Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dagen hebben verschillende cyberaanvallen plaatsgevonden, die zowel bedrijven als mensen hebben getroffen. Een opvallende aanval werd uitgevoerd door een groep cybercriminelen, de SideWinder Hacking Group, die gebruik maakte van een slimme techniek om malware (kwaadaardige software) te verspreiden. Deze malware werd via valse emails naar diplomatieke en overheidsinstellingen gestuurd in landen als Sri Lanka, Pakistan en India. Zodra iemand de email opende, werd de malware geïnstalleerd, die gevoelige informatie verzamelde en doorstuurde naar de aanvallers.
Een andere groep, Lazarus uit Noord-Korea, richt zich op bedrijven in Europa die werken met drones. Ze proberen technische gegevens over drones te stelen, wat kan bijdragen aan de technologie die Noord-Korea ontwikkelt. Ze gebruiken misleidende emails om medewerkers van bedrijven te verleiden schadelijke bestanden te openen.
Kwetsbaarheden in WSUS en SharePoint bedreigen bedrijfsnetwerken
Er is een ernstige kwetsbaarheid ontdekt in servers die een belangrijke rol spelen bij de software updates van Windows systemen, bekend als WSUS servers. Meer dan 8.000 van deze servers zijn direct vanaf het internet toegankelijk, wat betekent dat hackers op afstand toegang kunnen krijgen en schadelijke software kunnen installeren. Microsoft heeft onlangs een update uitgebracht om dit probleem te verhelpen, maar veel servers hebben deze nog niet geïnstalleerd. Experts waarschuwen dat bedrijven de updates snel moeten doorvoeren om gevaar te voorkomen.
Daarnaast is er een ander probleem ontdekt in een veelgebruikte technologie, SharePoint, die door veel bedrijven wordt gebruikt. Hackers maken misbruik van een beveiligingslek om ransomware (een vorm van gijzelaarssoftware) te verspreiden. Bedrijven die deze technologie gebruiken, moeten snel maatregelen nemen om hun systemen te beschermen.
Er is een nieuwe bedreiging van een groep cybercriminelen die gebruik maakt van smishing, een vorm van phishing via sms berichten. Ze hebben meer dan 194.000 gevaarlijke websites gemaakt om mensen te misleiden. Deze groep heeft wereldwijd meer dan 1 miljard dollar verdiend met het stelen van persoonlijke gegevens van slachtoffers. Ze maken vaak gebruik van vertrouwde merken om hun slachtoffers te misleiden.
Daarnaast is er malware ontdekt die zich voordoet als een populaire Minecraft app, maar eigenlijk kwaadaardige software is. Deze malware, die ook via Telegram wordt bestuurd, kan persoonlijke gegevens stelen en de computer van het slachtoffer op afstand bedienen. De malware wordt vaak verspreid door andere cybercriminelen die toegang kopen tot de software.
Lazarus groep en Warlock ransomware richten zich op Europese bedrijven
Internationaal gezien is er groeiende bezorgdheid over cyberaanvallen die door staatspionnen worden uitgevoerd. De Lazarus groep uit Noord-Korea richt zich op Europese bedrijven om informatie over drone technologie te stelen. Dit kan Noord Korea helpen bij het ontwikkelen van hun eigen wapensystemen.
De Warlock ransomwaregroep heeft ook geprofiteerd van een beveiligingslek in de software van Microsoft SharePoint om wereldwijd aanvallen uit te voeren. Deze groep is verantwoordelijk voor het versleutelen van bestanden en het stelen van gegevens van grote organisaties.
In Nederland is er een bankfraude zaak waar cybercriminelen zich voordeden als medewerkers van een bank om mensen op te lichten. De politie is bezig met het opsporen van de daders. Deze fraudeurs gebruikten valse telefoontjes en misleidende berichten om slachtoffers te overtuigen geld over te maken naar hun rekeningen.
Internationaal is er ook nieuws over een hack op Transport for London (TfL) in 2024. Twee tieners zijn aangeklaagd voor hun betrokkenheid bij de aanval, die leidde tot ernstige verstoringen in het openbaar vervoer. De schade werd geschat op £39 miljoen.
Nieuwe phishingtechniek bedreigt inloggegevens en accounts
Een nieuwe techniek om phishing (het stelen van persoonlijke gegevens) uit te voeren, maakt gebruik van willekeurige identificatiecodes die moeilijk te detecteren zijn door beveiligingssystemen. Deze methode wordt vooral gebruikt in emailaanvallen, waar hackers proberen inloggegevens te stelen door mensen naar valse websites te leiden.
Verder werd er een grote verkoop van gestolen inloggegevens ontdekt op het darkweb. Deze gegevens komen van populaire games zoals Roblox, Steam en Valorant. Hackers gebruiken deze gestolen gegevens om accounts over te nemen, virtuele goederen te stelen of identiteitsfraude te plegen.
De afgelopen dagen hebben we te maken gehad met verschillende cyberdreigingen, van ransomware aanvallen tot phishing via sms berichten. De kwetsbaarheid van systemen, zoals Windows servers en SharePoint, blijft een groot risico. Bovendien blijven groepen als Lazarus uit Noord-Korea actief in het stelen van technologie voor militaire doeleinden. Het is essentieel dat zowel bedrijven als individuen goed voorbereid blijven en tijdig maatregelen nemen om zich tegen deze dreigingen te beschermen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer gedetailleerde technische variant:
De afgelopen dagen zijn er verschillende cyberincidenten gemeld, waaronder incidenten die zowel bedrijven als individuen treffen. Een aanzienlijke aanval werd uitgevoerd door de SideWinder Hacking Group, die gebruik maakte van de ClickOnce infectieketen om StealerBot malware te verspreiden. Deze aanval richtte zich specifiek op diplomatieke en overheidsinstellingen in Zuid-Azië, waaronder Sri Lanka, Pakistan, Bangladesh en India. De gebruikte tactiek markeert een verschuiving in de methoden van de groep, waarbij de traditionele exploits in Microsoft Word zijn vervangen door een complexere infectieketen via PDF’s en ClickOnce applicaties. De aanvallen werden verspreid via zorgvuldig samengestelde spearphishing emails, die slachtoffers verleidden om een ogenschijnlijk legitiem Adobe Reader updatebestand te downloaden. Nadat de malware was geactiveerd, begon deze met spionageactiviteiten, waaronder het verzamelen van systeeminformatie en het exfiltreren van gevoelige data.
Verder richtte een Noord-Koreaanse hackersgroep zich op Europese bedrijven die werken met drone technologie. Deze aanval maakte deel uit van een bredere spionagecampagne van de Lazarus groep, die eerder bekendheid verwierf door aanvallen zoals de hack op Sony en de diefstal van cryptovaluta. De aanvallen waren gericht op het verkrijgen van technische informatie over droneontwerpen, wat mogelijk kan bijdragen aan de Noord-Koreaanse droneproductie. De hackers maakten gebruik van social engineering om medewerkers van doelbedrijven te verleiden schadelijke bestanden te openen.
Meer dan 8000 Windows WSUS servers blootgesteld aan ernstige kwetsbaarheid
Er is een aanzienlijke kwetsbaarheid ontdekt in Windows WSUS servers die wereldwijd actief misbruikt werd. Meer dan achtduizend servers bleken direct toegankelijk vanaf het internet, waardoor aanvallers op afstand code konden uitvoeren via de kwetsbaarheid CVE-2025-59287. Microsoft bracht op 14 oktober een update uit, maar deze bleek onvoldoende. Op 23 oktober werd een noodpatch vrijgegeven, gevolgd door beveiligingsupdates voor verschillende versies van Windows Server. Het NCSC waarschuwde opnieuw dat WSUS servers niet vanaf het internet toegankelijk mogen zijn. In reactie op deze kwetsbaarheid heeft de Amerikaanse CISA een waarschuwing uitgegeven en Amerikaanse overheidsinstellingen opgedragen de patch voor 14 november te installeren. Het is echter onbekend hoeveel servers de noodpatch nog niet hebben geïnstalleerd.
Daarnaast heeft Tenable een proof of concept gepubliceerd voor de eerder genoemde WSUS kwetsbaarheid. Dit GitHub platform biedt beveiligingsexperts voorbeelden van kwetsbaarheden die verder onderzocht kunnen worden. De ontdekking van deze kwetsbaarheid onderstreept de noodzaak voor bedrijven om snel te reageren en updates tijdig door te voeren.
Smishing Triad gebruikt 194.000 kwaadaardige domeinen voor wereldwijde fraude
Een andere wereldwijde dreiging komt van de Smishing Triad, een criminele groep die meer dan 194.000 kwaadaardige domeinen gebruikt voor een wereldwijde smishing operatie. De groep richt zich op verschillende diensten, waaronder bankdiensten en pakketleveringen. De afgelopen drie jaar heeft deze operatie meer dan 1 miljard dollar opgebracht. De gebruikelijke technieken om smishing aanvallen te verbergen omvatten snel verwisselbare domeinen, die helpen om detectie te ontwijken. De snelheid van domeinregistratie en vervanging maakt de dreiging moeilijk te detecteren en te blokkeren.
Daarnaast is er een nieuwe Python RAT ontdekt, genaamd de Nursultan Client, die zich voordoet als een legitieme Minecraft app. Dit malwareprogramma maakt gebruik van de Telegram Bot API voor de controle infrastructuur, waarmee aanvallers gevoelige gegevens van geïnfecteerde machines kunnen stelen. Het bestand, verpakt met PyInstaller, is uitzonderlijk groot (68,5 MB) en kan beveiligingssoftware omzeilen. De malware richt zich niet alleen op Discord authenticatietokens, maar kan ook screenshots maken, de webcam inschakelen en gedetailleerde systeeminformatie verzamelen. De verspreiding lijkt plaats te vinden via een Malware as a Service model, wat suggereert dat meerdere aanvallers toegang hebben tot gepersonaliseerde versies van de malware.
Lazarusgroep voert spionagecampagne uit tegen Europese dronebedrijven
In de geopolitieke cyberdreigingen is er zorg over de Warlock ransomwaregroep, die een kritieke zeroday kwetsbaarheid in Microsoft SharePoint (CVE-2025-53770) begon te misbruiken. Deze kwetsbaarheid werd op 19 juli 2025 ontdekt en werd een belangrijke vector voor de verspreiding van Warlock ransomware wereldwijd. De aanvallen, die zich richten op verschillende sectoren, zijn verontrustend omdat ze niet alleen ransomware verspreiden, maar ook spionageactiviteiten en datadiefstal uitvoeren. Deze groep is opmerkelijk vanwege haar vermoedelijke Chinese oorsprong, wat een afwijking is van de eerder voornamelijk Russische ransomwaregroepen.
Verder heeft de Lazarus groep opnieuw Noord-Korea betrokken bij een spionagecampagne, gericht op dronebedrijven in Europa. Deze aanvallen maken deel uit van een grotere strategie om technische informatie over droneproductie te verkrijgen. Door de inzet van social engineering zijn medewerkers van bedrijven in Centraal- en Zuidoost-Europa gemanipuleerd om schadelijke bestanden te openen, wat leidde tot de diefstal van gevoelige gegevens. De gevolgen voor de regionale veiligheid zijn groot, aangezien dergelijke technologieën van cruciaal belang zijn voor zowel defensieve als offensieve capaciteiten.
Schade van cyberaanval op Transport for London op £39 miljoen
In Nederland heeft de Politie opgeroepen om aandacht te hebben voor een bankhelpdeskfraude incident waarbij duizenden euro’s werden gestolen. De fraudeurs gebruikten valse telefoontjes en misleidende communicatie om slachtoffers te overtuigen geld over te maken. Er wordt gezocht naar de verantwoordelijke criminelen. Dergelijke gevallen van oplichting blijven toenemen, en de politie heeft het publiek gewaarschuwd om waakzaam te blijven voor verdachte telefoontjes en emails.
Op internationaal niveau is er ook actie tegen een hackgroep die verantwoordelijk is voor de cyberaanval op Transport for London (TfL) in 2024. De schade van deze aanval, die drie maanden van verstoring veroorzaakte, wordt geschat op £39 miljoen. Twee tieners, Thalha Jubair (19) uit Oost-Londen en Owen Flowers (18) uit Walsall, zijn aangeklaagd voor hun betrokkenheid. De aanval werd uitgevoerd door de Scattered Spider groep, en hun rechtszaak is gepland voor juni 2026.
Nieuwe malwaretechnieken maken detectie moeilijker voor beveiligingssystemen
Opmerkelijke ontwikkelingen in de malwarecampagnes zijn de geavanceerde technieken die recent zijn ingezet, waaronder PHP variabele functies en cookie gebaseerde obfuscatie. Deze technieken helpen aanvallers om kwaadaardige scripts te verbergen, waardoor traditionele beveiligingssystemen moeite hebben met detectie. Het gebruik van Least Significant Bit (LSB) steganografie door de Caminho malware loader maakt het voor beveiligingssystemen nog moeilijker om de kwaadaardige payload te identificeren, aangezien de malware zich verstopt in onschuldige afbeeldingsbestanden.
Daarnaast wordt een nieuwe phishingmethode gemeld die gebruik maakt van UUID’s voor Secure Email Gateways (SEGs). Deze techniek omzeilt traditionele beveiligingsmaatregelen door het genereren van willekeurige identificatoren, waardoor de beveiliging van emailgateways wordt ondermijnd. De aanvallers maken misbruik van legitieme domeinen om schadelijke inhoud te verspreiden, wat de kans op succes aanzienlijk vergroot.
Er wordt ook melding gemaakt van de verkoop van 200.000 gestolen inloggegevens op het darkweb, afkomstig van populaire online platformen zoals Roblox, Steam en Valorant. De verkoop van deze gegevens kan leiden tot identiteitsfraude en de verkoop van virtuele goederen. Gebruikers van de getroffen platforms wordt dringend geadviseerd om hun wachtwoorden te wijzigen en waar mogelijk multifactorauthenticatie in te schakelen.
De afgelopen dagen hebben weer een breed scala aan cyberdreigingen aan het licht gebracht, van ransomware aanvallen tot geavanceerde phishing campagnes en malware infecties. De kwetsbaarheid van systemen, zoals WSUS servers en SharePoint, blijft een ernstig probleem, terwijl geopolitieke dreigingen uit landen zoals Noord-Korea de regio beïnvloeden. Cybercriminelen blijven zich richten op zowel bedrijven als individuen met steeds geavanceerdere technieken, terwijl de Smishing Triad en Lazarus groep blijven opereren met wereldwijd verstrekkende gevolgen. Organisaties in Nederland en België moeten waakzaam blijven voor deze dreigingen en tijdig reageren om schade te voorkomen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Recente journaal uitzendingen
AI kraakt 600 firewalls, beurzen dalen en Odido escaleert
Een Russisch sprekende hacker gebruikte kunstmatige intelligentie om in vijf weken meer dan 600 FortiGate firewalls te compromitteren, terwijl de lancering van Claude Code Security een schokgolf door de cybersecuritymarkt stuurde. De software supply chain blijft onder vuur: meer dan 30.000 OpenClaw instances werden gecompromitteerd en een nieuwe npm worm richt zich specifiek op AI coding tools. In Nederland en Belgie escaleert de nasleep van het datalek bij Odido met risico's voor bankrekeningen, verloor een Belgische kerkfabriek 100.000 euro door factuurphishing en kregen advocaten een tik op de vingers voor verkeerd gebruik van AI in de rechtszaal. Dit journaal bestrijkt het nieuws van 21, 22 en 23 februari 2026.
PromptSpy, cepezed gehackt en 90% ransomware via firewalls
Onderzoekers van ESET onthulden PromptSpy, de eerste malware voor Android die Google Gemini AI misbruikt om gestolen gegevens te analyseren, terwijl op ClawHub 1.184 kwaadaardige skills werden aangetroffen en de populaire coderingstool Cline slachtoffer werd van een supply chain aanval. In Nederland en België verscheen het Delftse architectenbureau cepezed op de leksite van de ransomwaregroep DragonForce en claimde een cybercrimineel 27.000 personeelsgegevens van RTL Group te hebben buitgemaakt. Een nieuw rapport van Barracuda laat zien dat 90% van alle incidenten met ransomware begint bij kwetsbare firewalls en VPN. Dit journaal bestrijkt het nieuws van 18 en 19 februari 2026.
AI vergiftigt geheugen, Odido soap groeit en LockBit 5.0
Onderzoekers van Microsoft onthulden hoe knoppen met "Samenvatten met AI" op websites het geheugen van assistenten met kunstmatige intelligentie vergiftigen, terwijl Check Point demonstreerde dat Copilot en Grok als command and control kanaal voor malware kunnen dienen. Ondertussen groeit de soap rond Odido met Kamervragen, een waarschuwing voor spearphishing, een verdrievoudiging van het aantal overstappers en de onthulling dat klantgegevens jarenlang te lang zijn bewaard. In de ransomwarewereld keerde LockBit terug met versie 5.0 en werd een verdachte van Phobos opgepakt in Polen. Dit journaal bestrijkt het nieuws van 16 en 17 februari 2026.
ClickFix explodeert, Belgische data op straat en NAVO-alarm
Het afgelopen weekend kwamen vier geheel nieuwe varianten van de ClickFix-aanvalstechniek aan het licht, waarmee deze methode zich ontpopt als een van de meest veelzijdige dreigingen van dit moment. Verder doken bijna anderhalf miljoen gestolen Belgische persoonsgegevens op in hackerfora en riepen EU- en NAVO-functionarissen tijdens de Munich Cyber Security Conference op tot een fundamenteel andere houding ten opzichte van cyberdreigingen. Dit journaal bestrijkt het nieuws van 14, 15 en 16 februari 2026.
Odido hack treft miljoenen, AI als wapen en supply chain
Nederland werd deze week opgeschrikt door een van de grootste datalekken in jaren: telecomprovider Odido verloor gegevens van 6,2 miljoen klantaccounts. Tegelijkertijd onthulde Google dat staatsactoren wereldwijd AI platforms misbruiken als cyberwapen, en blijken supply chain aanvallen via vertrouwde softwarekanalen in een alarmerend tempo toe te nemen. In dit journaal duiken we in de dreigingen van 11 en 12 februari 2026.
6 zero days gedicht, Fancy Bear valt aan en strijd om DigiD
In de afgelopen twee dagen is opnieuw een flinke stroom cybersecuritynieuws naar buiten gekomen. Microsoft heeft met Patch Tuesday van februari zes actief misbruikte zero day kwetsbaarheden gedicht, terwijl de Russische spionagegroep Fancy Bear via een andere Microsoft kwetsbaarheid Oost-Europese overheden aanvalt. In Nederland woedt het debat over de mogelijke overname van cloudprovider Solvinity door een Amerikaans bedrijf, wat vragen oproept over de veiligheid van DigiD. Ondertussen pakt de politie door met een derde arrestatie rond de JokerOTP phishingtool en eist het OM celstraffen tot acht jaar voor bankhelpdeskfraude. Op het internationale toneel haalden onderzoekers Noord-Koreaanse hackers uit de anonimiteit die met deepfake Zoom calls crypto executives targeten, en blijkt een nepwebsite van 7-Zip computers stilletjes om te bouwen tot proxyservers.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.