Skip to main content
Nu hulp nodig bij een cyberincindent?
Bel 24/7: 088-2747800

WakeUp Wednesday

Door 13 oktober 2021 Kwetsbaarheid

Welkom bij #WakeUpWednesday. We willen zoveel mogelijk mensen wakker schudden en bewust maken van eventuele risico’s op het gebied van cybersecurity. Ons doel is om Nederland digitaal veilig en weerbaar maken. Daarom geeft Tesorion je vanaf nu elke woensdag in een post een kort overzicht over kwetsbaarheden of hacks die nationale of internationale aandacht hebben gekregen.

Natuurlijk berichten we direct over belangrijke kwetsbaarheden en mogelijkheden om deze te mitigeren. Onze #WakeUpWednesday is een soort terugblik.

#WakeUpWednesday 13 oktober 2021

Oktober is cybersecuritymaand. Dat betekent nog meer aandacht voor cybersecuritymaatregelen, gekoppeld met meer beleidsmatige aandacht vanuit de overheid en het vergroten van het bewustzijn van medewerkers. Dat de impact van een cybersecurity-aanval groot kan zijn bleek deze week wel uit de berichtgeving rondom VDL. Ook de uitzending van Zembla, over de kwetsbaarheid van organisaties die deel uit maken van de kritieke sector, geeft aan dat er nog veel werk te verzetten is.

In deze #wakeupwednesday daarom de uitnodiging om deel te nemen aan een van onze virtuele lunch & learns, onze darkweb tour of aan ‘capture the flag’.

#WakeUpWednesday 6 oktober 2021

Mobiele telefoons zijn niet meer weg te denken uit ons dagelijks bestaan. Het is daarom van groot belang om ook op deze apparaten te updaten zodra er een nieuwe softwareversie wordt vrijgegeven. In oktober zijn er 51 kwetsbaarheden in Android opgelost. De meest gevaarlijke (CVE-2021-0870), maakte het mogelijk voor aanvallers om een toestel op afstand over te nemen.

Wees ook bij het installeren van beveiligingsupdates kritisch op de bron. FluBot-malware lijkt zich bijvoorbeeld in het buitenland te verspreiden via een pagina die lijkt te waarschuwen voor een malware-infectie. FluBot is malware die gegevens van Androidtelefoons steelt om daar vervolgens bankfraude mee te plegen. Om FluBot te verwijderen dient een update geinstalleerd te worden. Deze update doet echter het tegenovergestelde; de malware wordt niet verwijderd, maar juist geïnstalleerd.

Een van de basismaatregelen om het cybercriminelen niet al te eenvoudig te maken is het gebruik van een sterk wachtwoord. Het feit dat de helft van de medewerkers het te veel werk vindt om voor elk account een uniek wachtwoord te gebruiken is daarbij een niet te verwaarlozen risico. Een risico dat verkleind kan worden door het beschikbaar stellen van een wachtwoordmanager.

Tijdens de problemen bij Facebook deze week werd er massaal gebruik gemaakt van alternatieven als Twitter en SMS. Door alle commotie viel de berichtgeving rondom een jarenlang datalek bij de grootste SMS-verwerker ter wereld enigszins in het niet. Indien SMS als extra verificatiemethode wordt gebruikt betekent dit een extra risico. Daarnaast is het opvallend dat de aanvallers al sinds 2016 toegang hadden tot de systemen.

#WakeUpWednesday 29 september 2021

Het patchen van software is een van de manieren om ervoor te zorgen dat uw systemen minder kwetsbaar zijn. Toch is het installeren van updates en patches binnen veel organisaties regelmatig een punt van zorg. Omdat Microsoft de afgelopen periode heeft geconstateerd dat organisaties hun Exchange servers niet, of niet tijdig, patchen, wordt een nieuwe feature uitgerold. Deze feature stelt Microsoft in staat om automatisch noodoplossingen te installeren.

Google heeft een patch uitgebracht voor een actief aangevallen zeroday kwetsbaarheid in Chrome. Het gaat daarbij om CVE-2021-37973, een kwetsbaarheid waarvan de impact als hoog is beoordeeld. Het dringende advies is daarom om zo snel mogelijk te updaten naar Google Chrome 94.0.4606.61.

Er wordt verder gewaarschuwd voor een kritieke kwetsbaarheid in VCenter Server van VMware. Deze kritieke kwetsbaarheid wordt momenteel actief misbruikt, waardoor cybercriminelen systemen op afstand kunnen overnemen. De impact van deze kwetsbaarheid, CVE-2021-22005, is beoordeeld met een 9,8. Bovendien leent deze kwetsbaarheid zich ook voor mogelijke ransomware-aanvallen.

Binnen de ransomware-aanvallen zien we een ontwikkeling van double extortion naar triple extortion. Dat betekent dat data niet alleen gegijzeld wordt en er losgeld gevraagd wordt, maar cybercriminelen ook inzetten op afpersing door te dreigen de gegijzelde data te koop aan te bieden of te publiceren. Triple extortion gaat echter nog verder, in deze gevallen wordt door de cybercriminelen actief contact gezocht met bijvoorbeeld klanten en media om zo het aangevallen bedrijf in diskrediet te brengen. In de meest agressieve vorm worden er zelfs actief aanvallen op de reeds getroffen organisaties uitgevoerd om het herstelproces te saboteren en de druk op te voeren.

#WakeUpWednesday 22 september 2021

Ondanks de toenemende aandacht voor preventieve maatregelen blijven Nederlandse organisaties kwetsbaar voor cybercriminelen. Zo bleek uit onderzoek dat meer dan driekwart van de zorginstellingen risico loopt op e-mailfraude. Er is een toenemende afhankelijkheid van e-mail in digitale processen, denk aan het maken van afspraken of online consulten. Tegelijkertijd is e-mail nog steeds een van de meest gebruikte manieren om toegang te krijgen tot gegevens van medewerkers en de organisatie. Vergroot daarom het cyberbewustzijn van medewerkers, zorg dat systemen goed zijn ingericht en stel tooling beschikbaar zodat medewerkers ook in staat zijn om veilig digitaal te werken.

Ransomware blijft populair bij cybercriminelen, een op de drie financiële instellingen blijkt afgelopen jaar doelwit te zijn geweest van een ransomware-aanval. Dit blijkt uit wereldwijd onderzoek van Sophos. De financiele sector is een van de best voorbereide sectoren, mede door alle wet- en regelgeving waar aan moet worden voldaan. Toch bleek van deze aanvallen ongeveer de helft succesvol. In onze virtual expert lunch geven wij meer inzicht in hoe financiële instellingen kunnen testen of ze bestand zijn tegen geavanceerde cyberaanvallen en de gevolgen.

Onderzoekers werken aan een overzicht van kwetsbaarheden die worden gebruikt voor het initiëren van een ransomware-aanval. Door het toenemend aantal exploits dat wordt gebruikt te combineren met het aantal kwetsbaarheden dat actief wordt uitgebuit is het aantal aanvalsvectoren groot. Het overzicht biedt handvatten om snel en adequaat te kunnen handelen bij een ransomware-aanval. Het is overigens een misverstand dat alleen nieuwe kwetsbaarheden worden misbruikt door cybercriminelen: De Cring-groepering maakt bijvoorbeeld gebruik van de reeds 11 jaar oude ColdFusion-kwetsbaarheid.

#WakeUpWednesday 15 september 2021

Steeds vaker worden computers, maar ook smartphones, misbruikt voor het minen van cryptocurrency. Door de bestaande beveiligingsmechanismen te omzeilen kunnen cybercriminelen deze apparatuur voor hun eigen doeleinden inzetten. Volgens onderzoekers van beveiligingsbedrijf Imperva omvatten nieuwe cryptojacking-technieken meestal malware die legitieme cryptocurrency-miningsoftware installeert op specifieke systemen. Deze legitieme software is meestal aangepast om gegenereerde digitale munten om te leiden naar wallets, digitale portemonnees, die worden beheerd door de criminelen.

Het patchen van systemen is en blijft een belangrijk middel om digitale kwetsbaarheden te minimaliseren. Twee belangrijke patches van de afgelopen dagen zijn die van Microsoft en Apple. Microsoft heeft een patch uitgebracht voor de inmiddels actief aangevallen kwetsbaarheid CVE-2021-40444. Apple heeft deze week een patch uitgebracht waarbij kwetsbaarheden in iOS zijn opgelost. iOS 14.8 biedt onder meer een oplossing voor een kwetsbaarheid die actief werd gebruikt door de Pegasus-spyware, waarmee op afstand toegang kon worden verkregen tot onder andere iPhones, zonder dat de eigenaar op een link hoefde te klikken.

Dit artikel schetst een onthutsend beeld over exploits uit 1999 die nog steeds worden misbruikt. Een kwetsbaarheid die geen grote impact had in 2016, kan in 2021 ineens wel groter risico betekenen. De verhouding tussen het zien van de noodzaak van het patchen versus de daadwerkelijke uitvoering wordt hiermee pijnlijk duidelijk.

Data is voor cybercriminelen waardevol, maar waarom? Veel mensen hebben het idee dat cybercriminelen met hun naam, mailadres en geboortedatum niet zo veel kunnen. In dit artikel wordt uitgelegd hoe cybercriminelen omgaan met persoonlijke gegevens en deze in hun voordeel gebruiken. De waarde van een dataset wordt bepaald op basis van verschillende criteria. Zo blijken creditcardgegevens minder waardevol te worden omdat deze door een extra verificatielaag moeilijker te gebruiken zijn als bijvoorbeeld Paypal-rekeningen.

#WakeUpWednesday 8 september 2021

Nieuwe software releases of belangrijke nieuwsitems zijn voor cybercriminelen een ideaal moment om te gebruiken voor kwaadaardige activiteiten. Momenteel wordt bijvoorbeeld de release van Windows 11 gebruikt voor de verspreiding van malware. In dit geval wordt een attachment mee gestuurd waarbij wordt gesuggereerd dat het document met een nieuwere versie is gemaakt. Daardoor zou het document incompatible zijn met de versie van het slachtoffer, op te lossen door macro’s te enablen en het script te runnen. Op het moment dat je de macro’s ingeschakeld wordt er echter malware geïnstalleerd.

Daarnaast heeft Microsoft een waarschuwing gegeven voor een zeroday in Internet Explorer die momenteel actief aangevallen wordt. Deze kwetsbaarheid (CVE-2021-40444) is aanwezig in alle ondersteunde versies van Windows. Er is nog geen update beschikbaar, geadviseerd wordt om ActiveX-controls uit te schakelen.

Het gros van de smartphone gebruikers krijgt regelmatig SMS-jes met meldingen over bestellingen die afgeleverd worden en waarvan de voortgang via het klikken op een link kan worden gevolgd. Of berichtjes over een gemiste oproep en een achtergelaten voicemailbericht dat via een klik op een link kan worden beluisterd. Er zijn talloze voorbeelden zoals deze, en in bijna alle gevallen is het doel bijvoorbeeld om malware te installeren of inloggegevens te achterhalen. Een andere reden waarom deze activiteiten nog steeds plaatsvinden is om je een duur abonnement te laten afsluiten.

Zorg dat medewerkers zich bewust zijn van hun online activiteiten, of ze nu thuis werken of op kantoor, en help hen om verdachte situaties te herkennen.

#WakeUpWednesday 1 september 2021

Voor een goede cybersecurity is alertheid van medewerkers belangrijk, net als het zicht hebben op je databronnen en systemen. Daarbij gaat het niet alleen om je eigen, live, on-premise systemen maar ook om bijvoorbeeld test-systemen en in gebruik zijnde cloud-oplossingen. Bovendien is het belangrijk om te weten welke functionaliteit er extra wordt geïmplementeerd bij een software-update.

Afgelopen week bleek dat een cybercrimineel zich via de test-omgeving toegang had verschaft tot de productieomgeving van T-Mobile US met onder andere toegang tot klantgegevens van vele tientallen klanten. Persoonlijke gegevens, zoals telefoonnummer, adres- en kentekengegevens zijn buitgemaakt en op fora te koop aangeboden.

In de vorige #WakeUpWednesday hebben we kort melding gemaakt van LockFile ransomware. Bijzonder aan dit ransomware-type is dat dat deze actief probeert ransomware-detectie-tools op basis van statistische content-inspectie te ontwijken.

Microsoft waarschuwt gebruikers van Azure voor een kritieke kwetsbaarheid in haar Azure Cosmos Database, waardoor cybercriminelen zich toegang tot de databases konden verschaffen. De kwetsbaarheid is ontstaan doordat begin dit jaar een specifieke feature standaard voor gebruikers ‘aan’ is gezet, in combinatie met een aantal misconfiguraties. Eerder zorgden features die standaard geactiveerd waren al voor mogelijke kwetsbaarheden bij WhatsApp en Google Groups.

Cybercriminelen worden steeds gehaaider en spelen in op de actualiteit. Wees daarom ook extra alert bij berichten over problemen bij een ‘zoom-meeting’ of een e-mail met een verzoek van bijvoorbeeld een managementteamlid waarbij iets van je gevraagd wordt dat buiten de reguliere kanalen om gaat. Een andere variant die momenteel actief wordt gebruikt is het verzoek van een zogenaamde bankmedewerker om Teamviewer of Anydesk te installeren. Dat zou noodzakelijk zijn ivm een probleem met de bankrekening. In de praktijk wordt via deze sessies de bankrekening geplunderd.

#WakeUpWednesday 25 augustus 2021

We hebben al eerder updates gedeeld met betrekking tot ProxyShell- en PetitPotam-aanvallen. LockFile-ransomware combineert deze aanvallen, waarbij het opvalt dat er een zeer korte tijd zit, 20 a 30 minuten, tussen de tijd dat de servers worden gecompromitteerd en de ransomware-aanval wordt uitgevoerd.

Het Internet of Things, waarbij alledaagse voorwerpen verbonden zijn met internet en allerhande gegevens kunnen uitwisselen, zorgt in toenemende mate voor gevaren op het gebied van cybersecurity. Een toenemend aantal medische apparaten, zoals pacemakers en insulinepompen, blijken kwetsbaar te zijn voor cyberaanvallen. Naast het feit dat hackers daarmee de gezondheid van patiënten in gevaar kunnen brengen, kunnen ze zich ook verdere toegang tot het netwerk verschaffen. Een ander risico werd deze week door Microsoft ontdekt, het bedrijf waarschuwt voor een IoT-botnet dat routers van onder andere Huawei, Netgear en ZTE probeert te infecteren om zogeheten man-in-the-middle-aanvallen uit te kunnen voeren. Op deze manier kan een aanvaller slachtoffers bijvoorbeeld doorverwijzen naar een malafide bankwebsite in plaats van de legitieme. Daarnaast kunnen geïnfecteerde IoT-devices worden ingezet om mee te doen aan DDoS-aanvallen.

Cybercriminelen gebruiken verschillende manieren om bij een organisatie binnen te komen. Een van de manieren is door een medewerker te betrekken bij hun activiteiten. Nigeriaanse oplichters hebben in dit geval een medewerker benaderd met de vraag of deze toegang had tot de server en bereid was om, voor een percentage van het te betalen losgeld, ransomware op het bedrijfsnetwerk los te laten.

#WakeUpWednesday 18 augustus 2021

Afgelopen week is het risico van de Windows LSA Spoofing Vulnerability door het Nationaal Cyber Security Centrum (NCSC) opgeschaald naar high/high (kans/schade). Meer over deze kwetsbaarheid in onze blog.

Daarnaast zijn er weer diverse datalekken gemeld, waaronder bij Blue Sky Group (Pensioenbeheerder van onder andere KLM, Philips en SNS Reaal) en Radboudumc. In beide gevallen zijn er gegevens door menselijk handelen onbedoeld bij derden terecht gekomen. In het geval van Blue Sky Group was de bron een phishing mail.

Phishing campagnes worden steeds professioneler. Alertheid van medewerkers en hen helpen het cyberbewustzijn te vergroten is essentieel om mogelijke incidenten te voorkomen. Zo geeft Microsoft aan dat al ruim een jaar een phishingcampagne gaande is via xls.html-bestand (xls wordt daarbij gebruikt als naam voor een html-bestand). In de phishingmail wordt de indruk gewekt dat het om een factuur gaat. De campagne is gericht op het achterhalen van  inloggegevens, die vervolgens bij latere aanvallen kunnen worden gebruikt.

Het aantal ransomware-aanvallen op connected devices (op het netwerk aangesloten, slimme, apparaten) en de daarmee samenhangende toename van de beveiligingsrisico’s van deze apparaten neemt sterk toe, blijkt uit onderzoek. De reden daarvoor is dat deze apparaten vaak niet of nauwelijks te voorzien zijn van security updates. VoIP telefoons, beveiligingscamera’s en badge-readers zijn over het algemeen niet ontwikkeld volgens het ‘security by design’ principe en ondersteunen geen endpoint security agents. Dat betekent dat je als organisatie de cybersecurity voor deze apparaten wellicht anders moet inrichten om je organisatie toch te beveiligen, denk bijvoorbeeld aan netwerksegmentatie.

#WakeUpWednesday 11 augustus 2021

Ransomware blijft organisaties flink bezig houden. Wij hebben recentelijk een sample van BlackMatter, een nieuwe speler op dit vlak, geanalyseerd. Dit sample steunt de analyse dat BlackMatter een rebrand van DarkSide is. De blog geschreven door Gijs geeft meer gedetailleerde technische achtergrond. Verder is er een playbook gepubliceerd over de werkwijze van Conti, een aantal specifieke zaken staan in deze write-up van collega Niels vermeld.

Mocht je getroffen zijn door Kaseya dan is er goed nieuws: er is een werkende masterkey beschikbaar voor decryptie.

Op het Britse eiland ‘Wight’ starten een aantal scholen het nieuwe schooljaar later nadat ze zijn getroffen door ransomware en niet beschikken over een goed werkende back-up. Zorg dat je als organisatie de basis op orde hebt want succesvolle ransomware-aanvallen hebben grote gevolgen en kunnen voor maatschappelijke ontwrichting zorgen.

Er is een nieuwe kwetsbaarheid gepubliceerd onder de naam ProxyShell. Zie onze blog voor meer informatie.

Naast Ransomware is ook het voorkomen van datalekken voor veel organisaties een voortdurend punt van aandacht. Een datalek kan op diverse manieren ontstaan. Zo is ook het zonder noodzaak inkijken van een medisch dossier technisch gezien een datalek, net als het e-mailen van persoons- of bedrijfsgegevens naar de verkeerde persoon. Het is een misverstand dat datalekken altijd direct worden opgemerkt. De Universiteit van Kentucky, waar een aanvaller zich begin dit jaar toegang had verschaft via een kwetsbaarheid in een van de websites, is hier helaas een voorbeeld van. De aanvaller had de achterliggende database met gegevens van 355.000 leerlingen en docenten buitgemaakt. Dit werd pas opgemerkt toen de Universiteit een jaarlijkse pentest (penetratietest) liet uitvoeren. 

#WakeUpWednesday 4 augustus 2021

De vele cybersecurity-incidenten rondom Kaseya zijn de afgelopen weken ruimschoots in het nieuws geweest. Naar verluidt heeft Kaseya deze decryptor bemachtigd en wordt er hard gewerkt om slachtoffers te helpen herstellen. In een recent artikel laat Kaseya weten dat ze geen losgeld hebben betaald om de decryptor te bemachtigen.

Microsoft heeft afgelopen week informatie gedeeld over een nieuwe kwetsbaarheid genaamd PetitPotam. Deze kwetsbaarheid heeft betrekking op NTLM onder Windows en zorgt er onder andere voor dat een aanvaller een domain controller over kan nemen. In dit artikel staan mitigerende maatregelen voor domain controllers, dus zorg ervoor dat kwetsbare systemen in je organisatie gecheckt worden.

De afgelopen weken zijn er meerdere datalekken bekend gemaakt, waaronder een datalek bij verschillende huisartsen. De vaccinatiegegevens van zo’n 700 patienten zijn hierbij zonder toestemming gedeeld met het RIVM. Ook de GGD sluit niet uit dat een vergelijkbaar datalek bij hen voorgekomen zou kunnen zijn. Om een dergelijk datalek te voorkomen is het belangrijk om van tevoren altijd een risicoanalyse te maken en ook tijdens gebruik het systeem blijven testen en controleren. Zeker voor systemen die zulke gevoelige informatie verwerken is het verstandig een penetratietest te laten uitvoeren. Daarmee kun je namelijk kwetsbaarheden in de software voor zijn, die anders op een later moment mogelijk voor een datalek kunnen zorgen.

Initial Access Brokers (IAB’s) zijn individuen of groepen die erin zijn geslaagd om stilletjes toegang te krijgen tot een bedrijfsnetwerk of -systeem door middel van bijvoorbeeld gestolen inloggegevens, brute-force-aanvallen of door misbruik te maken van kwetsbaarheden. In dit artikel een aantal trends met betrekking tot de activiteiten van IAB’s op basis van wereldwijde onderzoeksgegevens van het afgelopen jaar.

#WakeUpWednesday 21 juli 2021

Afgelopen week lieten we weten dat er patches beschikbaar zijn gekomen voor de on-premise oplossingen van Kaseya en de Windows Print Spooler kwetsbaarheid. Daarnaast heeft Microsoft afgelopen week laten weten dat ze een zero-day kwetsbaarheid hebben gevonden in de SolarWinds Serv-U software. SolarWinds heeft voor deze kwetsbaarheid al een patch beschikbaar. Zorg ervoor dat deze patches worden geïnstalleerd als je de betreffende software gebruikt.

Hackgroepen die met ransomware je bestanden gijzelen gebruiken tegenwoordig ook vaak de zogeheten ‘double-extortion’-strategie. Deze strategie houdt in dat de hackers eerst gevoelige bestanden exfiltreren (stelen) om hun positie in de afpersing sterker te maken. ReversingLabs meldde afgelopen week dat ze malware hebben gevonden die hier specifiek voor ontwikkeld is. In hun blog staan een aantal indicatoren van deze malware. Het herkennen van deze malware zou een early-warning kunnen zijn voor een potentiële ransomware-aanval.

Ransomware-aanvallen komen steeds vaker voor en de impact ervan wordt ook steeds groter. Neem bijvoorbeeld de aanval op Colonial Pipeline in de VS. De Amerikaanse DHS en DOJ hebben daarom afgelopen week een nieuw initiatief gelanceerd genaamd StopRansomware.gov. Het doel van dit initiatief is een collectieve resource van informatie ter beschikking te stellen waarmee organisaties zich beter kunnen wapenen tegen ransomware. Op StopRansomware.gov staat o.a. stapsgewijs beschreven wat je kunt doen ter preventie, detectie en als je eenmaal geïnfecteerd bent.

Afgelopen weekend is er ook weer een datalek gemeld, deze keer bij het ministerie van Justitie en Veiligheid. Een externe medewerker had tegen de regels in gevoelige informatie naar een eigen werkomgeving gekopieerd. Deze informatie is vervolgens ook bij twee andere overheidsomgevingen beland. De persoonsgegevens van zo’n 65000 ambtenaren zijn hierbij gelekt, omdat een medewerker de regels niet heeft gevolgd.

FortiNet heeft een advies uitgebracht met betrekking tot een kritieke kwetsbaarheid (CVE-2021-32589) in de producten FortiManager en FortiAnalyzer. Door het beveiligingslek kan een externe, niet-geverifieerde aanvaller ongeautoriseerde code als root uitvoeren door een specifiek vervaardigd verzoek naar de fgfm-poort van het doelapparaat te sturen. Lees voor meer informatie het FortiNet-advies.

#WakeUpWednesday 14 juli 2021

Afgelopen week is er veel aandacht geweest voor de problemen rondom Kaseya en voor de Microsoft printnightmare. De laatste update met betrekking tot Kaseya: er is een patch beschikbaar voor de on-premise oplossingen. Meer info in onze blog.

Voor de problemen rondom Microsoft is er een patch beschikbaar, echter dienen er ook configuratie wijzigingen doorgevoerd te worden om volledig beschermd te zijn. De laatste updates staan hier beschreven.

Daarnaast zijn er afgelopen week weer meerdere datalekken geweest waarbij privégegevens onbedoeld in handen van derden zijn gekomen. Het gaat daarbij om diverse combinaties van voor- en achternaam, emailadres, adresgegevens en bankgegevens. Zorg er daarom voor dat je verschillende wachtwoorden gebruikt voor de verschillende online webshops en applicaties. Maak daarnaast indien mogelijk gebruik van multifactorauthenticatie.

Zorg dat medewerkers alert en cyberbewust zijn. Cybercriminelen worden steeds creatiever en maken ook regelmatig gebruik van de combinatie tussen on- en offline activiteiten. Een van de meest sprekende of overtuigende voorbeelden is wel de combinatie tussen vishing en een fysiek bezoek van een zogenaamde bankmedewerker.

#WakeUpWednesday 7 juli 2021

Afgelopen week is er veel te doen geweest rondom de supplychain-attack bij Kaseya. Een van de lessen die hieruit getrokken kan worden is dat cybersecurity niet alleen draait om het voorkomen van incidenten, prevent, maar ook om snelle detectie en het nemen van gepaste actie, response. In onze blog houden we de laatste ontwikkelingen bij over de ransomware-aanval die gaande is via een supply chain attack bij Kaseya.

Naast deze aanval waren er twee Microsoft kwetsbaarheden, eentje in PowerShell 7 en een RCE- kwetsbaarheid in Windows Print Spooler die om updates vroegen. Voor PowerShell 7 geldt dat wordt aangeraden om zo snel mogelijk te updaten naar PowerShell versie 7.0.6 of 7.1.3. Voor de RCE-kwetsbaarheid geldt dat alle ondersteunde Windowsversies kwetsbaar zijn. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk. Er is inmiddels een update voor de print spooler kwetsbaarheid gepusht.

We sluiten deze week af met een nieuw datalek bij Linkedin. Combinaties van wachtwoorden en mailadressen liggen daarbij op straat. Het advies is om je Linkedin wachtwoord te wijzigen en voor alle applicaties en/ of online accounts een uniek wachtwoord te bedenken.

#WakeUpWednesday 30 juni 2021

Ransomware is een gevaar voor de nationale veiligheid, zo stelt de Nationaal Coördinator Terrorismebestrijding (NCTV) deze week in het Cybersecuritybeeld Nederland 2021. Een gevaar dat ook wij signaleren. Onze analisten werken daarom dagelijks zeer nauw samen met diverse instanties om de gevolgen van dit gevaar te minimaliseren. Een van de resultaten van die inspanningen is een nieuwe decryptor. Deze decryptor kan in een aantal gevallen helpen om bestanden die zijn versleuteld door Lorenz ransomware te ontsleutelen, zonder betaling van het gevraagde losgeld. De decryptor wordt gratis beschikbaar gesteld via nomoreransom.

Een andere ontwikkeling op het vlak van ransomware is dat ransomware-organisaties websites maken om affiliaties te werven. Zo worden er wervende teksten gebruikt om partners aan te trekken die de Ransomware as a service kunnen gebruiken. Hierdoor kunnen veel meer cybercriminelen (ook zonder specifieke ransomware-kennis), deze vorm van cybercriminaliteit inzetten.

In het verlengde van het eerdergenoemde Cybersecuritybeeld wordt er zowel vanuit de overheid als vanuit de wetenschap een beroep gedaan op organisaties om de kennis op het gebied van cybersecurity en informatiebeveiliging bij medewerkers te vergroten. Een van deze initiatieven is geïnitieerd door ACCSS, met een open brief genaamd: “Open Brief: Overstappen naar de Cloud, bezint eer ge begint“. Weet waar je data is opgeslagen, onder welke voorwaarden en wie er toegang hebben.

#WakeUpWednesday 16 juni 2021

Cybersecurity is niet alleen een belangrijk onderwerp tijdens kantooruren. Cybercriminaliteit kan altijd en overal plaatsvinden. Het nemen van basismaatregelen, waaronder het vergroten van het cyberbewustzijn van medewerkers, kan daarbij het risico op een incident reduceren. Ook tijdens de vakantie. Denk bijvoorbeeld aan bewustzijn rondom de risico’s als het gaat om gratis wifi, een eenvoudige eerste stap.

Gegevens opzoeken en e-mailen doen we allang niet meer alleen met de pc, dat kan net zo makkelijk met de mobiele telefoon. Kortom het up-to-date houden van deze apparaten is nu net zo belangrijk als het netwerk. Cybercriminelen kunnen via vooraf geïnstalleerde Samsung Apps gebruikers bespioneren en toegang krijgen tot data. Meerdere kwetsbaarheden zijn in April en mei gepatcht. Weten jouw medewerkers dit ook?

Krijg je te maken met een datalek? Vergeet deze niet te melden bij de Autoriteit Persoonsgegevens. Het niet, of niet op tijd, melden kan resulteren in een boete. Er zijn verschillende manieren waarop een datalek kan ontstaan. Zo is de VPRO getroffen door een datalek na een inbraak op een server bij een leverancier. Potentieel zijn daarmee duizenden abonnees getroffen.

#WakeUpWednesday 9 juni 2021

Cybercriminelen maken actief gebruik van een kwetsbaarheid in VMware vCenter-server waarbij een aanvaller een dergelijke server op afstand kan overnemen. Er is sinds 25 mei een patch beschikbaar voor CVE-2021-21985, maar toch zijn er nog veel systemen kwetsbaar. Wij adviseren om systemen, indien mogelijk,  zo snel mogelijk te patchen.

Ook voor Citrix systemen en appliances zijn er twee kritieke kwetsbaarheden die dringend aandacht vragen. Details over deze kwetsbaarheden vind je in de blog die we gisteren hebben gepubliceerd.

Daarnaast heeft Microsoft tijdens haar patchronde updates vrijgegeven voor zes kwetsbaarheden, waarvan er eentje, CVE-2021-33742, als kritiek is bestempeld. Dit is een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Zo snel mogelijk patchen is ook hier het dringende advies.

De afgelopen weken waren de ontwikkelingen rondom de ransomware bij Colonial pipeline veelvuldig in de media. De oorsprong van deze omvangrijke ransomware is een samenloop van diverse aspecten op het gebied van mens, proces en techniek. In dit geval werd hetzelfde wachtwoord door een gebruiker op meerdere plekken gebruikt. Het gelekte vpn-wachtwoord hoorde bovendien bij een account dat niet meer in gebruik was, maar dat nog wel werkte. Doordat er geen gebruik werd gemaakt van multifactorauthenticatie was het voor cybercriminelen relatief eenvoudig om binnen te komen. Inmiddels zijn de bitcoins waarin het losgeld werd betaald getraceerd en terug gehaald door een van de accounts die door de cybercriminelen werd gebruikt te hacken.

Doordat cybercriminelen inhaken op dit soort nieuwsberichten zijn er inmiddels ook de eerste phishing-aanvallen ontdekt waarbij deze ransomware-aanval als aanleiding wordt gebruikt. Medewerkers worden daarbij gevraagd om ransomware-systeemupdates te installeren. Deze updates beschermen je echter niet tegen ransomware, maar faciliteren dit soort aanvallen.

#WakeUpWednesday 2 juni 2021

Afgelopen week werd bekend gemaakt dat cybercriminelen een advertentiecampagne op Google waren gestart om geïnteresseerden in AnyDesk (een oplossing voor remote desktop toegang) te misleiden. Deze personen werden op ingenieuze wijze verleid, waarbij een kloon van de originele website werd gebruikt om vervolgens malware te kunnen installeren.

Een andere slimme manier die afgelopen dagen de publiciteit haalde is de oplichting en/of afpersing van tankstationhouders. Nadat er in april al sprake was van een vorm van Whatsapp-fraude, wordt er nu contact opgenomen waarbij wordt aangegeven dat er is doorgereden zonder te betalen en dat men alsnog de benzine wil betalen. Daarop wordt gevraagd om de naam en het rekeningnummer door te geven, of om een betaalverzoek te doen. Wat volgt is geen betaling, maar gijzelsoftware of een virus.

Het is goed om je te realiseren dat cybercriminelen niet alleen gebruik maken van online middelen. Wat te denken van de variant waarbij je een mail krijgt met een afgesloten abonnement voor een online streaming dienst. Deze heb je niet zelf afgesloten, dus bel je het nummer dat in de mail vermeld staat om je beklag te doen. Een medewerker uit het callcenter helpt je vervolgens om het (niet bestaande) abonnement te annuleren en tegelijkertijd malware op je PC te installeren.

Niet alleen aan de gebruikerskant, ook aan de technische kant zijn er de nodige ontwikkelingen. De CISA (Cybersecurity & Infrastructure Security Agency), heeft vorige week een update gegeven voor de kwetsbaarheden in Pulse Connect Secure. Het advies is om, mochten de patches voor deze kwetsbaarheden nog niet geïnstalleerd zijn, deze zo snel mogelijk te installeren.

#WakeUpWednesday 26 mei 2021

Afgelopen week is er veel aandacht besteed aan de standaardinstellingen van Whatsapp. Dat iedereen willekeurige mensen (mensen die niet in je contactenlijst staan) kan toevoegen aan een Whatsappgroep kan makkelijk zijn. Toch is het goed om even stil te staan bij het feit dat deze functionaliteit naast gebruikersgemak ook een negatieve ervaring kan opleveren. Het levert namelijk ook een groot risico op voor bijvoorbeeld phishing of afpersing. Zorg er daarom voor dat je weet welke applicaties je geïnstalleerd hebt, welke functionaliteit deze bieden en waar ze toegang tot hebben.

Voorbeelden uit Amerika laten zien dat cybercriminelen daar regelmatig de gegevens van vermiste mensen misbruiken voor hun campagnes. Gegevens van gezinsleden die hun dierbaren zoeken, worden via verschillende online kanalen achterhaald, waarna deze mensen benaderd worden met onder andere losgeldclaims.

Ook QR-codes worden misbruikt om mensen naar malafide sites te sturen. Op die site wordt vervolgens gevraagd om persoonsgegevens in te vullen die kunnen worden misbruikt. Een andere mogelijkheid is dat vanaf de malafide site kwaadaardige software wordt geïnstalleerd.

Tot slot heeft VMWare een update vrijgegeven voor kritieke kwetsbaarheden CVE-2021-21985 en CVE-2021-21986. Deze zijn van invloed op VMware vCenter Server (vCenter Server) en VMware Cloud Foundation (Cloud Foundation) en kunnen gebruikt worden voor remote code execution. Het advies is om deze zo snel mogelijk te patchen.

#WakeUpWednesday 19 mei 2021

Recent heeft Microsoft een patch vrijgegeven voor twee kritieke kwetstbaarheden,  CVS-2021-31166 en CVE-2021-28476, deze zijn door Microsoft ingeschaald als “Critical”.  Meer informatie over deze kwetsbaarheden in onze blog. Wij adviseren uiteraard om de uitgebrachte patches zo snel mogelijk te installeren!

Naast bovenstaande kwetsbaarheden in Windows, zijn er ook signalen dat cybercriminelen de Microsoft Build Engine gebruiken om malware te verspreiden. De aanvallers verspreiden input-bestanden voor de build-tool MSBuild. In deze input-bestanden worden malafide uitvoerbare bestanden gestopt die vervolgens op het moment van compileren en deployen achterdeurtjes openen op het systeem in kwestie.  Deze maken het vervolgens mogelijk dat cybercriminelen de controle over de machines van de slachtoffers kunnen krijgen en gevoelige informatie kunnen stelen.

Vorige week gaven we in onze wakeupwednesday aan dat de Franse tak van verzekeraar AXA losgeld dat in ransomwarecases betaald dient te worden, niet meer vergoed. Deze week werd bekend dat een Aziatische divisie van het bedrijf recentelijk is getroffen door ransomware. De aanval is opgeëist door de groep achter de Avaddon-ransomware. De groep heeft inmiddels een deel van de buitgemaakte data, waaronder screenshots van id-kaarten en paspoorten, openbaar gemaakt.

Ook de FBI en het Australische Cyber Security Centre (ACSC) waarschuwden al voor de Avaddon-ransomware. Daarbij werd ook het dringende advies gegeven om meer aandacht te besteden aan de beveiliging van thuiswerkoplossingen. Deze worden veel gebruikt door aanvallers om toegang tot bedrijfsnetwerken te krijgen.

Het afgelopen jaar is het online shoppen enorm toegenomen, met als gevolg ook een sterke groei in het aantal pakketjes. Cybercriminelen spelen op verschillende manieren in op deze ontwikkeling. Onlangs raakten meer dan 10.000 Androidtelefoons in Belgie besmet met FluBot-malware, een banking trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Deze malware maakt gebruik van een sms-bericht waarin wordt aangegeven dat de bezorger met je pakket onderweg is met een track and trace link die verwijst naar een malafide app die malware bevat. De malware verstuurt vervolgens een sms naar willekeurige mensen. Ook KPN waarschuwt inmiddels voor deze malware en voor mogelijk onverwachte hoge telefoonrekeningen.

Naast het patchen van systemen is en blijft het zeer belangrijk om je medewerkers, ook als ze thuiswerken, bewust te maken van de vele verschillende manieren waarop cybercriminelen toegang proberen te krijgen tot bedrijfsgegevens en -netwerken.

#WakeUpWednesday 12 mei 2021

Op 4 en 5 mei zijn er blogs gepubliceerd voor onder andere Dell driver en 21Nails Exim kwetsbaarheden. Voor de details over deze kwetsbaarheden en hoe deze zijn te verhelpen, verwijzen we je graag naar de desbetreffende blogs.

Adobe heeft een patch vrijgegeven voor een kwetsbaarheid (CVE-2021-28550) in haar applicaties voor Windows en MacOS. In totaal blijken 12 Adobe applicaties kwetsbaar. Wij adviseren om deze patch zo snel mogelijk te installeren omdat deze kwetsbaarheid momenteel actief wordt benut.

Daarnaast ziet het CBS een forse stijging van het aantal datalekken bij grote bedrijven. Zo geeft het CBS aan dat in 2019 een kwart van de bedrijven met 250 of meer medewerkers getroffen werd door een datalek ten gevolge van een intern incident. In 2018 lag dat percentage nog op 17%. Relatief gezien kwamen de meeste datalekken voor in de gezondheidszorg. In totaal werden er in 2019 bij de Autoriteit Persoonsgegevens (AP) bijna 30.000 meldingen gedaan.

Bezorgdienst Gorillas heeft recentelijk gegevens van 200.000 klanten en bezorgers gelekt. Bij de klantgegevens zijn onder andere: naam, adresgegevens, creditcardgegevens  en e-mailadres gelekt, in het geval van de bezorgers betrof het naam en telefoonnummer. De data bleek via een API eenvoudig toegankelijk te zijn, eerder werd soortgelijke  kwetsbaarheid misbruikt bij de Duitse bezorgdienst Flink.

Verzekeraar AXA geeft aan dat zij in Frankrijk stopt met het vergoeden van losgeld dat slachtoffers van ransomware dienen te betalen aan criminelen om weer toegang te krijgen tot hun data en systemen. Deze stap wordt door veel partijen nauwlettend gevolgd.

Om ransomware een halt toe te roepen hebben 60 vertegenwoordigers van de securitysector en Amerikaanse overheden een taskforce opgericht om ransomware te bestrijden. Ze worden daarbij onder andere gesteund door Europol. Ook naar de verantwoordelijkheid van de ISP wordt gekeken, alsmede naar het betaaltraject. Omdat cryptovaluta een belangrijke rol speelt bij de betaling in ransomwarecases, zal ook op dit vlak worden gekeken naar mogelijke maatregelen.

#WakeUpWednesday 5 mei 2021

Er zijn meerdere kwetsbaarheden in Exim mailserver ontdekt. Deze kwetsbaarheden samen hebben de naam 21Nails gekregen omdat het gaat om 11 lokaal uit te buiten en en 10 remote uit te buiten kwetsbaarheden. Direct patchen wordt dringend aangeraden. Meer informatie is te vinden in onze blog.

Er is een patch beschikbaar voor de recent bekend geworden kwetsbaarheid in Pulse Connect Secure. Het advies is om deze zo snel mogelijk te installeren.

Ondanks alle waarschuwingen om alert te zijn op email met onverwachte verzoeken zoals het wijzigen van een bankrekeningnummer, is een fout zo gemaakt. Afgelopen week werd bekend dat webwinkel Bol.com 750.000 euro heeft overgemaakt naar het rekeningnummer van oplichters in plaats van naar dat van Brabantia. Blijf alert op wijzigingsverzoeken en zorg voor een procedure waarbij verzoeken tot bijvoorbeeld het wijzigen van een rekeningnummer altijd op een tweede manier, zoals telefonisch contact met de desbetreffende partij, worden getoetst.

De Zwitserse cloud provider Swiss Cloud is getroffen door ransomware, waardoor duizenden klanten geen toegang hebben tot hun applicaties en data. Wees je bewust dat criminelen, als ze toegang hebben tot de systemen van je cloud provider, ze wellicht ook toegang kunnen krijgen tot jouw systemen. Toets als organisatie daarom regelmatig je eigen cybersecuritymaatregelen en zorg dat er ook offline backups beschikbaar zijn van je systemen en data.

In zeer veel organisaties wordt er steeds meer apparatuur gekoppeld en data ontsloten via het Internet. Zowel voor IT als OT (operationele technologie) heeft het Internet of Things (IoT) een enorm potentieel. Tegelijkertijd is het noodzakelijk om je ook bewust te zijn van de risico’s die je met IoT loop. Microsoft heeft recentelijk veel (meer dan 25) kwetsbaarheden gevonden in IoT en OT apparaten.

Ondanks dat het patchen van de software voor deze apparaten vaak erg lastig is, is dit wel noodzakelijk. Mocht het niet noodzakelijk zijn dat deze apparaten een connectie met het internet hebben, dan is het offline halen van deze apparaten uiteraard de meest eenvoudige oplossing. Daarnaast is het segmenteren van het netwerk, waarbij deze apparaten in een eigen segment worden geplaatst, een stap die bijdraagt aan het vergroten van de cybersecurity binnen de organisatie.

Last but not least: Gebruik je een iPhone dan is het advies om de nieuwste iOS-update zo snel mogelijk te installeren (mocht je dat nog niet gedaan hebben). Naast de nieuwe privacypolicies die zijn geïmplementeerd zijn er ook maar liefst 50 kwetsbaarheden gepatcht.

#WakeUpWednesday 28 april 2021

De afgelopen week zijn er door diverse organisaties waarschuwingen gegeven voor kwetsbaarheden in hun software. Patchen is essentieel, daar waar nog geen patch beschikbaar is (Pulse Secure), is een workaround beschreven.

Daarnaast kwam Apple in de media als slachtoffer van het hackerscollectief REvil. Er is 50 miljoen dollar aan losgeld geëist voor blauwdrukken en andere vertrouwelijke data. De hackers kwamen in het bezit van deze informatie via een supplychain attack.

Een andere ransomware aanval werd door cybercriminelen uitgevoerd op ICT-leverancier Managed IT. Deze aanval had ook kunnen worden uitgevoerd als suppychain attack, maar gelukkig werden de systemen en data van de aangesloten notariskantoren niet geraakt.

#WakeUpWednesday 21 april 2021

De afgelopen dagen zijn er weer meerdere kwetsbaarheden bekendgemaakt.

Pulse Secure waarschuwt voor een lek in Pulse Connect Secure, een oplossing die wordt gebruikt voor VPN-verbindingen. Deze kwetsbaarheid (CVE-2021-22893) wordt als zeer kritiek beschouwd en momenteel ook actief aangevallen. Cybercriminelen kunnen op afstand kwetsbare vpn-servers overnemen, de blog van FireEye beschrijft een aantal scenario’s. Momenteel is er nog geen patch beschikbaar voor deze kwetsbaarheid, de beveiligingsupdate wordt in mei verwacht. Wel zijn er mitigerende maatregelen die kunnen worden genomen. Lees voor de laatste info ook onze liveblog

Daarnaast zijn er ook drie kwetsbaarheden gepubliceerd die betrekking hebben op SonicWall Email Security. Met name CVE-2021-20022 is ernstig, deze kan er voor zorgen dat een aanvaller met een http-pakket aan administratoraccount kan aanmaken. Ook deze kwetsbaarheden worden momenteel actief gebruikt. Voor deze kwetsbaarheden is 19 april een patch uitgebracht.

We kunnen het niet vaak genoeg zeggen: installeer updates en security patches. Niet alleen voor je operating systeem, of bedrijfssoftware maar ook voor bijvoorbeeld je browser. Zowel voor Microsoft Exchange als voor Google zijn er afgelopen week ook weer belangrijke patches vrijgeven!

Microsoft Exchange: Zoals afgelopen week al aangegeven zijn er twee nieuwe zeer ernstige lekken bekendgemaakt waar patches voor beschikbaar zijn.
Google: Er zijn een aantal kwetsbaarheden heeft verholpen in de Chrome-browser. Een ongeauthenticeerde kwaadwillende kan op afstand de kwetsbaarheden mogelijk misbruiken om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens in de context van de applicatie. Hiertoe dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide webpagina te bezoeken. Google heeft aangegeven dat voor de verholpen kwetsbaarheden exploit-code in omloop is.

Ook afgelopen week waren er weer meerdere datalekken. Misschien wel het grootste lek sinds tijden werd geconstateerd bij allekabels.nl. Het gaat daarbij om ruim 3,6 miljoen klantgegevens.
Een ander opvallend lek was dat van vastgoedbedrijf Heijmans. Hier werd per ongeluk een mail verstuurd naar belangstellenden voor een woning in een nieuwbouwproject, met bijgevoegd een Excelbestand met daarin de persoonsgegevens van ruim 1100 andere belangstellenden. Het Excelbestand was helaas niet voorzien van bijvoorbeeld een wachtwoord, waardoor de gegevens door iedereen waren in te zien.

Je digitale beveiliging is essentieel. Een belangrijk detail daarbij is om ook je fysieke beveiliging daarbij niet uit het oog te verliezen. Afgelopen week werd bijvoorbeeld een harde schijf gestolen bij het belastingpand Amsterdam met data van 30.000 personen. De schijf bevat scans van documenten die in de periode juli 2020 tot en met maart 2021 per post zijn verstuurd door circa 30.000 belastingplichtigen. Wees alert op welke data er op externe datadragers staat en waar je deze opbergt!

Het maken van backups is erg belangrijk en zeker als het je meest bedrijfskritische data betreft kan het essentieel zijn voor het voortbestaan van je organisatie. Zorg er daarbij voor dat je van deze data ook een offline backup maakt! Wij zien regelmatig dat deze backups online gemaakt worden en in het geval van ransomware samen met de originele data wordt meegenomen in de encryptie!

#WakeUpWednesday 14 april 2021

In navolging van de kritieke kwetsbaarheden afgelopen maand in Microsoft Exchange (Hafnium), zijn via Patch Tuesday van Microsoft security patches uitgegeven voor nieuw gevonden kritieke kwetsbaarheden. Deze kwetsbaarheden zijn aangetroffen in Microsoft Exchange Server 2013, 2016 en 2019. Klanten van Exchange online zijn reeds beschermd. Via Remote Code Execution kan een kwaadwillende willekeurige code uitvoeren op het systeem. Op dit moment zijn er nog geen directe aanwijzingen dat er exploits beschikbaar zijn. Vanuit Tesorion adviseren wij om zo spoedig mogelijk te patchen.

Doordat een logistiek dienstverlener getroffen is door een aanval met gijzelsoftware zijn er problemen ontstaan met het bevoorraden van Albert Heijn. Hierdoor waren er lege schappen op de kaasafdeling. Zelfs indien een deel van de organisatie getroffen is, blijkt de schade in de rest van de keten aanzienlijk.

Nadat er al eerder wat problemen waren met Zoom, blijken ethical hackers afgelopen week een nieuwe kwetsbaarheid te hebben ontdekt. Deze kwetsbaarheid stelt kwaadwillenden in staat om de besturing over te nemen, ook als Zoom op dat moment niet in gebruik is.

Werd vorige week bekend dat er data van Facebookgebruikers te koop worden aangeboden, deze week blijkt er data van gebruikers van Clubhouse openbaar is gemaakt. De dataset is via scraping tot stand gekomen. Volgens Cybernews zijn de gegevens van 1,3 miljoen gebruikers gecombineerd. Clubhouse is een relatief nieuwe social media app om met verschillende mensen gesprekken te voeren (en te luisteren). Live gesprekken zonder beeld en chatfunctionaliteit. Clubhouse lag overigens al eerder onder vuur, mede vanwege het feit dat je je adresboek moet delen om anderen uit te kunnen nodigen.

#WakeUpWednesday 7 april 2021

Privacy is een groot goed dat tegenwoordig al lang niet meer alleen over compliance gaat. Het is een fundamenteel mensenrecht waar je als organisatie mee wordt geconfronteerd. Mede door de invoering van de AVG betekent dit dat je als organisatie ook de plicht hebt om snel en zorgvuldig te handelen als je slachtoffer wordt van een datalek. Te laat melden kan aanzienlijke kosten met zich meebrengen, zo ondervond Booking.com. De boete bedroeg in dit geval 475.000 Euro.

Ook het aantal datalekmeldingen dat de overheid afgelopen jaar meldde bij de Autoriteit Persoonsgegevens nam met 13 procent toe ten opzichte van het jaar daarvoor. De toename kan echter door de minister nog niet verklaard worden.

Ook Facebook kwam afgelopen week in de media met de mededeling dat gegevens van 533 miljoen gebruikers zijn gelekt, waarvan 5,4 miljoen Nederlanders. De gegevens stammen uit 2019 en konden worden gestolen via een lek dat inmiddels is gedicht. De informatie, waaronder volledige naam, telefoonnummer en geboortedatum wordt momenteel gratis aangeboden.

In het algemeen is het credo: Wees je bewust van je onlineactiviteiten en welke informatie je deelt met derden (ook op social media). Nog steeds werken veel mensen vanuit huis. Het is daarbij belangrijk om je bewust te zijn van het feit dat spam nog steeds een van de meest gebruikte manieren is door cybercriminelen om malware te verspreiden. Daarbij komen er ook nog steeds nieuwe malware varianten op de markt.

De volgende punten zijn daarom nog steeds belangrijk om je te realiseren:

  • Installeer je security updates zodra die binnenkomen;
  • Update je virusscanner en spamfilter;
  • Krijg je mail in je inbox van een onbekende afzender, open deze dan niet;
  • Zorg dat je weet hoe je malafide e-mails kan herkennen;
  • Klik niet op linkjes en laat geen persoonlijke gegevens achter;
  • Zorg dat je weet wat je moet doen, mocht je wel getroffen worden door malware.

De FBI heeft deze week gewaarschuwd voor het gebruik van FortiOS kwetsbaarheden. Geavanceerde aanvallers zijn gedetecteerd, die gebruik maken van de CVE’s CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591. Er wordt door deze groepen op poorten 4443, 8443, en 10443 gescand. Voor meer informatie, zie het bericht van de FBI.

Op 31 maart was het World Backup Day. Een dag om mensen aan het belang van het maken van backups te herinneren. Backups zijn een essentieel onderdeel van een goed cybersecuritybeleid. In het geval van ransomware kan het soms zelfs de enige optie zijn om op terug te vallen.

#WakeUpWednesday 31 maart 2021

Ondanks alle aandacht die er is geweest voor het patchen van Microsoft Exchange zijn er nog steeds organisaties die dit hebben nagelaten. Zoals we op 12 maart al aangaven zijn er cybercriminelen die deze kwetsbaarheid hebben benut voor het plaatsen van ransomware. Deze ransomware wordt momenteel actief ingezet.

Wat veel organisaties over het hoofd lijken te zien is dat patchen wel de kwetsbaarheid verhelpt, maar geen oplossing biedt als cybercriminelen al binnen zijn! Momenteel wordt er via backdoors ransomware geplaatst op servers die inmiddels gepatcht zijn, maar die EERDER wel kwetsbaar waren. Daarnaast is ook een toename te zien van het aantal hacks op webshells. Het is daarom belangrijk om niet alleen te patchen, maar ook je systemen te scannen!

Andere kwetsbaarheden die momenteel actief gebruikt worden door cybercriminelen zijn kwetsbaarheden in het BIG-IP platform van F5. Dit platform wordt veel gebruikt voor onder andere load balancing van (web)servers en (web) application delivery systemen. De kwetsbaarheden zijn twee weken geleden gemeld, een patch is beschikbaar.

Dat data grof geld waard is voor cybercriminelen blijk ook wel uit het recente datalek bij RDC

De privégegevens van mogelijk miljoenen Nederlandse autobezitters zijn gestolen en worden te koop aangeboden op internet. Volgens de NOS gaat het om informatie zoals naam, adresgegevens, e-mailadressen en geboortedata. De gegevens zijn buitgemaakt bij RDC, een ict-dienstverlener voor autobedrijven.

#WakeUpWednesday 24 maart 2021

De afgelopen week is er opnieuw veel aandacht besteed aan de Exchange kwetsbaarheden. Toch is dat niet het enige cybersecuritynieuws van de afgelopen week. Wat gebeurde er nog meer:

Het onderzoeksrapport rondom de hack bij Hof van Twente is gepubliceerd met als belangrijke leermomenten onder andere de kwetsbaarheid door zwakke wachtwoorden. Zorg dus voor definities rondom wachtwoordinstellingen die verder gaan dan 8 karakters, een hoofdletter en afwisseling tussen numeriek en alfanumeriek. Daarnaast waren ook fouten in de netwerkconfiguratie en te veel aannames debet aan deze hack.

Ander opvallend nieuws: Gevangenis moet 600 sloten veranderen door één WhatsApp-foto van stagiair. Gedrag en bewustzijn speelt een belangrijke rol, zowel offline als online. De stagiair uit dit artikel was zich niet bewust dat het delen van een afbeelding van een loper-sleutel voldoende is om het profiel te dupliceren. Maak medewerkers daarom bewust van de mogelijkheden die er ontstaan als er werk gerelateerde afbeeldingen op social media worden gedeeld. Aan het begin van de coronacrisis deelden we bijvoorbeeld massaal afbeeldingen van  online meetingen. In een aantal gevallen met de toegangscode voor de meeting in beeld.

#WakeUpWednesday 17 maart 2021

Was verreweg de grootste hack in het nieuws van afgelopen week. Vier kwetsbaarheden in on-premise Exchange (OWA) servers 2013, 2016 en 2019, niet in O365. Daders zijn (Chinese) state sponsored hackers Hafnium, misbruik door meer dan 10 APT partijen. Er zijn patches die goed moeten worden uitgevoerd, anders werken ze niet. Er wordt niet genoeg gepatched, veel systemen staan nog open. De Zero Day kwetsbaarheid wordt al maanden op grote schaal misbruikt (100.000+ wereldwijd). Met tooling kan je achterhalen of je Exchange is misbruikt, niet wat ze hebben gedaan.

Impact is enorm en het kan nog jaren duren voordat we de impact duidelijk is. Wel is duidelijk dat nu ransomware wordt uitgerold bij organisaties. Bedrijven, universiteiten, banken, overheden alles en iedereen is geraakt.

Belangrijkste voor organisaties is nu om hun omgeving te patchen en te scannen. Tesorion kan je helpen.

Schrijf je in voor onze technische updates

Wil je deze kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Vul dan hieronder je e-mailadres in.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu