Luister het journaal in 3 min of lees hieronder.
Hackers zetten nieuwe strategieën in met gestolen cryptosleutels valse pakketten en afpersing
Het afgelopen weekend zagen we opnieuw dat criminelen op verschillende manieren misbruik maken van onze digitale wereld. Een groot onderdeel speelde zich af in de wereld van softwarebouwers. Daarbij werd een populair hulpmiddel (het “Nx project”) misbruikt om besmette softwareupdates te verspreiden. In die updates zat code die stiekem inloggegevens kon stelen, zoals toegangstokens, geheime sleutels en zelfs gegevens van cryptowallets. Dit gebeurde in meerdere rondes en raakte duizenden softwareprojecten. Opvallend, de aanvallers gebruikten slimme AI hulpmiddelen om sneller waardevolle informatie te vinden in de buitgemaakte data. De makers van het pakket hebben ingegrepen en extra beveiliging ingesteld, maar zolang gestolen wachtwoorden en sleutels niet overal zijn vernieuwd, blijft het risico bestaan.
Iets vergelijkbaars gebeurde bij de softwarebibliotheek “npm”, waar ontwikkelaars kant en klare pakketjes code downloaden. Daar doken vier neppakketten op die zich voordeden als hulpmiddelen voor de cryptowereld (Flashbots). In werkelijkheid stalen ze privésleutels en herstelzinnen van Ethereum wallets en stuurden die door naar de criminelen. Eén pakket manipuleerde zelfs transacties, zodat geld automatisch naar een criminele wallet werd gestuurd. Vooral mensen of bedrijven die met bots of “hot wallets” werken, liepen hierdoor direct gevaar, wie zijn herstelzin kwijtraakt, verliest de volledige controle over zijn tegoeden.
Verder was er een nieuwe afpersingszaak. De relatief onbekende groep “Devman” claimde 12 terabyte aan gegevens te hebben buitgemaakt bij een nog onbekende organisatie en eiste 91 miljoen dollar losgeld. Dit is een zeer hoog bedrag. Er is nog geen onafhankelijk bewijs dat de claim klopt, dus publiek blijft dit “onbevestigd”. Wel laat het zien dat afpersers steeds hogere bedragen durven vragen als ze denken dat de schade en druk bij het slachtoffer groot genoeg zijn.
Zwakke plekken in softwareprocessen misbruikt door criminelen
Niet alle problemen komen door één fout in een programma. Vaak gaat het om zwakke plekken in het hele proces van bouwen, testen en uitrollen van software. In het Nx geval zagen we dat aanvallers misbruik maakten van de manier waarop automatische bouwstappen en toegangsrechten waren geregeld. Bij de neppakketten op npm ging het juist om vertrouwen, als een pakket er betrouwbaar uitziet en lijkt op een bekend hulpmiddel, installeren mensen het sneller. Zo ontstaat een kettingreactie richting bedrijven die op die bouwstenen vertrouwen.
Er dook ook een campagne op waarbij criminelen het bestandsformaat “SVG” misbruikten. Dat is een type afbeelding dat ook kleine stukjes webcode kan bevatten. Slachtoffers kregen een ogenschijnlijk onschuldige afbeelding te zien die een echt uitziende website nadeed (in dit geval van het Colombiaanse rechtssysteem). Vervolgens werd gevraagd een met wachtwoord beveiligd zip bestand te downloaden. Wie dat opende, installeerde ongemerkt malware. Het probleem, veel systemen staan toe dat dit soort bestanden zonder extra controles worden weergegeven. Daardoor glipt zo’n aanval makkelijker langs filters. De les is simpel, behandel onverwachte bestanden en downloads altijd met argwaan, óók als ze “maar een plaatje” lijken.
Een andere zwakke plek zit in het misbruik van legitieme beheerprogramma’s. Sinds het voorjaar circuleren besmette installatiebestanden van “ConnectWise ScreenConnect”, software die bedrijven gebruiken voor hulp op afstand. De criminelen verpakken hun malware in een vertrouwde vorm (bijvoorbeeld als “ClickOnce installer”) en laten het eruitzien als een normaal ondersteuningsbestand, compleet met geloofwaardige bestandsnamen. Na openen worden extra onderdelen opgehaald vanaf gekaapte servers en worden soms meerdere beheertrojaanse paarden tegelijk geïnstalleerd, zodat er altijd wel één actief blijft. Dat maakt het voor bedrijven lastiger om de toegang weer volledig te blokkeren.
Van misbruik van internetreclames tot anonieme emailadressen criminelen benutten diverse zwakke plekken
We zagen ook hoe criminelen gebruikmaken van gewone internetreclames en bekende codeplatformen. In de zogeheten “GPUGate” campagne kwamen mensen via gesponsorde Google advertenties op een pagina terecht die sprekend leek op een echte GitHub pagina (GitHub is de plek waar veel software staat). Van daaruit klikten ze door naar een site van de aanvallers, waar de schadelijke software werd aangeboden. Een bijzonder detail, de kwaadaardige code werd ontsleuteld met behulp van de grafische kaart (GPU) van de computer. Testomgevingen die vaak in een beveiligde, nagebootste computer werken, merkten dat daardoor minder snel op. De campagne richtte zich vooral op IT professionals in West-Europa, met als doel inloggegevens te stelen, een netwerk binnen te komen en eventueel later ransomware te plaatsen.
Niet alle aanvallen lopen via websites. We zagen ook misbruik van iCloud kalenderuitnodigingen, die via Apple servers worden verstuurd en daardoor eerder door spamfilters komen. De uitnodigingen lijken op betaalbevestigingen en bevatten een telefoonnummer. Wie belt, krijgt “klantenservice” aan de lijn, waar men stap voor stap wordt overgehaald om software voor hulp op afstand te installeren. Vanaf dat moment kunnen criminelen geld wegsluizen of gegevens stelen. Het lastige hier is dat niet alleen het merk, maar vooral het verzendkanaal betrouwbaar oogt, het komt immers via Apple zelf.
Daar komt bij dat het darkweb nieuwe “hulpmiddelen” blijft aanbieden die misbruik makkelijker maken. Zo is er een nieuw platform verschenen dat gratis wegwerp emailadressen levert. Dat kan voor privacy handig lijken, maar in de praktijk helpt het criminelen om razendsnel anonieme accounts te maken en phishingcampagnes te draaien. Voor verdedigers betekent dit dat je minder kunt vertrouwen op de reputatie van emailadressen bij nieuwe registraties, en meer moet kijken naar gedrag, hoe snel worden er acties uitgevoerd, kloppen de patronen, is het apparaat verdacht?
Tot slot staat gereedschap om wachtwoorden te kraken volop in de belangstelling. “John the Ripper Jumbo” is zo’n tool die honderden soorten versleutelingen kan proberen, desnoods met hulp van de grafische kaart. Beveiligingsteams gebruiken dit om te testen hoe sterk hun wachtwoorden zijn, maar criminelen kunnen er ook misbruik van maken als ze aan een wachtwoordbestand zijn gekomen. De betekenis voor gewone gebruikers en organisaties is duidelijk, kies lange, unieke wachtwoorden en zet waar mogelijk tweestapsverificatie (MFA) aan. Zonder die basis is elk systeem kwetsbaar, hoe modern het verder ook is.
Nieuwe maatregelen van Rusland en Microsoft verhogen digitale veiligheid tegen sluwe aanvallen"
Ook overheden en grote technologiebedrijven bewogen dit weekend. Rusland publiceerde een officiële lijst met eigen apps die tijdens internetonderbrekingen door blijven werken. Zulke onderbrekingen worden volgens de autoriteiten ingezet om militaire aanvallen met drones te verstoren. Op de lijst staan onder meer betaalapps (zoals Mir), een door de staat gesteunde berichtenapp (MAX), taxi apps en online overheidsdiensten. Populaire buitenlandse apps, zoals WhatsApp, vallen erbuiten. Rusland zegt dat het hiervoor een “speciale technische oplossing” gebruikt, waarmee het eigen internet voor burgers bruikbaar blijft, ook als het contact met de buitenwereld tijdelijk beperkt is. Het past in een bredere beweging om minder afhankelijk te zijn van buitenlandse technologie en meer controle te houden over de eigen digitale omgeving.
Aan de andere kant zien we dat grote leveranciers de basisbeveiliging verder aanscherpen. Microsoft verplicht sinds het voorjaar extra inlogbeveiliging (MFA) voor iedereen die via het Azure portaal inlogt. Vanaf oktober gaat dat ook gelden voor tools voor beheerders en ontwikkelaars, zoals de opdrachtregel (CLI), PowerShell en programmeerinterfaces (API’s en SDK’s). Daarmee gaat de lat voor veilige toegang omhoog en wordt het voor criminelen moeilijker om alleen met een gestolen wachtwoord binnen te komen. Wel blijft het zaak om alert te zijn op trucs waarmee criminelen MFA proberen te omzeilen, bijvoorbeeld door gebruikers te overvallen met veel pushmeldingen of door inlogschermen na te bootsen.
Er speelde ook een discussie over de organisatie van werk bij grote bedrijven. Uit onderzoek bleek dat Microsoft voor het platform SharePoint jarenlang ook medewerkers in China inzette voor ondersteuning en foutoplossingen. Tegelijkertijd werden kwetsbaarheden in lokale (on premises) SharePoint installaties misbruikt door staatsondersteunde aanvallers om bij gevoelige doelwitten binnen te komen. Er is geen direct verband bewezen, maar het roept wel vragen op over risico’s in toeleveringsketens en over hoe je taken en toegang het beste kunt scheiden. Microsoft gaf aan werkzaamheden te verplaatsen om mogelijke risico’s te verlagen.
Tot slot was er juridisch nieuws uit de AI wereld. Een groot AI bedrijf trof een schikking van minimaal 1,5 miljard dollar met een groep auteurs die meenden dat hun boeken zonder toestemming waren gebruikt om een AI model te trainen. Dat lijkt misschien een onderwerp voor juristen, maar het raakt ook de veiligheidspraktijk. Als AI hulpmiddelen sneller en op een verantwoorde manier beschikbaar komen, kunnen verdedigers er beter mee opsporen en analyseren. Tegelijk gebruiken criminelen AI om gestolen data sneller door te spitten en waardevolle informatie te vinden, zoals we zagen bij de aanval op het Nx project.
De rode draad van het weekend, beide kanten schakelen op. Criminelen zetten slimmere trucs in, misbruiken vertrouwde kanalen en breiden hun gereedschapskist uit. Overheden en techbedrijven trekken de beveiliging aan en proberen de continuïteit van diensten ook bij storingen te waarborgen. Voor iedereen betekent dit, goede toegangsbescherming (MFA), voorzichtig zijn met downloads en bijlagen, en kritisch blijven op wat “echt” lijkt maar het niet is.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
De technische variant:
Het afgelopen weekend liet scherp zien hoe breed en gelaagd het dreigingslandschap blijft, met incidenten die uiteenlopen van supply chain aanvallen in open source tot forse ransomwareclaims. In het ontwikkel ecosysteem stond de “s1ngularity” aanval op het Nx project centraal. Aanvallers misbruikten zwaktes in GitHub Actions workflows om aangepaste builds te publiceren met ingesloten malware. Die malware was gericht op het buitmaken van tokens, SSH sleutels, cryptowallets en andere geheime bestanden. De impact spreidde zich uit over meerdere aanvalsgolven, met meer dan tweeduizend getroffen accounts en duizenden repositories. Opvallend element was de inzet van generatieve AI door de aanvallers, met verfijnde prompts wisten zij sneller de waardevolle geheimen te filteren uit buitgemaakte data. De ontwikkelaars verwijderden besmette artefacts, publiceerden een analyse en scherpten maatregelen aan, waaronder tweefactorauthenticatie en een overstap naar het NPM Trusted Publisher model. Toch blijft het risico bestaan zolang gelekte secrets niet overal zijn ingetrokken of vervangen.
Parallel daaraan kwam ketenmisbruik via de npm registry opnieuw in beeld. Onderzoekers troffen vier malafide pakketten aan die zich voordeden als Flashbots hulpmiddelen en cryptografische libraries. In werkelijkheid bevatten ze verborgen functies die privésleutels en herstelzinnen (seed phrases) van Ethereum wallets buitmaakten. De exfiltratie verliep via een door de aanvallers beheerde Telegram bot, terwijl ten minste één pakket transacties manipuleerde om ongeautoriseerde overdrachten naar criminele wallets te sturen. De drempel voor installatie is laag als naamgeving, documentatie en API compatibiliteit overtuigen. Voor iedereen die bots, MEV tools of hot wallets beheert, is dit een direct verliesrisico, misbruik van seed phrases is onomkeerbaar.
In de categorie afpersing trok de relatief onbekende ransomwaregroep Devman de aandacht met de claim dat 12 terabyte aan gegevens buitgemaakt zou zijn bij een nog niet publiek geïdentificeerde organisatie. De geëiste som van 91 miljoen dollar behoort tot de hogere regionen. Publieke, verifieerbare bevestiging ontbreekt; daarom is het juist om in een openbaar dreigingsbeeld te spreken van een onbevestigde claim zonder het vermeende slachtoffer te noemen. De omvang van de geclaimde datadiefstal en de hoogte van de eis duiden op een doelwit met aanzienlijke datadichtheid of strategische waarde en verhogen de druk op bestuur en operatie bij een mogelijk getroffen partij.
Kwetsbaarheden in systemen, van infrastructuur en formaten tot beheerhulpmiddelen
De kwetsbaarheden die dit weekend naar voren kwamen beperken zich niet tot klassieke CVE’s; ze tonen vooral misbruikbare schakels in processen en tooling. De s1ngularity casus legt bloot hoe CI/CD workflows, build rechten en secret hygiëne cruciale aanvalsvectoren vormen wanneer isolatie, signing en toestemmingen niet sluitend zijn. De npm casus illustreert de sociaal technische dimensie, vertrouwen in namen, maintainer profielen en downloadstatistieken is geen bescherming tegen doelbewuste impersonatie of langdurig “seeden” van malafide pakketten.
Een andere kwetsbaarheidslaag hangt samen met de manier waarop ogenschijnlijk onschuldige bestandsformaten worden verwerkt. In een door VirusTotal gedetecteerde campagne fungeerden SVG bestanden als container voor HTML en JavaScript. Zo werd een vals portaal nagebootst dat zich voordeed als het Colombiaanse rechtssysteem, inclusief een valse voortgangsbalk en de prompt om een wachtwoordbeschermd archief te downloaden. Bij openen werd malware geïnstalleerd. Omdat SVG in veel omgevingen permissief wordt gerenderd, kan deze aanpak traditionele filtering omzeilen. Dit vraagt om strakkere content policies, sandboxing en het beperken van actieve content in bestandsweergaves.
Daarnaast blijft misbruik van legitieme beheerhulpmiddelen een grote rol spelen. Sinds het voorjaar circuleren trojanized ConnectWise ScreenConnect installateurs die zich presenteren als geloofwaardige ClickOnce pakketten. Ze halen componenten op van gecompromitteerde servers en installeren vaak meerdere Remote Access Trojans parallel, waardoor redundantie ontstaat en persistente toegang beter overleeft. Social engineering is hierbij de sleutel, bestanden met plausibele namen, zoals agreement_support-pdf.Client.exe, wekken vertrouwen en verlagen de klikdrempel. Voor verdedigers verschuift de last naar application allowlisting, strikte validatie van code signing, het blokkeren van onbekende ClickOnce herkomstlocaties en het principe van minimale rechten aan de eindpuntzijde.
De rode draad is dat “kwetsbaarheid” niet alleen een fout in code is, maar evenzeer de combinatie van permissieve processtappen, impliciet vertrouwen in supply chains en ruime bestandsverwerking. De implicatie is helder, organisaties moeten naast patching vooral ook hun build en releasepaden harden, dependency beleid aanscherpen en content rendering waar mogelijk sandboxen.
Dreigingen in cyberspace, advertenties, infrastructuurvertrouwen en darkweb facilitators
In het operationele dreigingsbeeld viel vooral het samenspel op tussen misleiding via advertenties, het kapen van platformvertrouwen en het beschikbaar komen van hulpmiddelen die anonieme of moeilijk te herleiden activiteiten faciliteren. In de zogeheten GPUGate campagne werden slachtoffers via gesponsorde Google advertenties naar zorgvuldig nagemaakte GitHub pagina’s geleid. Van daaruit volgde een doorverwijzing naar door de aanvallers gecontroleerde domeinen met de daadwerkelijke payload. Een onderscheidend kenmerk is de ontcijfering van die payload via de grafische kaart (GPU), waardoor virtualisatie en sandboxomgevingen minder effectief zijn en statische detectie wordt bemoeilijkt. De primaire doelgroep bestond uit IT professionals in West-Europa, en de doelen liepen uiteen van inloggegevensdiefstal en netwerktoegang tot mogelijke latere inzet van ransomware.
Naast advertenties speelt ook het vertrouwen in infrastructuur een rol. Criminelen misbruiken iCloud Kalenderuitnodigingen die via Apple servers worden verzonden, waardoor spamfilters eenvoudiger worden gepasseerd. De uitnodigingen bootsen betaalbevestigingen na en bevatten een “klantenservice”nummer. Via telefonische social engineering worden slachtoffers overtuigd om remote toegangstools te installeren; daarna volgt vaak datadiefstal of directe financiële afroming. Deze aanpak leunt minder op het merk alleen en meer op het kanaal zelf, de legitimiteit van Apple’s infrastructuur vergroot de afleverkans en geloofwaardigheid.
Het darkweb fungeert intussen als katalysator voor misbruik. Een nieuw onion platform voor gratis wegwerp emailadressen verlaagt de drempel voor anonieme accountcreatie. Zulke diensten kennen legitieme privacytoepassingen, maar faciliteren ook bulkregistraties, phishing en het in stand houden van frauduleuze accounts. Voor verdedigers betekent dit dat detectie minder kan leunen op emailreputatie bij aanmelding en sterker moet steunen op gedragsanalyse, device risico’s en breder signaaldelen over misbruikpatronen.
Tot slot kwamen krachtige aanvalsmiddelen opnieuw in beeld. John the Ripper Jumbo, een geavanceerde offline wachtwoordkraker, ondersteunt honderden hashformaten en draait op uiteenlopende hardware, inclusief GPU’s en in sommige gevallen FPGA’s. Het is nuttig voor securityteams bij password audits, maar in handen van aanvallers is het een krachtvermenigvuldiger zodra hashdumps zijn verkregen. De praktische consequentie is onveranderd, voldoende lengte en entropie, geen wachtwoordhergebruik en breed toegepaste multifactor authenticatie vormen de realistische weerstand tegen moderne brute force en dictionaryvarianten.
Geopolitieke ontwikkelingen in cyberspace, digitale soevereiniteit en defensieve tegenzetten
Op geopolitiek vlak zette Rusland stappen om digitale soevereiniteit en dienstcontinuïteit in conflictcondities te verankeren. Een officieel gepubliceerde lijst met lokaal ontwikkelde apps mag operationeel blijven tijdens internetblackouts, die onder meer worden ingezet om Oekraïense drone operaties te verstoren. Tot de toepassingen behoren betaaloplossingen zoals Mir, de staats gesteunde berichtenapp MAX, taxi diensten en online overheidsportalen; buitenlandse apps, waaronder WhatsApp, vallen buiten de continuïteitsregeling. Volgens de regering wordt een “speciale technische oplossing” gebruikt om lokale functionaliteit te garanderen tijdens uitval. Functioneel betekent dit dat burgers binnen het Russische internet basisdiensten kunnen blijven gebruiken wanneer externe connectiviteit doelbewust wordt beperkt; strategisch past het in de bredere ambitie om de afhankelijkheid van buitenlandse technologie verder terug te dringen en de eigen digitale ruimte strakker te controleren.
Waar staten de regie aanscherpen, verhogen grote leveranciers de ondergrens van beveiligingshygiëne. Microsoft handhaaft sinds het voorjaar multifactor authenticatie voor alle aanmeldingen via het Azure portaal en breidt dat vanaf oktober door naar ontwikkelaars en beheerinterfaces zoals Azure CLI, PowerShell, SDK’s en API’s. Daarmee gaat de identity baseline voor een groot deel van het zakelijke internet omhoog en nemen routes die primair leunen op gestolen inloggegevens aantoonbaar in effectiviteit af. Tegelijk blijft de praktijk weerbarstig, MFA omzeiling via token diefstal, push bombing of AiTM proxies blijft een aandachtspunt, wat beleid en detectie use cases vereist die verder gaan dan “MFA aan”.
De softwaretoeleveringsketen van grootschalige platforms kwam eveneens in beeld. Uit onderzoek bleek dat Microsoft China gebaseerde engineers inzette voor ondersteuning en bugfixing rond SharePoint, terwijl statelijk gesteunde actoren recent kwetsbaarheden in on premises installaties misbruikten om toegang te krijgen bij prominente doelwitten, waaronder overheidsinstanties. Zonder causaliteit te veronderstellen, roept dit vragen op over insider risico’s, toeleveringsketens en de segmentatie van ontwikkel en supportactiviteiten. Microsoft kondigde aan werkzaamheden te verplaatsen naar andere locaties om risico’s te verkleinen en de vertrouwensbasis richting klanten te versterken.
Parallel verschoof een deel van het AI debat naar de rechtszaal. Een schikking van minimaal 1,5 miljard dollar tussen een AI aanbieder en een groep auteurs onderstreept de spanning rond dataset herkomst en auteursrecht. Hoewel de zaak primair juridisch en compliance gericht is, raakt zij direct aan security, de manier en snelheid waarmee AI features legaal en verantwoord beschikbaar komen in tooling beïnvloeden zowel de mogelijkheden van verdedigers (snellere detectie, triage, code analyse) als die van aanvallers (automatisering bij gegevensselectie en exfiltratie analyse, zoals zichtbaar werd in de s1ngularity casus).
Gezamenlijk schetsen deze ontwikkelingen een duidelijke trend, staten formaliseren continuïteits en controlemechanismen voor hun digitale ecosystemen, terwijl cloud aanbieders en platformen de lat verhogen voor identity beveiliging en toeleveringsketenvertrouwen. Organisaties die afhankelijk zijn van internationale netwerken, publieke cloud en complexe softwareketens voelen de effecten direct in hun risico profiel en incidentrespons.
De kern van het weekend is versnelling aan beide kanten, aanvallers professionaliseren supply chain misbruik, benutten vertrouwen in infrastructuur en zetten GPU bewuste malware en krachtige crackingtooling in; leveranciers en staten verhogen tegelijkertijd de ondergrens met bredere MFA afdwinging, strakkere content policies en scherper toezicht op ketenprocessen. Dat spanningsveld legt prioriteit bij identity beveiliging, afhankelijkheidsbeheer in ontwikkelketens, realistische modellen voor initiële toegang via legitieme tooling en het tijdig intrekken van gelekte secrets.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.