Maandelijks archief april 2019

doorSecuratis

Parochie verliest 1,75 miljoen dollar door ceo-fraude

Een Amerikaanse parochie is door een variant van ceo-fraude voor 1,75 miljoen dollar opgelicht. De Saint Ambrose Parish in Brunswick is al enige tijd bezig met het laten renoveren van de kerk. Het bouwbedrijf dat de werkzaamheden uitvoert liet vorige week weten dat het al twee maanden niet was betaald.

Het ging om een bedrag van in totaal 1,75 miljoen dollar. De parochie was echter in de veronderstelling dat het geld wel was overgemaakt. De FBI werd vervolgens ingeschakeld en uit onderzoek bleek dat de aanvallers twee e-mailaccounts van de parochie hadden gecompromitteerd. Tevens hadden de aanvallers uit naam van het bouwbedrijf een e-mail gestuurd waarin een ander rekeningnummer werd opgegeven dat de parochie gebruikte, zo blijkt uit een brief die kerkleden ontvingen (pdf).

“Het resultaat is dat onze betalingen naar een frauduleuze bankrekening werden verstuurd en dat de daders het geld hadden opgenomen nog voordat iemand het door had”, aldus de pater van de parochie. Er wordt nu gekeken of er een beroep op de verzekering kan worden gedaan. Naar aanleiding van het incident zijn alle wachtwoorden gewijzigd en is er een beveiligingstest uitgevoerd. Vorige week liet de FBI nog weten dat criminelen vorig jaar via ceo-fraude 1,2 miljard dollar hebben weten te stelen, waarmee het financieel gezien de schadelijkste vorm van cybercrime is.

https://www.security.nl/posting/607129/Parochie+verliest+1%2C75+miljoen+dollar+door+ceo-fraude?channel=rss

doorSecuratis

Boekhouders doelwit van advertenties die naar malware linken

Onderzoekers hebben een malafide advertentiecampagne ontdekt die boekhouders met allerlei malware probeerde te infecteren, waaronder ransomware en backdoors. De advertenties werden via het advertentieplatform van Yandex verspreid, de grootste zoekmachine van Rusland.

De advertenties gingen over boekhouding en juridische zaken en verschenen onder andere op een legitiem boekhoudforum, alsmede verschillende andere boekhoud gerelateerde websites. Wanneer gebruikers van deze websites op bepaalde sleutelwoorden zochten, zoals templates voor facturen, verschenen de malafide advertenties. De advertenties maakten reclame voor een legitiem lijkende zakelijk website waar allerlei templates werden aangeboden.

In werkelijkheid waren de aangeboden bestanden backdoors, ransomware en malware die cryptovaluta steelt. De gebruikte Buhtrap-backdoor is in het verleden vaker tegen boekhoudafdelingen ingezet. Volgens antivirusbedrijf ESET hebben de aanvallers het vooral voorzien op organisaties in Rusland. De virusbestrijder waarschuwde Yandex, dat de malafide advertentiecampagne verwijderde.

De aanvallers gebruikten verschillende legitieme certificaten om hun malware te signeren. Dit zou kunnen helpen bij het omzeilen van bepaalde beschermingsmaatregelen van het systeem. Verder werd de malware enige tijd via GitHub verspreid, waarschijnlijk om niet op te vallen. Een professioneel uitziende website die naar GitHub wijst is niet meteen verdacht, aldus de onderzoekers.

Volgens ESET is de campagne een goed voorbeeld van hoe legitieme advertentiediensten gebruikt kunnen worden om malware te verspreiden. “Hoewel deze specifieke campagne Russische organisaties als doelwit had, zou het ons niet verbazen als een dergelijke campagne via niet-Russische advertentiediensten plaatsvindt”, aldus de onderzoekers, die gebruikers adviseren om alleen software van bekende en betrouwbare softwareleveranciers te downloaden.

https://www.security.nl/posting/607123/Boekhouders+doelwit+van+advertenties+die+naar+malware+linken?channel=rss

doorSecuratis

Amerikaanse zondagskrant niet gedrukt vanwege ransomware

Een Amerikaanse uitgeverij is afgelopen weekend getroffen door ransomware, waardoor de zondagseditie van de Watertown Daily Times niet kon worden gedrukt en verspreid. In een verklaring stelt Johnson Newspaper dat het om de Ryuk-ransomware gaat, die zich zaterdag snel door het bedrijf verspreidde.

De ransomware wist de servers te infecteren die intern worden gebruikt om content te delen voor kranten in Watertown, Hudson en Massena. Servers waarop de gegevens van abonnees en e-mail staan werden niet getroffen. De ransomware wist tevens de computers te infecteren die een machine aansturen voor het maken van de platen voor de drukpers.

Hierdoor kon de nieuwssectie, sport en zondagseditie niet op zaterdag worden gedrukt. Het personeel van de uitgeverij probeerde vervolgens een nieuwe server op te zetten om de machine aan te sturen, maar dit nam teveel tijd in beslag om de krant zondagochtend te kunnen bezorgen.

Eind vorig jaar werd ook uitgeverij Tribune Publishing door de Ryuk-ransomware getroffen, waardoor de zaterdageditie van verschillende Amerikaanse kranten later en in aangepaste vorm bij abonnees terechtkwam. Volgens securitybedrijf FireEye wordt Ryuk door andere malware genaamd Trickbot geïnstalleerd. Deze malware verspreidt zich weer via Office-documenten die van malafide macro’s zijn voorzien.

Image

https://www.security.nl/posting/607016/Amerikaanse+zondagskrant+niet+gedrukt+vanwege+ransomware?channel=rss

doorSecuratis

Aanbieder medische repatriëring lekt data 137.000 klanten

Een Amerikaanse aanbieder van medische repatriëring heeft door een onbeveiligde database de gegevens van 137.000 klanten gelekt. Het ging om namen, geboortedata, telefoonnummers, adresgegevens, e-mailadressen en andere klantgegevens die voor iedereen op internet toegankelijk waren.

De gegevens waren opgeslagen in een Elasticsearch-database. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het komt geregeld voor dat onbeveiligde Elasticsearch-databases worden gevonden. In dit geval werd de database door onderzoeker Bob Diachenko ontdekt. Hij trof in de database ook sporen aan van afpersers.

Volgens de afpersers was de inhoud van de database naar hun servers gekopieerd en daarna op de servers van de organisatie verwijderd. Om de data terug te krijgen moest de organisatie 230 euro betalen. Op het moment dat Diachenko de database eind maart aantrof bevatte die gewoon de gegevens van klanten. De onderzoeker waarschuwde het bedrijf, maar kreeg geen reactie. Wel was de database op 5 april niet meer voor het publiek toegankelijk.

Image

https://www.security.nl/posting/607009/Aanbieder+medische+repatri%C3%ABring+lekt+data+137_000+klanten?channel=rss

doorSecuratis

Nijmeegse automaterialenzaak verliest data door ransomware

Door Anoniem:
En wat is een goed rotatieschema? elke dag + om de dag + om de week + maand. Ook nog een jaar backup? Wat als mijn ransomware virus een dorment periode van een jaar en een dag heeft, hoe elementair is je rotatieschema dan?

Die vragen zijn per bedrijf anders, ook bij grote bedrijven.
Neem een bank het betalingssysteem moet 24/7 goed zijn. Elke uitval van een paar minuten is al een groot probleem.
Het kennen van je klanten fraude en witwasherkenning heeft een heel andere beschikbaarheidseis en integriteitseis.

De eerste stap is nadenken over de BIV ofwel CIA. Kun je als bedrijf een dag zonder computers, een week en wat zijn daarbij de kosten als je het op een andere manier doet wegens de uitval.
Voor een autobedrijf gaan er rekeningen in en uit en zijn er afspraken met klanten en toeleveranciers. Ik kende de bedrijfsvoering en eisen niet. Waar ik aan zou denken is:
– dagelijks automatisch een incremental met een beginpunt sinds een laatste full versie. (12 stuks)
– Twee wekelijks een full backup, (8 stuks)
Je hebt dan voor een kwartaal lang alles vast.

Als je een ransomware hebt die van alles veranderd en dan pas na een lange tijd meld dat hij het veranderd heeft, dan doe je iets anders niet goed. Je moet weten wat de normale veranderingen zijn en of gegevens na een tijd op een ander (onaangetast) systeem nog bruikbaar zijn. Als morgen geen enkel computer nog kan worden door een EMC puls dan is er een heel andere uitdaging. Kwestie van risico’s kansen prio’s en impact.

Door Anoniem: we hebben het hier over een auto bedrijf. Geen enterprise.
Hoe ver sta jij nu van de werkelijkheid?

Ik geef aan dat risico’s kans impact van belang zijn. Dat is voor elke onderneming (letterlijk: Enterprise !) de basis.

De ICT problemen bij zo’n bedrijf “want ransomware” opblazen tot wereldproblemen en meer dat is ver van de werkelijkheid. Dat heet van een mug een olifant maken. Ik zeg niet dat ze bij IBM moeten inkopen, dat kan alleen Pon. https://mediacenter.ibm.com/media/PON+Holdings+counts+on+IBM+Analytics+so+it+can+be+in+the+right+place+at+the+right+time/1_047dcc4o

https://www.security.nl/posting/606867/Nijmeegse+automaterialenzaak+verliest+data+door+ransomware?channel=rss

doorSecuratis

Testversie Firefox waarschuwt voor gecompromitteerde sites

Er is een nieuwe testversie van Firefox verschenen die gebruikers voor gecompromitteerde websites waarschuwt. De feature is onderdeel van “Firefox Monitor” en maakt gebruik van data die afkomstig is van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 362 gecompromitteerde websites in de zoekmachine.

Firefox Monitor zal gebruikers voor deze gecompromitteerde websites waarschuwen. Voor de eerste versie van de feature zullen gebruikers alleen in bepaalde gevallen een waarschuwing te zien krijgen. Als de gebruiker nog geen waarschuwing heeft gezien, zal Firefox een waarschuwing tonen als ze een website bezoeken die de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd. Heeft de gebruiker zijn eerste waarschuwing gezien, dan zal Firefox alleen een waarschuwing laten zien bij websites die de laatste twee maanden aan de zoekmachine zijn toegevoegd.

Volgens Mozilla zijn dit redelijke periodes om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen.

In de waarschuwing wordt gebruikers gevraagd om hun wachtwoord via Firefox Monitor te controleren. Deze dienst werd vorig jaar door Mozilla gelanceerd en laat gebruikers controleren of hun e-mailaccount bij één van de 362 sites is gecompromitteerd. De waarschuwingsfeature staat nu ingeschakeld in Firefox Nightly, een vroege versie van de browser. Het plan is om de maatregel uiteindelijk in Firefox 68 te lanceren, die voor 9 juli van dit jaar gepland staat.

Image

https://www.security.nl/posting/606865/Testversie+Firefox+waarschuwt+voor+gecompromitteerde+sites?channel=rss

doorSecuratis

Onderzoek naar opslag patiëntgegevens in niet-Europese cloud

Minister Grapperhaus van Justitie en Veiligheid laat een onderzoek uitvoeren naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan. Dat heeft de minister laat weten na Kamervragen over het nieuws dat gegevens van honderdduizenden Nederlandse patiënten zonder dat die dit weten of hiervoor toestemming hebben geven bij Google zijn opgeslagen.

Het gaat om gepseudonimiseerde behandelgegevens die daar worden gehost door Medical Research Data Management (MRDM), een bedrijf uit Deventer dat namens zorgorganisaties, zoals ziekenhuizen, medische data verwerkt. “MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen”, zo stelt Grapperhaus.

Naar aanleiding van de ophef die het nieuws veroorzaakte nam de minister contact op met de Autoriteit Persoonsgegevens. De toezichthouder liet weten dat ziekenhuizen onder voorwaarden patiëntgegevens in een cloud mogen opslaan, mits voldaan wordt aan de verplichtingen van de AVG. Zorginstellingen zijn daarbij verantwoordelijk voor het informeren van betrokkenen over de opslag en het gebruik van hun data.

Hoewel zorggegevens in de cloud mogen worden opgeslagen, kondigt Grapperhaus ook een onderzoek aan. “Ik zal onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata”, aldus de minister in zijn antwoord op Kamervragen van D66-Kamerlid Verhoeven. In een brief aan de Tweede Kamer over het onderwerp voegt de minister toe dat hij aan het kijken is welke onafhankelijke partij hem hierover kan adviseren. “Zodra dit advies aan mij is uitgebracht, zal ik uw Kamer nader informeren.”

https://www.security.nl/posting/606792/Onderzoek+naar+opslag+pati%C3%ABntgegevens+in+niet-Europese+cloud?channel=rss

doorSecuratis

Twee miljoen IoT-apparaten kwetsbaar door lek in p2p-software

Twee miljoen Internet of Things-apparaten zijn door een beveiligingslek in de p2p-software die ze gebruiken voor kwaadwillenden toegankelijk. Het gaat om beveiligingscamera’s, webcams, babymonitors en smart deurbellen, zo ontdekte beveiligingsonderzoeker Paul Marrapese.

De apparatuur wordt geleverd met software genaamd “iLnkP2P”. Via deze software is het mogelijk om de apparaten van over de gehele wereld te benaderen, zonder dat er aanpassingen aan de router of firewall moeten worden gemaakt. Gebruikers installeren een mobiele app en scannen de barcode op het apparaat of voeren een zescijferige code (UID) in. De p2p-software regelt de rest.

De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken. Om de mogelijkheid te bewijzen ontwikkelde Marrapese een script waarmee hij meer dan twee miljoen kwetsbare IoT-apparaten identificeerde. Negentien procent hiervan bevindt zich in Europa.

Wachtwoorden

De onderzoeker ontwikkelde ook een aanval waarmee het mogelijk is om wachtwoorden van de kwetsbare apparaten te stelen, door misbruik van hun ingebouwde “heartbeat” feature te maken. Zodra de apparaten op een netwerk worden aangesloten versturen de iLnkP2P-apparaten geregeld een bericht naar een vooraf geconfigureerde p2p-server in afwachting van verdere instructies. De p2p-server zal verbindingsverzoeken naar de locatie van het meest recent ontvangen bericht doorsturen.

Door alleen het UID te kennen kan een aanvaller een frauduleus heartbeat-bericht versturen dat het vorige bericht van het legitieme apparaat vervangt. Hierdoor zal het apparaat verbinding met de aanvaller maken. “Zodra er verbinding wordt gemaakt zullen de meest clients meteen in plaintext als beheerder proberen in te loggen, waardoor een aanvaller de inloggegevens van het apparaat kan verkrijgen”, aldus de onderzoeker tegenover it-journalist Brian Krebs. Aanvallers kunnen zo het apparaat overnemen.

Marrapese waarschuwde de ontwikkelaar van de software, maar kreeg geen reactie. ILnkP2P wordt vaak door fabrikanten geïmplementeerd, die hun apparaten als white label distribueren. Het is daardoor lastig om een lijst van alle kwetsbare fabrikanten te maken. Gebruikers kunnen echter aan de hand van de id-code op hun apparaat kijken of ze risico lopen. In onderstaande tabel staan (een deel van) de prefixes waarmee het UID van kwetsbare apparaten begint.

In een analyse van de kwetsbaarheid stelt de onderzoeker dat het onwaarschijnlijk is dat fabrikanten met een update zullen komen, waardoor gebruikers risico blijven lopen. Gebruikers krijgen dan ook het advies om de apparatuur weg te doen. Wanneer dit niet mogelijk is wordt aangeraden om UDP-poort 32100 dicht te zetten, waardoor de p2p-functionaliteit niet meer werkt. Daardoor zijn de apparaten niet meer vanaf externe netwerken via p2p toegankelijk. Lokale toegang werkt nog wel.

Image

https://www.security.nl/posting/606785/Twee+miljoen+IoT-apparaten+kwetsbaar+door+lek+in+p2p-software?channel=rss

doorSecuratis

New York onderzoekt verzamelen adresboeken door Facebook

De Amerikaanse staat New York gaat een onderzoek naar Facebook uitvoeren omdat het zonder toestemming de adresboeken van 1,5 miljoen mensen verzamelde die bij de sociale netwerksite een account aanmaakten. Dat meldt procureur-generaal Letitia James van New York in een persbericht.

Vorige week werd bekend dat Facebook zonder toestemming de adresboeken van 1,5 miljoen gebruikers had verzameld. Bij het aanmaken van een nieuw account vroeg Facebook in bepaalde gevallen aan gebruikers om hun e-mailwachtwoord. Facebook gebruikte deze gegevens om op het e-mailaccount van de gebruiker in te loggen en zijn adresboek binnen Facebook te importeren. Op deze manier heeft Facebook de e-mailcontacten van 1,5 miljoen mensen aan de eigen systemen toegevoegd. Het gaat mogelijk om tientallen of honderden miljoenen contacten.

“Het is tijd dat Facebook verantwoordelijk wordt gehouden voor hoe het omgaat met de persoonlijke informatie van consumenten”, aldus James. “Facebook heeft herhaaldelijk een gebrek aan respect voor de gegevens van consumenten getoond, terwijl het tegelijkertijd aan het verwerken van deze data heeft geprofiteerd. Het bericht van Facebook dat het de adresboeken van 1,5 miljoen consumenten zonder hun kennis verzamelde is het laatste bewijs dat Facebook zijn rol in het beschermen van onze persoonlijke informatie niet serieus neemt.”

https://www.security.nl/posting/606730/New+York+onderzoekt+verzamelen+adresboeken+door+Facebook?channel=rss

doorSecuratis

WordPress-sites doelwit van nieuwe aanvallen op plug-ins

Duizenden WordPress-sites lopen risico om te worden overgenomen nu aanvallers zich op meer kwetsbare plug-ins richten. De afgelopen maanden zijn er verschillende kwetsbaarheden in populaire WordPressplug-ins onthuld die aanvallers kwaadaardige code aan de website laten toevoegen.

Zo kunnen er backdoors worden toegevoegd en scripts die bezoekers bijvoorbeeld naar malafide websites doorsturen. Een bekend voorbeeld zijn websites die internetgebruikers via helpdeskfraude proberen op te lichten. Eén specifieke campagne die kwetsbaarheden in meerdere WordPressplug-ins gebruikt om websites over te nemen is al enige maanden gaande. De aanvallers achter deze campagne hebben nu exploits voor twee nieuwe plug-ins toegevoegd.

Het gaat om Woocommerce User Email Verification. Deze plug-in wordt door webwinkels gebruikt voor het valideren van het e-mailadres waarmee klanten zich registreren. Een kwetsbaarheid in de plug-in laat aanvallers allerlei kwaadaardige scripts injecteren. Een beveiligingsupdate om de kwetsbaarheid te verhelpen is nog niet beschikbaar. Meer dan 6.000 websites hebben Woocommerce User Email Verification geïnstalleerd.

WP Inventory Manager is de andere plug-in waar aanvallers het op hebben voorzien. Via deze plug-in kunnen webwinkels de voorraad van producten en materiaal bijhouden. Op 16 april werd een kwetsbaarheid in de plug-in verholpen, die inmiddels ook wordt aangevallen. In dit geval is er wel een beveiligingsupdate beschikbaar, maar de praktijk laat zien dat veel webmasters hun WordPressplug-ins niet updaten. Van WP Inventory Manager is een gratis en betaalde versie die identiek zijn. De gratis versie heeft meer dan duizend installaties. Het aantal installaties van de betaalde variant is onbekend.

https://www.security.nl/posting/606724/WordPress-sites+doelwit+van+nieuwe+aanvallen+op+plug-ins?channel=rss