Captain Kirk

De FBI heeft een waarschuwing afgegeven voor de LockerGoga- en MegaCortex-ransomware. Sinds januari van dit jaar zouden grote bedrijven en organisaties, waaronder in Nederland, met LockerGoga zijn aangevallen, aldus de waarschuwing van de opsporingsdienst waarover Bleeping Computer bericht. Om toegang tot netwerken te krijgen maken de aanvallers gebruik van exploits voor softwarelekken, phishingaanvallen, SQL-injection en gestolen inloggegevens. Nadat het netwerk is gecompromitteerd wachten de aanvallers maanden met het uitrollen van de ransomware, zo stelt de FBI. Om infecties te voorkomen krijgen organisaties het advies om beveiligingsupdates te installeren, tweefactorauthenticatie in te stellen en het monitoren op het aanmaken van nieuwe accounts, remote verbindingen en ongeautoriseerde gebruikers in de Active Directory en beheerdersgroep. Tevens wordt aangeraden om oude versies van PowerShell te verwijderen en PowerShell-logging in te schakelen. De Noorse aluminiumproducent Hydro raakte met de LockerGoga-ransomware besmet. De infectie kostte het bedrijf al 57 miljoen euro. Eind november werd bekend dat ook Nederlandse bedrijven door de Lockergoga-, Ryuk- en MegaCortex--ransomware waren besmet en miljoenen euro's hebben betaald voor het ontsleutelen van hun bestanden. bron: security.nl

Cisco waarschuwt organisaties en systeembeheerders voor aanvallen op ASA-firewalls en Firepower Appliances. Door het versturen van een speciaal geprepareerde url kan een aanvaller de beveiligingsapparatuur laten rebooten of gevoelige informatie achterhalen. De kwetsbaarheid wordt al sinds juni vorig jaar aangevallen, maar de afgelopen dagen en weken is er volgens Cisco een toename van het aantal aanvallen zichtbaar. Organisaties krijgen dan ook het advies om de beschikbare beveiligingsupdate te installeren of andere mitigatiemaatregelen door te voeren. "Dit is geen nieuwe kwetsbaarheid, maar nu misbruik toeneemt moeten klanten zich bewust zijn van het risico van zowel een denial of service of het lekken van ongeauthenticeerde informatie. Nu we richting de feestdagen gaan nemen mensen vrij, maar aanvallers niet", zegt Nick Biasini van Cisco, die klanten oproept om zo snel als mogelijk maatregelen te nemen om het risico en de impact voor organisaties te verkleinen. bron: security.nl

Besmette advertenties die gebruikers van Internet Explorer via bekende kwetsbaarheden met malware proberen te infecteren gebruiken social engineering om ook gebruikers van Chrome en Firefox te besmetten. Dat laat antimalwarebedrijf Malwarebytes weten. Voor zover bekend maken besmette advertenties op dit moment alleen gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer om gebruikers van deze software zonder enige interactie met malware te besmetten. Alleen het te zien krijgen van een besmette advertentie is voldoende. Door de opkomst van Google Chrome en het uitblijven van exploits voor nieuwe kwetsbaarheden is de effectiviteit van besmette advertenties afgenomen, zegt onderzoeker Jerome Segura. De makers van de Spelevo-exploitkit hebben hiervoor een oplossing bedacht. Wanneer een automatische infectie via de exploitkit niet lukt wordt er social engineering toegepast, in de hoop dat het slachtoffer zichzelf met malware besmet. De advertenties die de Spelevo-exploitkit laden zijn op "tier 2" pornosites verschenen, aldus Segura. Wanneer de automatische infectie mislukt laadt de besmette advertentie een nep-pornosite. Deze nep-pornosite vraagt de gebruiker om een videocodec te installeren. Het gaat hier echter om malware. Op deze manier hebben aanvallers twee kansen om slachtoffers te besmetten, besluit de onderzoeker. Besmette advertenties die gebruikers van Internet Explorer via bekende kwetsbaarheden met malware proberen te infecteren gebruiken social engineering om ook gebruikers van Chrome en Firefox te besmetten. Dat laat antimalwarebedrijf Malwarebytes weten. Voor zover bekend maken besmette advertenties op dit moment alleen gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer om gebruikers van deze software zonder enige interactie met malware te besmetten. Alleen het te zien krijgen van een besmette advertentie is voldoende. Door de opkomst van Google Chrome en het uitblijven van exploits voor nieuwe kwetsbaarheden is de effectiviteit van besmette advertenties afgenomen, zegt onderzoeker Jerome Segura. De makers van de Spelevo-exploitkit hebben hiervoor een oplossing bedacht. Wanneer een automatische infectie via de exploitkit niet lukt wordt er social engineering toegepast, in de hoop dat het slachtoffer zichzelf met malware besmet. De advertenties die de Spelevo-exploitkit laden zijn op "tier 2" pornosites verschenen, aldus Segura. Wanneer de automatische infectie mislukt laadt de besmette advertentie een nep-pornosite. Deze nep-pornosite vraagt de gebruiker om een videocodec te installeren. Het gaat hier echter om malware. Op deze manier hebben aanvallers twee kansen om slachtoffers te besmetten, besluit de onderzoeker. bron: security.nl

Gegevens van 267 miljoen Facebookgebruikers zijn via een onbeveiligde database gelekt. Het gaat om namen, telefoonnummers en gebruiker-ID's die in een database stonden die voor iedereen op internet zonder wachtwoord toegankelijk was, zo meldt beveiligingsonderzoeker Bob Diachenko die het datalek ontdekte. Volgens Diachenko zijn de gegevens waarschijnlijk verzameld via een illegale scrapingoperatie of misbruik van de Facebook API. Het is echter onduidelijk hoe de gegevens zijn verkregen. Facebook biedt ontwikkelaars een programmeerinterface waarmee er toegang tot gegevens van gebruikers kan worden verkregen, zoals profielen, vriendenlijsten, groepen en foto's. In 2018 besloot de sociale netwerksite de toegang tot telefoonnummers te beperken. Een andere mogelijkheid is dat de gegevens zijn verzameld door die vanaf publiek toegankelijke profielpagina's te scrapen. De database werd op 4 december door een zoekmachine geïndexeerd. Op 12 december werd de database op een "hacker forum" aangeboden, aldus Diachenko, die hierover geen verdere informatie geeft. Twee dagen later ontdekte hij de database en waarschuwde de provider die het ip-adres van de server beheert. Sinds 19 december is de database niet meer toegankelijk. De verzamelde en gelekte data zou voornamelijk van Amerikaanse Facebookgebruikers zijn geweest. bron: security.nl

De meeste bruteforce-aanvallen op computers die via het Remote Desktopprotocol (RDP) toegankelijk zijn, zijn niet succesvol, zo stelt Microsoft op basis van eigen onderzoek. Bij de aanvallen proberen aanvallers via veelgebruikte, gestolen of zwakke wachtwoorden op een machine in te loggen. Voor het onderzoek werd er gedurende meerdere maanden naar 45.000 machines gekeken. Het ging om machines waarvan RDP voor heel internet toegankelijk was. Een paar honderd machines werden dagelijks het doelwit van bruteforce-aanvallen. Een gemiddelde aanval duurt twee tot drie dagen. In vijf procent van de aanvallen duurde de aanval langer dan twee weken. Van de honderden machines die werden aangevallen bleek uiteindelijk .08 procent te zijn gecompromitteerd, aldus Microsoft. Wordt er gekeken naar de bedrijven waarvan de machines werden aangevallen, dan blijkt dat gemiddeld elke drie of vier dagen er een machine wordt gecompromitteerd. Verder laat het onderzoek zien dat met name Nederlandse ip-adressen het doelwit van aanvallen zijn. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie toe te passen. Aryeh Goretsky van antivirusbedrijf ESET adviseert om RDP niet voor onbevoegden toegankelijk te maken. "Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is", stelt Goretsky, die vervolgens wijst naar RDP waardoor aanvallers ook toegang tot een machine kunnen krijgen. De meeste bruteforce-aanvallen op computers die via het Remote Desktopprotocol (RDP) toegankelijk zijn, zijn niet succesvol, zo stelt Microsoft op basis van eigen onderzoek. Bij de aanvallen proberen aanvallers via veelgebruikte, gestolen of zwakke wachtwoorden op een machine in te loggen. Voor het onderzoek werd er gedurende meerdere maanden naar 45.000 machines gekeken. Het ging om machines waarvan RDP voor heel internet toegankelijk was. Een paar honderd machines werden dagelijks het doelwit van bruteforce-aanvallen. Een gemiddelde aanval duurt twee tot drie dagen. In vijf procent van de aanvallen duurde de aanval langer dan twee weken. Van de honderden machines die werden aangevallen bleek uiteindelijk .08 procent te zijn gecompromitteerd, aldus Microsoft. Wordt er gekeken naar de bedrijven waarvan de machines werden aangevallen, dan blijkt dat gemiddeld elke drie of vier dagen er een machine wordt gecompromitteerd. Verder laat het onderzoek zien dat met name Nederlandse ip-adressen het doelwit van aanvallen zijn. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie toe te passen. Aryeh Goretsky van antivirusbedrijf ESET adviseert om RDP niet voor onbevoegden toegankelijk te maken. "Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is", stelt Goretsky, die vervolgens wijst naar RDP waardoor aanvallers ook toegang tot een machine kunnen krijgen. bron: security.nl

De gratis virusscanner Microsoft Security Essentials zal na 14 januari volgend jaar, als de ondersteuning van Windows 7 wordt stopgezet, signature-updates blijven ontvangen om nieuwe malware te kunnen detecteren. Dat laat Microsoft weten. Onlangs gingen nog berichten rond dat Microsoft ook de ondersteuning van de antivirussoftware zou stopzetten. De verwarring werd veroorzaakt door een artikel van Microsoft over het einde van de Windows 7-ondersteuning op 14 januari 2020. Daarin werd in eerste instantie gesteld dat Windows 7-computers na 14 januari niet meer door Microsoft Security Essentials zouden worden beschermd. Microsoft heeft het artikel nu aangepast en stelt dat Security Essentials gewoon na 14 januari signature-updates blijft ontvangen voor het detecteren van nieuwe malware. Het Security Essentials-platform zal echter niet meer worden geüpdatet. Microsoft waarschuwt gebruikers van Windows 7 om naar een nieuwer platform over te stappen. "Het zal vanwege het niet meer verschijnen van beveiligingsupdates kwetsbaarder voor beveiligingsrisico's en virussen zijn", aldus de softwaregigant. De perikelen rondom Security Essentials hebben geen gevolgen voor Windows 10, dat van de ingebouwde Windows Defender gebruikmaakt. Volgens cijfers van StatCounter werkt 16,5 procent van de Nederlandse Windowsgebruikers nog met Windows 7. bron: security.nl

Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. bron: security.nl

De Facebook-trackingpixel die bedrijven op hun websites kunnen plaatsen verzamelt sinds begin deze maand meer informatie over gebruikers, zo waarschuwt Adblock Plus. De trackingpixel verzamelt informatie voor het tonen van gerichte advertenties op Facebook. Bedrijven kunnen hiervoor de gegevens van hun gebruikers naar Facebook sturen. Vervolgens kijkt Facebook of het de gebruiker kent en past hierop de advertenties aan. De sociale netwerksite heeft hiervoor een functie ontwikkeld genaamd "Advanced Matching". Voorheen werkte Advanced Matching alleen op pagina's met invoervelden. Sinds 5 december wordt ook geprobeerd om gebruikersdata op andere delen van een website te verzamelen en naar Facebook te sturen. Een onderzoeker meldt op Twitter hoe hij op zijn desktop naar een AirBnB-appartement zocht. Vervolgens kreeg hij op zijn telefoon een Facebookadvertentie voor hetzelfde dorp, waarbij zelfs de vakantiedatum was onthouden. Volgens Adblock Plus is Advanced Matching een trackingtechnologie 'on steroids' die de privacy van gebruikers schendt met als enig doel om meer geld voor Facebook op te leveren. Adblockers zouden de pixel echter moeten blokkeren. bron: security.nl

Firefox heeft dns-provider NextDNS als tweede aanbieder voor DNS over HTTPS (DoH) gekozen. Gebruikers die hun dns-verkeer via DoH willen beveiligen kunnen nu naast Cloudflare ook voor NextDNS kiezen. DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en koos voor een implementatie waarbij in eerste instantie alleen internetbedrijf Cloudflare de versleutelde dns-verzoeken zou ontvangen. Nu laat Mozilla weten dat het een tweede dns-provider heeft gevonden die aan het "Trusted Recursive Resolver programma" van Firefox zal deelnemen. Mozilla stelt dat het alleen providers kiest die aan een streng privacybeleid voldoen. Het gaat dan om het verzamelen en bewaren van zo min mogelijk data, transparant zijn over de data die toch wordt verzameld en het beperken van de mogelijkheid voor de dns-provider om content te blokkeren of aan te passen. Mozilla hoopt dat in de toekomst meer dns-providers zich bij het programma zullen aansluiten. Firefoxgebruikers die niet willen wachten totdat de maatregel automatisch wordt ingeschakeld kunnen DNS over HTTPS nu al zelf inschakelen. bron: security.nl

Bedrijven en organisaties die door ransomware zijn getroffen hebben vaak geen andere optie dan te betalen om hun gegevens terug te krijgen, aldus Microsoft. De softwaregigant wordt geregeld door getroffen klanten gevraagd of ze na een ransomware-aanval het gevraagde losgeld moeten betalen. Microsoft moedigt het betalen niet aan, maar stelt dat organisaties in de praktijk vaak beperkte opties hebben. "De pijnlijke waarheid voor de meeste organisaties is dat het betalen van het losgeld vaak de enige optie is", zegt Microsofts Ola Peters. De optie om systemen te herstellen is door het ontbreken van goede back-ups, of omdat die door de ransomware zijn versleuteld, niet meer aanwezig. Peters merkt op dat tal van Amerikaanse steden door ransomware zijn getroffen waarbij ook de back-ups werden versleuteld of verwijderd. "We moedigen slachtoffers van ransomware nooit aan om te betalen. Het betalen van het losgeld is vaak kostbaar, gevaarlijk en versterkt de capaciteiten van de aanvallers om hun operaties voort te zetten", gaat Peters verder. Daarnaast is er geen garantie dat het betalen ook een decryptiesleutel oplevert waarmee bestanden zijn te herstellen. Microsoft adviseert bedrijven dan ook om goed voorbereid te zijn op ransomware-infecties en andere cyberincidenten. Zo wordt aangeraden om e-mail te filteren, beveiligingsupdates te installeren, up-to-date antivirussoftware te gebruiken, beheerdersaccounts en standaard gebruikersaccounts te scheiden. "Het scheiden van deze geprivilegieerde accounts zorgt niet alleen voor het handhaven van de juiste access control, maar zorgt er ook voor dat één enkel gecompromitteerd account niet tot een volledig gecompromitteerde omgeving leidt", merkt Peters op. Afsluitend krijgen organisaties het advies om whitelisting toe te passen en regelmatig back-ups te maken die op een secondaire locatie worden bewaard. "Het is van het grootste belang dat alle getroffen bestanden eenvoudig zijn te herstellen via een goede back-up op een tweede locatie die niet door de ransomware is getroffen", besluit Peters. bron: security.nl

Een recent ontdekt beveiligingslek in vpn-implementaties op Linux, FreeBSD, OpenBSD, macOS, iOS en Android is niet voor massasurveillance te gebruiken en maakt ook het inspecteren van datapakketjes niet mogelijk, zo stelt vpn-provider ProtonVPN. De kwetsbaarheid maakt het wel mogelijk voor een aanvaller om te "raden" of een gebruiker een bepaalde website bezoekt. Wanneer dit een http-site is kan de aanvaller data in de onversleutelde verbinding injecteren. Voorwaarde is wel dat de aanvaller controle over het wifi-netwerk of lokale netwerk van het doelwit heeft. Volgens ProtonMail is de kwetsbaarheid dan ook niet te gebruiken voor massasurveillance en is het onwaarschijnlijk dat die tegen de doorsnee vpn-gebruiker wordt ingezet. ProtonMail stelt dat het als vpn-dienst weinig aan het probleem kan doen, aangezien het speelt bij het besturingssysteem van de gebruiker. In het geval van de eigen Linux-client heeft ProtonVPN een oplossing doorgevoerd waarbij er van IPTables gebruik wordt gemaakt. Eigenaren van een Androidtoestel of iPhone zouden over een geroot of gejailbreakt toestel moeten beschikken om zelf de benodigde beveiligingsaanpassingen door te voeren. Op de vraag of gebruikers zich over dit vpn-lek zorgen moeten maken stelt ProtonVPN dat dit afhankelijk is van het dreigingsmodel van de gebruiker en of die bijvoorbeeld verbinding met bepaalde wifi-netwerken of lokale netwerken maakt. In het geval er via een onbekend netwerk wordt gesurft kunnen Android-, iOS- en macOS-gebruikers ook van Tor Browser gebruikmaken, aldus de vpn-aanbieder. bron: security.nl

De makers van de Sodinokibi-ransowmare, ook bekend als REvil, dreigen bestanden van slachtoffers te publiceren tenzij het gevraagde losgeld wordt betaald. De ransomware zou de bestanden voor het versleutelen stelen en naar de aanvallers sturen, zo meldt de website Bleeping Computer. Bij één slachtoffer zou deze tactiek al zijn toegepast. Het gaat om de Amerikaanse datacenterprovider CyrusOne, die begin deze maand met Sodinokibi besmet raakte. Eén van de personen die bij de Sodinokibi-ransowmare is betrokken heeft op een forum aangekondigd dat gestolen bestanden zullen worden gebruikt om getroffen bedrijven en organisaties onder druk te zetten. Wanneer een organisatie het losgeld niet betaalt, worden de gegevens online gezet of met een concurrent gedeeld. De schade die dit veroorzaakt zou volgens de makers groter zijn dan het betalen van het losgeld. Door ransomware getroffen organisaties stellen geregeld dat er geen aanwijzingen zijn dat er gegevens zijn gestolen. "Een zeer zorgwekkende verandering als ransomware dreigt om data te publiceren tenzij het losgeld wordt betaald, en zelfs de AVG als reden noemt", zegt Raj Samani van antivirusbedrijf McAfee. De Sodinokibi-ransomware wordt onder andere verspreid via bekende kwetsbaarheden in Oracle WebLogic-servers en kwaadaardige macro's in Microsoft Office-documenten. Onlangs raakten meer dan honderd Amerikaanse tandartsenpraktijken met deze ransomware besmet nadat aanvallers toegang tot hun it-dienstverlener hadden gekregen. bron: security.nl

De beruchte Emotet-malware, die voor een aantal van de grootste ransomware-uitbraken van het afgelopen jaar verantwoordelijk was, is weer begonnen met het versturen van e-mails die linken naar macro-documenten. Het Emotet-botnet werd afgelopen september na een periode van zo'n vier maanden weer actief. Sindsdien verstuurde Emotet alleen maar Microsoft Office-documenten met kwaadaardige macro's die wanneer ingeschakeld het systeem infecteerden. Voorheen gebruikte Emotet een combinatie van bijlagen en links naar Office-documenten. De keuze voor alleen bijlagen was volgens anti-spamorganisatie Spamhaus opvallend, aangezien spamfilters Office-documenten met verdachte macrofuncties standaard blokkeren. Sinds zes december zijn er echter weer Emotet-mails gesignaleerd die naar Office-documenten linken. Uit cijfers van Spamhaus blijkt dat het Emotet-botnet dagelijks honderdduizenden e-mails verstuurd, met een piek van 600.000 berichten op 21 november. Emotet maakt gebruik van de adresboeken van Outlook en Thunderbird om nieuwe slachtoffers te vinden. Deze personen ontvangen elke dag één e-mail van Emotet. Dit moet ervoor zorgen dat de e-mails niet teveel opvallen. Emotet was oorspronkelijk ontwikkeld als een banking Trojan waarmee geld van rekeningen werd gestolen, maar wordt inmiddels ook gebruikt voor het installeren van aanvullende malware, waaronder ransomware. bron: security.nl

De IETF is een standaardenorganisatie die zich bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Twee jaar geleden werd het voorstel voor "security.txt" ingediend. Het gaat om een bestandje waarmee organisaties en websites kunnen aangeven hoe onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Volgens de bedenkers van het voorstel beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen. Google is één van de partijen die al van security.txt gebruikmaakt. De bedenkers van het voorstel lanceerden de website securitytxt.org, waarmee het mogelijk is om een dergelijk tekstbestand te genereren. De Internet Engineering Steering Group (IESG), verantwoordelijk voor het internetstandaardenproces bij de IETF, zal de komende weken een beslissing nemen of security.txt een standaard wordt. Het is daarbij nog mogelijk om tot 6 januari volgend jaar op het voorstel te reageren. Een ander bekend txt-bestand waar de IETF eerder over besliste is de "Robots exclusion standard", of beter bekend als "robots.txt". Hiermee kunnen websites aangeven welke delen van de site niet door webcrawlers mogen worden gescand en geïndexeerd. bron: security.nl

Onderzoekers hebben honderden malafide webwinkels ontdekt die namaakgoederen als echte producten verkopen en door andere cybercriminelen zijn besmet met malware die creditcardgegevens steelt. Het gaat om schoenenwinkels die schoenen van allerlei bekende merken claimen te verkopen. De schoenen zijn echter namaak, aldus securitybedrijf Malwarebytes. Klanten die bij deze webshops producten bestellen lopen risico om twee keer slachtoffer te worden. Criminelen zijn er namelijk in geslaagd om toegang tot de webwinkels te krijgen en hebben daar JavaScriptcode aan toegevoegd die creditcardgegevens van klanten steelt. Gegevens die klanten op de betaalpagina invoeren, zoals creditcardnummers en andere data, wordt naar een remote server gestuurd. Volgens onderzoeker Jerome Segura zijn de webwinkels gecompromitteerd doordat die verouderde versies van Magento en PHP draaiden. Deze oude versies bevatten bekende kwetsbaarheden waardoor het mogelijk is om op afstand willekeurige code binnen de webwinkel uit te voeren en die over te nemen. bron: security.nl

De Duitse internetprovider 1&1 Telecom is veroordeeld tot een boete van 9,5 miljoen euro wegens het overtreden van de AVG. Het bedrijf bleek de gegevens van klanten niet goed te beschermen. Alleen door het opgeven van een naam en geboortedatum was het mogelijk om klantgegevens op te vragen. Volgens de Duitse toezichthouder BfDI heeft 1&1 Telecom hiermee de AVG overtreden, die stelt dat organisaties gepaste technische en organisatorische maatregelen moeten nemen om persoonlijke gegevens te beschermen. Na kritiek van de BfDI heeft de internetprovider het authenticatieproces aangepast door aanvullende informatie te vragen. Daarnaast wordt er nu een nieuwe authenticatieprocedure doorgevoerd. Ondanks deze maatregelen is de boete volgens de toezichthouder op zijn plaats. De overtreding vormde namelijk een risico voor alle klanten. De boete is vanwege de medewerking van 1&1 aan de lage kant van het mogelijke boetbedrag uitgevallen. De internetprovider laat op de eigen website weten dat het tegen de boete beroep aantekent omdat die buitensporig zou zijn. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin maar liefst twee ernstige kwetsbaarheden zijn verholpen waardoor een aanvaller het onderliggende systeem had kunnen overnemen. De beveiligingslekken bevonden zich in de wachtwoordmanager en het bluetooth-onderdeel van Chrome. Veel details over de kwetsbaarheden zijn nog niet bekendgemaakt. In het geval van het lek in de wachtwoordmanager, die door Sergei Glazunov van Google werd gevonden, ging het om een heap buffer overflow waardoor het uitvoeren van willekeurige code op het systeem mogelijk was. Het bluetooth-lek betrof een use after free. Dit lek werd ontdekt door Gengming Liu en Jianyu Chen van Tencent Keen Security Lab. Google beloonde de onderzoekers voor hun bugmelding met 20.000 dollar. In beide kwetsbaarheden was alleen het bezoeken van een speciaal geprepareerde webpagina voldoende om de aanvaller willekeurige code uit te laten uitvoeren. In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Dit jaar gaat het echter om een "recordaantal". Tot nu toe staat de teller op vijf "critical" kwetsbaarheden. Vorig jaar waren het vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Met Chrome 79.0.3945.79 zijn in totaal 51 kwetsbaarheden verholpen. Naast de twee ernstige lekken gaat het ook om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Microsoft heeft tijdens de laatste patchdinsdag van 2019 een actief aangevallen zerodaylek in Windows gepatcht. De kwetsbaarheid werd in combinatie met twee aangevallen zerodaylekken in Chrome gebruikt. Via het lek kon een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Dat laat antivirusbedrijf Kaspersky weten. Het bedrijf meldde vorige maand al dat het een "watering hole attack" had ontdekt waarbij de Chrome-lekken werden gebruikt om gebruikers met malware te infecteren. Bij een dergelijke aanval plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Nu blijkt dat de aanvallers de zerodaylekken in Chrome, waarvan er in ieder geval één begin november werd gepatcht, combineerden met de kwetsbaarheid in Windows om uit de Chrome-sandbox te ontsnappen en hogere rechten op de computer te krijgen. Verdere details over de aanval zijn niet bekendgemaakt. Overige kwetsbaarheden In totaal heeft Microsoft tijdens de patchdinsdag van december 36 kwetsbaarheden verholpen in Windows, Internet Explorer, Microsoft Office, SQL Server, Visual Studio en Skype for Business. Zeven daarvan zijn er als ernstig bestempeld. Het gaat onder andere om een lek in de virtualisatiesoftware Windows Hyper-V, waardoor een gebruiker op een gevirtualiseerd gastsysteem het onderliggende hostsysteem kan overnemen. Tevens is er een ernstige kwetsbaarheid gepatcht waardoor een aanvaller Windowscomputers via speciaal geprepareerde fonts had kunnen overnemen. De beveiligingsupdates worden op de meeste computers automatisch geïnstalleerd. Microsoft heeft tijdens de laatste patchdinsdag van 2019 een actief aangevallen zerodaylek in Windows gepatcht. De kwetsbaarheid werd in combinatie met twee aangevallen zerodaylekken in Chrome gebruikt. Via het lek kon een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Dat laat antivirusbedrijf Kaspersky weten. Het bedrijf meldde vorige maand al dat het een "watering hole attack" had ontdekt waarbij de Chrome-lekken werden gebruikt om gebruikers met malware te infecteren. Bij een dergelijke aanval plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Nu blijkt dat de aanvallers de zerodaylekken in Chrome, waarvan er in ieder geval één begin november werd gepatcht, combineerden met de kwetsbaarheid in Windows om uit de Chrome-sandbox te ontsnappen en hogere rechten op de computer te krijgen. Verdere details over de aanval zijn niet bekendgemaakt. Overige kwetsbaarheden In totaal heeft Microsoft tijdens de patchdinsdag van december 36 kwetsbaarheden verholpen in Windows, Internet Explorer, Microsoft Office, SQL Server, Visual Studio en Skype for Business. Zeven daarvan zijn er als ernstig bestempeld. Het gaat onder andere om een lek in de virtualisatiesoftware Windows Hyper-V, waardoor een gebruiker op een gevirtualiseerd gastsysteem het onderliggende hostsysteem kan overnemen. Tevens is er een ernstige kwetsbaarheid gepatcht waardoor een aanvaller Windowscomputers via speciaal geprepareerde fonts had kunnen overnemen. De beveiligingsupdates worden op de meeste computers automatisch geïnstalleerd. bron: security.nl

Antivirusbedrijf Avast verdient miljoenen dollars aan de verkoop van het surfgedrag van gebruikers. De data wordt verzameld via de browserextensies die miljoenen mensen hebben geïnstalleerd. De data bevat echter geen identificerende gegevens, zo laat Avast-ceo Ondrej Vlcek aan zakenblad Forbes weten. Onlangs besloten Mozilla en Opera de browserextensies van Avast uit hun extensie-stores te verwijderen. Volgens Vlcek is er geen sprake van een privacyschandaal. De gegevens die de extensies vastleggen zijn namelijk niet naar gebruikers te herleiden, zo merkt hij op. De verzamelde data wordt geanalyseerd door het bedrijf Jumpshot, waar Avast een meerheidsbelang in heeft. Vervolgens wordt de data aan klanten verkocht. Het gaat dan om investeerders en "brand managers". Die kunnen zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website gaat. Vlcek benadrukt dat adverteerders de data niet kunnen gebruiken om gerichte advertenties aan specifieke gebruikers te tonen. De verkoop van de data levert Avast vele miljoen dollars op. In de eerst helft van dit jaar had het antivirusbedrijf een omzet van 430 miljoen dollar. Twintig miljoen daarvan was afkomstig van de verkoop van surfgegevens. Avast heeft naar eigen zeggen 400 miljoen gebruikers. bron: security.nl

De afgelopen jaren zijn tal van overheidsinstanties, schooldistricten en bedrijven wereldwijd door de Ryuk-ransomware getroffen, die bij gerichte aanvallen wordt verspreid. De aanvallers achter de Ryuk hebben naar schatting miljoenen euro's met de ransomware verdiend. Slachtoffers die betalen ontvangen een decryptietool om hun versleutelde bestanden te ontsleutelen. Securitybedrijf Emsisoft waarschuwt dat de nieuwste decryptietool die de aanvallers verstrekken bij het ontsleutelen grote bestanden kan beschadigen, wat tot dataverlies kan leiden. Wanneer de Ryuk-ransomware een bestand van 54,4MB of groter tegenkomt wordt alleen een bepaald gedeelte versleuteld. Dit moet het versleutelproces van alle bestanden op de computer versnellen. Gedeeltelijk versleutelde bestanden beschikken over een iets andere footer aan het einde van het bestand. In één van de laatste Ryuk-versies is een aanpassing doorgevoerd aan het berekenen van de lengte van de footer. Dit heeft als neveneffect dat bestanden bij het ontsleutelen kunnen worden ingekort. Afhankelijk van het soort bestand kan dit grote gevolgen hebben. Het gaat dan bijvoorbeeld om virtuele schijftypes en databasebestanden die door de decryptietool beschadigd raken en niet meer goed zullen werken. Organisaties die de decryptietool uitvoeren wordt dan ook geadviseerd eerst een back-up te maken. Daarnaast biedt Emsisoft een oplossing die er wel voor zorgt dat versleutelde bestanden goed worden ontsleuteld. In dit geval moeten organisaties nog steeds eerst het losgeld betalen en de decryptietool van de aanvallers krijgen. bron: security.nl

Vanaf begin volgend jaar moeten ontwikkelaars van Firefox-extensies hun Firefox-account met tweefactorauthenticatie (2FA) beschermen, zo heeft Mozilla aangekondigd. De maatregel moet voorkomen dat aanvallers het account van een extensie-ontwikkelaar kunnen overnemen om vervolgens malware onder gebruikers te verspreiden. Mozilla stelt dat het ervoor zal zorgen dat het inschakelen en gebruik van 2FA zo eenvoudig mogelijk is voordat de maatregel van kracht wordt. Zodra 2FA is verplicht zullen ontwikkelaars hier melding van krijgen wanneer ze een aanpassing aan hun extensie willen doorvoeren. Ontwikkelaars van Google Chrome-extensies waren vorig jaar herhaaldelijk doelwit van phishingaanvallen waarbij werd geprobeerd om hun accounts over te nemen en vervolgens malafide updates voor de betreffende extensie uit te rollen. Wanneer Mozilla de maatregel precies invoert is nog niet bekend. bron: security.nl

Er is een nieuwe versie van Internet.nl gelanceerd die nu ook kan testen of websites en mailservers aan de TLS-richtlijnen van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid voldoen. Internet.nl is een testtool van het Platform Internetstandaarden dat als doel heeft om het gebruik van moderne internetstandaarden verder te vergroten. Internet.nl controleerde al op allerlei zaken en heeft nu ook de nieuwste TLS-richtlijnen van het NCSC toegevoegd. In april van dit jaar publiceerde de overheidsinstantie een nieuwe versie van de richtlijnen om rekening te houden met de ontwikkeling van de TLS-standaard. De nieuwe richtlijnen bieden configuraties op basis van TLS 1.3, dat de nieuwste versie van het TLS-protocol is. Daarnaast wordt aangeraden om bepaalde configuraties uit te faseren, zoals TLS 1.0, TLS 1.1 en 3DES en algoritmes voor statische sleuteluitwisselingen. Via Internet.nl kunnen organisaties nu eenvoudig controleren of hun mailserver of website hieraan voldoet. Het Platform Internetstandaarden stelt dat behoorlijk wat mailservers alleen oudere TLS-versies ondersteunen. "Als de verzendende en ontvangende mailserver niet allebei dezelfde TLS-versie ondersteunen, dan zullen ze doorgaans terugvallen op onversleuteld transport. Om die reden kan het raadzaam zijn om de TLS-versies met status 'uit te faseren' voorlopig te blijven ondersteunen. Maak op basis van loggegevens een weloverwogen keuze voor het uitzetten van deze 'uit te faseren' TLS-versies." bron: security.nl

Onderzoekers hebben een ransomware-exemplaar ontdekt dat antivirussoftware probeert te omzeilen door Windowscomputers in de veilige modus te starten. In de veilige modus is de meeste beveiligingssoftware namelijk niet actief, waardoor de ransomware ongehinderd bestanden op de computer kan versleutelen. Snatch, zoals de ransomware door antivirusbedrijf Sophos wordt genoemd, maakt voor zichzelf een service aan die in de veilige modus wordt geladen. Vervolgens wordt de computer van het slachtoffer in de veilige modus herstart en de ransomware geladen. De criminelen achter de Snatch-ransomware zoeken naar kwetsbare, toegankelijke services. Het gaat dan bijvoorbeeld om systemen die via het Remote Desktopprotocol (RDP), TeamViewer en VNC toegankelijk zijn. Sophos is bekend met een incident waarbij de aanvallers via een bruteforce-aanval het beheerdersaccount van een Microsoft Azure-server wisten te achterhalen. Vervolgens werd er via RDP op de server ingelogd. Vanaf de Azure-server gebruikten de aanvallers het beheerdersaccount om op een domeincontrollermachine op hetzelfde netwerk in te loggen. Gedurende een aantal weken werd het netwerk van het slachtoffer verkend, waarna geprobeerd werd de ransomware te installeren. Het Amerikaanse securitybedrijf Coveware, dat voor bedrijven met cybercriminelen onderhandelt over het losgeld en ontsleutelen van bestanden, heeft tussen juli en oktober voor twaalf klanten met de criminelen achter de Snatch-ransomware onderhandeld. Om infecties door de ransomware te voorkomen adviseert Sophos om RDP-toegang niet voor heel het internet toegankelijk te maken. Organisaties die remote toegang willen bieden moeten dit via een VPN doen. Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden. Tevens doen organisaties er verstandig aan om al hun machines te monitoren. De meeste infecties en aanvallen vonden plaats via onbeschermde en niet gemonitorde systemen. bron: security.nl

Wie privacy op internet belangrijk vindt kan beter geen Google Chrome gebruiken, zo stelt de versleutelde e-maildienst ProtonMail. Volgens de e-mailprovider moet elke discussie over privacy en webbrowsers met Chrome beginnen, dat ruim 60 procent van al het webverkeer verwerkt. "Google gebruikt Chrome als een venster om alles te kunnen bekijken wat je online doet. Tenzij je je Google-privacyinstellingen aanpast, verzamelt Chrome elke website die je bezoekt zodat Google je gerichte advertenties kan tonen", aldus ProtonMail. "Erger nog, Chrome blokkeert nauwelijks dat andere adverteerders en trackers je via cookies en fingerprinting monitoren." De e-maildienst wijst naar een artikel van The Washington Post dat Chrome tijdens een week browsen meer dan 11.000 trackingcookies toeliet die Mozilla Firefox automatisch blokkeerde. "Wil je dat 11.000 ogen meekijken elke keer dat je op internet iets zoekt?", stelt ProtonMail de vraag. Internetgebruikers die hun privacy belangrijk vinden krijgen dan ook het advies om naar een andere browser over te stappen. In totaal doet ProtonMail drie suggesties voor een privacyvriendelijke browser: Brave, Firefox en Tor Browser. De browsers worden geprezen omdat ze standaard trackers blokkeren en gebruikers allerlei opties bieden voor het beschermen van hun privacy. Een eervolle vermelding is er voor de DuckDuckGo-browser. "De browser die je kiest heeft een grote impact op je online privacy. Door naar een privacygerichte browser over te stappen kun je je surfgeschiedenis beschermen tegen bedrijven en trackers die alles wat je online doet willen monitoren", besluit ProtonMail. bron: security.nl

Een aanvaller heeft klantgegevens van online speelgoedwinkel Toppie Speelgoed gestolen en biedt de data nu op internet te koop aan. Mogelijk gaat het om bijna tienduizend Nederlandse en Belgische klanten, zo meldt VRT NWS. De winkel verkoopt producten via de eigen site en Bol.com. "Een hacker heeft misbruik gemaakt van een technisch proces dat we een tijdje geleden hebben uitgevoerd en waarbij klantengegevens van de ene server naar de andere zijn overgezet. De oplichters kunnen gelukkig niet de hele aankoopgeschiedenis van onze klanten zien, geen betaalmethodes of bankrekeningnummers", zegt Mike Bruinsma van Toppie Speelgoed. De hoeveelheid gelekte gegevens is afhankelijk van waar klanten het speelgoed kochten. De gestolen aankoopgeschiedenis bestaat uit aankoop, kosten, naam, betaalwijze en adresgegevens. Wanneer er direct bij Toppie Speelgoed werd gekocht zijn ook e-mailadres en telefoonnummer buitgemaakt. In het geval de bestelling via Bol.com werd geplaatst ging het alleen om naam en afleveradres. Bol.com verstuurt namelijk beperkte gegevens naar externe partners die via de website producten aanbieden. Bol.com benadrukt dat het incident buiten het eigen systeem heeft plaatsgevonden en te wijten is aan het systeem van de ondernemer. Toppie Speelgoed heeft inmiddels de Autoriteit Persoonsgegevens over het datalek gewaarschuwd. bron: security.nl