EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De digitale veiligheidslandschap heeft de afgelopen week opnieuw verontrustende activiteiten gezien, met een reeks cyberaanvallen die wereldwijd verschillende sectoren en organisaties hebben getroffen. Van de ontdekking van Chinese malware in het Nederlandse defensienetwerk door de Militaire Inlichtingendienst, tot een gerichte cyberaanval op North Sea Yacht Support, de dreiging lijkt niet te verminderen. In Nederland werd ook de exploitatie van een Ivanti SSRF zero-day kwetsbaarheid gemeld, terwijl VCS Observation het doelwit werd van een cyberaanval door de groep Akira.
Ondertussen benadrukt België de toenemende risico's van ransomware-aanvallen, met een specifieke nadruk op hoe rijker landen vaker doelwit worden, naast een zorgwekkende toename van dergelijke aanvallen binnen haar grenzen. De Belgische groothandel Harinck werd eveneens het slachtoffer van een cyberaanval, wat de breedte van de bedreiging illustreert.
Internationaal hebben we gezien hoe een grootschalige ransomware-aanval 18 Roemeense ziekenhuizen trof, een cyberaanval een Frans ziekenhuis in Armentières tot de sluiting van de noodafdeling dwong, en diverse andere aanvallen, waaronder een die de persoonsgegevens van miljoenen Fransen blootlegde via Viamedis. Europol's waarschuwing over het actief misbruik van kwetsbaarheden in Ivanti VPN onderstreept de voortdurende bedreiging voor onze digitale veiligheid.
Deze incidenten worden gevolgd door zorgwekkende ontwikkelingen in de verspreiding van malware en de exploitatie van kwetsbaarheden, met nieuwe dreigingen zoals Raspberry Robin malware, nieuwe macOS malware vermomd als een Visual Studio-update, en de toename van DDoS-aanvallen op grote technologiebedrijven.
De activiteiten van cybercriminelen blijven evolueren, zoals blijkt uit de actieve uitbuiting van een kritieke bug in Fortinet RCE, terwijl het aantal slachtoffers van ransomware-aanvallen - waaronder grote namen zoals Hyundai Motor Europe - en de financiële verliezen blijven stijgen.
De impact van cybercriminaliteit wordt nog verder onderstreept door een recordverlies van 10 miljard dollar door fraude in de VS in 2023, en het besluit van Canada om het gebruik van Flipper Zero te verbieden in een poging autodiefstal tegen te gaan.
Met een onthutsende tellerstand van 12.264 organisaties waarvan de data op het darkweb is gelekt, benadrukt deze week opnieuw de cruciale noodzaak voor verhoogde cyberbeveiligingsmaatregelen en bewustwording. Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week, waaruit de omvang en diversiteit van de huidige cyberdreigingen blijken.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| LILI'S BROWNIES | 8BASE | lilisbrownies.fr | France | Eating And Drinking Places | 11-feb-24 |
| Amoskeag Network Consulting Group LLC | Medusa | www.ancgllc.com | USA | IT Services | 11-feb-24 |
| lacolline-skincare.com | LockBit | lacolline-skincare.com | Switzerland | Chemical Producers | 11-feb-24 |
| Upper Merion Township | Qilin | www.umtownship.org | USA | General Government | 10-feb-24 |
| Avianor Aircraft | Hunters International | www.avianor.com | Canada | Transportation Equipment | 10-feb-24 |
| Carespring Health Care | Hunters International | www.carespring.com | USA | Health Services | 10-feb-24 |
| Dalmahoy Hotel & Country Club | Hunters International | www.dalmahoyhotelandcountryclub.co.uk | United Kingdom | Lodging Places | 10-feb-24 |
| Groupe Goyette | Hunters International | www.groupegoyette.com | Canada | Motor Freight Transportation | 10-feb-24 |
| Impact Energy Services | Hunters International | impact-energy.ca | Canada | Engineering Services | 10-feb-24 |
| Nastech | Hunters International | nastech.ae | United Arab Emirates | Oil, Gas | 10-feb-24 |
| Benchmark Management Group | Hunters International | www.benchmarkgrp.com | USA | Real Estate | 10-feb-24 |
| SOPEM Tunisie | Hunters International | www.sopem.com.tn | Tunisia | Machinery, Computer Equipment | 10-feb-24 |
| Lancaster County Sheriff's Office | Hunters International | www.lancastersheriff.net | USA | Justice, Public Order, And Safety | 10-feb-24 |
| Village of Skokie | Hunters International | www.skokie.org | USA | General Government | 10-feb-24 |
| maddockhenson | BlackCat (ALPHV) | maddockhenson.com | USA | Accounting Services | 10-feb-24 |
| aisg-online.com | LockBit | aisg-online.com | USA | IT Services | 10-feb-24 |
| verdimed.es | LockBit | verdimed.es | Spain | Agriculture | 10-feb-24 |
| Pacific American Fish Company Inc. | INC Ransom | pafco.net | USA | Wholesale Trade-non-durable Goods | 10-feb-24 |
| magi-erp.com | LockBit | magi-erp.com | USA | IT Services | 9-feb-24 |
| CTSI | BianLian | ctsiweb.com | USA | Miscellaneous Services | 9-feb-24 |
| J.P. Original | BianLian | www.jpo.com | USA | Wholesale Trade-non-durable Goods | 9-feb-24 |
| TechNet Kronoberg AB | BianLian | www.technetsyd.se | Sweden | IT Services | 9-feb-24 |
| Grace Lutheran Foundation | BlackCat (ALPHV) | www.graceluthfound.com | USA | Health Services | 9-feb-24 |
| Capozzi Adler, P.C. | BianLian | capozziadler.com | USA | Legal Services | 9-feb-24 |
| Drost Kivlahan McMahon & O'Connor LLC | BianLian | www.dkmolaw.com | USA | Legal Services | 9-feb-24 |
| ZGEO | Qilin | zivilgeometer.at | Austria | Construction | 9-feb-24 |
| alfiras.com | LockBit | alfiras.com | United Arab Emirates | Construction | 9-feb-24 |
| indoramaventures.com | LockBit | indoramaventures.com | Thailand | Chemical Producers | 9-feb-24 |
| soken-ce.co.jp | LockBit | soken-ce.co.jp | Japan | Chemical Producers | 9-feb-24 |
| wannago.cloud | Qilin | wannago.cloud | United Arab Emirates | IT Services | 9-feb-24 |
| maximumresearch.com | LockBit | maximumresearch.com | USA | Research Services | 9-feb-24 |
| grupomoraval.com | LockBit | grupomoraval.com | Spain | Real Estate | 9-feb-24 |
| cdtmedicus.pl | LockBit | cdtmedicus.pl | Poland | Health Services | 9-feb-24 |
| willislease.com | Black Basta | willislease.com | USA | Transportation By Air | 9-feb-24 |
| northseayachtsupport.nl | LockBit | northseayachtsupport.nl | Netherlands | Transportation Equipment | 9-feb-24 |
| moneyadvicetrust.org | LockBit | moneyadvicetrust.org | United Kingdom | Social Services | 9-feb-24 |
| seymourct.org | LockBit | seymourct.org | USA | General Government | 9-feb-24 |
| bsaarchitects.com | LockBit | bsaarchitects.com | USA | Construction | 9-feb-24 |
| macqueeneq.com | LockBit | macqueeneq.com | USA | Engineering Services | 9-feb-24 |
| parksite.com | Cactus | parksite.com | USA | Wholesale Trade-durable Goods | 9-feb-24 |
| galbusera.it | LockBit | galbusera.it | Italy | Food Products | 9-feb-24 |
| bulldogbag.com | Underground | bulldogbag.com | Canada | Miscellaneous Manufacturing Industries | 9-feb-24 |
| frenckengroup.com | Underground | frenckengroup.com | Singapore | Machinery, Computer Equipment | 9-feb-24 |
| synology.com | Underground | synology.com | Taiwan | IT Services | 9-feb-24 |
| tpa-group.sk | Underground | tpa-group.sk | Slovakia | Accounting Services | 9-feb-24 |
| Triathlon.group | Underground | triathlon.group | Germany | Electronic, Electrical Equipment, Components | 9-feb-24 |
| water.cc | LockBit | water.cc | USA | Membership Organizations | 8-feb-24 |
| Ducont | Hunters International | www.ducont.com | USA | IT Services | 8-feb-24 |
| Jewish Home Lifecare | BlackCat (ALPHV) | jewishhome.org | USA | Health Services | 8-feb-24 |
| originalfootwear.com | LockBit | originalfootwear.com | USA | Leather Products | 8-feb-24 |
| perkinsmfg.com | LockBit | perkinsmfg.com | USA | Machinery, Computer Equipment | 8-feb-24 |
| Distecna | Akira | www.distecna.com | Argentina | Wholesale Trade-durable Goods | 8-feb-24 |
| Western Municipal Construction | BLACK SUIT | www.wmc-i.com | USA | Construction | 7-feb-24 |
| Southwest Binding & Laminating | BLACK SUIT | swbindinglaminating.com | USA | Wholesale Trade-durable Goods | 7-feb-24 |
| TeraGo | Akira | www.terago.ca | Canada | Miscellaneous Services | 7-feb-24 |
| Anderco PTE LTD | 8BASE | anderco.com.sg | Singapore | Miscellaneous Manufacturing Industries | 7-feb-24 |
| Tetrosyl Group Limited | 8BASE | tetrosyl.com | United Kingdom | Transportation Equipment | 7-feb-24 |
| Therme Laa Hotel and Silent Spa | 8BASE | therme-laa.at | Austria | Amusement And Recreation Services | 7-feb-24 |
| Karl Rieker GmbH and Co. KG | 8BASE | karl-rieker.com | Germany | Apparel And Other Finished Products | 7-feb-24 |
| YRW Limited | 8BASE | yrw.co.nz | New Zealand | Accounting Services | 7-feb-24 |
| Harinck | 8BASE | harinck.be | Belgium | Wholesale Trade-durable Goods | 7-feb-24 |
| axsbolivia.com | LockBit | axsbolivia.com | Bolivia | Communications | 7-feb-24 |
| vimarequipment.com | LockBit | vimarequipment.com | Canada | Automotive Dealers | 7-feb-24 |
| Worthen Industries | 8BASE | www.worthenind.com | USA | Chemical Producers | 6-feb-24 |
| CERALP | 8BASE | ceralp.fr | France | Accounting Services | 6-feb-24 |
| PWS - The Laundry Company | 8BASE | pwslaundry.com | USA | Miscellaneous Services | 6-feb-24 |
| PJ Green Inc | 8BASE | pjgreen.com | USA | Publishing, printing | 6-feb-24 |
| Shipleys LLP | RansomHouse | www.shipleys.com | United Kingdom | Accounting Services | 6-feb-24 |
| Celeste | Akira | www.celeste.fr | France | Communications | 6-feb-24 |
| AVer Information | Akira | www.averusa.com | Taiwan | Electronic, Electrical Equipment, Components | 6-feb-24 |
| B&B Electric Inc | BianLian | www.bandbelectric.com | USA | Construction | 6-feb-24 |
| Hbl Cpas, P.C. | RansomHouse | www.hblcpa.com | USA | Accounting Services | 6-feb-24 |
| ArpuPlus | Medusa | www.arpuplus.com | Egypt | Communications | 6-feb-24 |
| gocco.com | Cactus | gocco.com | Spain | Apparel And Accessory Stores | 6-feb-24 |
| spbglobal.com | Cactus | spbglobal.com | Spain | Chemical Producers | 6-feb-24 |
| Hannon Transport | PLAY | www.hannontransport.com | Ireland | Motor Freight Transportation | 5-feb-24 |
| McMillan Pazdan Smith | PLAY | www.mcmillanpazdansmith.com | USA | Construction | 5-feb-24 |
| Mason Construction | PLAY | www.masonconstruction.net | USA | Construction | 5-feb-24 |
| Albert Bartlett | PLAY | www.albertbartlett.com | United Kingdom | Food Products | 5-feb-24 |
| Perry-McCall Construction | PLAY | www.perry-mccall.com | USA | Construction | 5-feb-24 |
| Virgin Islands Lottery | PLAY | www.winusvilottery.com | U.S. Virgin Islands | Amusement And Recreation Services | 5-feb-24 |
| Premier Facility Management | PLAY | www.pfmgreen.com | USA | Management Services | 5-feb-24 |
| Douglas County Libraries | PLAY | www.dcl.org | USA | Educational Services | 5-feb-24 |
| Leaders Staffing | PLAY | www.leadersstaffing.com | USA | Business Services | 5-feb-24 |
| asecos.com | Black Basta | asecos.com | Germany | Machinery, Computer Equipment | 5-feb-24 |
| themisbourne.co.uk | LockBit | themisbourne.co.uk | United Kingdom | Educational Services | 5-feb-24 |
| Vail-Summit Orthopaedics & Neurosurgery (VSON) | BlackCat (ALPHV) | vsortho.com | USA | Health Services | 5-feb-24 |
| VCS Observation | Akira | www.vcsobservation.com | Netherlands | IT Services | 5-feb-24 |
| hutchpaving.com | LockBit | hutchpaving.com | USA | Construction | 5-feb-24 |
| davis-french-associates.co.uk | LockBit | davis-french-associates.co.uk | United Kingdom | Engineering Services | 5-feb-24 |
| Campaign for Tobacco-Free Kids | BLACK SUIT | tobaccofreekids.org | USA | Membership Organizations | 5-feb-24 |
| ksa-architecture.com | LockBit | ksa-architecture.com | USA | Construction | 5-feb-24 |
| noe.wifi.at | LockBit | noe.wifi.at | Austria | Educational Services | 5-feb-24 |
| GRTC Transit System | BianLian | www.ridegrtc.com | USA | Passenger Transportation | 5-feb-24 |
| tgestiona.br | LockBit | tgestiona.br | Brazil | Transportation Services | 5-feb-24 |
| semesco.com | LockBit | semesco.com | Cyprus | Oil, Gas | 5-feb-24 |
| ultraflexx.com | LockBit | ultraflexx.com | USA | Publishing, printing | 5-feb-24 |
| philogen.com | LockBit | philogen.com | Italy | Chemical Producers | 5-feb-24 |
| prima.com | LockBit | prima.com | USA | Agriculture | 5-feb-24 |
| logtainer.com | LockBit | logtainer.com | Italy | Railroad Transportation | 5-feb-24 |
| portline.pt | LockBit | portline.pt | Portugal | Water Transportation | 5-feb-24 |
| DOD contractors | D0N#T (Donut Leaks) | Unknown | USA | Miscellaneous Services | 5-feb-24 |
Slachtoffers België en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
|---|---|---|---|---|---|
| northseayachtsupport.nl | LockBit | northseayachtsupport.nl | Netherlands | In progress | 9-feb-24 |
| Harinck | 8BASE | harinck.be | Belgium | Wholesale Trade-durable Goods | 7-feb-24 |
| VCS Observation | Akira | www.vcsobservation.com | Netherlands | IT Services | 5-feb-24 |
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| 01-05-2023 | 8.292 |
| 01-05-2024 | ? |
| NU: 12-02-2024 | 12.281 |
Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb
In samenwerking met StealthMole
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
Grootschalige Ransomware Aanval Treft 18 Roemeense Ziekenhuizen
Een grootschalige ransomware aanval heeft ten minste 18 ziekenhuizen in Roemenië offline gedwongen door het versleutelen van de database van hun zorgbeheersysteem, het Hipocrate Information System (HIS). Dit systeem wordt gebruikt voor het beheren van medische activiteiten en patiëntgegevens. De aanval, die plaatsvond in de nacht van 11 op 12 februari 2024, heeft ervoor gezorgd dat het systeem niet meer toegankelijk is, met bestanden en databases die versleuteld zijn. Het Roemeense Ministerie van Gezondheid heeft bekendgemaakt dat IT-specialisten en cybersecurity experts van de National Cyber Security Directorate (DNSC) de situatie onderzoeken en de mogelijkheden voor herstel beoordelen. De aanval heeft een breed scala aan ziekenhuizen getroffen, waaronder regionale en oncologische behandelcentra. Er zijn uitzonderlijke voorzorgsmaatregelengenomen voor andere ziekenhuizen die niet zijn getroffen. Tot op heden is er geen informatie beschikbaar over welke ransomwaregroep verantwoordelijk is of of er patiëntgegevens tijdens het incident zijn gestolen. [1, 2, 3]
Cyberaanval treft ziekenhuis in Armentières; noodafdeling gesloten (FRA)
In de nacht van zaterdag op zondag is het ziekenhuiscentrum in Armentières, Departement Nord, het slachtoffer geworden van een cyberaanval. Dit markeert de eerste keer dat het ziekenhuis dergelijke cybercriminaliteit ervaart. Hackers hebben de data van het ziekenhuis versleuteld en eisen nu een losgeld voor de herstelling ervan. Als direct gevolg van deze aanval is de noodafdeling van het ziekenhuis voor de komende 24 uur gesloten, met een herleiding van patiënten naar andere ziekenhuizen voor dringende zorg. Volgens Samy Bayod, de adjunct-directeur van het ziekenhuis, begonnen de printers ineens berichten af te drukken waarin stond dat hun gegevens waren gecodeerd en dat er contact met de hackers opgenomen moest worden. Deze incident onderstreept de groeiende dreiging van cyberaanvallen op essentiële diensten zoals de gezondheidszorg en benadrukt de noodzaak voor versterkte beveiligingsmaatregelen tegen dergelijke criminele activiteiten. [1]
Cyberaanval treft Krankenhaus Lindenbrunn en Zorginstellingen (DEU)
Het Krankenhaus Lindenbrunn in Coppenbrügge, gespecialiseerd in geriatrie en neurologie, en de bijbehorende zorginstellingen van de Gesundheits- und Pflegeeinrichtungen Lindenbrunn e. V. (GPL) zijn het doelwit geworden van een cyberaanval, ontdekt op 9 februari 2024. Hoewel het volledige bereik van de aanval nog onderzocht wordt, zijn er tot nu toe geen aanwijzingen dat patiënten- of bewonersgegevens zijn gecompromitteerd. De zorg voor patiënten en bewoners blijft gegarandeerd, dankzij een goed georganiseerd noodplan. Als voorzorgsmaatregel zijn alle systemen direct offline gehaald en zijn de verbindingen met de faciliteiten tijdelijk verbroken, waardoor de instelling momenteel slechts beperkt bereikbaar is via email en telefoon. Experts in IT-veiligheid zijn ingeschakeld om alle servers en databases grondig te onderzoeken. Het is nog onduidelijk wanneer de systemen weer volledig operationeel zullen zijn, en men verwacht dat de gebruikelijke communicatiemethodes begin week 7 nog steeds niet beschikbaar zullen zijn. [1]
De Evolutie van Raspberry Robin Malware en het Gebruik van 1-Day Exploits
Recente versies van de Raspberry Robin malware zijn geëvolueerd om stealthier te zijn en maken nu gebruik van zogenaamde 1-day exploits, die alleen worden ingezet op systemen die daar vatbaar voor zijn. Deze 1-day exploits benutten kwetsbaarheden die recentelijk door de softwareontwikkelaar zijn gepatcht, maar waarvan de fix nog niet breed is uitgerold of geïmplementeerd op alle kwetsbare systemen. Raspberry Robin, voor het eerst geïdentificeerd in 2021 door Red Canary, verspreidt zich voornamelijk via verwijderbare opslagapparaten en is in verband gebracht met verschillende cybercriminele groeperingen. De malware heeft zich continu ontwikkeld, met nieuwe ontwijkingstechnieken en distributiemethoden, waaronder het gebruik van de Discord-platform voor het verspreiden van kwaadaardige bestanden. Recente campagnes richten zich op het exploiteren van kwetsbaarheden zoals CVE-2023-36802 en CVE-2023-29360, waarbij de malware deze flaws begon te misbruiken kort na hun openbare onthulling. Check Point's onderzoek wijst uit dat Raspberry Robin geavanceerde anti-analyse, ontwijking, en laterale bewegingsmechanismen heeft toegevoegd, inclusief technieken om detectie door securitytools te vermijden. De malware blijft evolueren, waardoor de dreiging voor systemen wereldwijd toeneemt, met een toenemend gebruik van niet-publieke exploits in haar arsenaal. [1]
Kritieke Fortinet RCE Bug Actief Uitgebuit, Bevestigt CISA
De Cybersecurity and Infrastructure Security Agency (CISA) heeft bevestigd dat aanvallers actief een kritieke remote code execution (RCE) bug in het FortiOS besturingssysteem van Fortinet uitbuiten. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-21762, stelt ongeautoriseerde aanvallers in staat om op afstand willekeurige code uit te voeren via speciaal vervaardigde HTTP-verzoeken. Fortinet heeft de bug op donderdag gepatcht en beheerders geadviseerd om SSL VPN op de apparaten uit te schakelen als onmiddellijke beveiligingsupdate niet mogelijk is. Deze ontwikkeling volgt op de waarschuwing van Fortinet dat de fout mogelijk al "in het wild" wordt uitgebuit. Bovendien heeft CISA de kwetsbaarheid toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden, gezien het een vaak gebruikt aanvalspunt voor kwaadwillende cyberactoren is en aanzienlijke risico's voor het federale ondernemingsniveau vormt. Amerikaanse federale agentschappen zijn opgedragen om FortiOS-apparaten binnen zeven dagen tegen deze bug te beveiligen. Fortinet heeft ook twee andere kritieke RCE-kwetsbaarheden in zijn FortiSIEM-oplossing gepatcht, maar de onthulling hiervan zorgde voor verwarring vanwege aanvankelijke ontkenningen en verwarrende communicatie vanuit het bedrijf. De kwetsbaarheden, ontdekt door Horizon3's Zach Hanley, werden later erkend als varianten van een eerder gepatchte bug. De uitbuiting van Fortinet-fouten, vaak als zero-days, vormt een significant risico voor bedrijfsnetwerken in cyberespionagecampagnes en ransomware-aanvallen. [1, 2, 3, 4]
Nieuwe macOS Malware Doet Zich Voor Als Visual Studio Update
Een recent ontdekte macOS malware, genaamd RustDoor, verspreidt zich als een update voor Visual Studio en biedt achterdeurtoegang tot gecompromitteerde systemen. De malware, ontwikkeld in Rust, is effectief op zowel Intel-gebaseerde als ARM-architecturen en is gelinkt aan de infrastructuur van de beruchte ALPHV/BlackCat ransomwarebende. Deze campagne is actief sinds november 2023 en blijft nieuwe varianten van de malware distribueren. Onderzoekers van Bitdefender, die de malware volgen, hebben ontdekt dat RustDoor communiceert met vier command-and-control servers, waarvan drie eerder gebruikt werden in aanvallen die mogelijk verband houden met ransomwareactiviteiten van een ALPHV/BlackCat affiliate. Ondanks deze associaties is er onvoldoende bewijs om RustDoor direct te koppelen aan specifieke dreigingsactoren. De malware wordt voornamelijk verdeeld alseen updater voor Visual Studio voor Mac, een ontwikkelomgeving die later dit jaar wordt stopgezet. RustDoor gebruikt een atypische distributiemethode om detectie door beveiligingsproducten te vermijden en beschikt over commando's om het gecompromitteerde systeem te controleren en data te exfiltreren. Het past ook systeembestanden aan om persistentie op het apparaat te waarborgen, waaronder het aanpassen van de ~/.zshrc file en het toevoegen aan het Dock om te vermommen als legitieme applicaties. [1]
Recordverlies van 10 miljard dollar door fraude in de VS in 2023
In 2023 hebben Amerikanen een recordbedrag van meer dan 10 miljard dollar verloren aan oplichters, een stijging van 14% ten opzichte van het voorgaande jaar, volgens de Amerikaanse Federal Trade Commission (FTC). Deze toename in fraudeverliezen ging hand in hand met een toename in ransomware betalingen, die meer dan 1.1 miljard dollar bereikten. Er werden meer dan 2.6 miljoen fraude rapporten ingediend, vergelijkbaar met het aantal in 2022. De meest gemelde vorm van fraude was imitatie van bedrijven en overheidsinstellingen, gevolgd door online winkelfraude en oplichting met prijzen, loterijen, en investeringsschema's. Vooral investeringsfraude sprong eruit, met verliezen van meer dan 4.6 miljard dollar, een stijging van 21% ten opzichte van 2022. Bankoverschrijvingen en cryptocurrency waren de voornaamste methoden waarmee consumenten geld verloren.De FTC heeft meer dan 5.4 miljoen consumentenrapporten toegevoegd aan hun Consumer Sentinel Network database, inclusief meer dan 1.1 miljoen rapporten van identiteitsdiefstal. Samuel Levine, directeur van de FTC's Bureau of Consumer Protection, benadrukte de toenemende dreiging van digitale hulpmiddelen die worden gebruikt om Amerikanen op te lichten. [1, 2]
π³π± Cyberaanval op North Sea Yacht Support
North Sea Yacht Support, een Nederlandse onderneming gespecialiseerd in diensten voor jachten, is het recentste slachtoffer geworden van een cyberaanval. De aanval is uitgevoerd door de beruchte cybercriminele groep LockBit. Het incident werd op 9 februari 2024 bekendgemaakt op het darkweb, waarbij de status van de aanval nog steeds als 'in uitvoering' wordt beschreven.
Canada Implementeert Verbod op Flipper Zero om Autodiefstal te Beperken
In een recente ontwikkeling heeft de Canadese overheid de import, verkoop, en het gebruik van de Flipper Zero verboden, samen met andere apparatuur die keyless entry-signalen van auto's kan onderscheppen. Dit besluit is genomen als onderdeel van een breder initiatief om autodiefstallen in het land tegen te gaan. De Flipper Zero, een populaire tool onder geeks en penetratietesters, staat bekend om zijn veelzijdigheid met ondersteuning voor diverse radioprotocollen, NFC, RFID, Bluetooth, en infrarood. Het apparaat kan ook fungeren als een USB universal 2nd-factor (U2F) authenticatie token of security key. De Canadese autoriteiten werken samen met de auto-industrie om nieuwe beveiligingsoplossingen te ontwikkelen die voertuigen beschermen tegen diefstal en helpen bij het terugvinden van gestolen voertuigen. De maatregelen hebben tot discussie geleid binnen de gemeenschap, met name op platforms als Reddit en Hacker News. De makers van Flipper Zero benadrukken dat hun apparaat bedoeld is voor legitieme test- en ontwikkelingsdoeleinden, met ingebouwde voorzorgsmaatregelen tegen misbruik. [1, 2]
Rijkere Landen Vaker Doelwit van Ransomware, Stelt Belgische Overheid
Het Centrum voor Cybersecurity België (CCB) heeft een verband gelegd tussen de rijkdom van een land en de prevalentie van ransomware-aanvallen. Op basis van een analyse van 2,5 jaar aan gegevens, waarin informatie over meer dan 14.000 slachtoffers is meegenomen, concludeert het CCB dat landen met een hoger bruto binnenlands product (BBP) aanzienlijk vaker slachtoffer worden van ransomware. Dit fenomeen wordt toegeschreven aan de aanname van cybercriminelen dat rijkere landen over meer financiële middelen beschikken. Bijzonder getroffen zijn Noord-Amerika en Europa, waar 80% van de geregistreerde slachtoffers zich bevindt. De reden hiervoor is dat rijkere landen vaak over een uitgebreidere operationele infrastructuur beschikken die via het internet toegankelijk is, wat het aanvalsoppervlak voor cybercriminelen vergroot. Het onderzoek toont ook aan dat het aantal ransomware-slachtoffers sinds 2021 meer dan verdubbeld is, terwijl het landschap van ransomware zelf weinig veranderingen heeft ondergaan. [1, rapport CCB]
Hyundai Motor Europe getroffen door Black Basta ransomware-aanval
Hyundai Motor Europe, de Europese divisie van Hyundai Motor Company gevestigd in Duitsland, heeft te maken gehad met een ransomware-aanval door Black Basta, waarbij de dreigende actoren beweerden drie terabyte aan bedrijfsgegevens te hebben gestolen. Hoewel BleepingComputer in januari voor het eerst van de aanval hoorde, ontkende Hyundai aanvankelijk en sprak alleen van IT-problemen. Nadat echter aanvullende informatie over gestolen gegevens was gedeeld, bevestigde Hyundai uiteindelijk dat ze het slachtoffer waren van een cyberaanval. De exacte aard van de aanval is niet gespecificeerd, maar het is bekend dat Black Basta de aanval heeft uitgevoerd en beweert 3 TB aan gegevens te hebben gestolen. De aanval heeft waarschijnlijk betrekking op verschillende afdelingen van het bedrijf, zoals juridische zaken, verkoop, human resources en boekhouding. Hyundai had eerder in april 2023 een datalek gemeld en recentelijk werd het account van Hyundai MEA's X gehackt. Black Basta is een beruchte ransomware-groep die naar schatting meer dan $100 miljoen aan losgeld heeft ontvangen sinds de lancering in april 2022. [1]
Nieuwe Versie van Android XLoader Malware Lanceert Automatisch na Installatie
Een recente ontdekking onthult een nieuwe versie van de XLoader Android malware, die zonder gebruikersinteractie automatisch op geïnfecteerde apparaten wordt uitgevoerd. XLoader, ook bekend als MoqHao, wordt vermoedelijk beheerd door een bedreigingsacteur genaamd 'Roaming Mantis', die eerder gebruikers in verschillende landen heeft getroffen. De malware wordt voornamelijk verspreid via SMS-berichten met verkorte URL's die leiden naar sites met schadelijke APK-installatiebestanden voor mobiele apps. Onderzoekers van McAfee melden dat recente varianten van XLoader automatisch worden gestart na installatie, waardoor de malware onopgemerkt op de achtergrond kan draaien en gevoelige gebruikersinformatie kan onderscheppen. Deze ontwikkeling wijst op een voortdurende evolutie van XLoader's aanvalsmethoden, die nu minimale gebruikersinteractie vereisen en een verhoogde bedreiging vormen voor mobiele apparaten. McAfee raadt aan om een beveiligingsproduct te gebruiken dat bekende indicatoren van deze malware kan detecteren en verwijderen, gezien de vermomming van XLoader als Chrome-app. [1]
Five Eyes waarschuwen vitale infrastructuur voor living off the land-aanvallen
Veel organisaties zijn vatbaar voor 'living off the land' (LOTL) aanvallen, waarbij cyberaanvallers bestaande bestanden, programma's en tools op gecompromitteerde systemen misbruiken. De cyberagentschappen van Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten, bekend als de Five Eyes, adviseren de vitale infrastructuur om zich te beschermen tegen deze aanvallen. LOTL biedt voordelen voor aanvallers, omdat het moeilijk is om legitiem van kwaadaardig gedrag te onderscheiden en er geen indicators of compromise (IOC's) zijn. Zelfs organisaties met bekende LOTL-praktijken vinden het lastig om het malafide gedrag te detecteren. De Five Eyes dringen er bij de vitale infrastructuur op aan om best practices te volgen voor het detecteren van LOTL-activiteiten, zoals logging en het monitoren van veelgebruikte bestanden en tools, ook bekend als LOLBins. Het document bevat een lijst van veelgebruikte LOLBins in verschillende besturingssystemen, zoals cmd.exe, powershell.exe en RDP. [1, pdf]
Manta Network Overwint DDoS-aanval na TGE terwijl Nieuwe Telegram-bot Opkomt
Manta Network, een blockchain-protocol dat zich richt op zero-knowledge applicaties, werd kort na de lancering van zijn MANTA-token getroffen door een DDoS-aanval, wat vertragingen veroorzaakte in het netwerk. De aanval, met meer dan 135 miljoen RPC-verzoeken, leidde tot communicatiebeperkingen tussen applicaties en de blockchain. Ondanks de impact verzekerde medeoprichter Kenny Li dat de blockchain veilig draait. Manta Network werkt intensief aan het verbeteren van DDoS-mitigatie-inspanningen. Intussen biedt Bitbot, een Telegram-bot, particuliere beleggers krachtige, AI-ondersteunde handelsoplossingen. De BITBOT-token presale biedt investeerders een gestructureerde kans om deel te nemen. Bitbot belooft een niet-bewarende, institutionele kwaliteit handelservaring met ultraflexibel portefeuillebeheer en veiligheidsfuncties zoals een Anti MEV Bot. Met zijn presale heeft Bitbot al meer dan $27.000 opgehaald, wat wijst op een groeiende interesse in zijn potentieel als investeringskans. [1]
Waarschuwing voor frauduleuze 'LassPass' app in Apple App Store
LastPass heeft een waarschuwing uitgegeven over een valse app in de Apple App Store, die zich voordoet als de legitieme LastPass wachtwoordmanager. Deze malafide app, genaamd 'LassPass Password Manager', imiteert de branding en gebruikersinterface van de echte app, maar bevat spelfouten en andere indicaties van fraude. LastPass werkt aan het verwijderen van de app uit de store. De app claimt door meer dan één miljoen gebruikers en tienduizend bedrijven gebruikt te worden, maar recensies suggereren dat het een oplichterij betreft. [1]
Nieuwe Ov3r_Stealer malware steelt wachtwoorden via Facebook-advertenties
Een recente malware-campagne, bekend als Ov3r_Stealer, verspreidt zich via neppe Facebook-advertenties voor baanposities, met als doel het stelen van inloggegevens en cryptocurrency. Gebruikers worden gelokt naar een Discord URL via een PDF-bestand, dat ogenschijnlijk vacaturedetails bevat, maar in werkelijkheid een PowerShell-script downloadt dat de malware initieert. Trustwave analisten, die de campagne ontdekten, waarschuwen voor de ernst van de bedreiging door de populariteit van Facebook. De malware richt zich op een breed scala aan apps en diensten, en verzendt gestolen data, inclusief geolocatie-informatie van het slachtoffer, elke 90 minuten naar een Telegram-bot. Ondanks de bekende tactieken, blijft de verspreiding via vertrouwde platforms zoals Facebook een significante dreiging. [pdf]
Uitbreiding Doelwitten Mirai DDoS-malware met Nieuwe Routerexploits
Een nieuwe variant van de Mirai DDoS-malware, bekend als IZ1H9, heeft zijn aanvalsbereik uitgebreid door dertien nieuwe exploits toe te voegen gericht op Linux-gebaseerde routers en apparaten van merken als D-Link, Zyxel, en TP-Link. Volgens onderzoekers van Fortinet zijn er in de eerste week van september tienduizenden exploitatiepogingen waargenomen. Deze malwarevariant richt zich op diverse kwetsbaarheden, variërend van 2015 tot 2023, om apparaten te compromitteren en toe te voegen aan een botnet voor het uitvoeren van DDoS-aanvallen. Naast het uitvoeren van aanvallen, probeert de malware zich verder te verspreiden door gebruik te maken van hardcoded inloggegevens voor brute-force aanvallen. Apparaateigenaren wordt aangeraden sterke beveiligingsmaatregelen te treffen, zoals het bijwerken van firmware en het verminderen van de blootstelling aan het publieke internet. [1, 2]
De Toenemende Dreiging van DDoS-aanvallen op Grote Technologiebedrijven
DDoS-aanvallen, gericht op het verstoren van online diensten door deze te overspoelen met verkeer, vormen een toenemende bedreiging voor grote technologiebedrijven. Recentelijk ondervonden Microsoft's cloudplatforms een piek in dergelijke aanvallen. Deze aanvallen, uitgevoerd door botnets die wereldwijd gecompromitteerde computersystemen omvatten, richten zich op het overweldigen van de capaciteit van servers, wat leidt tot uitval van diensten zoals Azure, Outlook en OneDrive. De aanvalsmethoden variëren, inclusief technieken zoals HTTP-floods, cachebypass en Slowloris, die erop gericht zijn om zoveel mogelijk verbindingen met de webserver open te houden. De daders achter deze aanvallen, waaronder Anonymous Sudan, hebben niet alleen technologiereuzen getarget, maar ook gedreigd met aanvallen op Europese banksystemen, wat de noodzaak onderstreept voor verbeterde beveiligingsmaatregelen tegen deze cyberdreigingen. [1]
Lees ook: Digitale frontlinies: De impact van crowdsourced cyberaanvallen in geopolitieke conflicten
Elektrische Tandenborstels Niet Gebruikt in DDoS-aanval
Een recent artikel ontkracht het gerucht dat 3 miljoen elektrische tandenborstels gehackt waren om een DDoS-aanval uit te voeren. Dit verhaal, oorspronkelijk gepubliceerd door een Zwitserse nieuwssite, claimde dat malware geïnstalleerd was op de tandenborstels om een Zwitsers bedrijf aan te vallen, wat miljoenen dollars aan schade veroorzaakte. Echter, na onderzoek blijkt dat er geen bewijs is dat zo'n aanval daadwerkelijk heeft plaatsgevonden. Fortinet, het cybersecuritybedrijf dat als bron werd genoemd, heeft geen informatie over de aanval gepubliceerd noch gereageerd op verzoeken om commentaar. Experts suggereren dat het verhaal waarschijnlijk een hypothetisch scenario was dat verkeerd begrepen of uit zijn verband gerukt is. [1, 2, 3, 4]
Recordbedrag aan Losgeld betaald door Slachtoffers van Ransomware in 2023
In 2023 hebben slachtoffers van ransomware een recordbedrag van 1,1 miljard dollar aan losgeld betaald, een significante stijging ten opzichte van voorgaande jaren, volgens een analyse van Chainalysis. Deze toename wordt deels toegeschreven aan de verspreiding van Ransomware-as-a-Service en de beschikbaarheid van hackingtools, die het voor criminelen eenvoudiger maken om aanvallen uit te voeren. Bovendien speelde de oorlog in Oekraïne en acties van de FBI tegen specifieke ransomwaregroepen een rol in deze ontwikkeling. Het rapport belicht ook de MOVEit-aanval, waarbij gegevens van miljoenen mensen werden gestolen, en de cruciale rol van initial access brokers in het faciliteren van ransomware-aanvallen. [1]
Toename Ransomware-aanvallen in België
Het Centrum voor Cyberveiligheid België heeft een zorgwekkende stijging van 24 procent in ransomware-incidenten vastgesteld in het afgelopen jaar. Ransomware-aanvallen, waarbij hackers losgeld eisen in ruil voor de toegang tot gegijzelde gegevens, blijven een groeiend probleem. Een recent voorbeeld hiervan is het datalek bij Limburg.net, dat de ernst van de situatie onderstreept. Deze toename benadrukt het groeiende risico voor zowel organisaties als individuen, waardoor de noodzaak voor verbeterde cyberveiligheidsmaatregelen urgenter wordt. Het rapport toont aan dat cybercriminaliteit een steeds grotere bedreiging vormt, waarbij de impact op de samenleving aanzienlijk is en oproept tot zowel bewustwording als actie om deze digitale dreigingen het hoofd te bieden. [1]
AnyDesk verzekert veiligheid na aanval op Europese servers
AnyDesk, een software voor het op afstand beheren van computers, is recentelijk getroffen door een cyberaanval, waarbij twee Europese relay-servers gecompromitteerd werden. Dit incident had potentieel de inloggegevens van gebruikers kunnen blootstellen. Echter, AnyDesk heeft de situatie onder controle verklaard en benadrukt dat de software veilig blijft voor gebruik. Als voorzorgsmaatregel zijn alle wachtwoorden voor het webportaal my.anydesk.com vernieuwd. Het bedrijf heeft geen bewijs gevonden dat klantgegevens zijn gestolen of dat er gecompromitteerde versies van de software in omloop zijn. Desondanks worden gebruikers aangemoedigd om naar de nieuwste softwareversie te updaten. AnyDesk is tevens bezig met het vervangen van certificaten die gebruikt worden voor het signeren van de software, waarbij alle security-gerelateerde certificaten reeds zijn ingetrokken, om zo de veiligheid van zijn gebruikers verder te waarborgen. [1, 2]
Actief Misbruik Ontdekt van Kritieke Kwetsbaarheid in Google Chrome
In september werd een update uitgebracht voor een ernstig beveiligingslek in Google Chrome, maar recent meldt de Amerikaanse overheid dat aanvallers dit lek alsnog misbruiken. Het lek, aangeduid als CVE-2023-4762, is gevonden in V8, de JavaScript-engine van Chrome, die al vaker doelwit was van aanvallen. De impact van het lek is hoog; aanvallers kunnen potentieel kwaadaardige code uitvoeren binnen de browsercontext. Dit maakt het mogelijk voor hen om gegevens van websites te lezen of aan te passen, waardoor gebruikersinformatie gestolen kan worden. Het lek alleen is niet voldoende voor volledige systeemcontrole; een aanvaller zou een tweede kwetsbaarheid moeten exploiteren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft geen details over de specifieke aanvallen vrijgegeven. Dankzij Chrome's automatische updatefunctie blijven dergelijke kwetsbaarheden meestal niet lang exploiteerbaar. [1]
Hacker steelt $900.000 aan LINK van Zwitsers investeringsbedrijf
Crypto blijft het Wilde Westen: recente diefstal van $900.000 aan Chainlink (LINK) tokens schetst de risico's. Een gebruiker genaamd "Alchemist63" viel ten prooi aan een geraffineerde oplichting, waarbij eerst $400.000 en vervolgens meer dan $450.000 werd afgetapt. Het slachtoffer leek een account te hebben op Binance en verbonden te zijn met het Zwitserse PrismInvest. Verdachten zijn de hackgroep Inferno Drainer, gespecialiseerd in "drainer" aanvallen. Deze tactiek maakt gebruik van kwaadaardige software om automatisch fondsen af te tappen zonder detectie. Het incident benadrukt de noodzaak voor waakzaamheid in de cryptowereld, waar hacks zoals die bij Euler Finance en Multichain in 2023 honderden miljoenen verloren. Ondanks enkele succesvolle afhandelingen van hacks blijven investeerders kwetsbaar voor cyberaanvallen. [1]
Werknemer verliest 24 miljoen door levensechte deepfake-video
Een werknemer van een multinational uit Hong Kong werd slachtoffer van een oplichtingstruc waarbij hij 24 miljoen euro verloor. De financieel directeur van het bedrijf benaderde hem per e-mail en instrueerde hem via videocalls om overschrijvingen te doen. Deze videocalls, waarbij ook andere bedrijfsfunctionarissen aanwezig leken te zijn, duurden een week en resulteerden in een totaalbedrag van 200 miljoen HK Dollar. Echter, de werknemer kwam er later achter dat de CFO en andere leidinggevenden eigenlijk deepfakes waren, gecreëerd met behulp van kunstmatige intelligentie. De oplichters waren zo overtuigend dat de werknemer gemakkelijk werd misleid. Deze situatie benadrukt de toenemende dreiging van deepfake-technologie in de wereld van cybersecurity. [1]
Grote DDoS-cyberaanval op Times of Malta
De Times of Malta, de populairste website van het land, werd dinsdagochtend getroffen door een omvangrijke DDoS-cyberaanval. Cybercriminelen overspoelden de servers met miljoenen verzoeken in korte tijd, wat leidde tot een tijdelijke onbereikbaarheid van de website voor veel lezers. De aanval, die rond 6 uur begon, kon rond 9.30 uur onder controle worden gebracht. Ondanks de intensiteit van de aanval is er geen datalek vastgesteld. Deze gebeurtenis markeert een ongekende aanval voor de grootste website van Malta. Om herhaling te voorkomen, heeft Times of Malta extra beveiligingslagen toegevoegd en blijft het IT-team het websiteverkeer nauwlettend monitoren. Bezoekers van de website kunnen een iets langzamere ervaring en een ongebruikelijk Cloudflare-scherm tegenkomen als extra beveiligingsmaatregel. De Times of Malta heeft de aanval bij de politie gemeld, die een onderzoek heeft ingesteld. DDoS-aanvallen, die tot doel hebben de websiteverkeer te verstoren door servers te overweldigen met toegangsverzoeken, behoren tot de meest voorkomende vormen van cyberaanvallen. [1]
Cyberaanval treft Kalmar Gemeente in Zweden
Vroeg in de ochtend werden ernstige problemen gemeld bij de gemeente Kalmar, die nu bevestigd zijn als een cyberaanval. Als reactie is de gemeente in crisisbeheermodus gegaan. Na het ontdekken van netwerkproblemen sloot de gemeente haar interne systemen af, alhoewel medewerkers nog steeds kunnen werken via cloudservices, aldus communicatiechef Nico Werge. Essentiële diensten zoals alarmen, medicijnkasten en liften zijn niet beïnvloed door de aanval. De aanval wordt toegeschreven aan de Russische groep Akira, dezelfde groep die recent het datacenter van Tietoevry aanviel en verschillende bedrijven, overheidsinstanties en gemeenten trof. Deze gebeurtenis benadrukt de ernst van de cyberveiligheidsdreiging en het belang van adequate beveiligingsmaatregelen. [1]
Cyberaanval op Viamedis legt persoonsgegevens miljoenen Fransen bloot
De Franse zorgdienstverlener Viamedis is het slachtoffer geworden van een cyberaanval, waardoor de gegevens van verzekerden en zorgprofessionals in Frankrijk zijn blootgesteld. Ondanks dat de website van het bedrijf offline was, werd via LinkedIn een waarschuwing over het datalek gepubliceerd. Bij dit lek zijn gevoelige gegevens zoals de burgerlijke staat, geboortedatum, socialezekerheidsnummer, naam van de zorgverzekeraar en garanties voor derdenbetaling blootgesteld. Belangrijk is dat bankgegevens, postadressen, telefoonnummers en e-mailadressen niet in de gecompromitteerde systemen waren opgeslagen. Viamedis heeft de betrokken gezondheidsorganisaties geïnformeerd, een klacht ingediend bij de openbare aanklager en de autoriteiten (CNIL, ANSSI) op de hoogte gesteld. De exacte omvang van het datalek is nog niet bekendgemaakt, maar gezien Viamedis betalingen beheert voor 84 zorgorganisaties die 20 miljoen verzekerden vertegenwoordigen, kan de impact aanzienlijk zijn. Het bedrijf onderzoekt nog steeds de volledige reikwijdte van de cyberaanval. Algemeen Directeur Christophe Cande verduidelijkte dat het geen ransomware-aanval betrof, maar een succesvolle phishingaanval op een medewerker waardoor de systemen werden gecompromitteerd. Een van de samenwerkende organisaties, Malakoff Humanis, bevestigde indirecte gevolgen van het datalek en stelde dat de tijdelijke onderbreking van het Viamedis-platform bepaalde zorgdiensten zou beïnvloeden. Ook andere dienstverleners die Viamedis gebruiken, waaronder Carte Blanche Partenaires en Itelis, verwachten vergelijkbare situaties. Lokale media melden dat ook Almerys, een ander betalingsverwerker voor zorgorganisaties, doelwit was van een cyberaanval. [1, 2, 3, 4]
π§πͺ Belgische Groothandel Harinck Doelwit van Cyberaanval
In een recente onthulling op het darkweb hebben cybercriminelen van de groep 8BASE bekendgemaakt dat ze de Belgische groothandel in duurzame goederen, Harinck, hebben aangevallen. De website harinck.be is gecompromitteerd, waarbij de aanval op 7 februari 2024 aan het licht kwam. Dit incident benadrukt de toenemende cyberdreigingen waarmee bedrijven wereldwijd, en specifiek in België, geconfronteerd worden. De aanval onderstreept de noodzaak voor bedrijven om hun cyberbeveiliging te versterken.
π³π± Militaire Inlichtingendienst Ontdekt Chinese Malware in Defensie Netwerk
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft geavanceerde Chinese malware, genaamd 'Coathanger', aangetroffen op FortiGate-apparaten binnen een Defensie netwerk dat zich richt op research en development. Deze apparaten, onderdeel van een losstaand netwerk met minder dan vijftig gebruikers, waren besmet via een bekende kwetsbaarheid in FortiOS SSL-VPN. Fortinet, de leverancier van FortiGate, had voor deze kwetsbaarheid gewaarschuwd, maar het lek werd als zeroday aangevallen, wat betekent dat er nog geen update beschikbaar was toen de eerste aanvallen plaatsvonden. De malware, specifiek ontwikkeld voor FortiGate-apparaten, werd gebruikt voor spionagedoeleinden en om toegang tot gecompromitteerde apparaten te behouden. De MIVD heeft een technisch rapport over deze malware en de werkwijze van Chinese hackers openbaar gemaakt en benadrukt het belang van het attribueren van deze spionageactiviteiten om internationale weerbaarheid te verhogen. Er wordt geadviseerd om beveiligingsupdates onmiddellijk te installeren en organisaties waar de malware is aangetroffen, worden opgeroepen zich te melden bij het Nationaal Cyber Security Centrum (NCSC). [1, 2]
πͺπΊ Europol Waarschuwt voor Actief Misbruik van Kwetsbaarheden in Ivanti VPN
Europol heeft alarm geslagen over actief misbruik van beveiligingslekken in Ivanti Connect Secure VPN en adviseert organisaties dringend om de aanbevelingen van lokale en Europese cyberbeveiligingsinstanties op te volgen. Deze maatregelen omvatten onder meer het uitvoeren van een fabrieksreset. Ivanti Connect Secure, voorheen bekend als Pulse Secure, is een VPN-oplossing die toegang biedt tot bedrijfsnetwerken. Recentelijk zijn er ernstige kwetsbaarheden aan het licht gekomen, waaronder CVE-2023-46805 en CVE-2024-21887, die actief worden uitgebuit door aanvallers om systemen over te nemen. Bovendien is een nieuwe kwetsbaarheid, CVE-2024-21893, ontdekt die ongeautoriseerde toegang tot beperkte middelen mogelijk maakt en al actief wordt misbruikt. De situatie wordt als zorgwekkend beschouwd en vereist directe actie van de getroffen organisaties. [1, 2]
Grootschalige Databeveiligingsinbreuk door 'ResumeLooters'
Een cybercriminele groep genaamd 'ResumeLooters' heeft persoonlijke gegevens van meer dan twee miljoen werkzoekenden buitgemaakt door 65 legitieme vacature- en retailwebsites te compromitteren via SQL-injectie en cross-site scripting (XSS) aanvallen. Deze aanvallen waren voornamelijk gericht op sites in de APAC-regio, waaronder Australië, Taiwan, China, Thailand, India en Vietnam. De gestolen gegevens omvatten namen, e-mailadressen, telefoonnummers, werkgeschiedenis, opleiding en andere relevante informatie. De cybercriminelen gebruikten een reeks open-source tools zoals SQLmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL en Dirsearch om kwetsbaarheden op te sporen en uit te buiten. Naast het injecteren van kwaadaardige scripts in de HTML van de websites, creëerden ze ook nep-werkgeversprofielen en plaatsten vervalste CV-documenten met XSS-scripts. ResumeLooters probeerde de gestolen gegevens te verkopen via Telegram-kanalen. Hoewel de exacte oorsprong van de groep niet bevestigd is, wijzen de gebruikte Chinese tools en telegramaccounts op een mogelijke Chinese herkomst. [1]
Onderzoek naar Nieuw Datalek bij HPE na Verkoop van Gegevens op Hackersforum
Hewlett Packard Enterprise (HPE) is bezig met een onderzoek naar een mogelijk nieuw datalek nadat een bedreigingsactor beweerde gevoelige informatie, waaronder HPE-gegevens, te koop aan te bieden op een hackersforum. Ondanks deze claims heeft het bedrijf tot nu toe geen bewijs gevonden voor een inbreuk of enige impact op zijn producten of diensten, en is er geen losgeld geëist. De vermeende gestolen gegevens bevatten onder meer toegang tot CI/CD, systeemlogboeken, configuratiebestanden, toegangstokens, HPE StoreOnce-bestanden en toegangswachtwoorden. De verkoop volgt op eerdere incidenten waarbij HPE werd getroffen door een reeks cyberaanvallen, waaronder een aanval door de Russische APT29-hackersgroep en een datalek in hun Aruba Central-netwerkmonitoringplatform. HPE heeft verzekerd dat de gegevens die nu te koop worden aangebodenafkomstig zijn uit een testomgeving, en dat er geen aanwijzingen zijn dat productieomgevingen of klantinformatie zijn aangetast.
Wijdverspreide Exploitatie van Ivanti SSRF Zero-Day Kwetsbaarheid ook in Nederland
Een ernstige SSRF-kwetsbaarheid (server-side request forgery) in Ivanti Connect Secure en Ivanti Policy Secure, aangeduid als CVE-2024-21893, wordt op grote schaal misbruikt. Ivanti waarschuwde voor het eerst over deze kwetsbaarheid in de SAML-componenten van hun gateway op 31 januari 2024, waardoor het de zero-day status kreeg vanwege beperkte actieve exploitatie bij een klein aantal klanten. De exploitatie stelt aanvallers in staat om authenticatie te omzeilen en toegang te krijgen tot beperkte bronnen op kwetsbare apparaten (versies 9.x en 22.x). Shadowserver heeft vastgesteld dat meerdere aanvallers de SSRF-bug misbruiken, met pogingen van 170 verschillende IP-adressen. De exploitatievolumes van deze specifieke kwetsbaarheid overtreffen die van andere recent gepatchte of gematigde Ivanti-kwetsbaarheden. Hoewel de door Rapid7 onderzoekers gepubliceerde proof-of-concept (PoC) exploit hierbij een rol speelde, merkte Shadowserver op dat aanvallers vergelijkbare methoden gebruikten uren voor de publicatie van het Rapid7-rapport. Dit duidt erop dat hackers al wisten hoe ze CVE-2024-21893 konden misbruiken voor onbeperkte, ongeauthenticeerde toegang tot kwetsbare Ivanti-eindpunten. Vanwege de actieve exploitatie van meerdere kritieke zero-day kwetsbaarheden en het gebrek aan effectieve mitigerende maatregelen en beveiligingsupdates voor sommige getroffen productversies, heeft het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) federale agentschappen opgedragen alle Ivanti Connect Secure en Policy Secure VPN-apparaten los te koppelen. Alleen apparaten die zijn teruggezet naar fabrieksinstellingen en zijn geüpgraded naar de nieuwste firmwareversie mogen weer worden aangesloten op het netwerk. Dit advies geldt ook voor privéorganisaties, hoewel het niet verplicht is. [1]
Waakzaamheid Tegen 'Quishing': België Ziet Daling in Phishing Slachtoffers
De Belgische overheid waarschuwt voor 'quishing', een phishing-techniek via QR-codes. Deze malafide QR-codes, vaak verzonden via e-mail en WhatsApp, doen zich voor als officiële instanties en lokken mensen naar phishingwebsites of tot het doen van betalingen. Het doel is het installeren van schadelijke software om persoonlijke data zoals bankgegevens te stelen. Ondanks de opkomst van quishing, is het aantal phishing slachtoffers in België gedaald: van 1100 in 2022 naar 600 in 2023, evenals de gemiddelde schade per slachtoffer. Deze daling wordt toegeschreven aan verhoogde alertheid onder burgers, dankzij voorlichtingscampagnes en de gerichte aanpak van Economische Inspectie van de FOD Economie in het identificeren en informeren van betrokken banken. [1]
π³π± VCS Observation Doelwit van Cyberaanval door Akira
Het Nederlandse IT-bedrijf VCS Observation is recentelijk slachtoffer geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep Akira. Het incident kwam aan het licht toen de gegevens van de aanval op 5 februari 2024 op het darkweb werden gepubliceerd. Dit benadrukt de voortdurende dreiging waar bedrijven in de IT-sector mee te maken hebben en het belang van robuuste cyberbeveiliging.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language