Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dagen hebben verschillende cyberaanvallen plaatsgevonden, die zowel bedrijven als mensen hebben getroffen. Een opvallende aanval werd uitgevoerd door een groep cybercriminelen, de SideWinder Hacking Group, die gebruik maakte van een slimme techniek om malware (kwaadaardige software) te verspreiden. Deze malware werd via valse emails naar diplomatieke en overheidsinstellingen gestuurd in landen als Sri Lanka, Pakistan en India. Zodra iemand de email opende, werd de malware geïnstalleerd, die gevoelige informatie verzamelde en doorstuurde naar de aanvallers.
Een andere groep, Lazarus uit Noord-Korea, richt zich op bedrijven in Europa die werken met drones. Ze proberen technische gegevens over drones te stelen, wat kan bijdragen aan de technologie die Noord-Korea ontwikkelt. Ze gebruiken misleidende emails om medewerkers van bedrijven te verleiden schadelijke bestanden te openen.
Kwetsbaarheden in WSUS en SharePoint bedreigen bedrijfsnetwerken
Er is een ernstige kwetsbaarheid ontdekt in servers die een belangrijke rol spelen bij de software updates van Windows systemen, bekend als WSUS servers. Meer dan 8.000 van deze servers zijn direct vanaf het internet toegankelijk, wat betekent dat hackers op afstand toegang kunnen krijgen en schadelijke software kunnen installeren. Microsoft heeft onlangs een update uitgebracht om dit probleem te verhelpen, maar veel servers hebben deze nog niet geïnstalleerd. Experts waarschuwen dat bedrijven de updates snel moeten doorvoeren om gevaar te voorkomen.
Daarnaast is er een ander probleem ontdekt in een veelgebruikte technologie, SharePoint, die door veel bedrijven wordt gebruikt. Hackers maken misbruik van een beveiligingslek om ransomware (een vorm van gijzelaarssoftware) te verspreiden. Bedrijven die deze technologie gebruiken, moeten snel maatregelen nemen om hun systemen te beschermen.
Er is een nieuwe bedreiging van een groep cybercriminelen die gebruik maakt van smishing, een vorm van phishing via sms berichten. Ze hebben meer dan 194.000 gevaarlijke websites gemaakt om mensen te misleiden. Deze groep heeft wereldwijd meer dan 1 miljard dollar verdiend met het stelen van persoonlijke gegevens van slachtoffers. Ze maken vaak gebruik van vertrouwde merken om hun slachtoffers te misleiden.
Daarnaast is er malware ontdekt die zich voordoet als een populaire Minecraft app, maar eigenlijk kwaadaardige software is. Deze malware, die ook via Telegram wordt bestuurd, kan persoonlijke gegevens stelen en de computer van het slachtoffer op afstand bedienen. De malware wordt vaak verspreid door andere cybercriminelen die toegang kopen tot de software.
Lazarus groep en Warlock ransomware richten zich op Europese bedrijven
Internationaal gezien is er groeiende bezorgdheid over cyberaanvallen die door staatspionnen worden uitgevoerd. De Lazarus groep uit Noord-Korea richt zich op Europese bedrijven om informatie over drone technologie te stelen. Dit kan Noord Korea helpen bij het ontwikkelen van hun eigen wapensystemen.
De Warlock ransomwaregroep heeft ook geprofiteerd van een beveiligingslek in de software van Microsoft SharePoint om wereldwijd aanvallen uit te voeren. Deze groep is verantwoordelijk voor het versleutelen van bestanden en het stelen van gegevens van grote organisaties.
In Nederland is er een bankfraude zaak waar cybercriminelen zich voordeden als medewerkers van een bank om mensen op te lichten. De politie is bezig met het opsporen van de daders. Deze fraudeurs gebruikten valse telefoontjes en misleidende berichten om slachtoffers te overtuigen geld over te maken naar hun rekeningen.
Internationaal is er ook nieuws over een hack op Transport for London (TfL) in 2024. Twee tieners zijn aangeklaagd voor hun betrokkenheid bij de aanval, die leidde tot ernstige verstoringen in het openbaar vervoer. De schade werd geschat op £39 miljoen.
Nieuwe phishingtechniek bedreigt inloggegevens en accounts
Een nieuwe techniek om phishing (het stelen van persoonlijke gegevens) uit te voeren, maakt gebruik van willekeurige identificatiecodes die moeilijk te detecteren zijn door beveiligingssystemen. Deze methode wordt vooral gebruikt in emailaanvallen, waar hackers proberen inloggegevens te stelen door mensen naar valse websites te leiden.
Verder werd er een grote verkoop van gestolen inloggegevens ontdekt op het darkweb. Deze gegevens komen van populaire games zoals Roblox, Steam en Valorant. Hackers gebruiken deze gestolen gegevens om accounts over te nemen, virtuele goederen te stelen of identiteitsfraude te plegen.
De afgelopen dagen hebben we te maken gehad met verschillende cyberdreigingen, van ransomware aanvallen tot phishing via sms berichten. De kwetsbaarheid van systemen, zoals Windows servers en SharePoint, blijft een groot risico. Bovendien blijven groepen als Lazarus uit Noord-Korea actief in het stelen van technologie voor militaire doeleinden. Het is essentieel dat zowel bedrijven als individuen goed voorbereid blijven en tijdig maatregelen nemen om zich tegen deze dreigingen te beschermen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer gedetailleerde technische variant:
De afgelopen dagen zijn er verschillende cyberincidenten gemeld, waaronder incidenten die zowel bedrijven als individuen treffen. Een aanzienlijke aanval werd uitgevoerd door de SideWinder Hacking Group, die gebruik maakte van de ClickOnce infectieketen om StealerBot malware te verspreiden. Deze aanval richtte zich specifiek op diplomatieke en overheidsinstellingen in Zuid-Azië, waaronder Sri Lanka, Pakistan, Bangladesh en India. De gebruikte tactiek markeert een verschuiving in de methoden van de groep, waarbij de traditionele exploits in Microsoft Word zijn vervangen door een complexere infectieketen via PDF’s en ClickOnce applicaties. De aanvallen werden verspreid via zorgvuldig samengestelde spearphishing emails, die slachtoffers verleidden om een ogenschijnlijk legitiem Adobe Reader updatebestand te downloaden. Nadat de malware was geactiveerd, begon deze met spionageactiviteiten, waaronder het verzamelen van systeeminformatie en het exfiltreren van gevoelige data.
Verder richtte een Noord-Koreaanse hackersgroep zich op Europese bedrijven die werken met drone technologie. Deze aanval maakte deel uit van een bredere spionagecampagne van de Lazarus groep, die eerder bekendheid verwierf door aanvallen zoals de hack op Sony en de diefstal van cryptovaluta. De aanvallen waren gericht op het verkrijgen van technische informatie over droneontwerpen, wat mogelijk kan bijdragen aan de Noord-Koreaanse droneproductie. De hackers maakten gebruik van social engineering om medewerkers van doelbedrijven te verleiden schadelijke bestanden te openen.
Meer dan 8000 Windows WSUS servers blootgesteld aan ernstige kwetsbaarheid
Er is een aanzienlijke kwetsbaarheid ontdekt in Windows WSUS servers die wereldwijd actief misbruikt werd. Meer dan achtduizend servers bleken direct toegankelijk vanaf het internet, waardoor aanvallers op afstand code konden uitvoeren via de kwetsbaarheid CVE-2025-59287. Microsoft bracht op 14 oktober een update uit, maar deze bleek onvoldoende. Op 23 oktober werd een noodpatch vrijgegeven, gevolgd door beveiligingsupdates voor verschillende versies van Windows Server. Het NCSC waarschuwde opnieuw dat WSUS servers niet vanaf het internet toegankelijk mogen zijn. In reactie op deze kwetsbaarheid heeft de Amerikaanse CISA een waarschuwing uitgegeven en Amerikaanse overheidsinstellingen opgedragen de patch voor 14 november te installeren. Het is echter onbekend hoeveel servers de noodpatch nog niet hebben geïnstalleerd.
Daarnaast heeft Tenable een proof of concept gepubliceerd voor de eerder genoemde WSUS kwetsbaarheid. Dit GitHub platform biedt beveiligingsexperts voorbeelden van kwetsbaarheden die verder onderzocht kunnen worden. De ontdekking van deze kwetsbaarheid onderstreept de noodzaak voor bedrijven om snel te reageren en updates tijdig door te voeren.
Smishing Triad gebruikt 194.000 kwaadaardige domeinen voor wereldwijde fraude
Een andere wereldwijde dreiging komt van de Smishing Triad, een criminele groep die meer dan 194.000 kwaadaardige domeinen gebruikt voor een wereldwijde smishing operatie. De groep richt zich op verschillende diensten, waaronder bankdiensten en pakketleveringen. De afgelopen drie jaar heeft deze operatie meer dan 1 miljard dollar opgebracht. De gebruikelijke technieken om smishing aanvallen te verbergen omvatten snel verwisselbare domeinen, die helpen om detectie te ontwijken. De snelheid van domeinregistratie en vervanging maakt de dreiging moeilijk te detecteren en te blokkeren.
Daarnaast is er een nieuwe Python RAT ontdekt, genaamd de Nursultan Client, die zich voordoet als een legitieme Minecraft app. Dit malwareprogramma maakt gebruik van de Telegram Bot API voor de controle infrastructuur, waarmee aanvallers gevoelige gegevens van geïnfecteerde machines kunnen stelen. Het bestand, verpakt met PyInstaller, is uitzonderlijk groot (68,5 MB) en kan beveiligingssoftware omzeilen. De malware richt zich niet alleen op Discord authenticatietokens, maar kan ook screenshots maken, de webcam inschakelen en gedetailleerde systeeminformatie verzamelen. De verspreiding lijkt plaats te vinden via een Malware as a Service model, wat suggereert dat meerdere aanvallers toegang hebben tot gepersonaliseerde versies van de malware.
Lazarusgroep voert spionagecampagne uit tegen Europese dronebedrijven
In de geopolitieke cyberdreigingen is er zorg over de Warlock ransomwaregroep, die een kritieke zeroday kwetsbaarheid in Microsoft SharePoint (CVE-2025-53770) begon te misbruiken. Deze kwetsbaarheid werd op 19 juli 2025 ontdekt en werd een belangrijke vector voor de verspreiding van Warlock ransomware wereldwijd. De aanvallen, die zich richten op verschillende sectoren, zijn verontrustend omdat ze niet alleen ransomware verspreiden, maar ook spionageactiviteiten en datadiefstal uitvoeren. Deze groep is opmerkelijk vanwege haar vermoedelijke Chinese oorsprong, wat een afwijking is van de eerder voornamelijk Russische ransomwaregroepen.
Verder heeft de Lazarus groep opnieuw Noord-Korea betrokken bij een spionagecampagne, gericht op dronebedrijven in Europa. Deze aanvallen maken deel uit van een grotere strategie om technische informatie over droneproductie te verkrijgen. Door de inzet van social engineering zijn medewerkers van bedrijven in Centraal- en Zuidoost-Europa gemanipuleerd om schadelijke bestanden te openen, wat leidde tot de diefstal van gevoelige gegevens. De gevolgen voor de regionale veiligheid zijn groot, aangezien dergelijke technologieën van cruciaal belang zijn voor zowel defensieve als offensieve capaciteiten.
Schade van cyberaanval op Transport for London op £39 miljoen
In Nederland heeft de Politie opgeroepen om aandacht te hebben voor een bankhelpdeskfraude incident waarbij duizenden euro’s werden gestolen. De fraudeurs gebruikten valse telefoontjes en misleidende communicatie om slachtoffers te overtuigen geld over te maken. Er wordt gezocht naar de verantwoordelijke criminelen. Dergelijke gevallen van oplichting blijven toenemen, en de politie heeft het publiek gewaarschuwd om waakzaam te blijven voor verdachte telefoontjes en emails.
Op internationaal niveau is er ook actie tegen een hackgroep die verantwoordelijk is voor de cyberaanval op Transport for London (TfL) in 2024. De schade van deze aanval, die drie maanden van verstoring veroorzaakte, wordt geschat op £39 miljoen. Twee tieners, Thalha Jubair (19) uit Oost-Londen en Owen Flowers (18) uit Walsall, zijn aangeklaagd voor hun betrokkenheid. De aanval werd uitgevoerd door de Scattered Spider groep, en hun rechtszaak is gepland voor juni 2026.
Nieuwe malwaretechnieken maken detectie moeilijker voor beveiligingssystemen
Opmerkelijke ontwikkelingen in de malwarecampagnes zijn de geavanceerde technieken die recent zijn ingezet, waaronder PHP variabele functies en cookie gebaseerde obfuscatie. Deze technieken helpen aanvallers om kwaadaardige scripts te verbergen, waardoor traditionele beveiligingssystemen moeite hebben met detectie. Het gebruik van Least Significant Bit (LSB) steganografie door de Caminho malware loader maakt het voor beveiligingssystemen nog moeilijker om de kwaadaardige payload te identificeren, aangezien de malware zich verstopt in onschuldige afbeeldingsbestanden.
Daarnaast wordt een nieuwe phishingmethode gemeld die gebruik maakt van UUID’s voor Secure Email Gateways (SEGs). Deze techniek omzeilt traditionele beveiligingsmaatregelen door het genereren van willekeurige identificatoren, waardoor de beveiliging van emailgateways wordt ondermijnd. De aanvallers maken misbruik van legitieme domeinen om schadelijke inhoud te verspreiden, wat de kans op succes aanzienlijk vergroot.
Er wordt ook melding gemaakt van de verkoop van 200.000 gestolen inloggegevens op het darkweb, afkomstig van populaire online platformen zoals Roblox, Steam en Valorant. De verkoop van deze gegevens kan leiden tot identiteitsfraude en de verkoop van virtuele goederen. Gebruikers van de getroffen platforms wordt dringend geadviseerd om hun wachtwoorden te wijzigen en waar mogelijk multifactorauthenticatie in te schakelen.
De afgelopen dagen hebben weer een breed scala aan cyberdreigingen aan het licht gebracht, van ransomware aanvallen tot geavanceerde phishing campagnes en malware infecties. De kwetsbaarheid van systemen, zoals WSUS servers en SharePoint, blijft een ernstig probleem, terwijl geopolitieke dreigingen uit landen zoals Noord-Korea de regio beïnvloeden. Cybercriminelen blijven zich richten op zowel bedrijven als individuen met steeds geavanceerdere technieken, terwijl de Smishing Triad en Lazarus groep blijven opereren met wereldwijd verstrekkende gevolgen. Organisaties in Nederland en België moeten waakzaam blijven voor deze dreigingen en tijdig reageren om schade te voorkomen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Recente journaal uitzendingen
Digitale gijzeling en onzichtbare spionage in vitale systemen
Reading in another language
Digitale stormrammen beuken op vitale infrastructuren en consumenten
Reading in another language
Escalatie in cyberstrijd en digitale gijzeling van vitale diensten
Reading in another language
Europese offensieve cyberplannen en kritieke lekken in vitale systemen
Reading in another language
Digitale destabilisatie door statelijke allianties en geavanceerde fraude
Reading in another language
Digitale infrastructuur onder vuur door ketenproblemen en misleiding
Reading in another language
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.