Luister het journaal in 3 min of lees hieronder.
Gisteren waren er verschillende belangrijke cyberincidenten die bedrijven en individuen in cyberspace hebben getroffen. Van datalekken bij hotels tot kwetsbaarheden in veelgebruikte software, en geavanceerde cyberaanvallen, hier is een overzicht van wat er gisteren in de digitale wereld gebeurde.
Fraudehelpdesk en datalekken bij hotels en loterijen vergroten risico’s voor klanten
Bij het eerdere datalek bij de hotelketen Van der Valk bleek dat gegevens van klanten, zoals telefoonnummers, adressen en reserveringen, waren gestolen van hotels in zowel Amsterdam als Almere. De aanval vond plaats via een valse inlogpagina die toegang gaf tot hun systemen. Door dit lek vielen klanten ten prooi aan phishing, waarbij ze dachten dat hun reservering was geannuleerd en hun creditcardgegevens werden gestolen. Van der Valk heeft beloofd alle schade te vergoeden.
Ook in Luxemburg was er een datalek bij Loterie Nationale, waarbij persoonlijke klantgegevens, zoals namen, telefoonnummers en bankgegevens, werden gestolen. Gelukkig waren wachtwoorden en creditcardgegevens veilig. Het incident laat zien hoe kwetsbaar systemen zijn, zelfs als de informatie niet de meest gevoelige is.
Daarnaast werd er melding gemaakt van fraudeurs die zich voordeden als medewerkers van de Fraudehelpdesk. Ze belden of sms’ten mensen met valse berichten over verdachte banktransacties en vroegen hen om software te downloaden waarmee ze toegang kregen tot hun bankrekeningen. Dit laat zien hoe belangrijk het is om voorzichtig te zijn met ongevraagde berichten en telefoontjes.
Ernstige kwetsbaarheden ontdekt in Apache Jackrabbit en WinRAR bedreigen bedrijfssystemen
Er werden ook ernstige kwetsbaarheden ontdekt in veelgebruikte software die de veiligheid van systemen in gevaar kunnen brengen. Een daarvan betrof Apache Jackrabbit, een programma dat veel wordt gebruikt door bedrijven om informatie op te slaan. Er bleek een zwakte te zijn in dit systeem waardoor hackers kwaadaardige code konden uitvoeren op de servers van bedrijven die Jackrabbit gebruiken. Bedrijven die Jackrabbit gebruiken, wordt geadviseerd om snel de nieuwste versie van het programma te installeren om zichzelf te beschermen.
Er werd ook een grote kwetsbaarheid gevonden in WinRAR, een populaire software waarmee je bestanden kunt inpakken en uitpakken. Hackers kunnen misbruik maken van deze kwetsbaarheid om toegang te krijgen tot computers, zelfs zonder dat de gebruiker iets vreemds doet. Deze kwetsbaarheid wordt momenteel te koop aangeboden voor $65.000 op een cybercrimeforum, wat laat zien hoe waardevol zulke zwakke plekken kunnen zijn voor cybercriminelen. Gebruikers wordt aangeraden om hun WinRAR software bij te werken om zich te beschermen tegen aanvallen.
Daarnaast werd de account van een populaire ontwikkelaar van softwarepakketten, Qix, gehackt. Hackers gebruikten deze account om kwaadaardige versies van veelgebruikte softwarepakketten te verspreiden. Ontwikkelaars die deze pakketten gebruiken, moeten controleren of ze niet onbewust de gevaarlijke versies hebben gedownload.
Hackers misleiden slachtoffers met valse problemen en ransomware gericht op artiesten
De dreigingen in cyberspace worden steeds geavanceerder. Een van de grootste zorgen van gisteren was de activiteit van de Lazarus groep, een hackersgroep die vaak wordt geassocieerd met Noord-Korea. Ze gebruikten een techniek die slachtoffers misleidt door valse technische problemen voor te stellen. Wanneer de slachtoffers dachten dat ze een probleem met hun computer moesten oplossen, installeerden ze per ongeluk schadelijke software. Deze techniek wordt steeds vaker gebruikt door hackers om systemen over te nemen en vertrouwelijke informatie te stelen.
Daarnaast werd er een nieuwe ransomware aanval opgemerkt, gericht op digitale artiesten en illustratoren. Deze LunaLock ransomware begint met een phishing aanval waarbij slachtoffers worden misleid om een besmet bestand te openen. Eenmaal geopend, versleutelt de ransomware belangrijke bestanden, zoals kunstwerken en klantgegevens, en vraagt om een losgeld in cryptocurrency om deze bestanden weer toegankelijk te maken. Dit laat zien dat ook creatieve professionals steeds vaker het doelwit worden van cybercriminelen.
Er werd ook gemeld dat hackers misbruik maakten van Amazon's Simple Email Service (SES) om massale phishing emails te versturen. Met gestolen toegang tot Amazon’s clouddiensten konden de hackers dagelijks duizenden valse berichten versturen. Deze berichten leidde slachtoffers naar websites die hun inloggegevens probeerden te stelen. Dit incident toont aan hoe hackers legitieme cloud diensten kunnen misbruiken om op grote schaal kwaad te doen.
Kwetsbaarheid van internetkabels en ransomwaregroei zorgen voor geopolitieke zorgen
In geopolitiek opzicht waren er zorgen over de kwetsbaarheid van internetkabels die belangrijk zijn voor de verbinding tussen Europa en Azië. Twee grote kabels in de Rode Zee werden beschadigd, wat leidde tot vertragingen in de internetverbindingen van India, Pakistan en de Verenigde Arabische Emiraten. Dit had ook invloed op de diensten van Microsoft Azure, een cloudplatform dat veel door bedrijven wordt gebruikt. Het is nog niet duidelijk of de schade het gevolg was van sabotage of een ongeluk, maar het incident benadrukt hoe kwetsbaar internetinfrastructuur is voor externe invloeden.
In Australië hebben de autoriteiten onderzoek gedaan naar de groeiende dreiging van ransomwaregroepen die wereldwijd bedrijven aanvallen. Tussen 2020 en 2022 werden er meer dan 865 ransomware aanvallen uitgevoerd, met als belangrijkste doelwitten bedrijven in Australië, Canada en het Verenigd Koninkrijk. Deze groepen gebruiken steeds meer geavanceerde methoden om niet alleen gegevens te versleutelen, maar ook om bedrijven onder druk te zetten door te dreigen gestolen data openbaar te maken. De Conti en LockBit groepen waren hierbij de meest actieve.
Afsluiting
De gebeurtenissen van gisteren laten weer zien hoe kwetsbaar de digitale wereld is voor cyberdreigingen. Van de ernstige datalekken bij Van der Valk en Loterie Nationale, tot de geavanceerde aanvallen van Lazarus en ransomware aanvallen zoals LunaLock, de dreigingen blijven toenemen. Kwetsbaarheden in veelgebruikte software zoals WinRAR en Apache Jackrabbit maken het nog gemakkelijker voor hackers om schade aan te richten. En met geopolitieke incidenten zoals de schade aan belangrijke internetkabels in de Rode Zee, wordt het duidelijk dat de kwetsbaarheid van de infrastructuur een wereldwijd probleem is.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
De technische variant:
Gisteren werd het cyberspace weer geconfronteerd met verschillende ernstige incidenten, kwetsbaarheden en dreigingen die de digitale veiligheid van zowel bedrijven als gebruikers bedreigen. Van datalekken bij grote hotelketens tot geavanceerde cyberaanvallen en kwetsbaarheden in populaire software, de digitale wereld blijft onrustig. Hier volgt een overzicht van de belangrijkste gebeurtenissen van de vorige dag, gegroepeerd onder de thema's Slachtoffers van cyberaanvallen, Kwetsbaarheden in systemen, Dreigingen in cyberspace en Geopolitieke ontwikkelingen in cyberspace.
Slachtoffers van cyberaanvallen: Van der Valk en Loterie Nationale getroffen
Bij het eerdere datalek bij de hotelketen Van der Valk, dat recent in het nieuws kwam, blijkt de situatie veel groter te zijn dan aanvankelijk werd gedacht. Het incident, dat begin augustus plaatsvond, werd aanvankelijk alleen in Amsterdam gemeld, maar het blijkt nu dat ook hotels in Almere getroffen zijn. Het datalek werd veroorzaakt door een valse inlogpagina, waarmee cybercriminelen toegang kregen tot de interne systemen van de keten. Gegevens van klanten, zoals reserveringsinformatie, telefoonnummers en adressen, werden gestolen. In sommige gevallen werden klanten opgelicht via een phishing aanval, waarbij slachtoffers dachten dat hun reservering geannuleerd was en vervolgens hun creditcardgegevens invoerden. Van der Valk heeft inmiddels aangegeven de schade volledig te willen vergoeden.
Een ander incident betreft de Loterie Nationale in Luxemburg. Hier werd een datalek gemeld, waarbij klantgegevens zoals namen, adressen, telefoonnummers en bankgegevens werden gestolen. Het betreft een onderaannemer van de organisatie die verantwoordelijk was voor het onderhoud van de loterijplatformen. Het positieve aspect van dit incident is dat wachtwoorden en creditcardgegevens niet werden aangetast. Ondanks dat de schade in dit geval beperkt lijkt, benadrukt dit incident de kwetsbaarheid van systemen die klantinformatie bevatten.
Daarnaast werd er in Nederland melding gemaakt van een nieuwe phishing aanval, waarbij criminelen zich voordeden als medewerkers van de Fraudehelpdesk. Via sms of telefoongesprekken probeerden ze slachtoffers te misleiden door te claimen dat er verdachte transacties op hun bankrekening waren. Slachtoffers werden vervolgens gevraagd om software te installeren die de criminelen toegang gaf tot hun apparaten en bankrekeningen. Dit incident benadrukt opnieuw de gevaren van social engineering en het belang van waakzaamheid bij het omgaan met ongewenste berichten.
Kwetsbaarheden in systemen: Van Apache Jackrabbit tot WinRAR
Gisteren werden er ook enkele ernstige kwetsbaarheden ontdekt in veelgebruikte software, wat de beveiliging van talloze systemen in gevaar bracht. De bekendste kwetsbaarheid betreft Apache Jackrabbit, een open source contentrepository die door veel bedrijven wordt gebruikt. De kwetsbaarheid, aangeduid als CVE-2025-58782, stelt aanvallers in staat om kwaadaardige code uit te voeren op servers die Jackrabbit draaien. Dit wordt mogelijk gemaakt doordat Jackrabbit onveilige JNDI queries accepteert van onbetrouwbare bronnen, waardoor aanvallers kwaadaardige code kunnen injecteren en uitvoeren met de rechten van de applicatie. Gebruikers wordt aangeraden snel te upgraden naar de nieuwste versie van Jackrabbit, die deze kwetsbaarheid verhelpt.
Naast deze kwetsbaarheid werd er ook een zeroday kwetsbaarheid ontdekt in de populaire bestandscompressie tool WinRAR. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op systemen van slachtoffers door simpelweg een speciaal gemaakte archiefbestand te openen. De kwetsbaarheid wordt momenteel te koop aangeboden voor $65.000 op een cybercrimeforum. Dit benadrukt de waarde van zulke kwetsbaarheden op de zwarte markt, evenals de enorme dreiging die ze kunnen vormen voor gebruikers die de kwetsbare versie van WinRAR gebruiken. Het is essentieel dat WinRAR gebruikers snel hun software updaten om te voorkomen dat ze het slachtoffer worden van deze aanval.
Daarnaast werd de account van Qix, een bekende npm auteur, gecompromitteerd in een grootschalige supply chainaanval. Kwaadaardige versies van veelgebruikte npm pakketten, zoals chalk template, color convert en strip ansi, werden gepubliceerd met daarin malware. Het lijkt erop dat de aanval gericht was op het stelen van cryptocurrency via een crypto stealer, hoewel het onderzoek nog gaande is. Ontwikkelaars die deze pakketten gebruiken, wordt aangeraden hun versies snel te controleren en terug te gaan naar een veilige versie van de software.
Dreigingen in cyberspace: Geavanceerde aanvalstechnieken en ransomware
De dreigingen in cyberspace blijven toenemen, met steeds geavanceerdere aanvalstechnieken. Een van de meest zorgwekkende ontwikkelingen betreft de Lazarus APT groep, een cybercriminelenorganisatie die vaak wordt gekoppeld aan Noord-Korea. Deze groep heeft zijn aanvallen verder geavanceerd door gebruik te maken van de ClickFix techniek. Deze techniek maakt gebruik van sociale manipulatie, waarbij slachtoffers valse technische problemen voorgeschoteld krijgen. Ze worden vervolgens naar een zogenaamde "oplossing" geleid, die uiteindelijk schadelijke software installeert op hun systeem. Lazarus heeft deze techniek geïntegreerd in hun bestaande infrastructuur voor valse wervingscampagnes, waardoor malware zoals BeaverTail wordt verspreid via vervalste vacaturesites. Deze aanvallen richten zich zowel op Windows als macOS systemen, waarbij aangepaste kwaadaardige code wordt uitgevoerd afhankelijk van het besturingssysteem. Deze verfijnde technieken maken het moeilijker voor traditionele beveiligingssystemen om dergelijke aanvallen te detecteren.
Een andere dreiging komt van de LunaLock ransomware, die sinds begin september 2025 gericht is op onafhankelijke illustratoren en digitale artiesten. De aanvallen beginnen met spearphishingcampagnes waarin slachtoffers worden misleid om besmette factuurbestanden te openen. Zodra de ransomware is uitgevoerd, versleutelt deze kunstbestanden en klantendatabases, terwijl het zich voorbereidt om de bestanden snel te versleutelen. De ransomware maakt gebruik van gestolen inloggegevens en social engineering om toegang te krijgen tot platforms zoals Microsoft Teams en Slack, waardoor de ransomware zich verder verspreidt. De versleutelde bestanden krijgen de ".lunalock" extensie, en slachtoffers ontvangen een losgeld eis in Monero.
Naast deze ransomware activiteiten werd er ook melding gemaakt van een DDoS aanval die gebruik maakte van de diensten van Amazon SES. Hackers kregen toegang tot de Amazon Web Services (AWS) toegangssleutels, die vaak via openbare code repositories of verkeerd geconfigureerde cloudassets werden bemachtigd. Hiermee konden ze dagelijks meer dan 50.000 kwaadaardige emails versturen, die bedoeld waren om slachtoffers naar valse belastingwebsites te leiden en hun inloggegevens te stelen. Dit incident toont aan hoe cloud diensten, die oorspronkelijk voor legitiem gebruik zijn ontworpen, kunnen worden misbruikt voor grootschalige phishingcampagnes.
Geopolitieke ontwikkelingen in cyberspace: Cyberinfrastructuur en ransomware
De geopolitieke spanningen in cyberspace werden gisteren opnieuw zichtbaar na de schade aan internetkabels in de Rode Zee. Twee belangrijke glasvezelkabels, die essentieel zijn voor het internetverkeer tussen Europa en Azië, werden beschadigd in de buurt van de Saudische havenstad Jeddah. Deze schade leidde tot vertragingen in de internetverbindingen van India, Pakistan en de Verenigde Arabische Emiraten. Microsoft meldde vertragingen in hun Azure clouddiensten, die via deze kabels werden verbonden met andere delen van de wereld. Hoewel de oorzaak van de schade nog niet duidelijk is, wordt sabotage of een ongeluk niet uitgesloten. Dit incident werpt opnieuw een schaduw over de kwetsbaarheid van de kritieke infrastructuur die het mondiale internetverkeer ondersteunt. Eerdere incidenten, zoals de beschuldigingen tegen de Houthi's in 2024 voor het vernielen van internetkabels, hebben laten zien hoe geopolitieke conflicten de stabiliteit van de mondiale internetverbindingen kunnen bedreigen.
De Australische autoriteiten hebben verder onderzoek gedaan naar de activiteiten van ransomwaregroepen, waarbij tussen 2020 en 2022 wereldwijd meer dan 865 aanvallen werden uitgevoerd op organisaties in Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk. Deze groepen maakten gebruik van geavanceerde aanvalsmethoden, waaronder dubbele en drievoudige extortie, waarbij ze dreigden gestolen data te verkopen of openbaar te maken. De meest actieve ransomwaregroepen waren de Conti en LockBit groepen, waarbij vooral de industriële sector doelwit was, gezien de strategische waarde van deze sector voor nationale economieën.
Afsluiting
De gebeurtenissen van gisteren benadrukken wederom de veelzijdigheid van dreigingen in cyberspace. Van datalekken die bedrijven zoals Van der Valk en Loterie Nationale treffen, tot geavanceerde aanvallen van groepen zoals Lazarus en LunaLock, de digitale dreigingen blijven toenemen. De ontdekte kwetsbaarheden in populaire software, zoals Apache Jackrabbit en WinRAR, vormen een extra risico voor zowel bedrijven als individuele gebruikers. Terwijl de geopolitieke spanningen in cyberspace verder oplopen, blijkt uit de schade aan internetinfrastructuur en de activiteiten van ransomwaregroepen dat de stabiliteit van het wereldwijde internet in gevaar blijft.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.