Captain Kirk

Vorig jaar zijn er zo'n 29.000 kwetsbaarheden op de Common Vulnerabilities and Exposures (CVE)-lijst geregistreerd, een stijging ten opzichte van de 25.000 in 2022. CVE voorziet sinds 1999 elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CVE Numbering Authority (CNA). Aan CVE-nummers kan een impactscore worden toegekend op een schaal van 1 tot en met 10.0. Vorig jaar waren er 36 kwetsbaarheden met deze maximale score, aldus Cisco-engineer Jerry Gamblin in een analyse van de cijfers. CVE-2023-21928, een beveiligingslek in Oracle Solaris, was de kwetsbaarheid met de laagste impactscore, een 1.8. Als er wordt gekeken naar het soort kwetsbaarheden, dan staat cross-site scripting met ruim vijftien procent bovenaan, gevolgd door SQL injection en out-of-bounds write. Op basis van een Kalman Filter verwacht Gamblin dat er dit jaar 32.600 kwetsbaarheden worden geregistreerd. Niet aan alle gevonden of verholpen kwetsbaarheden wordt een CVE-nummer toegekend. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een kritieke kwetsbaarheid in Ivanti Endpoint Manager waardoor een aanvaller controle over apparaten kan krijgen die via de oplossing worden beheerd. Via de Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Daarvoor draait erop deze systemen een 'agent' van de Endpoint Manager, die het beheer op afstand mogelijk maakt. Door middel van SQL-injection kan een aanvaller die toegang tot het netwerk van een organisatie heeft opdrachten uitvoeren waarmee machines die de Endpoint Manager-agent draaien zijn over te nemen. In het geval de Endpoint Manager-server geconfigureerd is om SQL express te gebruiken kan ook deze server worden overgenomen. De impact van de kwetsbaarheid (CVE-2023-39336) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti werd door een externe onderzoeker over de kwetsbaarheid geïnformeerd en zegt dat er geen aanwijzingen zijn dat klanten slachtoffer van het beveiligingslek zijn geworden. Klanten worden opgeroepen om de update die het probleem verhelpt te installeren. Vorig jaar werd de Noorse overheid nog aangevallen via een zerodaylek in Ivanti Endpoint Manager Mobile. bron: https://www.security.nl

Mozilla gaat zich de komende jaren meer richten op AI en wil de technologie onder andere aan Firefox gaan toevoegen. Was Firefox vroeger populair omdat het goed was in het blokkeren van pop-ups, nu zoekt de browserontwikkelaar naar een 'pop-up-blocker voor het AI-tijdperk', zo zegt president en algemeen directeur Mark Surman tegenover TechCrunch en op de website van Mozilla zelf. Volgens Surman is open source AI een noodzakelijk onderdeel om het volgende tijdperk van het internet voor iedereen open en toegankelijk te maken. Mozilla lanceerde eerder al het bedrijf Mozilla.ai. Dat moet 'betrouwbare, open source en bruikbare' AI-technologie voor mensen gaan ontwikkelen. Zo zal Mozilla.ai als eerste tools gaan ontwikkelen om open source large language models (LLM's) nauwkeuriger en veiliger te maken, alsmede eenvoudiger uit te rollen. ChatGPT is een voorbeeld van een LLM. Mozilla wil op deze manier naar eigen zeggen AI een meer betrouwbare richting op duwen. Daarnaast zal Mozilla AI aan verschillende kernproducten toevoegen, zoals Firefox. Dit jaar wordt de browser uitgebreid met FakeSpot, om zo neprecensies op internet te herkennen. Mozilla kijkt echter ook naar andere toepassingen. Het kan dan bijvoorbeeld gaan om een ingebouwde chatbot zoals Microsoft Edge heeft. "Ik denk dat je de browser zal zien evolueren", merkt Surman op. Daarbij zoekt Mozilla vooral naar nuttige toepassingen. Volgens Surman was Firefox in de begindagen populair omdat het beter dan andere browsers vervelende pop-up-advertenties kon blokkeren. Nu zoekt de browserontwikkelaar naar een equivalent voor huidige gebruikers. "De vraag die we ons nu stellen is: Wat is de pop-up-blocker voor het AI-tijdperk? Wat is het dat mensen echt willen dat voor hen opkomt en de internetervaring beter maakt?" bron: https://www.security.nl

Criminelen zijn erin geslaagd het X-account van securitybedrijf Mandiant, een dochteronderneming van Google, te kapen en te misbruiken voor een cryptoscam. Zo werd in de beschrijving van het account gewezen naar de Phantom-cryptowallet, waarmee cryptovaluta en NFT's (Non-Fungible Tokens) zijn op te slaan, maar in werkelijkheid werd er gelinkt naar een scamwebsite. Ook in tweets van het Mandiant-account werd reclame voor de Phantom-wallet gemaakt en dat via de gelinkte sites gratis tokens konden worden verkregen. In een persverklaring stelt Mandiant, dat in 2022 nog voor 5,4 miljard dollar door Google werd overgenomen, dat er een incident met het X-account was. Inmiddels heeft het securitybedrijf weer de controle over het account teruggekregen, dat ruim 122.000 volgers telt. Hoe het account kon worden gekaapt is niet bekendgemaakt. bron: https://www.security.nl

Bijna 11 miljoen SSH-servers wereldwijd zijn kwetsbaar voor de 'Terrapin-aanval' die eind december werd onthuld, waaronder bijna 367.000 in Nederland, zo laat de Shadowserver Foundation vandaag weten. Via de aanval kan een aanvaller de gebruikte authenticatie-algoritmes downgraden en bepaalde maatregelen tegen keystroke timing-aanvallen, die in OpenSSH 9.5 werden geïntroduceerd, uitschakelen. Om de aanval uit voeren moet een aanvaller wel een man-in-the-middle-positie tussen de client en server hebben, waarbij het mogelijk is om verkeer op de TCP/IP-laag te onderscheppen en aan te passen. Daarnaast moet voor het opzetten van de verbinding gebruik worden gemaakt van ChaCha20-Poly1305 of de Cipher Block Chaining (CBC) encryptiemode met de optie 'Encrypt-then-MAC'. Via SSH kunnen gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. De Terrapin-kwetsbaarheid, ook aangeduid als CVE-2023-48795, is volgens de onderzoekers vanwege de kwetsbare encryptiemodes lastig te patchen. Wel zijn inmiddels voor allerlei populaire programma's, waaronder OpenSSH, PuTTY en WinSCP, updates uitgekomen. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Bij de laatste scan werd gecontroleerd op CVE-2023-48795. Dan blijkt dat bijna elf miljoen servers nog kwetsbaar zijn, aldus de onderzoekers, waarvan bijna 367.000 in Nederland. bron: https://www.security.nl

Wachtwoordmanager LastPass verplicht dat alle gebruikers voortaan een master password van minimaal twaalf karakters gebruiken. Gebruikers die nog niet aan de vereiste voldoen moeten hun wachtwoord aanpassen. LastPass adviseert sinds 2018 het gebruik van minimaal twaalf karakters voor het master password, maar dit was niet verplicht. Gebruikers konden daardoor ook een veel korter wachtwoord kiezen. De nieuwe verplichting vereist dat gebruikers eerst inloggen op hun LastPass-account. Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken. Is dit niet het geval, dan moet er een nieuw master password worden ingesteld. Volgens LastPass moet dit de wachtwoordkluizen van gebruikers beter beschermen. Verder gaat LastPass volgende maand controleren of nieuwe of aangepaste master password in bekende datalekken voorkomen. In het geval dit zo is krijgen gebruikers een melding om een nieuw wachtwoord te kiezen. Eind 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Volgens onderzoekers wisten de aanvallers toegang tot de inhoud van de gestolen kluisdata te krijgen en konden zo miljoenen dollars aan cryptovaluta stelen. Daarnaast kwam LastPass ook onder vuur te liggen. Zo hekelde beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt, aldus de onderzoeker. bron: https://www.security.nl

De Japanse softwareontwikkelaar Ateam heeft jarenlang gegevens van klanten, zakelijke partners en medewerkers via een onbeveiligde Google Drive gelekt. Bestanden die in de cloudopslagdienst van Google waren opgeslagen waren door het verkeerd instellen van de permissies voor iedereen op internet toegankelijk. Om de bestanden te bekijken moest wel de betreffende bestandslink bekend zijn. De permissies voor de bestanden stonden al sinds maart 2017 verkeerd ingesteld. Het probleem werd afgelopen 22 november opgelost. Vorige maand maakte de ontwikkelaar het datalek bekend. Ateam, dat games, zakelijke applicaties, websites, diensten en tools aanbiedt, is sinds 20 december bezig met het informeren van gedupeerden. Op dit moment is het nog onbekend of er misbruik van de gelekte data is gemaakt. Naar aanleiding van het datalek heeft de ontwikkelaar besloten om bij alle gebruikte cloudopslagdiensten de permissies te controleren, alsmede monitoring en het gebruik van securitytools te versterken. bron: https://www.security.nl

Het populaire gamingplatform Steam is, zoals begin vorig jaar al werd aangekondigd, nu officieel gestopt met de ondersteuning van Windows 7, Windows 8 en Windows 8.1. De Steamversie voor deze Windowsversies ontvangt geen updates meer en ook is er geen technische ondersteuning meer beschikbaar. Steam-ontwikkelaar Valve adviseert gebruikers om te updaten naar een nieuwere Windowsversie. Steam zal vooralsnog op Windows 7, 8 en 8.1 blijven werken, maar er worden geen garanties gegeven dat dit zo zal blijven. Mocht Steam stoppen met werken, dan kunnen gebruikers hun gekochte games niet meer gebruiken. De drie besturingssystemen hebben bij elkaar op dit moment nog een aandeel van bijna één procent. Het grootste deel van de Steamgebruikers maakt gebruik van Windows 10. Steam zou maandelijks 132 miljoen actieve gebruikers hebben. bron: https://www.security.nl

E-mailadressen zijn geen goede permanente identifiers voor accounts, zo stelt Chris Siebenmann van de Universiteit van Toronto. Veel organisaties maken gebruik van e-mailadressen als interne identificatie voor accounts. Volgens Siebenmann zijn er twee problemen met deze aanpak. E-mailadressen van personen kunnen veranderen, zelfs binnen een organisatie. Daarnaast bestaat er de mogelijkheid dat organisaties e-mailadressen hergebruiken. "Soms heb je geen keus, omdat account recovery via het bekende e-mailadres moet gaan, maar in andere gevallen heb je een vorm van interne ID die uniek en permanent zou moeten zijn, en die moet je gebruiken", aldus Siebenmann. Zelfs wanneer e-mailadressen voor accountherstel worden gebruikt, zou de interne identifier die de organisatie voor accounts gebruikt betekenisloos moeten zijn. "Dit maakt je leven op de lange termijn een stuk eenvoudiger, zelfs als het nooit aan mensen wordt getoond." Het pleidooi van Siebenmann zorgde voor honderden reacties op Hacker News. In één van de reacties wordt gesteld dat er geen goede identiteit is. "E-mailadressen veranderen, mensen verliezen toegang tot oude e-mailadressen. Mensen houden niet van gebruikersnamen, ze willen niet-unieke gebruikersnamen kunnen kiezen in plaats van iets als user53267 te gebruiken. Mensen verliezen toegang tot apparaten, alleen het opslaan van een geheim UUID in hun cookie, of het gebruik van een passkey van hun apparaat gaat niet werken. Er is geen ideale oplossing, behalve het combineren van verschillende dingen." bron: https://www.security.nl

Criminelen hebben een manier gevonden waardoor ze via gegevens die van een besmette computer zijn gestolen op Google-accounts kunnen inloggen, ook al heeft de eigenaar het wachtwoord inmiddels aangepast. Google is over de methode ingelicht, maar doet niets om het probleem te verhelpen, zo melden securitybedrijven Hudson Rock en CloudSek in twee blogposting en YouTube-video. Er zijn allerlei malware-exemplaren die inloggegevens zoals wachtwoorden en cookies van besmette computers stelen. Gebruikers wordt in dergelijke scenario's aangeraden om na ontdekking van de malware die eerst te verwijderen en dan voor alle accounts een nieuw wachtwoord in te stellen. De makers van de Lumma-malware, een infostealer die allerlei inloggegevens steelt, hebben echter een manier gevonden waardoor ze ook na een dergelijke wachtwoordreset nog steeds toegang tot accounts hebben. Hiervoor moet de malware, voordat die verwijderd wordt, eerst tokens en account-ID's uit Google Chrome zien te stelen. Met de gestolen gegevens is het mogelijk om Google-servicecookies opnieuw te genereren en daarmee toegang tot het account van het slachtoffer te krijgen, ook al heeft die in de tussentijd zijn wachtwoord gewijzigd. Inmiddels maken meerdere malware-exemplaren gebruik van deze methode. "Google-cookies die niet verlopen en zelfs werken wanneer het accountwachtwoord is gewijzigd, een gigantisch voordeel voor cybercriminelen en Google doet niets", zegt Alon Gal van Hudson Rock, die stelt dat hij Google al in oktober heeft gewaarschuwd. bron: https://www.security.nl

Maar hé, jaren 70. Dat is nogal een bepalend jaar voor de muziek geweest. Moody Blues, Eagels, Led Zeppelin....En dan alle zeezenders: Mia Migo, Noordzee, Caroline, Veronica. Samen met de jaren tachtig toch de betere muziekperiode...of ik ben ook oud.... 🤣 Draai niet voor niets geregeld muziek uit deze periode op mijn stationnetje.

Certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 377 miljoen websites van een gratis tls-certificaat, ruim 55 miljoen meer dan een jaar geleden. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG), een non-profitorganisatie die honderd procent afhankelijk van donaties is, en heeft een volledig versleuteld web als doel. Dagelijks geeft Let's Encrypt, dat uit 27 medewerkers bestaat, drie miljoen certificaten uit, die websites gebruiken voor het opzetten van een versleutelde verbinding met gebruikers. Een jaar geleden waren dat er nog 2,5 miljoen. Volgens Sarah Gran,vicepresident van het ISRG, was Let's Encrypt een 'game changer' voor internetveiligheid. Websites kunnen via de certificaatautoriteit kosteloos, geautomatiseerd en van een betrouwbare partij een tls-certificaat verkrijgen. De certificaten van Let's Encrypt zijn geldig voor een periode van negentig dagen, maar dat zal volgend jaar een stuk korter worden. Let's Encrypt is van plan om certificaten maximaal tien dagen geldig te laten zijn, wat de impact van gecompromitteerde private keys van het certificaat moet verminderen, aldus Gran. bron: https://www.security.nl

Microsoft heeft besloten om het App Installer-protocol in Windows wegens misbruik standaard uit te schakelen. Volgens het techbedrijf maken cybercriminelen er gebruik van om gebruikers en organisaties met malware te infecteren. Via het protocol zijn Windows-apps vanaf een webpagina te installeren. Gebruikers kunnen op deze manier eenvoudig de installatie van de betreffende software uitvoeren. Twee jaar geleden verhielp Microsoft als een zerodaylek in het protocol. Destijds konden criminelen de getoonde softwareleverancier spoofen, waardoor het voor gebruikers leek alsof ze software van bekende leveranciers zoals Adobe en Microsoft installeerden, terwijl het in werkelijkheid om malware ging. Bij de nu waargenomen aanvallen is dat niet het geval en wordt de naam van een onbekende softwareleverancier getoond. Gebruikers worden bijvoorbeeld via phishingaanvallen verleid om Zoom of Adobe PDF Reader te installeren, maar het gaat hier om malware waarmee verdere aanvallen worden uitgevoerd. De aanvallen zijn het werk van criminele organisaties die zich onder andere met bankfraude en ransomware bezighouden, aldus Microsoft. Om het waargenomen misbruik tegen te gaan is nu besloten het protocol in Windows standaard uit te schakelen. Daarnaast kunnen het beheerders het ook via een group policy binnen hun organisatie uitschakelen of inschakelen. bron: https://www.security.nl

Een volledig versleuteld web is dichtbij, maar de groei van het aantal HTTPS-sites stagneert. Volgens Google wordt 95 procent van de websites inmiddels via HTTPS geladen, terwijl Firefox dit op 80 procent houdt. Eind 2019 meldde Firefox al een zelfde percentage. Volgens de Amerikaanse burgerrechtenbeweging EFF zijn er verschillende redenen waarom nog altijd vijf tot twintig procent van de websites via het onversleutelde HTTP wordt geladen. Sommige websites zijn oud en worden niet meer beheerd. Een klein percentage van de websites heeft opzettelijk besloten om alleen via HTTP toegankelijk te zijn. Verder ondersteunen sommige mobiele ecosystemen geen 'HTTPS by default' en wordt als laatste gewezen naar toegankelijkheidsobstakels voor het verkrijgen van TLS-certificaten gebruikt voor HTTPS. De EFF hekelt ook de manier waarop sommige mobiele apparaten met webverkeer omgaan. "Te vaak versturen mobiele apps onversleutelde data." De Amerikaanse burgerrechtenbeweging, die aan de wieg stond van de HTTPS Everywhere-extensie voor browsers, ziet dan ook het standaard gebruik van HTTPS door mobiele apps als het volgende strijdgebied. Toch stelt de EFF dat een volledig versleuteld web uiteindelijk haalbaar is. bron: https://www.security.nl

Aanvallers hebben misbruik gemaakt van een zerodaylek in een opensource-library voor het verwerken van Excel-bestanden om Barracuda Email Security Gateways met malware te infecteren. Het gaat om de library Spreadsheet::ParseExcel. Barracuda heeft een update uitgebracht om gateways te beschermen, maar de kwetsbaarheid in Spreadsheet::ParseExcel is nog altijd niet opgelost en producten die van de library gebruikmaken zijn dan ook kwetsbaar. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. De Amavis-virusscanner die op de gateway draait maakt gebruik van Spreadsheet::ParseExcel voor het scannen van Excel-bijlagen die via e-mail worden verstuurd. Een kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om door middel van een malafide Excel-bijlage willekeurige code op de gateway uit te voeren. Aanvallers hebben de kwetsbaarheid gebruikt om Barracuda Gateways met twee backdoors te infecteren om zo toegang tot de apparaten te behouden. Barracuda en securitybedrijf Mandiant claimen dat de zeroday-aanvallen zijn uitgevoerd door een vanuit China opererende groep. Op 21 december kwam Barracuda met een update om de kwetsbaarheid in de eigen implementatie (CVE-2023-7102) van de library te verhelpen, gevolgd met een update op 22 december om getroffen gateways op te schonen. Het beveiligingslek in Spreadsheet::ParseExcel (CVE-2023-7101) is nog altijd aanwezig en organisaties die hiervan gebruikmaken, of met producten werken die van de library afhankelijk zijn, worden opgeroepen om maatregelen te treffen. De Australische overheid heeft inmiddels een waarschuwing afgegeven. bron: https://www.security.nl

Helemaal prima. Neem rustig de tijd en bij vragen weet je ons te vinden. Prettige feestdagen

Ik neem aan dat je zelf dit ook al hebt bekeken, zo niet, wie weet laten ze hier nog iets zien wat je nog niet geprobeerd hebt: TP-Link RE365 Wi-Fi AC1200 Range Extender

Een leuk puzzelproject. Hier kan van alles aan de hand zijn. Dus het zal vooral try and error worden om hem weer aan de praat te krijgen. Krijg je helemaal niets te zien, ook geen biosopties?

Beste Armajail. Heeft de hulp van Eddy X je probleem opgelost? Dan kunnen we namelijk dit topic op slot zetten.

Ik zou het advies van Kape volgen. Op mijn werk werken we niet anders en dat gaat heel goed. En anders zou je ook nog kunnen overwegen om een deel van je eigen One-drive of Google-drive te delen.

Ook ik wens iedereen een paar mooie en gezellige dagen en alvast een voorspoedig 2024. En mocht je voor de feestdagen nog een leuk radiostation zoeken: zondag 24 december zet ik de speciale kerstuitzending van mijn internetstation online: Just Your Music Station

Gelukkig staan ze bij mij nog niet met het pistool klaar, maar het is in zekere zin wel herkenbaar. In de meer dan 30 jaar dat ik nu voor de klas sta is de mentaliteit van met name ouders (sta in het basisonderwijs) niet altijd ten goede meegegroeid.

Instagram-gebruikers zijn het doelwit van een phishingaanval, waarbij wordt geprobeerd hun back-upcodes te stelen zodat aanvallers de tweefactorauthenticatie (2FA) kunnen omzeilen, zo meldt securitybedrijf Trustwave. Instagram biedt gebruikers de optie om hun account door middel van 2FA te beveiligen. In het geval gebruikers de vereiste 2FA-code niet kunnen genereren, bijvoorbeeld omdat ze hun telefoon kwijt zijn, kan er door middel van een back-upcode toch toegang tot het account worden verkregen.Back-upcodes bestaan uit acht cijfers en zijn eenmalig te gebruiken. Gebruikers kunnen wanneer ze op hun account zijn ingelogd een nieuwe lijst met codes genereren. De phishingmails die de aanvallers versturen stellen dat er copyrightklachten over het account van de gebruiker zijn binnengekomen. De link naar het 'bezwaarformulier' wijst echter naar een phishingsite. De website vraagt gebruikers om hun inloggegevens, alsmede of ze voor hun account 2FA hebben ingeschakeld. Als de gebruiker hier bevestigend op antwoordt vraagt de phishingsite om een back-upcode, gevolgd door het telefoonnummer en e-mailadres. "Er zijn zoveel manieren om op Instagram in te loggen en cybercriminelen maken hier misbruik van", aldus Trustwave. bron: https://www.security.nl

Google heeft voor de achtste keer dit jaar een actief aangevallen zeroday-kwetsbaarheid in Chrome verholpen. Het beveiliigignslek, aangeduid als CVE-2023-7024, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Drie weken geleden kwam Google ook al met een update voor een zeroday die door deze groep was ontdekt. Google Chrome 120.0.6099.129/130 is beschikbaar voor Windows, voor Linux en macOS is versie 120.0.6099.129 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De FBI heeft een decryptietool ontwikkeld waarmee honderden slachtoffers van de ALPHV/BlackCat-ransomware hun bestanden kunnen terugkrijgen. Dat meldt het Amerikaanse ministerie van Justitie. Eerder vandaag werd al bekend dat de Amerikaanse opsporingsdienst in samenwerking met andere politiediensten de oude website van de ransomwaregroep in beslag heeft genomen. Volgens het ministerie van Justitie is de ALPHV-groep de op één na meest actieve ransomwaregroep van de afgelopen anderhalf jaar, waarbij het zich baseert op de 'honderden miljoenen dollars' die slachtoffers betaalden. De groep hanteert een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Amerikaanse autoriteiten claimen dat de ALPHV-groep wereldwijd meer dan duizend slachtoffers heeft gemaakt. Tijdens het onderzoek naar de criminelen kreeg de FBI naar eigen zeggen zichtbaarheid in het netwerk van de criminelen, waarbij het 946 public/private key paren voor de door ALHPV gebruikte Tor-sites in handen kreeg. De ransomwaregroep maakt voor elk slachtoffer een aparte Tor-site aan om te communiceren en onderhandelen. De FBI heeft ook een decryptietool ontwikkeld waarmee meer dan vijfhonderd slachtoffers hun systemen kunnen herstellen, zo laat het ministerie verder weten. Hoe de dienst deze tool kon ontwikkelen is niet bekendgemaakt. Daarnaast is er een beloning uitgeloofd voor informatie over personen die achter de groep zitten. Het gaat om een beloning tot 10 miljoen dollar. bron: https://www.security.nl