Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dagen hebben verschillende cyberaanvallen plaatsgevonden, die zowel bedrijven als mensen hebben getroffen. Een opvallende aanval werd uitgevoerd door een groep cybercriminelen, de SideWinder Hacking Group, die gebruik maakte van een slimme techniek om malware (kwaadaardige software) te verspreiden. Deze malware werd via valse emails naar diplomatieke en overheidsinstellingen gestuurd in landen als Sri Lanka, Pakistan en India. Zodra iemand de email opende, werd de malware geïnstalleerd, die gevoelige informatie verzamelde en doorstuurde naar de aanvallers.
Een andere groep, Lazarus uit Noord-Korea, richt zich op bedrijven in Europa die werken met drones. Ze proberen technische gegevens over drones te stelen, wat kan bijdragen aan de technologie die Noord-Korea ontwikkelt. Ze gebruiken misleidende emails om medewerkers van bedrijven te verleiden schadelijke bestanden te openen.
Kwetsbaarheden in WSUS en SharePoint bedreigen bedrijfsnetwerken
Er is een ernstige kwetsbaarheid ontdekt in servers die een belangrijke rol spelen bij de software updates van Windows systemen, bekend als WSUS servers. Meer dan 8.000 van deze servers zijn direct vanaf het internet toegankelijk, wat betekent dat hackers op afstand toegang kunnen krijgen en schadelijke software kunnen installeren. Microsoft heeft onlangs een update uitgebracht om dit probleem te verhelpen, maar veel servers hebben deze nog niet geïnstalleerd. Experts waarschuwen dat bedrijven de updates snel moeten doorvoeren om gevaar te voorkomen.
Daarnaast is er een ander probleem ontdekt in een veelgebruikte technologie, SharePoint, die door veel bedrijven wordt gebruikt. Hackers maken misbruik van een beveiligingslek om ransomware (een vorm van gijzelaarssoftware) te verspreiden. Bedrijven die deze technologie gebruiken, moeten snel maatregelen nemen om hun systemen te beschermen.
Er is een nieuwe bedreiging van een groep cybercriminelen die gebruik maakt van smishing, een vorm van phishing via sms berichten. Ze hebben meer dan 194.000 gevaarlijke websites gemaakt om mensen te misleiden. Deze groep heeft wereldwijd meer dan 1 miljard dollar verdiend met het stelen van persoonlijke gegevens van slachtoffers. Ze maken vaak gebruik van vertrouwde merken om hun slachtoffers te misleiden.
Daarnaast is er malware ontdekt die zich voordoet als een populaire Minecraft app, maar eigenlijk kwaadaardige software is. Deze malware, die ook via Telegram wordt bestuurd, kan persoonlijke gegevens stelen en de computer van het slachtoffer op afstand bedienen. De malware wordt vaak verspreid door andere cybercriminelen die toegang kopen tot de software.
Lazarus groep en Warlock ransomware richten zich op Europese bedrijven
Internationaal gezien is er groeiende bezorgdheid over cyberaanvallen die door staatspionnen worden uitgevoerd. De Lazarus groep uit Noord-Korea richt zich op Europese bedrijven om informatie over drone technologie te stelen. Dit kan Noord Korea helpen bij het ontwikkelen van hun eigen wapensystemen.
De Warlock ransomwaregroep heeft ook geprofiteerd van een beveiligingslek in de software van Microsoft SharePoint om wereldwijd aanvallen uit te voeren. Deze groep is verantwoordelijk voor het versleutelen van bestanden en het stelen van gegevens van grote organisaties.
In Nederland is er een bankfraude zaak waar cybercriminelen zich voordeden als medewerkers van een bank om mensen op te lichten. De politie is bezig met het opsporen van de daders. Deze fraudeurs gebruikten valse telefoontjes en misleidende berichten om slachtoffers te overtuigen geld over te maken naar hun rekeningen.
Internationaal is er ook nieuws over een hack op Transport for London (TfL) in 2024. Twee tieners zijn aangeklaagd voor hun betrokkenheid bij de aanval, die leidde tot ernstige verstoringen in het openbaar vervoer. De schade werd geschat op £39 miljoen.
Nieuwe phishingtechniek bedreigt inloggegevens en accounts
Een nieuwe techniek om phishing (het stelen van persoonlijke gegevens) uit te voeren, maakt gebruik van willekeurige identificatiecodes die moeilijk te detecteren zijn door beveiligingssystemen. Deze methode wordt vooral gebruikt in emailaanvallen, waar hackers proberen inloggegevens te stelen door mensen naar valse websites te leiden.
Verder werd er een grote verkoop van gestolen inloggegevens ontdekt op het darkweb. Deze gegevens komen van populaire games zoals Roblox, Steam en Valorant. Hackers gebruiken deze gestolen gegevens om accounts over te nemen, virtuele goederen te stelen of identiteitsfraude te plegen.
De afgelopen dagen hebben we te maken gehad met verschillende cyberdreigingen, van ransomware aanvallen tot phishing via sms berichten. De kwetsbaarheid van systemen, zoals Windows servers en SharePoint, blijft een groot risico. Bovendien blijven groepen als Lazarus uit Noord-Korea actief in het stelen van technologie voor militaire doeleinden. Het is essentieel dat zowel bedrijven als individuen goed voorbereid blijven en tijdig maatregelen nemen om zich tegen deze dreigingen te beschermen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer gedetailleerde technische variant:
De afgelopen dagen zijn er verschillende cyberincidenten gemeld, waaronder incidenten die zowel bedrijven als individuen treffen. Een aanzienlijke aanval werd uitgevoerd door de SideWinder Hacking Group, die gebruik maakte van de ClickOnce infectieketen om StealerBot malware te verspreiden. Deze aanval richtte zich specifiek op diplomatieke en overheidsinstellingen in Zuid-Azië, waaronder Sri Lanka, Pakistan, Bangladesh en India. De gebruikte tactiek markeert een verschuiving in de methoden van de groep, waarbij de traditionele exploits in Microsoft Word zijn vervangen door een complexere infectieketen via PDF’s en ClickOnce applicaties. De aanvallen werden verspreid via zorgvuldig samengestelde spearphishing emails, die slachtoffers verleidden om een ogenschijnlijk legitiem Adobe Reader updatebestand te downloaden. Nadat de malware was geactiveerd, begon deze met spionageactiviteiten, waaronder het verzamelen van systeeminformatie en het exfiltreren van gevoelige data.
Verder richtte een Noord-Koreaanse hackersgroep zich op Europese bedrijven die werken met drone technologie. Deze aanval maakte deel uit van een bredere spionagecampagne van de Lazarus groep, die eerder bekendheid verwierf door aanvallen zoals de hack op Sony en de diefstal van cryptovaluta. De aanvallen waren gericht op het verkrijgen van technische informatie over droneontwerpen, wat mogelijk kan bijdragen aan de Noord-Koreaanse droneproductie. De hackers maakten gebruik van social engineering om medewerkers van doelbedrijven te verleiden schadelijke bestanden te openen.
Meer dan 8000 Windows WSUS servers blootgesteld aan ernstige kwetsbaarheid
Er is een aanzienlijke kwetsbaarheid ontdekt in Windows WSUS servers die wereldwijd actief misbruikt werd. Meer dan achtduizend servers bleken direct toegankelijk vanaf het internet, waardoor aanvallers op afstand code konden uitvoeren via de kwetsbaarheid CVE-2025-59287. Microsoft bracht op 14 oktober een update uit, maar deze bleek onvoldoende. Op 23 oktober werd een noodpatch vrijgegeven, gevolgd door beveiligingsupdates voor verschillende versies van Windows Server. Het NCSC waarschuwde opnieuw dat WSUS servers niet vanaf het internet toegankelijk mogen zijn. In reactie op deze kwetsbaarheid heeft de Amerikaanse CISA een waarschuwing uitgegeven en Amerikaanse overheidsinstellingen opgedragen de patch voor 14 november te installeren. Het is echter onbekend hoeveel servers de noodpatch nog niet hebben geïnstalleerd.
Daarnaast heeft Tenable een proof of concept gepubliceerd voor de eerder genoemde WSUS kwetsbaarheid. Dit GitHub platform biedt beveiligingsexperts voorbeelden van kwetsbaarheden die verder onderzocht kunnen worden. De ontdekking van deze kwetsbaarheid onderstreept de noodzaak voor bedrijven om snel te reageren en updates tijdig door te voeren.
Smishing Triad gebruikt 194.000 kwaadaardige domeinen voor wereldwijde fraude
Een andere wereldwijde dreiging komt van de Smishing Triad, een criminele groep die meer dan 194.000 kwaadaardige domeinen gebruikt voor een wereldwijde smishing operatie. De groep richt zich op verschillende diensten, waaronder bankdiensten en pakketleveringen. De afgelopen drie jaar heeft deze operatie meer dan 1 miljard dollar opgebracht. De gebruikelijke technieken om smishing aanvallen te verbergen omvatten snel verwisselbare domeinen, die helpen om detectie te ontwijken. De snelheid van domeinregistratie en vervanging maakt de dreiging moeilijk te detecteren en te blokkeren.
Daarnaast is er een nieuwe Python RAT ontdekt, genaamd de Nursultan Client, die zich voordoet als een legitieme Minecraft app. Dit malwareprogramma maakt gebruik van de Telegram Bot API voor de controle infrastructuur, waarmee aanvallers gevoelige gegevens van geïnfecteerde machines kunnen stelen. Het bestand, verpakt met PyInstaller, is uitzonderlijk groot (68,5 MB) en kan beveiligingssoftware omzeilen. De malware richt zich niet alleen op Discord authenticatietokens, maar kan ook screenshots maken, de webcam inschakelen en gedetailleerde systeeminformatie verzamelen. De verspreiding lijkt plaats te vinden via een Malware as a Service model, wat suggereert dat meerdere aanvallers toegang hebben tot gepersonaliseerde versies van de malware.
Lazarusgroep voert spionagecampagne uit tegen Europese dronebedrijven
In de geopolitieke cyberdreigingen is er zorg over de Warlock ransomwaregroep, die een kritieke zeroday kwetsbaarheid in Microsoft SharePoint (CVE-2025-53770) begon te misbruiken. Deze kwetsbaarheid werd op 19 juli 2025 ontdekt en werd een belangrijke vector voor de verspreiding van Warlock ransomware wereldwijd. De aanvallen, die zich richten op verschillende sectoren, zijn verontrustend omdat ze niet alleen ransomware verspreiden, maar ook spionageactiviteiten en datadiefstal uitvoeren. Deze groep is opmerkelijk vanwege haar vermoedelijke Chinese oorsprong, wat een afwijking is van de eerder voornamelijk Russische ransomwaregroepen.
Verder heeft de Lazarus groep opnieuw Noord-Korea betrokken bij een spionagecampagne, gericht op dronebedrijven in Europa. Deze aanvallen maken deel uit van een grotere strategie om technische informatie over droneproductie te verkrijgen. Door de inzet van social engineering zijn medewerkers van bedrijven in Centraal- en Zuidoost-Europa gemanipuleerd om schadelijke bestanden te openen, wat leidde tot de diefstal van gevoelige gegevens. De gevolgen voor de regionale veiligheid zijn groot, aangezien dergelijke technologieën van cruciaal belang zijn voor zowel defensieve als offensieve capaciteiten.
Schade van cyberaanval op Transport for London op £39 miljoen
In Nederland heeft de Politie opgeroepen om aandacht te hebben voor een bankhelpdeskfraude incident waarbij duizenden euro’s werden gestolen. De fraudeurs gebruikten valse telefoontjes en misleidende communicatie om slachtoffers te overtuigen geld over te maken. Er wordt gezocht naar de verantwoordelijke criminelen. Dergelijke gevallen van oplichting blijven toenemen, en de politie heeft het publiek gewaarschuwd om waakzaam te blijven voor verdachte telefoontjes en emails.
Op internationaal niveau is er ook actie tegen een hackgroep die verantwoordelijk is voor de cyberaanval op Transport for London (TfL) in 2024. De schade van deze aanval, die drie maanden van verstoring veroorzaakte, wordt geschat op £39 miljoen. Twee tieners, Thalha Jubair (19) uit Oost-Londen en Owen Flowers (18) uit Walsall, zijn aangeklaagd voor hun betrokkenheid. De aanval werd uitgevoerd door de Scattered Spider groep, en hun rechtszaak is gepland voor juni 2026.
Nieuwe malwaretechnieken maken detectie moeilijker voor beveiligingssystemen
Opmerkelijke ontwikkelingen in de malwarecampagnes zijn de geavanceerde technieken die recent zijn ingezet, waaronder PHP variabele functies en cookie gebaseerde obfuscatie. Deze technieken helpen aanvallers om kwaadaardige scripts te verbergen, waardoor traditionele beveiligingssystemen moeite hebben met detectie. Het gebruik van Least Significant Bit (LSB) steganografie door de Caminho malware loader maakt het voor beveiligingssystemen nog moeilijker om de kwaadaardige payload te identificeren, aangezien de malware zich verstopt in onschuldige afbeeldingsbestanden.
Daarnaast wordt een nieuwe phishingmethode gemeld die gebruik maakt van UUID’s voor Secure Email Gateways (SEGs). Deze techniek omzeilt traditionele beveiligingsmaatregelen door het genereren van willekeurige identificatoren, waardoor de beveiliging van emailgateways wordt ondermijnd. De aanvallers maken misbruik van legitieme domeinen om schadelijke inhoud te verspreiden, wat de kans op succes aanzienlijk vergroot.
Er wordt ook melding gemaakt van de verkoop van 200.000 gestolen inloggegevens op het darkweb, afkomstig van populaire online platformen zoals Roblox, Steam en Valorant. De verkoop van deze gegevens kan leiden tot identiteitsfraude en de verkoop van virtuele goederen. Gebruikers van de getroffen platforms wordt dringend geadviseerd om hun wachtwoorden te wijzigen en waar mogelijk multifactorauthenticatie in te schakelen.
De afgelopen dagen hebben weer een breed scala aan cyberdreigingen aan het licht gebracht, van ransomware aanvallen tot geavanceerde phishing campagnes en malware infecties. De kwetsbaarheid van systemen, zoals WSUS servers en SharePoint, blijft een ernstig probleem, terwijl geopolitieke dreigingen uit landen zoals Noord-Korea de regio beïnvloeden. Cybercriminelen blijven zich richten op zowel bedrijven als individuen met steeds geavanceerdere technieken, terwijl de Smishing Triad en Lazarus groep blijven opereren met wereldwijd verstrekkende gevolgen. Organisaties in Nederland en België moeten waakzaam blijven voor deze dreigingen en tijdig reageren om schade te voorkomen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Recente journaal uitzendingen
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.