Cybercrime

De servers van de CoronaCheck-app worden niet meer aangevallen, meldt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zondag. Het aanmaken van een QR-code moet geen problemen meer opleveren.

Het is volgens de woordvoerder niet duidelijk wie achter de aanval zit. Bij een ddos-aanval wordt geprobeerd een website, server of dienst onbereikbaar te maken. Via een netwerk van gehackte apparaten wordt een computersysteem zo massaal bezocht dat deze crasht.

Alles bij de bron; NU

In 2020 gaf ruim 5 procent van de Nederlanders van 16 jaar of ouder aan slachtoffer te zijn geweest van online seksuele intimidatie. Jonge vrouwen en biseksuele vrouwen hadden het vaakst te maken met ongewenst seksueel gedrag op internet. Voor een tiende van de slachtoffers had dit een structureel karakter.

Dat blijkt uit de Prevalentiemonitor Huiselijk Geweld en Seksueel Geweld die het CBS heeft uitgevoerd op verzoek van het WODC. De gegevens komen uit een steekproefonderzoek onder ruim 30 duizend mensen van 16 jaar of ouder, die het CBS in maart en april 2020 via internet heeft gevraagd naar hun ervaringen met huiselijk en seksueel geweld in de voorafgaande twaalf maanden.

Half maart 2020 werd de eerste lockdown in het kader van de coronapandemie afgekondigd. Een eventuele toe- of afname van huiselijk en seksueel geweld in de maanden maart en april kon met deze data niet worden onderzocht.

Alles bij de bron; CBS

Microsoft ontdekte onlangs een phishing-as-a-service operatie die bij één enkele aanval 300.000 unieke subdomeinen gebruikte. De phishingdienst heet BulletProofLink en biedt klanten een abonnement van 800 dollar per maand.

Als onderdeel van het abonnement krijgen klanten hosting, phishingtemplates en een helpdesk. De phishingtemplates die voor de phishingsites worden gebruikt sturen ingevulde gebruikersnamen en wachtwoorden niet alleen door naar de klant, maar ook naar de phishing-as-a-service aanbieder, die zodoende dubbel aan de klant verdient.

Een volgens Microsoft interessant onderdeel van de campagne is een techniek die het "infinite subdomain abuse" noemt. Hierbij weten aanvallers de dns-instellingen van een domein aan te passen of wanneer een gecompromitteerd van wildcard subdomeinen gebruikmaakt. Hierdoor kunnen aanvallers een oneindig aantal subdomeinen aanmaken en zo voor elke ontvanger van de phishingmail een unieke url creëren.

Microsoft stelt dat de techniek steeds populairder onder aanvallers wordt. In plaats van te werken met een groot aantal eenmalig te gebruiken domeinnamen, is er een onbeperkt aantal subdomeinen aan te maken dat naar een klein aantal phishingpagina's hoeft door te verwijzen. Daarnaast hoeft de website zelf niet gecompromitteerd te worden maar alleen de dns-instellingen. 

Alles bij de bron; Security

Hotels wereldwijd zijn het doelwit van een cyberspionagegroep die kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera gebruikt om bij organisaties in te breken, zo stelt antivirusbedrijf ESET in een analyse. 

Zodra er toegang tot een systeem is verkregen installeren de aanvallers een backdoor en proberen inloggegevens te stelen. De groep zou tenminste sinds augustus 2019 actief zijn en het voornamelijk op hotels hebben voorzien. ESET stelt dat het hier om een advanced persistent threat (APT)-groep gaat die zich bezighoudt met cyberspionage.

Getroffen organisaties bevinden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. 

Alles bij de bron; Security

Een grote Amerikaanse landbouwcoöperatie is slachtoffer van een ransomware-aanval geworden, wat mogelijk gevolgen voor regionale voedselbevoorrading en de logistieke keten kan hebben. De aanvallers eisen 5,9 miljoen dollar van New Cooperative.

De coöperatie heeft meer dan vijftig locaties in de Amerikaanse staat Iowa. Verder claimt de organisatie dat veertig procent van de Amerikaanse graanproductie via diens software wordt verhandeld en de aanval gevolgen voor de voedselbevoorrading van elf miljoen dieren kan hebben.

Vanwege de aanval heeft New Cooperative naar eigen zeggen de netwerken uit voorzorg uitgeschakeld. Ook een platform dat klanten gebruiken is offline gehaald, zo melden Bloomberg en de Wall Street Journal.

Naast het versleutelen van de data claimt de ransomwaregroep dat het ook duizend gigabyte aan data heeft buitgemaakt. Als de landbouwcoöperatie niet betaalt maakt het deze data openbaar.

Alles bij de bron; Security

Onderzoekers hebben  een overzicht gepubliceerd van kwetsbaarheden die ransomwaregroepen gebruiken om bij hun slachtoffers binnen te dringen. Het gaat om meer dan veertig beveiligingslekken. Iets minder dan de helft werd in dit jaar gevonden en zijn inmiddels door de betreffende leverancier gepatcht. Er zijn echter ook twaalf gebruikte kwetsbaarheden die uit 2017, 2018 en 2019 dateren. 

Het overzicht komt overeen met overzichten van de FBI en de Amerikaanse geheime dienst NSA. De FBI publiceerde in juli van dit jaar een Top 30 van meest aangevallen kwetsbaarheden. De NSA kwam vorig jaar met een Top 25 van aangevallen beveiligingslekken.

"Eén van de meest effectieve manieren om kwetsbaarheden te verhelpen is het updaten van software zodra patches beschikbaar zijn en praktisch is.", aldus de FBI. 

Alles bij de bron; Security

Aanvallers hebben gesponsorde zoekresultaten gebruikt om een malafide versie van het programma ITerm2 voor macOS te verspreiden. Gebruikers van zoekmachine Baidu die op iTerm2 zochten kregen een gesponsord zoekresultaat te zien dat naar de officiële iTerm2-website leek te leiden. In plaats van het officiële .com-domein hadden de aanvallers echter een identiek .net-domein geregistreerd.

Op de nepwebsite werd een aangepaste en gesigneerde versie van iTerm2 aangeboden. Bij het starten van de applicatie werd ook een malafide library gestart die verbinding met een server maakte. Deze server liet de malware aanvullende malware installeren, die onder andere de keychain, bash history en hosts van het besmette systeem probeerde te stelen.

Na ontdekking van de malware heeft Apple het ontwikkelaarscertificaat waarmee de malafide iTerm2-versie werd gesigneerd ingetrokken. Verder verwijderde Baidu de gesponsorde zoekresultaten en is ook de malafide website offline.

Alles bij de bron; Security

Bitdefender heeft een gratis sleutel vrijgegeven voor slachtoffers van de grote hack met REvil-gijzelsoftware die enkele maanden geleden plaatsvond, schrijft het bedrijf. Met de sleutel hebben slachtoffers weer toegang tot hun versleutelde bestanden. 

De grootschalige hack begon bij Kaseya, een bedrijf dat softwarepakketten levert aan bedrijven over de hele wereld. Met deze softwarepakketten kunnen bedrijven computersystemen van klanten op afstand beheren. De hackers kwamen binnen via een zwakke plek in de software en konden zo systemen van honderden bedrijven gijzelen. 

De sleutel is ruim twee maanden na de aanval ontwikkeld in samenwerking met "een betrouwbare wetshandhaver". Het is niet bekend welke dat is. Het onderzoek naar de hack loopt nog, maar de sleutel is al vrijgegeven zodat gebruikers weer toegang krijgen tot hun systemen.

Eind juli kwam Kaseya al met een sleutel voor de hack. Deze sleutel was echter alleen op aanvraag beschikbaar. De nieuwe sleutel is voor iedereen gratis te downloaden.

De uit Rusland afkomstige REvil-groep verdween 14 juli ineens van het internet. Na twee maanden afwezigheid, verscheen de groep begin deze maand weer online, zo schreef Bleeping Computer. Inmiddels zou de groep weer verschillende ransomwareaanvallen hebben uitgevoerd.

Alles bij de bron; NU

Gevoelige gegevens van het ROC Mondriaan in Den Haag zijn op het darkweb gepubliceerd. Het gaat om onder meer klachtenafhandelingen en privégegevens van docenten en studenten. Het ROC werd drie weken geleden slachtoffer van een hack. 

NU.nl heeft de gegevens op het darkweb, het afgeschermde deel van het internet, ingezien en het ROC daarvan op de hoogte gesteld.

Inmiddels heeft de onderwijsinstelling op haar website ook een verklaring geplaatst, waarin ze schrijft dat er op dit moment nog onderzoek wordt gedaan. Hackers vroegen na de aanval volgens een woordvoerder "een erg hoog bedrag", dat na overleg met het ministerie van Onderwijs, Cultuur en Wetenschap niet is betaald.

De gegevens die door de hackers zijn gedeeld, bevatten veel gevoelige informatie, zoals klassenlijsten, mails aan ouders en persoonsgegevens van studenten en docenten. Verder zijn financiële gegevens en bedrijfsprotocollen van de school gelekt.

Alles bij de bron; NU

Volgens Olympus treft het incident een beperkt deel van de systemen van het EMEA-bedrijfsonderdeel. Het bedrijf schrijft in een statement dat het na het waarnemen van verdachte activiteiten direct een responsteam heeft ingeschakeld en werkt aan het oplossen van het probleem. De schaal van het incident wordt nog onderzocht volgens de fabrikant.

Olympus geeft geen inhoudelijke details, maar een bron die kennis heeft van het incident, zegt tegen TechCrunch dat het bedrijf te maken heeft met een ransomwareaanval die in de ochtend van 8 september begon. De aanvallers zouden een netwerk van Olympus versleuteld hebben en eisen losgeld om dat ongedaan te maken. Het geëiste bedrag is niet bekend.

De manier waarop het losgeld geëist wordt, via een site die alleen met de Tor-browser te bereiken is, zou erop wijzen dat de BlackMatter-groepering achter de aanval zit. BlackMatter zou de opvolger zijn van diverse ransomware-as-a-service-groeperingen, zoals DarkSide en REvil. Die twee zaten respectievelijk achter de aanvallen op Colonial Pipeline en Kaseya.

Volgens EmsiSoft zijn er sinds juni meer dan veertig ransomwareaanvallen waargenomen die toe te schrijven zijn aan BlackMatter.

Alles bij de bron; Tweakers