Skip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

WakeUp Wednesday

Door 21 september 2022 Kwetsbaarheid

Welkom bij #WakeUpWednesday. We willen zoveel mogelijk mensen wakker schudden en bewust maken van eventuele risico’s op het gebied van cybersecurity. Ons doel is om Nederland digitaal veilig en weerbaar maken. Daarom geeft Tesorion je vanaf nu elke woensdag in een post een kort overzicht over kwetsbaarheden of hacks die nationale of internationale aandacht hebben gekregen.

Natuurlijk berichten we direct over belangrijke kwetsbaarheden en mogelijkheden om deze te mitigeren. Onze #WakeUpWednesday is een soort terugblik.

Abonneer u op de WakeUp Wednesday

#WakeUpWednesday 21 september 2022

Sinds het begin van deze maand zijn er door een groot aantal leveranciers patches uitgebracht. In de laatste patch Tuesday van Microsoft zijn weer diverse kritieke kwetsbaarheden gedicht. Ook voor bijvoorbeeld Gitlab, Google Chrome, Adobe, Android, Citrix, Dell en Cisco zijn er updates beschikbaar gekomen. Het installeren van updates is een van de essentiële maatregelen om cybercriminelen buiten te houden.

Recent zijn ongeveer 280.000 WordPress sites aangevallen door een zero-day kwetsbaarheid in de WPGateway plugin. Door deze kwetsbaarheid te misbruiken, kunnen cybercriminelen volledige controle over de website krijgen. Er is nog geen update beschikbaar, gebruikers wordt aangeraden om totdat het probleem is opgelost de plugin te deïnstalleren.

Verder een waarschuwing om alert te zijn op aanvallen met ChromeLoader-malware. Deze malware steelt wachtwoorden en persoonlijke informatie en kan ook aanvullende malware installeren, waaronder ransomware. ChromeLoader wordt verspreid via malafide links in reacties op YouTube, Twitter en malafide advertenties.

In de gamer-community is momenteel een trend gaande waarbij via YouTube gamers doelwit zijn van video’s met links waarin cheats en cracks voor een aantal populaire games worden aangeboden. Het downloaden van de rar-bestanden zorgt ervoor dat er malware, RedLine stealer, wordt geïnstalleerd. Daarnaast wordt er toegang verschaft tot het YouTube-account van het slachtoffer, om via dat account de malware verder te verspreiden. Deze trend is niet nieuw, toch is deze manier nog steeds succesvol. Bewust zijn van wat er wordt gedownload en geïnstalleerd is daarom essentieel.

#WakeUpWednesday 14 september 2022

Naast nieuwe ransomware variaties veranderen ransomware organisaties ook de manier van versleutelen. In plaats van een file volledig te versleutelen worden delen versleuteld. Daardoor is de file nog steeds onbruikbaar, maar wordt de tijd die nodig is voor het versleutelen veel korter. De Agenda ransomware biedt verschillende opties in de manier waarop bestanden deels worden versleuteld.

De Lampion malware wordt momenteel verspreid via phishingcampagnes waarbij gebruik gemaakt wordt van WeTransfer. Wees bewust van de afzender van een verzoek en wees alert bij het downloaden van documenten, ook als ze via WeTransfer worden verstuurd.

Operationele technologie wordt steeds vaker doelwit van cybercriminelen. Met het ontsluiten van deze apparatuur via het internet wordt apparatuur ook kwetsbaar. In dat kader zijn er meerdere kwetsbaarheden gevonden in medische apparatuur die gebruikt wordt voor het toedienen van medicatie of voeding aan patiënten. Maatregelen als het afschermen van het netwerk via een firewall, netwerksegmentatie en het op tijd patchen zijn ook voor OT-apparatuur noodzakelijk!

#WakeUpWednesday 7 september 2022

Malware wordt op zeer creatieve manieren verspreid. Zo wordt een foto, die is genomen door de James Webb Telescope, gebruikt als lokmiddel in een op Golang gebaseerde malwarecampagne. Phishing-e-mails met een Microsoft Office-bijlage fungeren als ingang voor de aanvalsketen. Wordt de bijlage geopend, dan haalt deze een verborgen VBA-macro op, die op zijn beurt automatisch wordt uitgevoerd als de ontvanger macro’s inschakelt.

Go lijkt gezien de platformonafhankelijke ondersteuning van de programmeertaal in populariteit te groeien onder cybercriminelen. Hierdoor kunnen cybercriminelen effectief gebruik maken van een gemeenschappelijke codebase om verschillende besturingssystemen aan te vallen. Wees u bewust van de afzender van de mail en de bijlage en wees voorzichtig met het inschakelen van macro’s.

Een andere nieuwe malware die is geschreven in Go is de BianLian-ransomware. Deze ransomware werd midden juli voor het eerst gezien. De cybercriminelen achter deze ransomware claimen dat inmiddels 15 organisaties slachtoffer zijn geworden. BianLian staat overigens los van de banking trojan met dezelfde naam!

Verder is er een nieuwe ransomware-stam geschreven in Golang ontdekt. Deze ransomware, genaamd Agenda, richt zich op gezondheidszorg- en onderwijsinstellingen in Indonesië, Saoedi-Arabië, Zuid-Afrika en Thailand. Kenmerkend voor Agenda is dat deze systemen kan herstarten in de veilige modus en meerdere modi heeft om te draaien.

Tot slot roept QNAP gebruikers van de Photo Station-software op hun NAS-apparaat direct te updaten. Reden daarvoor is dat een kwetsbaarheid in deze software misbruikt wordt door cybercriminelen achter de Deadbolt-ransomware.

Zorg ervoor dat u weet welke systemen en applicaties er binnen uw organisatie worden gebruikt en installeer updates zo snel mogelijk. Zorg er verder voor dat uw medewerkers zich bewust zijn van het belang van updaten. Niet alleen voor hun zakelijke apparatuur, maar met het in elkaar overlopen van zakelijk en privé ook van de privé-omgeving.

#WakeUpWednesday 31 augustus 2022

Kritieke kwetsbaarheden maken het voor cybercriminelen nog steeds mogelijk om toegang te krijgen tot systemen en data. Een andere mogelijkheid is dat deze kwetsbaarheden door cybercriminelen worden uitgebuit om hun privileges binnen uw systemen te vergroten.

De CISA (U.S. Cybersecurity and Infrastructure Security Agency ) heeft afgelopen vrijdag tien nieuwe, actief misbruikte kwetsbaarheden, aan haar overzicht toegevoegd. Deze kwetsbaarheden omvatten onder andere: CVE-2022-26352 – dotCMS Unrestricted Upload of File Vulnerability, CVE-2022-24706 – Apache CouchDB Insecure Default Initialization of Resource Vulnerability, CVE-2022-24112 – Apache APISIX Authentication Bypass Vulnerability en CVE-2022-22963 – VMware Tanzu Spring Cloud Function Remote Code Execution Vulnerability.

Daarnaast is er een kritieke kwetsbaarheid ontdekt in Atlassian Bitbucket Server and Atlassian Data Center. Meer informatie over versies en updates is op de Atlassian Confluence website beschikbaar.

Verder is er een gedetailleerde blog gepubliceerd met betrekking tot twee kwetsbaarheden in WatchGuard Firebox and XTM appliances. Het gaat om CVE-2022-31789 en CVE-2022-31790. Voor beide kwetsbaarheden zijn door Watchguard in juni 2022 software patches gepubliceerd. De kwetsbaarheden en bijbehorende software patches worden nader besproken in de volgende security advisories van de fabrikant:

De blog bevat voldoende details om de software kwetsbaarheden uit te buiten. Het advies is dan ook om de software patches zo snel mogelijk toe te passen.

Tot slot heeft Lockbit, een groepering die zich bezig houdt met ransomware-aanvallen, gewaarschuwd voor het inzetten van triple extortion, een drievoudige afpersingstactiek. Daarmee verhardt de strijd tussen aanvallers en slachtoffers zich. Indien het losgeld voor de gegijzelde data niet wordt betaald, wordt er niet alleen  gedreigd met het publiceren van de data, maar ook met het uitvoeren van een DDoS-aanval op de reeds getroffen organisatie. Zo wordt er nog meer druk uitgeoefend op de slachtoffers om tot betaling over te gaan.

#WakeUpWednesday 24 augustus 2022

Het updaten van systemen en applicaties blijft belangrijk om cybercriminelen buiten de deur te houden. Apple heeft een update uitgebracht om twee actief aangevallen zero-day-lekken te verhelpen die ervoor zorgen dat aanvallers volledige controle over een systeem kunnen krijgen. Indien mogelijk is het advies om zo snel mogelijk de updates te installeren.

Uit onderzoek blijkt dat er nog steeds meer dan 80.000 Hikvision camera’s kwetsbaar zijn. Voor het verhelpen van deze kwetsbaarheid is bijna een jaar geleden een update uitgebracht. Duizenden systemen, in gebruik bij zo’n 2300 organisaties in meer dan 100 landen, blijken nog steeds kwetsbaar.

Wordt uw organisatie getroffen door een ransomware-aanval, dan is de eerste prioriteit om die aanval af te slaan en de schade zo veel mogelijk te beperken. Het is daarbij belangrijk om niet alleen maatregelen te treffen om een nieuwe aanval van buitenaf te voorkomen, maar om ook te onderzoeken of er mogelijk nog sporen van andere aanvallers te vinden zijn. In dit geval is een organisatie door drie verschillende groeperingen geraakt in een tijdsbestek van twee weken.

#WakeUpWednesday 17 augustus 2022

De laatste weken verschijnen er veel berichten rondom ransomware-aanvallen in de media. Artis, woonwinkelketen Casa, tandartsenketen Colosseum Dental Benelux, supermarktketen 7-Eleven en het Britse waterbedrijf South Staffordshire Water: tegenwoordig is elke organisatie die over data beschikt interessant voor cybercriminelen. In het geval van het waterbedrijf claimen de aanvallers vergaande controle over de systemen te hebben waardoor ze de chemische samenstelling van het water kunnen wijzigen.

Ook aan de ontwikkelkant zien we veel activiteit. BlueSky Ransomware is een opkomende familie die verschillende technieken gebruikt om de beveiligingsmaatregelen te omzeilen. BlueSky richt zich op Windows-systemen en gebruikt ‘multithreading’ voor het nog sneller versleutelen van bestanden. Zorg er daarom voor dat u basismaatregelen als netwerksegmentatie, het maken en kunnen terugzetten van backups en het installeren van beschikbare updates op orde hebt.

Daarnaast is er aan de SOVA malware nieuwe functionaliteit toegevoegd om Android toestellen te versleutelen. De SOVA malware richt zich op meer dan 200 apps voor bankieren, het handelen in crypto en digitale portemonnees, waarbij het gebruikersdata en cookies steelt.

Verder heeft Palo Alto een waarschuwing uitgebracht met betrekking tot een kritieke kwetsbaarheid, CVE-2022-0028, in haar PAN-OS die momenteel misbruikt wordt. Het betreft een softwarefout, die een specifieke misconfiguratie toestaat. Een aanvaller kan daardoor de firewall gebruiken om een reflective DOS uit te voeren op een ander doelwit op het internet.

Tot slot heeft VMware een advisory gepubliceerd met betrekking tot een aantal kwetsbaarheden. Door twee van deze kwetsbaarheden te combineren bestaat de kans op een unauthenticated remote code execution. Er zijn patches beschikbaar, het advies is om deze zo snel mogelijk te installeren.

#WakeUpWednesday 20 juli 2022

Alle apparatuur die verbonden is met het internet is kwetsbaar voor een aanval door cybercriminelen. Dat geldt ook voor VoIP-servers en telefoons. Elastix VoIP-telefonieservers en VoIP-telefoons die gebruik maken van Digium-software zijn kwetsbaar voor een campagne die bedoeld is om gegevens te exfiltreren door het downloaden en uitvoeren van scripts of malware waarmee cybercriminelen controle over (delen van) het systeem kunnen krijgen.

Naast servers, mobiele telefoons en PC’s zijn ook PLC’s (Programmable Logic Controllers) en HMI’s (Human Machine Interface) kwetsbaar voor Sality malware. Cybercriminelen zijn erin geslaagd om deze industriële controlesystemen te infecteren. Sality creëert een peer-to-peer botnet voor bijvoorbeeld het kraken van wachtwoorden en cryptocurrency mining.

Verder is er een phishingcampagne-kit actief gericht op PayPal gebruikers die probeert om van gebruikers een grote set aan persoonlijke informatie te stelen. Deze kit wordt gehost via legitieme WordPress websites die zijn gehackt.

Daarnaast is er een grootschalige aanval gaande op WordPress sites met de Kaswara Modern WPBakery Page Builder Add-on. Deze bevat beveiligingslek CVE-2021-24284 waarmee ongeauthenticeerde aanvallers kwaadaardige PHP-bestanden kunnen uploaden om zo controle over de website te krijgen. Omdat er geen beveiligingsupdate beschikbaar is en de uitbreiding inmiddels ook niet meer wordt aangeboden, is het advies om deze plug-in te verwijderen.

In alle gevallen is het belangrijk om zo veel mogelijk gebruik te maken van multifactor-authenticatie en goede netwerksegmentatie.

#WakeUpWednesday 13 juli 2022

Bij de verspreiding van malware wordt vaak gedacht aan methodes als het meesturen van een bijlage in de mail, via updates buiten de officiële stores om of via het inloggen op dubieuze websites. PennyWise is malware die zich voordoet als een Bitcoin mining applicatie die kan worden gedownload via YouTube. Tijdens het kijken van het YouTube-filmpje worden kijkers overgehaald om een beveiligd bestand te downloaden. Dat bestand bevat echter niet de Bitcoin-software maar de PennyWise malware. Wees daarom alert als het gaat om het downloaden en installeren van software en gebruik alleen de reguliere stores.

Updaten van software blijft essentieel. Microsoft heeft afgelopen dinsdag nieuwe patches uitgebracht voor 84 kwetsbaarheden, waaronder voor een kritieke kwetsbaarheid (CVE-2022-2294), die momenteel actief uitgebuit wordt.

Verder is er een nieuwe phishing campagne gesignaleerd die gebruik maakt van de aandacht voor de recent gepubliceerde Follina kwetsbaarheid. Met deze campagne wordt Rozena malware verspreid. Het startpunt voor deze aanvalsketen, die door Fortinet is waargenomen, is een geïnfecteerd Office-document dat bij openen verbinding maakt met een Discord CDN URL om een HTML-bestand (“index.htm”) op te halen. Dit HTML-bestand roept op zijn beurt het diagnostische hulpprogramma aanr met behulp van een PowerShell-commando waarna de volgende stap in de aanvalsketen wordt gezet. Zorg daarom dat uw mensen zich bewust zijn van het soort mails dat ze ontvangen en welke bijlages ze openen.

#WakeUpWednesday 6 juli 2022

Een nieuw type ransomware, genaamd Session Manager, is momenteel actief. Deze malafide session manager is verhuld als een module voor Internet Information Services (IIS) en maakt gebruik van een van de ProxyLogon fouten in Microsoft Exchange servers. Door het gebruik van deze achterdeur en doordat deze ransomware tot nog toe slecht vindbaar is door virusscanners kunnen cybercriminelen ongestoord te werk gaan. Het updaten van systemen en het instellen van multifactorauthenticatie zijn belangrijk om cybercriminelen buiten te houden.

Daarnaast waarschuwt de FBI voor de MedusaLocker-ransomware. Deze ransomware wordt, door cybercriminelen, organisaties binnengebracht via kwetsbare rdp-verbindingen en doordat medewerkers besmette e-mailbijlages openen. Een aantal maatregelen die u nu al kunt nemen om het risico te verminderen: schakel ongebruikte poorten uit, zorg dat systemen zo snel mogelijk worden voorzien van de laatste updates en zorg dat medewerkers alert zijn op phishing-berichten.

Uit de meest recente onderzoeksgegevens van WatchGuard Threat Lab blijkt dat het aantal ransomware-detecties in het eerste kwartaal van 2022 een verdubbeling is van het totale gerapporteerde volume in 2021. Zorg daarom dat uw organisatie de basis cyber hygiëne op orde heeft en is voorbereid op een cyberincident.

Uit het jaarlijkse Cybersecuritybeeld Nederland (CSBN) dat in samenwerking met het Nationaal Cybersecurity Centrum (NCSC) is opgesteld blijkt dat de digitale weerbaarheid van veel organisaties in Nederland nog steeds onvoldoende is. Het maken en testen van back-ups of het invoeren van multifactorauthenticatie zijn basismaatregelen die nog (steeds) niet bij elke organisatie afdoende zijn geïmplementeerd.

#WakeUpWednesday 29 juni 2022

De ontwikkelingen binnen cybersecurity gaan razendsnel. Cybercriminelen verzinnen telkens weer nieuwe manieren om bij organisaties binnen te dringen. Alle apparatuur met een koppeling naar het internet is daarbij kwetsbaar, dus ook camera’s, klimaatbeheersystemen en systemen voor internettelefonie. Recentelijk is een zeroday-kwetsbaarheid in een Mitel VoIP-server gebruikt voor het uitvoeren van een ransomware-aanval. Er is een software-update voor de kwetsbaarheid beschikbaar. Het advies is om deze systemen zo snel mogelijk te updaten.

Een andere ontwikkeling is het gebruik van een malware tool dat het voor cybercriminelen mogelijk maakt om malafide Windows shortcut (.LNK) files te bouwen. Deze tool, Quantum Lnk Builder, maakt het mogelijk om een groot aantal extensies te  spoofen en biedt diverse mogelijkheden voor het infecteren van systemen. Quantum Lnk Builder is vermoedelijk gelieerd aan Lazarus, echter ook Bumblebee en Emotet lijken steeds vaker .LNK-files te gebruiken bij de pogingen om een systeem te infecteren.

Het is belangrijk dat iedereen in de organisatie weet hoe om te gaan met mogelijke phishing-mails. Een nieuwe methode is door organisaties te benaderen met een email waarin wordt gesteld dat de organisatie inbreuk maakt op copyright. In het ene geval wordt er een zip-bestand meegestuurd met daarin ogenschijnlijk een pdf. In praktijk blijkt het bestand echter ransomware te installeren. In het andere geval wordt een link meegestuurd waarbij malware wordt verspreid.

Nu in steeds meer organisaties multifactor-authenticatie (mfa) gemeengoed wordt, is het voor cybercriminelen lastiger om in met gestolen gebruikersgegevens in te loggen. Door misbruik te maken van Webview2-apps en de authenticatie cookies van het beoogde slachtoffer te stelen,  proberen cybercriminelen alsnog mfa te omzeilen. Mfa is een goede manier om een drempel op te werpen en accounts extra te beveiligen, het vraagt echter ook bij gebruikers om aandacht bij het toepassen ervan.

In een aantal gevallen wordt bij een ransomware-aanval de stap ‘versleutelen’ overgeslagen en wordt vooral ingezet op het stelen van informatie en de dreiging om deze te publiceren. Wees voorbereid en zorg dat u in ieder geval de basismaatregelen heeft geïmplementeerd.

#WakeUpWednesday 22 juni 2022

Het installeren van updates is een van de manieren om kwetsbaarheden zo snel mogelijk te verhelpen. Dat geldt zeker voor kwetsbaarheden in besturingssystemen. Een kwetsbaarheid in FreeBSD-systemen stelt cybercriminelen in staat om systemen via wifi volledig over te nemen. Een update voor deze kwetsbaarheid is beschikbaar. Het advies is om deze update zo snel mogelijk te installeren.

Voor een actief uitgebuite kwetsbaarheid in Ninja forms, een WordPress plugin voor contactformulieren, wordt door WordPress een update geforceerd om deze kwetsbaarheid te verhelpen. Cybercriminelen konden via de kwetsbaarheid willekeurige code op de website uitvoeren of willekeurige bestanden verwijderen.

Verder het advies om de security updates voor Citrix Application Delivery Management te installeren. Deze updates verhelpen een probleem waarbij cybercriminelen admin wachtwoorden konden resetten. Het gaat daarbij om alle ondersteunde versies van Citrix ADM server en Citrix ADM agent (bijvoorbeeld Citrix ADM 13.0 voor 13.0-85.19 en Citrix ADM 13.1 voor 13.1-21.53).

Tot slot ziet Microsoft dat de BlackCat Ransomware groepering nog steeds Microsoft Exchange systemen aanvalt die nog niet geüpdatet zijn. Volgens cijfers van de FBI zijn er tussen november 2021 en Maart 2022 zeker 60 organisaties slachtoffer geworden. Updaten van systemen is een essentiele stap om cybercriminelen te weren.

#WakeUpWednesday 15 juni 2022

Veel organisaties maken in meer of mindere mate gebruik van IT-leveranciers, bijvoorbeeld voor het leveren van software. IT-leveranciers zijn daarmee verbonden met een groot aantal verschillende organisaties. Die connecties zorgen ervoor dat deze leveranciers steeds populairder worden bij cybercriminelen. Ter illustratie, in 2021 zijn er 28 meldingen gemaakt van datalekken bij IT-leveranciers, wat resulteerde in 18.000 meldingen van organisaties die zakendoen met deze IT-leveranciers. Met de basis op orde geven we een aantal handvatten om de cybersecurity binnen uw organisatie te verbeteren. Vraag uw IT-leverancier ook naar hoe zij omgaan met data en welke maatregelen zij hebben getroffen om het risico op een cyberincident te beperken.

Het CISA (United States Cyberscurity and Infrastructure Agency (CISA)) heeft 36 nieuwe kwetsbaarheden toegevoegd aan het totaaloverzicht. Deze 36  kwetsbaarheden worden momenteel actief uitgebuit en bevinden zich onder andere in software en systemen van Cisco, Netgear, Adobe en Microsoft. Wij adviseren om na te gaan of uw systemen kwetsbaar zijn en deze zo snel mogelijk te updaten.

Ook zijn er diverse kwetsbaarheden gevonden in de A8Z3-warmtebeeldcamera die het mogelijk maken om het apparaat over te nemen. Ook in het LenelS2 HID Mercury toegangscontrolesysteem zijn diverse kwetsbaarheden ontdekt waarmee bijvoorbeeld op afstand deuren van slot en op slot kunnen worden gedaan.

Verder hebben onderzoekers nieuwe Linux malware ontdekt, Symbiote. Deze malware infecteert alle lopende processen op gecompromitteerde systemen, steelt gebruikersgegevens en geeft cybercriminelen toegang. De malware is moeilijk te traceren, echter door het monitoren van afwijkende DNS-verzoeken zou deze malware ontdekt kunnen worden.

Tot slot houdt de banking trojan Emotet wederom de gemoederen flink bezig. Deze malware maakt gebruik van verschillende Office-bijlagen en is in de vernieuwde versie in staat om de beveiligingsscanners van email gateways te omzeilen. Daarnaast steelt het creditcardgegevens. Zorg daarom dat gebruikers inloggegevens en vertrouwelijke informatie, zoals creditcardgegevens, in bijvoorbeeld een wachtwoordkluis opslaan.

#WakeUpWednesday 8 juni 2022

De ontwikkelingen op het gebied van cybercriminaliteit gaan razendsnel. Het is daardoor voor veel organisaties een grote uitdaging om bij te blijven met alle (mogelijke) dreigingen. Een nieuw initiatief om deze informatie te bundelen en snel te verspreiden is cyberteletekst: teletekst zoals we het allemaal kennen, maar dan met de laatste kwetsbaarheden en het laatste nieuws rondom cybersecurity.

Afgelopen week is er een waarschuwing uitgegaan voor een kwetsbaarheid in Atlassian Confluence. Er zijn updates beschikbaar. Het advies is om deze zo snel mogelijk te installeren. Is patchen niet mogelijk, dan heeft Atlassian een aantal aanvullende mitigerende maatregelen beschreven.

Google heeft enkele kwetsbaarheden in Android verholpen door patches beschikbaar te maken. De kwetsbaarheden CVE-2022-20130 en CVE-2022-20127 maken het mogelijk om Androidtelefoons op afstand te gebruiken en code uit te voeren. Er zijn updates voor Android 10, 11, 12 en 12L.

Onlangs is er een nieuw type phishing campagne gesignaleerd. Er worden Microsoft Word documenten als bijlage gemaild die VBA macros bevatten. Deze macros draaien dan shellcode die in de document eigenschappen zit om SVCReady malware te installeren. Deze malware kan onder andere systeem informatie verzamelen, screenshots maken en documenten downloaden. Het blijft belangrijk om alert te blijven op phishing.

Cybersecurity bedrijven uit de VS waarschuwen voor Chinese hackers. Zij proberen, door gebruik te maken van kwetsbaarheden bij telecom leveranciers, netwerkverkeer te onderscheppen en stelen. Vervolgens proberen zij inloggegevens te verkrijgen en loggen ze daarmee in. Uiteindelijk kunnen de aanvallers het netwerkverkeer doorsturen naar hun eigen infrastructuur. Het advies is om alle systemen up-to-date te houden. Een patchmanagementsysteem kan hier bij helpen.

#WakeUpWednesday 1 juni 2022

VMware heeft beveiligingsupdates beschikbaar gemaakt om kwetsbaarheden in Workspace ONE Access, Identity Manager, vRealize Automation, Cloud foundation en vRealize Suite Lifecycle Manager te verhelpen. De kwetsbaarheden stellen cybercriminelen in staat om administrator rechten te verkrijgen. Voor kwetsbaarheid CVE-2022-22972 is een Proof of Concept beschikbaar. Het advies is om de beschikbare beveiligingsupdates zo snel mogelijk te installeren.

Ook Microsoft waarschuwt voor een nieuwe kwetsbaarheid, CVE-2022-30190. Om deze Microsoft Office RCE kwetsbaarheid (Follina) te kunnen misbruiken als cybercrimineel moet een gebruiker een Word document openen. Deze documenten worden vaak per mail gedeeld en daarom is het advies om, net als bij phishing, gebruikers bewust te maken van het risico dat u loopt als u bestanden vanuit de mail opent die van een onbekende afzender komen of als het een bestand is dat u niet verwacht. Op dit moment is er nog geen software update beschikbaar, wel is er een service update met aanvullende info.

Uit het jaarlijkse Verizon Data Breach Investigation Report (DBIR) blijkt dat wereldwijd gezien, web applicatie aanvallen in toenemende mate verantwoordelijk zijn voor cybersecurity-incidenten in de zorg. De zorgsector wordt steeds vaker door cybercriminelen aangevallen en wordt ook vaker slachtoffer van ransomware-aanvallen. Het merendeel van de aanvallen heeft volgens het rapport een financieel motief.

Ransomwaregroepen staan erom bekend dat ze uw bestanden gijzelen. Recentelijk horen we van een groepering die pretendeert andere motieven te hebben. RansomHouse is een ransomwaregroep die een ander business model hanteert, zij richt zich primair op het exfiltreren van data. De motivatie voor deze groepering is dat zij organisaties er door middel van afpersing erop willen wijzen dat zij niet genoeg investeren in de beveiliging van hun data, netwerken en systemen of dat zij hun bug bounty program niet respecteren. De groepering claimt dat zij na betaling de getroffen organisatie helpt om zich te beschermen tegen toekomstige aanvallen. Daarnaast ontvangt de getroffen organisatie een rapport met daarin beschreven welke kwetsbaarheden er zijn gebruikt en op welke manier deze zijn gebruikt om binnen te komen.

Wat veel organisaties zich niet, of onvoldoende, realiseren is dat zij door het gebruik van third-party JavaScript een verhoogd risico lopen om geraakt te worden door een cybersecurity-incident. Third-party scripts bieden cybercriminelen de mogelijkheid om malafide code te introduceren in de web-omgeving van een organisatie. Veel organisaties gebruiken third-party code voor bijvoorbeeld formulieren, het verwerken van bestellingen en betalingen of het volgen van bezoekersgedrag. Wees alert op het gebruik van third-party code. Weet welke code er gebruikt wordt en controleer of deze code ook actief onderhouden wordt.

#WakeUpWednesday 25 mei 2022

In het 2022 SaaS Security Survey Report worden de risico’s en gevaren aangehaald die er kleven aan het gebruik van SaaS-oplossingen. Met name configuratiefouten worden genoemd als oorzaak van cybersecurity-incidenten. Een voorbeeld hiervan is dat er meerdere afdelingen toegang hebben tot de security-instellingen, zonder dat de mensen getraind zijn of cybersecurity als aandachtsgebied hebben.

Cisco waarschuwt voor een actief aangevallen kwetsbaarheid in IOS XR router software, die aanvallers in staat stelt om toegang te krijgen tot de Redis-database en daar informatie aan te passen, willekeurige bestanden naar het container bestandssysteem te schrijven en informatie over de Redis-database te achterhalen. Er is een update beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Onderwijsinstellingen met een WordPress-website die gebruik maken van de Premium-tool ‘School Management’, zijn momenteel kwetsbaar door een backdoor in deze plug-in. De plug-in biedt onderwijsinstellingen mogelijkheden zoals het plannen van onderwijs op afstand, aanwezigheidsregistratie, het bijhouden van onkosten, het inschrijven van nieuwe leerlingen en documentbeheer. Door de kwetsbaarheid kunnen cybercriminelen willekeurige php-code uitvoeren en de site volledig overnemen. Een update is beschikbaar (versie 9.9.7), het advies is ook hier om zo snel mogelijk te updaten naar de meest recente versie.

#WakeUpWednesday 18 mei 2022

Afgelopen week is er een politiek akkoord bereikt over nieuwe Europese regelgeving op het gebied van cybersecurity, NIS 2. Belangrijkste wijzigingen zijn dat de regelgeving ook gaat gelden voor middelgrote en grote organisaties én dat het aantal sectoren dat als kritiek wordt beschouwd is uitgebreid. Enkele aspecten die genoemd worden in NIS 2 zijn het patchen van kwetsbaarheden, maatregelen op het gebied van risicomanagement en de termijn waarin incidenten dienen te worden gemeld bij de autoriteiten.

Een kritieke kwetsbaarheid in Zyxel firewalls maakt het voor cybercriminelen mogelijk om op afstand willekeurige code uit te voeren. Denk daarbij aan het downloaden van malware of het misbruiken van andere kwetsbaarheden om het netwerk binnen te dringen. De kwetsbaarheid is van toepassing op zowel firewalls als VPN’s. Inmiddels hebben we de eerste signalen ontvangen dat deze kwetsbaarheid ook actief ingezet wordt door cybercriminelen. Er is een update beschikbaar, ons advies is om deze apparatuur zo snel mogelijk te updaten.

Het update advies is ook van toepassing op SonicWall SMA1000 apparatuur uit de serie 6200, 6210, 7200, 7210 en 8000 met firmwareversies 12.4.0 en 12.4.1. Cybercriminelen kunnen zich toegang verschaffen tot interne resources en mogelijke slachtoffers naar malafide websites sturen.

Ook Linux en Solaris (Unix) systemen worden door cybercriminelen onder vuur genomen. Zo is er recentelijk malware ontdekt genaamd BPFdoor, die zich de afgelopen vijf jaar onopgemerkt op Linux en Solaris systemen heeft gericht. De malware maakt het voor cybercriminelen mogelijk om op afstand verbinding te maken met een Linux shell om zo volledige toegang tot een besmet systeem te krijgen. De malware is zo lang onopgemerkt gebleven omdat de comand & control verbinding van buitenuit wordt geïnitieerd. Een firewall biedt tegen deze malware geen bescherming en de malware kan reageren op commando’s vanuit elk willekeurig IP-adres. Er is inmiddels een set technische indicatoren (Yara rules, hashes) beschikbaar waarmee u een Linux of Solaris-systeem kunt scannen.

#WakeUpWednesday 11 mei 2022

Cybercriminelen ontwikkelen telkens nieuwe manieren om malware te verspreiden. Daarnaast zien we tegenwoordig ook dat cybercriminelen bij de verspreiding niet perse vasthouden aan een specifieke manier. Deze flexibiliteit, gecombineerd met een toenemende keuzevrijheid, zorgt ervoor dat organisaties constant alert moeten zijn en een tunnelvisie moeten voorkomen bij het implementeren van cybersecuritymaatregelen.

Mandiant heeft in een jaarlijks rapport de resultaten gepubliceerd van haar onderzoek naar wereldwijde trends in cybersecurity incidenten, zoals manieren om malware te verspreiden. Ze stellen onder andere dat we met zijn allen beter zijn geworden in het sneller detecteren van incidenten. Als reactie op onze inzet blijven aanvallers uiteraard flexibel. Nog altijd komen aanvallers met 37% van de tijd het vaakst binnen door een kwetsbaarheid uit te buiten. Phishing is met slechts 11% een stuk minder populaire methode. Opvallend zijn de statistieken over supply-chain aanvallen. We kennen inmiddels de aanval op Kaseya van vorig jaar. Deze aanvallen worden in snel tempo populairder, met 17% ten opzichte van 1% in het jaar ervoor.

Het uitbuiten van kwetsbaarheden blijft een veelgebruikte manier voor aanvallers om binnen te komen. Daarom is het ontzettend belangrijk om te zorgen dat het beheer van hard- en software binnen uw organisatie op orde is. Dat wil zeggen, goed bijhouden van welke hard- en software er in gebruik is, en ervoor zorgen dat deze up-to-date wordt gehouden. Hierbij kan Qualys u helpen. Door te zorgen dat er tijdig wordt geacteerd op security updates verkleint u het aanvalsvlak binnen uw organisatie.

Tot slot wordt er gewaarschuwd voor Raspberry Robin, waarbij malware wordt verspreid via USB-sticks. Zorg dat uw medewerkers bewust zijn van de risico’s die het gebruik van onbekende externe apparatuur met zich meebrengt.

#WakeUpWednesday 4 mei 2022

De NSA en de FBI hebben samen met instanties op het gebied van cybersecurity uit meerdere landen een overzicht gemaakt van de belangrijkste kwetsbaarheden die in 2021 werden uitgebuit. Helaas maken deze kwetsbaarheden momenteel nog steeds slachtoffers. In het overzicht onder andere Proxylogon en Log4Shell. Naast deze meest gebruikte kwetsbaarheden, komen er regelmatig nieuwe kwetsbaarheden bij die een mogelijk gevaar voor uw organisatie betekenen.

Een andere kwetsbaarheid die momenteel actief wordt uitgebuit is het lek in VMware Workspace One. Zorg daarom dat u op de hoogte blijft van nieuwe updates en installeer deze zo snel mogelijk.

Het updaten van systemen en software geldt overigens niet alleen voor de zakelijke omgeving maar ook voor apparaten die in huis of voor persoonlijk gebruik zijn bedoeld. De overheid heeft inmiddels verkopers van digitale producten verplicht om deze werkend en veilig te houden. Dat betekent dat er ook voor bijvoorbeeld smart tv’s, printers en camera’s software updates zullen komen. Ook in dit geval geldt: zorg dat u weet welke apparatuur verbonden is met het internet en update deze apparatuur zodra en indien mogelijk.

Verder lijkt Onyx ransomware files groter dan 2MB te vernietigen in plaats van te encrypten. Volgens onderzoekers wordt de data in de files tijdens de encryptie overschreven met waardeloze data, waardoor decryptie, ook na betaling van het losgeld, niet meer de originele bestandsinformatie oplevert. Doordat dezelfde encryptie-routine ook is gezien bij Chaos ransomware, lijkt het erop dat het overschrijven niet een fout is in de encryptie maar een bewuste keuze. Zorg daarom altijd dat u tijdig actie onderneemt bij publicatie van een nieuwe kwetsbaarheid!

#WakeUpWednesday 27 april 2022

Cybercriminelen maken onder andere gebruik van kwetsbaarheden in software om bij organisaties binnen te dringen. In 2021 werden er zeker tachtig zeroday-lekken gebruikt, meer dan een verdubbeling ten opzichte van 2020. Driekwart van de vorig jaar ontdekte zerodays maakte misbruik van kwetsbaarheden in producten van Apple, Google en Microsoft. Installeer daarom de beschikbare patches zodra deze worden gepubliceerd.

Onder andere Cisco, QNAP en Oracle hebben afgelopen week updates uitgebracht. In het geval van Cisco om een ernstige kwetsbaarheid in de Cisco Umbrella Virtual Appliance (VA) aan te pakken. Deze kwetsbaarheid stelde aanvallers in staat om op afstand beheerders credentials te kunnen stelen. QNAP heeft een update uitgebracht voor haar NAS-systemen in verband met Apache HTTP-kwetsbaarheden. Oracle heeft in haar april update 520 nieuwe kwetsbaarheden bekendgemaakt en verholpen.

Uit onderzoek blijkt verder dat malware-groepen nog altijd veel gebruik maken van phishing om binnen te komen. Met nieuwe maatregelen tegen het gebruik van macro’s in Microsoft Office-documenten zoeken deze groepen naar manieren om deze maatregelen te omzeilen. Het blijft daarom belangrijk om uw mensen weerbaar te maken (en te houden) tegen phishing-activiteiten.

#WakeUpWednesday 20 april 2022

Afgelopen week zijn er diverse updates uitgebracht voor kritieke kwetsbaarheden die actief worden uitgebuit. Google kwam met een noodpatch voor een actief aangevallen zero-day kwetsbaarheid in Chrome en ook Microsoft Windows en VMware Workspace ONE Access hebben patches uitgebracht. Het advies is uiteraard om deze zo snel mogelijk te installeren.

In eerdere Wakeupwednesday berichten maakten we melding van diverse varianten malware gericht op mobiele telefoons. Uit onderzoek van Proofpoint blijkt dat in februari er in Europa een stijging was van 500% in het aantal pogingen malware voor mobiele apparaten af te leveren. Malware voor mobiele apparaten wordt steeds geavanceerder. Het gaat daarbij om het opnemen van telefoon- en videogesprekken, audio- en video-opnames die op het toestel zijn opgeslagen en het vernietigen van data die op het toestel is opgeslagen. Wees alert op berichten met daarin linkjes, voicemessages, of notificaties voor het updaten van apps buiten de reguliere appstores om.

#WakeUpWednesday 13 april 2022

De mobiele telefoon speelt een steeds prominentere rol in ons leven, zowel zakelijk als prive. Wees daarom alert op malware die zich richt op Androidtoestellen. De Androidmalware Octo is een vernieuwde versie van ExoCompact, waarvan de broncode in 2018 is uitgelekt. Het meest gevaarlijke aan de vernieuwde variant is dat de cybercrimineel op afstand de controle van het toestel kan overnemen en malafide acties kan uitvoeren via het toestel van het slachtoffer. Update apps alleen met versies die via de officiële kanalen, zoals de App Store of Google Play.

Een andere malware campagne die momenteel in de praktijk wordt gezien is gericht op de distributie van de nieuwe informatie stelende malware META. META neemt in populariteit toe bij cybercriminelen en wordt momenteel actief gebruikt bij aanvallen. Het wordt ingezet om wachtwoorden te stelen die zijn opgeslagen in Chrome, Edge en Firefox, evenals cryptocurrency-portefeuilles. META wordt op de traditionele manier, als mail attachment, verspreid. Wees alert indien u bijlages ontvangt van onbekenden en let op bij het inschakelen van macro’s!

Andere informatie stelende malware die momenteel actief gebruikt worden zijn FFDroider en Lightning Stealer. Ook deze maken gebruik van wachtwoorden die in Chrome, Edge en Firefox zijn opgeslagen. FFDroider wordt gedistribueerd via gekraakte versies van installatieprogramma’s en freeware met als belangrijkste doel het stelen van cookies en inloggegevens die zijn gekoppeld aan populaire sociale media en e-commerceplatforms. Daarnaast wordt de buitgemaakte informatie gebruikt om in te loggen op de accounts om zo andere persoonlijke account gerelateerde informatie vast te leggen. Lightning stealer werkt op een vergelijkbare manier en kan Discord-tokens, gegevens van cryptocurrency-portefeuilles en details met betrekking tot cookies, wachtwoorden en creditcards stelen.

Tijdens de patch Tuesday van april heeft Microsoft een patch uitgebracht voor 119 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een Remote Code Execution kwetsbaarheid in de Remote Procedure Call Runtime, die is geregistreerd als CVE-2022-26809. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service.

Recentelijk heeft VMware Security Advisory VMSA-2022-0011 gepubliceerd, die acht verschillende kwetsbaarheden beschrijft in het product VMware Workspace ONE Access. Drie van deze kwetsbaarheden hebben een CVSS-score van 9,8 en worden hier nader besproken. Het betreft één Remote Code Excution en twee Authentication Bypass kwetsbaarheden. De Remote Code Execution kwetsbaarheid komt ook voor in de volgende gerelateerde VMware producten: VMware Identity Manager, VMware Cloud Foundation en vRealize Suite Lifecycle Manager.

#WakeUpWednesday 6 april 2022

Cyberincidenten ontstaan vaak door kritieke kwetsbaarheden waar niet adequaat op wordt gereageerd, door configuratiefouten of door gebruikers die onbedoeld hun gegevens delen met derden. Het updaten van systemen en software, in combinatie met alertheid van medewerkers, helpt incidenten te voorkomen.

Zyxel waarschuwt voor een kritieke kwetsbaarheid waardoor cybercriminelen beheerderstoegang tot de firewall kunnen krijgen. Installeer zo snel mogelijk de software updates.

Totolink routers die niet zijn voorzien van de meest recente software-updates zijn kwetsbaar voor een variant van het Mirai-botnet. De variant met de naam Beastmode heeft vijf nieuwe exploits, waarvan 3 types gericht zijn op diverse Totolink routers. Ook hier is het advies om zo snel mogelijk, daar waar mogelijk, de software te updaten.

Naast de melding voor Totolink routers is er ook een waarschuwing voor gebruikers van D-link routers. De kwetsbaarheid, aangeduid als CVE-2021-45382, bevindt zich in de D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L en DIR-836L. Deze modellen zijn end-of-life, waardoor er geen nieuwe updates worden uitgebracht. Het advies is daarom om deze modellen zo snel mogelijk offline te zetten en te vervangen door nieuwere routers.

Borat, een nieuwe remote access trojan (RAT), biedt cybercriminelen diverse opties voor aanvallen. Zo kan Borat worden ingezet als ransomware, spyware en voor DDoS-aanvallen. Borat biedt de aanvaller de mogelijkheid om zelf te kiezen hoe de malware in te zetten, wees daarom alert op welke software geïnstalleerd wordt en download alleen applicaties van betrouwbare bronnen en websites.

#WakeUpWednesday 30 maart 2022

Dat kritieke kwetsbaarheden door cybercriminelen worden gebruikt om zich toegang te verschaffen tot systemen en data van derden is niet nieuw. Toch zien we dat diverse kwetsbaarheden, ondanks dat er patches voor zijn uitgebracht, nog steeds worden benut. Het updaten van systemen en applicaties is een essentieel onderdeel van een goed cybersecuritybeleid.

Zo wordt Log4j nog altijd actief misbruikt door cybercriminelen voor het installeren van achterdeurtjes waar in een later stadium gebruik van kan worden gemaakt. Daarnaast wordt Log4j actief misbruikt voor het installeren van miners voor cryptocurrency op kwetsbare VMware Horizon servers.

Een nieuwe phishing campagne, gericht op het overnemen van e-mail gesprekken, wordt gebruikt  om de IcedID info-stealing malware te verspreiden. Deze campagne maakt gebruik van kwetsbaarheden in Microsoft Exchange waar reeds software updates voor beschikbaar zijn.

Sophos heeft bekend gemaakt dat de kritieke kwetsbaarheid in de firewallsoftware momenteel actief misbruikt wordt. Er is een hotfix beschikbaar, wij adviseren om deze zo snel mogelijk te installeren.

Het aantal aanvallen dat gebruik maakt van zero-day kwetsbaarheden, fouten die nog niet eerder zijn ontdekt of misbruikt en waarvoor dus nog geen update beschikbaar is, is volgens Rapid7 in 2021 verdubbeld.

Wij adviseren u om ervoor te zorgen dat uw systemen, indien mogelijk, zijn voorzien van de laatste software updates. Zorg dat uw medewerkers alert zijn en maak gebruik van netwerksegmentatie om ervoor te zorgen dat aanvallers niet ongehinderd het hele bedrijfsnetwerk door kunnen.

#WakeUpWednesday 23 maart 2022

Gemak dient de mens, daarom zijn er veel portals die gebruikers in staat stellen om in te loggen met een Google-account, Apple ID of Microsoft-account. De populariteit maakt dat dit soort schermen ook bij cybercriminelen gewild zijn om toe te passen bij hun phishing campagnes. Recentelijk is er een nieuwe phishing-toolkit beschikbaar gekomen waarmee eenvoudig Chrome browserschermen zijn na te maken. Wees alert waar je inlogt en gebruik indien mogelijk multifactor-authenticatie.

De FBI waarschuwt organisaties in de vitale sector voor AvosLocker-ransomware. Bij deze ransomware-aanvallen wordt gebruik gemaakt van kwetsbaarheden in Microsoft Exchange. Voor de gebruikte kwetsbaarheden, waaronder ProxyShell, zijn updates beschikbaar. Zorg er voor dat uw systemen zijn voorzien van de laatste beveiligingsupdates.

Uit onderzoek van Qualys blijkt dat 30 procent van de applicaties, servers en andere systemen die gebruik maken van Log4j, nog steeds kwetsbaar is voor cyberaanvallen. U loopt door deze kwetsbaarheid het risico dat cybercriminelen uw systeem op afstand over kunnen nemen. Installeer daarom indien mogelijk de beveiligingsupdates of neem mitigerende maatregelen indien updaten niet mogelijk is.

Begin maart 2022 zagen we een nieuwe variant van de Lorenz-ransomware. Er is echter een groot verschil tussen de bestanden die door deze ransomware zijn versleuteld en bestanden die door een eerdere versie zijn versleuteld. Het grootste verschil: decodering is niet mogelijk na betaling van de losgeldprijs. Het is onze specialisten echter gelukt om een decryptor te maken die de bestanden wel kan ontsleutelen.

#WakeUpWednesday 16 maart 2022

Cybercriminelen zijn inventief. Telkens weer vinden zij nieuwe manieren om malware te verspreiden en weten zij zich toegang tot systemen van derden te verschaffen. We geven in deze #WakeUpWednesday drie voorbeelden.

Voor het verspreiden van Bazar Backdoor malware wordt bijvoorbeeld gebruik gemaakt van contactformulieren op de website. Door het aanvragen van een offerte wordt een gesprek gestart. Daarna wordt er, in vervolg op de initiële aanvraag, tijdens het gesprek een ISO-file gestuurd met additionele informatie die relevant is voor de aanvraag. Door voor deze additionele info gebruik te maken van filesharingdiensten, zoals Wetransfer, en mensen zelf de files te laten uitpakken, wordt getracht de beveiliging te omzeilen.

Ook extra add-ons voor populaire online games worden gebruikt. In dit voorbeeld wordt via een YouTubekanaal een add-on gepromoot voor de populaire game Valorant. Gebruikers die de add-on willen downloaden worden naar een pagina verwezen waar ze een RAR-file kunnen downloaden. Deze bevat een installatiefile die niet de add-on voor de game installeert, maar RedLine stealer, malware die zich richt op het stelen van onder andere wachtwoorden.

We sluiten het rijtje af met Escobar, Android malware gericht op het stelen van Google Authenticator MFA-codes. Escobar is de verbeterde versie van de Aberebot Android banking trojan. Naast de MFA-codes is de malware ook in staat om controle te krijgen over de toestellen door VNC te gebruiken. Ook de mogelijkheden voor het opnemen van geluid en het gebruik van de camera maken de apps om gebruikersgegevens te achterhalen. Uiteraard met als ultieme doel genoeg data te achterhalen om controle te krijgen over de bankgegevens.

Naast IT-systemen krijgen ook OT-systemen steeds vaker te maken met cybersecurity-dreigingen. Uit onderzoek van Dragos blijkt dat het aantal kwetsbaarheden in 2021 is verdubbeld ten opzichte van 2020. Ransomware is daarbij de grootste dreiging.

Een Linux kwetsbaarheid die impact heeft op alle kernels sinds versie 5.8, inclusief Android, is bekend gemaakt onder de naam Dirty Pipe (Linux Kernel Exploit). Deze kwetsbaarheid maakt het mogelijk dat data, ook al zijn de files read-only, wordt overschreven. Dit kan tot gevolg hebben dat rechten worden opgehoogd. Hierdoor kunnen locale gebruikers rootrechten krijgen. Ook NAS-besturingssystemen van QNAP, QTS en QuTS Hero maken gebruik van de Linux-kernel en zijn dus kwetsbaar.

Tot slot houden we ook de ontwikkelingen met betrekking tot Wiper-malware nauwlettend in de gaten. Een nieuwe vorm, RuRansom, is geen ransomware, ook al doet de naam anders vermoeden. Ook in dit geval gaat het om Wiper-malware die, vooralsnog, systemen raakt met een IP-adres dat te relateren valt aan Rusland.

#WakeUpWednesday 9 maart 2022

Cybercriminaliteit kan zich richten op het verstoren van primaire bedrijfsprocessen of het verstoren van kritieke dienstverlening. Zo werden afgelopen week niet alleen satellietverbindingen getroffen, ook werden 5800 windturbines in Duitsland en centraal Europa offline gehaald.

Nvidia is op meerdere manieren slachtoffer van cybercriminaliteit geworden. Naast dat kwaadwillenden tijdens een incident een Terrabyte aan data hebben buitgemaakt, worden twee gestolen drivercertificaten gebruikt om malware te verspreiden. Ondanks dat de certificaten zijn verlopen kunnen ze in Windows nog steeds worden gebruikt om drivers te installeren. Tot slot wordt de gestolen data gebruikt om Nvidia onder druk te zetten om de firmware voor specifieke reeks grafische kaarten (GeForce RTX 30 Serie) te wijzigen. De wijziging is bedoeld om onder andere de crypto-mining industrie te ondersteunen.

Verder zijn er diverse kwetsbaarheden gedicht in Exchange Server en Android. De kwetsbaarheid in Exchange Server (CVE-2022-23277) heeft een impactscore van 8,8 en maakt remote code execution mogelijk. Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthentiseerde aanvaller kan door gebruik te maken van deze kwetsbaarheid code met verhoogde rechten uitvoeren. Ook bij de kwetsbaarheid in Android kunnen rechten worden verhoogd. Updates zijn beschikbaar gesteld voor Android 10, 11 en 12.

Installeer de beschikbare software updates zo snel mogelijk. Wees daarbij ook alert op updates die beschikbaar worden gesteld voor allerlei andere systemen die u thuis aan het internet hebt hangen.

#WakeUpWednesday 2 maart 2022

De afgelopen week hebben we gemerkt dat de situatie rondom Oekraïne zowel fysiek als digitaal is geëscaleerd. Het Tesorion Threat Intelligence-team houdt al sinds half januari verschillende open-sourcebronnen in de gaten. We zien dat de aanvallen binnen de Oekraïne drastisch toenemen en dat onder andere Wiper-malware is gedetecteerd. Het doel van deze malware is om de getroffen computers volledig uit te schakelen. Dit is anders dan bij ransomware, waarbij bestanden worden versleuteld en de aanvallers losgeld eisen. Met deze wiper worden de bestanden vernietigd en is er vaak geen weg meer terug. Wees daarom extra alert met e-mailberichten, telefoontjes en benaderingen via social media.

De fraudehelpdesk stelt dat er in de eerste zes weken van 2022 al voor ruim 10.5 miljoen Euro schade is geleden door CEO-fraude, neptelefoontjes en misbruik van bedrijfsnamen. Naast het trainen van het cyberbewustzijn van medewerkers is het ook belangrijk om als organisatie te weten wat er zoal wordt gepubliceerd over uw organisatie, met name op het deep- and darkweb. Denk bijvoorbeeld aan gestolen inloggegevens waarmee cybercriminelen zich toegang kunnen verschaffen tot uw systemen.

Uit onderzoek van Fortinet blijkt onder andere dat ransomware niet alleen toeneemt, maar ook steeds agressiever en verwoestender wordt. Daarnaast toont het Global Threat Landscape Report dat ook Linux-systemen steeds vaker doelwit worden. Zorg dat uw organisatie is voorbereid, geef aandacht aan het vergroten van het cyberbewustzijn van uw medewerkers.

#WakeUpWednesday 23 februari 2022

Het veelgebruikte Microsoft Teams blijkt inmiddels ook door hackers gebruikt te worden. Zij gebruiken het platform om malware te verspreiden. Door bijvoorbeeld in te loggen met gegevens verkregen door middel van phishing of gekocht op het darkweb kan de hacker een bestand delen. Zodra dit bestand geopend wordt door een andere gebruiker begint de malware te werken met alle gevolgen van dien. Zorg dat uw medewerkers weerbaar en alert zijn wat betreft phishing en het openen van onbekende bestanden.

In Google Play Store is een malafide app gevonden. De app Fast Cleaner doet zich voor als een app die het apparaat opschoont en zo ook de batterijduur verbetert, terwijl het in werkelijkheid bankmalware installeert tijdens een onzichtbare update. Er zijn al meer dan 50.000 downloads gedaan van deze app, ondanks reviews die wijzen op de kwaadwillende intentie. Wees alert wat betreft de apps die u installeert en vertrouw niet alles zomaar.

De populaire WordPress plugin Updraft Plus heeft te maken met een kritieke kwetsbaarheid (bekend als CVE-2022-0633) die het mogelijk maakt voor alle website gebruikers om de laatste database back-up te downloaden die privacygevoelige informatie kan bevatten. Normaalgesproken zou deze back-up alleen voor een select groepje gebruikers beschikbaar moeten zijn, maar door deze kwetsbaarheid kunnen alle gebruikers met de minste rechten dit ook downloaden. Vanwege de kritieke situatie heeft WordPress de update (versie 1.22.3 of 2.22.3) geforceerd uitgevoerd op miljoenen websites.

In de update van vorige week benoemden we al de kwetsbaarheid in Adobe Commerce en Magento Open Source. Hierna werd er weer een kwetsbaarheid ontdekt met een CVSS score van 9.8 (CVE-2022-24078). Daarnaast blijkt dat er ook nog steeds misbruik wordt gemaakt van de Log4j kwetsbaarheid die eind 2021 aan het licht kwam. Verder heeft ook VMware onlangs updates beschikbaar gemaakt voor 6 kwetsbaarheden met een CVSS score variërend tussen 5.3 en 8.8. We blijven het benadrukken, houd uw software en apparaten up-to-date om cyberaanvallen voor te zijn.

Afgelopen week kwam het nieuws naar buiten dat de bekende ransomware groep Conti en de TrickBot groep hun krachten hebben gebundeld. Hiermee versterken ze hun positie en hebben ze de kans om betere malware te ontwikkelen. Ransomware aanvallen blijven ons dus bezig houden, bescherm uw organisatie hiertegen.

#WakeUpWednesday 16 februari 2022

Er zijn de afgelopen week door verschillende bedrijven updates beschikbaar gemaakt vanwege kritieke kwetsbaarheden. Het is belangrijk om uw apparaten en software altijd up to date te houden, onderdeel van uw basis op orde hebben.

Allereerst heeft Apple vorige week een update beschikbaar gemaakt. Het gaat om het verhelpen van een kwetsbaarheid, bekend als CVE-2022-22620, in WebKit. Dit is een basisonderdeel wat veel wordt gebruikt in browsers. Na blootstelling aan kwaadaardige webcontent kan er door gebruik van deze kwetsbaarheid code uitgevoerd worden op Apple apparaten. Update uw apparaten naar de nieuwste softwareversies om niet kwetsbaar te zijn. Ook Adobe bracht een update uit om een kritieke kwetsbaarheid, bekend als CVE-2022-24086, te patchen. Het gaat om een kwetsbaarheid in Adobe Commerce en Magento Open Source. Daarnaast heeft Google een update beschikbaar gemaakt voor de Chrome browser. De update zal in de loop van de tijd automatisch geïnstalleerd worden, maar dit kan nu al handmatig gedaan worden. Verschillende kwetsbaarheden worden hiermee verholpen, waarvan enkelen ook als kritiek bestempeld zijn.

Een Duitse groep hackers, de Chaos Computer Club, heeft onlangs meer dan 50 datalekken gevonden bij verschillende bedrijven en organisaties waaronder ook bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. Door middel van diverse kwetsbaarheden, zoals onder andere databaseservers zonder authenticatie en onbeveiligde MySQL-servers, konden de hackers bij allerlei persoonsgegevens. Alle datalekken zijn gemeld bij de desbetreffende bedrijven en de meesten van hen hebben actie ondernomen om de kwetsbaarheden op te lossen. De groep heeft geen gebruik gemaakt van de gevonden gegevens, maar helaas gebeurt dit vaak wel. Zorg dat u uw data beschermt, bijvoorbeeld door het te versleutelen, en wordt geen slachtoffer van een datalek.

#WakeUpWednesday 9 februari 2022

Met de aanvallen op verschillende bedrijven in de oliesector en een aanval op vrachtafhandelaar Swissport is er momenteel weer veel activiteit op het gebied van ransomware. De impact van de aanvallen op de bedrijfsprocessen is groot. Het laden en lossen van schepen is niet mogelijk of loopt forse vertraging op. Ook bij Swissport zijn een deel van de IT-systemen voor het inplannen van personeel, vliegtuigen en vracht tijdelijk niet beschikbaar.

De afgelopen weken is er al veel gezegd en geschreven over de verplichte app voor olympische sporters, begeleiders en journalisten. Naast het advies om eigen devices thuis te laten en niet mee te nemen naar China, is het goed om bewust te zijn van mogelijke risico’s op het gebied van cybersecurity.

Wees u bewust van de informatie die u deelt, ook op zakelijke platformen zoals LinkedIn. Informatie zoals uw functieomschrijving, informatie over gebruikte systemen en applicaties kunnen door cybercriminelen gebruikt worden. Volgens de AIVD hebben bijvoorbeeld Chinese en Russische geheime diensten duizenden werknemers bij Nederlandse hightechbedrijven benaderd met als doel bedrijfsspionage.

#WakeUpWednesday 2 februari 2022

Het updaten van applicaties en systemen is essentieel voor uw cybersecurity. Zo wordt de Apache Log4j kwetsbaarheid momenteel actief misbruikt. Verder zorgt een kwetsbaarheid in Microsoft Defender ervoor dat cybercriminelen mogelijk de malware detectie kunnen omzeilen.

We blijven benadrukken dat het installeren van beveiligingsupdates ontzettend belangrijk is. Echter maken criminelen hier ook misbruik van door fake-updates voor software te maken met daarin malware of ransomware. Zo werden Microsoft Edge gebruikers, net als Adobe, Google Chrome en Firefox al eerder, geconfronteerd met een fake-update. Let dus altijd goed op dat u updates alleen download van de leverancier zelf en niet van een andere partij.

Ransomware is een grote bedreiging voor de continuïteit van de bedrijfsprocessen en daarmee voor het bestaansrecht van een organisatie. Naast het gijzelen van de data worden organisaties onder druk gezet door het dreigement dat de data publiek wordt gemaakt. Om dat dreigement nog meer kracht bij te zetten, wordt tegenwoordig ook social media ingezet. Daarmee worden organisaties nog meer onder druk gezet om tot betaling van het losgeld over te gaan.

Een andere, nogal gedurfde en onorthodoxe manier die recent is ingezet, is het bellen van personen waarvan de gegevens in de gegijzelde dataset zijn gevonden. Zij werden onder druk gezet met als doel om de organisatie waarvan de data gegijzeld was te motiveren alsnog te betalen.

Om te voorkomen dat uw organisatie slachtoffer wordt van een cyberaanval is het belangrijk om ervoor te zorgen dat u de basis van uw cybersecurity op orde heeft en dat deze uiteraard op orde blijft.

#WakeUpWednesday 26 januari 2022

Data is waardevol, ook voor cybercriminelen. Daarbij wordt geen enkele organisatie gespaard of ontzien, zo bleek wel door de hack op het Rode Kruis. Gegevens van meer dan 500.000, vaak kwetsbare mensen, werden daarbij buitgemaakt.

Daarnaast zijn cybercriminelen er in geslaagd om ruim tweeduizend zakelijke e-mail accounts te gebruiken bij verschillende spywarecampagnes. Uit onderzoek van Kaspersky is gebleken dat de spyware via een e-mailbijlage is verspreid. Indien de medewerker de bijlage opent en de spyware het systeem succesvol weet te infecteren, worden gebruikersnaam en wachtwoord van de desbetreffende medewerker naar de cybercrimineel verstuurd. De aanvaller kan zich met de buitgemaakte gegevens toegang tot het systeem verschaffen en vervolgens de spyware verder verspreiden onder de contacten van de medewerker.

Bekende kwetsbaarheden die door cybercriminelen op een later moment worden gebruikt is niet nieuw. Begin december hebben we gewaarschuwd voor kritieke kwetsbaarheden in de SonicWall SMA 100 serie. Deze week is er een waarschuwing gegeven dat deze kwetsbaarheden momenteel actief benut worden. Er is geen workaround beschikbaar, het advies is zo snel mogelijk de software updaten.

Logging is belangrijk om bijvoorbeeld te achterhalen hoe cybercriminelen zijn binnengekomen. Toch blijkt uit onderzoek van Cisco dat door een gebrek aan logging de aanvalsvector bij de meeste incidenten onbekend is. Daar waar de aanvalsvector wel bekend is, blijkt de oorzaak in de meeste gevallen te gaan om phishing, of applicaties die via het internet toegankelijk zijn. Train het cyberbewustzijn van uw medewerkers en zorg dat kwetsbaarheden in de software worden verholpen zodra er een update beschikbaar is.

#WakeUpWednesday 19 januari 2022

In de #WakeUpWednesday geven we regelmatig incidenten aan waarbij er een noodzaak en urgentie rondom patchen is. Er komen ook regelmatig incidenten aan bod waar het vergroten van het cyberbewustzijn van medewerkers kan helpen om de veiligheid te vergroten.

De afgelopen week heeft Apache Foundation, onder andere beheerder van Apache Log4j, OpenOffice en Apache webserver, gewaarschuwd voor het gebruik van software die end of life is. Gebruikers worden hierdoor nog steeds aangevallen via oude beveiligingslekken in Apache-software die niet meer wordt ondersteund en/of onderhouden.

Ook voor de LUKS-encryptiesoftware voor Linux zijn updates uitgebracht. Het maken van back-ups en het zorgen dat deze niet achteraf te wijzigen zijn is een van de basismaatregelen binnen de cybersecurity. De LUKS-encryptiesoftware bevatte een kritieke kwetsbaarheid (CVE-2021-4122) waarmee het mogelijk was om zonder het invoeren van de passphrase te laten ontsleutelen.

Door de combinatie van een zwak beheerderswachtwoord en het gebruik van een zwak encyptie-algoritme is er privedata van bijna 7 miljoen eindgebruikers van de website Open Subtitles gestolen en openbaar gemaakt. De e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd.

#WakeUpWednesday 12 januari 2022

De Log4j-kwetsbaarheid heeft impact op heel veel systemen. Zo waarschuwt de Britse gezondheidsdienst voor misbruik van de kwetsbaarheid in VMware Horizon. De software maakt gebruik van Apache Tomcat dat weer van Log4j gebruikmaakt. Ondanks dat er in december door VMware patches zijn uitgebracht zijn aanvallers actief op zoek naar systemen die nog niet van de beschikbare patches zijn voorzien.

Er is er een nieuwe kwetsbaarheid ontdekt die betrekking heeft op H2 database consoles. Deze kwetsbaarheid maakt ook misbruik van het laden van JNDI-classes op afstand, dezelfde oorzaak van het Log4Shell-beveiligingslek. Doordat ook deze H2 database engine veel gebruikt wordt is ook, net als bij Log4j, het bereik groot. De kwetsbaarheid (CVE-2021-42392) heeft betrekking op H2 database versies 1.1.100 tot 2.0.204. Het advies is om zo snel mogelijk te updaten naar versie 2.0.206.

Tijdens de patch Tuesday van januari heeft Microsoft patches uitgebracht voor 96 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een HTTP Protocol remote code execution kwetsbaarheid in http.sys, geregistreerd als CVE-2022-21907. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren. Wij adviseren om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workaround zo snel mogelijk toe te passen.

Dat cybercriminelen steeds op zoek zijn naar nieuwe methodes om binnen te dringen bij organisaties is geen verrassing. Tegenwoordig worden er bijvoorbeeld USB sticks verstuurd die zowel qua stick als qua verpakking sterk lijken op die van gerenommeerde organisaties. De toegestuurde USB sticks bevatten echter malware om zo kwaadaardige acties te kunnen starten.

De makers van Flubot malware, een Android trojan die zich richt op financiële gegevens, hebben een aantal nieuwe campagnes gestart om hun malware te verspreiden. Wees alert op berichten die betrekking hebben op bijvoorbeeld: het updaten van Adobe flash player, valse meldingen voor software updates die buiten de playstore om gaan, berichten over pakketbezorgingen etc. Meest kenmerkend is een dat deze berichten een link bevatten die niet te herleiden is naar de organisatie in kwestie.

#WakeUpWednesday 5 januari 2022

2022 gaat voortvarend van start, ook op cybersecurityvlak. Google heeft een beveiligingsupdate voor Chrome uitgebracht. Met deze nieuwe update wordt onder andere een kritieke kwetsbaarheid verholpen waarbij een aanvaller willekeurige code op het systeem van een gebruiker kan uitvoeren zonder dat daar verdere actie van de gebruiker voor nodig is. Het uitvoeren van code stelt een aanvaller uiteraard in staat om malware op je computer te installeren waarmee bijv. creditcard- en inloggegevens kunnen worden buitgemaakt.

Cybercriminelen hebben een supply chain attack uitgevoerd op ruim honderd bedrijven door skimmercode toe te voegen aan een videospeler van een cloud video hosting service. Op het moment dat een organisatie de videospeler gebruikte op bijvoorbeeld een website, werd ook de malafide code toegevoegd. Hierdoor werd de site geïnfecteerd en kon creditcarddata worden buitgemaakt.

Cybersecurity kent vele aspecten. Een van de basismaatregelen is het maken en weer terug kunnen zetten van back-ups. Het bepalen van een back-upstrategie is daarmee onderdeel van een bedrijfscontinuïteitsplan. Zorg er daarom voor dat u weet hoe lang mag uw organisatie(onderdeel) niet beschikbaar zijn (Recovery Time Objective) en hoeveel dataverlies is daarbij acceptabel (Recovery Point Objective). Test dit proces regelmatig, zodat u niet voor onaangename verrassingen komt te staan. Zo raakte bijvoorbeeld de Universiteit van Kyoto in december 77TB aan onderzoeksdata kwijt door een fout in het back-up systeem.

Lees het archief 2021

Weten wat er speelt? Abonneer u op de WakeUp Wednesday

Wilt u elke woensdag een kort overzicht over kwetsbaarheden, nationale of internationale hacks ontvangen? Abonneer u dan op de nieuwsbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu