Cyberaanvallen in 2024: De Grootste Bedreigingen en Belangrijkste Lessen voor Bedrijven.
In een tijdperk waarin digitale dreigingen voortdurend evolueren, was 2024 een kanteljaar voor cyberbeveiliging. Van gerichte ransomware-aanvallen op grote ondernemingen tot datalekken die miljoenen gebruikers hebben getroffen, de impact van cybercriminaliteit heeft wereldwijd een ongekend hoogtepunt bereikt. Deze blog werpt een diepgaande blik op de meest opmerkelijke cyberaanvallen van 2024, onthult de tactieken van aanvallers en biedt waardevolle lessen voor bedrijven om hun digitale weerbaarheid te versterken. Of je nu een IT-professional, bedrijfsleider of simpelweg een geïnteresseerde lezer bent, deze inzichten zijn essentieel om te begrijpen hoe je jouw organisatie kunt beschermen in een steeds complexere digitale wereld.
1. De Aanval op Microsoft (januari 2024)
Daders: Midnight Blizzard (ook bekend als NOBELIUM, een Russische staatsactor)
Techniek: Wachtwoordspray-aanvallen, OAuth-applicatie-exploitatie
Impact: Ongeautoriseerde toegang tot interne e-mails en gevoelige bedrijfsgegevens
In januari 2024 detecteerde Microsoft een geavanceerde staatsgesponsorde aanval op zijn bedrijfsnetwerken. De aanval, uitgevoerd door de Russische staatsactor Midnight Blizzard (ook bekend als NOBELIUM), leidde tot ongeautoriseerde toegang tot gevoelige bedrijfsgegevens, waaronder interne e-mails. De aanvallers maakten gebruik van technieken zoals wachtwoordspray-aanvallen en exploitatie van OAuth-applicaties om toegang te krijgen.
De ernst van deze aanval benadrukt het belang van een goed evenwicht tussen beveiliging en operationeel risico. Microsoft gebruikte auditlogs om de activiteiten van de aanvallers te traceren via Exchange Web Services (EWS) en begon andere getroffen organisaties op de hoogte te stellen. Het incident wordt nog steeds onderzocht, terwijl Microsoft voortdurend de tactieken van Midnight Blizzard analyseert om zich beter te kunnen beschermen tegen soortgelijke aanvallen in de toekomst.
Lessen voor bedrijven:
- Implementeer sterke wachtwoordbeleid en gebruik wachtwoordmanagers.
- Activeer Multi-Factor Authenticatie (MFA) op alle accounts.
- Zorg voor een proactieve monitoring van Exchange Web Services en auditlogs.
2. Pro-Oekraïense Hacktivisten wissen 2 Petabyte aan Data van Russisch Ruimteonderzoekscentrum (januari 2024)
Daders: Pro-Oekraïense hacktivisten (BO Team)
Doelwit: Russisch Centrum voor Ruimte Hydrometeorologie “Planeta”
Impact: 2 petabyte aan onderzoeksdata gewist, 280 servers vernietigd
In januari 2024 werd het Russische Centrum voor Ruimte Hydrometeorologie “Planeta” het doelwit van een aanval door pro-Oekraïense hacktivisten, bekend als de BO Team. Dit onderzoekscentrum, dat weerdata verzamelt en gebruikt voor klimaatanalyses, natuurrampmonitoring en ondersteuning van sectoren zoals defensie en de luchtvaart, werd zwaar getroffen.
De aanval resulteerde in de vernietiging van 280 servers en het wissen van 2 petabyte (2.000 terabyte) aan waardevolle data. De schade werd geschat op 10 miljoen dollar. Door de opgelegde sancties tegen Rusland was het herstellen van de geavanceerde IT-infrastructuur van Planeta een grote uitdaging.
Lessen voor bedrijven:
- Implementeer een strategie voor gegevensback-up op externe locaties.
- Zorg voor fysieke en digitale segmentatie van kritieke systemen.
- Implementeer sterke toegangscontroles en beperk de toegang tot kritieke systemen.
3. Exploitatie van Ivanti VPN Zero-Day Kwetsbaarheden (januari 2024)
Daders: China-gerelateerde hackgroep (UNC5221) en onbekende groepen
Techniek: Exploitatie van twee zero-day-kwetsbaarheden
Impact: Duizenden gecompromitteerde VPN-apparaten, inclusief apparaten van CISA en Mitre
In januari 2024 werden de veelgebruikte Ivanti Connect Secure VPN’s het doelwit van massale uitbuiting door verschillende hackersgroepen, waaronder de China-gerelateerde groep UNC5221. Twee ernstige zero-day-kwetsbaarheden, onthuld in januari, leidden tot grootschalige aanvallen op duizenden Ivanti VPN-apparaten. Onder de getroffen organisaties bevonden zich de U.S. Cybersecurity and Infrastructure Security Agency (CISA) en Mitre, een belangrijke leverancier van onderzoek en ontwikkeling die wordt gefinancierd door de Amerikaanse overheid.
De aanvalsmethoden van UNC5221 waren actief sinds 3 december 2023, zoals later werd vastgesteld door Mandiant, een dochteronderneming van Google Cloud. Naast de twee oorspronkelijke kwetsbaarheden werden ook andere beveiligingsproblemen in Ivanti VPN’s ontdekt, waardoor de omvang van de aanval nog groter werd.
Als reactie op deze bedreiging gaf CISA een dringende richtlijn af, waarbij civiele federale overheidsinstanties werden opgedragen om binnen 48 uur hun Ivanti Connect Secure VPN’s los te koppelen. Op 31 januari bracht Ivanti een eerste patch uit voor bepaalde versies van de VPN-software, drie weken na de oorspronkelijke bekendmaking van de kwetsbaarheid. Het bedrijf verklaarde dat het prioriteit gaf aan mitigatie-opties terwijl de patches werden ontwikkeld, in overeenstemming met best practices binnen de industrie.
Lessen voor bedrijven:
- Implementeer een strategie voor snelle patching, vooral voor zero-day-kwetsbaarheden.
- Zorg voor een incidentresponsplan om snel actie te ondernemen bij ernstige kwetsbaarheden.
- Verminder de blootstelling van VPN-apparaten aan het openbare internet.
- Controleer regelmatig de beveiliging van externe apparaten, zoals VPN’s en andere randapparatuur.
4. Cyberaanval op Change Healthcare (februari 2024)
Daders: BlackCat/ALPHV (Russisch-sprekende cybercriminelen) en RansomHub
Techniek: Ransomware-aanval en datadiefstal
Impact: Gevoelige patiëntgegevens gelekt, verstoring van het Amerikaanse zorgsysteem, betaling van 22 miljoen dollar losgeld
Op 22 februari 2024 werd een ransomware-aanval op Change Healthcare openbaar gemaakt, met verstrekkende gevolgen voor het Amerikaanse zorgsysteem. De aanval veroorzaakte wekenlange verstoringen bij apotheken, ziekenhuizen en zorginstellingen. Door de aanval moesten IT-systemen worden afgesloten, waardoor het verwerken van declaraties en betalingen stil kwam te liggen. De verantwoordelijkheid voor de aanval werd opgeëist door de cybercriminele groep BlackCat, ook bekend als ALPHV, die bekend staat om zijn geavanceerde ransomware-operaties.
Andrew Witty, de CEO van UnitedHealth Group, bevestigde in een getuigenis voor het Amerikaanse Congres in mei 2024 dat het bedrijf 22 miljoen dollar losgeld had betaald om toegang tot de systemen te herstellen. Maar dit bleek niet het einde van de aanval. In april 2024 dook een nieuwe criminele groep op, RansomHub, die beweerde gevoelige gegevens van Change Healthcare te hebben gestolen.
Later onthulde UnitedHealth dat de aanval mogelijk gegevens van “een substantieel deel” van de Amerikaanse bevolking had blootgelegd. Witty verklaarde dat mogelijk “een derde” van alle Amerikanen door de aanval was getroffen. In juni 2024 bevestigde Change Healthcare dat gevoelige patiëntgegevens waren gelekt, waaronder diagnoses, medicatiegegevens, testresultaten, medische beelden en zorg- en behandelingsinformatie.
Lessen voor bedrijven:
- Segmenteer netwerken om de impact van ransomware-aanvallen te beperken.
- Zorg voor versleutelde back-ups die offline worden opgeslagen.
- Oefen regelmatig crisissimulaties om de responstijd te verbeteren bij ransomware-aanvallen.
- Creëer een robuuste strategie voor detectie en respons, inclusief incidentresponse-plannen.
- Minimaliseer de toegang tot gevoelige gegevens via een ‘least privilege’-beleid.
5. Ransomware-aanval op Ascension Health System (mei 2024)
Daders: Onbekend (via malware-download door een medewerker)
Techniek: Ransomware-aanval, mogelijk veroorzaakt door menselijke fout (malware-download)
Impact: Verstoring van klinische operaties, diefstal van patiëntgegevens, onderbreking van spoedeisende zorg
In mei 2024 kondigde Ascension, een non-profit zorgsysteem met 140 ziekenhuizen in 19 Amerikaanse staten en Washington D.C., aan dat zijn klinische operaties werden verstoord door een ransomware-aanval. De aanval begon toen een medewerker per ongeluk malware downloadde, wat leidde tot een beveiligingsinbreuk op het netwerk van Ascension. Dit incident dwong de organisatie om spoedeisende zorg om te leiden vanaf bepaalde ziekenhuizen, wat directe gevolgen had voor de patiëntenzorg.
Tijdens het onderzoek werd bevestigd dat gevoelige gegevens, waaronder patiëntinformatie, waarschijnlijk waren gestolen. Ascension verklaarde: “We hebben nu bewijs dat aangeeft dat de aanvallers bestanden konden stelen van een klein aantal bestandsservers die voornamelijk door onze medewerkers worden gebruikt voor dagelijkse en routinetaken.” Dit benadrukt het gevaar van menselijke fouten in cybersecurity en onderstreept het belang van continue training en bewustwording onder het personeel.
Lessen voor bedrijven:
- Voer regelmatig cybersecurity-trainingen uit om menselijke fouten te minimaliseren.
- Implementeer een ‘least privilege’-beleid, zodat werknemers alleen toegang hebben tot de gegevens die ze nodig hebben.
- Zorg voor monitoring van netwerkactiviteit om verdachte activiteiten snel te detecteren.
- Implementeer incidentresponsplannen die specifiek zijn gericht op ransomware-aanvallen.
- Bescherm gevoelige gegevens door gebruik te maken van versleutelde back-ups die offline worden opgeslagen.
6. Gegevensinbreuk bij het Britse Ministerie van Defensie (mei 2024)
Daders: Vermoedelijk buitenlandse actoren (mogelijk gelinkt aan China)
Techniek: Infiltratie van een derde partij (externe loonadministratiesysteem)
Impact: Gevoelige persoonsgegevens van 270.000 huidige en voormalige Britse militairen gelekt
In mei 2024 werd het Britse Ministerie van Defensie (MoD) getroffen door een grote gegevensinbreuk waarbij gevoelige persoonlijke informatie van 270.000 huidige en voormalige militaire personeelsleden werd blootgesteld. De aanval vond plaats via een derde partij die het loonadministratiesysteem van het ministerie beheerde. Gegevens zoals namen, bankgegevens en adressen werden gecompromitteerd.
Zodra de inbreuk werd ontdekt, nam het ministerie onmiddellijk actie door het netwerk van de externe leverancier offline te halen. Getroffen personeelsleden werden direct geïnformeerd over het datalek. Destijds verklaarde de Britse premier Rishi Sunak dat een “malign actor” het betalingsnetwerk had aangevallen, maar gaf geen verdere details over de identiteit van de dader. Media brachten de aanval in verband met Chinese hackers, hoewel noch Sunak, noch het Ministerie van Defensie deze beschuldigingen bevestigden. De Britse Minister van Defensie, Grant Shapps, verklaarde dat er geen bewijs was dat gegevens daadwerkelijk waren gestolen, maar hij kon buitenlandse betrokkenheid niet uitsluiten.
Deze aanval benadrukt de kwetsbaarheden van toeleveringsketens en onderstreept de risico’s van het werken met externe dienstverleners die toegang hebben tot gevoelige informatie. De aanval legt ook de nadruk op de dreiging die uitgaat van statelijke actoren die gericht kritieke infrastructuren en overheidsdiensten aanvallen.
Lessen voor bedrijven:
- Controleer regelmatig de beveiliging van externe leveranciers en hun toegang tot gevoelige systemen.
- Zorg voor uitgebreide audits van toeleveringsketens en dataverwerkingsketens.
- Implementeer een zero-trust-beleid voor partners en derde partijen met toegang tot gevoelige systemen.
- Implementeer monitoring- en waarschuwingssystemen die verdachte activiteiten bij externe leveranciers detecteren.
- Beoordeel de gevolgen van een inbreuk en stel communicatieprotocollen op voor snelle reactie en informatie aan getroffen personen.
7. Gegevensinbreuk bij Dell (mei 2024)
Daders: Cybercrimineel met de naam Menelik
Techniek: Exploitatie van een klantenportaal
Impact: Gegevens van 49 miljoen klanten blootgesteld
In mei 2024 werd Dell getroffen door een aanzienlijke gegevensinbreuk waarbij informatie van ongeveer 49 miljoen klanten werd blootgesteld. Het bedrijf waarschuwde zijn klanten dat een kwaadwillende acteur, die bekend staat als Menelik, had geprobeerd de gestolen gegevens te verkopen op Breach Forums, een bekende marktplaats voor hackers.
Volgens een verklaring van Dell omvatte de gelekte informatie klantnamen, fysieke adressen, orderservice-tags, productomschrijvingen, besteldata en garantie-informatie. Gelukkig werden er geen financiële gegevens, e-mailadressen of telefoonnummers gelekt, wat volgens Dell het risico voor klanten aanzienlijk verminderde. De gestolen gegevens hadden betrekking op aankopen die werden gedaan tussen 2017 en 2024.
Nadat het lek werd ontdekt, begon Dell onmiddellijk met een intern onderzoek en nam het contact op met de getroffen klanten. Het bedrijf verzekerde de gebruikers dat er geen zeer gevoelige informatie, zoals wachtwoorden of financiële gegevens, was gecompromitteerd. Desondanks benadrukte het incident de noodzaak van betere beveiliging van klantenportalen, vooral wanneer deze toegang bieden tot gevoelige informatie over aankopen en garanties.
Lessen voor bedrijven:
- Beveilig klantenportalen met robuuste authenticatie, inclusief Multi-Factor Authenticatie (MFA).
- Beperk de hoeveelheid gevoelige klantgegevens die toegankelijk is via online portals.
- Implementeer monitoring en detectie van verdachte activiteiten op portalen die klantgegevens verwerken.
- Zorg voor regelmatige audits en penetratietests op externe interfaces en klantportalen.
- Stel een reactiestrategie op voor gegevensinbreuken, inclusief het snel informeren van klanten en het beperken van verdere schade.
8. Gegevensinbreuk bij Ticketmaster (juni 2024)
Daders: Hackersgroep ShinyHunters
Techniek: Data-exfiltratie en losgeldeis
Impact: Persoonlijke informatie van 560 miljoen klanten gestolen
In juni 2024 bevestigde Live Nation, het moederbedrijf van Ticketmaster, een enorme gegevensinbreuk waarbij de persoonlijke informatie van 560 miljoen klanten werd gestolen. De hackersgroep ShinyHunters eiste $500.000 losgeld om te voorkomen dat de gegevens op het dark web werden verkocht. De gestolen informatie omvatte namen, adressen, e-mailadressen, gebruikersnamen en gedeeltelijke creditcardgegevens, wat veel klanten kwetsbaar maakte voor identiteitsdiefstal en fraude.
Dit incident was niet het eerste beveiligingsprobleem van Ticketmaster. In 2020 gaf het bedrijf toe een concurrent te hebben gehackt, wat resulteerde in een boete van $10 miljoen. Meer recent, in november 2023, veroorzaakte een vermeende cyberaanval verstoringen in de ticketverkoop voor Taylor Swift’s Era’s-tour.
Het incident benadrukt de voortdurende uitdagingen op het gebied van cyberbeveiliging binnen de entertainmentindustrie, waar klantgegevens en transacties aantrekkelijke doelwitten zijn voor cybercriminelen.
Lessen voor bedrijven:
- Bescherm klantgegevens met robuuste encryptie en toegangscontroles.
- Implementeer strikte beveiligingsprotocollen voor betalingssystemen.
- Monitor actief verdachte activiteiten op systemen die klantinformatie bevatten.
- Creëer incidentresponsplannen die rekening houden met de impact op klanten en reputatie.
- Zorg voor regelmatige audits en pentests om zwakke punten in de beveiliging te identificeren en te herstellen.
9. Gegevensinbreuk bij Snowflake (juni 2024)
Daders: Diverse hackersgroepen
Techniek: Credential-stuffing-aanvallen en gebruik van infostealer-malware
Impact: Gegevens van honderden bedrijven gecompromitteerd, inclusief Ticketmaster en Santander
In juni 2024 werd de cloudopslagprovider Snowflake het doelwit van een reeks cyberaanvallen die gericht waren op klantaccounts. Deze aanvallen maakten gebruik van gestolen inloggegevens om toegang te krijgen tot gevoelige data. Onder de getroffen bedrijven bevonden zich prominente klanten zoals Ticketmaster en Santander. Aanvallers gebruikten infostealer-malware om inloggegevens te verzamelen en konden in sommige gevallen zelfs Multi-Factor Authenticatie (MFA) omzeilen.
Hoewel de infrastructuur van Snowflake zelf niet werd gecompromitteerd, benadrukte het incident de kwetsbaarheden die ontstaan door zwakke wachtwoordbeveiliging en credential-stuffing-aanvallen. Snowflake heeft verklaard dat de oorzaak bij klantaccounts lag en niet bij interne beveiligingsfouten. Het bedrijf heeft als reactie zijn beveiligingsprotocollen verbeterd en richtlijnen gedeeld om klanten te helpen hun verdediging te versterken.
Lessen voor bedrijven:
- Implementeer sterke wachtwoordbeleid en vereis het gebruik van unieke wachtwoorden.
- Activeer Multi-Factor Authenticatie (MFA) als extra beveiligingslaag.
- Controleer regelmatig op verdachte inlogpogingen en credential-stuffing-aanvallen.
- Zorg voor bewustwording bij medewerkers over de risico’s van infostealer-malware.
10. Ransomware-aanval op CDK Global (juni 2024)
Daders: BlackSuit ransomware-groep (gelinkt aan Oost-Europa en Rusland)
Techniek: Malware-infectie gevolgd door ransomware-aanval
Impact: Verstoring van IT-systemen bij 15.000 autodealers, kosten van meer dan $1 miljard
In juni 2024 werd CDK Global, een toonaangevende Amerikaanse softwareleverancier voor de auto-industrie, getroffen door een grootschalige ransomware-aanval. De aanval begon toen een medewerker per ongeluk malware downloadde, wat leidde tot de versleuteling van kritieke bestanden en systemen. De ransomware-groep BlackSuit eiste aanvankelijk $10 miljoen losgeld, dat later opliep tot meer dan $50 miljoen.
De aanval dwong CDK Global om zijn IT-systemen stil te leggen, wat resulteerde in verstoringen bij bijna 15.000 autodealers in Noord-Amerika. Dit had gevolgen voor autofabrikanten zoals BMW, Nissan en Honda. Klanten ondervonden vertragingen bij de aankoop van voertuigen en het plannen van onderhoud, aangezien dealers moesten overschakelen op handmatige processen. De totale economische impact van de aanval werd geschat op meer dan $1 miljard.
Lessen voor bedrijven:
- Voer regelmatige cyberbeveiligingstrainingen uit om medewerkers te waarschuwen voor de risico’s van malware.
- Ontwikkel een uitgebreid incidentresponsplan, inclusief ransomware-simulaties.
- Segmenteer netwerken om de impact van ransomware te beperken.
- Implementeer robuuste back-upstrategieën, inclusief offline back-ups die regelmatig worden getest.
- Verbeter communicatieprotocollen om snel te reageren op aanvallen en klanten op de hoogte te stellen.
11. Cyberaanval op Halliburton (augustus 2024)
Daders: Onbekend
Techniek: Ongeautoriseerde toegang tot systemen
Impact: Bedrijfsgegevens gelekt, verstoring van bedrijfsapplicaties
Op 21 augustus 2024 ontdekte Halliburton, een van de grootste olieveldbedrijven ter wereld, een inbreuk op zijn systemen. Hackers wisten toegang te krijgen tot bedrijfsinformatie en verwijderden een deel van de data. De aanval veroorzaakte verstoringen in een deel van de bedrijfsapplicaties, waardoor het bedrijf genoodzaakt was om sommige systemen offline te halen om verdere schade te voorkomen.
Hoewel de aard van de cyberaanval en de identiteit van de daders onbekend blijven, startte Halliburton een intern onderzoek en schakelde het externe adviseurs en wetshandhavingsinstanties in. Dit incident is niet uniek in de energiesector; in 2021 veroorzaakte een ransomware-aanval op de Colonial Pipeline een meerdaagse stillegging van de brandstofvoorziening in de Verenigde Staten, wat leidde tot ernstige brandstoftekorten.
Hoewel de aanval op Halliburton geen directe impact had op de energievoorziening, had het bedrijf wel te maken met financiële verliezen. De aandelen van Halliburton daalden met ongeveer 8% twee weken na het incident. Verdere details, zoals welke systemen zijn getroffen en of er losgeld is betaald, blijven onbekend.
Lessen voor bedrijven:
- Implementeer uitgebreide monitoringtools om ongeautoriseerde toegang tot systemen snel te detecteren.
- Zorg voor gesegmenteerde netwerken om de impact van inbreuken te beperken.
- Werk samen met wetshandhavingsinstanties en externe beveiligingspartners om incidenten grondig te onderzoeken.
- Ontwikkel een incidentresponsplan dat prioriteit geeft aan het beperken van bedrijfsstoringen.
- Voer regelmatige risico-evaluaties uit, vooral in sectoren die vaak het doelwit zijn van cyberaanvallen.
12. Gegevensinbreuk bij de Nederlandse Politie (2024)
Daders: Onbekend
Techniek: Accountcompromittering
Impact: Namen en werkgerelateerde contactgegevens van 63.000 politiewerknemers gestolen
In 2024 werd bekendgemaakt dat een hack heeft geleid tot het buitmaken van gegevens van alle 63.000 medewerkers van de Nederlandse politie, de grootste werkgever in Nederland. De gestolen gegevens omvatten namen en werkgerelateerde contactgegevens, maar volgens de minister van Justitie en Veiligheid, David van Weel, zijn er geen privégegevens of onderzoeksinformatie gecompromitteerd.
Het incident begon met de hack van een politieaccount, zoals bevestigd door de politie in een nieuwsbericht. Details over de precieze oorzaak van de hack en de mogelijke gevolgen blijven echter beperkt. De politie heeft de Autoriteit Persoonsgegevens ingelicht, zoals wettelijk verplicht bij een dergelijk datalek, en politiewerknemers zijn geïnformeerd over het incident.
Tijdens een persmoment benadrukte de minister dat de risico’s van het uitlekken van deze informatie worden onderzocht, evenals de bestemming van de gegevens. Over de mogelijke gevolgen voor undercoverwerk of andere operationele risico’s zijn geen uitspraken gedaan in het belang van het lopende onderzoek.
Lessen voor bedrijven en organisaties:
- Implementeer strenge toegangscontroles en Multi-Factor Authenticatie (MFA) om ongeautoriseerde toegang te voorkomen.
- Monitor verdachte activiteiten op kritieke accounts en voer regelmatige audits uit.
- Zorg voor een gedetailleerd incidentresponsplan dat rekening houdt met datalekken van werknemersgegevens.
- Communiceer tijdig en transparant met getroffen medewerkers en relevante autoriteiten.
- Voer regelmatig bewustwordingstrainingen uit bij personeel over het herkennen van en reageren op cyberdreigingen.
Neem contact op
📧 [email protected]
Contacteer Ons
Vragen?, neem contact met ons op via hier.
Blijf voorbereid en beschermd tegen de steeds evoluerende cyberdreigingen. Bescherm uw netwerk vandaag nog met onze gespecialiseerde simulatie services.
Heb je vragen, feedback of wil je te gast zijn in onze podcast? Aarzel niet om contact met ons op te nemen. Blijf veilig !!