Cyberoorlog nieuws

Het Oekraïense cyber incident response team (CERT-UA) waarschuwt dat Russische hackers steeds vaker proberen opnieuw toegang te krijgen tot systemen die ze eerder al gecompromitteerd hebben. Eerdere inbraken worden gebruikt als uitvalsbasis voor vervolgoperaties, aldus CERT-UA in een nieuw rapport.

Volgens het rapport controleren de aanvallers of de toegang tot eerder gecompromitteerde infrastructuur nog steeds mogelijk is, of kwetsbaarheden zijn gepatcht en of eerder verkregen inloggegevens nog geldig zijn. CERT-UA geeft aan dat deze pogingen soms succesvol zijn als de oorzaak van het oorspronkelijke incident niet volledig is weggenomen.

Deze trend weerspiegelt een verschuiving in de tactieken van aanvallers gedurende 2025. In de eerste helft van het jaar vertrouwden veel cyberincidenten op een "steal and go"-aanpak, waarbij malware werd ingezet om snel inloggegevens of andere gevoelige data te verzamelen en vervolgens het systeem te verlaten om detectie te voorkomen. In de tweede helft van het jaar werd er echter een groeiende focus waargenomen op het behouden van langdurige toegang tot gecompromitteerde netwerken. Deze strategie stelt dreigingsactoren in staat om de waarde van succesvolle inbraken te maximaliseren door later terug te keren om de toegang uit te breiden, spionage uit te voeren of andere fasen van cyberoperaties te ondersteunen.

CERT-UA constateert ook veranderingen in de manier waarop aanvallers aanvankelijk toegang krijgen tot Oekraïense netwerken. Traditionele phishing e-mails en kwaadaardige bijlagen worden minder effectief omdat organisaties zich bewuster worden van veelvoorkomende cyberdreigingen. In plaats daarvan vertrouwen aanvallers steeds vaker op geavanceerde social engineering tactieken om vertrouwen te winnen bij slachtoffers. Hackers nemen rechtstreeks telefonisch contact op met doelwitten via Oekraïense mobiele nummers en legitieme messaging accounts, spreken vloeiend Oekraïens en tonen gedetailleerde kennis over de personen of organisaties die ze aanvallen. Pas nadat ze vertrouwen hebben opgebouwd via telefoongesprekken of videochats, sturen aanvallers kwaadaardige bestanden via messaging apps, waardoor de kans aanzienlijk toeneemt dat slachtoffers ze openen.

Volgens CERT-UA hebben aan Rusland gelinkte hackinggroepen, waaronder APT28 (Fancy Bear) en de dreigingsactor Void Blizzard, deze techniek gebruikt bij aanvallen op leden van de Oekraïense strijdkrachten en overheidsinstellingen. Ondanks de evolutie in tactieken, daalde het totale aantal cyberincidenten in de tweede helft van 2025 in vergelijking met de eerste helft van het jaar. De veiligheids- en defensiesector blijft het belangrijkste doelwit, aldus CERT-UA, omdat het verstoren of infiltreren van die netwerken de loop van de oorlog direct kan beïnvloeden.

Bron: CERT-UA | Bron 2: cip.gov.ua | Bron 3: recordedfuture.com

Cybercrimeinfo heeft een dreigingsanalyse ontdekt, waarin een toename van cyberaanvallen in een conflictgebied wordt beschreven over de periode van 28 februari tot 3 april. In totaal werden 1098 cyberaanvallen waargenomen, waarbij 14 landen werden getroffen en 84 dreigingsactoren betrokken waren. Het type dreiging is niet nader gespecificeerd in de beschikbare informatie.

Bron: Cybercrimeinfo

Een grootschalige stroomstoring heeft de internetverbinding in een groot deel van Donetsk Oblast, in door Rusland bezet Oekraïne, lamgelegd. De verstoring wordt toegeschreven aan Oekraïense UAV aanvallen gericht op de energie infrastructuur. Het herstel van de connectiviteit is inmiddels bijna volledig.

Bron: NetBlocks