Slachtofferanalyse en Trends van Week 07-2024

Gepubliceerd op 19 februari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De digitale wereld wordt steeds vaker opgeschrikt door berichten over cyberaanvallen, datalekken, en de voortdurende dreiging van cybercriminaliteit. In de afgelopen week hebben diverse incidenten opnieuw de kwetsbaarheid van onze digitale infrastructuur blootgelegd, variërend van grootschalige ransomware-aanvallen tot ingenieuze phishingcampagnes. In Nederland werden bedrijven en klanten getroffen door verschillende cyberincidenten, zoals de aanval op MeerServices en het hacken van Ziggo e-mailaccounts, wat 600 klanten raakte. Ook werden EuroParcs klanten gewaarschuwd voor mogelijke blootstelling van persoonsgegevens door een datalek, terwijl de overheid toegeeft dat volledige bescherming tegen ransomware een onhaalbare kaart is.

In België is er een toename van bankhelpdeskfraude waargenomen volgend op een datalek bij Limburg.net, en werden Belgische bedrijven zoals ROOSENS BÉTONS en accountantskantoor Fidcornelis slachtoffers van gerichte cyberaanvallen. Verderop zien we een reeks aanvallen die misbruik maken van kwetsbaarheden in wereldwijd gebruikte software zoals Microsoft Exchange Server en Defender SmartScreen, alsook in Roundcube e-mail servers.

De dreigingen evolueren voortdurend, met nieuwe tools en malware zoals 'MrAgent' die ransomware-aanvallen versterken, en innovatieve methoden zoals de 'Gold Pickaxe' malware die gezichtsherkenningstechnologie misbruikt. Tegelijkertijd zien we een heropleving van bekende bedreigingen zoals de Bumblebee malware, die zich via phishingcampagnes verspreidt.

Aan de kant van de cybercriminelen onthullen recente ontmantelingen en onderzoeken de complexe netwerken achter deze aanvallen, zoals de Alpha-ransomware gekoppeld aan de NetWalker-operatie, en de activiteiten van Turla hackers die zich richten op NGO's.

De lijst van slachtoffers is lang en divers, variërend van financiële instellingen in de VS tot lokale onderwijssystemen in Canada, privéklinieken in Zwitserland, en zelfs overheidsorganen. Elk incident benadrukt de noodzaak van waakzaamheid en verbeterde cyberbeveiligingsmaatregelen.

Tegen deze achtergrond van aanhoudende en evoluerende cyberdreigingen, bieden succesvolle ondermijningen van ransomware, zoals die van Rhysida door Avast en Zuid-Koreaanse onderzoekers, een glimp van hoop in de strijd tegen cybercriminaliteit. Daarnaast werpen algemene ontwikkelingen, zoals de acties van Noord-Koreaanse hackers en de impact van grote datalekken bij organisaties wereldwijd, licht op de schaal en complexiteit van het cybersecurity landschap.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week, die de urgentie en het belang van robuuste cyberbeveiligingsstrategieën en -maatregelen onderstrepen. Met een tellerstand van 12.394 organisaties waarvan data op het darkweb is gelekt, wordt de noodzaak voor actie duidelijker dan ooit.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie darkweb ↑
aeromechinc.com LockBit aeromechinc.com USA Aerospace 18-feb-24
carlfischer.com LockBit carlfischer.com USA Publishing, printing 18-feb-24
bucher-strauss.ch LockBit bucher-strauss.ch Switzerland Insurance Carriers 18-feb-24
VSP Dental BlackCat (ALPHV) www.vspdental.com USA Health Services 18-feb-24
www.cogans.ie Trisec In progress In progress In progress 17-feb-24
Bimbo Bakeries Medusa bimbobakeriesusa.com USA Food Products 17-feb-24
Tiete Automobile Hunters International www.tiete.com.br Brazil Automotive Dealers 17-feb-24
Aftrp Hunters International www.grandparisamenagement.fr France Administration Of Environmental Quality And Housing Programs 17-feb-24
Greater Napanee Hunters International www.greaternapanee.com Canada General Government 17-feb-24
BS&B Safety Systems L.L.C Hunters International www.bsb.ie Ireland Machinery, Computer Equipment 17-feb-24
Voice Technologies Hunters International www.voicetechnologies.co.uk United Kingdom IT Services 17-feb-24
Chicago Zoological Society Hunters International www.czs.org USA Amusement And Recreation Services 17-feb-24
ACS Hunters International www.acscm.com USA Construction 17-feb-24
Wapiti Energy Hunters International www.wapitienergy.com USA Oil, Gas 17-feb-24
CP Communications Hunters International www.cpcomms.com USA Communications 17-feb-24
PSI Hunters International psi.org USA Membership Organizations 17-feb-24
LoanDepot BlackCat (ALPHV) loandepot.com USA Non-depository Institutions 16-feb-24
Prudential Financial BlackCat (ALPHV) www.prudential.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 16-feb-24
The Chas. E. Phipps Medusa chasephipps.com USA Wholesale Trade-durable Goods 16-feb-24
delia.pl STORMOUS delia.pl Poland Chemical Producers 16-feb-24
BRAM Auto Group Akira www.bramautogroup.com USA Transportation Equipment 16-feb-24
etisalat.ae LockBit etisalat.ae United Arab Emirates Communications 16-feb-24
tormetal.cl LockBit tormetal.cl Chile Fabricated Metal Products 16-feb-24
pacifica.co.uk Black Basta pacifica.co.uk United Kingdom Repair Services 16-feb-24
spaldingssd.com LockBit spaldingssd.com Canada Wholesale Trade-durable Goods 16-feb-24
Concello de Teo Hunters International teo.gal Spain General Government 16-feb-24
Réseau Ribé Hunters International www.ribegroupe.fr France Wholesale Trade-non-durable Goods 16-feb-24
theclosingagent.com LockBit theclosingagent.com USA Real Estate 16-feb-24
Griffin Dewatering Hunters International www.griffindewatering.com USA Construction 16-feb-24
Dobrowski Stafford & Pierce BianLian dobrowskillp.com USA Legal Services 15-feb-24
LD Davis PLAY www.lddavis.com USA Chemical Producers 15-feb-24
von Hagen PLAY www.vonhagen.net Germany Construction 15-feb-24
Norman, Fox PLAY www.norfoxchem.com USA Chemical Producers 15-feb-24
HR Ewell PLAY www.hrewell.com USA Motor Freight Transportation 15-feb-24
Mechanical Reps PLAY www.mechreps.com USA Wholesale Trade-durable Goods 15-feb-24
Onclusive PLAY www.onclusive.com United Kingdom Business Services 15-feb-24
Hy-tec PLAY www.hytectank.com USA Automotive Dealers 15-feb-24
MeerServices PLAY www.meerservices.nl Netherlands IT Services 15-feb-24
DuBose Strapping PLAY www.dubosestrapping.com USA Miscellaneous Manufacturing Industries 15-feb-24
SilverLining PLAY www.silverlininginc.com USA Construction 15-feb-24
Schuster Trucking Company Hunters International schusterco.com USA Motor Freight Transportation 15-feb-24
Asam Akira www.asam.ro Romania Transportation Equipment 15-feb-24
Advantage Orthopedic & Sports Medicine Clinic BianLian advantageorthopedic.com USA Health Services 15-feb-24
IRCCS CROB Rhysida www.crob.it Italy Health Services 15-feb-24
ASP Basilicata Rhysida www.aspbasilicata.it Italy Health Services 15-feb-24
ASM Matera Rhysida www.asmbasilicata.it Italy Health Services 15-feb-24
awwg.com Underground awwg.com Spain Apparel And Other Finished Products 15-feb-24
pradiergranulats.fr LockBit pradiergranulats.fr France Construction 15-feb-24
coreengg.com LockBit coreengg.com USA Oil, Gas 15-feb-24
sitrack.com LockBit sitrack.com Argentina Transportation Services 15-feb-24
hatsinteriors.com LockBit hatsinteriors.com United Arab Emirates Construction 15-feb-24
champion.com.co LockBit champion.com.co Colombia Transportation Services 15-feb-24
centralepaysanne.lu LockBit centralepaysanne.lu Luxembourg Membership Organizations 15-feb-24
ASA Electronics BlackCat (ALPHV) www.asaelectronics.com USA Electronic, Electrical Equipment, Components 15-feb-24
BRONSTEIN-CARMONA.COM CL0P bronstein-carmona.com USA Legal Services 15-feb-24
equilend.com LockBit equilend.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 14-feb-24
bombaygrills.com STORMOUS bombaygrills.com Croatia Eating And Drinking Places 14-feb-24
calcomp.co.th STORMOUS calcomp.co.th Thailand Electronic, Electrical Equipment, Components 14-feb-24
studiogalbusera.com LockBit studiogalbusera.com Italy Accounting Services 14-feb-24
Nekoosa School District Akira www.nekoosasd.net USA Educational Services 14-feb-24
BM Catalysts Mydata bmcatalysts.co.uk United Kingdom Transportation Equipment 14-feb-24
FALCO Electronics Trigona www.falco.com Mexico Electronic, Electrical Equipment, Components 14-feb-24
America Movil Trigona www.americamovil.com Mexico Communications 14-feb-24
conseguros Qilin conseguros.com.gt Guatemala Insurance Carriers 14-feb-24
KALEEDS Qilin kaleedscpa.com USA Accounting Services 14-feb-24
kabat.pl LockBit kabat.pl Poland Rubber, Plastics Products 14-feb-24
wsnelson.com LockBit wsnelson.com USA Construction 14-feb-24
fultoncountyga.gov LockBit fultoncountyga.gov USA General Government 14-feb-24
mmiculinary.com LockBit mmiculinary.com USA Food Products 14-feb-24
Hawbaker Engineering Snatch hawbakerengineering.com USA Construction 14-feb-24
bv*********.com Cloak Unknown USA Unknown 14-feb-24
ga*******.com Cloak Unknown Germany Unknown 14-feb-24
UNIFER 8BASE unifer-travaux.fr France Construction 14-feb-24
Institutional Casework, Inc 8BASE iciscientific.com USA Furniture 14-feb-24
ATB SA Ingénieurs-conseils SIA 8BASE atb-sa.ch Switzerland Construction 14-feb-24
adioscancer.com LockBit adioscancer.com Puerto Rico Health Services 14-feb-24
giraud Qilin giraudpereetfils.com France Construction 13-feb-24
motilaloswal.com LockBit motilaloswal.com India Security And Commodity Brokers, Dealers, Exchanges, And Services 13-feb-24
rajawali.com LockBit rajawali.com Indonesia Holding And Other Investment Offices 13-feb-24
barberemerson.com Black Basta barberemerson.com USA Legal Services 13-feb-24
ffppkg.co.uk Black Basta ffppkg.co.uk United Kingdom Miscellaneous Manufacturing Industries 13-feb-24
patriziapepe.com Black Basta patriziapepe.com Italy Apparel And Accessory Stores 13-feb-24
btl.info Black Basta btl.info Germany Business Services 13-feb-24
globalrescue.com Black Basta globalrescue.com USA Insurance Carriers 13-feb-24
ssmnlaw.com Black Basta ssmnlaw.com USA Legal Services 13-feb-24
leonardssyrups.com Black Basta leonardssyrups.com USA Food Products 13-feb-24
ROOSENS BÉTONS Qilin www.roosens.com Belgium Wholesale Trade-durable Goods 13-feb-24
Communication Federal Credit Union Hunters International www.comfedcu.org USA Depository Institutions 13-feb-24
universalservicesms.com LockBit universalservicesms.com USA Construction 13-feb-24
doprastav.sk LockBit doprastav.sk Slovakia Construction 13-feb-24
Trans-Northern Pipelines BlackCat (ALPHV) tnpi.ca USA Electric, Gas, And Sanitary Services 13-feb-24
The Source BlackCat (ALPHV) www.thesource.ca Canada Home Furniture, Furnishings, And Equipment Stores 13-feb-24
ArcisGolf BlackCat (ALPHV) arcisgolf.com USA Amusement And Recreation Services 13-feb-24
New Indy Containerboard BlackCat (ALPHV) newindycontainerboard.com USA Paper Products 13-feb-24
Herrs BlackCat (ALPHV) herrs.com USA Food Products 13-feb-24
Procopio BlackCat (ALPHV) www.procopio.com USA Legal Services 13-feb-24
Sindicato de Enfermería (SATSE) Hunters International www.satse.es Spain Business Services 13-feb-24
auruminstitute.org LockBit auruminstitute.org South Africa Health Services 13-feb-24
Sanok Rubber Company Spólka Akcyjna Akira www.sanokrubber.com Poland Rubber, Plastics Products 13-feb-24
garonproducts.com ThreeAM garonproducts.com USA Chemical Producers 12-feb-24
tecasrl.it LockBit tecasrl.it Italy Wholesale Trade-durable Goods 12-feb-24
Antunovich Associates BLACK SUIT antunovich.com USA Construction 12-feb-24
Rush Energy Services Inc BlackCat (ALPHV) rushenergyservices.com Canada Oil, Gas 12-feb-24
SERCIDE BlackCat (ALPHV) sercide.com Spain Electric, Gas, And Sanitary Services 12-feb-24
Lower Valley Energy, Inc. BlackCat (ALPHV) lvenergy.com USA Electrical 12-feb-24
Modern Kitchens Medusa modernkitchens.com USA Furniture 12-feb-24
vhprimary.com LockBit vhprimary.com United Arab Emirates Educational Services 12-feb-24
Kreyenhop & Kluge Hunters International www.kreyenhop-kluge.com Germany Wholesale Trade-non-durable Goods 12-feb-24
germaintoiture.fr LockBit germaintoiture.fr France Construction 12-feb-24
silverairways.com LockBit silverairways.com USA Transportation By Air 12-feb-24
plexustelerad.com LockBit plexustelerad.com USA Health Services 12-feb-24
cabc.com.ar LockBit cabc.com.ar Argentina Research Services 12-feb-24
textiles.org.tw LockBit textiles.org.tw Taiwan Textile Mill Products 12-feb-24
Arlington Perinatal Associates MEOW LEAKS arlingtonperinatal.com USA Health Services 12-feb-24
Disaronno International MEOW LEAKS www.disaronnointernational.com USA Food Products 12-feb-24
Allmetal Inc. MEOW LEAKS www.allmetalinc.com USA Miscellaneous Manufacturing Industries 12-feb-24
Freedom Munitions MEOW LEAKS www.freedommunitions.com USA Fabricated Metal Products 12-feb-24
fidcornelis.be LockBit fidcornelis.be Belgium Accounting Services 12-feb-24
paltertonprimary.co.uk LockBit paltertonprimary.co.uk United Kingdom Educational Services 12-feb-24
envie.org LockBit envie.org France Membership Organizations 12-feb-24
sealco-leb.com LockBit sealco-leb.com Lebanon Home Furniture, Furnishings, And Equipment Stores 12-feb-24
camarotto.it LockBit camarotto.it Italy Real Estate 12-feb-24
dienerprecisionpumps.com LockBit dienerprecisionpumps.com Switzerland Machinery, Computer Equipment 12-feb-24
isspol.gov LockBit isspol.gov Ecuador Administration Of Human Resource Programs 12-feb-24
lyon.co.uk LockBit lyon.co.uk United Kingdom Miscellaneous Manufacturing Industries 12-feb-24
jacksonvillebeach.org LockBit jacksonvillebeach.org USA General Government 12-feb-24
robs.org LockBit robs.org USA Educational Services 12-feb-24
parkhomeassist.co.uk LockBit parkhomeassist.co.uk United Kingdom Insurance Carriers 12-feb-24
grotonschools.org LockBit grotonschools.org USA Educational Services 12-feb-24
Kadac Australia Medusa www.kadac.com.au Australia Wholesale Trade-non-durable Goods 12-feb-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie darkweb ↑
MeerServices PLAY www.meerservices.nl Netherlands IT Services 15-feb-24
ROOSENS BÉTONS Qilin www.roosens.com Belgium Wholesale Trade-durable Goods 13-feb-24
fidcornelis.be LockBit fidcornelis.be Belgium Accounting Services 12-feb-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 19-02-2024 12.398

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


ALPHV Ransomware Treft Prudential Financial en loanDepot

De ALPHV/Blackcat ransomwaregroep heeft onlangs de netwerken van twee grote Amerikaanse bedrijven, Prudential Financial en loanDepot, succesvol aangevallen. Prudential Financial, een Fortune 500-bedrijf en de op een na grootste levensverzekeringsmaatschappij in de VS, en loanDepot, een prominente niet-bancaire hypotheekverstrekker, zijn de nieuwste slachtoffers toegevoegd aan de lijst van ALPHV op hun darkweb leksite. loanDepot bevestigde dat bij een aanval op 8 januari persoonlijke gegevens van minstens 16,6 miljoen mensen zijn gestolen. Het bedrijf belooft getroffen klanten gratis kredietbewaking en identiteitsbescherming aan te bieden. Prudential Financial meldde op 4 februari een netwerkinbraak waarbij gegevens van werknemers en contractanten werden gestolen, maar vond geen bewijs dat klant- of cliëntgegevens zijn buitgemaakt. De Amerikaanse overheid reageert met beloningen tot $10 miljoen voor informatie die leidt tot de identificatie of locatie van de leiders van de ALPHV-groep, plus een extra $5 miljoen voor tips over personen die deelnemen aan of pogingen doen tot ransomware-aanvallen van ALPHV. [1]


Alpha-ransomware gekoppeld aan NetWalker-operatie ontmanteld in 2021

Veiligheidsonderzoekers hebben significante overeenkomsten ontdekt tussen de Alpha ransomware en de inmiddels ontmantelde NetWalker ransomware-operatie. NetWalker was actief als een ransomware-as-a-service tussen oktober 2019 en januari 2021, totdat opsporingsdiensten ingrepen. De Alpha ransomware verscheen in februari 2023, voerde aanvankelijk weinig aanvallen uit en hield een laag profiel. Recentelijk is de groep actiever geworden door een datalekwebsite te lanceren waarop slachtoffers en gestolen bestanden worden gepubliceerd. Momenteel toont Alpha negen slachtoffers op zijn afpersingsportaal. Uit een rapport van Symantec blijkt dat Alpha en NetWalker vergelijkbare technieken gebruiken, zoals een PowerShell-gebaseerde loader voor het afleveren van hun payload en significante code-overlaps. Beide maken gebruik van een tijdelijk batchbestand voor zelfverwijdering na het voltooien van het encryptieproces. Dit duidt op een sterke link tussen de ontwikkelaars van NetWalker en Alpha, wat suggereert dat NetWalker mogelijk is herrezen onder de Alpha merknaam of dat de code door een nieuwe dreigingsgroep wordt hergebruikt. Ondanks dat Alpha momenteel geen grote speler is, wordt het gezien als een opkomende dreiging waar organisaties rekening mee moeten houden. [1, 2]


Noord-Koreaanse Hackers Wassen Gestolen Crypto Wit via YoMix Mixer

De Noord-Koreaanse hackersgroep Lazarus, bekend om hun grootschalige cryptocurrency-diefstallen, gebruikt nu de YoMix bitcoin mixer om hun illegaal verkregen vermogen te witwassen. Dit volgt nadat verschillende bitcoin mixingservices, eerder gebruikt door de groep, sancties ontvingen van overheden. Chainalysis, een blockchain analysebedrijf, meldt een aanzienlijke toename van fondsen in YoMix gedurende 2023, die niet aan populariteitsgroei toegeschreven kan worden, maar eerder aan activiteiten van Lazarus. De groep wordt verdacht van het financieren van zowel hun eigen operaties als het wapenontwikkelingsprogramma van Noord-Korea door middel van crypto-diefstal. Recente diefstallen omvatten de Ronin Network (Axie Infinity) hack in maart 2022 met een opbrengst van $625 miljoen, de Harmony Horizon hack in juni 2022 resulterend in $100 miljoen aan verliezen, en de Alphapo heist in juli 2023 waarbij $60 miljoen aan crypto buitgemaakt werd. Van januari 2017 tot december 2023 hebben Noord-Koreaanse hackers, waaronder Lazarus, Kimsuky, en Andariel, naar schatting $3 miljard in crypto gestolen. Het geld passeerde verschillende mixingservices die geen antiwitwasreguleringen volgen, wat leidde tot sancties tegen sommige van deze platforms door het U.S. Treasury Department's Office of Foreign Assets Control (OFAC). Ondanks deze sancties blijft Lazarus nieuwe platforms vinden voor hun witwasactiviteiten, waarbij YoMix de meest recente is. Chainalysis merkt op dat de concentratie van witwasactiviteiten bij enkele fiat-uitstapservices ligt, maar dat op het niveau van stortingsadressen de activiteiten minder geconcentreerd zijn, wat wijst op een diversificatie door criminelen om detectie en bevriezing van activa door wetshandhaving te vermijden. [1]


NSO's Innovatieve 'MMS Fingerprint' Technologie Onder De Loep

Volgens een onthulling van securitybedrijf Enea, gebaseerd op gerechtelijke documenten, heeft de spywareleverancier NSO Group een geavanceerde techniek, 'MMS fingerprint', ontwikkeld voor het infiltreren van telefoons. Dit werd bekend in een rechtszaak die WhatsApp/Facebook in 2019 tegen NSO aanspande vanwege aanvallen op WhatsApp-gebruikers met Pegasus-spyware. Uit de rechtszaak kwam naar voren dat NSO een contract had met de telecomtoezichthouder van Ghana, waarin deze 'MMS fingerprint'-functie werd beschreven. Met deze methode kan men via een MMS-bericht het besturingssysteem en toesteltype van het doelwit identificeren zonder enige interactie van de gebruiker. Ondanks het risico op blokkering door telecomproviders en de zichtbaarheid van het bericht op het toestel, biedt deze techniek aanvallers de mogelijkheid om aanvallen nauwkeuriger af te stemmen. Enea heeft ontdekt hoe deze techniek werkt en de potentiële voordelen ervan bij aanvallen, hoewel er geen bewijs is dat het actief wordt gebruikt. Als preventieve maatregel tegen dergelijke aanvallen wordt aangeraden 'MMS auto-retrieval' op telefoons uit te schakelen, al is de beste bescherming een aanpassing op netwerkniveau door telecomproviders. [1]


Waarschuwing voor cybersecurityrisico's door accounts van ex-medewerkers

De Amerikaanse overheid heeft recent gewaarschuwd voor het risico van cyberaanvallen via accounts van voormalige medewerkers. Deze waarschuwing volgt nadat een niet nader genoemde federale overheidsorganisatie het slachtoffer werd van een dergelijke aanval. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het ministerie van Homeland Security, meldt dat een aanvaller toegang verkreeg tot het netwerk van de organisatie door in te loggen met de inloggegevens van een ex-werknemer die adminrechten had. Dit account was na het vertrek van de werknemer niet onmiddellijk gedeactiveerd en gaf de aanvaller toegang tot belangrijke servers, waaronder een SharePoint-server. De aanvaller kon ook inloggegevens van een globale domeinbeheerder gebruiken die op de SharePoint-server waren opgeslagen. Na ontdekking van het lek nam de organisatie direct maatregelen door het betreffende account uit te schakelen en de servers offline te halen. Ook werden de beheerdersrechten van het betrokken account verwijderd en multifactorauthenticatie ingeschakeld. CISA benadrukt het belang van het verwijderen van onnodige accounts, het inschakelen van multifactorauthenticatie en het veilig opslaan van inloggegevens om dergelijke aanvallen in de toekomst te voorkomen. [1]


🇳🇱 MeerServices Getroffen door Cyberaanval

MeerServices, een Nederlandse IT-dienstverlener, is recent het slachtoffer geworden van een cyberaanval uitgevoerd door de groep genaamd PLAY. De aanval werd op 15 februari 2024 bekendgemaakt op het darkweb. MeerServices, bekend om zijn IT-services binnen Nederland, heeft nog niet gereageerd op de aanval. Dit incident benadrukt de toenemende dreiging van cybercriminaliteit binnen de IT-sector. Het is een herinnering aan het belang van robuuste cyberbeveiligingsmaatregelen voor bedrijven in alle branches.


Nieuwe Automatiseringstool 'MrAgent' Versterkt RansomHouse's Aanvallen op VMware ESXi

RansomHouse, een ransomware-as-a-service operatie die eind 2021 opdook, heeft een nieuwe tool genaamd 'MrAgent' ontwikkeld. Deze tool is specifiek ontworpen om de inzet van hun data-encryptiesoftware op VMware ESXi hypervisors te automatiseren. MrAgent vergemakkelijkt de aanval door automatisch de firewall van het hostsysteem uit te schakelen en de ransomware simultaan over meerdere hypervisors te verspreiden, waardoor alle beheerde virtuele machines (VM's) gecompromitteerd worden. Dit maakt het voor RansomHouse mogelijk om gegevens van grote organisaties, die vaak afhankelijk zijn van deze servers voor kritieke applicaties en diensten, te versleutelen en te gebruiken voor dubbele afpersing. De tool ondersteunt aangepaste configuraties voor de ransomware-inzet, ontvangen van de command-and-control (C2) server, en omvat functies zoals het instellen van wachtwoorden op de hypervisor, het plannen van encryptie-events, en het aanpassen van welkomstberichten om losgeldnotities weer te geven. Deze geavanceerde aanpak toont de intentie van RansomHouse om hun aanvallen te maximaliseren en benadrukt het belang voor verdedigers om uitgebreide beveiligingsmaatregelen te implementeren tegen dergelijke dreigingen. [1]


Turla Hackers Richten Zich Op NGO's Met Nieuwe Malware

Veiligheidsonderzoekers hebben een nieuwe vorm van malware ontdekt, genaamd TinyTurla-NG en TurlaPower-NG, die door de Russische hackergroep Turla wordt ingezet om toegang te behouden tot netwerken van doelwitten en gevoelige data te stelen. Deze groep, die sinds ten minste 2004 actief is en banden heeft met de Russische inlichtingendienst FSB, richt zich op organisaties in diverse sectoren zoals overheid, militair, onderwijs, onderzoek, farmacie en NGO's. De malware werd ontdekt tijdens een onderzoek naar een compromittering bij een Poolse NGO die Oekraïne steunt. TinyTurla-NG, actief gericht op meerdere NGO's in Polen, gebruikt kwetsbare WordPress websites voor command-and-control (C2) doeleinden en om kwaadaardige PowerShell scripts te hosten. Deze scripts worden gebruikt om masterwachtwoorden van populaire wachtwoordbeheersoftware te exfiltreren. TinyTurla-NG functioneert als een achterdeur, waardoor de hackers toegang kunnen behouden tot het gecompromitteerde systeem, zelfs nadat andere toegangsmethoden zijn ontdekt of verwijderd. De malware, die wordt gestart via svchost.exe, kan verschillende commando's uitvoeren om bijvoorbeeld slaaptijd te wijzigen, command shells te wisselen, en data te exfiltreren. Cisco Talos, die het technisch rapport uitbracht, heeft een kleine set indicatoren van compromis voor TinyTurla-NG beschikbaar gemaakt. [1, 2]

Wat zijn NGO's

Niet-gouvernementele organisaties (NGO's) zijn onafhankelijke, non-profit organisaties die opereren buiten de directe invloed van overheden. Ze spelen een belangrijke rol in de maatschappij door zich in te zetten voor sociale, milieu-, culturele, humanitaire, en ontwikkelingsgerelateerde doelen. NGO's kunnen lokaal, nationaal, of internationaal actief zijn en richten zich op een breed scala aan onderwerpen, waaronder mensenrechten, gezondheidszorg, onderwijs, milieubescherming, en armoedebestrijding.


Vernieuwde Qbot Malware Maakt Misbruik van Nep Adobe Installer

De recent ontdekte variant van Qbot malware, actief sinds medio december in emailcampagnes, maakt gebruik van een valse Adobe-productinstallatiepopup om gebruikers te misleiden en de malware te installeren. Deze tactiek is onderdeel van de voortdurende ontwikkeling van Qbot, ook bekend als QakBot, een malware die al jaren als een laadprogramma voor verschillende kwaadaardige payloads fungeert, waaronder ransomware, voornamelijk via e-mail verspreid wordt. Ondanks een significante onderbreking van de activiteiten door een operatie genaamd Duck Hunt, waarbij de infrastructuur van QBot tijdelijk werd neergehaald zonder arrestaties, hebben ontwikkelaars hun infrastructuur heropgebouwd en de verspreiding hervat. Recente activiteiten omvatten tot tien nieuwe malwarebuilds, opgemerkt door Sophos X-Ops, die aantonen dat ontwikkelaars de malware blijven verfijnen. Deze builds onderscheiden zich door geavanceerde versleutelingstechnieken en ontduikingstactieken, waaronder controles op virtuele omgevingen en endpoint beschermingssoftware, om detectie te ontwijken. Onderzoekers benadrukken het belang van voortdurende waakzaamheid en samenwerking tussen beveiligingsbedrijven om deze dreiging te mitigeren. [1, 2]


🇧🇪 Toename Bankhelpdeskfraude in België na Datalek Limburg.net

In België waarschuwt de politie voor een toename van bankhelpdeskfraude, gelinkt aan een recent datalek bij afvalverwerker Limburg.net. Deze organisatie, verantwoordelijk voor afvalinzameling en -verwerking in Limburg, werd slachtoffer van een ransomware-aanval in november, waarbij persoonlijke gegevens van 311.000 mensen gestolen werden. Criminelen benutten deze informatie nu door slachtoffers telefonisch te benaderen met beweringen over misbruik van hun kaartgegevens voor aankopen in Brussel, suggererend dat hun data door het lek gecompromitteerd is. Ze gebruiken geraffineerde manipulatietechnieken om slachtoffers ertoe aan te zetten een applicatie te downloaden, wat hen toegang geeft tot persoonlijke bankgegevens. Volgens de Belgische bankenkoepel Febelfin heeft dit al tot meerdere gevallen van bankrekening plunderingen geleid. De politie enFebelfin adviseren waakzaamheid en het vermijden van het volgen van instructies van onbekende bellers. [1]


🇳🇱 Ziggo E-mailaccounts Gehackt: 600 Klanten Getroffen

Ziggo heeft onlangs ontdekt dat hackers toegang hebben gekregen tot de e-mailaccounts van zeshonderd van haar klanten. Deze ontdekking kwam aan het licht na een storing in de Ziggomail-service. Volgens een woordvoerster van Ziggo hebben de criminelen toegang verkregen door gebruik te maken van gelekte e-maillijsten met wachtwoorden of door het raden van eenvoudige wachtwoorden. De exacte bron van deze lijsten kon niet achterhaald worden, maar het vermoeden bestaat dat het gaat om een credential stuffing-aanval, waarbij eerder gelekte gegevens worden gebruikt om toegang te krijgen tot accounts op andere platforms. Dit type aanval is succesvol als gebruikers dezelfde wachtwoorden hergebruiken op meerdere sites. Na de ontdekking van de inbraak heeft Ziggo direct de getroffen accounts geblokkeerd en de eigenaren geïnformeerd met instructies om hun accounts weerveilig in gebruik te nemen. [1]


Cyberaanval treft lokaal schoolsysteem in Okanagan (CAN)

Een cyberbeveiligingsincident heeft geleid tot een netwerkstoring die het hele district van School District No. 67 in Okanagan Skaha treft. Ondanks de storing blijven de scholen operationeel, maar zowel telefoon- als e-mailcommunicatie zijn uitgevallen. Er is momenteel geen tijdschema voor wanneer deze systemen weer operationeel zullen zijn. De onderwijsinstelling, die scholen in Penticton, Summerland, Kaleden, en Naramata omvat, ontvangt ondersteuning van het Ministerie van Onderwijs, lokale autoriteiten, en een gespecialiseerde dienstverlener op het gebied van cybersecurity. Dit incident onderstreept het belang van robuuste cyberbeveiligingsmaatregelen binnen het onderwijssysteem. [1, 2]


Genève Privékliniek Getroffen door Cyberaanval (CHE)

Een privékliniek in Genève, bekend als La Colline en gespecialiseerd in sportgeneeskunde, orthopedische chirurgie en neurochirurgie, is het slachtoffer geworden van een cyberaanval. Ondanks deze aanval functioneert de kliniek, die ongeveer 300 medewerkers en 450 geaccrediteerde artsen telt, normaal volgens de eigenaar, de Hirslanden-groep. Er zijn geen aanwijzingen dat patiëntgegevens zijn gestolen, en de patiëntveiligheid is niet in het gedrang gekomen. De medische activiteiten en apparaten blijven operationeel en beveiligd. Deze cyberaanval lijkt een geïsoleerd incident binnen het Hirslanden-netwerk, het grootste medische netwerk van het land, dat verder geen details over het incident heeft vrijgegeven, vaak gekenmerkt door losgeldeisen van hackers. De aanval komt te midden van een toename van cybercriminaliteit in Zwitserland, met een 30% stijging in het afgelopen jaar tot bijna 50.000 gevallen, volgens het Federale Bureau voor Cyberveiligheid. Dit benadrukt de groeiende dreiging van online aanvallen die gericht zijn op het behalen van winst met minimale inspanning, zonder specifieke doelwitten. [1]


Aztech Global Getroffen door Ransomware-aanval

Aztech Global Ltd, een bedrijf genoteerd aan de SGX Mainboard, en haar dochterondernemingen hebben onlangs een cybersecurity-incident gemeld. Cybercriminelen kregen ongeautoriseerde toegang tot het IT-netwerk van de groep en voerden een ransomware-aanval uit. Direct na ontdekking van het incident nam de groep onmiddellijke maatregelen door alle servers tijdens de viering van het Chinees Nieuwjaar uit te schakelen en meerdere geavanceerde cybersecurity-screeningssoftware te gebruiken om de gegevens op de servers te controleren en te waarborgen dat er geen verdere gegevens zijn aangetast. Daarnaast heeft Aztech Global externe forensische adviseurs ingeschakeld voor onderzoek en heeft het de juiste wetshandhavingsautoriteit ingelicht. De groep raadpleegt ook industriële experts om de algehele cyberbeveiliging te versterken. Tot op heden lijkt het incident geen materiële impact te hebben op de financiële situatie of de bedrijfsvoering van de groep. Dit incident is de meest recente in een reeks ransomware-aanvallen op Singapore-genoteerde bedrijven sinds het begin van het jaar. Aztech Global heeft aangegeven de aandeelhouders op de hoogte te houden van eventuele belangrijke ontwikkelingen. Het onderzoek naar de cyberbeveiligingsbreuk is nog gaande. [1, pdf]


Nieuwe 'Gold Pickaxe' Malware Misbruikt Gezichtsherkenning voor Fraude

Een recent ontdekte trojan, genaamd 'Gold Pickaxe', richt zich op iOS- en Android-gebruikers met een geraffineerd sociaal engineering schema. Slachtoffers worden misleid om hun gezicht en identiteitsdocumenten te scannen, waarschijnlijk voor het creëren van deepfakes en ongeautoriseerde banktoegang. Deze malware is onderdeel van een reeks ontwikkeld door de Chinese dreigingsgroep 'GoldFactory'. Analisten van Group-IB hebben vastgesteld dat de aanvallen voornamelijk gericht zijn op de Aziatisch-Pacifische regio, met name Thailand en Vietnam, maar de technieken zouden wereldwijd effectief kunnen zijn. De verspreiding begint met phishing of smishing berichten via de LINE-app, die slachtoffers lokken naar frauduleuze apps. Eenmaal geïnstalleerd, kan de trojan op semi-autonome wijze opereren door het vastleggen van het gezicht van het slachtoffer, onderscheppen van SMS, en netwerkverkeer doorsturen. De iOS-versie ontvangt specifieke commando's via een web socket kanaal, terwijl de Android-versie door Apple's hogere beveiligingsrestricties nog meer kwaadaardige activiteiten kan uitvoeren. Hoewel Gold Pickaxe gezichtsbeelden kan stelen, benadrukt Group-IB dat het geen Face ID-gegevens kaapt of kwetsbaarheden in de mobiele besturingssystemen uitbuit, aangezien biometrische gegevens veilig versleuteld blijven. [1]


Kritieke Kwetsbaarheid in Microsoft Exchange Server Uitgebuit

Microsoft heeft gewaarschuwd voor een kritieke kwetsbaarheid in Exchange Server, die als zero-day werd uitgebuit voordat deze werd verholpen tijdens de Patch Tuesday van deze maand. De kwetsbaarheid, intern ontdekt en gevolgd als CVE-2024-21410, stelde niet-geauthenticeerde externe aanvallers in staat privileges te escaleren via NTLM relay-aanvallen op kwetsbare versies van Microsoft Exchange Server. Aanvallers konden zo netwerkapparaten dwingen te authenticeren tegen een NTLM relay-server onder hun controle om de getroffen apparaten te imiteren en privileges te verhogen. Microsoft heeft deze kwetsbaarheid aangepakt in de Cumulative Update 14 (CU14) voor Exchange Server 2019 door NTLM credentials Relay Protection, ook bekend als Extended Protection for Authentication (EPA), in te schakelen. Dit is ontworpen om Windows Server-authenticatiefuncties te versterken door authenticatierelay en man-in-the-middle (MitM) aanvallen te mitigeren. Na installatie van de CU14-update wordt Extended Protection standaard ingeschakeld op alle Exchange-servers. Beheerders kunnen Extended Protection ook activeren op eerdere versies van Exchange Server met behulp van het ExchangeExtendedProtectionManagement PowerShell-script, na zorgvuldige evaluatie van hun omgevingen om functionaliteitsproblemen te voorkomen. [1, 2]


LockBit Ransomware-aanval treft Fulton County, Georgia USA

De LockBit ransomware-groep heeft de verantwoordelijkheid opgeëist voor een recente cyberaanval op Fulton County, Georgia, en dreigt nu met het openbaar maken van "vertrouwelijke" documenten tenzij er losgeld betaald wordt. Deze aanval, die het laatste weekend van januari plaatsvond, heeft geleid tot wijdverbreide IT-storingen die telefonie, rechtbanken en belastingsystemen troffen. Bijna drie weken na het incident is de lokale overheid nog steeds niet hersteld, en vertoont hun website nog steeds de oorspronkelijke melding van de systeemuitval. Robb Pitt, voorzitter van Fulton County, heeft aangegeven dat er tot nu toe geen aanwijzingen zijn dat er gevoelige informatie van burgers of medewerkers is gestolen, maar de onderzoeken zijn nog gaande. Ondanks deze verzekeringen heeft de LockBit-groep 25 screenshots gepubliceerd als bewijs van toegang tot de systemen van het county en dreigt met het lekken van gevoelige gegevens van burgers als er geen losgeld wordt betaald. Ze hebben tot 16 februari een deadline gesteld voor Fulton County. Ondertussen onderzoekt de administratie van Fulton de mogelijkheid om verzekeringsgeld te gebruiken voor het herstel van het systeem, waardoor het onwaarschijnlijk is dat aan de eisen van de hackers zal worden voldaan. [1, 2]


U.S. Internet Corp Leakt Jaren van Interne en Klantenemails

Het in Minnesota gevestigde internetbedrijf U.S. Internet Corp, bekend om zijn Securence-eenheid die gefilterde, veilige e-mailservices biedt, heeft meer dan tien jaar aan interne en klantenemails onbedoeld openbaar gemaakt. Deze e-mails, sommige daterend uit 2008 tot aan de huidige dag, waren eenvoudig toegankelijk voor iedereen met internettoegang. Onder de getroffen klanten bevonden zich tientallen overheidsinstanties en onderwijsinstellingen. De blootstelling werd ontdekt door cybersecuritybedrijf Hold Security, waarna U.S. Internet onmiddellijk actie ondernam om de gegevens offline te halen. CEO Travis Carter heeft verklaard dat het bedrijf onderzoekt hoe deze fout kon gebeuren, die te wijten lijkt aan een configuratiefout door een voormalige werknemer. Daarnaast werd ontdekt dat hackers een link-scrubbing en anti-spam service van Securence misbruikten om verkeer naar kwaadaardige websites te leiden. Dit incident onderstreept ernstige zorgen over de competentie en beveiligingspraktijken van U.S. Internet, waarbij wordt opgeroepen tot meer transparantie en een grondige herziening van hun beveiligingsmaatregelen. [1]


Trans-Northern Pipelines Onderzoekt Claims van ALPHV Ransomware-aanval

In november 2023 werd Trans-Northern Pipelines (TNPI), een bedrijf dat essentiële pijpleidingen beheert voor het vervoer van geraffineerde aardolieproducten in Canada, het doelwit van een cyberaanval. De interne netwerken van het bedrijf werden gecompromitteerd, en nu onderzoekt TNPI beweringen van datadiefstal door de ALPHV/BlackCat ransomware-groep. TNPI, dat dagelijks 221.300 vaten aardolieproducten transporteert via ondergrondse pijpleidingen in Ontario-Quebec en Alberta, heeft de inbreuk bevestigd en verklaard dat de impact beperkt was tot een klein aantal interne computersystemen. Volgens de communicatieverantwoordelijke van TNPI werd het incident snel ingeperkt met hulp van externe cybersecurityexperts, en blijft het pijpleidingsysteem veilig functioneren. Hoewel TNPI de specifieke claims van ALPHV niet rechtstreeks bevestigde, beweert de ransomware-groep 183GB aan documenten te hebben gestolen en gepubliceerd op hun lekwebsite, inclusief contactinformatie van verschillende TNPI-medewerkers. De FBI heeft ALPHV/BlackCat, dat gelinkt wordt aan meer dan 60 aanvallen wereldwijd en meer dan $300 miljoen aan losgeld heeft verzameld, geïdentificeerd als een significante bedreiging. Dit incident onderstreept de voortdurende kwetsbaarheid van kritieke infrastructuur voor cyberaanvallen en de noodzaak van verhoogde cybersecuritymaatregelen.


Staatshackers Gebruiken ChatGPT voor Phishing en Spionage

Statelijke actoren, spionagegroepen en cybercriminelen zetten ChatGPT in voor diverse malafide doeleinden, waaronder het verzamelen van informatie en het genereren van phishingmails, aldus een recente blogpost van Microsoft en Open AI. Vooral de vanuit Rusland opererende Fancy Bear, gelinkt aan de Russische inlichtingendienst GRU, maakt gebruik van ChatGPT voor het vergaren van kennis over programmering en satellietwerking. Een Noord-Koreaanse groep benutte de chatbot om inzicht te krijgen in kwetsbaarheden van de Microsoft Support Diagnostic Tool (MSDT). Daarnaast wordt ChatGPT door diverse groeperingen aangewend voor het opstellen van phishingmails, het opvragen van specifieke informatie, het verbeteren van scripts en het vertalen van technische documenten. Microsoft benadrukt dat er nog geen nieuwe of unieke AI-gebaseerde aanvalstechnieken waargenomen zijn, maar houdt de ontwikkelingen op het gebied van AI-misbruik scherp in de gaten. [1]


Groot Datalek bij Pentagon: 20.000 Personen Getroffen

Het Amerikaanse ministerie van Defensie heeft onlangs te kampen gehad met een aanzienlijk datalek, waarbij de gegevens van 20.000 personen zijn gelekt door een onbeveiligde cloud-mailserver. Deze server, onderdeel van Microsofts Azure-cloud specifiek voor Defensieklanten, was door een configuratiefout bijna drie weken lang toegankelijk zonder wachtwoord. Het enige dat nodig was om toegang te krijgen, was het IP-adres van de server. Op de server bevond zich ongeveer drie terabyte aan militaire e-mails, voornamelijk afkomstig van het U.S. Special Operations Command, een eenheid gespecialiseerd in speciale militaire operaties. Dit incident, dat al een jaar geleden voor het eerst in het nieuws kwam, heeft blootgelegd hoe kwetsbaar digitale informatie kan zijn, zelfs binnen de meest beveiligde omgevingen zoals die van het Pentagon. Het datalek benadrukt de noodzaak voor striktere beveiligingsmaatregelen en betere configuratiecontroles binnen cloud-diensten om de privacy en veiligheid van gevoelige informatie te waarborgen. [1, 2]


Cyberaanval treft 600.000 CAF-accounts (FRA)

De Caisse des Allocations Familiales (CAF), een Franse overheidsinstelling voor gezinsuitkeringen, is onlangs het slachtoffer geworden van een cyberaanval. De aanval, opgeëist door de beruchte hackersgroep LulzSec, zou betrekking hebben op de diefstal van gegevens van 600.000 CAF-accounts. Hoewel de CAF bevestigt dat de gegevens van vier rekeninghouders zijn gecompromitteerd, benadrukt de organisatie dat er geen zwakke punten in hun systemen zijn gevonden. Deze vier getroffen individuen zijn reeds geïnformeerd en er lopen onderzoeken naar de omvang van de aanval op de overige accounts. De hackers slaagden erin toegang te krijgen tot de accounts door gebruik te maken van elders verkregen wachtwoorden, zonder de systemen van de CAF direct te infiltreren. Dit suggereert een exploitatie van bestaande gegevenslekken in plaats van een nieuwe kwetsbaarheid in de CAF-systemen. De CAF heeft als reactie haar beveiligingsmaatregelen versterkt en aangifte gedaan bij de relevante autoriteiten, waaronder de Franse gegevensbeschermingsautoriteit CNIL. Aan gebruikers wordt geadviseerd hun wachtwoorden te wijzigen als voorzorgsmaatregel tegen mogelijke misbruik. [1]


Cyberaanval Treft Vijf Varta Fabrieken

De Duitse batterijfabrikant Varta heeft bekendgemaakt dat vijf van haar productiefaciliteiten zijn getroffen door een cyberaanval. Het incident, dat laat op dinsdag werd gemeld, heeft geleid tot onzekerheid over de omvang van de schade die de aanval heeft veroorzaakt. Het bedrijf, dat een breed scala aan batterijen produceert en verkoopt voor industriële, commerciële en consumententoepassingen, waaronder lithium-ionbatterijen voor gehoorapparaten, camera's, telefoons, en meer, staat nu voor de uitdaging om de volledige impact van de cyberaanval vast te stellen. Varta bedient wereldwijd klanten in diverse sectoren, waardoor de aanval potentieel verstrekkende gevolgen kan hebben voor haar bedrijfsvoering en klantleveringen. Verdere details over de specifieke aard van de cyberaanval of de verwachte hersteltijd zijn nog niet vrijgegeven, waardoor stakeholders en klanten in afwachting zijn van meer informatie. [1, VARTA PDF]


Cybercriminaliteit kost Britse bedrijven recordbedrag in 2023

In 2023 hebben cyberaanvallen op meer dan 1,5 miljoen Britse bedrijven een financiële schade veroorzaakt van GBP 30,5 miljard, zo blijkt uit onderzoek door de Britse zakelijke internetdienstaanbieder Beaming. Deze aanzienlijke financiële last vertegenwoordigt een stijging van 138% in vergelijking met de GBP 12,8 miljard schade in 2019, waarmee de voortdurende en groeiende dreiging van cybercriminaliteit voor het bedrijfsleven in het Verenigd Koninkrijk wordt onderstreept. Het onderzoek benadrukt niet alleen de kwetsbaarheid van bedrijven voor digitale inbreuken maar ook de noodzaak voor verbeterde cyberbeveiligingsmaatregelen om deze kostbare bedreigingen tegen te gaan. [1]


Datalek bij Facebook Marketplace Raakt 200.000 Gebruikers

In februari 2024 werd onthuld dat de persoonlijke informatie van 200.000 Facebook Marketplace gebruikers is gelekt op een hackersforum. Dit lek omvat mobiele telefoonnummers, e-mailadressen, namen, Facebook-ID's en profielinformatie. Het datalek werd veroorzaakt door een cybercrimineel die zichzelf 'IntelBroker' noemt. Deze persoon claimt dat de gegevens zijn gestolen door een aanval op de systemen van een externe dienstverlener van Meta, uitgevoerd door een hacker met de naam 'algoatson' via Discord in oktober 2023. Dit incident is onderdeel van een reeks beveiligingsproblemen die Meta de afgelopen jaren heeft getroffen. Voorheen, in april 2021, waren de gegevens van meer dan 533 miljoen Facebook-gebruikers gelekt, wat leidde tot een aanzienlijke boete van de Europese Unie voor het niet beschermen van gebruikersgegevens. Het recente lek stelt gebruikers bloot aan verschillende risico's, zoals phishing en SIM-swap aanvallen, waarbij aanvallers toegang kunnen krijgen tot accounts door het onderscheppen van SMS-codes voor multi-factor authenticatie. Dit benadrukt wederom de kwetsbaarheden van persoonlijke informatie op sociale media en de noodzaak van verhoogde beveiligingsmaatregelen.


Prudential Financial Slachtoffer van Datalek door Cyberaanval (USA)

Prudential Financial, een toonaangevende wereldwijde financiële dienstverlener en de op één na grootste levensverzekeringsmaatschappij in de VS, is getroffen door een cyberaanval. De aanvallers slaagden erin gegevens van werknemers en aannemers te stelen na toegang te hebben verkregen tot sommige systemen van het bedrijf op 4 februari. De inbreuk werd de volgende dag ontdekt, waarna de toegang van de aanvallers werd geblokkeerd. Prudential, met een vermogensbeheer van ongeveer $1,4 biljoen en diensten aan meer dan 50 miljoen klanten wereldwijd, heeft de inbreuk gemeld bij de rechtshandhaving en relevante regelgevende autoriteiten. Er loopt een onderzoek naar de volledige omvang en impact van het incident, inclusief de mogelijkheid van toegang tot andere informatie of systemen. Tot dusver is er geen aanwijzing dat klant- of cliëntgegevens zijn gecompromitteerd. Het bedrijf heeft nog niet vastgesteld of het incident een materiële impact zal hebben op de bedrijfsvoering of financiële resultaten. In mei 2023 werden de gegevens van meer dan 320.000 Prudential-klanten, verwerkt door derde partij Pension Benefit Information, blootgesteld na een inbreuk op het MOVEit Transfer bestandsoverdrachtsplatform door de Clop cybercrimebende. [1, 2]


Datalek bij Integris Health treft 2,4 miljoen patiënten (USA)

Integris Health, de grootste non-profit gezondheidsorganisatie van Oklahoma, heeft te maken gehad met een significant datalek. Bijna 2,4 miljoen mensen zijn getroffen door dit incident, dat in november vorig jaar plaatsvond. De organisatie, die een uitgebreid netwerk van ziekenhuizen, klinieken en spoedeisende hulp over de staat beheert, ontdekte de cyberaanval nadat patiënten afpersingsmails ontvingen. Deze mails waarschuwden dat hun gevoelige persoonlijke informatie verkocht zou worden tenzij aan de eisen van de aanvaller werd voldaan. De gestolen gegevens omvatten volledige namen, geboortedata, contactinformatie, demografische gegevens en Social Security nummers. Belangrijk is dat er geen werkgelegenheidsinformatie, rijbewijzen, accountgegevens of financiële informatie is gelekt. Integris Health heeft bevestigd dat alle getroffen patiënten individueel zullen worden genotificeerd en heeft een FAQ gepubliceerd om hen te informeren over het incident en advies te geven over hoe ze zich kunnen beschermen tegen identiteitsdiefstal en fraude. Dit lek zet de deur open voor mogelijke scams, phishing en andere aanvallen door cybercriminelen. [1, 2, 3]


Hackers Ontvreemden $290 Miljoen in Crypto van PlayDapp

Hackers hebben naar verluidt meer dan $290 miljoen aan PLA-tokens ontvreemd van het PlayDapp gaming platform, door gebruik te maken van een gestolen privésleutel. PlayDapp, een op blockchain gebaseerde platform dat handel in niet-vervangbare tokens (NFT's) binnen games mogelijk maakt, werd op 9 februari 2024 getroffen toen een ongeautoriseerde wallet 200 miljoen PLA tokens aanmaakte, met een waarde van $36,5 miljoen. Het beveiligingsbedrijf PeckShield suggereerde dat de daders een gelekte privésleutel hadden gebruikt. Als reactie hierop waarschuwde PlayDapp de gemeenschap en ondernam meteen actie door alle tokens naar een nieuwe, beveiligde wallet over te dragen en bood een beloning van $1 miljoen voor de teruggave van de gestolen middelen. Desondanks mintten de hackers op 12 februari nog eens 1,59 miljard PLA tokens, waardoor het totale verlies opliep tot $290,4 miljoen. PlayDapp heeft opgeroepen tot het opschorten van alle handel in PLA tokens en heeft stappen ondernomen om de wallets van de hackers te bevriezen op grote beurzen. De gemeenschap wordt geadviseerd om transacties te vermijden totdat er naar een veilig systeem is overgestapt. Ondanks pogingen om de gestolen tokens te isoleren, is het geld al in beweging en wordt het witgewassen. Dit incident heeft een directe impact op de waarde van PLA tokens en de legitieme houders ervan. De aanval is nog niet toegeschreven aan een specifieke groep, maar heeft kenmerken die doen denken aan de activiteiten van de Noord-Koreaanse hackersgroep Lazarus. [1, 2, 3, 4, 5]


Heropleving van Bumblebee Malware: Nieuwe Phishingcampagne Treft Duizenden Organisaties

Na een onderbreking van vier maanden is de Bumblebee malware teruggekeerd, waarbij duizenden organisaties in de Verenigde Staten doelwit zijn van phishingcampagnes. Ontdekt in april 2022, wordt Bumblebee beschouwd als een creatie van de cybercrime syndicaten Conti en Trickbot, bedoeld als vervanging voor de BazarLoader backdoor. Deze malware wordt voornamelijk verspreid via phishingcampagnes om extra payloads op geïnfecteerde apparaten te plaatsen, zoals Cobalt Strike beacons, wat dient voor initiële netwerktoegang en het uitvoeren van ransomware-aanvallen. De recent waargenomen campagne door Proofpoint markeert een significante terugkeer van Bumblebee sinds oktober, wat mogelijk duidt op een toename van cybercrime-activiteiten richting 2024. De phishingcampagne, die zich voordoet als voicemailmeldingen, gebruikt e-mails met OneDrive URL's die een kwaadaardig Word-document downloaden. Dit document maakt gebruik van macros om een scriptbestand in de Windows temp-map te creëren en vervolgens uit te voeren, wat uiteindelijk leidt tot het downloaden en lanceren van de Bumblebee DLL op het systeem van het slachtoffer. Ondanks Microsoft's beslissing om macros standaard te blokkeren in 2022, is het opvallend dat deze campagne nog steeds gebruikmaakt van VBA macros, wat wijst op een significante afwijking van modernere technieken. Dit zou kunnen duiden op pogingen om detectie te vermijden of gericht te zijn op zeer verouderde systemen. Proofpoint merkt op dat, ondanks de onderbreking, de terugkeer van Bumblebee en de experimentatie met macro-laden documenten een teken zijn van aanhoudende dreigingen en diversificatie in distributiemethoden binnen de cybercrime-gemeenschap. [1]


Zerodaylek in Microsoft Defender SmartScreen Misbruikt voor Aanvallen op Beurshandelaren

Beurshandelaren zijn sinds januari 2024 het doelwit van cyberaanvallen door een zerodaylek in Microsoft Defender SmartScreen. Dit lek stelde criminelen in staat om de beveiligingsmaatregel van Windows te omzeilen en slachtoffers met geavanceerde malware te infecteren. Antivirusbedrijf Trend Micro heeft de aanvallen waargenomen en Microsoft heeft inmiddels een update uitgebracht om het lek te dichten. De aanvallen vonden plaats op forex-handelsforums en via Telegram, waarbij de criminelen misleidende berichten plaatsten met links naar schadelijke software, vermomd als financiële tools of aandelengrafieken. De gebruikte methode omvatte een WebDAV share die leek op de lokale downloadmap van het slachtoffer, met een bestand dat, ondanks zijn onschuldige uiterlijk, een link naar malware bevatte. Slachtoffers die het bestand openden, downloadden zonder waarschuwing de malware, waarna de aanvallers toegang kregen tot hun systeem. Deze geraffineerde aanval benadrukt de voortdurende bedreiging van zerodaylekken en het belang van snelle beveiligingsupdates. [1, 2, 3]


🇳🇱 EuroParcs Klanten Gewaarschuwd: Persoonsgegevens Mogelijk op Straat Door Datalek

Vakantiepark EuroParcs heeft een waarschuwing uitgegeven over een datalek binnen hun IT-omgeving, wat klanten blootstelt aan het risico op misbruik van hun persoonsgegevens. De exacte details en de omvang van het lek zijn niet vrijgegeven, en het tijdstip van ontdekking is ook niet gespecificeerd, uit veiligheidsoverwegingen. Na de ontdekking van het lek heeft EuroParcs onmiddellijk het getroffen deel van hun IT-systeem offline gehaald en met behulp van back-ups de systemen en gegevens hersteld. Het bedrijf benadrukt dat hun reserveringssysteem niet is aangetast en dat het veilig is om via hun website reserveringen te maken. Er loopt een onderzoek naar de aard en omvang van het incident, in samenwerking met gespecialiseerde adviseurs. Klanten zijn per e-mail ingelicht en gewaarschuwd om waakzaam te zijn voor spam en phishing. Het lek is gemeld bij de Autoriteit Persoonsgegevens, en EuroParcs is bezig met het informeren van betrokkenen over mogelijke risico’s en preventieve maatregelen. [1, 2, 3]


Groot Datalek bij Vruchtbaarheidsapp Glow Treft 25 Miljoen Gebruikers

Een ernstige kwetsbaarheid in het forum van de vruchtbaarheidsapp Glow heeft geleid tot een datalek waarbij persoonlijke gegevens van 25 miljoen gebruikers zijn blootgesteld. Deze gegevens omvatten namen, leeftijdsgroepen, locaties, gebruikers-ID's en door gebruikers geüploade afbeeldingen. De oorzaak was een IDOR-kwetsbaarheid (Insecure Direct Object References) in de developer API van Glow, waardoor ongeautoriseerde toegang tot deze gegevens mogelijk was zonder enige vorm van authenticatie of toegangscontrole. De kwetsbaarheid werd vorig jaar oktober ontdekt en gemeld aan Glow door onderzoeker Ovi Liber, maar het bedrijf ontkende aanvankelijk het probleem. Pas na een week werd de kwetsbaarheid verholpen. Dit incident volgt op een eerdere situatie in 2020, waarbij Glow een boete van 250.000 dollar moest betalen aan de staat Californië vanwege onvoldoende beveiliging van gebruikersgegevens, waardoor informatie zonder toestemming kon worden benaderd en wachtwoorden van gebruikers konden worden gewijzigd door derden. Dit herhaalde datalek benadrukt de noodzaak voor bedrijven om hun beveiligingsmaatregelen voortdurend te evalueren en te verbeteren om de privacy van hun gebruikers te waarborgen. [1, 2]


Meer dan honderd Roemeense ziekenhuizen keren terug naar pen en papier na ransomware-aanval

Meer dan honderd Roemeense ziekenhuizen en zorginstellingen zijn getroffen door een ransomware-aanval, waardoor zij genoodzaakt zijn terug te vallen op pen en papier. Deze aanval richtte zich op het Hipocrates-platform, een cruciaal zorginformatiesysteem dat gegevens over patiënten en de verleende zorg beheert. Als gevolg hiervan zijn bij 26 ziekenhuizen de servers versleuteld, waardoor patiëntgegevens onbereikbaar zijn geworden. Om verdere schade te voorkomen, zijn 79 andere instellingen preventief van het internet losgekoppeld. Ondanks deze precaire situatie beschikken de meeste getroffen ziekenhuizen over recente back-ups, variërend van één tot twaalf dagen oud, die kunnen helpen bij het herstellen van de data. De Roemeense autoriteiten adviseren de ziekenhuizen om geen losgeld te betalen en niet met de aanvallers in contact te treden, terwijl de ziekenhuizen nu tijdelijk terugkeren naar traditionele administratiemethoden. [1, 2]


🇧🇪 Belgisch Bedrijf ROOSENS BÉTONS Slachtoffer van Cyberaanval door Qilin

In een recente cyberaanval is ROOSENS BÉTONS, een Belgische groothandel in duurzame goederen, het slachtoffer geworden van de cybercriminele groepering Qilin. De aanval werd op 13 februari 2024 bekendgemaakt op het darkweb. Dit incident onderstreept de voortdurende dreiging van cybercriminaliteit voor bedrijven wereldwijd. ROOSENS BÉTONS, bekend om haar website www.roosens.com, onderzoekt momenteel de volledige impact van de inbreuk en neemt maatregelen om de beveiliging te versterken.


Grootschalige Privacyinbreuk door Android-Stalkerware

Een ernstige kwetsbaarheid in Android-stalkerware heeft geleid tot het lekken van gevoelige gegevens van tienduizenden slachtoffers. Stalkerware, software die zonder medeweten van de gebruiker op smartphones en computers wordt geïnstalleerd, stelt aanvallers in staat om toegang te krijgen tot persoonlijke informatie zoals sms-berichten, locatiedata, foto's en opgenomen gesprekken. Dit lek, bekend als een IDOR-kwetsbaarheid (Insecure Direct Object References), bestaat al jaren en heeft aanvallers in staat gesteld meerdere keren misbruik te maken van de gebrekkige beveiliging. Ondanks waarschuwingen aan de verantwoordelijke softwarebedrijven, blijft de kwetsbaarheid bestaan en heeft recentelijk geleid tot de identificatie van 50.000 nieuwe slachtofferapparaten. De misbruikte stalkerware-apps, waaronder Copy9, MxSpy en TheTruthSpy, delen dezelfde serverinfrastructuur, waardoor aanvallers gemakkelijk toegang kunnen krijgen tot verzamelde data zonder adequate authenticatie of autorisatie. Dit incident benadrukt de ernstige privacyrisico's die gepaard gaan met stalkerware en de noodzaak voor strengere beveiligingsmaatregelen. [1, 2]


🇳🇱 Minister Erkent: Volledige Bescherming Tegen Ransomware Onhaalbaar

Demissionair minister Adriaansens van Economische Zaken heeft benadrukt dat volledige bescherming tegen cyberdreigingen zoals ransomware niet mogelijk is. Dit statement werd gemaakt in reactie op zorgen van de BBB over de kwetsbaarheid van bedrijven en instellingen voor ransomware-aanvallen en hun onzekerheid over te nemen stappen na een aanval. Adriaansens beschrijft ransomware als een significante bedreiging en wijst op het belang van het verhogen van de eigen weerbaarheid tegen dergelijke cyberaanvallen. Het Digital Trust Center (DTC), onderdeel van het ministerie, speelt een cruciale rol in het adviseren van ondernemers over het verbeteren van hun cyberweerbaarheid en het bieden van hulpmiddelen ter preventie van ransomware, veelal veroorzaakt door phishing. De minister onderstreept ook de verantwoordelijkheid van bedrijven zelf in het nemen van passende maatregelen om bedrijfsrisico's te mitigeren en te voldoen aan de AVG door het implementeren van organisatorische en technische maatregelen.

45457985 Beantwoording Vragen Schriftelijk Overleg Voortgangsrapportage Strategie Digitale Economie
PDF – 378,2 KB 80 downloads
45457985 Beslisnota Beantwoording Vragen Schriftelijk Overleg Voortgangsrapportage Strategie Digitale Economie
PDF – 211,7 KB 83 downloads

🇧🇪 Belgisch Accountantskantoor Fidcornelis Slachtoffer van LockBit Cyberaanval

In een recente onthulling op het darkweb op 12 februari 2024, is bekend geworden dat het Belgische accountantskantoor Fidcornelis.be het slachtoffer is geworden van een cyberaanval georkestreerd door de beruchte cybercriminele groep LockBit. Deze aanval benadrukt de voortdurende dreiging van cybercriminaliteit voor financiële dienstverleners. Het incident onderstreept de noodzaak voor bedrijven binnen de sector om hun cybersecuritymaatregelen te versterken en waakzaam te blijven tegen dergelijke dreigingen.


Uitgebreide Phishingcampagne Bedreigt Microsoft Azure Accounts van Topmanagers

Eind november 2023 werd een phishingcampagne ontdekt die honderden gebruikersaccounts in diverse Microsoft Azure-omgevingen heeft gecompromitteerd, waaronder die van hogere bedrijfsleiding. Cybercriminelen richten zich specifiek op accounts van topmanagers om toegang te krijgen tot vertrouwelijke bedrijfsinformatie, frauduleuze financiële transacties goed te keuren, en cruciale systemen te misbruiken als uitvalsbasis voor verdere aanvallen tegen de getroffen organisatie of haar partners. Proofpoint's Cloud Security Response Team, dat de kwaadaardige activiteiten heeft gevolgd, benadrukt het gebruik van misleidende documenten met links die slachtoffers naar phishingpagina's leiden. De aanvallen lijken vooral gericht op werknemers met hogere privileges binnen hun organisaties, inclusief functies zoals Sales Directors, Account Managers, en Finance Managers, maar ook uitvoerende posities zoals Vice President, Chief Financial Officer, en CEO. De aanvallers maken gebruik van een Linux user-agent string voor ongeautoriseerde toegang tot Microsoft365-apps, wat leidt tot manipulatie van multi-factor authenticatie, data-exfiltratie, en het opzetten van obfuscatieregels in mailboxen. Proofpoint adviseert het monitoren van specifieke user-agent strings, het regelmatig wijzigen van wachtwoorden, en het implementeren van beveiligingsmaatregelen tegen phishing en accountovernames om de beveiliging binnen Microsoft Azure en Office 365-omgevingen te versterken. [1]


Waarschuwing voor Actief Uitgebuite Kwetsbaarheid in Roundcube E-mail Servers

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft gewaarschuwd voor een kwetsbaarheid in Roundcube e-mail servers, die ondanks een patch in september, nu actief wordt uitgebuit via cross-site scripting (XSS) aanvallen. De kwetsbaarheid, geïdentificeerd als CVE-2023-43770, stelt aanvallers in staat toegang te krijgen tot beperkte informatie door middel van kwaadaardig vervaardigde links in eenvoudige aanvallen die interactie van de gebruiker vereisen. Dit beveiligingslek treft Roundcube servers die draaien op versies nieuwer dan 1.4.14, 1.5.x voor 1.5.4, en 1.6.x voor 1.6.3. Het Roundcube beveiligingsteam heeft de urgentie van het updaten van deze versies benadrukt om de beveiligingsupdates toe te passen. CISA heeft deze kwetsbaarheid toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden, en benadrukt de risico's die dergelijke beveiligingsproblemen vormen, niet alleen voor federale instanties maar ook voor private organisaties wereldwijd. Er wordt geschat dat er meer dan 132.000 Roundcube servers toegankelijk zijn via het internet, maar het is onduidelijk hoeveel daarvan kwetsbaar zijn voor de huidige aanvallen. [1, 2, 3]


Exploitatie van Ivanti SSRF-kwetsbaarheid voor DSLog Backdoor

Hackers maken misbruik van een server-side request forgery (SSRF) kwetsbaarheid in Ivanti's Connect Secure, Policy Secure, en ZTA gateways om een nieuwe backdoor, genaamd DSLog, te implementeren op kwetsbare apparaten. De kwetsbaarheid, aangeduid als CVE-2024-21893, werd bekend als een actief uitgebuite zero-day op 31 januari 2024. Ivanti heeft beveiligingsupdates en adviezen voor mitigatie gedeeld. De kwetsbaarheid beïnvloedt de SAML-component van de genoemde producten, waardoor aanvallers authenticatie kunnen omzeilen en toegang krijgen tot beperkte bronnen op Ivanti gateways die versies 9.x en 22.x draaien. Shadowserver meldde op 5 februari 2024 meerdere aanvallen die de fout probeerden te benutten, sommige met behulp van eerder door Rapid7 gepubliceerde proof-of-concept (PoC) exploits. Orange Cyberdefense bevestigde de succesvolle exploitatievan CVE-2024-21893 om de DSLog backdoor te installeren, waarmee aanvallers op afstand commando's kunnen uitvoeren op gecompromitteerde Ivanti-servers. Deze backdoor werd voor het eerst opgemerkt op 3 februari 2024 en laat zien dat de aanvallers geavanceerde methoden gebruiken om hun toegang tot en controle over de getroffen apparaten te behouden. Het wordt aanbevolen om de nieuwste aanbevelingen van Ivanti op te volgen om alle bedreigingen die gericht zijn op de producten van de leverancier te mitigeren. [1]


Succesvolle Ondermijning van Rhysida Ransomware door Avast

In een opmerkelijke wending heeft antivirusbedrijf Avast een beveiligingslek in de Rhysida-ransomware gebruikt om slachtoffers te helpen hun versleutelde bestanden terug te krijgen. Rhysida, een Ransomware-as-a-Service (RaaS) aangeboden aan criminelen, werd verspreid via phishingmails en heeft vele systemen geïnfecteerd. Het Amerikaanse ministerie van Volksgezondheid waarschuwde vorig jaar zorginstellingen specifiek voor deze dreiging. De ransomware gebruikt een secure random number generator voor het encryptieproces, maar door een implementatiefout was het mogelijk om de encryptiesleutel te regenereren. Avast was reeds langere tijd op de hoogte van deze kwetsbaarheid en bood slachtoffers een decryptietool aan, maar hield dit stil tot Zuid-Koreaanse onderzoekers de fout publiekelijk documenteerden. De samenwerking met opsporingsdiensten speelde een cruciale rol bij het assisteren van getroffen organisaties. Avast heeft de decryptietool inmiddels publiekelijk beschikbaar gemaakt, waardoor meer slachtoffers hun data kunnen herstellen.

Doorbraak in de strijd tegen Rhysida ransomware dankzij Zuid-Koreaanse onderzoekers

Zuid-Koreaanse onderzoekers hebben een belangrijke kwetsbaarheid ontdekt in de versleutelingstechniek van de Rhysida ransomware, waardoor het mogelijk is geworden om een decryptor voor Windows te ontwikkelen. Hiermee kunnen slachtoffers hun bestanden kosteloos herstellen. Rhysida, bekend sinds medio 2023, richtte zich voornamelijk op de gezondheidszorgsector door cruciale operaties te verstoren en gevoelige patiëntgegevens te verkopen. De FBI en CISA hadden al gewaarschuwd voor de willekeurige aanvallen van deze groep op diverse industriële sectoren. Het lek in de ransomware werd gevonden in de wijze waarop de unieke privésleutels worden gegenereerd, door een fout in de random number generator. Dit stelde de onderzoekers in staat om de encryptie ongedaan te maken. Zij ontwikkelden een techniek om de staat van de random number generator systematisch te reconstrueren en de juiste seed-waarde te vinden, waardoor alle versleutelde bestanden zonder de originele privésleutel hersteld kunnen worden. Een automatisch decryptiehulpmiddel is beschikbaar gesteld op de website van de Korean Internet & Security Agency (KISA), hoewel de effectiviteit ervan niet gegarandeerd kan worden. Deze ontdekking werd enige tijd in stilte gebruikt door cybersecuritybedrijven en overheden wereldwijd, voordat het publiekelijk werd gedeeld, met als doel de veerkracht van slachtoffers tegen ransomware te verhogen. Nu de kwetsbaarheid bekend is, is het waarschijnlijk dat de Rhysida operatie de fout snel zal herstellen, waardoor in de toekomst bestanden niet meer op deze manier te herstellen zijn. [1, pdf, 3]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024