Overzicht van slachtoffers cyberaanvallen week 02-2024

Gepubliceerd op 15 januari 2024 om 15:20

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week is de digitale wereld opnieuw geconfronteerd met een golf van verontrustende cyberaanvallen, variërend van ransomware tot grootschalige datalekken. Een opvallende dreiging die zich heeft aangediend, is de opkomst van Medusa Ransomware, die zich voornamelijk richt op organisaties binnen de Europese zorgsector. Deze specifieke vorm van cybercriminaliteit heeft al geleid tot een schikking van $1,65 miljoen door een Amerikaanse zorgverlener, na een aanval die werd toegeschreven aan zwakke beveiligingsmaatregelen. Tegelijkertijd wordt de wereldwijde gemeenschap gealarmeerd door de toenemende invloed van AI-gedreven desinformatie, door het World Economic Forum bestempeld als een van de grootste wereldwijde risico's.

In Nederland heeft de jeugdzorginstelling XONAR te maken gehad met een ernstige cyberaanval, waarbij gevoelige gegevens zijn gestolen. Dit incident benadrukt de kwetsbaarheid van organisaties binnen de sector. Ondertussen heeft een cyberaanval in België de werkzaamheden bij Sambr’Habitat ernstig vertraagd, en heeft een Belgisch bedrijf in Limburg.net te lijden gehad onder de gevolgen van een aanval door Medusa.

Op internationaal niveau zijn er diverse aanvallen gerapporteerd, waaronder een op de cosmetica keten Lush, een grootschalig datalek bij kledingmerk Halara, en een phishingaanval op het accountantsbedrijf Framework Computer. Daarnaast is de Balada Injector verantwoordelijk voor het infecteren van meer dan 6.700 WordPress-websites. Andere verontrustende incidenten omvatten aanvallen op Finse bedrijven via een kwetsbaarheid in Cisco-software, een bruteforce-aanval op Mandiant's X-Account, en actief misbruikte kwetsbaarheden in SharePoint.

De lijst van dreigingen blijft zich uitbreiden met onder meer zeroday-aanvallen op Ivanti VPN, valse aankondigingen via gehackte Twitter-accounts, en nieuwe golven van nep-hack-back aanbiedingen. Het aantal organisaties waarvan data op het darkweb is gelekt, is inmiddels opgelopen tot 11.943, wat de omvang en ernst van het probleem onderstreept.

Hieronder presenteren wij een volledig overzicht van de cyberaanvallen die in de afgelopen week hebben plaatsgevonden, waarmee we de reikwijdte en diversiteit van deze digitale bedreigingen in kaart brengen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
American International College Unsafe www.aic.edu USA Educational Services 14-jan-24
Hartl European Transport Company Unsafe www.hartlconnect.com Austria Motor Freight Transportation 14-jan-24
SPARTAN Light Metal Products Unsafe spartanlmp.com USA Metal Industries 14-jan-24
amenitek.com LockBit amenitek.com USA Engineering Services 14-jan-24
turascandinavia.com LockBit turascandinavia.com Norway Wholesale Trade-durable Goods 13-jan-24
Lee Spring Rhysida www.leespring.com USA Fabricated Metal Products 13-jan-24
arrowinternational.com LockBit arrowinternational.com USA Miscellaneous Manufacturing Industries 12-jan-24
Builcore BlackCat (ALPHV) www.builcore.com USA Construction 12-jan-24
thecsi.com ThreeAM thecsi.com Canada Electronic, Electrical Equipment, Components 12-jan-24
pharrusa.com ThreeAM pharrusa.com USA Textile Mill Products 12-jan-24
hotelcontinental.no Qilin hotelcontinental.no Norway Lodging Places 12-jan-24
Republic Shipping Consolidators, Inc BianLian republicshipping.com USA Transportation Services 12-jan-24
Northeast Spine and Sports Medicine's BianLian northeastspineandsports.com USA Health Services 12-jan-24
olea.com LockBit olea.com USA Machinery, Computer Equipment 12-jan-24
asburyauto.com Cactus asburyauto.com USA Automotive Dealers 12-jan-24
Washington School For The Deaf INC Ransom wsd.wa.gov USA Administration Of Human Resource Programs 12-jan-24
International Trade Brokers and Forwarders 8BASE www.itbfusa.com USA Transportation Services 12-jan-24
Former S.p.A. 8BASE former.it Italy Construction 12-jan-24
BALLAY MENUISERIES 8BASE ballay-sas.com France Lumber And Wood Products 12-jan-24
Anderson King Energy Consultants, LLC 8BASE www.andersonkingenergy.com USA Oil, Gas 12-jan-24
Sems and Specials Incorporated 8BASE www.semsandspecials.com USA Fabricated Metal Products 12-jan-24
acutis.com Cactus acutis.com USA Health Services 12-jan-24
dtsolutions.net Cactus dtsolutions.net USA Motor Freight Transportation 12-jan-24
intercityinvestments.com Cactus intercityinvestments.com USA Real Estate 12-jan-24
hi-cone.com Cactus hi-cone.com USA Machinery, Computer Equipment 12-jan-24
Malabar Gold & Diamonds Snatch malabargoldanddiamonds.com India Apparel And Accessory Stores 12-jan-24
Banco Promerica Snatch promerica.com.do Dominican Republic Depository Institutions 12-jan-24
Alliedwoundcare Everest alliedwoundcare.com USA Health Services 12-jan-24
Primeimaging Everest primeimaging.com USA Health Services 12-jan-24
Vincentz Network Akira www.vincentz.net Germany Publishing, printing 11-jan-24
Blackburn College Akira blackburn.ac.uk United Kingdom Educational Services 11-jan-24
pactchangeslives.com LockBit pactchangeslives.com USA Justice, Public Order, And Safety 11-jan-24
Water For People Medusa www.waterforpeople.org USA Membership Organizations 11-jan-24
Limburg Medusa www.limburg.net Belgium Electric, Gas, And Sanitary Services 11-jan-24
Ursel Phillips Fellows Hopkinson BlackCat (ALPHV) upfhlaw.ca Canada Legal Services 11-jan-24
SHIBLEY RIGHTON BlackCat (ALPHV) shibleyrighton.com Canada Legal Services 11-jan-24
automotionshade.com BlackCat (ALPHV) automotionshade.com Canada Transportation Equipment 11-jan-24
R Robertson Insurance Brokers BlackCat (ALPHV) rrib.com Canada Insurance Carriers 11-jan-24
Triella BlackCat (ALPHV) triella.com Canada IT Services 11-jan-24
Charm Sciences Snatch charm.com USA Chemical Producers 11-jan-24
Elliott Group Snatch elliott-turbo.com USA Machinery, Computer Equipment 11-jan-24
Unitex Snatch unitex.com USA Personal Services 11-jan-24
molnar&partner Qilin www.molnar-bischof.de Germany Accounting Services 10-jan-24
Group Bogart BlackCat (ALPHV) www.groupe-bogart.com France Chemical Producers 10-jan-24
twt.co.za LockBit twt.co.za South Africa Miscellaneous Retail 10-jan-24
tiautoinvestments.co.za LockBit tiautoinvestments.co.za South Africa Transportation Equipment 10-jan-24
hartalega.com.my LockBit hartalega.com.my Malaysia Miscellaneous Manufacturing Industries 10-jan-24
agnesb.eu LockBit agnesb.eu France Apparel And Accessory Stores 10-jan-24
Delco Automation BLACK SUIT delcoautomation.com Canada Electric, Gas, And Sanitary Services 9-jan-24
Ito Pallpack Gruppen Akira ito.no Norway Machinery, Computer Equipment 9-jan-24
Viridi Akira www.viridiparente.com USA Electronic, Electrical Equipment, Components 9-jan-24
Corinth Coca-Cola Bottling Works Qilin corinthcoke.com USA Food Products 9-jan-24
Precision Tune Auto Care 8BASE www.precisiontune.com USA Automotive Services 9-jan-24
Erbilbil Bilgisayar BlackCat (ALPHV) www.erbilbilgisayar.com Turkiye IT Services 8-jan-24
HALLEONARD Qilin www.halleonard.com.au Australia Publishing, printing 8-jan-24
Van Buren Public Schools Akira www.vanburenschools.net USA Educational Services 8-jan-24
Heller Industries Akira www.hellerindustries.com USA Electronic, Electrical Equipment, Components 8-jan-24
CellNetix Pathology & Laboratories, LLC INC Ransom cellnetix.com USA Health Services 8-jan-24
mciwv.com LockBit mciwv.com USA Construction 8-jan-24
morganpilate.com LockBit morganpilate.com USA Legal Services 8-jan-24
Maas911.com Cloak maas911.com USA Health Services 8-jan-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Limburg Medusa www.limburg.net Belgium Electric, Gas, And Sanitary Services 11-jan-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 15-01-2024 11.944

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Cyberaanval op Stadhuis Calvia Mallorca (ESP)

In het vroege ochtenduur van zaterdag werd het stadhuis van Calvia, Mallorca, getroffen door een ernstige cyberaanval. Deze aanval, geïdentificeerd als een ransomware-aanval, richtte zich op de computersystemen van het stadhuis. Als reactie hierop werd snel een crisiscomité opgericht, bestaande uit IT-specialisten, afdelingshoofden en raadsleden, om de situatie het hoofd te bieden. Het IT-departement en externe specialisten zijn momenteel bezig met een forensische analyse van de aanval. Hun werkzaamheden omvatten het herstel van de getroffen diensten en het opstellen van een gedetailleerd forensisch rapport. Dit rapport zal worden doorgestuurd naar de telematica-eenheid van de Guardia Civil. Daarnaast worden medewerkers geïnstrueerd over te nemen maatregelen, zoals het wijzigen van wachtwoorden. Een grote zorg is dat de gevoelige gegevens van burgers mogelijk in gevaar zijn gekomen. Het is nog onduidelijk of er een losgeld is geëist voor de data. De aanval heeft geleid tot ongerustheid over de beveiliging van persoonlijke informatie van de inwoners van Calvia. Deze gebeurtenis benadrukt het groeiende risico en de ernst van cyberaanvallen op openbare instellingen, waarbij niet alleen operationele systemen, maar ook de privacy van burgers op het spel staat. De situatie in Calvia wordt nauwlettend gevolgd, terwijl de autoriteiten zich inspannen om de controle terug te krijgen en verdere schade te voorkomen. [1]


❗️Cyberaanval Vertraagt Werkzaamheden bij Sambr’Habitat (B)

Sambr’Habitat, de publieke woningcorporatie in Sambreville en Jemeppe-sur-Sambre, ondervindt aanzienlijke verstoringen in haar werkzaamheden als gevolg van een cyberaanval. Deze situatie brengt onzekerheid met zich mee over de veiligheid van de opgeslagen data, aangezien het nog onduidelijk is of er informatie is gestolen. De president van Sambr’Habitat, Cédric Jeantot, probeert de situatie geruststellend te benaderen. Ondanks zijn pogingen tot geruststelling, heeft de aanval aanzienlijke gevolgen voor de dagelijkse operaties van de organisatie. De onmiddellijke impact is vooral merkbaar in de vertraging van hun normale dienstverlening. De organisatie, die verantwoordelijk is voor het beheer van openbare woningen in de regio's Sambreville en Jemeppe-sur-Sambre, staat nu voor de uitdaging om haar systemen te herstellen en te beveiligen tegen dergelijke incidenten in de toekomst. Dit incident onderstreept het belang van robuuste cybersecuritymaatregelen binnen publieke instellingen, vooral omdat deze organisaties vaak over gevoelige informatie beschikken. De exacte aard van de aanval, de omvang van de schade en de mogelijke langetermijngevolgen blijven vooralsnog onbekend. Dit brengt een sfeer van urgentie en bezorgdheid met zich mee binnen de organisatie en haar cliënten. Het incident bij Sambr’Habitat dient als een herinnering aan de kwetsbaarheid van digitale infrastructuur en het belang van adequate bescherming tegen cyberdreigingen. [1]


Het Opkomende Gevaar van Medusa Ransomware

De Medusa ransomware, niet te verwarren met Medusa Locker, is een groeiende dreiging in de cyberwereld. Deze ransomware-familie, die eind 2022 verscheen en in 2023 aan bekendheid won, valt uiteenlopende sectoren aan, waaronder hightech, onderwijs, productie, gezondheidszorg en detailhandel. In 2023 werden naar schatting 74 organisaties getroffen, voornamelijk in de VS, het VK, Frankrijk, Italië, Spanje en India. De aanvallen beginnen vaak met het uitbuiten van kwetsbaarheden in internet-facing assets of applicaties en het kapen van legitieme accounts. Een voorbeeld hiervan is het gebruik van een Microsoft Exchange Server om een webshell te uploaden, waardoor uiteindelijk de ConnectWise remote monitoring en management software geïnstalleerd en uitgevoerd werd. De groep maakt gebruik van 'living-off-the-land'-technieken om detectie te ontwijken en zet kernel drivers in om beveiligingsproducten uit te schakelen. Eenmaal toegang verkregen, voeren de aanvallers verkenning uit en lanceren vervolgens de ransomware om bestanden te versleutelen, behalve bestanden met de extensies .dll, .exe, .lnk en .medusa. Voor elke getroffen organisatie toont Medusa's leksite informatie over de organisatie, de gevraagde losgelden, de tijd die resteert voordat de gestolen data openbaar wordt gemaakt, en het aantal weergaven. Wat Medusa onderscheidt, is de multi-afpersing strategie. Slachtoffers krijgen meerdere opties aangeboden, zoals tijdverlenging, dataverwijdering of het downloaden van alle data, allemaal tegen betaling. Deze tactieken gaan verder dan het publiekelijk te schande maken van organisaties; er worden zelfs dreigementen van fysiek geweld en specifieke PR-kanalen gebruikt. De toenemende professionalisering en mediavaardigheid van ransomwarebendes is een opvallende ontwikkeling. Medusa heeft een eigen mediateam en gebruikt een publiek Telegramkanaal genaamd "informatieondersteuning" om bestanden van gecompromitteerde organisaties te delen. Dit toont de complexiteit van hun propagatiemethoden, waarbij zowel systeemkwetsbaarheden als initiële toegangsbrokers worden benut, terwijl detectie handig wordt vermeden. Deze ontwikkeling volgt op waarschuwingen over toenames in Akira ransomware-incidenten in Finland en secundaire afpersingspogingen door derden die zich voordoen als beveiligingsonderzoekers. Dit benadrukt de voortdurende evolutie en bedreiging van ransomware in de hedendaagse cyberwereld. [1]


Gevreesde Cybercriminelen Richten Zich op Europese Zorgsector

Een alarmerend incident in de zorgsector heeft recentelijk de aandacht getrokken: patiënten van een Amerikaans kankercentrum zijn het slachtoffer geworden van een groep cybercriminelen. Deze criminelen hebben door middel van een ransomware-aanval een grote hoeveelheid gevoelige data buitgemaakt en gebruiken deze om de patiënten af te persen. Deze situatie is niet alleen zorgwekkend vanwege de directe impact op de getroffen individuen, maar ook omdat dezelfde groep afpersers nu actief is binnen de Europese Unie. Dit wordt bevestigd door Z-CERT, een expertisecentrum op het gebied van cybersecurity in de zorg. Deze ontwikkeling onderstreept de toenemende dreiging van cybercriminaliteit in de zorgsector, een sector die steeds vaker het doelwit lijkt van dergelijke aanvallen. Het geval in de Verenigde Staten is bijzonder verontrustend, omdat het niet alleen om financiële afpersing gaat, maar ook om het uitbuiten van gevoelige gezondheidsinformatie van kwetsbare patiënten. Dit roept vragen op over de digitale veiligheid in de zorg en de maatregelen die genomen moeten worden om patiënten en hun gegevens te beschermen. Het incident werpt een schaduw op de digitale transformatie in de zorgsector en benadrukt de noodzaak voor ziekenhuizen en andere zorginstellingen om hun cyberbeveiliging te versterken. Het illustreert hoe belangrijk het is om niet alleen te focussen op de technologische vooruitgang in de zorg, maar ook op de bescherming van de privacy en veiligheid van patiënten. [1]


Zeroday-aanval op Ivanti VPN: Gekaapte Cyberoam VPN-apparaten als strategisch wapen

Een recente zeroday-aanval op Ivanti Connect Secure VPN, een netwerktoegang-oplossing voor organisaties, heeft aan het licht gebracht hoe aanvallers gebruikmaken van strategieën om detectie te vermijden. Het securitybedrijf Mandiant onthulde dat de aanvallers voor deze aanval gecompromitteerde Cyberoam VPN-apparaten inzetten, die merkwaardig genoeg in hetzelfde land als de slachtoffers geplaatst waren. De aanval, die sinds december plaatsvindt, wordt toegeschreven aan een waarschijnlijk statelijke actor. Door de zerodaylekken in Ivanti Connect Secure VPN-apparaten, voorheen bekend als Pulse Secure, konden de aanvallers controle over deze apparaten verkrijgen. Ze installeerden webshells op de VPN-systemen, waardoor ze toegang behielden tot de gecompromitteerde systemen en verdere aanvallen konden uitvoeren. Bovendien werden logbestanden van de systemen verwijderd en werd logging uitgeschakeld om detectie verder te bemoeilijken. De gekaapte Cyberoam VPN-apparaten die in de aanval werden gebruikt, waren al 'end-of-life', wat betekent dat ze niet langer onderhouden of bijgewerkt werden. Deze keuze kan hebben bijgedragen aan het vermijden van detectie, aangezien oudere, niet meer ondersteunde apparaten minder in de gaten worden gehouden. Securitybedrijf Volexity, dat ook bij het onderzoek betrokken was, bevestigt dat deze apparaten als command & control-centra voor de aansturing van de gecompromitteerde Ivanti VPN's fungeerden. Als reactie op de aanvallen heeft Ivanti een tijdelijke oplossing gepresenteerd waarmee organisaties zich kunnen beschermen. Verdere beveiligingsupdates zijn nog in ontwikkeling. Deze aanval benadrukt de noodzaak voor organisaties om continu hun cybersecuritystrategieën te evalueren en te verbeteren, vooral met betrekking tot end-of-life apparatuur. [1, 2]


Cyberaanval op Cosmetica Keten Lush

De populaire cosmetica keten Lush is eerder deze maand het doelwit geworden van een cyberaanval, wat nu onderwerp is van een lopend onderzoek. In een incident dat herinnert aan een eerdere hack in 2011, waarbij de website van Lush werd gecompromitteerd, heeft de keten wederom te kampen met digitale veiligheidsproblemen. Als gevolg van de aanval in 2011 moest Lush tijdelijk hun website en online verkoop stopzetten. In reactie op de recente cyberaanval, werkt een woordvoerder van Lush samen met autoriteiten en externe IT-forensische specialisten om de kwestie aan te pakken. De woordvoerder benadrukt de ernst waarmee Lush cyberveiligheid behandelt en meldt dat er hard wordt gewerkt om controle over de aanval te krijgen en eventuele complicaties te beperken. De inspanningen zijn gericht op het oplossen van dit probleem en het voorkomen van verdere schade. Deze recente cyberaanval benadrukt de voortdurende uitdagingen waarmee bedrijven te maken hebben op het gebied van digitale beveiliging, vooral in sectoren zoals de detailhandel waar online aanwezigheid cruciaal is. De situatie bij Lush dient als een herinnering aan het belang van sterke cyberbeveiligingsmaatregelen om dergelijke incidenten in de toekomst te voorkomen. [1]


Datalek bij Framework Computer door Phishingaanval op Accountant

Framework Computer, een Californische fabrikant van aanpasbare en modulaire laptops, heeft een datalek gemeld dat persoonlijke gegevens van een onbekend aantal klanten blootlegt. Dit lek is het gevolg van een phishingaanval op Keating Consulting Group, hun accountant. Op 11 januari werd een accountant van Keating Consulting misleid door een dreigingsacteur die zich voordeed als de CEO van Framework. Hierdoor deelde de accountant een spreadsheet met persoonlijke identificeerbare informatie (PII) van klanten. Deze informatie betrof voornamelijk openstaande saldi voor aankopen bij Framework. De aanval begon op 9 januari met een e-mail aan de accountant, waarin om informatie over uitstaande saldi werd gevraagd. De accountant antwoordde op 11 januari met een spreadsheet met namen, e-mailadressen en openstaande saldi. Het betrof vooral openstaande pre-orders, maar ook enkele voltooide orders met nog te synchroniseren boekhoudkundige informatie. Framework's Hoofd van Financiën lichtte de leiding van Keating Consulting in over de inbreuk, ongeveer 29 minuten nadat de accountant had geantwoord op de e-mail van de aanvaller. Na een onderzoek identificeerde Framework alle klanten wiens informatie was blootgesteld en informeerde hen per e-mail over het incident. Klanten zijn gewaarschuwd voor de risico's van phishing, aangezien de gelekte data kan worden gebruikt voor frauduleuze e-mails die betalingen of gevoelige informatie vragen. Framework benadrukt dat zij nooit via e-mail om betalingsinformatie vragen en dat klanten verdachte e-mails moeten melden bij hun ondersteuningsteam. Als reactie op het incident zal Framework ervoor zorgen dat alle werknemers van Keating Consulting die toegang hebben tot klantinformatie verplichte trainingen volgen over phishing en sociale engineering. Ook worden de trainings- en standaardprocedures van alle huidige en voormalige financiële consultants die toegang hebben tot klantgegevens, geaudit. Een woordvoerder van Framework was niet direct beschikbaar voor commentaar over het aantal getroffen klanten in dit datalek. [1]


Grootschalig Datalek bij Kledingmerk Halara Treft Bijna 950.000 Klanten

Het populaire athleisure kledingmerk Halara, opgericht in 2020 in Hong Kong, staat bekend om zijn snelle populariteit via TikTok-promoties. Echter, het bedrijf ondervindt nu een ernstig probleem: een datalek waarbij de gegevens van bijna 950.000 klanten mogelijk zijn uitgelekt. Halara heeft bevestigd dat het op de hoogte is van het vermeende lek en onderzoekt momenteel de situatie. Het lek werd voor het eerst openbaar toen een hacker, bekend als 'Sanggiero', beweerde deze maand Halara's database te hebben gehackt. Sanggiero deelde een tekstbestand met de gestolen klantgegevens op een hackersforum en een Telegram-kanaal. Volgens een forumbericht bevatte de gelekte informatie meer dan 1 miljoen regels aan gegevens, waaronder unieke adres-ID's, namen, telefoonnummers, en woonadressen. Ondanks de claim van Sanggiero over 1 miljoen regels, bevat het tekstbestand slechts 941.910 records. BleepingComputer heeft contact opgenomen met enkele mensen uit de lijst en bevestigde hun klantstatus bij Halara, alsook de nauwkeurigheid van hun vermelde contactgegevens. Sanggiero verklaarde in een gesprek dat de data is verkregen door een bug in Halara's API te exploiteren. Deze kwetsbaarheid zou nog steeds niet verholpen zijn. Interessant is dat Sanggiero ervoor koos de gegevens gratis vrij te geven in plaats van ze te verkopen, omdat hij dacht dat ze niet veel waard zouden zijn. Halara-klanten worden gewaarschuwd om alert te zijn op smishing-aanvallen (SMS phishing), gericht op het stelen van verdere informatie zoals e-mailadressen en wachtwoorden. Dergelijke informatie kan gebruikt worden voor verdere aanvallen of doorverkocht worden aan andere kwaadwillenden voor fraude of andere malafide doeleinden. Het lek bij Halara past in een bredere trend waarbij hackers gestolen accounts van online retailers verkopen voor frauduleuze aankopen.


Balada Injector: Grootse Aanval Infecteert 6.700 WordPress Websites

Een recente cyberaanval, bekend als de Balada Injector-campagne, heeft sinds medio december meer dan 6.700 WordPress-websites geïnfecteerd. Deze websites gebruikten een kwetsbare versie van de Popup Builder-plugin. De campagne werd voor het eerst gedocumenteerd door onderzoekers van Dr. Web, die een gecoördineerde golf van aanvallen opmerkten die bekende zwakheden in WordPress-thema's en add-ons uitbuitte. De Balada Injector, een omvangrijke operatie die sinds 2017 actief is, had eerder al meer dan 17.000 WordPress-sites gecompromitteerd. De recente aanvalsgolf begon op 13 december 2023, slechts twee dagen nadat een cross-site scripting (XSS) kwetsbaarheid in Popup Builder (versies 4.2.3 en ouder) was gerapporteerd. Popup Builder, gebruikt op zo'n 200.000 sites, maakt aangepaste pop-ups voor marketing en functionele doeleinden. Deaanvallers implementeerden een exploit voor deze kwetsbaarheid, waardoor kwaadaardige JavaScript-code werd uitgevoerd in de database van de site wanneer de popup werd geactiveerd. Deze code injecteerde een backdoor die bezoekers van gecompromitteerde sites omleidde naar nep-ondersteuningspagina's, loterijwebsites en pushmelding-scams. Sucuri, een websitebeveiligingsbedrijf, meldde dat de aanvallers ook het bestand wp-blog-header.php wijzigden om dezelfde JavaScript-backdoor te injecteren. Vervolgens zochten de aanvallers naar admin-gerelateerde cookies, waarmee ze verschillende scripts konden laden om de hoofd-backdoor te injecteren. Deze backdoor, vermomd als de plugin 'wp-felody.php', maakte uitvoering van willekeurige PHP-code, het uploaden en uitvoeren van bestanden, communicatie met de aanvallers en het ophalen van extra payloads mogelijk. De analyse van Sucuri toonde aan dat de domeinen die gebruikt werden voor deze aanvallen, een patroon in hun registratie vertoonden, wat duidt op een poging om de ware oorsprong van de aanvallen te verhullen, inclusief het gebruik van Cloudflare-firewalls. Om zich tegen dergelijke aanvallen te beschermen, dienen beheerders van WordPress-sites hun thema's en plugins bij te werken naar de nieuwste versie en producten die niet langer ondersteund worden of niet nodig zijn, te verwijderen. Het beperken van het aantal actieve plugins op een WordPress-site verkleint het aanvalsoppervlak en minimaliseert het risico op inbreuken door geautomatiseerde scripts. [1, 2, 3, 4, 5]


Ransomware-aanval op Finse Bedrijven via Cisco-kwetsbaarheid: Vernietiging van Back-ups

In 2023 werden meerdere Finse organisaties getroffen door een ransomware-aanval, waarbij de Akira-ransomware betrokken was. Deze aanval leidde tot de vernietiging van back-ups op Network Attached Storage (NAS)-servers en back-uptapes. Het National Cyber Security Centre Finland heeft deze incidenten bevestigd. De besmettingen vonden plaats via een kwetsbaarheid in de remote access VPN-functie van Cisco's Adaptive Security Appliance (ASA) en Cisco Firepower Threat Defense (FTD). De kwetsbaarheid, aangeduid als CVE-2023-20269, stelde een ongeauthenticeerde aanvaller in staat om met bruteforce-aanvallen gebruikersnamen en wachtwoorden te achterhalen. Deze kwetsbaarheid werd als zeroday-exploit gebruikt door de criminelen achter de Akira- en LockBit-ransomware. Ondanks dat er al workarounds en hot-fixes beschikbaar waren, vonden de meeste infecties plaats eind 2023. Bij alle gerapporteerde gevallen hadden de aanvallers toegang tot en wisten ze de beschikbare back-ups op de NAS-servers en tapes te wissen. Het Finse overheidsorgaan benadrukt het belang van offline back-ups, die niet toegankelijk zijn via het netwerk. Voor belangrijke back-ups adviseert men de '3-2-1' regel: drie back-ups op twee verschillende locaties, waarvan één offline. Verder benadrukt de Finse overheid dat het betalen van losgeld in dergelijke gevallen nooit aangemoedigd moet worden, om verdere criminaliteit te ontmoedigen. Deze gebeurtenissen onderstrepen het belang van sterke cyberbeveiligingsmaatregelen en het onderhouden van robuuste, geïsoleerde back-upsystemen om tegen dergelijke ransomware-aanvallen te beschermen. [1]


❗️Belgische bedrijf Limburg door Cyberaanval van Medusa

Het Belgische bedrijf Limburg, actief in de sector van elektriciteit, gas en sanitaire diensten, werd recent het slachtoffer van een cyberaanval. De daders, bekend onder de naam Medusa, hebben hun actie op 11 januari 2024 bekendgemaakt op het darkweb. Limburg, met haar website www.limburg.net, wordt nu geconfronteerd met de gevolgen van deze digitale inbraak. De aanval onderstreept de aanhoudende bedreigingen waarmee bedrijven in essentiële sectoren te maken krijgen.


Bruteforce-aanval Kost Mandiant's X-Account: Een Analyse van de Crypto-Scam

Een recente bruteforce-aanval heeft het X-account van het securitybedrijf Mandiant gecompromitteerd, wat leidde tot een omvangrijke cryptoscam. Mandiant, overgenomen door Google in 2022 voor 5,4 miljard dollar, deelde dat de aanval plaatsvond door een combinatie van zwakke punten in hun 2FA-beleid en teamveranderingen. Ondanks dat 2FA normaal gesproken effectieve bescherming biedt, waren er in dit geval tekortkomingen die de aanvallers benutten. Na het overnemen van het account, manipuleerden de aanvallers de accountbeschrijving door te verwijzen naar de Phantom-cryptowallet, een opslagmedium voor cryptovaluta en NFT's. Echter, de link leidde naar een scamwebsite. Deze website gebruikte zogenaamde 'drainers', schadelijke scripts en smart contracten, om slachtoffers te misleiden en hun cryptovaluta en NFT's te stelen. De slachtoffers werden gevraagd hun cryptowallet aan deze drainer te koppelen en een transactie goed te keuren, waarna de aanvallers geld konden stelen. Deze aanval was niet beperkt tot Mandiant's account; andere X-accounts werden ook gebruikt om de scam te verspreiden. Mandiant's analyse van de aanvalscampagne onthulde dat de aanvallers ongeveer 900.000 dollar van slachtoffers hebben gestolen. Dit incident benadrukt de risico's van cyberaanvallen in de cryptowereld en de noodzaak voor versterkte beveiligingsmaatregelen, vooral in een tijd waarin digitale activa steeds populairder worden. [1, 2]


Kritieke SharePoint-kwetsbaarheid Actief Misbruikt door Aanvallers

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het ministerie van Homeland Security, waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint. Deze kwetsbaarheid, aangeduid als CVE-2023-29357, stelt een ongeauthenticeerde aanvaller in staat om beheerdersrechten te verkrijgen op de SharePoint-server door middel van vervalste authenticatietokens. Deze specifieke kwetsbaarheid, geclassificeerd als een 'Elevation of Privilege' lek, is opvallend omdat dergelijke kwetsbaarheden normaal niet als kritiek worden beschouwd. Echter, gezien de impact ervan, die op een schaal van 1 tot 10 beoordeeld is met een 9.8, is dit wel het geval. Microsoft heeft op 13 juni van het voorgaande jaar al beveiligingsupdates uitgebracht om dit probleem aan te pakken. CISA heeft geen specifieke details gegeven over het waargenomen misbruik, maar heeft wel Amerikaanse overheidsinstanties opgedragen om voor 31 januari de update te installeren. Dit incident onderstreept het belang van het tijdig bijwerken van software en systemen om dergelijke kwetsbaarheden te verhelpen. Het is een herinnering aan organisaties over de hele wereld om waakzaam te blijven en beveiligingsmaatregelen continu te evalueren en bij te werken om zich tegen dergelijke dreigingen te beschermen. [1]


Grootschalige Data-inbraak bij Fidelity National Financial: 1,3 Miljoen Klantgegevens Gestolen

Fidelity National Financial (FNF), een prominente Amerikaanse verzekerings- en transactiedienstverlener in de vastgoed- en hypotheeksector, heeft recentelijk een ernstige data-inbraak bekendgemaakt. Het incident, dat plaatsvond in november 2023 en toegeschreven wordt aan de BlackCat-ransomwarebende, heeft geleid tot de diefstal van gegevens van 1,3 miljoen klanten. FNF, met een jaarlijkse omzet van meer dan $10 miljard en een personeelsbestand van meer dan 23.000, ondervond aanzienlijke verstoringen in hun bedrijfsvoering als gevolg van deze aanval. De aanvallers verkregen toegang tot het netwerk van FNF door gebruik te maken van gestolen inloggegevens. Als reactie op de inbraak nam FNF verschillende inperkingsmaatregelen, waaronder het offline halen van bepaalde IT-systemen. Deze acties vonden plaats na de ontdekking van de inbraak in half december. Uit een onderzoek, dat op 13 december werd afgerond, bleek dat de aanvallers een niet-zelfpropagerende malware hadden gebruikt om gegevens van de geschonden systemen te exfiltreren. FNF heeft in een officiële verklaring aangegeven dat ze de betrokken klanten en regelgevende instanties hebben geïnformeerd over het incident. Ze bieden daarnaast diensten aan zoals kredietmonitoring en herstel van identiteitsdiefstal voor de getroffen consumenten. Het bedrijf benadrukt dat de inbreuk zich beperkte tot FNF-systemen en niet oversloeg naar klantgerelateerde systemen. Hoewel FNF meent dat dit incident geen materiële impact zal hebben op hun financiële status en bedrijfsvoering, bereidt het bedrijf zich voor om zich te verdedigen tegen eventuele class-action rechtszaken die voortkomen uit deze datalek. Naast FNF zijn er recentelijk meerdere aanvallen geweest op bedrijven in de hypotheek- en woningbouwsector, waaronder First American, loanDepot en Mr. Cooper. FNF’s inbreuk benadrukt de voortdurende kwetsbaarheid van grote bedrijven voor geavanceerde cyberaanvallen. [1, 2]


β—οΈβš οΈ Actieve Zeroday-aanvallen op Ivanti Connect Secure Ontdekt

Softwarebedrijf Ivanti heeft organisaties gewaarschuwd voor actief aangevallen zerodaylekken in hun producten Ivanti Connect Secure en Ivanti Policy Secure Gateways. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller in staat om commando's uit te voeren op het VPN-systeem. Op dit moment zijn er nog geen updates beschikbaar, maar Ivanti heeft wel een tijdelijke oplossing gepubliceerd om de systemen te beschermen. De twee geïdentificeerde kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, zijn ernstig. Ze bestaan uit een authenticatie bypass en een command injection kwetsbaarheid, met respectievelijk een risicobeoordeling van 8.2 en 9.1 op een schaal van 10. Securitybedrijf Volexity, dat de lekken ontdekte, meldde dat er webshells werden geïnstalleerd op het VPN-systeem via de zeroday-aanval. Deze webshells bieden aanvallers toegang tot en controle over het gecompromitteerde systeem. De aanvallers hebben niet alleen data gestolen, maar ook bestanden aangepast, remote bestanden gedownload en een reverse tunnel opgezet. Bovendien konden ze de integriteitscontrole van Ivanti omzeilen en loggegevens verwijderen om hun sporen uit te wissen. Ze hebben ook inloggegevens van gebruikers gestolen door een JavaScript-bestand in het VPN-systeem te wijzigen. De aanval, toegeschreven aan een vanuit China opererende groep genaamd UTA0178, heeft geleid tot volledige toegang tot de netwerksystemen van de getroffen organisatie. Ivanti verwacht de eerste updates tegen de kwetsbaarheden in de week van 22 januari uit te brengen. Het is nog onbekend tegen welke organisaties deze zerodaylekken specifiek zijn ingezet. [1, 2]


AI-gedreven desinformatie: Grootste Wereldwijde Risico volgens WEF

Het World Economic Forum (WEF) heeft in het Global Risk Report 2024 benadrukt dat de verspreiding van desinformatie door kunstmatige intelligentie momenteel het grootste risico vormt. Dit inzicht komt voort uit een onderzoek waarin meer dan 1.400 risico-experts wereldwijd zijn geraadpleegd. De zorg is dat AI-gegenereerde desinformatie wordt ingezet om maatschappelijke en politieke verschillen aan te wakkeren, vooral nu bijna drie miljard mensen binnen twee jaar tijd naar de stembus gaan. De onderzoekers waarschuwen dat dergelijke valse informatie de geloofwaardigheid van nieuw verkozen regeringen kan ondermijnen, wat kan leiden tot onrust. Deze onrust kan variëren van gewelddadige protesten en haatmisdrijven tot burgerlijke confrontaties en terrorisme. Verder wijst het rapport op de toenemende polarisatie wereldwijd. Er is een groeiende kloof waarneembaar tussen verschillende machtsblokken en tussen het mondiale noorden en zuiden. Dit risico dreigt de internationale samenwerking te verstoren. Daarnaast worden zorgen geuit over extreme weersomstandigheden en de impact hiervan. Specifiek voor Nederland identificeert het WEF-rapport enkele belangrijke risico's. Het grootste risico voor Nederland is het aanzienlijke tekort aan arbeidskrachten. Andere zorgpunten voor het land zijn economische neergang, gebrek aan sociale cohesie, en de dreiging van cybercriminaliteit. Deze bevindingen onderstrepen de complexiteit en de veelzijdigheid van de uitdagingen waar Nederland, evenals de rest van de wereld, mee te maken heeft in de huidige tijd. [1]


❗️Datalek bij Limburgse Jeugdzorginstelling Xonar: Gevoelige Gegevens Gestolen

Criminelen hebben gevoelige gegevens gestolen van de Limburgse jeugdzorginstelling Xonar. Deze instelling, die zich richt op jeugd- en opvoedhulp in Limburg voor kinderen en jongeren tot 23 jaar, alsook vrouwenopvang, hulpverlening, en specifieke hulp voor alleenstaande minderjarige vreemdelingen, werd het slachtoffer van een netwerkinbraak. Xonar heeft op hun website gemeld dat deze inbraak heeft geleid tot het onrechtmatig verkrijgen van toegang tot hun netwerk, waarna gegevens zijn buitgemaakt. De exacte aard van deze gegevens en de omvang van de getroffen cliënten zijn momenteel nog onduidelijk. De instelling heeft uit voorzorg alle cliënten geïnformeerd, hoewel er tot nu toe geen informatie openbaar is gemaakt door de criminelen. De instelling heeft maatregelen genomen waarover ze niet in detail treden, en houdt de situatie nauwlettend in de gaten voor eventuele openbaarmaking van de gestolen informatie. Het datalek is bij de Autoriteit Persoonsgegevens gemeld en de politie is ingelicht. Xonar heeft geen uitspraken gedaan over eventuele eisen van de criminelen of over het betalen van losgeld. De aard van de aanval en de wijze waarop toegang tot het netwerk werd verkregen, blijven vooralsnog onbekend. Xonar heeft de toegang tot hun netwerk direct geblokkeerd en is bezig met het controleren van back-ups, terwijl zij de mogelijk getroffen personen proactief informeren. Dit incident benadrukt het belang van cybersecurity binnen organisaties die met gevoelige persoonsgegevens werken, met name in de jeugdzorgsector, waar de privacy en veiligheid van jonge cliënten van groot belang zijn. [1]


Hack van SEC Twitteraccount Leidt tot Valse Aankondiging over Bitcoin ETF's

Op 9 januari 2024 werd het Twitteraccount van de Amerikaanse Securities and Exchange Commission (SEC) gehackt. De cyberaanval resulteerde in een nepaankondiging over de goedkeuring van Bitcoin ETF's (Exchange-Traded Funds) op nationale veiligheidsuitwisselingen. Deze aankondiging werd gedaan via een nu verwijderde tweet, die suggereerde dat de SEC Bitcoin ETF's had goedgekeurd, onderhevig aan strikte toezicht- en nalevingsmaatregelen ter bescherming van beleggers. De nepaankondiging, die ook een afbeelding en een valse quote van SEC-voorzitter Gary Gensler bevatte, zorgde voor een kortstondige stijging van de Bitcoin-prijs. Echter, deze prijsstijging was van korte duur toen duidelijk werd dat het SEC-account was gehackt en de aankondiging onjuist was. SEC-voorzitter Gensler bevestigde via een tweet dat het account gecompromitteerd was en dat de SEC geen Bitcoin ETF's had goedgekeurd. Een woordvoerder van de SEC versterkte deze uitspraak en benadrukte dat de tweet niet door de SEC of haar personeel was gemaakt. Het incident is onderdeel van een bredere golf van accountinbraken op Twitter, waarbij verschillende geverifieerde organisaties gehackt zijn om cryptocurrency-scams en links naar wallet drainers te verspreiden. Recentelijk werden ook de Twitteraccounts van Netgear en Hyundai MEA gehackt voor soortgelijke doeleinden. Zelfs Web3 beveiligingsbedrijf CertiK en cybersecurity firma Mandiant, die tweefactorauthenticatie gebruikten, werden slachtoffer van dergelijke hacks. De SEC heeft nog niet gereageerd op vragen over de beveiligingsstatus van hun account op het moment van de hack, maar heeft bevestigd dat er kortstondig ongeautoriseerde toegang was tot hun Twitteraccount. Ze hebben aangegeven samen te werken met wetshandhavingsinstanties en overheidsinstanties om het incident te onderzoeken en passende vervolgstappen te bepalen. [1]

Update: De oorzaak van deze accountkaping lijkt te liggen bij het ontbreken van tweefactorauthenticatie (2FA) op het SEC-account op het moment van het incident. X bevestigde dat de aanvaller toegang kreeg via een telefoonnummer dat gekoppeld was aan het account. Dit benadrukt het belang van extra beveiligingsmaatregelen zoals 2FA. Als reactie hierop roept X alle gebruikers op om 2FA te activeren, wat een extra laag van bescherming biedt tegen ongeautoriseerde toegang. Dit incident onderstreept de kwetsbaarheid van officiële accounts op sociale media en de mogelijke impact op financiële markten. Het benadrukt ook het belang van adequate beveiligingsmaatregelen, vooral voor accounts die gevoelige of invloedrijke informatie bevatten.


Ransomware-slachtoffers Opgepast: Nieuwe Golf van Nep-Hack-Back Aanbiedingen

Organisaties die slachtoffer zijn van de Royal en Akira ransomware-bendes, worden nu geconfronteerd met een nieuwe bedreiging. Een bedreigingsacteur, zich voordoend als beveiligingsonderzoeker, benadert deze organisaties met een aanbod om de oorspronkelijke aanvallers te hacken en gestolen gegevens te verwijderen, tegen betaling. Royal en Akira gebruiken een dubbele afpersingstactiek: ze versleutelen systemen van slachtoffers en stelen informatie, met de dreiging deze gegevens openbaar te maken tenzij losgeld wordt betaald. Arctic Wolf, een cybersecurity bedrijf, heeft verschillende van deze gevallen onderzocht. Slachtoffers die losgeld hadden betaald, werden benaderd door iemand die beweerde een ethische hacker of veiligheidsonderzoeker te zijn. Deze persoon bood aan om bewijs te leveren van toegang tot de gestolen gegevens en beloofde deze te verwijderen voor een betaling van maximaal vijf Bitcoins (ongeveer $190.000). In twee specifieke gevallen uit oktober en november 2023, benaderde deze cybercrimineel organisaties die getroffen waren door Royal en Akira ransomware. In het eerste geval deed de oplichter zich voor als ‘Ethical Side Group’ en beweerde eerst ten onrechte dat de ‘TommyLeaks’ bende verantwoordelijk was, om vervolgens te claimen toegang te hebben tot de server van Royal. In het tweede incident gebruikte de oplichter de naam ‘xanonymoux’ en bood aan om bestanden van de Akira-servers te verwijderen of toegang tot de server van de aanvaller te verlenen. Deze scammingpogingen benadrukken de complexiteit en meervoudige risico's waar ransomware-slachtoffers mee te maken krijgen. Het gaat hierbij niet alleen om de directe crisis van versleutelde en gestolen gegevens, maar ook om de langdurige impact en de financiële lasten die deze extra risico's met zich meebrengen. Arctic Wolf meldt dat de communicatie via een direct berichtenprogramma tien veelvoorkomende zinnen bevatte en dat dezelfde methode werd gebruikt om toegang tot de gestolen gegevens te bewijzen, wat suggereert dat dezelfde persoon achter beide pogingen zit.  [1]


Het Paraguay-leger waarschuwt voor aanvallen van Black Hunt

De grootste mobiele aanbieder in Paraguay, Tigo, heeft onlangs een cyberaanval ondergaan die hun cloud- en hostingdiensten in de bedrijfsdivisie, Tigo Business, heeft beïnvloed. Dit incident, dat op 4 januari plaatsvond, heeft een beperkte groep zakelijke klanten getroffen en heeft geleid tot uitvallen van gehoste websites. Tigo Business biedt digitale oplossingen voor ondernemingen, waaronder cybersecurity-consulting en hosting van datacenters. Hoewel Tigo initieel geen bevestiging gaf, werd later bevestigd dat de storing veroorzaakt was door een cyberaanval. Er zijn rapporten dat deze aanval het werk was van de Black Hunt ransomware-operatie, die meer dan 330 servers heeft versleuteld en backups heeft gecompromitteerd. De volgende dag waarschuwde het Directoraat-Generaal van Informatie- en Communicatietechnologieën van de Gewapende Strijdkrachten van Paraguay (FFAA) bedrijven in het land voor Black Hunt ransomware-aanvallen. Black Hunt, een ransomware-operatie die eind 2022 is opgedoken, valt voornamelijk bedrijven in Zuid-Amerika aan. De cybercriminelen verspreiden zich stilletjes binnen bedrijfsnetwerken en grijpen pas in om encryptors in te zetten wanneer ze voldoende toegang hebben verkregen. Deze encryptors wissen Windows-logbestanden, verwijderen schaduwkopieën en NTFS-journaals en schakelen Windows-herstelopties uit. In geval van infectie, worden Windows-apparaten vrijwel onbruikbaar totdat Windows opnieuw wordt geïnstalleerd. Bij versleuteling van bestanden voegt Black Hunt een specifieke extensie toe en creëert losgeldnota's in elke map met details over de aanval en contactgegevens van de dreigingsactoren. Hoewel de ransomware beweert gegevens te stelen tijdens aanvallen, zijn er geen bekende gevallen van gelekte gestolen gegevens. Desalniettemin wordt aangenomen dat de gegevens tijdens de aanvallen zijn blootgesteld. [1, 2, 3]


Turkse Hackers Richten Zich op Slecht Beveiligde MS SQL-Servers Wereldwijd

Een voortdurende campagne, gericht op financieel gewin, maakt gebruik van slecht beveiligde Microsoft SQL (MS SQL) servers in de Verenigde Staten, de Europese Unie en Latijns-Amerika. Onderzoekers van Securonix, waaronder Den Iuzvyk, Tim Peck en Oleg Kolesnikov, onthullen in een technisch rapport dat de aanvalscampagne, gelinkt aan Turkse actoren, is benoemd als RE#TURGENCE. Deze campagne vertoont gelijkenissen met een eerdere campagne genaamd DB#JAMMER die in september 2023 aan het licht kwam. De aanvallers verkrijgen toegang tot de servers via brute-force aanvallen en gebruiken vervolgens de xp_cmdshell-configuratieoptie om shell-opdrachten uit te voeren op de gecompromitteerde host. Dit leidt tot het ophalen van een PowerShell-script van een externe server, dat verantwoordelijk is voor het binnenhalen van een verhulde Cobalt Strike beacon payload. Vervolgens wordt de AnyDesk remote desktop applicatie gedownload vanaf een netwerkshare, waarmee de machine toegankelijk wordt en aanvullende tools zoals Mimikatz en Advanced Port Scanner worden gedownload voor credential harvesting en verkenning. Laterale beweging wordt mogelijk gemaakt door het gebruik van een legitieme systeembeheerutility, PsExec, om programma's uit te voeren op externe Windows-hosts. Uiteindelijk resulteert dit in de implementatie van Mimic ransomware, een variant die ook in de DB#JAMMER campagne werd gebruikt. Ondanks de overeenkomsten, benadrukt Kolesnikov dat de indicatoren en kwaadaardige TTP's (Tactics, Techniques and Procedures) van de twee campagnes volledig verschillend zijn, wat suggereert dat het om twee afzonderlijke campagnes gaat. RE#TURGENCE onderscheidt zich door meer gericht gebruik van legitieme tools en remote monitoring en management. Een operationele beveiligingsfout (OPSEC) van de dreigingsactoren, waarbij de klemborddeling van AnyDesk was ingeschakeld, stelde Securonix in staat om hun Turkse oorsprong en online alias 'atseverse' te achterhalen, gekoppeld aan een profiel op Steam en een Turks hackingforum genaamd SpyHack. De onderzoekers adviseren om kritieke servers niet direct bloot te stellen aan het internet, aangezien de RE#TURGENCE-aanvallers directe brute-force toegang tot de server hadden van buiten het hoofdnetwerk. [1]


Amerikaanse Zorgverlener Schikt voor $1,65 Miljoen na Ransomware-aanval Door Zwakke Beveiliging

In 2021 werd het Refuah Health Center, een Amerikaanse zorgverlener met meerdere klinieken, getroffen door een ernstige ransomware-aanval. Deze aanval leidde tot een recente schikking met de staat New York, waarbij de zorgverlener een bedrag van 1,65 miljoen dollar zal betalen. De aanval in mei 2021 begon via een systeem dat Refuah gebruikte voor het monitoren van interne beveiligingscamera's. Dit systeem was slechts beveiligd met een viercijferige statische code. Aanvallers wisten via dit systeem binnen te dringen en verkregen toegang tot het netwerk door gebruik te maken van gestolen beheerdersgegevens. Het account dat de aanvallers gebruikten, behoorde tot een IT-leverancier wiens wachtwoord al elf jaar niet was veranderd en waar al zeven jaar geen samenwerking meer mee was. Dit account had geenmultifactorauthenticatie en was nooit uitgeschakeld of verwijderd. Eenmaal binnen het netwerk kregen de aanvallers toegang tot patiëntgegevens, e-mails van medewerkers en een patiëntendatabase. Veel van deze bestanden waren onversleuteld en gemakkelijk toegankelijk. Tegen de tijd dat de aanval werd ontdekt, was er al een terabyte aan data gestolen en waren diverse systemen versleuteld. Het ziekenhuis kon niet vaststellen welke bestanden precies waren gestolen, aangezien er geen logging-systemen waren. De aanvallers dreigden met het openbaar maken van de gestolen informatie, waaronder gegevens van meer dan 270.000 patiënten. Een groot aantal patiënten werd echter niet ingelicht over dit datalek. Als onderdeel van de schikking zal Refuah 1,2 miljoen dollar investeren in cybersecurity en 450.000 dollar aan boetes en kosten betalen. Dit omvat de implementatie van multifactorauthenticatie, het versleutelen van patiëntgegevens en het regelmatig wijzigen van wachtwoorden. [1, pdf]


Amerikaanse Overheid Waarschuwt voor Misbruik van Kwetsbaarheden in iOS, Joomla en ColdFusion

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security heeft gewaarschuwd voor actief misbruik van bekende kwetsbaarheden in iOS, Joomla, Adobe ColdFusion en Apache Superset. Een opvallende kwetsbaarheid in iOS, die door antivirusbedrijf Kaspersky aan Apple werd gemeld, werd gebruikt in een langdurige spionagecampagne gericht op iPhones. Deze kwetsbaarheid, bekend als CVE-2023-41990, werd door Apple gepatcht met beveiligingsupdates op 23 januari van het voorgaande jaar, maar zonder specifieke vermelding van dit zerodaylek. Pas later, op 8 september, werd in de beveiligingsbulletins van Apple expliciet genoemd dat dit lek was verholpen. Kaspersky bracht op 27 december een gedetailleerde analyse uit over deze spionage-aanval en het gebruik van het beveiligingslek, dat mogelijk maakte om op afstand code uit te voeren via een ongedocumenteerde functie van Apples FontParser. Naast iOS, worden ook kwetsbaarheden in Joomla! (CVE-2023-23752), Adobe ColdFusion (CVE-2023-38203 en CVE-2023-29300) en Apache Superset (CVE-2023-27524) misbruikt. Deze lekken hebben, vooral in Adobe ColdFusion en Apache Superset, een hoge ernstscore gekregen van 9.8 op een schaal van 1 tot 10. CISA heeft Amerikaanse overheidsinstanties opdracht gegeven om de genoemde kwetsbaarheden voor 29 januari te patchen om verdere exploitatie te voorkomen. Deze waarschuwing onderstreept het belang van tijdige updates en patchbeheer in de strijd tegen cyberdreigingen. [1]


❗️XONAR Geconfronteerd met Cyberaanval: Zorg Continuïteit Gewaarborgd en Intense Veiligheidsmaatregelen Genomen

XONAR, een organisatie gericht op jeugdzorg en vrouwenopvang, is onlangs het slachtoffer geworden van een cyberaanval. De aanvallers hebben toegang verkregen tot een deel van het netwerk van XONAR en daarbij data gestolen. Na ontdekking van deze inbreuk heeft XONAR direct actie ondernomen door de toegang voor de criminelen af te sluiten en maatregelen te nemen om de gegevens te beveiligen. Hierbij zijn externe cyberveiligheidsexperts ingeschakeld. Belangrijk is dat de continuïteit van de zorgdienstverlening niet in gevaar is gekomen; cliënten kunnen nog steeds bij XONAR terecht en de medewerkers blijven hun zorgtaken uitvoeren. Tot nu toe zijn er geen aanwijzingen dat de gestolen data openbaar gemaakt is. XONAR onderneemt intensieve inspanningen om dit te voorkomen en is momenteel bezig met het identificeren van de precies betrokken gegevens. Als voorzorgsmaatregel heeft XONAR besloten om alle betrokkenen, waaronder medewerkers, cliënten, contactpersonen en partners, op de hoogte te stellen van de situatie. Zodra er meer bekend is over welke gegevens specifiek betrokken zijn, zal XONAR direct de betreffende individuen informeren. Daarnaast worden alle betrokkenen aangemoedigd om waakzaam te zijn en verdachte activiteiten te melden bij de landelijke fraudehelpdesk. XONAR betreurt de overlast die deze situatie heeft veroorzaakt en zet zich in om de problemen zo snel mogelijk op te lossen. Updates over de situatie en verdere ontwikkelingen worden gepubliceerd op de website van XONAR. Hierbij wordt onder meer aandacht besteed aan veelgestelde vragen, zoals de zekerheid van doorgang van de zorg, de impact op cliënten en de financiële stabiliteit van de organisatie in deze crisissituatie. XONAR benadrukt dat ondanks de cyberaanval, de organisatie voldoet aan al haar verplichtingen en de zorgverlening voortzet. [1]


Pas op voor YouTube-video's met Gekraakte Software: Lumma Stealer in Omloop

In een recent artikel gewaarschuwd voor de toenemende trend van cybercriminelen die YouTube-video's gebruiken om de Lumma Stealer, een malware gericht op het stelen van gevoelige informatie, te verspreiden. Deze video's bevatten inhoud over gekraakte software en lijken legitieme installatiegidsen te bieden, maar bevatten in werkelijkheid kwaadaardige URL's. Deze tactiek is niet nieuw; soortgelijke methoden zijn eerder gebruikt voor het verspreiden van andere malware, zoals clippers en crypto miner malware. De aanvallen maken gebruik van YouTube-video's over populaire software zoals Vegas Pro, waarbij kijkers worden aangemoedigd op links in de beschrijving te klikken. Deze leiden naar nep-installatieprogramma's die de Lumma Stealer bevatten. De malware, geschreven in C, wordt verkocht op ondergrondse forums en kan gevoelige gegevens verzamelen en doorsturen naar servers beheerd door de aanvallers. Naast informatie- en cryptodiefstal, kunnen de aanvallers de besmette apparaten ook gebruiken voor illegale mining-activiteiten. Dit nieuws volgt op waarschuwingen van Bitdefender over 'stream-jacking'-aanvallen op YouTube en een 11 maanden durende AsyncRAT-campagne die phishing gebruikt om een remote access trojan te installeren. Deze recente ontwikkelingen onderstrepen de noodzaak voor gebruikers om voorzichtig te zijn met het downloaden van software via YouTube-links en benadrukken het belang van bewustzijn over cyberveiligheid. Deze samenvatting richt zich op het belangrijkste thema van het artikel zonder verwijzingen naar andere websites of externe bronnen, in overeenstemming met uw verzoek. [1]


Amerikaans ziekenhuis getroffen door grote ransomware-aanval van LockBit-groep

In november 2023 heeft een Amerikaans ziekenhuis, Capital Health, een grote cyberaanval ondergaan door de criminele groepering achter de LockBit-ransomware. Deze groep beweert maar liefst zeven terabyte aan data te hebben ontvreemd. Ze dreigen deze gevoelige gegevens openbaar te maken tenzij het ziekenhuis een losgeld betaalt. Hoewel de systemen van het ziekenhuis niet versleuteld werden, leidde de aanval tot aanzienlijke verstoringen in de zorgverlening. Door de cyberaanval zag Capital Health zich genoodzaakt om diverse operaties uit te stellen, afspraken voor röntgenonderzoeken te annuleren, en onderzoeken op het gebied van neurofysiologie en cardiologie te verzetten. In een recente update meldt het ziekenhuis dat de netwerkproblemen zijn opgelost en alle diensten weer operationeel zijn. Ondanks deze positieve ontwikkeling, is er een onderzoek ingesteld om na te gaan of er patiënt- en medewerkersgegevens zijn buitgemaakt. De LockBit-groep heeft aangegeven in het bezit te zijn van tien miljoen bestanden, waarmee de ernst van de situatie wordt onderstreept. Deze aanval toont de kwetsbaarheid van zorginstellingen voor cybercriminaliteit en de potentiële impact van dergelijke incidenten op de gezondheidszorg. Het benadrukt de noodzaak voor zorginstellingen om hun cyberbeveiliging te versterken en zich voor te bereiden op mogelijke toekomstige aanvallen. [1, 2]


Netgear en Hyundai MEA Twitter-accounts gehackt voor verspreiding cryptovaluta-drainage malware

In januari 2024 werden de officiële Twitter-accounts van Netgear en Hyundai MEA, met samen meer dan 160.000 volgers, gehackt om cryptocurrency wallet drainer malware te verspreiden. Hyundai herwon snel de controle over hun account en verwijderde alle kwaadaardige links, maar Netgear moest nog actie ondernemen, met sommige reacties van de aanvallers nog zichtbaar. De hackers veranderden de naam van het Hyundai MEA account om Overworld te imiteren, een cross-platform multiplayer RPG ondersteund door Binance Labs. Overworld waarschuwt regelmatig voor dergelijke vervalsingen. Netgear's account werd gebruikt om te reageren op BRCapp tweets, en lokte volgers naar een website die beloofde $100.000 te geven aan de eerste 1.000 geregistreerde gebruikers. Echter, iedereen die hun wallets verbond met de site riskeerde het stelen van hun activa en NFT's door de dreigingsactoren. Hackers richten zich steeds meer op geverifieerde overheid- en zakelijke Twitter-accounts om legitimiteit aan hun kwaadaardige tweets toe te voegen. Voorbeelden zijn het X-account van web3-beveiligingsbedrijf CertiK en het account van Google dochteronderneming en cybersecurityfirma Mandiant, beide gehackt ondanks tweefactorauthenticatie. Zelfs het officiële Twitter-account van Bloomberg Crypto werd misbruikt om bijna een miljoen volgers naar een kwaadaardige website te lokken. Volgens ScamSniffer stal een enkele wallet drainer genaamd 'MS Drainer' ongeveer $59 miljoen aan cryptocurrency van 63.000 mensen via een Twitter-advertentiecampagne. Twitter-gebruikers, vooral die in de cryptocurrency-wereld, worden constant gebombardeerd met kwaadaardige crypto-advertenties, nep-airdrops en verschillende scams. Twitter toont advertenties op basis van de interesses van gebruikers, wat betekent dat die niet gelinkt aan cryptocurrency mogelijk niet zulke kwaadaardige advertenties zien.


Afpersing van patiënten na ransomware-aanval op Amerikaans kankercentrum

Patiënten van het Fred Hutchinson Cancer Center in de VS zijn afgeperst door cybercriminelen na een ransomware-aanval. Deze aanval, mogelijk gemaakt door een kwetsbaarheid in Citrix, resulteerde in de diefstal van 500 gigabyte aan gevoelige patiëntgegevens. Criminelen eisten $50 per patiënt voor het verwijderen van deze gegevens. Het centrum adviseerde patiënten niet te betalen. Naast afpersing werd er ook gedreigd met swatting, een tactiek waarbij vals alarm wordt geslagen om een SWAT-team in te schakelen. Het centrum heeft de FBI ingeschakeld, maar er zijn nog geen swatting-incidenten gemeld.


Grootschalige Cyberaanval Treft LoanDepot: IT-Systemen en Betalingsportaal Verstoord

LoanDepot, een grote Amerikaanse hypotheekverstrekker, is getroffen door een cyberaanval. Hierdoor werden IT-systemen uitgeschakeld en online betalingen onmogelijk gemaakt. De aanval leidde tot inlogproblemen op het betalingsportaal en verstoorde telefoonlijnen. LoanDepot bevestigde de cyberaanval en werkt samen met wetshandhavingsinstanties en forensische experts aan een onderzoek. Ondertussen blijven automatische betalingen verwerkt worden, maar er zijn vertragingen. Klanten worden gewaarschuwd voor mogelijke phishingpogingen en identiteitsdiefstal, vooral omdat loanDepot eerder, in augustus 2022 en november 2023, gegevenslekken meldde. [1]


AsyncRAT Malwarecampagne Richt Zich op Amerikaanse Infrastructuur

Een doelgerichte campagne, die nu al minstens 11 maanden aan de gang is, gebruikt de AsyncRAT malware om specifieke doelen in de Amerikaanse infrastructuur te treffen. AsyncRAT, een open-source Remote Access Tool (RAT) voor Windows, beschikbaar sinds 2019, maakt het mogelijk om op afstand commando's uit te voeren, toetsaanslagen te loggen, data te exfiltreren en aanvullende payloads te droppen. Deze tool is in de loop der jaren veelvuldig gebruikt door cybercriminelen, zowel in originele als aangepaste vorm, om een voet tussen de deur te krijgen bij doelwitten, bestanden en gegevens te stelen en extra malware te installeren. De aanvallen werden voor het eerst opgemerkt door Microsoft-beveiligingsonderzoeker Igal Lytzki, die afgelopen zomer aanvallen waarnam via gekaapte e-mailconversaties. Onderzoekers van AT&T's Alien Labs zagen in september een toename in phishing-e-mails gericht op specifieke individuen binnen bepaalde bedrijven. De aanvallen beginnen met een kwaadaardige e-mail met een GIF-bijlage die leidt naar een SVG-bestand, dat een verhuld JavaScript en PowerShell-scripts downloadt. Na enkele anti-sandbox controles communiceert de loader met de command-and-control (C2) server en bepaalt of het slachtoffer geschikt is voor de AsyncRAT-infectie. De harde C2-domeinen worden gehost op BitLaunch, een service die anonieme betalingen in cryptocurrency toestaat, wat gunstig is voor cybercriminelen. Als de loader in een analyse-omgeving draait, worden nep-payloads ingezet, waarschijnlijkom beveiligingsonderzoekers en dreigingsdetectietools om de tuin te leiden. AT&T Alien Labs constateerde dat de dreigingsactor in de afgelopen 11 maanden 300 unieke samples van de loader gebruikte, elk met kleine wijzigingen in de code, verhulling en variabelnamen en -waarden. Ze observeerden ook het gebruik van een domeingeneratie-algoritme (DGA) dat elke zondag nieuwe C2-domeinen genereert. De domeinen volgen een specifieke structuur en worden gegenereerd volgens een gedecodeerde logica. Hoewel de onderzoekers de aanvallen niet aan een specifieke tegenstander toewezen, merken ze op dat deze "dreigingsactoren discretie waarderen", zoals blijkt uit de inspanningen om de samples te verhullen. Alien Labs biedt een set van indicatoren voor compromittering samen met handtekeningen voor de Suricata netwerkanalyse- en dreigingsdetectiesoftware, die bedrijven kunnen gebruiken om indringingen die geassocieerd zijn met deze AsyncRAT-campagne op te sporen. [1]


KyberSlash: Bedreiging voor Quantum-veilige Encryptie

In januari 2024 kwam aan het licht dat meerdere implementaties van de Kyber key encapsulation mechanism (KEM), ontwikkeld voor quantum-safe encryptie, kwetsbaar zijn voor een reeks fouten, gezamenlijk aangeduid als KyberSlash. Deze kwetsbaarheden kunnen de onthulling van geheime sleutels mogelijk maken. CRYSTALS-Kyber, onderdeel van de CRYSTALS (Cryptographic Suite for Algebraic Lattices) suite en geselecteerd door het National Institute of Standards and Technology (NIST) voor weerstand tegen quantum computer aanvallen, is de officiële implementatie van deze technologie. Het wordt gebruikt in populaire projecten zoals Mullvad VPN en de Signal messenger. KyberSlash omvat timing-gebaseerde aanvallen die voortkomen uit de manier waarop Kyber bepaalde delingsoperaties in het decapsulatieproces uitvoert. Aanvallers kunnen de uitvoeringstijd analyseren om geheimen te ontdekken die de encryptie kunnen compromitteren. Als een dienst die Kyber gebruikt, meerdere bewerkingsverzoeken naar hetzelfde sleutelpaar toestaat, kan een aanvaller timingverschillen meten en geleidelijk de geheime sleutel berekenen. De KyberSlash kwetsbaarheden (KyberSplash1 en KyberSplash2) werden ontdekt door onderzoekers van Cryspen, een bedrijf gespecialiseerd in verificatietools en wiskundig bewezen software. Zij demonstreerden dat op een Raspberry Pi systeem de geheime sleutel van Kyber in twee van de drie pogingen kon worden hersteld uit de decryptietijden. Cryspen heeft de KyberSlash1 kwetsbaarheid eind november 2023 gemeld aan de ontwikkelaars van Kyber, die op 1 december 2023 een patch uitbrachten. Deze patch werd echter niet als een beveiligingsprobleem gelabeld, en pas op 15 december begon Cryspen de getroffen projecten actief te informeren over de noodzaak om hun Kyber-implementaties bij te werken. KyberSlash2 werd op 30 december gepatcht na ontdekking en verantwoorde melding door Prasanna Ravi en Matthias Kannwischer. De impact van KyberSlash verschilt per implementatie en hangt af van praktische gebruiksscenario's en aanvullende beveiligingsmaatregelen. Mullvad VPN, bijvoorbeeld, stelt dat KyberSlash hun product niet beïnvloedt omdat ze unieke sleutelparen gebruiken voor elke nieuwe tunnelverbinding, waardoor een reeks timingaanvallen tegen hetzelfde paar onmogelijk wordt. Signal heeft nog niet gereageerd op verzoeken om informatie over de impact van KyberSlash op hun cryptografie en communicatie van gebruikers. [1, 2, 3]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024