Luister het journaal in 3 min of lees hieronder.
Op 16 september 2025 waren er verschillende belangrijke gebeurtenissen in de wereld van cyberspace die iedereen, van bedrijven tot individuen, kunnen raken. Er waren meldingen van nieuwe cyberaanvallen, kwetsbaarheden in systemen die vaak gebruikt worden, en nieuwe bedreigingen die aangeven dat de online veiligheid steeds complexer wordt. Dit overzicht biedt een begrijpelijke uitleg van de belangrijkste incidenten, kwetsbaarheden, dreigingen en geopolitieke ontwikkelingen die gisteren plaatsvonden.
Van scheepsbouw tot meubels: Ransomware bedreigt grote Nederlandse bedrijven
Op 16 september werden in Nederland twee grote bedrijven getroffen door cyberaanvallen. Het ging om de bedrijven Ferus Smit en Jansen Furniture, die beide te maken kregen met een zogenaamde “ransomware aanval”. Dit betekent dat hackers toegang kregen tot de systemen van deze bedrijven en de bestanden vergrendelden, zodat de bedrijven niet meer bij hun eigen gegevens konden. De hackers vroegen om een losgeldbetaling in ruil voor toegang tot de bestanden.
Ferus Smit, een bedrijf dat schepen bouwt, werd getroffen door de Warlock groep, een bekende groep cybercriminelen. Ze hebben gegevens gestolen en het bedrijf heeft moeite om alles weer op orde te krijgen. Jansen Furniture, dat luxe meubels maakt, werd getroffen door een andere groep, Imncrew. Ook zij stalen belangrijke gegevens van het bedrijf. Deze aanvallen laten zien dat ransomware een serieuze dreiging is voor bedrijven, ongeacht hun grootte of sector.
Daarnaast werd een casino het slachtoffer van een andere vorm van cyberaanval, waarbij een "slimme" visvijver (aquarium) werd gebruikt om toegang te krijgen tot de systemen van het casino. Dit toont aan dat zelfs apparaten die we normaal gesproken niet zouden associëren met cyberaanvallen, zoals een aquarium, gebruikt kunnen worden door hackers om bedrijven te infiltreren. In dit geval werd persoonlijke klantinformatie gestolen, wat aangeeft hoe belangrijk het is om beveiliging op alle apparaten te hebben, zelfs de "onbeduidende" apparaten.
Een ander incident was een grootschalige advertentiefraude, waarbij honderden apps werden gebruikt om valse advertenties te plaatsen en daarmee geld te verdienen. Dit werd uitgevoerd door een netwerk genaamd SlopAds, en het werd pas ontdekt nadat miljoenen valse advertentie aanvragen werden verstuurd. Dit toont aan dat fraude ook plaatsvindt in de wereld van online advertenties, wat bedrijven en consumenten kan raken.
Oudere versies van software kwetsbaar voor hackers en cyberdreigingen
Naast de aanvallen die gisteren plaatsvonden, waren er ook meldingen van zwakke plekken in systemen die door veel bedrijven en mensen dagelijks worden gebruikt. Microsoft, bijvoorbeeld, heeft aangekondigd dat de ondersteuning voor bepaalde versies van hun emailsoftware, Exchange Server 2016 en 2019, binnenkort stopt. Dit betekent dat er geen beveiligingsupdates meer voor deze versies beschikbaar zullen zijn, wat deze systemen kwetsbaar maakt voor hackers. Bedrijven die deze versies gebruiken, worden dringend aangeraden om over te stappen naar een nieuwere versie om zichzelf te beschermen.
Daarnaast werd een kwetsbaarheid ontdekt in de software die wordt gebruikt om bestanden te delen tussen computers. Hackers kunnen misbruik maken van deze kwetsbaarheid om toegang te krijgen tot systemen en ze over te nemen. Dit toont aan hoe belangrijk het is om altijd de nieuwste beveiligingsupdates te installeren, zodat dergelijke zwakke plekken worden verholpen.
Ook werd er een beveiligingsprobleem ontdekt in WordPress, een veelgebruikte software voor het bouwen van websites. Dit probleem maakt het mogelijk voor hackers om toegang te krijgen tot websites zonder in te loggen. Dit is vooral zorgwekkend voor bedrijven die hun websites gebruiken om gegevens van klanten te verwerken, omdat het de veiligheid van die gegevens in gevaar kan brengen.
Coinbase Cartel en APT28 vergroten cyberdreigingen wereldwijd
Naast de incidenten en kwetsbaarheden die gisteren plaatsvonden, werden er ook nieuwe dreigingen gemeld. Eén daarvan was een nieuwe groep hackers, de "Coinbase Cartel", die verantwoordelijk zou zijn voor meerdere datalekken wereldwijd. Deze groep richt zich op grote bedrijven in verschillende sectoren, waaronder de logistiek en financiën, en heeft al schade veroorzaakt bij bedrijven zoals NTT Data uit Japan en CEVA Logistics uit Nederland. Deze dreiging laat zien dat cybercriminelen steeds vaker wereldwijd opereren en verschillende industrieën doelwit maken.
Een andere grote dreiging kwam van de hackergroep APT28, die wordt beschuldigd van aanvallen op Oekraïense overheidsinstellingen. APT28 is een bekende groep die wordt geassocieerd met cyberaanvallen die vaak door staten worden gesteund. De groep maakt gebruik van geavanceerde technieken om toegang te krijgen tot gevoelige informatie, zoals het gebruik van schadelijke documenten die zich verstoppen in gewone bestanden. Dit maakt het moeilijker voor bedrijven en overheden om dergelijke aanvallen op tijd te detecteren en af te weren.
Een ander dreigend gevaar was de ontdekking van de Maranão Stealer malware, die zich via gekraakte software verspreidt. Deze malware steelt persoonlijke informatie van gebruikers, zoals inloggegevens voor websites en cryptocurrency wallets. De aanval maakt gebruik van populaire illegale software voor gaming, wat het voor slachtoffers moeilijk maakt om te zien dat ze zijn geïnfecteerd.
LockerGoga en KillSec vergroten dreigingen in geopolitieke context
Gisteren werden er ook berichten gedeeld over de invloed van geopolitieke spanningen op cyberspace. Zo werd een Oekraïense hacker, Volodymyr Tymoshchuk, toegevoegd aan de lijst van meest gezochte cybercriminelen in Europa. Tymoshchuk wordt beschuldigd van het leiden van de LockerGoga ransomwarecampagne, die wereldwijd honderden bedrijven heeft getroffen. Dit benadrukt hoe cyberaanvallen vaak onderdeel zijn van bredere geopolitieke conflicten en hoe cybercriminaliteit kan worden gebruikt om bedrijven en landen schade toe te brengen. Tymoshchuk wordt gezocht door Europese autoriteiten en er wordt een beloning van 11 miljoen dollar aangeboden voor zijn arrestatie.
Ook in Latijns Amerika werd een nieuwe dreiging gemeld, de KillSec ransomware groep. Deze groep richt zich specifiek op zorginstellingen in Brazilië, maar de dreiging heeft mogelijk wereldwijd impact. KillSec maakt gebruik van kwetsbaarheden in software om toegang te krijgen tot gevoelige medische gegevens en vraagt losgeld in ruil voor het herstellen van de toegang. Dit toont aan dat cybercriminelen niet alleen bedrijven maar ook vitale sectoren, zoals de zorg, onder druk zetten om snel te betalen.
Afsluiting
De gebeurtenissen van 16 september 2025 laten zien hoe belangrijk het is om alert te blijven in een steeds complexer wordende digitale wereld. De aanvallen op bedrijven, de ontdekte kwetsbaarheden in veelgebruikte software, en de nieuwe dreigingen zoals ransomware en geavanceerde hackinggroepen wijzen op de groeiende risico's voor zowel bedrijven als individuen. Het is essentieel om systemen uptodate te houden, sterke beveiligingsmaatregelen te treffen en waakzaam te blijven voor nieuwe dreigingen die wereldwijd oprijzen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s!
Technische variant:
Op 16 september 2025 werd een breed scala aan incidenten, kwetsbaarheden en dreigingen in cyberspace waargenomen, die de digitale veiligheid wereldwijd beïnvloeden. Deze gebeurtenissen benadrukken de complexiteit van cyberaanvallen en de toenemende uitdaging voor organisaties om zich te beschermen tegen digitale dreigingen. In dit overzicht worden de belangrijkste gebeurtenissen van de dag behandeld, met specifieke aandacht voor de slachtoffers van cyberaanvallen, kwetsbaarheden in systemen, nieuwe dreigingen en geopolitieke ontwikkelingen die van invloed zijn op cyberspace.
Ransomware en slimme hacks treffen Ferus Smit, Jansen Furniture en een casino
Gisteren werden in Nederland twee bedrijven getroffen door ransomware aanvallen, waarbij de Warlock en Imncrew groepen verantwoordelijk werden gehouden voor de aanvallen. Het scheepsbouwbedrijf Ferus Smit, gevestigd in Westerbroek, Groningen, werd slachtoffer van een ransomware aanval die leidde tot een volledige gegevensinbreuk. Ferus Smit, dat al meer dan 100 jaar schepen bouwt en bekend staat om zijn in house ontwerp en engineering, heeft vestigingen in Nederland en Duitsland. De aanval verstoorde de bedrijfsvoering van het bedrijf en leidde tot de diefstal van belangrijke gegevens. Het bedrijf is momenteel bezig met het herstellen van de schade en het versterken van hun digitale beveiliging.
Op dezelfde dag werd ook Jansen Furniture, een producent van luxe meubels uit Gaanderen, getroffen door een ransomware aanval. Jansen Furniture is beroemd om het vakmanschap van hun meubels, die gebruik maken van hoogwaardige materialen zoals exotisch hout en marmer. De aanval werd uitgevoerd door de Imncrew ransomwaregroep en heeft geleid tot verstoring in de productie en mogelijke blootstelling van klantgegevens. Jansen Furniture heeft tussen de 501 en 1.000 medewerkers en is een belangrijke speler in de meubelindustrie.
Daarnaast werd een casino het slachtoffer van een cyberaanval die begon via een “intelligent acuario” (aquarium), een IoT apparaat dat oorspronkelijk was geïnstalleerd om de temperatuur en saliniteit van het water te monitoren. De hackers gebruikten dit apparaat als toegangspunt om het interne netwerk van het casino te infiltreren en 10 GB aan klantgegevens te stelen. Dit incident legt de kwetsbaarheid van IoT apparaten bloot, die vaak onterecht beveiligd zijn en door cybercriminelen kunnen worden misbruikt om toegang te krijgen tot systemen.
Verder werd het SlopAds advertentienetwerk, dat 224 Android apps omvat, gecompromitteerd in een grootschalige ad fraudeoperatie. Deze apps, die gezamenlijk miljoenen valse advertentie impressies genereerden, werden uit de Play Store verwijderd, maar de impact blijft groot. De fraudeurs wisten met behulp van steganografie verborgen WebViews in apps te gebruiken om frauduleuze biedingen te genereren, wat miljoenen onterecht gegenereerde advertentie impressies opleverde.
Microsoft, Linux en Apple blootstellen aan kritieke beveiligingsrisico's
De 16e september bracht ook verschillende kritieke kwetsbaarheden aan het licht in veelgebruikte systemen, die organisaties wereldwijd onder druk zetten om hun beveiligingsmaatregelen te verbeteren. Microsoft kondigde aan dat de ondersteuning voor Exchange Server 2016 en 2019 op 14 oktober 2025 stopt. Na deze datum zullen deze versies geen beveiligingsupdates meer ontvangen, wat betekent dat kwetsbaarheden niet langer gepatcht zullen worden. Organisaties die nog gebruik maken van deze versies van Exchange moeten nu actie ondernemen en overschakelen naar een ondersteunde versie of naar Exchange Online om verdere risico's te vermijden.
In de Linux omgeving werd een exploit ontdekt in de KSMBD daemon die het SMB3 protocol verwerkt. Aanvallers kunnen misbruik maken van twee N-day kwetsbaarheden, CVE-2023-52440 en CVE-2023-4130, die het mogelijk maken om op afstand code uit te voeren zonder gebruikersinteractie. Dit vergroot de aanvalslocaties en maakt het voor aanvallers gemakkelijker om systemen binnen te dringen. Hoewel de KSMBD daemon nog niet veel wordt gebruikt in productieomgevingen, geeft de kwetsbaarheid aan hoe complex de beveiliging van systeemkernen kan zijn.
Op het gebied van webapplicaties werd een kritieke kwetsbaarheid ontdekt in de Case Themes plugins voor WordPress, die door duizenden websites wereldwijd worden gebruikt. De kwetsbaarheid stelt aanvallers in staat om als beheerder in te loggen zonder dat er authenticatie vereist is. Dit kan de volledige controle over getroffen websites mogelijk maken, wat ernstige gevolgen heeft voor de veiligheid van gebruikersgegevens. Het is van cruciaal belang dat beheerders onmiddellijk de beveiligingsupdate toepassen die op 13 augustus 2025 is vrijgegeven om verdere schade te voorkomen.
Apple bracht op 16 september beveiligingsupdates uit voor meerdere van zijn besturingssystemen, waaronder macOS, iPadOS en iOS, waarmee tientallen kwetsbaarheden werden verholpen. Een van de belangrijkste kwetsbaarheden betrof de mogelijkheid voor apps om toegang te krijgen tot gevoelige gebruikersgegevens, zelfs wanneer het apparaat vergrendeld was. Het is van groot belang dat gebruikers deze updates installeren om hun systemen te beschermen tegen deze en andere beveiligingslekken.
Coinbase Cartel en Maranão Stealer versterken wereldwijde cyberdreigingen
De dreigingen in cyberspace blijven toenemen, zowel in het aantal als in de complexiteit van de aanvallen. Een nieuwe dreiging die gisteren werd gemeld, was de opkomst van de Coinbase Cartel, een hacker groep die verantwoordelijk is voor verschillende datalekken wereldwijd. De groep heeft zich richt op bedrijven in de logistiek, telecom, en financiële sectoren, waaronder NTT Data en CEVA Logistics. De groep is een ernstige zorg, gezien de brede waaier aan slachtoffers en de geavanceerde aanvalstechnieken die worden ingezet.
Daarnaast werd de activiteit van APT28, een door de Russische staat gesteunde hackinggroep, gemeld. APT28 heeft zijn cyberoperaties gericht op Oekraïense overheidsinstellingen in een nieuwe operatie genaamd “Phantom Net Voxel”. De groep maakt gebruik van geavanceerde technieken, waaronder kwaadaardige Office documenten met verborgen macros die schadelijke DLL bestanden laden. APT28 maakt ook gebruik van cloud opslagdiensten zoals Koofr en Icedrive voor command and control communicatie, wat de detectie bemoeilijkt. Deze aanval benadrukt de steeds verfijndere methoden die deze groep gebruikt om doelwitten te infiltreren en langdurig toegang te krijgen tot gevoelige informatie.
Een andere dreiging die gisteren werd ontdekt, is de Maranão Stealer malware, die zich verspreidt via gekraakte game software. Deze malware steelt gevoelige gegevens, zoals inloggegevens voor browsers en cryptocurrency wallets, en maakt misbruik van populaire piratenwebsites om slachtoffers te infecteren. Aangezien de verspreiding van deze malware vaak onopgemerkt blijft, is het belangrijk voor gebruikers om waakzaam te blijven bij het downloaden van software uit onbetrouwbare bronnen.
LockerGoga en KillSec vergroten risico’s voor bedrijven en zorginstellingen
Gisteren werden ook geopolitieke ontwikkelingen gerapporteerd die van invloed zijn op cyberspace, waarbij statelijke actoren steeds meer betrokken raken bij cyberaanvallen. Een prominente zaak betreft Volodymyr Tymoshchuk, een Oekraïense hacker die verantwoordelijk is voor de LockerGoga ransomwarecampagne, die wereldwijd honderden bedrijven heeft getroffen en aanzienlijke financiële schade heeft veroorzaakt. Tymoshchuk werd toegevoegd aan de EU Most Wanted lijst, en zowel Europese als Amerikaanse autoriteiten hebben een beloning van 11 miljoen dollar uitgeloofd voor zijn arrestatie. Deze zaak benadrukt de groeiende internationale samenwerking bij het aanpakken van cybercriminaliteit die door staten wordt gesteund.
In Latijns Amerika werd de KillSec ransomware groep genoemd als een toenemende dreiging voor de gezondheidszorgsector. De groep maakt gebruik van kwetsbaarheden in de softwareleveringsketen om toegang te krijgen tot netwerken en gevoelige medische gegevens te stelen. KillSec heeft zich voornamelijk gericht op zorginstellingen in Brazilië, maar de dreiging heeft wereldwijd impact. De groep maakt gebruik van cloud opslag en slecht beveiligde webapplicaties, wat de detectie van hun aanvallen bemoeilijkt en de schade vergroot.
Afsluiting
De gebeurtenissen van 16 september 2025 laten zien dat de dreigingen in cyberspace blijven groeien in zowel omvang als complexiteit. Bedrijven en overheidsinstellingen over de hele wereld worden geconfronteerd met geavanceerde ransomware aanvallen, kwetsbaarheden in belangrijke software en hardware, en statelijke cyberoperaties die steeds moeilijker te detecteren en te verhelpen zijn. De noodzaak voor versterkte beveiligingsmaatregelen en continue waakzaamheid is groter dan ooit. Het is cruciaal dat organisaties onmiddellijk actie ondernemen om kwetsbaarheden te patchen, digitale risico's te beperken en zich voor te bereiden op de toenemende dreigingen in cyberspace.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s!
Bron: Cybercrimeinfo (ccinfo.nl)
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.