Onderzoekers melden grootschalig misbruik van een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway waardoor aanvallers toegang tot systemen kunnen krijgen. Volgens securitybedrijf Mandiant zijn onder andere overheidsinstanties en techbedrijven getroffen. Onder de aanvallers bevinden zich ook verschillende ransomwaregroepen.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Via de kwetsbaarheid (CVE-2023-4966) kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.
Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate, maar sinds een week is er sprake van grootschalig misbruik, zegt beveiligingsonderzoeker Kevin Beaumont. Vorige week besloot Citrix organisaties op te roepen om de update meteen te installeren.
Alles bij de bron; Security
Okta Security waarschuwt voor een cyberaanval. Een onbevoegde partij wist met behulp van gestolen inloggegevens toegang te krijgen tot het support-casemanagementsysteem van het bedrijf.
Hier kon de aanvaller bestanden inzien die door sommige Okta-klanten als onderdeel van tickets zijn geüpload.
Indien klanten een ticket aanmaken vraagt Okta support klanten in sommige gevallen een HTTP Archive (HAR)-bestand te uploaden, die het gebruikt om problemen na te bootsen door browseractiviteiten na te bootsen.
Deze bestanden kunnen gevoelige informatie van klanten omvatten, waaronder cookies en sessietokens. Kwaadwillenden kunnen zich hiermee als een slachtoffer uitgeven.
Het bedrijf benadrukt dat klanten die niet door Okta zijn gewaarschuwd, niet getroffen zijn door de aanval. Ook wijst het bedrijf erop dat alleen het support-casemanagementsysteem is getroffen.
Alles bij de bron; DutchIT
In de frauduleuze mail die uit naam van MijnOverheid wordt gestuurd staan een aantal stappen beschreven om je persoonsgegevens bij te werken. Door de gegevens in te vullen zou je in aanmerking komen voor de extra energietoeslag van 413,42 euro. “Uw extra toezegging kan alleen worden uitgekeerd als wij beschikken over de juiste gegevens”, staat in de mail geschreven. Maar dit is een sluwe truc van oplichters om aan je gegevens te komen, vul deze dus nooit zomaar in.
Alles bij de bron; Opgelicht?!
Bij een internationale politieactie is een grote gijzelsoftwarebende ontmanteld. De vermoedelijke leider is opgepakt en het platform is uit de lucht. Vijf servers van de groep zijn in Nederland in beslag genomen en Nederlandse rechercheurs hielpen mee bij het onderzoek.
Het betreft een internationale groep criminelen. Er zijn voor zover bekend geen Nederlanders onder de verdachten. De Europese diensten Europol (politie) en Eurojust (justitie) maakten de resultaten van de actie tegen de bende Ragnar Locker vrijdag bekend.
De hoofdverdachte werd afgelopen maandag opgepakt in Parijs. In Spanje en Letland zijn daarna vijf andere verdachten verhoord.
De site van de groep op het darkweb, een afgeschermd deel van internet, is in Zweden uit de lucht gehaald. Behalve in Nederland zijn ook in Duitsland en Zweden servers in beslag genomen.
De gijzelsoftware, die ook Ragnar Locker wordt genoemd, is sinds december 2019 actief. De makers ervan hebben computersystemen besmet en vergrendeld. Ook maakten ze interne gegevens buit.
Daarna eisten ze losgeld van de slachtoffers, zowel voor het ontgrendelen van de systemen als voor het teruggeven van gevoelige gegevens. Dat bedrag kon oplopen tot tientallen miljoenen euro's.
In 2021 werden in Oekraïne al twee andere kopstukken van Ragnar Locker opgepakt. Vorig jaar werd een andere verdachte gearresteerd in Canada. Bij het vervolgonderzoek kregen rechercheurs zicht op de rest van de bende.
Alles bij de bron; NU
Momenteel gaat er een valse mail rond uit naam van telecomprovider KPN. Online oplichters geven zich uit als de directie van KPN om aan jouw gegevens te komen. In dit geval wordt je gevraagd om op een link te klikken om je opnieuw te identificeren, doe dit dus niet.
“Vanwege de vernieuwde wet- en regelgeving eisen van de Algemene Gegevensbescherming (bekend als de AVG) vragen wij u om zich opnieuw te identificeren”, staat in het bericht.
Door op de link in de mail te klikken zou je je gegevens kunnen controleren, maar in werkelijkheid leidt dit naar een valse website. Vaak is deze identiek aan de officiële website van een bedrijf. Controleer daarom altijd eerst de URL en vul geen persoonlijke gegevens in.
Alles bij de bron; Opgelicht?!
In september vond volgens het ICC een gerichte en geraffineerde aanval met spionagedoeleinden plaats. Dat blijkt uit onderzoek van het hof op basis van het beschikbare bewijs.
Meteen na de ontdekking van de aanval heeft het ICC naar eigen zeggen ingegrepen om de gevolgen te beperken. Daarbij hebben externe cyberbeveiligingsdeskundigen en Nederland geholpen. Daarnaast heeft het hof maatregelen getroffen om een nieuwe aanval te voorkomen.
Het ICC wordt van meerdere kanten belaagd, zegt het hof.
Zo begon Rusland strafzaken tegen de hoofdaanklager en rechters van het Strafhof. Die Russische strafzaken waren een reactie op het arrestatiebevel van het ICC tegen de Russische president Vladimir Poetin die het strafhof wil vervolgen voor de deportatie van kinderen uit het door Rusland bezette deel van Oekraïne.
Alles bij de bron; NU
De Finse openbaar aanklager heeft een Finse man die wordt verdacht van het gevoeligste datalek in de geschiedenis van het land meer dan 21.000 keer aangeklaagd voor een poging tot afpersing, alsmede 9600 aanklachten wegens het verspreiden van informatie waarmee de persoonlijke privacy is geschonden. Als het aan de aanklager ligt verdwijnt de verdachte zeven jaar achter de tralies.
De Fin wordt verdacht van de inbraak op systemen van psychotherapiepraktijk Vastaamo. Eind 2020 werden gevoelige gegevens van zo'n 40.000 cliënten van de praktijk online gezet. Het ging onder andere om namen, adresgegevens, persoonlijke identificatienummers en patiëntendossiers met zeer gevoelige informatie. Met de gestolen data werden in eerste instantie zowel de psychotherapiepraktijk als cliënten afgeperst.
De aanvaller dreigde elke dag honderd records openbaar te maken als de praktijk geen 450.000 euro betaalde. Daarnaast werden cliënten benaderd door de aanvaller met het dreigement dat als zij niet betaalden al hun persoonlijke informatie online zou verschijnen. Uiteindelijk verscheen de volledige database op internet.
Volgens de praktijk zijn de patiëntgegevens waarschijnlijk bij twee aanvallen in november 2018 en ergens tussen november 2018 en maart 2019 buitgemaakt. Hoe de aanvaller toegang wist te krijgen is niet bekendgemaakt.
Alles bij de bron; Security
De FBI waarschuwt voor cybercriminelen die het op plastisch chirurgen en klinieken hebben voorzien, om daar gevoelige foto's en medische gegevens van patiënten te stelen, om die daarmee vervolgens af te persen. Zodra de data is gestolen maken de aanvallers gebruik van social engineering en social media om de gegevens te verrijken, om als laatste cryptovaluta te eisen om publicatie te voorkomen.
Volgens de FBI bestaan de aanvallen uit drie fases, waarbij als eerste via phishing de medische data wordt buitgemaakt. Vervolgens worden de gegevens door middel van open bronnen, zoals social media, en social engineering met verdere data aangevuld. Als laatste worden zowel patiënten als chirurgen met de gestolen data afgeperst, anders dreigen de criminelen die onder collega's, vrienden en familie te delen, alsmede openbare websites.
Alles bij de bron; Security
Een Canadese overheidsinstantie die informatie bijhoudt over zwangerschappen en pasgeborenen heeft de informatie van 3,4 miljoen personen gelekt. De gegevens werden eind mei gestolen via een zerodaylek in de MOVEit Transfer, een applicatie voor het uitwisselen van bestanden.
Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van inmiddels duizend organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren.
Better Outcomes Registry & Network (BORN) Ontario is één van de nieuwste slachtoffers die naar buiten treedt. De Canadese overheidsinstantie laat in een persbericht weten dat bij de aanval gegevens van 3,4 miljoen mensen zijn gestolen, voornamelijk van personen die zwangerschapszorg zochten en pasgeborenen. De gegevens dateren van 2010 tot en met mei 2023.
Alles bij de bron; Security
Honderden (mogelijke) afnemers van gestolen data hebben van de politie Oost-Nederland een brief of e-mail ontvangen. De politie waarschuwt de ontvangers dat het voorhanden hebben van gestolen data of het verhandelen van privacygegevens strafbaar is. Ook worden mensen uitgenodigd voor een gesprek.
In mei 2022 werd in samenwerking met de Belgische politie en de FBI een hoofdverdachte aangehouden in een onderzoek naar online verkoop van gestolen privacygegevens en het faciliteren van DDoS aanvallen tegen betaling.
Na de aanhouding is de politie Oost-Nederland verder onderzoek gaan doen naar de (mogelijke) afnemers van de gestolen data. Het onderzoek richtte zich op de Nederlandse gebruikers van WELEAKINFO.TO en vooral op de bezoekers met een (betaald) account die mogelijk privacygevoelige informatie hebben gekregen of voorhanden hebben gehad die door een misdrijf zijn buitgemaakt.
Met deze persoonsgegevens kunnen verschillende cybercrimedelicten gepleegd worden, bijvoorbeeld computervredebreuk of bankhelpdeskfraude. Ongeveer vierhonderd Nederlandse gebruikers zijn naar voren gekomen in het onderzoek.
Alles bij de bron; Beveiliging