THN Cybersecurity-samenvatting: belangrijkste bedreigingen en trends (30 september

Ooit gehoord van oplichting met “varkensslachting”? Of een DDoS-aanval die zo groot is dat uw hersenen kunnen smelten? De cyberveiligheidssamenvatting van deze week bevat het allemaal: confrontaties met de overheid, stiekeme malware en zelfs een vleugje app store-shenanigans.

Haal de primeur voordat het te laat is!

⚡ Bedreiging van de week

Dubbele problemen: Evil Corp & LockBit Fall: Een consortium van internationale wetshandhavingsinstanties heeft stappen ondernomen om vier mensen te arresteren en negen servers te verwijderen die verband houden met de LockBit (ook bekend als Bitwise Spider) ransomware-operatie. Tegelijkertijd hebben de autoriteiten een Russische staatsburger genaamd Aleksandr Ryzhenkov naar buiten gebracht, die een van de hooggeplaatste leden was van de cybercriminaliteitsgroep Evil Corp en ook een aan LockBit gelieerde onderneming. In totaal zijn zestien personen die deel uitmaakten van Evil Corp door Groot-Brittannië bestraft

🔔 Topnieuws

  • DoJ en Microsoft nemen meer dan 100 Russische hackerdomeinen in beslag: Het Amerikaanse ministerie van Justitie (DoJ) en Microsoft hebben de inbeslagname aangekondigd van 107 internetdomeinen die worden gebruikt door een door de Russische staat gesponsorde dreigingsacteur genaamd COLDRIVER om campagnes voor het verzamelen van inloggegevens te orkestreren die gericht zijn op NGO’s en denktanks die overheidsmedewerkers en militaire en inlichtingenfunctionarissen ondersteunen.
  • Recordbrekende DDoS-aanval van 3,8 Tbps: Cloudflare onthulde dat het een recordbrekende DDoS-aanval (distributed denial-of-service) met een piek van 3,8 terabit per seconde (Tbps) en 65 seconden duurde, verijdelde. De aanval maakt deel uit van een bredere golf van meer dan honderd hypervolumetrische L3/4 DDoS-aanvallen die sinds begin september 2024 aan de gang zijn en gericht zijn op de financiële dienstverlening, het internet en de telecommunicatie-industrie. De activiteit is niet toegeschreven aan een specifieke dreigingsactoren.
  • Noord-Koreaanse hackers implementeren nieuwe VeilShell-trojan: Een aan Noord-Korea gelinkte bedreigingsacteur genaamd APT37 wordt toegeschreven als verantwoordelijke voor een heimelijke campagne gericht tegen Cambodja en waarschijnlijk andere Zuidoost-Aziatische landen die een voorheen ongedocumenteerde achterdeur en trojan voor externe toegang (RAT) leveren, genaamd VeilShell. Er wordt vermoed dat de malware wordt verspreid via spearphishing-e-mails.
  • Valse handelsapps in Apple en Google Stores: Een grootschalige fraudecampagne maakte gebruik van nep-handelsapps die in de Apple App Store en Google Play Store waren gepubliceerd, evenals van phishing-sites, om slachtoffers te bedriegen als onderdeel van wat een varkensslachterij wordt genoemd. De apps zijn niet langer beschikbaar om te downloaden. Het is gebleken dat de campagne zich richt op gebruikers in de regio Azië-Pacific, Europa, het Midden-Oosten en Afrika. In een gerelateerde ontwikkeling meldde Gizmodo dat Truth Social-gebruikers honderdduizenden dollars hebben verloren door oplichting bij het slachten van varkens.
  • Meer dan 700.000 DrayTek-routers die kwetsbaar zijn voor aanvallen op afstand: Er zijn maar liefst 14 beveiligingsfouten ontdekt, genaamd DRAY:BREAK, in door DrayTek vervaardigde routers voor woningen en bedrijven die kunnen worden uitgebuit om gevoelige apparaten over te nemen. De kwetsbaarheden zijn gepatcht na een verantwoorde openbaarmaking.

📰 Rond de cyberwereld

  • Zouttyfoon heeft AT&T-, Verizon- en Lumen-netwerken geschonden: Een Chinese natiestaatacteur, bekend als Salt Typhoon, drong binnen in de netwerken van Amerikaanse breedbandproviders, waaronder AT&T, Verizon en Lumen, en heeft waarschijnlijk toegang gekregen tot “informatie van systemen die de federale overheid gebruikt voor door de rechtbank geautoriseerde verzoeken om netwerkafluisteringen”, The Wall Street Journal gemeld. “De hackers lijken zich bezig te hebben gehouden met een enorme verzameling internetverkeer van internetproviders die grote en kleine bedrijven en miljoenen Amerikanen tot hun klanten rekenen.”
  • Groot-Brittannië en de VS waarschuwen voor Iraanse speerphishing-activiteiten: Cyberactoren die namens de Islamitische Revolutionaire Garde (IRGC) van de Iraanse regering werken, hebben zich op individuen gericht die verband houden met Iraanse en Midden-Oosterse aangelegenheden om ongeoorloofde toegang te verkrijgen tot hun persoonlijke en zakelijke accounts met behulp van social engineering-technieken, hetzij via e-mail of berichtenplatforms. “De actoren proberen vaak een goede verstandhouding op te bouwen voordat ze de slachtoffers vragen toegang te krijgen tot een document via een hyperlink, die de slachtoffers doorverwijst naar de inlogpagina van een valse e-mailaccount met als doel inloggegevens vast te leggen”, aldus de agentschappen in een advies. “Slachtoffers kunnen worden gevraagd om tweefactorauthenticatiecodes in te voeren, deze via een berichtentoepassing te verstrekken of te communiceren met telefoonmeldingen om toegang te verlenen tot de cyberactoren.”
  • NIST NVD Backlog Crisis – 18.000+ CVE’s niet geanalyseerd: Uit een nieuwe analyse is gebleken dat het National Institute of Standards and Technology (NIST), de normalisatie-instelling van de Amerikaanse overheid, nog een lange weg te gaan heeft wat betreft het analyseren van nieuw gepubliceerde CVE’s. Op 21 september 2024 moet 72,4% van de CVE’s (18.358 CVE’s) in de NVD nog worden geanalyseerd, aldus VulnCheck. “46,7% van de bekende uitgebuite kwetsbaarheden (KEV’s) wordt nog steeds niet geanalyseerd door de NVD (vergeleken met 50,8% vanaf 21 september 2024). 19 mei 2024).” Het is vermeldenswaard dat er in totaal 25.357 nieuwe kwetsbaarheden aan NVD zijn toegevoegd sinds 12 februari 2024, toen NIST de verwerking en verrijking van nieuwe kwetsbaarheden terugschroefde.
  • Grote RPKI-fouten ontdekt in de cryptografische verdediging van BGP: Een groep Duitse onderzoekers heeft ontdekt dat de huidige implementaties van Resource Public Key Infrastructure (RPKI), geïntroduceerd als een manier om een ​​cryptografische laag in het Border Gateway Protocol (BGP) te introduceren, “veerkracht op productieniveau missen en geplaagd worden door softwarekwetsbaarheden. , inconsistente specificaties en operationele uitdagingen.” Deze kwetsbaarheden variëren van denial-of-service en authenticatie-bypass tot cache-vergiftiging en uitvoering van externe code.
  • Telegram’s databeleidswijziging duwt cybercriminelen naar alternatieve apps: Het recente besluit van Telegram om de IP-adressen en telefoonnummers van gebruikers aan de autoriteiten te geven als reactie op geldige juridische verzoeken, zet cybercriminaliteitsgroepen ertoe aan om andere alternatieven voor de berichtenapp te zoeken, waaronder Jabber, Tox, Matrix, Signal en Session. De Ransomware-bende Bl00dy heeft verklaard dat het “Telegram verlaat”, terwijl hacktivistische groepen als Al Ahad, Marokkaanse Cyber ​​Aliens en RipperSec de intentie hebben uitgesproken om naar Signal en Discord over te stappen. Dat gezegd hebbende, ondersteunen noch Signal noch Session botfunctionaliteit of API’s zoals Telegram, noch hebben ze uitgebreide mogelijkheden voor groepsberichten. Jabber en Tox worden daarentegen al gebruikt door tegenstanders die op ondergrondse fora opereren. “De uitgebreide wereldwijde gebruikersbasis van Telegram biedt nog steeds een groot bereik, wat cruciaal is voor cybercriminele activiteiten zoals het verspreiden van informatie, het rekruteren van medewerkers of het verkopen van illegale goederen en diensten”, aldus Intel 471. Pavel Durov, CEO van Telegram, heeft de veranderingen echter gebagatelliseerd en stelt dat er “weinig is veranderd” en dat het sinds 2018 gegevens deelt met wetshandhavers als reactie op geldige juridische verzoeken. “In Brazilië hebben we bijvoorbeeld gegevens openbaar gemaakt voor 75 juridische verzoeken in het eerste kwartaal (januari-maart) 2024, 63 in het tweede kwartaal en 65 in het derde kwartaal. In India, onze grootste markt, hebben we in het eerste kwartaal 2461 juridische verzoeken afgehandeld, en in het tweede kwartaal 2151. en 2380 in het derde kwartaal”, voegde Durov eraan toe.

🔥 Bronnen en inzichten op het gebied van cyberbeveiliging

  • LIVE-webinars
  • Vraag het aan de deskundige
    • Vraag: Hoe kunnen organisaties de nalevingskosten verlagen en tegelijkertijd hun beveiligingsmaatregelen versterken?
    • A: U kunt de nalevingskosten verlagen en tegelijkertijd de beveiliging versterken door moderne technologie en raamwerken slim te integreren. Begin met het adopteren van uniforme beveiligingsmodellen zoals NIST CSF of ISO 27001 om aan meerdere compliance-behoeften te voldoen, waardoor audits eenvoudiger worden. Concentreer u op gebieden met een hoog risico met behulp van methoden als FAIR, zodat uw inspanningen de meest kritieke bedreigingen kunnen aanpakken. Automatiseer nalevingscontroles met tools zoals Splunk of IBM QRadar, en gebruik AI voor snellere detectie van bedreigingen. Consolideer uw beveiligingstools in platforms zoals Microsoft 365 Defender om op licenties te besparen en het beheer te vereenvoudigen. Het gebruik van cloudservices met ingebouwde compliance van providers als AWS of Azure kan ook de infrastructuurkosten verlagen. Vergroot het beveiligingsbewustzijn van uw team met interactieve trainingsplatforms om een ​​cultuur op te bouwen waarin fouten worden vermeden. Automatiseer nalevingsrapportage met ServiceNow GRC om documentatie eenvoudig te maken. Implementeer Zero Trust-strategieën zoals microsegmentatie en continue identiteitsverificatie om de verdediging te versterken. Houd uw systemen in de gaten met tools als Tenable.io om kwetsbaarheden vroegtijdig te vinden en op te lossen. Door deze stappen te volgen, kunt u besparen op nalevingskosten en tegelijkertijd uw beveiliging sterk houden.
  • Cyberbeveiligingshulpmiddelen
    • capa Explorer Web is een browsergebaseerd hulpmiddel waarmee u interactief de programmamogelijkheden kunt verkennen die worden geïdentificeerd door capa. Het biedt een gemakkelijke manier om de resultaten van capa in uw webbrowser te analyseren en visualiseren. capa is een gratis, open-source tool van het FLARE-team dat mogelijkheden uit uitvoerbare bestanden haalt, waarmee u onbekende bestanden kunt sorteren, reverse-engineering kunt begeleiden en op malware kunt jagen.
    • Ransomware-toolmatrix is een actuele lijst met tools die worden gebruikt door ransomware- en afpersingsbendes. Omdat deze cybercriminelen vaak tools hergebruiken, kunnen we deze informatie gebruiken om op bedreigingen te jagen, de reacties op incidenten te verbeteren, patronen in hun gedrag te ontdekken en hun tactieken te simuleren tijdens beveiligingsoefeningen.

🔒 Tip van de week

Houd een ‘ingrediëntenlijst’ bij voor uw software: Uw software is als een recept gemaakt van verschillende ingrediënten: componenten van derden en open source-bibliotheken. Door het creëren van een Software stuklijst (SBOM)een gedetailleerde lijst van deze componenten, kunt u snel beveiligingsproblemen opsporen en oplossen wanneer deze zich voordoen. Werk deze lijst regelmatig bij, integreer deze in uw ontwikkelingsproces, let op nieuwe kwetsbaarheden en informeer uw team over deze onderdelen. Dit vermindert verborgen risico’s, versnelt het oplossen van problemen, voldoet aan de regelgeving en schept vertrouwen door transparantie.

Conclusie

Wauw, deze week hebben we echt laten zien dat cyberdreigingen kunnen opduiken waar we ze het minst verwachten, zelfs in apps en netwerken die we vertrouwen. De grote les? Blijf alert en vraag altijd wat er voor je ligt. Blijf leren, blijf nieuwsgierig en laten we samen de slechteriken te slim af zijn. Tot de volgende keer, blijf veilig daarbuiten!

Thijs Van der Does