Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

06/05/2021

Cloudcommunicatieplatform Twilio slachtoffer van Codecov-backdoor

Lees de originele artikel hier
Cyber Defense

Cloudcommunicatieplatform Twilio is één van de bedrijven die slachtoffer is geworden van de supply-chain-aanval op Codecov, waar aanvallers een backdoor aan de software van het bedrijf toevoegden. In het geval van Twilio konden aanvallers via de backdoor e-mailadressen van een "klein aantal" klanten stelen, zo meldt het cloudcommunicatieplatform in een verklaring.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt. Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd.

Twilio maakt binnen de eigen ontwikkelomgeving ook gebruik van Bash Uploader waardoor de aanvallers via de backdoor gegevens konden stelen. Op 22 april werd Twilio door GitHub.com gewaarschuwd dat er verdachte activiteit met betrekking tot de Codecov-aanval was gedetecteerd en er een token van een Twilio-gebruiker was gecompromitteerd. Een aanvaller bleek verschillende GitHub-repositories te hebben gekloond. Daarop startte Twilio een onderzoek naar de inhoud van de gekloonde repositories.

Daaruit blijkt dat de aanvallers e-mailadressen van een "klein aantal" klanten in handen hebben gekregen, maar Twilio noemt geen getallen. Wel zijn alle gedupeerde klanten inmiddels ingelicht. Tevens zijn alle mogelijke gecompromitteerde credentials gewijzigd. Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden.

Eén van de klanten die door de Codecov-backdoor werd getroffen en dit kenbaar maakte was softwarebedrijf HashiCorp. Dat besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Vorige week deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden.

 

Nieuws Item 16 april: 

Script softwarebedrijf Codecov twee maandenlang voorzien van malware

vrijdag 16 april 2021, 15:45 door Redactie, 0 reacties

Een aanvaller die toegang tot de ontwikkelomgeving van softwarebedrijf Codecov wist te krijgen is erin geslaagd om twee maandenlang malware in een script van het bedrijf te verbergen dat wachtwoorden, tokens en keys van klanten buitmaakte. Dat heeft Codecov via de eigen website bekendgemaakt.

Codecov is de aanbieder van Bash Uploader, een script waarmee klanten hun "code coverage" rapporten voor analyse naar Codecov kunnen sturen. Op 31 januari wist een aanvaller toegang tot een Google Cloud Storage (GCS) key van Codecov te krijgen en kon zo het script aanpassen. Zodra klanten het script uitvoeren kon er allerlei vertrouwelijke informatie zoals credentials, tokens of keys naar een server van de aanvaller worden gestuurd.

Volgens Codecov heeft probleem zich voorgedaan door een fout bij het proces dat voor het maken van Docker-images wordt gebruikt. Hierdoor kon de aanvaller de eerder genoemde key achterhalen en zo toegang krijgen om het Bash Uploader-script aan te passen. De malafide aanpassing werd op 1 april ontdekt door een klant die de shasum van het script op GitHub vergeleek met die van de gedownloade Bash Uploader. Die waardes bleken niet overeen te komen.

Het onderzoek dat volgde wees uit dat het script al twee maanden eerder was aangepast. De Bash Uploader wordt ook binnen andere tools van Codecov gebruikt. Het softwarebedrijf heeft gedupeerde klanten gewaarschuwd en adviseert om credentials, tokens en keys van ontwikkelomgevingen waar Bash Uploader is gebruikt te wijzigen.

 

Neem contact met ons op. Wij hebben de oplossing welke uw omgevingen kan monitoren en u een waarschuwing stuurt wanneer er iets veranderd in de third party scripts!

Neem contact met ons op
04/05/2021

Bol.com stort per ongeluk 750.000 euro op rekening van oplichters na doorzichtige truc

Lees de originele artikel hier
Cyber Defense

 Webwinkel Bol.com heeft 750.000 euro gestort op de bankrekening van oplichters, nadat het bedrijf in een doorzichtige poging tot phishing was getrapt. Bol.com betaalde de oplichters 750.000 euro die eigenlijk bedoeld waren voor het bedrijf Brabantia, dat gebruikmaakt van het platform van Bol.com.

Brabantia stapte daarop naar de rechter, die nu in het voordeel van de producent van keukengerei heeft geoordeeld. Bol.com moet het geld nu opnieuw ophoesten. Dat meldt het Financieel Dagblad.

Een vergissing is heel snel gemaakt, train uw medewerkers en uw security teams met ons Cymulate Breach and Attack platform en verhoog het awareness niveau in uw organisatie.

Zie onze cyber defense oplossingen
04/05/2021

Fraudeur doet zich voor als medewerker NCSC

Lees de originele artikel hier
Cyber Defense

LET OP: Het NCSC ontvangt momenteel diverse meldingen  van mensen die een e-mail hebben ontvangen van een persoon die zich voordoet als een medewerker van het NCSC. De betreffende persoon benadert zijn slachtoffers via e-mail waarna ook telefonisch contact volgt. 

De fraudeur gebruikt een Gmail e-mailadres dat ‘NCSC’ bevat. Ook beweert deze persoon in de e-mails dat hij of zij werkzaam is bij het ‘Cyber Fraud Department’ van het Ministerie van Justitie en Veiligheid. In de e-mails wordt verzocht om een bedrag over te maken dat gebruikt zal worden voor het opsporen van fraudeurs.

Wij benadrukken hierbij dat de persoon die hierachter zit, niet werkzaam is bij het NCSC en dus ook niet namens het NCSC handelt. Het verzoek dat gedaan wordt om geld over te maken voor de opsporing van fraudeurs is dan ook niet legitiem. En dat zal het NCSC ook nooit doen.  Mocht u een e-mail ontvangen van een Gmail e-mailadres dat ‘NCSC’ bevat met daarin een dergelijk verzoek, dan kunt u dat bij ons melden via info@ncsc.nl en kunt u bij fraude of oplichting aangifte doen bij de politie.

 

Neem contact op met onze specialisten, zij kunnen u helpen zelf de beveiliging van uw organisatie te controleren.

Neem contact op met onze specialisten
28/04/2021

QNAP updatet anti-malwaretool om Qlocker-ransomware te verwijderen

Lees de originele artikel hier
Cyber Defense

QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data.

QNAP adviseert gebruikers om naar de meest recente versie van de genoemde software te updaten. Tevens wordt aangeraden om de Malware Remover-tool op het NAS-systeem uit te voeren. In het geval data is versleuteld moeten slachtoffers eerst een scan uitvoeren en daarna contact opnemen met de helpdesk van QNAP. Het NAS-systeem moet niet worden uitgeschakeld.

Ook niet getroffen gebruikers wordt uit voorzorg aangeraden om de nieuwste versie van de Malware Remover te installeren. Verder raadt QNAP aan om de standaardpoort 8080 voor het benaderen van het NAS-systeem te wijzigen, back-ups van de data op de NAS te maken en een sterk wachtwoord te gebruiken.

Wilt u weten of uw IT omgeving kwetsbaar is voor cyberaanvallen zoals Qlocker? Test het zelf met Cymulate, houd uw omgeving continue in de gaten en test zelf zovaak u wilt op de laatste nieuw dreigingen.

Meer informatie over Breach and Attack Simulation?
23/04/2021

Data van 34 andere webshops gelekt bij Allekabels-datalek

Lees de originele artikel hier
Cyber Defense

Bij het datalek bij Allekabels.nl zijn ook persoonsgegevens van klanten van 34 andere webshops gelekt. Het gaat om de 33 webshops van DutchDo en Kabeltje.com. Een woordvoerder van Allekabels.nl laat weten dat onduidelijk hoeveel klantgegevens van de 34 webshops gelekt zijn. 

RTL Nieuws onthulde vorige week dat de gegevens van ongeveer 3,6 miljoen Nederlanders in handen van criminelen zijn gevallen. Die gegevens kwamen uit een database van Allekabels.nl, die sinds eind januari te koop wordt aangeboden op een hackersforum. De gegevens worden actief misbruikt om bijvoorbeeld phishingberichten te sturen. 

34 webshops lekten ook

Een lezer tipte AG Connect dat ook Kabeltje.com bij klanten melding heeft gemaakt van een datalek. Tweakers meldde op basis van informatie van Allekabels.nl dat het niet om een nieuw datalek gaat, maar hetzelfde datalek als vorige week. Volgens de nieuwswebsite zijn bovendien ook gegevens van klanten van de DutchDo-webshops uitgelekt. Onder DutchDo vallen nichewinkels als Coaxkabel.nl, Condensators.nl en Draadlozedeurbel.nl. 

Een woordvoerder van Allekabels bevestigt ook tegenover AG Connect dat het om hetzelfde lek gaat en dat DutchDo en Kabeltje.com onder Allekabels valt. Volgens de woordvoerder zijn vorige week onafhankelijke experts van twee securitybedrijven ingevlogen om onderzoek te doen naar het lek. "Met wat zij vonden, zijn we klanten op de hoogte gaan stellen."

Veel klanten ontvingen vorige week vrijdag al een melding van de gelekte gegevens. "Maar een groep met hele specifieke gevallen zijn deze week pas op de hoogte gesteld. Dat zijn mensen die niet één wachtwoord en e-mailadres gebruikte bij onze webshops, maar meerdere e-mailadressen en wachtwoorden voor de verschillende onderdelen. Die moesten dubbel gecheckt worden." De woordvoerder benadrukt dat dit een doorlopend proces is, dus dat er ook later nog e-mails kunnen komen over het datalek. 

Wat is gelekt?

In het datalek van Allekabels.nl zaten 2,6 miljoen unieke e-mailadressen die gekoppeld zijn aan namen, adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn de gegevens van klanten die via een andere webshop bij Allekabels hebben besteld gelekt. Onder die gegevens zitten echter geen e-mailadressen of wachtwoorden. Verder zijn 109.000 IBAN-nummers uitgelekt. 

Uit de mail van Kabeltje.com naar klanten blijkt dat er NAW-gegevens en e-mailadressen uitgelekt zijn. Ook bij DutchDo zijn NAW-gegevens en e-mailadressen buitgemaakt. Van sommige klanten zijn ook 'onherkenbare' wachtwoorden en IBAN-nummers gestolen. Hoeveel klanten van de 34 webshops in het datalek terecht zijn gekomen, kon de woordvoerder niet zeggen. "Maar het gaat per definitie om grote aantallen, want de webshops zijn erg populair."

De woordvoerder meldt verder dat er geen aparte melding nodig was bij de Autoriteit Persoonsgegevens, omdat het om hetzelfde datalek gaat als dat vorige week naar buiten kwam. Van dat lek is al een melding gemaakt. 

 

Weet je wat Third-Party apps op jouw website doen? En wat jouw blind spots zijn? Monitor het met ons Reflectiz platform voor beveiliging en privacy op websites. Test waar je intern het kwetsbaarst bent met onze Cymulate Breach & Attack Simluation.

Of gebruik onze Rescana on-line service om te analyseren wat de Supply Chain risico's zijn voor wanneer je bijvoorbeeld gebruikmaakt van de diensten van een IT-provider.

 

Voorkomen van datalekken? Neem nu contact met ons op.
21/04/2021

Pulse Secure waarschuwt voor actief aangevallen zerodaylek in vpn-software

Lees de originele artikel hier
Cyber Defense

Pulse Secure waarschuwt voor een zeer kritiek en actief aangevallen zerodaylek in de vpn-software van het bedrijf waardoor aanvallers op afstand kwetsbare vpn-servers kunnen overnemen. Een beveiligingsupdate is nog niet voorhanden en volgens Pulse Secure vormt het beveiligingslek een zeer groot risico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10.

Onlangs ontdekte Pulse Secure dat bij een "beperkt aantal klanten" de Pulse Connect Secure (PCS) vpn-server was gecompromitteerd. Bij het grootste deel van de aanvallen waren drie bekende kwetsbaarheden gebruikt, namelijk CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Voor deze beveiligingslekken zijn al beveiligingsupdates beschikbaar.

De aanvallers maakten echter ook gebruik van een onbekende kwetsbaarheid die nu als CVE-2021-22893 wordt aangeduid en het mogelijk maakt om op afstand en zonder authenticatie code op kwetsbare servers uit te voeren. Het beveiligingslek is volgens Pulse Secure tegen een "zeer beperkt aantal klanten" ingezet. Er wordt nu aan een beveiligingsupdate gewerkt die begin mei moet klaar zijn. Tevens is er een workaround gepubliceerd en een tool waarmee klanten kunnen kijken of hun vpn-server is gecompromitteerd.

Securitybedrijf Mandiant heeft een blogpost over de aanvallen gepubliceerd. Via de kwetsbaarheid stelen de aanvallers inloggegevens van Pulse Secure vpn-servers, waardoor ze via legitieme accounts zich lateraal binnen aangevallen omgevingen kunnen bewegen. Om toegang tot de vpn-server te behouden maken de aanvallers gebruik van aangepaste Pulse Secure-bestanden en scripts op de vpn-server.

Organisaties die van de vpn-software gebruikmaken wordt opgeroepen om de tijdelijke mitigaties wanneer mogelijk door te voeren. Tevens wordt opgeroepen om de Pulse Secure Integrity Assurance tool te draaien. Wanneer blijkt dat de vpn-server gecompromitteerd is moet er contact met Pulse Secure worden opgenomen.

 

Weet u welke assets waar toegang toe hebben? En wat uw aanvals oppervlak is? Test het met Cymulate

Naar Cymulate Breach and Attack Simulation
15/04/2021

Data 3,6 miljoen klanten Allekabels.nl gestolen

Lees de originele artikel hier
Cyber Defense

De gegevens van rond de 3,6 miljoen Nederlanders zijn in handen van criminelen. De data zijn afkomstig van een database van Allekabels.nl. Daarmee is sprake van het tot nu toe grootste datalek met wachtwoorden in Nederland ooit.

De gestolen database is eind januari te koop aangeboden op een hackersforum voor een bedrag vanaf 15.000 euro, meldt RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gegevens worden inmiddels al actief misbruikt om onder meer phishingberichten te sturen aan nietsvermoedende klanten van deze webwinkel.

De database bevat 2,6 miljoen unieke e-mailadressen die gekoppeld zijn aan namen, adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn er in de te koop aangeboden databerg een miljoen gegevens te vinden van personen die via een andere webshop bij Allekabels hebben besteld. Die gegevens bevatten geen e-mailadressen of wachtwoorden.

Ook zijn 109.000 IBAN-nummers van de klanten van Allekabels gestolen en verhandeld.

 

Sinds zomer 2020?

Allekabels laat aan RTL weten dat het sinds februari wist dat een werknemer informatie had gestolen en doorverkocht. Dat zou echter om 5000 klantgegevens gaan en die klanten zijn daarover geïnformeerd. RTL haalt nu diverse bronnen aan die stellen dat Allekabels al in augustus 2020 zou zijn gehackt én dat het bedrijf toen al op de hoogte was van de veel grotere datadiefstal. Allekabels houdt echter vol dat deze zeer grote datadiefstal “compleet nieuw” is voor hen.

De Autoriteit Persoonsgegevens (AP) heeft naar aanleiding van het onderzoek van RTL Nieuws informatie en documenten opgevraagd bij Allekabels. Het bedrijf is verplicht die informatie te leveren. De AP heeft de gegevens echter nog niet binnen.

Bel met onze experts voor de laatste innovatieve oplossingen en adviezen hoe dit te voorkomen