EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De digitale wereld blijft evolueren, waarbij zowel de kansen als de risico's toenemen. Een recente reeks incidenten onderstreept de constante dreiging van cybercriminaliteit die zowel individuen als organisaties treft. Een van de meest opvallende ontwikkelingen is de opkomst van DinodasRAT Malware, die sinds 2022 Linux servers als doelwit heeft. Deze malware, gericht op Red Hat en Ubuntu systemen, heeft zijn sporen verdiend in een spionagecampagne die zich eerder richtte op Windows systemen tijdens de 'Operation Jacana'. Kaspersky's onderzoek onthult de verfijnde tactieken van DinodasRAT, waaronder het vermijden van meerdere instanties door het creëren van een verborgen bestand, persistente toegang via opstartscripts, en het vermogen om commando's te ontvangen en processen te beheren, wat totale controle over gecompromitteerde systemen mogelijk maakt.
Malware- en datalekincidenten onder de loep
Tegelijkertijd heeft een datalek bij AT&T maar liefst 73 miljoen klanten getroffen, een onthulling die volgt op eerdere ontkenningen van het bedrijf. De gelekte dataset bevat kritieke informatie zoals namen, adressen, en socialezekerheidsnummers. Ondanks de bewering van AT&T dat hun systemen niet zijn gecompromitteerd, onderstreept dit incident het belang van transparantie en proactieve beveiligingsmaatregelen.
Ook de financiële sector blijft een doelwit, met Prisma Finance die $10 miljoen verliest door een hack. Dit incident, ontdekt door Cyvers, benadrukt de kwetsbaarheid van gedecentraliseerde financiële platformen voor cyberaanvallen. Het verlies van Prisma Finance, een pionier in gedecentraliseerde tokenprotocollen, toont de noodzaak van geavanceerde beveiligingsprotocollen om dergelijke kostbare inbreuken te voorkomen.
Gamers zijn eveneens niet veilig, zoals blijkt uit een omvangrijke malwarecampagne die miljoenen game-accounts heeft gestolen. Deze campagne, gericht op gebruikers van cheats en betaalde cheatdiensten, onthult de risico's van het gebruik van ongeautoriseerde software en benadrukt het belang van twee-factor authenticatie om accountbeveiliging te waarborgen.
De detailhandel ondervindt ook gevolgen van cybercriminaliteit, met Hot Topic die het slachtoffer is geworden van herhaalde aanvallen van credential stuffing. Deze aanvallen, die persoonlijke en gedeeltelijke betaalinformatie van klanten blootleggen, tonen de effectiviteit van geautomatiseerde inlogpogingen met eerder gelekte gegevens. Het onderstreept de noodzaak voor zowel bedrijven als individuen om unieke inloggegevens te gebruiken en zich bewust te zijn van de voortdurende bedreigingen.
In de softwareontwikkeling is PyPI getroffen door een malware-campagne, wat leidt tot de tijdelijke stopzetting van nieuwe gebruikersregistraties. Deze reactie op kwaadaardige activiteiten toont de kwetsbaarheden binnen software supply chains en het belang van waakzaamheid en grondige verificatie van gebruikte componenten.
Deze reeks incidenten dient als een herinnering aan de constante evolutie van cyberdreigingen en het belang van waakzaamheid, proactieve beveiliging, en voortdurende educatie om de risico's van cybercriminaliteit te beheersen.
De evolutie van cyberaanvallen
Het complexe landschap van cyberbeveiliging wordt verder belicht door een aantal gerichte aanvallen en zwakheden binnen uiteenlopende sectoren. Een opmerkelijke dreiging is de aanval op VPN-diensten door middel van password-spraying, een techniek die toont hoe cybercriminelen proberen om door middel van veelgebruikte wachtwoorden toegang te krijgen tot systemen. Cisco's aanbevelingen voor het beperken van de risico's van dergelijke aanvallen benadrukken het belang van geavanceerde verdedigingsstrategieën, zoals het inschakelen van logging en het gebruik van certificaat-gebaseerde authenticatie, om de beveiliging te versterken.
In een ander scenario hebben criminelen een ingenieuze methode ontwikkeld om Android-gebruikers te targeten met bankmalware, door middel van een geïnfecteerde variant van een McAfee Security-app. Dit incident onderstreept de geraffineerde methoden die aanvallers gebruiken om vertrouwen te wekken en toegang te krijgen tot gevoelige informatie. Het misbruik van de Accessibility Service permissies voor kwaadwillige doeleinden zoals keylogging en phishingaanvallen toont aan hoe toestemmingen die bedoeld zijn om gebruikers te helpen, kunnen worden geëxploiteerd.
De gezondheidszorgsector is evenmin veilig, zoals blijkt uit de publicatie van patiëntgegevens door een ransomwaregroep na een aanval op de NHS in Schotland. Dit incident benadrukt de voortdurende dreiging van ransomware en de noodzaak voor organisaties om hun beveiligingsmaatregelen te versterken om dergelijke gevoelige informatie te beschermen.
Een nieuwe Phishing-as-a-Service (PhaaS) genaamd 'Darcula' richt zich op iPhone-gebruikers via iMessage, wat de aanhoudende innovatie binnen cybercriminaliteit illustreert. Darcula's gebruik van geavanceerde technologieën en de nadruk op modernere communicatieprotocollen zoals iMessage en RCS toont aan dat phishers steeds geavanceerdere methoden gebruiken om hun doelwitten te bereiken en te misleiden.
De voortdurende aanpassing en ontwikkeling van cyberdreigingen vereisen een even dynamische en veerkrachtige aanpak van cyberbeveiliging. Van de bescherming tegen malware en ransomware tot het voorkomen van datalekken en phishingaanvallen, het belang van geavanceerde beveiligingsmaatregelen en bewustwording onder gebruikers kan niet genoeg worden benadrukt. Terwijl de digitale wereld blijft groeien, is het cruciaal dat zowel individuen als organisaties proactief blijven in hun benadering van cyberbeveiliging, om de veiligheid en privacy van gegevens in deze steeds veranderende omgeving te waarborgen.
Het gevecht tegen supply-chain aanvallen en geavanceerde phishingmethodes
In het licht van de toenemende cyberdreigingen, worden organisaties en individuen voortdurend uitgedaagd om hun digitale voetafdruk veilig te houden. Een van de meest alarmerende ontwikkelingen in de recente geschiedenis van cybercriminaliteit is de exploitatie van kritieke kwetsbaarheden, zoals die in Microsoft SharePoint Server. Het actieve misbruik van deze kwetsbaarheid, die externe code-uitvoering mogelijk maakt, onderstreept het belang van tijdige patches en systeemupdates om netwerken te beschermen tegen potentiële aanvallen.
Een andere zorgwekkende trend is het misbruik van het Ray AI-framework in een campagne genaamd "ShadowRay", waarbij aanvallers de rekenkracht van bedrijfsservers kapen. Deze aanvallen, gericht op sectoren zoals onderwijs, cryptocurrency, en biopharma, benadrukken de noodzaak voor organisaties om hun infrastructuur adequaat te beveiligen en voortdurend te monitoren op verdachte activiteiten.
De snelle infectie van 6.000 ASUS routers door TheMoon malware binnen slechts 72 uur toont de efficiëntie waarmee cybercriminelen kwetsbaarheden kunnen uitbuiten. Deze aanvallen, die routers transformeren in apparaten die internetverkeer van criminelen routeren, herinneren ons eraan hoe essentieel het is om onze hardware regelmatig bij te werken en sterke beveiligingspraktijken te handhaven.
Een supply-chain aanval op het Top.gg platform, een populaire hub voor Discord bots, onthult de complexiteit van hedendaagse cyberaanvallen en de noodzaak voor ontwikkelaars om de veiligheid van hun bouwstenen grondig te verifiëren. Dit incident benadrukt het belang van bewustzijn en voorzichtigheid bij het beheren van afhankelijkheden en externe bronnen in softwareontwikkeling.
De opkomst van Tycoon 2FA, een Phishing-as-a-Service platform dat is ontworpen om de beveiliging van tweefactorauthenticatie te omzeilen, belicht de voortdurende evolutie van phishingtactieken. Deze ontwikkeling onderstreept het belang van voortdurende educatie en de implementatie van robuuste beveiligingsmaatregelen om dergelijke geavanceerde aanvallen tegen te gaan.
Tot slot, de sancties opgelegd aan Chinese hackers door de VS voor aanvallen op kritieke infrastructuur en de ontdekking van de ZenHammer-aanval die AMD Zen CPU's treft, tonen aan dat cyberdreigingen een wereldwijde uitdaging vormen die constante aandacht en internationale samenwerking vereist.
Deze incidenten, variërend van geavanceerde phishingcampagnes tot grootschalige ransomware-aanvallen, benadrukken de noodzaak voor een holistische benadering van cyberbeveiliging. Het is van cruciaal belang dat zowel individuen als organisaties proactief blijven in het implementeren van beveiligingsmaatregelen, zoals het regelmatig updaten van systemen, het trainen van personeel in cybersecuritybewustzijn, en het aannemen van een meerlaagse beveiligingsstrategie. Door samen te werken en best practices te delen, kunnen we hopen een stap voor te blijven op cybercriminelen en onze digitale wereld veiliger te maken.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb ↑ |
---|---|---|---|---|
lavelle.com | LockBit | USA | Rubber, Plastics Products | 31-mrt-24 |
Claro | Trigona | Mexico | Communications | 30-mrt-24 |
Pavilion Construction LLC | BianLian | USA | Construction | 30-mrt-24 |
W?????? ????????y | PLAY | USA | Unknown | 29-mrt-24 |
Control Technology | Akira | USA | Electronic, Electrical Equipment, Components | 29-mrt-24 |
Graypen Ltd | INC Ransom | United Kingdom | Water Transportation | 29-mrt-24 |
Sysmex | Hunters International | Japan | Measuring, Analyzing, Controlling Instruments | 29-mrt-24 |
Lodan Electronics Inc | INC Ransom | USA | Electronic, Electrical Equipment, Components | 29-mrt-24 |
PSEC Church | INC Ransom | USA | Membership Organizations | 29-mrt-24 |
Tech-Quip Inc | INC Ransom | USA | Oil, Gas | 29-mrt-24 |
K2systems.ca | Red Ransomware | Canada | Communications | 29-mrt-24 |
Sfi-wfc.com | Red Ransomware | Unknown | Unknown | 29-mrt-24 |
Bendallmednick | Red Ransomware | USA | Legal Services | 29-mrt-24 |
Comohotels.com | Red Ransomware | Singapore | Lodging Places | 29-mrt-24 |
Aluminumtrailer.com | Red Ransomware | USA | Transportation Equipment | 29-mrt-24 |
Southcoindustries.com | Red Ransomware | USA | Transportation Equipment | 29-mrt-24 |
Kogok.com | Red Ransomware | USA | Construction | 29-mrt-24 |
Baystate.edu | Red Ransomware | USA | Educational Services | 29-mrt-24 |
Tecnolite.com | Red Ransomware | USA | Personal Services | 29-mrt-24 |
Solucionesls.com | Red Ransomware | Spain | Communications | 29-mrt-24 |
Saglobal.com | Red Ransomware | Canada | IT Services | 29-mrt-24 |
Thors-Data.dk | Red Ransomware | Denmark | IT Services | 29-mrt-24 |
Avant IT Norway | Ransomhub | Norway | IT Services | 28-mrt-24 |
Lakes Precision | Akira | USA | Electronic, Electrical Equipment, Components | 28-mrt-24 |
Santa Cruz Seaside | Akira | USA | Amusement And Recreation Services | 28-mrt-24 |
Neurobehavioral Medicine Consultants | BianLian | USA | Health Services | 28-mrt-24 |
Florida Memorial University | INC Ransom | USA | Educational Services | 28-mrt-24 |
Exela Technologies | Hunters International | USA | IT Services | 28-mrt-24 |
Keboda Technology Co., Ltd. | BianLian | China | Transportation Equipment | 28-mrt-24 |
Reeves-Wiedeman | BianLian | USA | Wholesale Trade-durable Goods | 28-mrt-24 |
PT Bank Pembangunan Daerah Banten Tbk | Medusa | Indonesia | Depository Institutions | 28-mrt-24 |
Primeimaging | Everest | USA | Health Services | 28-mrt-24 |
anovahealth.com | LockBit | South Africa | Chemical Producers | 27-mrt-24 |
Otolaryngology Associates | INC Ransom | USA | Health Services | 27-mrt-24 |
Boingo Graphics | PLAY | USA | Publishing, printing | 27-mrt-24 |
Pavilion Construction | PLAY | USA | Construction | 27-mrt-24 |
bulwarkpestcontrol.com | Black Basta | USA | Miscellaneous Services | 27-mrt-24 |
lagunitas.com | Black Basta | USA | Food Products | 27-mrt-24 |
carolinafoodsinc.com | Black Basta | USA | Wholesale Trade-non-durable Goods | 27-mrt-24 |
ero-etikett.com | Black Basta | Germany | Publishing, printing | 27-mrt-24 |
amerlux.com | Black Basta | USA | Electronic, Electrical Equipment, Components | 27-mrt-24 |
organizedliving.com | Black Basta | USA | Miscellaneous Manufacturing Industries | 27-mrt-24 |
mjcelco.com | Black Basta | USA | Fabricated Metal Products | 27-mrt-24 |
kmbdg.com | Black Basta | USA | Engineering Services | 27-mrt-24 |
pctinternational.com | Black Basta | USA | Communications | 27-mrt-24 |
theshootingwarehouse.com | Black Basta | USA | Wholesale Trade-non-durable Goods | 27-mrt-24 |
vilis.com | Black Basta | Australia | Food Stores | 27-mrt-24 |
pstrans.com | Black Basta | USA | Motor Freight Transportation | 27-mrt-24 |
fpdcompany.com | Black Basta | USA | Aerospace | 27-mrt-24 |
northamericansigns.com | Black Basta | USA | Miscellaneous Manufacturing Industries | 27-mrt-24 |
Mermet | Akira | USA | Textile Mill Products | 27-mrt-24 |
Tbr Kowalczyk | PLAY | Poland | Accounting Services | 27-mrt-24 |
JM Thompson | PLAY | USA | Construction | 27-mrt-24 |
Weld Plus | PLAY | USA | Engineering Services | 27-mrt-24 |
Festspielhaus Baden-Baden | PLAY | Germany | Amusement And Recreation Services | 27-mrt-24 |
West Monroe | PLAY | USA | Business Services | 27-mrt-24 |
Frawner | PLAY | USA | Construction | 27-mrt-24 |
Alber Law Group | PLAY | USA | Legal Services | 27-mrt-24 |
Hartz | PLAY | USA | Miscellaneous Manufacturing Industries | 27-mrt-24 |
Quality Enclosures | PLAY | USA | Wholesale Trade-durable Goods | 27-mrt-24 |
Lawrence Semiconductor Research Laboratory | PLAY | USA | Electronic, Electrical Equipment, Components | 27-mrt-24 |
Lambda Energy Resources | PLAY | USA | Oil, Gas | 27-mrt-24 |
qosina.com | Cactus | USA | Measuring, Analyzing, Controlling Instruments | 27-mrt-24 |
lifelinedatacenters.com | LockBit | USA | IT Services | 27-mrt-24 |
pcscivilinc.com | LockBit | USA | Construction | 27-mrt-24 |
krueth.de | LockBit | Germany | Machinery, Computer Equipment | 27-mrt-24 |
countryvillahealthservices.com | LockBit | USA | Health Services | 27-mrt-24 |
dkpvlaw.com | LockBit | USA | Legal Services | 27-mrt-24 |
tmt-mc.jp | LockBit | Japan | Machinery, Computer Equipment | 27-mrt-24 |
contenderboats.com | Cactus | USA | Transportation Equipment | 27-mrt-24 |
Lieberman LLP | BianLian | USA | Accounting Services | 27-mrt-24 |
HC Querétaro | 8BASE | Mexico | Rubber, Plastics Products | 27-mrt-24 |
UNDP | 8BASE | USA | Membership Organizations | 27-mrt-24 |
Lindos Group Of Companies | 8BASE | Bermuda | Food Stores | 27-mrt-24 |
isophon glas GmbH | 8BASE | Germany | Miscellaneous Manufacturing Industries | 27-mrt-24 |
Miki Travel Limited | Snatch | United Kingdom | Transportation Services | 27-mrt-24 |
Summer Fresh | Qilin | Canada | Food Products | 27-mrt-24 |
nampak.com | LockBit | South Africa | Fabricated Metal Products | 27-mrt-24 |
NHS Scotland | INC Ransom | United Kingdom | Health Services | 26-mrt-24 |
MarineMax | Rhysida | USA | Automotive Dealers | 26-mrt-24 |
El Debate | Rhysida | Mexico | Publishing, printing | 26-mrt-24 |
polycab.com | LockBit | India | Electronic, Electrical Equipment, Components | 26-mrt-24 |
Barrie and Community Family Health Team | INC Ransom | Canada | Health Services | 26-mrt-24 |
Tanis Brush | Akira | USA | Miscellaneous Manufacturing Industries | 26-mrt-24 |
Koi Design | Akira | USA | Apparel And Accessory Stores | 26-mrt-24 |
Crimsgroup | Everest | USA | Oil, Gas | 26-mrt-24 |
Affiliated Dermatologists and Dermatologic Surgeons | BianLian | USA | Health Services | 26-mrt-24 |
Bira 91 | BianLian | India | Food Products | 26-mrt-24 |
ptsmi.co.id | Qilin | Indonesia | Security And Commodity Brokers, Dealers, Exchanges, And Services | 26-mrt-24 |
Casa Santiveri | Qilin | Spain | Chemical Producers | 26-mrt-24 |
Burnham Wood Charter Schools | Qilin | USA | Educational Services | 26-mrt-24 |
Big Issue Group | Qilin | United Kingdom | Publishing, printing | 26-mrt-24 |
Woodsboro ISD | Ransomhub | USA | Educational Services | 26-mrt-24 |
flynncompanies.com | Black Basta | Canada | Construction | 26-mrt-24 |
regencymedia.com.au | LockBit | Australia | Publishing, printing | 26-mrt-24 |
wblight.com | LockBit | USA | Wholesale Trade-durable Goods | 25-mrt-24 |
CLARK Material Handling Company | Hunters International | USA | Machinery, Computer Equipment | 25-mrt-24 |
Dunbier Boat Trailers | DragonForce | Australia | Transportation Equipment | 25-mrt-24 |
Teton Orthopaedics | DragonForce | USA | Health Services | 25-mrt-24 |
Greenline Service | DragonForce | USA | Miscellaneous Retail | 25-mrt-24 |
European Centre for Compensation | Akira | Poland | Legal Services | 25-mrt-24 |
Vita IT | Akira | Belize | IT Services | 25-mrt-24 |
Calida | Akira | Australia | Construction | 25-mrt-24 |
SKS Bottle & Packaging | Akira | USA | Rubber, Plastics Products | 25-mrt-24 |
Viridi Parente | Akira | USA | Electronic, Electrical Equipment, Components | 25-mrt-24 |
kh.org | ThreeAM | USA | Health Services | 25-mrt-24 |
Y. Hata & Co., Ltd. | Underground | USA | Wholesale Trade-non-durable Goods | 25-mrt-24 |
Regina Dental Group | Medusa | Canada | Educational Services | 25-mrt-24 |
Impac Mortgage Holdings | Medusa | USA | Non-depository Institutions | 25-mrt-24 |
Ejército del Per | INC Ransom | Peru | National Security And International Affairs | 25-mrt-24 |
Law Offices of John V. Orrick, P.L. | INC Ransom | USA | Legal Services | 25-mrt-24 |
Pantana CPA | INC Ransom | USA | Accounting Services | 25-mrt-24 |
Law Offices of John V. Orrick | INC Ransom | USA | Legal Services | 25-mrt-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb ↑ |
---|
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | ? |
NU: 01-04-2024 | 12.963 |
Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week, als gevolg van financiële beperkingen. Lees verder
In samenwerking met StealthMole
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
DinodasRAT Malware Richt Zich op Linux Servers in Spionagecampagne
Sinds 2022 zijn Linux servers, specifiek die draaien op Red Hat en Ubuntu systemen, het doelwit van een Linux variant van de DinodasRAT (ook bekend als XDealer) malware in een spionagecampagne. Oorspronkelijk getraceerd naar 2021, richtte deze malware zich eerder op Windows systemen tijdens de 'Operation Jacana' campagne, gericht op overheidsentiteiten. Recentelijk heeft Kaspersky onderzoek gedaan naar de Linux variant, die zich kenmerkt door het creëren van een verborgen bestand om meerdere instanties te voorkomen, het instellen van persistentie via startup scripts, en complexe detectie door opnieuw uit te voeren terwijl het oorspronkelijke proces wacht. De malware kan commando's ontvangen, processen beheren, een remote shell bieden, C2 communicatie door proxy's leiden, nieuwe malwareversies downloaden, en zichzelf en alle sporen van activiteit verwijderen. DinodasRAT stelt aanvallers in staat totale controle te verkrijgen over gecompromitteerde systemen voor data-exfiltratie en spionage. De initiële infectiemethode is niet gespecificeerd, maar sinds oktober 2023 zijn er infecties gemeld in China, Taiwan, Turkije, en Oezbekistan. [securelist]
Datalek bij AT&T treft 73 miljoen klanten
AT&T heeft bevestigd dat het getroffen is door een datalek dat 73 miljoen huidige en voormalige klanten raakt. Dit nieuws volgt na eerdere ontkenningen van het bedrijf dat de gelekte gegevens van hun systemen afkomstig waren. De gelekte dataset, die naar verluidt informatie bevat van namen, adressen, telefoonnummers, en in veel gevallen ook socialezekerheidsnummers en geboortedata, werd oorspronkelijk in 2021 door een dreigingsactor genaamd Shiny Hunters te koop aangeboden. In 2024 werd deze dataset opnieuw gelekt op een hackersforum. AT&T heeft uiteindelijk toegegeven dat de data inderdaad van hun klanten is, maar blijft volhouden dat hun systemen niet gecompromitteerd zijn. De lek betreft gegevens van voor 2019, waaronder 7,6 miljoen huidige en ongeveer 65,4 miljoen voormalige accounteigenaren. Bovendien waren de beveiligingscodes voor accounts van 7,6 miljoen klanten ook gelekt. AT&T heeft aangekondigd de passcodes van getroffen klanten te resetten en zal alle 73 miljoen getroffen klanten informeren over de inbreuk en de vervolgstappen die zij moeten ondernemen. [att]
Prisma Finance Verliest $10 Miljoen Door Hack
In een recente cyberaanval is Prisma Finance, een toonaangevend platform in de wereld van gedecentraliseerde financiën, zwaar getroffen met een verlies van circa $10 miljoen aan cryptocurrencies. Deze ontdekking werd gemaakt door Cyvers, een dienst die beveiligingswaarschuwingen op de blockchain verzorgt, na het detecteren van verdachte transacties gerelateerd aan Prisma Finance. Het incident, dat aanvankelijk geschat werd op een verlies van ongeveer $9 miljoen, zag een toename van nog eens $1 miljoen door aanvullende frauduleuze transacties. Als reactie heeft Prisma Finance aangekondigd zijn protocol tijdelijk te pauzeren en een grondig onderzoek te starten om verdere exploitatie te voorkomen en de oorzaak te achterhalen. Prisma Finance staat bekend om zijn innovatieve gedecentraliseerde tokenprotocol voor liquid staking, met een indrukwekkende totale vergrendelde waarde (TVL) van meer dan $222 miljoen. Deze cyberaanval benadrukt de aanhoudende risico’s binnen de digitale financiële sector en onderstreept het belang van voortdurende waakzaamheid en het implementeren van geavanceerde beveiligingsstrategieën om dergelijke incidenten in de toekomst te voorkomen.
🚨ALERT🚨Your contract is Pausable, you should pause it, attack is still ongoing! Another $1M transaction👇#CyversAlert https://t.co/amidLt7Vgc pic.twitter.com/ccR4n2qehB
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) March 28, 2024
We are aware of a possible exploit on Prisma.
— Prisma Finance (@PrismaFi) March 28, 2024
Core engineering contributors will pause the protocol and investigate.
We'll share an update and a post-mortem.
Grootschalige Malwarecampagne Steelt Miljoenen Game-Accounts
Een omvangrijke malwarecampagne gericht op gamers heeft miljoenen inloggegevens van diverse gamingwebsites buitgemaakt. Deze campagne richtte zich specifiek op gebruikers van cheats en betaalde cheatdiensten. De ontdekking kwam aan het licht toen de ontwikkelaar van Phantom Overlay cheats voor Call of Duty en Counter-Strike, genaamd Zebleer, een database vol met gestolen inloggegevens vond. Zebleer merkte op dat deze database voornamelijk accounts van gamers bevatte en bestempelde het als de grootste malwarecampagne die ooit op gamers en cheaters is gericht. Volgens de ontwikkelaar zijn er gegevens van enkele miljoenen gamers gestolen, met Discord als grootste getroffen platform met maar liefst 14 miljoen gecompromitteerde accounts. Naast individuele gamers lijkt de malware ook invloed te hebben op financiële accounts, zoals Electrum BTC wallets,die gecompromitteerd zijn als gevolg van de malware. Activision Blizzard heeft in reactie op de dreiging gebruikers aangeraden twee-factor authenticatie (2FA) in te schakelen om hun accounts te beveiligen. Het bedrijf benadrukt dat hun servers veilig en ongecompromitteerd zijn gebleven. Het incident onderstreept het belang van het vermijden van ongeautoriseerde software en het volgen van beste beveiligingspraktijken, zoals het gebruik van 2FA, om de beveiliging van accounts te waarborgen.
It's the largest infostealer malware campaign targeting gamers/cheaters in history. I'm trying to figure out what network of software has the malware
— zebleer (@zebleerpo) March 27, 2024
BNET - 3662647 logins stolen in DB
Activision - 561183 logins stolen in DB
EPVP - 117366 logins stolen in DB
UC - 572831 logins… https://t.co/8cvNBBtSCX
Over the past couple of days we have become aware of malware targeting gamers! More specifically, a currently unidentified Threat Actor is utilizing an infostealer to target individuals who cheat (Pay-to-Cheat) in video games.
— vx-underground (@vxunderground) March 27, 2024
A Call of Duty cheat provider (PhantomOverlay) was…
Hot Topic Getroffen door Herhaalde Credential Stuffing Aanvallen
In november zijn twee grote aanvallen van credential stuffing gericht geweest op de Amerikaanse detailhandelaar Hot Topic, waarbij persoonlijke gegevens en gedeeltelijke betaalinformatie van klanten zijn blootgesteld. Hot Topic, bekend om zijn fast-fashion keten, telt meer dan 10.000 werknemers verspreid over ruim 630 winkels in de VS en Canada, naast het hoofdkantoor en twee distributiecentra. Bij deze aanvallen maken cybercriminelen gebruik van geautomatiseerde tools om inlogpogingen te doen met eerder gelekte gebruikersnamen en wachtwoorden, een methode die effectief is wanneer gebruikers dezelfde inloggegevens op meerdere platforms gebruiken. De aanvallers hebben specifiek Hot Topic Rewards accounts getarget met inloggegevens van een onbekende externe bron. Ondanks het onderzoek kon Hot Topic niet vaststellen welke accounts daadwerkelijk door onbevoegden zijn benaderd. Potentieel blootgestelde informatie omvat namen, e-mailadressen, bestelgeschiedenis, telefoonnummers, geboortedata en adresgegevens, met slechts toegang tot de laatste vier cijfers van betalingskaarten. In reactie op de aanvallen heeft Hot Topic samen met cybersecurity experts botbeschermingssoftware geïmplementeerd en vereist het bedrijf van getroffen klanten om hun wachtwoorden te wijzigen. Dit incident volgt op vijf eerdere golven van credential stuffing aanvallen op Hot Topic klanten in het afgelopen jaar, wat de noodzaak onderstreept voor verbeterde beveiligingsmaatregelen en bewustwording rond het gebruik van unieke inloggegevens. [pdf]
PyPI neemt maatregelen tegen malware-campagne
De Python Package Index (PyPI), een cruciale verzamelplaats voor Python-projecten, heeft de registratie van nieuwe gebruikers en het aanmaken van nieuwe projecten tijdelijk stopgezet. Deze actie is een directe reactie op een aanhoudende malware-campagne die het platform treft. PyPI, bekend om zijn uitgebreide verzameling van Python-pakketten, trekt kwaadwillenden aan die vervalste of typografisch gelijkende pakketten uploaden om softwareontwikkelaars en mogelijke supply-chain aanvallen te compromitteren. Recent heeft PyPI, na signalering van verdachte activiteiten, besloten alle nieuwe gebruikersregistraties te pauzeren om de kwaadaardige activiteiten te mitigeren. Een rapport van Checkmarx onthult dat bedreigers 365 pakketten met misleidende namen op PyPI hebben geüpload, bevattende schadelijke code in de 'setup.py' bestanden die een extra payload van een externe server probeert te halen. Deze payload, een info-stealer met mogelijkheden tot persistentie, richt zich op gegevens opgeslagen in webbrowsers, waaronder inlogwachtwoorden en cookies. Het incident benadrukt het belang voor softwareontwikkelaars en pakketbeheerders om de authenticiteit en veiligheid van gebruikte componenten in hun projecten nauwgezet te verifiëren. Dit is niet de eerste keer dat PyPI dergelijke strenge maatregelen neemt om zijn gemeenschap te beschermen tegen kwaadwillige inzendingen, een vergelijkbare actie werd vorig jaar ook ondernomen. [checkmarx, checkpoint]
Aanpak en Risico's van Password-Spraying Aanvallen op VPN-Diensten
Cisco heeft aanbevelingen gepubliceerd om de risico's van password-spraying aanvallen op Remote Access VPN (RAVPN) diensten, die geconfigureerd zijn op Cisco Secure Firewall apparaten, te beperken. Deze aanvallen, die ook andere remote access VPN-diensten targeten, maken deel uit van verkennende activiteiten waarbij aanvallers dezelfde wachtwoorden op meerdere accounts uitproberen om toegang te krijgen. Cisco identificeerde verschillende indicatoren van compromittering (IoCs) om deze aanvallen te detecteren en te blokkeren, waaronder de onmogelijkheid om VPN-verbindingen te vestigen met Cisco Secure Client (AnyConnect) wanneer Firewall Posture (HostScan) is ingeschakeld en een ongewoon aantal authenticatieverzoeken in systeemlogs. Als verdedigingsmaatregelen adviseert Cisco onder meer het inschakelen van logging naar een externe syslog-server, het beveiligen van standaard remote access VPN-profielen door ongebruikte standaardconnectieprofielen naar een sinkhole AAA-server te wijzen, het handmatig blokkeren van kwaadaardige IP's met TCP shun, het configureren van controlepaneel ACL's om ongeautoriseerde publieke IP-adressen te filteren, en het gebruik van op certificaten gebaseerde authenticatie. Beveiligingsonderzoeker Aaron Martin wijst op een verband tussen de waargenomen aanvallen en een niet-gedocumenteerd malwarenetwerk genaamd ‘Brutus’, gekenmerkt door specifieke doelwitten en aanvalspatronen. Dit netwerk maakt gebruik van 20.000 IP-adressen wereldwijd en heeft initieel SSLVPN-apparaten van Fortinet, Palo Alto, SonicWall, en Cisco getarget, en richt zich nu ook op webapps die Active Directory gebruiken voor authenticatie. Dit benadrukt de noodzaak van waakzaamheid en implementatie van Cisco's aanbevelingen om dergelijke geavanceerde aanvallen af te weren. [cisco]
Nieuwe Golf van Android-bankmalware Verspreid via Vervalste McAfee Security-app
Criminelen hebben een ingenieuze methode ontwikkeld om Android-gebruikers te richten met bankmalware, door een geïnfecteerde variant van McAfee Security te gebruiken. De aanval start met een sms die beweert dat er een grote geldtransactie is uitgevoerd. Wanneer de ontvanger vervolgens het verstrekte nummer belt, ontvangt deze tijdens het gesprek een link naar de malafide McAfee-app. Deze app dient als een 'dropper' voor de Vultur-bankmalware, terwijl het tegelijkertijd de functies van de legitieme security-app nabootst om detectie te vermijden. De Vultur-malware stelt aanvallers in staat om volledige controle over de geïnfecteerde telefoon te krijgen, waardoor ze frauduleuze activiteiten kunnen uitvoeren, zoals het op afstand bedienen van het toestel, het registreren van toetsaanslagen en het uitvoeren van commando's zoals scrollen, swipen, en klikken. Bovendien kan de malware bepaalde apps blokkeren, wijzigingen in de statusbalk aanbrengen en zelfs de schermvergrendeling omzeilen. De aanvallers misbruiken specifiek de Accessibility Service permissies, die bedoeld zijn om gebruikers te ondersteunen maar ook kunnen worden uitgebuit voor malafide doeleinden zoals keylogging en het uitvoeren van phishingaanvallen. Securitybedrijf Fox-IT heeft onlangs een nieuwe, geavanceerdere versie van deze malware ontdekt, waarmee nog meer schadelijke activiteiten mogelijk zijn. [fox-it]
Ransomware-aanval leidt tot publicatie patiëntgegevens door Schotse gezondheidsdienst
De National Health Service (NHS) Dumfries and Galloway, verantwoordelijk voor gezondheidszorg in de Schotse regio Dumfries and Galloway, meldt dat een ransomwaregroep patiëntgegevens heeft gepubliceerd. Deze actie volgt op een eerdere aanval deze maand, waarbij de groep toegang verkreeg tot aanzienlijke hoeveelheden data, waaronder gevoelige patiënt- en personeelsinformatie. De criminelen beweren meer dan drie terabyte aan data in handen te hebben. Jeff Ace, directeur van NHS Dumfries and Galloway, bevestigt dat patiëntgegevens zijn gelekt en zegt dat alle getroffen personen geïnformeerd zullen worden. De gezondheidsdienst werkt nauw samen met de Schotse politie, het Britse National Cyber Security Centre en de Schotse overheid om de situatie te monitoren. Vanwege het lopende onderzoek zijn details over de oorzaak van de systeemcompromittatie nog onbekend. Dit incident benadrukt de voortdurende bedreiging van cybercriminaliteit voor de gezondheidszorg en de noodzaak voor verbeterde beveiligingsmaatregelen. [nhsdg]
Nieuwe Phishing-as-a-Service 'Darcula' Richt Zich op iPhone-gebruikers via iMessage
Een recent ontdekte Phishing-as-a-Service (PhaaS), genaamd 'Darcula', vormt een groeiende bedreiging voor zowel Android- als iPhone-gebruikers wereldwijd. Met een arsenaal van 20.000 domeinen, die merken nabootsen om inloggegevens te stelen, heeft Darcula zich in meer dan 100 landen gemanifesteerd. Dit platform onderscheidt zich door gebruik te maken van moderne communicatieprotocollen zoals Rich Communication Services (RCS) voor Google Messages en iMessage in plaats van de traditionele SMS. Hierdoor lijken de phishingberichten betrouwbaarder voor de ontvanger. Darcula biedt cybercriminelen meer dan 200 templates om uit te kiezen, die verschillende sectoren nabootsen, waaronder de post-, financiële en overheidssectoren. De landingpagina's zijn van hoge kwaliteit en passen zich aan de lokale taal, logo's en content aan.Uniek is dat Darcula gebruikmaakt van geavanceerde technologieën zoals JavaScript en React, waardoor het platform zichzelf kan bijwerken zonder dat gebruikers phishingkits opnieuw moeten installeren. Dit platform wijkt af van SMS-gebaseerde tactieken door in plaats daarvan RCS en iMessage te gebruiken, waardoor het moeilijker wordt om de phishingberichten op inhoud te blokkeren. Desondanks ondervinden cybercriminelen uitdagingen door beperkingen van deze protocollen, zoals het verbod van Apple op accounts die massaal berichten versturen. Darcula probeert deze beperkingen te omzeilen door meerdere accounts te gebruiken en instructies in de phishingberichten op te nemen die ontvangers aanzetten tot interactie. De Netcraft onderzoekers adviseren gebruikers om waakzaam te blijven en elk ongevraagd bericht dat aandringt op het klikken op links met argwaan te behandelen. [linkedin, netcraft]
Dreiging van Datalek Zet NHS Schotland onder Druk
De INC Ransom afpersingsbende heeft gedreigd drie terabyte aan gegevens te publiceren die naar eigen zeggen zijn gestolen bij een inbraak op het National Health Service (NHS) van Schotland. Deze cybercriminelen hebben meerdere afbeeldingen met medische details online gezet en beweren binnenkort meer gegevens te lekken tenzij er een losgeld wordt betaald. De NHS in Schotland, die een breed scala aan gezondheidsdiensten biedt, waaronder eerstelijnszorg, ziekenhuiszorg en tandheelkundige zorg, is hiermee onder enorme druk gezet. INC Ransom, actief sinds juli 2023, richt zich op organisaties in zowel de publieke als de private sector, waaronder onderwijs-, gezondheidszorg- en overheidsorganisaties. Het incident met de NHS in Schotland kwam aan het licht rond 15 maart, vermoedelijk het moment van de cyberaanval. In een recente verklaring gaf een woordvoerder van de Schotse overheid aan dat de aanval beperkt bleef tot NHS Dumfries en Galloway, een van de regionale gezondheidsraden. De overheid werkt samen met diverse instanties, waaronder de politie en de National Cyber Security Centre, om de impact en mogelijke gevolgen voor betrokkenen te beoordelen. NHS Dumfries en Galloway heeft bevestigd dat als gevolg van de cyberaanval gevoelige klinische data van een klein aantal patiënten is gelekt. De organisatie benadrukt dat ondanks deze inbreuk op hun systemen, patiëntgerichte diensten normaal functioneren en dat betrokken patiënten direct zullen worden geïnformeerd over de gelekte informatie. [nhsdg]
De Dynamische Wereld van Ransomware-as-a-Service
In 2024 ondergaat de wereld van ransomware significante veranderingen door grootschalige ontwrichtingen en het uiteenvallen van grote criminele bendes. LockBit's blog over ransomware is offline gehaald, BlackCat heeft de ransomware-ecosysteem verlaten, en er zijn verschillende kleinere ransomwaregroepen opgekomen. Deze ontwikkelingen belichten de complexiteit van de ransomware-ecosysteem, waarbij groepen en hun affiliates samenwerken binnen een gecompliceerde toeleveringsketen. Ransomware-as-a-Service (RaaS) is een dominante bedrijfsmodel geworden, waarbij groepen innovatieve ransomwarecode ontwikkelen en affiliates werven voor het compromitteren van IT-infrastructuren. Deze affiliates zijn vaak afhankelijk van andere duistere webactoren voor toegang tot doelnetwerken. De strijd om de beste affiliates aan te trekken is intens, aangezien groepen concurreren op basis van uitbetalingen en voorwaarden om topaffiliates aan te trekken. Recente takedowns van prominente groepen zoals LockBit en BlackCat hebben de vertrouwensbanden binnen deze criminele netwerken verzwakt, wat leidt tot onzekerheid en mogelijk een verschuiving naar kleinere, onafhankelijke operaties. Deze veranderingen kunnen op korte termijn de dreiging van ransomware verminderen, maar de basisaanbevelingen voor beveiligingsteams blijven essentieel: uitgebreide monitoring, het patchen van bekende kwetsbaarheden, en het gebruik van multifactorauthenticatie. De toekomst van ransomware blijft onzeker, met potentiële fragmentatie van het ecosysteem als reactie op rechtshandhavingsacties. [bleepingcomputer]
Toename Zero-Day Exploits in 2023 met Focus op Spyware
In 2023 werd een aanzienlijke stijging waargenomen in het aantal zero-day kwetsbaarheden die werden uitgebuit bij aanvallen, waarbij 50% direct gelinkt kon worden aan leveranciers van spyware en hun klanten. Dit werd geconstateerd door Google's Threat Analysis Group (TAG) en dochteronderneming Mandiant. Er werden in totaal 97 zero-day exploits geregistreerd, een toename van meer dan 50% ten opzichte van de 62 kwetsbaarheden in het voorgaande jaar, hoewel dit aantal nog steeds lager is dan de piek van 106 in 2021. Uit de bevindingen bleek dat 61 van deze kwetsbaarheden gericht waren op producten en platformen voor eindgebruikers zoals mobiele apparaten en browsers, terwijl de overige 36 zich richtten op technologieën voor bedrijven. Bijzonder was dat commerciële surveillancebedrijven (CSV's) verantwoordelijk waren voor 75% van de bekende zero-day exploits gericht op Google-producten en -apparaten binnen het Android ecosysteem. Deze groep was ook gelinkt aan 48 van de zero-day exploits gebruikt in aanvallen in 2023, wat neerkomt op ongeveer 50% van alle dergelijke kwetsbaarheden. Meer dan 60% van de 37 zero-day kwetsbaarheden in browsers en mobiele apparaten werd gelinkt aan CSV's die spywarecapaciteiten verkopen aan overheidsklanten. Om zich te verdedigen tegen zero-day aanvallen, gaf Google advies over het inschakelen van specifieke beveiligingsfuncties voor gebruikers met een hoog risico en kondigde het sancties aan tegen operators van Predator spyware en het invoeren van visabeperkingen voor individuen gelinkt aan commerciële spyware.
Binnenkort verschijnt een uitgebreid artikel op Cybercrimeinfo.
Actief Misbruik van Kritieke Kwetsbaarheid in SharePoint Server
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server. Deze kwetsbaarheid, bekend als CVE-2023-24955, maakt het voor aanvallers mogelijk om op afstand code uit te voeren op systemen waar SharePoint Server op draait, mits zij over de juiste authenticatie beschikken. De kwetsbaarheid kwam aan het licht tijdens de Pwn2Own-hackwedstrijd in maart vorig jaar, waar onderzoekers van STAR Labs erin slaagden de beveiliging van SharePoint te doorbreken, wat hen een beloning van 100.000 dollar opleverde. Dit specifieke lek werd gecombineerd met een ander beveiligingslek voor het uitvoeren van aanvallen zonder authenticatie. Ondanks dat er sinds mei vorig jaar een beveiligingsupdate beschikbaar is gesteld door Microsoft, blijven er aanvallen plaatsvinden die gebruikmaken van deze kwetsbaarheden. Beheerders worden met klem aangeraden de updates zo snel mogelijk te installeren om hun systemen te beschermen tegen mogelijke aanvallen. [starlabs, cisa.gov]
Schaduwachtige Hackers Exploiteren Ray Framework en Kapen Bedrijfsservers
Een nieuwe hackercampagne, genaamd "ShadowRay", maakt misbruik van een ongepatchte kwetsbaarheid in Ray, een populair open-source AI-framework, om rekenkracht te kapen en gevoelige data van duizenden bedrijven te lekken. Deze aanvallen, gericht op sectoren zoals onderwijs, cryptocurrency en biopharma, vinden plaats sinds ten minste 5 september 2023. Ray, ontwikkeld door Anyscale, faciliteert het schalen van AI- en Python-applicaties over een cluster van machines en wordt wereldwijd gebruikt door organisaties zoals Amazon en Netflix. In november 2023 onthulde Anyscale vijf kwetsbaarheden in Ray, waarvan er vier werden gepatcht. De vijfde bug, een kritieke kwetsbaarheid voor het uitvoeren van externe code getracked als CVE-2023-48022, bleef onopgelost vanwege een ontwerpbeslissing zonder authenticatie. Ondanks deze keuze, hebben hackers CVE-2023-48022 actief uitgebuit in onbeveiligde omgevingen, wat leidde tot toegang tot gevoelige informatie zoals AI-modellen en productiedatabase credentials. In sommige gevallen gebruikten aanvallers deze toegang voor cryptomining met Monero. Oligo, een applicatiebeveiligingsbedrijf, ontdekte honderden publiekelijk blootgestelde Ray-servers die gecompromitteerd waren door CVE-2023-48022. Ze adviseerden bedrijven om Ray-implementaties te beveiligen door firewallregels te handhaven, autorisatie toe te voegen aan de Ray Dashboard-poort, en voortdurend te monitoren op anomalieën. [oligo, anyscale, github.com/ray-project]
TheMoon Malware Viseert 6.000 ASUS Routers voor Proxy Dienst
In slechts 72 uur hebben cybercriminelen middels een nieuwe variant van de TheMoon malware, ongeveer 6.000 ASUS routers in 88 landen geïnfecteerd. De malware maakt deel uit van het botnet dat gekoppeld is aan de Faceless proxy dienst, waardoor geïnfecteerde apparaten worden gebruikt om internetverkeer van cybercriminelen te routeren, met als doel hun kwaadaardige activiteiten te anonimiseren. Volgens onderzoekers van Black Lotus Labs, die de recente golf van aanvallen sinds begin maart 2024 hebben waargenomen, richt deze specifieke campagne zich voornamelijk op verouderde ASUS routers. De onderzoekers speculeren dat de aanvallers bekende kwetsbaarheden hebben uitgebuit of brute-force technieken hebben gebruikt om toegang te krijgen. Zodra binnen, installeert de malware zichzelf en treft maatregelen om externe interventies te voorkomen. Bovendien probeert het contact te maken met een commando- en controle-server voor verdere instructies, mogelijk inclusief het downloaden van aanvullende componenten voor verdere exploitatie. Om tegen dergelijke dreigingen te beschermen, adviseren experts het gebruik van sterke beheerderswachtwoorden en het up-to-date houden van firmware, of indien het apparaat niet meer wordt ondersteund, deze te vervangen door een model dat wel updates ontvangt. [asus]
Supply-chain aanval treft grootste Discord bot platform Top.gg
De Top.gg gemeenschap, een vooraanstaand platform voor Discord bots met meer dan 170.000 leden, is het slachtoffer geworden van een supply-chain aanval. Doelwit van deze aanval waren ontwikkelaars, met als opzet hen te infecteren met malware die gevoelige informatie steelt. De aanvallers pasten verschillende methoden toe, waaronder het kapen van GitHub-accounts, het verspreiden van kwaadaardige Python-pakketten, het opzetten van een nep Python infrastructuur, en social engineering. De campagne, ontdekt door Checkmarx onderzoekers, lijkt voornamelijk gericht op datadiefstal en het monetariseren van de gestolen informatie. De activiteiten begonnen al in november 2022 met het uploaden van kwaadaardige pakketten naar de Python Package Index (PyPI), en zetten zich voort met meer schadelijke uploads die populaire open-source tools nabootsten. In 2024 escaleerde de aanval met de opzet van een nep Python pakkettenmirror en het kapen van de GitHub-account van een belangrijke top.gg onderhouder. Dit leidde tot het wijzigen van projectbestanden om afhankelijkheden van de vervalste bron te gebruiken. De uiteindelijke malware richtte zich op het stelen van browsergegevens, Discord-tokens, cryptocurrency wallets, Telegram sessiegegevens, en meer, en zorgde voor persistentie op besmette machines. De impact van deze campagne is nog onbekend, maar het benadrukt de risico's verbonden aan de open-source supply chain en het belang voor ontwikkelaars om de veiligheid van hun bouwstenen te verifiëren. [checkmarx, github.com/Top-gg]
❗️Tycoon 2FA: Een Nieuwe Bedreiging Voor Online Veiligheid
Cybercriminelen maken steeds vaker gebruik van een nieuwe Phishing-as-a-Service (PhaaS) platform, genaamd 'Tycoon 2FA', om Microsoft 365 en Gmail accounts aan te vallen en de beveiliging van tweefactorauthenticatie (2FA) te omzeilen. Dit platform is actief sinds augustus 2023 en is ontdekt door Sekoia analisten tijdens routine bedreigingsonderzoeken. Tycoon 2FA maakt gebruik van een tactiek waarbij sessiecookies van gebruikers worden gestolen door middel van een reverse proxy server, die de invoer van het slachtoffer onderschept en doorstuurt naar de legitieme dienst. Zodra de gebruiker de MFA-uitdaging heeft voltooid, worden de sessiecookies door de aanvaller onderschept, waardoor de tweefactorauthenticatie wordt omzeild. De aanvallen verlopen in zeven stappen, beginnend met het verspreiden van kwaadaardige links en eindigend met het doorsturen van slachtoffers naar een legitiem ogende pagina om de phishingaanval te verbergen. Sekoia merkt op dat de meest recente versie van Tycoon 2FA, uitgebracht in 2024, aanzienlijke verbeteringen bevat om detectie te ontwijken en de effectiviteit van phishingaanvallen te vergroten. De operatie is aanzienlijk, met bewijs van een brede gebruikersbasis van cybercriminelen die momenteel Tycoon 2FA gebruiken voor hun phishingoperaties, waarbij de aan Tycoon 2FA gekoppelde Bitcoin-portemonnee sinds oktober 2019 meer dan 1.800 transacties heeft opgenomen. [sekoia, github.com/SEKOIA-IO]
VS legt sancties op aan Chinese hackers wegens aanvallen op kritieke infrastructuur
Het Amerikaanse ministerie van Financiën heeft sancties opgelegd aan een bedrijf uit Wuhan en twee Chinese burgers, die in verband worden gebracht met de Chinese staatsondersteunde hackergroep APT31. Dit bedrijf, gebruikt door het Chinese Ministerie van Staatsveiligheid als dekmantel, voerde aanvallen uit op organisaties binnen de kritieke infrastructuur van de VS. Deze acties maken deel uit van een gezamenlijke inspanning met het Amerikaanse ministerie van Justitie, de FBI, het ministerie van Buitenlandse Zaken en het Britse ministerie van Buitenlandse Zaken. De sancties richten zich op het bevriezen van Amerikaanse activa van de betrokken individuen en entiteiten, en verbieden transacties met hen, tenzij specifiek geautoriseerd door het Office of Foreign Assets Control. Naast de sancties in de VS heeft het Verenigd Koninkrijk ookactie ondernomen tegen dezelfde groep voor aanvallen op Britse parlementsleden en overheidsinstellingen. Deze maatregelen benadrukken de ernst waarmee de VS en haar bondgenoten de bedreigingen door staatsondersteunde cyberactiviteiten aanpakken, waarbij informatie wordt aangeboden voor tips die kunnen leiden tot meer inzicht in de operaties van deze hackersgroep. [treasury.gov, gov.uk, justice.gov]
❗️Nieuwe ZenHammer-aanval treft AMD Zen CPU's
Academische onderzoekers van de ETH Zürich hebben ZenHammer ontwikkeld, de eerste variant van de Rowhammer DRAM-aanval die effectief is tegen CPU's gebaseerd op de recente AMD Zen-microarchitectuur. Deze CPU's gebruiken fysieke adressen op DDR4 en DDR5 geheugenchips. De bevindingen ondergraven de tot nu toe algemene aanname dat AMD Zen-chips en DDR5 RAM-modules minder vatbaar zijn voor Rowhammer-aanvallen. Rowhammer is een aanvalsmethode die gebruikmaakt van een fysieke eigenschap van modern DRAM om data te wijzigen door herhaaldelijk specifieke rijen geheugencellen te "hameren" met lees-/schrijfoperaties, waardoor bitwaarden binnenin veranderen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige data of privilege escalatie. De onderzoekers slaagden erin om deze aanval op AMD's Zen 2 en Zen 3 platformen met DDR4, en op een systeem met DDR5 op het Zen 4 platform, uit te voeren. Deze resultaten tonen aan dat bepaalde systemen, zelfs met verbeteringen in DDR5, zoals betere Rowhammer-mitigaties en on-die error correction code (ECC), nog steeds kwetsbaar kunnen zijn voor bitflips die de systeembeveiliging in gevaar brengen. AMD-gebruikers worden aangeraden om softwarepatches en firmware-updates toe te passen en te overwegen hardware te gebruiken met specifieke mitigaties tegen Rowhammer. AMD heeft in reactie op ZenHammer een beveiligingsbulletin gepubliceerd met advies voor mitigatie en updates beloofd.
St. Cloud (VS) Getroffen door Ransomware Cyberaanval
De stad St. Cloud in Florida is maandag getroffen door een cyberaanval, bevestigen stadsfunctionarissen. Het ging om een ransomware-aanval die diverse stadsdiensten en enkele telefoonlijnen heeft beïnvloed. De stad deelde dit nieuws via sociale media en gaf aan dat de aanval gevolgen had voor de betalingsmogelijkheden bij verschillende afdelingen. Zo kunnen betalingen voor Parks and Recreation en de Transfer Station momenteel alleen contant worden gedaan. Online betalingen voor faciliteitenregistratie en evenementenregistraties accepteren nog wel creditcardbetalingen. Externe nutsvoorzieningen en betalingen aan het belastingkantoor zijn niet getroffen door de cyberaanval. De stad werkt samen met staats- en lokale partners om het probleem zo snel mogelijk aan te pakken. Ondanks de aanval blijven politie en brandweer reageren op oproepen. Verdere details over de cyberaanval zijn niet vrijgegeven. [fox35orlando]
Google's AI-zoekresultaten bevorderen malafide websites
Google's nieuwe, op kunstmatige intelligentie (AI) gebaseerde zoekfunctie, de 'Search Generative Experience' (SGE), is in opspraak geraakt omdat het websites promoot die gebruikers omleiden naar ongewenste Chrome-extensies, valse iPhone-weggeefacties, abonnementen op browser spam, en technische ondersteuning scams. Sinds de introductie van deze functie eerder deze maand, is gebleken dat de SGE gesprekken voert en sites aanbeveelt die vaak spammy en kwaadaardig zijn, waardoor gebruikers gemakkelijker in de val van oplichters kunnen trappen. Deze aanbevolen sites gebruiken vaak dezelfde top-level domein (TLD), HTML-templates, en omleidingstechnieken, wat duidt op een gecoördineerde poging om de Google-index te vergiftigen via SEO. Wanneer gebruikers op een dergelijke link in de zoekresultaten klikken, worden ze door een reeks omleidingen geleid naar sites die proberen hen te misleiden met valse captcha's of YouTube-pagina's, met als doel hen te abonneren op browsermeldingen. Deze tactiek resulteert in een stortvloed aan ongewenste advertenties direct op het bureaublad van het besturingssysteem. Bovendien worden gebruikers misleid met advertenties die beweren dat hun systeem is geïnfecteerd met virussen, waarna ze worden aangemoedigd om neppe antivirussoftware te kopen, waardoor de fraudeurs commissie verdienen. Google heeft aangegeven zijn systemen en algoritmes voortdurend bij te werken om tegen spam te vechten, maar erkent ook de voortdurende strijd tegen spammers die hun technieken aanpassen. Het incident onderstreept het belang van waakzaamheid bij het vertrouwen van AI-gegenereerde zoekresultaten en de noodzaak om websites te verifiëren voordat ze worden bezocht. [searchengineland, google pdf]
Had to see it for myself
— Simon Panting (@PantingYO) March 22, 2024
This site being surfaced is a German .de domain. First time I clicked it I got an Amazon gift card spam. Second time I got straight up porn. Nice 😬 pic.twitter.com/c1QC4tDBHQ
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language