EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In de meest recente update waarschuwden diverse overheidsinstanties, waaronder de FBI en NSA, voor de gevaren van foutief geconfigureerd DMARC-beleid dat gebruikt wordt om spearphishing-aanvallen te faciliteren. DMARC, het e-mailverificatieprotocol dat ontworpen is om spoofing te voorkomen, is afhankelijk van een nauwkeurige configuratie. Onjuiste instellingen geven hackers de kans om zich met een vervalst e-maildomein voor te doen als betrouwbare afzenders. Deze kwetsbaarheid wordt misbruikt door beruchte groepen zoals Kimsuky uit Noord-Korea. Organisaties worden daarom aangespoord hun e-mailbeveiliging robuust in te richten.

Daarnaast identificeerde de CISA een ernstige GitLab-kwetsbaarheid, aangeduid als CVE-2023-7028. Deze kwetsbaarheid maakt het mogelijk voor hackers om wachtwoordreset-e-mails naar hun eigen adressen te sturen, waarmee ze de controle over accounts kunnen overnemen. Ondanks de beschikbare patches, bleek dat minder dan de helft van de kwetsbare systemen wereldwijd was bijgewerkt. De CISA benadrukt het belang van tweefactorauthenticatie (2FA) en roept op om systemen te patchen, met name omdat GitLab waardevolle gevoelige informatie bevat, zoals code en API-sleutels.

De phishingmalware Latrodectus, die zich via thema’s van Microsoft Azure en Cloudflare verspreidt, maakt gebruik van reply-chain phishing e-mails en misleidt slachtoffers met ogenschijnlijk legitieme beveiligingsvragen en captchas. In Nederland zijn inmiddels meldingen van slachtoffers binnengekomen, wat wijst op de aanhoudende dreiging van deze steeds geavanceerdere phishingaanvallen. De malware richt zich vooral op initiële toegang tot bedrijfsnetwerken, wat het belang onderstreept van snelle detectie en het isoleren van geïnfecteerde systemen.

Elk jaar verzamelen we bij Cybercrimeinfo gegevens over het aantal organisaties dat slachtoffer is geworden van datalekken waarvan de gegevens op het darkweb terechtkomen. Het aantal is sinds 2019 explosief gestegen van slechts één organisatie naar maar liefst 13.707 in 2024. Deze groeiende trend toont het belang van continue gegevensbescherming en cybersecuritymaatregelen.

De Finse autoriteiten waarschuwden deze week voor een campagne met Android-malware die gebruikers probeert te misleiden door zich voor te doen als de McAfee-beveiligingsapp. Deze nieuwe variant van de Vultur Trojan verspreidt zich buiten de officiële app-winkel om en is ontworpen om bankgegevens van gebruikers te stelen. De malware bevat geavanceerde functies, zoals misbruik van toegankelijkheidsservices en uitgebreid bestandsbeheer. Het Finse agentschap adviseert om verdachte verzoeken onmiddellijk bij banken en de politie te melden.

Een aanval op het Franse ziekenhuis Hospital de Cannes Simone Veil benadrukte deze week de impact van ransomware op kritieke infrastructuur. Gevoelige gegevens van patiënten, personeel en partners zijn online gelekt nadat het ziekenhuis weigerde te voldoen aan de losgeldeisen van Lockbit 3.0. De aanval legde het belang bloot van proactieve beveiligingsmaatregelen en herstelstrategieën om de zorgcontinuïteit te garanderen. Het ziekenhuis belooft getroffen personen te informeren en bij te staan.

Dropbox Sign Data Inbreuk en Nieuwe Cuttlefish Malware

Een alarmerend datalek trof recent Dropbox Sign, een platform voor elektronische handtekeningen dat eerder bekend stond als HelloSign. Hackers kregen toegang tot productieomgevingen, waarbij ze multifactorauthenticatiesleutels, API-sleutels, gehashte wachtwoorden en andere klantgegevens konden stelen. Hoewel geen documenten werden ingezien, heeft Dropbox preventief alle wachtwoorden gereset en extra veiligheidsmaatregelen getroffen. Klanten wordt geadviseerd alert te blijven op mogelijke phishing-pogingen.

Ondertussen blijft een andere dreiging groeien. Cuttlefish, een nieuwe malware die routers infecteert, exfiltreert authenticatiegegevens en omzeilt beveiligingsmaatregelen door middel van VPN-tunnels en DNS-hijacking. Organisaties wereldwijd worden hierdoor blootgesteld aan verhoogde risico's, zoals cloudgegevensdiefstal. De malware kan ook actief commando's uitvoeren vanuit een command-and-control (C2) server, wat onderstreept hoe aanvallers tegenwoordig direct systemen kunnen besturen. Regelmatige updates van firmware, monitoring van verdachte inlogs en het wijzigen van standaardwachtwoorden zijn essentieel om routers te beschermen.

Daarnaast vormt Wpeeper, een nieuwe Android-malware, een aanzienlijke bedreiging door gehackte WordPress-websites te gebruiken als tussenstations voor command-and-control communicatie. De malware maakt gebruik van onofficiële app-winkels om te verspreiden en is erop gericht informatie te stelen en bestanden op afstand uit te voeren. De complexiteit van de aanvalsmethoden benadrukt het belang van officiële app-winkels en ingebouwde anti-malware tools zoals Google Play Protect.

Een ander recent incident omvatte de diefstal van 6GB aan AutoCAD-bestanden met gedetailleerde technische informatie over Amerikaanse militaire bases. Deze data werd te koop aangeboden op het darkweb, wat het aanhoudende risico onderstreept van kritieke gegevenslekken in de publieke sector. Ondanks de grote gevolgen voor de nationale veiligheid hebben de daders geen bewijs van authenticiteit geleverd, wat verdere onzekerheid brengt over de risico's van dergelijke informatie.

Het datalek bij het Amerikaanse gezondheidszorgbedrijf Change Healthcare onderstreept de omvang van cybercriminaliteit. Nadat hackers toegang kregen via gestolen inloggegevens van Citrix, betaalde het bedrijf losgeld aan de ALPHV-ransomwaregroep. Dergelijke aanvallen leiden niet alleen tot directe financiële schade, maar ook tot vertrouwensverlies en onderbreking van essentiële gezondheidszorgdiensten.

In een wereld waar cybercriminaliteit voortdurend evolueert, is het van cruciaal belang dat organisaties hun systemen up-to-date houden, hun personeel bewust maken van bedreigingen en investeren in geavanceerde beveiligingsmaatregelen. Voortdurende monitoring, nauwkeurige protocollen en snelle reactie op potentiële incidenten blijven de sleutel om de veerkracht van digitale systemen te waarborgen.

Bankdatalekken bij EvoBanco en DNS-Manipulatie door Muddling Meerkat

Een ander zorgwekkend incident betrof het datalek bij de Spaanse bank EvoBanco. Hier werd door een kwetsbaarheid in het registratieproces gevoelige klantinformatie blootgelegd, zoals telefoonnummers en salarisgegevens. Hackers gebruikten brute force-aanvallen om gegevens te verkrijgen via GET-verzoeken zonder identiteitsverificatie. De verantwoordelijke hacker beschuldigde de bank van nalatigheid en eiste dat EvoBanco hun fout zou erkennen. Deze aanval benadrukt hoe belangrijk het is om ook basale beveiligingsmaatregelen zoals identiteitsverificatie serieus te nemen.

In hetzelfde kader is het belangrijk om te letten op de SpaceBears-ransomwaregroep, die recentelijk aanvallen heeft uitgevoerd op prominente bedrijven wereldwijd. Ze eisen aanzienlijke losgelden in ruil voor de decryptiesleutels, wat niet alleen financiële schade veroorzaakt, maar ook leidt tot reputatieschade en verlies van klantvertrouwen. Hun professionele uitstraling en focus op losgeld eisen zorgen voor een groeiend risico voor organisaties.

Ten slotte is er sprake van DNS-manipulatie door de Muddling Meerkat-groep, die wordt gelinkt aan China. Deze hackers injecteren valse DNS-antwoorden in de MX-records via China's Grote Firewall (GFW). Dit geeft hen inzicht in de beveiliging van andere netwerken en helpt bij het voorbereiden van toekomstige aanvallen. Organisaties moeten daarom waakzaam blijven en hun netwerken monitoren voor abnormale DNS-verzoeken.

Conclusie: In deze dynamische wereld van digitale dreigingen blijft cybersecurity een onmisbare prioriteit voor elke organisatie. Of het nu gaat om spearphishing-aanvallen via incorrect DMARC-beleid, ransomware-campagnes, malware die routers infecteert of kwetsbaarheden in registratiesystemen, het is essentieel om alert te blijven en beveiligingsmaatregelen continu te verbeteren. Bedrijven moeten ervoor zorgen dat ze regelmatig patches uitvoeren, robuuste beveiligingsprotocollen toepassen en personeel trainen in bewustzijn over cyberdreigingen. Zo kunnen ze zich beter wapenen tegen de steeds geavanceerdere aanvallen van cybercriminelen.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Risico's en Impact van AI-afbeeldingen op Sociale Media

Op sociale media zoals Facebook is een toename van AI-gegenereerde afbeeldingen te zien, waarbij soms bizarre creaties zoals een garnaal met het hoofd van Jezus veel aandacht trekken. Deze afbeeldingen, die vaak miljoenen clicks genereren, worden niet altijd met onschuldige intenties geplaatst. Uit onderzoek van het Stanford Internet Observatory blijkt dat dergelijke content dikwijls door oplichters wordt gebruikt om gebruikers naar malafide websites te lokken. Hier kunnen persoonlijke gegevens via phishing-technieken worden ontvreemd. De impact van kunstmatige intelligentie op sociale media strekt zich verder uit dan enkel ludieke afbeeldingen. Er zijn zorgen over hoe AI kan worden ingezet bij het verspreiden van desinformatie, bijvoorbeeld door deepfake-video’s te maken die tijdens verkiezingen kunnen worden gebruikt om misleiding te zaaien. Meta, het moederbedrijf van Facebook, is begonnen met het labelen van AI-content om gebruikers te informeren over de oorsprong van het materiaal. Echter, de effectiviteit van deze labels is nog onderwerp van discussie, vooral omdat de technologieën voor detectie niet feilloos zijn en het soms moeilijk is om echte van kunstmatig gegenereerde inhoud te onderscheiden.

Cyberaanval Verstoort Diensten van de Stad Wichita in de VS

De stad Wichita werd getroffen door een cyberaanval waarbij bepaalde gemeentelijke systemen werden vergrendeld met malware. Als voorzorgsmaatregel heeft de stad besloten haar computernetwerk volledig uit te schakelen om verdere verspreiding van de malware te voorkomen en om de systemen veilig te kunnen herstellen. Deze onderbreking kan leiden tot tijdelijke onbeschikbaarheid van enkele diensten. In het bijzonder werd de Wichita Dwight D. Eisenhower Nationale Luchthaven getroffen, wat hun wifi-netwerk en vluchtinformatie beïnvloedde. De stad heeft derde-partij experts ingeschakeld om het netwerk zo snel en veilig mogelijk te herstellen en continuïteitsmaatregelen getroffen om de verstoring te minimaliseren. Over de specifieke impact op gegevens wordt een grondig onderzoek uitgevoerd, waarbij de stad gedetailleerde updates zal blijven geven. In verband met operationele veiligheid geeft de stad geen details vrij over de daders van deze aanval. [kake]

Waarschuwing voor Android-malware in Finland

Het Finse Transport- en Communicatieagentschap (Traficom) heeft een waarschuwing afgegeven voor een lopende malwarecampagne gericht op Android-apparaten die bankrekeningen probeert te hacken. De malware wordt verspreid via SMS-berichten, ogenschijnlijk afkomstig van banken of betalingsdiensten zoals MobilePay, die gebruikers instrueren een McAfee-app te installeren voor bescherming. Deze berichten gebruiken spoofingtechnologie om het te laten lijken alsof ze van lokale netwerkoperators komen. De zogenaamde McAfee-app is echter malware die aanvallers toegang geeft tot bankrekeningen van slachtoffers. De malware, die waarschijnlijk een nieuwe versie van de Vultur Trojan is, wordt geïnstalleerd via een APK-bestand buiten de officiële app-winkel om. Deze versie van Vultur bevat geavanceerde functies zoals uitgebreid bestandsbeheer, misbruik van toegankelijkheidsservices, en het blokkeren van specifieke apps. De Finse politie en het financiële dienstverleningsbedrijf OP Financial Group hebben ook gewaarschuwd voor deze bedrieglijke berichten. In één geval verloor een slachtoffer 95.000 euro. Google heeft bevestigd dat Android's ingebouwde anti-malware tool, Play Protect, automatisch beschermt tegen bekende versies van Vultur. Gebruikers worden geadviseerd verdachte verzoeken direct te melden bij de klantenservice van hun bank en de politie. [kyberturvallisuuskeskus, op, poliisi]

Duitse Schoenenketen Salamander Getroffen door Langdurige Cyberaanval

Ongeveer twee weken geleden werd de Duitse schoenenketen Salamander het slachtoffer van een ernstige cyberaanval, waardoor hun online diensten en interne systemen volledig werden verlamd. De aanval heeft niet alleen geleid tot een aanzienlijke verstoring van de online verkoop, maar heeft ook invloed gehad op de operationele activiteiten in de fysieke winkels. Hoewel het bedrijf onmiddellijk maatregelen nam door cybersecurityexperts in te schakelen, is het hen tot dusver niet gelukt om de systemen volledig te herstellen. De exacte aard van de malware en de identiteit van de aanvallers zijn nog niet bekendgemaakt. Salamander heeft uit veiligheidsoverwegingen besloten geen gedetailleerde informatie over de aanval te delen om mogelijke navolgende aanvallen te voorkomen. Het bedrijf heeft zijn klanten via de officiële kanalen op de hoogte gebracht van de situatie en werkt nauw samen met de autoriteiten om de aanval verder te onderzoeken en toekomstige bedreigingen af te wenden. De incident heeft een grote impact op de bedrijfsvoering en benadrukt de noodzaak voor continue investering in cyberbeveiliging. [heise, salamander]

Vermoedelijke Datalek bij The Post Millennial na Claim van Hacker

Recentelijk beweert een hacker toegang te hebben verkregen tot de database van de nieuwswebsite The Post Millennial, wat wijst op een mogelijk ernstig datalek. De hacker, die anoniem wil blijven, heeft via een bericht op een hackersforum aangegeven dat hij in het bezit is van de gebruikersgegevens van de website. Dit omvat namen, e-mailadressen, en mogelijk andere persoonlijke informatie van abonnees en medewerkers van The Post Millennial. Volgens de details in het bericht, is de hacker van plan deze gegevens te verkopen aan de hoogste bieder, wat aanzienlijke privacyzorgen oplevert voor betrokkenen. Het is echter nog niet duidelijk of de gegevens daadwerkelijk zijn ontvreemd, of dat het slechts een poging tot afpersing of intimidatie is. De betrokkenheid van The Post Millennial en de authenticiteit van de claim worden momenteel nog onderzocht. Deze situatie benadrukt het belang van robuuste cyberbeveiligingsmaatregelen voor bedrijven en de noodzaak om persoonsgegevens adequaat te beschermen tegen ongeautoriseerde toegang en lekken.

Datalek bij Nestlé Brazilië door dreigingsactor 888

Nestlé Brazilië heeft te maken met een significant datalek waarbij de dreigingsactor 888 betrokken is. Deze actor claimt een database te hebben gelekt met persoonlijke informatie van werknemers van Nestlé, waaronder volledige namen en e-mailadressen. Het lek, dat plaatsvond in mei 2024, betreft ongeveer 4.409 regels met gevoelige gegevens. Deze informatie werd gedeeld op een bekend hackersforum, waardoor de betrokken werknemers risico lopen op privacyinbreuken en identiteitsdiefstal. Dit incident onderstreept het voortdurende gevaar van cybercriminaliteit en het belang van robuuste cybersecurity maatregelen om gevoelige informatie te beschermen.

Umeå University in Zweden Getroffen door Grote Cyberaanval

Op 2 mei 2024 heeft Umeå University een ernstige cyberaanval ontdekt, waardoor extra beveiligingsmaatregelen zijn genomen. Dit heeft geleid tot verstoringen in systemen en digitale tools die door zowel universiteitspersoneel als studenten worden gebruikt. Momenteel worden intensieve inspanningen geleverd om de aanval te stoppen, met externe specialisten die betrokken zijn bij het onderzoek en het nemen van tegenmaatregelen. Als gevolg hiervan kunnen gebruikers enkele gevolgen ondervinden, waaronder de noodzaak van MFA voor VPN-gebruik en mogelijke uitval van delen van universiteitssystemen. Gelukkig blijven e-mails en Microsoft 365-platforms operationeel. De situatie evolueert, dus het is essentieel dat personeel en studenten op de hoogte blijven via de officiële kanalen van de universiteit. De aanval werd gedetecteerd tijdens een analyse van logs en vereist diepgaand onderzoek vanwege de ernst ervan. [umu]

Geraffineerde bankhelpdeskfraude via legitieme banknotificaties

Een klant van de Britse Chase Bank is slachtoffer geworden van een doordachte vorm van bankhelpdeskfraude, waarbij hij voor 21.000 euro werd opgelicht. De oplichters gebruikten een echte pushnotificatie van de bank-app om hun betrouwbaarheid te veinzen. Het slachtoffer ontving een oproep van de fraudeur, die zich voordeed als een medewerker van de bank en aankondigde dat een pushnotificatie zou volgen ter verificatie. Nadat het slachtoffer de notificatie bevestigde, overtuigde de fraudeur hem om zijn creditcardgegevens te delen en transacties te autoriseren, die uiteindelijk leidden tot het overboeken van geld. Tech-expert Terence Eden heeft de fraude geanalyseerd en ontdekte dat hierbij twee oplichters samenwerkten: één die de klant benaderde en een ander die zich bij de bank voordeed als de klant. De bank stuurde vervolgens een pushnotificatie naar de echte klant voor bevestiging, waardoor de bank misleid werd te denken dat ze met de echte klant communiceerden. Eden bekritiseert de gebruikte pop-up als een "securityramp" vanwege de onduidelijke formulering, wat de fraudeurs in de hand werkte. Chase Bank heeft een onderzoek ingesteld naar het incident. [reddit, shkspr]

Misbruik van DMARC-beleid bij Spearphishing

Volgens een recente waarschuwing van de FBI, NSA en het Amerikaanse ministerie van Buitenlandse Zaken wordt er misbruik gemaakt van incorrect geconfigureerd DMARC-beleid om spearphishing-aanvallen uit te voeren. DMARC, wat staat voor Domain-based Message Authentication, Reporting and Conformance, is een e-mailverificatieprotocol bedoeld om e-mail spoofing tegen te gaan. Het werkt samen met twee andere protocollen, SPF en DKIM, om de authenticiteit van e-mails te verifiëren en te zorgen dat spam en phishingmails geblokkeerd worden. Een correct ingesteld DMARC-beleid helpt voorkomen dat aanvallers een e-maildomein kunnen vervalsen bij het verzenden van spearphishingberichten. De overheidsinstanties rapporteren dat diverse aanvallen, waaronder die van de Noord-Koreaanse groep Kimsuky, mogelijk gemaakt zijn door zwakke of foutieve DMARC-configuraties. Organisaties worden daarom opgeroepen hun DMARC-beleid nauwkeurig en veilig in te stellen om zich tegen dergelijke dreigingen te wapenen.

Toename van Ransomware Bedreigingen in April

In april hebben cybersecurity experts 38 nieuwe varianten van ransomware geïdentificeerd, wat de aanhoudende evolutie en verfijning in de aanvalstactieken van cybercriminelen onderstreept. Deze kwaadaardige programma's, die bekend staan om hun heimelijke werking, vormen een significante bedreiging voor zowel individuen als bedrijven. Ransomware versleutelt waardevolle gegevens op geïnfecteerde systemen, waardoor deze ontoegankelijk worden voor de gebruikers. Vervolgens eisen de daders hoge losgelden voor de decryptiesleutels, waarbij ze cruciale informatie gegijzeld houden. Deze praktijken brengen niet alleen de integriteit van persoonlijke en gevoelige gegevens in gevaar, maar leggen ook aanzienlijke financiële lasten op aan de slachtoffers. Het toenemende vermogen van ransomware om detectie en mitigatie te omzeilen benadrukt de noodzaak voor geavanceerde beveiligingsmaatregelen en bewustwording over deze cyberdreigingen.

Toename van Datalekoperaties door UndergroundDataLeaks

De groep UndergroundDataLeaks, bekend vanwege haar unieke benadering van cybercriminaliteit, intensiveert haar activiteiten in datalekken. In tegenstelling tot typische ransomwaregroepen die kwetsbaarheden uitbuiten voor financieel gewin, focust deze groep zich op het infiltreren van netwerken om toegang te krijgen tot gevoelige informatie en deze vervolgens openbaar te maken. Recentelijk heeft UndergroundDataLeaks een breed scala aan doelwitten aangevallen, van industriële reuzen zoals Y. Hata & Co., Ltd. tot spelers in de beveiligingsindustrie zoals Cochrane International. De omvang van de gelekte gegevens varieert enorm, van enkele tientallen gigabytes tot terabytes, wat de ernst en de hoeveelheid van de gecompromitteerde informatie benadrukt. De getroffen bedrijven zijn wereldwijd verspreid, met slachtoffers in landen als de Verenigde Staten, Verenigde Arabische Emiraten, Zuid-Korea en Europa. Het motief van UndergroundDataLeaks blijft onduidelijk; sommigen suggereren dat hun doel is om zwakke cyberbeveiligingspraktijken bloot te leggen en bedrijven ter verantwoording te roepen, terwijl anderen denken dat hun agenda verder gaat dan alleen activisme.

Grootschalige Uitlek van Creditcardgegevens op het Darkweb

Op het darkweb heeft een dreigingsactor met de naam "b1ack" aangekondigd dat er ongeveer een miljoen creditcardgegevens zijn gelekt via hun platform, B1ack’s Stash Market. De hacker nodigt gebruikers uit om zich aan te melden op het platform en de 'freebies' sectie te bezoeken om gratis creditcardinformatie te claimen. Deze actie lijkt een promotiestrategie te zijn om nieuwe leden aan te trekken en het gebruik van het illegale platform te stimuleren. Een analyse van de gelekte dataset toont aan dat er in totaal 1.010.001 creditcards betrokken zijn, waarvan 999.068 uniek zijn. De gegevens beslaan verschillende landen, met de Verenigde Staten aan de leiding (214.923 kaarten), gevolgd door Tanzania, Maleisië, Noorwegen, en andere. De meeste van de gelekte kaarten zijn MasterCard en Visa. Deze ontwikkeling onderstreept de aanhoudende uitdagingen die illegale platforms op het dark web vormen en de wijdverbreide aard van deze inbreuken. Het benadrukt ook het belang van waakzaamheid en proactieve maatregelen in de strijd tegen financiële fraude en identiteitsdiefstal in het digitale tijdperk.

Verkoop van AutoCAD-bestanden van Amerikaanse Militaire Bases

Recent is gebleken dat ongeveer 2500 AutoCAD-bestanden, samen goed voor 6GB aan data, te koop zijn aangeboden op het darkweb. Deze bestanden bevatten gedetailleerde technische tekeningen en schema's van installaties van de Amerikaanse Luchtmachtacademie (USAFA) en de Amerikaanse Ruimtemacht (USSF). De vraagprijs voor deze gegevens bedraagt $10,000. De verkoper heeft echter geen voorbeeldbestanden verstrekt om de authenticiteit van de data te bewijzen. Dit incident benadrukt het voortdurende risico van gegevenslekken en de behoefte aan strenge beveiligingsmaatregelen binnen militaire en andere kritieke infrastructuren. De verspreiding van dergelijke gevoelige informatie kan potentieel ernstige gevolgen hebben voor de nationale veiligheid, waardoor het essentieel is om voortdurend waakzaam te zijn tegen dergelijke bedreigingen en om adequaat te reageren op indicaties van mogelijke data-inbreuken.

Cyberaanval op Westboro Baptist Church door SiegedSec

In een opmerkelijke cyberveiligheidsbreuk heeft de hackergroep SiegedSec de Westboro Baptist Church (WBC) succesvol aangevallen en gevoelige informatie gelekt. Deze kerk staat bekend om haar controversiële standpunten en opereert onder de paraplu van West Gate Baptist Church, die zich richt op gemeenschapsontwikkeling. SiegedSec heeft de database, websitebroncode en privébestanden van de WBC openbaar gemaakt. Belangrijk is dat SiegedSec de WBC beschuldigt van het zijn van een anti-LGBTQ haatgroep, wat de controverse rondom de inbreuk verder aanwakkert. De hackergroep heeft ook haar dank uitgesproken aan individuen die transfoob gedrag rapporteren en moedigt aan om dit te blijven doen via diverse kanalen. Deze datalek benadrukt de aanhoudende uitdagingen in de cyberveiligheid en toont de potentiële risico's aan die controversiële organisaties kunnen lopen in het digitale tijdperk.

Inbraak bij Italiaanse Rode Kruis Netwerk Legt Zwakke Plekken Bloot

Recentelijk heeft een inbraak in het netwerk van het Italiaanse Rode Kruis plaatsgevonden, waarbij een dreigingsactor toegang verkreeg zonder geavanceerde technieken te gebruiken. De aanval werd uitgevoerd met een eenvoudige PHP-shell waardoor de aanvaller beheerder werd van de Active Directory van de organisatie. Opmerkelijk was dat de gebruikte EDR/XDR-technologie, specifiek Trend Micro Apex One, niet in staat was de inbreuk te detecteren of te blokkeren. De machines die van buitenaf werden benaderd, waren kwetsbaar voor bekende exploits die lokale privilege escalatie mogelijk maakten. De dreigingsactor ontdekte dat het ‘master’ wachtwoord ‘Sviluppo.1864’ of ‘Sviluppo.1864!’ breed werd gebruikt, wat de aanval vergemakkelijkte. Tijdens de nachtelijke activiteiten van de organisatie, toen de EDR-systeem waarschuwingen naar het interne JIRA-systeem stuurde, werd de inbraak met minimale weerstand uitgevoerd. Hoewel toegang werd verkregen tot interne broncodes, databases en back-ups, werd er bewust geen ransomware gebruikt. De dreigingsactor beschouwde dit als onnodig en amateuristisch. Verder hintte de aanvaller naar een verborgen achterdeur voor toekomstige toegang, die beschikbaar zou zijn op aanvraag via een privébericht.

Groot Datalek bij KISTI SMART K2C Treft Miljoenen Gebruikers

In mei 2024 is een belangrijk datalek aan het licht gekomen bij KISTI SMART K2C, een platform beheerd door het Koreaanse Instituut voor Wetenschap en Technologie Informatie (KISTI). Dit platform faciliteert samenwerking en informatiedeling tussen organisaties in de wetenschaps- en technologiesector in Zuid-Korea. Een dreigingsactor heeft beweerd de database van dit platform gelekt te hebben, waarbij gevoelige gegevens van ongeveer 7,79 miljoen gebruikers zijn blootgesteld. De uitgelekte informatie omvat registratienummers, volledige namen, fysieke locaties, datums en categorieën van rolhouders. Dit incident benadrukt niet alleen de risico's voor de privacy en veiligheid van de betrokken gebruikers, maar onderstreept ook de noodzaak voor krachtige cybersecurityprotocollen om dergelijke inbreuken in de toekomst te voorkomen.

Microsoft onthult 'Dirty Stream'-aanval op Android-apps

Microsoft heeft een nieuwe bedreiging voor Android-apps geïdentificeerd, genaamd 'Dirty Stream'. Deze aanval stelt kwaadaardige apps in staat om bestanden van andere apps te overschrijven, wat kan leiden tot het uitvoeren van willekeurige code en diefstal van gevoelige gegevens. De kwetsbaarheid komt voort uit een verkeerd gebruik van het Android-contentprovidersysteem, dat bedoeld is om gegevens tussen apps te delen. Veiligheidsmaatregelen zoals data-isolatie, URI-permissies en padvalidatie moeten ongeautoriseerde toegang voorkomen, maar door onjuiste implementaties kunnen deze worden omzeild. 'Dirty Stream' maakt misbruik van deze systeemfuncties door vertrouwen te wekken via vervalste bestandsnamen of paden die via intents worden verzonden, een techniek voor het verzenden van berichten tussen appcomponenten. Dit resulteert in niet-geautoriseerde code-uitvoering en datadiefstal. De fout treft apps die gezamenlijk meer dan vier miljard keer zijn geïnstalleerd, waaronder grote namen zoals Xiaomi's File Manager en WPS Office. Deze apps zijn inmiddels bijgewerkt om de risico's te verminderen. Microsoft heeft zijn bevindingen gedeeld met de Android-ontwikkelaarsgemeenschap om soortgelijke kwetsbaarheden in de toekomst te voorkomen. Gebruikers wordt geadviseerd om hun apps up-to-date te houden en APK's van onofficiële bronnen te vermijden. [microsoft, google, google2, android, android2]

🇳🇱 Grote Impact van Cyberaanvallen op Datalekken in Nederland in 2023

In 2023 ontving de Autoriteit Persoonsgegevens (AP) melding van 25.694 datalekken bij Nederlandse bedrijven, waarbij persoonlijke gegevens van twintig miljoen mensen zijn gelekt, voornamelijk door cyberaanvallen. Een opvallend incident was bij softwareleverancier Nebu, waarbij de data van 2,5 miljoen mensen, waaronder klanten van de NS, VodafoneZiggo, en Heineken, openbaar werd. Deze en andere datalekken zijn vaak benut voor phishing-aanvallen, waarbij criminelen doen alsof ze van het getroffen bedrijf zijn om persoonlijke informatie te stelen. Opmerkelijk is dat veel getroffen organisaties hun klanten niet informeren over deze lekken, wat de kans op phishing verhoogt. De AP heeft ondanks het hoge aantal lekken geen boetes uitgedeeld om de meldingsbereidheid niet te verminderen, en zet in plaats daarvan in op ondersteuning. Deze strategie is bedoeld om herhaling te voorkomen en bedrijven aan te sporen hun beveiliging te verbeteren. [nu]

Datalek in Frans ziekenhuis: Omvangrijke publicatie van patiëntgegevens

In een recent datalek heeft een Frans ziekenhuis, het Hospital de Cannes Simone Veil, te maken gehad met een cyberaanval waarbij criminelen gigabytes aan gevoelige patiëntgegevens buitmaakten en deze openbaar maakten. De aanval, die vorige maand plaatsvond, dwong het ziekenhuis om niet-urgente operaties te annuleren en tijdelijk terug te keren naar het gebruik van pen en papier. Hierdoor liepen de wachttijden voor patiënten op en werden medische procedures vertraagd. De gestolen gegevens, inclusief persoonlijke informatie van patiënten, personeel en partners, werden gisteren online gezet en beslaan 61 gigabyte. Deze actie was het gevolg van het ziekenhuis dat weigerde te voldoen aan de losgeldeisen van de criminelen achter de Lockbit 3.0 ransomware. Ondanks de ernst van de situatie, blijft het ziekenhuis alert en belooft getroffen individuen te informeren en bij te staan. Het ziekenhuis is inmiddels bezig met normalisatie van de werkzaamheden en het herstel van hun informatiesystemen, waarbij ook aandacht is voor de digitale beveiliging om herhaling te voorkomen. [cannes]

Helft van Securityincidenten in Europa Heeft Interne Oorzaak

Uit een analyse van Verizon over securityincidenten in 2024 blijkt dat maar liefst 49% van de datalekken in de EMEA-regio (Europa, Midden-Oosten en Noord-Afrika) een interne oorzaak heeft. Dit percentage is aanzienlijk hoger dan in andere delen van de wereld. Het onderzoek omvatte 8.302 incidenten, waarvan 6.005 bevestigde datalekken. Opvallend is dat menselijke fouten de belangrijkste oorzaak zijn van deze incidenten, met 73% van de gevallen. Vaak gaat het om het per abuis versturen van informatie naar de verkeerde persoon of misconfiguraties. In Europa zijn interne dreigingen dus aanzienlijk, mogelijk mede door strikte regelgeving omtrent het melden van datalekken. Verizon benadrukt echter dat de resultaten mogelijk vertekend zijn door nieuwe deelnemers aan het onderzoek en de strenge meldregels in de regio. [verizon]

Instagram en Facebook nog steeds niet opgewassen tegen simpele phishing

Volgens een onderzoek van de NOS, dat inzage had in de activiteiten van een Nigeriaanse oplichtersbende, blijken Instagram en Facebook nog altijd kwetsbaar voor eenvoudige phishing-aanvallen. Deze bende heeft met simpele trucjes toegang gekregen tot duizenden accounts, waarvan minimaal 1000 in Nederland. Het begint veelal met een neppe webpagina die gebruikers verleidt om inloggegevens in te voeren, waarna criminelen snel de accountgegevens zoals e-mail en wachtwoord aanpassen. De NOS volgde een specifieke aanval en ontdekte dat deze criminelen, met slechts een iPhone bewapend, dagelijks nieuwe slachtoffers maken. De technische vaardigheden van de bende zijn beperkt, wat aantoont dat je geen expert hoeft te zijn om succesvol te zijn in phishing. Het merendeel van de aanvallen werd uitgevoerd vanuit Lagos, Nigeria, zonder geavanceerde verhullingstechnieken zoals VPNs. Het artikel benadrukt ook het belang van maatregelen zoals tweestapsverificatie en het gebruik van verschillende wachtwoorden voor verschillende diensten om jezelf te beschermen tegen dergelijke aanvallen. Desondanks blijft de reactie van Meta, het moederbedrijf van Instagram en Facebook, op vragen over hun beveiligingsmaatregelen onbeantwoord. [nos]

Datalek bij Dropbox Sign: Klantgegevens en Authenticatiegeheimen Blootgesteld

Dropbox heeft bekendgemaakt dat hackers hun productiesystemen van het Dropbox Sign eSignature platform hebben geschonden. Bij deze inbraak hebben de aanvallers toegang verkregen tot authenticatietokens, multifactorauthenticatiesleutels, gehashte wachtwoorden en klantinformatie. Dropbox Sign, voorheen bekend als HelloSign, stelt klanten in staat om documenten online te versturen om juridisch bindende handtekeningen te ontvangen. Op 24 april werd ongeautoriseerde toegang tot de productiesystemen van Dropbox Sign gedetecteerd, waarna een onderzoek werd gestart. Uit het onderzoek bleek dat de dreigingsactoren toegang hadden gekregen tot een geautomatiseerd systeemconfiguratiehulpmiddel van Dropbox Sign, waardoor ze applicaties en diensten met verhoogde rechten konden uitvoeren en toegang tot de klantendatabase verkrijgen. Klantgegevens zoals e-mailadressen, gebruikersnamen, telefoonnummers en gehashte wachtwoorden werden blootgesteld, evenals algemene accountinstellingen en bepaalde authenticatie-informatie zoals API-sleutels en OAuth-tokens. Hoewel er geen aanwijzingen zijn dat documenten of overeenkomsten zijn ingezien, heeft Dropbox alle wachtwoorden gereset en extra veiligheidsmaatregelen genomen, zoals het beperken van het gebruik van API-sleutels tot ze door de klant worden vernieuwd. Dropbox waarschuwt klanten ook voor mogelijke phishingpogingen die gebruik maken van de gestolen gegevens. [dropbox]

Datalek bij Panda Restaurant Group na Hack

In maart is de Panda Restaurant Group, eigenaar van Panda Express, Panda Inn, en Hibachi-San, het slachtoffer geworden van een cyberaanval waarbij persoonlijke gegevens van een onbekend aantal medewerkers zijn gestolen. De aanval heeft de bedrijfssystemen van de groep aangetast, maar de systemen in de restaurants zelf en de klantenervaring zijn niet beïnvloed. Na de ontdekking van de inbreuk op 10 maart 2024, heeft het bedrijf onmiddellijk beveiligingsmaatregelen getroffen, herstelacties ingezet en een grondig onderzoek gestart in samenwerking met externe cybersecurity-experts en de wetshandhaving. Dit onderzoek bevestigde dat de indringers tussen 7 en 11 maart toegang hadden tot bepaalde gegevens. De review van de getroffen data werd afgerond op 15 april, waarna betrokkenen geïnformeerd werden. De blootgestelde informatie omvatte namen en rijbewijsnummers of identiteitskaartnummers. Panda werkt verder samen met de politie en heeft extra technische beveiligingsmaatregelen geïmplementeerd om dergelijke incidenten in de toekomst te voorkomen. [ca]

Franse ziekenhuis weigert losgeld te betalen aan LockBit-ransomwaregroep

Het Hôpital de Cannes - Simone Veil (CHC-SV) in Frankrijk heeft te kampen gehad met een ernstige cyberaanval, waardoor het noodgedwongen alle computers offline moest halen en niet-spoedeisende procedures en afspraken moest uitstellen. Deze aanval is uitgevoerd door de beruchte Lockbit 3.0 ransomware-groep, die een losgeldeis heeft gesteld aan het ziekenhuis. CHC-SV heeft besloten het losgeld niet te betalen en heeft de kwestie doorgestuurd naar de Gendarmerie en de Nationale Agentschap voor Informatiesysteembeveiliging (ANSSI). De ransomware-groep heeft gedreigd de eerste reeks gestolen bestanden openbaar te maken als het losgeld niet wordt voldaan. Ondanks recente verstorende acties tegen LockBit door de FBI, zoals 'Operatie Cronos', en de introductie van een decryptor, blijft de groep actief en onverschillig voor het leed dat ze veroorzaken, met name in de gezondheidszorg. Het ziekenhuis heeft via sociale media aangekondigd dat het geen losgeld zal betalen en heeft beloofd betrokkenen te informeren mochten er daadwerkelijk gegevens gelekt worden. Ondertussen werkt het IT-personeel van het ziekenhuis hard om de systemen weer operationeel te krijgen, terwijl het interne onderzoek naar het incident voortduurt.

🇳🇱 Kritieke GitLab-beveiligingsfout Actief Uitgebuit in Nederland

De Cybersecurity & Infrastructure Security Agency (CISA) heeft gewaarschuwd voor een actief uitgebuite, hoogrisico kwetsbaarheid in GitLab, die aanvallers in staat stelt om via wachtwoordreset accounts over te nemen. Deze kwetsbaarheid, aangeduid als CVE-2023-7028, is het gevolg van onvoldoende toegangscontrole en maakt het mogelijk voor ongeauthenticeerde externe aanvallers om wachtwoordherstel-e-mails naar hun eigen e-mailadressen te sturen. Hiermee kunnen ze zonder interactie van de gebruiker de controle over accounts verkrijgen. De impact van deze beveiligingsfout is significant, aangezien GitLab gevoelige gegevens zoals propriëtaire code en API-sleutels host. Een geslaagde exploitatie kan ook leiden tot aanvallen op de toeleveringsketen, waarbij kwaadaardige code in CI/CD-omgevingen wordt geïnjecteerd. Hoewel accounts met tweefactorauthenticatie (2FA) niet kwetsbaar zijn, is het essentieel om systemen waar deze extra beveiligingsmaatregel niet is ingeschakeld, onmiddellijk te patchen. GitLab heeft reeds patches uitgebracht voor meerdere versies van hun software. Niettemin toonde monitoring door Shadowserver aan dat van de aanvankelijk kwetsbare GitLab-instanties online minder dan de helft gepatcht is. CISA heeft federale agentschappen in de VS opgedragen om hun systemen binnen drie weken te beveiligen en beveelt ook private organisaties aan om de patch prioriteit te geven om verdere aanvallen te voorkomen. [cisa]

Nieuwe malware 'Cuttlefish' besmet routers om verkeer te monitoren op inloggegevens

Een recent ontdekte malware genaamd 'Cuttlefish' heeft de aandacht getrokken door bedrijfs- en thuisrouters te besmetten om gegevens te monitoren die erdoorheen gaan en authenticatiegegevens te stelen. Black Lotus Labs van Lumen Technologies heeft de nieuwe malware onderzocht en meldt dat Cuttlefish een proxy- of VPN-tunnel creëert op de geïnfecteerde router om data onopgemerkt te exfiltreren en beveiligingsmaatregelen te omzeilen. Cuttlefish kan ook DNS- en HTTP-hijacking uitvoeren binnen privé-IP-ruimtes, wat mogelijk meer payloads introduceert. Hoewel er code-overlaps zijn met HiatusRat, zijn er geen concrete verbanden tussen de twee en was attributie onmogelijk. Cuttlefish is actief sinds minstens juli 2023 en voert momenteel een actieve campagne in Turkije, met enkele infecties elders die satelliettelefoon- en datacenterservices beïnvloeden. De methode voor de initiële infectie van de routers moet nog worden bepaald, maar kan bekende kwetsbaarheden misbruiken of inloggegevens brute-forcen. Eenmaal toegang verkregen tot een router, wordt een bash-script ("s.sh") ingezet en begint het hostgegevens te verzamelen, inclusief details over directorylijsten, lopende processen en actieve verbindingen. Het script downloadt en voert de primaire Cuttlefish-payload (".timezone") uit, die in het geheugen wordt geladen om detectie te ontwijken, terwijl het gedownloade bestand van het bestandssysteem wordt gewist. Cuttlefish is beschikbaar in verschillende builds die de meeste routerarchitecturen ondersteunen. Bij uitvoering gebruikt Cuttlefish een pakketfilter om alle verbindingen door het apparaat te monitoren en voert het specifieke acties uit op basis van regelsets die regelmatig worden bijgewerkt vanaf de command and control (C2) server van de aanvaller. De malware zoekt passief naar "credential markers" in het verkeer, zoals gebruikersnamen, wachtwoorden en tokens die vooral geassocieerd worden met cloudservices. Data die aan die parameters voldoet, wordt lokaal gelogd en zodra het een bepaalde grootte bereikt, wordt het geëxtraheerd naar de C2 met behulp van een peer-to-peer VPN of proxy tunnel die op het apparaat is gemaakt. Voor verkeer bestemd voor privé-IP-adressen worden DNS-verzoeken omgeleid naar een gespecificeerde DNS-server, en HTTP-verzoeken worden gemanipuleerd om verkeer om te leiden naar door de aanvaller gecontroleerde infrastructuren. Cuttlefish vormt een ernstige bedreiging voor organisaties wereldwijd omdat het aanvallers in staat stelt beveiligingsmaatregelen te omzeilen en onopgemerkt te blijven in cloudomgevingen. Om jezelf te beschermen tegen Cuttlefish, wordt aanbevolen om zwakke inloggegevens te elimineren, verdachte logins vanaf residentiële IP's te monitoren, verkeer te beveiligen met TLS/SSL, apparaten te inspecteren op rogue iptables of andere abnormale bestanden, en ze regelmatig opnieuw op te starten. Voor thuisroutergebruikers wordt aanbevolen om de apparaten regelmatig opnieuw op te starten, de nieuwste firmware-updates toe te passen, standaardwachtwoorden te wijzigen, externe toegang tot het beheerinterface te blokkeren en ze te vervangen wanneer ze het einde van hun levensduur bereiken. [lumen]

Ransomware-aanval dreigt Schotse raad 600.000 euro te kosten

De Comhairle nan Eilean Siar, de Raad voor de Western Isles in Schotland, wordt geconfronteerd met mogelijke kosten tot 600.000 euro als gevolg van een ransomware-aanval die zich vorig jaar november voordeed. Zes maanden na de aanval zijn systemen en diensten nog steeds niet hersteld, waarbij de voorzitter van de Raad verwacht dat het herstel nog eens zes maanden kan duren. De Raad zoekt extra financiële ondersteuning bij de Schotse overheid, omdat de ransomware-aanval het innen van belasting heeft verhinderd, wat een aanzienlijk deel van het budget van de Raad vormt. Dit heeft ook gevolgen voor de sociale voorzieningen die de Raad biedt aan de inwoners van het gebied. [futurescot, bbc, siar]

❗️Alarmerende Stijging in Datalekken bij Organisaties Zichtbaar op het Darkweb

Elk jaar op 1 mei staat in het teken van een belangrijk moment voor ons bij Cybercrimeinfo: we halen het 'net' op om te zien hoeveel organisaties het slachtoffer zijn geworden van datalekken waarvan de gegevens op het darkweb terechtkomen. En elk jaar wordt deze ongewenste 'vangst' groter. Laten we de cijfers eens nader bekijken.

We begonnen de meting in 2019 met slechts één organisatie die we konden identificeren als slachtoffer. Een jaar later, in 2020, was dat aantal al gestegen naar 85. De trend zet zich onverbiddelijk voort met 2.167 organisaties in 2021, wat meer dan een verdubbeling is in vergelijking met het jaar ervoor. Het jaar 2022 bracht ons een totaal van 5.565 organisaties, en deze stijging zet zich voort tot 8.292 organisaties in 2023.

Het meest recente meetmoment, 1 mei 2024, laat een alarmerende toename zien tot 13.707 organisaties. Dit betekent dat het aantal organisaties waarvan de data gelekt is naar het darkweb in vijf jaar tijd astronomisch is gestegen. De grafiek laat een duidelijke opwaartse trend zien, wat wijst op een toenemende dreiging en het groeiende belang van cybersecurity.

Wat zegt dit ons? Eenvoudig gezegd: cybercriminaliteit neemt toe, en de bescherming van gegevens moet een topprioriteit zijn voor elke organisatie. Het is cruciaal om actuele beveiligingsmaatregelen te implementeren, personeel te trainen in het herkennen van phishing-aanvallen, en altijd up-to-date te blijven over de laatste dreigingen.

Deze trend is een wake-up call voor iedereen. In de digitale wereld van vandaag kan geen enkele organisatie het zich veroorloven om complacent te zijn over hun cyberbeveiliging. Het is tijd om actie te ondernemen en uw gegevens te beschermen. Bent u al veilig?

Lees ons diepgaande artikel: Schaduw over data: De snelle verspreiding van datalekken via het darkweb

Datalek bij Cryptobeurs Bitvavo treft Beperkte Groep Gebruikers

Cryptobeurs Bitvavo heeft persoonsgegevens van een beperkte groep gebruikers gelekt. De gelekte gegevens omvatten voor- en achternaam, e-mailadres, adresgegevens, bankrekeningnummer, recent handelsvolume, en de laatste drie cijfers van het telefoonnummer. Dit kwam aan het licht via een e-mail die Bitvavo aan de getroffen klanten heeft gestuurd, waarbij sommigen hun ervaringen deelden op platforms zoals Reddit. Hoewel details over het incident schaars zijn, heeft Bitvavo bevestigd dat het onderzoek naar de oorzaak nog loopt. Er is aangegeven dat er geen bewijs is dat wachtwoorden gecompromitteerd zijn, maar uit voorzorg heeft de beurs gebruikers geadviseerd hun wachtwoorden te wijzigen. Over het exacte aantal getroffen gebruikers en de specifieke oorzaak van het lek heeft Bitvavo nog geen uitspraken gedaan. Desondanks verzekert de beurs dat de fondsen van de gebruikers veilig zijn. [reddit]

Dringende waarschuwing voor actief uitgebuit beveiligingslek in Windows SmartScreen

De Amerikaanse overheid waarschuwt voor actieve uitbuiting van een kritiek beveiligingslek in Windows SmartScreen, bekend als CVE-2024-29988. Dit lek zorgt ervoor dat de gebruikelijke waarschuwingen van SmartScreen niet worden weergegeven bij het openen van internetbestanden. SmartScreen, een integraal onderdeel van de beveiliging van Windows, markeert normaal bestanden gedownload van het internet met een Mark-of-the-Web (MOTW) tag, en toont extra waarschuwingen bij het openen van deze bestanden. Microsoft was al sinds 9 april op de hoogte van het misbruik van dit lek, maar heeft het tot op heden niet opgenomen in zijn beveiligingsbulletins. Het lek was al actief uitgebuit voor de publicatie van een beveiligingsupdate en is geclassificeerd als een 'zero day'-kwetsbaarheid. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft het lek toegevoegd aan een lijst van actief uitgebuite beveiligingslekken om de ernst en urgentie te onderstrepen. [cisa]

❗️Latrodectus Malware Phishingaanvallen Richten Zich op Microsoft en Cloudflare, Ook in Nederland

Latrodectus, ook bekend als Unidentified 111 en IceNova, is een toenemend verspreide malware die fungeert als achterdeur en extra EXE- en DLL-bestanden kan downloaden of commando's kan uitvoeren. Deze malware wordt momenteel verspreid via phishingcampagnes die thema's van Microsoft Azure en Cloudflare gebruiken om legitiem te lijken. Dit maakt het moeilijker voor e-mailbeveiligingsplatforms om de kwaadaardige e-mails te detecteren. De malware wordt gedistribueerd door middel van reply-chain phishing e-mails, waarbij cybercriminelen reageren op bestaande e-mailgesprekken met links naar malware of kwaadaardige bijlagen. De phishing e-mails gebruiken PDF-bijlagen of ingesloten URL's die lijken te verwijzen naar documenten gehost op Microsoft Azure. Na het klikken op een 'Download Document'-knop worden gebruikers geleid naar een valse 'Cloudflare security check'. Deze nep-captcha, die een eenvoudige wiskundige vraag stelt, is bedoeld om beveiligingsscanners te omzeilen en zorgt ervoor dat alleen legitieme gebruikers de malware kunnen downloaden. De uiteindelijke malware-installatie gebeurt via een MSI-bestand dat een DLL-bestand plaatst, welke vervolgens door rundll32.exe wordt gelanceerd. Deze DLL is de kern van de Latrodectus malware, die onopgemerkt blijft draaien terwijl het wacht op verdere instructies of payloads. Er hebben zich ook enkele Nederlandse slachtoffers gemeld bij Cybercrimeinfo, wat de dreiging benadrukt van deze steeds geavanceerdere cyberaanvallen. Het doel van deze aanvallen is vaak het verkrijgen van initieel toegang tot bedrijfsnetwerken, wat kan leiden tot meer verspreide malware-aanvallen en mogelijk samenwerkingen met ransomwaregroepen. Het is daarom cruciaal om onmiddellijk actie te ondernemen en het geïnfecteerde systeem offline te halen bij een besmetting om verdere schade te voorkomen.

Groot Datalek bij Philadelphia Inquirer door Ransomware-aanval

In mei 2023 werd het systeem van de Philadelphia Inquirer, een van de grootste kranten van Philadelphia, gecompromitteerd door een cyberaanval. Tijdens deze aanval, die ontdekt werd nadat het content management systeem onverwacht uitviel, zijn persoonlijke en financiële gegevens van 25.549 personen gestolen. Het lek omvatte namen, financiële rekeningnummers, en credit- of debitcardgegevens inclusief beveiligingscodes. De krant schakelde direct forensische experts van Kroll in en nam enkele systemen offline om de schade te beperken. Na de aanval bood de Philadelphia Inquirer de getroffen personen 24 maanden gratis kredietmonitoring en herstelservices aan. Hoewel de krant in eerste instantie de aard van de aanval niet onthulde, claimde de Cuba ransomware-groep een week later verantwoordelijk te zijn. Deze groep beweerde financiële documenten en andere gevoelige informatie gestolen te hebben en publiceerde deze op hun dark web lek-site toen de krant weigerde losgeld te betalen. De FBI en CISA hebben eerder gewaarschuwd dat deze groep al meer dan $60 miljoen aan losgeld heeft verzameld van hun wereldwijde slachtoffers. [pdf, inquirer]

Massale Malware en Phishing Campagnes Ontdekt op Docker Hub

Sinds begin 2021 hebben drie grootschalige campagnes Docker Hub-gebruikers getarget door miljoenen repositories te plaatsen die malware en phishing-sites verspreidden. Onderzoek van JFrog onthulde dat ongeveer 20% van de 15 miljoen gehoste repositories kwaadaardige inhoud bevatte. In totaal vonden de onderzoekers bijna 4,6 miljoen repositories zonder Docker-afbeeldingen, die geen functie hadden binnen Kubernetes clusters of Docker-motoren, en koppelden ongeveer 2,81 miljoen aan deze kwaadaardige campagnes. Deze campagnes, genaamd "Downloader", "eBook Phishing" en "Website SEO", gebruikten diverse tactieken om de schadelijke repositories te creëren en te distribueren. De "Downloader" campagne bijvoorbeeld, promootte illegale software of cheats voor videospellen door middel van automatisch gegenereerde teksten. Wanneer deze kwaadaardige software werd uitgevoerd, installeerde het malware op het systeem van de gebruiker. De "eBook Phishing" campagne creëerde bijna een miljoen repositories die gratis eBook downloads aanboden, die leidden naar phishing-pagina's waar om creditcardinformatie werd gevraagd. Naast de grote campagnes waren er kleinere repositories die spam en SEO inhoud duwden. Docker heeft actie ondernomen door alle verdachte repositories te verwijderen, wat de noodzaak benadrukt voor constante moderatie van dergelijke platforms. [jfrog, virustotal]

Nieuwe Android Malware 'Wpeeper' Gebruikt Gehackte WordPress Sites

Een nieuwe Android malware, genaamd 'Wpeeper', maakt gebruik van gehackte WordPress websites om zijn command-and-control (C2) servers te verbergen. Deze malware werd op 18 april 2024 door het XLab team van QAX ontdekt in twee onofficiële app-winkels die de Uptodown App Store imiteren. Wpeeper valt op door zijn methode om WordPress sites als tussenstations te gebruiken, waardoor het moeilijker wordt om de werkelijke locatie en identiteit van zijn C2-servers te achterhalen. Dit systeem maakt het ook mogelijk om de malware bij te werken door nieuwe C2-adressen door te geven als een site wordt opgeschoond. De malware heeft uitgebreide functies voor het stelen van gegevens, waaronder het verzamelen van informatie over het geïnfecteerde apparaat en het uitvoeren van bestanden op afstand. Ondanks de ontdekking, blijft de volledige omvang en het motief van de Wpeeper-operaties onbekend, maar de risico's kunnen variëren van accountkaping tot financiële fraude. Het advies om dergelijke risico's te vermijden is het installeren van apps enkel via de officiële Google Play Store en ervoor zorgen dat de ingebouwde anti-malware tool, Play Protect, actief is op je Android-apparaat. [qianxin]

Groot Datalek bij Amerikaans Zorgbedrijf door Gestolen Inloggegevens

In februari werd Change Healthcare, een Amerikaans zorgbedrijf dat onder andere zorgtransacties en patiëntendossiers verwerkt, getroffen door een ransomware-aanval nadat hackers toegang hadden gekregen via gestolen Citrix-inloggegevens. Het bedrijf, dat geen multifactorauthenticatie gebruikte voor dit portaal, verwerkt jaarlijks miljarden transacties en beheert gegevens van een groot deel van de Amerikaanse bevolking. Na de aanval heeft Change Healthcare, onderdeel van UnitedHealth, 22 miljoen dollar losgeld betaald aan de daders, bekend als de ALPHV-ransomwaregroep of BlackCat. De aanval had ernstige gevolgen voor de gezondheidszorg in de VS, met een financiële schade van 872 miljoen dollar in het eerste kwartaal, ondanks een totale omzet van bijna 100 miljard dollar. De CEO van Change Healthcare zal binnenkort getuigen voor een Amerikaanse Huiscommissie over de details van deze beveiligingsincidenten. [energycommerce]

Significante Datalek bij LRB Info Tech door 66SLAVS Groep

De 66SLAVS groep claimt een omvangrijk datalek te hebben veroorzaakt bij LRB Info Tech, het grootste webdesignbureau van de Verenigde Arabische Emiraten. Volgens de groep zijn er talrijke bestanden buitgemaakt, waaronder gegevens met persoonlijk identificeerbare informatie (PII). Uitgelekte gegevens uit de databases 'cargoo.sql' en 'momken.sql' tonen delen van tabellen met informatie over agenten, talen, gebruikerslogboeken, gebouwen, diensten en gebruikers. De 66SLAVS groep heeft aangekondigd een volledige database te willen verkopen met daarin details zoals voornaam, achternaam, e-mail, telefoonnummer, wachtwoord, geslacht, geboortedatum, rijbewijs, Emirates ID en adres. Deze database wordt aangeboden voor $1.500. Deze onthulling benadrukt de ernstige risico's voor de veiligheid en privacy van betrokken individuen en onderstreept de aanhoudende dreiging van cybercriminaliteit in het digitale tijdperk.

Beveiligingsinbreuk bij Spaanse Bank EvoBanco: Geleidelijke Openbaring van Gegevens

Een recente beveiligingsinbreuk bij de Spaanse bank EvoBanco heeft ernstige tekortkomingen in de databeveiliging aan het licht gebracht, waardoor de gegevens van miljoenen klanten gevaar lopen. Het lek werd ontdekt door een kwetsbaarheid in het registratieproces van de bank, die het mogelijk maakte om via GET-verzoeken toegang te krijgen tot gebruikersdata zonder identiteitsverificatie. Met een eenvoudige brute force-aanval werden gevoelige gegevens zoals telefoonnummers en salarisinformatie blootgesteld. De verantwoordelijke voor de inbraak beschuldigt EvoBanco van nalatigheid in het beschermen van klantgegevens en kritiseert de bank voor het prioriteren van haar reputatie boven de veiligheid van haar klanten. Als reactie op de stilte van EvoBanco dreigt de dader met het dagelijks openbaar maken van de identiteit van hoge bankfunctionarissen en medewerkers totdat de bank haar fout erkent. Dit incident is een waarschuwing voor financiële instellingen wereldwijd om proactieve cyberbeveiligingsmaatregelen te nemen en snel te reageren op potentiële dreigingen. Terwijl de reputatie van EvoBanco op het spel staat, wacht het publiek op een reactie van de bank op de eisen van de dader voor verantwoording en dialoog.

Opkomst van Ransomwaregroep SpaceBears

Recentelijk is een nieuwe ransomwaregroep genaamd SpaceBears opgedoken, die aanvallen heeft uitgevoerd op diverse prominente organisaties wereldwijd, waaronder Thinkadam, Fliesenstudio am Rhein, en Surewerx USA. De aanvallen van deze groep kunnen ernstige verstoringen van de bedrijfscontinuïteit en dataverlies veroorzaken. Er is nog beperkte informatie beschikbaar over de daadwerkelijke dreigingsniveau van de groep, maar het is duidelijk dat zij een professionele uitstraling hebben en waarschijnlijk vanuit Rusland opereren. SpaceBears eist aanzienlijke losgelden in ruil voor decryptiesleutels die toegang geven tot de vergrendelde gegevens van de slachtoffers. Deze ransomware-aanvallen kunnen niet alleen leiden tot aanzienlijke financiële schade, maar ook tot reputatieschade en verlies van klantvertrouwen voor de getroffen bedrijven. De precieze impact en de volledige omvang van de betrokkenheid van SpaceBears bij deze incidenten zijn momenteel nog onduidelijk.

Omvangrijke Datalek bij Dell: Verkoop van 49 Miljoen Klantgegevens Beweerd

Er zijn berichten opgedoken over een aanzienlijke datalek waarbij een cybercrimineel beweert een database te verkopen met daarin 49 miljoen klantgegevens van Dell. Deze database zou informatie bevatten over systemen die tussen 2017 en 2024 zijn aangeschaft bij Dell. De gegevens omvatten uitgebreide persoonlijke en zakelijke informatie, zoals volledige namen, adressen, steden, provincies, postcodes, landen, unieke 7-cijferige servicetags van systemen, verzenddatums van systemen (begin van garantie), garantieplannen, serienummers (voor monitoren), Dell klantnummers en Dell bestelnummers. De cybercrimineel claimt de enige bezitter te zijn van deze gegevens, wat de ernst van het lek benadrukt. Van de miljoenen records zijn ongeveer 7 miljoen rijen gerelateerd aan individuele klantaankopen en 11 miljoen aan bedrijven binnen de consumentensector. De resterende gegevens betreffen bedrijven, partners, scholen of niet-geïdentificeerde entiteiten. Bovendien zijn de Verenigde Staten, China, India, Australië en Canada de top vijf landen met de meeste systemen in de database. Deze onthulling wekt ernstige zorgen over de veiligheid en privacy van de informatie van Dell-klanten, wat dringende acties vereist om potentiële risico's te beperken en verdere ongeautoriseerde toegang te voorkomen.

Cybercrimineel Verkoopt Exploit met Klantgegevens van Apple, Samsung en Meer

Een cybercrimineel beweert een exploit te hebben ontwikkeld waarmee klantgegevens van meer dan 100 bedrijven, waaronder Apple, Samsung, HP, Huawei, Lenovo en Dell, te koop worden aangeboden. Deze gegevens omvatten factuur- en verzendadressen, serienummers, bedrijfsnamen, rekeningnummers, telefoonnummers en trackingnummers. De crimineel heeft aangegeven dat hij een Python-bot heeft gecreëerd die dagelijks resultaten downloadt, waarbij hij toegang heeft tot 500 tot 5000 orders in de laatste 12 uur. Het te koop aangeboden pakket bevat de gedownloade data, de gebruikte exploit en de gecreëerde bot. De vraagprijs voor deze informatie begint bij $14.500, maar de verkoper staat open voor onderhandelingen. Er wordt ook een extra $3.000 gevraagd voor een demonstratie van de bug die gebruikt wordt om de ordergegevens te downloaden. Dit is de eerste keer dat deze verkoper dergelijke gegevens te koop aanbiedt, waardoor de prijsstelling nog onderwerp van discussie is.

DNS-Manipulatie door Muddling Meerkat via China's Grote Firewall

De "Muddling Meerkat"-hackergroep, gelinkt aan een door China gesponsorde dreigingsactor, manipuleert sinds oktober 2019 wereldwijde DNS-systemen door DNS-aanvragen te verstoren. De activiteit vertoonde een piek in september 2023 en werd ontdekt door onderzoekers van Infoblox. Deze hackersgroep maakt gebruik van China's Grote Firewall (GFW) om valse antwoorden te injecteren in MX (Mail Exchange) records, een gedrag dat nog niet eerder gezien was bij dit censuursysteem van het internet in China. De GFW functioneert normaal door DNS-verzoeken te onderscheppen en ongeldige antwoorden te verstrekken, waarmee gebruikers van bepaalde sites worden omgeleid. Echter, Muddling Meerkat stuurt nepantwoorden terug die gebruikt worden om de veerkracht en reacties van andere netwerken te testen. Dit doen ze door DNS-verzoeken te plaatsen voor willekeurige subdomeinen van hun doeldomeinen, wat vaak leidt tot niet-bestaande adressen. Deze tactiek lijkt op een 'Slow Drip DDoS'-aanval, maar is kleinschaliger en gericht op testen eerder dan verstoring. Muddling Meerkat richt zich op domeinen met korte namen die voor 2000 geregistreerd zijn omdat deze minder waarschijnlijk op DNS-bloklijsten staan. Het doel van de groep lijkt het in kaart brengen van netwerken en het evalueren van DNS-beveiliging voor toekomstige aanvallen te zijn, of het creëren van 'DNS-ruis' om meer kwaadaardige activiteiten te verbergen en systeembeheerders te verwarren die de bron van abnormale DNS-verzoeken proberen te identificeren. [prnewswire]

Intensivering van Google's Strijd tegen Onveilige Android-apps in 2023

In 2023 heeft Google een aanzienlijke stap gezet om de veiligheid op de Google Play Store te verbeteren door 2,28 miljoen Android-apps te blokkeren die niet voldeden aan het beleid van het platform, wat een toename is ten opzichte van 1,5 miljoen in 2022. Deze actie omvatte ook het blokkeren van 333.000 Google Play-accounts die schadelijke software, frauduleuze apps, of ernstige beleidsovertredingen hadden geüpload. Deze inspanningen zijn onderdeel van Google's 'SAFE' principes, die zich richten op het beschermen van gebruikers, het ondersteunen van ontwikkelaars, het bevorderen van verantwoorde innovatie en het doorontwikkelen van platformverdediging. Nieuwe maatregelen die Google heeft geïntroduceerd, omvatten strengere ontwikkelaarsregistratie, onafhankelijke veiligheidsbeoordelingen, real-time scanning tegen malware, en firmwareverharding om misbruik van SoC-niveau fouten moeilijker te maken. Daarnaast heeft Google samenwerkingen met 31 SDK-aanbieders opgezet om te zorgen dat er minimale gevoelige informatie wordt verzameld en gedeeld via apps. Deze inspanningen beïnvloeden ongeveer 790.000 apps op de Play Store, wat miljoenen gebruikers ten goede kan komen. Google blijft malware, spyware, en adware uitdagen op de Google Play Store, hoewel het platform niet volledig immuun is tegen dergelijke bedreigingen. Gebruikers worden aangemoedigd apps enkel vanuit Google Play te installeren en regelmatig hun app-machtigingen en achtergrondactiviteiten te controleren. [googleblog, Google Play SDK Index]

Groot Datalek bij Incassobureau FBCS Treft Bijna Twee Miljoen Mensen

Het Amerikaanse incassobureau Financial Business and Consumer Solutions (FBCS) heeft bekendgemaakt dat er een datalek heeft plaatsgevonden, waarbij gevoelige informatie van ongeveer 1,9 miljoen personen mogelijk is gecompromitteerd. Dit incident werd ontdekt op 26 februari 2024 nadat er onbevoegde toegang was verkregen tot bepaalde systemen van het netwerk. Het lek begon op 14 februari en duurde tot 26 februari. Gedurende deze periode hadden de indringers de mogelijkheid om gegevens zoals volledige namen, social security nummers, geboortedata, accountinformatie, en rijbewijs- of identiteitskaartnummers in te zien of te verkrijgen. Deze blootstelling verhoogt het risico op phishing, fraude en social engineering aanvallen. Als reactie hierop biedt FBCS de getroffenen 12 maanden gratis kredietbewaking aan. Verder heeft het bedrijf aanvullende beveiligingsmaatregelen geïmplementeerd om herhaling van soortgelijke incidenten te voorkomen. Getroffen individuen worden aangeraden waakzaam te blijven voor ongevraagde communicatie en hun accountoverzichten en kredietrapporten nauwlettend in de gaten te houden op verdachte activiteiten. Tot op heden heeft geen enkele ransomwaregroep de verantwoordelijkheid voor de aanval opgeëist. [maine]

Omvangrijk Datalek bij Streamingdienst MovieBoxPro

Streamingdienst MovieBoxPro heeft recent de persoonlijke gegevens van zes miljoen gebruikers gelekt. Dit incident werd ontdekt door beveiligingsonderzoeker Troy Hunt, die vaststelde dat via een kwetsbare API (Application Programming Interface) e-mailadressen en gebruikersnamen van klanten toegankelijk waren. Hunt benadrukte de moeilijkheden bij het rapporteren van de kwetsbaarheid, aangezien de organisatie geen contactinformatie of sociale media-profielen beschikbaar stelt, en zelfs privacybescherming voor hun domeinregistratie gebruikt. De datalekproblematiek bij MovieBoxPro, die door Hunt als 'juridisch dubieus' wordt omschreven, lijkt echter verholpen te zijn na zijn bevindingen. De gelekte e-mailadressen zijn toegevoegd aan de database van Have I Been Pwned, waar gebruikers kunnen controleren of hun gegevens betrokken zijn bij bekende datalekken. Opmerkelijk is dat 36% van de bij dit specifieke lek betrokken e-mailadressen reeds voorkwam in andere datalekken. [haveibeenpwned]

Sluiting van Canadese Apothekersketen Winkels door Cyberaanval

De Canadese apothekers- en drogisterijketen London Drugs heeft bijna tachtig van haar winkels in West-Canada gesloten na het ontdekken van een cyberaanval op zondag. De precieze aard van het 'cybersecurity-incident' is niet bekendgemaakt, maar er zijn tot nu toe geen aanwijzingen dat klant- of personeelsgegevens zijn buitgemaakt. De sluiting, die alle filialen in British Columbia, Alberta, Saskatchewan en Manitoba betreft, is uit voorzorg genomen en een heropeningsdatum is nog niet vastgesteld. Voor urgente zaken blijven apothekers bereikbaar om op afspraak assistentie te verlenen, aldus een verklaring van de keten op het sociale platform X. De situatie benadrukt de impact van cyberaanvallen op essentiële diensten en de noodzaak van robuuste cybersecurity maatregelen binnen alle sectoren. [theglobeandmail]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten