Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

17/05/2021

Deel broncode securitybedrijf Rapid7 ingezien via Codecov-backdoor

Lees het originele artikel hier
Software Security

Een deel van de broncode van securitybedrijf Rapid7 is ingezien door de aanvaller achter de Codecov-backdoor. Ook kreeg de aanvaller toegang tot interne inloggegevens en waarschuwingsgerelateerde gegevens voor een deel van de klanten. Dat heeft het bedrijf zelf in een blogposting bekendgemaakt.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt.

Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd.

Rapid7 maakte naar eigen zeggen op één server gebruik van de Codecov-tool. Hierop werd interne tooling ontwikkeld en getest voor de Managed Detection and Response (MDR) service die het bedrijf aan klanten aanbiedt. Via de backdoor kreeg de aanvaller toegang tot een deel van de broncode voor de interne tooling achter de MDR-service. De repositories die door de aanvaller zijn benaderd bleken tevens interne inloggegevens en waarschuwingsgerelateerde data voor een deel van de MDR-klanten te bevatten. Deze klanten zijn inmiddels over het incident ingelicht.

Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Het gaat onder andere om cloudcommunicatieplatform Twilio en softwarebedrijf HashiCorp. De laatstgenoemde besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Recentelijk deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden.

 

Neem contact op met onze experts, om te zorgen dat uw software niet op straat komt, of voor alternatieven van Rapid7

Neem contact op
11/05/2021

VWS in actie tegen datalek door verlopen domein

Lees het originele artikel hier
Cyber Defense

Na het datalek bij jeugdzorginstelling Samen Veilig in de regio Utrecht, is naar boven gekomen dat ook andere zorginstellingen verzaakten hun domeinnaam te verlengen. De dreiging is inmiddels tegemoet getreden. Ook zijn er geen gegevens gelekt.

Dit meldt minister Hugo de Jonge van Volksgezondheid in een Kamerbrief naar aanleiding van het datalek van vorige week bij Samen Veilig. Daarnaast stelt De Jonge dat, om datalekken in de toekomst te voorkomen, alle zorg- en jeugdhulpinstellingen zich aan moeten sluiten bij Z-Cert. Dit is een stichting die is opgezet om ict in de zorg beter te beveiligen.

In de zorg ontstaan regelmatig datalekken via verlopen domeinnamen. Om te voorkomen dat privacygevoelige gegevens van patiënten op straat komen, hebben het ministerie van Volksgezondheid Welzijn en Sport (VWS) en stichting Z-CERT (Computer Emergency Response Team voor de zorg) een handreiking opgesteld. Daarin staat wat zorgorganisaties kunnen doen om de kans op een datalek via een verlopen domeinnaam zo klein mogelijk te maken.

 

Verlengen domeinnaam

Bureau Jeugdzorg Utrecht veranderde in 2015 zijn naam in Samen Veilig Midden-Nederland (SAVE). De oude website van Jeugdzorg Utrecht ging drie jaar later offline en zou normaal gesproken beveiligd worden afgesloten om misbruik te voorkomen. Dat gebeurde niet: de organisatie verlengde de domeinnaam van de website niet, dat zo'n tien euro per jaar kost. Daardoor kon iedereen de website overnemen en kwamen gevoelige dossiers over kwetsbare kinderen op straat te liggen.

Z-Cert stelde na het Utrechtse lek vast dat ook oude domeinnamen van andere zorginstellingen waren vrijgevallen. De Jonge heeft de stichting daarop gevraagd de domeinnamen zelf te registreren om te voorkomen dat anderen ermee aan de haal zouden gaan, wat tot mogelijke datalekken zou kunnen leiden.

De minister vindt dat de hele (jeugd)zorg zich moet aansluiten bij Z-Cert. Hij onderzoekt nog of hij dat ook wil verplichten. Ook stelt hij dat alle zorg- en jeugdhulpinstellingen ten minste gebruik moeten maken van beveiligde e-mailverbindingen, waarvoor ook een NEN1-norm beschikbaar komt.  

Melding bij AP en onderzoeken na datalek Samen Veilig

Met betrekking tot het datalek van vorig week bij Samen Veilig schrijft de minister dat het lek is gedicht en dat Samen Veilig Midden-Nederland (SVMN) een extern bureau heeft ingeschakeld om de omvang en inhoud van het datalek te onderzoeken. Ook is er direct melding gemaakt bij de Autoriteit Persoonsgegevens. Betrokken gemeenten hebben het bestuur en de raad van toezicht van Samen Veilig Midden-Nederland ter verantwoording geroepen en gaan naast het onderzoek dat SVMN zelf uitvoert een eigen diepgravend onafhankelijk onderzoek laten doen naar hoe er met de persoonsgegevens en de privacy van de kinderen is omgegaan.

 

Cert2Connect levert 2 oplossinen die u in staat stellen de domeinen van u en van u leveranciers te monitoren. Reflectiz monitored alle domeinen waarnaar 3rd en 4th, 5th etc party scripts naartoe verwijzen, daarnaast kunt u met Rescana op basis van OSINT de domeinen van uw leveranciers in de gaten houden. Dit maakt het monitoren makkelijk en behoeft minimale inspanning van uw kant. Neem contact met ons op voor meer informatie over deze producten.

Neem contact op met onze Experts
10/05/2021

VS verklaart noodtoestand over ransomware-aanval

Lees het originele artikel hier
Cyber Defense

De Amerikaanse president Joe Biden heeft de noodtoestand afgekondigd vanwege een grote ransomware-aanval afgelopen weekend. Daarbij is de belangrijke oliepijplijn van Colonial Pipeline lamgelegd, die 45% van de diesel-, benzine- en vliegtuigbrandstofbevoorrading verzorgt voor de oostkust van de Verenigde Staten.

De noodwetten die nu van kracht zijn in de VS zorgen ervoor dat achttien staten tijdelijk hun brandstoffen via wegvervoer vanuit Texas kunnen verkrijgen. De verbinding van Colonial Pipeline vervoert normaal gesproken 2,5 miljoen vaten olie per dag, meldt de BBC. Deze stroom is stilgelegd door een ranswomare-aanval die vrijdag is begonnen en waarvan de

Domino-effect dreigt

Volgens experts die de BBC aanhaalt, zullen brandstofprijzen vandaag al zo'n 2 tot 3% stijgen. De impact voor prijsniveaus voor olie en afgeleide producten kan echter veel groter worden als de verstoring aanhoudt. De timing hiervoor zou zeer krap zijn; als er dinsdag geen soelaas is, kan er een domino-effect ontstaan dat door de achttien afgesneden staten heen gaat.

De direct getroffen staten zijn Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas en Virginia. Ondertussen hopen voorraden olie zich op in Texas. Het ingezette truckvervoer kan namelijk niet opboksen tegen de capaciteit van de lamgelegde oliepijpleiding.

Gegijzeld én data gestolen

Naast het gijzelen van de systemen van Colonial Pipeline zouden de aanvallers ook data hebben gestolen. Dit weet persbureau Bloomberg te melden op basis van ingewijde bronnen. Het eigenlijk begin van de aanval zou al op donderdag zijn geweest. Het gehackte bedrijf heeft op vrijdag uit voorzorg bepaalde IT-systemen offline gehaald.

De buitgemaakte gegevens zouden bijna 100 gigabyte aan data zijn, die in twee uur naar buiten zijn gesluisd. Daarna zijn de aanvallers overgegaan tot het versleutelen van systemen en het presenteren van hun losgeldeis. De daders dreigen de gestolen bedrijfsinformatie te openbaren als Colonial Pipeline niet zwicht voor hun afpersing. Het olievervoersbedrijf heeft zondag in een update op zijn website verklaard dat een klein deel van de pijpleiding weer in gebruik is.

Vraag ons naar Cymulate waarmee u zelf kunt testen of uw netwerk kwetsbaar is

contact us
Load more