Overzicht van slachtoffers cyberaanvallen week 03-2024

Gepubliceerd op 22 januari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week heeft de digitale wereld weer een reeks verontrustende cyberaanvallen en beveiligingsincidenten meegemaakt. Deze recente gebeurtenissen benadrukken de groeiende complexiteit en het geavanceerde karakter van cyberdreigingen die zowel individuen, bedrijven als overheden wereldwijd treffen. Van ransomware-aanvallen die gelinkt zijn aan bekende cybercrime bendes tot het actief uitbuiten van kritieke kwetsbaarheden in veelgebruikte software, de risico's voor de digitale veiligheid zijn significant en divers.

Deze week zagen we onder meer dat de 3AM Ransomware gelinkt is aan de beruchte Conti en Royal cybercrime bendes, en dat een kritieke kwetsbaarheid in VMware vCenter actief wordt uitgebuit. Daarnaast is TeamViewer misbruikt voor netwerkinbreuken in nieuwe ransomware-aanvallen en is er een actieve exploitatie van een kritieke omzeilingsfout in Ivanti Authenticatie. Verder is er sprake van een nieuwe malware campagne die kwetsbare Docker hosts aanvalt en heeft GitHub.com proactieve maatregelen genomen tegen cyberaanvallen na een ontdekt beveiligingslek.

In Nederland en België waren er aanvallen gericht op specifieke sectoren, zoals de aanval op Denham the Jeanmaker en de uitbuiting van kwetsbaarheden in SonicWall Firewalls. België kreeg ook te maken met een LockBit cyberaanval op een woonsectorbedrijf en de publicatie van gegevens van honderdduizenden klanten door de hackers van Medusa.

Internationaal gezien werden er significante aanvallen gemeld in verschillende landen, waaronder de Verenigde Staten, Zweden, Argentinië, Frankrijk, en Spanje. Deze omvatten onder meer een grootschalige hack op Payoneer accounts, die de 2FA-beveiliging omzeilde, en een ransomware-aanval die Calvia Mallorca teisterde en een losgeld van $11 miljoen eiste.

Tot slot zijn er ook waarschuwingen voor nieuwe dreigingen, zoals het 'Ik kan niet geloven dat hij weg is' phishingbericht op Facebook, het Bigpanzi Botnet dat een groot gevaar vormt voor Android TV en eCos Set-top Boxen, en kwetsbaarheden in GPU's van AMD, Apple en Qualcomm.

Onderstaand vindt u het volledige overzicht van deze cyberaanvallen en dreigingen van de afgelopen week, waarbij de tellerstand van het aantal organisaties waar data van gelekt is op het darkweb momenteel op 12.011 staat.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
cct.or.th LockBit cct.or.th Thailand Membership Organizations 21-jan-24
cmmt.com.tw LockBit cmmt.com.tw Taiwan Electronic, Electrical Equipment, Components 21-jan-24
shenandoahtx.us LockBit shenandoahtx.us USA General Government 21-jan-24
wittmann.at LockBit wittmann.at Austria Furniture 21-jan-24
qtc-energy.com LockBit qtc-energy.com Thailand Electronic, Electrical Equipment, Components 21-jan-24
hughessupplyco.com LockBit hughessupplyco.com USA Rubber, Plastics Products 21-jan-24
umi-tiles.com LockBit umi-tiles.com Thailand Miscellaneous Manufacturing Industries 21-jan-24
stjohnrochester.org LockBit stjohnrochester.org USA Educational Services 21-jan-24
jasman.com.mx LockBit jasman.com.mx Mexico Automotive Services 21-jan-24
bmc-cpa.com LockBit bmc-cpa.com USA Accounting Services 21-jan-24
subway.com LockBit subway.com USA Eating And Drinking Places 21-jan-24
marxan.es LockBit marxan.es Spain Real Estate 21-jan-24
home-waremmien.be LockBit home-waremmien.be Belgium Real Estate 21-jan-24
tvjahnrheine.de LockBit tvjahnrheine.de Germany Amusement And Recreation Services 21-jan-24
Worthen Industries BlackCat (ALPHV) www.worthenind.com USA Chemical Producers 20-jan-24
swiftair.com LockBit swiftair.com Spain Transportation By Air 20-jan-24
wendy.mx LockBit wendy.mx Mexico Furniture 20-jan-24
Samuel Sekuritas Indonesia & Samuel Aset Manajemen Trigona www.samuel.co.id Indonesia Security And Commodity Brokers, Dealers, Exchanges, And Services 20-jan-24
Premier Facility Management Trigona www.pfmgreen.com USA Management Services 20-jan-24
Fertility North Trigona www.fertilitynorth.com.au Australia Health Services 20-jan-24
Vision Plast Trigona www.vision-plast.com France Rubber, Plastics Products 20-jan-24
Anna Jaques Hospital Money Message www.ajh.org USA Health Services 19-jan-24
pratt.edu LockBit pratt.edu USA Educational Services 19-jan-24
seiu1000.org LockBit seiu1000.org USA Membership Organizations 19-jan-24
Sykes Consulting, Inc. INC Ransom sykes-consulting.com USA Construction 19-jan-24
dywidag.com LockBit dywidag.com Germany Construction 19-jan-24
North Star Tax And Accounting BianLian northstartaxes.com USA Accounting Services 19-jan-24
KC Pharmaceuticals BianLian kc-ph.com USA Chemical Producers 19-jan-24
Martinaire Aviation BianLian martinaire.com USA Transportation By Air 19-jan-24
Busse & Busee, PC Attorneys at Law BlackCat (ALPHV) bussepc.com USA Legal Services 19-jan-24
jdbchina.com LockBit jdbchina.com China Food Products 19-jan-24
TPG Architecture PLAY www.tpgarchitecture.com USA Construction 19-jan-24
Hydratek Akira www.hydratek.com Canada Engineering Services 19-jan-24
Hamilton-Madison House Akira www.hamiltonmadisonhouse.org USA Social Services 19-jan-24
evit.edu LockBit evit.edu USA Educational Services 19-jan-24
Alupar Investimento SA Hunters International alupar.com.br Brazil Electric, Gas, And Sanitary Services 19-jan-24
foxsemicon.com LockBit foxsemicon.com Taiwan Electronic, Electrical Equipment, Components 19-jan-24
PROJECTSW Qilin www.projects-world.com Saudi Arabia Furniture 19-jan-24
Malongo France 8BASE malongo.com France Food Products 19-jan-24
uffs.edu.br STORMOUS uffs.edu.br Brazil Educational Services 18-jan-24
digipwr.com LockBit digipwr.com USA Electronic, Electrical Equipment, Components 18-jan-24
Groveport Madison Schools BLACK SUIT www.gocruisers.org USA Educational Services 18-jan-24
jaffeandasher.com LockBit jaffeandasher.com USA Legal Services 18-jan-24
GROWTH by NCRC BianLian www.growthbyncrc.com USA Real Estate 18-jan-24
LT Business Dynamics BianLian www.ltbd.com USA Accounting Services 18-jan-24
Gallup McKinley County Schools Hunters International gmcs.org USA Educational Services 18-jan-24
JspPharma Insane jsppharma.com Thailand Chemical Producers 18-jan-24
aercap.com slug aercap.com Ireland Transportation By Air 18-jan-24
DENHAM the Jeanmaker Akira www.denham.com Netherlands Apparel And Accessory Stores 17-jan-24
Stone, Avant & Daniels Medusa www.stoneavant.com USA Accounting Services 17-jan-24
SIVAM Coatings S.p.A. 8BASE www.sivam.it Italy Chemical Producers 17-jan-24
Axfast AB 8BASE axfast.se Sweden Real Estate 17-jan-24
Syndicat GΓ©nΓ©ral des Vignerons de la Champagne 8BASE sgv-champagne.fr France Membership Organizations 17-jan-24
Washtech 8BASE washtech.co.nz New Zealand Machinery, Computer Equipment 17-jan-24
Nexus Telecom Switzerland AG 8BASE nexustelecom.com Switzerland Communications 17-jan-24
millgate.co.uk LockBit millgate.co.uk United Kingdom IT Services 16-jan-24
Becker Logistics Akira www.beckerlogistics.com USA Motor Freight Transportation 16-jan-24
Bestway Sales Akira www.bestwaysalesllc.com USA Machinery, Computer Equipment 16-jan-24
Premium Guard Akira www.pgfilters.com USA Transportation Equipment 16-jan-24
TGS Transportation Akira www.tgstrans.com USA Motor Freight Transportation 16-jan-24
F J O'Hara & Sons Qilin www.fjohara.com USA IT Services 16-jan-24
Donear Industries BianLian donear.com India Textile Mill Products 16-jan-24
www.kai.id STORMOUS www.kai.id Indonesia Railroad Transportation 15-jan-24
maisonsdelavenir.com LockBit maisonsdelavenir.com France Construction 15-jan-24
shinwajpn.co.jp LockBit shinwajpn.co.jp Japan Educational Services 15-jan-24
hosted-it.co.uk LockBit hosted-it.co.uk United Kingdom IT Services 15-jan-24
vasudhapharma.com LockBit vasudhapharma.com India Chemical Producers 15-jan-24
Ausa Hunters International ausa.com USA Transportation Equipment 15-jan-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
home-waremmien.be LockBit home-waremmien.be Belgium Real Estate 21-jan-24
DENHAM the Jeanmaker Akira www.denham.com Netherlands Apparel And Accessory Stores 17-jan-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 22-01-2024 12.011

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Subway Getroffen door LockBit Cyberaanval

Op 21 januari 2024 werd bekend dat de bekende eet- en drinkgelegenheid Subway.com in de Verenigde Staten het slachtoffer is geworden van een cyberaanval door de criminele groep LockBit. Deze onthulling vond plaats op het darkweb, waarbij de ernst van de inbreuk op de cybersecurity van het bedrijf onder de aandacht kwam. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit voor grote bedrijven wereldwijd.


⚠️ Ransomware-aanval Tietoevry Verstoort Zweedse Bedrijven en Steden

Het Finse IT-bedrijf Tietoevry, gespecialiseerd in managed services en cloudhosting, is getroffen door een ransomware-aanval. Deze aanval, uitgevoerd door de Akira ransomware-groep, heeft aanzienlijke verstoringen veroorzaakt in een van hun Zweedse datacenters. Dit datacenter ondersteunt een reeks van cloudhostingservices, wat leidde tot uitval bij diverse Zweedse klanten. Tietoevry, dat wereldwijd ongeveer 24.000 werknemers heeft en in 2023 een omzet van $3,1 miljard noteerde, bevestigde dat de aanval beperkt bleef tot een specifiek deel van het Zweedse datacenter. Het bedrijf heeft onmiddellijk maatregelen getroffen om de getroffen platformen te isoleren, waarbij andere delen van de infrastructuur niet zijn beïnvloed. Door de aanval werden de virtualisatie- en beheersservers van het bedrijf gecodeerd, wat resulteerde in uitval van diensten voor meerdere klanten, waaronder Zweden's grootste bioscoopketen Filmstaden, discount retailer Rusta, bouwmaterialenleverancier Moelven, en landbouwleverancier Granngården. Daarnaast trof het ook Tietoevry's Primula-systeem, een beheerde loonadministratie- en HR-systeem, gebruikt door de Zweedse overheid, universiteiten en hogescholen. Tietoevry werkt aan het herstellen van de infrastructuur en diensten, maar veel klanten ondervinden nog steeds hinder. De aanval op Tietoevry volgt kort na waarschuwingen van de Finse overheid over aanvallen van Akira ransomware op bedrijven in het land. Deze groep is sinds maart 2023 actief en staat bekend om haar dubbele afpersingsmethoden, waarbij ze eerst gegevens stelen en vervolgens netwerken versleutelen. [1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11]


Pas op voor 'Ik kan niet geloven dat hij weg is' Facebook phishingberichten

Een wijdverspreide Facebook phishingcampagne, met berichten zoals "Ik kan niet geloven dat hij weg is. Ik zal hem zo missen", leidt nietsvermoedende gebruikers naar een website die hun Facebook-inloggegevens steelt. Deze aanval, die ongeveer een jaar geleden begon, wordt nog steeds waargenomen en verspreid via gehackte accounts van vrienden, waardoor het bedrieglijk echt lijkt. De phishingberichten verschijnen in twee vormen: de ene met enkel de tekst en een Facebook-omleidingslink, de andere met dezelfde tekst maar inclusief een zogenaamde BBC News-video van een auto-ongeluk of misdaadscene. Als er op de link geklikt wordt, worden gebruikers afhankelijk van hun apparaat naar verschillende sites geleid. Op mobiele apparaten wordt men naar een nepnieuwssite geleid die vraagt om Facebook-inloggegevens. Op desktopcomputers worden gebruikers omgeleid naar Google of andere scams. De gestolen inloggegevens worden waarschijnlijk gebruikt om hetzelfde phishingbericht via gehackte accounts te verspreiden. Het wordt sterk aanbevolen om tweefactorauthenticatie (2FA) op Facebook in te schakelen, omdat de aanval geen 2FA-tokens steelt. Hierdoor wordt de toegang tot accounts beveiligd, zelfs als de inloggegevens zijn gestolen. Gebruikers wordt geadviseerd een authenticatie-app te gebruiken in plaats van sms-teksten vanwege het risico op SIM-swappingaanvallen. [1]


3AM Ransomware Gelinkt aan Conti en Royal Cybercrime Bendes

Recent onderzoek heeft onthuld dat de recent opgedoken 3AM ransomware-operatie nauwe banden heeft met beruchte cybercrimegroepen zoals de Conti-syndicaat en de Royal ransomware-bende. De 3AM ransomware, ook bekend als ThreeAM, probeert een nieuwe afpersingstactiek uit door nieuws over een datalek te delen met de sociale media volgers van het slachtoffer en bots te gebruiken om op prominente accounts op X (voorheen Twitter) te reageren met verwijzingen naar de datalekken. Onderzoekers hebben vastgesteld dat 3AM waarschijnlijk verbonden is met de Royal ransomware-groep, die weer is voortgekomen uit het Conti-syndicaat. Deze koppeling werd versterkt door een analyse van de gebruikte tactieken, infrastructuur en communicatiekanalen van de groep. Bovendien toont onderzoek van Intrinsec een aanzienlijke overlap in deze aspecten tussen 3AM en het Conti-syndicaat. Een interessante ontdekking was het gebruik van een Twitter-bot door 3AM om nieuws over hun aanvallen te verspreiden. Dit wijst op een poging tot reputatieschade voor het Amerikaanse slachtofferbedrijf. Ondanks dat 3AM mogelijk minder geavanceerd is dan andere groepen, benadrukken onderzoekers het belang om de groep serieus te nemen vanwege hun potentieel om een groot aantal aanvallen uit te voeren. De Conti-syndicaat, bekend als de grootste en meest agressieve ransomware-operatie tussen 2020 en 2022, splitste zich op in meerdere cellen na een datalek. Veel van zijn leden gingen samenwerken met andere operaties, waardoor ze hun ervaring in alle stadia van een aanval konden inzetten. [1, 2]


❗️Belgisch Woonsectorbedrijf Home-Waremmien.be Slachtoffer van LockBit Cyberaanval

Op 21 januari 2024 werd het Belgische bedrijf Home-Waremmien.be, actief in de huisvestingssector, aangevallen door de beruchte cybercrimineelengroep LockBit. Deze aanval is kenbaar gemaakt via een bericht op het darkweb. Het incident benadrukt de voortdurende dreiging van cybercriminaliteit binnen de huisvestingssector. Home-Waremmien.be is slechts een van de vele slachtoffers van dergelijke aanvallen, waarbij gevoelige bedrijfsinformatie vaak op het spel staat.


Grootschalige Hack op Payoneer Accounts in Argentinië Doorzeefd 2FA-beveiliging

In Argentinië zijn talrijke Payoneer-gebruikers getroffen door een geavanceerde hack, waarbij hun met twee-factor-authenticatie (2FA) beveiligde accounts werden gecompromitteerd en fondsen gestolen. Dit incident kwam aan het licht toen gebruikers ontwaakten en merkten dat hun accounts, ondanks de 2FA-beveiliging, waren gehackt en hun geld verdwenen was. De betrokken bedragen varieerden van 5.000 tot 60.000 dollar. De aanval begon met SMS-berichten over een wachtwoordreset bij Payoneer, waarbij gebruikers om goedkeuring werden gevraagd. Velen hebben verklaard dat ze niet op de URL's in de SMS hebben geklikt en sommigen zagen de berichten pas nadat de diefstal had plaatsgevonden. De gestolen fondsen werden overgemaakt naar onbekende e-mailadressen bij de 163.com-domein. Er zijn aanwijzingen dat deze aanval mogelijk verband houdt met een recent datalek bij de telecomprovider Movistar, hoewel dit lek geen e-mailadressen bevatte die nodig zijn voor het resetten van Payoneer-wachtwoorden. Een andere theorie suggereert dat de SMS-service voor het verzenden van OTP-codes mogelijk is gehackt. Movistar heeft elke verantwoordelijkheid voor de berichten via hun netwerk afgewezen, maar heeft wel stappen ondernomen om de nummers die in de smishing-campagne werden gebruikt, te blokkeren. Payoneer heeft de kwestie erkend en werkt samen met autoriteiten om de fraude aan te pakken. Ze suggereren dat phishing de oorzaak kan zijn, maar veel getroffen gebruikers ontkennen op phishing-links te hebben geklikt. Het bedrijf heeft nog niet specifiek gereageerd op de aanval, en het precieze mechanisme achter de hack blijft onduidelijk. De focus ligt op de zwakke plekken in Payoneer's systeem, vooral de afhankelijkheid van SMS-gebaseerde 2FA en het wachtwoordherstelproces. De situatie is nog steeds in ontwikkeling, en Payoneer-gebruikers in Argentinië worden geadviseerd om voorzorgsmaatregelen te nemen zoals het opnemen van fondsen of het uitschakelen van SMS-gebaseerde 2FA en het resetten van hun wachtwoord. [1, 2, 3]


Russische Hackers Stelen Microsoft Bedrijfsemails in Maandlange Inbreuk

Microsoft heeft onlangs bekendgemaakt dat hun bedrijfsemails zijn gehackt door een door de Russische staat gesteunde groep, bekend als Midnight Blizzard. Deze aanval werd op 12 januari ontdekt, maar vond al plaats sinds november 2023. De hackers gebruikten een password spray aanval om toegang te krijgen tot een verouderde, niet-productieve testaccount van Microsoft. Deze methode houdt in dat hackers een lijst van mogelijke inlognamen verzamelen en vervolgens proberen in te loggen met een specifiek wachtwoord. Als dit wachtwoord niet werkt, herhalen ze het proces met andere wachtwoorden. Het feit dat de hackers toegang konden krijgen tot de account door een brute force aanval wijst erop dat het niet beveiligd was met tweefactorauthenticatie of multifactorauthenticatie, wat Microsoft aanbeveelt voor alle online accounts. Nadat ze toegang hadden gekregen, hadden de hackers meer dan een maand toegang tot een klein percentage van Microsoft's bedrijfsemails. De gehackte accounts behoorden toe aan leden van het leiderschapsteam van Microsoft en werknemers op de cybersecurity- en juridische afdelingen. Uit deze accounts werden emails en bijlagen gestolen. Microsoft benadrukt dat deze inbreuk niet kwam door een kwetsbaarheid in hun producten of diensten, maar door een brute force aanval op hun accounts. Nobelium, ook bekend als Midnight Blizzard, APT29, en Cozy Bear, is een Russische staatgesponsorde hackgroep, gelinkt aan de Russische Buitenlandse Inlichtingendienst (SVR). Ze zijn eerder in verband gebracht met diverse aanvallen, waaronder de SolarWinds supply chain aanval in 2020, die ook Microsoft trof. Microsoft meldt dat deze inbreuk geen materiële impact heeft gehad op de bedrijfsvoering. [1, 2]


Chinese Hackers Misbruiken VMware-kwetsbaarheid voor Twee Jaar

Een Chinese hackersgroep heeft sinds eind 2021 een kritieke kwetsbaarheid in VMware's vCenter Server (CVE-2023-34048) uitgebuit als een zero-day. VMware heeft de kwetsbaarheid in oktober 2023 gepatcht, maar het werd pas onlangs bevestigd dat het in het wild werd gebruikt. De beveiligingsfirma Mandiant onthulde dat de groep, bekend als UNC3886, deze kwetsbaarheid benutte om vCenter servers binnen te dringen en inloggegevens te compromitteren. Hiermee installeerden ze backdoors op ESXi hosts via vSphere Installation Bundles (VIBs). De aanvallers gebruikten vervolgens een VMware Tools authenticatie-bypass fout (CVE-2023-20867) om hun privileges te verhogen, bestanden te oogsten en te exfiltreren van gast-VM's. Mandiant ontdekte dat deze aanvallen samenhingen met crashes van de VMware vmdird service, wat duidde op exploitatie van CVE-2023-34048. UNC3886 richt zich voornamelijk op organisaties in de defensie-, overheid-, telecom- en technologiesectoren in de VS en de APJ-regio. Ze hebben een voorkeur voor zero-day kwetsbaarheden in firewalls en virtualisatieplatformen, vooral die zonder Endpoint Detection and Response (EDR) mogelijkheden. In maart onthulde Mandiant dat ze ook een Fortinet zero-day (CVE-2022-41328) misbruikten in dezelfde campagne om FortiGate firewall-apparaten te compromitteren. [1]


Cyberaanvallen op Universiteitspersoneel via Gecamoufleerde Bestanden

Medewerkers van universiteiten en onderzoeksinstellingen, met name diegenen gericht op het Midden-Oosten, in landen zoals België en Frankrijk, worden momenteel getroffen door gerichte cyberaanvallen. Deze aanvallen worden uitgevoerd door een vanuit Iran opererende groep, door Microsoft aangeduid als 'Mint Sandstorm'. Deze groep benadert de doelwitten, vaak onder de vermomming van gerenommeerde journalisten van bekende nieuwsmedia, en vraagt om input voor artikelen. Hierbij gebruiken ze vervalste e-mailadressen die lijken op die van de personen die ze imiteren, of ze gebruiken gecompromitteerde e-mailaccounts. Het kenmerkende aan deze aanvallen is het gebruik van .pdf.lnk-bestanden om malware te verspreiden. In eerste instantie bevat de communicatie geen kwaadaardige inhoud. Echter, na enige tijd stuurt de aanvallende partij een artikel of document, vermomd als een .rar-bestand, dat eigenlijk een schadelijk .pdf.lnk-bestand bevat. Doordat Windows standaard geen bestandsextensies toont, lijkt het voor de ontvanger alsof het bestand eindigt op .pdf. Bij het openen van dit lnk-bestand wordt er malware gedownload. Microsoft adviseert niet expliciet om het verbergen van bestandsextensies uit te schakelen, maar verwijst wel naar een pagina waar dit wordt aanbevolen. Deze aanvalsmethode benadrukt het belang van waakzaamheid in digitale communicatie, vooral voor personen die werkzaam zijn in gevoelige sectoren zoals universitair onderzoek. Het is essentieel om alert te blijven op ongewone verzoeken, zelfs als deze afkomstig lijken te zijn van bekende of legitieme bronnen. [1, 2]


Kritieke Kwetsbaarheid in VMware vCenter Nu Actief Uitgebuit

VMware heeft bevestigd dat een kritieke kwetsbaarheid in vCenter Server, eerder gepatcht in oktober, nu actief wordt uitgebuit. Deze kwetsbaarheid, ontdekt door Trend Micro onderzoeker Grigory Dorodnov, is een gevolg van een schrijffout buiten de grenzen in de DCE/RPC-protocolimplementatie van vCenter. Aanvallers kunnen deze kwetsbaarheid op afstand uitbuiten zonder authenticatie of gebruikersinteractie, wat leidt tot een hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid. vCenter Server is een managementplatform voor VMware vSphere-omgevingen, waarmee beheerders ESX- en ESXi-servers en virtuele machines kunnen beheren. De kwetsbaarheid, geïdentificeerd als CVE-2023-34048, heeft geleid tot aanvallen op VMware-servers, die vervolgens door netwerktoegangsmakelaars worden verkocht op cybercrime forums. Ransomwaregroepen zoals Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti, en Akira richten zich nu rechtstreeks op VMware ESXi-servers van slachtoffers om gegevens te stelen, te versleutelen en hoge losgelden te eisen. Meer dan 2.000 VMware Center-servers zijn momenteel online blootgesteld, waardoor bedrijfsnetwerken risico lopen, gezien hun rol in het beheer van vSphere. VMware heeft beheerders aangespoord om, bij gebrek aan een workaround, strikte netwerkperimetercontroles uit te voeren op vSphere-beheercomponenten. De specifieke netwerkpoorten die gekoppeld zijn aan mogelijke exploitatie in aanvallen gericht op deze kwetsbaarheid zijn 2012/tcp, 2014/tcp en 2020/tcp. In juni repareerde VMware ook meerdere ernstige beveiligingslekken in vCenter Server, die risico's van code-uitvoering en authenticatie-omzeiling met zich meebrachten. Bovendien herstelde het bedrijf een zero-day in ESXi, gebruikt door Chinese staatshackers in data-diefstalaanvallen, en waarschuwde het voor een ander actief uitgebuit kritiek lek in Aria Operations for Networks. IT-beheerders en beveiligingsteams hebben sinds begin dit jaar meerdere beveiligingswaarschuwingen moeten adresseren, inclusief zero-days die andere servers zoals Ivanti Connect Secure, Ivanti EPMM, en Citrix Netscaler beïnvloeden. [1]


Groot Ransomware-incident bij VF Corporation Raakt 35 Miljoen Klanten

Bij VF Corporation, het moederbedrijf van bekende merken als The North Face, Eastpak, Kipling, SmartWool, Timberland en Vans, heeft een omvangrijk datalek plaatsgevonden. Dit incident is het gevolg van een ransomware-aanval die op 13 december werd ontdekt, waarbij persoonlijke gegevens van meer dan 35 miljoen klanten zijn buitgemaakt. Na de ontdekking van de aanval werden diverse systemen direct uitgeschakeld en een onderzoek ingesteld. Twee dagen later, op 15 december, slaagde VF erin de aanvallers uit het netwerk te verwijderen. Deze maatregelen hadden echter aanzienlijke gevolgen voor de bedrijfsvoering. Zo ontstonden er problemen bij het bijwerken van voorraden in winkels en liepen bestellingen vertraging op. Dit resulteerde ook in een afname van de vraag in de webshops en annuleringen van bestellingen door klanten. De impact van de aanval is nog steeds voelbaar, zij het op kleinere schaal. VF Corporation heeft tot nu toe weinig details vrijgegeven over de specifieke aard van de gestolen gegevens. Het bedrijf heeft echter verzekerd dat er geen wachtwoorden, social-securitynummers, bankgegevens of betaalkaartinformatie zijn gelekt. De volledige omvang en de aard van de gestolen gegevens blijven vooralsnog onbekend. Dit incident onderstreept het toenemende risico van cyberaanvallen en datalekken, waarbij zelfs grote, gevestigde bedrijven zoals VF Corporation kwetsbaar blijken. Het benadrukt tevens het belang van robuuste cybersecuritymaatregelen en snelle responsstrategieën om de impact van dergelijke incidenten te minimaliseren. [1]


❗️Hackers Ultimatum aan Limburg.net: Gegevens van 311.000 Klanten Mogelijk Openbaar tenzij Eisen Voldaan voor Zaterdag

Een maand geleden heeft een cyberaanval op afvalintercommunale Limburg.net geleid tot een aanzienlijk datalek. Hackers zijn erin geslaagd om persoonlijke gegevens van 311.000 gezinshoofden te bemachtigen. Deze informatie omvat namen, adressen en rijksregisternummers. Als reactie op de aanval heeft Limburg.net preventieve maatregelen genomen door al haar computersystemen en de website tijdelijk offline te halen. Hans Roggen, vertegenwoordiger van Limburg.net, benadrukte de plicht tot open communicatie over het incident. De gelekte gegevens bestaan uit twee verouderde lijsten van directe inning uit 2014 en 2015. Deze lijsten bevatten geen contactinformatie zoals telefoonnummers, e-mailadressen of bankgegevens. Bezorgde burgers kunnen op de website van Limburg.net nagaan of hun gemeente getroffen is. Ondanks de ernst van de situatie stelt Limburg.net dat de schade beperkt is, aangezien de gestolen gegevens volgens experts weinig waardevol zijn voor de hackers. Daarnaast heeft VRT NWS bevestigd dat ze toegang hadden tot enkele gestolen documenten op de pagina van het hackerscollectief. Interessant is dat Limburg.net aangeeft dat de hackers financiële gegevens van 61 Limburgers hebben ingezien, maar deze gegevens zijn niet gekopieerd. De betrokken klanten zullen persoonlijk gecontacteerd worden. Ook openbare documenten van voor de fusie in 2005 zijn gestolen. De timing van de openbare bekendmaking door Limburg.net is opvallend, aangezien het samenvalt met een deadline van de hackers op het darkweb, die een losgeld van 100.000 dollar eisen. Roggen verduidelijkt dat er geen contact is geweest met de hackers en benadrukt de risico's van betaling aan criminelen. Hij sluit af met de verzekering dat extra beveiligingsmaatregelen zijn genomen, hoewel een deel van de gegevens mogelijk op het darkweb zal verschijnen. [1]


❗️Datalek bij Easypark: Klantgegevens en Wachtwoordhashes Blootgesteld

In een recente update heeft Easypark, na een cyberaanval vorig jaar, bevestigd dat niet alleen persoonlijke gegevens van klanten zoals namen, telefoonnummers, adressen, e-mailadressen en gedeeltelijke IBAN- of creditcardnummers zijn gestolen, maar ook wachtwoordhashes. Het exacte aantal getroffen klanten en details over hoe de aanval heeft kunnen plaatsvinden, blijven echter onbekend. Easypark benadrukt dat, hoewel de wachtwoorden gehasht waren, het nog steeds raadzaam is voor getroffen klanten om hun wachtwoorden op andere online platformen te wijzigen, vooral als ze dezelfde wachtwoorden elders gebruiken. Als een proactieve maatregel heeft Easypark al de wachtwoorden van getroffen klanten gereset en stelt het gebruik van een wachtwoordmanager voor om toekomstige veiligheidsrisico's te minimaliseren. Het bedrijf heeft de nadruk gelegd op het belang van transparantie en klantenzorg in hun communicatie en spijt betuigd voor het eventuele ongemak dat door het datalek veroorzaakt is. Easypark is vastbesloten om het vertrouwen van hun klanten te herstellen en werkt aan verbeteringen om de veiligheid van klantgegevens te waarborgen. Het datalek bij Easypark onderstreept het groeiende belang van cybersecurity in de digitale wereld, waarbij gebruikers aangemoedigd worden om sterke, unieke wachtwoorden te gebruiken en alert te blijven op mogelijke beveiligingsrisico's. [1]


TeamViewer Misbruikt voor Netwerkinbreuken in Nieuwe Ransomware-aanvallen

In een recente ontwikkeling zijn cybercriminelen begonnen met het misbruiken van TeamViewer, een populaire software voor externe toegang, om netwerken binnen te dringen en ransomware-aanvallen uit te voeren. Deze methode maakt gebruik van gestolen inloggegevens om toegang te krijgen tot TeamViewer-accounts, waardoor aanvallers malware of ransomware kunnen installeren op aangesloten apparaten. Een dergelijk scenario werd eerder in 2016 waargenomen met de Surprise ransomware. Deze tactiek van netwerkinbreuk is recentelijk onderzocht door het cybersecuritybedrijf Huntress. Zij ontdekten dat TeamViewer werd gebruikt om ransomware te implementeren via DOS batch-bestanden, resulterend in geslaagde aanvallen op bepaalde endpoints. In sommige gevallen werd de aanval echter geblokkeerd door antivirussoftware. Het blijkt dat de gebruikte ransomware een variant is van de LockBit-encryptor, geproduceerd met een gelekte LockBit Black bouwset. Hoewel de identiteit van de aanvallers onbekend blijft, is het duidelijk dat diverse groepen, waaronder Bl00dy en Buhti, deze bouwset gebruiken voor hun kwaadaardige activiteiten. Als reactie benadrukt TeamViewer het belang van sterke beveiligingspraktijken, zoals complexe wachtwoorden, tweefactorauthenticatie, en het regelmatig bijwerken van software. Ze adviseren ook het naleven van best practices voor veilige onbeheerde toegang om ongeautoriseerde toegang tot netwerken te voorkomen.  [1, 2]


Actieve Exploitatie van Kritieke Ivanti Authenticatie Omzeilingsfout

In een recente waarschuwing van de Amerikaanse overheid is gebleken dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) en MobileIron Core. Aanvankelijk werd gedacht dat het beveiligingslek alleen in een oudere versie van MobileIron Core aanwezig was. Echter, Ivanti heeft later bevestigd dat alle versies van beide producten kwetsbaar zijn. EPMM fungeert als een motor voor mobile management software en maakt mobile device management (MDM) mogelijk. Dit stelt organisaties in staat om de mobiele apparaten van hun medewerkers te beheren, zoals het toestaan van specifieke applicaties of het implementeren van bepaald beleid. MobileIron Core biedt vergelijkbare functionaliteiten voor het beheer van personeelsapparatuur. Het beveiligingslek, aangeduid als CVE-2023-35082, stelt een ongeauthenticeerde aanvaller in staat om toegang te krijgen tot de EPMM-server. Vanuit daar kan de aanvaller wijzigingen aan de server doorvoeren en toegang verkrijgen tot persoonlijke informatie van gebruikers. De ernst van deze kwetsbaarheid is beoordeeld met de hoogste score van 10.0 op een schaal van 1 tot 10. Ivanti heeft op 2 augustus updates uitgebracht om dit lek te verhelpen en op 6 oktober aangekondigd dat alle versies van MobileIron Core en EPMM kwetsbaar zijn. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft recentelijk gemeld dat er actief misbruik van deze kwetsbaarheid wordt gemaakt. Specifieke details over de aard van deze aanvallen zijn echter niet vrijgegeven. Deze waarschuwing komt kort nadat bekend werd dat aanvallers op grote schaal een beveiligingslek in Ivanti Connect Secure VPN exploiteren. [1]


Cyberaanval Verstoort Netwerksystemen van Kansas State University

Kansas State University (K-State), een openbare onderzoeksuniversiteit, heeft recentelijk een aanzienlijke cyberaanval ondergaan. Deze aanval veroorzaakte ernstige verstoringen in verschillende IT-systemen van de universiteit. De aanval werd opgemerkt toen bepaalde systemen, waaronder de VPN, de 'K-State Today' e-mails, en video diensten op Canvas en Mediasite, niet meer functioneerden. Met ongeveer 20.000 studenten en 1.400 academisch personeel, ondervond K-State significante hinder van deze cyberaanval. Nadat de aanval werd gedetecteerd, werden de getroffen systemen offline gehaald. Dit had als gevolg dat naast de eerder genoemde diensten, ook printdiensten, gedeelde drives en mailinglijstbeheer (Listservs) niet meer beschikbaar waren. De universiteit heeft extra middelen ingezet om de getroffen systemen zo snel en veilig mogelijk weer online te krijgen. Ook zijn er externe IT-forensische experts ingeschakeld om bij te dragen aan het lopende onderzoek. K-State heeft instructies gegeven aan academische decanen over hoe ze het onderwijs kunnen voortzetten met alternatieve middelen, en adviseert studenten en personeel om waakzaam te blijven voor verdachte activiteiten. Een recente statusupdate vermeldde dat de e-maildiensten voor 'K-State Today' vanaf 18 januari 2024 weer beschikbaar zouden zijn, maar in een tijdelijke vorm en met vertraagde levering. Hoewel er tot nu toe geen melding is gemaakt van een datalek dat studenten of personeelsinformatie beïnvloedt, blijft de situatie precair. Deze aanval op K-State is de tweede grote cyberaanval op een onderwijsinstelling in 2024, na een ransomware-aanval op de Memorial University of Newfoundland (MUN) eerder die maand. Tot op heden heeft geen enkele grote ransomwaregroep de verantwoordelijkheid voor de aanval op K-State opgeëist. [1, 2]


Nieuwe Malware Campagne Misbruikt 9hits op Kwetsbare Docker Hosts

Cado Security Labs heeft een nieuwe malwarecampagne ontdekt die kwetsbare Docker-diensten aanvalt. Dit is de eerste keer dat malware de 9hits-toepassing als payload inzet. 9hits is een platform waar leden verkeer voor hun websites kunnen genereren door credits te kopen of te verdienen. Malware deploys nu de 9hits viewer-app om credits voor de aanvaller te genereren. De aanval begint wanneer een server, beheerd door de aanvaller, twee containers op de kwetsbare Docker-host deponeert: een XMRig miner en de 9hits viewer-app. Cado Security suggereert dat de aanvaller de kwetsbare host mogelijk via een dienst als Shodan heeft gevonden, aangezien de IP-adressen van de aanvaller niet voorkomen in veelgebruikte misbruikdatabases. De aanvaller gebruikt het Docker API om de containers te deployen, waarbij standaardafbeeldingen van Dockerhub voor de 9hits- en XMRig-software worden gebruikt. Dit is een gangbare aanvalsmethode waarbij generieke beelden worden ingezet voor kwaadaardige doeleinden. In de 9hits-container draait een script (nh.sh) dat de 9hits-app authenticeert met servers om sites te bezoeken, waarna de eigenaar van de sessietoken credits verdient. 9hits gebruikt een headless Chrome-instance om websites te bezoeken. De container met XMRig software is gericht op het minen van cryptocurrency. Het voornaamste effect van deze campagne op gecompromitteerde hosts is uitputting van bronnen; XMRig gebruikt zoveel mogelijk CPU-bronnen, terwijl 9hits veel bandbreedte, geheugen en de resterende CPU-bronnen in beslag neemt. Dit kan legitieme werklasten op geïnfecteerde servers beïnvloeden. Daarnaast zou de campagne bijgewerkt kunnen worden om een externe shell achter te laten, wat kan leiden tot ernstigere inbreuken. Cado Security benadrukt dat blootgestelde Docker hosts nog steeds een veelgebruikt aanvalspunt zijn. Aangezien Docker het uitvoeren van willekeurige code mogelijk maakt, is het essentieel dat deze diensten goed beveiligd worden om misbruik te voorkomen. [1]


Bigpanzi Botnet: Groot Gevaar voor Android TV en eCos Set-top Boxen

Sinds ten minste 2015 heeft een voorheen onbekende criminele syndicaat genaamd 'Bigpanzi' wereldwijd Android TV en eCos set-top boxen geïnfecteerd met malware. Dit heeft geleid tot de vorming van een groot botnet, dat bestaat uit ongeveer 170.000 dagelijks actieve bots. Beijing-gebaseerd Qianxin Xlabs heeft ontdekt dat het botnet geassocieerd wordt met 1.3 miljoen unieke IP-adressen, voornamelijk in Brazilië. De infectie van de apparaten vindt plaats via firmware-updates of door de gebruikers geïnstalleerde backdoored apps, zoals gemeld door Dr. Web in september 2023. De cybercriminelen monetariseren deze infecties door de apparaten te gebruiken voor illegale mediastreamingplatforms, verkeersproxy-netwerken, distributed denial of service (DDoS)-aanvallen en OTT-contentvoorziening. Xlabs heeft zich in hun rapport gefocust op'pandoraspear' en 'pcdn', twee malwaretools die door Bigpanzi worden gebruikt. Pandoraspear fungeert als een backdoor-trojan, kaapt DNS-instellingen, vestigt commando- en controlecommunicatie en voert commando's uit die het ontvangt van de C2-server. Het gebruikt geavanceerde technieken zoals gewijzigde UPX-shell, dynamische koppeling, OLLVM-compilatie en anti-debugging mechanismen om detectie te ontwijken. Pcdn wordt gebruikt om een peer-to-peer (P2P) Content Distribution Network (CDN) op geïnfecteerde apparaten op te bouwen en beschikt over DDoS-mogelijkheden om apparaten te wapenen. Uit inzichten van Xlabs blijkt dat het Bigpanzi-botnet piekt met 170.000 dagelijkse bots en dat er sinds augustus meer dan 1.3 miljoen onderscheidende IP's zijn waargenomen. Vanwege de beperkte zichtbaarheid van de cybersecurity-analisten en het feit dat de gecompromitteerde TV-boxen niet altijd tegelijkertijd actief zijn, is de werkelijke omvang van het botnet waarschijnlijk groter. Het rapport van Xlabs vermeldt geen details over de toewijzing van de malware, maar suggereert dat de bevindingen slechts het topje van de ijsberg zijn in termen van wat Bigpanzi omvat. [1]


❗️Denham the Jeanmaker Slachtoffer van Cyberaanval

Op 17 januari 2024 werd bekend dat Denham the Jeanmaker, een bekende Nederlandse kledingwinkel, het slachtoffer is geworden van een cyberaanval. De aanval is uitgevoerd door een groep cybercriminelen genaamd Akira. De website van het bedrijf, www.denham.com, bekend om zijn assortiment van kleding en accessoires, is hierbij gecompromitteerd. Deze informatie is onthuld toen Akira de details van hun actie bekendmaakte op het darkweb. De aanval onderstreept het toenemende risico van cybercriminaliteit in de mode-industrie.


GPU's van AMD, Apple, Qualcomm Kwetsbaar voor 'LeftoverLocals' Datalekken

Een recent ontdekte kwetsbaarheid, genaamd 'LeftoverLocals', treft grafische verwerkingseenheden (GPU's) van AMD, Apple, Qualcomm en Imagination Technologies. Deze kwetsbaarheid maakt het mogelijk om gegevens te herstellen uit het lokale geheugen van deze GPU's. De kwetsbaarheid, met de code CVE-2023-4969, is bijzonder relevant in het gebruik van grote taalmodellen (LLM's) en machine learning (ML) processen. Onderzoekers Tyler Sorensen en Heidy Khlaaf van Trail of Bits ontdekten de kwetsbaarheid en rapporteerden deze privé aan de betrokken bedrijven voordat ze een technisch overzicht publiceerden. De kwetsbaarheid komt voort uit het feit dat sommige GPU-frameworks het geheugen niet volledig isoleren, waardoor een kernel op de machine waarden in het lokale geheugen kan lezen die door een andere kernel zijn geschreven. Dit stelt een aanvaller in staat om een 'listener' te lanceren - een GPU-kernel die ongeïnitialiseerd lokaal geheugen leest en de data kan dumpen op een persistente locatie, zoals het globale geheugen. Het herstelde gegevens kunnen gevoelige informatie over de berekeningen van het slachtoffer onthullen, waaronder modelinvoer, -uitvoer, -gewichten en tussenberekeningen. In een multi-tenant GPU-context die LLM's uitvoert, kan LeftoverLocals worden gebruikt om in te luisteren op interactieve sessies van andere gebruikers en gegevens te herstellen uit het lokale geheugen van het 'writer'-proces van het slachtoffer. De onderzoekers van Trail of Bits hebben een proof of concept (PoC) gecreëerd om LeftoverLocals te demonstreren en toonden aan dat een aanvaller tot 5,5 MB gegevens per GPU-aanroep kan herstellen, afhankelijk van het GPU-framework. Op een AMD Radeon RX 7900 XT, die het open-source LLM llama.cpp aandrijft, kan een aanvaller tot 181 MB per query herstellen, voldoende om de reacties van de LLM met hoge nauwkeurigheid te reconstrueren. In reactie hierop zijn mitigatie-inspanningen aan de gang. Sommige leveranciers hebben het al opgelost, terwijl anderen nog werken aan een verdedigingsmechanisme. Apple, Qualcomm en Imagination hebben patches uitgebracht voor sommige van hun apparaten, terwijl AMD en anderen nog kwetsbaar blijven. Trail of Bits stelt voor dat GPU-leveranciers een automatisch mechanisme implementeren om lokaal geheugen tussen kernel-aanroepen te wissen, om zo gevoelige gegevens te isoleren. Andere voorgestelde mitigaties omvatten het vermijden van multi-tenant GPU-omgevingen in beveiligingskritieke scenario's en het implementeren van gebruikersniveau mitigaties. [1, 2, 3, 4]


Cyberaanval op CHU de Nantes (FRA)

In de nacht van 14 op 15 januari werd het CHU (Centre Hospitalier Universitaire) de Nantes, een groot ziekenhuis in Frankrijk, getroffen door een cyberaanval. Deze aanval werd op dinsdag 16 januari beëindigd. Volgens het ziekenhuis was er geen sprake van interne inbreuken of gegevenscompromittering. De cyberaanval bestond uit het sturen van een overweldigend volume aan verkeer naar de servers van het ziekenhuis, met als doel het netwerk te destabiliseren en de dienstverlening te verstoren. Als reactie op de aanval schakelde de Directie van Digitale Diensten van het CHU de internetverbinding uit om de infrastructuur en gegevens van het ziekenhuis te beschermen. Dit leidde tot het blokkeren van de toegang tot de ziekenhuiswebsite, waaronder online afspraakplanning, en het verhinderen van e-mailcommunicatie naar buiten. Het incident zorgde voor tijdelijke verstoringen op de website van het ziekenhuis, en de CHU waarschuwde patiënten die afspraken hadden gemaakt via het online platform Doctolib om hun afspraken te controleren bij de betreffende afdelingen. De herstelwerkzaamheden waren aan de gang, en het ziekenhuis verwachtte dat de normale dienstverlening binnen één of twee dagen zou worden hervat. De cyberaanval benadrukt het groeiende risico van digitale aanvallen op gezondheidszorginstellingen en de noodzaak voor adequate beveiligingsmaatregelen om patiëntgegevens en ziekenhuisoperaties te beschermen. Het CHU de Nantes benadrukte echter dat ondanks de verstoringen, geen patiëntgegevens in gevaar zijn gekomen. [1]


Evolutie van MacOS Info-Stelers: Een Uitdaging voor XProtect

Verschillende informatie stelende malware voor het MacOS-platform blijken zich snel te ontwikkelen om detectie door XProtect, het ingebouwde anti-malware systeem van Apple, te omzeilen. Een rapport van SentinelOne belicht dit probleem aan de hand van drie noemenswaardige malwarevoorbeelden. Ondanks regelmatige updates van Apple aan de malware-database van XProtect, slagen deze info-stelers erin bijna direct na hun ontstaan detectie te vermijden. Een van de voorbeelden is KeySteal, een malware die oorspronkelijk in 2021 werd gedocumenteerd en sindsdien aanzienlijk is geëvolueerd. Het maskeert zich als een ChatGPT-app en probeert persistente toegang te verkrijgen en informatie uit de Keychain, het wachtwoordbeheersysteem van MacOS, te stelen. Ondanks een update van Apple in februari 2023, blijft KeySteal onopgemerkt door XProtect en de meeste antivirus-engines, voornamelijk door hardcoded command and control-adressen. Een ander voorbeeld is Atomic Stealer, oorspronkelijk gedocumenteerd in mei 2023. Deze malware, oorspronkelijk gebaseerd op Go, is al geëvolueerd naar C++-varianten die detectie kunnen omzeilen. De recente versie vervangt codeverduistering door duidelijke AppleScript, wat de datastelende logica blootlegt, en bevat controles tegen virtuele machines. De derde malware, CherryPie, ook bekend als 'Gary Stealer' of 'JaskaGo', werd voor het eerst waargenomen in september 2023. Deze cross-platform malware beschikt over anti-analyse en detectie van virtuele machines. Apple heeft in december 2023 XProtect bijgewerkt om CherryPie te detecteren, maar deze aanpassingen zijn niet altijd effectief gebleken op Virus Total. Deze ontwikkelingen tonen aan dat de continue evolutie van malware een risicovolle kat-en-muisspel creëert voor gebruikers en besturingssysteemfabrikanten. Een strikte afhankelijkheid van statische detectie is ontoereikend en risicovol. Een robuustere benadering zou de integratie van antivirussoftware met geavanceerde dynamische of heuristische analyse, waakzaam netwerkverkeer monitoring, het gebruik van firewalls, en consistente toepassing van de nieuwste beveiligingsupdates moeten omvatten. [1]


Ransomware-aanval teistert Calvia Mallorca (ESP), eist $11 miljoen

De gemeenteraad van Calvià, een historische stad op het Spaanse eiland Majorca, werd het slachtoffer van een ransomware-aanval die afgelopen zaterdag plaatsvond. Deze aanval heeft belangrijke gemeentelijke diensten verstoord. Calvià, met een bevolking van 50.000 inwoners, is een belangrijke toeristische trekpleister in Majorca en trekt jaarlijks ongeveer 1,6 miljoen bezoekers. Na de cyberaanval vormde de gemeenteraad een crisiscomité om de schade te beoordelen en plannen te maken om de impact te verminderen. De burgemeester, Juan Antonio Amengual, meldde dat IT-specialisten bezig zijn met forensische analyses om de omvang van de ongeautoriseerde toegang te beoordelen en de getroffen systemen en diensten te herstellen. Vanwege de IT-storingen heeft de gemeente alle administratieve deadlines voor het indienen van bezwaren, aanvragen, enzovoort, opgeschort tot 31 januari 2024. Inwoners die dringend documenten moeten indienen, kunnen dit nog steeds doen via het portaal van de Algemene Staatsadministratie. De gemeente heeft de politieafdeling cybercriminaliteit ingelicht over het incident en de nodige klachten ingediend, vergezeld van voorlopige forensische analysegegevens. De gemeente betreurt het ongemak dat deze situatie kan veroorzaken en benadrukt haar vastberadenheid om de situatie zo ordelijk, snel en efficiënt mogelijk op te lossen. Telefonische en persoonlijke communicatie met de gemeente blijft normaal functioneren. Op het moment van schrijven van dit artikel had geen enkele grote ransomwaregroep de verantwoordelijkheid voor de aanval op zich genomen, waardoor de daders onbekend blijven. Lokale media meldden echter dat het losgeld dat door de cybercriminelen is vastgesteld €10.000.000 bedraagt, ongeveer $11 miljoen. De burgemeester heeft verklaard dat de gemeente onder geen enkele omstandigheid het losgeld zal betalen. Ransomware vormt een aanzienlijk risico voor entiteiten van elke omvang, inclusief kleine steden, en benadrukt een groeiende zorg in het hedendaagse digitale landschap. Dergelijke aanvallen kunnen vitale gemeentelijke diensten verstoren en leiden tot grote onderbrekingen in de dagelijkse operaties en openbare diensten, met mogelijk nog ernstigere gevolgen als een dergelijke aanval plaatsvindt tijdens het piektoerismeseizoen. [1, 2, 3]


⚠️ Citrix Geconfronteerd met Cyberaanvallen door Zerodaylekken in NetScaler ADC en Gateway

Citrix heeft organisaties gewaarschuwd voor twee actief aangevallen zerodaylekken in NetScaler ADC en Gateway. Deze kwetsbaarheden kunnen leiden tot denial of service aanvallen of ongeautoriseerde code-uitvoering via de managementinterface. Gebruikers van deze systemen worden aangespoord om onmiddellijk de beschikbare beveiligingsupdates te installeren. NetScaler ADC functioneert als een verkeersverdeler tussen servers en het internet, essentieel voor de toegankelijkheid en snelheid van websites en applicaties. NetScaler Gateway biedt op afstand toegang tot bedrijfsapplicaties en wordt vaak ingezet voor thuiswerken. De eerste kwetsbaarheid, genaamd CVE-2023-6548, stelt een geauthenticeerde aanvaller met toegang tot de managementinterface in staat om code uit te voeren. Deze kwetsbaarheid heeft een impactscore van 5.5, deels omdat de aanvaller geauthenticeerd moet zijn. Citrix adviseert om de toegang tot de managementinterface niet via het internet mogelijk te maken. De tweede kwetsbaarheid, CVE-2023-6549, maakt het mogelijk voor een aanvaller om een denial of service aanval uit te voeren. Deze heeft een hogere impactscore van 8.2 en is van toepassing als de appliance als Gateway geconfigureerd staat. Citrix heeft ervoor gekozen geen verdere details over de aanvallen of de kwetsbaarheden vrij te geven om potentiële aanvallers niet te assisteren. Deze waarschuwing benadrukt het belang van snelle updates en waakzaamheid voor organisaties die afhankelijk zijn van deze Citrix-systemen voor hun netwerkbeheer en beveiliging. [1, 2]


Proactieve Maatregelen van GitHub.com tegen Cyberaanvallen na Ontdekt Beveiligingslek

GitHub.com heeft onlangs besloten tot het roteren van verschillende sleutels als reactie op een beveiligingslek. Dit lek stelde aanvallers in staat om toegang te krijgen tot omgevingsvariabelen van een productiecontainer. Deze actie volgt op de ontdekking van een kwetsbaarheid (CVE-2024-0200), die reeds op 26 december op GitHub.com werd verholpen. De sleutelrotatie op het platform leidde eind december tot meerdere dagen van verstoring. Hoewel het roteren van de meeste sleutels geen significante gevolgen had voor klanten, vereiste een specifieke actie op 23 januari extra aandacht. Deze betrof de GitHub commit signing key, die verlopen was. Voor nieuwe commits wordt sindsdien een nieuwe key gebruikt, en commits die nog met de oude key zijn gesigneerd, zullen vanaf 23 januari niet langer geverifieerd worden. Ontwikkelaars die commits buiten GitHub verifiëren, moeten de nieuwe public key importeren in hun omgeving. Dit geldt ook voor GitHub Actions, GitHub Codespaces en Dependabot. Gebruikers die nog oude keys gebruiken, kunnen foutmeldingen ondervinden. GitHub heeft geen bewijs gevonden dat aanvallers misbruik hebben gemaakt van de kwetsbaarheid. Echter, als preventieve maatregel worden in dergelijke gevallen standaard alle potentieel blootgestelde keys geroteerd. Het beveiligingslek is ook aanwezig in GitHub Enterprise Server (GHES), maar vereist daar specifieke toegangsrechten voor exploitatie, wat de kans op misbruik verkleint. Het artikel sluit af met een discussie over het gebruik van de term 'roteren'. Een gebruiker licht toe dat deze term van origine gebruikt wordt in de context van backuptapes, maar nu ook gangbaar is voor het vervangen van cryptografische sleutels en credentials. De gebruiker benadrukt het belang van correct taalgebruik in de IT, ondanks de evolutie van terminologie in de sector. [1]


Amerikaanse Overheid Alarmeert over Androxgh0st-malware Bedreiging

De Amerikaanse overheid heeft recentelijk een waarschuwing uitgevaardigd over de Androxgh0st-malware, een digitale dreiging die serieuze risico's inhoudt voor organisaties. Deze malware heeft de capaciteit om inloggegevens en andere gevoelige informatie te stelen, en kan daarnaast systemen integreren in een botnet. Androxgh0st-malware is bijzonder omdat het gebruikmaakt van oudere kwetsbaarheden in bekende software zoals Apache HTTP Server, PHP en Laravel-applicaties. Deze kwetsbaarheden dateren uit de jaren 2017, 2018 en 2021, wat benadrukt hoe belangrijk het is voor organisaties om hun systemen up-to-date te houden. De malware richt zich specifiek op .env-bestanden, die vaak gevoelige informatie bevatten zoals inloggegevens voor veelgebruikte applicaties waaronder Amazon Web Services, Microsoft Office 365, SendGrid en Twilio. Bovendien is de malware in staat om misbruik te maken van het Simple Mail Transfer Protocol (SMTP) voor bijvoorbeeld het versturen van spam. De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben voorbeelden en Indicators of Compromise met betrekking tot de malware verstrekt. Deze informatie is essentieel voor organisaties om potentiële infecties te identificeren en passende maatregelen te nemen. Het advies van de Amerikaanse opsporingsdiensten is tweeledig: ten eerste, het updaten van software om bekende beveiligingslekken te dichten, en ten tweede, het controleren van .env-bestanden voor tekenen van ongeautoriseerde toegang of gebruik. Hoewel de exacte reden voor deze specifieke waarschuwing niet wordt vermeld, blijkt uit gegevens van securitybedrijf FortiGuard Labs dat de malware nog steeds actief is en een reële bedreiging vormt. [1, 2]


Grootse Besmetting met Cryptominer via Illegale Software

Een recent rapport van antivirusbedrijf Doctor Web heeft onthuld dat in minder dan twee maanden tijd meer dan 40.000 computers zijn besmet met een cryptominer door het gebruik van illegale software. De malware, verborgen in illegale versies van populaire programma's zoals Adobe-software en Microsoft Office, wordt verspreid via Telegram-kanalen en websites.  Deze malware is bijzonder invasief. Eenmaal geïnstalleerd op een computer, voegt het zich toe aan de uitzonderingen van Windows Defender en blokkeert het de mogelijkheid van de computer om uit te schakelen of in slaapstand te gaan. Het primaire doel van deze malware is het gebruiken van de rekenkracht van de geïnfecteerde computers voor het minen van cryptovaluta. Daarnaast installeert de malware een rootkit, die extra maatregelen neemt om detectie te voorkomen. Belangrijke functies zoals Windows Update worden uitgeschakeld, toegang tot bepaalde websites wordt geblokkeerd, en het cryptominingproces wordt automatisch gestopt wanneer de gebruiker monitoringsoftware draait. Deze acties zorgen ervoor dat gebruikers moeilijker kunnen ontdekken dat hun computer is besmet. Dit incident benadrukt de risico's van het downloaden en gebruiken van illegale software. Niet alleen is het illegaal, maar het stelt gebruikers ook bloot aan ernstige beveiligingsrisico's zoals deze, waarbij persoonlijke en bedrijfscomputers kunnen worden omgevormd tot onwetende deelnemers in een grootschalig cryptomining-netwerk. Dit voorbeeld dient als een krachtige waarschuwing voor de gevaren van niet-geverifieerde softwarebronnen. [1]


⚠️ Wijdverspreide Uitbuiting van Ivanti Connect Secure Zero-Day Kwetsbaarheden

Twee zero-day kwetsbaarheden in Ivanti's Connect Secure VPN en Policy Secure netwerktoegangscontrole (NAC) apparaten worden momenteel op grote schaal uitgebuit. Deze kwetsbaarheden, ontdekt door het dreigingsinformatiebedrijf Volexity, worden sinds december 2023 in aanvallen gebruikt. Aanvallers maken gebruik van de CVE-2023-46805 authenticatie omzeiling en de CVE-2024-21887 commando-injectie kwetsbaarheden. De getroffenen zijn wereldwijd verspreid en variëren van kleine bedrijven tot enkele van de grootste organisaties, waaronder meerdere Fortune 500-bedrijven in verschillende sectoren. Volexity ontdekte dat aanvallers de systemen van hun doelwitten hebben geïnfecteerd met een GIFTEDVISITOR webshell-variant, gevonden op honderden apparaten. Op 14 januari 2024 hadden ze meer dan 1.700 ICS VPN-apparaten geïdentificeerd die met deze webshell waren gecompromitteerd. De lijst van ontdekte slachtoffers omvat overheids- en militaire afdelingen, nationale telecommunicatiebedrijven, defensieaannemers, technologiebedrijven en organisaties in de bank-, financiële en accountancysector. Ivanti heeft nog geen patches uitgebracht voor deze actief uitgebuite zero-days. Administrators wordt geadviseerd om verzachtende maatregelen toe te passen en Ivanti's Integrity Checker Tool te gebruiken. Alle gegevens op de ICS VPN-apparaten, inclusief wachtwoorden en geheimen, moeten als gecompromitteerd worden beschouwd bij tekenen van een inbreuk. Volgens Shadowserver zijn momenteel meer dan 16.800 ICS VPN-apparaten online zichtbaar, waarvan bijna 5.000 in de Verenigde Staten. Aanvallen zijn geëscaleerd, met meerdere dreigingsactoren die nu deze kwetsbaarheden uitbuiten. Mandiant onthulde dat er vijf aangepaste malwarevarianten zijn ingezet op systemen van getroffen klanten. Deze aanvallen zijn gericht op het plaatsen van webshells, extra kwaadaardige payloads en het stelen van inloggegevens. Onder de gebruikte tools bevinden zich Zipline Passive Backdoor, Thinspool Dropper, Wirefire web shell, Lightwire web shell en Warpwire harvester. [1, 2, 3, 4, 5, 6]


Amerikaanse Rechtbankdocumenten Onthullen Tactieken van Nep Antivirus Verlengings Phishing

In een recente ontwikkeling belicht de Amerikaanse Secret Service de methoden van cybercriminelen die $34,000 stalen via frauduleuze e-mails over antivirusverlenging. Een opvallende zaak, beschreven in een beslagleggingsverzoek, betrof het misleiden van een slachtoffer via een nep e-mail over het vernieuwen van een Norton antivirusabonnement. De e-mail beweerde dat de ontvanger spoedig zou worden belast voor een verlenging en moedigde aan om een telefoonnummer te bellen om de transactie te annuleren. Na het bellen van dit nummer, werd het slachtoffer gemanipuleerd om software voor externe toegang te installeren en inloggegevens op een phishingpagina in te voeren. In een specifiek geval ontving een slachtoffer een bericht waarin stond dat hij $349,95 zou worden aangerekend, tenzij hij de betaling annuleerde. De oplichter verkreeg vervolgens toegang tot de laptop van het slachtoffer, waardoor hij $34,000 van de spaarrekening van het slachtoffer naar diens lopende rekening kon overmaken. Het slachtoffer werd misleid door een blauw scherm dat op de monitor werd weergegeven, waardoor hij de daadwerkelijke acties van de oplichter niet kon zien. JPMorgan Chase, waar de gestolen gelden waren opgeslagen op een rekening van een persoon genaamd Bingsong Zhou, geassocieerd met dergelijke phishingpraktijken, identificeerde de frauduleuze activiteit. Hierop volgend werden de fondsen verplaatst naar een controle-rekening van de bank en werd de toegang van Zhou tot de fondsen beperkt. De Secret Service streeft nu naar inbeslagname van de $34,000, aangezien dit mogelijk winsten uit criminele activiteiten zijn. Zhou wordt geconfronteerd met beschuldigingen van draadfraude, betrokkenheid bij een phishingzwendel en mogelijk ook van witwassen, bankfraude en samenzwering tot het plegen van draadfraude. [pdf]


❗️Cybercriminelen Misbruiken Kwetsbaarheden in SonicWall Firewalls in Nederland en België

Nederlandse en Belgische bedrijven die SonicWall next-generation firewalls (NGFW) gebruiken, worden gewaarschuwd voor urgente beveiligingsrisico's. Recente ontdekkingen onthullen dat cybercriminelen actief kwetsbaarheden misbruiken die kunnen leiden tot ernstige aanvallen zoals Denial-of-Service (DoS) en Remote Code Execution (RCE).

De Kwetsbaarheden

De kwetsbaarheden, bekend als CVE-2022-22274 en CVE-2023-0656, vormen een groot risico voor bedrijven. Ze stellen aanvallers in staat om systemen te verstoren en potentieel controle over te nemen. Het probleem ligt in de beheerinterface van meer dan 178.000 SonicWall NGFW-apparaten. Deze interfaces zijn vaak online toegankelijk, waardoor ze een gemakkelijk doelwit worden voor cybercriminelen.

Impact in Nederland en België

In Nederland en België worden deze kwetsbaarheden actief uitgebuit. Cybercriminelen richten zich op bedrijven en overheidsinstanties, waardoor de noodzaak om te patchen urgenter wordt. De kwetsbaarheden kunnen leiden tot onderhoudsmodus van de firewalls, wat directe ingrepen van beheerders vereist.

Gevolgen en Risico's

Het misbruik van deze kwetsbaarheden kan leiden tot ernstige gevolgen, waaronder het verstoren van de netwerkbeveiliging en het mogelijk maken van ongeautoriseerde VPN-toegang. Gezien de wijdverspreide inzet van SonicWall-apparaten, is het risico op grootschalige aanvallen en datalekken aanzienlijk.

Aanbevelingen

Het is cruciaal dat beheerders onmiddellijk actie ondernemen. Dit houdt in:
1. Zorgen dat de beheerinterface van SonicWall-apparaten niet online toegankelijk is.
2. Upgraden naar de nieuwste firmwareversies om de kwetsbaarheden te patchen.

 

De dreiging is reëel en actief in Nederland en België. Het is essentieel dat bedrijven en overheidsinstanties direct maatregelen nemen om hun netwerken te beschermen tegen deze ernstige cyberdreigingen.

Meer info


Salarisfraude via Social Engineering-aanvallen op Amerikaanse Ziekenhuis Helpdesks

De American Hospital Association, die ongeveer vijfduizend Amerikaanse ziekenhuizen en zorginstellingen vertegenwoordigt, meldt dat de helpdesks van deze ziekenhuizen doelwit zijn van geraffineerde social engineering-aanvallen. Het primaire doel van deze aanvallen is salarisfraude. Aanvallers, die al toegang hebben tot persoonlijke gegevens van ziekenhuispersoneel, bellen de helpdesk van het ziekenhuis voorziende als medewerkers. Ze gebruiken de verkregen persoonlijke informatie om de beveiligingsvragen te beantwoorden en vragen vervolgens om een wachtwoordreset voor het e-mailaccount van de desbetreffende medewerker. Ook verzoeken ze om een nieuw telefoonnummer toe te voegen voor multifactorauthenticatiecodes. Door deze wijzigingen krijgen de aanvallers volledige toegang tot het e-mailaccount van de medewerker en andere applicaties. Vervolgens manipuleren ze betalingsverwerkers om de salarisbetalingen van de medewerkers om te leiden naar frauduleuze Amerikaanse bankrekeningen. Er wordt vermoed dat het geld uiteindelijk naar buitenlandse rekeningen wordt overgemaakt. Als reactie hierop worden ziekenhuizen aangemoedigd om striktere beveiligingsprotocollen voor hun helpdesks in te voeren. Voorstellen omvatten het terugbellen naar het bij het ziekenhuis bekende telefoonnummer van de medewerker bij verzoeken om wachtwoordresets of toevoeging van nieuwe MFA-apparaten. Een grote organisatie heeft zelfs besloten om dergelijke wijzigingen enkel in persoon toe te staan, wat inhoudt dat het personeel persoonlijk langs de helpdesk moet gaan voor dergelijke aanvragen. [1]


⚠️ Slimme Malware Omzeilt Windows SmartScreen en Plundert Wachtwoordmanagers

Een nieuwe vorm van malware, genaamd Phemedrone Stealer, maakt gebruik van een kwetsbaarheid in Windows SmartScreen om gevoelige informatie te stelen van wachtwoordmanagers, authenticatie-apps en cryptowallets. Deze dreiging is bijzonder zorgwekkend vanwege de wijze waarop het Windows-beveiligingsmechanismen omzeilt. De betreffende kwetsbaarheid, bekend als CVE-2023-36025, stelt de malware in staat om de normaal gesproken door SmartScreen gegenereerde waarschuwingen te omzeilen. Hoewel Microsoft reeds in november een update heeft uitgebracht om deze kwetsbaarheid aan te pakken, blijft het risico bestaan voor systemen die nog niet zijn bijgewerkt. De aanval begint wanneer gebruikers op malafide .url-bestanden klikken. Dit leidt tot het downloaden en automatisch uitvoeren van een schadelijk .cpl-bestand, zonder tussenkomst van SmartScreen. Eenmaal actief, steelt Phemedrone Stealer gegevens zoals wachtwoorden, cookies, en autofill-informatie uit verschillende bronnen. Getroffen applicaties omvatten onder meer LastPass, KeePass, NordPass, Google Authenticator, en Microsoft Authenticator, evenals accounts van Steam, Telegram, FileZilla, en Discord. Deze malware is ook in staat om gevoelige informatie uit veelgebruikte mappen zoals 'Mijn Documenten' en 'Desktop' te extraheren. Het gevaar van Phemedrone Stealer ligt niet alleen in de diefstal van wachtwoorden en accountgegevens, maar ook in de manier waarop het stille toegang verkrijgt door beveiligingsmaatregelen te omzeilen. De dringende aanbeveling aan organisaties en individuele gebruikers is om hun systemen onmiddellijk bij te werken om zich tegen deze dreiging te beschermen.  [1]


❗️Cyberaanval op EasyPark: Persoonsgegevens Gestolen, Maar Niet Gevoelig Volgens Bedrijf

EasyPark, een parkeerappbedrijf, heeft recent bekendgemaakt dat bij een cyberaanval eind vorig jaar persoonsgegevens van gebruikers zijn gestolen. Deze gegevens, waaronder namen, telefoonnummers, en gedeeltelijke IBAN- of creditcardnummers, werden buitgemaakt uit het EasyPark selfservice-webportaal. Het bedrijf benadrukt echter dat deze gegevens volgens de EU-regelgeving niet als gevoelig worden beschouwd. De reactie van EasyPark is bekritiseerd door PvdA-Europarlementariër Paul Tang. Hij betoogt dat hoewel de gestolen gegevens technisch gezien niet als gevoelig worden geclassificeerd, ze toch waardevol kunnen zijn voor criminelen en vatbaar voor misbruik. Tang benadrukt dat het probleem ligt bij de bedrijven die deze gegevens verzamelen en beheren, in dit geval EasyPark, en hun verantwoordelijkheid voor de bescherming ervan. Hij merkt op dat EasyPark eerder betrokken was bij een datalek, wat wijst op een patroon van onvoldoende databeveiliging. EasyPark heeft in een update over het incident gemeld dat een andere aanval was gericht tegen Parkmobile in de Verenigde Staten. Tang pleit voor strenger toezicht en handhaving, gezien het groeiende belang van persoonsgegevens en de frequente datalekken die plaatsvinden. Hij benadrukt dat er meer boetes moeten worden uitgedeeld voor dergelijke incidenten. Reacties op het nieuws zijn verdeeld. Sommige commentatoren ondersteunen Tang's standpunt dat de gestolen gegevens wel degelijk gevoelig zijn, vooral omdat ze door criminelen gebruikt kunnen worden in phishing-aanvallen. Anderen wijzen op de noodzaak van meer actie tegen criminelen die misbruik maken van dergelijke datalekken. Het incident onderstreept het toenemende risico van cyberaanvallen en de noodzaak voor bedrijven om effectieve databeveiliging te handhaven. Het roept ook vragen op over de verantwoordelijkheid en aansprakelijkheid van bedrijven bij het beheren van persoonsgegevens en de rol van overheidsregulering en -handhaving in het beschermen van consumenten tegen dergelijke inbreuken. [1, 2]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024