Deze 10 incidenten die de beveiliging in 2023 schokten

Tegen een achtergrond van macro-economische en geopolitieke onzekerheid bleven cybercriminelen gedijen door de verdediging van bedrijven te omzeilen. Analyse van de top 10 aanvallen in 2023.

post-image-3
Externe actoren zijn verantwoordelijk voor de overgrote meerderheid (83%) van de inbreuken en financieel gewin is goed voor bijna alle (95%) inbreuken, volgens het meest recente Data Breach Investigations Report van Verizon. 
De meeste incidenten in dit rapport worden veroorzaakt door ransomware en gegevensdiefstal. 
Maar soms is de oorzaak een menselijke fout of een kwaadwillende binnen het bedrijf. 
Soms hebben aanvallen een buitenproportionele impact, zelfs als het aantal slachtoffers relatief klein is.
ESET heeft de grootste aanvallen die in 2023 plaatsvonden op een rijtje gezet.

1) MOVEit

Deze aanval, die zijn oorsprong vindt in de Lace Tempest (Storm0950) Clop ransomware, had alle kenmerken van de eerdere campagnes van de groep tegen Accellion FTA (2020) en GoAnywhere MFT (2023). 
De modus operandi is eenvoudig: een Zero Day kwetsbaarheid in een populair softwareproduct wordt gebruikt om toegang te krijgen tot clientomgevingen, om vervolgens zoveel mogelijk gegevens te exfiltreren en losgeld te vragen. 
Het is niet bekend hoeveel gegevens er zijn verzameld of hoeveel slachtoffers er zijn getroffen. Volgens schattingen zijn meer dan 2600 organisaties en ongeveer 83 miljoen mensen getroffen. Veel van deze organisaties waren leveranciers of dienstverleners, wat de downstream impact alleen maar groter maakte.

2) De Britse verkiezingscommissie

De Britse toezichthouder op de partij- en verkiezingsfinanciering onthulde afgelopen augustus dat hackers de persoonlijke gegevens van ongeveer 40 miljoen geregistreerde kiezers hadden gestolen. 
Achter deze cyberaanval, die werd voorgesteld als "complex", bleek uit een Cyber Essentials auditrapport niettemin dat het beveiligingsniveau van de organisatie middelmatig was. 
Een ongepatchte Microsoft Exchange-server zou de bron van de aanval zijn geweest. Bovendien waren de kwaadwillenden waarschijnlijk al sinds augustus 2021 het netwerk van de organisatie aan het onderzoeken.

3) Politiedienst van Noord-Ierland (PSNI)

Dit incident valt in de categorie van interne inbreuken waarbij een klein aantal slachtoffers betrokken is die waarschijnlijk een onevenredige impact hebben. Afgelopen augustus maakte de PSNI bekend dat een werknemer per ongeluk interne gegevens had gepubliceerd op de WhatDoTheyKnow website in antwoord op een Freedom of Information (FOI) verzoek. De informatie bevatte de namen, rangen en afdelingen van ongeveer 10.000 officieren en burgerpersoneel, inclusief degenen die betrokken waren bij surveillance en inlichtingen. Hoewel de informatie maar twee uur bleef staan voordat ze werd verwijderd, kon ze zo worden verspreid onder Ierse republikeinse dissidenten, die de informatie verspreidden. Twee mannen werden op borgtocht vrijgelaten nadat ze waren gearresteerd voor terroristische misdrijven.

4) DarkBeam

Bij het grootste datalek van het jaar werden 3,8 miljard records blootgelegd door het digitale risicoplatform DarkBeam nadat de interfaces voor datavisualisatie Elasticsearch en Kibana verkeerd waren geconfigureerd. Een beveiligingsonderzoeker ontdekte het probleem en informeerde het bedrijf, dat het snel repareerde. Het is echter niet bekend hoe lang de gegevens zijn blootgesteld. Ironisch genoeg bevatten de gegevens e-mails en wachtwoorden van gerapporteerde en niet-gerapporteerde datalekken. Dit incident illustreert de noodzaak om systemen voortdurend te controleren op misconfiguratie.

5) De Indiase Raad voor Medisch Onderzoek (ICMR)

Een andere megalek, een van de grootste in India, vond plaats in oktober, nadat een kwaadwillende actor de persoonlijke gegevens van 815 miljoen mensen te koop had gezet. Het lijkt erop dat de gegevens waren geëxfiltreerd uit de COVID-testdatabase van ICMR en bestonden uit naam, leeftijd, geslacht, adres, paspoortnummer en identificatienummer van de overheid (Aadhaar). Dit kan cybercriminelen geven wat ze nodig hebben voor identiteitsdiefstalaanvallen. In India wordt Aadhaar gebruikt voor digitale identificatie, het betalen van rekeningen en Know Your Customer cheques.

6) 23andMe

Een kwaadwillende actor heeft naar eigen zeggen bijna 20 miljoen gegevens gestolen van de Amerikaanse genetica- en onderzoeksorganisatie. Het lijkt erop dat hij eerst klassieke credential stuffing-technieken gebruikte om toegang te krijgen tot gebruikersaccounts - met behulp van eerder geschonden credentials die deze gebruikers hadden gerecycled op 23andMe. Voor gebruikers die hadden gekozen voor de DNA Relatives service op de site, was de kwaadwillende actor vervolgens in staat om toegang te krijgen tot veel meer gegevens van potentiële ouders en deze op te vragen. De gegevens bevatten onder andere foto, profiel, geslacht, geboortejaar, locatie en genetische voorouderresultaten.

7) DDoS-aanvallen met snelle reset

Een ander ongewoon geval waarbij een zero-day kwetsbaarheid in het HTTP/2-protocol betrokken was, werd in oktober onthuld en stelde kwaadwillenden in staat om enkele van de grootste DDoS-aanvallen ooit uit te voeren. Volgens Google bereikten deze aanvallen een piek van 398 miljoen verzoeken per seconde (rps), tegenover 46 miljoen rps in het verleden. Het goede nieuws is dat internetgiganten zoals Google en Cloudflare de bug hebben verholpen. Bedrijven die hun eigen aanwezigheid op het web beheren, worden aangespoord om onmiddellijk hetzelfde te doen.

8) T-Mobile

De Amerikaanse telecomoperator heeft de afgelopen jaren te maken gehad met talloze beveiligingslekken. Maar het incident dat in januari 2023 werd onthuld, trof 37 miljoen klanten, van wie het adres, telefoonnummer en geboortedatum werden gestolen door een kwaadwillende. Een tweede incident dat in april werd onthuld, betrof slechts ongeveer 800 klanten, maar omvatte een heleboel andere gegevens, waaronder PIN-codes voor T-Mobile-accounts, burgerservicenummers, overheidsgegevens, geboortedata en interne codes die het bedrijf gebruikt om klantenaccounts te beheren.

9) MGM International en Cesars

Twee van de grootste namen in Las Vegas werden binnen enkele dagen na elkaar getroffen door dezelfde stroom ransomware genaamd Scattered Spider. In het geval van MGM kregen ze toegang tot het netwerk via een eenvoudige zoekopdracht op LinkedIn, gevolgd door een vishing-aanval waarbij ze zich voordeden als de IT-afdeling en om referenties vroegen. De aanval had grote financiële gevolgen voor het bedrijf. Dagenlang moest het bedrijf belangrijke IT-systemen uitschakelen, waardoor gokautomaten, restaurantbeheersystemen en zelfs keycards van kamers werden verstoord. Het bedrijf schatte de kosten op $100 miljoen. De kosten voor Cesars zijn onduidelijk, hoewel het bedrijf heeft toegegeven $15 miljoen losgeld te hebben betaald.

10) Pentagon lekken

Het laatste incident is een waarschuwing voor het Amerikaanse leger en elke grote organisatie die zich zorgen maakt over kwaadwillende insiders. Jack Teixeira, een 21-jarige inlichtingenofficier bij de Massachusetts Air National Guard, lekte zeer gevoelige militaire documenten en schepte erover op tegen zijn gemeenschap op Discord. Deze informatie werd vervolgens gedeeld op andere platforms en opnieuw gepubliceerd door de Russen na de oorlog in Oekraïne. Hierdoor kregen ze een schat aan militaire informatie over de oorlog en werden de relaties van de VS met hun bondgenoten ondermijnd. Teixeira was in staat om topgeheime documenten uit te printen, mee naar huis te nemen, te fotograferen en vervolgens te downloaden.
 
Show More
Back to top button