EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de schaduw van het digitale tijdperk vinden wekelijks ontwikkelingen plaats die zowel de cyberruimte als onze alledaagse realiteit beïnvloeden. Deze week wordt gekenmerkt door een reeks incidenten die de complexiteit en veelzijdigheid van cyberdreigingen onderstrepen. Van het uitstellen van een e-sportsfinale tot een grootschalig datalek dat miljoenen treft, de cyberwereld slaapt nooit.
Digitale dreigingen: Een wekelijkse reflectie
Beginnend met de gamingindustrie, waar een ongekende hack leidde tot het uitstel van de Apex Legends-finale. Hackers slaagden erin cheatsoftware ongevraagd op professionele spelers te installeren, waardoor de integriteit van het toernooi werd ondermijnd. Dit incident werpt licht op de kwetsbaarheden binnen de gamingindustrie en het belang van geavanceerde beveiligingsmaatregelen om de competitieve integriteit te waarborgen.
Ondertussen werd de mediawereld opgeschrikt door een cyberincident bij MediaWorks, waarbij persoonlijke gegevens van circa 2,5 miljoen Nieuw-Zeelanders werden gestolen. Deze gegevens omvatten niet alleen basisinformatie zoals namen en adressen, maar ook antwoorden op vragenlijsten en zelfs stemgegevens. Dit incident benadrukt de noodzaak van stringente beveiligingsprotocollen en het belang van snelle responsmechanismen om de schade te beperken.
Sportevenementen zijn ook niet immuun voor de greep van cybercriminelen, zoals blijkt uit de phishingaanval op bezoekers van de Belgische Formule 1 Grand Prix in Spa. Dit voorval illustreert hoe cybercriminelen steeds ingenieuzer te werk gaan om nietsvermoedende slachtoffers te lokken naar valse websites met het doel persoonlijke en financiële informatie te ontfutselen.
In de tussentijd ontkent AT&T elke betrokkenheid bij een lek dat de persoonlijke gegevens van 71 miljoen mensen zou treffen. Dit verhaal onderstreept de complexiteit van datalekken en de moeilijkheden bij het traceren van de oorsprong van gelekte informatie, waardoor consumenten in onzekerheid achterblijven over de veiligheid van hun gegevens.
Een ernstige beveiligingslek in de aiohttp Python bibliotheek toont de constante bedreiging van softwarekwetsbaarheden. Cybercriminelen, waaronder de groep 'ShadowSyndicate', maken misbruik van deze kwetsbaarheden om toegang te krijgen tot systemen en netwerken. Dit benadrukt het belang van voortdurende waakzaamheid en het regelmatig updaten van software om bescherming tegen dergelijke aanvallen te bieden.
De cyberwereld is een arena van constante strijd tussen beveiligingsexperts en cybercriminelen. Deze week toont aan hoe veelzijdig en ingrijpend cyberaanvallen kunnen zijn, waarbij niemand immuun lijkt. Het is een herinnering aan het belang van cyberhygiëne, het up-to-date houden van systemen, en het bewustzijn van de risico's die online activiteiten met zich meebrengen. In een tijdperk waarin onze digitale en fysieke werelden steeds meer vervlochten raken, is het cruciaal dat we ons wapenen tegen de dreigingen die in de schaduwen loeren.
De evoluerende schaduw van cybercriminaliteit
Voortbouwend op het spectrum van cyberdreigingen, duiken we dieper in de financiële impact van cybercriminaliteit en de geavanceerde tactieken die door hackers worden gebruikt om geld en gegevens te ontvreemden. Een opmerkelijke ontwikkeling is de activiteit van de Noord-Koreaanse Lazarus Groep, die $13 miljoen aan gestolen cryptocurrency witwaste via de crypto 'mixer' Tornado Cash. Dit voorval belicht de toenemende complexiteit van cyberaanvallen op financiële systemen en de uitdagingen bij het traceren van illegale fondsen in het digitale tijdperk.
De gezondheidszorg blijft een kritiek doelwit, zoals blijkt uit de gerichte en aanhoudende cyberaanval op NHS Dumfries & Galloway. De mogelijkheid dat hackers toegang hebben verkregen tot identificeerbare gegevens van patiënten en personeel onderstreept de ernstige implicaties van cyberaanvallen op de privacy en veiligheid van individuen. Dit benadrukt de noodzaak voor zorginstellingen om hun digitale verdediging te versterken tegen dergelijke invasieve bedreigingen.
Het Internationaal Monetair Fonds onthulde ook een cyberincident waarbij 11 e-mailaccounts werden gehackt. Hoewel er geen bewijs is dat de aanvallers toegang hebben gekregen tot andere systemen, toont dit incident de voortdurende bedreiging voor internationale financiële instellingen en de noodzaak van robuuste cyberbeveiligingsmaatregelen.
De onthulling van een groot datalek bij Duvel Moortgat, waarbij gevoelige informatie zoals paspoorten en bedrijfsgegevens werden gestolen, werpt licht op de risico's waarmee internationale bedrijven worden geconfronteerd. De betrokkenheid van criminele groeperingen zoals Black Basta en Stormous in dergelijke aanvallen benadrukt de georganiseerde aard van cybercriminaliteit en de noodzaak voor bedrijven om hun cyberweerbaarheid voortdurend te evalueren en te verbeteren.
Tegelijkertijd wordt de creativiteit van cybercriminelen geïllustreerd door de ontwikkeling van een nieuwe variant van de StopCrypt-ransomware, die nu detectie ontwijkt door een meerfasige uitvoeringsprocedure te gebruiken. Dit toont de voortdurende evolutie van malware en het belang voor zowel individuen als bedrijven om waakzaam te blijven en preventieve maatregelen te treffen tegen dergelijke bedreigingen.
De technologische vooruitgang brengt nieuwe uitdagingen met zich mee, zoals blijkt uit de toename van SIM-swapping aanvallen via eSIM-technologie. Deze ontwikkeling toont aan hoe cybercriminelen innovatieve methoden blijven vinden om beveiligingsmaatregelen te omzeilen en benadrukt het belang van sterke authenticatieprotocollen en bewustzijn van de risico's van digitale technologieën.
Deze incidenten en ontwikkelingen vormen slechts een fractie van de uitdagingen in de cyberwereld. Ze benadrukken de veelzijdigheid van cyberdreigingen en de noodzaak voor een proactieve en geïnformeerde benadering van cyberbeveiliging. In het volgende deel zullen we verder ingaan op aanvullende incidenten en de stappen die individuen en organisaties kunnen nemen om zichzelf te beschermen tegen de toenemende golf van cybercriminaliteit.
Cyberveiligheid: Een oproep tot waakzaamheid en actie
Het landschap van cyberbeveiliging blijft zich ontwikkelen met nieuwe dreigingen die opduiken uit elke hoek van de digitale wereld. De laatste reeks incidenten onderstreept de noodzaak voor zowel individuen als organisaties om waakzaam te zijn en proactieve maatregelen te nemen om zich te beschermen tegen cyberaanvallen.
Een van de meest verontrustende ontwikkelingen is het grootschalige datalek in Frankrijk, waarbij gegevens van 43 miljoen mensen werden blootgesteld. Dit incident toont de enorme schaal waarop persoonlijke informatie kan worden gecompromitteerd en de verstrekkende gevolgen van dergelijke lekken op het gebied van privacy en identiteitsdiefstal. Het benadrukt de urgentie voor overheden en organisaties om hun databeschermingsmaatregelen te versterken en transparant te zijn naar de getroffen individuen.
Ook de aanval op Nissan Oceania, waarbij persoonlijke gegevens van 100.000 mensen werden gestolen, toont de risico's waaraan bedrijven en hun klanten zijn blootgesteld. Dit soort incidenten maakt duidelijk dat niemand immuun is voor cyberaanvallen en dat de gevolgen verstrekkend kunnen zijn, niet alleen voor het bedrijf zelf maar ook voor individuele slachtoffers.
De exploitatie van een Windows SmartScreen-kwetsbaarheid door DarkGate malware illustreert verder hoe aanvallers blijven zoeken naar nieuwe manieren om beveiligingsmechanismen te omzeilen. Het onderstreept het belang van het regelmatig bijwerken van systemen en het toepassen van patches om bekende kwetsbaarheden te verhelpen.
Ter afsluiting van deze weekoverzicht van cyberincidenten, is het duidelijk dat de dreiging van cyberaanvallen omnipresent is en voortdurend evolueert. Het is cruciaal dat we allemaal de nodige stappen ondernemen om onze digitale voetafdruk te beschermen. Dit omvat het gebruik van sterke, unieke wachtwoorden, het inschakelen van tweefactorauthenticatie waar mogelijk, het regelmatig updaten van software en systemen, en het bewust zijn van de meest voorkomende vormen van cyberdreigingen. Door proactief onze digitale omgevingen te beveiligen, kunnen we hopen de impact van cybercriminaliteit te minimaliseren en ons te wapenen tegen de onvermijdelijke aanvallen die nog zullen komen.
Deze analyse van recente cyberincidenten dient als een herinnering aan de constante noodzaak voor waakzaamheid en proactieve beveiligingsmaatregelen in de strijd tegen cybercriminaliteit. Laten we samenwerken om een veiligere digitale toekomst te creëren.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb ↑ |
---|---|---|---|---|
Indoarsip | Trigona | Indonesia | Miscellaneous Services | 16-mrt-24 |
Bwizer | Trigona | Portugal | Educational Services | 16-mrt-24 |
Topa Partners | Trigona | New Zealand | Construction | 16-mrt-24 |
agribank.com.na | LockBit | Namibia | Depository Institutions | 16-mrt-24 |
triella.com | LockBit | Canada | IT Services | 16-mrt-24 |
rrib.com | LockBit | Canada | Insurance Carriers | 16-mrt-24 |
newmans-online.co.uk | LockBit | United Kingdom | Accounting Services | 16-mrt-24 |
hdstrading.com | LockBit | USA | Wholesale Trade-non-durable Goods | 16-mrt-24 |
duttonbrock.com | LockBit | Canada | Legal Services | 16-mrt-24 |
colefabrics.com | LockBit | United Kingdom | Textile Mill Products | 16-mrt-24 |
bergmeister.eu | LockBit | Germany | Construction | 16-mrt-24 |
automotionshade.com | LockBit | Canada | Miscellaneous Manufacturing Industries | 16-mrt-24 |
Miki Travel | Hunters International | United Kingdom | Transportation Services | 16-mrt-24 |
certifiedcollection.com | LockBit | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 16-mrt-24 |
Acculabs Inc | INC Ransom | USA | Health Services | 16-mrt-24 |
oyaksgs.com.tr | LockBit | Turkiye | Business Services | 15-mrt-24 |
ATMCo | Trigona | USA | Accounting Services | 15-mrt-24 |
elezabypharmacy.com | LockBit | Egypt | Miscellaneous Retail | 15-mrt-24 |
South St Paul Public Schools | BLACK SUIT | USA | Educational Services | 15-mrt-24 |
ATL Leasing | Hunters International | Tunisia | Non-depository Institutions | 15-mrt-24 |
worthenind.com | LockBit | USA | Chemical Producers | 14-mrt-24 |
rushenergyservices.com | LockBit | Canada | Oil, Gas | 14-mrt-24 |
sbmandco.com | LockBit | United Kingdom | Accounting Services | 14-mrt-24 |
mckimcreed.com | LockBit | USA | Construction | 14-mrt-24 |
moperry.com | LockBit | USA | Machinery, Computer Equipment | 14-mrt-24 |
Cosmocolor | Hunters International | Mexico | IT Services | 14-mrt-24 |
journeyfreight.com | LockBit | Canada | Transportation Services | 14-mrt-24 |
dhanisisd.net | LockBit | USA | Educational Services | 14-mrt-24 |
voidinteractive.net | D0N#T (Donut Leaks) | Ireland | IT Services | 14-mrt-24 |
education.eeb-lost.org | STORMOUS | Unknown | Educational Services | 14-mrt-24 |
www.lostlb.org | STORMOUS | Lebanon | Social Services | 14-mrt-24 |
Encina Wastewater Authority | BlackByte | USA | Electric, Gas, And Sanitary Services | 14-mrt-24 |
www.mioa.gov.mk | STORMOUS | North Macedonia | General Government | 13-mrt-24 |
McKim & Creed | Ransomhub | USA | Construction | 13-mrt-24 |
Summit Almonds | Akira | USA | Wholesale Trade-non-durable Goods | 13-mrt-24 |
SBM & Co | Ransomhub | United Kingdom | Accounting Services | 13-mrt-24 |
geruestbau.com | LockBit | Germany | Construction | 13-mrt-24 |
Judge Rotenberg Center | BLACK SUIT | USA | Educational Services | 13-mrt-24 |
Felda Global Ventures Holdings Berhad | Qilin | Malaysia | Food Products | 13-mrt-24 |
Dörr Group | Snatch | Germany | Miscellaneous Services | 13-mrt-24 |
Kovra | Ransomhub | Malaysia | Apparel And Accessory Stores | 13-mrt-24 |
Brewer Davidson | 8BASE | New Zealand | Construction | 13-mrt-24 |
Forstinger Österreich GmbH | 8BASE | Austria | Miscellaneous Retail | 13-mrt-24 |
QEO Group | PLAY | USA | Insurance Carriers | 12-mrt-24 |
ATL | Hunters International | Tunisia | Non-depository Institutions | 12-mrt-24 |
boulevard.com | Black Basta | USA | Food Products | 12-mrt-24 |
duvel.com | Black Basta | Belgium | Food Products | 12-mrt-24 |
sunholdings.net | LockBit | USA | Eating And Drinking Places | 12-mrt-24 |
xcelbrands.com | Black Basta | USA | Apparel And Accessory Stores | 12-mrt-24 |
cpacsystems.se | Black Basta | Sweden | Transportation Equipment | 12-mrt-24 |
elmatic.de | Black Basta | Germany | Engineering Services | 12-mrt-24 |
keystonetech.com | Black Basta | USA | Electronic, Electrical Equipment, Components | 12-mrt-24 |
dutyfreeamericas.com | Black Basta | USA | Merchandise Stores | 12-mrt-24 |
sierralobo.com | Black Basta | USA | Aerospace | 12-mrt-24 |
contechs.co.uk | Black Basta | United Kingdom | Transportation Equipment | 12-mrt-24 |
creativeenvironments.com | Black Basta | USA | Construction | 12-mrt-24 |
linksunlimited.com | Black Basta | USA | Business Services | 12-mrt-24 |
imperialtrading.com | Black Basta | USA | Wholesale Trade-non-durable Goods | 12-mrt-24 |
activeconceptsllc.com | Black Basta | USA | Chemical Producers | 12-mrt-24 |
Brooks Tropicals | Rhysida | USA | Wholesale Trade-non-durable Goods | 12-mrt-24 |
Withall | BLACK SUIT | United Kingdom | Accounting Services | 12-mrt-24 |
WALKERSANDFORD | BLACK SUIT | United Kingdom | Real Estate | 12-mrt-24 |
Kaplan | Hunters International | USA | Machinery, Computer Equipment | 12-mrt-24 |
Kenneth Young Center | Medusa | USA | Health Services | 12-mrt-24 |
Hu********.ca | Cloak | Canada | Unknown | 12-mrt-24 |
Federchimica | 8BASE | Italy | Membership Organizations | 12-mrt-24 |
CHRG | 8BASE | Australia | Membership Organizations | 12-mrt-24 |
Sprimoglass | 8BASE | Belgium | Miscellaneous Manufacturing Industries | 12-mrt-24 |
Schokinag | PLAY | Germany | Food Products | 11-mrt-24 |
Zips Car Wash | PLAY | USA | Automotive Services | 11-mrt-24 |
Bechtold | PLAY | Germany | Miscellaneous Manufacturing Industries | 11-mrt-24 |
Canada Revenue Agency | PLAY | Canada | Public Finance, Taxation | 11-mrt-24 |
White Oak Partners | PLAY | USA | Real Estate | 11-mrt-24 |
Ruda Auto | PLAY | USA | Automotive Dealers | 11-mrt-24 |
Image Pointe | PLAY | USA | Publishing, printing | 11-mrt-24 |
Grassmid Transport | PLAY | USA | Motor Freight Transportation | 11-mrt-24 |
Fashion UK | PLAY | United Kingdom | Apparel And Accessory Stores | 11-mrt-24 |
QI Group | PLAY | Canada | Wholesale Trade-durable Goods | 11-mrt-24 |
BiTec | PLAY | Thailand | Business Services | 11-mrt-24 |
Bridger Insurance | PLAY | USA | Insurance Carriers | 11-mrt-24 |
londonvisionclinic.com | LockBit | United Kingdom | Health Services | 11-mrt-24 |
lec-london.uk | LockBit | United Kingdom | Health Services | 11-mrt-24 |
SREE Hotels | PLAY | USA | Lodging Places | 11-mrt-24 |
Q?? ??o?? | PLAY | USA | Unknown | 11-mrt-24 |
Premier Technology | PLAY | USA | IT Services | 11-mrt-24 |
plymouth.com | Cactus | USA | Fabricated Metal Products | 11-mrt-24 |
Computan | Ransomhub | Canada | IT Services | 11-mrt-24 |
America Chung Nam or ACN | Akira | USA | Paper Products | 11-mrt-24 |
gpaa.gov.za | LockBit | South Africa | Public Finance, Taxation | 11-mrt-24 |
NetVigour | Hunters International | USA | IT Services | 11-mrt-24 |
cleshar.co.uk | Cactus | United Kingdom | Construction | 11-mrt-24 |
ammega.com | Cactus | Netherlands | Machinery, Computer Equipment | 11-mrt-24 |
renypicot.es | Cactus | Spain | Food Products | 11-mrt-24 |
Scadea Solutions | Ransomhub | USA | IT Services | 11-mrt-24 |
Denninger’s | Medusa | Canada | Food Stores | 11-mrt-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|
duvel.com | Black Basta | Belgium | Food Products | 12-mrt-24 |
Sprimoglass | 8BASE | Belgium | Miscellaneous Manufacturing Industries | 12-mrt-24 |
ammega.com | Cactus | Netherlands | Machinery, Computer Equipment | 11-mrt-24 |
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | ? |
NU: 18-03-2024 | 12.786 |
In samenwerking met StealthMole
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
Uitstel Apex Legends-finale vanwege hack
Respawn Entertainment heeft de North American Finals van het e-sportsevenement Apex Legends uitgesteld na meldingen van een cyberaanval op professionele spelers. De spelers ervoeren ongevraagde cheatsoftware tijdens hun deelname, wat de competitieve integriteit van het evenement ondermijnde. De ontwikkelaar belooft op een later moment meer informatie te verstrekken. De community is in verwarring over de huidige staat van de competitieve shooter, maar het lijkt erop dat alleen professionele spelers zijn getroffen. Experts adviseren om de game voorlopig niet te spelen vanwege het risico op verbanning of malware-infecties door de ongeautoriseerde software. Er zijn video's verschenen waarin te zien is hoe de games van spelers plotseling zijn aangetast door illegale software, waaronder een incident waarbij een speler ongewild een wallhack activeerde. Het lek zou te wijten zijn aan een exploit waarmee op afstand code uitgevoerd kan worden, mogelijk door een compromittering van het Easy Anti-Cheat systeem, hoewel dit nog niet bevestigd is. [x]
MediaWorks Treft Maatregelen na Cyberincident
In een recente gebeurtenis zijn persoonlijke gegevens van circa 2,5 miljoen Nieuw-Zeelanders gestolen van de website van MediaWorks. Een gebruiker op het dark web kondigde aan deze gegevens te willen verkopen. Deze omvatten namen, adressen, geboortedata, e-mailadressen, telefoonnummers, en ook specifieke informatie zoals antwoorden op vragenlijsten, video's, muziekmateriaal, en stemgegevens van de populaire renovatiewedstrijd The Block NZ. MediaWorks kwam vrijdagavond achter deze beweringen en is momenteel bezig met een onderzoek, met hulp van externe experts, naar het mogelijke incident. Als reactie hierop zijn alle huidige wedstrijdinzendingen overgebracht naar een nieuwe, veilige database. Tot nu toe heeft de Privacycommissaris geen melding ontvangen van een inbreuk op de privacy door MediaWorks. De commissaris verwacht echter dat MediaWorks dit zal doen als het lek bevestigd wordt. In dergelijke gevallen richt de commissaris zich op het adviseren van organisaties over hoe de schade voor individuen te minimaliseren. Een later bericht van de ongeïdentificeerde gebruiker toonde "samples" van de gestolen gegevens, die informatie leken te bevatten van personen uit verschillende regio's in het land. [mediaworks, rnz]
Bezoekers Formule 1 Grand Prix Spa Slachtoffer van Phishing
Bezoekers van de Belgische Formule 1 Grand Prix in Spa zijn recent het doelwit geworden van een geraffineerde phishingaanval. Aanvallers hebben mogelijk informatie misbruikt die gestolen is van de officiële website van Spa-Francorchamps, om geloofwaardige phishingmails te versturen. In deze e-mails wordt beweerd dat de ontvanger een coupon van vijftig euro heeft gewonnen. Echter, de link in de e-mail leidt naar een valse website die eropuit is de bank- en creditcardgegevens van slachtoffers te ontfutselen. De organisatie achter de Belgische Grand Prix heeft publiekelijk gewaarschuwd voor deze phishingpogingen en benadrukt dat mensen niet op de links in dergelijke berichten moeten klikken. Of de phishingaanval verband houdt met een datalek bij de organisatie, is vooralsnog niet bevestigd. [rtbf]
AT&T ontkent betrokkenheid bij gelekte gegevens van 70 miljoen mensen
AT&T ontkent de oorsprong van een enorme hoeveelheid gegevens die 71 miljoen mensen treft nadat een hacker het op een cybercrimeforum heeft gelekt en beweerde dat het gestolen was tijdens een inbreuk op het bedrijf in 2021. Ondanks het feit dat de legitimiteit van alle gegevens in de database niet bevestigd kon worden, zijn sommige vermeldingen wel accuraat gebleken, inclusief die waarvan de gegevens niet publiekelijk toegankelijk zijn. De gegevens zijn afkomstig van een vermeende inbreuk op AT&T in 2021 die een bedreigingsacteur genaamd ShinyHunters probeerde te verkopen op het RaidForums data theft forum. AT&T blijft beweren dat er geen bewijs is van een inbreuk in hun systemen en gelooft nog steeds dat deze gegevens niet van hen afkomstig zijn. Recentelijk heeft een andere bedreigingsacteur genaamd MajorNelson gegevens gelekt van deze vermeende inbreuk uit 2021 op een hackingforum, bewerend dat het de gegevens betreft die ShinyHunters in 2021 heeft geprobeerd te verkopen. De gelekte gegevens omvatten namen, adressen, mobiele telefoonnummers, versleutelde geboortedata, versleutelde socialezekerheidsnummers en andere interne informatie. Hoewel de bron van de gegevens nog steeds een mysterie is, is het veiliger voor AT&T-klanten van vóór en tijdens 2021 om aan te nemen dat hun gegevens zijn blootgesteld en kunnen worden gebruikt in gerichte aanvallen. [x, x]
Hackersgroep 'ShadowSyndicate' misbruikt aiohttp-kwetsbaarheid in zoektocht naar kwetsbare netwerken
In januari 2024 werd een ernstige beveiligingslek, CVE-2024-23334, ontdekt in de aiohttp Python bibliotheek, een open-source tool gebruikt voor het afhandelen van gelijktijdige HTTP-verzoeken. Dit lek maakt het mogelijk voor ongeautoriseerde externe aanvallers om toegang te krijgen tot bestanden op kwetsbare servers door middel van directory traversal. De kwetsbaarheid, die alle versies van aiohttp vóór 3.9.2 beïnvloedt, kwam aan het licht toen een bewijs-van-concept exploitatie werd gepubliceerd op GitHub, gevolgd door een gedetailleerde exploitatiehandleiding op YouTube. Cyble's dreigingsanalisten merkten op dat exploitatiepogingen begonnen eind februari 2024, toenemend in maart. Deze activiteiten werden gelinkt aan de ransomwaregroep 'ShadowSyndicate', bekend om hun financieel gemotiveerde cyberaanvallen sinds juli 2022. De groep wordt in verband gebracht met verschillende ransomwarestammen en wordt gezien als een affiliate die samenwerkt met meerdere ransomwareoperaties. Met ongeveer 44,170 aiohttp-instanties blootgesteld aan het internet, waarvan de versie vaak onbekend is, blijft het risico op misbruik aanzienlijk. Dit benadrukt de uitdagingen rond het bijwerken van open-sourcebibliotheken en de aanhoudende waarde ervan voor cybercriminelen, zelfs jaren na het beschikbaar komen van beveiligingsupdates.
Noord-Koreaanse Hackers Witwassen Miljoenen in Crypto via 'Mixer'
De Noord-Koreaanse Lazarus Groep heeft deze week $13 miljoen aan gestolen cryptocurrency witgewassen via de gesanctioneerde crypto 'mixer' Tornado Cash, aldus blockchain analysebedrijf Elliptic. De groep, berucht om zijn cyberaanvallen, stuurde de gestolen crypto in 40 transacties naar Tornado Cash op 13 en 14 maart. Deze actie volgt op de diefstal van $100 miljoen aan cryptocurrency van de beurs HTX en zijn HECO cross-chain brug in november 2023. De gestolen middelen werden omgezet in ether (ETH) via gedecentraliseerde beurzen en bleven enige tijd onaangeroerd, tot ze recentelijk via Tornado Cash werden verplaatst.Tornado Cash, een dienst die de herkomst van cryptovaluta verhult door tokens van verschillende bronnen te mengen, is ondanks Amerikaanse sancties actief gebleven. Deze sancties werden ingesteld omdat de dienst sinds zijn oprichting in 2019 meer dan $7 miljard zou hebben witgewassen. Na inbeslagname van de Sinbad mixer door de VS in november, keerde de Lazarus Groep terug naar Tornado Cash voor hun witwasactiviteiten. De groep heeft in de afgelopen zes jaar hacks uitgevoerd met een totale waarde van meer dan $3 miljard, zich voordoend als venture capital firma's en banken om cryptovaluta te stelen. [1]
Cyberaanval treft NHS Dumfries & Galloway
NHS Dumfries & Galloway is het doelwit geweest van een gerichte en aanhoudende cyberaanval. De organisatie heeft snel gereageerd volgens vastgestelde protocollen, in samenwerking met partnerinstanties zoals de Schotse politie, het National Cyber Security Centre en de Schotse regering. Er kan enige verstoring van diensten zijn als gevolg van deze situatie. Tijdens deze inbraken in hun systemen bestaat het risico dat hackers een aanzienlijke hoeveelheid gegevens hebben kunnen verkrijgen, waaronder mogelijk identificeerbare gegevens van patiënten en personeel. Het lekken van vertrouwelijke gegevens is een ernstige zaak, en het publiek wordt aangemoedigd om alert te zijn op pogingen om hun systemen te benaderen of benaderingen van personen die beweren gegevens over hen te hebben. In dergelijke situaties wordt geadviseerd om onmiddellijk contact op te nemen met de politie via 101. Updates over de situatie zullen worden verstrekt via de website van NHS Dumfries & Galloway. [1]
IMF meldt cyberaanval waarbij 11 e-mailaccounts zijn gehackt
Het Internationaal Monetair Fonds (IMF) heeft een cyberincident onthuld waarbij onbekende aanvallers eerder dit jaar 11 e-mailaccounts van het IMF hebben gehackt. Deze internationale financiële instelling, gefinancierd door 190 lidstaten en gevestigd in Washington D.C., heeft het incident in februari ontdekt en is momenteel een onderzoek gestart naar de impact van de aanval. Tot op heden heeft het IMF geen bewijs gevonden dat de aanvallers toegang hebben gekregen tot andere systemen of middelen buiten de gehackte e-mailaccounts. Het IMF heeft bevestigd dat het gebruikmaakt van het cloudgebaseerde e-mailplatform Microsoft 365, maar heeft geen verdere details vrijgegeven over de aard van de inbreuk. Deze recente aanval doet denken aan een eerdere hack van het IMF in 2011, waarbij een "zeer grote inbreuk" werd gemeld. De exacte verbinding tussen deze incidenten en eerdere cyberaanvallen op andere organisaties blijft onduidelijk. [1]
Schotse Gezondheidsdienst Getroffen door Cyberaanval met Mogelijk Datalek
Een recente cyberaanval op de National Health Service (NHS) Dumfries and Galloway, een gezondheidsdienst in Schotland, heeft mogelijk geleid tot de diefstal van persoonlijke gegevens van zowel patiënten als medewerkers. Deze dienst, die verantwoordelijk is voor de gezondheidszorg in de regio Dumfries and Galloway, maakte dit bekend via hun eigen website. Door de cyberaanval zijn er verstoringen in de dienstverlening ontstaan en bestaat het risico dat hackers toegang hebben gekregen tot grote hoeveelheden data. Hoewel het onderzoek naar de exacte omvang van de datadiefstal nog loopt, is er al reden om te vrezen dat het gaat om gevoelige patiënt- en personeelsinformatie. De gezondheidsdienst benadrukt de ernst van de situatie en werkt hard om de volledige impact van de aanval in kaart te brengen, waarbij verdere details over het type aanval en de betrokken data nog niet zijn vrijgegeven. [1]
🇧🇪 Grote Datalek bij Duvel Moortgat: Paspoorten en Bedrijfsgegevens Gestolen
De bekende Belgische brouwerij Duvel Moortgat is recent het slachtoffer geworden van een cyberaanval, waarbij gevoelige data buitgemaakt lijkt te zijn. Twee criminele groeperingen, Black Basta en Stormous, claimen achter de hack te zitten. Black Basta beweert meer dan 1 terabyte aan data te hebben gestolen, waaronder Amerikaanse paspoorten en bedrijfsgevoelige documenten zoals boekhouding en bedrijfsplannen. Deze informatie zou afkomstig kunnen zijn van Boulevard Brewing Company, een Amerikaanse dochteronderneming van Duvel Moortgat. De hackers dreigen de gestolen gegevens openbaar te maken tenzij er losgeld wordt betaald. Black Basta zou al meer dan 100 miljoen dollar hebben verdiend met dergelijke afpersingspraktijken en wordt gelinkt aan de Russische criminele bende Conti. De Amerikaanse autoriteiten hebben een beloning uitgeloofd voor informatie die leidt naar de arrestatie van leden van deze groep. Dit incident onderstreept het groeiende risico en de gevolgen van cyberaanvallen op bedrijven wereldwijd.
StopCrypt Ransomware Ontwijkt Nu Detectie
Een nieuwe variant van de StopCrypt-ransomware, ook bekend als STOP, is ontdekt. Deze versie onderscheidt zich door een meerfasige uitvoeringsprocedure die gebruikmaakt van shellcodes om detectie door beveiligingstools te ontwijken. StopCrypt staat bekend als de meest verspreide ransomware die voornamelijk consumenten treft, in tegenstelling tot bedrijven, met als doel kleine losgeldbedragen van tussen de 400 en 1000 dollar te innen. Het wordt vaak verspreid via malafide advertenties en websites die adwarebundels aanbieden, vermomd als gratis software, game cheats en software cracks. Gebruikers die deze programma's installeren, raken besmet met diverse malware, waaronder trojans die wachtwoorden stelen en STOP-ransomware. De SonicWall-dreigingsonderzoeksteams hebben deze nieuwe variant ontdekt die, naast het laden van een schijnbaar ongerelateerd DLL-bestand en het implementeren van tijdvertragende lussen, gebruik maakt van dynamisch geconstrueerde API-aanroepen voor geheugenallocatie, wat detectie bemoeilijkt. Vervolgens past het proces hollowing toe, waarbij legitieme processen worden gekaapt voor de uitvoering van de kwaadaardige payload in het geheugen. De ransomware versleutelt bestanden en voegt de extensie ".msjd" toe, alhoewel het honderden extensies heeft die regelmatig wisselen. Elk getroffen map krijgt een losgeldbriefje met instructies voor het betalen voor dataherstel. De ontwikkeling van StopCrypt naar een sluwere en krachtigere bedreiging markeert een zorgwekkende trend in cybercriminaliteit, met significante potentiële schade voor vele slachtoffers.[1]
Toename van SIM-swapping aanvallen via eSIM-technologie
Cybercriminelen hebben een nieuwe methode ontwikkeld om telefoonnummers te kapen door ze over te zetten op een digitale eSIM-kaart, die aanwezig is in veel moderne smartphones. eSIMs, of Embedded Subscriber Identity Modules, zijn digitale kaarten opgeslagen op de chip van mobiele apparaten, die hetzelfde doel dienen als fysieke SIM-kaarten maar op afstand kunnen worden hergeprogrammeerd. Deze technologie, die steeds populairder wordt bij smartphonefabrikanten, biedt cybercriminelen nieuwe kansen om beveiligingen te omzeilen en toegang te krijgen tot onder andere bankrekeningen. Volgens het Russische cybersecuritybedrijf F.A.C.C.T. hebben SIM-swappers sinds de herfst van 2023 meer dan honderd pogingen gedaan om toegang te krijgen tot persoonlijke accounts bij één financiële instelling. Cybercriminelen gebruiken gestolen of gelekte inloggegevensom het telefoonnummer van een slachtoffer over te zetten naar een ander apparaat met een eSIM. Dit maakt het mogelijk om toegangscodes en tweefactorauthenticatiecodes te verkrijgen voor diverse diensten, waaronder banken en berichtenapps. Om zich tegen dergelijke aanvallen te beschermen, adviseren onderzoekers het gebruik van complexe en unieke wachtwoorden voor het account van de mobiele serviceprovider en, indien beschikbaar, tweefactorauthenticatie in te schakelen. Voor belangrijkere accounts, zoals e-bankieren en cryptocurrency wallets, wordt aangeraden deze te beveiligen met fysieke sleutels of authenticator apps. [1]
Grootste datalek in Frankrijk: 43 miljoen mensen getroffen
Frankrijk Travail, de Franse overheidsinstantie voor werkloosheidsregistratie, staat voor een enorme cyberbeveiligingscrisis na een inbreuk op hun systemen, waardoor persoonlijke gegevens van naar schatting 43 miljoen individuen blootliggen. De organisatie, voorheen bekend als Pôle Emploi, bevestigde dat hackers tussen 6 februari en 5 maart toegang hebben gekregen tot gevoelige informatie van werkzoekenden die in de afgelopen 20 jaar geregistreerd stonden, evenals van individuen met een jobkandidaat-profiel. Belangrijke persoonlijke data zoals volledige namen, geboortedata, geboorteplaatsen, socialezekerheidsnummers, identificatiecodes, emailadressen, postadressen en telefoonnummers zijn hierbij blootgesteld. Hoewel bankgegevens en wachtwoorden niet zijn aangetast, verhoogt de blootstelling van deze gegevens aanzienlijk het risico op identiteitsdiefstal en phishing. De Nationale Commissie voor Informatica en Vrijheden (CNIL) en Frankrijk Travail adviseren getroffen personen om extra waakzaam te zijn bij het ontvangen van emails, telefoontjes en SMS-berichten. Dit incident volgt op een eerdere inbreuk in augustus, waarbij ongeveer 10 miljoen mensen werden getroffen, en zet een nieuw record voor het land qua aantal getroffen individuen. [1, 2, 3, 4, cyberwar]
Grootschalige Datalek bij Nissan Oceania Treft 100.000 Personen
Nissan Oceania heeft onlangs een datalek bevestigd dat maar liefst 100.000 mensen treft, als gevolg van een cyberaanval in december 2023. Deze aanval, opgeëist door de Akira ransomware groep, heeft geleid tot de diefstal van 100GB aan data, waaronder persoonlijke informatie van zowel huidige als voormalige werknemers, alsmede klanten van Nissan en aanverwante dealerships in Australië en Nieuw-Zeeland. Tot de gestolen gegevens behoren onder meer 4.000 Medicare-kaarten, 7.500 rijbewijzen, 220 paspoorten, en 1.300 fiscale nummers. Dit impliceert dat tot 10% van de betrokkenen gevoelige overheidsidentificatie heeft verloren. Nissan heeft beloofd de getroffen klanten individueel te informeren over welke informatie precies is blootgesteld en heeft maatregelen aangekondigd om ondersteuning te bieden, waaronder gratis toegang tot IDCARE, kredietbewakingsdiensten en vergoeding voor het vervangen van gecompromitteerde overheidsidentiteiten. De automaker benadrukt ook het belang van waakzaamheid tegen verdachte activiteiten op hun rekeningen, het inschakelen van multifactorauthenticatie waar mogelijk, en het regelmatig bijwerken van wachtwoorden om verdere schade te voorkomen. Ondanks deze inspanningen is de door Akira gestolen data reeds gelekt op het darkweb, wat de urgentie onderstreept voor betrokkenen om hun digitale veiligheid te versterken. [1]
❗️Exploitatie van Windows SmartScreen-kwetsbaarheid door DarkGate Malware
Een recente aanvalsgolf door de DarkGate malware-groepering maakt gebruik van een inmiddels herstelde kwetsbaarheid in Windows Defender SmartScreen om beveiligingscontroles te omzeilen en nepsoftware-installatieprogramma's automatisch te installeren. Deze kwetsbaarheid, aangeduid als CVE-2024-21412, stelde aanvallers in staat om een Windows Internet-snelkoppeling (.url-bestand) te creëren die wijst naar een ander .url-bestand op een externe SMB-share, waardoor het bestand op de eindlocatie automatisch werd uitgevoerd. Microsoft heeft de fout halverwege februari hersteld. De aanvallers sturen een kwaadaardige e-mail met een PDF-bijlage die links bevat welke gebruikmaken van open redirects van Google DoubleClick Digital Marketing (DDM) services om e-mailbeveiligingscontroles te omzeilen. Wanneer een slachtoffer op de link klikt, worden ze doorgestuurd naar een gecompromitteerde webserver die een internet-snelkoppeling host. Deze snelkoppeling leidt naar een tweede snelkoppeling op een door de aanvaller gecontroleerde WebDAV-server, waardoor een kwaadaardig MSI-bestand automatisch op het apparaat wordt uitgevoerd. De MSI-bestanden doen zich voor als legitieme software van NVIDIA, de Apple iTunes-app of Notion. De malware kan, eenmaal geactiveerd, data stelen, aanvullende payloads ophalen en deze in lopende processen injecteren, toetsaanslagen registreren en aanvallers realtime externe toegang verlenen. DarkGate versie 6.1.7, gebruikt in deze campagne, is geavanceerder dan zijn voorganger met XOR-versleutelde configuratie en nieuwe configuratie-opties. Om de risico's van deze aanvallen te beperken, wordt aanbevolen Microsoft's Patch Tuesday-update van februari 2024 toe te passen, die CVE-2024-21412 repareert. [1, IOC]
Onderzoek naar Grootste Cyberaanval op Amerikaans Gezondheidssysteem
Het Amerikaanse Department of Health and Human Services iseen onderzoek gestart naar een ransomware-aanval op de Change Healthcare platform, beheerd door Optum, een dochteronderneming van UnitedHealthcare Group. Deze aanval vond plaats in eind februari en er wordt onderzocht of er beschermde gezondheidsinformatie is gestolen. Het onderzoek, geleid door het Office for Civil Rights, focust op naleving van de HIPAA-regels die de privacy van patiëntgegevens waarborgen. De aanval, uitgevoerd door "staatshackers" gelinkt aan de BlackCat (ALPHV) ransomware-groep, heeft significante verstoringen veroorzaakt binnen het Amerikaanse gezondheidssysteem. Het betreft de meest ingrijpende cyberaanval in de geschiedenis van het Amerikaanse gezondheidszorgsysteem, met grote gevolgen voor ziekenhuizen, apotheken, en de verwerking van verzekeringsclaims en betalingen. Na de aanval beweerde de BlackCat-groep 6TB aan gegevens gestolen te hebben van duizenden gezondheidszorgaanbieders en verzekeringsmaatschappijen, waaronder zeer gevoelige informatie. De FBI en het U.S. State Department zijn ook betrokken, gezien de ernst van de cyberdreiging en de omvangrijke schade die ransomware in de gezondheidszorg veroorzaakt. [1, 2, pdf]
PixPirate: Een Slimme Android Malware die Ongemerkt Blijft
De nieuwste variant van de PixPirate Android banking trojan heeft een ongeziene methode ontwikkeld om onopgemerkt te blijven op geïnfecteerde apparaten, zelfs na verwijdering van de initiële dropper-app. PixPirate, dat zich voornamelijk richt op Latijns-Amerikaanse banken, blijft actief door het ontbreken van een launcher-icoon, waardoor het onzichtbaar blijft op alle recente Android-versies tot en met 14. Deze tactiek wijkt af van de traditionele methode waar malware zijn icoon probeert te verbergen. De malware maakt gebruik van twee samenwerkende apps; een 'downloader' die via phishing berichten verspreid wordt, en een 'droppee' die de daadwerkelijke PixPirate malware bevat. Deze tweede app verschijnt niet als icoon op het startscherm, waardoor het voor de gebruiker onmogelijk is te detecteren of te starten. De malware kan echter nog steedsgeactiveerd worden door systeemgebeurtenissen zoals het opstarten van het toestel of wijzigingen in de connectiviteit. PixPirate richt zich op het Braziliaanse instant betaalplatform Pix, met het doel geld over te maken naar de aanvallers door frauduleuze transacties uit te voeren zonder dat de gebruiker dit merkt. Ondanks dat de infectiemethode niet nieuw is en te voorkomen door het vermijden van APK-downloads, is de tactiek van geen icoon gebruiken en het registreren van diensten gekoppeld aan systeemevenementen verontrustend. [1]
Gegevenslek bij Acer Filippijnen door Aanval op Derde Partij
Acer Filippijnen heeft bevestigd dat werknemersgegevens zijn gelekt na een cyberaanval op een externe dienstverlener die verantwoordelijk is voor het beheer van werknemersaanwezigheidsgegevens. Dit gebeurde nadat een cybercrimineel, bekend als 'ph1ns', op een hackersforum een link publiceerde waarmee de gestolen database met werknemersgegevens gratis gedownload kon worden. Volgens onderzoekers was er geen sprake van ransomware of encryptie bij deze aanval, maar puur van datadiefstal. De aanvaller heeft bovendien data gewist op de servers voordat de toegang verloren ging. Acer heeft gereageerd door te bevestigen dat de gelekte gegevens inderdaad van hen zijn, maar niet rechtstreeks uit Acer's systemen zijn gehaald. Het bedrijf benadrukt dat er geen klantgegevens zijn getroffen en er geen bewijs is van een inbreuk op Acer's systemen. Acer Filippijnen heeft publiekelijk de veiligheid van klantgegevens verzekerd en bevestigd dat hun systemen veilig zijn. Het incident is gemeld bij de National Privacy Commission en het Cybercrime Investigation and Coordinating Center in de Filippijnen, en een onderzoek is gaande. Dit is niet het eerste veiligheidsincident bij Acer; het bedrijf heeft in de afgelopen jaren meerdere inbreuken ervaren. [1]
🇧🇪 Belgisch Bedrijf Sprimoglass Getroffen door Cyberaanval
In een recente onthulling op het darkweb op 12 maart 2024, werd bekend dat Sprimoglass, een Belgische onderneming actief in diverse productiesectoren, het slachtoffer is geworden van een cyberaanval uitgevoerd door de groep genaamd 8BASE. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit en het belang voor bedrijven om hun digitale beveiliging te versterken.
Miljoenen Gevoelige Geheimen Blootgesteld op GitHub in 2023
In 2023 hebben gebruikers van GitHub, het wereldwijd meest populaire platform voor codehosting en samenwerking, per ongeluk 12,8 miljoen authenticatie- en gevoelige geheimen blootgesteld in meer dan 3 miljoen openbare repositories. Een overweldigende meerderheid van deze geheimen bleef zelfs na vijf dagen nog geldig. Dit onthult het cybersecuritybedrijf GitGuardian, dat 1,8 miljoen waarschuwingse-mails verstuurde naar de betrokkenen, waarvan slechts een kleine 1,8% snel actie ondernam om het probleem te verhelpen. De blootgestelde geheimen omvatten onder meer wachtwoorden, API-sleutels, TLS/SSL-certificaten, encryptiesleutels, inloggegevens voor cloudservices en OAuth-tokens, die externe partijen onbeperkte toegang kunnen geven tot diverse privébronnen en diensten, leidend tot datalekken en financiële schade. Een rapport van Sophos uit 2023benadrukte dat 50% van alle aanvallen in de eerste helft van dat jaar te wijten was aan gecompromitteerde inloggegevens. Bovendien blijkt dat de sector IT met 65,9% de meeste geheimen lekte, gevolgd door het onderwijs met 20,1%. GitGuardian merkt een negatieve trend op in het lekken van geheimen op GitHub sinds 2020, met een opmerkelijke toename van gelekte OpenAI API-sleutels in 2023, wat de snelle groei van generatieve AI-tools weerspiegelt. GitHub heeft recentelijk pushbescherming standaard ingeschakeld om onbedoelde blootstelling van geheimen bij het pushen van nieuwe code te voorkomen. [1]
❗️Nieuwe Ransomware Tactiek Bedreigt Singlefactor Accounts
Een recente tactiek van een ransomwaregroep brengt de cyberveiligheid in gevaar door het stelen van gebruikershashes om toegang te verkrijgen tot systemen. Deze methode omvat het versturen van een e-mail met een zip-bestand, dat bij opening door de ontvanger een HTML-bestand onthult met kwaadaardige code. Deze code, die niet wordt gedetecteerd door defensieplatformen omdat het lokaal uitgevoerd wordt, maakt vervolgens verbinding met een IP-adres om een txt-bestand te downloaden dat de aanval initieert en NTLM hashes probeert te stelen. Tot nu toe is deze techniek alleen effectief bij accounts die gebruik maken van singlefactor-authenticatie, maar de dreiging dat tokens ook gestolen kunnen worden via methoden als Golang Muarena of Evilgnix blijft bestaan. Voor security professionals is het belangrijk om te weten dat deze aanval detecteerbaar is, met waarschuwingen zoals "Possible target of NTLM credential theft detected", "Password hashes dumped from LSASS memory detected", en "Possible pass the hash detected". Dit onderstreept het belang van waakzaamheid en geavanceerde beveiligingsmaatregelen. [Erik Westhovens]
Enkele aanbevelingen zijn:
- Beperk het gebruik van NTLM waar mogelijk en stap over op modernere authenticatiemethoden zoals Kerberos of andere door Microsoft aanbevolen alternatieven.
- Zorg voor netwerksegmentatie om te voorkomen dat eventuele aanvallen zich gemakkelijk door het netwerk kunnen verspreiden.
- Implementeer monitoring en logging om verdachte activiteiten snel te kunnen detecteren en erop te reageren.
- Voer regelmatig beveiligingsaudits en -trainingen uit om bewustzijn te creëren en te onderhouden.
🇧🇪 Edpnet Reageert Snel op Cyberaanval: Geen Datadiefstal
De Belgische internetprovider Edpnet heeft te maken gehad met een cyberaanval, gericht op hun administratieve systemen. Het bedrijf reageerde snel, waardoor het incident beperkt bleef en er geen impact was op de connectiviteitsdiensten van de klanten. Edpnet heeft, als voorzorgsmaatregel, de klantinlogsystemen uitgeschakeld en werkt samen met cyberbeveiligingsexperts om de systemen verder te beveiligen. Tot dusver is er geen melding gemaakt van datadiefstal. Het is momenteel voor klanten niet mogelijk om in te loggen op hun account. Edpnet benadrukt de ernst van de situatie en zal klanten informeren zodra er meer informatie beschikbaar is. De aard van de cyberaanval is niet gespecificeerd, maar het lijkt niet te gaan om ransomware. Dit incident benadrukt het belang van snelle en effectieve reacties op cyberdreigingen om schade te minimaliseren en de veiligheid van klantgegevens te waarborgen.
Okta Ontkent Datalek na Claims op Hackersforum
Okta, een toonaangevend bedrijf in cloudidentiteits- en toegangsbeheer uit San Francisco, heeft ontkend dat hun gegevens zijn gelekt nadat een cybercrimineel beweerde klantgegevens te hebben vrijgegeven die tijdens een cyberaanval in oktober 2023 waren gestolen. Het incident, waarbij het klantenondersteuningssysteem van Okta werd geschonden door gebruik te maken van gestolen inloggegevens, had potentieel invloed op alle gebruikers van dit systeem. Dit leidde tot verhoogde risico's van datalekken bij meerdere klanten van Okta, met als opmerkelijk voorbeeld een daaropvolgende compromittering van een server van Cloudflare. De recente beweringen op een hackersforum door de gebruiker 'Ddarknotevil', over het vrijgeven van een database met informatie van 3.800 klanten, zijn door Okta onderzocht en weerlegd. De onderneming stelt dat de gelekte gegevens niet van hen afkomstig zijn en lijken te bestaan uit publiekelijk beschikbare informatie. Een woordvoerder van Okta benadrukte dat er na een grondig onderzoek geen bewijs is gevonden voor een inbreuk op hun systemen. Bovendien bevestigde cyberinlichtingenfirma KELA dat de gedeelde gegevens niet bij Okta horen, maar waarschijnlijk afkomstig zijn van een ander bedrijf dat in juli was gehackt.
Cyberaanval legt Huntsville lam (VS)
De gemeente Huntsville is getroffen door een cyberbeveiligingsincident, waardoor het gemeentehuis en de bibliotheek op maandag gesloten moesten worden. Dit incident werd in het weekend ontdekt, waarna het personeel onmiddellijk actie ondernam om de getroffen systemen te isoleren en andere systemen uit voorzorg offline te halen. Om de oorzaak en omvang van de cyberaanval te onderzoeken, is een team van cybersecurityspecialisten ingeschakeld. Ondanks de sluiting van het gemeentehuis en de bibliotheek, gaan alle geplande activiteiten tijdens de voorjaarsvakantie, inclusief het kamp in het Algonquin Theater, gewoon door. Ook het Canada Summit Centre blijft open voor de voorjaarsprogrammering en kampen. [1]
EquiLend Medewerkers Getroffen door Ransomware Aanval
In januari werd EquiLend Holdings, een New Yorks platform voor het uitlenen van effecten, slachtoffer van een ransomware-aanval. De aanval leidde tot de diefstal van persoonlijke gegevens van werknemers. EquiLend, opgericht door een samenwerking van grote banken en brokers, waaronder Bank of America Merrill Lynch en JP Morgan, moest systemen offline halen om de inbreuk te beheersen. Hoewel de LockBit ransomware-groep de aanval opeiste, bleef EquiLend terughoudend met bevestiging. Ze stelden later dat de aanval tot een datalek had geleid. Gelukkig vonden ze geen bewijs dat klantgegevens waren gecompromitteerd. De getroffen medewerkers, wiens persoonlijke identificeerbare informatie werd gestolen, zijn op de hoogte gebracht en krijgen twee jaar gratis bescherming tegen identiteitsdiefstal via IDX. EquiLend, met meer dan 330 werknemers wereldwijd, speelt een cruciale rol in de financiële technologie-industrie, ondersteund door haar belangrijke handelsplatform NGT, dat maandelijks transacties faciliteert ter waarde van meer dan $2.4 biljoen. [pdf, 1, 2]
Omvangrijke Datalek bij Roku: 15.000 Accounts Gehackt en Verkocht
Roku, bekend om zijn streamingapparaten en -diensten, heeft een datalek onthuld dat meer dan 15.000 klanten treft. Hackers gebruikten gestolen accountgegevens om ongeoorloofde aankopen van hardware en abonnementen te doen. Het lek kwam aan het licht toen bleek dat hackers de accounts verkochten voor slechts $0,50 per stuk, waarmee kwaadwillenden de opgeslagen creditcardgegevens konden gebruiken voor frauduleuze transacties. De aanval, een zogenaamde 'credential stuffing' aanval, maakte gebruik van eerder gelekte inloggegevens om toegang te krijgen tot Roku-accounts. Dit stelde de aanvallers in staat om gebruikersinformatie te wijzigen, waaronder wachtwoorden en verzendadressen, waardoor legitieme gebruikers buitengesloten werden en niet op de hoogte werden gebracht van de frauduleuze bestellingen. Roku heeft de getroffen accounts beveiligd en een wachtwoordreset geforceerd om verdere ongeautoriseerde toegang te voorkomen. Daarnaast heeft het bedrijf onderzoek gedaan naar ongeautoriseerde aankopen om de betrokken abonnementen te annuleren en de getroffen accounteigenaren te vergoeden. Ondanks deze maatregelen biedt Roku nog geen tweefactorauthenticatie aan, wat de accounts kwetsbaar maakt voor soortgelijke aanvallen in de toekomst. Klanten die getroffen zijn, dienen hun accountgegevens te herzien en hun wachtwoord te wijzigen om verdere schade te voorkomen. [pdf, 2]
🇳🇱 Nederlandse Bedrijf Ammega Slachtoffer van Cyberaanval door Cactus
Op 11 maart 2024 werd bekend dat Ammega, een Nederlands bedrijf gespecialiseerd in machines en computerapparatuur, het doelwit is geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep Cactus, die hun daad trots op het darkweb deelden. De onthulling zet licht op de voortdurende bedreigingen waarmee bedrijven wereldwijd worden geconfronteerd en benadrukt het belang van sterke cyberbeveiligingsmaatregelen.
Waarschuwing voor Neppe Leather Wallet App op Apple App Store
Ontwikkelaars van de Leather cryptocurrency wallet slaan alarm over een nep-app in de Apple App Store, die door gebruikers wordt gemeld als een zogenaamde wallet drainer; een applicatie die digitale activa steelt. Wallet drainers zijn applicaties of scripts die gebruikers misleiden om hun geheime wachtzinnen in te voeren of kwaadaardige transacties uit te voeren, waardoor aanvallers alle digitale bezittingen van gebruikers kunnen stelen, inclusief NFT's en cryptocurrency. Dit fenomeen is in het afgelopen jaar steeds gebruikelijker geworden, waarbij dreigingsactoren sociale media accounts met veel volgers hacken of advertenties gebruiken om bezoekers naar phishing sites te leiden. Het draineren van wallets is zo winstgevend geworden dat er zelfs crypto phishing-diensten zijn ontstaan. De echte Leather wallet heeft zijn gemeenschap vorige week gewaarschuwd voor de valse versie van zijn wallet op de Apple App Store en benadrukt dat het bedrijf nog geen iOS-app biedt. Gebruikers die hun geheime wachtwoord hebben ingevoerd in de nep-app, wordt aangeraden hun cryptocurrency onmiddellijk naar een nieuwe wallet over te maken. Ondanks een rapportage aan Apple, blijft de app beschikbaar in de App Store. De kwaadaardige app, gepubliceerd onder 'LetalComRu' en met gebruik van het echte Leather logo, heeft verraderlijk een hoge beoordeling van 4.9 uit 5.0, met veelal vervalste gebruikersrecensies. Dit incident onderstreept het belang van waakzaamheid en het verifiëren van de authenticiteit van apps, ondanks de normaal hoge veiligheids- en kwaliteitsstandaarden van de App Store. [1]
JetBrains beschuldigt Rapid7 van onethische onthulling na TeamCity-aanvallen
Softwareontwikkelaar JetBrains wijst beveiligingsfirma Rapid7 aan als verantwoordelijk voor recente aanvallen op TeamCity-servers. Dit volgt op de publicatie door Rapid7 van details en een exploit voor een kritieke kwetsbaarheid in TeamCity, slechts vijf uur na de release van een beveiligingsupdate. TeamCity, gebruikt door meer dan 30.000 klanten wereldwijd, stelt gebruikers in staat software te compileren, bouwen, testen en uitbrengen. De kwetsbaarheid (CVE-2024-27198) zou het mogelijk maken om authenticatie te omzeilen en beheerderstoegang te verkrijgen. Rapid7, die het lek ontdekte en rapporteerde aan JetBrains, wordt nu beschuldigd van het onethisch handelen door volledige technische details en een exploitmodule voor Metasploit te publiceren direct na de update. Dit gaf klanten niet genoeg tijd om de patch toe te passen, waardoorservers kwetsbaar bleven voor aanvallen. JetBrains pleit voor het later vrijgeven van kwetsbaarheidsdetails na een update, om klanten voldoende tijd te geven voor bescherming. De situatie heeft geleid tot een debat over de ethiek en timing van het delen van informatie over beveiligingslekken. [1]
🇳🇱 Tienduizend Nederlanders Dupe van Bankhelpdeskfraude in 2023
In 2023 zijn maar liefst tienduizend Nederlanders het slachtoffer geworden van bankhelpdeskfraude, wat heeft geleid tot een schadebedrag van meer dan 28 miljoen euro. Ondanks dat de totale schade als gevolg van fraude in het betalingsverkeer met bijna 36 miljoen euro iets lager lag dan het jaar ervoor, blijft het een ernstig probleem. Interessant is dat een aanzienlijk deel van de gedupeerden geen schadevergoeding heeft ontvangen. Dit komt omdat de vergoeding afhankelijk is van specifieke voorwaarden, zoals het feit dat de fraudeurs zich moeten hebben voorgedaan als medewerkers van de eigen bank van de slachtoffers. De Nederlandse Vereniging van Banken (NVB) en andere betrokkenen benadrukken de noodzaak om online anonimiteit en identiteitsfraude aan te pakken. Zij pleiten voor strengere controles op de identiteit van klanten door aanbieders van online diensten en de verkopers van prepaid simkaarten. Deze maatregelen zijn bedoeld om het voor criminelen moeilijker te maken om ongemerkt hun activiteiten voort te zetten. De voorgestelde aanpak richt zich op het versterken van de online veiligheid en het beschermen van burgers tegen de groeiende dreiging van bankhelpdeskfraude. [1]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language