Gisteren was wederom een dag vol belangrijke incidenten in cyberspace. Van datalekken en malware aanvallen tot geopolitieke spanningen en ontdekte kwetsbaarheden, de digitale wereld blijft een dynamisch en onvoorspelbaar veld van dreigingen. In dit overzicht behandelen we de belangrijkste gebeurtenissen, dreigingen en kwetsbaarheden die gisteren cyberspace beheerden.
Datalekken bij Van der Valk, darkweb verkoop en de hack van Chess.com
Eén van de incidenten die gisteren veel aandacht trok, was het datalek bij Van der Valk Amsterdam Zuidas, waarbij klantgegevens zoals telefoonnummers, reserveringsinformatie en adressen werden gelekt. Deze informatie werd vervolgens misbruikt voor phishingaanvallen. Klanten ontvingen berichten die hen vroegen om opnieuw creditcardgegevens in te voeren, nadat hen werd verteld dat hun reservering was geannuleerd. Het incident werd ontdekt toen klanten verdachte activiteiten op hun bankrekeningen meldden. Van der Valk heeft snel gereageerd door een gespecialiseerd bedrijf in te schakelen en getroffen klanten te informeren. Hoewel de oorzaak van de inbraak nog niet bekend is, is dit een voorbeeld van de kwetsbaarheid van klantgegevens in de hospitalitysector en hoe ze door criminelen kunnen worden misbruikt voor social engineering.
Daarnaast werd er op een darkweb forum een vermeende verkoop van 37.954 forex- en crypto-leads ontdekt, aangeboden door een dreigingsactor genaamd Manik123. De gegevens bevatten persoonlijke informatie van gebruikers die betrokken waren bij transacties op platforms zoals Etoro en Bdswiss. De verkoop benadrukt de risico’s van het darkweb, waar dergelijke gegevens gemakkelijk te koop zijn en vaak gebruikt worden voor oplichting of identiteitsdiefstal. Het incident heeft niet alleen invloed op de getroffen individuen, maar benadrukt ook de kwetsbaarheid van financiële platformen voor datadiefstal en de gevaarlijke rol van darkweb marktplaatsen waar dergelijke gegevens worden verkocht.
Verder werd Chess.com getroffen door een datalek, waarbij de gegevens van meer dan 4.500 gebruikers in gevaar kwamen. Dit datalek werd veroorzaakt door een beveiligingsprobleem in een externe bestandsoverdrachtapplicatie die door Chess.com werd gebruikt. Hoewel dit incident relatief klein is, maakt het duidelijk dat bedrijven die afhankelijk zijn van externe diensten blootgesteld kunnen worden aan aanzienlijke risico’s wanneer deze leveranciers niet goed beveiligd zijn.
Nieuwe kwetsbaarheden in Windows, Argo CD en SAP brengen systemen wereldwijd in gevaar
Naast de incidenten van datalekken werden er gisteren ook verschillende kwetsbaarheden ontdekt die de veiligheid van systemen wereldwijd in gevaar brengen. Een van de meest kritieke ontdekkingen betreft cryptomining malware die gebruik maakt van de Windows Character Map om Windows Defender te omzeilen. Deze malware injecteert de NBMiner cryptominer in legitieme Windows processen, wat resulteert in verhoogd CPU gebruik en onverwachte stijgingen in energierekeningen. Omdat de Character Map een legitiem systeemproces is, kan de malware gemakkelijk worden verborgen voor de meeste antivirussoftware, waardoor het moeilijker wordt om deze aanvallen te detecteren.
Daarnaast werd er een ernstige kwetsbaarheid ontdekt in Argo CD, een veelgebruikte tool voor continue deployment die wordt gebruikt door grote bedrijven zoals Google en IBM. De CVE-2025-55190 kwetsbaarheid kreeg de hoogste score van 10.0 op de CVSS schaal en stelt aanvallers in staat om toegang te krijgen tot gevoelige repository inloggegevens. Deze kwetsbaarheid maakt het mogelijk om privé codebases te klonen en kwaadaardige manifesten in te voegen, wat de veiligheid van ontwikkelingsomgevingen ernstig bedreigt. Bedrijven die Argo CD gebruiken, zoals Google en IBM, worden aangespoord om snel te upgraden naar de nieuwste versies om deze kwetsbaarheid te verhelpen.
In een ander incident werd de CVE-2025-42957 kwetsbaarheid in SAP S/4HANA niet alleen gedetecteerd, maar actief misbruikt. De kwetsbaarheid werd eerder ontdekt, maar nu wordt deze actief gebruikt door aanvallers om volledige controle over systemen te verkrijgen, zelfs met beperkte toegangsrechten. Dit is een significante bedreiging voor bedrijven die SAP gebruiken, aangezien de kwetsbaarheid wordt beschouwd als een backdoor en toegang kan bieden tot gevoelige bedrijfsgegevens. De actieve exploitatie van deze kwetsbaarheid heeft de dringende noodzaak voor bedrijven om beveiligingsupdates onmiddellijk te installeren opnieuw benadrukt.
Nieuwe malware en ransomwaregroepen bedreigen cryptocurrency en macOS gebruikers
De dreigingen in cyberspace blijven toenemen, met een breed scala aan nieuwe malware varianten die opduiken. Gisteren werd SparkKitty, een nieuwe mobile banking Trojan, ontdekt die zich richt op het stelen van cryptocurrency walletherstelcodes. Deze malware is gericht op mobiele apparaten en wordt verspreid via frauduleuze apps en phishingcampagnes. Mobile malware blijft een grote zorg, aangezien steeds meer gebruikers hun cryptocurrency op mobiele apparaten beheren, wat ze kwetsbaar maakt voor aanvallen die gericht zijn op het verkrijgen van herstelcodes voor digitale portemonnees.
Daarnaast werd de Odyssey macOS stealer ontdekt, die zich verspreidt via een valse Microsoft Teams site. Deze aanval maakt gebruik van social engineering om macOS gebruikers te misleiden tot het uitvoeren van kwaadaardige scripts. De malware steelt gevoelige gegevens zoals wachtwoorden, browserdata, en cryptocurrency wallets en stuurt deze naar een externe server. Mac gebruikers worden vaak gezien als minder kwetsbaar voor malware aanvallen, maar deze ontdekking laat zien dat macOS systemen in toenemende mate het doelwit zijn van geavanceerde aanvallen.
In dezelfde lijn werd een nieuwe ransomwaregroep, Yurei, geïdentificeerd, die actief is op het Onion netwerk. Deze groep maakt gebruik van het darkweb om ransomware aanvallen uit te voeren en zich anoniem te houden. Yurei is een voorbeeld van de groeiende dreiging van darkweb ransomware groeperingen die gebruik maken van de anonimiteit van het Onion netwerk om hun activiteiten te verbergen. Ransomware aanvallen blijven een van de grootste bedreigingen voor bedrijven en overheden, en de opkomst van nieuwe groepen zoals Yurei versterkt deze zorg.
Noord-Korea en Rusland escalereren digitale aanvallen in de geopolitieke strijd
De geopolitieke spanningen in cyberspace nemen steeds grotere vormen aan, vooral gezien de activiteiten van Noord-Korea en Rusland. Noord-Koreaanse dreigingsactoren zijn opnieuw actief geworden in hun cyberaanvallen op de cryptocurrency industrie. De campagne "Contagious Interview" richt zich op professionals in de crypto sector door hen mis te leiden met sollicitaties voor fictieve bedrijven. Deze social engineering aanvallen zijn een voorbeeld van de verfijnde technieken die Noord-Koreaanse actoren gebruiken om cryptocurrency te stelen en de financiële sector te destabiliseren.
Daarnaast is de Russische APT28 groep opnieuw actief met de inzet van een nieuwe Outlook backdoor genaamd NotDoor. Deze malware maakt gebruik van een VBA macro in Outlook om emails te monitoren en gevoelige gegevens te stelen. Dit incident benadrukt de voortdurende dreiging van staatshacking, waarbij landen als Rusland steeds vaker digitale middelen inzetten om hun geopolitieke doelen te bereiken. Het gebruik van cyberaanvallen in plaats van conventionele militaire middelen geeft aan dat digitale oorlogsvoering een integraal onderdeel is geworden van de moderne geopolitieke strategieën.
De cyberoorlog tussen landen lijkt zich steeds meer te verschuiven naar het digitale domein, waar hacktivisme en spionage via cyberspace een cruciale rol spelen in conflicten. Dit weerspiegelt de toenemende rol van cyberspace als een veld voor digitale strijd en staatshacking.
Digitale risico’s nemen toe door ransomware, malware en geopolitieke cyberdreigingen
De gebeurtenissen van gisteren benadrukken de complexiteit van de dreigingen in cyberspace. Van nieuwe malware varianten en ransomwaregroepen tot de ontdekking van kwetsbaarheden in belangrijke softwaretools, bedrijven en overheden blijven blootgesteld aan een breed scala aan digitale risico’s. De dreiging van darkweb ransomware groeperingen en staatshacking blijft toenemen, waarbij landen zoals Noord-Korea en Rusland actief gebruik maken van cyberspace om hun doelen te bereiken.
Het blijft duidelijk dat de bescherming van digitale infrastructuur van essentieel belang is voor zowel bedrijven als overheden. Terwijl de digitale wereld blijft evolueren, zullen de dreigingen ook blijven groeien, wat vraagt om voortdurende waakzaamheid en geavanceerde beveiligingsmaatregelen om de risico’s van cyberspace te beperken.
Dit was het voor vandaag! Tot maandag! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.