Cybercrime

Onderzoekers hebben een zogenaamde website van Amnesty International ontdekt die "AntiPegasus software" aanbiedt, wat in werkelijkheid malware is. 

Op de nepsite wordt geclaimd dat gebruikers via de "AntiPegasus software" hun systeem op de aanwezigheid van de spyware kunnen controleren. In werkelijkheid gaat het om een remote access tool (RAT) genaamd Sarwent waarmee aanvallers op afstand volledige controle over het systeem hebben. Eenmaal actief verzamelt de malware informatie over het systeem. Vervolgens kan de aanvaller via de command line en PowerShell commando's versturen of het systeem op afstand via VNC of RDP benaderen.

Alles bij de bron; Security


 

Hackers hebben nieuwe data van de hostingprovider Epik op internet gezet. Het gaat om 300GB aan disk-images van de provider, waarin ook wachtwoorden en api-tokens zijn opgenomen.

De data werd ingezien door The Daily Dot. Security-experts verifiëren aan de site dat het gaat om disk-images van de complete serverinfrastructuur van Epik. Daarmee zou het mogelijk zijn de complete servers na te bootsen. Een van hen heeft op Twitter een video geplaatst waarin hij de server in een VM weet te booten. De hackers hebben de data als torrent van 70GB vrijgegeven, maar uitgepakt zou het gaan om bijna 300GB aan data.

In de data lijken ook gevoelige gegevens van Epik zelf te zitten. Dat zijn onder andere api-keys en credentials voor Epiks eigen systemen die in plaintext zijn opgeslagen. Ook zijn er in de files credentials te vinden voor de Coinbase- en PayPal-accounts van de provider, en van het Twitter-account.

Alles bij de bron; Tweakers


 

Het systeem waar zo'n 130 Nederlandse boekhandels gebruik van maken is platgelegd door ransomware, waardoor medewerkers nu alles handmatig moeten bijhouden. De boekhandels maken gebruik van de software van het Franse bedrijf TiteLive, dat slachtoffer van de ransomware-aanval werd.

"Je krijgt nu wel een boek binnen van de drukker, maar je weet niet voor wie", zegt Jan Peter Prenger van Libris tegenover de NOS. "Als mensen bestellen dan moeten boekhandels handmatig aan de slag. Er kunnen wel gewoon boeken worden verkocht in de winkels, maar het is heel vervelend."

"Dat is ons boekhandelpakket. We gebruiken het voor voorraadbeheer, klantenadministratie enz... Onze kassa is er ook aan gekoppeld, maar die werkt ook zonder het systeem, net zoals de website, al is die hierdoor niet meer up-to-date", bevestigt de Antwerpse boekhandel De Groene Waterman aan Data News.

Boekhandels kregen van TiteLive te horen dat de problemen mogelijk enkele dagen kunnen aanhouden.

Alles bij de bron; Security


 

De servers van de CoronaCheck-app worden niet meer aangevallen, meldt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zondag. Het aanmaken van een QR-code moet geen problemen meer opleveren.

Het is volgens de woordvoerder niet duidelijk wie achter de aanval zit. Bij een ddos-aanval wordt geprobeerd een website, server of dienst onbereikbaar te maken. Via een netwerk van gehackte apparaten wordt een computersysteem zo massaal bezocht dat deze crasht.

Alles bij de bron; NU


 

In 2020 gaf ruim 5 procent van de Nederlanders van 16 jaar of ouder aan slachtoffer te zijn geweest van online seksuele intimidatie. Jonge vrouwen en biseksuele vrouwen hadden het vaakst te maken met ongewenst seksueel gedrag op internet. Voor een tiende van de slachtoffers had dit een structureel karakter.

Dat blijkt uit de Prevalentiemonitor Huiselijk Geweld en Seksueel Geweld die het CBS heeft uitgevoerd op verzoek van het WODC. De gegevens komen uit een steekproefonderzoek onder ruim 30 duizend mensen van 16 jaar of ouder, die het CBS in maart en april 2020 via internet heeft gevraagd naar hun ervaringen met huiselijk en seksueel geweld in de voorafgaande twaalf maanden.

Half maart 2020 werd de eerste lockdown in het kader van de coronapandemie afgekondigd. Een eventuele toe- of afname van huiselijk en seksueel geweld in de maanden maart en april kon met deze data niet worden onderzocht.

Alles bij de bron; CBS


 

Microsoft ontdekte onlangs een phishing-as-a-service operatie die bij één enkele aanval 300.000 unieke subdomeinen gebruikte. De phishingdienst heet BulletProofLink en biedt klanten een abonnement van 800 dollar per maand.

Als onderdeel van het abonnement krijgen klanten hosting, phishingtemplates en een helpdesk. De phishingtemplates die voor de phishingsites worden gebruikt sturen ingevulde gebruikersnamen en wachtwoorden niet alleen door naar de klant, maar ook naar de phishing-as-a-service aanbieder, die zodoende dubbel aan de klant verdient.

Een volgens Microsoft interessant onderdeel van de campagne is een techniek die het "infinite subdomain abuse" noemt. Hierbij weten aanvallers de dns-instellingen van een domein aan te passen of wanneer een gecompromitteerd van wildcard subdomeinen gebruikmaakt. Hierdoor kunnen aanvallers een oneindig aantal subdomeinen aanmaken en zo voor elke ontvanger van de phishingmail een unieke url creëren.

Microsoft stelt dat de techniek steeds populairder onder aanvallers wordt. In plaats van te werken met een groot aantal eenmalig te gebruiken domeinnamen, is er een onbeperkt aantal subdomeinen aan te maken dat naar een klein aantal phishingpagina's hoeft door te verwijzen. Daarnaast hoeft de website zelf niet gecompromitteerd te worden maar alleen de dns-instellingen. 

Alles bij de bron; Security


 

Hotels wereldwijd zijn het doelwit van een cyberspionagegroep die kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera gebruikt om bij organisaties in te breken, zo stelt antivirusbedrijf ESET in een analyse. 

Zodra er toegang tot een systeem is verkregen installeren de aanvallers een backdoor en proberen inloggegevens te stelen. De groep zou tenminste sinds augustus 2019 actief zijn en het voornamelijk op hotels hebben voorzien. ESET stelt dat het hier om een advanced persistent threat (APT)-groep gaat die zich bezighoudt met cyberspionage.

Getroffen organisaties bevinden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. 

Alles bij de bron; Security


 

Een grote Amerikaanse landbouwcoöperatie is slachtoffer van een ransomware-aanval geworden, wat mogelijk gevolgen voor regionale voedselbevoorrading en de logistieke keten kan hebben. De aanvallers eisen 5,9 miljoen dollar van New Cooperative.

De coöperatie heeft meer dan vijftig locaties in de Amerikaanse staat Iowa. Verder claimt de organisatie dat veertig procent van de Amerikaanse graanproductie via diens software wordt verhandeld en de aanval gevolgen voor de voedselbevoorrading van elf miljoen dieren kan hebben.

Vanwege de aanval heeft New Cooperative naar eigen zeggen de netwerken uit voorzorg uitgeschakeld. Ook een platform dat klanten gebruiken is offline gehaald, zo melden Bloomberg en de Wall Street Journal.

Naast het versleutelen van de data claimt de ransomwaregroep dat het ook duizend gigabyte aan data heeft buitgemaakt. Als de landbouwcoöperatie niet betaalt maakt het deze data openbaar.

Alles bij de bron; Security


 

Onderzoekers hebben  een overzicht gepubliceerd van kwetsbaarheden die ransomwaregroepen gebruiken om bij hun slachtoffers binnen te dringen. Het gaat om meer dan veertig beveiligingslekken. Iets minder dan de helft werd in dit jaar gevonden en zijn inmiddels door de betreffende leverancier gepatcht. Er zijn echter ook twaalf gebruikte kwetsbaarheden die uit 2017, 2018 en 2019 dateren. 

Het overzicht komt overeen met overzichten van de FBI en de Amerikaanse geheime dienst NSA. De FBI publiceerde in juli van dit jaar een Top 30 van meest aangevallen kwetsbaarheden. De NSA kwam vorig jaar met een Top 25 van aangevallen beveiligingslekken.

"Eén van de meest effectieve manieren om kwetsbaarheden te verhelpen is het updaten van software zodra patches beschikbaar zijn en praktisch is.", aldus de FBI. 

Ransomware Toegangspoorten

Alles bij de bron; Security


 

Aanvallers hebben gesponsorde zoekresultaten gebruikt om een malafide versie van het programma ITerm2 voor macOS te verspreiden. Gebruikers van zoekmachine Baidu die op iTerm2 zochten kregen een gesponsord zoekresultaat te zien dat naar de officiële iTerm2-website leek te leiden. In plaats van het officiële .com-domein hadden de aanvallers echter een identiek .net-domein geregistreerd.

Op de nepwebsite werd een aangepaste en gesigneerde versie van iTerm2 aangeboden. Bij het starten van de applicatie werd ook een malafide library gestart die verbinding met een server maakte. Deze server liet de malware aanvullende malware installeren, die onder andere de keychain, bash history en hosts van het besmette systeem probeerde te stelen.

Na ontdekking van de malware heeft Apple het ontwikkelaarscertificaat waarmee de malafide iTerm2-versie werd gesigneerd ingetrokken. Verder verwijderde Baidu de gesponsorde zoekresultaten en is ook de malafide website offline.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha