Overzicht cyberaanvallen week 16-2022

Gepubliceerd op 25 april 2022 om 15:00

De Nederlandse Politie ontvangt jaarlijks zo'n tweehonderd aangiftes van ransomware, zwembad Enkhuizerzand getroffen door cybercriminelen en servers REvil weer online na maanden van inactiviteit. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Update: 25-april-2022 | Aantal slachtoffers: 5.273

Week overzicht

Slachtoffer Cybercriminelen Website Land
kdaponte.com LockBit kdaponte.com USA
Co-opbank Pertama Suncrypt www.cbp.com.my Malaysia
innotecgroup.comΒ  BlackCat (ALPHV) innotecgroup.comΒ  USA
ccfsinc.com LockBit ccfsinc.com USA
www.tigergroup.ae LockBit www.tigergroup.ae United Arab Emirates
valoores.com LockBit valoores.com Lebanon
Jasec Conti In progress In progress
Mossbourne Federation Vice Society www.mossbourne.org UK
Stratford University Sodinokibi (REvil) www.stratford.edu USA
Calvetti Ferguson BlackCat (ALPHV) calvettiferguson.com USA
Centre Hospitalier de Castelluccio Vice Society www.ch-castelluccio.fr France
fazenda.rj.gov.br LockBit fazenda.rj.gov.br Brazil
lifestylesolutions.org.au LockBit lifestylesolutions.org.au Australia
simplilearn.net LockBit simplilearn.net USA
Metrobrokers Cuba www.metrobrokers.com USA
Prophoenix Cuba www.prophoenix.com USA
produitsneptune.com LockBit produitsneptune.com Canada
ekz.de LockBit ekz.de Germany
ksb.com Industrial Spy ksb.com Germany
incegd.com LockBit incegd.com UK
wilshire.com LockBit wilshire.com USA
beckerlaw.com LockBit beckerlaw.com USA
huntongroup.com LockBit huntongroup.com USA
alfa-finrase Crypto Rusia KelvinSecurity Unknown Russia
PT Pertamina Gas KelvinSecurity www.pertagas.pertamina.com Indonesia
Small Industries DevelopmentBank of India Vice Society www.sidbi.com India
Al Bijjar Arvin club www.albijjar.ae United Arab Emirates
tvothai.com LockBit tvothai.com Thailand
Morrie's Auto Group Lorenz www.morries.com USA
asp.messina.it LockBit asp.messina.it Italy
Maristes Hermitage Vice Society www.maristes.eu Spain
Reckitt Benckiser Everest www.reckitt.com UK
Simonson-Lumber Inc. Ragnar_Locker www.simonson-lumber.com USA
Attica Group Conti www.attica-group.com Greece
DavislandscapeLTD.com LockBit davislandscapeltd.com USA
Abrams & Bayliss LLP BlackCat (ALPHV) www.abramsbayliss.com USA
North View Escrow Corp BlackCat (ALPHV) www.northviewescrow.com USA
baugeschaeft-boltin.de LockBit baugeschaeft-boltin.de Germany
AM International Arvin club www.aminternational.sg Singapore
www.oil-india.com Sodinokibi (REvil) www.oil-india.com India
Visotec Group Sodinokibi (REvil) www.visotec.com France
lekise.com LockBit lekise.com Thailand
ambiq.com Industrial Spy ambiq.com USA
MAGNAR-EIKELAND.NO LockBit magnar-eikeland.no Norway
Camden City School District Quantum camdencityschools.org USA
ingesw.com LockBit ingesw.com Italy
Secova Inc BlackCat (ALPHV) secova.com USA
racsa.go.cr Conti racsa.go.cr Costa Rica
Instituto MeteorolΓ³gico Nacional Conti www.imn.ac.cr Costa Rica
Del Sol Conti www.delsol.com USA
compagniedephalsbourg.com LockBit compagniedephalsbourg.com France
keisei-const.jp LockBit keisei-const.jp Japan
reitzner.de LockBit reitzner.de Germany
procab.se LockBit procab.se Sweden
daumar.com LockBit daumar.com USA
jannone.it LockBit jannone.it Italy
groupe-corbat.ch LockBit groupe-corbat.ch Switzerland
diasorin.com Industrial Spy diasorin.com Italy
xfab.com Industrial Spy xfab.com Germany
smp-corp.com Industrial Spy smp-corp.com USA
ght-coeurgrandest.fr Industrial Spy ght-coeurgrandest.fr France
ssi-steel.com LockBit ssi-steel.com Thailand
tnmed.org LockBit tnmed.org USA
Cjk Group, Inc. Conti www.cjkgroup.com USA
PERBIT.COM CL0P perbit.com Germany
888VOIP.COM CL0P 888voip.com USA
Barakat Travel and Private Jet BlackCat (ALPHV) www.barakattravel.com Kuwait
avion-tech.com Industrial Spy avion-tech.com Canada
MILLS GROUP Hive www.millscnc.co.uk UK
Worksoft Conti www.worksoft.com USA
Alimentos y Frutos S.A. Conti www.minutoverde.cl Chile
Alliance Steel Conti www.allianceokc.com USA
Eurofred Conti www.eurofred.com Spain
Agile Sourcing Partners Conti www.agilesourcingpartners.com USA
Schaumburg Park District Conti www.parkfun.com USA
Nordex SE Conti www.nordex-online.com Germany
Concepts in Millwork Conti www.conceptsinmillwork.com USA
Auction.com Conti www.auction.com USA
e-pspl.com Industrial Spy e-pspl.com India
premierbpo.com Industrial Spy premierbpo.com USA
cos.rmb.com Industrial Spy cos.rmb.com USA
meijicorp.com Industrial Spy meijicorp.com USA
enviroplas.com Industrial Spy enviroplas.com USA
consfab.com Industrial Spy consfab.com USA
ijmondwerkt.com Industrial Spy ijmondwerkt.com Netherlands
wenco.cl Industrial Spy wenco.cl Chile
iar.com Industrial Spy iar.com Sweden
glenbrookautomotivegroup.com Industrial Spy glenbrookautomotivegroup.com USA
in2.ie Industrial Spy in2.ie Ireland
mdindiaonline.com Industrial Spy mdindiaonline.com India

In samenwerking met DarkTracer

Criminelen hadden toegang tot interne systemen T-Mobile en stalen broncode

Criminelen hebben via gestolen inloggegevens toegang gekregen tot interne systemen van de Amerikaanse tak van T-Mobile en zijn erin geslaagd om broncode van de telecomprovider te stelen. De aanval werd uitgevoerd door Lapsus$, de groep die eerder ook bij Okta, Microsoft en Nvidia wist in te breken. Dat laat it-journalist Brian Krebs op basis van gelekte chats weten en is ook door T-Mobile bevestigd. Volgens de chats wisten de aanvallers vpn-gegevens van T-Mobile-medewerkers aan te schaffen en zo op accounts en systemen in te loggen. Zo lukte het de groep om toegang te krijgen tot een intern systeem van T-Mobile dat wordt gebruikt voor het beheren van klantenaccounts. Ook wisten de aanvallers in te breken op de Slack- en Bitbucket-accounts van T-Mobile en konden ze 30.000 source code repositories van de telecomprovider downloaden. T-Mobile laat in een reactie weten dat aanvallers enkele weken geleden door middel van gestolen inloggegevens toegang tot interne systemen hebben gekregen. Op deze systemen stonden geen gegevens van klanten of overheden, of andere gevoelige informatie, aldus het bedrijf. T-Mobile stelt verder dat de aanvallers niets van waarde hebben weten te stelen. Uit screenshots van Krebs blijkt dat de aanvallers via het interne klantensysteem informatie over onder andere defensiepersoneel zochten.

FBI: zeker zestig organisaties wereldwijd getroffen door BlackCat-ransomware

Zeker zestig organisaties wereldwijd zijn slachtoffer geworden van de BlackCat-ransomware, zo laat de FBI weten. Volgens de opsporingsdienst maakt de groep gebruik van eerder gecompromitteerde inloggegevens om toegang tot de netwerken van slachtoffers te krijgen. Hoe de wachtwoorden zijn gecompromitteerd wordt niet door de FBI vermeld (pdf). Na installatie van de malware proberen de aanvallers Active Directory- en beheerderaccounts te compromitteren. Vervolgens gebruikt de malware Windows Taakplannen om malafide Group Policy Objects (GPOs) te configureren waarmee de ransomware op het netwerk wordt uitgerold. Voor het uitrollen schakelen de aanvallers ook verschillende beveiligingsfeatures in het netwerk uit, waaronder de antivirussoftware. Daarnaast stelen de aanvallers data van slachtoffers, onder andere bij cloudproviders. Zodra systemen zijn versleuteld eisen de aanvallers miljoenen dollars losgeld, maar zijn bereid het losgeldbedrag te verlagen. Verder stelt de FBI dat de ontwikkelaars en witwassers van de BlackCat-groep gelieerd zijn aan de Darkside/Blackmatter-ransomware, wat duidt op een uitgebreid netwerk en ervaring met ransomware-aanvallen. De FBI adviseert organisaties om domeincontrollers, servers, werkstations en Active Directories op nieuwe of onbekende gebruikersaccounts te controleren, binnen de Windows Taakplanner naar onbekende taken te zoeken, in de logs van antivirussoftware te kijken of het programma is uitgeschakeld, netwerksegmentatie toe te passen en het regelmatig aanpassen van wachtwoorden van netwerksystemen.

220420
PDF – 1,4 MB 325 downloads

Website Oekraïense postdienst offline na start verkoop middelvinger-postzegel

De Oekraïense nationale postdienst Ukrposhta is vrijdag getroffen door een cyberaanval. Dat gebeurde kort nadat het bedrijf was gestart met de online verkoop van een speciale postzegel.Op de betreffende postzegel staat een Oekraïense soldaat die zijn middelvinger opsteekt naar een Russisch oorlogsschip. Het gaat hier om het gezonken vlaggenschip van de Russische Zwarte Zeevloot, de Moskva. De postzegels werden sinds vorige week verkocht. Tientallen Oekraïners stonden urenlang in de rij voor een postkantoor om een exemplaar te bemachtigen. Sinds vrijdag kunnen de postzegels ook online worden besteld. Ukrposhta-directeur Ihor Smilianskyi zegt dat de website te maken heeft met een ddos-aanval. Daarbij wordt er zo veel verkeer op een website afgestuurd dat hij overbelast raakt. Bezoekers kunnen dan niet of nauwelijks meer op de betreffende site terecht, totdat de aanval is opgehouden of afgewend. Smilianskyi zei niet wie er achter de aanval zou kunnen zitten, maar de suggestie wordt gewekt dat Rusland daar verantwoordelijk voor is. Rusland heeft altijd ontkend cyberaanvallen op Oekraïne uit te voeren.

Recordaantal van 80 aangevallen zerodaylekken in 2021

Aanvallers hebben vorig jaar bij aanvallen zeker tachtig zerodaylekken gebruikt, zo claimt securitybedrijf Mandiant. Een recordaantal. Niet eerder werden er zoveel zerodays in één jaar geïdentificeerd. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken om systemen aan te vallen en er geen beveiligingsupdate van de leverancier beschikbaar is. Van 2012 tot en met 2021 telde Mandiant tweehonderd zerodaylekken, waarvan tachtig vorig jaar. In 2020 werden nog dertig van dergelijke kwetsbaarheden geteld. De meeste aanvallen waarbij zerodaylekken worden ingezet zijn het werk van statelijke actoren die zich richten op cyberspionage, aldus het securitybedrijf. Een grote zeroday-aanval die vorig jaar werd ontdekt maakte gebruik van vier onbekende kwetsbaarheden in Microsoft Exchange Server en wordt toegeschreven aan een groep aanvallers genaamd Hafnium, die aan de Chinese overheid zou zijn gelieerd.    Driekwart van de vorig jaar ontdekte zerodays maakte misbruik van kwetsbaarheden in producten van Apple, Google en Microsoft. Ondanks een toename van het aantal zerodaylekken bij aanvallen blijven aanvallers ook misbruik maken van bekende kwetsbaarheden, vaak nadat die openbaar zijn gemaakt, aldus Mandiant. Volgens het securitybedrijf is het daarom belangrijk dat organisaties rekening houden met de tijd tussen openbaarmaking en misbruik.

Politie ontvangt jaarlijks zo'n tweehonderd aangiftes van ransomware

De Nederlandse politie ontvangt jaarlijks rond de tweehonderd aangiftes van ransomware, maar het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger. Dat laat minister Yesilgöz van Justitie en Veiligheid weten op Kamervragen van het CDA. CDA-Kamerlid Bontenbal had de minister om informatie gevraagd over het aantal aanvallen per maand, de ernst van het probleem en de omvang van de aangerichte schade. "Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de tweehonderd aangiftes van ransomware ontvangt", antwoordt Yesilgöz. De minister voegt toe dat de aangiftebereidheid bij cybercrimedelicten echter laag is, wat met name geldt voor ransomware. "Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid." Op basis van informatie van de politie stelt Yesilgöz dat ransomware-aanvallen met name gericht zijn op het mkb en grote bedrijven. Mkb-bedrijven zijn doelwit van ongerichte aanvallen waarbij gebruik wordt gemaakt van ransomware-as-a-service. Bij de meer gerichte aanvallen, waarbij criminelen maatwerk leveren om tot maximaal financieel gewin te komen, zijn grote organisaties het doelwit, aldus de minister.

2 F 172795 85 A 3 4 Fa 5 B 5 Ba 1095 Bd 24 F 39 F
Word – 85,5 KB 199 downloads

Patiëntendossiers door ddos-aanval op clouddienst urenlang onbereikbaar

Zorgmedewerkers van een niet nader genoemde zorginstelling konden elektronische dossiers van patiënten urenlang niet raadplegen door een ddos-aanval op de clouddienst waar de dossiers waren opgeslagen, wat mogelijk risico voor het verlies van mensenlevens had kunnen hebben. Dat meldt het Agentschap Telecom in het vandaag verschenen jaarbericht 2021. Het Agentschap Telecom houdt in het kader van de Wet Beveiliging Netwerk en Informatiesystemen (Wbni) toezicht op digitale dienstverleners (DSP's). In Nederland is de grootste groep binnen deze sector die van de clouddienstverleners. De overige groep bestaat voornamelijk uit online marktplaatsen. Het afgelopen jaar voerde de toezichthouder bij een aantal DSP's inspecties uit, onder andere naar aanleiding van incidenten waarbij diensten werden verleend aan de zorgsector. "Een elektronisch patiëntendossier, ondergebracht bij de clouddienst, kon een aantal uren niet worden geraadpleegd door zorgmedewerkers. De verstoring van de clouddienst door een DDoS-aanval had, zoals dat heet, aanzienlijke gevolgen vanwege een mogelijk risico voor het verlies van mensenlevens. Dit was een constatering op basis van een criterium in de Europese regelgeving. Dit was een directe aanleiding voor ons om een incidentinspectie te starten", zo laat het Agentschap Telecom weten. Bij de verschillende inspecties zijn meerdere problemen geconstateerd die inmiddels door de betreffende clouddienstverleners zijn opgelost. Het Agentschap Telecom zal meer algemene oorzaken en geconstateerde punten met de sector clouddienstverleners delen, zodat die waar nodig verbeteringen kunnen doorvoeren. Met de inspecties wil de toezichthouder naar eigen zeggen de digitale weerbaarheid van digitale dienstverleners verhogen.

Jaarbericht Agentschap Telecom 2021
PDF – 2,3 MB 212 downloads

Hive ransomware gebruikt om Exchange Server aan te vallen

Hackers die gelieerd zijn aan Hive proberen Microsoft Exchange Servers binnen te dringen door een zogeheten backdoor in te bouwen. Eenmaal binnen verkennen ze het computernetwerk van hun slachtoffer en stelen ze inloggegevens van systeembeheerders. Verder halen ze vertrouwelijke gegevens binnen en installeren ze malware. Dat blijkt uit een analyse van Varonis. Het cybersecuritybedrijf is benaderd door een partij die het slachtoffer is geworden van een ransomware-aanval.

Hive Ransomware Analysis
PDF – 1,8 MB 275 downloads

Servers REvil weer online na maanden van inactiviteit

REvil lijkt weer terug van weggeweest. De servers op het Tor-netwerk die de hackersgroep gebruikte om zijn malware mee te verspreiden, zijn weer online. De website vermeldt tientallen pagina’s aan slachtoffers. Dat blijkt uit screenshots die verschillende beveiligingsonderzoekers hebben gemaakt.

Servers R Evil Weer Online Na Maanden Van Inactiviteit
PDF – 2,7 MB 265 downloads

De gemeente Buren is slachtoffer geworden van een ransomware-aanval

De cyberaanval was op 1 april. Als het inderdaad om een ransomware-aanval gaat, zoals de gemeente aangeeft, dan heeft een hacker bestanden in het gemeentesysteem bewust vergrendeld, en pas weer vrijgegeven bij de betaling van losgeld. Daarover rept Buren echter niet. De gemeente laat wél weten dat 130 gigabyte aan gegevens is aangeboden op het darkweb. Dat is een afgesloten en moeilijk toegankelijk deel van het internet, dat binnen een versleuteld netwerk opereert. Van het darkweb is bekend dat er zaken worden besproken en verhandeld die het daglicht niet kunnen verdragen. "Van die 130 gigabyte hebben wij nu de helft in beeld", laat de gemeente Buren woensdagavond weten. "Dat zijn ruim 730.000 bestanden. Welke gegevens daar precies in staan, weten we nog niet. Dat zijn we nu zorgvuldig aan het onderzoeken. Uit de eerste inventarisatie blijkt dat het ook om gevoelige persoonsgegevens en vertrouwelijke informatie gaat. We verwachten uiterlijk begin volgende week de volledige 130 gigabyte in beeld te hebben." Burgemeester Josan Meijers zegt het heel erg te vinden dat er persoonlijke gegevens uit het gemeentesysteem zijn gestolen. Ze zegt dat met man en macht gewerkt wordt om te achterhalen om wat voor gegevens het gaat, en van wie die zijn. "We lopen alle bestanden na. Zo weten we van wie er belangrijke gegevens, zoals identiteitsgegevens, zijn gelekt. Inwoners en medewerkers van wie persoonlijke of vertrouwelijke gegevens zijn buitgemaakt, informeren wij zodra bekend is om welke gegevens het gaat." De gemeente zegt alert te zijn op signalen dat de gegevens waarover Buren beschikte, door anderen worden gebruikt. Ze vraagt inwoners om in de gaten te houden of ze telefoon, post of een e-mail van de gemeente of de bank ontvangen die ze niet vertrouwen. Gebeurt dat, dan moeten inwoners contact leggen met de gemeente of hun bank.

Herentals (B) ziekenhuis slachtoffer van cybercriminelen: “Elektronische patiëntendossier bleef ontoegankelijk”

Het Herentalse AZ ziekenhuis heeft te maken gehad met een cyberincident, waarbij een onbekenden er in geslaagd zijn om ongeautoriseerd toegang te krijgen tot een aantal interne documenten van het ziekenhuis. “De werking van het ziekenhuis kwam hierdoor nooit in gevaar”, klinkt het bij communicatieverantwoordelijke Annelies Vrints. Het AZ Herentals, gelegen aan de Nederrij, heeft de melding van een onbekende groep gekregen dat men zich ongeautoriseerd toegang heeft verschaft tot een aantal interne documenten. Hierop heeft het ziekenhuis alle nodige stappen gezet om dit datalek aan te pakken. “De bevoegde instanties, zoals de Gegevensbeschermingsautoriteit (GBA) en de cyberunit van de federale politie, zijn op de hoogte gebracht”, vertelt Annelies Vrints van het AZ Herentals. “Ook zijn er externe cyberexperts ingeroepen om de eigen IT-dienst te ondersteunen, het lek te zoeken en dat te sluiten.” Volgens het Herentalse ziekenhuis kregen de cybercriminelen nooit toegang tot Nexuzhealth-KWS, wat staat voor het elektronische patiëntendossier van het hospitaal. “Het AZ Herentals beschouwt het als zijn grootste prioriteit om ervoor te zorgen dat de gegevens beschermd blijven en neemt dit incident dan ook heel ernstig”, gaat het verder. Tot slot meldt men aan de Nederrij dat de betrokken patiënten ingelicht worden door het AZ Herentals zodra het mogelijk is. “Momenteel is het niet mogelijk om bijkomende informatie te geven bij dit incident”, besluit Annelies Vrints.

FBI waarschuwt voor ransomware-aanvallen op landbouwcoöperaties

De FBI heeft vandaag een waarschuwing afgegeven waarin het landbouwcoöperaties waarschuwt voor ransomware-aanvallen tijdens de plant- en oogstseizoenen, wat gevolgen voor de voedselketen kan hebben (pdf). De Amerikaanse opsporingsdienst laat weten dat afgelopen herfst zes graancoöperaties werden aangevallen en begin dit jaar zijn er al twee aanvallen waargenomen. Deze aanvallen kunnen door het verstoren van de leveringen van zaden en kunstmest het plantseizoen negatief beïnvloeden. Vanwege de rol die landbouwcoöperaties in de voedselproductie spelen kunnen criminelen deze organisaties als aantrekkelijke doelwitten zien. In de waarschuwing noemt de FBI verschillende incidenten waarbij graanproducenten door ransomware werden getroffen. Om dergelijke aanvallen te voorkomen geeft de FBI verschillende adviezen, zoals het installeren van updates, gebruik van multifactorauthenticatie, maken van offline back-ups, het opstellen van een recoveryplan, het implementeren van netwerksegmentatie, het uitschakelen van ongebruikte RDP-poorten en monitoren va RDP-logs, het vereisen van beheerdersrechten om software te mogen installeren, het vermijden van openbare wifi-netwerken, het uitschakelen van hyperlinks in e-mails en het focussen op cyber security awareness en training van personeel.

220420 2
PDF – 1,3 MB 188 downloads

Okta meldt twee slachtoffers van hackaanval

Okta heeft het onderzoek naar de hackaanval van afgelopen januari afgerond. Daaruit blijkt dat een onbevoegde in totaal 25 minuten lang toegang had tot de server van het bedrijf. In deze tijdruimte had hij inzage in de gegevens van twee klanten. De dader slaagde er niet in om toegang te krijgen tot data van andere klanten, of wachtwoorden aan te passen. Dat meldt Okta in een update over de hackaanval.

VS waarschuwt opnieuw voor actief misbruik van lek in Windows Print Spooler

De Amerikaanse overheid heeft opnieuw gewaarschuwd voor een kwetsbaarheid in de Windows Print Spooler waar aanvallers actief misbruik van maken. Eind maart werd een zelfde waarschuwing voor een ander beveiligingslek in het Windowsonderdeel gegeven. De kwetsbaarheid, aangeduid als CVE-2022-22718, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Het beveiligingslek alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Een ander lek in de Print Spooler waarvoor op 8 februari een patch verscheen, CVE-2022-21999, werd eerder al bij aanvallen ingezet. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. In het geval van CVE-2022-22718 moeten Amerikaanse overheidsinstanties deze kwetsbaarheid voor 10 mei in hun systemen hebben verholpen.

Blockchain- en cryptobedrijven aangevallen via besmette applicaties

Verschillende blockchain- en cryptobedrijven zijn de afgelopen jaren het doelwit geworden van een door Noord-Korea gesponsorde advanced persistent threat (APT)-groep die hierbij besmette applicaties inzet, zo claimen de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Financiën. De groep wordt Lazarus genoemd, maar staat ook bekend als APT38, BlueNoroff en Stardust Chollima. Volgens de Amerikaanse autoriteiten heeft de groep sinds tenminste 2020 aanvallen uitgevoerd tegen cryptobeurzen, decentralized finance (DeFi)-protocollen, videogames waarmee cryptovaluta zijn te verdienen, cryptovaluta-handelsbedrijven, durfinvesteerders die in cryptovaluta investeren en personen die over grote hoeveelheden cryptovaluta en waardevolle non-fungible tokens (NFTs) beschikken. Voor het uitvoeren van de aanvallen maakt de APT-groep gebruik van social engineering via verschillende communicatieplatformen, waarbij personen worden verleid om getrojaniseerde cryptovaluta-applicaties voor macOS en Windows te downloaden. Via deze besmette programma's krijgen de aanvallers toegang tot het systeem van het slachtoffer en kunnen daarvandaan het verdere netwerk compromitteren. Uiteindelijk proberen de aanvallers frauduleuze blockchain-transacties uit te voeren, aldus de waarschuwing van de overheidsinstanties. Aangezien de aanvallers veel gebruikmaken van social engineering is het volgens de FBI en het CISA belangrijk om personeel over spearphishing te informeren. Zo doen de aanvallers zich bijvoorbeeld voor als recruiters en gebruiken e-mail en socialmediaplatformen om een vertrouwensband met het slachtoffer op te bouwen, voordat ze malafide documenten versturen. "Werknemers die cybersecurity aware zijn, zijn één van de beste verdedigingen tegen socialengineeringtechnieken zoals phishing", zo laten de overheidsinstanties verder weten. Ook wordt gewaarschuwd om voorzichtig te zijn met third-party downloads en dan met name het downloaden van cryptovaluta-applicaties. Gebruikers moeten hun downloads dan ook altijd controleren en zeker weten dat het bestand van een betrouwbare bron afkomstig is en niet van een derde leverancier. "Aanvallers laten steeds zien dat ze applicaties van malware kunnen voorzien om zo toegang tot systemen te krijgen", melden de FBI en het CISA, die tevens een reeks technische beveiligingsmaatregelen adviseren.

Alert AA 22 108 A
PDF – 2,3 MB 199 downloads

VMware meldt ook misbruik van tweede kwetsbaarheid in Workspace One

Aanvallers maken op dit moment actief misbruik van twee kwetsbaarheden in VMware Workspace One Access waarvoor op 6 april een beveiligingsupdate verscheen, zo laten VMware en de Amerikaanse overheid weten. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Met de patch van 6 april werden meerdere kwetsbaarheden in de software verholpen. Op 13 april liet VMware weten dat aanvallers misbruik maken van CVE-2022-22954. Via deze kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Inmiddels blijkt dat ook een tweede kwetsbaarheid actief bij aanvallen tegen het Workspace One-platform worden ingezet. Het gaat om CVE-2022-22960. Via dit beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en root worden. Deze kwetsbaarheid is mogelijk door verkeerde permissies in de supportscripts. De impactscore van deze kwetsbaarheid bedraagt 7.8. Organisaties worden opgeroepen om hun installaties te updaten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgeroepen om de beveiligingsupdate voor 6 mei uit te rollen.

Meer kwetsbaarheden

Zwembad Enkhuizerzand getroffen door cybercriminelen

Zwembad Enkhuizerzand in Enkhuizen is het doelwit geweest van hackers. Onbekenden wisten de server van het zwembad binnen te dringen. Zo verstuurden ze en e-mails naar ouders van leerlingen, zogenaamd over de vorderingen van hun zwemles. Het mailbestand is uit de lucht gehaald en de oorzaak van het lek wordt momenteel onderzocht. Dat bevestigt directeur Ton Boogaard aan het Noordhollands Dagblad. Wanneer het datalek is ontstaan, kan Boogaard niet precies vertellen. Hij vermoedt dat de onbevoegden zo’n drie weken geleden voor het eerst toegang wisten te verschaffen tot de server van het zwembad. Drie alerte klanten hebben de afgelopen tijd medewerkers verteld dat het zwembad mogelijk gehackt is. Zij ontvingen e-mails die uit naam van zwembad Enkhuizerzand waren verstuurd. De mails gingen over de zwemles van hun zoon of dochter en hoe ze het deden. In de berichten was een malafide URL opgenomen. Het zwembad raadt ouders aan om niet op de link te klikken. “Wij versturen nooit links in onze mails. Wij geven informatie over de zwemtijden of over de vorderingen, maar sturen nooit links. Dus klik daar vooral niet op”, aldus Boogaard tegenover het Noordhollands Dagblad.

Currency.com doelwit van ddos-aanvallen

Het van oorsprong Wit-Russische crypto-handelsplatform, Currency.com, heeft onlangs onthuld dat het het doelwit was van een grote hackinspanning na het opschorten van de activiteiten in Rusland vorige week. Gisteren werd aangekondigd dat de cyberaanval de servers, de beveiligingssystemen en alle klantgegevens van Currency.com niet waren aangetast. Dit nieuws komt nadat vorige week op 12 april werd geprobeerd een DDoS aanval te doen op de exchange. Een DDoS-aanval treedt op wanneer hackers een platform aanvallen met talloze verzoeken om zijn diensten, waardoor de infrastructuur van het platform uitvalt. Volodymyr Zelensky, de president van Oekraïne, heeft eerder gezegd dat Russische hackers het militaire ministerie en de financiële sector van het land hadden aangevallen met DDoS-operaties.

Belgische hogeschool Vives blijft wegens cyberaanval dinsdag gesloten

De Belgische hogeschool Vives zal morgen vanwege een cyberaanval die ruim een week geleden plaatsvond de deuren nog niet kunnen openen. Afgelopen vrijdag meldde regionale media dat de school nog altijd zonder e-mail zat. Ook andere systemen zijn op het moment niet bruikbaar. Volgens een verklaring van de hogeschool probeerden aanvallers met het wachtwoord van een leerling toegang te krijgen tot het netwerk. "Dat lukte telkens niet. Maar afgelopen vrijdag, op 8 april, werd er rond 1 uur 's nachts opgemerkt dat die hackersgroep software probeerde te installeren, waarmee ze de wachtwoorden van ons datamanagement zou kunnen overnemen", zo liet directeur Joris Hindryckx van de hogeschool eerder weten. Na deze ontdekking werd besloten alle systemen uit te schakelen. Aangezien het vorige week vakantie in België was, was de impact hievan beperkt. Afgelopen vrijdag kregen alle 17.000 studenten gefaseerd toegang tot hun e-mail, maar dat is inmiddels alweer afgesloten, zo laat regionale televisiezender Focus & WTV weten. Op de statuspagina van de hogeschool staat vermeld dat e-mail voor docenten en studenten met een gedeeltelijke storing te maken heeft. Het VDI-platform dat de school gebruikt kampt nog altijd met een grote storing. Omdat nog niet alle systemen zijn herstart heeft Vives besloten om de schooldeuren morgen gesloten te houden. "We zijn bezig om via de platformen van Leuven iedereen, zowel docenten als studenten te contacteren om hun wachtwoord te resetten. Als dat gebeurd is, kunnen we alle nieuwe gegevens vanop de servers van KU Leuven synchroniseren naar de servers van Vives en kan alles terug normaal opgestart worden. Er moeten dus heel veel zaken gereset worden", zegt Hindryckx tegenover VRT NWS. Eerder werden alle studenten en docenten opgeroepen hun wachtwoord te resetten. "Door de vakantie heeft nog niet iedereen de informatie met instructies op hun persoonlijke mailadres gelezen. Wie wel al zijn wachtwoord vernieuwd heeft en daarbovenop zijn identiteit bevestigd heeft, kan normaal wel al terug aan zijn mails, hetzij dan op de wifi thuis of op 4G, want de algemene systemen op de campus van VIVES staan nog altijd op non-actief", voegt de directeur toe. De school wil vandaag en morgen alle systemen controleren en nakijken, zodat de lessen woensdag kunnen worden hervat.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »

«   »