Overzicht van slachtoffers cyberaanvallen week 05-2024

Gepubliceerd op 5 februari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De digitale wereld heeft de afgelopen week opnieuw een golf van cyberaanvallen ervaren, waarbij zowel kleine als grote organisaties getroffen zijn door geavanceerde bedreigingen. In het bijzonder staan MKB's onder druk door de toenemende dreiging van Akira cybercriminelen, zoals algemeen wordt benadrukt. Nederland heeft ook zijn deel van de aanvallen gevoeld, met de dienstverlener ese.com die het slachtoffer is geworden van de beruchte LockBit ransomware.

Ziekenhuizen en zorginstellingen lijken een specifiek doelwit te zijn, met significante aanvallen gemeld in Kreis Soest (Duitsland), bij het Saint Anthony Kinderziekenhuis en Lurie Kinderziekenhuis in de Verenigde Staten, en bij het Caritas-Klinik Dominikus in Berlijn. Ook andere cruciale sectoren zijn niet gespaard gebleven, met meldingen van cyberincidenten bij organisaties zoals het Albanese Statistiekbureau, Cloudflare, en de Roemeense Kamer van Afgevaardigden.

De dreiging is divers en omvangrijk, variërend van geavanceerde malware in Android-apps op Google Play tot gerichte aanvallen die misbruik maken van kwetsbaarheden in VPN-apparaten en routers. De activiteiten van cybercriminelen zoals de Akira-groep, die oude Cisco-lekken exploiteren, benadrukken de behoefte aan constante waakzaamheid en geavanceerde beveiligingsmaatregelen.

De impact van deze cyberaanvallen is verstrekkend, met slachtoffers variërend van multinationals, die miljoenen verliezen door geavanceerde deepfake-technologie, tot de diefstal van grote hoeveelheden cryptovaluta en significante datalekken die miljoenen mensen treffen. Dit alles onderstreept de ernstige financiële en operationele gevolgen van cybercriminaliteit.

Ondanks de sombere situatie, is er een sprankje hoop met de introductie van nieuwe oplossingen zoals de 'White Phoenix' decryptor, die belooft om de schade van gedeeltelijk versleutelde ransomware aan te pakken.

Hieronder vindt u een uitgebreid overzicht van de cyberaanvallen van de afgelopen week, die een duidelijk beeld schetsen van de huidige cyberveiligheidslandschap en de urgente behoefte aan robuuste beschermingsstrategieën. Met een alarmerende tellerstand van 12.163 organisaties waarvan de data op het darkweb is gelekt, is het duidelijk dat de digitale dreiging een kritiek punt heeft bereikt.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
cxm.com LockBit cxm.com USA Metal Industries 4-feb-24
Commonwealth Sign Qilin www.commonwealthsign.com USA Miscellaneous Manufacturing Industries 4-feb-24
Cole, Cole, Easley & Sciba BianLian cceslaw.com USA Legal Services 4-feb-24
pbwtulsa.com LockBit pbwtulsa.com USA Legal Services 3-feb-24
Abelsantosyasoc.com.ar STORMOUS abelsantosyasoc.com.ar Argentina Business Services 2-feb-24
Digitel Venezuela Medusa www.digitel.com.ve Venezuela Communications 2-feb-24
Chaney, Couch, Callaway, Carter & Associates Family Dentistry. BianLian tallyteeth.com USA Health Services 2-feb-24
manitou-group.com LockBit manitou-group.com France Machinery, Computer Equipment 2-feb-24
lexcaribbean.com LockBit lexcaribbean.com Trinidad and Tobago Legal Services 2-feb-24
Law Office of Michael H Joseph BianLian www.newyorktriallawyers.org USA Legal Services 2-feb-24
Tandem BianLian tandemlasvegas.com USA Construction 2-feb-24
Innovex Downhole Solutions PLAY www.innovex-inc.com USA Construction 2-feb-24
gatesshields.com LockBit gatesshields.com USA Legal Services 1-feb-24
stemcor.com LockBit stemcor.com United Kingdom Wholesale Trade-durable Goods 1-feb-24
manchesterfertility.com LockBit manchesterfertility.com United Kingdom Health Services 1-feb-24
Borah Goldstein Altschuler Nahins & Goidel Akira www.borahgoldstein.com USA Legal Services 1-feb-24
dms-imaging Cuba www.dms-imaging.com France Measuring, Analyzing, Controlling Instruments 1-feb-24
taloninternational.com LockBit taloninternational.com USA Miscellaneous Manufacturing Industries 1-feb-24
etsolutions.com.mx ThreeAM etsolutions.com.mx Mexico Engineering Services 1-feb-24
bandcllp.com LockBit bandcllp.com USA Accounting Services 1-feb-24
Southwark Council MEOW LEAKS www.southwark.gov.uk United Kingdom General Government 1-feb-24
Robert D. Clements Jr Law Group, LLLP BianLian rdclements.com USA Legal Services 1-feb-24
CNPC Peru S.A. Rhysida www.cnpc.com.pe Peru Oil, Gas 1-feb-24
mnorch.org LockBit minnesotaorchestra.org USA Amusement And Recreation Services 31-jan-24
apeagers.au LockBit eagersautomotive.com.au Australia Automotive Dealers 31-jan-24
derrama.org.pe LockBit derrama.org.pe Peru Educational Services 31-jan-24
Hydraflow BlackCat (ALPHV) www.hydraflow.com USA Aerospace 31-jan-24
SportsMEDIA Technology BlackCat (ALPHV) www.smt.com USA IT Services 31-jan-24
LeClair Group BlackCat (ALPHV) www.leclairgroup.com USA Insurance Carriers 31-jan-24
Galaxy Fireworks, Inc Medusa galaxyfireworks.com USA Miscellaneous Retail 31-jan-24
Sefin Akira www.sefin.it Italy IT Services 31-jan-24
North Hill BLACK SUIT www.northhill.org USA Health Services 31-jan-24
vh********en.de Cloak Unknown Germany Unknown 31-jan-24
Elliott Wave International 8BASE elliottwave.com USA Publishing, printing 31-jan-24
VVD Elettrotecnica Srl 8BASE www.vvdelettrotecnica.it Italy IT Services 31-jan-24
Basin Trucking and Oilfield Services LLC 8BASE basintrucking.com USA Motor Freight Transportation 31-jan-24
Nbbl 8BASE nbbl.no Norway Real Estate 31-jan-24
Meag Va-system AB 8BASE www.meag.se Sweden Miscellaneous Manufacturing Industries 31-jan-24
SΓ©quano 8BASE sequano.fr France Construction 31-jan-24
Geographe 8BASE geographe.com.au Australia Transportation Equipment 31-jan-24
sahchicago.org LockBit sahchicago.org USA Health Services 31-jan-24
mrm.com.mx LockBit mrm.com.mx Mexico Wholesale Trade-durable Goods 31-jan-24
Diamond Technical Services, Inc. 8BASE www.diamondtechnicalservices.com USA Engineering Services 31-jan-24
Able One a Quadbridge Company 8BASE www.ableone.com USA IT Services 31-jan-24
Ausa Trigona www.ausa.com USA Transportation Equipment 30-jan-24
Genesis Motors Trigona www.genesismotors.com.au Australia Automotive Dealers 30-jan-24
CMG Drainage Engineering Trigona www.cmgdrainage.com USA Engineering Services 30-jan-24
Daher Contracting Trigona www.dahercontracting.net USA Construction 30-jan-24
clackamas.edu LockBit clackamas.edu USA Educational Services 30-jan-24
TECHNICA BlackCat (ALPHV) technicacorp.com USA IT Services 30-jan-24
grimme.dk LockBit grimme.dk Denmark Machinery, Computer Equipment 29-jan-24
crowe.com.za LockBit crowe.com.za USA Accounting Services 29-jan-24
ese.com LockBit ese.com Netherlands Miscellaneous Services 29-jan-24
MA Engineering BianLian eam-engineers.com USA Construction 29-jan-24
Lomma Crane & Rigging Trigona www.jflommainc.com USA Business Services 29-jan-24
Castilleja School Akira www.castilleja.org USA Educational Services 29-jan-24
Safe Plating Akira www.safeplating.net USA Fabricated Metal Products 29-jan-24
Dutton Brock BlackCat (ALPHV) duttonbrock.com Canada Legal Services 29-jan-24
Get Away Today Akira www.getawaytoday.com USA Transportation Services 29-jan-24
Black Butte Coal Co INC Ransom blackbuttecoal.com USA Mining 29-jan-24
Waterford Country School INC Ransom waterfordcountryschool.org USA Educational Services 29-jan-24
Benjamin Plumbing Inc INC Ransom benjaminplumbing.com USA Construction 29-jan-24
CORBETT EXTERMINATING Inc INC Ransom corbettexterminating.com USA Business Services 29-jan-24
North American University INC Ransom na.edu USA Educational Services 29-jan-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
ese.com LockBit ese.com Netherlands Miscellaneous Services 29-jan-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 05-02-2024 12.163

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Cybercriminelen Exploiteren 'Leaky Vessels' in Docker en runc, Slachtoffers ook in Nederland en België

Beveiligingsonderzoeker Rory McNamara onthulde in november 2023 vier 'Leaky Vessels' kwetsbaarheden in runc en Buildkit, waarmee cybercriminelen Docker-containers kunnen binnendringen en host-systemen bereiken. Deze kwetsbaarheden veroorzaken momenteel incidenten, ook in Nederland en België. Dringende updates van Docker, AWS en Google Cloud zijn beschikbaar gesteld om de bedreigingen tegen te gaan.  [1]


Aanzienlijke financiële impact van cyberaanval op Clorox

Clorox, een vooraanstaand Amerikaans schoonmaakmiddelenbedrijf, heeft te kampen gehad met aanzienlijke financiële gevolgen door een cyberaanval in augustus 2023. Deze aanval heeft geleid tot verstoringen in de bedrijfsvoering en heeft een directe kostenpost van $49 miljoen veroorzaakt. Deze kosten omvatten voornamelijk uitgaven voor IT-herstel, forensische experts en andere professionele diensten die nodig waren voor het onderzoek en herstel na de aanval. Ondanks deze tegenslag is het bedrijf actief bezig met herstelwerkzaamheden en verwacht in de toekomst lagere kosten gerelateerd aan de cyberaanval. [1, 2]


Daling in Ransomwarebetalingen

Het aantal slachtoffers van ransomware die tot betaling overgaan, is significant gedaald, van 85% in 2019 naar 29% in het vierde kwartaal van 2023. Deze trend wordt toegeschreven aan verbeterde veerkracht van IT-omgevingen en de mogelijkheid voor slachtoffers om data te herstellen zonder decryptietools. Tegelijkertijd groeit de scepsis over de beloftes van cybercriminelen. Coveware, gespecialiseerd in het afhandelen van ransomwarebesmettingen, uit kritiek op overheidsplannen om losgeldbetalingen te verbieden, daar dit een vorm van capitulatie zou symboliseren. [1] Binnenkort meer info op Cybercrimeinfo.


Ransomware-aanval op Saint Anthony Kinderziekenhuis (USA)

Het Saint Anthony Kinderziekenhuis in Chicago is getroffen door een ransomware-aanval van Lockbit, die de systemen gijzelde en $800.000 eiste. Het ziekenhuis bevestigde de inbreuk en meldde dat hoewel medische en financiële gegevens veilig waren, patiëntinformatie was buitgemaakt. Na een eerdere aanval op een Canadees ziekenhuis, die Lockbit terugdraaide, weigert de groep nu dezelfde coulance te tonen, waardoor patiënten worden geadviseerd om waakzaam te zijn voor fraude. [pdf]


Cyberaanval treft Albanees Statistiekbureau

Het Instituut voor Statistiek van Albanië (INSTAT) maakte bekend dat het doelwit is geworden van een cyberaanval. Deze aanval, beschreven als geavanceerd, heeft bepaalde systemen van het instituut geraakt. INSTAT reageerde snel door internetverbindingen af te sluiten en noodprotocollen te activeren om gegevens te beschermen. Gelukkig waren niet alle systemen getroffen; in het bijzonder bleven de systemen voor recente volkstellingen buiten schot. Het instituut werkt samen met de autoriteiten om de bron en het doel van de aanval te achterhalen, de normale werking te hervatten en de cyberbeveiliging te versterken. Deze aanval volgt op eerdere incidenten in Albanië, waaronder een aanval op de website van het parlement in december en een grote cyberaanval in juli 2022, waarvoor internationale technologiebedrijven Iran de schuld gaven. Deze gebeurtenissen benadrukken de voortdurende cyberdreigingen waarmee het land geconfronteerd wordt. [1]


AnyDesk Getroffen door Cyberaanval: Broncode en Certificaten Gestolen

AnyDesk, een populaire oplossing voor toegang op afstand, heeft bevestigd slachtoffer te zijn geworden van een cyberaanval. Bij deze aanval zijn hackers erin geslaagd toegang te krijgen tot de productiesystemen van het bedrijf. Het is aan het licht gekomen dat tijdens de aanval zowel broncode als privé code-ondertekeningscertificaten zijn ontvreemd. Het bedrijf, dat diensten levert aan klanten als 7-Eleven en de Verenigde Naties, heeft onmiddellijk actie ondernomen door de getroffen certificaten in te trekken en de systemen waar nodig te vervangen. AnyDesk verzekerde zijn gebruikers dat het programma veilig is, en dat er geen bewijs is dat eindgebruikersapparaten door het incident zijn getroffen. Ook al werd beweerd dat geen authenticatietokens zijn gestolen, adviseert AnyDesk, uit voorzorg, al zijn gebruikers om hun wachtwoorden te wijzigen. Na een onderbreking van vier dagen, gerelateerd aan de cyberaanval, is het inloggen op de AnyDesk-client hersteld. Gebruikers wordt geadviseerd over te stappen op de nieuwste softwareversie, waarin een nieuw code-ondertekeningscertificaat is geïntegreerd. [1]


Cyberaanval legt systemen Lurie Kinderziekenhuis plat (USA)

Het Lurie Kinderziekenhuis in Chicago, een vooraanstaand ziekenhuis met 360 bedden, 1.665 artsen en 4.000 medische stafleden, moest noodgedwongen zijn IT-systemen offline halen na een cyberaanval. Deze ingreep verstoorde de normale bedrijfsvoering en leidde tot vertraging in medische zorg. Het ziekenhuis, dat jaarlijks meer dan 200.000 kinderen verzorgt, maakte via zijn website en sociale media bekend actief te reageren op een cybersecurityincident, wat leidde tot het offline halen van netwerksystemen om de verspreiding van de aanval te voorkomen. Door de aanval waren internet-, e-mail-, telefoonservices en toegang tot het MyChat-platform niet beschikbaar. Patiënten in nood werd aangeraden 911 te bellen of naar de dichtstbijzijnde spoedeisende hulp te gaan. Hoewel het ziekenhuis open bleef en probeerde de zorg met minimale verstoringen voort te zetten, leidde de aanval tot vertragingen bij geplande procedures, waren resultaten van echografieën en CT-scans niet beschikbaar, en werden recepten op papier uitgegeven. Het ziekenhuis ging over op een 'wie het eerst komt, wie het eerst maalt'-aanpak, met prioriteit voor spoedgevallen. Tot op heden heeft geen enkele grote ransomwaregroep de verantwoordelijkheid voor de aanval opgeëist. [1, 2]


Uitgebreide Analyse Ontdekt Pegasus-Spyware Slachtoffers

Recent onderzoek van Citizen Lab, in samenwerking met Access Now, heeft aangetoond dat de Pegasus-spyware breed ingezet is voor spionageactiviteiten in Jordanië. Uit dit onderzoek, waarbij iPhones van verschillende slachtoffers zijn geanalyseerd, blijkt dat in totaal 35 personen doelwit waren van deze spyware. De meerderheid van de geïdentificeerde doelwitten zijn werkzaam in de juridische sector, maar ook journalisten en medewerkers van private organisaties zijn getroffen. Bij zes van deze gevallen is bevestigd dat de iPhones succesvol geïnfecteerd waren met Pegasus. Voor de overige gevallen is er bewijs van aanvallen, maar kon niet vastgesteld worden of deze succesvol waren. Citizen Lab heeft tevens 21 andere gebruikers geanalyseerd die anoniem wensen te blijven. Het grootste deel van deze groep is actief in de mediasector, maar ook activisten, juristen en medewerkers van private bedrijven zijn vertegenwoordigd. In totaal identificeerde Citizen Lab dertig besmettingen en daarnaast werden door andere onderzoekspartners nog vijf besmettingen vastgesteld. [1]


Toename van Malware in Android-apps op Google Play Ontdekt

In recent onderzoek is gebleken dat er een zorgwekkende toename is van malware in Android-apps die beschikbaar zijn op de Google Play Store. Cyberbeveiligingsonderzoekers hebben diverse schadelijke apps geïdentificeerd die zich voordeden als legitieme toepassingen. Deze malafide apps hebben de potentie om persoonlijke gegevens te stelen, financiële schade te veroorzaken en de privacy van gebruikers in gevaar te brengen. Deze ontdekking benadrukt het belang van voorzichtigheid bij het downloaden van apps van officiële app-winkels en het up-to-date houden van beveiligingssoftware op Android-apparaten. Het is essentieel voor gebruikers om alleen vertrouwde apps te installeren en de beoordelingen en beoordelingen van andere gebruikers te controleren voordat ze een app downloaden. Bovendien moeten regelmatige beveiligingsupdates worden uitgevoerd om kwetsbaarheden te verhelpen en de bescherming van persoonlijke gegevens te waarborgen. [1]


Gerichte Cyberaanval op Cloudflare

Cloudflare werd in november 2023 het doelwit van een vermoedelijk door een staat gesponsorde cyberaanval. De aanvallers verkregen toegang tot Cloudflare's Atlassian-server, maar klantgegevens of -systemen werden niet getroffen. De aanval werd ontdekt door Cloudflare's forensisch team in samenwerking met CrowdStrike. Aanvallers wisten toegang te verkrijgen tot interne systemen, waaronder de Atlassian Confluence wiki en de Jira bugdatabase. De toegang werd verkregen via toegangstokens en inloggegevens van serviceaccounts die na een eerder incident in oktober 2023 niet waren gewijzigd. Cloudflare heeft de toegang van de aanvallers op 24 november afgesloten en werkt samen met andere marktpartijen en overheden om de aanval te onderzoeken. [1]


Grote Diefstal van Cryptovaluta XRP van Ripple-oprichter

Ongeveer $112,5 miljoen aan XRP is gestolen uit persoonlijke cryptowallets van Chris Larsen, oprichter van Ripple. Larsen meldt dat onbekenden toegang kregen tot zijn XRP-accounts, waarbij 213 miljoen XRP werd buitgemaakt. De waarde van de cryptomunt daalde na de aanval van $112,5 miljoen naar ongeveer $105,4 miljoen. Na de diefstal zijn crypto-exchanges ingelicht, getroffen wallets bevroren en opsporingsinstanties ingeschakeld. Beveiligingsonderzoeker ZachXBT bracht het incident aan het licht, waarbij de gestolen XRP via verschillende exchanges is verspreid. [1]


Ivanti VPN-apparaten Moeten Offline in VS Overheidsinstanties

Amerikaanse federale overheidsinstanties zijn opgedragen om Ivanti Connect Secure (CS) en Policy Secure (PS) VPN-apparaten los te koppelen van het internet. Deze actie, opgelegd door het Cybersecurity & Infrastructure Security Agency (CISA), is een reactie op de ontdekking van kritieke kwetsbaarheden in deze apparaten. Deze kwetsbaarheden stellen kwaadwillenden in staat om met verhoogde rechten willekeurige code uit te voeren. Na het loskoppelen moeten instanties actief zoeken naar sporen van inbreuken en hun beveiligingsmaatregelen versterken, zoals het monitoren van identiteits- en authenticatiemanagementdiensten en het isoleren van IT-systemen waar mogelijk. [1]


Exploitatie van Oud Cisco-lek door Akira Cybercrimegroep

Een vier jaar oud lek in Cisco's AnyConnect SSL VPN wordt uitgebuit door de cybercrimegroep Akira voor de verspreiding van ransomware. Ondanks de beschikbaarheid van een patch sinds mei 2020, blijven sommige systemen ongepatcht. Akira benut de kwetsbaarheid CVE-2020-3259, waardoor gevoelige gegevens uit het geheugen van de Cisco ASA en Firepower Threat Defense systemen kunnen worden gehaald. De groep maakt gebruik van legitieme inloggegevens van gebruikers en zet de VPN-implementaties in als springplank voor netwerkinfiltratie en ransomwareverspreiding. [1]


Verscherpte Alert: Ivanti Zerodays en Geautomatiseerde Cyberdreigingen

Mandiant, onderdeel van Google Cloud, waarschuwt voor actieve uitbuiting van kwetsbaarheden in Ivanti's ConnectSecure VPN en Policy Secure appliances. Deze aanvallen, deels geautomatiseerd, exploiteren vier zerodaykwetsbaarheden, waardoor aanvallers willekeurige code met verhoogde rechten kunnen uitvoeren. UNC5221, een Chinese cyberspionagegroep, wordt als belangrijke actor genoemd. Daarnaast onthult Mandiant details over de aanvalsmethoden, waaronder de inzet van een specifieke webshell, BUSHWALK, voor gerichte aanvallen.


Neppe Data Aangeboden: Europcar en Experts Weerleggen Authenticiteit

Een dataset met gegevens van 48 miljoen Europcar-klanten werd te koop aangeboden op een cybercrimineel forum. Europcar ontkent echter de echtheid van deze data, vermoedend dat het met AI zoals ChatGPT is gefabriceerd. De dataset bevat incongruenties, zoals niet-bestaande adressen en e-mailadressen met ongebruikelijke domeinen, die niet overeenkomen met Europcar's records. Beveiligingsexpert Troy Hunt bevestigt deze twijfels, gezien de onregelmatigheden en het ontbreken van overeenkomsten tussen gegevens in de dataset. [1, 2]


Alamos Gold Getroffen door Cyberaanval met Grote Gevolgen

Alamos Gold, een middelgrote goudproducent, is het slachtoffer geworden van een cyberaanval waarbij gevoelige bedrijfsgegevens publiekelijk zijn uitgelekt. Het beveiligingsincident, waarbij onder andere sociale verzekeringsnummers, loonadministratie, financiële informatie en persoonlijke gegevens van hogere leidinggevenden betrokken waren, werd uitgevoerd door Black Basta, een ransomwaregroep die ook verantwoordelijk is voor eerdere aanvallen op Sobeys en Yellow Pages Canada. Het bedrijf, met meer dan 1.900 werknemers en drie mijnen in Noord-Amerika, zag zijn aandelen dalen na het nieuws over de aanval. Dit incident onderstreept de groeiende bezorgdheid over digitale veiligheid in de mijnbouwindustrie en benadrukt de frequentie waarmee aanvallen de mineralenwinning kunnen verstoren. Recentelijk zijn er vergelijkbare cyberaanvallen gerapporteerd op grote mijnbouwbedrijven, wat de urgentie benadrukt voor versterkte cybersecurity in deze sector. [1]


Cyberaanval treft Caritas-Klinik Dominikus in Berlijn

De Caritas-Klinik Dominikus in Berlijn-Reinickendorf is het nieuwste slachtoffer van een cyberaanval. De details over de getroffen systemen en de omvang van de schade zijn nog onduidelijk. Na de ontdekking van de aanval, nam de IT-afdeling samen met externe veiligheidsexperts onmiddellijk uitgebreide maatregelen om de verspreiding te stoppen. De kliniek heeft een crisisstaf opgezet, en een melding gemaakt bij de politie. De precieze impact van de aanval wordt nog onderzocht door zowel interne als externe specialisten. Ondanks technische beperkingen, verzekerde de kliniek dat de patiëntenzorg en -veiligheid gewaarborgd bleven en dat de normale operaties doorgang vonden. Echter, de spoedeisende hulp is momenteel van de noodhulp uitgesloten. Het ziekenhuis kan vanwege lopende onderzoeken nog geen gedetailleerde informatie over de omvang van de aanval verstrekken. [1]


Grootschalige Cyberaanval op Roemeense Kamer van Afgevaardigden

De Kamer van Afgevaardigden in Roemenië is recentelijk het doelwit geworden van een ernstige cyberaanval. Hackers hebben toegang verkregen tot de databank van de instelling en wisten daarbij gevoelige informatie te ontvreemden, inclusief gegevens over de premier. Volgens exclusieve informatie van Digi24, bevatten de gestolen documenten identiteitsbewijzen, medische dossiers en andere persoonlijke gegevens. Onder de buitgemaakte identiteitsdocumenten waren ook die van Marcel Ciolacu en Kelemen Hunor. Een IT-specialist die getuige was van een online opschepperij door een hackersgroep, bracht aan het licht dat zij dreigen met het vrijgeven van persoonlijke gegevens van afgevaardigden als er geen losgeld wordt betaald. Het gevraagde losgeld bedroeg 0,8 bitcoin, omgerekend ongeveer 30.000 euro. Ondanks deze dreiging heeft het Secretariaat-Generaal van de Kamer van Afgevaardigden verklaard dat er officieel geen losgeldeis is ontvangen en dat er een aanklacht wordt ingediend bij DIICOT, het Directoraat voor Onderzoek naar Georganiseerde Misdaad en Terrorisme. [1]


USB-malwarecampagne misbruikt legitieme platforms voor aanvallen

Een cybercriminele groep, bekend als UNC4990, zet sinds 2020 een geavanceerde malwarecampagne op via USB-apparaten. De groep misbruikt legitieme online platforms zoals GitHub, Vimeo, en Ars Technica om versleutelde malware payloads te verbergen in onschuldig ogende content. De malware, verstopt in gebruikersprofielen op forums of videobeschrijvingen, wordt geactiveerd wanneer slachtoffers een kwaadaardige LNK-snelkoppeling op een USB-stick openen. Dit start een PowerShell-script, dat een tussenliggende payload downloadt en decodeert naar een URL. Deze URL leidt naar de malware downloader 'EMPTYSPACE', die vervolgens een backdoor genaamd 'QUIETBOARD' en cryptominers installeert. De campagne heeft al meer dan $55,000 verdiend en blijft een significante dreiging door het slimme gebruik van betrouwbare platforms, waardoor de malware moeilijk te detecteren is voor beveiligingssystemen. [1]


Europcar Ontkent Datalek van 50 Miljoen Gebruikers

Autoverhuurbedrijf Europcar ontkent een datalek te hebben gehad, ondanks beweringen van een cybercrimineel die claimde persoonlijke informatie van 50 miljoen klanten te verkopen. De verkoper had op een bekend hackersforum een bericht geplaatst met data van 31 vermeende Europcar-klanten, waaronder namen, adressen, geboortedata, rijbewijsnummers, en andere gegevens. Europcar, echter, beweert na grondig onderzoek dat de data vals is. Het bedrijf benadrukte dat het aantal records niet overeenkomt met hun eigen data, de voorbeeldgegevens waarschijnlijk door ChatGPT zijn gegenereerd (met onbestaande adressen en e-mailadressen met ongebruikelijke domeinen), en geen van de e-mailadressen in hun database voorkomt. Terwijl sommige van de e-mailadressen wel in eerdere datalekken zijn verschenen, gelooft veiligheidsexpert Troy Hunt niet dat de data met kunstmatige intelligentie is gemaakt, maar eerder dat het een fabricatie is. Dit incident markeert de groeiende complexiteit in de digitale wereld waar de grens tussen echte en vervalste informatie steeds vager wordt.


Waarschuwing voor Actief Uitgebuite iPhone Kernel Beveiligingsfout

De CISA heeft recent gewaarschuwd voor een reeds gepatchte beveiligingsfout in de kernel van Apple producten, waaronder iPhones, Macs, TVs en horloges, die nu actief wordt uitgebuit. De fout, bekend onder CVE-2022-48618, werd oorspronkelijk ontdekt door Apple's veiligheidsonderzoekers en werd pas onthuld in een veiligheidsadviesupdate begin dit jaar. De fout laat aanvallers toe om Pointer Authentication te omzeilen, een beveiligingsfunctie die normaal aanvallen blokkeert die geheugen corruptie bugs proberen te misbruiken. Apple heeft de fout verholpen in latere versies van hun besturingssystemen, waaronder iOS 16.2 en nieuwer. Een groot aantal toestellen wordt beïnvloed door deze kwetsbaarheid, variërend van iPhone 8 en nieuwer tot verschillende generaties van iPads, Macs, Apple TVs en Apple Watches. De CISA heeft federale agentschappen opgedragen deze fout te patchen voor 21 februari, en heeft deze kwetsbaarheid toegevoegd aan hun catalogus van bekende, actief uitgebuite kwetsbaarheden. [1, 2, 3]


Oproep tot Verbetering van de Beveiliging van SOHO Routers tegen Volt Typhoon Aanvallen

De Cybersecurity and Infrastructure Security Agency (CISA) en de FBI hebben fabrikanten van routers voor kleine kantoren en thuisgebruik (SOHO) dringend verzocht om hun apparaten beter te beschermen. Deze oproep komt na aanhoudende pogingen tot overname van deze routers, vooral door de door de Chinese staat gesteunde hackergroep Volt Typhoon (ook bekend als Bronze Silhouette). In een recente richtlijn, gecreëerd met hulp van de FBI, wordt van fabrikanten verwacht dat ze kwetsbaarheden in de webbeheerinterfaces van de routers aanpakken tijdens de ontwerpfase en ontwikkelingsfase. Ook moeten de standaardconfiguraties van de routers aangepast worden om automatische beveiligingsupdates te waarborgen, handmatige overrides bij het uitschakelen van beveiligingsinstellingen te vereisen, en alleen toegang tot de webbeheerinterface toe te staan vanaf apparaten die verbonden zijn met het lokale netwerk. Deze stappen zijn cruciaal omdat talloze apparaten worden gecompromitteerd en gebruikt als springplank voor aanvallen op belangrijke Amerikaanse infrastructuur. Het uiteindelijke doel is om de route die hackers gebruiken om deze apparaten te compromitteren en te gebruiken voor verdere aanvallen, te elimineren. [1, 2]


Ransomware-aanval kost Johnson Controls 27 miljoen dollar

Johnson Controls International, een multinational die industriële controlesystemen, veiligheidsapparatuur, airconditioners en brandveiligheidsapparatuur ontwikkelt en produceert, is in september 2023 getroffen door een ransomware-aanval. Deze aanval heeft het bedrijf 27 miljoen dollar gekost en resulteerde in een datalek, waarbij hackers bedrijfsgegevens hebben gestolen. De aanval, uitgevoerd door de Dark Angels ransomware-groep, begon in de Aziatische kantoren van Johnson Controls en verspreidde zich snel door het netwerk. Dit leidde tot een forse verstoring van hun IT-infrastructuur en klantsystemen. De Dark Angels eisten een losgeld van 51 miljoen dollar voor het verwijderen van de data en het leveren van een bestandsontsleutelaar. Johnson Controls heeft de cyberaanval bevestigd in een kwartaalrapport aan de U.S. Securities and Exchange Commission(SEC), waarin ook de financiële impact en de inspanningen voor herstel worden beschreven. Het bedrijf is vol vertrouwen dat de ongeautoriseerde activiteiten volledig zijn ingedamd en hun digitale producten en diensten operationeel zijn. [1]


Ivanti Meldt Actief Aangevallen Zerodaylek in Connect Secure VPN

Ivanti heeft organisaties gewaarschuwd voor een actief misbruikt zerodaylek in hun producten Connect Secure en Ivanti Policy Secure. Het lek was al tien dagen bekend bij het bedrijf voordat ze de informatie openbaar maakten. Er zijn updates beschikbaar gesteld voor verschillende versies, terwijl andere versies binnenkort een patch zullen ontvangen. In de tussentijd kunnen organisaties zich met een tijdelijke oplossing (mitigatie) beschermen. Connect Secure, voorheen bekend als Pulse Secure, biedt VPN-toegang tot netwerken van organisaties. Ivanti rapporteerde op 10 januari twee kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, die actief werden uitgebuit. Tijdens verder onderzoek ontdekte Ivanti nog twee lekken: CVE-2024-21888 en CVE-2024-21893, waarvan de laatste al actief werd aangevallen. Deze kwetsbaarheden maken server-side request forgery mogelijk, waardoor een ongeauthenticeerde aanvaller toegang kan krijgen tot bepaalde beperkte bronnen. Ivanti heeft updates uitgebracht voor zowel de nieuwe als de eerder ontdekte kwetsbaarheden. Voor sommige softwareversies zijn de updates nog in de maak, maar er is een mitigatie beschikbaar om bescherming te bieden. [1, 2]


☝🏼Online 'White Phoenix' Decryptor Tackles Gedeeltelijk Versleutelde Ransomware

CyberArk heeft 'White Phoenix' gelanceerd, een online versie van een open-source decryptor gericht op het herstellen van gedeeltelijk versleutelde bestanden door ransomware. Deze tool, eerder als Python project beschikbaar op GitHub, is nu toegankelijker gemaakt voor minder technisch onderlegde gebruikers. Met enkele simpele stappen kunnen bestanden online worden geüpload en hersteld. White Phoenix ondersteunt voornamelijk PDF's, Word en Excel documenten, ZIP-bestanden en PowerPoint-presentaties, met een maximale bestandsgrootte van 10MB. De decryptor benut een zwakte in 'intermitterende encryptie', een methode die slechts delen van bestanden versleutelt om de snelheid van de aanval te verhogen, maar tegelijkertijd waardevolle, onversleutelde data achterlaat. Vooral begin- en eindsegmenten van bestanden kunnen vaak worden gered. White Phoenix automatiseert het herstelproces door de onversleutelde delen te combineren en coderingen en karaktermap scrambling om te keren. Hoewel het niet alle systemen volledig kan herstellen, biedt het een kans om waardevolle bestanden terug te krijgen, met name van bepaalde ransomware-families zoals Blackcat/ALPHV, Play, Qilin/Agenda, BianLian, en DarkBit. Voor het verwerken van gevoelige informatie wordt aangeraden White Phoenix lokaal te gebruiken in plaats van bestanden naar CyberArk's servers te uploaden. [1, 2]


Grootschalige Phishingaanvallen via Microsoft Teams Verspreiden DarkGate Malware

Onlangs zijn nieuwe phishingaanvallen ontdekt die Microsoft Teams misbruiken om schadelijke bestanden te verspreiden. De aanvallers versturen massaal uitnodigingen voor groepsgesprekken, ogenschijnlijk afkomstig van gecompromitteerde Teams-gebruikers of -domeinen. Wanneer de uitnodiging wordt geaccepteerd, worden slachtoffers verleid tot het downloaden van een bestand met dubbele extensie, een bekende tactiek van DarkGate. Na installatie maakt de malware contact met een command-and-control server, die al bekend is als onderdeel van de DarkGate-infrastructuur. Microsoft Teams, met een gebruikersbasis van 280 miljoen maandelijkse gebruikers, is een aantrekkelijk doelwit geworden. De aanvallers profiteren hiervan, met name in organisaties waar de beveiligingsinstellingen niet optimaal zijn. Ondanks cliëntzijde beveiligingen kunnen kwaadwillenden via hulpmiddelen zoals TeamsPhisher toch schadelijke payloads versturen. Deskundigen adviseren daarom externe toegang in Teams, indien niet noodzakelijk, uit te schakelen en benadrukken het belang van bewustzijnstraining voor eindgebruikers om de veelzijdigheid van phishingtactieken te herkennen. [1, 2, 3]


De Dreiging van Akira Cybercriminelen voor MKB's

Het Akira ransomware-groep richt zich voornamelijk op kleine en middelgrote bedrijven (MKB's), waarvan 80% slachtoffer is geworden sinds maart 2023. Deze bedrijven zijn kwetsbaar omdat ze vaak beperkte middelen en geen uitgebreide beveiligingsprocedures hebben. De eis van losgeld varieert tussen $200,000 en meer dan $4 miljoen USD. Weigering van betaling resulteert in het dreigen met het openbaren van gegevens. Meestal krijgen hackers toegang via gecompromitteerde inloggegevens. MKB's worden getarget omdat ze makkelijkere toegangspunten kunnen zijn tot grotere bedrijven. In 2023 zijn er meerdere gevallen van aanvallen op MKB's die hebben geleid tot grootschalige inbreuken op grote ondernemingen. De gemiddelde herstelkosten van een datalek voor een MKB is bijna $150,000, terwijl wereldwijd dit gemiddeld $4.45 miljoen is. Om risico's te beperken, kunnen MKB's best practices volgen zoals het gebruik van Multi-Factor Authenticatie (MFA) en het blokkeren van bekende gecompromitteerde wachtwoorden. Ondanks goede beveiliging starten 98% van de cyberaanvallen met sociale manipulatie. Daarom is het cruciaal om aandacht te besteden aan wachtwoordbeleid en gebruikerstraining om bewustzijn te vergroten.


Ransomware bij ziekenhuizen in Duitsland

De IT-infrastructuur van de Bezirkskliniken Mittelfranken is zwaar getroffen door een gerichte cyberaanval. Onbekende hackers hebben toegang verkregen tot het systeem en belangrijke data versleuteld, waaronder persoonlijke en interne informatie. De gevolgen van de aanval zijn momenteel nog niet volledig te overzien, maar vaststaat dat er data is buitgemaakt. Als reactie zijn alle systemen onmiddellijk offline gehaald en de relevante autoriteiten ingelicht. De crisisteams, samen met IT-veiligheidsexperts, politie en justitie, zijn druk bezig met het onderzoeken van de aanval. Ondanks de ernstige verstoringen in de kliniekprocessen, blijft de zorg voor patiënten en personeel gewaarborgd door activering van noodplannen. De klinieken zijn momenteel alleen telefonisch bereikbaar. Dit incident benadrukt de toenemende dreiging van cyberaanvallen op zorginstellingen, waarbij de Bezirkskliniken Mittelfranken nu ook slachtoffer is geworden. [1]


Uitgebreide Cyberaanval Treft Fulton County (USA)

In Fulton County heeft een omvangrijke cyberaanval essentiële systemen verlamd, met als gevolg een aanzienlijke verstoring van overheidsdiensten. De aanval werd publiekelijk bekendgemaakt op maandag, nadat bewoners geconfronteerd werden met borden bij overheidsgebouwen die waarschuwden voor aanhoudende problemen. De cyberaanval trof diverse systemen, waaronder de telefoon-, rechtbank- en belastingdiensten. Ondanks de ernstige verstoring verzekerde Robb Pitts, de voorzitter van de Fulton County Board of Commissioners, dat er geen gevoelige informatie lijkt te zijn gestolen. De Sheriff's Office van Fulton County bevestigde ook de impact van de aanval op hun diensten, wat resulteerde in de noodzaak om bepaalde processen handmatig uit te voeren. De aanval had eveneens invloed op transacties via het belastingstelsel en het rechtssysteem, waardoor diverse afdelingen, zoals e-filing en vergunningen voor vuurwapens en huwelijken, werden getroffen. De FBI is ingeschakeld en werkt samen met andere instanties om de cyberaanval te onderzoeken en tegen te gaan. Ondertussen blijft de impact van deze cyberaanval voelbaar, en een tijdschema voor een oplossing is nog niet gegeven. [1]


Groot Datalek bij Keenan & Associates: 1,5 Miljoen Mensen Getroffen

Keenan & Associates, een grote verzekeringsmakelaar en adviesbureau in Californië, heeft een ernstig datalek gemeld waarbij persoonlijke informatie van ongeveer 1,5 miljoen klanten is blootgesteld. Het incident vond plaats in de zomer van 2023, toen hackers toegang verkregen tot interne systemen van Keenan tussen 21 en 27 augustus. De cyberaanval leidde tot de diefstal van gevoelige gegevens zoals volledige namen, geboortedata, socialezekerheidsnummers, paspoortnummers, rijbewijsnummers, gezondheidsverzekeringsinformatie en algemene gezondheidsinformatie. Deze inbreuk brengt ernstige risico's met zich mee, waaronder identiteitsdiefstal, financiële fraude, phishingaanvallen en fraude met ziektekostenverzekeringen. Keenan heeft maatregelen genomen om de beveiliging van hun netwerk en interne systemen te versterken en overweegt verdere stappen om de veiligheid te verbeteren. Aan de getroffen individuen wordt een gratis tweejarige identiteitsdiefstalbeschermingsdienst via Experian aangeboden, en men wordt geadviseerd waakzaam te blijven voor verdachte accountactiviteiten en ongevraagde communicatie. Dit datalek benadrukt het belang van robuuste cyberbeveiligingsmaatregelen en de noodzaak voor individuen om alert te blijven op potentiële dreigingen. [1, 2]


πŸ‡³πŸ‡± Nederlandse Dienstverlener ese.com Getroffen door LockBit

De Nederlandse dienstverlener ese.com is recent het slachtoffer geworden van een cyberaanval door de beruchte groep LockBit. De aanval, die een scala aan diensten verstoort, is op 29 januari 2024 openbaar gemaakt op het darkweb. Dit benadrukt het groeiende risico van cybercriminaliteit en de noodzaak voor bedrijven om hun digitale beveiliging te versterken.


Schneider Electric Getroffen door Cactus Ransomware Aanval

Energie- en automatiseringsreus Schneider Electric werd getroffen door een Cactus ransomware aanval, waarbij de aanvallers bedrijfsgegevens wisten te stelen. De aanval vond plaats op 17 januari en richtte zich op de Sustainability Business divisie van het bedrijf. Door de aanval ondervindt het Resource Advisor cloud platform van Schneider Electric nog steeds uitval. De ransomware-bende stal terabytes aan bedrijfsgegevens en chanteert het bedrijf nu met het dreigement deze gegevens te lekken als er geen losgeld wordt betaald. De gestolen gegevens kunnen gevoelige informatie bevatten over de energievoorziening en naleving van milieu- en energieregelgeving van klanten. Schneider Electric bevestigde de cyberaanval en stelt dat de aanval beperkt bleef tot één divisie en geen andere delen van het bedrijf heeft beïnvloed. Het bedrijf werkt aan herstelmaatregelen en de verdere beoordeling van de impact van de aanval is nog gaande. Schneider Electric, een Frans multinationaal bedrijf, is vooral bekend van merken als Homeline, Square D, en APC. Het bedrijf had in de eerste negen maanden van 2023 een omzet van $28,5 miljard en heeft wereldwijd meer dan 150.000 werknemers. [1]


FBI Waarschuwt: Oplichters Gebruiken Nu Koeriers in Tech Support en Overheid Imitatie Scams

De FBI heeft onlangs alarm geslagen over een nieuwe methode in oplichtingsschema's, waarbij koeriers ingezet worden om contanten en kostbaarheden van slachtoffers, vaak senioren, op te halen. Criminelen, zich voordoend als tech support medewerkers of overheidsfunctionarissen, misleiden slachtoffers door te beweren dat hun financiële rekeningen gevaar lopen. Ze overtuigen de slachtoffers om hun bezittingen te converteren in contant geld of edele metalen zoals goud en zilver. De slachtoffers worden vervolgens benaderd door koeriers die op verschillende locaties, waaronder hun eigen huis, de waardevolle spullen in ontvangst nemen. In veel gevallen krijgen slachtoffers een toegangscode om de transactie te legitimeren. De FBI rapporteert dat tussen mei en december 2023 de verliezen door dergelijke oplichtingen meer dan $55 miljoen bedragen. Ter bescherming adviseert de FBI nooit goud of edele metalen te verzenden na telefonische verzoeken, geen huisadressen te delen, en geen software te downloaden of toegang tot computers te verlenen op verzoek van onbekenden. [1]


Daling Ransomware-betalingen: Slachtoffers Weigeren en Risico's Vermijden

In het laatste kwartaal van 2023 is het percentage slachtoffers van ransomware dat losgeld betaalt, gedaald naar een dieptepunt van 29%, een scherpe daling vergeleken met de 85% in begin 2019. Deze trend, aangegeven door het bedrijf Coveware, wordt veroorzaakt door verbeterde paraatheid van organisaties, wantrouwen tegenover de beloftes van cybercriminelen, en juridische druk in bepaalde regio's waar losgeldbetalingen illegaal zijn. Interessant is dat zelfs bij diefstal van gegevens, slechts 26% koos voor betaling in het laatste kwartaal van 2023. Het gemiddelde losgeldbedrag is ook gedaald met 33% naar $568.705. Coveware benadrukt de complexiteit rond het verbod op losgeldbetalingen. Dergelijke verboden kunnen ertoe leiden dat bedrijven incidenten niet melden en in het geheim opereren via dubieuze tussenpersonen. Een verbod zou waarschijnlijk een illegale markt voor deze diensten creëren en de samenwerking tussen slachtoffers en wetshandhaving ondermijnen. Coveware stelt voor om bestaande mechanismen te versterken en de aantrekkelijkheid en het gemak van losgeldbetalingen te verminderen om de winstgevendheid van ransomware-aanvallen te ondermijnen. Ondanks de uitdagingen blijft de afname van losgeldbetalingen een positieve trend in de strijd tegen ransomware. [1]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024