Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Powered by RedCircle
Powered by RedCircle
ThreeAM dreigt met meer datalekken na ransomware aanval op Albert Heijn franchisenemer Bun
Op 24 oktober 2025 bevestigde Albert Heijn franchisenemer Bun dat het eerder dit jaar slachtoffer was van een ransomware aanval. Bij deze aanval werden systemen versleuteld en werden persoonlijke gegevens van medewerkers gestolen, zoals paspoorten, salarisgegevens en bankinformatie. De aanvallers, die zich ThreeAM noemen, hebben een deel van de gestolen gegevens openbaar gemaakt en dreigen meer informatie vrij te geven als er geen betaling wordt gedaan. Bun exploiteert 29 supermarkten en heeft ongeveer 3500 medewerkers. De aanval werd al eerder gemeld aan de getroffen medewerkers, maar meer details zijn nog niet bekend.
Daarnaast werd er een nieuwe oplichtingsaanval gemeld die gericht was op klanten van de Belgische bank KBC. Hierbij deden de oplichters zich voor als medewerkers van telecomprovider Proximus en probeerden ze slachtoffers te misleiden via een telefoontje. Ze stuurden vervolgens een verdachte app via WhatsApp, waarmee ze de controle over de telefoon van het slachtoffer overnamen en fraude pleegden via de mobiele bankdiensten. De Belgische overheid waarschuwt om nooit apps te installeren van onbekende bronnen.
Bedrijven in gevaar door kwetsbaarheden in WordPress plugins en Microsoft Windows Server
Er zijn verschillende kwetsbaarheden ontdekt die bedrijven kunnen blootstellen aan aanvallen. Een van de grootste risico’s betreft WordPress websites die gebruik maken van bepaalde plugins. Hackers kunnen misbruik maken van zwakke plekken in deze plugins om toegang te krijgen tot de website en kwaadwillende software te installeren. Het is belangrijk dat website eigenaren de laatste beveiligingsupdates installeren om dit risico te voorkomen.
Ook Microsoft heeft een ernstig probleem ontdekt in hun Windows Server software. Dit probleem maakt het voor hackers mogelijk om systemen op afstand over te nemen, wat ernstige gevolgen kan hebben voor bedrijven die deze software gebruiken. Microsoft heeft een patch uitgebracht om het probleem te verhelpen en adviseert bedrijven om deze snel te installeren om schade te voorkomen.
Een ander probleem betreft emailservers van Microsoft 365. Hackers gebruiken een zwakke functie die emailfilters omzeilt, waardoor ze gemakkelijker kunnen aanvallen. Microsoft werkt aan een oplossing en heeft een manier geïntroduceerd om de functie uit te schakelen voor extra bescherming.
Cybercriminelen richten zich op wachtwoordkluizen en bedrijfsdata met geavanceerde malware
De dreigingen van cybercriminaliteit blijven wereldwijd toenemen. Een voorbeeld hiervan is de Qilin ransomwaregroep, die wereldwijd bedrijven heeft aangevallen. Deze hackers gebruiken verschillende technieken om toegang te krijgen tot systemen en vervolgens gegevens te stelen en de computers van bedrijven te vergrendelen. Dit type aanval is een groeiende zorg voor bedrijven, vooral omdat het steeds makkelijker wordt voor hackers om dergelijke aanvallen uit te voeren.
Ook is er een nieuw type malware ontdekt, genaamd SharkStealer, die zich richt op het stelen van persoonlijke gegevens van computers. Deze malware maakt gebruik van technologie die het moeilijk maakt voor beveiligingssystemen om de aanvallen op te merken. Dit maakt het voor hackers eenvoudiger om onopgemerkt gegevens te stelen.
Daarnaast is er de Remcos malware, die in staat is om beveiligingssystemen te omzeilen door geen bestanden op de computer achter te laten. Dit maakt het voor bedrijven moeilijker om de aanval te detecteren, wat het gevaar vergroot.
Er is ook een nieuwe phishingaanval op LastPass klanten. Hierbij doen de aanvallers zich voor als familieleden van de slachtoffers en proberen ze toegang te krijgen tot wachtwoordkluizen. Deze aanval is een voorbeeld van hoe cybercriminelen zich steeds vaker richten op methoden die geen wachtwoorden gebruiken, maar alternatieve vormen van toegang, zoals passkeys.
Amsterdamse oplichting leidt tot dodelijk incident en hack bij Collins Aerospace blootlegt kwetsbaarheid
In Nederland heeft de politie een ernstig incident onderzocht waarbij twee nepagenten vermoedelijk betrokken waren bij de dood van een 80 jarige vrouw in Nieuw-West, Amsterdam. De politie vermoedt dat de verdachten zich als agenten voordeden om toegang te krijgen tot haar woning. Na de confrontatie werd de vrouw gevonden, en de politie is actief bezig met het onderzoek. Er wordt gewaarschuwd voor deze vorm van oplichting, waarbij criminelen zich voordoen als autoriteiten.
Er werd recent ontdekt dat de hack bij Collins Aerospace, een belangrijke leverancier van software voor Europese luchthavens, mogelijk plaatsvond via een gestolen FTP wachtwoord. Dit wachtwoord was in 2022 gestolen via malware. De hack werd door de ransomwaregroep Everest gebruikt om toegang te krijgen tot de systemen van het bedrijf in september 2025. Het incident leidde tot de diefstal van miljoenen passagiersrecords en gegevens van duizenden medewerkers, wat gevolgen had voor vluchten op luchthavens die de systemen van Collins Aerospace gebruiken.
Verantwoordelijkheid van IT leverancier bij hack en cryptomining benadrukt beveiligingsrisico's
In een ander geval werd een it leverancier in Nederland aansprakelijk gesteld voor de schade die het gevolg was van een gehackte cloudomgeving. Door het uitschakelen van een beveiligingsmaatregel, de multifactorauthenticatie (MFA), kon een hacker de systemen gebruiken voor cryptomining, wat resulteerde in hoge kosten voor de klant. De rechtbank oordeelde dat de it leverancier verantwoordelijk was voor de schade, omdat MFA niet was ingeschakeld, ondanks eerdere waarschuwingen.
De afgelopen dag waren er verschillende belangrijke cyberdreigingen en kwetsbaarheden die impact kunnen hebben op bedrijven en individuen in Nederland en België. Van ransomware aanvallen en phishing tot zwakke plekken in veelgebruikte software, het blijft belangrijk voor bedrijven en particulieren om alert te blijven. Het toepassen van de laatste beveiligingsmaatregelen, zoals het inschakelen van multifactorauthenticatie, kan helpen om schade door cyberaanvallen te voorkomen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer gedetailleerde technische variant:
ThreeAM ransomwaregroep dreigt met verdere datalekken na aanval op Albert Heijn franchisenemer Bun
Op 24 oktober 2025 bevestigde Albert Heijn franchisenemer Bun dat het eerder dit jaar slachtoffer was van een ransomware aanval. Bij de aanval werden een deel van hun systemen versleuteld en werden gegevens van zowel huidige als voormalige medewerkers gestolen. De gestolen gegevens omvatten persoonlijke informatie zoals paspoorten, salarisgegevens en bankinformatie. De aanvallers, die zich identificeren als de ransomwaregroep ThreeAM, publiceerden een deel van de gestolen gegevens en dreigden met verdere openbaarmaking als er niet betaald werd. Bun exploiteert 29 supermarkten en heeft ongeveer 3500 medewerkers. Het incident werd op 10 oktober gemeld aan de getroffen medewerkers, maar verdere details over de aanval zijn vooralsnog onbekend.
Daarnaast werd een aanzienlijke social engineering aanval gemeld die gericht was op klanten van de Belgische bank KBC. De aanval richtte zich specifiek op gebruikers van Android apparaten, waarbij de oplichters zich voordeden als medewerkers van telecomprovider Proximus. Slachtoffers kregen een telefoontje waarin hen werd verteld dat hun simkaart moest worden vernieuwd. Vervolgens werd een malafide app via WhatsApp verzonden, die slachtoffers moesten installeren. Door deze app te installeren, kregen de aanvallers controle over de telefoons van de slachtoffers en konden ze frauduleuze handelingen uitvoeren, zoals het doen van overschrijvingen via de mobiele bankdiensten van de slachtoffers. De Belgische overheid heeft de bevolking gewaarschuwd om nooit apps te installeren via onbekende kanalen en heeft slachtoffers aangespoord om contact op te nemen met hun bank.
Kritieke kwetsbaarheden in WordPress plugins en Microsoft 365 vereisen onmiddellijke updates
Op 24 oktober 2025 werden verschillende kwetsbaarheden ontdekt die grote gevolgen kunnen hebben voor getroffen systemen. Eén van de meest zorgwekkende kwetsbaarheden werd gevonden in de WordPress plugins GutenKit en Hunk Companion. Deze plugins vertoonden ernstige beveiligingslekken die aanvallers in staat stelden willekeurige plugins te installeren, wat kan leiden tot remote code execution. Meer dan 40.000 websites maken gebruik van GutenKit, terwijl Hunk Companion actief is op meer dan 8.000 websites. Hoewel beveiligingsupdates voor deze kwetsbaarheden al meer dan een jaar beschikbaar zijn, werd er sinds oktober 2025 actief misbruik van deze kwetsbaarheden gemaakt. Het is dringend noodzakelijk voor WordPress beheerders om de updates onmiddellijk te installeren en hun websites te controleren op verdachte plugins.
Microsoft bracht op dezelfde dag een noodpatch uit voor een ernstige kwetsbaarheid in Windows Server, specifiek in de Windows Server Update Service (WSUS). Deze kwetsbaarheid, aangeduid als CVE-2025-59287, heeft een score van 9,8 op de CVSS schaal en stelt aanvallers in staat om op afstand code uit te voeren met SYSTEM rechten. Het lek werd op 14 oktober geïdentificeerd, maar inmiddels is er proof of concept exploitcode gepubliceerd, waardoor het risico op misbruik sterk is toegenomen. Microsoft raadt organisaties aan om de patch onmiddellijk toe te passen om de kans op misbruik te verkleinen.
Een andere kwetsbaarheid betreft de misbruikte Direct Send functie van Microsoft 365 Exchange. Deze functie, oorspronkelijk bedoeld voor legacy apparaten en applicaties om email te versturen zonder authenticatie, wordt nu door cybercriminelen ingezet om inhoudsfilters te omzeilen. Aanvallers sturen valse berichten die afkomstig lijken van vertrouwde interne bronnen, zoals leidinggevenden of IT afdelingen. Deze berichten bevatten vaak sociale engineeringtactieken om inloggegevens of andere gevoelige informatie van slachtoffers te verkrijgen. Microsoft heeft gereageerd door een optie te introduceren om Direct Send te blokkeren en de beveiligingsmaatregelen verder te verbeteren.
Geavanceerde malware zoals SharkStealer en Remcos omzeilen traditionele beveiliging
De dreigingen in cyberspace blijven zich ontwikkelen en diversifiëren. De Qilin ransomwaregroep heeft wereldwijd al 700 organisaties in 62 landen getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers gebruiken technieken zoals spear phishing, gestolen inloggegevens en malafide captcha’s om toegang tot systemen te verkrijgen. Na het verkrijgen van toegang installeren ze malware en stelen ze gegevens, waarna ransomware wordt verspreid. Dit soort aanvallen toont de wereldwijde impact van ransomware aanvallen en de dreiging die dit vormt voor zowel bedrijven als individuen.
Daarnaast is er onderzoek naar de stealer malware industrie, die zich heeft ontwikkeld tot een geavanceerd crimineel netwerk dat dagelijks honderden miljoenen inloggegevens verwerkt. Criminaliteit rondom stealer malware heeft zich verder geprofessionaliseerd, met gespecialiseerde malware families en platforms voor de verspreiding van gestolen gegevens. Recent ontdekte onderzoeken tonen aan dat één enkel Telegram account dagelijks tot 50 miljoen inloggegevens kan ontvangen, wat de omvang van dit criminele netwerk onderstreept. Deze gegevens worden vervolgens op marktplaatsen gekocht, verkocht en gedeeld, wat het steeds moeilijker maakt voor onderzoekers om deze gegevens te traceren en te stoppen. Organisaties worden aangespoord om hun beveiliging te versterken en verdachte activiteiten snel te identificeren.
Verder werd de techniek van SharkStealer gemeld, een geavanceerde infostealer malware die gebruik maakt van de EtherHiding techniek voor C2 communicatie via blockchain. Deze techniek maakt gebruik van de BNB Smart Chain Testnet om veilige communicatiekanalen op te zetten met de command and control infrastructuur van de aanvallers, wat traditionele detectiemethoden omzeilt. SharkStealer slaat versleutelde gegevens op openbare blockchains, wat de effectiviteit van de aanval vergroot en het voor traditionele beveiligingsmaatregelen moeilijk maakt om schadelijk verkeer te detecteren.
De Remcos malware is een ander groeiend probleem, waarbij aanvallen gebruikmaken van fileless methoden. Deze malware maakt het mogelijk voor aanvallers om endpoint detection and response (EDR) systemen te omzeilen. Het begint met emails die onschuldige bijlagen bevatten, waarna een PowerShell script wordt uitgevoerd dat schadelijke payloads downloadt van een command and controlserver. Het script injecteert vervolgens de Remcos malware in het legitieme bestand RmClient.exe, waardoor het moeilijker te detecteren is. Deze malware richt zich voornamelijk op het stelen van inloggegevens uit browsers.
Een andere dreiging is een phishingcampagne gericht op LastPass klanten. Aanvallers doen zich voor als familieleden van de slachtoffers en beweren toegang te willen krijgen tot wachtwoordkluizen via een zogenaamd nalatenschapsverzoek. De emails bevatten een link die leidt naar een valse inlogpagina, waar gebruikers hun hoofdwachtwoord kunnen invoeren. Deze campagne wordt toegeschreven aan de groep CryptoChameleon, die eerder verantwoordelijk was voor aanvallen op cryptoplatforms zoals Binance en Coinbase. De aanval maakt gebruik van passkeys via domeinen zoals mypasskey[.]info en passkeysetup[.]com, wat een trend van phishingcampagnes die zich richten op wachtwoordloze authenticatie aantoont.
Dood van vrouw in Amsterdam door nepagenten en datalek bij Collins Aerospace onthuld
In Nederland is er nieuws over een incident waarbij nepagenten vermoedelijk betrokken waren bij de gewelddadige dood van een 80 jarige vrouw in Nieuw-West, Amsterdam. De recherche vermoedt dat de verdachten zich als politieagenten voordeden om toegang te krijgen tot haar woning, waarna de confrontatie escaleerde en resulteerde in haar overlijden. De politie is actief bezig met het onderzoek en waarschuwt voor deze vorm van oplichting, waarbij criminelen zich voordoen als officiële autoriteiten.
Verder werd er een incident gemeld bij Collins Aerospace, een belangrijke softwareleverancier voor Europese luchthavens. De hack die in het verleden plaatsvond, werd onlangs verder onderzocht. Het blijkt nu dat de aanvallers toegang verkregen tot de systemen van Collins Aerospace via een gestolen FTP wachtwoord, dat in 2022 via infostealer malware was verkregen. Dit wachtwoord werd op 10 september 2025 door de ransomwaregroep Everest gebruikt om toegang te krijgen tot de systemen van het bedrijf. De aanvallers claimden 1,5 miljoen passagiersrecords en gegevens van duizenden medewerkers te hebben gestolen, wat leidde tot vluchtannuleringen op luchthavens die afhankelijk zijn van de software van Collins Aerospace.
Aansprakelijkheid bij Azure hack onderstreept risico’s van onvoldoende beveiliging in cloudomgevingen
In een andere ontwikkeling werd een it leverancier uit Friesland door de rechtbank Noord-Nederland aansprakelijk gesteld voor de schade die het gevolg was van een gehackte Azure omgeving. Het incident vond plaats in 2021, toen een cybercrimineel inbrak op de cloudomgeving van de klant van de it leverancier. Door het uitschakelen van multifactorauthenticatie (MFA) kon de aanvaller de servers gebruiken voor cryptomining, wat resulteerde in hoge kosten voor de klant. De rechtbank oordeelde dat de it leverancier verantwoordelijk was voor de schade omdat MFA niet was ingeschakeld, ondanks eerdere waarschuwingen van de ict distributeur.
De afgelopen dag waren er verschillende belangrijke incidenten en dreigingen die invloed kunnen hebben op Nederland en België. Van ransomware aanvallen op supermarkten tot kwetsbaarheden in veelgebruikte software, het digitale dreigingslandschap blijft zich snel ontwikkelen. Organisaties moeten alert blijven op nieuwe aanvalstechnieken, zoals het misbruik van Microsoft 365 Exchange Direct Send en het gebruik van blockchain voor C2 communicatie door malware zoals SharkStealer. De voortdurende dreigingen van social engineering, fileless aanvallen en ransomware benadrukken de noodzaak voor voortdurende waakzaamheid. De aansprakelijkheid van de it leverancier voor schade door een gehackte Azure omgeving toont het belang van het goed beveiligen van cloudomgevingen en het toepassen van sterke beveiligingsmaatregelen, zoals MFA.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Recente journaal uitzendingen
Digitale gijzeling en onzichtbare spionage in vitale systemen
Reading in another language
Digitale stormrammen beuken op vitale infrastructuren en consumenten
Reading in another language
Escalatie in cyberstrijd en digitale gijzeling van vitale diensten
Reading in another language
Europese offensieve cyberplannen en kritieke lekken in vitale systemen
Reading in another language
Digitale destabilisatie door statelijke allianties en geavanceerde fraude
Reading in another language
Digitale infrastructuur onder vuur door ketenproblemen en misleiding
Reading in another language
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.