Een Amerikaanse rechter heeft geoordeeld dat NSO Group verantwoordelijk is voor de spyware-aanval op veertienhonderd WhatsApp-gebruikers in 2019. Beveiligingsonderzoeker van Citizen Lab en spywware-expert John Scott-Railton spreekt van een grote overwinning voor spywareslachtoffers en een groot verlies voor NSO.
WhatsApp besloot NSO Group in 2019 aan te klagen nadat veertienhonderd WhatsApp-gebruikers met de Pegas-spyware van het bedrijf besmet waren geraakt. Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen. NSO had altijd beweerd dat de spyware alleen werd gebruikt voor het opsporen van terroristen en zware criminelen. Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
NSO stelde altijd dat het niet verantwoordelijk was voor de manier waarop klanten gebruikmaakten van de Pegasus-spyware. Uit documenten die het bedrijf voor de rechtszaak deelde bleek dit niet te kloppen. Het was NSO die Pegasus op de telefoons van slachtoffers installeerde en data verzamelde.
"We zijn vijf jaar met deze zaak bezig geweest omdat we geloven dat spywarebedrijven zich niet achter immuniteit zouden moeten kunnen verbergen of aansprakelijkheid vermijden voor hun onrechtmatige acties", aldus WhatsApp-directeur Will Cathcart op X. "Surveillancebedrijven moeten weten dat illegaal bespioneren niet wordt getolereerd."
Volgens Scott-Railton zal de uitspraak grote gevolgen voor spywarebedrijven hebben. "Het is een slecht moment om een spywarebedrijf te zijn", merkt de expert op. Apple had ook een zaak tegen NSO Group ingediend, maar besloot die afgelopen september te laten vallen.
Alles bij de bron; Security
Fraude met qr-codes op parkeerautomaten of laadpalen komt maar weinig voor, althans volgens de politie.
Bij de Fraudehelpdesk kwamen dit jaar al twintig meldingen van phishing met qr-codes, totale schade 160 duizend euro, maar de politie ziet nauwelijks meldingen of aangiften van deze fraudevorm.
De politie ziet wel misbruik van qr-codes in e-mails.
Alles bij de bron; Cops-in-Cyberspace
De criminelen achter de Termite-ransomware claimen verantwoordelijk te zijn voor de aanval op softwarebedrijf Blue Yonder en zeggen 680 gigabyte aan data te hebben buitgemaakt, waaronder tweehonderdduizend documenten, duizenden mailinglists en databasedumps en verzekeringsinformatie.
Blue Yonder biedt software voor ondersteuning van de logistieke keten en distributie, alsmede HR, zoals salarisadministratie. Op 21 november was de 'managed services hosted environment' van het softwarebedrijf doelwit van een ransomware-aanval, zo liet het bedrijf eerder weten. Koffieketen Starbucks, Britse supermarktketens Morrisons en Sainsbury’s alsmede Hema en Jumbo in Nederland voelden de gevolgen van de ransomware-aanval.
Blue Yonder zegt met de claims van de ransomwaregroep bekend te zijn, maar laat niet weten of die ook kloppen. Het onderzoek naar de aanval is nog gaande.
Alles bij de bron; Security
Verschillende systemen rond de Roemeense verkiezingen kregen de afgelopen weken meer dan 85.000 cyberaanvallen te verwerken.
Onder meer de IT-infrastructuur van AEP, de Roemeense verkiezingsautoriteit, is op 19 november aangevallen. Ook zijn inloggegevens van verkiezingswebsites en het centraal verkiezingsbureau (bec.ro) gestolen en gelekt op een Russisch hackersforum.
De Roemeense inlichtingendienst spreekt van 85.000 aanvallen op verkiezingsinfrastructuur. Die aanvallen gingen door tot 25 november, de avond na de eerste verkiezingsronde.
Ook op sociale media werd er last minute een stevige offensief gestart in het voordeel van Georgescu. Meer dan honderd Roemeense TikTok influencers begonnen de relatief kleine kandidaat te promoten, waardoor hij ook in de top tien van onderwerpen opdook.
Deze week maakte TikTok zelf bekend dat het een netwerk van accounts heeft verwijderd die in het geheim campagne voerden voor Georgescu. Het merkte onder meer dat er meer dan 25.000 accounts plots zeer actief werden vlak voor de verkiezing.
Alles bij de bron; Dutch-IT-Channel
Een spionagegroep heeft in 2022 verschillende organisaties in de VS gecompromitteerd door het wifi-netwerk van de buren te gebruiken, zo stelt securitybedrijf Volexity in een analyse. De aanvallers bevonden zich op duizenden kilometers afstand toen de aanval plaatsvond.
De aanvallers hadden eerder een password spraying-aanval tegen een publiek toegankelijke service van de organisatie uitgevoerd, wat een werkende gebruikersnaam en wachtwoord opleverde. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.
De service in kwestie maakte gebruik van multifactorauthenticatie (MFA), waardoor alleen een gebruikersnaam en wachtwoord niet voldoende waren om op de service in te loggen. Het wifi-netwerk vereiste echter geen MFA.
De aanvallers waren niet in staat om zelf fysiek verbinding met het wifi-netwerk te maken. Om deze barrière te overkomen werden verschillende organisaties in de buurt van de aan te vallen organisatie gecompromitteerd. De doelwit organisatie, organisatie A, werd aangevallen via het wifi-netwerk van organisatie B. Organisatie B was echter aangevallen via het wifi-netwerk van organisatie C, alsmede gecompromitteerde vpn-inloggegevens.
Uiteindelijk kregen de aanvallers zo toegang tot een systeem dat zowel over een bedrade verbinding als wifi-adapter beschikte. Vervolgens werd er via deze wifi-adapter en de eerder verkregen gebruikersnaam en wachtwoord ingelogd op het netwerk van organisatie A.
Alles bij de bron; Security
De medische gegevens van 750.000 Fransen zijn door hackers openbaar gemaakt na een cyberaanval op het elektronisch patiëntendossier MediBoard.
Een hacker of hackersgroep verkoopt volgens Bleeping Computer toegang tot de systemen van MediBoard, een Frans platform om medische gegevens van ziekenhuis- en dokterspatiënten uit te wisselen. Dat platform wordt door meerdere Franse ziekenhuizen gebruikt.
De hackers zeggen toegang te hebben en toegang te verkopen tot de gegevens van 1,5 miljoen patiënten. Het gaat daarbij om persoonsgegevens en paspoort- en identiteitsbewijzen, maar ook om medische gegevens zoals facturen, medicatie en afspraken met artsen en specialisten.
De maker van het medische platform, Softway Medical Group, bevestigt in een reactie dat er inderdaad een inbraak heeft plaatsgevonden. De aanval zou hebben plaatsgevonden op 19 november.
Alles bij de bron; Tweakers
Op internet is data verschenen van 25 grote bedrijven, waaronder Amazon, HP, Lenovo en BT. De data lijkt te zijn buitgemaakt via een kritieke kwetsbaarheid in MOVEit van Progress, die vorig jaar tot veel problemen leidde.
De gestolen data omvat onder meer werknemersgegevens van 25 grote bedrijven. Denk daarbij aan namen, e-mailadressen, telefoonnummers, informatie gerelateerd aan kostenposten en in sommige gevallen zelfs volledige organisatiestructuren. De informatie kan onder meer misbruikt worden voor phishing, identiteitsdiefstal of social engineering.
De volgende partijen zijn getroffen:.......
......Meer informatie is hier beschikbaar.
Alles bij de bron; Dutch-IT-Channel
Cybercriminelen gebruiken een nieuwe versie van de Rhadamanthys Stealer om gegevens te stelen via een campagne genaamd CopyRh(ight)adamantys.
De campagne maakt gebruik van spear-phishingmails die zogenaamd zijn verzonden door juridische vertegenwoordigers van bekende bedrijven.
In de e-mails wordt de ontvanger beschuldigd van ongeoorloofd gebruik van merken op social media en wordt gevraagd om specifieke afbeeldingen en video’s te verwijderen. De verwijderingsinstructies leiden echter naar een downloadlink die de nieuwste versie van de Rhadamanthys-malware activeert.
Deze campagne richt zich op verschillende regio’s, waaronder de VS en Europa, en een breed scala aan sectoren. Opvallend is het grote aantal unieke e-mails dat in omloop is; elke e-mail komt van een ander adres en richt zich op een specifieke contactpersoon.
De aanvallers maken gebruik van Gmail-accounts om valse e-mails te sturen die afkomstig lijken te zijn van bekende bedrijven. In deze berichten wordt ten onrechte gesteld dat de ontvanger via social media inbreuk maakt op auteursrechten, met instructies voor het verwijderen van inhoud die in werkelijkheid malware installeren.
Bijna 70% van de geïmiteerde bedrijven bevindt zich in de entertainment-, media-, technologie- en softwaresectoren. Dit kan komen doordat deze sectoren vaker te maken hebben met auteursrechtclaims, waardoor de phishing-e-mails geloofwaardig lijken.
Alles bij de bron; Dutch-IT-Channel
Uit een analyse van Cisco Talos blijkt dat bij een kwart van de meldingen in het derde kwartaal de focus lag op het stelen van inloggegevens.
Volgens het bedrijf is het technisch gezien relatief eenvoudig om identiteits- en persoonlijke gegevens te stelen, bijvoorbeeld door ‘infostealers’ in te zetten. “ ...zulke aanvallen zijn zorgwekkend, omdat ze leiden tot interne aanvallen, social engineering en business email compromise vanaf een geldig, maar gecompromitteerd account. Zonder Identity Intelligence beveiligingssoftware die context en identiteit correleert, zijn dergelijke activiteiten zijn erg moeilijk te detecteren"
Om toegang te krijgen tot accounts maken aanvallers vaak gebruik van ‘password spraying’. Hierbij wordt een bepaald wachtwoord, of een korte lijst met veelgebruikte wachtwoorden, op meerdere accounts binnen een netwerk toegepast. Dit voorkomt automatische vergrendeling die optreedt bij klassieke brute-force aanvallen met veel verschillende wachtwoorden.
....ook zien we meerdere phishingaanvallen met de ‘adversary-in-the-middle’ (AitM) techniek. Deze methode misleidt gebruikers om hun inloggegevens in te voeren op nagemaakte inlogpagina’s, zoals voor Microsoft O365 en MFA.
In een specifieke aanval konden criminelen binnen twintig minuten na de eerste phishingmail al inloggen op de werkelijke werkomgeving van het slachtoffer. Dit laat zien hoe snel en effectief dergelijke aanvallen zijn.
Alles bij de bron; Dutch-IT-Channel
Nokia stelt dat er geen bewijs is dat aanvallers kritieke data van het bedrijf hebben gestolen. Wel erkent het bedrijf dat een externe partij waarmee het samenwerkt is getroffen door een securityincident.
Cybercriminelen claimde onlangs te hebben ingebroken bij een niet nader genoemde vendor via een niet goed beveiligde SonarQube-server. Hier zouden de aanvallers data van diverse bedrijven hebben gestolen, waaronder ook Nokia. Nokia startte hierop een onderzoek naar het datalek, waarvan het nu zijn eerste bevindingen deelt. Het stelt daarbij dat er geen aanwijzigingen zijn dat systemen van Nokia zelf zijn getroffen of data van het bedrijf is gestolen.
Alles bij de bron; Dutch-IT-Channel