20.3.24

Een voorschrift van ESET om de privacy te beschermen: wees voorzichtig bij het gebruik van een mobiele gezondheidsapp

 


19 maart 2024 - In de digitale economie is gezondheidszorg een sector die het beter doet dan de meeste andere en die door een groei met twee cijfers in 2030 naar schatting 861 miljard dollar zal waard zijn.

Als men een gezondheidsapp gebruikt, deelt men mogelijk de meest gevoelige data die men bezit. De AVG classificeert deze medische data als een ‘speciale categorie’, die ‘aanzienlijke risico’s voor de fundamentele rechten en vrijheden van het individu zou kunnen hebben’ als ze openbaar worden gemaakt. Daarom verplichten toezichthouders organisaties om hieraan extra bescherming te bieden.

Welke zijn de grootste privacy- en beveiligingsrisico's van gezondheidsapps?

·       Zorgen inzake gegevensbeveiliging

Deze komen vaak voor omdat ontwikkelaars de best practice-regels op het gebied van cyberbeveiliging niet volgen, zoals:

·       Apps die niet langer ondersteund worden of geen updates ontvangen: leveranciers hebben geen programma’s voor het openbaar maken/beheer van kwetsbaarheden, of hebben geen interesse om hun producten te updaten. Als software geen updates ontvangt, dan kan die vol kwetsbaarheden zitten die aanvallers kunnen misbruiken om gegevens te stelen.

·       Onveilige protocollen: apps met onveilige communicatieprotocollen kunnen gebruikers blootstellen aan het risico dat hackers hun gegevens onderscheppen tijdens de overdracht van de app naar de backend- of cloudservers van de provider, waar deze worden verwerkt.

·       Geen multi-factorauthenticatie (MFA): de meeste befaamde diensten bieden nu MFA aan als een manier om de beveiliging tijdens de inlogfase te versterken. Was dit er niet, dan zouden hackers wachtwoorden kunnen bemachtigen via phishing of een andere inbreuk (als men wachtwoorden in verschillende apps hergebruikt) en gewoon kunnen inloggen.

·       Slecht wachtwoordbeheer: apps waarmee gebruikers de standaardwachtwoorden kunnen behouden of onveilige inloggegevens kunnen instellen, zoals 'passw0rd' of '111111'. De gebruiker wordt blootgesteld aan ‘credential stuffing’ en andere brute krachtpogingen die zijn accounts willen kraken.

·       Bedrijfsbeveiliging: app-bedrijven hebben wellicht ook beperkte beveiligingscontroles en processen in hun eigen gegevensopslagomgeving. Dit kan onder meer te wijten zijn aan een slechte training in gebruikersbewustzijn, beperkte antimalware- en eindpunt-/netwerkdetectie, geen gegevensversleuteling, beperkte toegangscontroles en geen kwetsbaarheidsbeheer of incidentresponsprocessen. Dit alles vergroot de kans op een datalek.

2.       Overmatig delen van gegevens                                                                                                                    De gezondheidsinformatie (PHI) van gebruikers kan gevoelige details bevatten over seksueel overdraagbare aandoeningen, toxicomanie of andere stigmatiserende aandoeningen. Deze kunnen verkocht of met derden gedeeld worden, waaronder aan bedrijven die deze data voor gerichte marketing en advertenties gebruiken. Bij de door Mozilla genoemde voorbeelden zijn mHealth-aanbieders die:

·       informatie over gebruikers combineren met gegevens gekocht bij datamakelaars, sociale-mediasites en andere aanbieders om meer complete identiteitsprofielen samen te stellen;

·       niet toestaan dat gebruikers om verwijdering van specifieke gegevens vragen;

·       gebruik maken van informatie over gebruikers wanneer zij aanmeldingsvragenlijsten invullen met onthullende vragen over seksuele geaardheid, depressie, gender-identiteit en meer;

·       sessie-cookies van derden toestaan die gebruikers op andere websites identificeren en volgen om gerichte advertenties te sturen;

·       sessie-opnames mogelijk maken die muisbewegingen, scrollen en typen volgen.

3. Onduidelijk privacybeleid

Sommige mHealth-aanbieders bieden mogelijk geen duidelijkheid over bovengenoemde privacy praktijken, gebruiken vage taal of verbergen hun activiteiten in de kleine lettertjes van de algemene voorwaarden. Dit kan gebruikers een vals gevoel van veiligheid/privacy geven.

Wat zegt de wet

·       AVG: de Europese wet over gegevensbescherming is eenduidig voor organisaties die met speciale PHI-categorieën omgaan. Ontwikkelaars moeten privacy-impactbeoordelingen uitvoeren, het recht op verwijdering en gegevensminimalisatie volgen, ‘passende technische maatregelen’ nemen om ervoor te zorgen dat de ‘noodzakelijke waarborgen’ om persoonlijke gegevens te beschermen ingebouwd zijn.

·       HIPAA (Health Insurance Portability and Accountability Act): mHealth-apps die door commerciële leveranciers worden aangeboden voor gebruik door personen vallen niet onder de HIPAA, omdat leveranciers geen “gedekte entiteit” of “zakenpartner” zijn. Sommige zijn het echter wel en vereisen de juiste administratieve, fysieke en technische veiligheidsmaatregelen, alsook een jaarlijkse risicoanalyse.

·       CCPA en CMIA: Californianen hebben twee wetten die hun veiligheid en privacy beschermen in een mHealth-context: de Confidentiality of Medical Information Act (CMIA) en de California Consumer Privacy Act (CCPA). Deze vereisen een hoge standaard van gegevensbescherming en uitdrukkelijke toestemming. Ze zijn echter enkel van toepassing op personen uit Californië.

 Maatregelen om de privacy te beschermen

·       Onderzoek een app vooraleer deze te downloaden. Kijk wat andere gebruikers zeggen en of er waarschuwingen zijn van betrouwbare reviewers

·       Beperk wat je via deze apps deelt en ga ervan uit dat alles wat je zegt, kan gedeeld worden

·       Verbind de app niet met uw sociale media-accounts en gebruik deze ook niet om in te loggen. Dit beperkt de gegevens die gedeeld worden.

·       Geef de apps geen toegang tot de camera van uw toestel, geen geolocatie, enz.

·       Beperk in de privacy-instellingen van uw telefoon het ontvangen van advertenties

·       Gebruik altijd MFA waar het aangeboden wordt en creëer sterke, unieke wachtwoorden

·       Update altijd de app op de nieuwste (veiligste) versie

ESET Research: les attaques d’AceCryptor ciblent l'Europe en utilisant l'outil Rescoms

 


·       Au second semestre de 2023, ESET a détecté des campagnes AceCryptor utilisant Rescoms, outil d'accès à distance (RAT), principalement en Europe - Pologne, Bulgarie, Slovaquie, Espagne et Serbie.

·       L'auteur de ces campagnes a, dans certains cas, utilisé des comptes compromis pour envoyer des courriers indésirables afin de les rendre aussi crédibles que possible.

·       L'objectif de ces campagnes était d'obtenir des informations stockées dans les navigateurs ou les clients de messageries. En cas de compromission réussie cela ouvrirait la voie à d'autres attaques. 

BRATISLAVA, le 20 mars 2024 — ESET Research a enregistré une augmentation spectaculaire des attaques d’AceCryptor. Les détections ont triplé entre le premier et le second semestre 2023, ce qui correspond à la protection de 42 000 utilisateurs d'ESET dans le monde. Ces derniers mois, ESET a enregistré un changement significatif dans la façon dont AceCryptor est utilisé. Les attaquants diffusant Rescoms (aussi connu sous le nom de Remcos) ont commencé à utiliser AceCryptor, ce qui n'était pas le cas précédemment. Rescoms est un outil d'accès à distance (RAT) souvent utilisé à des fins malveillantes. AceCryptor est un cryptor-as-a-service qui masque les maliciels pour empêcher leur détection. Sur base du comportement de ces maliciels, les chercheurs d'ESET supposent que l'objectif de ces campagnes est l’obtention d’informations d'identification de messagerie et de navigateur pour de nouvelles attaques contre les entreprises ciblées. La majorité des échantillons Rescoms RAT contenant AceCryptor étaient utilisés comme vecteur de compromission initial dans plusieurs campagnes ciblant les pays européens, notamment l'Espagne, la Pologne, la Slovaquie, la Bulgarie et la Serbie.

 « Dans ces campagnes, AceCryptor étaient utilisé pour cibler plusieurs pays européens et extraire des informations ou obtenir un premier accès à plusieurs entreprises. Les maliciels impliqués étaient distribués dans des courriers indésirables et, dans certains cas, très convaincants. Parfois, le spam était envoyé à partir de comptes de messagerie légitimes, mais compromis », explique Jakub Kaloč, le chercheur d'ESET qui a découvert la dernière campagne AceCryptor avec Rescoms. "Puisque l'ouverture de pièces jointes à ces courriels peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d'être très attentif à ce que vous ouvrez et d'utiliser un logiciel de sécurité pour terminaux fiable, capable de détecter ce maliciel", ajoute-t-il.

 Au premier semestre de 2023, les pays les plus touchés par les maliciels d’AceCryptor étaient le Pérou, le Mexique, l'Égypte et la Turquie. Avec 4700 attaques, le Pérou, était en première position. Au cours du second semestre, les campagnes de Rescoms ont radicalement modifié ces statistiques. Les maliciels d’AceCryptor ont touché principalement des pays européens.

 Les échantillons d’AceCryptor observés par ESET au cours du second semestre de 2023 contenaient souvent deux familles de maliciels comme charge utile : Rescoms et SmokeLoader. Un pic détecté en Ukraine était provoqué par SmokeLoader. Cependant, en Pologne, en Slovaquie, en Bulgarie et en Serbie, l'augmentation de l'activité a été provoquée par AceCryptor contenant Rescoms comme charge utile finale.

 Toutes les campagnes ciblant les entreprises en Pologne avaient des sujets très similaires concernant des offres B2B pour entreprises. Pour paraître aussi crédibles que possible, les attaquants ont fait des recherches et ont utilisé des noms d’entreprises polonaises existantes et même des noms et coordonnées d’employés/propriétaires existants comme signature de ces e-mails. Ceci afin qu’une victime recherchant le nom de l'expéditeur sur Google, le trouve et soit motivée pour ouvrir la pièce jointe malveillante.

 Alors qu’on ne sait pas si les informations d’identification ont été recueillies pour le groupe qui a mené ces attaques ou si ces informations volées seraient ensuite revendues à d’autres hackers, une compromission réussie permet de nouvelles attaques, en particulier de ransomware.

 En parallèle aux campagnes polonaises, la télémétrie d’ESET a enregistré des campagnes en cours en Slovaquie, en Bulgarie et en Serbie. La seule différence significative était la langue utilisée dans les courriels, qui était celle des pays visés. En plus des campagnes mentionnées précédemment, l’Espagne a aussi connu une vague de spams avec Rescoms comme charge utile finale.

 Pour plus d'informations techniques sur la campagne AceCryptor et Rescoms RAT, consultez le blog Rescoms rides waves of AceCryptor spam sur https://www.welivesecurity.com.

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedInFacebook, Instagram et https://www.eset.com/be-fr/ 


13.3.24

Bestanden veilig online delen – Tips van ESET

 


Onze meest gevoelige bestanden delen zonder alle nodige beveiligingsmaatregelen te nemen, kan catastrofale gevolgen hebben. Niemand wil de stress, het financiële verlies en de moeite meemaken die nodig zijn om na een groot data-incident alles weer op orde te krijgen.

Waarom is het belangrijk bestanden veilig te delen?

Volgens recent onderzoek heeft 61% van de Amerikanen vernomen dat hun persoonlijke gegevens van ten minste één van hun accounts gelekt werden. Ruim twee vijfde (44%) zegt dat dit meerdere keren is gebeurd. Cybercriminelen richten zich vaak op de organisaties die onze gegevens bezitten. Volgens Verizon was in 2023 meer dan 94% van de datalekken financieel gemotiveerd en werd ruim 70% gepleegd door georganiseerde misdaadgroepen.

Dezelfde motivaties zorgen ervoor dat cybercriminelen ook phishing-aanvallen gebruiken. We kunnen ook vrezen dat sommige overheden onze privégegevens bespioneren of dat ongeautoriseerde gebruikers vertrouwelijke informatie lezen.

Wat men zeker niet moet doen

Er zijn veel manieren om bestanden te delen. Sommige, zoals USB-drives of andere verwijderbare opslagmedia, zijn niet gemaakt voor online overdracht en hebben andere potentiële nadelen. De volgende hebben eveneens hun nadelen:

·       FTP: File Transfer Protocol (FTP) is speciaal ontworpen voor het delen van bestanden. Maar het mist ingebouwde encryptie (tenzij men de veilige vorm FTPS gebruikt of een veilig alternatief voor FTP bekend als SFTP) en heeft mogelijk een complexe opzet nodig die enkel bedrijven en technisch onderlegde personen aankunnen.

·       P2P: Peer-to-Peer (P2P), waarbij geen tussenpersoon nodig is. Het werkt misschien wel voor het delen van bepaalde bestanden, maar zonder andere voorzorgsmaatregelen te nemen, is dit wellicht niet de beste optie voor het delen van gevoelige documenten.

·       E-mailbijlagen: we beschouwen dit vaak als de beste manier om gevoelige bestanden te verzenden. Vaak vergeten we dat providers een bericht niet altijd beveiligen (versleutelen) zodra het de ontvanger bereikt. En wat als onze e-mailaccounts of die van de ontvanger besmet zijn? Op veel platforms geldt ook een maximale grootte, wat vaak een probleem is voor grote afbeelding- of videobestanden. Een beproefde service, die speciale end-to-end versleutelde e-mail biedt, is in het algemeen een betere optie, maar er zijn er ook andere.

7 tips om grote bestanden veilig te delen

End-to-end versleutelde cloud-gebaseerde bestandsopslag is voor de meesten de oplossing, vooral als hogervermelde oplossingen falen. Als men de juiste voorzorgsmaatregelen neemt, kan het een veilige cloudopslagfaciliteit bieden, waar de bestanden achter slot en grendel bewaard worden. Men kan dan geselecteerde gebruikers uitnodigen om ze te bekijken door hen een downloadlink te geven met een beperkte tijdsduur. Dit is belangrijk omdat men bestanden kan bijwerken terwijl ze gebruikt worden en iedereen zo dezelfde kopie kan bekijken.

Niet alle oplossingen zijn evenwaardig en het kan zijn dat men bijkomende stappen moet nemen om de meest ernstige problemen op het gebied van beveiliging, privacy en gebruikerservaring uit de weg te ruimen. Hiermee moet men rekening houden:

1)       Kiezen voor end-to-end-encryptie (E2EE): zo zijn uw gegevens bij de bron gecodeerd en blijven ze gecodeerd terwijl ze worden opgeslagen en op de beoogde bestemming. Deze E2EE is bijzonder geschikt voor het uitwisselen van gegevens van toestel naar toestel. Dit omvat ook de versleuteling in rust en in transitie en betekent dat zelfs als de provider het doelwit is van cybercriminelen, de gegevens niet openbaar worden gemaakt. Naast E2EE-providers voor het delen van bestanden in de cloud, zijn er ook E2EE-e-maildiensten beschikbaar, hoewel er beperkingen gelden voor de grootte van bestanden.

2)      Kiezen voor een provider gericht op beveiliging en privacy. De markt biedt ons veel keuzemogelijkheden. Het is belangrijk om vooraf wat onderzoek te doen om zeker te zijn dat de aanbieder waarmee men samenwerkt, de juiste is. Lees het privacy-beleid en kijk na hoe de gegevens beveiligd zijn.

3)      Toegangscontroles: Om de beveiliging verder te verbeteren, moet men ervoor zorgen dat bestanden met een wachtwoord met sterke en unieke karakteristieken beveiligd zijn. Tweefactor-authenticatie (2FA) moet ingeschakeld worden voor verdere accountbescherming tegen phishing en andere aanvallen. Stel een deellink in, zodat alleen zij die  de link hebben, toegang tot de bestanden hebben.

4)      In de tijd beperkte links: door een vervaltijd in te stellen voor de downloadlinks die men naar de ontvanger stuurt, beperkt men het risico op ongeautoriseerde toegang tot bestanden. Bij sommige providers kan men voor verdere bescherming ook bestanden op afstand verwijderen of de toegang intrekken nadat ze gedownload zijn.

5)      Gebruik een VPN op openbare Wi-Fi: indien mogelijk vermijdt men toegang tot gevoelige accounts als men ingelogd is op een mogelijk onveilig openbaar Wi-Fi-netwerk. Moet men dit toch doen, dan moet men ervoor zorgen dat het via een vertrouwde VPN gebeurt om problemen te vermijden.

6)      Ondersteuning voor grote bestanden: bekijk de groottelimieten van de geselecteerde providers van cloud-bestandsdeling om zeker te zijn dat gegevens snel en gemakkelijk kunnen verzonden worden.

7)      Gebruik beveiligingssoftware: men moet voorzichtig zijn met inkomende links naar sites voor het delen van bestanden, zelfs als deze legitiem lijken. Beveiligingssoftware scant dergelijke links of gedownloade bestanden op malware en beschermt ons eigen toestel tegen aanvallen die bedoeld zijn om communicatie te kapen of af te luisteren.

We hebben allemaal een verschillend tolerantieniveau voor veiligheids- en privacyrisico's. Maar door de bovenstaande tips als een basishandleiding te gebruiken, zouden we in staat moeten zijn de dienst te selecteren die voor ons geschikt is bij het delen van bestanden.

OVER ESET

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedInFacebook, en X.

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/

6.2.24

Utiliser des appareils personnels à des fins professionnelles – conseils d’ESET

 


Le 6 février 2024 - Le travail hybride (hybrid work), depuis qu’il a aidé les organisations à surmonter la pandémie, a consolidé sa place. Dès lors, nombreux sont ceux qui souhaitent ou doivent accéder aux données de l’entreprise depuis n’importe quel endroit, à toute heure ainsi qu’à partir de n’importe quel appareil.

L’utilisation d’appareils personnels à des fins professionnelles présente des risques de sécurité accrus, surtout s’ils ne bénéficient pas de pratiques et de mesures de sécurité robustes. Bien que les préoccupations concernant le BYOD (Bring-Your-Own-Device) ne soient pas nouvelles, le recours croissant aux appareils personnels pour le travail a repositionné la sécurité des données des entreprises et a nécessité une réévaluation et un réajustement des politiques pour répondre à l'évolution de l'environnement de travail.

Même s'il n'y a pas de solution universelle, certaines mesures peuvent fortement contribuer à protéger les organisations.

Réduire la surface d'attaque des entreprises                                                                                                     L’utilisation par les employés d’appareils non gérés par les équipes informatiques est une menace sérieuse pour les données de l’entreprise. Les criminels étant toujours à la recherche de failles dans la cuirasse des organisations, limiter le nombre de points d'entrée potentiels est l’évidence même. Les organisations doivent faire l'inventaire de tous les appareils accédant à leurs réseaux et définir les normes de sécurité et les configurations auxquelles ces appareils doivent répondre pour garantir une protection de base.                                                                                        

Des applis ou autres logiciels non approuvés sur les appareils des employés sont une source de risques pour l'intégrité, la disponibilité et la confidentialité des données et des systèmes. Pour empêcher l'accès non réglementé de tiers aux données sensibles, les organisations peuvent créer une « barrière » entre les informations personnelles et professionnelles et contrôler les appareils en imposant une liste noire (ou blanche) pour les applis. Garder les appareils sous contrôle est possible grâce à un logiciel spécial de gestion des appareils mobiles.

Mettre à jour les logiciels et les systèmes d'exploitation                                                                                       Chaque jour de nouvelles vulnérabilités sont découvertes dans des logiciels couramment utilisés. Par conséquent, il est plus facile de s'assurer que les employés travaillent sur des appareils à jour s'ils utilisent des ordinateurs portables et des smartphones de l'entreprise et s'ils bénéficient de l'assistance du service informatique pour installer les mises à jour sur leurs machines peu de temps après leur publication. Beaucoup d’entreprises utilisent un logiciel de gestion des appareils non seulement pour installer les mises à jour, mais également pour améliorer la sécurité en générale.

Si la mise à jour de logiciels sur leurs appareils se fait par les employés, les organisations peuvent leur rappeler que des correctifs sont disponibles, fournir des guides sur la façon de les appliquer et suivre leur avancement.

Établir des connexions sécurisées                                                                                                                                          Si des employés externes doivent accéder au réseau, l’organisation doit en être informée. Ces collaborateurs peuvent utiliser non seulement leur réseau domestique, mais également les réseaux publics. Un réseau privé virtuel (VPN) correctement configuré qui permet aux travailleurs distants d'accéder aux réseaux d'entreprise est un moyen simple de réduire l'exposition d'une organisation aux vulnérabilités que les criminels pourraient exploiter.

Activer la connectivité à distance dans l'environnement informatique d'une organisation se fait via le protocole RDP (Remote Desktop Protocol). Lorsqu’on est passé au travail hybride, les connexions RDP ont fortement augmenté, tout comme les attaques contre les endpoints RDP. Pour accéder aux réseaux d'entreprise, les attaquants ont exploité des paramètres RDP mal configurés ou des mots de passe faibles. Ainsi, les criminels peuvent s'emparer de la propriété intellectuelle, crypter les fichiers et les conserver contre rançon, tromper un service comptable pour qu'il transfère des fonds vers des comptes qu'ils contrôlent ou faire des ravages dans les sauvegardes de données.

Il y a de nombreuses façons de se protéger contre les attaques RDP. L'accès RDP doit être correctement configuré, notamment en désactivant le RDP accessible sur Internet et en ayant des mots de passe forts pour tous les comptes pouvant être connectés via RDP. Pour en savoir plus sur la configuration RDP appropriée, consultez l'article récent d'ESET :

Protéger les joyaux de la couronne                                                                                                            Stocker des données confidentielles de l'entreprise sur un appareil personnel constitue un risque en cas de perte ou de vol de l'appareil, s'il n'est pas protégé par mot de passe et si le disque dur n'est pas chiffré. Cela s'applique également si l'appareil est utilisé par quelqu'un d'autre. Même si c’est un membre de la famille, cela peut conduire à compromettre les données de l'entreprise, qu’elles soient stockées localement ou dans le cloud.

Des mesures telles qu'une protection renforcée par mot de passe, le verrouillage automatique d'une demande et la formation des employés pour empêcher quiconque d'utiliser l'appareil, protégeront les données de l'organisation.

Pour réduire le risque que des personnes non autorisées accèdent à des informations confidentielles, les organisations doivent chiffrer les données sensibles en transit et au repos, mettre en œuvre une authentification multi facteur et sécuriser les connexions réseau.

Visioconférence sécurisée                                                                                                                                                      La pandémie, a déplacé toutes les réunions vers le monde virtuel. Les organisations donc doivent établir des lignes directrices pour la vidéoconférence : quel logiciel utiliser et comment sécuriser la connexion.

Il faut utiliser un logiciel doté de fonctionnalités de sécurité robustes, d'un cryptage de bout en bout et d'une protection par mot de passe pour protéger les données confidentielles des regards indiscrets. Les logiciels de visioconférence doivent disposer des dernières mises à jour de sécurité afin de pouvoir remédier à toute faille le plus rapidement possible.

Les logiciels et les personnes                                                                                                                        Un logiciel de sécurité multicouche réputé doit être utilisé sur les appareils accédant aux systèmes de l’organisation. Un tel logiciel – géré par l'équipe de sécurité ou informatique de l'organisation – peut éviter bien des maux de tête ainsi que des pertes de temps et d’argent. Cela peut protéger contre les nouvelles menaces de maliciels, sécuriser les données et aider les administrateurs système à maintenir les appareils conformes aux politiques de sécurité de l'organisation.

S'assurer que les appareils et les données sont régulièrement sauvegardés (et tester les sauvegardes) et dispenser une formation de sensibilisation à la sécurité au personnel sont d'autres mesures incontournables. Les contrôles techniques ne sont pas complets si les employés ne comprennent pas les risques associés à l'utilisation d'appareils personnels à des fins professionnelles.

ESET Research ontdekt spionage-apps bij aanval in Pakistan – romantiek-zwendel werd hierbij gebruikt

 


·   E$SET Research heeft een nieuwe cyberspionage-campagne ontdekt die het met veel vertrouwen heeft toegeschreven aan de Patchwork APT-groep.

·       De campagne gebruikte Google Play om zes kwaadaardige apps te verspreiden, gebundeld met VajraSpy RAT-code. Nog zes andere apps werden ‘in the wild’ verspreid.

·       De apps op Google Play zijn ruim 1.400 keer geïnstalleerd en zijn nog steeds beschikbaar in alternatieve appstores.

·       Patchwork gebruikte wellicht een ‘honey-trap’ romantiek-zwendel om de slachtoffers aan te zetten om de malware te installeren.

 

BRATISLAVA, MONTREAL — 1 februari 2024 — ESET-onderzoekers hebben twaalf Android-spionage-apps geïdentificeerd die dezelfde kwaadaardige code delen; zes waren beschikbaar op Google Play. Alle waargenomen apps werden geadverteerd als messaging tools, behalve één die zich voordeed als nieuws-app. Op de achtergrond voeren deze apps heimelijk een trojan-code uit voor externe toegang (Remote Access Trojan - RAT), genaamd VajraSpy, die gebruikt wordt door de Patchwork APT-groep voor gerichte spionage. Volgens het onderzoek van ESET hebben de criminelen achter de getrojaniseerde apps wellicht een romantische zwendel gebruikt om hun slachtoffers aan te zetten die malware te installeren.

VajraSpy heeft een reeks spionage-functionaliteiten die kunnen uitgebreid worden op basis van de machtigingen die toegekend zijn aan de app die met de code is gebundeld. Het steelt contacten, bestanden, oproeplogs en sms-berichten. Sommige installaties kunnen ook WhatsApp- en Signal-berichten stelen, telefoongesprekken opnemen en met de camera foto's maken.

Op basis van de beschikbare cijfers zijn de kwaadaardige apps die toen beschikbaar waren op Google Play ruim 1.400 keer gedownload. Tijdens het ESET-onderzoek leidde de zwakke operationele beveiliging van een van de apps ertoe dat gegevens van slachtoffers openbaar werden gemaakt, zodat onderzoekers 148 gecompromitteerde toestellen in Pakistan en India konden geo-lokaliseren. Het ging wellicht om de werkelijke doelwitten van de aanslagen. ESET is lid van de App Defense Alliance en een actieve partner in het programma voor malwarebeperking met als doel snel potentieel schadelijke apps te vinden en te stoppen voor ze op Google Play komen. Als partner van deze organisatie heeft ESET de kwaadaardige apps geïdentificeerd en aan Google gemeld. Ze zijn niet langer in de Play Store beschikbaar, maar wel nog steeds in alternatieve appstores.

Vorig jaar ontdekte ESET dat Rafaqat, een getrojaniseerde nieuws-app, gebruikt werd om gebruikersinformatie te stelen. Nader onderzoek legde nog een aantal apps met dezelfde kwaadaardige code bloot. In totaal analyseerde ESET twaalf getrojaniseerde apps waarvan zes (waaronder Rafaqat) beschikbaar waren op Google Play, en zes ‘in the wild’ waren gevonden – in de VirusTotal-database. Deze apps hadden diverse namen, zoals Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat en Wave Chat.

Om hun slachtoffers te overhalen, gebruikten de criminelen wellicht romantiek-zwendel, waarbij ze eerst contact opnamen met de slachtoffers op een ander platform en hen vervolgens overtuigden om over te schakelen naar een getrojaniseerde chat-app. “Cybercriminelen gebruiken social engineering als een krachtig wapen. We raden u ten zeerste af om op links te klikken om een app te downloaden die wordt verzonden in een chatgesprek. Het kan moeilijk zijn om immuun te blijven voor valse romantische avances, maar het loont de moeite om altijd waakzaam te zijn”, zegt ESET-onderzoeker Lukáš Štefanko, die deze Android-spyware ontdekte. Volgens de MITRE ATT&CK-database is Patchwork niet definitief toegeschreven en enkel indirect bewijs suggereert dat de groep mogelijk een pro-Indiase of Indiase entiteit is. Deze groep richt zich vooral op diplomatieke en overheidsinstanties.

Lees voor meer technische informatie over VajraSpy en de spionage-apps van de Patchwork APT-groep de blog VajraSpy: A Patchwork of espionage apps” op WeLiveSecurity.com.

29.1.24

Cyber: het Zwitserse zakmes van spionage – ESET Research

 


29 januari 2024 - Duizenden jaren lang hebben landen hun buren, bondgenoten en tegenstanders bespioneerd. Vandaag, in de digitaal verbonden wereld, zijn geavanceerde cybercapaciteiten echter een bijzonder krachtig en veelzijdig instrument geworden, zowel voor natiestaten als criminelen.

 Zes voordelen van cyberacties 

Cybercapaciteiten zijn waardevol voor natiestaten die politieke, economische en militaire doeleinden nastreven en bieden grote voordelen tegen relatief lage kosten  inzake  middelen en risico’s.

 1.       Cyberacties kunnen heimelijk plaatsvinden, zodat onopgemerkte toegang tot doelsystemen mogelijk is voor het verzamelen van gegevens of geheime activiteiten, zoals bij incidenten als SolarWinds te zien is.

2.       Ze kunnen ook luid en verstorend of destructief zijn, zoals blijkt uit conflicten in Oekraïne en het Midden-Oosten.

3.       Cybermiddelen zijn manipulatief, nuttig voor het beïnvloeden van scenario's en worden in toenemende mate op de meeste continenten ingezet.

4.       Ze zijn financieel lucratief zoals blijkt uit de activiteiten die aan Noord-Korea(North Korea) worden toegeschreven en die hun militaire programma financieren via ransomware-campagnes.

5.       Ze kunnen uitbesteed worden door acties van derden, zoals huursoldaten of hacktivisten, aan te moedigen die bereid zijnaanvallen uit te voeren voor geld of zelfs politieke doeleinden en overtuigingen.

6.       Ze kunnen met klem ontkend worden, omdat het enige tijd kan duren (bijv. omwille van het overwinnen van verduisteringstechnieken) om de oorsprong van een aanval met zekerheid te achterhalen.

 Het cyberdomein beschikt ook over een verscheidenheid aan tactieken, hulpmiddelen en technieken, ondersteund door een bloeiende darkweb-markt en een eindeloze reeks kwetsbaarheden die men kan uitbuiten. Het gebrek aan significante afschrikmiddelen of bestraffing van cyberactiviteiten vergroot de aantrekkelijkheid van cyberacties voor natiestaten.

Mondiale cyberacties en evoluerende tactieken van grote landen

De toenemende aantrekkingskracht van cybercapaciteiten voor landen is duidelijk, zodat velen ernaar streven hun cyberpotentieel te maximaliseren. Rusland, China, Iran en Noord-Korea worden vaak wegens hun kwaadaardige cyberactiviteiten genoemd. Alle landen spioneren, maar bij sommige landen gebeurt dat buiten de geaccepteerde normen.

Vooral China maakt op grote schaal gebruik van cybermogelijkheden. Inlichtingendiensten van de Five Eyes-landen (Five Eyes nations continually warn) waarschuwen voor de uitgebreide activiteiten van aan China gelinkte groepen die elk continent treffen. Onlangs heeft deze alliantie de omvang en verfijning van de diefstal van intellectuele eigendom en de verwerving van expertise door China benadrukt. Het werd als ongezien omschreven.

Rusland houdt zich, te midden van zijn focus op Oekraïne voor verstoring en vernietiging, ook wereldwijd bezig met cyberspionage, waarbij vooral Europa in het brandpunt zit. Rusland heeft ook in Afrika invloedcampagnes gevoerd, waarbij het zich richtte op regeringen met nauwe westerse banden en die de Russische regering minder ondersteunen.

Noord-Koreaanse groepen blijven zich richten op het verwerven van defensie-gerelateerde technologieën, het genereren van inkomsten uit ransomware en het bespioneren, vooral in Azië. De Lazarus-groep is wellicht de meest beruchte hacker van Noord-Korea, met een vermeende aanval op een Spaans lucht- en ruimtevaartbedrijf (alleged attack on a Spanish  Aerospace firm).

Aan Iran gelinkte groepen breiden hun capaciteiten en reikwijdte uit, verder dan hun traditionele focus op het Midden-Oosten. Ze richten zich vooral op Israël (particularly targeting Israel).

Naast deze bekende spelers ontwikkelt een steeds groter aantal staten hun eigen capaciteiten om cyberacties buiten hun grenzen te voeren of zich op buitenlandse entiteiten te richten, waaronder ambassades, internationale organisaties, bedrijven en individuen, in hun eigen land. Er wordt aangenomen dat de vermeende Wit-Russische groep MoustachedBouncer toegang heeft tot een Wit-Russische telecom-operator om “man in the middle”-aanvallen uit te voeren op buitenlandse entiteiten in Wit-Rusland.

Als de interne capaciteit onvoldoende is, of om de ontkenningsmogelijkheden te vergroten, nemen sommige landen hun toevlucht tot de particuliere sector en cyberhuurlingen. Het aantal landen dat betrokken is bij cyberoperaties zou boven de 50 kunnen liggen en groeit wereldwijd. Volgens CERT-EU zijn er zelfs 151 belangrijke kwaadaardige acties geweest die gericht waren tegen EU-instellingen, onder meer door aan Turkije en Vietnam gelinkte groepen. Deze wereldtrend benadrukt het groeiend belang en de evolutie van het dreigingslandschap.

Een venster op een complexe wereld

Activiteiten in cyberspace zijn een inkijkje in de complexiteit van de geopolitiek. Aanvallen zijn vaak enkel te begrijpen door de lens van politieke bedoelingen. De drie grote mogendheden van deze wereld zijn verwikkeld in een strijd om invloed, welvaart en macht. In de meeste regio's zijn er conflicten, sluimerende spanningen, politieke, veiligheids- en economische uitdagingen. In dit klimaat van instabiliteit, toegenomen concurrentie, vaak gedesillusioneerde bevolkingen en in een steeds meer digitaal verbonden wereld is cyber voor staten een zeer handig instrument. Het komt steeds meer zelden voor dat bilaterale geschillen geen enkele vorm van cyberactiviteit met zich meebrengen, zowel vanuit staten, hun handlangers, als vanuit afgestemde/beïnvloede hacktivisten. Hoewel sommige conflicten in cyberspace tussen landen voorspelbaar zijn, kunnen bilaterale conflicten ook zonder waarschuwing uitbreken.

Spijts inspanningen van de VN lijkt het bereiken van overeenstemming over bindende internationale normen voor redelijk staatsgedrag in cyberspace op de middellange termijn onrealistisch. Met deze ongemakkelijke realiteit wordt de behoefte aan ruime internationale samenwerking, beleidskaders en bewustmakingscampagnes om de risico’s verbonden aan deze kwaadaardige activiteiten te beheersen en te beperken, urgenter dan ooit. Het opbouwen van veerkracht zal een holistische, maatschappij-brede aanpak vergen, daar het cyberdomein een cruciaal slagveld zal blijven in een steeds onrustiger wereld.

OVER ESET

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedInFacebook, en X.

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/