CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN
Cyberaanvallen in Nederland en België: Onzichtbare bedreigingen voor cruciale infrastructuur
De afgelopen week hebben verschillende cyberaanvallen in Nederland en België voor opschudding gezorgd. Een opvallend voorbeeld is de aanval op het subsidieaanvraagplatform ISAAC van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Dit platform speelt een essentiële rol in het faciliteren van wetenschappelijke subsidies, en de tijdelijke sluiting ervan heeft de kwetsbaarheid van dergelijke kritieke systemen blootgelegd. Hoewel NWO heeft gemeld dat er geen schade of datadiefstal is opgetreden, onderstreept de aanval de voortdurende dreiging voor belangrijke digitale infrastructuren. Dit soort aanvallen kan verstrekkende gevolgen hebben, vooral wanneer het vertrouwen van wetenschappelijke instellingen en onderzoekers op het spel staat.
Een ander zorgwekkend incident vond plaats in de Veluwe, waar een man slachtoffer werd van boilerroomfraude, een vorm van beleggingsfraude. De man verloor tienduizenden euro’s nadat hij werd misleid door oplichters die hem hoge rendementen beloofden. Dit soort fraude toont aan hoe cybercriminelen zich steeds vaker richten op individuele slachtoffers, met gebruik van geavanceerde technieken om vertrouwen te winnen en slachtoffers over te halen om grote sommen geld te investeren. Het onderzoek naar deze zaak loopt nog, maar de complexiteit en internationale aard van de fraude maken het opsporen van de daders bijzonder lastig.
Wereldwijde dreigingen: Van browserkwetsbaarheden tot ransomware-aanvallen
Op wereldschaal blijven cyberdreigingen zich ontwikkelen en nieuwe vormen aannemen. Google bracht deze week een belangrijke beveiligingsupdate uit voor Chrome om een actief misbruikte kwetsbaarheid in de JavaScript-engine V8 aan te pakken. Dit incident is al de zesde keer dit jaar dat Google een update moest uitbrengen vanwege een actief aangevallen kwetsbaarheid. Dit onderstreept de dringende noodzaak voor gebruikers om hun systemen voortdurend up-to-date te houden om te voorkomen dat gevoelige informatie wordt gestolen of gewijzigd.
Naast kwetsbaarheden in software, zien we ook een toenemend gebruik van kritieke kwetsbaarheden in hardware, zoals in de IP-camera's van Dahua. Ondanks dat updates al geruime tijd beschikbaar zijn, blijven veel apparaten kwetsbaar, wat aanvallers de mogelijkheid geeft om op afstand toegang te krijgen tot deze apparaten. Dit soort kwetsbaarheden vormt een groot risico voor zowel individuele gebruikers als organisaties, vooral wanneer deze niet tijdig worden gepatcht.
Datalekken: gevolgen van onvoldoende beveiliging bij bedrijfspartners
De impact van datalekken is deze week opnieuw duidelijk geworden door een incident bij Iyuno, een productiepartner van Netflix. Door een beveiligingsinbreuk zijn ongepubliceerde afleveringen van verschillende populaire shows gelekt. Dit soort incidenten toont aan hoe kwetsbaar zelfs de grootste bedrijven kunnen zijn wanneer hun partners onvoldoende beveiligingsmaatregelen treffen. De gelekte content is inmiddels verspreid op verschillende platforms, wat niet alleen een financiële impact heeft, maar ook reputatieschade voor de betrokken bedrijven met zich meebrengt.
Dit is niet het enige voorbeeld van hoe kwetsbaarheden bij derden grote gevolgen kunnen hebben. In de Verenigde Staten kreeg een telecombedrijf, Lingo Telecom, een boete van $1 miljoen voor zijn rol in een deepfake-oplichterij. Het incident waarbij AI-gegenereerde nep-audio van president Joe Biden werd gebruikt, toont aan hoe cybercriminelen steeds innovatiever worden in hun methoden om chaos te zaaien en vertrouwen te ondermijnen.
Darkweb en nieuwe dreigingen: Exploits en malware in opkomst
De dreiging vanuit het darkweb blijft onverminderd groot, met nieuwe exploits en malware die dagelijks worden aangeboden. Een recent voorbeeld is de verkoop van een 0-day Local Privilege Escalation (LPE) exploit voor Windows, die kan worden gebruikt om verhoogde rechten te verkrijgen op getroffen systemen. De verkoop van deze exploit benadrukt de voortdurende vraag naar zero-day kwetsbaarheden op de zwarte markt, en de risico’s die hieruit voortvloeien voor organisaties wereldwijd.
Daarnaast zien we een toename in nieuwe vormen van malware, zoals de "Cthulhu Stealer", die specifiek gericht is op macOS-gebruikers. Deze malware biedt een scala aan schadelijke functies en benadrukt de noodzaak voor gebruikers om alleen software van vertrouwde bronnen te downloaden. Ook de nieuwe Amnesia malware, die gericht is op gegevensdiefstal en cryptomining, toont aan hoe geavanceerd de tools van cybercriminelen worden. Deze ontwikkelingen vormen een grote uitdaging voor zowel individuele gebruikers als organisaties om hun systemen en gegevens effectief te beschermen.
Begrippenlijst: Sleutelwoorden uitgelegd
- Boilerroomfraude: Een vorm van oplichting waarbij slachtoffers worden overgehaald om te investeren in niet-bestaande of waardeloze aandelen, vaak met de belofte van hoge rendementen.
- Cryptojacking: Het ongeautoriseerd gebruiken van iemands computer om cryptocurrency te minen, wat kan leiden tot verminderde prestaties en hogere energiekosten.
- 0-day Exploit: Een kwetsbaarheid in software die wordt misbruikt voordat de ontwikkelaar er kennis van heeft en een patch kan uitbrengen.
- LPE (Local Privilege Escalation): Een aanval waarbij een gebruiker meer rechten krijgt dan oorspronkelijk bedoeld, wat hen toegang geeft tot gevoelige informatie of functies binnen een systeem.
- Ransomware: Schadelijke software die toegang tot een systeem blokkeert of bestanden versleutelt, waarna losgeld wordt geëist om de toegang te herstellen.
Hieronder vind je een compleet dag-tot-dag overzicht
USA: RHYSIDA Ransomware treft Craig's Affordable Tools
Craig's Affordable Tools, een bedrijf in de automotive sector, is getroffen door de RHYSIDA ransomware. De hackersgroep beweert dat zij gevoelige bedrijfsgegevens hebben buitgemaakt en dreigen deze binnen 6-7 dagen openbaar te maken.
ZAF: KillSec Ransomware treft OneDayOnly
OneDayOnly, een populair online winkelplatform in Zuid-Afrika, is het slachtoffer geworden van een KillSec-ransomwareaanval. De cybercriminelen dreigen de gestolen gegevens binnen 7-8 dagen openbaar te maken. Het incident benadrukt de toenemende dreiging van ransomware-aanvallen in de e-commercesector.
SLV: Gegevenslek bij Leal.co, gelinkt aan Texaco El Salvador
Op 25 augustus 2024 claimde een dreigingsactor verantwoordelijk te zijn voor een datalek bij Leal.co, een bedrijf dat verbonden is met Texaco El Salvador. Het lek zou meer dan 1,42 miljoen transactierecords en 185.000 klantbeoordelingen hebben blootgesteld. De gelekte gegevens omvatten klantnamen, identificatienummers, transactiedata, beoordelingen en opmerkingen. De datastructuur van het lek bevatte velden zoals "vestiging", "naam", "ID", "beoordeling", "transactiedatum", en "opmerkingen". Deze informatie kan mogelijk worden misbruikt door kwaadwillenden. Het incident vond naar verluidt plaats in augustus 2024.
TUR: Dreigingsactor verkoopt toegang tot Turks defensie- en ruimtevaartbedrijf
Een dreigingsactor biedt op het darkweb shell-toegang aan tot een Turks defensie- en ruimtevaartbedrijf voor $20.000. Dit kan ernstige implicaties hebben voor de nationale veiligheid en gevoelige bedrijfsinformatie van het betrokken bedrijf. De verkoop van dergelijke toegangspunten op het darkweb wijst op een toenemende dreiging voor bedrijven in de defensie- en ruimtevaartsector.
UK: University and College Union getroffen door INC RANSOM ransomware
De University and College Union (UCU) in het Verenigd Koninkrijk is slachtoffer geworden van een ransomware-aanval uitgevoerd door de groep INC RANSOM. Deze groep beweert toegang te hebben tot de gegevens van de organisatie en heeft schermafbeeldingen van gestolen data op hun Dark Web-portaal geplaatst.
AUS/FRA: Qilin Ransomware Groep voegt Meli en DT Group toe als slachtoffers
De Qilin Ransomware-groep heeft onlangs twee nieuwe slachtoffers aan hun darkweb-portaal toegevoegd: het Australische bedrijf Meli en het Franse DT Group. Beide bedrijven zijn getroffen door een ransomware-aanval, waarbij gevoelige gegevens mogelijk zijn buitgemaakt en openbaar gemaakt. Deze aanvallen onderstrepen de voortdurende dreiging die ransomware-groepen vormen voor bedrijven wereldwijd.
MYS: Ransomware-aanval op Prasarana Malaysia Berhad
Prasarana Malaysia Berhad, een bedrijf in de transport- en logistieke sector, is getroffen door een RansomHub ransomware-aanval. De hackersgroep beweert 316 GB aan gegevens van het bedrijf te hebben gestolen en dreigt deze binnen 6-7 dagen openbaar te maken.
"FreeDurov" Cyber Hacktivisten voeren aanvallen uit na arrestatie van Telegram CEO
Na de arrestatie van Pavel Durov, de CEO van Telegram, door de Franse autoriteiten, is de "FreeDurov" campagne gestart door verschillende cyber hacktivistische groepen. Onder andere UserSec en het Russische Cyber Army Team zijn betrokken. Het Russische Cyber Army Team heeft zich gericht op het Franse Nationaal Agentschap voor de Veiligheid van Geneesmiddelen en Gezondheidsproducten (ANSM). Daarnaast wordt RipperSec in verband gebracht met een mogelijke aanval op Pricebank. Deze groepen lijken de "FreeDurov" beweging te steunen als onderdeel van een breder streven om staatsautoriteiten uit te dagen en figuren zoals Durov, die worden gezien als symbolen van digitale vrijheid, te ondersteunen.
UserSec claimt Frankrijk te viseren
De cybergroep UserSec heeft onlangs in een bericht aangekondigd dat ze zich specifiek richten op Frankrijk. Dit duidt op een geplande cyberaanval of reeks aanvallen die mogelijk gericht zijn op kritieke infrastructuur of andere belangrijke sectoren binnen het land. De situatie vereist aandacht van zowel de overheid als bedrijven in Frankrijk om potentiële risico's te beperken. UserSec is bekend om zijn gerichte aanvallen, wat de dreiging des te ernstiger maakt.
USA: Kill Security Ransomware treft Autonomous
Autonomous, een bedrijf in de meubelindustrie, is slachtoffer geworden van een ransomware-aanval door de groep Kill Security. De cybercriminelen beweren dat ze gegevens van het bedrijf hebben bemachtigd en dreigen deze binnen de komende 7-8 dagen openbaar te maken.
IND: Dreigingsactor biedt gegevens van 107 miljoen gebruikers van DPR RI te koop aan
Op 24 augustus 2024 meldde een dreigingsactor dat hij een grote database te koop aanbiedt, vermoedelijk afkomstig van het Indonesische Huis van Afgevaardigden (DPR RI). De database bevat gevoelige gegevens van 107 miljoen gebruikers, met records die teruggaan tot augustus 2023. Belangrijke gegevens in de database omvatten identiteitskaartnummers en persoonlijke transactie-informatie. De verkoper vraagt $100.000 voor de volledige database en biedt escrow-diensten aan om veilige transacties te garanderen. Potentiële kopers worden gewaarschuwd voor nepverkopers die zich op platforms zoals Telegram voordoen als de rechtmatige eigenaren van de database. Geïnteresseerde partijen worden doorverwezen naar een specifiek forum voor aankoopinstructies.
USA/GTM/CAN: LYNX ransomware groep voegt nieuwe slachtoffers toe aan darkweb-portaal
De LYNX ransomware-groep heeft drie nieuwe slachtoffers toegevoegd aan hun darkweb-portaal. De getroffen bedrijven zijn PBS Group Limited uit Guatemala, Wallace Construction Specialties uit Canada, en Bay Sales uit de Verenigde Staten. Deze bedrijven zijn recentelijk het doelwit geworden van een cyberaanval, waarbij gevoelige gegevens mogelijk zijn gestolen en openbaar gemaakt op het darkweb. De LYNX-groep staat bekend om hun gerichte aanvallen op bedrijven wereldwijd en hun methoden om losgeld te eisen in ruil voor het niet openbaar maken van gestolen informatie.
CAN: Saskatchewan Health Quality Council getroffen door INC RANSOM ransomware
Het Saskatchewan Health Quality Council in Canada is recentelijk slachtoffer geworden van een ransomware-aanval door de groep INC RANSOM. De aanvallers beweren toegang te hebben tot de data van de organisatie. Deze aanval benadrukt opnieuw de kwetsbaarheid van gezondheidsorganisaties voor cybercriminaliteit. De exacte omvang van de gelekte gegevens en de impact op de dienstverlening is momenteel nog onduidelijk. Verdere details over de eisen van de ransomware-groep zijn niet openbaar gemaakt. Het incident plaatst de organisatie in een uitdagende positie wat betreft databeveiliging en herstel.
USA: Helldown ransomware-aanval op Jewish Federation of Greater Harrisburg
De Jewish Federation of Greater Harrisburg, een non-profitorganisatie gevestigd in de Verenigde Staten, is het slachtoffer geworden van een Helldown ransomware-aanval. De aanvallers beweren dat ze toegang hebben verkregen tot de gegevens van de organisatie. Dit incident onderstreept de voortdurende dreiging van ransomware-aanvallen, waarbij cybercriminelen organisaties gericht aanvallen en gevoelige informatie gijzelen. Het is op dit moment onduidelijk welke specifieke data is gestolen of welke impact dit heeft op de activiteiten van de organisatie.
SEY: ingot brokers getroffen door DARKVAULT ransomware
Ingot Brokers, een toonaangevende multi-asset online broker, is recentelijk slachtoffer geworden van de DARKVAULT ransomware. Deze ransomwaregroep beweert toegang te hebben verkregen tot de data van het bedrijf. Ingot Brokers, gevestigd op de Seychellen, biedt een breed scala aan financiële diensten aan, en de inbreuk kan aanzienlijke gevolgen hebben voor zowel het bedrijf als zijn klanten. Het is nog onduidelijk welke specifieke gegevens zijn getroffen en hoe diepgaand de schade is. De situatie benadrukt de voortdurende dreiging van cyberaanvallen in de financiële sector, waarbij zelfs grote spelers niet immuun zijn voor de geavanceerde technieken die door cybercriminelen worden gebruikt. Verdere details over de omvang en de mogelijke gevolgen van deze aanval zijn op dit moment nog niet bekend.
SUI: cicada3301 ransomware aanval treft Zwitsers schildersbedrijf
Hofmann Malerei AG, een Zwitsers schildersbedrijf met een geschiedenis van 140 jaar in het oosten van Zwitserland, is het slachtoffer geworden van een aanval met de Cicada3301 ransomware. De hackersgroep beweert 500 MB aan gegevens van het bedrijf te hebben buitgemaakt. De aanval benadrukt de toenemende dreiging van ransomware-aanvallen, zelfs voor bedrijven met een lange traditie en solide reputatie.
USA: El dorado ransomware treft CURVC Corp en Eagle Safety Eyewear
CURVC Corp, een bedrijf dat samenwerkt met Atlassian, SonarQube en Microsoft om bedrijven te ondersteunen bij de implementatie van samenwerkings- en productiviteitsoplossingen, is slachtoffer geworden van de El dorado ransomware. De groep achter deze aanval claimt 5 GB aan data van het bedrijf te hebben bemachtigd.
Daarnaast is Eagle Safety Eyewear, een van de top 10 onafhankelijke laboratoria in de Verenigde Staten, ook getroffen door dezelfde ransomware-aanval. De cybercriminelen beweren eveneens 5 GB aan data van deze organisatie te hebben verkregen.
Beide incidenten benadrukken de aanhoudende dreiging van ransomware-aanvallen, waarbij gevoelige bedrijfsgegevens op het spel staan.
AUS: LYNX Ransomware-aanval op Myelec Electrical
Myelec Electrical, een lokaal bedrijf in West-Australië, is getroffen door een LYNX ransomware-aanval. De cybercriminelen beweren dat zij toegang hebben gekregen tot gevoelige bedrijfsgegevens van de organisatie. Deze aanval benadrukt de groeiende dreiging van ransomware-aanvallen in de regio, waarbij gegevensdiefstal en mogelijke chantage aan de orde zijn. Myelec Electrical is momenteel bezig met de situatie te evalueren en passende maatregelen te nemen om de schade te beperken.
USA: BLACK SUIT Ransomware treft Northwestern Community Services
Northwestern Community Services, een organisatie in de Verenigde Staten die geestelijke gezondheidszorg, middelengebruik en ontwikkelingsdiensten aanbiedt, is het slachtoffer geworden van een aanval door de BLACK SUIT-ransomwaregroep. Deze cybercriminelen beweren dat ze 34 GB aan gegevens van de organisatie hebben buitgemaakt. De aanval benadrukt de kwetsbaarheid van instellingen die essentiële diensten verlenen, vooral in de gezondheidszorgsector. Het incident wijst op de voortdurende dreiging van ransomwareaanvallen en de ernstige gevolgen die deze kunnen hebben voor organisaties die met gevoelige en persoonlijke gegevens werken.
Onontdekte Linux Malware 'sedexp' Twee Jaar Onopgemerkt
De Linux-malware genaamd 'sedexp' wist sinds 2022 twee jaar lang onopgemerkt te blijven door gebruik te maken van een innovatieve persistentietechniek die nog niet is opgenomen in het MITRE ATT&CK-framework. De malware, ontdekt door Stroz Friedberg, maakt gebruik van 'udev-regels' om zichzelf opnieuw te activeren bij het opstarten van het systeem. Dit zorgt ervoor dat de malware niet wordt gedetecteerd door gangbare beveiligingsoplossingen. 'sedexp' creëert een omgekeerde shell, waardoor aanvallers op afstand toegang kunnen krijgen tot het geïnfecteerde systeem. Bovendien verbergt de malware zichzelf door bestanden en processen te camoufleren als legitieme systeemprocessen. De malware is ook in staat om geheugengegevens te manipuleren en kan zelfs kwaadaardige code injecteren in andere processen. Dit maakt 'sedexp' tot een geavanceerde en moeilijk te detecteren dreiging, die vermoedelijk wordt ingezet voor financieel gemotiveerde aanvallen. 1
Nieuwe Malware Bedreigt PostgreSQL-Databases met Cryptojacking
Een nieuwe vorm van malware, PG_MEM genaamd, richt zich specifiek op PostgreSQL-databases om cryptocurrency te minen. Deze malware vormt een ernstige bedreiging voor meer dan 800.000 databases wereldwijd, vooral wanneer deze beveiligd zijn met zwakke wachtwoorden. Na een succesvolle brute-force aanval installeert PG_MEM zichzelf, creëert een gebruiker met uitgebreide rechten, en downloadt miningsoftware vanaf de server van de aanvaller. Vervolgens wist het zijn sporen en blokkeert het andere kwaadwillenden. Dit soort aanvallen komt vaak voor, mede door slechte configuraties en gebrekkige beveiligingsmaatregelen. Zodra de malware actief is, gebruikt het de rekenkracht van geïnfecteerde systemen om cryptocurrencies te minen, een praktijk die bekend staat als cryptojacking. Dit fenomeen neemt toe, met een stijging van 400% in het aantal crypto-malware-aanvallen in de eerste helft van 2023 vergeleken met het voorgaande jaar. 1
Nieuwe macOS Malware "Cthulhu Stealer" Bedreigt Apple Gebruikers
Onderzoekers hebben een nieuwe vorm van malware ontdekt, genaamd "Cthulhu Stealer," die specifiek gericht is op Apple-gebruikers. Deze malware, beschikbaar als een service voor $500 per maand, is ontworpen om gegevens van macOS-systemen te stelen, waaronder wachtwoorden, browsercookies en cryptocurrency-wallets. De malware vermomt zich als legitieme software zoals CleanMyMac en Adobe GenP, en maakt gebruik van een techniek waarbij gebruikers hun systeemwachtwoord moeten invoeren. Eenmaal geactiveerd verzamelt Cthulhu Stealer gevoelige gegevens en verstuurt deze naar een command-and-control server. Hoewel de malware niet bijzonder geavanceerd is, benadrukt het de groeiende dreiging voor macOS-gebruikers. Apple reageert hierop door in de komende macOS-versie extra beveiligingsmaatregelen in te voeren, waardoor het moeilijker wordt om ongesigneerde software te installeren. Gebruikers wordt aangeraden alleen software van vertrouwde bronnen te downloaden en hun systemen up-to-date te houden. 1
USA: Idaho Pacific Holdings getroffen door Abyss Ransomware
Idaho Pacific Holdings, een bedrijf dat zich specialiseert in voedselproductie, is het slachtoffer geworden van een aanval door de Abyss ransomware-groep. De cybercriminelen beweren 3,5 TB aan niet-gecomprimeerde data van het bedrijf te hebben bemachtigd. Ze hebben aangekondigd dat het wachtwoord om toegang te krijgen tot deze gestolen gegevens op 30 augustus openbaar zal worden gemaakt.
USA: Chama Gaucha slachtoffer van Cicada3301 ransomware
Chama Gaucha, een gerenommeerd restaurant in de Verenigde Staten, is het slachtoffer geworden van een aanval met de Cicada3301 ransomware. De hackersgroep beweert 50 GB aan gegevens van het restaurant te hebben buitgemaakt. Dit incident benadrukt de toenemende dreiging van cyberaanvallen op bedrijven in de horecasector.
BRA: TerraLogs slachtoffer van Kill Security ransomware
TerraLogs, een in Brazilië gevestigd bedrijf dat snelle kredieten aanbiedt met concurrerende tarieven voor landbouwproducenten, is getroffen door een ransomware-aanval van de Kill Security-groep. Deze cybercriminelen beweren toegang te hebben verkregen tot de data van TerraLogs, wat mogelijk ernstige gevolgen kan hebben voor het bedrijf en zijn klanten. De aanval benadrukt de voortdurende dreiging van ransomware-aanvallen binnen de financiële sector, vooral in opkomende markten zoals Brazilië.
USA: H. L. Lawson & Son, Inc. slachtoffer van INC RANSOM Ransomware
Het Amerikaanse bedrijf H. L. Lawson & Son, Inc. is getroffen door de INC RANSOM Ransomware. De cybercriminelen achter deze aanval beweren dat ze toegang hebben gekregen tot de database van het bedrijf. Hierdoor is gevoelige bedrijfsinformatie mogelijk in gevaar gekomen. Details over de aard van de gegevens of de omvang van de schade zijn nog niet bekendgemaakt. Het bedrijf staat nu voor de uitdaging om de gevolgen van deze aanval te beheersen en verdere schade te voorkomen.
ITA: Studio Legale Associato Isolabella getroffen door BianLian-ransomware
Studio Legale Associato Isolabella, een bedrijf actief in de advocatuur en juridische dienstverlening, is slachtoffer geworden van een aanval door de BianLian-ransomwaregroep. De cybercriminelen beweren toegang te hebben tot 1,3 TB aan data van de organisatie. Dit incident benadrukt de toenemende dreiging van ransomware in de juridische sector, waarbij gevoelige informatie van klanten op het spel staat.
JPN: BPOTech Geconfronteerd met Geclaimde Databreach
Een dreigingsactor beweert dat BPOTech, een bedrijf met meer dan tien jaar ervaring in het leveren van IT-diensten aan Japanse bedrijven, het slachtoffer is geworden van een datalek. Volgens een post op een dark web forum zijn meer dan 20 miljoen regels aan data, inclusief SQL-bestanden, uitgelekt.
De dreigingsactor verbindt dit incident met bredere uitdagingen in de Japanse IT-industrie, die kampt met een ernstig tekort aan arbeidskrachten en stijgende loonkosten. Door de vergrijzing en de dalende geboortecijfers in Japan wenden veel bedrijven zich tot offshore-arbeid, vooral in Aziatische landen zoals Vietnam, waar de arbeidskosten lager zijn. Dit "offshore aanwervingsproces" lijkt de motivatie te zijn achter het vermeende datalek.
Dreiging vanuit de DarkWeb: 0-day LPE voor Windows te koop
Een dreigingsactor biedt op de DarkWeb een 0-day Local Privilege Escalation (LPE) exploit aan voor Windows. Deze exploit is toepasbaar op desktopversies van Windows 7 tot en met Windows 11, evenals op de serverversies Windows Server 2016 tot en met 2022. De verkoper vraagt een bedrag van $150.000 voor de exploit. Dit soort kwetsbaarheden kan aanvallers in staat stellen om verhoogde rechten te verkrijgen op getroffen systemen, wat hen toegang geeft tot kritieke systemen en gegevens. De verkoop van dergelijke exploits benadrukt de aanhoudende risico's en de vraag naar zero-day kwetsbaarheden op de zwarte markt.
Dreigingsactor verkoopt Fortinet SSL-VPN RCE-exploits
Een dreigingsactor beweert twee volledige keten-exploits te koop aan te bieden voor Fortinet SSL-VPN's, waaronder de kwetsbaarheden CVE-2022-42475 en CVE-2023-27997 (ook wel bekend als "xortigate"). Deze exploits, die Remote Code Execution (RCE) mogelijk maken, worden op de dark web-markt aangeboden voor een bedrag van $10.000. Dit soort exploits kan ernstige gevolgen hebben voor organisaties die gebruikmaken van Fortinet SSL-VPN's, aangezien kwaadwillenden hiermee volledige controle over kwetsbare systemen kunnen krijgen. De verkoop van dergelijke geavanceerde exploits benadrukt de voortdurende dreiging waarmee bedrijven geconfronteerd worden in de cyberwereld.
Gevaar van Namespace Collisions bij Domeinnamen: Bedreiging voor Bedrijfsnetwerken
Met de komst van nieuwe topleveldomeinen (TLD's) zijn veel organisaties kwetsbaar geworden voor een bekend beveiligingsrisico: namespace collisions. Dit gebeurt wanneer interne domeinnamen, die oorspronkelijk voor gebruik binnen een bedrijfsnetwerk zijn bedoeld, overlappen met publiek toegankelijke domeinnamen. Hierdoor kunnen deze organisaties onbewust hun Windows-gebruikersnamen en -wachtwoorden versturen naar externe domeinen die door derden geregistreerd kunnen worden. Een voorbeeld hiervan is het Memphis Real-Time Crime Center, waarvan de Windows-gegevens per ongeluk naar een verkeerd domein werden gestuurd. Philippe Caturegli, een beveiligingsonderzoeker, heeft dit probleem in kaart gebracht door te scannen naar certificaten van potentieel kwetsbare domeinen. Zijn bevindingen tonen aan dat veel bedrijven, zelfs overheidsinstanties, verkeerd geconfigureerde netwerken hebben, wat hen blootstelt aan aanzienlijke veiligheidsrisico's. Deze situatie onderstreept de noodzaak voor bedrijven om hun netwerkconfiguraties te herzien en aan te passen aan de moderne, complexe internetomgeving. 1
USA: ARRL Betaalt Miljoen Dollar Losgeld na Ransomware Aanval
De American Radio Relay League (ARRL), een prominente Amerikaanse organisatie voor amateur radio, heeft bevestigd dat ze een losgeld van één miljoen dollar heeft betaald na een ransomware-aanval in mei 2024. Tijdens deze aanval werden de computersystemen van ARRL vergrendeld door een internationale cybercriminele groep. Om hun systemen te herstellen, besloot ARRL het gevraagde losgeld te betalen, wat grotendeels werd gedekt door hun verzekeringspolis. De aanval, die op 14 mei werd ontdekt, leidde tot een datalek dat ongeveer 150 medewerkers trof. Hoewel de ARRL geen details heeft vrijgegeven over welke ransomware-groep verantwoordelijk was, hebben bronnen aangegeven dat de Embargo-ransomwaregroep mogelijk achter de aanval zit. De organisatie heeft sindsdien de meeste van haar systemen hersteld en verwacht dat het volledige herstelproces nog enkele maanden zal duren.
ARG: Bedreiger verkoopt interne admin-toegang tot Argentijns Ministerie van Binnenlandse Zaken
Een cybercrimineel beweert op het darkweb interne admin-toegang te verkopen tot de systemen van het Argentijnse Ministerie van Binnenlandse Zaken. De toegang betreft vermoedelijk beheerdersrechten op Cisco-apparatuur, wat de potentiële aanvaller aanzienlijke controle zou geven over cruciale netwerkinfrastructuur binnen het ministerie. Dit soort toegang kan leiden tot ernstige beveiligingsrisico's, waaronder datalekken en verstoring van overheidsdiensten. De verkoop van dergelijke toegang is zorgwekkend, omdat het niet alleen de veiligheid van de betrokken systemen in gevaar brengt, maar ook de nationale veiligheid van Argentinië kan ondermijnen.
CHI - Chileense Gemeente Mogelijk Gehackt
Een Chileense gemeente is mogelijk slachtoffer geworden van een ernstige datalek waarbij de persoonlijke gegevens van ongeveer 570.000 individuen zijn buitgemaakt. Een hacker biedt de gestolen gegevens aan op een dark web forum voor $2.600. Volgens de hacker bevat de database gevoelige informatie, waaronder klant-ID's, postadressen, e-mailadressen, gehashte wachtwoorden en browsergegevens. Daarnaast zijn er gegevens van 200.000 voertuigen en details over e-mailactiviteit, zoals wanneer e-mails zijn gelezen en links zijn aangeklikt. Deze informatie kan gebruikt worden voor zeer gerichte phishingaanvallen. Het lek benadrukt de voortdurende dreiging van cyberaanvallen op overheidsinstellingen en de noodzaak voor robuustere beveiligingsmaatregelen.
Nieuwe Aanvalstechniek Maakt Microsoft .NET Applicaties Kwetsbaar
Sinds juli 2024 is er een golf van aanvallen die gebruik maakt van een relatief onbekende techniek genaamd AppDomain Manager Injection. Deze methode maakt het mogelijk om kwaadaardige code te injecteren en uit te voeren binnen legitieme Microsoft .NET applicaties op Windows-systemen. Hoewel deze techniek al sinds 2017 bestaat, werd deze voornamelijk toegepast in beveiligingstests en werd zelden waargenomen in echte aanvallen.
De Japanse divisie van NTT heeft aanvallen geregistreerd waarbij de CobaltStrike beacon werd ingezet, met gerichte aanvallen op overheidsinstanties in Taiwan, het leger van de Filipijnen en energiebedrijven in Vietnam. Deze aanvallen maken gebruik van een combinatie van technieken, waaronder de GrimResource-aanvalsmethode, die gebruikmaakt van een XSS-kwetsbaarheid in Windows.
Hoewel de aanvallen vermoedelijk afkomstig zijn van de Chinese staatssponsorde groep APT41, is deze toewijzing onzeker. De gebruikte technieken tonen echter aan dat de aanvallers over geavanceerde kennis beschikken om minder bekende methodes in te zetten voor kwaadwillige doeleinden. 1
Cyberaanval dwingt Amerikaanse oliebedrijf Halliburton tot systeemuitval
Halliburton, een van de grootste dienstverleners in de energie-industrie, heeft bevestigd dat het slachtoffer is geworden van een cyberaanval, wat ertoe heeft geleid dat het bedrijf enkele van zijn systemen moest uitschakelen. De aanval werd ontdekt op 21 augustus 2024, waarna Halliburton direct zijn cyberbeveiligingsplan activeerde en een onderzoek startte met de hulp van externe adviseurs. Om de impact van de inbraak te beperken, werden bepaalde systemen preventief offline gehaald. Halliburton werkt momenteel aan het herstel van de getroffen systemen en onderzoekt de omvang van de schade. Het bedrijf heeft de inbraak ook gemeld bij de relevante autoriteiten en onderhoudt contact met zijn klanten en andere belanghebbenden. De aard van de aanval is nog onbekend. Dit incident onderstreept opnieuw de kwetsbaarheid van kritieke infrastructuur voor cyberdreigingen. 1
Greasy Opal: De Onzichtbare Motor Achter Cybercrime
Greasy Opal, een ontwikkelaar die al bijna twee decennia actief is, biedt een krachtige CAPTCHA-oplossingstool die cybercriminelen wereldwijd helpt om beveiligingsmaatregelen te omzeilen. Hoewel het bedrijf zichzelf presenteert als een legitieme onderneming, wordt hun software gebruikt om op grote schaal accounts te hacken en geautomatiseerde aanvallen uit te voeren. Deze tool is populair bij verschillende cybercriminele groepen en maakt gebruik van geavanceerde optische tekenherkenning (OCR) en machine learning om CAPTCHAs snel en nauwkeurig te kraken. Greasy Opal biedt zowel een gratis als betaalde versie van hun tool aan, met prijzen die variëren afhankelijk van de functies en nauwkeurigheid. Ondanks het feit dat ze weten dat hun software voor illegale activiteiten wordt gebruikt, blijven ze opereren onder een legale dekmantel, inclusief het betalen van belastingen. Hun rol in de cybercrime-industrie blijft significant, vooral omdat ze het voor minder ervaren aanvallers mogelijk maken om grootschalige aanvallen uit te voeren.
ITA: Gegevenslek bij Italiaanse bezorgdienst Yummy
Op 23 augustus 2024 heeft een dreigingsactor, bekend als @grep, beweerd verantwoordelijk te zijn voor een datalek bij de Italiaanse bezorgdienst Yummy. Volgens de acteur vond het lek plaats in augustus 2024, waarbij gevoelige klantgegevens zijn blootgesteld. De gelekte informatie omvat onder andere gebruikers-ID's, namen, e-mailadressen, gehashte wachtwoorden, telefoonnummers en bezorgadressen. De dreigingsactor heeft monsters van de gestolen gegevens gedeeld, wat erop wijst dat zowel gebruikersinformatie als bezorgdetails zijn gecompromitteerd.
USA: Enago (Crimson Interactive) getroffen door ransomware-aanval
Het bedrijf Enago, onderdeel van Crimson Interactive, is het doelwit geworden van een ransomware-aanval door de cybercriminele groep Hunters International. Deze groep beweert 511,1 GB aan data, verdeeld over 257.399 bestanden, te hebben buitgemaakt. Het incident benadrukt de voortdurende dreiging van ransomware-aanvallen op internationale bedrijven. Enago, bekend om zijn academische diensten, is nu verwikkeld in een mogelijk ernstige datalek situatie waarbij vertrouwelijke informatie mogelijk is gestolen. Verdere details over de aard van de gestolen gegevens of de impact op klanten zijn op dit moment nog niet bekend.
NED: Tienduizenden euro’s verloren door beleggingsfraude in Veluwe
In de Veluwe is recent een man slachtoffer geworden van boilerroomfraude, ook wel beleggingsfraude genoemd. De man verloor meer dan 40.000 euro nadat hij werd overgehaald om te investeren met de belofte van hoge rendementen. Via een persoonlijke online omgeving kon hij zijn investeringen en rendementen volgen, wat aanvankelijk vertrouwen wekte. Toen hij echter zijn rendement wilde laten uitkeren, bleek de website onvindbaar en was zijn geld verdwenen. De fraudeurs zijn sindsdien spoorloos.
De politie benadrukt het belang van voorzichtigheid bij investeringen, vooral wanneer hoge rendementen worden beloofd. Men wordt geadviseerd om investeringsplannen altijd met anderen te bespreken en alleen zaken te doen met betrouwbare, lokaal bekende bedrijven. Het onderzoek naar deze zaak op de Veluwe is nog gaande, maar dergelijke onderzoeken zijn vaak complex vanwege de professionele en internationale aard van de oplichters. 1
LKA: Significant data-inbraak bij Sri Lankaanse overheidsafdeling
Een dreigingsactor, bekend als SILKFIN AGENCY, heeft de verantwoordelijkheid opgeëist voor een aanzienlijke datalek bij het Sri Lankaanse Department of Agrarian Development (agrariandept.gov.lk). Deze overheidsafdeling, die een cruciale rol speelt in de ondersteuning van de landbouwsector in Sri Lanka, zou op 22 augustus 2024 gehackt zijn. Bij de inbraak zijn mogelijk de persoonlijke en landbouwgerelateerde gegevens van meer dan 1,45 miljoen boeren gelekt, waaronder gevoelige informatie zoals NIC-nummers, verificatiestatussen en gedetailleerde gegevens over landbouwvelden.
Het gelekte materiaal omvat uitgebreide records die de identiteit en verificatiestatus van de boeren, evenals de specifieke landbouwvelden die ze beheren, bevatten. Deze gebeurtenis roept ernstige zorgen op over de beveiliging en privacy van de getroffen personen, vooral gezien het feit dat het om een overheidsplatform gaat. De dreigingsactor heeft een voorbeeld van de gelekte gegevens verstrekt om hun claim te onderbouwen.
RipperSec kondigt sluiting aan
RipperSec, een bekende dreigingsactor in de cybercriminaliteitswereld, heeft aangekondigd dat het team zijn activiteiten zal staken en niet langer actief zal zijn. Deze aankondiging werd recentelijk gedeeld via hun kanalen. RipperSec was actief op platforms zoals Telegram en het darkweb en stond bekend om zijn betrokkenheid bij verschillende datalekken en andere criminele activiteiten. De sluiting van RipperSec markeert het einde van hun operaties, wat een significante ontwikkeling is binnen de dreigingsinformatie (threat intelligence) gemeenschap. Verdere details over de reden achter de sluiting zijn niet verstrekt.
USA: Stahly Engineering & Associates getroffen door DAN0N Ransomware
Stahly Engineering & Associates, een Amerikaans bedrijf gespecialiseerd in civiele techniek en landmeetkunde, is slachtoffer geworden van de DAN0N Ransomware. De hackersgroep beweert toegang te hebben tot 1,2 TB aan gegevens van het bedrijf. Dit incident benadrukt de toenemende dreiging van ransomware-aanvallen gericht op bedrijven in de technische sector. Het gestolen datavolume suggereert dat de cybercriminelen aanzienlijke hoeveelheden gevoelige bedrijfsinformatie in handen hebben, wat mogelijk kan leiden tot ernstige consequenties voor Stahly Engineering & Associates en hun klanten.
ECU: Datalek bij Concentración Deportiva de Pichincha treft 700.000 gebruikers
Een hacker claimt de database van Concentración Deportiva de Pichincha, een groot sportcentrum in Quito, Ecuador, te hebben gelekt. Volgens de hacker bevat de gelekte database 700.000 rijen met gevoelige gebruikersgegevens. De compromitteerde informatie zou bestaan uit gebruikers-ID's, e-mailadressen, volledige namen, gehashte wachtwoorden, adressen, telefoonnummers en zelfs persoonlijk identificeerbare informatie van ouders. Dit datalek, indien geverifieerd, roept ernstige privacyzorgen op en kan een groot aantal personen treffen die verbonden zijn aan het sportcentrum. De hacker heeft niet onthuld hoe of wanneer het lek precies is ontstaan. Dit incident onderstreept de toenemende risico's van datalekken in diverse sectoren, waaronder sport en recreatie, en benadrukt de kwetsbaarheid van persoonlijke gegevens die in online systemen worden opgeslagen.
Cybercrimineel Biedt Toegang tot Klantenservicepaneel van Grote Crypto-exchange te Koop Aan
Een cybercrimineel beweert toegang te hebben tot het klantenservicepaneel van een grote crypto-exchange met meer dan 9 miljoen gebruikers wereldwijd. Deze toegang wordt aangeboden op het dark web voor $60.000 of een percentage-gebaseerde deal. Het paneel zou functies bevatten voor accountbeheer, transactieondersteuning, technische hulp en accountherstel.
Beveiligingsmaatregelen zoals tweefactorauthenticatie, ESET-integratie en Gmail-koppeling zijn aanwezig. Voor volledige toegang is een sim-swap nodig en voor databasetoegang is verhoogde autorisatie vereist.
Deze vermeende inbreuk vormt een ernstige bedreiging voor de veiligheid en privacy van miljoenen gebruikers. Het onderstreept het belang van robuuste beveiliging voor financiële platforms en de voortdurende risico's in de cryptowereld. Exchanges moeten waakzaam blijven en hun beveiligingsmaatregelen continu verbeteren om dergelijke aanvallen te voorkomen.
Cybercrimineel Biedt Toegang tot Database van Grote Amerikaanse Multinational te Koop Aan
Een cybercrimineel beweert toegang te verkopen tot de database van een grote Amerikaanse multinational. Het zou gaan om een bedrijf met een marktwaarde van meer dan 4 miljard dollar en een jaaromzet van meer dan 160 miljard dollar. De aangeboden toegang betreft een MySQL-server met volledige beheerdersrechten en zou meer dan 100 GB aan gegevens bevatten.
De cybercrimineel vraagt 27.000 dollar voor de toegang en zegt alleen in persoonlijke gesprekken meer details over het bedrijf en de website te willen vrijgeven. Deze vermeende databreuk illustreert de voortdurende dreiging van cyberaanvallen op grote bedrijven en de waarde die cybercriminelen hechten aan gestolen bedrijfsgegevens.
Creditcardfraude treft hotels in Zuid-Amerika
Een onbekende cybercrimineel beweert 7200 recent gestolen creditcardgegevens te koop aan te bieden. Deze zouden afkomstig zijn van hotels in Zuid-Amerika. De getroffen landen omvatten niet alleen Zuid-Amerikaanse landen zoals Argentinië, Brazilië, Uruguay, Paraguay, Chili, Panama en Colombia, maar strekken zich ook uit tot de Verenigde Staten en verschillende Europese landen.
De cybercrimineel heeft een startprijs van $25.000 vastgesteld voor deze gestolen gegevens. Dit incident onderstreept de voortdurende dreiging van cybercriminaliteit in de hotelbranche, met name gericht op het stelen van financiële gegevens van gasten. Het grote aantal betrokken creditcards en de geografische spreiding van de slachtoffers wijzen op een grootschalige en gecoördineerde aanval.
USA: RHYSIDA Ransomware Aanval op Advocatenkantoor
Kronick Moskovitz Tiedemann & Girard, een vooraanstaand advocatenkantoor in de Verenigde Staten, is slachtoffer geworden van een cyberaanval door de RHYSIDA-ransomwaregroep. Deze groep heeft aangekondigd de gegevens van de organisatie binnen 6 tot 7 dagen te zullen publiceren. Op hun dark web-portaal zijn voorbeeldscreenshots van de gestolen gegevens geplaatst. Dit incident benadrukt de dreiging van ransomware-aanvallen die gericht zijn op gevoelige data van prominente instellingen. Het verhoogt de druk op organisaties om constant waakzaam te blijven tegen dergelijke cyberdreigingen en hun beveiligingsprotocollen up-to-date te houden. Deze aanval trekt wereldwijd de aandacht vanwege de reputatie van het getroffen advocatenkantoor. Het incident is een hernieuwde waarschuwing voor de juridische sector en andere bedrijven om te investeren in sterke cyberbeveiligingsmaatregelen om hun data te beschermen tegen steeds geavanceerdere aanvallen.
USA: Cicada3301 Ransomware-aanval treft EBA Ernest Bland Associates en UFCW Local 135
EBA Ernest Bland Associates, P.C., een bouw- en constructiefirma in de Verenigde Staten, is recentelijk slachtoffer geworden van een ransomware-aanval uitgevoerd door de beruchte groep Cicada3301. De aanvallers beweren dat ze op 22 augustus 2024 maar liefst 270 GB aan data van de organisatie hebben gepubliceerd. Naast deze firma werd ook de UFCW Local 135, een Amerikaanse organisatie, getroffen door dezelfde groep. Voor deze organisatie zouden de cybercriminelen 90 GB aan gegevens openbaar hebben gemaakt op dezelfde datum. Beide aanvallen benadrukken de voortdurende dreiging van ransomware-aanvallen die grote hoeveelheden gevoelige data kunnen blootstellen. Deze incidenten zijn onderdeel van een groter patroon van digitale aanvallen die specifiek gericht zijn op kritieke sectoren in de VS, benadrukkend de noodzaak voor voortdurende alertheid en versterking van cyberbeveiligingsstrategieën om dergelijke inbreuken te beperken.
USA: Helldown Ransomware-aanval op Cincinnati Pain Physicians
Cincinnati Pain Physicians, een zorgverlener in de Verenigde Staten, is recentelijk getroffen door Helldown ransomware. Deze kwaadaardige software wordt gebruikt door een cybercriminelen groep die beweert toegang te hebben verkregen tot gevoelige gegevens van de organisatie. Het incident heeft geleid tot een datalek waarbij vermoedelijk vertrouwelijke informatie is gecompromitteerd. Helldown is bekend om zijn methoden waarbij waardevolle data van bedrijven wordt versleuteld, met de eis van losgeld voor het vrijgeven van de vergrendelde informatie. Deze aanval onderstreept de aanhoudende dreiging van ransomware voor gezondheidsinstellingen die vaak een aantrekkelijk doelwit vormen vanwege de kritieke en gevoelige aard van hun gegevens. Het is nog onduidelijk welke specifieke gegevens zijn buitgemaakt en wat de onmiddellijke gevolgen voor patiënten zullen zijn. Cincinnati Pain Physicians werkt vermoedelijk samen met cybersecurity-experts om de schade te beperken en om hun systemen te beveiligen tegen toekomstige aanvallen.
KEN: Instadriver getroffen door Kill Security Ransomware
Instadriver, een innovatief platform uit Kenia dat zich richt op het faciliteren van wervingsprocessen tussen chauffeurs en werkgevers, is slachtoffer geworden van een aanval door de Kill Security ransomware-groep. Dit kwaadaardige collectief beweert dat zij de hand hebben weten te leggen op gevoelige bedrijfsgegevens van Instadriver, met plannen om deze informatie openbaar te maken binnen een tijdsbestek van 14 tot 15 dagen. Het incident werpt licht op de huidige cyberdreigingen in de digitale wereld en de risico’s waarmee bedrijven in de transport- en logistieke sector worden geconfronteerd.
IND: Ook Level SuperMind in de greep van ransomware
Level SuperMind, een innovatieve applicatie uit India die zich richt op het verbeteren van mentale en fysieke gezondheid, is eveneens getroffen door dezelfde ransomware-aanval. De aanvallers hebben naar verluidt data van de organisatie verkregen en dreigen deze eveneens binnen een periode van 14 tot 15 dagen openbaar te maken.
TZA: Grote gegevenslek in de Verenigde Republiek Tanzania
Op BreachForums heeft een gebruiker melding gemaakt van een aanzienlijk gegevenslek waarbij de Verenigde Republiek Tanzania betrokken is. Het gelekte bestand zou informatie bevatten van 78.963 vaccinatieafspraken. Het patroon waarin deze gegevens zijn verkregen en verspreid, werpt licht op de kwetsbaarheden in de bescherming van persoonlijke informatie binnen het land. BreachForums staat bekend als een platform waar hackers vaak gevoelige en gestolen gegevens uitwisselen. Hoewel de details over hoe de gegevens zijn gestolen niet zijn onthuld, wijst de omvang van de gelekte informatie op mogelijke zwakheden in de beveiligingssystemen die door de overheid of betrokken instanties worden gebruikt. Dit incident kan verstrekkende gevolgen hebben voor de bescherming van persoonlijke informatie in Tanzania en roept tegelijkertijd vragen op over de maatregelen die zijn getroffen om dergelijke gegevensinbreuken te voorkomen.
USA: Saeilo getroffen door Metaencryptor Team ransomware-aanval
Saeilo, een Amerikaans bedrijf gespecialiseerd in diverse productieactiviteiten, is recent slachtoffer geworden van een ransomware-aanval uitgevoerd door de Metaencryptor Team. Deze cybercriminele groep beweert dat ze toegang hebben gekregen tot 11,5 GB aan gegevens van het bedrijf. Saeilo staat bekend om zijn innovatieve productieprocessen en hoogwaardige industriële producten. De gestolen data zou mogelijk gevoelige bedrijfsinformatie bevatten, wat aanzienlijke gevolgen kan hebben voor de bedrijfsvoering en concurrentiepositie van Saeilo. De aanval benadrukt het gevaar van gerichte cyberaanvallen op de industrie en het potentiële risico voor de vertrouwelijkheid en integriteit van bedrijfsgegevens. Metaencryptor Team opereert voornamelijk op het darkweb, waar ze gevoelige gegevens van hun slachtoffers vaak voor hoge bedragen verkopen aan de hoogste bieder. Saeilo werkt momenteel aan een reactie op deze aanval en het beperken van de schade.
Nieuwe slachtoffers van DragonForce-ransomware toegevoegd aan darkweb-portaal
De beruchte DragonForce-ransomwaregroep heeft recentelijk vier nieuwe slachtoffers toegevoegd aan hun darkweb-portaal. Deze aanvallen hebben geleid tot datalekken bij bedrijven in het Verenigd Koninkrijk, Canada, Frankrijk en Ierland. De getroffen bedrijven zijn:
- Sherwood Stainless & Aluminium (Verenigd Koninkrijk)
- Igloo Cellulose (Canada)
- Alelor (Frankrijk)
- Deane Roofing & Cladding (Ierland)
De publicatie van deze gegevens op het darkweb toont aan dat de dreiging van ransomwaregroepen onverminderd doorgaat. Bedrijven wereldwijd blijven kwetsbaar voor cyberaanvallen, wat het belang van robuuste cyberbeveiliging onderstreept. Het is essentieel dat organisaties hun beveiligingsprotocollen blijven versterken om zich te beschermen tegen dergelijke dreigingen.
USA: Metaencryptor Team richt zich op Life University
Life University, een vooraanstaande onderwijsinstelling in de Verenigde Staten, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de Metaencryptor Team. Deze cybercriminelen beweren toegang te hebben tot 18,2 GB aan data van de universiteit, wat wijst op een aanzienlijke schending van vertrouwelijke informatie. De aanval onderstreept de toenemende dreiging van ransomware gericht op onderwijsinstellingen, die vaak grote hoeveelheden gevoelige gegevens bezitten. Metaencryptor Team is een beruchte groep binnen de cybercrime-gemeenschap, bekend om hun aanvallen op diverse organisaties wereldwijd, waarbij ze gevoelige gegevens versleutelen en losgeld eisen voor de ontgrendeling ervan. Het incident bij Life University legt bloot hoe kwetsbaar onderwijsinstellingen zijn voor dergelijke aanvallen, vooral wanneer de juiste beveiligingsmaatregelen niet op orde zijn. De universiteit staat voor de uitdaging om de schade te beperken en te voorkomen dat de gestolen data verder wordt misbruikt op het dark web.
Braziliaanse hacker geïdentificeerd als leider van groep die 3 miljard gegevens stal in de VS
Een recente onderzoek door CrowdStrike heeft geleid tot de identificatie van Luan B.G., een Braziliaanse hacker van 33 jaar oud, als de leider van de cybercriminele groep USDoD. Deze groep is verantwoordelijk voor de diefstal van 3 miljard gegevens in de Verenigde Staten, waaronder gevoelige informatie van grote bedrijven zoals Airbus en Lockheed Martin. Luan werd geïdentificeerd door zijn langdurige hacktivistische activiteiten, die begonnen in 2017, en het gebruik van dezelfde e-mail voor verschillende criminele operaties. De gegevens van Luan, waaronder e-mails, IP-adressen en social media-accounts, zijn inmiddels overgedragen aan de autoriteiten. CrowdStrike waarschuwt echter dat deze onthullingen de activiteiten van USDoD waarschijnlijk niet zullen stoppen, aangezien Luan vermoedelijk ontkenningen zal uiten of de informatie als desinformatie zal bestempelen. De zaak onderstreept de voortdurende dreiging van cybercriminaliteit en de uitdagingen bij het aanpakken ervan. 1
IND: Level SuperMind slachtoffer van ransomware-aanval
Het Indiase bedrijf Level SuperMind is recentelijk slachtoffer geworden van een cyberaanval uitgevoerd door de beruchte Kill Security ransomware-groep. Volgens de beschikbare informatie zijn tijdens de aanval gevoelige gegevens buitgemaakt, waaronder volledige namen, e-mailadressen, wachtwoorden, apparaatinformatie, IP-adressen, geolocatie, betalingsgegevens en operationele data. De aanvallers eisen een losgeld van $25.000 en hebben een deadline gesteld tot 5 september 2024.
Level SuperMind, gespecialiseerd in mentale welzijnsoplossingen en digitale coaching, staat nu voor de uitdaging om deze ernstige schending van hun beveiliging aan te pakken. Dit incident werpt een schaduw op de reputatie van het bedrijf en benadrukt de risico's waarmee bedrijven in de digitale sector geconfronteerd worden. De druk op Level SuperMind om hun systemen te versterken en hun gebruikers te beschermen is aanzienlijk toegenomen in het licht van deze aanval.
Kritieke kwetsbaarheid in LiteSpeed Cache plugin actief misbruikt door hackers
Hackers maken actief misbruik van een ernstige kwetsbaarheid in de LiteSpeed Cache plugin, een populaire WordPress plugin die wordt gebruikt door meer dan vijf miljoen websites. De kwetsbaarheid, aangeduid als CVE-2024-28000, stelt aanvallers in staat om zonder authenticatie de gebruikersrechten te verhogen door een zwakke hashcontrole te brute-forcen. Hierdoor kunnen kwaadwillenden beheerdersaccounts aanmaken en volledige controle over de getroffen websites verkrijgen. Dit kan leiden tot de installatie van kwaadaardige plugins, het aanpassen van kritieke instellingen, en het omleiden van verkeer naar schadelijke websites. Ondanks de beschikbaarheid van een beveiligingsupdate gebruikt slechts 30% van de websites een veilige versie van de plugin. Beheerders worden dringend geadviseerd om zo snel mogelijk te updaten naar de nieuwste versie, 6.4.1, om deze dreiging te mitigeren. 1
Qilin ransomware steelt inloggegevens uit Google Chrome
De Qilin ransomware-groep heeft een nieuwe tactiek ontwikkeld waarbij zij inloggegevens uit de Google Chrome-browser stelen. Deze strategie werd ontdekt door onderzoekers van Sophos tijdens het analyseren van een aanval waarbij Qilin via een VPN-portal zonder multi-factor authenticatie toegang kreeg tot een netwerk. Na een periode van 18 dagen van inactiviteit, waarin vermoedelijk het netwerk werd verkend, verspreidden de aanvallers zich naar een domeincontroller en voerden zij een PowerShell-script uit dat bedoeld was om inloggegevens uit Chrome te stelen. Deze gegevens werden vervolgens opgeslagen en naar een externe server gestuurd, waarna lokale kopieën werden gewist om sporen te verbergen. Uiteindelijk werd de ransomware ingezet om gegevens op de geïnfecteerde machines te versleutelen. Deze aanpak, waarbij inloggegevens van meerdere machines binnen een netwerk worden gestolen, maakt het moeilijker om aanvallen te detecteren en erop te reageren, wat de complexiteit van verdediging tegen ransomware aanzienlijk vergroot. 1
Nieuwe Android malware NGate steelt kredietkaartgegevens via NFC-chip
Een nieuwe Android-malware genaamd NGate maakt het mogelijk voor aanvallers om kredietkaartgegevens te stelen door gebruik te maken van de NFC-chip in geïnfecteerde apparaten. Deze malware maakt deel uit van een bredere campagne die sinds november 2023 actief is, waarbij slachtoffers worden misleid om een malafide app te installeren. Deze app, die zich voordoet als een legitieme beveiligingsupdate, heeft geen extra toestemmingen nodig en gebruikt een open-source tool genaamd NFCGate om NFC-gegevens te onderscheppen. De aanvallers kunnen de gestolen gegevens vervolgens gebruiken om betalingen te verrichten of geld op te nemen bij geldautomaten. Daarnaast wordt de malware ook gebruikt om toegangspassen en andere NFC-gebaseerde technologieën te klonen. Gebruikers wordt aangeraden om hun NFC-chip uit te schakelen wanneer deze niet actief wordt gebruikt en alleen apps te installeren van betrouwbare bronnen. 1
USA: Capital Bank getroffen door cyberaanval van Dark StormGeneral
De cybercriminele groep Dark Storm heeft de officiële website van de Amerikaanse financiële instelling Capital Bank offline gehaald. De groep eist een bedrag van $10.000 om de aanval te stoppen. Ze hebben de bank een ultimatum gesteld van 24 uur om aan hun eisen te voldoen, anders zullen ze doorgaan met de aanval. Capital Bank is een belangrijke speler in de financiële sector van de Verenigde Staten, wat deze aanval bijzonder zorgwekkend maakt. De aanval op de bank kan aanzienlijke gevolgen hebben voor zowel de bank als haar klanten, aangezien toegang tot online diensten essentieel is voor dagelijkse financiële transacties. Dark Storm heeft eerder soortgelijke aanvallen uitgevoerd, wat wijst op een patroon van gerichte aanvallen op financiële instellingen. Capital Bank werkt momenteel aan een oplossing en heeft zijn klanten geadviseerd waakzaam te blijven voor mogelijke fraude in verband met deze aanval.
MAL: Gevoelige klantgegevens van toyyibPay mogelijk te koop aangeboden
Een database van 12GB met gevoelige klantgegevens van de Maleisische betaalprovider toyyibPay is mogelijk te koop aangeboden op het darkweb. De database zou bestaan uit 88 CSV-bestanden en bevat vermoedelijk klantnamen, e-mailadressen en telefoonnummers. Deze informatie lijkt te zijn verkregen uit de factureringssystemen van het platform. ToyyibPay, dat zich richt op het aanbieden van betaaloplossingen voor bedrijven in Maleisië, staat voor een potentieel ernstige inbreuk op de gegevensbeveiliging. Dit incident kan ernstige gevolgen hebben voor zowel de getroffen klanten als het bedrijf zelf, gezien de mogelijke misbruikrisico's van de gelekte data. ToyyibPay zal naar verwachting stappen moeten ondernemen om verdere schade te beperken en het vertrouwen van zijn klanten te herstellen.
RSA: ransomware-aanval treft Don't Waste Group
De Don't Waste Group, een wereldwijd toonaangevend bedrijf in afvalbeheer en minimalisatie op locatie, is recent getroffen door een ransomware-aanval van de groep INC RANSOM. De aanvallers beweren toegang te hebben verkregen tot vertrouwelijke gegevens van het bedrijf. Het incident benadrukt de ernstige risico's die gepaard gaan met cyberaanvallen, vooral voor bedrijven die in meerdere landen opereren en omgaan met gevoelige informatie. De Don't Waste Group, actief in verschillende sectoren en regio's, zal mogelijk te maken krijgen met aanzienlijke gevolgen voor hun bedrijfsvoering en reputatie. Verdere details over de omvang van de gestolen data zijn nog niet bekendgemaakt, maar de impact op de bedrijfsactiviteiten kan aanzienlijk zijn.
Actieve C2-panelen van Meduza Stealer onthuld
Een recente ontdekking heeft een lijst van actieve Command and Control (C2) panelen van de Meduza Stealer malware blootgelegd. Deze malware, bekend om zijn vermogen om gevoelige informatie van besmette systemen te stelen, maakt gebruik van verschillende IP-adressen om zijn operaties te coördineren. De geïdentificeerde C2-panelen zijn actief op IP-adressen zoals 103[.]161[.]224[.]131 en 193[.]33[.]153[.]62, onder anderen.
Meduza Stealer is een relatief nieuwe speler op het gebied van cybercriminaliteit, maar heeft al snel bekendheid gekregen vanwege zijn effectieve methoden voor datadiefstal. Het richt zich voornamelijk op het stelen van wachtwoorden, cryptowallets en andere gevoelige gegevens van gebruikers. De malware wordt vaak verspreid via phishing-e-mails en malafide downloads, wat het een wijdverspreid en potentieel zeer schadelijk gevaar maakt voor zowel individuen als bedrijven.
Het is van cruciaal belang dat organisaties alert blijven en hun beveiligingssystemen versterken tegen dergelijke dreigingen.
UK: Ryland Peters & Small en CICO Books slachtoffer van ransomware-aanval
De Britse uitgeverijen Ryland Peters & Small en CICO Books zijn recentelijk het slachtoffer geworden van een ransomware-aanval uitgevoerd door de beruchte groep APT73. Deze cybercriminelen staan bekend om hun gerichte aanvallen op bedrijven wereldwijd, waarbij zij gevoelige gegevens stelen en deze vervolgens openbaar maken of losgeld eisen voor decryptie. De aanval op Ryland Peters & Small en CICO Books onderstreept de toenemende dreiging van dergelijke aanvallen binnen de uitgeverijsector. Ryland Peters & Small, een vooraanstaande uitgeverij gespecialiseerd in lifestyle, koken, interieur en gezondheid, opereert al decennia lang internationaal. CICO Books, een imprint van hetzelfde bedrijf, richt zich voornamelijk op doe-het-zelf en hobbyboeken. Beide uitgeverijen lopen nu risico op ernstige bedrijfsverstoringen en reputatieschade als gevolg van deze aanval. Het is nog onduidelijk welke gegevens precies zijn buitgemaakt en wat de verdere gevolgen zullen zijn.
SAU: Cyberaanval treft Saudische militaire raad
De Algemene Secretaris van de Militaire Dienst van het Koninkrijk Saoedi-Arabië is recentelijk slachtoffer geworden van een aanval door de RansomHub-ransomwaregroep. Bij deze aanval is naar verluidt 140 GB aan gevoelige gegevens buitgemaakt. De hackers hebben een losgeld geëist met een deadline van 4 september 2024.
De RansomHub-groep staat bekend om hun geavanceerde technieken om data te exfiltreren en druk uit te oefenen op hun slachtoffers door grote hoeveelheden gevoelige informatie te gijzelen. Het getroffen Saudische overheidsorgaan speelt een cruciale rol in de militaire organisatie van het land, waardoor de mogelijke gevolgen van deze cyberaanval verstrekkend kunnen zijn, zowel voor de nationale veiligheid als voor de betrokken individuen. De situatie benadrukt de dreigende gevaren die voortkomen uit moderne cyberaanvallen en het belang van adequaat incidentbeheer in de nasleep van een dergelijke aanval.
GRC: antaeus travel group getroffen door blackout ransomware-aanval
Antaeus Travel Group, een toonaangevend reisbureau gevestigd in Griekenland, is recentelijk het doelwit geworden van een cyberaanval uitgevoerd door de beruchte Blackout-ransomwaregroep. Tijdens deze aanval zouden de criminelen naar verluidt 50 GB aan gevoelige data hebben buitgemaakt. Deze gegevens omvatten onder andere klant- en werknemersdatabases, gescande kopieën van paspoorten en visa, evenals diverse kantoorgerelateerde documenten. De groep heeft een losgeld geëist en heeft als deadline 28 augustus 2024 gesteld voor betaling.
Antaeus Travel Group staat bekend om zijn uitgebreide diensten voor zowel zakelijke als particuliere reizigers en heeft een sterke reputatie opgebouwd in de reisindustrie. Het datalek kan grote gevolgen hebben voor het bedrijf en zijn klanten, aangezien de gestolen informatie zeer waardevol en potentieel schadelijk is. Het bedrijf staat nu voor de uitdaging om snel en adequaat te reageren op deze ernstige bedreiging.
Beveiligingslek bij Netflix-partner leidt tot lekken van ongepubliceerde afleveringen
Een beveiligingsinbreuk bij Iyuno, een productiepartner van Netflix, heeft geleid tot het lekken van ongepubliceerde afleveringen van verschillende populaire shows. Op 9 augustus 2024 werd bevestigd dat ongeautoriseerde toegang was verkregen tot vertrouwelijke content, waaronder clips, beelden en volledige afleveringen. Deze inhoud is vervolgens verspreid op platforms zoals Twitter, 4Chan en torrentwebsites.
De getroffen Netflix-shows omvatten onder andere "Arcane", "Heartstopper", "Ranma 1/2" en "Stranger Things". De anonieme dader beweert ook de eerste drie afleveringen van het langverwachte vijfde seizoen van "Stranger Things" in bezit te hebben en dreigt deze vrij te geven.
Iyuno is een belangrijk bedrijf in de entertainmentindustrie dat gespecialiseerd is in ondertiteling en nasynchronisatie van films en tv-shows. De gevolgen van dit lek kunnen verstrekkend zijn, gezien het bedrijf vaak werkt met vertrouwelijke materialen van grote studio's wereldwijd. 1
Kwetsbaarheden in Dahua IP-camera's actief misbruikt door aanvallers
Twee kritieke kwetsbaarheden in Dahua IP-camera's worden actief misbruikt door aanvallers, zo waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Deze kwetsbaarheden, bekend onder de codes CVE-2021-33044 en CVE-2021-33045, maken het mogelijk dat een ongeauthenticeerde aanvaller op afstand toegang krijgt tot de camera's. Ondanks dat Dahua al in september 2021 updates heeft uitgebracht om deze problemen te verhelpen, blijken veel apparaten nog steeds kwetsbaar omdat de updates niet overal zijn doorgevoerd. De kwetsbaarheden hebben een impactscore van 9,8 op een schaal van 10, wat wijst op hun hoge risico. CISA heeft overheidsinstanties dan ook opgedragen om de updates uiterlijk op 11 september te installeren om verdere schade te voorkomen. 1
AUS: Rhysida ransomware treft lokaal ondersteuningsbedrijf Engedi Inc.
Engedi Inc., een lokaal gemeenschapsgericht bedrijf in Mackay dat ondersteuning biedt aan mensen met een handicap, is het slachtoffer geworden van een Rhysida-ransomwareaanval. De criminelen dreigen de gestolen gegevens van de organisatie binnen 6 tot 7 dagen openbaar te maken en hebben al voorbeeldscreenshots van de gegevens gepubliceerd op hun dark web-portaal. Engedi Inc., dat zich inzet voor kwetsbare groepen, staat nu voor de uitdaging om deze gevoelige informatie te beschermen en de mogelijke impact op hun cliënten te beperken. Dit incident onderstreept de toenemende dreiging die ransomware vormt voor lokale organisaties met beperkte middelen.
Nieuw c2-paneel geïdentificeerd voor 1312 Stealer
Een nieuw Command and Control (C2) paneel is geïdentificeerd voor de 1312 Stealer malware, een schadelijk programma dat gericht is op het stelen van gevoelige informatie van geïnfecteerde systemen. Het betreffende IP-adres is 45[.]137[.]70[.]18. De 1312 Stealer staat bekend om zijn vermogen om wachtwoorden, creditcardgegevens en andere vertrouwelijke gegevens te verzamelen van slachtoffers. Dit nieuwe C2-paneel versterkt de dreiging en geeft aan dat de criminelen achter deze malware hun infrastructuur blijven uitbreiden en aanpassen.
Het is cruciaal dat organisaties en individuen zich bewust zijn van deze ontwikkeling en passende maatregelen nemen om hun systemen te beschermen tegen deze steeds veranderende dreiging. Cybersecurity-experts adviseren om netwerkverkeer naar en van het genoemde IP-adres nauwlettend in de gaten te houden en verdachte activiteiten direct te blokkeren.
De groep of entiteit achter 1312 Stealer blijft onbekend, maar zij maken gebruik van geavanceerde technieken om hun sporen te verhullen en blijven zich richten op kwetsbare doelwitten wereldwijd.
USA: Delta Air Lines lijdt half miljard schade door technische storing
Delta Air Lines werd getroffen door een ernstige operationele storing veroorzaakt door een fout in de CrowdStrike-beveiligingssoftware op 19 juli 2024. Dit leidde tot de annulering van ongeveer 7.000 vluchten gedurende vijf dagen, met een geschatte schade van $500 miljoen.
Het financiële verlies omvatte $380 miljoen aan gemiste inkomsten in het derde kwartaal van 2024, voornamelijk door terugbetalingen en compensatie aan klanten. Bovendien werden er $170 miljoen aan extra kosten gemaakt voor klantvergoedingen en personeelskosten, hoewel de brandstofkosten met $50 miljoen afnamen door de geannuleerde vluchten.
Delta heeft juridische stappen ondernomen tegen CrowdStrike en Microsoft om compensatie te eisen voor de geleden schade. Dit incident onderstreept de aanzienlijke financiële risico's die gepaard gaan met operationele verstoringen in de luchtvaartindustrie. Delta, als een van de grootste luchtvaartmaatschappijen ter wereld, voelt de impact hiervan sterk, wat de noodzaak van betrouwbare IT-oplossingen benadrukt. 1
AIVD deelt richtlijnen voor effectief gebruik van logging bij detectie van cyberaanvallen
De AIVD, samen met de MIVD en verschillende internationale inlichtingendiensten, heeft aanbevelingen gepubliceerd voor het gebruik van logging om cyberaanvallen beter te kunnen detecteren. Het toenemende gebruik van technieken zoals 'Living off the Land' (LOTL), waarbij aanvallers bestaande systemen en software gebruiken om minder op te vallen, benadrukt het belang van goede logging-praktijken. De richtlijnen zijn gericht op IT-beslissingsmakers en netwerkbeheerders en bevatten adviezen over het instellen, beheren en gebruiken van logbestanden. Ze behandelen onder andere welke gebeurtenissen gelogd moeten worden, de consistentie van logs en de bewaartermijn van logbestanden. De publicatie waarschuwt ook dat logsystemen zelf doelwit kunnen zijn van aanvallen, en beveelt aan om logs gecentraliseerd op te slaan. Tot slot worden voorbeelden gegeven van verdacht gedrag dat via logs te detecteren is, zoals ongebruikelijke inlogtijden of verdachte activiteiten van IP-adressen.
Google waarschuwt voor actief aangevallen kwetsbaarheid in Chrome
Google heeft een beveiligingsupdate uitgebracht voor Chrome om een actief misbruikte kwetsbaarheid in de JavaScript-engine V8 te verhelpen. Deze kwetsbaarheid werd op 19 augustus door Microsoft ontdekt en aangemeld. De impact van het beveiligingslek is als "high" beoordeeld, wat betekent dat een aanvaller mogelijk code kan uitvoeren binnen de context van de browser. Dit kan resulteren in het stelen of wijzigen van gevoelige informatie van gebruikers. Hoewel deze kwetsbaarheid alleen niet voldoende is om een volledig systeem over te nemen, zou een tweede lek in bijvoorbeeld het besturingssysteem dat wel mogelijk kunnen maken. Google heeft geen details vrijgegeven over de specifieke aanvallen of doelwitten. Dit is de zesde keer dit jaar dat Google een update uitbrengt om een actief aangevallen kwetsbaarheid in Chrome te patchen. Gebruikers worden aangeraden hun browser zo snel mogelijk bij te werken. 1
IND: Database van Indiaas Olympiade-instituut gelekt op dark web
Een dreigingsactor beweert de database van de Indian International Olympiad Foundation, een vooraanstaand academisch en onderzoeksinstituut, te hebben gelekt. De database zou naar verluidt 1.128.328 regels met gegevens bevatten. Deze gegevens kunnen mogelijk gevoelige informatie van deelnemers en medewerkers van het instituut bevatten, wat ernstige gevolgen kan hebben voor hun privacy en veiligheid. De Indian International Olympiad Foundation is wereldwijd bekend om haar prestigieuze wetenschappelijke en wiskundige competities. Dit datalek kan het vertrouwen in het instituut ernstig schaden, vooral gezien het feit dat het om een organisatie gaat die nauw betrokken is bij de educatie van getalenteerde studenten wereldwijd. Er is nog geen officiële reactie van het instituut ontvangen, en het blijft onduidelijk welke acties worden ondernomen om de mogelijke schade te beperken.
TWN: Data-inbreuk bij populair Taiwanees forum PTT
Een dreigingsactor beweert een database van PTT.cc, een van de grootste en meest invloedrijke bulletin board systemen (BBS) in Taiwan, te hebben gelekt. Dit forum trekt maandelijks ongeveer 68 miljoen bezoeken en speelt een belangrijke rol in de Taiwanese online gemeenschap. De gelekte database zou meer dan 35.000 records bevatten, met gevoelige informatie zoals ID’s, titels, tags, auteurs, inhoud, datums, URL’s en zelfs persoonlijke kernwaarden van gebruikers. De mogelijke omvang en impact van dit datalek benadrukt de kwetsbaarheid van zelfs de meest populaire en goedbezochte platforms. Het incident kan aanzienlijke gevolgen hebben voor de privacy van de gebruikers van PTT, en het kan leiden tot verdere veiligheidszorgen binnen de Taiwanese digitale gemeenschap. PTT moet nu snel handelen om de schade te beperken en gebruikers te beschermen tegen mogelijke misbruik van hun gegevens.
USA: IntelBroker neemt eigendom over van BreachForums
IntelBroker is de nieuwe eigenaar geworden van BreachForums, een berucht forum op het dark web dat bekend staat om het delen en verkopen van gestolen gegevens. Dit forum was eerder eigendom van andere cybercriminelen en heeft een aanzienlijke reputatie opgebouwd binnen de cybercriminele gemeenschap. De overname door IntelBroker markeert een belangrijke verschuiving in de machtsstructuur van dit platform. Tegelijkertijd heeft een van de prominente moderatoren van het forum, bekend onder de naam WillyWonka, zichzelf verbannen. Deze stap kan duiden op interne conflicten of veranderingen binnen de gemeenschap van BreachForums. IntelBroker's overname en de gebeurtenissen rond WillyWonka kunnen wijzen op een nieuwe koers voor het forum, wat mogelijk verdere veranderingen in de dynamiek van de cybercriminele activiteiten op dit platform met zich mee zal brengen.
USA: Ransomware-aanval op LARC Lansing
LARC Lansing, een non-profitorganisatie in Lansing, Illinois, VS, is getroffen door een ransomware-aanval van de groep INC RANSOM. Deze cybercriminelen beweren de gegevens van de organisatie in handen te hebben. LARC Lansing biedt gemeenschapsdiensten aan, gericht op ondersteuning van mensen met ontwikkelingsstoornissen. De aanval vormt een aanzienlijke bedreiging voor de vertrouwelijkheid van gevoelige informatie binnen de organisatie. Het incident benadrukt de kwetsbaarheid van non-profitorganisaties voor dergelijke cyberdreigingen, vooral wanneer ze niet over de middelen beschikken om uitgebreide cyberbeveiliging te implementeren. De precieze omvang van de schade en de impact op de dienstverlening van LARC Lansing zijn op dit moment nog niet volledig bekend, maar de organisatie werkt waarschijnlijk aan herstelmaatregelen om verdere schade te beperken.
ISR: Law firm Prof. Bein & Co getroffen door Brain Cipher ransomware
Prof. Bein & Co, een toonaangevend advocatenkantoor gevestigd in Israël, is het slachtoffer geworden van een aanval door de Brain Cipher ransomware-groep. De criminelen beweren meer dan 15 GB aan bedrijfsgegevens te hebben bemachtigd, waaronder gevoelige juridische documenten. Ze dreigen deze informatie binnen 9-10 dagen openbaar te maken, tenzij er aan hun eisen wordt voldaan. Op hun Dark Web-portaal hebben ze al enkele schermafbeeldingen van de gestolen data vrijgegeven om de ernst van hun claims te onderstrepen. Prof. Bein & Co is een gerenommeerd advocatenkantoor in Israël, dat bekend staat om zijn hoogwaardige juridische diensten aan zowel nationale als internationale cliënten.
GER: RSK Immobilien en USA: Barry Avenue Plating getroffen door Helldown ransomware
RSK Immobilien, een toonaangevend Duits vastgoedbedrijf, en Barry Avenue Plating, een prominente Amerikaanse metaalverwerkingsfirma, zijn het doelwit geworden van de Helldown ransomware. Deze kwaadaardige software heeft beide bedrijven getroffen, waarbij de aanvallers claimen toegang te hebben verkregen tot vertrouwelijke bedrijfsdata. Helldown is een beruchte ransomware-groep die vaak gevoelige informatie steelt en bedrijven vervolgens afperst voor losgeld. Het incident vormt een ernstige bedreiging voor de continuïteit van beide organisaties, gezien de kritieke aard van de data die mogelijk is buitgemaakt. De aanval op RSK Immobilien kan vooral verstrekkende gevolgen hebben binnen de vastgoedsector in Duitsland, terwijl Barry Avenue Plating te maken heeft met mogelijke verstoringen in hun productieprocessen en klantenvertrouwen.
USA: Cyberaanval treft Halliburton, verstoring bedrijfsvoering wereldwijd
Halliburton, een van de grootste oliedienstverleners ter wereld, kampt met een aanzienlijke verstoring van zijn computersystemen, vermoedelijk veroorzaakt door een cyberaanval. Het incident heeft naar verluidt invloed op de bedrijfsvoering op de Houston-campus van het bedrijf en op verschillende wereldwijde netwerken. Hoewel Halliburton de aanval niet expliciet heeft bevestigd, heeft het bedrijf wel erkend dat er een probleem is met bepaalde systemen. Halliburton, opgericht in 1919, is een toonaangevend bedrijf in de energie-industrie, gespecialiseerd in de dienstverlening aan olie- en gasbedrijven. Ze hebben een responsplan geactiveerd en werken samen met experts om de oorzaak en impact van het probleem te analyseren. De precieze aard van het incident blijft onduidelijk, maar de verstoring benadrukt de grote risico's waarmee bedrijven in de energie-industrie worden geconfronteerd. Halliburton heeft nog geen verdere details vrijgegeven over de omvang of mogelijke gevolgen van deze verstoring.
Play ransomwaregroep eist zes nieuwe slachtoffers
De Play ransomwaregroep heeft onlangs zes nieuwe slachtoffers openbaar gemaakt, met een dreigende deadline voor losgeld die is vastgesteld op 26 augustus. Onder de getroffen organisaties bevinden zich zowel Amerikaanse als internationale bedrijven:
Slachtoffers:
- Policy Administration Solutions (VS)
- RCG Corporate (VS)
- Armour Coatings (VS)
- Quilvest Capital Partners (Frankrijk)
- Grid Subject Matter Experts (VS)
- The SMS Group (VS)
Deze bedrijven worden nu geconfronteerd met de dreiging van dataverlies en potentiële publicatie van gevoelige informatie als ze niet voldoen aan de eisen van de cybercriminelen.
ISR: ZeroSeven hacking group verkoopt netwerktoegang tot Israëlische infrastructuur
De ZeroSeven-hackergroep, bekend van eerdere aanvallen op Toyota, biedt nu volledige netwerktoegang aan tot servers met 80TB aan kritische data die betrekking hebben op de Israëlische infrastructuur. Deze gegevens omvatten gedetailleerde projectinformatie over water-, olie-, gas-, stroom- en elektriciteitsinfrastructuur in grote delen van Israël, inclusief overheidssectoren. Daarnaast bevat de informatie SCADA-systemen, gevoelige diagrammen met specifieke coördinaten van alle projecten en pijpleidingen, evenals complete databases met klant-, financiële en gevoelige gegevens.
ZeroSeven claimt dat zij, in plaats van de data zoals bij Toyota te lekken, nu de toegang tot de servers verkopen. Potentiële kopers kunnen deze toegang gebruiken voor ransomware-aanvallen, het veroorzaken van schade, of het stelen van data. Het aanbod omvat ook de mogelijkheid om alle gegevens die zij hebben geüpload te verwijderen. De authenticiteit van deze claim is nog niet bevestigd, maar de gevolgen kunnen ernstig zijn als deze toegang in verkeerde handen valt.
BEL/NED: Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers en 4.398 Nederlandse nummers aangeboden op darkweb
Op het darkweb worden de gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers te koop aangeboden, waaronder telefoonnummers en profielfoto's. Naast deze Belgische gegevens circuleren er ook 4.398 Nederlandse telefoonnummers op het darkweb. Deze gegevens zijn waarschijnlijk verkregen via scraping, een techniek waarbij informatie automatisch wordt verzameld van websites. De Belgische overheidsinstantie Safeonweb waarschuwt gebruikers om extra waakzaam te zijn voor phishing-sms'jes en frauduleuze telefoongesprekken. Het is aannemelijk dat vrijwel alle Belgische WhatsApp-gebruikers getroffen zijn. Gebruikers wordt geadviseerd hun privacy-instellingen aan te passen, zoals het afschermen van de profielfoto en de 'laatst gezien'-status, zodat deze alleen zichtbaar zijn voor contacten of voor niemand. Het incident benadrukt de noodzaak van zorgvuldige privacyinstellingen om de kans op misbruik van persoonlijke gegevens te verkleinen. 1
Telecombedrijf betaalt $1 miljoen boete voor betrokkenheid bij deepfake-oplichterij
Een telecombedrijf, Lingo Telecom, heeft een boete van $1 miljoen gekregen van de Federal Communications Commission (FCC) voor zijn rol in het faciliteren van een deepfake-oplichterij. Begin 2024 werd AI-gegenereerde nep-audio van president Joe Biden verspreid naar kiezers in New Hampshire, wat leidde tot snelle actie van de FCC. Het Texaanse bedrijf Life Corporation werd geïdentificeerd als de hoofdschuldige achter de scam, waarvoor eerder al een boete van $6 miljoen was opgelegd. Lingo Telecom, dat al eerder betrokken was bij schimmige praktijken, kreeg nu ook een boete en de verplichting om zich strikt aan de regels te houden. De FCC benadrukte dat telecombedrijven verantwoordelijk zijn voor het beschermen van consumenten tegen dergelijke bedreigingen en dat zij verantwoordelijk zullen worden gehouden voor hun rol in het faciliteren van oplichting. 1
USA: Scioto Paint Valley Mental Health Center getroffen door Abyss Ransomware
Scioto Paint Valley Mental Health Center, een belangrijke aanbieder van geestelijke gezondheidszorg in Ohio, is het slachtoffer geworden van de Abyss Ransomware. Deze kwaadaardige software heeft geleid tot een ernstige beveiligingsinbreuk, waarbij gevoelige patiëntgegevens mogelijk zijn gestolen en versleuteld. Abyss Ransomware staat bekend om zijn geavanceerde versleutelingstechnieken en het gebruik van het darkweb om gestolen gegevens te verhandelen. Het incident brengt aanzienlijke uitdagingen met zich mee voor het getroffen centrum, dat nu te maken heeft met zowel technische als juridische gevolgen. De impact op de continuïteit van de zorgverlening en de vertrouwelijkheid van patiëntgegevens is groot, waardoor het centrum waarschijnlijk aanzienlijke inspanningen moet leveren om het vertrouwen van patiënten te herstellen en de schade te beperken.
USA: Capital Fund 1 getroffen door RansomHub-ransomware
Capital Fund 1, een in de Verenigde Staten gevestigd vastgoedinvesteringsbedrijf, is recentelijk slachtoffer geworden van een aanval door de RansomHub-ransomwaregroep. De cybercriminelen beweren toegang te hebben verkregen tot gevoelige gegevens van de organisatie, wat wijst op een mogelijke datalek. Hoewel details over de aard van de gestolen gegevens nog niet volledig bekend zijn, kan deze inbreuk ernstige gevolgen hebben voor de bedrijfsactiviteiten en de betrokken klanten van Capital Fund 1. RansomHub staat bekend om zijn geavanceerde methoden om bedrijven te compromitteren en vervolgens losgeld te eisen in ruil voor het niet openbaar maken van gestolen data. Het incident benadrukt de steeds grotere dreiging die ransomware vormt voor bedrijven in de vastgoedsector.
USA: Jinny Corporation getroffen door Akira ransomware-aanval
Jinny Corporation, een groothandelsdistributeur gevestigd in de Verenigde Staten, is het slachtoffer geworden van een ransomware-aanval door de Akira-groep. De aanvallers beweren dat ze 400 GB aan data hebben buitgemaakt, waaronder persoonlijke gegevens van medewerkers, vertrouwelijke bestanden, financiële en boekhoudkundige documenten, talrijke niet-openbaarmakingsovereenkomsten (NDA's) en gevoelige onderzoeksinformatie.
Jinny Corporation, dat bekend staat om zijn uitgebreide distributienetwerk en klantgerichtheid, ziet zich nu geconfronteerd met ernstige risico's voor de bedrijfscontinuïteit en reputatieschade. De impact van deze aanval kan verstrekkende gevolgen hebben voor zowel de interne processen van het bedrijf als voor de relaties met zakelijke partners. Jinny Corporation moet mogelijk aanzienlijke stappen ondernemen om de gelekte informatie te beheren en om verdere schade te beperken.
IND: Grootschalige datalek bij International Olympiad Foundation
In 2024 is een aanzienlijke datalek gemeld waarbij de International Olympiad Foundation is getroffen. Een lid van BreachForums beweert verantwoordelijk te zijn voor het lekken van een database met maar liefst 1.128.328 regels aan gegevens. Dit incident benadrukt de kwetsbaarheid van zelfs gerenommeerde internationale organisaties voor cyberaanvallen. De International Olympiad Foundation, die bekend staat om het organiseren van wereldwijde academische competities voor getalenteerde studenten, lijkt nu in het middelpunt te staan van een ernstig beveiligingsincident. De uitgelekte gegevens zouden mogelijk gevoelige informatie bevatten, wat kan leiden tot aanzienlijke reputatieschade en mogelijke juridische gevolgen voor de betrokkenen. Het is van cruciaal belang dat de organisatie snel actie onderneemt om de gevolgen van deze aanval te beperken en de veiligheid van hun systemen te verbeteren.
SAU: Arab National Bank mogelijk doelwit van BlackMeta-aanval
Arab National Bank in Saoedi-Arabië is mogelijk het doelwit geweest van de cybercriminele groepering BlackMeta. Deze groep zou verantwoordelijk zijn voor een reeks aanvallen die diverse online diensten van de bank hebben verstoord. Onder de getroffen diensten bevonden zich onder andere accountbeheer, transactiegeschiedenis en betalingsoverdrachten. BlackMeta, bekend om zijn activiteiten op het darkweb en Telegram, richt zich vaak op financiële instellingen om gevoelige gegevens te stelen of losgeld te eisen. Arab National Bank, een van de grotere financiële spelers in de regio, heeft nog geen officiële verklaring afgelegd over het incident. De bank is echter al enige tijd bezig met het versterken van haar digitale beveiliging, gezien de toenemende dreiging van cyberaanvallen in het Midden-Oosten. De precieze impact en reikwijdte van de aanval zijn nog niet volledig duidelijk, maar de situatie benadrukt het belang van voortdurende waakzaamheid en geavanceerde beveiligingsmaatregelen.
GER: Doubleface richt zich op telecommunicatie-infrastructuur in Berlijn
De hackersgroep Doubleface heeft naar verluidt een aanval uitgevoerd op de telecommunicatie-infrastructuur in Berlijn, wat heeft geleid tot verstoringen in de diensten. Deze aanval lijkt onderdeel te zijn van een bredere campagne van de groep om druk uit te oefenen op hun doelwitten tot aan hun eisen wordt voldaan. Doubleface, een bekende speler binnen de cybercriminaliteit, heeft zich in het verleden gericht op verschillende kritieke infrastructuren en blijft een grote dreiging vormen. Hun activiteiten tonen de gerichte aanpak en de geavanceerde technieken die ze gebruiken om hun doelstellingen te bereiken. Het bedrijf dat verantwoordelijk is voor de getroffen infrastructuur heeft nog geen gedetailleerde verklaring afgelegd over de omvang van de schade, maar benadrukt dat ze werken aan herstel en het waarborgen van de veiligheid van hun systemen.
Nieuwe 0-Day Exploits in Windows Ondergraven Systeemintegriteit
Onderzoekers hebben details en proof-of-concept (PoC) exploitcode vrijgegeven voor twee kritieke zero-day kwetsbaarheden in Windows, aangeduid als CVE-2024-38202 en CVE-2024-21302. Deze kwetsbaarheden, onthuld tijdens Black Hat 2024, maken het mogelijk om de integriteit van Windows Update te ondermijnen. Door gebruik te maken van een nieuw ontwikkelde tool genaamd "Windows Downdate", kunnen aanvallers systeembestanden terugdraaien naar oudere, kwetsbare versies. Dit leidt ertoe dat systemen, ondanks volledige updates, blootgesteld worden aan reeds verholpen beveiligingslekken. Een zorgwekkend aspect van deze aanval is de onzichtbaarheid voor zowel Windows Update als detectieoplossingen, waardoor beheerders zich mogelijk onbewust zijn van de opnieuw geïntroduceerde kwetsbaarheden. Microsoft heeft inmiddels adviezen uitgebracht en patches vrijgegeven, maar benadrukt dat het risico op misbruik aanzienlijk is toegenomen nu de PoC-code openbaar is. Organisaties wordt aangeraden om de aanbevolen mitigaties onmiddellijk toe te passen. 1
ITA: CiphBit ransomwaregroep valt Luigi Convertini - LMC International aan
De CiphBit ransomwaregroep heeft geclaimd dat ze succesvol zijn binnengedrongen bij Luigi Convertini - LMC International, een toonaangevend Italiaans bedrijf gespecialiseerd in mode en design. Deze cyberaanval, die gericht was op gevoelige bedrijfsgegevens, is onderdeel van een groeiende trend waarbij mode- en ontwerpbedrijven het doelwit zijn van ransomwaregroepen. Luigi Convertini - LMC International staat bekend om hun hoogwaardige ontwerpen en heeft wereldwijd een sterke reputatie opgebouwd. De CiphBit-groep beweert nu toegang te hebben tot vertrouwelijke data, wat aanzienlijke gevolgen kan hebben voor het bedrijf. Deze aanval benadrukt de kwetsbaarheid van bedrijven in de mode-industrie en roept vragen op over de robuustheid van hun digitale beveiliging. Luigi Convertini - LMC International heeft nog geen officieel statement uitgebracht over de aard van de gestolen gegevens of de stappen die ze zullen ondernemen om de schade te beperken.
UK - Findel getroffen door Cicada3301 ransomwaregroep
Het Britse bedrijf Findel is recentelijk slachtoffer geworden van een cyberaanval door de beruchte ransomwaregroep Cicada3301. Bij deze aanval zouden maar liefst 870 GB aan gevoelige data zijn buitgemaakt. De gestolen gegevens omvatten onder andere paspoortinformatie, financiële gegevens, vertrouwelijke documenten, en klantdatabases. Deze grootschalige datadiefstal benadrukt de geavanceerde technieken die door deze cybercriminelen worden gebruikt.
Findel, dat actief is in de detailhandel en onderwijssector, staat bekend om zijn diverse productportfolio en klantendatabase. De impact van deze aanval kan verstrekkende gevolgen hebben voor zowel het bedrijf als zijn klanten, vooral gezien de aard van de gestolen informatie. Cicada3301, een groep die eerder in verband is gebracht met complexe cyberaanvallen, heeft hiermee opnieuw laten zien een grote bedreiging te vormen voor bedrijven wereldwijd.
UK: Banham Poultry getroffen door ransomware-aanval
Banham Poultry, een Britse pluimveeverwerker, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de RansomHub-groep. De cybercriminelen beweren dat zij 50 GB aan bedrijfsgegevens hebben buitgemaakt. De groep heeft een deadline gesteld tot 25 augustus 2024 voor het voldoen aan hun eisen. Banham Poultry is een belangrijke speler in de Britse pluimveemarkt en levert een breed scala aan pluimveeproducten aan diverse klanten. De mogelijke impact van deze aanval op hun operaties en leveringen kan aanzienlijk zijn, gezien de hoeveelheid gestolen data en de dreiging van openbaarmaking of verkoop van deze gevoelige informatie. Het incident legt de kwetsbaarheid van bedrijven in de voedselproductie bloot voor cyberaanvallen, wat kan leiden tot ernstige bedrijfsverstoring en reputatieschade.
UK: Pindrop Hearing getroffen door APT73 ransomware-aanval
Pindrop Hearing, een Brits bedrijf gespecialiseerd in gehoorapparaten en audiologische diensten, is recentelijk slachtoffer geworden van een cyberaanval door de beruchte APT73-ransomwaregroep. Bij deze aanval is naar verluidt 62,6 MB aan gevoelige data buitgemaakt, waaronder inloggegevens, wachtwoorden en diverse documenten. Het incident brengt aanzienlijke risico's met zich mee voor zowel het bedrijf als zijn klanten, gezien de aard van de gestolen informatie. Pindrop Hearing, bekend om zijn geavanceerde gehooroplossingen, ziet zich nu geconfronteerd met de uitdaging om de impact van deze datalek te beperken en de veiligheid van zijn systemen te verbeteren om verdere aanvallen te voorkomen. De aanval door APT73 benadrukt de geavanceerde methoden die cybercriminelen tegenwoordig gebruiken om toegang te krijgen tot waardevolle bedrijfsinformatie.
SWI: hoerbiger holding getroffen door akira-ransomwaregroep
Het Zwitserse bedrijf Hoerbiger Holding, met een jaaromzet van 1,416 miljard euro, is recentelijk slachtoffer geworden van de Akira-ransomwaregroep. Bij deze aanval zouden maar liefst 50 GB aan gevoelige gegevens zijn buitgemaakt. De gestolen data omvatten onder andere persoonlijke informatie van werknemers, gegevens van klanten en cliënten, vertrouwelijke overeenkomsten, contracten, geheimhoudingsverklaringen, enkele medische dossiers en een aanzienlijke hoeveelheid financiële en boekhoudkundige informatie. Hoerbiger Holding, bekend om zijn industriële oplossingen in compressietechnologie, aandrijftechniek en hydraulica, ziet zich geconfronteerd met een ernstige bedreiging voor zijn bedrijfscontinuïteit en reputatie. Dit incident onderstreept de kwetsbaarheid van zelfs de grootste industriële spelers in het huidige cyberlandschap.
USA: CyberDragon Claimt Hack op AT&T
CyberDragon, een berucht hackerscollectief, beweert succesvol te hebben ingebroken in de systemen van AT&T, de grootste internetprovider in de Verenigde Staten. AT&T speelt een cruciale rol in de telecommunicatiesector en biedt een breed scala aan diensten, waaronder mobiele communicatie, internet en televisie. Deze aanval legt niet alleen de kwetsbaarheden binnen de infrastructuur van AT&T bloot, maar ook de voortdurende dreigingen waarmee grote telecombedrijven worden geconfronteerd. AT&T's positie als toonaangevende speler maakt hen tot een aantrekkelijk doelwit voor cybercriminelen zoals CyberDragon, die ernaar streven gevoelige gegevens te verzamelen en te exploiteren. De exacte impact van de aanval op de klanten en operaties van AT&T is momenteel nog onduidelijk, terwijl het bedrijf zich inspant om de schade te beoordelen en hun systemen te beveiligen. Deze ontwikkeling benadrukt de specifieke uitdagingen waarmee grote telecombedrijven te maken hebben in een steeds vijandiger wordende digitale omgeving.
ZAF: Cyberaanval op Ziekenhuis en Vastgoedwebsites door Dark Spot Team
Het Dark Spot team heeft naar verluidt de website van een ziekenhuis en een ontwerp- en vastgoedsite in Zuid-Afrika gehackt. Deze groepering heeft verklaard solidair te zijn met Marokkaanse soldaten en heeft de intentie uitgesproken om haar aanvallen op Zuid-Afrika voort te zetten. De cyberaanvallen richten zich specifiek op essentiële diensten en sectoren zoals de gezondheidszorg en vastgoed, waar verstoringen grote gevolgen kunnen hebben voor infrastructuur en economie. Het Dark Spot team opereert via de duistere kanten van het internet, en hun acties benadrukken hun geopolitieke motivatie en technische vaardigheden in cyberoorlogsvoering. Er zijn geen verdere details beschikbaar over het exacte bedrijf dat betrokken is bij deze aanval. Verdere observatie en beveiligingsmaatregelen vanuit Zuid-Afrikaanse betrokkenen lijken cruciaal.
USA: KidKraft Slachtoffer van Lynx Ransomware-aanval
Het bekende Amerikaanse speelgoedbedrijf KidKraft is recentelijk doelwit geworden van een cyberaanval uitgevoerd door de Lynx ransomware-groep. Deze kwaadaardige entiteit beweert met succes 300 GB aan gevoelige documenten en contracten te hebben buitgemaakt. Deze informatie omvat naar verluidt vertrouwelijke bedrijfsgegevens die mogelijk schadelijke gevolgen kunnen hebben voor KidKraft indien vrijgegeven of verkocht op de zwarte markt. De groep heeft een ultimatum gesteld met een losgelddeadline op 29 september 2024. KidKraft, opgericht in 1968, staat bekend om zijn innovatieve en educatieve speelgoed en meubels voor kinderen, en geniet wereldwijd erkenning voor zijn producten. Het bedrijf staat nu voor de uitdaging om met deze ernstige cyberbedreiging om te gaan om zijn bedrijfsintegriteit en klantvertrouwen veilig te stellen. Verdere details over hoe KidKraft van plan is om te reageren op deze cyberaanval en de impact ervan op het bedrijf worden door hen nauwlettend onderzocht.
UK: Ransomware-aanval op Globacap door APT73
De ransomware-groep bekend als APT73 heeft het Britse bedrijf Globacap aan hun lijst van slachtoffers toegevoegd. Globacap is gespecialiseerd in het digitaliseren van investeringen en het automatiseren van kapitaalbeheer via hun innovatieve platform. Dit platform biedt diensten zoals effectendigitalisering, vermogenstoewijzing en gereguleerde markten, vooral gericht op het vereenvoudigen van het proces voor bedrijven en investeerders in de financiële sector. De aanval suggereert dat cybercriminelen steeds meer mikken op bedrijven die gevoelige financiële gegevens beheren. Hoewel de details over de specifieke impact op Globacap niet zijn vrijgegeven, kan worden aangenomen dat de vertrouwelijkheid en integriteit van klantgegevens in het geding zijn. Dit incident onderstreept de gerichtheid van APT73 op sectoren met waardevolle digitale activa en het belang voor bedrijven binnen de financiële technologie om voorbereidende maatregelen te nemen ter bescherming tegen dergelijke bedreigingen.
USA: Burns Industrial Equipment getroffen door MEOW Ransomware
Burns Industrial Equipment, een toonaangevende Amerikaanse leverancier van heftrucks en industriële apparatuur, is het doelwit geworden van een cyberaanval door de beruchte MEOW ransomware-groep. Deze groep heeft naar eigen zeggen ruim 65 GB aan gevoelige gegevens van het bedrijf in handen gekregen. Bewijsmateriaal van de gestolen data is zelfs gepubliceerd op hun portal op het darkweb. Burns Industrial Equipment speelt een cruciale rol in de industriële sector door het aanbieden van zowel nieuwe als gebruikte vorkheftrucks, service-ondersteuning en onderdelen. De impact van deze aanval op de bedrijfsvoering en haar klanten kan aanzienlijk zijn, gezien de mogelijke blootstelling van klantgegevens en bedrijfsdocumentatie. Het incident benadrukt de geavanceerde technieken die hedendaagse cybercriminelen inzetten om toegang tot waardevolle bedrijfsgegevens te krijgen. Burns Industrial Equipment zal stappen moeten ondernemen om het beveiligingslek te dichten en de schade te beperken.
USA: Olympus Financial Slachtoffer van Rhysida Ransomware
Olympus Financial, een Amerikaans bedrijf dat gespecialiseerd is in financiële diensten, is getroffen door de Rhysida-ransomware. Deze kwaadaardige software heeft toegang gekregen tot hun systemen, waarbij de cybercriminelen dreigen de buitgemaakte gegevens binnen zes tot zeven dagen openbaar te maken op het dark web. Olympus Financial verleent een breed scala aan financiële diensten aan hun klanten en is gevestigd in de Verenigde Staten. Het feit dat ze doelwit zijn geworden van een dergelijke aanval, onderstreept de geavanceerde tactieken die door ransomware-groepen zoals Rhysida worden gebruikt. De groep heeft al enkele schermafbeeldingen vrijgegeven als bewijs van de inbreuk, wat de ernst en realiteit van de dreiging benadrukt. Dit incident zet bepaalde druk op Olympus Financial om snel en effectief te reageren om verdere schade te beperken en hun gegevens veilig te stellen. De exacte omvang van de potentiële impact op hun klanten en dienstverlening blijft vooralsnog onbekend.
Onderzoek onthult backdoor in populaire RFID-smartcards
Een onderzoek van Quarkslab heeft aangetoond dat de FM11RF08S- en FM11RF08-chips van Shanghai Fudan Microelectronics, beide veelgebruikte RFID-smartcards, kwetsbaar zijn door een backdoor. Deze backdoor maakt het eenvoudig om de kaarten te klonen, waardoor onbevoegde toegang tot bijvoorbeeld hotelkamers mogelijk is. Shanghai Fudan Microelectronics is een belangrijke speler in de microchipindustrie en de grootste leverancier van "MIFARE compatible" chips, die wereldwijd in verschillende sectoren worden ingezet.
Onderzoeker Philippe Teuwen ontdekte dat deze chips een hardware backdoor bevatten waarmee authenticatie zonder kennis van de oorspronkelijke beveiligingssleutels mogelijk is. De kwetsbaarheid treft niet alleen de nieuwste FM11RF08S-chip, maar ook zijn voorganger de FM11RF08. Meerdere oudere smartcards van NXP en Infineon lijden onder een soortgelijk probleem.
Teuwen heeft aangetoond dat de backdoor het kraken van alle beveiligingssleutels op deze kaarten binnen enkele minuten mogelijk maakt. Bedrijven wordt aangeraden hun systemen te controleren en het beveiligingsrisico te evalueren. 1
NED: Cyberaanval Op NWO’s Subsidieaanvraag Systeem
Het subsidieaanvraagplatform ISAAC van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) is recent offline gehaald na een cyberaanval. Dit systeem is essentieel voor wetenschappers om subsidies aan te vragen en hun aanvraagstatus bij te houden. Volgens NWO zijn er pogingen geweest om het systeem binnen te dringen, al heeft de aanval geen schade of datadiefstal veroorzaakt. Desondanks heeft NWO ervoor gekozen het systeem gesloten te houden voor externe gebruikers als voorzorgsmaatregel. De verwachting is dat ISAAC op 26 augustus weer operationeel zal zijn, waardoor aanvragers, beoordelaars en commissies de toegewezen functionaliteiten opnieuw kunnen gebruiken. De NWO vervult een cruciale rol in het verstrekken van onderzoeksfinanciering en het waarborgen van de integriteit en veiligheid van hun systemen is van fundamenteel belang voor het behoud van vertrouwen onder academische instellingen en onderzoekers. 1
FRA: grote ransomware-aanval legt media van Groupe Cirano in La Réunion plat
In de nacht van 21 augustus 2024 werden verschillende media van Groupe Cirano, waaronder Antenne Réunion, NRJ, Chérie FM, RER en EXO FM, getroffen door een grootschalige ransomware-aanval. Deze aanval legde de systemen van de betrokken media volledig plat, waardoor de uitzendingen werden verstoord. Groupe Cirano, een belangrijke speler in de media-industrie van La Réunion, heeft aangegeven dat alle beschikbare teams zijn ingezet om de getroffen systemen zo snel mogelijk te herstellen. Het bedrijf, dat bekend staat om zijn brede mediaportfolio op het eiland, benadrukt de ernst van de situatie en werkt intensief aan het herstel. Groupe Cirano is verantwoordelijk voor een significant deel van de radio- en televisie-uitzendingen in La Réunion, en deze aanval heeft dan ook een grote impact op de lokale mediaconsumptie. 1
Cyberaanval treft BVI Electricity Corporation (BVIEC)
De British Virgin Islands Electricity Corporation (BVIEC), de belangrijkste elektriciteitsleverancier op de Britse Maagdeneilanden, heeft op 19 augustus 2024 bekendgemaakt dat zij het slachtoffer is geworden van een cyberaanval. Deze aanval heeft zowel de interne als externe operaties van het bedrijf verstoord. BVIEC, dat verantwoordelijk is voor de elektriciteitsvoorziening op de eilanden, werkt nauw samen met lokale en Britse experts om de situatie te stabiliseren en de normale bedrijfsvoering zo snel mogelijk te hervatten.
Naast de cyberaanval heeft BVIEC te maken met de nasleep van tropische storm Ernesto. Het bedrijf richt zich momenteel op het herstel van de hoofdvoedingslijnen voordat individuele huishoudens van stroom worden voorzien. In gebieden zoals Great Mountain en Josiah’s Bay wordt momenteel gewerkt aan herstel, terwijl de stroomvoorziening op Virgin Gorda al volledig is hersteld. Bewoners die nog zonder stroom zitten, worden opgeroepen geduld te hebben, gezien de complexe uitdagingen waarmee de herstelteams worden geconfronteerd.
IDN: SILKFIN AGENCY claimt datalek bij Indonesisch ministerie van Transport
Op 20 augustus 2024 heeft een dreigingsactor, bekend als SILKFIN AGENCY, beweerd dat zij toegang hebben verkregen tot het officiële platform van het Indonesische ministerie van Transport, dephub.go.id. Dit platform beheert het Personeelsinformatiesysteem van het ministerie, waarin de administratieve en personeelsgegevens van meer dan 14.000 medewerkers zijn opgeslagen.
Volgens SILKFIN AGENCY omvat het gelekte gegevensbestand gevoelige informatie zoals personeelsnummers, geboortedata, namen, en functietitels. De actoren zouden deze gegevens hebben geëxtraheerd, wat leidt tot ernstige bezorgdheid over de beveiliging en privacy van de medewerkers van het ministerie.
SILKFIN AGENCY is een bekende cybercriminele groep die eerder betrokken is geweest bij meerdere datalekken. Deze recente claim benadrukt hun gerichte aanpak op overheidsinstanties in Zuidoost-Azië. Het ministerie heeft nog geen officiële reactie gegeven op de beweringen van SILKFIN AGENCY.
KOR: toaping database gehackt: gevoelige gegevens van duizenden individuen en partners gelekt
In augustus 2024 werd bekend dat het Zuid-Koreaanse onderwijsbedrijf Toaping slachtoffer is geworden van een datalek, geclaimd door de dreigingsactor "EnergyWeaponUser" op een forum op het dark web. Bij deze aanval zijn naar verluidt 173.000 gegevensregels en een partnerlijst met 13.000 vermeldingen gestolen.
Het gestolen materiaal bevat onder meer gevoelige informatie zoals lescodes, soorten en tijden, evenals persoonlijke details zoals namen, e-mails en factureringsinformatie. Verder omvat het gegevens over studievoortgang, werkdagen en testresultaten, wat duizenden individuen blootstelt aan identiteitsdiefstal en andere cyberdreigingen.
De partnerlijst van Toaping bevat kritieke informatie, waaronder partner-ID's, wachtwoorden, bedrijfsregistratienummers en financiële gegevens, zoals bankinformatie en commissiedetails. Dit lek vormt een ernstige bedreiging voor de zakelijke partners van Toaping, gezien de potentiële gevolgen van deze informatie in de verkeerde handen. De dreigingsactor biedt de gestolen data te koop aan via het forum of XMPP.
IDN: Inbreuk op Indonesisch overheidsplatform LAPOR door SILKFIN Agency
Op 20 augustus 2024 beweerde een dreigingsactor, bekend als SILKFIN Agency, het Indonesische overheidsplatform LAPOR! (Layanan Aspirasi dan Pengaduan Online Rakyat) te hebben gehackt. Dit platform wordt door burgers gebruikt om klachten en feedback over openbare diensten in te dienen. De aanvaller beweert toegang te hebben gekregen tot meer dan 400.000 gebruikersrecords, met daarin gevoelige informatie zoals gebruikersnamen, wachtwoorden, e-mailadressen en inloggegevens.
SILKFIN Agency heeft details van de gecompromitteerde gegevens gedeeld, waaronder laatste IP-adressen, KeyTokens, en meer. Hoewel de claim nog niet onafhankelijk is geverifieerd, roept het incident ernstige zorgen op over de beveiliging van overheidsplatforms en de bescherming van persoonlijke gegevens van burgers. SILKFIN Agency staat bekend om gerichte aanvallen op zowel overheids- als particuliere systemen, wat dit incident extra zorgwekkend maakt.
ENG: Gevoelige gegevens van Brits bedrijf Bar2 te koop aangeboden na vermeende datalek
Een cybercrimineel beweert het Britse bedrijf Bar2 te hebben gehackt en biedt naar verluidt de gestolen gegevens te koop aan op een ondergronds forum. De gestolen data, afkomstig van de website bar2.co.uk, omvat naar verluidt 1GB aan gecomprimeerde bedrijfsinformatie, verdeeld over 5.009 bestanden in 205 mappen. Deze bestanden bevatten diverse bestandsformaten, zoals PDF, XLS, TIF en JPG, en worden aangeboden voor 2.000 USD via het platform Filehaus.su.
Bar2 is een gevestigd bedrijf in het Verenigd Koninkrijk dat gespecialiseerd is in het leveren van op maat gemaakte juridische oplossingen en deskundig advies aan klanten in de financiële en zakelijke sectoren. Het bedrijf staat bekend om zijn hoogwaardige dienstverlening, wat dit vermeende datalek bijzonder zorgwekkend maakt. De volledige impact van dit incident op de klanten en de operationele activiteiten van Bar2 is nog onduidelijk.
ESP: Gegevenslek bij Lookiero treft meer dan 5 miljoen gebruikers
Op 5 augustus 2024 vond een aanzienlijk datalek plaats bij Lookiero, een populaire mode-abonnementsdienst. Volgens een bericht op een darkweb-forum beweert een dreigingsactor dat meer dan 5 miljoen records zijn gelekt. Het bestand met de gelekte gegevens is 4,11 GB groot en bevat zeer gevoelige informatie, waaronder gebruikers-ID’s, wachtwoorden, creditcardgegevens, en persoonlijke gegevens zoals gebruikersnamen, adressen en accountbalansen.
Lookiero, opgericht in Spanje, biedt gepersonaliseerde stylingdiensten aan klanten in meerdere Europese landen. De dienst werkt met persoonlijke gegevens om stijladvies en kledingstukken op maat aan te bieden, wat de impact van dit datalek des te ernstiger maakt. Het bedrijf staat nu voor een aanzienlijke uitdaging om het vertrouwen van klanten te herstellen en verdere schade te voorkomen. De dreigingsactor heeft ook een voorbeeld van de gelekte gegevens openbaar gemaakt, wat de authenticiteit van de claims lijkt te bevestigen.
THA: Databreach bij Siam Cement Group door SILKFIN AGENCY
Op 20 augustus 2024 heeft de dreigingsgroep SILKFIN AGENCY via een Telegram-kanaal een vermeende databreach bij de Siam Cement Group (SCG) aangekondigd. SCG is een toonaangevend ASEAN-conglomeraat, bekend om zijn duurzame bedrijfsvoering. Volgens SILKFIN AGENCY werd de database van SCG op diezelfde dag gecompromitteerd.
De gestolen gegevens zouden meer dan 16.000 B2B-lijnen omvatten en bestrijken een periode van tien jaar, van 2014 tot 2024. De gelekte informatie bevat onder meer gevoelige details zoals bedrijfs-ID's, administratieve gegevens, contactinformatie, installatie-locaties, gebouwspecificaties en verschillende goedkeuringshandtekeningen.
SCG, dat wereldwijd wordt erkend voor zijn leiderschap in duurzaamheid en innovatie, heeft als doelstelling om tegen 2050 netto nul-uitstoot van broeikasgassen te bereiken. Het is nog onduidelijk welke impact deze datalek zal hebben op de lopende initiatieven en de reputatie van het bedrijf.
USA: Moroccan hackers compromitteren spacex en overheid van new jersey
Op 20 augustus 2024 maakten Marokkaanse hackers, waaronder de groepen Moroccan Soldiers en MoroccanCyberAliens, bekend dat ze erin zijn geslaagd om de websites van SpaceX en de overheid van New Jersey (nj.gov) te hacken. Volgens berichten op hun Telegram-kanaal hebben de hackers een kwetsbaarheid in spacex.com benut om ongeïdentificeerde gegevens te verkrijgen. In een afzonderlijke aanval zouden ze ook toegang hebben gekregen tot alle beschikbare data van de officiële website van New Jersey. Hoewel de details van de gestolen informatie niet zijn bevestigd, onderstrepen deze aanvallen de aanwezigheid van aanzienlijke beveiligingslekken bij zowel een groot commercieel bedrijf als een overheidsinstantie. SpaceX, opgericht door Elon Musk, is wereldwijd bekend om zijn innovatieve ruimtevaartprogramma's, en deze inbreuk kan mogelijk grote gevolgen hebben voor de reputatie en veiligheid van het bedrijf.
Dark web-verkoper biedt netwerktoegang aan voor Amerikaans transportbedrijf
Een dreigingsacteur op het dark web biedt naar verluidt volledige netwerktoegang aan tot een prominente Amerikaanse onderneming in de transport- en logistieke sector. Het bedrijf, dat actief is in vervoer, logistiek, luchtvaart en vrachtservices, genereert naar schatting een omzet van ongeveer $80 miljoen. De aangeboden toegang betreft VPN-toegang, mogelijk met aanvullende netwerktoegang, en geeft gebruikersrechten op gebruikersniveau binnen het bedrijfsnetwerk. De verkoper vraagt $8.000 voor deze toegang, met de mogelijkheid tot onderhandelen.
Dergelijke netwerktoegang wordt vaak misbruikt door ransomware-groepen, wat wijst op een voortdurende bedreiging voor de cybersecurity van bedrijven. Dit incident benadrukt de dreiging die boven bedrijven in vitale sectoren hangt, vooral als ze actief zijn in de transport en logistiek.
Het betrokken bedrijf speelt een cruciale rol in de Amerikaanse infrastructuur, wat de potentiële impact van dergelijke beveiligingsinbreuken nog zorgwekkender maakt.
USA: Darkweb verkoop van netwerktoegang tot Amerikaanse financiële onderneming
Een cybercrimineel biedt op een dark web forum ongeautoriseerde toegang aan tot het interne netwerk van een in de VS gevestigde financiële en handelsfirma, met een geschatte jaaromzet van $100 miljoen. De dader beweert backdoors te hebben geplaatst op verschillende websites van het bedrijf, wat toegang zou kunnen geven tot de interne systemen. Ook biedt de aanvaller wachtwoorden voor interne machines en toegang tot een Active Directory (AD) machine met lokale beheerdersrechten. Deze toegang kan mogelijk worden gebruikt voor het inzetten van ransomware of andere kwaadaardige activiteiten.
Het bedrijf, dat actief is in de financiële sector, wordt hiermee geconfronteerd met een aanzienlijke dreiging die de continuïteit van hun operaties ernstig kan verstoren. De dader lijkt onzeker over de waarde van deze toegang en zoekt naar biedingen via de dark web marktplaats of versleutelde communicatiekanalen, wat duidt op een mogelijke poging tot financiële exploitatie van de situatie.
IND: Ransomware-aanval op Glaze Trading India Pvt. Ltd. leidt tot diefstal van 12TB aan gevoelige gegevens
Een dreigingsactor claimt 12TB aan data te hebben gestolen van Glaze Trading India Pvt. Ltd., een toonaangevend direct verkoopbedrijf in India. De gegevens zouden zijn verkregen via een ransomware-aanval, waardoor de systemen van Glaze al meer dan een week offline zijn. De gestolen informatie omvat volgens de dader volledige databases, klantgegevens, financiële documenten en andere gevoelige informatie.
Glaze Trading India, ook bekend als Glaze Galway, werd opgericht in 2003 en is uitgegroeid tot een belangrijke speler in de directe verkoopsector in India. Het bedrijf beschikt over een uitgebreid productportfolio, een netwerk van meer dan 120 staatsfranchises en ongeveer 1,2 miljoen onafhankelijke distributeurs. Met een jaarlijkse omzet van 480 crores en een groepsomzet van 1200 crores, heeft Glaze ambitieuze uitbreidingsplannen in onder andere Zuid-Azië en de VAE. De gestolen data zou ook vertrouwelijke bedrijfsdocumenten bevatten die zijn verkregen uit de S3-back-ups van het bedrijf, wat ernstige zorgen oproept over de beveiliging van hun brede klantennetwerk en bedrijfsoperaties.
IND: 1,3 miljoen klantgegevens van Carehands gelekt op darkweb
Op 17 augustus 2024 is een grote hoeveelheid klantgegevens van het Indiase bedrijf Carehands gelekt en aangeboden op een dark web forum. Carehands, een bedrijf dat actief is in thuiszorg, personeelsdiensten, medisch toerisme en reisorganisaties, heeft te maken met een ernstige inbreuk waarbij de gegevens van 1,3 miljoen klanten zijn gestolen. De gelekte gegevens omvatten gevoelige informatie zoals documenten, cv's, lead imports en notities, die allemaal gerelateerd zijn aan de diverse diensten van het bedrijf. De database, die wordt aangeboden voor $2.100, is beschikbaar in CSV-formaat, en de cybercrimineel heeft zelfs een voorbeeld van de gestolen gegevens gedeeld om de authenticiteit van het lek te bewijzen. Carehands, dat een belangrijke rol speelt in zowel de medische als toeristische sector in India, is hierdoor zwaar getroffen.
USA: Databreach bij Strong Current Enterprises treft 17,9 miljoen gebruikers
In augustus 2024 is Strong Current Enterprises, een toonaangevende aanbieder van e-commerce oplossingen gevestigd in Hoboken, Verenigde Staten, getroffen door een aanzienlijke datalek. De dreigingsactor, bekend als Hikki-Chan, heeft de verantwoordelijkheid opgeëist voor de aanval waarbij gevoelige informatie van meer dan 17,9 miljoen gebruikers is blootgelegd. De uitgelekte gegevens, die een omvang van 12,36 GB beslaan, bevatten onder andere e-mailadressen, telefoonnummers, volledige namen, adressen, ordernummers, transactie-ID's, namen van betalingsverwerkers, SKU-ID's, landnamen en valutacodes. Strong Current Enterprises, dat gespecialiseerd is in het leveren van technologische oplossingen voor online handel, wordt hiermee geconfronteerd met een ernstige bedreiging voor zowel hun klantenbestand als hun bedrijfsreputatie. Het incident onderstreept de noodzaak voor bedrijven in deze sector om extra aandacht te besteden aan gegevensbescherming en het adequaat reageren op dergelijke inbreuken.
USA: Bouwmaterialenbedrijf getroffen door Akira ransomware
North Georgia Brick Co., Inc., een bedrijf in de bouwmaterialensector, is recentelijk slachtoffer geworden van een aanval door de Akira-ransomwaregroep. De aanvallers beweren dat ze 10 GB aan bedrijfsgegevens in handen hebben, waaronder gevoelige informatie zoals werknemersdocumenten, contracten, overeenkomsten, gedetailleerde boekhoudgegevens en financiële informatie. North Georgia Brick Co., Inc. is een prominente speler in de distributie van bakstenen en bouwmaterialen in de regio, wat deze aanval des te ernstiger maakt vanwege de mogelijke impact op zowel het bedrijf als zijn klanten. De Akira-groep staat bekend om het stelen en vervolgens versleutelen van data, waarbij ze losgeld eisen in ruil voor het niet openbaar maken van de gestolen informatie. Deze aanval onderstreept de risico's waar bedrijven in de bouwsector mee te maken kunnen krijgen als ze niet voldoende cyberbeveiligingsmaatregelen treffen.
UK: Rushlift getroffen door LYNX ransomware-aanval
Rushlift, een bedrijf actief in de transport-, logistiek-, supply chain- en opslagsector, is recentelijk slachtoffer geworden van een aanval door de LYNX ransomware-groep. Deze groep beweert toegang te hebben verkregen tot en data te hebben gestolen van de organisatie. LYNX ransomware staat bekend om zijn agressieve aanpak waarbij ze niet alleen gegevens versleutelen, maar ook dreigen deze te publiceren of door te verkopen als er geen losgeld wordt betaald. Dit incident plaatst Rushlift in een moeilijke positie, gezien de kritieke rol van data in hun dagelijkse operaties. Rushlift biedt diverse diensten, zoals materiaalbeheer en apparatuurverhuur, aan een breed scala van industrieën, waaronder de luchtvaart en logistiek. Het verlies of de bedreiging van hun data kan ernstige gevolgen hebben voor hun klanten en de bedrijfsvoering. Het is nog onduidelijk welke stappen het bedrijf zal ondernemen in reactie op deze aanval.
USA: St. James Place getroffen door Cloak Ransomware
St. James Place, een bedrijf in de wellness- en fitnesssector, is recentelijk het slachtoffer geworden van een aanval met Cloak ransomware. De aanvallers beweren 100 GB aan data van het bedrijf te hebben bemachtigd en hebben als bewijs enkele schermafbeeldingen op hun dark web-portaal geplaatst. Cloak ransomware is een steeds vaker opduikende dreiging in het cyberlandschap, waarbij gevoelige bedrijfsinformatie wordt gegijzeld in ruil voor losgeld. St. James Place is gespecialiseerd in gezondheids- en fitnessdiensten en de aanval kan grote gevolgen hebben voor de privacy van hun klanten en de integriteit van hun bedrijfsvoering. Het bedrijf staat nu voor de uitdaging om de omvang van de schade te beoordelen en passende stappen te ondernemen om de situatie te beheersen.
USA: twee bedrijven getroffen door RansomHub ransomware
Blower-Dempsay Corporation, actief in de verpakkings- en containersindustrie, is slachtoffer geworden van een RansomHub ransomware-aanval. De hackersgroep beweert 679 GB aan bedrijfsdata te hebben buitgemaakt en dreigt deze binnen 6-7 dagen openbaar te maken. Blower-Dempsay Corporation is een belangrijk speler binnen zijn sector, gespecialiseerd in het leveren van verpakkingsoplossingen voor diverse industrieën.
Ook inLighten, een bedrijf in de media productiesector, is getroffen door dezelfde ransomware. De cybercriminelen claimen hier maar liefst 1,8 TB aan data te hebben gestolen en willen deze binnen 1-2 dagen publiceren. inLighten biedt diverse digitale signage en communicatiediensten aan en speelt een cruciale rol in de media- en entertainmentindustrie.
USA: Qilin ransomware aanval op Penn Veterinary Supply Inc.
Penn Veterinary Supply Inc, een toonaangevende distributeur van veterinaire producten en apparatuur in de Verenigde Staten, is recentelijk het doelwit geworden van een Qilin ransomware-aanval. De Qilin-groep, bekend om hun geavanceerde cyberaanvallen, beweert toegang te hebben gekregen tot en gegevens te hebben gestolen van het bedrijf. Deze aanval op Penn Veterinary Supply Inc, een essentieel bedrijf in de veterinaire sector, onderstreept de toenemende dreiging van ransomware voor kritieke infrastructuren en bedrijven in de gezondheidszorgsector. Het incident werpt vragen op over de beveiligingsmaatregelen van bedrijven die betrokken zijn bij de distributie van medische en veterinaire benodigdheden, gezien de potentiële impact op de levering van belangrijke producten.
Nep-uitnodigingen voor podcasts gebruiken nieuwe BlackSmith malware
Cybercriminelen van de groep TA453 hebben recent een prominente Joodse persoon aangevallen met nep-uitnodigingen voor een podcast, onder het mom van het Institute for the Study of War (ISW). De aanvallers verstuurden e-mails vanaf zowel een gespoofed organisatieadres als een persoonlijk e-mailadres. Na reactie van het slachtoffer werd een schadelijke link gestuurd, die leidde tot de installatie van de BlackSmith-toolkit. Deze toolkit maakt gebruik van geavanceerde malwaretechnieken, waaronder de AnvilEcho Powershell Trojan. TA453, vermoedelijk opererend in opdracht van de Iraanse overheid, past social engineering toe om slachtoffers te misleiden en gevoelige informatie te verzamelen. De groep gebruikt hiervoor modulaire PowerShell-backdoors om detectie te vermijden en richt zich vooral op diplomaten, politieke figuren en academici. Ondanks het gebrek aan directe bewijsvoering, wordt TA453 door Proofpoint gelinkt aan de Iraanse Revolutionaire Garde (IRGC), met name aan de inlichtingenorganisatie IRGC-IO.
Nieuwe geavanceerde Amnesia Malware bedreigt gebruikers met geavanceerde functies
De nieuwe malware genaamd 'Amnesia' vormt een aanzienlijke dreiging met twee versies: Free en VIP. De Free-versie biedt een scala aan schadelijke mogelijkheden, zoals een GUI Builder, opstartpersistentie, een nep-foutmelding, en het binden van .exe-bestanden. Deze versie richt zich op het stelen van gegevens van platforms zoals Discord, Steam, Epic, Uplay, Battle[.]Net, Minecraft, Telegram, Roblox en cryptowallets. Ook verzamelt het systeemdata, maakt screenshots en webcambeelden, en stuurt deze via Discord-webhooks of Telegram-bots.
De VIP-versie van Amnesia gaat nog een stap verder met geavanceerde functies zoals UAC-bypass, het uitschakelen van Windows Defender en Anti-VM technieken. Daarnaast biedt het mogelijkheden voor het opnemen van audio, het stelen van cryptografische gegevens, het manipuleren van bestanden, het uitvoeren van RAT-functies, het versleutelen van gebruikersbestanden en keylogging. Deze versie is gericht op uitgebreide datadiefstal en cryptomining-operaties, wat het een uiterst gevaarlijke tool maakt voor cybercriminelen.
BlindEagle APT: Een blijvende dreiging in Latijns-Amerika
BlindEagle, ook bekend als "APT-C-36", is een geavanceerde dreigingsgroep die zich richt op Latijns-Amerikaanse landen zoals Colombia, Ecuador, Chili en Panama. Deze groep staat bekend om het uitvoeren van zowel financieel gemotiveerde aanvallen als spionageactiviteiten. Ze maken gebruik van phishing e-mails die vaak overheidsinstanties of financiële instellingen nabootsen om slachtoffers te misleiden. Een opvallend kenmerk van hun aanpak is de geografische filtering van hun aanvallen, waarbij alleen doelwitten in specifieke landen worden aangevallen. De groep gebruikt verschillende Remote Access Trojans (RATs) om toegang te krijgen tot systemen en gevoelige informatie te stelen. Ondanks hun eenvoudige methoden, blijft BlindEagle een ernstige dreiging door hun aanpassingsvermogen en voortdurende verbeteringen in hun aanvalstechnieken. Recentelijk zijn ze begonnen met het inzetten van nieuwe methoden zoals DLL sideloading en geavanceerde malware loaders om hun activiteiten effectiever uit te voeren. 1
USA: Uitgelekte broncode van de New York Times onthult duizenden geheimen
De New York Times heeft onlangs te maken gehad met een grote beveiligingsinbreuk waarbij hun volledige broncode werd gelekt. In totaal zijn meer dan 5.600 git-repositories openbaar gemaakt, waaronder privécode van het populaire spel Wordle. Tijdens een diepgaand onderzoek ontdekte GitGuardian dat deze lekken meer dan 4.800 unieke geheimen bevatten, waaronder minstens 228 kritieke API-sleutels en beveiligingscertificaten. Deze gevoelige gegevens kunnen worden misbruikt door kwaadwillenden om toegang te krijgen tot interne systemen of om gegevens te stelen. De oorzaak van het lek was een publiekelijk uitgelekte GitHub-token, waardoor derden toegang kregen tot de privébroncode van de New York Times. Het bedrijf heeft bevestigd dat zij sinds januari 2024 op de hoogte zijn van dit probleem en heeft sindsdien maatregelen genomen om hun beveiliging te versterken en gelekte sleutels ongeldig te maken. Desondanks blijft het risico van dergelijke lekken groot, vooral als kwaadwillenden ongepubliceerde toegang verkrijgen. 1
Digitale portemonnees kwetsbaar voor fraude met gestolen creditcards
Onderzoek wijst uit dat digitale portemonnees zoals Apple Pay en Google Pay gevoelig zijn voor fraude met gestolen creditcards. Criminelen kunnen gestolen of zelfs geannuleerde kaarten toevoegen aan hun digitale portemonnees en ongeautoriseerde aankopen doen. Dit is mogelijk door kwetsbaarheden in het authenticatieproces tussen banken en portemonnees, waarbij aanvallers kunnen kiezen voor minder veilige authenticatiemethoden. Zelfs nadat een kaart is geblokkeerd en vervangen, blijven digitale portemonnees toegang geven tot de kaart via een opgeslagen token, waardoor transacties kunnen doorgaan. De onderzoekers adviseren verbeteringen in de beveiliging, zoals het implementeren van continue authenticatie en strengere controle op terugkerende betalingen om misbruik te voorkomen. Hoewel sommige banken en wallet-providers maatregelen hebben genomen, blijft er volgens de onderzoekers nog werk aan de winkel om deze kwetsbaarheden volledig aan te pakken.
TUR: ransomware-aanval op Akkanat Holding door Hunters International
Akkanat Holding, een prominent Turks bedrijf, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de cybercriminele groep Hunters International. De aanvallers beweren dat zij maar liefst 623,9 GB aan bedrijfsgegevens hebben gestolen. De groep heeft een ultimatum gesteld voor het betalen van losgeld, met een deadline op 22 augustus 2024. Akkanat Holding is actief in diverse sectoren, waaronder energie, toerisme, en textiel, en speelt een belangrijke rol in de Turkse economie. De impact van deze aanval kan verstrekkende gevolgen hebben voor zowel het bedrijf als de betrokken sectoren. De gegevens die mogelijk zijn buitgemaakt, kunnen bedrijfsgeheimen en gevoelige informatie bevatten, wat de situatie des te ernstiger maakt.
Dit incident onderstreept de toenemende dreiging van ransomware-aanvallen, waarbij bedrijven met aanzienlijke gevolgen geconfronteerd worden als zij niet voldoen aan de eisen van de cybercriminelen. Akkanat Holding staat nu voor de uitdaging om snel en effectief te reageren op deze dreiging.
JAP: Kadokawa: Black Suit ransomwaregroep blijft dreiging vormen voor bedrijf
Kadokawa, een groot Japans mediabedrijf dat actief is in de uitgeverij, filmproductie en videogame-industrie, is recentelijk slachtoffer geworden van de Black Suit ransomwaregroep. Deze groep cybercriminelen heeft gevoelige bedrijfsgegevens versleuteld en eist een losgeld in ruil voor het ontsleutelen van deze data. De aanvallers blijven het bedrijf bedreigen met de mogelijkheid om de gestolen gegevens openbaar te maken of te verkopen op het dark web, wat ernstige gevolgen kan hebben voor de reputatie en het voortbestaan van Kadokawa. Het bedrijf onderzoekt momenteel de omvang van de aanval en werkt samen met cybersecurity-experts om de schade te beperken en verdere incidenten te voorkomen. Deze cyberaanval benadrukt de kwetsbaarheid van zelfs grote, gevestigde bedrijven in de media-industrie voor geavanceerde ransomware-aanvallen.
Overzicht van Hack Tuesday (14-20 augustus 2024)
Tijdens de Hack Tuesday van 14-20 augustus 2024 zijn wereldwijd 93 slachtoffers gevallen door aanvallen van 27 verschillende hackgroepen. De ransomwaregroep RansomHub was het meest actief, met 20 geclaimde aanvallen. De Verenigde Staten waren het zwaarst getroffen, met 46% van de slachtoffers. Binnen de getroffen sectoren werd de maakindustrie het hardst geraakt, goed voor 26% van de aanvallen, gevolgd door de professionele, wetenschappelijke en technische sectoren met 17%.
De totale hoeveelheid gestolen gegevens wordt geschat op ongeveer 29,1 terabyte. De gemiddelde CyberRisk Factor voor deze week is vastgesteld op 4.0, wat de significantie van de dreiging onderstreept.
Deze cijfers tonen de agressieve activiteiten van hackers en de voortdurende focus op de VS en kritieke sectoren zoals de maakindustrie. Het bedrijf RansomHub lijkt een prominente rol te spelen in de huidige cyberdreigingen, vooral door het richten op belangrijke economische sectoren.
IND: JPoint getroffen door ransomware-aanval
De Kill Security ransomware-groep beweert een succesvolle aanval te hebben uitgevoerd op JPoint, een digitaal project gelanceerd door de Jain International Trade Organization (JITO) en ondersteund door Nahar Group. Tijdens deze aanval zouden meer dan 2 miljoen klantgegevens zijn buitgemaakt. De aanvallers eisen een losgeldbedrag van $15.000, met een deadline gesteld op 5 september 2024. JPoint is een initiatief van JITO, dat zich richt op het bevorderen van handel en netwerken binnen de Jain-gemeenschap in India. Deze aanval heeft ernstige gevolgen voor zowel de reputatie van JITO als de privacy van de betrokken klanten. Het benadrukt de kwetsbaarheid van digitale projecten in het huidige cyberlandschap. De Nahar Group, een bekend conglomeraat in India, is nauw betrokken bij dit project en kan aanzienlijke schade ondervinden als de situatie niet snel onder controle wordt gebracht.
MEX: CUSAEM getroffen door LockBit 3.0 ransomware-aanval
CUSAEM, een beveiligingsorganisatie in de staat Mexico (Cuerpos de Seguridad Auxiliares del Estado de México), is getroffen door een aanval van de LockBit 3.0 ransomware-groep. De aanvallers beweren dat ze maar liefst 630 GB aan gevoelige gegevens hebben buitgemaakt. De gestolen data omvat mogelijk vertrouwelijke informatie met betrekking tot de operationele en administratieve processen van CUSAEM. De daders hebben een ultimatum gesteld: als er vóór 30 augustus 2024 geen losgeld wordt betaald, dreigen ze de gegevens openbaar te maken. Deze aanval onderstreept de groeiende dreiging van geavanceerde ransomware-groepen zoals LockBit 3.0 en hun vermogen om kritieke infrastructuren te treffen. CUSAEM, een belangrijke entiteit voor beveiligingsdiensten in Mexico, staat nu voor de uitdaging om snel te reageren om de impact van deze aanval te minimaliseren en verdere schade te voorkomen.
Lynx ransomware groep bespreekt voordelen van Tor en alternatieve browsers
De Lynx ransomware-groep heeft in een recent blogartikel op hun clearnet-platform de voor- en nadelen besproken van het gebruik van Tor en mainstream browsers zoals Brave, Chrome, en Edge. Tor wordt geprezen vanwege zijn anonimiteit en privacybescherming, cruciaal voor activiteiten op het dark web. Brave wordt gezien als een goede middenweg, met verbeterde privacyfuncties in vergelijking met traditionele browsers, maar zonder de volledige anonimiteit van Tor. Chrome en Edge worden gezien als ongeschikt voor gevoelige operaties vanwege hun nauwe integratie met grote technologiebedrijven die gegevens verzamelen. Lynx benadrukt dat, hoewel Tor de beste keuze blijft voor anonieme activiteiten, de keuze van de browser afhankelijk moet zijn van de specifieke behoeften en risico's van de gebruiker. Het artikel toont de voortdurende aandacht van cybercriminelen voor technologische tools die hun activiteiten kunnen optimaliseren.
CIV: Codival slachtoffer van ransomware-aanval door Space Bears
Codival, een bedrijf gevestigd in Ivoorkust, is het nieuwste slachtoffer van een ransomware-aanval door de beruchte groep Space Bears. Deze cybercriminelen beweren dat ze toegang hebben verkregen tot gevoelige bedrijfsgegevens van Codival en eisen een losgeld, met een deadline gesteld op 30 augustus 2024. Space Bears is een bekende speler in de wereld van ransomware, vaak gericht op bedrijven met waardevolle data. Codival, actief in diverse sectoren, staat bekend om zijn betrokkenheid bij de distributie van consumentenproducten in Ivoorkust. De aanval op Codival onderstreept het toenemende gevaar dat bedrijven in de regio lopen, vooral nu cybercriminelen steeds gerichter te werk gaan. Het is nog onduidelijk hoe Codival van plan is te reageren op de eisen van Space Bears.
USA: CannonDesign getroffen door Avos Locker ransomware-aanval
CannonDesign, een toonaangevend architectuur- en ingenieursbureau uit de Verenigde Staten, heeft een datalek bevestigd na een Avos Locker ransomware-aanval in januari 2023. Bij deze aanval hebben hackers toegang gekregen tot het netwerk van het bedrijf en 5,7 TB aan data gestolen, waaronder namen, adressen, social security nummers, en rijbewijsnummers. Het datalek werd pas in mei 2024 volledig onderzocht, waarna het bedrijf in augustus 2024 de betrokken 13.000 klanten op de hoogte stelde. Ondanks de vertraging biedt CannonDesign 24 maanden kredietbewaking aan via Experian.
De gestolen data werd na een mislukte poging tot afpersing door de aanvallers gepubliceerd op meerdere dark web-platforms, waaronder Dunghill Leaks en ClubHydra. CannonDesign, dat bekendstaat om zijn werk aan prestigieuze projecten zoals het University of Minnesota Health Clinics and Surgery Center, benadrukt dat er vooralsnog geen bewijs is van misbruik van de gestolen gegevens.
USA: Cyberaanval verstoort operaties van Microchip Technology
Microchip Technology Incorporated, een toonaangevende Amerikaanse chipfabrikant gevestigd in Chandler, Arizona, heeft een cyberaanval gemeld die zijn systemen gedurende het weekend heeft getroffen. Deze aanval heeft geleid tot verstoringen in meerdere productiefaciliteiten, waardoor de operationele capaciteit van het bedrijf werd verminderd. Het incident, ontdekt op 17 augustus 2024, dwong Microchip Technology om bepaalde systemen stil te leggen en getroffen systemen te isoleren. De aanval beïnvloedt momenteel de mogelijkheid van het bedrijf om bestellingen op tijd te leveren.
Microchip Technology, dat wereldwijd circa 123.000 klanten bedient in sectoren zoals industrie, auto-industrie, consumentenelektronica, lucht- en ruimtevaart, defensie, communicatie, en IT, werkt samen met externe cybersecurity-experts om de schade te evalueren en de getroffen IT-systemen te herstellen. Hoewel het volledige effect van de aanval nog wordt onderzocht, suggereert een SEC-melding dat het om een ransomware-aanval zou kunnen gaan, hoewel geen enkele groep de verantwoordelijkheid heeft opgeëist. 1
Nieuwe backdoor Msupedge geïnstalleerd via PHP-exploit op Windows-systemen
Onbekende aanvallers hebben een nieuwe backdoor, genaamd Msupedge, geïnstalleerd op de Windows-systemen van een Taiwanese universiteit. Dit gebeurde waarschijnlijk door misbruik te maken van een onlangs gepatchte kwetsbaarheid in PHP (CVE-2024-4577), die aanvallers in staat stelt om op afstand willekeurige code uit te voeren. De backdoor werd geïnstalleerd via twee dynamische linkbibliotheken (DLL's), waarbij één van deze DLL's werd geladen door het Apache-proces. Msupedge valt op door het gebruik van DNS-tunneling voor communicatie met de command-and-control (C&C) server, een techniek die zelden in het wild wordt gezien. De aanvallers kunnen via deze backdoor diverse commando's uitvoeren, zoals het aanmaken van processen en het downloaden van bestanden. Symantec's Threat Hunter Team ontdekte de malware tijdens het onderzoek naar deze aanval en vermoedt dat de aanvallers toegang hebben gekregen via de genoemde kwetsbaarheid in PHP. De exacte motieven en identiteit van de aanvallers blijven onbekend.
USA: datalek bij Oregon Zoo treft meer dan 117.000 bezoekers
Oregon Zoo, het grootste en meest bezochte dierenpark van Oregon, heeft een datalek gemeld waarbij betalingsgegevens van bezoekers zijn gestolen. Het incident trof mensen die tussen december 2023 en juni 2024 online tickets hebben gekocht. De betalingsgegevens, waaronder volledige namen, kaartnummers, CVV-codes en vervaldatums, werden naar een phishingpagina omgeleid door een ongeautoriseerde actor. In totaal zijn 117.815 personen getroffen.
Oregon Zoo, dat voorheen bekend stond als Portland Zoo en Washington Park Zoo, heeft meer dan 1,7 miljoen bezoekers per jaar. Het park beslaat 64 hectare en huisvest 1.800 dieren van 232 verschillende soorten.
Na de ontdekking van het lek op 26 juni 2024, heeft het park zijn online ticketingsysteem uitgeschakeld en vervangen door een veiliger betalingssysteem. Getroffenen worden geïnformeerd en ontvangen 12 maanden gratis kredietbewaking en identiteitsbeschermingsdiensten om het risico op fraude te beperken. Bezoekers wordt geadviseerd om alert te zijn op verdachte transacties en eventueel hun betaalkaart te laten vervangen.
Unicoin medewerkers dagenlang buitengesloten na hack op Google Workspace
Een hacker heeft toegang verkregen tot het Google Workspace-account van Unicoin, een cryptoproject dat bekendstaat om zijn transparantie en publieke rapportages. De aanvaller wijzigde de wachtwoorden van alle medewerkers, waardoor zij gedurende vier dagen geen toegang hadden tot hun zakelijke e-mail en andere Google-diensten. De aanval vond plaats op 9 augustus 2024 en Unicoin kon pas op 13 augustus 2024 de controle over het account herstellen.
Tijdens de aanval had de hacker toegang tot vertrouwelijke informatie, waaronder interne communicatie en persoonlijke gegevens van medewerkers. Er zijn aanwijzingen gevonden van datamanipulatie, fraudepogingen en identiteitsvervalsing. Hoewel de impact van het incident nog wordt geëvalueerd, geeft Unicoin aan dat er geen financiële schade is geconstateerd die van invloed zou zijn op de cryptovaluta of de financiële status van het bedrijf. 1
Windows-kwetsbaarheid sinds juni misbruikt voor installatie van rootkit
Sinds juni 2024 wordt een kwetsbaarheid in de Windows Ancillary Function Driver actief misbruikt door cybercriminelen om de FudModule-rootkit te installeren, volgens beveiligingsbedrijf Gen Digital. Deze rootkit stelt aanvallers in staat om hun activiteiten te verbergen voor beveiligingssoftware en zelfs antivirus- en monitoringssoftware uit te schakelen. De kwetsbaarheid, aangeduid als CVE-2024-38193, maakt het mogelijk dat aanvallers met toegang tot een systeem SYSTEM-rechten verkrijgen, waardoor ze controle krijgen over kritieke delen van het systeem. Microsoft heeft inmiddels een beveiligingsupdate uitgebracht om deze kwetsbaarheid te verhelpen. De beruchte Noord-Koreaanse Lazarus Group wordt verantwoordelijk gehouden voor deze aanvallen. Deze groep staat bekend om eerdere grote cyberaanvallen, waaronder de verspreiding van de WannaCry-ransomware en verschillende andere grootschalige diefstallen. Dit incident benadrukt opnieuw de noodzaak van snelle beveiligingsupdates om dergelijke ernstige bedreigingen te voorkomen. 1
Verkoop van 732.187 Binance e-mails op het darkweb
Een onbekende dreigingsactor beweert dat hij toegang heeft tot de gegevens van 732.187 Binance-gebruikers en biedt deze te koop aan op het dark web. De startprijs voor de database is $3.000. De gestolen gegevens bestaan naar verluidt voornamelijk uit e-mailadressen van Binance-gebruikers. Hoewel er geen verdere details bekend zijn over de aard van de gegevens, is het aannemelijk dat deze e-mails gebruikt kunnen worden voor phishing-aanvallen of andere vormen van cybercriminaliteit. Binance, een van 's werelds grootste cryptocurrency-exchanges, wordt regelmatig geconfronteerd met beveiligingsincidenten vanwege zijn omvangrijke gebruikersbestand. Het bedrijf heeft in het verleden diverse maatregelen genomen om de beveiliging van gebruikersdata te versterken, maar blijft een aantrekkelijk doelwit voor cybercriminelen.
Nieuwe bedreiging voor Windows-gebruikers steelt cryptocurrency
Een nieuw type malware, genaamd Styx Stealer, vormt een ernstige bedreiging voor Windows-gebruikers, vooral degenen die handelen in cryptocurrency. Deze malware, een geavanceerde variant van de eerder bekende Phemedrone Stealer, is in staat om niet alleen browsercookies, inloggegevens en berichten te stelen, maar ook om crypto-wallets leeg te halen. Styx Stealer richt zich op kwetsbaarheden in Windows en kan zonder waarschuwing scripts uitvoeren, zelfs als de beveiligingssoftware up-to-date is. Een gevaarlijke functie van deze malware is de zogenaamde crypto-clipping, waarbij tijdens transacties het adres van de cryptowallet ongemerkt wordt gewijzigd naar dat van de aanvaller. Hoewel Microsoft eerder een kwetsbaarheid heeft gepatcht die door deze malware wordt misbruikt, blijven veel Windows 10-gebruikers kwetsbaar vanwege het naderende einde van de ondersteuning. Het is essentieel om Windows up-to-date te houden en waakzaam te zijn bij verdachte e-mails en berichten om besmetting te voorkomen. 1
Vier bedrijven getroffen door Cloak-ransomware, gegevens gelekt
De Cloak-ransomwaregroep heeft, zoals gebruikelijk na de onderhandelingsperiode, de namen van vier doelwitten op hun dataleksite gepubliceerd. De getroffen organisaties zijn:
- Verenigd Koninkrijk: Dunlop Aircraft Tyres – 102 GB aan gegevens gelekt, oorspronkelijk gemeld op 3 juli.
- Denemarken: Boligforeningen VIBO – 140 GB aan gegevens gelekt, oorspronkelijk gemeld op 10 juli. VIBO meldde op 18 juli via Facebook dat hun IT-systemen weer volledig operationeel zijn.
- Duitsland: HVB Ingenieurgesellschaft – 136 GB aan gegevens gelekt, oorspronkelijk gemeld op 19 juli.
- Verenigd Koninkrijk: Westermans International – minder dan 100 GB aan gegevens gelekt, oorspronkelijk gemeld op 19 juli.
De Cloak-groep staat bekend om het openbaar maken van gestolen gegevens wanneer onderhandelingen met de slachtoffers mislukken. Dit benadrukt de voortdurende dreiging die ransomware vormt voor organisaties wereldwijd.
USA: ransomware-aanval treft openbaar vervoersbedrijf in Kentucky
De Transit Authority of Northern Kentucky (TANK) is het slachtoffer geworden van een aanval door de Akira-ransomwaregroep. Deze cybercriminelen hebben naar eigen zeggen toegang gekregen tot gevoelige gegevens van de organisatie, waaronder persoonlijke informatie van medewerkers, vertrouwelijke overeenkomsten, contracten, incidentrapporten en klantgegevens. TANK, verantwoordelijk voor openbaar vervoer in Noord-Kentucky, ziet zich nu geconfronteerd met aanzienlijke veiligheidsrisico's en mogelijke gevolgen voor zowel personeel als klanten. De aanval benadrukt de geavanceerde technieken die door de Akira-groep worden gebruikt, een ransomware-collectief dat bekend staat om het richten op bedrijven met waardevolle data. Het incident brengt de noodzaak van sterke cyberbeveiligingsmaatregelen onder de aandacht, vooral voor organisaties die kritieke infrastructuur beheren.
USA: Waynesboro Nurseries slachtoffer van Rhysida ransomware-aanval
Waynesboro Nurseries, een Amerikaans bedrijf gespecialiseerd in de teelt en verkoop van planten en bomen, is getroffen door een ransomware-aanval uitgevoerd door de Rhysida-groep. De hackers claimen toegang te hebben gekregen tot gevoelige bedrijfsinformatie en eisen een losgeld van 10 Bitcoin, wat neerkomt op ongeveer $590.000. De deadline voor betaling is vastgesteld op 27 augustus 2024. Rhysida staat bekend om het uitvoeren van gerichte ransomware-aanvallen, vaak gericht op middelgrote bedrijven. Dit incident benadrukt de gevaren waarmee bedrijven in de tuinbouwsector worden geconfronteerd, vooral als het gaat om de bescherming van digitale bedrijfsdata. Waynesboro Nurseries zal mogelijk aanzienlijke gevolgen ondervinden als de losgeldeis niet wordt voldaan, inclusief verlies van gegevens en reputatieschade.
USA/BRA: RansomHub ransomware treft maritiem bedrijf en Braziliaans gezondheidsinstituut
De RansomHub ransomware-groep heeft twee prominente organisaties getroffen: de Amerikaanse Overseas Shipholding Group en het Braziliaanse Minas Gerais Institute of Obesity. De Overseas Shipholding Group, een toonaangevend maritiem bedrijf in de VS, werd slachtoffer van een datalek waarbij meer dan 1 TB aan gevoelige informatie werd gestolen. De cybercriminelen hebben aangekondigd deze gegevens binnen 4-5 dagen openbaar te maken.
Daarnaast is het Minas Gerais Institute of Obesity, een vooraanstaande zorginstelling in Brazilië, eveneens aangevallen. De hackers beweren 6 GB aan vertrouwelijke data te hebben verkregen en dreigen deze binnen 6-7 dagen te publiceren.
Beide organisaties bevinden zich in een kritieke situatie, waarbij het verlies van deze gegevens ernstige gevolgen kan hebben voor hun bedrijfsvoering en reputatie.
USA: Medusa ransomware-aanval treft Percento Technologies International
Percento Technologies International, een IT-dienstverlener gevestigd in Texas, Verenigde Staten, is recentelijk slachtoffer geworden van een aanval door de MEDUSA-ransomware. De ransomwaregroep dreigt de gestolen data van het bedrijf openbaar te maken binnen 8 tot 9 dagen. Op hun dark web-portaal hebben de aanvallers al voorbeeldscreenshots van de gestolen gegevens geplaatst. Percento Technologies biedt IT-oplossingen aan voor diverse industrieën en is nu geconfronteerd met een ernstige beveiligingsinbreuk die de integriteit van hun diensten en de vertrouwelijkheid van klantgegevens in gevaar brengt. Het bedrijf staat nu voor de uitdaging om snel te reageren op deze dreiging en de potentiële schade te beperken.
Kritieke kwetsbaarheid in Jenkins actief misbruikt in ransomware-aanvallen
De Amerikaanse cybersecurityorganisatie CISA waarschuwt voor een ernstige kwetsbaarheid in Jenkins, een veelgebruikte open-source automatiseringsserver. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-23897, stelt kwaadwillenden in staat om op afstand code uit te voeren via de Jenkins-commando-interface. De kwetsbaarheid wordt veroorzaakt door een zwakte in de args4j-commandoparser, waardoor ongeauthenticeerde aanvallers willekeurige bestanden op de Jenkins-controller kunnen lezen. Ondanks updates in januari 2024 blijven duizenden Jenkins-servers kwetsbaar, vooral in China en de Verenigde Staten. De kwetsbaarheid wordt al sinds maart actief uitgebuit, waarbij verschillende aanvallen zijn gerapporteerd, waaronder een grootschalige ransomware-aanval op Indiase banksystemen. CISA heeft federale agentschappen opgedragen om hun systemen vóór 9 september te beveiligen, maar roept ook andere organisaties dringend op om actie te ondernemen om verdere ransomware-aanvallen te voorkomen.
NCL: cyberaanval legt internetprovider Lagoon plat
De internetprovider Lagoon, gevestigd in Nieuw-Caledonië, is getroffen door een aanzienlijke cyberaanval waarbij een ransomware is ingezet. Deze aanval heeft geleid tot een totale uitval van hun diensten, waaronder de website van Lagoon zelf en de bijbehorende e-mailadressen (@lagoon.nc). Ook de website van Cafat, een belangrijke lokale instantie, is door deze aanval onbereikbaar geworden.
Lagoon heeft via hun Facebook-pagina laten weten dat zij de situatie uiterst serieus nemen en momenteel nauw samenwerken met lokale en nationale autoriteiten om het incident te verhelpen. De technische teams van het bedrijf zijn volledig gemobiliseerd om de diensten zo snel mogelijk te herstellen. Het bedrijf benadrukt dat de veiligheid van klantgegevens voor hen van het grootste belang is.
Lagoon is een belangrijke internetprovider in Nieuw-Caledonië en de impact van deze aanval benadrukt de kwetsbaarheid van kritieke infrastructuur voor dergelijke cyberdreigingen. 1
ITA: Hacker-aanval legt afvalbeheerbedrijf Contarina plat
Het afvalbeheerbedrijf Contarina werd op 16 augustus getroffen door een hacker-aanval, waardoor de automatische verdelers van afvalzakken niet meer functioneerden. Het bedrijf kon zijn activiteiten pas op 18 augustus hervatten na een succesvol herstel van de systemen door het terugzetten van back-ups. De aanval veroorzaakte aanzienlijke verstoringen in de dienstverlening, wat leidde tot tijdelijke stilstand van de bedrijfsactiviteiten. Contarina heeft aangekondigd dat het meer zal investeren in beveiligingsmaatregelen om dergelijke incidenten in de toekomst te voorkomen. Dit incident onderstreept het toenemende risico van cyberaanvallen op infrastructuurbedrijven en de noodzaak voor betere beveiliging in deze sector. 1
MEX: Data van Doorman gelekt door dreigingsactor
Een dreigingsactor heeft naar verluidt 40 GB aan gegevens gelekt van Doorman, een Mexicaans bedrijf gespecialiseerd in het registreren van bezoekers, leveranciers, werknemers en pakketten in diverse sectoren, waaronder residentiële, zakelijke, winkelcentra en de industrie. Doorman biedt diensten aan die essentieel zijn voor toegangsbeheer en veiligheid in deze omgevingen. Het gelekte materiaal zou bedrijfsgevoelige informatie bevatten, wat aanzienlijke risico's met zich meebrengt voor de betrokken bedrijven en personen. Dit incident onderstreept de kwetsbaarheid van dergelijke systemen en de potentiële impact op zowel de operationele continuïteit als de privacy van klanten en medewerkers van Doorman. Het bedrijf moet snel en doeltreffend reageren om verdere schade te voorkomen en vertrouwen te herstellen bij hun klanten.
USA: Ransomware-aanval treft Certified Transmission
Certified Transmission, een toonaangevend bedrijf in de VS gespecialiseerd in de revisie en distributie van automatische transmissies, is slachtoffer geworden van de MEOW-ransomware. Deze ransomware-groep beweert meer dan 30 GB aan data van het bedrijf in handen te hebben. Op hun portaal op het dark web zijn screenshots geplaatst als bewijs van de datadiefstal. Het incident benadrukt de risico's waarmee bedrijven in de autotechnieksector worden geconfronteerd, met name als het gaat om de bescherming van gevoelige bedrijfsinformatie tegen cybercriminelen. Het lek van dergelijke gegevens kan ernstige gevolgen hebben voor de bedrijfsvoering en de reputatie van Certified Transmission.
LBN: Khonaysser Group getroffen door Helldown ransomware
Khonaysser Group, een vooraanstaand bedrijf in de productie van elektrische en elektronische apparatuur in Libanon, is recentelijk slachtoffer geworden van de Helldown ransomware. Deze kwaadaardige software heeft toegang gekregen tot de gevoelige gegevens van het bedrijf, wat duidt op een ernstige datalek. Helldown ransomware staat bekend om zijn agressieve aanvallen waarbij data wordt versleuteld en vaak geëist wordt voor losgeld om de gegevens te herstellen. Het incident toont aan dat ook industriële bedrijven in de regio kwetsbaar zijn voor geavanceerde cyberdreigingen. Khonaysser Group, die een belangrijke rol speelt in de Libanese industrie, moet nu omgaan met de gevolgen van deze aanval en de mogelijke impact op hun bedrijfsvoering en klanten. Verdere details over de omvang van de aanval of de specifieke eisen van de aanvallers zijn nog niet vrijgegeven.
CHN: Jangho Group getroffen door RansomHouse ransomware-aanval
De Jangho Group, een grote multinationale onderneming genoteerd aan de Shanghai Stock Exchange (SSE) A-share hoofdmarkt, is recentelijk het slachtoffer geworden van een ernstige cyberaanval. De RansomHouse ransomware-groep heeft de verantwoordelijkheid voor de aanval opgeëist en beweert dat zij 2,3 terabytes aan gegevens hebben buitgemaakt.
De Jangho Group is een wereldwijd opererend bedrijf met activiteiten in de bouw, interieurontwerp, en de gezondheidszorg. De diefstal van een dergelijk grote hoeveelheid gegevens kan aanzienlijke gevolgen hebben voor de bedrijfsvoering en reputatie van de onderneming. Details over de aard van de gestolen gegevens en de impact daarvan zijn nog niet volledig bekendgemaakt. RansomHouse staat bekend om zijn gerichte aanvallen op grote bedrijven, waarbij gestolen data vaak wordt gebruikt om losgeld te eisen. Deze aanval onderstreept de complexiteit en ernst van cyberdreigingen voor multinationale ondernemingen zoals Jangho Group.
USA: Charleston County School District getroffen door ransomware-aanval
De Charleston County School District (CCSD) in de Verenigde Staten is het doelwit geworden van een ransomware-aanval door de RansomHub-groep. Deze groep claimt maar liefst 966 GB aan gegevens te hebben buitgemaakt. De aanval veroorzaakte een netwerkstoring binnen het district op de ochtend van vrijdag 26 juli, wat leidde tot aanzienlijke verstoringen. De impact van de aanval is nog niet volledig duidelijk, maar het incident heeft geleid tot bezorgdheid over de veiligheid van gevoelige informatie binnen het schoolsysteem. De RansomHub-groep staat bekend om gerichte aanvallen op grote organisaties en eist vaak aanzienlijke losgeldbedragen in ruil voor de vrijgave van versleutelde data. De autoriteiten en het district werken momenteel aan een oplossing, maar de omvang van de schade en het mogelijke lekken van gegevens blijven een grote zorg voor het district en de betrokkenen.
USA: data-inbreuk bij FlightAware door configuratiefout blootgesteld gedurende jaren
FlightAware, een in Houston gevestigd technologiebedrijf dat gespecialiseerd is in het bijhouden van vluchten, heeft gebruikers gevraagd hun wachtwoorden te resetten na een datalek dat mogelijk persoonlijke informatie heeft blootgesteld. Het bedrijf, dat wereldwijd actief is met 32.000 grondstations in 200 landen, ontdekte op 25 juli 2024 een configuratiefout die sinds 1 januari 2021 onopgemerkt was gebleven. Hierdoor waren gegevens zoals gebruikers-ID's, wachtwoorden, e-mailadressen en mogelijk gevoelige informatie zoals Social Security-nummers en creditcardgegevens voor meer dan drie jaar toegankelijk. FlightAware heeft inmiddels de fout hersteld en biedt getroffen gebruikers een identiteitsbeschermingspakket van 24 maanden aan via Equifax. Gebruikers wordt dringend geadviseerd om hun wachtwoorden te resetten, vooral als dezelfde inloggegevens elders worden gebruikt. Het bedrijf onderzoekt nog of er sprake is geweest van ongeautoriseerde toegang en hoeveel gebruikers zijn getroffen.
USA: ExploreTalent lekt gegevens van 11,4 miljoen gebruikers, opnieuw in opspraak
ExploreTalent, een groot Amerikaans castingbureau en naar eigen zeggen het grootste 'talent network' ter wereld, heeft recentelijk te maken gehad met een aanzienlijk datalek waarbij de persoonlijke gegevens van 11,4 miljoen gebruikers zijn gestolen. De oorzaak was een kwetsbare API, die toegang gaf tot onder andere 8,9 miljoen unieke e-mailadressen. Dit is niet het eerste datalek voor het bedrijf; in 2022 vond een soortgelijk incident plaats waarbij gegevens van 5,4 miljoen gebruikers werden gestolen. Deze nieuwe datalek, waarbij e-mailadressen op het internet werden aangeboden, heeft ertoe geleid dat 94 procent van deze adressen al bekend was in de database van Have I Been Pwned, een bekende datalekzoekmachine. ExploreTalent bevindt zich hierdoor opnieuw in een lastig parket, waarbij de vraag naar hun beveiligingsmaatregelen sterk naar voren komt. 1
Cybercrimineel verkoopt netwerktoegang tot bedrijven voor maximaal $3.000
Een cybercrimineel biedt via het dark web netwerktoegang aan tot bedrijven in verschillende landen, waaronder de VS, Canada, het VK, Frankrijk, Duitsland en Zuid-Korea. Deze toegang wordt verkocht aan prijzen variërend van $400 tot $3.000, afhankelijk van de omzet van het doelwitbedrijf. Bedrijven met een omzet van meer dan $1 miljard betalen de hoogste prijs. De aangeboden toegang maakt gebruik van reverse SOCKS5, een techniek die het moeilijk maakt om netwerkverkeer te traceren. Dergelijke toegang wordt vaak gebruikt door ransomwaregroepen om systemen van bedrijven te infiltreren en te gijzelen. Dit incident benadrukt de voortdurende dreiging voor wereldwijde bedrijven door de verkoop van dergelijke illegale netwerktoegang op ondergrondse fora.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb ↑ |
---|---|---|---|---|
Kronick Moskovitz Tiedemann & Girard | Rhysida | USA | Legal Services | 25-aug-24 |
Affordable Tools | Rhysida | USA | Machinery, Computer Equipment | 25-aug-24 |
autonomous.ai | Kill Security | USA | Furniture | 25-aug-24 |
prasarana.com.my | Ransomhub | Malaysia | Passenger Transportation | 25-aug-24 |
dt-technologies | Qilin | Switzerland | Fabricated Metal Products | 25-aug-24 |
Penn Veterinary Supply INC | Qilin | USA | Wholesale Trade-non-durable Goods | 25-aug-24 |
Meli (BCYF & Bethany) | Qilin | Australia | Social Services | 25-aug-24 |
The University and College Union | INC Ransom | United Kingdom | Membership Organizations | 25-aug-24 |
nwcsb.com | BLACK SUIT | USA | Health Services | 24-aug-24 |
Myelec Electrical | Lynx | Australia | Wholesale Trade-durable Goods | 24-aug-24 |
ingotbrokers.com | DarkVault | Seychelles | Security And Commodity Brokers, Dealers, Exchanges, And Services | 24-aug-24 |
Hofmann Malerei AG | Cicada3301 | Switzerland | Construction | 24-aug-24 |
HBGJEWISHCOMMUN | Helldown | In progress | In progress | 24-aug-24 |
Wallace Construction Specialties | Lynx | Canada | Wholesale Trade-durable Goods | 24-aug-24 |
Bay Sales | Lynx | USA | Wholesale Trade-non-durable Goods | 24-aug-24 |
PBS group | Lynx | Guatemala | Business Services | 24-aug-24 |
Health Quality Council | INC Ransom | Canada | Membership Organizations | 24-aug-24 |
Studio Legale Associato Isolabella | BianLian | Italy | Legal Services | 24-aug-24 |
HL Lawson & Sons | INC Ransom | USA | Motor Freight Transportation | 24-aug-24 |
terralogs.com.br | Kill Security | Brazil | Non-depository Institutions | 23-aug-24 |
Chama Gaucha | Cicada3301 | USA | Eating And Drinking Places | 23-aug-24 |
Crimson Interactive | Hunters International | India | Business Services | 23-aug-24 |
www.seaeng.com | dAn0n | USA | Engineering Services | 23-aug-24 |
Sherwood Stainless & Aluminium | DragonForce | United Kingdom | Metal Industries | 23-aug-24 |
Igloo Cellulose | DragonForce | Canada | Textile Mill Products | 23-aug-24 |
Raifalsa-Alelor Raifalsa-Alelor | DragonForce | France | Food Products | 23-aug-24 |
Deane Roofing and Cladding | DragonForce | Canada | Construction | 23-aug-24 |
Saeilo | Metaencryptor | USA | Miscellaneous Manufacturing Industries | 22-aug-24 |
schoolrush.com | Kill Security | USA | IT Services | 22-aug-24 |
Life University | Metaencryptor | USA | Educational Services | 22-aug-24 |
instadriver.co | Kill Security | Kenya | IT Services | 22-aug-24 |
cincinnatipainphysicians | Helldown | USA | Health Services | 22-aug-24 |
UFCW Local 135 | Cicada3301 | USA | Membership Organizations | 22-aug-24 |
EBA Ernest Bland Associates | Cicada3301 | USA | Construction | 22-aug-24 |
level.game | Kill Security | India | Amusement And Recreation Services | 22-aug-24 |
Don’t Waste Group | INC Ransom | South Africa | Electric, Gas, And Sanitary Services | 22-aug-24 |
rylandpeters.com | APT73 | United Kingdom | Publishing, printing | 22-aug-24 |
antaeustravel.com | Blackout | Greece | Transportation Services | 22-aug-24 |
saudi arabia(general secretariat of the military service council) | Ransomhub | Saudi Arabia | National Security And International Affairs | 22-aug-24 |
Engedi | Rhysida | Australia | Social Services | 22-aug-24 |
Stjamesplace.org | Cloak | USA | Social Services | 22-aug-24 |
Larc | INC Ransom | USA | Social Services | 22-aug-24 |
Prof. Bein & Co. | Brain Cipher | Israel | Educational Services | 21-aug-24 |
MacEwen Petroleum | Lynx | Canada | Wholesale Trade-non-durable Goods | 21-aug-24 |
The SMS Group | PLAY | USA | IT Services | 21-aug-24 |
Grid Subject Matter Experts | PLAY | USA | Management Services | 21-aug-24 |
Quilvest Capital Partners | PLAY | France | Security And Commodity Brokers, Dealers, Exchanges, And Services | 21-aug-24 |
Armour Coatings | PLAY | USA | Engineering Services | 21-aug-24 |
RCG | PLAY | USA | Real Estate | 21-aug-24 |
Policy Administration Solutions | PLAY | USA | Insurance Carriers | 21-aug-24 |
Jinny Corporation | Akira | USA | Wholesale Trade-non-durable Goods | 21-aug-24 |
BARRYAVEPLATING | Helldown | USA | Fabricated Metal Products | 21-aug-24 |
RSK-IMMOBILIEN | Helldown | Germany | Real Estate | 21-aug-24 |
capitalfund1.com | Ransomhub | USA | Non-depository Institutions | 21-aug-24 |
www.pindrophearing.co.uk | APT73 | United Kingdom | Health Services | 21-aug-24 |
www.banhampoultry.co.uk | Ransomhub | United Kingdom | Food Products | 21-aug-24 |
HOERBIGER Holding | Akira | Switzerland | Machinery, Computer Equipment | 21-aug-24 |
Findel | Cicada3301 | United Kingdom | Educational Services | 21-aug-24 |
Luigi Convertini | CiphBit | Italy | Apparel And Other Finished Products | 21-aug-24 |
kidkraft.com | Lynx | USA | Miscellaneous Manufacturing Industries | 21-aug-24 |
Burns Industrial Equipment | MEOW LEAKS | USA | Business Services | 21-aug-24 |
Olympus Financial | Rhysida | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 21-aug-24 |
globacap.com | APT73 | United Kingdom | IT Services | 21-aug-24 |
policiaauxiliarcusaem.com.mx | LockBit | Mexico | Business Services | 21-aug-24 |
Codival | Space Bears | Ivory Coast | Transportation Services | 21-aug-24 |
jpoint.in | Kill Security | India | Business Services | 20-aug-24 |
inlighten.net | Ransomhub | USA | IT Services | 20-aug-24 |
blowerdempsay.com | Ransomhub | USA | Paper Products | 20-aug-24 |
Rushlift | Lynx | United Kingdom | Business Services | 20-aug-24 |
North Georgia Brick | Akira | USA | Wholesale Trade-durable Goods | 20-aug-24 |
Akkanat Holding | Hunters International | Turkiye | Holding And Other Investment Offices | 20-aug-24 |
Dunlop Aircraft Tyres | Cloak | United Kingdom | Rubber, Plastics Products | 20-aug-24 |
Vibo.dk | Cloak | Denmark | Membership Organizations | 20-aug-24 |
Hvb-ingenieure.de | Cloak | Germany | Engineering Services | 20-aug-24 |
Westermans.com | Cloak | United Kingdom | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 20-aug-24 |
Percento Technologies Internationa | Medusa | USA | IT Services | 20-aug-24 |
imobesidade.com.br | Ransomhub | Brazil | Health Services | 19-aug-24 |
OSG.COM | Ransomhub | USA | Water Transportation | 19-aug-24 |
Waynesboro Nurseries | Rhysida | USA | Wholesale Trade-non-durable Goods | 19-aug-24 |
The Transit Authority of Northern Kentucky (TANK) | Akira | USA | Passenger Transportation | 19-aug-24 |
Khonaysser | Helldown | Lebanon | Machinery, Computer Equipment | 19-aug-24 |
Certified Transmission | MEOW LEAKS | USA | Automotive Services | 19-aug-24 |
Jangho Group | RansomHouse | China | Construction | 19-aug-24 |
Bandier | BLACK SUIT | USA | Business Services | 19-aug-24 |
ccsdschools.com | Ransomhub | USA | Educational Services | 19-aug-24 |
Ferraro Group | Hunters International | Italy | Construction | 19-aug-24 |
Yang Enterprises | DragonForce | USA | IT Services | 19-aug-24 |
Carver Companies | DragonForce | USA | Water Transportation | 19-aug-24 |
J&J Network Engineering | DragonForce | Hong Kong | Engineering Services | 19-aug-24 |
PER4MANCE | DragonForce | Czech Republic | IT Services | 19-aug-24 |
SMK Ingenieurbüro | DragonForce | Germany | Transportation Equipment | 19-aug-24 |
aerworldwide.com | LockBit | USA | IT Services | 19-aug-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb ↑ |
---|
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | 13.707 |
NU: 26-08-2024 | 15.356 |
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Heb je vragen over het Cyberaanvallen, datalekken, trends en dreigingen? Stel ze dan aan onze AI CyberWijzer rechtsonderaan de pagina. ↘️