Op 20 augustus 2025 heeft cyberspace wederom belangrijke incidenten, kwetsbaarheden en dreigingen opgeleverd die de aandacht verdienen. De ontwikkelingen van gisteren hebben zowel impact gehad op lokale bedrijven als op geopolitieke spanningen.
DDoS-aanvallen op Belgische infrastructuur: Z-ALLIANCE en NoName057(16) verstoren kritieke systemen
De DDoS-groep Z-ALLIANCE heeft zich gisteren geprofileerd door de website van de Haven van Luik aan te vallen. Deze haven is een van de belangrijkste logistieke knooppunten van Europa en speelt een cruciale rol in de verbinding tussen België, Nederland en het Europese achterland. Het bericht van Z-ALLIANCE benadrukt de strategische waarde van deze aanval, die niet alleen de website van de haven tijdelijk offline bracht, maar ook de bredere gevolgen voor de Europese infrastructuur. De website was door de aanval niet toegankelijk, wat duidt op de ernst van de verstoring.
Daarnaast werd België opnieuw getroffen door cyberaanvallen van de hacker-groep NoName057(16). Op 19 augustus werden verschillende Belgische organisaties aangevallen, waaronder het Smart.Met Project, Vivaqua, Belfius Bank en de gemeente Sint-Genesius-Rode. De websites van deze organisaties gaven een "502 Bad Gateway"-foutmelding, wat erop wijst dat de aanvallen de toegang tot hun systemen belemmerden. Dit incident is een continuïteit in een bredere trend waarbij NoName057(16) steeds meer doelwitten in België aanvalt. De groep richt zich vooral op overheidsinstellingen en bedrijven, wat wijst op de groeiende impact van hacktivisme in de regio.
Kritieke kwetsbaarheden in Santesoft en SAP
Gisteren werden er meerdere kritieke kwetsbaarheden gemeld die het potentieel hadden om aanzienlijke schade te veroorzaken. Het Centrum voor Cybersecurity België (CCB) waarschuwde voor kwetsbaarheden in de Santesoft Sante PACS Server. De kwetsbaarheden, aangeduid als CVE-2025-54156 en CVE-2025-53948, kunnen op afstand worden misbruikt en leiden tot ernstige beveiligingsincidenten, waaronder denial-of-service-aanvallen en datalekken van gevoelige informatie. Belgische organisaties die gebruik maken van deze software werden aangespoord om onmiddellijk over te schakelen naar een beveiligde versie van de software om verdere schade te voorkomen.
Daarnaast werd er een ernstige kwetsbaarheid ontdekt in SAP NetWeaver, die door cybercriminelen kan worden misbruikt voor remote code-executie. De kwetsbaarheid, aangeduid als CVE-2025-31324 en CVE-2025-42999, stelt aanvallers in staat om de controle over systemen over te nemen door beveiligingsmechanismen te omzeilen. Deze kwetsbaarheid werd al in maart dit jaar door ransomwaregroepen en spionagegroepen uitgebuit, wat de urgentie van de patching benadrukt voor organisaties in België en Nederland die SAP gebruiken. Organisaties wordt aangeraden de nieuwste beveiligingsupdates zo snel mogelijk toe te passen om zich te beschermen tegen verdere aanvallen.
Securityoplossingen oorzaak van Salesforce en Atlassian beveiligingslek
Een opmerkelijke ontdekking betreft een ernstig beveiligingslek dat werd veroorzaakt door beveiligingsoplossingen die bedoeld zijn om organisaties te beschermen. Het bleek dat veel organisaties software- en hardwarematige beveiligingsscanners gebruiken om inkomende e-mails automatisch te controleren op malware, virussen en gevaarlijke links. Deze scanners toetsen verdachte links tegen externe API’s zoals die van VirusTotal. Hoewel dit een effectieve manier lijkt om dreigingen te detecteren, kan het in de praktijk leiden tot het onbedoeld lekken van gevoelige informatie.
Een concreet voorbeeld van deze kwetsbaarheid betreft wachtwoord-resetlinks, ook wel "magische loginlinks" en onetime passwords genoemd. Deze links bevatten unieke tokens die tijdelijk toegang geven tot accounts. Wanneer dergelijke links via een mailscanner automatisch naar de publieke database van VirusTotal worden geüpload, worden ze zichtbaar voor iedereen – inclusief cybercriminelen. Dit opent de deur voor aanvallers om bijvoorbeeld een resetlink voor Salesforce-omgevingen of andere cloudapplicaties te misbruiken en zo toegang te krijgen tot vertrouwelijke bedrijfsdata.
Tijdens een implementatie bij een klant van Essencee werd dit risico blootgelegd. Mike Jansen, CEO van Essencee, ontdekte dat resetlinks via publieke threat intelligence-diensten opvraagbaar waren. Erik Westhovens, oprichter van Ransomwared, bevestigde dat deze kwetsbaarheid het gevolg was van de manier waarop mailscanners links doorsturen naar de publieke database van VirusTotal. Dit incident onderstreept het belang van periodieke audits van de beveiligingsprocessen binnen organisaties, zodat niet alleen softwarekwetsbaarheden, maar ook onbewuste datalekken via beveiligingstools tijdig worden opgespoord.
GodRAT en Telegram-bots: groeiende dreigingen
Op 20 augustus werd een nieuwe dreiging geïdentificeerd in de vorm van de GodRAT, een Remote Access Trojan die zich richt op financiële instellingen in Nederland en België. De malware wordt verspreid via schadelijke .scr-bestanden die zich voordoen als financiële documenten en via social engineering proberen toegang te krijgen tot vertrouwelijke bedrijfsinformatie. Een opvallend kenmerk van deze malware is het gebruik van steganografie om zijn kwaadaardige code te verbergen in afbeeldingsbestanden, waardoor detectie moeilijker wordt. Aangezien financiële instellingen een aantrekkelijke doelwitten vormen voor cybercriminelen, moeten bedrijven in deze sector extra waakzaam zijn en hun netwerkbeveiliging versterken om deze dreiging het hoofd te bieden.
Ook Telegram wordt steeds vaker ingezet door cybercriminelen voor datadiefstal. Door gebruik te maken van de Bot API van Telegram, kunnen aanvallers phishing-aanvallen uitvoeren waarbij vervalste inlogpagina’s gegevens van slachtoffers verzamelen en deze direct naar Telegram-bots sturen. Dit biedt cybercriminelen een versleuteld communicatiekanaal dat traditionele beveiligingsmaatregelen omzeilt. Dit soort aanvallen zijn niet alleen een dreiging voor organisaties wereldwijd, maar ook voor bedrijven en overheden in Nederland en België. Aangezien Telegram een populair platform is, moeten organisaties maatregelen nemen om verdachte activiteiten te monitoren en tijdig te detecteren.
Russische cyberaanval op Poolse waterkrachtcentrale benadrukt geopolitieke risico’s voor Europa
Op geopolitiek niveau was er opnieuw sprake van Russische hackers die zich richtten op een Poolse waterkrachtcentrale. De tweede aanval van dit jaar op dezelfde locatie toonde aan hoe kwetsbaar industriële systemen kunnen zijn voor cyberaanvallen. De verstoring van de besturingssystemen van de centrale had een merkbare impact, waaronder onverklaarbare veranderingen in de snelheid en het vermogen van de turbine. Dit incident onderstreept de risico’s die cyberaanvallen op kritieke infrastructuur kunnen hebben, niet alleen voor Polen, maar ook voor de bredere regio, inclusief België en Nederland. Aangezien veel industriële systemen vergelijkbare kwetsbaarheden vertonen, moeten landen in Europa zich bewust zijn van de geopolitieke risico’s die voortkomen uit deze aanvallen.
De hacktivisten van NoName057(16) voerden op dezelfde dag DDoS-aanvallen uit op Oekraïense overheidsinstanties in aanloop naar de ontmoeting tussen de Amerikaanse president Donald Trump en de Oekraïense president Volodymyr Zelensky. Deze aanvallen, die doelwitten zoals nationale veiligheids- en energiecommissies troffen, maken deel uit van een bredere trend van hacktivisme die zich richt op het verstoren van geopolitieke processen. Het feit dat NoName057(16) ook NAVO-lidstaten en landen die zich tegen Rusland keren heeft aangevallen, benadrukt de potentiële gevolgen voor landen zoals België en Nederland, die belangrijke strategische partners zijn in Europa.
Afsluiting
De cyberdreigingen van 20 augustus 2025 laten zien hoe kwetsbaar organisaties in België en Nederland kunnen zijn, niet alleen door kwetsbaarheden in hun eigen systemen, maar ook door externe dreigingen die steeds inventiever worden. De recente aanvallen op belangrijke infrastructuur, zoals de haven van Luik, evenals de voortdurende cyberaanvallen van groepen als NoName057(16) en het gebruik van Telegram voor datadiefstal, maken het cruciaal voor bedrijven en overheden in de regio om hun digitale veiligheid te versterken. Bovendien benadrukken de geopolitieke aanvallen op industriële systemen in Polen de bredere risico’s van cyberoorlogvoering en hacktivisme in Europa. Het is duidelijk dat bedrijven en overheden in Nederland en België zich niet alleen moeten richten op het verdedigen tegen aanvallen, maar ook moeten kijken naar de zwakke plekken in hun eigen beveiligingsprocessen en systemen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Het volledige overzicht kun je hier vinden bij 'Nieuws per categorie'.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.
❤️ Blijf alert, blijf veilig, en blijf up to date met het Dagelijks Cyber Journaal van Cybercrimeinfo. En dit alles gratis! Doneren mag.