WakeUp Wednesday Archief 2021

Er is weer nieuws over de Log4j kwetsbaarheid, opnieuw is er een nieuwe patch uitgebracht. Zie onze liveblog voor de laatste informatie. Meteen op de hoogte zijn van kritieke kwetsbaarheden? Schrijf hier in voor de Tesorion Technical Update.

De meeste ransomware aanvallen hebben primair financieel gewin als doel, maar helaas brengen deze aanvallen vaak ook nevenschade met zich mee. Een goed voorbeeld hiervan zijn aanvallen gericht op de zorgsector. Het Ponemon-instituut in de VS heeft onderzoek gedaan naar de effecten van ransomware aanvallen en kwam tot de conclusie dat ze vaak ook (kritieke) ziekenhuisapparatuur verstoren. Deze verstoringen leiden volgens het onderzoek bijvoorbeeld tot langer ziekenhuisverblijf, meer complicaties, vertraagde onderzoeken en een verhoogd sterftecijfer. Het is voor ziekenhuizen en andere zorginstellingen daarom belangrijker dan ooit om hun cybersecurity op orde te hebben. Lees hier meer over wat Tesorion hierin voor uw organisatie kan betekenen of neem contact op met onze experts.

Waar we vorige week al schreven over het misbruiken van de pandemie in phishing mails zien we nu een variant hierop voorbijkomen. Cybercriminelen sturen mails waarin wordt aangegeven dat de ontvanger in contact is geweest met een collega die positief testte op de omikron variant of dat de werknemer ontslagen is. Door middel van een bijgevoegd bestand met ‘meer informatie’ wordt er geprobeerd het systeem met malware te infecteren. Door het openen van dit Excel-bestand en het inschakelen van macro’s wordt de Dridex-malware geïnstalleerd, een vorm van malware dat bankgegevens steelt. Wees alert op phishing mails en open geen documenten of links bij twijfel. Vergroot herkenning en weerbaarheid bij phishing door de Tesorion Herken Phishing-Poster met handige tips aan te vragen.

De feestdagen zijn voor cybercriminelen een feestmaal. Door een lagere bezetting van medewerkers is alertheid op cyberaanvallen toch vaak minder hoog. Nu de kerstdagen achter ons liggen lijkt het dat we die goed zijn doorgekomen. Enkele bedrijven, zoals de Kamer van Koophandel, besloten diensten offline te zetten tijdens de feestdagen om cybercriminelen alle kans te ontnemen tijdens deze dagen gebruik te maken van met name de Log4j kwetsbaarheid. Ook met Oud en Nieuw in zicht zullen er meer werknemers vrij of minder actief zijn en blijft het belangrijk alert te zijn. Cybercriminelen zien daarin hun kans om aan te vallen. Zorg dat een lagere bezetting geen valkuil wordt.

De afgelopen week werd iedereen bezig gehouden door de Apache Log4j kwetsbaarheid. Nog steeds vraagt dit onze aandacht. Inmiddels is bekend dat de beruchte ransomwaregroep Conti gebruik maakt van deze kwetsbaarheid. Hierbij wordt gebruik gemaakt van een lek in VMware vCenter Server. De kwetsbaarheid is bekend als CVE-2021-44228 met een CVSS-score van 10 en dus kritiek. Conti is niet de enige die hier gebruik van maakt. Ook TellYouThePass, een ransomwaregroep die de afgelopen tijd minder actief was, maakt nu gebruik van deze kwetsbaarheid. Daarnaast zien we een nieuwe groep, Khonsari, Windows servers aanvallen door gebruik te maken van CVE-2021-44228. Het lijkt erop dat deze groep alleen uit is op het vernietigen van data, niet op financiële middelen. Weer andere aanvallers gebruiken de Log4j kwetsbaarheid om Windows en Linux systemen te infecteren. Hiervoor maken ze gebruik van onder andere Dridex malware en Metasploit om mogelijk andere kwetsbaarheden te misbruiken. Kortom, er wordt volop gebruik gemaakt van de Log4j kwetsbaarheid. Het is nog altijd ontzettend belangrijk om alert te blijven. Volg daarom de technische update van Tesorion om op te hoogte te blijven.

Microsoft heeft deze week gebruikers gewaarschuwd om patches uit te voeren. Updates zijn uitgebracht om CVE-2021-42287 en CVE-2021-42278 aan te pakken. Via deze kwetsbaarheden kunnen kwaadwillende actoren gemakkelijk rechten krijgen als domain admin met als gevolg dat een aanvaller vrijwel onbeperkte toegang krijgt tot het netwerk. Installeer zo snel mogelijk de updates.

Phishing; we kunnen er niet meer om heen. Op dit moment wordt er door criminelen misbruik gemaakt van de pandemie in phishing  mails. Ze doen zich voor als Pfizer Nederland. Deze mails zijn gericht op het loskrijgen van informatie, zoals bijvoorbeeld bankgegevens, of het krijgen van medisch apparatuur dat niet betaald wordt. Ontvang de Tesorion Herken Phishing-Poster met handige tips om phishing te herkennen.

Met de feestdagen in zicht is het verstandig om extra waakzaam te zijn. Cybercriminelen zien hun kans schoon nu er vaak gewerkt wordt met een minimale bezetting.

De afgelopen week zijn er verschillende kritieke kwetsbaarheden gepubliceerd, onder andere rondom VMware vCenter, SonicWall en Apache Log4j. Met name deze laatste heeft enorme impact (CVSS-score van 10) en wordt momenteel ook actief ingezet. Informatie over kritieke kwetsbaarheden wordt door Tesorion ook gedeeld via e-mail. Inschrijven daarvoor kan via: http://www.tesorion.nl/en/posts/tesorion-technical-update/

Verder heeft Fortiguard Security Advisory artikelen gepubliceerd over 40 kwetsbaarheden verdeed over 10 producten. Een van deze kwetsbaarheden staat bekend als CVE-2021-26109 en wordt beschouwd als kritiek (CVSS-score van 7,7/10). Deze kwetsbaarheid is een integer overflow in de FortiGate FortiOS SSL VPN interface. Dit geeft de aanvaller de mogelijkheid om ongeautoriseerd speciale http-verzoeken te versturen en hiermee code op het systeem uit te voeren.

Over het algemeen geldt: zorg ervoor dat systemen zo snel mogelijk gepatcht worden. Is dat zorg dan voor mitigerende maatregelen. Het is daarbij verstandig om extra waakzaam te zijn tijdens de feestdagen. bij veel organisaties wordt er gewerkt met een minimale bezetting, waardoor cybercriminelen hun kans schoon kunnen zien.

Wereldwijd wordt een toename gesignaleerd van Emotet. De malware werd initieel werd gebruikt voor het buitmaken van bank- en inloggegevens. Momenteel wordt Emotet breed ingezet voor de verspreiding van onder andere spyware en ransomware. Daarnaast wordt een toename gezien in het aantal WordPress-sites dat getroffen is. Met name de verspreiding van Emotet via e-mail zorgt ervoor dat het belangrijk is dat medewerkers zich bewust zijn van hun online gedrag en hun cyberbewustzijn vergroten.

Op 1 december 2021 is een Proof-of-Concept exploit voor VMware vCenter gepubliceerd op GitHub door een gebruiker met de nickname l0ggg. De Proof-of-Concept exploit lijkt gebruik te maken van een unauthenticated arbitrary file read en een SSRF-kwetsbaarheid in VMware vCenter versie 7.0.2.00100 (update 2a). Momenteel is de Proof-of-Concept exploit niet toegeschreven aan een specifieke CVE. Op basis van onze analyse denken we echter dat de exploit mogelijk verband houdt met CVE-2021-21986, zoals beschreven in VMware Advisory VMSA-2021-0010. In onze blog meer info over deze kwetsbaarheid.

Websites met contactformulieren, reactiemogelijkheden en fora zijn momenteel regelmatig slachtoffer van cybercriminelen die via kwaadaardige Excel XLL plug-ins proberen om RedLine malware te activeren. Deze malware richt zich onder andere op het stelen van gebruikersnamen en wachtwoorden, cookies en creditcards die zijn opgeslagen in webbrowsers steelt.

Multifactor-authenticatie is een belangrijk middel om de cyberveiligheid van medewerkers te vergroten. Daarbij is het belangrijk om te kijken naar welke techniek er gebruikt wordt. De voorkeur gaat uit naar multifactor-authenticatie via een app en niet via SMS in verband met het risico op SIM-swapping.

Slimme apparaten zijn gewild om cadeau te geven. Variërend van slimme tv’s, robot stofzuigers en deurbellen, tot allerhande gadgets uit buitenlandse webshops, allemaal met de intentie om het leven leuker en makkelijker te maken. Wees u bewust van welke apparatuur u op uw netwerk aansluit en wat de mogelijke risico’s zijn. Daarbij gaat het niet alleen om bijvoorbeeld data die (onbedoeld) gedeeld wordt, maar ook om de mogelijkheid om via deze slimme apparatuur toegang te krijgen tot het netwerk. De beveiligingsstandaarden en/of -eisen vanuit fabrikanten voor slimme apparaten zijn ten opzichte van traditionele IT-apparatuur gemiddeld gezien nogal laag. Met het vele thuiswerken kan dit ook een mogelijk risico opleveren voor bedrijfsdata. Net als voor overige apparatuur geldt ook voor deze apparaten, installeer updates en pas standaard fabrieksgegevens (zoals user name en password) aan. Zo zorgde een slimme aquariumpomp, aangesloten op het netwerk, bij een Amerikaans hotel voor een serieus datalek.

Recentelijk is er een kritieke kwetsbaarheid (CVE-2021-39238) ontdekt in meer dan 150 modellen HP-printers. Deze kwetsbaarheid stelt cybercriminelen in staat om de apparaten op afstand over te nemen. HP heeft firmware-updates uitgebracht. Het advies is om deze zo snel mogelijk te installeren.

Cybercriminelen spelen in op maatschappelijke problemen en trends. Zo hebben onderzoekers van Threat Fabric ontdekt na analyse. Diverse apps in de Google Play Store, waaronder qr-codelezers en crypto-apps, bleken gebruikers te laten proberen malware te installeren. Na de initiële download wordt aangegeven dat er moet worden geüpdatet. Na installatie wordt vervolgens om aanvullende permissies gevraagd. Deze update is in werkelijkheid een banking trojan die probeert om de gegevens die worden gebruikt bij internetbankieren te achterhalen. Door de update buiten de Play Store om te pushen, wordt van gebruikers gevraagd om installatie van onbekende apps in te schakelen. Wees hierop alert, standaard is deze optie in Android uitgeschakeld. De extra permissies zorgen ervoor dat een cybercriminelen volledige controle over het toestel kunnen krijgen.

Patchen blijft een belangrijk instrument om cybercriminelen buiten de deur te houden. Eerder dit jaar is gewaarschuwd voor de Microsoft Exchange ProxyShell en ProxyLogon kwetsbaarheden. Deze kwetsbaarheden worden nog steeds gebruikt om Exchange-servers te compromitteren. Vervolgens gebruiken aanvallers deze servers om zich te mengen in intern mailverkeer door (gericht) te reageren op bestaande conversaties. Het is voor aanvallers nog altijd een uitdaging om medewerkers in een organisatie te overtuigen om te klikken op een link. Door gebruik te maken van interne mailgesprekken kunnen ze sneller het vertrouwen van hun slachtoffers winnen, en zo hun malware verspreiden. Zorg er daarom voor dat patches op tijd worden uitgevoerd. Mocht dat niet mogelijk zijn, zorg dan voor afdoende maatregelen in de periferie.

Naast de eerder genoemde Exchange-kwetsbaarheden is ook Emotet weer gesignaleerd. De malware gaat gepaard met een toename aan phishing-berichten doordat de nieuwe met Emotet besmette machines e-mails met malafide e-mailbijlagen versturen. Het aantal command&control servers breidt zich momenteel sterk uit.

Sharkbot is een trojan die voor komt op Androidsystemen. Deze trojan heeft het voorzien op financiele gegevens. Het belangrijkste doel van Sharkbot lijkt te zijn om transacties van de besmette systemen te initieren via Automatic Transfer Systemen (ATS). Bij deze transacties wordt multi-factorauthenticatie omzeild. Daarnaast is Sharkbot voorzien van een aantal functies waardoor reguliere berichten die door de bank worden verzonden via SMS worden geblokkeerd, keylogging kan worden ingeschakeld en cybercriminelen de volledige toegang en regie tot een toestel kunnen overnemen. Momenteel lijkt Sharkbot via social engineering en downloads buiten de PlayStore om te worden verspreid.

Cybercriminelen worden steeds inventiever als het gaat om het distribueren van malware. Een van de technieken die Microsoft in toenemende mate zien is het gebruik van HTML-smuggling. Het resultaat van deze aanvalstechniek is dat de malafide executable wordt gebouwd achter de firewall van een organisatie. Daardoor wordt deze niet gedetecteerd door de firewall en blijft de aanvaller langer onopgemerkt.

Een andere aanvalsmethode die momenteel actief uitgenut wordt is het gebruik van malafide advertenties. Deze maken gebruik van twee kwetsbaarheden (CVE-2021-40444 en CVE-2021-26411) waarvoor op 9 maart en 14 september al beveiligingsupdates verschenen. Ongepatchte gebruikers van Internet Explorer lopen het risico met ransomware te worden geïnfecteerd.

Ook wordpress gebruikers kunnen door cybercriminelen op het verkeerde been gezet worden. Bezoekers van deze sites krijgen een bericht te zien dat de site getroffen is door ransomware waardoor deze is versleuteld. In werkelijkheid blijkt er een plugin gebruikt te worden die ervoor zorgt dat deze boodschap wordt getoond. Hoe de aanvallers in staat zijn geweest om deze plugin te installeren is nog niet duidelijk. Het verwijderen van de plugin zorgt ervoor dat het ransomwarebericht niet meer wordt getoond.

Gemiddeld worden er per week ruim 400 bedrijven en organisaties in Nederland slachtoffer van cybercrime. Niet alle organisaties, zoals VDL of Mediamarkt, komen in de media. Toch is het belangrijk om informatie over aanvallen en datalekken te delen. Alleen dan kunnen we van elkaars fouten leren. Op datalekt.nl worden hacks en datalekken grafisch weergegeven.

Een zorgwekkende trend is dat ransomware-aanvallen in agressie en brutaliteit toenemen. Naast het versleutelen van bestanden en het dreigen met het openbaar maken van gegevens die voor de versleuteling zijn buitgemaakt, worden de aangevallen organisaties verder onder druk gezet. Met de toename van triple extortion, bijvoorbeeld in de vorm van Ddos-aanvallen op de reeds door ransomware getroffen organisatie, wordt de eis om betaling verder kracht bij gezet.

Ook supply chain attacks worden op verschillende manieren uitgevoerd. Afgelopen week zijn in twee veelgebruikte open soure repositories data gevonden die het aanvallers mogelijk maken om toegang te krijgen tot systemen.

Voor de vierde keer dit jaar heeft Google beveiligingsupdates uitgerold voor actief aangevallen zerodays in Chrome. De actief aangevallen zerodays staan bekend als CVE-2021-38000 en CVE-2021-38003. Voor beide CVE’s geldt dat de impact als ‘high’ is beoordeeld.

Dankzij het Internet of Things wordt er steeds meer data ontsloten via het internet. Niet alle apparatuur is even goed beveiligd, waardoor deze trend ook een cybersecurityrisico vormt. De Europese commissie heeft recentelijk bepaald dat vanaf 2024 standaard wachtwoorden op Internet of Things apparatuur verboden wordt. Uiteraard neemt dit niet weg dat gebruikers van deze apparatuur nog steeds ook zelf een verantwoording hebben om te zorgen voor een cyberveilige implementatie. Denk daarbij aan regelmatig patchen, segmentatie en wachtwoordgebruik.

Het aantal cyberaanvallen op de tech- en retailsector zijn het afgelopen jaar zeer sterk toegenomen, mede dankzij het aantal online mogelijkheden om medewerkers remote te laten werken. Onderzoek van Zscaler laat zeer sterk stijgende cijfers zien op dit vlak. Met het oog op de feestdagen en de toenemende digitale opties op het gebied van e-commerce en digitale betalingsplatformen is het belangrijk om voorbereid te zijn op cyberaanvallen. Zeker als het aantal transacties sterk toenemend vlak voor de feestdagen terwijl ondersteunende medewerkers vaak hun vrije dagen opnemen.

Ook in de zorgsector zijn feestdagen een geliefd moment voor cybercriminelen. Tijdens het labour day weekend werd bijvoorbeeld het Las Vegas Cancer Center slachtoffer van een ransomware-aanval en bleek data van zo’n 3000 patiënten gecompromitteerd.

Uit onderzoek van HP Wolf Security blijkt dat bijna 90% van de opgespoorde malware bij bedrijven binnenkwam via e-mail. Webdownloads hadden een aandeel van bijna 10%. Daarmee blijft de medewerker een heel belangrijke schakel in de cybersecurityketen. De meest gebruikte termen in de phishing mails waren woorden als bestelling, betaling en offerte, termen die binnen veelvuldig gebruikt worden, aansluiten bij bedrijfsprocessen en niet direct argwaan wekken. Zorgen dat medewerkers phishing mails (leren) herkennen en weten hoe ze met een mogelijke dreiging moeten omgaan is essentieel om een cyberincident te voorkomen, danwel in de kiem te smoren. Zo is het belangrijk dat medewerkers zich realiseren dat een document niet geopend hoeft te worden om een cyberaanval te starten. Een document in het preview venster bekijken kan al voldoende zijn.

Dat het gedrag van een medewerker essentieel is om cyberaanvallen buiten de deur te houden blijkt ook uit onderzoek van TrendMicro. Email en kritieke kwetsbaarheden bleken het eerste halfjaar 2021 de belangrijkste manieren om een ransomware-aanval te starten.

Cybersecurity bewustzijn is ook om een heel andere reden belangrijk. Cybercriminelen starten op het oog legitieme organisaties om software engineers aan te nemen. Deze engineers worden ingezet voor het uitvoeren van penetratietesten. De resultaten van deze testen worden vervolgens, zonder medeweten van de engineer, gebruikt bij het uitvoeren van bijvoorbeeld een ransomware-aanval.

Zorg daarom dat je de basis op orde hebt en weet met wie je zaken doet.

Uit onderzoek van Bitdefender, gebaseerd op een enquête onder meer dan 10.000 internetgebruikers in 11 landen, bleek dat de helft van de respondenten hetzelfde wachtwoord gebruikt voor de online accounts. Met gemiddeld acht online accounts en drie devices per respondent, blijft aandacht voor het vergroten van het cybersecurity bewustzijn onder medewerkers nog steeds essentieel. Zeker indien zakelijk en privégebruik gemengd worden.

Wees je bewust van je gedrag en online activiteit blijft ook essentieel bij het installeren van updates. Niet elke update is even legitiem, zo werd een Amerikaans bedrijf doelwit van een aanval nadat een medewerker een update had geïnstalleerd die malware bevatte. In dit geval ging het om een update van een website die volgens de getoonde pop-up moest worden geïnstalleerd om bepaalde features van de site te kunnen gebruiken. Zorg dat je basismaatregelen hebt getroffen, zoals een goede virus- en malwarescanner.

Recente cijfers tonen aan dat Q2 2021 91,5% van de malware via versleutelde verbindingen is binnengekomen. Een sterke stijging ten opzichte van Q1. Met veel mensen die thuis of hybride werken is sterke endpoint protectie en EDR essentieel om malware buiten de deur te houden.

Dat ransomware een business is waar veel geld in omgaat zal voor veel mensen geen verrassing zijn. Cryptovaluta is daarbij een veel gebruikt middel. Het Amerikaanse ministerie van Financiën heeft een bedrag van 5,2 miljard dollar aan bitcointransacties gelinkt aan mogelijke losgeldbetalingen van ransomwareslachtoffers. Het Financial Crimes Enforcement Network (FinCEN) geeft verder aan dat het aantal verdachte transacties ligt momenteel al 42 procent hoger dan in heel 2020. Indien de huidige trend doorzet dan zal het totaal resultaat in 2021 hoger uitkomen dan de afgelopen tien jaar bij elkaar opgeteld.

Daarnaast is de opmars van ransomware voor veel zorginstellingen in meerdere opzichten een grote zorg. In een situatie waarin er een grote afhankelijkheid is van medische gegevens en apparatuur kan ransomware er mede voor zorgen dat mensen overlijden. Volgens cijfers van Z-CERT zijn er dit jaar fors meer aanvallen geregistreerd. Reden om de actuele gegevens met betrekking tot het aantal aanvallen direct inzichtelijk te maken.

Oktober is cybersecuritymaand. Dat betekent nog meer aandacht voor cybersecuritymaatregelen, gekoppeld met meer beleidsmatige aandacht vanuit de overheid en het vergroten van het bewustzijn van medewerkers. Dat de impact van een cybersecurity-aanval groot kan zijn bleek deze week wel uit de berichtgeving rondom VDL. Ook de uitzending van Zembla, over de kwetsbaarheid van organisaties die deel uit maken van de kritieke sector, geeft aan dat er nog veel werk te verzetten is.

In deze #wakeupwednesday daarom de uitnodiging om deel te nemen aan een van onze virtuele lunch & learns, onze darkweb tour of aan ‘capture the flag’.

Mobiele telefoons zijn niet meer weg te denken uit ons dagelijks bestaan. Het is daarom van groot belang om ook op deze apparaten te updaten zodra er een nieuwe softwareversie wordt vrijgegeven. In oktober zijn er 51 kwetsbaarheden in Android opgelost. De meest gevaarlijke (CVE-2021-0870), maakte het mogelijk voor aanvallers om een toestel op afstand over te nemen.

Wees ook bij het installeren van beveiligingsupdates kritisch op de bron. FluBot-malware lijkt zich bijvoorbeeld in het buitenland te verspreiden via een pagina die lijkt te waarschuwen voor een malware-infectie. FluBot is malware die gegevens van Androidtelefoons steelt om daar vervolgens bankfraude mee te plegen. Om FluBot te verwijderen dient een update geinstalleerd te worden. Deze update doet echter het tegenovergestelde; de malware wordt niet verwijderd, maar juist geïnstalleerd.

Een van de basismaatregelen om het cybercriminelen niet al te eenvoudig te maken is het gebruik van een sterk wachtwoord. Het feit dat de helft van de medewerkers het te veel werk vindt om voor elk account een uniek wachtwoord te gebruiken is daarbij een niet te verwaarlozen risico. Een risico dat verkleind kan worden door het beschikbaar stellen van een wachtwoordmanager.

Tijdens de problemen bij Facebook deze week werd er massaal gebruik gemaakt van alternatieven als Twitter en SMS. Door alle commotie viel de berichtgeving rondom een jarenlang datalek bij de grootste SMS-verwerker ter wereld enigszins in het niet. Indien SMS als extra verificatiemethode wordt gebruikt betekent dit een extra risico. Daarnaast is het opvallend dat de aanvallers al sinds 2016 toegang hadden tot de systemen.

Het patchen van software is een van de manieren om ervoor te zorgen dat uw systemen minder kwetsbaar zijn. Toch is het installeren van updates en patches binnen veel organisaties regelmatig een punt van zorg. Omdat Microsoft de afgelopen periode heeft geconstateerd dat organisaties hun Exchange servers niet, of niet tijdig, patchen, wordt een nieuwe feature uitgerold. Deze feature stelt Microsoft in staat om automatisch noodoplossingen te installeren.

Google heeft een patch uitgebracht voor een actief aangevallen zeroday kwetsbaarheid in Chrome. Het gaat daarbij om CVE-2021-37973, een kwetsbaarheid waarvan de impact als hoog is beoordeeld. Het dringende advies is daarom om zo snel mogelijk te updaten naar Google Chrome 94.0.4606.61.

Er wordt verder gewaarschuwd voor een kritieke kwetsbaarheid in VCenter Server van VMware. Deze kritieke kwetsbaarheid wordt momenteel actief misbruikt, waardoor cybercriminelen systemen op afstand kunnen overnemen. De impact van deze kwetsbaarheid, CVE-2021-22005, is beoordeeld met een 9,8. Bovendien leent deze kwetsbaarheid zich ook voor mogelijke ransomware-aanvallen.

Binnen de ransomware-aanvallen zien we een ontwikkeling van double extortion naar triple extortion. Dat betekent dat data niet alleen gegijzeld wordt en er losgeld gevraagd wordt, maar cybercriminelen ook inzetten op afpersing door te dreigen de gegijzelde data te koop aan te bieden of te publiceren. Triple extortion gaat echter nog verder, in deze gevallen wordt door de cybercriminelen actief contact gezocht met bijvoorbeeld klanten en media om zo het aangevallen bedrijf in diskrediet te brengen. In de meest agressieve vorm worden er zelfs actief aanvallen op de reeds getroffen organisaties uitgevoerd om het herstelproces te saboteren en de druk op te voeren.

Ondanks de toenemende aandacht voor preventieve maatregelen blijven Nederlandse organisaties kwetsbaar voor cybercriminelen. Zo bleek uit onderzoek dat meer dan driekwart van de zorginstellingen risico loopt op e-mailfraude. Er is een toenemende afhankelijkheid van e-mail in digitale processen, denk aan het maken van afspraken of online consulten. Tegelijkertijd is e-mail nog steeds een van de meest gebruikte manieren om toegang te krijgen tot gegevens van medewerkers en de organisatie. Vergroot daarom het cyberbewustzijn van medewerkers, zorg dat systemen goed zijn ingericht en stel tooling beschikbaar zodat medewerkers ook in staat zijn om veilig digitaal te werken.

Ransomware blijft populair bij cybercriminelen, een op de drie financiële instellingen blijkt afgelopen jaar doelwit te zijn geweest van een ransomware-aanval. Dit blijkt uit wereldwijd onderzoek van Sophos. De financiele sector is een van de best voorbereide sectoren, mede door alle wet- en regelgeving waar aan moet worden voldaan. Toch bleek van deze aanvallen ongeveer de helft succesvol. In onze virtual expert lunch geven wij meer inzicht in hoe financiële instellingen kunnen testen of ze bestand zijn tegen geavanceerde cyberaanvallen en de gevolgen.

Onderzoekers werken aan een overzicht van kwetsbaarheden die worden gebruikt voor het initiëren van een ransomware-aanval. Door het toenemend aantal exploits dat wordt gebruikt te combineren met het aantal kwetsbaarheden dat actief wordt uitgebuit is het aantal aanvalsvectoren groot. Het overzicht biedt handvatten om snel en adequaat te kunnen handelen bij een ransomware-aanval. Het is overigens een misverstand dat alleen nieuwe kwetsbaarheden worden misbruikt door cybercriminelen: De Cring-groepering maakt bijvoorbeeld gebruik van de reeds 11 jaar oude ColdFusion-kwetsbaarheid.

Steeds vaker worden computers, maar ook smartphones, misbruikt voor het minen van cryptocurrency. Door de bestaande beveiligingsmechanismen te omzeilen kunnen cybercriminelen deze apparatuur voor hun eigen doeleinden inzetten. Volgens onderzoekers van beveiligingsbedrijf Imperva omvatten nieuwe cryptojacking-technieken meestal malware die legitieme cryptocurrency-miningsoftware installeert op specifieke systemen. Deze legitieme software is meestal aangepast om gegenereerde digitale munten om te leiden naar wallets, digitale portemonnees, die worden beheerd door de criminelen.

Het patchen van systemen is en blijft een belangrijk middel om digitale kwetsbaarheden te minimaliseren. Twee belangrijke patches van de afgelopen dagen zijn die van Microsoft en Apple. Microsoft heeft een patch uitgebracht voor de inmiddels actief aangevallen kwetsbaarheid CVE-2021-40444. Apple heeft deze week een patch uitgebracht waarbij kwetsbaarheden in iOS zijn opgelost. iOS 14.8 biedt onder meer een oplossing voor een kwetsbaarheid die actief werd gebruikt door de Pegasus-spyware, waarmee op afstand toegang kon worden verkregen tot onder andere iPhones, zonder dat de eigenaar op een link hoefde te klikken.

Dit artikel schetst een onthutsend beeld over exploits uit 1999 die nog steeds worden misbruikt. Een kwetsbaarheid die geen grote impact had in 2016, kan in 2021 ineens wel groter risico betekenen. De verhouding tussen het zien van de noodzaak van het patchen versus de daadwerkelijke uitvoering wordt hiermee pijnlijk duidelijk.

Data is voor cybercriminelen waardevol, maar waarom? Veel mensen hebben het idee dat cybercriminelen met hun naam, mailadres en geboortedatum niet zo veel kunnen. In dit artikel wordt uitgelegd hoe cybercriminelen omgaan met persoonlijke gegevens en deze in hun voordeel gebruiken. De waarde van een dataset wordt bepaald op basis van verschillende criteria. Zo blijken creditcardgegevens minder waardevol te worden omdat deze door een extra verificatielaag moeilijker te gebruiken zijn als bijvoorbeeld Paypal-rekeningen.

Nieuwe software releases of belangrijke nieuwsitems zijn voor cybercriminelen een ideaal moment om te gebruiken voor kwaadaardige activiteiten. Momenteel wordt bijvoorbeeld de release van Windows 11 gebruikt voor de verspreiding van malware. In dit geval wordt een attachment mee gestuurd waarbij wordt gesuggereerd dat het document met een nieuwere versie is gemaakt. Daardoor zou het document incompatible zijn met de versie van het slachtoffer, op te lossen door macro’s te enablen en het script te runnen. Op het moment dat je de macro’s ingeschakeld wordt er echter malware geïnstalleerd.

Daarnaast heeft Microsoft een waarschuwing gegeven voor een zeroday in Internet Explorer die momenteel actief aangevallen wordt. Deze kwetsbaarheid (CVE-2021-40444) is aanwezig in alle ondersteunde versies van Windows. Er is nog geen update beschikbaar, geadviseerd wordt om ActiveX-controls uit te schakelen.

Het gros van de smartphone gebruikers krijgt regelmatig SMS-jes met meldingen over bestellingen die afgeleverd worden en waarvan de voortgang via het klikken op een link kan worden gevolgd. Of berichtjes over een gemiste oproep en een achtergelaten voicemailbericht dat via een klik op een link kan worden beluisterd. Er zijn talloze voorbeelden zoals deze, en in bijna alle gevallen is het doel bijvoorbeeld om malware te installeren of inloggegevens te achterhalen. Een andere reden waarom deze activiteiten nog steeds plaatsvinden is om je een duur abonnement te laten afsluiten.

Zorg dat medewerkers zich bewust zijn van hun online activiteiten, of ze nu thuis werken of op kantoor, en help hen om verdachte situaties te herkennen.

Voor een goede cybersecurity is alertheid van medewerkers belangrijk, net als het zicht hebben op je databronnen en systemen. Daarbij gaat het niet alleen om je eigen, live, on-premise systemen maar ook om bijvoorbeeld test-systemen en in gebruik zijnde cloud-oplossingen. Bovendien is het belangrijk om te weten welke functionaliteit er extra wordt geïmplementeerd bij een software-update.

Afgelopen week bleek dat een cybercrimineel zich via de test-omgeving toegang had verschaft tot de productieomgeving van T-Mobile US met onder andere toegang tot klantgegevens van vele tientallen klanten. Persoonlijke gegevens, zoals telefoonnummer, adres- en kentekengegevens zijn buitgemaakt en op fora te koop aangeboden.

In de vorige #WakeUpWednesday hebben we kort melding gemaakt van LockFile ransomware. Bijzonder aan dit ransomware-type is dat dat deze actief probeert ransomware-detectie-tools op basis van statistische content-inspectie te ontwijken.

Microsoft waarschuwt gebruikers van Azure voor een kritieke kwetsbaarheid in haar Azure Cosmos Database, waardoor cybercriminelen zich toegang tot de databases konden verschaffen. De kwetsbaarheid is ontstaan doordat begin dit jaar een specifieke feature standaard voor gebruikers ‘aan’ is gezet, in combinatie met een aantal misconfiguraties. Eerder zorgden features die standaard geactiveerd waren al voor mogelijke kwetsbaarheden bij WhatsApp en Google Groups.

Cybercriminelen worden steeds gehaaider en spelen in op de actualiteit. Wees daarom ook extra alert bij berichten over problemen bij een ‘zoom-meeting’ of een e-mail met een verzoek van bijvoorbeeld een managementteamlid waarbij iets van je gevraagd wordt dat buiten de reguliere kanalen om gaat. Een andere variant die momenteel actief wordt gebruikt is het verzoek van een zogenaamde bankmedewerker om Teamviewer of Anydesk te installeren. Dat zou noodzakelijk zijn ivm een probleem met de bankrekening. In de praktijk wordt via deze sessies de bankrekening geplunderd.

We hebben al eerder updates gedeeld met betrekking tot ProxyShell- en PetitPotam-aanvallen. LockFile-ransomware combineert deze aanvallen, waarbij het opvalt dat er een zeer korte tijd zit, 20 a 30 minuten, tussen de tijd dat de servers worden gecompromitteerd en de ransomware-aanval wordt uitgevoerd.

Het Internet of Things, waarbij alledaagse voorwerpen verbonden zijn met internet en allerhande gegevens kunnen uitwisselen, zorgt in toenemende mate voor gevaren op het gebied van cybersecurity. Een toenemend aantal medische apparaten, zoals pacemakers en insulinepompen, blijken kwetsbaar te zijn voor cyberaanvallen. Naast het feit dat hackers daarmee de gezondheid van patiënten in gevaar kunnen brengen, kunnen ze zich ook verdere toegang tot het netwerk verschaffen. Een ander risico werd deze week door Microsoft ontdekt, het bedrijf waarschuwt voor een IoT-botnet dat routers van onder andere Huawei, Netgear en ZTE probeert te infecteren om zogeheten man-in-the-middle-aanvallen uit te kunnen voeren. Op deze manier kan een aanvaller slachtoffers bijvoorbeeld doorverwijzen naar een malafide bankwebsite in plaats van de legitieme. Daarnaast kunnen geïnfecteerde IoT-devices worden ingezet om mee te doen aan DDoS-aanvallen.

Cybercriminelen gebruiken verschillende manieren om bij een organisatie binnen te komen. Een van de manieren is door een medewerker te betrekken bij hun activiteiten. Nigeriaanse oplichters hebben in dit geval een medewerker benaderd met de vraag of deze toegang had tot de server en bereid was om, voor een percentage van het te betalen losgeld, ransomware op het bedrijfsnetwerk los te laten.

Afgelopen week is het risico van de Windows LSA Spoofing Vulnerability door het Nationaal Cyber Security Centrum (NCSC) opgeschaald naar high/high (kans/schade). Meer over deze kwetsbaarheid in onze blog.

Daarnaast zijn er weer diverse datalekken gemeld, waaronder bij Blue Sky Group (Pensioenbeheerder van onder andere KLM, Philips en SNS Reaal) en Radboudumc. In beide gevallen zijn er gegevens door menselijk handelen onbedoeld bij derden terecht gekomen. In het geval van Blue Sky Group was de bron een phishing mail.

Phishing campagnes worden steeds professioneler. Alertheid van medewerkers en hen helpen het cyberbewustzijn te vergroten is essentieel om mogelijke incidenten te voorkomen. Zo geeft Microsoft aan dat al ruim een jaar een phishingcampagne gaande is via xls.html-bestand (xls wordt daarbij gebruikt als naam voor een html-bestand). In de phishingmail wordt de indruk gewekt dat het om een factuur gaat. De campagne is gericht op het achterhalen van  inloggegevens, die vervolgens bij latere aanvallen kunnen worden gebruikt.

Het aantal ransomware-aanvallen op connected devices (op het netwerk aangesloten, slimme, apparaten) en de daarmee samenhangende toename van de beveiligingsrisico’s van deze apparaten neemt sterk toe, blijkt uit onderzoek. De reden daarvoor is dat deze apparaten vaak niet of nauwelijks te voorzien zijn van security updates. VoIP telefoons, beveiligingscamera’s en badge-readers zijn over het algemeen niet ontwikkeld volgens het ‘security by design’ principe en ondersteunen geen endpoint security agents. Dat betekent dat je als organisatie de cybersecurity voor deze apparaten wellicht anders moet inrichten om je organisatie toch te beveiligen, denk bijvoorbeeld aan netwerksegmentatie.

Ransomware blijft organisaties flink bezig houden. Wij hebben recentelijk een sample van BlackMatter, een nieuwe speler op dit vlak, geanalyseerd. Dit sample steunt de analyse dat BlackMatter een rebrand van DarkSide is. De blog geschreven door Gijs geeft meer gedetailleerde technische achtergrond. Verder is er een playbook gepubliceerd over de werkwijze van Conti, een aantal specifieke zaken staan in deze write-up van collega Niels vermeld.

Mocht je getroffen zijn door Kaseya dan is er goed nieuws: er is een werkende masterkey beschikbaar voor decryptie.

Op het Britse eiland ‘Wight’ starten een aantal scholen het nieuwe schooljaar later nadat ze zijn getroffen door ransomware en niet beschikken over een goed werkende back-up. Zorg dat je als organisatie de basis op orde hebt want succesvolle ransomware-aanvallen hebben grote gevolgen en kunnen voor maatschappelijke ontwrichting zorgen.

Er is een nieuwe kwetsbaarheid gepubliceerd onder de naam ProxyShell. Zie onze blog voor meer informatie.

Naast Ransomware is ook het voorkomen van datalekken voor veel organisaties een voortdurend punt van aandacht. Een datalek kan op diverse manieren ontstaan. Zo is ook het zonder noodzaak inkijken van een medisch dossier technisch gezien een datalek, net als het e-mailen van persoons- of bedrijfsgegevens naar de verkeerde persoon. Het is een misverstand dat datalekken altijd direct worden opgemerkt. De Universiteit van Kentucky, waar een aanvaller zich begin dit jaar toegang had verschaft via een kwetsbaarheid in een van de websites, is hier helaas een voorbeeld van. De aanvaller had de achterliggende database met gegevens van 355.000 leerlingen en docenten buitgemaakt. Dit werd pas opgemerkt toen de Universiteit een jaarlijkse pentest (penetratietest) liet uitvoeren. 

De vele cybersecurity-incidenten rondom Kaseya zijn de afgelopen weken ruimschoots in het nieuws geweest. Naar verluidt heeft Kaseya deze decryptor bemachtigd en wordt er hard gewerkt om slachtoffers te helpen herstellen. In een recent artikel laat Kaseya weten dat ze geen losgeld hebben betaald om de decryptor te bemachtigen.

Microsoft heeft afgelopen week informatie gedeeld over een nieuwe kwetsbaarheid genaamd PetitPotam. Deze kwetsbaarheid heeft betrekking op NTLM onder Windows en zorgt er onder andere voor dat een aanvaller een domain controller over kan nemen. In dit artikel staan mitigerende maatregelen voor domain controllers, dus zorg ervoor dat kwetsbare systemen in je organisatie gecheckt worden.

De afgelopen weken zijn er meerdere datalekken bekend gemaakt, waaronder een datalek bij verschillende huisartsen. De vaccinatiegegevens van zo’n 700 patienten zijn hierbij zonder toestemming gedeeld met het RIVM. Ook de GGD sluit niet uit dat een vergelijkbaar datalek bij hen voorgekomen zou kunnen zijn. Om een dergelijk datalek te voorkomen is het belangrijk om van tevoren altijd een risicoanalyse te maken en ook tijdens gebruik het systeem blijven testen en controleren. Zeker voor systemen die zulke gevoelige informatie verwerken is het verstandig een penetratietest te laten uitvoeren. Daarmee kun je namelijk kwetsbaarheden in de software voor zijn, die anders op een later moment mogelijk voor een datalek kunnen zorgen.

Initial Access Brokers (IAB’s) zijn individuen of groepen die erin zijn geslaagd om stilletjes toegang te krijgen tot een bedrijfsnetwerk of -systeem door middel van bijvoorbeeld gestolen inloggegevens, brute-force-aanvallen of door misbruik te maken van kwetsbaarheden. In dit artikel een aantal trends met betrekking tot de activiteiten van IAB’s op basis van wereldwijde onderzoeksgegevens van het afgelopen jaar.

Afgelopen week lieten we weten dat er patches beschikbaar zijn gekomen voor de on-premise oplossingen van Kaseya en de Windows Print Spooler kwetsbaarheid. Daarnaast heeft Microsoft afgelopen week laten weten dat ze een zero-day kwetsbaarheid hebben gevonden in de SolarWinds Serv-U software. SolarWinds heeft voor deze kwetsbaarheid al een patch beschikbaar. Zorg ervoor dat deze patches worden geïnstalleerd als je de betreffende software gebruikt.

Hackgroepen die met ransomware je bestanden gijzelen gebruiken tegenwoordig ook vaak de zogeheten ‘double-extortion’-strategie. Deze strategie houdt in dat de hackers eerst gevoelige bestanden exfiltreren (stelen) om hun positie in de afpersing sterker te maken. ReversingLabs meldde afgelopen week dat ze malware hebben gevonden die hier specifiek voor ontwikkeld is. In hun blog staan een aantal indicatoren van deze malware. Het herkennen van deze malware zou een early-warning kunnen zijn voor een potentiële ransomware-aanval.

Ransomware-aanvallen komen steeds vaker voor en de impact ervan wordt ook steeds groter. Neem bijvoorbeeld de aanval op Colonial Pipeline in de VS. De Amerikaanse DHS en DOJ hebben daarom afgelopen week een nieuw initiatief gelanceerd genaamd StopRansomware.gov. Het doel van dit initiatief is een collectieve resource van informatie ter beschikking te stellen waarmee organisaties zich beter kunnen wapenen tegen ransomware. Op StopRansomware.gov staat o.a. stapsgewijs beschreven wat je kunt doen ter preventie, detectie en als je eenmaal geïnfecteerd bent.

Afgelopen weekend is er ook weer een datalek gemeld, deze keer bij het ministerie van Justitie en Veiligheid. Een externe medewerker had tegen de regels in gevoelige informatie naar een eigen werkomgeving gekopieerd. Deze informatie is vervolgens ook bij twee andere overheidsomgevingen beland. De persoonsgegevens van zo’n 65000 ambtenaren zijn hierbij gelekt, omdat een medewerker de regels niet heeft gevolgd.

FortiNet heeft een advies uitgebracht met betrekking tot een kritieke kwetsbaarheid (CVE-2021-32589) in de producten FortiManager en FortiAnalyzer. Door het beveiligingslek kan een externe, niet-geverifieerde aanvaller ongeautoriseerde code als root uitvoeren door een specifiek vervaardigd verzoek naar de fgfm-poort van het doelapparaat te sturen. Lees voor meer informatie het FortiNet-advies.

Afgelopen week is er veel aandacht geweest voor de problemen rondom Kaseya en voor de Microsoft printnightmare. De laatste update met betrekking tot Kaseya: er is een patch beschikbaar voor de on-premise oplossingen. Meer info in onze blog.

Voor de problemen rondom Microsoft is er een patch beschikbaar, echter dienen er ook configuratie wijzigingen doorgevoerd te worden om volledig beschermd te zijn. De laatste updates staan hier beschreven.

Daarnaast zijn er afgelopen week weer meerdere datalekken geweest waarbij privégegevens onbedoeld in handen van derden zijn gekomen. Het gaat daarbij om diverse combinaties van voor- en achternaam, emailadres, adresgegevens en bankgegevens. Zorg er daarom voor dat je verschillende wachtwoorden gebruikt voor de verschillende online webshops en applicaties. Maak daarnaast indien mogelijk gebruik van multifactorauthenticatie.

Zorg dat medewerkers alert en cyberbewust zijn. Cybercriminelen worden steeds creatiever en maken ook regelmatig gebruik van de combinatie tussen on- en offline activiteiten. Een van de meest sprekende of overtuigende voorbeelden is wel de combinatie tussen vishing en een fysiek bezoek van een zogenaamde bankmedewerker.

Afgelopen week is er veel te doen geweest rondom de supplychain-attack bij Kaseya. Een van de lessen die hieruit getrokken kan worden is dat cybersecurity niet alleen draait om het voorkomen van incidenten, prevent, maar ook om snelle detectie en het nemen van gepaste actie, response. In onze blog houden we de laatste ontwikkelingen bij over de ransomware-aanval die gaande is via een supply chain attack bij Kaseya.

Naast deze aanval waren er twee Microsoft kwetsbaarheden, eentje in PowerShell 7 en een RCE- kwetsbaarheid in Windows Print Spooler die om updates vroegen. Voor PowerShell 7 geldt dat wordt aangeraden om zo snel mogelijk te updaten naar PowerShell versie 7.0.6 of 7.1.3. Voor de RCE-kwetsbaarheid geldt dat alle ondersteunde Windowsversies kwetsbaar zijn. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk. Er is inmiddels een update voor de print spooler kwetsbaarheid gepusht.

We sluiten deze week af met een nieuw datalek bij Linkedin. Combinaties van wachtwoorden en mailadressen liggen daarbij op straat. Het advies is om je Linkedin wachtwoord te wijzigen en voor alle applicaties en/ of online accounts een uniek wachtwoord te bedenken.

Ransomware is een gevaar voor de nationale veiligheid, zo stelt de Nationaal Coördinator Terrorismebestrijding (NCTV) deze week in het Cybersecuritybeeld Nederland 2021. Een gevaar dat ook wij signaleren. Onze analisten werken daarom dagelijks zeer nauw samen met diverse instanties om de gevolgen van dit gevaar te minimaliseren. Een van de resultaten van die inspanningen is een nieuwe decryptor. Deze decryptor kan in een aantal gevallen helpen om bestanden die zijn versleuteld door Lorenz ransomware te ontsleutelen, zonder betaling van het gevraagde losgeld. De decryptor wordt gratis beschikbaar gesteld via nomoreransom.

Een andere ontwikkeling op het vlak van ransomware is dat ransomware-organisaties websites maken om affiliaties te werven. Zo worden er wervende teksten gebruikt om partners aan te trekken die de Ransomware as a service kunnen gebruiken. Hierdoor kunnen veel meer cybercriminelen (ook zonder specifieke ransomware-kennis), deze vorm van cybercriminaliteit inzetten.

In het verlengde van het eerdergenoemde Cybersecuritybeeld wordt er zowel vanuit de overheid als vanuit de wetenschap een beroep gedaan op organisaties om de kennis op het gebied van cybersecurity en informatiebeveiliging bij medewerkers te vergroten. Een van deze initiatieven is geïnitieerd door ACCSS, met een open brief genaamd: “Open Brief: Overstappen naar de Cloud, bezint eer ge begint”. Weet waar je data is opgeslagen, onder welke voorwaarden en wie er toegang hebben.

Cybersecurity is niet alleen een belangrijk onderwerp tijdens kantooruren. Cybercriminaliteit kan altijd en overal plaatsvinden. Het nemen van basismaatregelen, waaronder het vergroten van het cyberbewustzijn van medewerkers, kan daarbij het risico op een incident reduceren. Ook tijdens de vakantie. Denk bijvoorbeeld aan bewustzijn rondom de risico’s als het gaat om gratis wifi, een eenvoudige eerste stap.

Gegevens opzoeken en e-mailen doen we allang niet meer alleen met de pc, dat kan net zo makkelijk met de mobiele telefoon. Kortom het up-to-date houden van deze apparaten is nu net zo belangrijk als het netwerk. Cybercriminelen kunnen via vooraf geïnstalleerde Samsung Apps gebruikers bespioneren en toegang krijgen tot data. Meerdere kwetsbaarheden zijn in April en mei gepatcht. Weten jouw medewerkers dit ook?

Krijg je te maken met een datalek? Vergeet deze niet te melden bij de Autoriteit Persoonsgegevens. Het niet, of niet op tijd, melden kan resulteren in een boete. Er zijn verschillende manieren waarop een datalek kan ontstaan. Zo is de VPRO getroffen door een datalek na een inbraak op een server bij een leverancier. Potentieel zijn daarmee duizenden abonnees getroffen.

Cybercriminelen maken actief gebruik van een kwetsbaarheid in VMware vCenter-server waarbij een aanvaller een dergelijke server op afstand kan overnemen. Er is sinds 25 mei een patch beschikbaar voor CVE-2021-21985, maar toch zijn er nog veel systemen kwetsbaar. Wij adviseren om systemen, indien mogelijk,  zo snel mogelijk te patchen.

Ook voor Citrix systemen en appliances zijn er twee kritieke kwetsbaarheden die dringend aandacht vragen. Details over deze kwetsbaarheden vind je in de blog die we gisteren hebben gepubliceerd.

Daarnaast heeft Microsoft tijdens haar patchronde updates vrijgegeven voor zes kwetsbaarheden, waarvan er eentje, CVE-2021-33742, als kritiek is bestempeld. Dit is een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Zo snel mogelijk patchen is ook hier het dringende advies.

De afgelopen weken waren de ontwikkelingen rondom de ransomware bij Colonial pipeline veelvuldig in de media. De oorsprong van deze omvangrijke ransomware is een samenloop van diverse aspecten op het gebied van mens, proces en techniek. In dit geval werd hetzelfde wachtwoord door een gebruiker op meerdere plekken gebruikt. Het gelekte vpn-wachtwoord hoorde bovendien bij een account dat niet meer in gebruik was, maar dat nog wel werkte. Doordat er geen gebruik werd gemaakt van multifactorauthenticatie was het voor cybercriminelen relatief eenvoudig om binnen te komen. Inmiddels zijn de bitcoins waarin het losgeld werd betaald getraceerd en terug gehaald door een van de accounts die door de cybercriminelen werd gebruikt te hacken.

Doordat cybercriminelen inhaken op dit soort nieuwsberichten zijn er inmiddels ook de eerste phishing-aanvallen ontdekt waarbij deze ransomware-aanval als aanleiding wordt gebruikt. Medewerkers worden daarbij gevraagd om ransomware-systeemupdates te installeren. Deze updates beschermen je echter niet tegen ransomware, maar faciliteren dit soort aanvallen.

Afgelopen week werd bekend gemaakt dat cybercriminelen een advertentiecampagne op Google waren gestart om geïnteresseerden in AnyDesk (een oplossing voor remote desktop toegang) te misleiden. Deze personen werden op ingenieuze wijze verleid, waarbij een kloon van de originele website werd gebruikt om vervolgens malware te kunnen installeren.

Een andere slimme manier die afgelopen dagen de publiciteit haalde is de oplichting en/of afpersing van tankstationhouders. Nadat er in april al sprake was van een vorm van Whatsapp-fraude, wordt er nu contact opgenomen waarbij wordt aangegeven dat er is doorgereden zonder te betalen en dat men alsnog de benzine wil betalen. Daarop wordt gevraagd om de naam en het rekeningnummer door te geven, of om een betaalverzoek te doen. Wat volgt is geen betaling, maar gijzelsoftware of een virus.

Het is goed om je te realiseren dat cybercriminelen niet alleen gebruik maken van online middelen. Wat te denken van de variant waarbij je een mail krijgt met een afgesloten abonnement voor een online streaming dienst. Deze heb je niet zelf afgesloten, dus bel je het nummer dat in de mail vermeld staat om je beklag te doen. Een medewerker uit het callcenter helpt je vervolgens om het (niet bestaande) abonnement te annuleren en tegelijkertijd malware op je PC te installeren.

Niet alleen aan de gebruikerskant, ook aan de technische kant zijn er de nodige ontwikkelingen. De CISA (Cybersecurity & Infrastructure Security Agency), heeft vorige week een update gegeven voor de kwetsbaarheden in Pulse Connect Secure. Het advies is om, mochten de patches voor deze kwetsbaarheden nog niet geïnstalleerd zijn, deze zo snel mogelijk te installeren.

Afgelopen week is er veel aandacht besteed aan de standaardinstellingen van Whatsapp. Dat iedereen willekeurige mensen (mensen die niet in je contactenlijst staan) kan toevoegen aan een Whatsappgroep kan makkelijk zijn. Toch is het goed om even stil te staan bij het feit dat deze functionaliteit naast gebruikersgemak ook een negatieve ervaring kan opleveren. Het levert namelijk ook een groot risico op voor bijvoorbeeld phishing of afpersing. Zorg er daarom voor dat je weet welke applicaties je geïnstalleerd hebt, welke functionaliteit deze bieden en waar ze toegang tot hebben.

Voorbeelden uit Amerika laten zien dat cybercriminelen daar regelmatig de gegevens van vermiste mensen misbruiken voor hun campagnes. Gegevens van gezinsleden die hun dierbaren zoeken, worden via verschillende online kanalen achterhaald, waarna deze mensen benaderd worden met onder andere losgeldclaims.

Ook QR-codes worden misbruikt om mensen naar malafide sites te sturen. Op die site wordt vervolgens gevraagd om persoonsgegevens in te vullen die kunnen worden misbruikt. Een andere mogelijkheid is dat vanaf de malafide site kwaadaardige software wordt geïnstalleerd.

Tot slot heeft VMWare een update vrijgegeven voor kritieke kwetsbaarheden CVE-2021-21985 en CVE-2021-21986. Deze zijn van invloed op VMware vCenter Server (vCenter Server) en VMware Cloud Foundation (Cloud Foundation) en kunnen gebruikt worden voor remote code execution. Het advies is om deze zo snel mogelijk te patchen.

Recent heeft Microsoft een patch vrijgegeven voor twee kritieke kwetstbaarheden,  CVS-2021-31166 en CVE-2021-28476, deze zijn door Microsoft ingeschaald als “Critical”.  Meer informatie over deze kwetsbaarheden in onze blog. Wij adviseren uiteraard om de uitgebrachte patches zo snel mogelijk te installeren!

Naast bovenstaande kwetsbaarheden in Windows, zijn er ook signalen dat cybercriminelen de Microsoft Build Engine gebruiken om malware te verspreiden. De aanvallers verspreiden input-bestanden voor de build-tool MSBuild. In deze input-bestanden worden malafide uitvoerbare bestanden gestopt die vervolgens op het moment van compileren en deployen achterdeurtjes openen op het systeem in kwestie.  Deze maken het vervolgens mogelijk dat cybercriminelen de controle over de machines van de slachtoffers kunnen krijgen en gevoelige informatie kunnen stelen.

Vorige week gaven we in onze wakeupwednesday aan dat de Franse tak van verzekeraar AXA losgeld dat in ransomwarecases betaald dient te worden, niet meer vergoed. Deze week werd bekend dat een Aziatische divisie van het bedrijf recentelijk is getroffen door ransomware. De aanval is opgeëist door de groep achter de Avaddon-ransomware. De groep heeft inmiddels een deel van de buitgemaakte data, waaronder screenshots van id-kaarten en paspoorten, openbaar gemaakt.

Ook de FBI en het Australische Cyber Security Centre (ACSC) waarschuwden al voor de Avaddon-ransomware. Daarbij werd ook het dringende advies gegeven om meer aandacht te besteden aan de beveiliging van thuiswerkoplossingen. Deze worden veel gebruikt door aanvallers om toegang tot bedrijfsnetwerken te krijgen.

Het afgelopen jaar is het online shoppen enorm toegenomen, met als gevolg ook een sterke groei in het aantal pakketjes. Cybercriminelen spelen op verschillende manieren in op deze ontwikkeling. Onlangs raakten meer dan 10.000 Androidtelefoons in Belgie besmet met FluBot-malware, een banking trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Deze malware maakt gebruik van een sms-bericht waarin wordt aangegeven dat de bezorger met je pakket onderweg is met een track and trace link die verwijst naar een malafide app die malware bevat. De malware verstuurt vervolgens een sms naar willekeurige mensen. Ook KPN waarschuwt inmiddels voor deze malware en voor mogelijk onverwachte hoge telefoonrekeningen.

Naast het patchen van systemen is en blijft het zeer belangrijk om je medewerkers, ook als ze thuiswerken, bewust te maken van de vele verschillende manieren waarop cybercriminelen toegang proberen te krijgen tot bedrijfsgegevens en -netwerken.

Op 4 en 5 mei zijn er blogs gepubliceerd voor onder andere Dell driver en 21Nails Exim kwetsbaarheden. Voor de details over deze kwetsbaarheden en hoe deze zijn te verhelpen, verwijzen we je graag naar de desbetreffende blogs.

Adobe heeft een patch vrijgegeven voor een kwetsbaarheid (CVE-2021-28550) in haar applicaties voor Windows en MacOS. In totaal blijken 12 Adobe applicaties kwetsbaar. Wij adviseren om deze patch zo snel mogelijk te installeren omdat deze kwetsbaarheid momenteel actief wordt benut.

Daarnaast ziet het CBS een forse stijging van het aantal datalekken bij grote bedrijven. Zo geeft het CBS aan dat in 2019 een kwart van de bedrijven met 250 of meer medewerkers getroffen werd door een datalek ten gevolge van een intern incident. In 2018 lag dat percentage nog op 17%. Relatief gezien kwamen de meeste datalekken voor in de gezondheidszorg. In totaal werden er in 2019 bij de Autoriteit Persoonsgegevens (AP) bijna 30.000 meldingen gedaan.

Bezorgdienst Gorillas heeft recentelijk gegevens van 200.000 klanten en bezorgers gelekt. Bij de klantgegevens zijn onder andere: naam, adresgegevens, creditcardgegevens  en e-mailadres gelekt, in het geval van de bezorgers betrof het naam en telefoonnummer. De data bleek via een API eenvoudig toegankelijk te zijn, eerder werd soortgelijke  kwetsbaarheid misbruikt bij de Duitse bezorgdienst Flink.

Verzekeraar AXA geeft aan dat zij in Frankrijk stopt met het vergoeden van losgeld dat slachtoffers van ransomware dienen te betalen aan criminelen om weer toegang te krijgen tot hun data en systemen. Deze stap wordt door veel partijen nauwlettend gevolgd.

Om ransomware een halt toe te roepen hebben 60 vertegenwoordigers van de securitysector en Amerikaanse overheden een taskforce opgericht om ransomware te bestrijden. Ze worden daarbij onder andere gesteund door Europol. Ook naar de verantwoordelijkheid van de ISP wordt gekeken, alsmede naar het betaaltraject. Omdat cryptovaluta een belangrijke rol speelt bij de betaling in ransomwarecases, zal ook op dit vlak worden gekeken naar mogelijke maatregelen.

Er zijn meerdere kwetsbaarheden in Exim mailserver ontdekt. Deze kwetsbaarheden samen hebben de naam 21Nails gekregen omdat het gaat om 11 lokaal uit te buiten en en 10 remote uit te buiten kwetsbaarheden. Direct patchen wordt dringend aangeraden. Meer informatie is te vinden in onze blog.

Er is een patch beschikbaar voor de recent bekend geworden kwetsbaarheid in Pulse Connect Secure. Het advies is om deze zo snel mogelijk te installeren.

Ondanks alle waarschuwingen om alert te zijn op email met onverwachte verzoeken zoals het wijzigen van een bankrekeningnummer, is een fout zo gemaakt. Afgelopen week werd bekend dat webwinkel Bol.com 750.000 euro heeft overgemaakt naar het rekeningnummer van oplichters in plaats van naar dat van Brabantia. Blijf alert op wijzigingsverzoeken en zorg voor een procedure waarbij verzoeken tot bijvoorbeeld het wijzigen van een rekeningnummer altijd op een tweede manier, zoals telefonisch contact met de desbetreffende partij, worden getoetst.

De Zwitserse cloud provider Swiss Cloud is getroffen door ransomware, waardoor duizenden klanten geen toegang hebben tot hun applicaties en data. Wees je bewust dat criminelen, als ze toegang hebben tot de systemen van je cloud provider, ze wellicht ook toegang kunnen krijgen tot jouw systemen. Toets als organisatie daarom regelmatig je eigen cybersecuritymaatregelen en zorg dat er ook offline backups beschikbaar zijn van je systemen en data.

In zeer veel organisaties wordt er steeds meer apparatuur gekoppeld en data ontsloten via het Internet. Zowel voor IT als OT (operationele technologie) heeft het Internet of Things (IoT) een enorm potentieel. Tegelijkertijd is het noodzakelijk om je ook bewust te zijn van de risico’s die je met IoT loop. Microsoft heeft recentelijk veel (meer dan 25) kwetsbaarheden gevonden in IoT en OT apparaten.

Ondanks dat het patchen van de software voor deze apparaten vaak erg lastig is, is dit wel noodzakelijk. Mocht het niet noodzakelijk zijn dat deze apparaten een connectie met het internet hebben, dan is het offline halen van deze apparaten uiteraard de meest eenvoudige oplossing. Daarnaast is het segmenteren van het netwerk, waarbij deze apparaten in een eigen segment worden geplaatst, een stap die bijdraagt aan het vergroten van de cybersecurity binnen de organisatie.

Last but not least: Gebruik je een iPhone dan is het advies om de nieuwste iOS-update zo snel mogelijk te installeren (mocht je dat nog niet gedaan hebben). Naast de nieuwe privacypolicies die zijn geïmplementeerd zijn er ook maar liefst 50 kwetsbaarheden gepatcht.

De afgelopen week zijn er door diverse organisaties waarschuwingen gegeven voor kwetsbaarheden in hun software. Patchen is essentieel, daar waar nog geen patch beschikbaar is (Pulse Secure), is een workaround beschreven.

Daarnaast kwam Apple in de media als slachtoffer van het hackerscollectief REvil. Er is 50 miljoen dollar aan losgeld geëist voor blauwdrukken en andere vertrouwelijke data. De hackers kwamen in het bezit van deze informatie via een supplychain attack.

Een andere ransomware aanval werd door cybercriminelen uitgevoerd op ICT-leverancier Managed IT. Deze aanval had ook kunnen worden uitgevoerd als suppychain attack, maar gelukkig werden de systemen en data van de aangesloten notariskantoren niet geraakt.

De afgelopen dagen zijn er weer meerdere kwetsbaarheden bekendgemaakt.

Pulse Secure waarschuwt voor een lek in Pulse Connect Secure, een oplossing die wordt gebruikt voor VPN-verbindingen. Deze kwetsbaarheid (CVE-2021-22893) wordt als zeer kritiek beschouwd en momenteel ook actief aangevallen. Cybercriminelen kunnen op afstand kwetsbare vpn-servers overnemen, de blog van FireEye beschrijft een aantal scenario’s. Momenteel is er nog geen patch beschikbaar voor deze kwetsbaarheid, de beveiligingsupdate wordt in mei verwacht. Wel zijn er mitigerende maatregelen die kunnen worden genomen. Lees voor de laatste info ook onze liveblog

Daarnaast zijn er ook drie kwetsbaarheden gepubliceerd die betrekking hebben op SonicWall Email Security. Met name CVE-2021-20022 is ernstig, deze kan er voor zorgen dat een aanvaller met een http-pakket aan administratoraccount kan aanmaken. Ook deze kwetsbaarheden worden momenteel actief gebruikt. Voor deze kwetsbaarheden is 19 april een patch uitgebracht.

We kunnen het niet vaak genoeg zeggen: installeer updates en security patches. Niet alleen voor je operating systeem, of bedrijfssoftware maar ook voor bijvoorbeeld je browser. Zowel voor Microsoft Exchange als voor Google zijn er afgelopen week ook weer belangrijke patches vrijgeven!

Microsoft Exchange: Zoals afgelopen week al aangegeven zijn er twee nieuwe zeer ernstige lekken bekendgemaakt waar patches voor beschikbaar zijn.
Google: Er zijn een aantal kwetsbaarheden heeft verholpen in de Chrome-browser. Een ongeauthenticeerde kwaadwillende kan op afstand de kwetsbaarheden mogelijk misbruiken om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens in de context van de applicatie. Hiertoe dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide webpagina te bezoeken. Google heeft aangegeven dat voor de verholpen kwetsbaarheden exploit-code in omloop is.

Ook afgelopen week waren er weer meerdere datalekken. Misschien wel het grootste lek sinds tijden werd geconstateerd bij allekabels.nl. Het gaat daarbij om ruim 3,6 miljoen klantgegevens.
Een ander opvallend lek was dat van vastgoedbedrijf Heijmans. Hier werd per ongeluk een mail verstuurd naar belangstellenden voor een woning in een nieuwbouwproject, met bijgevoegd een Excelbestand met daarin de persoonsgegevens van ruim 1100 andere belangstellenden. Het Excelbestand was helaas niet voorzien van bijvoorbeeld een wachtwoord, waardoor de gegevens door iedereen waren in te zien.

Je digitale beveiliging is essentieel. Een belangrijk detail daarbij is om ook je fysieke beveiliging daarbij niet uit het oog te verliezen. Afgelopen week werd bijvoorbeeld een harde schijf gestolen bij het belastingpand Amsterdam met data van 30.000 personen. De schijf bevat scans van documenten die in de periode juli 2020 tot en met maart 2021 per post zijn verstuurd door circa 30.000 belastingplichtigen. Wees alert op welke data er op externe datadragers staat en waar je deze opbergt!

Het maken van backups is erg belangrijk en zeker als het je meest bedrijfskritische data betreft kan het essentieel zijn voor het voortbestaan van je organisatie. Zorg er daarbij voor dat je van deze data ook een offline backup maakt! Wij zien regelmatig dat deze backups online gemaakt worden en in het geval van ransomware samen met de originele data wordt meegenomen in de encryptie!

In navolging van de kritieke kwetsbaarheden afgelopen maand in Microsoft Exchange (Hafnium), zijn via Patch Tuesday van Microsoft security patches uitgegeven voor nieuw gevonden kritieke kwetsbaarheden. Deze kwetsbaarheden zijn aangetroffen in Microsoft Exchange Server 2013, 2016 en 2019. Klanten van Exchange online zijn reeds beschermd. Via Remote Code Execution kan een kwaadwillende willekeurige code uitvoeren op het systeem. Op dit moment zijn er nog geen directe aanwijzingen dat er exploits beschikbaar zijn. Vanuit Tesorion adviseren wij om zo spoedig mogelijk te patchen.

Doordat een logistiek dienstverlener getroffen is door een aanval met gijzelsoftware zijn er problemen ontstaan met het bevoorraden van Albert Heijn. Hierdoor waren er lege schappen op de kaasafdeling. Zelfs indien een deel van de organisatie getroffen is, blijkt de schade in de rest van de keten aanzienlijk.

Nadat er al eerder wat problemen waren met Zoom, blijken ethical hackers afgelopen week een nieuwe kwetsbaarheid te hebben ontdekt. Deze kwetsbaarheid stelt kwaadwillenden in staat om de besturing over te nemen, ook als Zoom op dat moment niet in gebruik is.

Werd vorige week bekend dat er data van Facebookgebruikers te koop worden aangeboden, deze week blijkt er data van gebruikers van Clubhouse openbaar is gemaakt. De dataset is via scraping tot stand gekomen. Volgens Cybernews zijn de gegevens van 1,3 miljoen gebruikers gecombineerd. Clubhouse is een relatief nieuwe social media app om met verschillende mensen gesprekken te voeren (en te luisteren). Live gesprekken zonder beeld en chatfunctionaliteit. Clubhouse lag overigens al eerder onder vuur, mede vanwege het feit dat je je adresboek moet delen om anderen uit te kunnen nodigen.

Privacy is een groot goed dat tegenwoordig al lang niet meer alleen over compliance gaat. Het is een fundamenteel mensenrecht waar je als organisatie mee wordt geconfronteerd. Mede door de invoering van de AVG betekent dit dat je als organisatie ook de plicht hebt om snel en zorgvuldig te handelen als je slachtoffer wordt van een datalek. Te laat melden kan aanzienlijke kosten met zich meebrengen, zo ondervond Booking.com. De boete bedroeg in dit geval 475.000 Euro.

Ook het aantal datalekmeldingen dat de overheid afgelopen jaar meldde bij de Autoriteit Persoonsgegevens nam met 13 procent toe ten opzichte van het jaar daarvoor. De toename kan echter door de minister nog niet verklaard worden.

Ook Facebook kwam afgelopen week in de media met de mededeling dat gegevens van 533 miljoen gebruikers zijn gelekt, waarvan 5,4 miljoen Nederlanders. De gegevens stammen uit 2019 en konden worden gestolen via een lek dat inmiddels is gedicht. De informatie, waaronder volledige naam, telefoonnummer en geboortedatum wordt momenteel gratis aangeboden.

In het algemeen is het credo: Wees je bewust van je onlineactiviteiten en welke informatie je deelt met derden (ook op social media). Nog steeds werken veel mensen vanuit huis. Het is daarbij belangrijk om je bewust te zijn van het feit dat spam nog steeds een van de meest gebruikte manieren is door cybercriminelen om malware te verspreiden. Daarbij komen er ook nog steeds nieuwe malware varianten op de markt.

De volgende punten zijn daarom nog steeds belangrijk om je te realiseren:

• Installeer je security updates zodra die binnenkomen;
• Update je virusscanner en spamfilter;
• Krijg je mail in je inbox van een onbekende afzender, open deze dan niet;
• Zorg dat je weet hoe je malafide e-mails kan herkennen;
• Klik niet op linkjes en laat geen persoonlijke gegevens achter;
• Zorg dat je weet wat je moet doen, mocht je wel getroffen worden door malware.

De FBI heeft deze week gewaarschuwd voor het gebruik van FortiOS kwetsbaarheden. Geavanceerde aanvallers zijn gedetecteerd, die gebruik maken van de CVE’s CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591. Er wordt door deze groepen op poorten 4443, 8443, en 10443 gescand. Voor meer informatie, zie het bericht van de FBI.

Op 31 maart was het World Backup Day. Een dag om mensen aan het belang van het maken van backups te herinneren. Backups zijn een essentieel onderdeel van een goed cybersecuritybeleid. In het geval van ransomware kan het soms zelfs de enige optie zijn om op terug te vallen.

Ondanks alle aandacht die er is geweest voor het patchen van Microsoft Exchange zijn er nog steeds organisaties die dit hebben nagelaten. Zoals we op 12 maart al aangaven zijn er cybercriminelen die deze kwetsbaarheid hebben benut voor het plaatsen van ransomware. Deze ransomware wordt momenteel actief ingezet.

Wat veel organisaties over het hoofd lijken te zien is dat patchen wel de kwetsbaarheid verhelpt, maar geen oplossing biedt als cybercriminelen al binnen zijn! Momenteel wordt er via backdoors ransomware geplaatst op servers die inmiddels gepatcht zijn, maar die EERDER wel kwetsbaar waren. Daarnaast is ook een toename te zien van het aantal hacks op webshells. Het is daarom belangrijk om niet alleen te patchen, maar ook je systemen te scannen!

Andere kwetsbaarheden die momenteel actief gebruikt worden door cybercriminelen zijn kwetsbaarheden in het BIG-IP platform van F5. Dit platform wordt veel gebruikt voor onder andere load balancing van (web)servers en (web) application delivery systemen. De kwetsbaarheden zijn twee weken geleden gemeld, een patch is beschikbaar.

Dat data grof geld waard is voor cybercriminelen blijk ook wel uit het recente datalek bij RDC

De privégegevens van mogelijk miljoenen Nederlandse autobezitters zijn gestolen en worden te koop aangeboden op internet. Volgens de NOS gaat het om informatie zoals naam, adresgegevens, e-mailadressen en geboortedata. De gegevens zijn buitgemaakt bij RDC, een ict-dienstverlener voor autobedrijven.

De afgelopen week is er opnieuw veel aandacht besteed aan de Exchange kwetsbaarheden. Toch is dat niet het enige cybersecuritynieuws van de afgelopen week. Wat gebeurde er nog meer:

Het onderzoeksrapport rondom de hack bij Hof van Twente is gepubliceerd met als belangrijke leermomenten onder andere de kwetsbaarheid door zwakke wachtwoorden. Zorg dus voor definities rondom wachtwoordinstellingen die verder gaan dan 8 karakters, een hoofdletter en afwisseling tussen numeriek en alfanumeriek. Daarnaast waren ook fouten in de netwerkconfiguratie en te veel aannames debet aan deze hack.

Ander opvallend nieuws: Gevangenis moet 600 sloten veranderen door één WhatsApp-foto van stagiair. Gedrag en bewustzijn speelt een belangrijke rol, zowel offline als online. De stagiair uit dit artikel was zich niet bewust dat het delen van een afbeelding van een loper-sleutel voldoende is om het profiel te dupliceren. Maak medewerkers daarom bewust van de mogelijkheden die er ontstaan als er werk gerelateerde afbeeldingen op social media worden gedeeld. Aan het begin van de coronacrisis deelden we bijvoorbeeld massaal afbeeldingen van  online meetingen. In een aantal gevallen met de toegangscode voor de meeting in beeld.

Was verreweg de grootste hack in het nieuws van afgelopen week. Vier kwetsbaarheden in on-premise Exchange (OWA) servers 2013, 2016 en 2019, niet in O365. Daders zijn (Chinese) state sponsored hackers Hafnium, misbruik door meer dan 10 APT partijen. Er zijn patches die goed moeten worden uitgevoerd, anders werken ze niet. Er wordt niet genoeg gepatched, veel systemen staan nog open. De Zero Day kwetsbaarheid wordt al maanden op grote schaal misbruikt (100.000+ wereldwijd). Met tooling kan je achterhalen of je Exchange is misbruikt, niet wat ze hebben gedaan.

Impact is enorm en het kan nog jaren duren voordat we de impact duidelijk is. Wel is duidelijk dat nu ransomware wordt uitgerold bij organisaties. Bedrijven, universiteiten, banken, overheden alles en iedereen is geraakt.

Belangrijkste voor organisaties is nu om hun omgeving te patchen en te scannen. Tesorion kan je helpen.