeenschap de beveiligingsmaatregelen van de beurs nauwlettend volgen. Deze incidenten benadrukken de uitdagingen en kwetsbaarheden in de cryptocurrency-ruimte en het belang van robuuste beveiligingsmaatregelen. Gebruikers en investeerders worden aangeraden voorzichtig te zijn en aanvullende beveiligingsmaatregelen, zoals tweefactorauthenticatie, te implementeren. De sector moet blijven evolueren met sterke beveiligingsprotocollen om bedreigingen het hoofd te bieden en de veerkracht van het digitale financiële landschap te waarborgen. [1]


Losgelddeadline Nadert voor Allen & Overy te Midden van Cyberdreiging

Allen & Overy, een gerenommeerd juridisch kantoor, staat onder druk van een bende cybercriminelen. De groep, bekend als de LockBit ransomware groep, heeft aangekondigd dat Allen & Overy tot 28 november heeft om te betalen, anders dreigen ze gestolen bestanden vrij te geven. Deze groep is oorspronkelijk afkomstig uit landen van de voormalige Sovjet-Unie en opereert als een franchise, waarbij ze hun ransomware-software aan filialen leveren in ruil voor een deel van het geëiste losgeld. Onlangs hebben de hackers hun tarieven verhoogd, waarbij ze voor organisaties met een omzet van meer dan één miljard dollar een losgeld van 0,1 tot 3 procent van de totale omzet eisen. Gezien de inkomsten van Allen & Overy in 2022 - 2,1 miljard pond met een winst van 892 miljoen pond - zouden de criminelen een bedrag tussen 2,1 en 10,5 miljoen pond kunnen eisen. Het bedrijf heeft geweigerd details te verstrekken over het geëiste bedrag en of ze van plan zijn te betalen. Naast de financiële gevolgen is imagoschade een grote zorg voor Allen & Overy, aangezien niet betalen kan leiden tot het lekken van gevoelige gegevens van zowel het kantoor zelf als van hun cliënten. Dit kan ook potentiële klanten afschrikken, gezien de zorgen over de digitale veiligheid van het kantoor. Deze situatie komt op een moment dat Allen & Overy recent een fusie heeft aangekondigd met Shearman Sterling, die door de partners van beide kantoren is goedgekeurd. Deze fusie heeft veel aandacht gekregen, wat mogelijk heeft bijgedragen aan het feit dat het kantoor kort daarna werd gehackt. Dit incident werpt een schaduw over de positieve ontwikkelingen binnen het bedrijf en benadrukt de complexiteit en risico's verbonden aan cyberveiligheid in de juridische sector. [1]


Zeroday-aanval op MagicLine4NX-gebruikers: Britse en Zuid-Koreaanse Overheid Slaan Alarm

In maart 2023 werden organisaties die de beveiligingssoftware MagicLine4NX gebruiken getroffen door een zeroday-aanval, zoals gemeld door de Britse en Zuid-Koreaanse overheid. Deze software, ontwikkeld door het Zuid-Koreaanse Dream Security, stelt gebruikers in staat om in te loggen met een certificaat en digitale transacties te ondertekenen. De aanval wordt toegeschreven aan de Lazarus Group, die vanuit Noord-Korea opereert. De aanvallers benutten een kwetsbaarheid in MagicLine4NX om ongemerkt malware te verspreiden via een 'watering hole' aanval. Dit houdt in dat ze een legitieme website, in dit geval een Zuid-Koreaanse nieuwssite, compromitteren en er kwaadaardige code op plaatsen. Bezoekers van de site met het kwetsbare MagicLine4NX-systeem werden automatisch geïnfecteerd. De malware stelde de aanvallers in staat om verder in het netwerk van de getroffen organisatie door te dringen en informatie te stelen. De kwetsbaarheid in MagicLine4NX werd eind maart al door het antivirusbedrijf AhnLab gerapporteerd. Dream Security heeft organisaties die de software gebruiken geadviseerd om de huidige versie te verwijderen en te vervangen door een nieuwe. Deze gebeurtenis onderstreept het belang van snelle respons op kritieke beveiligingslekken en het voortdurend bijwerken van beveiligingssoftware om dergelijke aanvallen te voorkomen. [1, 2, 3]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten

November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024