Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

10/05/2021

VS verklaart noodtoestand over ransomware-aanval

Lees de originele artikel hier
Cyber Defense

De Amerikaanse president Joe Biden heeft de noodtoestand afgekondigd vanwege een grote ransomware-aanval afgelopen weekend. Daarbij is de belangrijke oliepijplijn van Colonial Pipeline lamgelegd, die 45% van de diesel-, benzine- en vliegtuigbrandstofbevoorrading verzorgt voor de oostkust van de Verenigde Staten.

De noodwetten die nu van kracht zijn in de VS zorgen ervoor dat achttien staten tijdelijk hun brandstoffen via wegvervoer vanuit Texas kunnen verkrijgen. De verbinding van Colonial Pipeline vervoert normaal gesproken 2,5 miljoen vaten olie per dag, meldt de BBC. Deze stroom is stilgelegd door een ranswomare-aanval die vrijdag is begonnen en waarvan de

Domino-effect dreigt

Volgens experts die de BBC aanhaalt, zullen brandstofprijzen vandaag al zo'n 2 tot 3% stijgen. De impact voor prijsniveaus voor olie en afgeleide producten kan echter veel groter worden als de verstoring aanhoudt. De timing hiervoor zou zeer krap zijn; als er dinsdag geen soelaas is, kan er een domino-effect ontstaan dat door de achttien afgesneden staten heen gaat.

De direct getroffen staten zijn Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas en Virginia. Ondertussen hopen voorraden olie zich op in Texas. Het ingezette truckvervoer kan namelijk niet opboksen tegen de capaciteit van de lamgelegde oliepijpleiding.

Gegijzeld én data gestolen

Naast het gijzelen van de systemen van Colonial Pipeline zouden de aanvallers ook data hebben gestolen. Dit weet persbureau Bloomberg te melden op basis van ingewijde bronnen. Het eigenlijk begin van de aanval zou al op donderdag zijn geweest. Het gehackte bedrijf heeft op vrijdag uit voorzorg bepaalde IT-systemen offline gehaald.

De buitgemaakte gegevens zouden bijna 100 gigabyte aan data zijn, die in twee uur naar buiten zijn gesluisd. Daarna zijn de aanvallers overgegaan tot het versleutelen van systemen en het presenteren van hun losgeldeis. De daders dreigen de gestolen bedrijfsinformatie te openbaren als Colonial Pipeline niet zwicht voor hun afpersing. Het olievervoersbedrijf heeft zondag in een update op zijn website verklaard dat een klein deel van de pijpleiding weer in gebruik is.

Vraag ons naar Cymulate waarmee u zelf kunt testen of uw netwerk kwetsbaar is

contact us
10/05/2021

CBS: toename van bedrijven dat met datalek te maken kreeg

Lees de originele artikel hier
Cyber Defense

Het aantal Nederlandse bedrijven dat met een datalek te maken heeft gekregen is de afgelopen jaren toegenomen, zo stelt het Centraal Bureau voor de Statistiek (CBS) vandaag. In 2019 kreeg een kwart van de bedrijven met 250 of meer werknemers te maken met een datalek waarbij een intern incident de oorzaak was, zoals een verloren usb-stick. In 2016 was dit nog zeventien procent. Daarnaast had acht procent van de bedrijven in 2019 te maken met een datalek als gevolg van een aanval van buitenaf, zoals een inbraak op een ict-systeem. Dat bedroeg in 2016 nog zes procent.

Bij kleinere bedrijven ligt het aantal slachtoffers van datalekken een stuk lager. Van de Nederlandse ondernemingen met twee of meer werknemers kreeg drie procent in 2019 te maken met een datalek. Twee procent van de bedrijven kreeg te maken met een datalek als gevolg van een aanval van buitenaf.

Verder meldt het CBS dat datalekken relatief vaak plaatsvinden in de gezondheidszorg. Bij zes procent van de bedrijven in de zorgsector werd in 2019 een datalek met een interne oorzaak gemeld. Eén procent van de zorgbedrijven meldde een datalek dat door een externe aanval werd veroorzaakt. Ook in de ict-sector vonden er volgens het CBS relatief veel datalekken plaats. Vier procent van de bedrijven in deze sector had in 2019 te maken met een dergelijk incident met interne oorzaak en drie procent van de ict-bedrijven was slachtoffer van een aanval van buitenaf.

Cert2Connect bied verschillende oplossingen welke het u mogelijk maken zelf te testen of te monitoren of uw organisatie en haar data veilig is.

Neem contact met ons op.
06/05/2021

Cloudcommunicatieplatform Twilio slachtoffer van Codecov-backdoor

Lees de originele artikel hier
Cyber Defense

Cloudcommunicatieplatform Twilio is één van de bedrijven die slachtoffer is geworden van de supply-chain-aanval op Codecov, waar aanvallers een backdoor aan de software van het bedrijf toevoegden. In het geval van Twilio konden aanvallers via de backdoor e-mailadressen van een "klein aantal" klanten stelen, zo meldt het cloudcommunicatieplatform in een verklaring.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt. Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd.

Twilio maakt binnen de eigen ontwikkelomgeving ook gebruik van Bash Uploader waardoor de aanvallers via de backdoor gegevens konden stelen. Op 22 april werd Twilio door GitHub.com gewaarschuwd dat er verdachte activiteit met betrekking tot de Codecov-aanval was gedetecteerd en er een token van een Twilio-gebruiker was gecompromitteerd. Een aanvaller bleek verschillende GitHub-repositories te hebben gekloond. Daarop startte Twilio een onderzoek naar de inhoud van de gekloonde repositories.

Daaruit blijkt dat de aanvallers e-mailadressen van een "klein aantal" klanten in handen hebben gekregen, maar Twilio noemt geen getallen. Wel zijn alle gedupeerde klanten inmiddels ingelicht. Tevens zijn alle mogelijke gecompromitteerde credentials gewijzigd. Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden.

Eén van de klanten die door de Codecov-backdoor werd getroffen en dit kenbaar maakte was softwarebedrijf HashiCorp. Dat besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Vorige week deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden.

 

Nieuws Item 16 april: 

Script softwarebedrijf Codecov twee maandenlang voorzien van malware

vrijdag 16 april 2021, 15:45 door Redactie, 0 reacties

Een aanvaller die toegang tot de ontwikkelomgeving van softwarebedrijf Codecov wist te krijgen is erin geslaagd om twee maandenlang malware in een script van het bedrijf te verbergen dat wachtwoorden, tokens en keys van klanten buitmaakte. Dat heeft Codecov via de eigen website bekendgemaakt.

Codecov is de aanbieder van Bash Uploader, een script waarmee klanten hun "code coverage" rapporten voor analyse naar Codecov kunnen sturen. Op 31 januari wist een aanvaller toegang tot een Google Cloud Storage (GCS) key van Codecov te krijgen en kon zo het script aanpassen. Zodra klanten het script uitvoeren kon er allerlei vertrouwelijke informatie zoals credentials, tokens of keys naar een server van de aanvaller worden gestuurd.

Volgens Codecov heeft probleem zich voorgedaan door een fout bij het proces dat voor het maken van Docker-images wordt gebruikt. Hierdoor kon de aanvaller de eerder genoemde key achterhalen en zo toegang krijgen om het Bash Uploader-script aan te passen. De malafide aanpassing werd op 1 april ontdekt door een klant die de shasum van het script op GitHub vergeleek met die van de gedownloade Bash Uploader. Die waardes bleken niet overeen te komen.

Het onderzoek dat volgde wees uit dat het script al twee maanden eerder was aangepast. De Bash Uploader wordt ook binnen andere tools van Codecov gebruikt. Het softwarebedrijf heeft gedupeerde klanten gewaarschuwd en adviseert om credentials, tokens en keys van ontwikkelomgevingen waar Bash Uploader is gebruikt te wijzigen.

 

Neem contact met ons op. Wij hebben de oplossing welke uw omgevingen kan monitoren en u een waarschuwing stuurt wanneer er iets veranderd in de third party scripts!

Neem contact met ons op
Load more