Massaclaims, gijzelsoftware en nepagenten, een blik op actuele cyberincidenten
Het juridische naspel van het datalek bij Clinical Diagnostics staat volop in de belangstelling. Twee Nederlandse advocatenkantoren, waaronder Louwers IP & Tech Advocaten, onderzoeken de mogelijkheid van een massaclaim namens de slachtoffers. Bij dit eerdere incident werden persoonlijke en medische gegevens van ruim een half miljoen mensen buitgemaakt, waaronder 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker.
De focus ligt nu op de vraag of nalatigheid of schending van privacywetgeving kan worden aangetoond. Als dat het geval is, kan er een juridische basis ontstaan voor schadevergoeding. Inmiddels hebben zich duizenden slachtoffers aangemeld, maar volgens de advocaten is het nog te vroeg om daadwerkelijk claims in te dienen, omdat eerst meer duidelijkheid nodig is over de oorzaken van het datalek en de rol van Clinical Diagnostics.
In Zweden werden gisteren de gevolgen duidelijk van een grote ransomware aanval op Miljödata, een IT leverancier voor lokale overheden. Ongeveer 200 gemeenten en regio’s hebben momenteel geen toegang meer tot hun HR systemen, waarin onder meer gevoelige personeels- en medische gegevens worden verwerkt. De aanvallers eisen 1,5 bitcoin aan losgeld. De Zweedse privacyautoriteit IMY verplicht getroffen organisaties om mogelijke datalekken binnen 72 uur te melden. Het incident toont hoe kwetsbaar centrale IT diensten zijn voor grootschalige aanvallen.
Ook in Nederland waren er nieuwe ontwikkelingen in het onderzoek naar de nepagentenbende. De politie heeft twee nieuwe verdachten aangehouden, mannen van 18 en 20 jaar, die zich voordeden als politieagenten. Slachtoffers werden telefonisch benaderd, waarbij de verdachten persoonlijke informatie gebruikten om vertrouwen te winnen, en hen vervolgens overtuigden om geld of kostbaarheden af te geven. Met deze arrestaties staat het totaal aantal verdachten nu op vijf. De politie verdenkt de groep van oplichting en deelname aan een criminele organisatie. Het incident benadrukt opnieuw de groeiende dreiging van social engineering, waarbij criminelen menselijke zwakheden benutten in plaats van technische kwetsbaarheden.
Citrix, Chrome en Securden onder vuur door nieuwe beveiligingslekken
Naast incidenten stond de dag in het teken van meerdere kritieke kwetsbaarheden die organisaties wereldwijd direct moeten adresseren.
Onderzoekers ontdekten een ernstig lek in Securden Unified PAM (CVE‑2025‑53118), een oplossing voor privileged access management. De kwetsbaarheid heeft een CVSS score van 9,4 en stelt aanvallers in staat authenticatie volledig te omzeilen via manipulatie van sessie- en CSRF-tokens. Hierdoor kunnen ze toegang krijgen tot gevoelige gegevens, zoals versleutelde wachtwoordbestanden. Naast dit lek werden drie aanvullende beveiligingsproblemen ontdekt, waaronder onbeveiligde bestanduploads en path traversal. De kwetsbaarheid is verholpen in versie 11.4.4, en organisaties worden geadviseerd onmiddellijk te updaten.
Bij Citrix is opnieuw een kritiek beveiligingslek ontdekt (CVE‑2025‑7775) dat remote code execution mogelijk maakt zonder authenticatie. Volgens de Shadowserver Foundation zijn wereldwijd ruim 28.000 systemen kwetsbaar, waarvan circa 1.300 in Nederland en 307 in België. Deze aantallen zijn een momentopname en kunnen dagelijks wijzigen.
Het Nationaal Cyber Security Centrum (NCSC) heeft een geüpdatet detectiescript uitgebracht waarmee organisaties vier Citrix kwetsbaarheden kunnen opsporen, waaronder CVE‑2025‑7775. Het Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan de lijst van actief aangevallen kwetsbaarheden en verplicht federale instanties het lek binnen 48 uur te patchen. Belangrijk detail, de kwetsbaarheid werd al actief misbruikt vóórdat Citrix de patch beschikbaar stelde, wat de urgentie extra benadrukt.
Ook Google bracht een belangrijke beveiligingsupdate uit voor Chrome (CVE‑2025‑9478). Het betreft een use-after-free-kwetsbaarheid in het ANGLE-component, dat grafische content zoals WebGL verwerkt. Via malafide websites konden aanvallers drive-by-downloads uitvoeren. Opmerkelijk is dat Google’s eigen AI agent Big Sleep dit lek ontdekte, speciaal ontwikkeld om kwetsbaarheden automatisch op te sporen. De fix is beschikbaar in versie 139.0.7258.154/.155 voor Windows, macOS en Linux.
Daarnaast werden op 26 augustus meerdere kwaadaardige Nx npm-pakketten ontdekt. Deze bevatten malware die tokens, SSH-sleutels, .env-bestanden en cryptowallets kon stelen. De aanval maakte gebruik van AI tools zoals Claude, Gemini en Q om lokale bestanden te scannen en gevoelige informatie te identificeren. De buitgemaakte gegevens werden geüpload naar publieke GitHub-repositories, vaak onder de naam s1ngularity-repository. Meer dan 1.000 ontwikkelaarsaccounts zijn hierdoor getroffen. Ontwikkelaars wordt geadviseerd de besmette pakketten te verwijderen en hun inloggegevens te roteren.
Tot slot kondigde Microsoft aan dat de Windows versie van Word voortaan nieuwe bestanden standaard opslaat in de cloud via OneDrive of een ingestelde opslaglocatie. Dit kan gevolgen hebben voor organisaties in Nederland en België, met name wanneer wet- en regelgeving opslag in de cloud beperken. De functie staat standaard ingeschakeld vanaf Word versie 2509, maar gebruikers kunnen deze handmatig uitschakelen om controle te behouden over de opslaglocatie van gevoelige documenten.
Cybercriminelen verfijnen hun wapens, inlichtingendiensten slaan alarm
Het dreigingslandschap blijft zich snel ontwikkelen, met nieuwe vormen van malware, phishingcampagnes en innovatieve aanvalstechnieken.
Een belangrijke ontdekking was de Hook Android banking trojan v3, een van de meest geavanceerde mobiele malwarevarianten tot nu toe. De trojan beschikt over 107 op afstand bestuurbare commando’s, waarvan 38 nieuw. Naast bankfraude kan Hook ook ransomware-overlay aanvallen uitvoeren, NFC-scans manipuleren en de Android-lockscreenbeveiliging omzeilen. De verspreiding via legitieme platforms zoals GitHub maakt detectie extra moeilijk.
Daarnaast werd PromptLock geïdentificeerd, de eerste gedocumenteerde vorm van AI gestuurde ransomware. PromptLock gebruikt de Ollama API om een lokaal taalmodel (gpt-oss:20b) aan te sturen dat dynamisch Lua-scripts genereert voor inventarisatie, exfiltratie, encryptie en zelfs het automatisch opstellen van losgeldbrieven. PromptLock is geschreven in Golang en beschikbaar voor Windows en Linux. Door deze technologie kunnen ook minder technisch onderlegde aanvallers complexe aanvallen uitvoeren. Dit markeert een belangrijke stap in de evolutie van cyberdreigingen.
De ZipLine campagne richtte zich op Amerikaanse productiebedrijven via de inzet van de MixShell malware. Aanvallers gebruiken bedrijfswebformulieren om eerst langdurige communicatie met slachtoffers op te bouwen en sturen vervolgens ZIP bestanden met kwaadaardige PowerShell-scripts. Deze injecteren de malware direct in het geheugen, waardoor detectie lastiger wordt en forensisch onderzoek wordt bemoeilijkt.
Daarnaast waarschuwden inlichtingendiensten, waaronder de AIVD en MIVD, voor grootschalige routeraanvallen door vermoedelijk door staten gesteunde actoren. Hierbij worden bekende kwetsbaarheden misbruikt in apparatuur van Ivanti, Cisco, Palo Alto, Fortinet en Juniper. De aanvallers gebruiken gecompromitteerde systemen om netwerkverkeer te onderscheppen, configuraties te manipuleren en beheerinterfaces te herconfigureren. Telecombedrijven en internetproviders in Nederland en België zijn expliciet gewaarschuwd, omdat veel van deze kwetsbare apparaten ook hier worden ingezet.
Ook Netbeheer Nederland meldde een grote phishingcampagne waarbij valse emails worden verstuurd over betaalachterstanden en mogelijke afsluiting van de energielevering. De berichten leiden naar nagemaakte websites waar slachtoffers persoonlijke gegevens moeten invullen. Netbeheerders benadrukken dat zij nooit facturen sturen en adviseren verdachte emails direct te verwijderen.
Tot slot voerde de politie invallen uit in Moerdijk en Rucphen waarbij een drugsnetwerk werd opgerold. Er werden tientallen kilo’s drugs, medicijnen en verpakkingsmaterialen gevonden. Drie verdachten zijn aangehouden. Het netwerk maakte vermoedelijk gebruik van darkwebmarktplaatsen en versleutelde communicatiemiddelen om hun activiteiten te verbergen. Het incident laat zien hoe sterk georganiseerde misdaad en digitale infrastructuren met elkaar verweven zijn.
Geopolitieke cyberdreigingen, van Chinese spionage tot cloudransomware
Ook op geopolitiek niveau waren er belangrijke ontwikkelingen.
De Salt Typhoon hackcampagnes zijn door inlichtingendiensten van de VS, het VK en meer dan tien andere landen gelinkt aan drie Chinese technologiebedrijven. Deze bedrijven zouden producten en diensten hebben geleverd aan het Chinese Ministerie van Staatsveiligheid en het Volksbevrijdingsleger, waarmee grootschalige cyberspionage werd gefaciliteerd. De aanvallen zijn sinds 2021 gericht op overheden, telecombedrijven, transport, defensie en de hotelbranche. Omdat veel van de getroffen technologie ook in Nederland en België wordt gebruikt, is de dreiging direct relevant.
Daarnaast blijft de APT groep Mustang Panda actief met spearphishing campagnes gericht op overheden, religieuze instellingen en non-profits wereldwijd. Hun arsenaal omvat malwarevarianten zoals PlugX, Poison Ivy, FDMTP en PTSOCKET. De groep maakt gebruik van legitieme Windows tools zoals Msiexec.exe en steganografie om detectie te omzeilen en langdurige toegang te behouden.
Ook Blind Eagle voerde tussen mei 2024 en juli 2025 vijf clusters van aanvallen uit, voornamelijk gericht op Colombia. De groep gebruikt RAT’s, spearphishing en misbruik van diensten als Discord en Dropbox om gevoelige gegevens te stelen. Hoewel hun focus buiten Europa ligt, benadrukken hun technieken dat vergelijkbare methoden ook in Nederland en België risico’s vormen.
Ten slotte verschuift de focus van dreigingsactor Storm‑0501 naar cloudgebaseerde ransomware. Door misbruik te maken van Active Directory en Microsoft Entra ID verkrijgen aanvallers beheerdersrechten in Azure omgevingen. Vervolgens verwijderen ze backups, stelen gegevens en versleutelen bestanden rechtstreeks in de cloud. Microsoft adviseert organisaties om het least privilege principe te hanteren, strikte identity- en toegangsbeveiliging toe te passen en uitgebreide monitoring te implementeren.
Afsluiting
Het dreigingslandschap van gisteren laat zien hoe veelzijdig en dynamisch cyberdreigingen zich ontwikkelen. Van juridische stappen na datalekken tot AI gestuurde ransomware, van kritieke kwetsbaarheden tot geavanceerde cyberspionage, aanvallers opereren adaptief en grensoverschrijdend, waarbij zowel technologische als menselijke zwakheden worden benut.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Het volledige overzicht kun je hier vinden bij 'Nieuws per categorie'.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.
❤️ Blijf alert, blijf veilig, en blijf up to date met het Dagelijks Cyber Journaal van Cybercrimeinfo. En dit alles gratis! Doneren mag.