CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN
Grote datalekken en hacks
In de afgelopen week zijn er diverse opmerkelijke cyberincidenten geweest die bedrijven en gebruikers wereldwijd hebben getroffen. Een van de meest in het oog springende gebeurtenissen is de hack bij Ticketmaster, waarbij gegevens van meer dan 560 miljoen gebruikers zijn gestolen. Deze data is inmiddels te koop aangeboden op het darkweb, inclusief namen, adressen en kaartverkoopinformatie. De aanval werd mogelijk gemaakt door gestolen inloggegevens van een medewerker van Snowflake, een cloudopslagdienst. Snowflake benadrukt echter dat het aantal getroffen klanten beperkt is en dat er geen gevoelige data in de getroffen demo-account zat. Desalniettemin adviseert Snowflake zijn klanten om hun beveiligingsmaatregelen te versterken.
Daarnaast zijn ook andere bedrijven zoals Infomedics, Eneco en Dunea getroffen door cyberaanvallen. Infomedics kampt met een netwerkstoring door een overbelasting, mede veroorzaakt door een eerdere ransomwareaanval op AddComm, een communicatiebedrijf waarvan Infomedics diensten afneemt. Hierdoor kunnen patiënten momenteel hun zorgrekeningen niet downloaden. Eneco en Dunea hebben hun klanten gewaarschuwd voor mogelijke datalekken als gevolg van dezelfde aanval op AddComm. Het betreft hier klantgegevens die via AddComm worden verwerkt voor papieren post. Ondanks afspraken met de criminelen over het verwijderen van de gestolen data, blijft waakzaamheid geboden.
Een ander significant incident betreft een lek bij het Kadaster, waarbij geheime adressen van burgers via MijnOverheid zichtbaar waren. Dit datalek, dat bijna vier jaar duurde, heeft bijna vierduizend mensen getroffen. Het Kadaster heeft maatregelen genomen en de getroffen personen geïnformeerd. Ook in België waren er meerdere aanvallen. Bedrijven zoals Manuchar en het architectenbureau LEJEUNE GIOVANELLI zijn getroffen door respectievelijk de groepen Hunters en 8BASE. Deze aanvallen benadrukken de voortdurende dreiging voor bedrijven wereldwijd.
Cyberdreigingen en Zero-day Exploits
Op technologisch vlak is er een zorgwekkende trend van toegenomen aanvallen op operationele technologie (OT) systemen, met name bij drinkwaterbedrijven. Microsoft heeft een toename van dergelijke aanvallen gerapporteerd, vaak veroorzaakt door slecht beveiligde systemen met standaardwachtwoorden. Het belang van goede beveiligingsmaatregelen zoals firewalls en VPN’s wordt nogmaals benadrukt om dergelijke incidenten te voorkomen.
Een zero-day-exploit voor Pulse Connect Secure VPN is momenteel te koop op het darkweb, wat een potentieel risico vormt voor vele organisaties. De exploit stelt aanvallers in staat om remote code execution (RCE) uit te voeren, waardoor ze volledige controle kunnen krijgen over de getroffen systemen. Organisaties die deze VPN-software gebruiken, worden geadviseerd om hun beveiligingsmaatregelen onmiddellijk te herzien en patches toe te passen.
Op het gebied van cybercrime zijn er meldingen van diverse aanvallen en diefstallen. Zo heeft de Japanse cryptobeurs DMM Bitcoin een grootschalige diefstal van 4.502,9 Bitcoin gemeld, ter waarde van ongeveer $308 miljoen. Dit incident benadrukt de kwetsbaarheid van cryptobeurzen voor cyberaanvallen. Ook Santander Bank is getroffen door een groot datalek, waarbij gegevens van 30 miljoen klanten te koop zijn aangeboden. De groep ShinyHunters beweert verantwoordelijk te zijn voor dit incident.
In de Verenigde Staten waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van een kwetsbaarheid in de Linux-kernel, aangeduid als CVE-2024-1086. Deze kwetsbaarheid stelt aanvallers in staat om via een reeds gecompromitteerd systeem root-toegang te verkrijgen. Overheidsinstanties en bedrijven worden aangespoord om dringend beveiligingsupdates te installeren.
Malware verspreiding en beveiligingsadviezen
Cybercriminelen blijven ook actief via gekraakte versies van Microsoft Office, die malware verspreiden via torrentwebsites. Deze malafide software bevat schadelijke programma’s zoals remote access trojans (RAT’s) en cryptomining-software. Gebruikers worden gewaarschuwd om voorzichtig te zijn met het downloaden van software uit onbetrouwbare bronnen en om legitieme software te gebruiken om infecties te voorkomen.
In België werd het bedrijf Manuchar getroffen door een cyberaanval uitgevoerd door de groep Hunters. Deze aanval werd openbaar gemaakt op het darkweb en benadrukt de voortdurende dreiging van cybercriminaliteit voor bedrijven wereldwijd. Daarnaast werd het Belgische architectenbureau LEJEUNE GIOVANELLI aangevallen door de cybercriminele groep 8BASE, wat opnieuw de noodzaak van sterke beveiligingsmaatregelen voor bedrijven in alle sectoren onderstreept.
De afgelopen week zag ook een toename van aanvallen op operationele technologie (OT) systemen, vooral bij drinkwaterbedrijven. Microsoft rapporteerde dat veel van deze systemen slecht beveiligd zijn en vaak gebruik maken van standaardwachtwoorden, wat het voor aanvallers eenvoudig maakt om binnen te dringen. Bedrijven worden aangespoord om hun OT-systemen beter te beveiligen door bijvoorbeeld firewalls en VPN’s te gebruiken en ervoor te zorgen dat deze systemen niet direct toegankelijk zijn via het internet.
Ook was er een melding van een zero-day-exploit voor Pulse Connect Secure VPN, die momenteel te koop wordt aangeboden op het darkweb. Deze exploit stelt aanvallers in staat om remote code execution (RCE) uit te voeren, wat een ernstig risico vormt voor veel organisaties die afhankelijk zijn van deze VPN-software voor veilige externe toegang. Het belang van up-to-date beveiligingsmaatregelen en patches wordt opnieuw benadrukt.
Het belang van robuuste beveiligingsmaatregelen kan niet genoeg worden benadrukt in het licht van de voortdurende dreigingen van cyberaanvallen. Organisaties en individuen moeten proactief stappen ondernemen om hun gegevens en systemen te beschermen tegen potentiële aanvallen. Het regelmatig bijwerken van software, het gebruik van sterke wachtwoorden, en het implementeren van multi-factor authenticatie zijn enkele van de essentiële maatregelen die kunnen helpen om de beveiliging te versterken.
Hieronder vind je een compleet dag-tot-dag overzicht.
Begrippenlijst: Sleutelwoorden uitgelegd
- Datalek: Dit is een incident waarbij vertrouwelijke, gevoelige of persoonlijke informatie per ongeluk of opzettelijk toegankelijk wordt voor onbevoegde personen. Dit kan leiden tot identiteitsdiefstal, fraude en andere vormen van misbruik.
- Snowflake: Snowflake is een cloud-gebaseerd datawarehouseplatform dat bedrijven helpt om hun data op te slaan, te beheren en te analyseren. In het artikel wordt Snowflake genoemd in verband met gestolen inloggegevens die hebben geleid tot een datalek.
- Ransomware: Dit is een type malware (kwaadaardige software) dat de toegang tot een computersysteem of gegevens blokkeert, vaak door middel van versleuteling, en een losgeld (ransom) eist van het slachtoffer om de toegang weer te herstellen.
- Darkweb: Dit is een deel van het internet dat niet toegankelijk is via reguliere zoekmachines en browsers. Het wordt vaak geassocieerd met illegale activiteiten, omdat gebruikers er anoniem kunnen blijven en vaak gebruikmaken van speciale software zoals Tor.
- Zero-day-exploit: Dit is een kwetsbaarheid in software die onbekend is bij de makers van de software en waarvoor nog geen patch (beveiligingsupdate) beschikbaar is. Een zero-day-exploit wordt gebruikt door aanvallers om systemen te compromitteren voordat de kwetsbaarheid wordt ontdekt en verholpen.
- Remote Code Execution (RCE): Dit is een type cyberaanval waarbij een aanvaller op afstand kwaadaardige code kan uitvoeren op een kwetsbaar systeem. Dit kan leiden tot volledige controle over het systeem door de aanvaller.
- Multi-factor authenticatie (MFA): Dit is een beveiligingsmaatregel waarbij gebruikers twee of meer verificatiestappen moeten doorlopen om toegang te krijgen tot een systeem. Dit kan bijvoorbeeld een combinatie zijn van een wachtwoord en een SMS-code.
- Operationele Technologie (OT): Dit verwijst naar hardware en software die wordt gebruikt om industriële processen te monitoren en aan te sturen. Dit omvat systemen in sectoren zoals energie, productie en waterbeheer. OT-systemen zijn vaak kwetsbaar voor cyberaanvallen als ze niet goed worden beveiligd.
- Remote Access Trojan (RAT): Dit is een type malware dat een aanvaller op afstand toegang en controle geeft over een geïnfecteerde computer. RAT’s worden vaak gebruikt voor spionage, gegevensdiefstal en het installeren van andere malware.
- Cryptomining-software: Dit is software die wordt gebruikt om cryptocurrency zoals Bitcoin te minen. Wanneer deze software zonder toestemming op een systeem wordt geïnstalleerd, kan het systeem worden gebruikt om cryptocurrency te minen voor de aanvaller, wat de prestaties van het systeem negatief beïnvloedt.
- Credential stuffing: Dit is een type cyberaanval waarbij gestolen inloggegevens (gebruikersnamen en wachtwoorden) worden gebruikt om toegang te krijgen tot meerdere accounts. Dit is mogelijk omdat veel mensen dezelfde inloggegevens gebruiken voor verschillende diensten.
- Phishing: Dit is een methode waarbij aanvallers zich voordoen als legitieme bedrijven of personen om slachtoffers te misleiden persoonlijke informatie zoals wachtwoorden, creditcardnummers of andere gevoelige gegevens te onthullen.
- Firmware: Dit is een type software die ingebed is in hardwareapparaten, zoals routers en industriële machines, om ze te laten functioneren. Firmware kan kwetsbaar zijn voor aanvallen als het niet regelmatig wordt bijgewerkt.
- Key Management Service (KMS): Dit is een beveiligingsdienst die helpt bij het beheer van encryptiesleutels die worden gebruikt om gegevens te beschermen. KMS helpt bij het genereren, opslaan en beheren van cryptografische sleutels.
- Tor: Dit is software die gebruikers anoniem maakt op het internet door hun internetverkeer via een wereldwijd netwerk van vrijwillige servers te leiden. Het wordt vaak gebruikt om toegang te krijgen tot het darkweb.
Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder
Cyberaanvallen, datalekken, trends en dreigingen nieuws
Hackers stelen authenticatietokens van AI-platform Hugging Face
Hugging Face, een platform voor AI-applicaties, heeft gemeld dat hackers toegang hebben gekregen tot authenticatietokens van hun Spaces-platform. Deze tokens zijn essentieel voor de toegang tot privégegevens van gebruikers. Het beveiligingsincident werd ontdekt toen Hugging Face ongeautoriseerde toegang tot hun Spaces geheimen detecteerde. In reactie hierop heeft het platform de aangetaste tokens ingetrokken en getroffen gebruikers per e-mail geïnformeerd. Hugging Face adviseert alle gebruikers om hun tokens te vernieuwen en over te schakelen naar fijnmazige toegangstokens voor betere beveiliging. Daarnaast zijn er verschillende beveiligingsverbeteringen doorgevoerd, zoals het verwijderen van organisatietokens, implementatie van een Key Management Service (KMS), en verbetering van het systeem om gelekte tokens te identificeren en ongeldig te maken. Het platform werkt samen met externe cybersecurity-experts en heeft de incidenten gemeld bij de relevante autoriteiten. Hugging Face blijft zich inzetten voor het versterken van hun beveiligingsinfrastructuur om toekomstige incidenten te voorkomen. [huggingface, wiz]
Grootschalige Bitcoin-diefstal bij DMM Bitcoin
De Japanse cryptobeurs DMM Bitcoin heeft aangekondigd dat hackers 4.502,9 Bitcoin, ter waarde van ongeveer $308 miljoen, hebben gestolen uit een van hun wallets. Dit maakt het de grootste cryptodiefstal van 2024. De diefstal werd ontdekt op vrijdag 31 mei 2024 om 13:26 uur. DMM Bitcoin heeft onmiddellijk maatregelen genomen om verdere onbevoegde toegang te voorkomen en heeft diverse diensten, zoals nieuwe accountregistraties en cryptocurrency-opnames, tijdelijk opgeschort. Hoewel de details van de diefstal nog worden onderzocht, vermoedt men dat de hackers toegang hebben gekregen via bedrijfsystemen of kwetsbaarheden in slimme contracten of websites. De beurs heeft klanten verzekerd dat alle verloren Bitcoin volledig wordt vergoed met behulp van de groepsbedrijven. Volgens een crypto-intelligentiebedrijf hebben de daders de gestolen Bitcoin al verdeeld over meerdere nieuwe wallets om hun sporen te verbergen. Dit incident wordt beschouwd als de op acht na grootste cryptodiefstal ooit. [bitcoin]
Santander getroffen door grote datadiefstal: gegevens van 30 miljoen klanten te koop aangeboden
De cybercriminelen groep ShinyHunters beweert een enorme hoeveelheid gegevens van Santander Bank te verkopen, inclusief informatie van 30 miljoen klanten en werknemers. Twee weken na het melden van een datalek door de bank, heeft ShinyHunters bekendgemaakt de gestolen data aan te bieden voor $2 miljoen. De gegevens omvatten persoonlijke informatie, 28 miljoen creditcardnummers en 6 miljoen rekeningnummers. Santander bevestigde dat de data van klanten en medewerkers uit Chili, Spanje en Uruguay is gestolen, maar andere markten zouden niet getroffen zijn. Opvallend is dat het aantal klanten volgens het kwartaalverslag van Santander slechts 19,5 miljoen bedraagt in deze landen, wat twijfels oproept over de authenticiteit van de claim van ShinyHunters. Desondanks heeft de groep een reputatie voor het verkopen van legitieme datalekken. De FBI nam onlangs BreachForums, een door ShinyHunters gerunde site, in beslag, waarna de groep de gestolen Santander-gegevens en andere lekken opnieuw te koop aanbood. [santander]
π§πͺ cybercriminelen vallen belgische dienstverlener aan
Op 30 mei 2024 heeft de cybercriminele groep Akira een aanval uitgevoerd op DreamWall, een Belgische dienstverlener in diverse diensten. De aanval werd bekendgemaakt op het darkweb. Dit incident benadrukt wederom de noodzaak voor bedrijven om hun cyberbeveiliging serieus te nemen en voorzorgsmaatregelen te treffen tegen dergelijke dreigingen.
Ticketmaster hack:
Snowflake waarschuwt klanten voor inbraak op accounts
Cloudopslagdienst Snowflake heeft een beperkt aantal klanten gewaarschuwd voor een inbraak op hun accounts. Aanvallers wisten inloggegevens van klanten te stelen en verkregen ook toegang tot een demo-account van een voormalige medewerker. Dit demo-account bevatte geen gevoelige data en was niet gekoppeld aan productiesystemen van Snowflake. De cloudopslagdienst benadrukt dat er geen sprake is van een grootschalig datalek en ontkent foutieve claims van een beveiligingsbedrijf dat beweert dat vierhonderd klanten zijn getroffen. Snowflake ontdekte op 23 mei ongeautoriseerde activiteiten en stelt dat de aanvallen sinds halverwege april plaatsvinden. Getroffen klanten zijn inmiddels geïnformeerd en geadviseerd om hun accountinstellingen te controleren en multifactorauthenticatie (MFA) te gebruiken. Ticketmaster heeft de Amerikaanse beurswaakhond ingelicht dat het is getroffen door een inbraak op een 'third-party clouddatabase-omgeving'. Snowflake blijft klanten oproepen om hun beveiligingsmaatregelen te versterken om verdere inbraken te voorkomen. [snowflake, snowflake2, waybackmavhine ;-)]
βοΈTicketmaster meldt datalek in clouddatabase-omgeving
Ticketmaster, een dochteronderneming van Live Nation Entertainment, heeft een groot datalek bevestigd nadat gegevens werden gestolen van een derde partij, vermoedelijk Snowflake. Het incident, ontdekt op 20 mei 2024, betrof ongeautoriseerde toegang tot een cloud database met gegevens van voornamelijk Ticketmaster. Een week later bood een criminele actor de gestolen data te koop aan op het darkweb. Het lek heeft mogelijk de gegevens van meer dan 560 miljoen gebruikers blootgelegd, waaronder namen, adressen, en informatie over kaartverkoop. Live Nation werkt samen met forensische experts en heeft de relevante autoriteiten en gebruikers geïnformeerd. Ondanks de omvang van het lek, verwacht het bedrijf geen materiële impact op haar bedrijfsvoering of financiële situatie. Het lek werd naar verluidt veroorzaakt door gestolen inloggegevens van een Snowflake-medewerker, gebruikt om toegang te krijgen tot klantgegevens. Snowflake heeft aangegeven dat deze aanvallen mogelijk zijn door slecht beveiligde klantaccounts zonder multi-factor authenticatie.
π³π± Storing bij Infomedics door overbelast netwerk
Zorgfacturatiebedrijf Infomedics kampt met problemen door een overbelast netwerk, wat zorgt voor verstoringen in de sms-dienst. Hierdoor kunnen patiënten mogelijk hun zorgrekeningen niet downloaden. Infomedics verzendt namens zorgverleners zoals tandartsen en fysiotherapeuten facturen die via iDEAL betaald kunnen worden. Door de storing is sms-verificatie tijdelijk niet mogelijk, wat al enkele dagen problemen oplevert. Op hun website meldt Infomedics dat ze werken aan een oplossing, maar er is nog geen duidelijkheid over wanneer de storing verholpen zal zijn. Daarnaast is het bedrijf ook indirect getroffen door een eerdere ransomwareaanval op AddComm, een communicatiebedrijf waarvan Infomedics diensten afneemt. Hoewel er geen klantgegevens zijn gelekt, wordt gebruikers geadviseerd alert te blijven op verdachte communicatie.
Amerikaanse cyberagentschap waarschuwt voor misbruik Linux-kwetsbaarheid
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft melding gemaakt van actief misbruik van een kwetsbaarheid in de Linux-kernel. Deze kwetsbaarheid, aangeduid als CVE-2024-1086, stelt aanvallers in staat om via een reeds gecompromitteerd systeem verhoogde rechten te verkrijgen, waardoor ze normale gebruikersrechten kunnen escaleren naar root-toegang. Hoewel deze kwetsbaarheid sinds januari 2024 bekend is en beveiligingsupdates voor verschillende Linux-distributies beschikbaar zijn, verscheen er in maart een proof-of-concept exploit online. CISA benadrukt dat de kwetsbaarheid momenteel actief wordt misbruikt en adviseert Amerikaanse overheidsinstanties om uiterlijk 20 juni de nodige updates te installeren om zich tegen deze aanvallen te beschermen. [cisa]
Toename van aanvallen op OT-systemen bij drinkwaterbedrijven
Microsoft rapporteert een toename van aanvallen op operationele technologie (OT) systemen van drinkwaterbedrijven, die vaak slecht beveiligd zijn. Amerikaanse autoriteiten ontdekten dat meerdere drinkwaterbedrijven gebruik maakten van standaardwachtwoorden zoals '1111', wat het voor aanvallers eenvoudig maakt om binnen te dringen. Microsoft bevestigt dit en benadrukt dat aanvallers op zoek zijn naar via het internet toegankelijke en slecht beveiligde OT-systemen. Uit onderzoek van Microsoft blijkt dat 78 procent van de industriële netwerkapparaten bij klanten bekende kwetsbaarheden bevat. Veel apparaten draaien verouderde firmware of kwetsbare software, en sommige gebruiken zelfs geen wachtwoorden. Microsoft adviseert bedrijven om ervoor te zorgen dat OT-systemen niet direct toegankelijk zijn via het internet, onnodige poorten en services te sluiten, en waar mogelijk remote access te verwijderen. In gevallen waar dit niet haalbaar is, wordt het gebruik van firewalls en VPN’s aanbevolen. [microsoft]
Criminele campagnes via gekraakte Microsoft Office
Cybercriminelen verspreiden malware via gekraakte versies van Microsoft Office, gepromoot op torrentwebsites. Deze malafide software bevat een mix van schadelijke programma's, waaronder remote access trojans (RAT's), cryptomining-software, malware-downloaders, proxytools en anti-antivirusprogramma's. Onderzoekers van het AhnLab Security Intelligence Center (ASEC) hebben deze campagne ontdekt en waarschuwen voor de gevaren van het downloaden van illegale software. De gehackte installatiesoftware heeft een professioneel ogende interface, maar installeert op de achtergrond een versluierde .NET-malware die via Telegram of Mastodon aanvullende componenten downloadt van legitieme diensten zoals Google Drive of GitHub. Dit zorgt ervoor dat antivirusprogramma's deze bestanden vaak niet detecteren. De geïnstalleerde malware omvat onder andere de Orcus RAT, de XMRig cryptominer, de 3Proxy-proxytool, PureCrypter voor verdere infecties, en AntiAV om beveiligingssoftware uit te schakelen. Gebruikers wordt aangeraden voorzichtig te zijn met het downloaden van bestanden uit onbetrouwbare bronnen en om illegale software te vermijden. [asec]
Mysterieuze aanval legt 600.000 routers lam
In 2023 veroorzaakte een malware botnet genaamd 'Pumpkin Eclipse' een grootschalige storing waarbij 600.000 internetrouters in kantoren en thuisomgevingen werden uitgeschakeld. Onderzoekers van Lumen's Black Lotus Labs meldden dat de aanval plaatsvond tussen 25 en 27 oktober en vooral gericht was op één internetprovider in de Midwesten van de Verenigde Staten. De getroffen routers, modellen van ActionTec en Sagemcom, konden niet worden hersteld, waardoor vervanging noodzakelijk was. Hoewel de aanvallers gebruik maakten van de Chalubo-malware om de apparaten permanent onbruikbaar te maken, is het onduidelijk hoe ze toegang kregen, mogelijk door een onbekend beveiligingslek of zwakke wachtwoorden. Deze aanval benadrukt de kwetsbaarheid van netwerkinfrastructuren en de potentiële impact van dergelijke cyberaanvallen op gemeenschappen. [lumen]
Everbridge meldt datalek van bedrijfsgegevens
Everbridge, een Amerikaans softwarebedrijf gespecialiseerd in crisisbeheer en openbare waarschuwingen, heeft klanten geïnformeerd over een recente inbreuk op hun bedrijfsnetwerken. Onbekende aanvallers hebben toegang gekregen tot bestanden met bedrijfs- en gebruikersgegevens. De inbreuk werd ontdekt op 21 mei en werd veroorzaakt door een eerdere phishingaanval op enkele medewerkers van Everbridge. Hoewel er geen aanwijzingen zijn voor een ransomware-aanval, heeft het bedrijf onmiddellijk de relevante autoriteiten op de hoogte gebracht. De aanvallers hadden toegang tot een beperkt aantal bestanden met contactgegevens van beheerders en andere gebruikers, evenals informatie over de diensten waarvoor men zich had ingeschreven. Everbridge werkt samen met experts van Mandiant en Stroz Friedberg om de ernst en impact van de aanval te beoordelen. Als reactie op de toenemende dreiging van phishingaanvallen zal Everbridge vanaf 3 juni multi-factor authenticatie (MFA) verplicht stellen voor alle accounts. Het bedrijf raadt klanten ook aan om Single Sign-On (SSO) te implementeren voor extra beveiliging. [bostonglobe, sec]
Cyberaanval op Argentijnse universiteit door StucxTeam
De hackersgroep StucxTeam heeft de verantwoordelijkheid opgeëist voor een cyberaanval op de Universidad Nacional de Entre Ríos (UNER) in Argentinië. Dit is de eerste bekende operatie van de groep in Argentinië. StucxTeam dreigt met verdere aanvallen op landen die volgens hen Israël steunen. Bij de aanval is gevoelige persoonlijke informatie buitgemaakt, waaronder volledige namen, nationale identificatienummers (DNI), land, huisadressen, e-mailadressen, telefoonnummers, academische titels en universiteitsgegevens. De groep heeft aangegeven dat deze aanval slechts het begin is van een reeks geplande aanvallen op andere landen.
Blackout Ransomware Groep valt MCM Telecom aan
De Blackout Ransomware Groep heeft aangekondigd verantwoordelijk te zijn voor een grote cyberaanval op MCM Telecom, een Mexicaanse B2B-telecommunicatieprovider. De groep beweert dat zij de servers van MCM Telecom hebben versleuteld en hun back-ups hebben verwijderd, waardoor de digitale infrastructuur van het bedrijf ernstig is beschadigd. Daarnaast hebben de aanvallers toegang gekregen tot de hoofdgegevensbank van MCM Telecom, met daarin gevoelige klantinformatie zoals klant-ID's, namen, telefoonnummers, e-mailadressen en fysieke adressen. Ook hebben zij de broncodes van de belangrijkste platforms van MCM Telecom buitgemaakt, welke zij als slecht geconstrueerd omschrijven. Ondanks de ernst van de aanval, heeft het management van MCM Telecom volgens de groep geen enkele bereidheid getoond om te onderhandelen of actie te ondernemen om de data te beveiligen. Als gevolg hiervan dreigt de Blackout Ransomware Groep om een groot deel van de gestolen data openbaar te maken.
Ongeautoriseerde toegang tot Swarovski-beheerportaal te koop aangeboden voor 800€
Een dreigingsactor biedt ongeautoriseerde toegang aan tot het beheerportaal van Swarovski voor 800€. Deze toegang stelt potentiële kopers in staat om alle klantgegevens te bekijken en te extraheren, wat een aanzienlijk beveiligingsrisico vormt voor de klanten van Swarovski. Naast toegang tot klantinformatie, kunnen gebruikers gedetailleerde facturen en klantbestanden inzien, reparatie- en retourorders vinden, aanmaken en volgen. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen en de noodzaak voor bedrijven om hun beveiligingsmaatregelen voortdurend te evalueren en te verbeteren.
Cybercriminelen bieden ongeautoriseerde toegang tot Amerikaanse verzekeringsmaatschappij
Een cybercrimineel biedt ongeautoriseerde toegang tot het Citrix-systeem van een prominente Amerikaanse verzekeringsmaatschappij aan. Dit bedrijf heeft een jaarlijkse omzet van 10 miljard dollar en de crimineel beweert controle te hebben over ongeveer 7.000 domeincomputers binnen het netwerk. De toegang wordt aangeboden voor een startprijs van 25.000 dollar, met biedingen in stappen van 2.500 dollar, en een directe koopprijs van 40.000 dollar. Dit incident benadrukt de dringende noodzaak voor robuuste cybersecuritymaatregelen om gevoelige bedrijfsnetwerken te beschermen tegen dergelijke inbreuken. De verkoop van deze toegang kan leiden tot het blootleggen van vertrouwelijke informatie en verstoring van de bedrijfsvoering, wat de toenemende risico's en geavanceerdheid van cyberdreigingen voor grote ondernemingen illustreert.
Data van du.ae te koop aangeboden op darkweb
Een omvangrijke datalek bij du.ae (Emirates Integrated Telecommunications Company), een toonaangevend telecommunicatiebedrijf in de VAE, is opgedoken op het dark web. De gestolen gegevens, met een totale omvang van 360,09 GB, worden te koop aangeboden voor $3200 USD. De aangeboden dataset bevat gevoelige informatie zoals e-mails van medewerkers, netwerklogboeken en gedetailleerde apparaatgegevens van meer dan 371.610 klanten. Specifieke details omvatten apparaattype, serienummer, MAC-adres, IP-adres, softwareversie en platformtype. Daarnaast bevat het klantinformatie zoals PPPoE-gebruikersnamen, SIP-gebruikersnamen, klant-ID's en activatiegegevens. De verkoper beweert dat dit een eenmalige verkoop is en heeft een uitgebreide lijst van de gegevens opgenomen om de omvang van het lek aan te geven.
Dreiging actor 888 lekt gegevens van shell: 80.000 individuen getroffen
In een zorgwekkende ontwikkeling heeft dreigingsactor 888 naar verluidt gegevens van Shell, de Britse multinationale olie- en gasmaatschappij, gelekt. De uitgelekte database bevat naar schatting 80.000 entries met gevoelige informatie zoals voor- en achternamen, e-mailadressen, telefoonnummers en woonadressen. De gegevens zijn afkomstig uit verschillende landen, waaronder het Verenigd Koninkrijk, Australië, Frankrijk, India, Singapore, de Filipijnen, Nederland, Maleisië en Canada. Dit incident onderstreept de wereldwijde reikwijdte van Shell's operaties en de potentiële impact op individuen in meerdere regio's. De onthulling benadrukt de noodzaak van robuuste cybersecuritymaatregelen voor multinationale ondernemingen zoals Shell om de blootstelling van persoonlijke gegevens te voorkomen.
Gevoelige BSNL gegevens aangeboden voor $80.000
Een cybercrimineel biedt een grote dataset te koop aan die toebehoort aan BSNL, een staatsbedrijf voor telecommunicatie in India. De gelekte gegevens bevatten gevoelige informatie zoals IMSI, SIM-gegevens, HLR (Home Location Register), DP-kaartgegevens, hoofdtoetsen, en meer. Deze inbreuk benadrukt aanzienlijke kwetsbaarheden in de telecomsector en kan miljoenen Indiase gebruikers treffen. De dataset omvat gedetailleerde records en configuraties die cruciaal zijn voor de operaties en klantinformatie van BSNL. De aanvaller vraagt tussen de $80.000 en $150.000 voor de gegevens en dreigt deze te verkopen aan iedereen, inclusief staatsactoren, als de Indiase overheid niet snel actie onderneemt. De gegevens worden te koop aangeboden via Telegram.
Gevoelige gebruikersdata van BreingAir te koop aangeboden op darkweb
Een cybercrimineel beweert gevoelige gegevens van BreingAir, een luchtvaartmaatschappij uit Alaska, te koop aan te bieden. De gestolen data omvat inloggegevens van 28.378 klanten en medewerkers, evenals vier beheerdersaccounts. De wachtwoorden zijn gehashd met de MD5-algoritme. De crimineel heeft niet onthuld welke server of kwetsbaarheid is geëxploiteerd om toegang tot deze gegevens te krijgen en is alleen bereid deze informatie met potentiële kopers te delen na aankoop. De verkoopprijs van de gegevens is onderhandelbaar, waarbij geïnteresseerde partijen privé verdere details kunnen bespreken.
Grootschalige datalek bij AC Propulsion onthult meer dan 29 miljoen gebruikersgegevens
Op 27 mei 2024 heeft een dreigingsactor aangekondigd dat de database van AC Propulsion, Inc., een vooraanstaand ontwikkelaar en fabrikant van elektrische en hybride aandrijfsystemen, is gelekt. Het lek omvat gegevens van 29.637.465 gebruikers. De gelekte informatie bevat een breed scala aan persoonlijke gegevens, waaronder gebruikers-ID's, namen, nationale identificatienummers (CPF), e-mailadressen, telefoonnummers en andere contactdetails. De specifieke velden die zijn gecompromitteerd, omvatten ID, usuario_id, naam, CPF, e-mail, telefoonnummer, mobiel nummer, en diverse andere gegevens. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen op grote bedrijven en de noodzaak voor verbeterde beveiligingsmaatregelen om dergelijke inbreuken te voorkomen.
Nieuwe ransomware bedreiging: SpiderX
Een nieuwe ransomware genaamd SpiderX is opgedoken als opvolger van de beruchte Diablo ransomware. SpiderX bevat alle functies van Diablo, plus extra verbeteringen, en wordt aangeboden voor $150, te betalen in Bitcoin en Monero. SpiderX maakt gebruik van de ChaCha20-256 encryptie, wat aanzienlijk sneller is dan de gangbare AES-256. Het richt zich niet alleen op hoofdgebruikersmappen op de Windows-schijf, maar ook op externe partities, drivers, USB’s en andere aangesloten apparaten, waardoor een breed scala aan gegevens wordt aangetast. Een opvallende eigenschap van SpiderX is dat het offline kan werken en bestanden binnen enkele seconden kan versleutelen zonder internetverbinding. Bovendien bevat het ransomware-payload een aangepaste wallpaper, wat detectie bemoeilijkt. De ransomware is geschreven in C++ voor snellere uitvoering en blijft voortdurend op de achtergrond draaien, waarbij nieuwe bestanden en aangesloten USB-apparaten ook worden geïnfecteerd. Een nieuw kenmerk is de mogelijkheid om gegevens te stelen, comprimeren en naar de aanvaller te verzenden. Deze ontwikkelingen tonen de voortdurende evolutie van ransomware-tactieken en benadrukken de noodzaak van verbeterde beveiligingsmaatregelen.
BBC meldt datalek met impact op huidige en voormalige werknemers
De BBC heeft op 21 mei een datalek gemeld waarbij onbevoegden toegang hebben gekregen tot bestanden op een cloud-gebaseerde dienst. Dit incident heeft de persoonlijke informatie van ongeveer 25.000 leden van het BBC Pension Scheme aangetast, waaronder huidige en voormalige medewerkers. De getroffen gegevens omvatten volledige namen, burgerservicenummers, geboortedata, geslacht en huisadressen. Er is bevestigd dat telefoonnummers, e-mailadressen, bankgegevens, financiële informatie en inloggegevens voor 'myPension Online' niet zijn blootgesteld. Het pensioenportaal zelf blijft veilig te gebruiken. De getroffen personen zullen via e-mail of post worden geïnformeerd, afhankelijk van de beschikbare contactgegevens. De BBC heeft de relevante autoriteiten op de hoogte gebracht en biedt aan betrokkenen advies om alert te blijven op verdachte communicatie. Er is geen bewijs gevonden dat de gestolen gegevens zijn misbruikt. De omroep heeft ook richtlijnen gepubliceerd voor extra beveiligingsmaatregelen, zoals het inschakelen van tweefactorauthenticatie en het activeren van een kredietbewakingsservice. [bbc]
π³π± Eneco waarschuwt klanten voor datalek bij AddComm
Eneco heeft haar klanten gewaarschuwd voor een datalek bij het communicatiebedrijf AddComm. Dit bedrijf, dat op 17 mei werd gehackt, verwerkt papieren post voor een klein deel van Eneco's klanten. Door de hack hebben onbevoegden toegang verkregen tot klantgegevens, hoewel het nog onduidelijk is welke gegevens precies zijn gelekt. Eneco heeft de Autoriteit Persoonsgegevens geïnformeerd en blijft in contact met AddComm over de situatie. Klanten die papieren post ontvangen, wordt aangeraden om waakzaam te zijn en geen persoonlijke informatie te delen zonder verificatie. Naast Eneco hebben ook andere bedrijven zoals Essent en Vattenfall eerder hun klanten gewaarschuwd voor mogelijke datalekken als gevolg van de aanval op AddComm. Het communicatiebedrijf heeft aangegeven afspraken te hebben gemaakt met de criminelen over het verwijderen van de gestolen gegevens. AddComm verwerkt gegevens voor diverse sectoren, waaronder energie, overheidsdiensten, drinkwaterbedrijven en woningverhuurders. [eneco]
Nieuwe macOS-versie van LightSpy-spyware ontdekt
Een macOS-versie van het LightSpy-surveillanceframework is ontdekt, wat de brede reikwijdte bevestigt van een tool die eerder alleen bekend was voor het richten op Android- en iOS-apparaten. LightSpy is een modulair framework dat een breed scala aan gegevens van mobiele apparaten kan stelen, waaronder bestanden, schermafbeeldingen, locatiegegevens, spraakopnames en betalingsinformatie. Volgens een nieuw rapport is de macOS-variant sinds januari 2024 actief, hoewel deze momenteel beperkt lijkt tot testomgevingen. Onderzoekers infiltreerden in het controlepaneel van LightSpy en kregen inzicht in de functionaliteit, infrastructuur en geïnfecteerde apparaten. De malware gebruikt WebKit-fouten om code-uitvoering binnen Safari te starten en zich op macOS-apparaten te vestigen. Na installatie verkrijgt de malware roottoegang en blijft het systeem besmet door zichzelf opnieuw op te starten. De macOS-versie van LightSpy gebruikt verschillende plugins om specifieke acties uit te voeren, zoals het vastleggen van geluid, het maken van foto's, en het beheren van bestanden. Ondanks de nieuwe bevindingen blijven sommige aspecten van LightSpy nog steeds onbekend. [threatfabric]
Cybercriminelen misbruiken Stack Overflow om malware te verspreiden
Cybercriminelen misbruiken Stack Overflow om malware te verspreiden door zich voor te doen als behulpzame gebruikers. Ze beantwoorden vragen en promoten een kwaadaardig PyPi-pakket genaamd 'pytoileur', dat informatie-steelende malware installeert op Windows-systemen. Dit pakket is onderdeel van de eerder bekende 'Cool package'-campagne, die ook vorig jaar Windows-gebruikers targette. De criminelen uploaden het pakket naar de PyPi-repository, bewerend dat het een API-beheer tool is. Deze tactiek, bekend als typo-squatting, gebruikt namen die lijken op populaire pakketten om gebruikers te misleiden. Echter, in dit geval promoten ze het pakket direct op Stack Overflow. Wanneer geïnstalleerd, voert het pakket een verborgen base64-gecodeerd commando uit dat een kwaadaardig uitvoerbaar bestand downloadt. Dit bestand steelt cookies, wachtwoorden, browsergeschiedenis en andere gevoelige gegevens van de gebruiker en stuurt deze terug naar de aanvaller. Deze aanpak benadrukt de noodzaak voor ontwikkelaars om de bron van alle toegevoegde pakketten te verifiëren en de code te controleren op verdachte of verborgen commando's. [bleepingcomputer]
Cooler Master getroffen door datalek waarbij klantgegevens zijn blootgesteld
Cooler Master, een fabrikant van computerhardware, is getroffen door een datalek waarbij persoonlijke informatie van 500.000 Fanzone-leden is gestolen. Een hacker, bekend onder de naam 'Ghostr', beweert op 18 mei 2024, 103 GB aan gegevens te hebben buitgemaakt, waaronder bedrijfs-, verkoop-, garantie- en HR-gegevens van Cooler Master. De gestolen gegevens bevatten namen, adressen, geboortedata, telefoonnummers, e-mailadressen en niet-versleutelde creditcardinformatie van klanten. Deze informatie werd verkregen via een inbreuk op een van de websites van het bedrijf. Ghostr heeft geprobeerd contact op te nemen met Cooler Master om betaling te eisen in ruil voor het niet lekken van de gegevens, maar het bedrijf heeft niet gereageerd. Er is een kleine sample van de gestolen gegevens online gezet, waarin klantondersteuningsverzoeken en RMA-aanvragen te zien zijn, met bijbehorende persoonlijke informatie. Cooler Master heeft nog niet officieel gereageerd op het datalek. [coolermaster]
Okta waarschuwt voor credential stuffing-aanvallen op CORS-functie
Okta, een toonaangevend bedrijf in identiteits- en toegangsbeheer, waarschuwt voor credential stuffing-aanvallen gericht op de CORS-functie (Cross-Origin Resource Sharing) van hun Customer Identity Cloud (CIC). Sinds april 2024 zijn meerdere klanten doelwit geworden van deze aanvallen, waarbij gestolen gebruikersnamen en wachtwoorden uit datalekken worden gebruikt om toegang te krijgen tot accounts. Deze aanvallen richten zich op endpoints die gebruik maken van cross-origin authenticatie. Okta heeft getroffen klanten op de hoogte gebracht en hen voorzien van richtlijnen om hun accounts te beveiligen. Aanbevolen maatregelen zijn onder andere het roteren van gecompromitteerde gebruikersgegevens, het implementeren van sterke wachtwoordbeleid en multi-factor authenticatie, en het uitschakelen van ongebruikte cross-origin authenticatie. Daarnaast adviseert Okta om logbestanden te controleren op verdachte gebeurtenissen zoals 'fcoa' en 'scoa', en bij aanwezigheid hiervan de nodige beveiligingsmaatregelen te nemen. Klanten kunnen bij verdere vragen contact opnemen met Okta's klantenservice. [okta]
π³π± Kadaster lekt geheime adressen van burgers via MijnOverheid
Het Kadaster heeft jarenlang geheime adressen van burgers gelekt, zo meldde demissionair minister De Jonge aan de Tweede Kamer. Dit datalek vond plaats van augustus 2020 tot 12 april 2024 en zorgde ervoor dat geheime adressen voor rechthebbenden zichtbaar waren in MijnOverheid. Via deze portal kunnen burgers informatie opvragen over eigendommen, inclusief de gegevens van mede-eigenaren. Dit betekent dat als twee personen samen eigenaar zijn van een woning, ze elkaars adres konden zien, zelfs als een van hen een geheim adres had. De oorzaak van het datalek werd vorig jaar ontdekt na een melding, waarna bleek dat het probleem veel wijdverspreider was dan aanvankelijk gedacht. Bijna vierduizend personen zijn mogelijk getroffen. Het Kadaster informeert de getroffen personen per brief en heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Sinds 12 april 2024 is de betreffende informatie niet meer zichtbaar via MijnOverheid. [kadaster]
Aanvallers verspreiden besmette PuTTY-versie via LinkedIn
Microsoft heeft een aanval gemeld waarbij een besmette versie van PuTTY, een populaire SSH-client, werd verspreid via LinkedIn, Telegram en freelanceplatforms. Aanvallers gebruikten een zip-bestand met PuTTY, een IP-adres en wachtwoord. Wanneer gebruikers deze gegevens in PuTTY invoerden, werd de malware geactiveerd. Naast PuTTY maakten aanvallers ook gebruik van malafide npm-packages die via dezelfde platforms werden verspreid. Aanvallers deden zich voor als bedrijven en stuurden de malware als onderdeel van technische assessments of projecten zoals cryptospellen. Ook reageerden zij op vacatures bij legitieme bedrijven om toegang te krijgen tot systemen. Volgens Microsoft is een Noord-Koreaanse groep verantwoordelijk voor deze aanvallen, met doelen variërend van spionage tot het genereren van inkomsten. [microsoft]
Grote Russische bezorgdienst stilgelegd door cyberaanval
Een cyberaanval heeft de diensten van CDEK, een van de grootste bezorgbedrijven in Rusland, drie dagen stilgelegd. Het hackercollectief Head Mare beweert verantwoordelijk te zijn voor de aanval, waarbij ze de servers van CDEK versleutelden met ransomware en back-ups vernietigden. Ondanks dat CDEK aanvankelijk sprak van een "grote technische storing", bevestigde een anonieme bron binnen het bedrijf en een Russische overheidsfunctionaris dat het om een cyberaanval ging. Het incident leidde tot de opschorting van pakketverzendingen om fouten bij handmatige verwerking te voorkomen. Klanten klaagden over vertraagde leveringen, terwijl CDEK zijn diensten probeert te herstellen. Head Mare, een relatief onbekende groep, heeft sinds december verschillende Russische bedrijven aangevallen, maar de motieven voor de aanval op CDEK blijven onduidelijk. [therecord]
Ransomware aanval legt systemen van Seattle Public Library plat
De Seattle Public Library is getroffen door een ransomware aanval, waardoor de draadloze netwerken, computers voor personeel en bezoekers, en de gehele online catalogus zijn uitgeschakeld. De aanval begon op zaterdag, ontdekte de bibliotheek tijdens gepland onderhoud in het Memorial Day weekend. Momenteel zijn alle systemen offline en is de politie ingeschakeld. Er is geen indicatie wanneer de systemen weer operationeel zullen zijn. Ondanks de verstoring blijven de bibliotheken open en worden boeken en cd’s handmatig uitgeleend. Dit incident maakt deel uit van een bredere trend waarbij bibliotheken wereldwijd doelwit zijn van ransomware aanvallen, waarbij aanvallers inspelen op de cruciale rol van e-books en andere diensten om losgeld te eisen. Eerdere aanvallen troffen onder andere The British Library en de Toronto Public Library, wat leidde tot langdurige herstelprocessen. Amerikaanse functionarissen hebben voorgesteld een programma op te zetten om data over cyberbeveiliging te verzamelen om bibliotheken beter te kunnen beschermen tegen dergelijke aanvallen. [therecord]
π§πͺ Manuchar slachtoffer van cyberaanval door Hunters
Manuchar, een bedrijf gevestigd in België, is op 28 mei 2024 slachtoffer geworden van een cyberaanval door de cybercriminele groep bekend als Hunters. De aanval werd openbaar gemaakt door de criminelen op het darkweb, waar ze vaak hun activiteiten en gestolen gegevens bekendmaken. Dit incident benadrukt opnieuw de voortdurende dreiging van cybercriminaliteit voor bedrijven wereldwijd.
Center Line scholen (VS) heropenen na ransomware-aanval
Center Line Public Schools in Michigan heropenen op woensdag 29 mei, na een ransomware-aanval die leidde tot een districtbrede sluiting op dinsdag. Superintendent Joseph Haynes meldde dat het IT-team de leidinggevenden van het district laat op zaterdag op de hoogte bracht van de aanval. Als reactie hierop werd het hele systeem op zondag afgesloten om verdere schade te voorkomen. Een extern bedrijf is ingeschakeld om de cyberaanval te evalueren en de veiligheid van de schoolactiviteiten te waarborgen. Ondanks de heropening worden ouders gevraagd om geduld te hebben, aangezien er nog enkele technische uitdagingen kunnen zijn. De sluiting was een voorzorgsmaatregel, aangezien vrijwel alle schoolfuncties, van voedselvoorziening tot onderwijsssoftware, afhankelijk zijn van computersystemen. De inspanningen van het technologie- en personeelsteam hebben ervoor gezorgd dat de meeste diensten weer operationeel zijn. [clickondetroit]
Cyberaanval treft First American Financial Corporation
First American Financial Corporation, de op één na grootste verzekeringsmaatschappij voor eigendomsaktes in de Verenigde Staten, heeft bekendgemaakt dat een cyberaanval in december heeft geleid tot een datalek waarbij de gegevens van 44.000 personen zijn blootgesteld. Dit bedrijf, opgericht in 1889 en gevestigd in Californië, biedt financiële en afwikkelingsdiensten voor vastgoedtransacties. Op 21 december moest First American enkele systemen offline halen om de impact van de aanval te beperken. Vijf maanden later, op 28 mei, onthulde het bedrijf in een SEC-aanmelding dat aanvallers toegang hadden verkregen tot gevoelige gegevens. First American zal de betrokken personen informeren en hen gratis kredietbewakings- en identiteitsbeschermingsdiensten aanbieden. Interessant is dat deze aanval plaatsvond een maand nadat het bedrijf een boete van $1 miljoen had betaald aan de staat New York wegens een eerdere datalek in 2019. Dit benadrukt de voortdurende uitdagingen op het gebied van cybersecurity waarmee financiële instellingen te maken hebben. [sec]
Meer dan 90 kwaadaardige Android-apps ontdekt op Google Play
In een recent onderzoek zijn meer dan 90 kwaadaardige Android-apps ontdekt die via Google Play in totaal 5,5 miljoen keer zijn gedownload. Deze apps bevatten malware en adware, met een aanzienlijke toename van de Anatsa banking trojan. Anatsa, ook bekend als "Teabot", richt zich op meer dan 650 financiële instellingen wereldwijd en probeert e-bankinggegevens te stelen. Sinds eind 2023 heeft Anatsa minstens 150.000 infecties veroorzaakt via Google Play, verspreid via schijn-apps zoals productiviteitssoftware. Recent zijn 'PDF Reader & File Manager' en 'QR Reader & File Manager' geïdentificeerd als dragers van Anatsa, met samen 70.000 downloads. Deze dropper-apps omzeilen detectie door een meerstaps-payloadmechanisme. Bovendien zijn de afgelopen maanden meer dan 90 kwaadaardige apps ontdekt, die zich voordeden als hulpmiddelen, personalisatie-apps en gezondheidsapps. Hoewel Anatsa en Coper slechts 3% van de kwaadaardige downloads vertegenwoordigen, vormen ze een aanzienlijk risico vanwege hun capaciteiten voor fraude en gegevensdiefstal. [zscaler]
Microsoft koppelt Noord-Koreaanse hackers aan FakePenny-ransomware
Microsoft heeft een Noord-Koreaanse hackersgroep, genaamd Moonstone Sleet, geïdentificeerd als verantwoordelijk voor de FakePenny-ransomwareaanvallen. Deze aanvallen hebben geleid tot miljoenen dollars aan losgeldverzoeken. Moonstone Sleet, eerder bekend als Storm-17, richt zich op zowel financiële als cyberspionagedoelen. De groep maakt gebruik van trojanized software, malafide games en aangepaste malwareloaders om slachtoffers te misleiden. Moonstone Sleet heeft zich snel aangepast en maakt nu gebruik van eigen infrastructuur en tools. Hun aanvallen vertonen sterke overeenkomsten met die van een andere Noord-Koreaanse groep, Diamond Sleet, maar hebben een unieke aanpak ontwikkeld. In april werd een nieuwe variant van de FakePenny-ransomware ingezet, waarbij de aanvallers een losgeld van $6,6 miljoen in Bitcoin eisten. Microsoft concludeert dat de hoofdmotivatie van Moonstone Sleet financiële winst is. Deze groep heeft diverse sectoren aangevallen, waaronder software en informatietechnologie, onderwijs en defensie. De toevoeging van ransomware aan hun strategie wijst op een uitbreiding van hun capaciteiten voor verstorende operaties. [microsoft]
Brits veilinghuis Christie's bevestigt diefstal klantdata bij ransomware-aanval
Het Britse veilinghuis Christie's heeft bevestigd dat criminelen persoonlijke gegevens van klanten hebben gestolen na een ransomware-aanval. De ransomwaregroep 'RansomHub' claimde de aanval en maakte bekend dat twee gigabyte aan data buit is gemaakt. Een deel van de gegevens is al openbaar gemaakt en de groep dreigt met meer openbaarmaking. Christie's geeft aan dat een derde partij ongeautoriseerde toegang heeft gehad tot hun netwerk en een beperkte hoeveelheid persoonlijke klantdata heeft gestolen. Er is geen bewijs dat financiële of transactiegegevens zijn gecompromitteerd. Het veilinghuis informeert momenteel privacytoezichthouders, overheidsagentschappen en de getroffen klanten. Verdere details over de aanval, zoals de methode van toegang en het aantal getroffen klanten, zijn niet vrijgegeven.
Gestolen privédata mediSecure te koop op darkweb
De Australische gezondheidsorganisatie MediSecure heeft bekendgemaakt dat aanvallers persoonlijke gegevens en gezondheidsinformatie hebben gestolen en nu te koop aanbieden op het darkweb. MediSecure was tot eind vorig jaar een van de twee partijen die recepten van dokters naar apothekers stuurde. Op 16 mei meldde MediSecure een 'cybersecurity-incident' en twee dagen later de diefstal van persoonlijke gegevens. In een recente update bevestigde de organisatie dat de gestolen data op een darkwebforum is geplaatst. De Australische bevolking wordt gewaarschuwd om niet naar de data te zoeken, aangezien dit verdere aanvallen zou kunnen aanmoedigen. De Australische National Cyber Security Coordinator is op de hoogte van het incident en zowel de Australische politie als de inlichtingendienst zijn bij het onderzoek betrokken. De overheid heeft een speciale pagina over het incident gelanceerd. [ncscau]
Cyberaanval op diensten in Dammartin-en-Goële (FRA)
De gemeente Dammartin-en-Goële in Seine-et-Marne werd op zondag 26 mei getroffen door een grote cyberaanval. Volgens een verklaring van de gemeente hebben Russischtalige hackers toegang gekregen tot de servers, ondanks bestaande beveiligingsmaatregelen. Als gevolg hiervan zijn talloze bestanden en mappen geïnfecteerd met kwaadaardige software, wat heeft geleid tot verstoringen in verschillende gemeentelijke diensten. Deze diensten werken momenteel in een verlaagde modus. De gemeente heeft geen duidelijk beeld van de volledige impact op het netwerk en de data, en het onderzoek is nog gaande. Het IT-team van de gemeente werkt samen met de cybercrime-eenheid van de gendarmerie aan het onderzoek. Ondertussen worden er schoonmaak- en herstelwerkzaamheden uitgevoerd om de systemen zo snel mogelijk weer normaal te laten functioneren. De gemeente biedt haar excuses aan voor de overlast die deze situatie veroorzaakt. [bfm]
π³π±Dunea informeert klanten over ransomware-aanval bij AddComm
Drinkwaterbedrijf Dunea, dat bijna 1,4 miljoen mensen in West-Nederland van drinkwater voorziet, heeft klanten geïnformeerd over een ransomware-aanval op leverancier AddComm. Criminelen hebben systemen van AddComm geïnfecteerd en klantgegevens gestolen. AddComm, dat belastingaanslagen, rekeningen en aanmaningen verstuurt voor diverse partijen, heeft een overeenkomst bereikt met de criminelen om de gestolen gegevens te verwijderen. Dunea benadrukt dat zij via AddComm alleen papieren post versturen en geen e-mails. Het bedrijf heeft de dienstverlening met AddComm tijdelijk stopgezet om de privacy van klanten te beschermen, wat heeft geleid tot vertraging in de postbezorging. Daarnaast heeft Dunea een melding gedaan bij de Autoriteit Persoonsgegevens. Andere organisaties, waaronder ABN Amro en Waterbedrijf Groningen, hebben eveneens hun klanten gewaarschuwd voor mogelijke datalekken als gevolg van deze aanval. [dunea]
π³π± AddComm maakt afspraak met criminelen om gestolen klantdata te verwijderen
AddComm, een bedrijf gespecialiseerd in klantcommunicatie, heeft aangekondigd afspraken te hebben gemaakt met de daders van een recente ransomware-aanval. Deze aanval leidde tot de diefstal van klantgegevens van een beperkte groep. AddComm verstuurt onder andere belastingaanslagen en rekeningen namens zestig gemeenten en commerciële partijen. Ondanks het principe om niet toe te geven aan afpersing, heeft AddComm, onder begeleiding van externe cybersecurity-experts, besloten om met de cybercriminelen te onderhandelen om de gestolen data te laten verwijderen en niet te publiceren. Het bedrijf benadrukt dat dit besluit is genomen om de schade voor hun klanten zoveel mogelijk te beperken. Details over de afspraken, zoals het al dan niet betalen van losgeld, zijn niet bekendgemaakt. Getroffen klanten zijn persoonlijk op de hoogte gebracht en relevante klanten ontvangen aanvullende informatie via e-mail. Verschillende bedrijven die met AddComm samenwerken, hebben hun klanten gewaarschuwd voor mogelijke datalekken als gevolg van de aanval. [addcomm]
Aanvallers creëren rogue virtuele machines bij MITRE
Aanvallers hebben succesvol ingebroken in de systemen van MITRE, een organisatie die bekend is voor het CVE-systeem en de MITRE ATT&CK Matrix. De aanval vond eerder dit jaar plaats via onbekende kwetsbaarheden in de Ivanti VPN-servers van MITRE. De aanvallers wisten toegang te krijgen tot het Networked Experimentation, Research, and Virtualization Environment (NERVE), een netwerk gebruikt voor onderzoek en ontwikkeling. Met een gecompromitteerd admin-account konden de aanvallers de VMware-infrastructuur van de NERVE-omgeving binnendringen en daar rogue virtuele machines creëren. Deze machines werden direct via service-accounts op de hypervisor aangemaakt en verschenen daardoor niet in de standaard beheertools zoals vCenter. Hierdoor konden de aanvallers onopgemerkt blijven en controle over het systeem behouden. MITRE benadrukt dat het detecteren van deze rogue VM's speciale tools en technieken vereist en heeft enkele methoden en een PowerShell-script voor detectie gedeeld. [medium]
Hackers richten zich op Check Point VPN's om bedrijfsnetwerken binnen te dringen
Hackers zijn momenteel gericht op Check Point Remote Access VPN-apparaten in een lopende campagne om bedrijfsnetwerken te infiltreren. Check Point heeft gewaarschuwd dat aanvallers beveiligingsgateways aanvallen die verouderde lokale accounts gebruiken met alleen wachtwoordauthenticatie. Deze methode is onveilig en zou samen met certificaatauthenticatie moeten worden gebruikt om inbreuken te voorkomen. De aanvallen zijn wereldwijd waargenomen en benadrukken een trend van gerichte pogingen om toegang te krijgen tot VPN's van Check Point-klanten. Om deze aanvallen tegen te gaan, adviseert Check Point klanten om kwetsbare accounts te controleren op Quantum Security Gateway, CloudGuard Network Security producten, en op Mobile Access en Remote Access VPN software blades. Klanten wordt geadviseerd de gebruikersauthenticatiemethode te veranderen naar veiligere opties of kwetsbare lokale accounts te verwijderen. Daarnaast heeft het bedrijf een Security Gateway-hotfix uitgebracht die alle lokale accounts met alleen wachtwoordauthenticatie blokkeert. [checkpoint]
Sav-Rx onthult datalek waarbij 2,8 miljoen Amerikanen zijn getroffen
Sav-Rx, een bedrijf dat zich bezighoudt met receptbeheer, heeft een datalek bekendgemaakt dat de persoonlijke gegevens van meer dan 2,8 miljoen Amerikanen heeft blootgelegd. Dit incident vond plaats in oktober 2023. De gegevens die zijn gestolen, omvatten volledige namen, geboortedata, burgerservicenummers, e-mailadressen, fysieke adressen, telefoonnummers, gegevens over geschiktheid en verzekeringsidentificatienummers. Sav-Rx merkte op 8 oktober 2023 een verstoring van hun computernetwerk op en nam onmiddellijk maatregelen om hun systemen te beveiligen, waarbij externe cybersecurity-experts werden ingeschakeld. Hoewel de systemen de volgende werkdag waren hersteld, duurde het bijna acht maanden om te onderzoeken of persoonlijke gegevens waren gestolen. De onderzoeken werden afgerond op 30 april 2024. In reactie op dit incident heeft Sav-Rx verschillende beveiligingsmaatregelen geïmplementeerd, zoals de oprichting van een 24/7 security operations center en multi-factor authenticatie. Ondanks dat er geen bewijs is dat de gestolen gegevens zijn misbruikt, wordt getroffen personen aangeraden hun kredietrapporten nauwlettend in de gaten te houden en zich in te schrijven voor kredietbewakings- en identiteitsdiefstalbeschermingsdiensten die door Sav-Rx worden aangeboden. [maine, pdf]
Grootschalige gegevenslek bij Live Nation en Ticketmaster: gegevens van 560 miljoen gebruikers te koop op het darkweb
Een grote dataset met persoonlijke informatie van 560 miljoen gebruikers van Live Nation en Ticketmaster is te koop aangeboden op het darkweb. Deze gegevens, in totaal 1,3 terabyte, omvatten gevoelige klantgegevens en financiële informatie. De gegevens zouden volledige klantgegevens bevatten, zoals namen, adressen, e-mailadressen en telefoonnummers, evenals ticketverkoopinformatie, evenementgegevens en orderdetails. Er wordt ook beweerd dat de dataset gedeeltelijke creditcardgegevens bevat, waaronder de laatste vier cijfers van de kaartnummers en hun vervaldatums, en details over fraudegevallen. Live Nation en Ticketmaster hebben deze aantijgingen nog niet bevestigd en er is geen officiële verklaring afgegeven over een mogelijke inbreuk op hun databases. Live Nation Entertainment, ontstaan uit de fusie van Live Nation en Ticketmaster in 2010, is een wereldleider in live-entertainment en organiseert jaarlijks meer dan 40.000 shows in meer dan 40 landen. Ticketmaster is een van 's werelds grootste kaartverkoop- en distributiebedrijven en biedt diensten aan voor diverse live-evenementen.
Database van Astagiudiziaria.com gelekt door dreigingsacteur Chucky
Een dreigingsacteur, bekend als Chucky, heeft de verantwoordelijkheid opgeëist voor het lekken van een database van Astagiudiziaria.com. Deze gelekte database bevat maar liefst 10 miljoen rijen aan gevoelige informatie, waaronder namen, adressen, e-mails, geboortedata en meer. Het formaat van de gelekte gegevens is in .SQL en de inbreuk dateert van 2024. De gegevensstructuur omvat diverse velden zoals ID, type persoon, fiscaal nummer, adres, telefoonnummer en documentinformatie. Dit omvangrijke datalek roept ernstige zorgen op over gegevensprivacy en -beveiliging, waarbij de betrokken individuen mogelijk blootgesteld worden aan risico's zoals identiteitsdiefstal, phishing-aanvallen en spam. De omvang en de gedetailleerdheid van de gelekte informatie benadrukken de noodzaak voor verbeterde beveiligingsmaatregelen bij organisaties om dergelijke incidenten te voorkomen.
βοΈZero-day-exploit voor Pulse Connect Secure VPN te koop
Een dreigingsactor beweert een Remote Code Execution (RCE) zero-day-exploit voor Pulse Connect Secure VPN te koop aan te bieden. De exploit zou zijn getest op 2.685 IP-adressen, waarvan er 2.102 kwetsbaar bleken te zijn. Deze ernstige kwetsbaarheid vormt een potentieel risico voor veel organisaties die afhankelijk zijn van Pulse Connect Secure VPN voor veilige externe toegang. De verkoper accepteert betalingen in Monero (XMR) en Bitcoin (BTC). Dit benadrukt de voortdurende risico's van zero-day-kwetsbaarheden en het belang van up-to-date beveiligingsmaatregelen. Organisaties die gebruikmaken van Pulse Connect Secure VPN worden geadviseerd hun beveiliging te herzien en beschikbare patches of maatregelen direct toe te passen.
Exploit voor WordPress admin authenticatie bypass te koop voor $50.000
Een cybercrimineel heeft aangekondigd een nieuw exploit te verkopen waarmee de admin authenticatie van WordPress kan worden omzeild. Dit exploit, geprijsd op $50.000, is naar verluidt effectief tegen specifieke versies van WordPress, namelijk 6.3 “Lionel” tot 6.5.3. Indien het exploit echt is, vormt het een aanzienlijk risico voor websites die deze versies draaien, omdat het onbevoegde gebruikers volledige toegang tot de administratieve functies en gevoelige gegevens kan verschaffen. Website-eigenaren en beheerders wordt geadviseerd hun beveiligingspraktijken te herzien, zoals het gebruik van sterke wachtwoorden en multi-factor authenticatie. Daarnaast wordt geadviseerd alert te blijven op officiële updates of patches van WordPress die deze kwetsbaarheid mogelijk aanpakken en extra beveiligingsmaatregelen te implementeren, zoals beveiligingsplugins en -diensten om ongebruikelijke activiteiten te monitoren. Deze dreiging benadrukt de voortdurende uitdagingen in het handhaven van websitebeveiliging en onderstreept het belang van proactieve beveiligingspraktijken om tegen opkomende dreigingen te beschermen.
π§πͺ Cybercriminelen 8BASE treffen Belgisch architectenbureau
Op 27 mei 2024 hebben cybercriminelen van de groep 8BASE bekendgemaakt dat ze het Belgische architectenbureau LEJEUNE GIOVANELLI hebben getroffen. Dit incident onderstreept wederom de voortdurende dreiging van cyberaanvallen voor bedrijven in alle sectoren. Het is cruciaal voor organisaties om hun cyberbeveiligingsmaatregelen te versterken om dergelijke aanvallen te voorkomen en te reageren op potentiële datalekken.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Week overzicht slachtoffers
Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb β |
---|---|---|---|---|
smithandcaugheys.co.nz | LockBit | New Zealand | Merchandise Stores | 3-jun-24 |
Wealth Depot LLC | Everest | USA | Accounting Services | 1-jun-24 |
Ayoub & associates CPA Firm | Everest | USA | Accounting Services | 1-jun-24 |
powertestdyno.com | LockBit | USA | Machinery, Computer Equipment | 1-jun-24 |
espackeuro.com | Cactus | Spain | Transportation Services | 31-mei-24 |
dollmar.com | Cactus | Italy | Chemical Producers | 31-mei-24 |
familyguardian.com | Cactus | Bahamas | Insurance Carriers | 31-mei-24 |
biremote.net | DragonForce | Puerto Rico | Business Services | 31-mei-24 |
New Hampshire Public Radio | Akira | USA | Communications | 31-mei-24 |
TriLiteral | Akira | USA | Wholesale Trade-non-durable Goods | 31-mei-24 |
keytronic.com | Black Basta | USA | Electronic, Electrical Equipment, Components | 31-mei-24 |
Above All Store Fronts | Qilin | In progress | In progress | 31-mei-24 |
PFAM | Qilin | In progress | In progress | 31-mei-24 |
UNICRED.COM.AR | CL0P | Argentina | Security And Commodity Brokers, Dealers, Exchanges, And Services | 31-mei-24 |
aytosanlorenzo.es | LockBit | Spain | General Government | 30-mei-24 |
strikeusa.com | LockBit | USA | Construction | 30-mei-24 |
www.indigoent.ca | Qiulong | Canada | Health Services | 30-mei-24 |
Excel Security Corp. | Akira | USA | Management Services | 30-mei-24 |
DreamWall | Akira | Belgium | Miscellaneous Services | 30-mei-24 |
Faultless Brands | Akira | USA | Electronic, Electrical Equipment, Components | 30-mei-24 |
MagicLand | Akira | Italy | Amusement And Recreation Services | 30-mei-24 |
Elmhurst Group | PLAY | USA | Real Estate | 29-mei-24 |
Credit Central | PLAY | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 29-mei-24 |
WALSER AUTOMOTIVE GROUP | PLAY | USA | Automotive Dealers | 29-mei-24 |
FPL Food | PLAY | USA | Food Products | 29-mei-24 |
Ntv | PLAY | Canada | Communications | 29-mei-24 |
heras.co.uk | LockBit | United Kingdom | Miscellaneous Manufacturing Industries | 29-mei-24 |
I.L.A. Local 1964 | DragonForce | USA | Insurance Carriers | 29-mei-24 |
Western Dovetail | Akira | USA | Furniture | 29-mei-24 |
Manuchar | Hunters International | Belgium | Transportation Services | 28-mei-24 |
Arrabawn Co-op | Hunters International | Ireland | Food Products | 28-mei-24 |
Aircod.com | Red Ransomware | USA | IT Services | 28-mei-24 |
Airviewx.com | Red Ransomware | USA | IT Services | 28-mei-24 |
Avelina | Akira | USA | Food Products | 28-mei-24 |
GRANVILLE FOOD CARE LIMITED | Akira | United Kingdom | Transportation Services | 28-mei-24 |
OTR | Akira | USA | Transportation Services | 28-mei-24 |
Brett Slater Solicitors | Akira | Australia | Legal Services | 28-mei-24 |
Het | PLAY | Belgium | Construction | 28-mei-24 |
S L B TRANSIT INC | 8BASE | Canada | Passenger Transportation | 27-mei-24 |
Natsume Tax Accountant Corporation | 8BASE | Japan | Accounting Services | 27-mei-24 |
alliedtelesis.com | LockBit | Japan | Communications | 27-mei-24 |
The Kelly Group | 8BASE | USA | Construction | 27-mei-24 |
Osaka Motorcycle Business Cooperative | 8BASE | Japan | Membership Organizations | 27-mei-24 |
Matusima | 8BASE | Japan | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 27-mei-24 |
Shirasaki | 8BASE | Japan | Miscellaneous Manufacturing Industries | 27-mei-24 |
Architecture LEJEUNE GIOVANELLI | 8BASE | Belgium | Construction | 27-mei-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|
DreamWall | Akira | Belgium | Miscellaneous Services | 30-mei-24 |
Het *** | PLAY | Belgium | Construction | 28-mei-24 |
Manuchar | hunters | Belgium | Transportation Services | 28-mei-2024 |
Architecture LEJEUNE GIOVANELLI | 8BASE | Belgium | Construction | 27-mei-2024 |
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | 13.707 |
NU: 03-06-2024 | 14.181 |
01-05-2025 | ? |
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language