Albert Heijn franchisenemer Bun bevestigt ransomware aanval en KBC klanten doelwit van social engineering aanval

Gepubliceerd op 25 oktober 2025 om 13:15

Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.

Luister naar "HET JOURNAAL IN 3 MIN" of lees het volledige artikel hieronder. Het journaal is tevens beschikbaar via Spotify of Youtube.

Powered by RedCircle

Luister naar "DE ANALYSE" podcast of lees het volledige artikel hieronder. De podcast is tevens beschikbaar via Spotify of Youtube.

Powered by RedCircle

ThreeAM dreigt met meer datalekken na ransomware aanval op Albert Heijn franchisenemer Bun

Op 24 oktober 2025 bevestigde Albert Heijn franchisenemer Bun dat het eerder dit jaar slachtoffer was van een ransomware aanval. Bij deze aanval werden systemen versleuteld en werden persoonlijke gegevens van medewerkers gestolen, zoals paspoorten, salarisgegevens en bankinformatie. De aanvallers, die zich ThreeAM noemen, hebben een deel van de gestolen gegevens openbaar gemaakt en dreigen meer informatie vrij te geven als er geen betaling wordt gedaan. Bun exploiteert 29 supermarkten en heeft ongeveer 3500 medewerkers. De aanval werd al eerder gemeld aan de getroffen medewerkers, maar meer details zijn nog niet bekend.

Daarnaast werd er een nieuwe oplichtingsaanval gemeld die gericht was op klanten van de Belgische bank KBC. Hierbij deden de oplichters zich voor als medewerkers van telecomprovider Proximus en probeerden ze slachtoffers te misleiden via een telefoontje. Ze stuurden vervolgens een verdachte app via WhatsApp, waarmee ze de controle over de telefoon van het slachtoffer overnamen en fraude pleegden via de mobiele bankdiensten. De Belgische overheid waarschuwt om nooit apps te installeren van onbekende bronnen.

Bedrijven in gevaar door kwetsbaarheden in WordPress plugins en Microsoft Windows Server

Er zijn verschillende kwetsbaarheden ontdekt die bedrijven kunnen blootstellen aan aanvallen. Een van de grootste risico’s betreft WordPress websites die gebruik maken van bepaalde plugins. Hackers kunnen misbruik maken van zwakke plekken in deze plugins om toegang te krijgen tot de website en kwaadwillende software te installeren. Het is belangrijk dat website eigenaren de laatste beveiligingsupdates installeren om dit risico te voorkomen.

Ook Microsoft heeft een ernstig probleem ontdekt in hun Windows Server software. Dit probleem maakt het voor hackers mogelijk om systemen op afstand over te nemen, wat ernstige gevolgen kan hebben voor bedrijven die deze software gebruiken. Microsoft heeft een patch uitgebracht om het probleem te verhelpen en adviseert bedrijven om deze snel te installeren om schade te voorkomen.

Een ander probleem betreft emailservers van Microsoft 365. Hackers gebruiken een zwakke functie die emailfilters omzeilt, waardoor ze gemakkelijker kunnen aanvallen. Microsoft werkt aan een oplossing en heeft een manier geïntroduceerd om de functie uit te schakelen voor extra bescherming.

Cybercriminelen richten zich op wachtwoordkluizen en bedrijfsdata met geavanceerde malware

De dreigingen van cybercriminaliteit blijven wereldwijd toenemen. Een voorbeeld hiervan is de Qilin ransomwaregroep, die wereldwijd bedrijven heeft aangevallen. Deze hackers gebruiken verschillende technieken om toegang te krijgen tot systemen en vervolgens gegevens te stelen en de computers van bedrijven te vergrendelen. Dit type aanval is een groeiende zorg voor bedrijven, vooral omdat het steeds makkelijker wordt voor hackers om dergelijke aanvallen uit te voeren.

Ook is er een nieuw type malware ontdekt, genaamd SharkStealer, die zich richt op het stelen van persoonlijke gegevens van computers. Deze malware maakt gebruik van technologie die het moeilijk maakt voor beveiligingssystemen om de aanvallen op te merken. Dit maakt het voor hackers eenvoudiger om onopgemerkt gegevens te stelen.

Daarnaast is er de Remcos malware, die in staat is om beveiligingssystemen te omzeilen door geen bestanden op de computer achter te laten. Dit maakt het voor bedrijven moeilijker om de aanval te detecteren, wat het gevaar vergroot.

Er is ook een nieuwe phishingaanval op LastPass klanten. Hierbij doen de aanvallers zich voor als familieleden van de slachtoffers en proberen ze toegang te krijgen tot wachtwoordkluizen. Deze aanval is een voorbeeld van hoe cybercriminelen zich steeds vaker richten op methoden die geen wachtwoorden gebruiken, maar alternatieve vormen van toegang, zoals passkeys.

Amsterdamse oplichting leidt tot dodelijk incident en hack bij Collins Aerospace blootlegt kwetsbaarheid

In Nederland heeft de politie een ernstig incident onderzocht waarbij twee nepagenten vermoedelijk betrokken waren bij de dood van een 80 jarige vrouw in Nieuw-West, Amsterdam. De politie vermoedt dat de verdachten zich als agenten voordeden om toegang te krijgen tot haar woning. Na de confrontatie werd de vrouw gevonden, en de politie is actief bezig met het onderzoek. Er wordt gewaarschuwd voor deze vorm van oplichting, waarbij criminelen zich voordoen als autoriteiten.

Er werd recent ontdekt dat de hack bij Collins Aerospace, een belangrijke leverancier van software voor Europese luchthavens, mogelijk plaatsvond via een gestolen FTP wachtwoord. Dit wachtwoord was in 2022 gestolen via malware. De hack werd door de ransomwaregroep Everest gebruikt om toegang te krijgen tot de systemen van het bedrijf in september 2025. Het incident leidde tot de diefstal van miljoenen passagiersrecords en gegevens van duizenden medewerkers, wat gevolgen had voor vluchten op luchthavens die de systemen van Collins Aerospace gebruiken.

Verantwoordelijkheid van IT leverancier bij hack en cryptomining benadrukt beveiligingsrisico's

In een ander geval werd een it leverancier in Nederland aansprakelijk gesteld voor de schade die het gevolg was van een gehackte cloudomgeving. Door het uitschakelen van een beveiligingsmaatregel, de multifactorauthenticatie (MFA), kon een hacker de systemen gebruiken voor cryptomining, wat resulteerde in hoge kosten voor de klant. De rechtbank oordeelde dat de it leverancier verantwoordelijk was voor de schade, omdat MFA niet was ingeschakeld, ondanks eerdere waarschuwingen.

De afgelopen dag waren er verschillende belangrijke cyberdreigingen en kwetsbaarheden die impact kunnen hebben op bedrijven en individuen in Nederland en België. Van ransomware aanvallen en phishing tot zwakke plekken in veelgebruikte software, het blijft belangrijk voor bedrijven en particulieren om alert te blijven. Het toepassen van de laatste beveiligingsmaatregelen, zoals het inschakelen van multifactorauthenticatie, kan helpen om schade door cyberaanvallen te voorkomen.

Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Meer gedetailleerde technische variant:

ThreeAM ransomwaregroep dreigt met verdere datalekken na aanval op Albert Heijn franchisenemer Bun

Op 24 oktober 2025 bevestigde Albert Heijn franchisenemer Bun dat het eerder dit jaar slachtoffer was van een ransomware aanval. Bij de aanval werden een deel van hun systemen versleuteld en werden gegevens van zowel huidige als voormalige medewerkers gestolen. De gestolen gegevens omvatten persoonlijke informatie zoals paspoorten, salarisgegevens en bankinformatie. De aanvallers, die zich identificeren als de ransomwaregroep ThreeAM, publiceerden een deel van de gestolen gegevens en dreigden met verdere openbaarmaking als er niet betaald werd. Bun exploiteert 29 supermarkten en heeft ongeveer 3500 medewerkers. Het incident werd op 10 oktober gemeld aan de getroffen medewerkers, maar verdere details over de aanval zijn vooralsnog onbekend.

Daarnaast werd een aanzienlijke social engineering aanval gemeld die gericht was op klanten van de Belgische bank KBC. De aanval richtte zich specifiek op gebruikers van Android apparaten, waarbij de oplichters zich voordeden als medewerkers van telecomprovider Proximus. Slachtoffers kregen een telefoontje waarin hen werd verteld dat hun simkaart moest worden vernieuwd. Vervolgens werd een malafide app via WhatsApp verzonden, die slachtoffers moesten installeren. Door deze app te installeren, kregen de aanvallers controle over de telefoons van de slachtoffers en konden ze frauduleuze handelingen uitvoeren, zoals het doen van overschrijvingen via de mobiele bankdiensten van de slachtoffers. De Belgische overheid heeft de bevolking gewaarschuwd om nooit apps te installeren via onbekende kanalen en heeft slachtoffers aangespoord om contact op te nemen met hun bank.

Kritieke kwetsbaarheden in WordPress plugins en Microsoft 365 vereisen onmiddellijke updates

Op 24 oktober 2025 werden verschillende kwetsbaarheden ontdekt die grote gevolgen kunnen hebben voor getroffen systemen. Eén van de meest zorgwekkende kwetsbaarheden werd gevonden in de WordPress plugins GutenKit en Hunk Companion. Deze plugins vertoonden ernstige beveiligingslekken die aanvallers in staat stelden willekeurige plugins te installeren, wat kan leiden tot remote code execution. Meer dan 40.000 websites maken gebruik van GutenKit, terwijl Hunk Companion actief is op meer dan 8.000 websites. Hoewel beveiligingsupdates voor deze kwetsbaarheden al meer dan een jaar beschikbaar zijn, werd er sinds oktober 2025 actief misbruik van deze kwetsbaarheden gemaakt. Het is dringend noodzakelijk voor WordPress beheerders om de updates onmiddellijk te installeren en hun websites te controleren op verdachte plugins.

Microsoft bracht op dezelfde dag een noodpatch uit voor een ernstige kwetsbaarheid in Windows Server, specifiek in de Windows Server Update Service (WSUS). Deze kwetsbaarheid, aangeduid als CVE-2025-59287, heeft een score van 9,8 op de CVSS schaal en stelt aanvallers in staat om op afstand code uit te voeren met SYSTEM rechten. Het lek werd op 14 oktober geïdentificeerd, maar inmiddels is er proof of concept exploitcode gepubliceerd, waardoor het risico op misbruik sterk is toegenomen. Microsoft raadt organisaties aan om de patch onmiddellijk toe te passen om de kans op misbruik te verkleinen.

Een andere kwetsbaarheid betreft de misbruikte Direct Send functie van Microsoft 365 Exchange. Deze functie, oorspronkelijk bedoeld voor legacy apparaten en applicaties om email te versturen zonder authenticatie, wordt nu door cybercriminelen ingezet om inhoudsfilters te omzeilen. Aanvallers sturen valse berichten die afkomstig lijken van vertrouwde interne bronnen, zoals leidinggevenden of IT afdelingen. Deze berichten bevatten vaak sociale engineeringtactieken om inloggegevens of andere gevoelige informatie van slachtoffers te verkrijgen. Microsoft heeft gereageerd door een optie te introduceren om Direct Send te blokkeren en de beveiligingsmaatregelen verder te verbeteren.

Geavanceerde malware zoals SharkStealer en Remcos omzeilen traditionele beveiliging

De dreigingen in cyberspace blijven zich ontwikkelen en diversifiëren. De Qilin ransomwaregroep heeft wereldwijd al 700 organisaties in 62 landen getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers gebruiken technieken zoals spear phishing, gestolen inloggegevens en malafide captcha’s om toegang tot systemen te verkrijgen. Na het verkrijgen van toegang installeren ze malware en stelen ze gegevens, waarna ransomware wordt verspreid. Dit soort aanvallen toont de wereldwijde impact van ransomware aanvallen en de dreiging die dit vormt voor zowel bedrijven als individuen.

Daarnaast is er onderzoek naar de stealer malware industrie, die zich heeft ontwikkeld tot een geavanceerd crimineel netwerk dat dagelijks honderden miljoenen inloggegevens verwerkt. Criminaliteit rondom stealer malware heeft zich verder geprofessionaliseerd, met gespecialiseerde malware families en platforms voor de verspreiding van gestolen gegevens. Recent ontdekte onderzoeken tonen aan dat één enkel Telegram account dagelijks tot 50 miljoen inloggegevens kan ontvangen, wat de omvang van dit criminele netwerk onderstreept. Deze gegevens worden vervolgens op marktplaatsen gekocht, verkocht en gedeeld, wat het steeds moeilijker maakt voor onderzoekers om deze gegevens te traceren en te stoppen. Organisaties worden aangespoord om hun beveiliging te versterken en verdachte activiteiten snel te identificeren.

Verder werd de techniek van SharkStealer gemeld, een geavanceerde infostealer malware die gebruik maakt van de EtherHiding techniek voor C2 communicatie via blockchain. Deze techniek maakt gebruik van de BNB Smart Chain Testnet om veilige communicatiekanalen op te zetten met de command and control infrastructuur van de aanvallers, wat traditionele detectiemethoden omzeilt. SharkStealer slaat versleutelde gegevens op openbare blockchains, wat de effectiviteit van de aanval vergroot en het voor traditionele beveiligingsmaatregelen moeilijk maakt om schadelijk verkeer te detecteren.

De Remcos malware is een ander groeiend probleem, waarbij aanvallen gebruikmaken van fileless methoden. Deze malware maakt het mogelijk voor aanvallers om endpoint detection and response (EDR) systemen te omzeilen. Het begint met emails die onschuldige bijlagen bevatten, waarna een PowerShell script wordt uitgevoerd dat schadelijke payloads downloadt van een command and controlserver. Het script injecteert vervolgens de Remcos malware in het legitieme bestand RmClient.exe, waardoor het moeilijker te detecteren is. Deze malware richt zich voornamelijk op het stelen van inloggegevens uit browsers.

Een andere dreiging is een phishingcampagne gericht op LastPass klanten. Aanvallers doen zich voor als familieleden van de slachtoffers en beweren toegang te willen krijgen tot wachtwoordkluizen via een zogenaamd nalatenschapsverzoek. De emails bevatten een link die leidt naar een valse inlogpagina, waar gebruikers hun hoofdwachtwoord kunnen invoeren. Deze campagne wordt toegeschreven aan de groep CryptoChameleon, die eerder verantwoordelijk was voor aanvallen op cryptoplatforms zoals Binance en Coinbase. De aanval maakt gebruik van passkeys via domeinen zoals mypasskey[.]info en passkeysetup[.]com, wat een trend van phishingcampagnes die zich richten op wachtwoordloze authenticatie aantoont.

Dood van vrouw in Amsterdam door nepagenten en datalek bij Collins Aerospace onthuld

In Nederland is er nieuws over een incident waarbij nepagenten vermoedelijk betrokken waren bij de gewelddadige dood van een 80 jarige vrouw in Nieuw-West, Amsterdam. De recherche vermoedt dat de verdachten zich als politieagenten voordeden om toegang te krijgen tot haar woning, waarna de confrontatie escaleerde en resulteerde in haar overlijden. De politie is actief bezig met het onderzoek en waarschuwt voor deze vorm van oplichting, waarbij criminelen zich voordoen als officiële autoriteiten.

Verder werd er een incident gemeld bij Collins Aerospace, een belangrijke softwareleverancier voor Europese luchthavens. De hack die in het verleden plaatsvond, werd onlangs verder onderzocht. Het blijkt nu dat de aanvallers toegang verkregen tot de systemen van Collins Aerospace via een gestolen FTP wachtwoord, dat in 2022 via infostealer malware was verkregen. Dit wachtwoord werd op 10 september 2025 door de ransomwaregroep Everest gebruikt om toegang te krijgen tot de systemen van het bedrijf. De aanvallers claimden 1,5 miljoen passagiersrecords en gegevens van duizenden medewerkers te hebben gestolen, wat leidde tot vluchtannuleringen op luchthavens die afhankelijk zijn van de software van Collins Aerospace.

Aansprakelijkheid bij Azure hack onderstreept risico’s van onvoldoende beveiliging in cloudomgevingen

In een andere ontwikkeling werd een it leverancier uit Friesland door de rechtbank Noord-Nederland aansprakelijk gesteld voor de schade die het gevolg was van een gehackte Azure omgeving. Het incident vond plaats in 2021, toen een cybercrimineel inbrak op de cloudomgeving van de klant van de it leverancier. Door het uitschakelen van multifactorauthenticatie (MFA) kon de aanvaller de servers gebruiken voor cryptomining, wat resulteerde in hoge kosten voor de klant. De rechtbank oordeelde dat de it leverancier verantwoordelijk was voor de schade omdat MFA niet was ingeschakeld, ondanks eerdere waarschuwingen van de ict distributeur.

De afgelopen dag waren er verschillende belangrijke incidenten en dreigingen die invloed kunnen hebben op Nederland en België. Van ransomware aanvallen op supermarkten tot kwetsbaarheden in veelgebruikte software, het digitale dreigingslandschap blijft zich snel ontwikkelen. Organisaties moeten alert blijven op nieuwe aanvalstechnieken, zoals het misbruik van Microsoft 365 Exchange Direct Send en het gebruik van blockchain voor C2 communicatie door malware zoals SharkStealer. De voortdurende dreigingen van social engineering, fileless aanvallen en ransomware benadrukken de noodzaak voor voortdurende waakzaamheid. De aansprakelijkheid van de it leverancier voor schade door een gehackte Azure omgeving toont het belang van het goed beveiligen van cloudomgevingen en het toepassen van sterke beveiligingsmaatregelen, zoals MFA.

Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.

Bron: Cybercrimeinfo (ccinfo.nl)

Openbare Versie 25 10 2025 Pdf

PDF – 282,5 KB 178 downloads

Recente journaal uitzendingen

Week 29 2026

Rusland bespioneert Nederland via camera's en CitrixBleed 2 versnelt de ransomware

De rode draad van dit weekend loopt langs de rand van het netwerk, precies daar waar apparaten aan het internet hangen die niemand meer echt in de gaten houdt. De Nederlandse inlichtingendiensten AIVD en MIVD maakten bekend dat Russische hackers slecht beveiligde camera's langs militaire routes hebben overgenomen om troepen- en wapentransporten te volgen. Tegelijk waarschuwde beveiligingsbedrijf Huntress dat aanvallers via de kwetsbaarheid CitrixBleed 2 binnen een uur van inbraak naar een volledige ransomware-aanval gaan, en rolde er opnieuw een golf actief misbruikte lekken binnen, van Adobe ColdFusion tot een router die de fabrikant niet meer onderhoudt.

Lees meer »
Week 28 2026

AI-assistenten worden aanvalsoppervlak en de politie zoekt de stem achter de hack bij Odido

Deze week draait het cybernieuws om een ongemakkelijke waarheid, de hulpmiddelen die ontwikkelaars sneller en slimmer maken, zijn tegelijk een nieuw doelwit, een nieuw wapen en een bron van ruis geworden. Onderzoekers van Sophos, Wiz en de Universiteit van Tel Aviv lieten in korte tijd zien hoe AI-codeerassistenten zoals Claude Code, Cursor en GitHub Copilot langs beveiliging glippen of erdoor worden gekaapt. Tegelijk rolde er een golf actief misbruikte kwetsbaarheden binnen, van Django tot Windows Defender, en meldde de Autoriteit Persoonsgegevens dat accountovernames in een jaar tijd bijna verdrievoudigden.

Lees meer »

Ransomware sloopt beveiliging, Cyberbeveiligingswet aan

Het cybernieuws van dinsdag 7 en woensdag 8 juli 2026 liet twee patronen scherp zien. Aanvallers richten hun eerste klap steeds vaker op de beveiliging zelf, met ransomware en trojans die detectiesoftware uitzetten voordat de echte aanval begint, en staatsactoren kruipen naar binnen via de mailserver en de toeleveringsketen. Tegelijk brak een brede golf kwetsbaarheden los, van een lek in Adobe ColdFusion dat binnen twee uur werd misbruikt tot een verborgen achterdeur in routers zonder patch. In eigen land nam de Eerste Kamer de Cyberbeveiligingswet aan, die ruim achtduizend organisaties raakt, en zette Nederland verdere stappen richting digitale soevereiniteit.

Lees meer »

AI omzeilt scanners en Nederland kiest voor eigen cloud

Het cybernieuws van het weekend van zaterdag 4 tot en met maandag 6 juli 2026 stond in het teken van kunstmatige intelligentie aan de aanvalskant en van een land dat zijn digitale koers bijstelt. Onderzoekers lieten zien hoe kwaadaardige uitbreidingen voor programmeeragenten vrijwel elke beveiligingsscanner passeren, een nieuw offensief platform beloofde iedereen in een zoeker naar onbekende lekken te veranderen, en een modulair aanvalsraamwerk bleek met hulp van AI in elkaar gezet. Tegelijk brak een brede golf kwetsbaarheden los, van de Linux kern tot miljoenen embedded apparaten, en dichtte Microsoft twee kritieke lekken in zijn clouddiensten. In eigen land koos het kabinet nadrukkelijk voor digitale soevereiniteit, oordeelde de toezichthouder dat de inlichtingendiensten burgergegevens onrechtmatig verwerkten, en diende in Rotterdam een rechtszaak over de beheerder van DigiD.

Lees meer »
Week 27 2026

AI voert zelf de aanval uit en firewalls als ingang

Het cybernieuws van donderdag 2 en vrijdag 3 juli 2026 werd beheerst door één rode draad, aanvallers verschuilen zich achter wat organisaties juist zouden moeten vertrouwen. Onderzoekers documenteerden de eerste ransomware die volledig door een AI agent werd aangestuurd, terwijl gestolen inloggegevens van tienduizenden firewalls rechtstreeks aan ransomware werden gekoppeld. Tegelijk brak een reeks actief misbruikte lekken los aan de rand van het netwerk, van Citrix NetScaler tot Microsoft SharePoint. In eigen land stond een datalek bij een hogeschool bijna een jaar open, arresteerde de Belgische politie een negentienjarige als vermeend kopstuk van een phishingbende, en klonk de geopolitiek door in dronespionage en de zoektocht naar digitale soevereiniteit.

Lees meer »

Golf actief misbruikte lekken en AI als aanvalswapen

Het cybernieuws van dinsdag 30 juni en woensdag 1 juli 2026 stond in het teken van een golf kritieke kwetsbaarheden die nu daadwerkelijk worden misbruikt, van beheersoftware tot bedrijfsapplicaties. Daarnaast werd kunstmatige intelligentie op steeds meer manieren een aanvalsvlak, van browsers die zich laten ompraten tot verzonnen domeinen die aanvallers alvast registreren. In eigen land toonde De Nederlandsche Bank hoe hard de fraude in het betalingsverkeer groeit, terwijl de opsporing resultaat boekte en de geopolitiek opnieuw doorklonk in de spionage tegen overheden.

Lees meer »

Altijd op de hoogte

Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:

Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.