De Nederlandse Politie ontvangt jaarlijks zo'n tweehonderd aangiftes van ransomware, zwembad Enkhuizerzand getroffen door cybercriminelen en servers REvil weer online na maanden van inactiviteit. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 25-april-2022 | Aantal slachtoffers: 5.273
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
kdaponte.com | LockBit | kdaponte.com | USA |
Co-opbank Pertama | Suncrypt | www.cbp.com.my | Malaysia |
innotecgroup.com | BlackCat (ALPHV) | innotecgroup.com | USA |
ccfsinc.com | LockBit | ccfsinc.com | USA |
www.tigergroup.ae | LockBit | www.tigergroup.ae | United Arab Emirates |
valoores.com | LockBit | valoores.com | Lebanon |
Jasec | Conti | In progress | In progress |
Mossbourne Federation | Vice Society | www.mossbourne.org | UK |
Stratford University | Sodinokibi (REvil) | www.stratford.edu | USA |
Calvetti Ferguson | BlackCat (ALPHV) | calvettiferguson.com | USA |
Centre Hospitalier de Castelluccio | Vice Society | www.ch-castelluccio.fr | France |
fazenda.rj.gov.br | LockBit | fazenda.rj.gov.br | Brazil |
lifestylesolutions.org.au | LockBit | lifestylesolutions.org.au | Australia |
simplilearn.net | LockBit | simplilearn.net | USA |
Metrobrokers | Cuba | www.metrobrokers.com | USA |
Prophoenix | Cuba | www.prophoenix.com | USA |
produitsneptune.com | LockBit | produitsneptune.com | Canada |
ekz.de | LockBit | ekz.de | Germany |
ksb.com | Industrial Spy | ksb.com | Germany |
incegd.com | LockBit | incegd.com | UK |
wilshire.com | LockBit | wilshire.com | USA |
beckerlaw.com | LockBit | beckerlaw.com | USA |
huntongroup.com | LockBit | huntongroup.com | USA |
alfa-finrase Crypto Rusia | KelvinSecurity | Unknown | Russia |
PT Pertamina Gas | KelvinSecurity | www.pertagas.pertamina.com | Indonesia |
Small Industries DevelopmentBank of India | Vice Society | www.sidbi.com | India |
Al Bijjar | Arvin club | www.albijjar.ae | United Arab Emirates |
tvothai.com | LockBit | tvothai.com | Thailand |
Morrie's Auto Group | Lorenz | www.morries.com | USA |
asp.messina.it | LockBit | asp.messina.it | Italy |
Maristes Hermitage | Vice Society | www.maristes.eu | Spain |
Reckitt Benckiser | Everest | www.reckitt.com | UK |
Simonson-Lumber Inc. | Ragnar_Locker | www.simonson-lumber.com | USA |
Attica Group | Conti | www.attica-group.com | Greece |
DavislandscapeLTD.com | LockBit | davislandscapeltd.com | USA |
Abrams & Bayliss LLP | BlackCat (ALPHV) | www.abramsbayliss.com | USA |
North View Escrow Corp | BlackCat (ALPHV) | www.northviewescrow.com | USA |
baugeschaeft-boltin.de | LockBit | baugeschaeft-boltin.de | Germany |
AM International | Arvin club | www.aminternational.sg | Singapore |
www.oil-india.com | Sodinokibi (REvil) | www.oil-india.com | India |
Visotec Group | Sodinokibi (REvil) | www.visotec.com | France |
lekise.com | LockBit | lekise.com | Thailand |
ambiq.com | Industrial Spy | ambiq.com | USA |
MAGNAR-EIKELAND.NO | LockBit | magnar-eikeland.no | Norway |
Camden City School District | Quantum | camdencityschools.org | USA |
ingesw.com | LockBit | ingesw.com | Italy |
Secova Inc | BlackCat (ALPHV) | secova.com | USA |
racsa.go.cr | Conti | racsa.go.cr | Costa Rica |
Instituto Meteorológico Nacional | Conti | www.imn.ac.cr | Costa Rica |
Del Sol | Conti | www.delsol.com | USA |
compagniedephalsbourg.com | LockBit | compagniedephalsbourg.com | France |
keisei-const.jp | LockBit | keisei-const.jp | Japan |
reitzner.de | LockBit | reitzner.de | Germany |
procab.se | LockBit | procab.se | Sweden |
daumar.com | LockBit | daumar.com | USA |
jannone.it | LockBit | jannone.it | Italy |
groupe-corbat.ch | LockBit | groupe-corbat.ch | Switzerland |
diasorin.com | Industrial Spy | diasorin.com | Italy |
xfab.com | Industrial Spy | xfab.com | Germany |
smp-corp.com | Industrial Spy | smp-corp.com | USA |
ght-coeurgrandest.fr | Industrial Spy | ght-coeurgrandest.fr | France |
ssi-steel.com | LockBit | ssi-steel.com | Thailand |
tnmed.org | LockBit | tnmed.org | USA |
Cjk Group, Inc. | Conti | www.cjkgroup.com | USA |
PERBIT.COM | CL0P | perbit.com | Germany |
888VOIP.COM | CL0P | 888voip.com | USA |
Barakat Travel and Private Jet | BlackCat (ALPHV) | www.barakattravel.com | Kuwait |
avion-tech.com | Industrial Spy | avion-tech.com | Canada |
MILLS GROUP | Hive | www.millscnc.co.uk | UK |
Worksoft | Conti | www.worksoft.com | USA |
Alimentos y Frutos S.A. | Conti | www.minutoverde.cl | Chile |
Alliance Steel | Conti | www.allianceokc.com | USA |
Eurofred | Conti | www.eurofred.com | Spain |
Agile Sourcing Partners | Conti | www.agilesourcingpartners.com | USA |
Schaumburg Park District | Conti | www.parkfun.com | USA |
Nordex SE | Conti | www.nordex-online.com | Germany |
Concepts in Millwork | Conti | www.conceptsinmillwork.com | USA |
Auction.com | Conti | www.auction.com | USA |
e-pspl.com | Industrial Spy | e-pspl.com | India |
premierbpo.com | Industrial Spy | premierbpo.com | USA |
cos.rmb.com | Industrial Spy | cos.rmb.com | USA |
meijicorp.com | Industrial Spy | meijicorp.com | USA |
enviroplas.com | Industrial Spy | enviroplas.com | USA |
consfab.com | Industrial Spy | consfab.com | USA |
ijmondwerkt.com | Industrial Spy | ijmondwerkt.com | Netherlands |
wenco.cl | Industrial Spy | wenco.cl | Chile |
iar.com | Industrial Spy | iar.com | Sweden |
glenbrookautomotivegroup.com | Industrial Spy | glenbrookautomotivegroup.com | USA |
in2.ie | Industrial Spy | in2.ie | Ireland |
mdindiaonline.com | Industrial Spy | mdindiaonline.com | India |
In samenwerking met DarkTracer
Criminelen hadden toegang tot interne systemen T-Mobile en stalen broncode
Criminelen hebben via gestolen inloggegevens toegang gekregen tot interne systemen van de Amerikaanse tak van T-Mobile en zijn erin geslaagd om broncode van de telecomprovider te stelen. De aanval werd uitgevoerd door Lapsus$, de groep die eerder ook bij Okta, Microsoft en Nvidia wist in te breken. Dat laat it-journalist Brian Krebs op basis van gelekte chats weten en is ook door T-Mobile bevestigd. Volgens de chats wisten de aanvallers vpn-gegevens van T-Mobile-medewerkers aan te schaffen en zo op accounts en systemen in te loggen. Zo lukte het de groep om toegang te krijgen tot een intern systeem van T-Mobile dat wordt gebruikt voor het beheren van klantenaccounts. Ook wisten de aanvallers in te breken op de Slack- en Bitbucket-accounts van T-Mobile en konden ze 30.000 source code repositories van de telecomprovider downloaden. T-Mobile laat in een reactie weten dat aanvallers enkele weken geleden door middel van gestolen inloggegevens toegang tot interne systemen hebben gekregen. Op deze systemen stonden geen gegevens van klanten of overheden, of andere gevoelige informatie, aldus het bedrijf. T-Mobile stelt verder dat de aanvallers niets van waarde hebben weten te stelen. Uit screenshots van Krebs blijkt dat de aanvallers via het interne klantensysteem informatie over onder andere defensiepersoneel zochten.
FBI: zeker zestig organisaties wereldwijd getroffen door BlackCat-ransomware
Zeker zestig organisaties wereldwijd zijn slachtoffer geworden van de BlackCat-ransomware, zo laat de FBI weten. Volgens de opsporingsdienst maakt de groep gebruik van eerder gecompromitteerde inloggegevens om toegang tot de netwerken van slachtoffers te krijgen. Hoe de wachtwoorden zijn gecompromitteerd wordt niet door de FBI vermeld (pdf). Na installatie van de malware proberen de aanvallers Active Directory- en beheerderaccounts te compromitteren. Vervolgens gebruikt de malware Windows Taakplannen om malafide Group Policy Objects (GPOs) te configureren waarmee de ransomware op het netwerk wordt uitgerold. Voor het uitrollen schakelen de aanvallers ook verschillende beveiligingsfeatures in het netwerk uit, waaronder de antivirussoftware. Daarnaast stelen de aanvallers data van slachtoffers, onder andere bij cloudproviders. Zodra systemen zijn versleuteld eisen de aanvallers miljoenen dollars losgeld, maar zijn bereid het losgeldbedrag te verlagen. Verder stelt de FBI dat de ontwikkelaars en witwassers van de BlackCat-groep gelieerd zijn aan de Darkside/Blackmatter-ransomware, wat duidt op een uitgebreid netwerk en ervaring met ransomware-aanvallen. De FBI adviseert organisaties om domeincontrollers, servers, werkstations en Active Directories op nieuwe of onbekende gebruikersaccounts te controleren, binnen de Windows Taakplanner naar onbekende taken te zoeken, in de logs van antivirussoftware te kijken of het programma is uitgeschakeld, netwerksegmentatie toe te passen en het regelmatig aanpassen van wachtwoorden van netwerksystemen.
Website Oekraïense postdienst offline na start verkoop middelvinger-postzegel
De Oekraïense nationale postdienst Ukrposhta is vrijdag getroffen door een cyberaanval. Dat gebeurde kort nadat het bedrijf was gestart met de online verkoop van een speciale postzegel.Op de betreffende postzegel staat een Oekraïense soldaat die zijn middelvinger opsteekt naar een Russisch oorlogsschip. Het gaat hier om het gezonken vlaggenschip van de Russische Zwarte Zeevloot, de Moskva. De postzegels werden sinds vorige week verkocht. Tientallen Oekraïners stonden urenlang in de rij voor een postkantoor om een exemplaar te bemachtigen. Sinds vrijdag kunnen de postzegels ook online worden besteld. Ukrposhta-directeur Ihor Smilianskyi zegt dat de website te maken heeft met een ddos-aanval. Daarbij wordt er zo veel verkeer op een website afgestuurd dat hij overbelast raakt. Bezoekers kunnen dan niet of nauwelijks meer op de betreffende site terecht, totdat de aanval is opgehouden of afgewend. Smilianskyi zei niet wie er achter de aanval zou kunnen zitten, maar de suggestie wordt gewekt dat Rusland daar verantwoordelijk voor is. Rusland heeft altijd ontkend cyberaanvallen op Oekraïne uit te voeren.
Recordaantal van 80 aangevallen zerodaylekken in 2021
Aanvallers hebben vorig jaar bij aanvallen zeker tachtig zerodaylekken gebruikt, zo claimt securitybedrijf Mandiant. Een recordaantal. Niet eerder werden er zoveel zerodays in één jaar geïdentificeerd. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken om systemen aan te vallen en er geen beveiligingsupdate van de leverancier beschikbaar is. Van 2012 tot en met 2021 telde Mandiant tweehonderd zerodaylekken, waarvan tachtig vorig jaar. In 2020 werden nog dertig van dergelijke kwetsbaarheden geteld. De meeste aanvallen waarbij zerodaylekken worden ingezet zijn het werk van statelijke actoren die zich richten op cyberspionage, aldus het securitybedrijf. Een grote zeroday-aanval die vorig jaar werd ontdekt maakte gebruik van vier onbekende kwetsbaarheden in Microsoft Exchange Server en wordt toegeschreven aan een groep aanvallers genaamd Hafnium, die aan de Chinese overheid zou zijn gelieerd. Driekwart van de vorig jaar ontdekte zerodays maakte misbruik van kwetsbaarheden in producten van Apple, Google en Microsoft. Ondanks een toename van het aantal zerodaylekken bij aanvallen blijven aanvallers ook misbruik maken van bekende kwetsbaarheden, vaak nadat die openbaar zijn gemaakt, aldus Mandiant. Volgens het securitybedrijf is het daarom belangrijk dat organisaties rekening houden met de tijd tussen openbaarmaking en misbruik.
Politie ontvangt jaarlijks zo'n tweehonderd aangiftes van ransomware
De Nederlandse politie ontvangt jaarlijks rond de tweehonderd aangiftes van ransomware, maar het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger. Dat laat minister Yesilgöz van Justitie en Veiligheid weten op Kamervragen van het CDA. CDA-Kamerlid Bontenbal had de minister om informatie gevraagd over het aantal aanvallen per maand, de ernst van het probleem en de omvang van de aangerichte schade. "Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de tweehonderd aangiftes van ransomware ontvangt", antwoordt Yesilgöz. De minister voegt toe dat de aangiftebereidheid bij cybercrimedelicten echter laag is, wat met name geldt voor ransomware. "Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid." Op basis van informatie van de politie stelt Yesilgöz dat ransomware-aanvallen met name gericht zijn op het mkb en grote bedrijven. Mkb-bedrijven zijn doelwit van ongerichte aanvallen waarbij gebruik wordt gemaakt van ransomware-as-a-service. Bij de meer gerichte aanvallen, waarbij criminelen maatwerk leveren om tot maximaal financieel gewin te komen, zijn grote organisaties het doelwit, aldus de minister.
Patiëntendossiers door ddos-aanval op clouddienst urenlang onbereikbaar
Zorgmedewerkers van een niet nader genoemde zorginstelling konden elektronische dossiers van patiënten urenlang niet raadplegen door een ddos-aanval op de clouddienst waar de dossiers waren opgeslagen, wat mogelijk risico voor het verlies van mensenlevens had kunnen hebben. Dat meldt het Agentschap Telecom in het vandaag verschenen jaarbericht 2021. Het Agentschap Telecom houdt in het kader van de Wet Beveiliging Netwerk en Informatiesystemen (Wbni) toezicht op digitale dienstverleners (DSP's). In Nederland is de grootste groep binnen deze sector die van de clouddienstverleners. De overige groep bestaat voornamelijk uit online marktplaatsen. Het afgelopen jaar voerde de toezichthouder bij een aantal DSP's inspecties uit, onder andere naar aanleiding van incidenten waarbij diensten werden verleend aan de zorgsector. "Een elektronisch patiëntendossier, ondergebracht bij de clouddienst, kon een aantal uren niet worden geraadpleegd door zorgmedewerkers. De verstoring van de clouddienst door een DDoS-aanval had, zoals dat heet, aanzienlijke gevolgen vanwege een mogelijk risico voor het verlies van mensenlevens. Dit was een constatering op basis van een criterium in de Europese regelgeving. Dit was een directe aanleiding voor ons om een incidentinspectie te starten", zo laat het Agentschap Telecom weten. Bij de verschillende inspecties zijn meerdere problemen geconstateerd die inmiddels door de betreffende clouddienstverleners zijn opgelost. Het Agentschap Telecom zal meer algemene oorzaken en geconstateerde punten met de sector clouddienstverleners delen, zodat die waar nodig verbeteringen kunnen doorvoeren. Met de inspecties wil de toezichthouder naar eigen zeggen de digitale weerbaarheid van digitale dienstverleners verhogen.
Hive ransomware gebruikt om Exchange Server aan te vallen
Hackers die gelieerd zijn aan Hive proberen Microsoft Exchange Servers binnen te dringen door een zogeheten backdoor in te bouwen. Eenmaal binnen verkennen ze het computernetwerk van hun slachtoffer en stelen ze inloggegevens van systeembeheerders. Verder halen ze vertrouwelijke gegevens binnen en installeren ze malware. Dat blijkt uit een analyse van Varonis. Het cybersecuritybedrijf is benaderd door een partij die het slachtoffer is geworden van een ransomware-aanval.
Servers REvil weer online na maanden van inactiviteit
REvil lijkt weer terug van weggeweest. De servers op het Tor-netwerk die de hackersgroep gebruikte om zijn malware mee te verspreiden, zijn weer online. De website vermeldt tientallen pagina’s aan slachtoffers. Dat blijkt uit screenshots die verschillende beveiligingsonderzoekers hebben gemaakt.
De gemeente Buren is slachtoffer geworden van een ransomware-aanval
Herentals (B) ziekenhuis slachtoffer van cybercriminelen: “Elektronische patiëntendossier bleef ontoegankelijk”
Het Herentalse AZ ziekenhuis heeft te maken gehad met een cyberincident, waarbij een onbekenden er in geslaagd zijn om ongeautoriseerd toegang te krijgen tot een aantal interne documenten van het ziekenhuis. “De werking van het ziekenhuis kwam hierdoor nooit in gevaar”, klinkt het bij communicatieverantwoordelijke Annelies Vrints. Het AZ Herentals, gelegen aan de Nederrij, heeft de melding van een onbekende groep gekregen dat men zich ongeautoriseerd toegang heeft verschaft tot een aantal interne documenten. Hierop heeft het ziekenhuis alle nodige stappen gezet om dit datalek aan te pakken. “De bevoegde instanties, zoals de Gegevensbeschermingsautoriteit (GBA) en de cyberunit van de federale politie, zijn op de hoogte gebracht”, vertelt Annelies Vrints van het AZ Herentals. “Ook zijn er externe cyberexperts ingeroepen om de eigen IT-dienst te ondersteunen, het lek te zoeken en dat te sluiten.” Volgens het Herentalse ziekenhuis kregen de cybercriminelen nooit toegang tot Nexuzhealth-KWS, wat staat voor het elektronische patiëntendossier van het hospitaal. “Het AZ Herentals beschouwt het als zijn grootste prioriteit om ervoor te zorgen dat de gegevens beschermd blijven en neemt dit incident dan ook heel ernstig”, gaat het verder. Tot slot meldt men aan de Nederrij dat de betrokken patiënten ingelicht worden door het AZ Herentals zodra het mogelijk is. “Momenteel is het niet mogelijk om bijkomende informatie te geven bij dit incident”, besluit Annelies Vrints.
FBI waarschuwt voor ransomware-aanvallen op landbouwcoöperaties
De FBI heeft vandaag een waarschuwing afgegeven waarin het landbouwcoöperaties waarschuwt voor ransomware-aanvallen tijdens de plant- en oogstseizoenen, wat gevolgen voor de voedselketen kan hebben (pdf). De Amerikaanse opsporingsdienst laat weten dat afgelopen herfst zes graancoöperaties werden aangevallen en begin dit jaar zijn er al twee aanvallen waargenomen. Deze aanvallen kunnen door het verstoren van de leveringen van zaden en kunstmest het plantseizoen negatief beïnvloeden. Vanwege de rol die landbouwcoöperaties in de voedselproductie spelen kunnen criminelen deze organisaties als aantrekkelijke doelwitten zien. In de waarschuwing noemt de FBI verschillende incidenten waarbij graanproducenten door ransomware werden getroffen. Om dergelijke aanvallen te voorkomen geeft de FBI verschillende adviezen, zoals het installeren van updates, gebruik van multifactorauthenticatie, maken van offline back-ups, het opstellen van een recoveryplan, het implementeren van netwerksegmentatie, het uitschakelen van ongebruikte RDP-poorten en monitoren va RDP-logs, het vereisen van beheerdersrechten om software te mogen installeren, het vermijden van openbare wifi-netwerken, het uitschakelen van hyperlinks in e-mails en het focussen op cyber security awareness en training van personeel.
Okta meldt twee slachtoffers van hackaanval
Okta heeft het onderzoek naar de hackaanval van afgelopen januari afgerond. Daaruit blijkt dat een onbevoegde in totaal 25 minuten lang toegang had tot de server van het bedrijf. In deze tijdruimte had hij inzage in de gegevens van twee klanten. De dader slaagde er niet in om toegang te krijgen tot data van andere klanten, of wachtwoorden aan te passen. Dat meldt Okta in een update over de hackaanval.
VS waarschuwt opnieuw voor actief misbruik van lek in Windows Print Spooler
De Amerikaanse overheid heeft opnieuw gewaarschuwd voor een kwetsbaarheid in de Windows Print Spooler waar aanvallers actief misbruik van maken. Eind maart werd een zelfde waarschuwing voor een ander beveiligingslek in het Windowsonderdeel gegeven. De kwetsbaarheid, aangeduid als CVE-2022-22718, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Het beveiligingslek alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Een ander lek in de Print Spooler waarvoor op 8 februari een patch verscheen, CVE-2022-21999, werd eerder al bij aanvallen ingezet. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. In het geval van CVE-2022-22718 moeten Amerikaanse overheidsinstanties deze kwetsbaarheid voor 10 mei in hun systemen hebben verholpen.
Blockchain- en cryptobedrijven aangevallen via besmette applicaties
Verschillende blockchain- en cryptobedrijven zijn de afgelopen jaren het doelwit geworden van een door Noord-Korea gesponsorde advanced persistent threat (APT)-groep die hierbij besmette applicaties inzet, zo claimen de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Financiën. De groep wordt Lazarus genoemd, maar staat ook bekend als APT38, BlueNoroff en Stardust Chollima. Volgens de Amerikaanse autoriteiten heeft de groep sinds tenminste 2020 aanvallen uitgevoerd tegen cryptobeurzen, decentralized finance (DeFi)-protocollen, videogames waarmee cryptovaluta zijn te verdienen, cryptovaluta-handelsbedrijven, durfinvesteerders die in cryptovaluta investeren en personen die over grote hoeveelheden cryptovaluta en waardevolle non-fungible tokens (NFTs) beschikken. Voor het uitvoeren van de aanvallen maakt de APT-groep gebruik van social engineering via verschillende communicatieplatformen, waarbij personen worden verleid om getrojaniseerde cryptovaluta-applicaties voor macOS en Windows te downloaden. Via deze besmette programma's krijgen de aanvallers toegang tot het systeem van het slachtoffer en kunnen daarvandaan het verdere netwerk compromitteren. Uiteindelijk proberen de aanvallers frauduleuze blockchain-transacties uit te voeren, aldus de waarschuwing van de overheidsinstanties. Aangezien de aanvallers veel gebruikmaken van social engineering is het volgens de FBI en het CISA belangrijk om personeel over spearphishing te informeren. Zo doen de aanvallers zich bijvoorbeeld voor als recruiters en gebruiken e-mail en socialmediaplatformen om een vertrouwensband met het slachtoffer op te bouwen, voordat ze malafide documenten versturen. "Werknemers die cybersecurity aware zijn, zijn één van de beste verdedigingen tegen socialengineeringtechnieken zoals phishing", zo laten de overheidsinstanties verder weten. Ook wordt gewaarschuwd om voorzichtig te zijn met third-party downloads en dan met name het downloaden van cryptovaluta-applicaties. Gebruikers moeten hun downloads dan ook altijd controleren en zeker weten dat het bestand van een betrouwbare bron afkomstig is en niet van een derde leverancier. "Aanvallers laten steeds zien dat ze applicaties van malware kunnen voorzien om zo toegang tot systemen te krijgen", melden de FBI en het CISA, die tevens een reeks technische beveiligingsmaatregelen adviseren.
VMware meldt ook misbruik van tweede kwetsbaarheid in Workspace One
Aanvallers maken op dit moment actief misbruik van twee kwetsbaarheden in VMware Workspace One Access waarvoor op 6 april een beveiligingsupdate verscheen, zo laten VMware en de Amerikaanse overheid weten. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Met de patch van 6 april werden meerdere kwetsbaarheden in de software verholpen. Op 13 april liet VMware weten dat aanvallers misbruik maken van CVE-2022-22954. Via deze kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Inmiddels blijkt dat ook een tweede kwetsbaarheid actief bij aanvallen tegen het Workspace One-platform worden ingezet. Het gaat om CVE-2022-22960. Via dit beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en root worden. Deze kwetsbaarheid is mogelijk door verkeerde permissies in de supportscripts. De impactscore van deze kwetsbaarheid bedraagt 7.8. Organisaties worden opgeroepen om hun installaties te updaten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgeroepen om de beveiligingsupdate voor 6 mei uit te rollen.
Zwembad Enkhuizerzand getroffen door cybercriminelen
Zwembad Enkhuizerzand in Enkhuizen is het doelwit geweest van hackers. Onbekenden wisten de server van het zwembad binnen te dringen. Zo verstuurden ze en e-mails naar ouders van leerlingen, zogenaamd over de vorderingen van hun zwemles. Het mailbestand is uit de lucht gehaald en de oorzaak van het lek wordt momenteel onderzocht. Dat bevestigt directeur Ton Boogaard aan het Noordhollands Dagblad. Wanneer het datalek is ontstaan, kan Boogaard niet precies vertellen. Hij vermoedt dat de onbevoegden zo’n drie weken geleden voor het eerst toegang wisten te verschaffen tot de server van het zwembad. Drie alerte klanten hebben de afgelopen tijd medewerkers verteld dat het zwembad mogelijk gehackt is. Zij ontvingen e-mails die uit naam van zwembad Enkhuizerzand waren verstuurd. De mails gingen over de zwemles van hun zoon of dochter en hoe ze het deden. In de berichten was een malafide URL opgenomen. Het zwembad raadt ouders aan om niet op de link te klikken. “Wij versturen nooit links in onze mails. Wij geven informatie over de zwemtijden of over de vorderingen, maar sturen nooit links. Dus klik daar vooral niet op”, aldus Boogaard tegenover het Noordhollands Dagblad.
Currency.com doelwit van ddos-aanvallen
Het van oorsprong Wit-Russische crypto-handelsplatform, Currency.com, heeft onlangs onthuld dat het het doelwit was van een grote hackinspanning na het opschorten van de activiteiten in Rusland vorige week. Gisteren werd aangekondigd dat de cyberaanval de servers, de beveiligingssystemen en alle klantgegevens van Currency.com niet waren aangetast. Dit nieuws komt nadat vorige week op 12 april werd geprobeerd een DDoS aanval te doen op de exchange. Een DDoS-aanval treedt op wanneer hackers een platform aanvallen met talloze verzoeken om zijn diensten, waardoor de infrastructuur van het platform uitvalt. Volodymyr Zelensky, de president van Oekraïne, heeft eerder gezegd dat Russische hackers het militaire ministerie en de financiële sector van het land hadden aangevallen met DDoS-operaties.
Belgische hogeschool Vives blijft wegens cyberaanval dinsdag gesloten
De Belgische hogeschool Vives zal morgen vanwege een cyberaanval die ruim een week geleden plaatsvond de deuren nog niet kunnen openen. Afgelopen vrijdag meldde regionale media dat de school nog altijd zonder e-mail zat. Ook andere systemen zijn op het moment niet bruikbaar. Volgens een verklaring van de hogeschool probeerden aanvallers met het wachtwoord van een leerling toegang te krijgen tot het netwerk. "Dat lukte telkens niet. Maar afgelopen vrijdag, op 8 april, werd er rond 1 uur 's nachts opgemerkt dat die hackersgroep software probeerde te installeren, waarmee ze de wachtwoorden van ons datamanagement zou kunnen overnemen", zo liet directeur Joris Hindryckx van de hogeschool eerder weten. Na deze ontdekking werd besloten alle systemen uit te schakelen. Aangezien het vorige week vakantie in België was, was de impact hievan beperkt. Afgelopen vrijdag kregen alle 17.000 studenten gefaseerd toegang tot hun e-mail, maar dat is inmiddels alweer afgesloten, zo laat regionale televisiezender Focus & WTV weten. Op de statuspagina van de hogeschool staat vermeld dat e-mail voor docenten en studenten met een gedeeltelijke storing te maken heeft. Het VDI-platform dat de school gebruikt kampt nog altijd met een grote storing. Omdat nog niet alle systemen zijn herstart heeft Vives besloten om de schooldeuren morgen gesloten te houden. "We zijn bezig om via de platformen van Leuven iedereen, zowel docenten als studenten te contacteren om hun wachtwoord te resetten. Als dat gebeurd is, kunnen we alle nieuwe gegevens vanop de servers van KU Leuven synchroniseren naar de servers van Vives en kan alles terug normaal opgestart worden. Er moeten dus heel veel zaken gereset worden", zegt Hindryckx tegenover VRT NWS. Eerder werden alle studenten en docenten opgeroepen hun wachtwoord te resetten. "Door de vakantie heeft nog niet iedereen de informatie met instructies op hun persoonlijke mailadres gelezen. Wie wel al zijn wachtwoord vernieuwd heeft en daarbovenop zijn identiteit bevestigd heeft, kan normaal wel al terug aan zijn mails, hetzij dan op de wifi thuis of op 4G, want de algemene systemen op de campus van VIVES staan nog altijd op non-actief", voegt de directeur toe. De school wil vandaag en morgen alle systemen controleren en nakijken, zodat de lessen woensdag kunnen worden hervat.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language