Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dagen hebben verschillende cyberaanvallen plaatsgevonden, die zowel bedrijven als mensen hebben getroffen. Een opvallende aanval werd uitgevoerd door een groep cybercriminelen, de SideWinder Hacking Group, die gebruik maakte van een slimme techniek om malware (kwaadaardige software) te verspreiden. Deze malware werd via valse emails naar diplomatieke en overheidsinstellingen gestuurd in landen als Sri Lanka, Pakistan en India. Zodra iemand de email opende, werd de malware geïnstalleerd, die gevoelige informatie verzamelde en doorstuurde naar de aanvallers.
Een andere groep, Lazarus uit Noord-Korea, richt zich op bedrijven in Europa die werken met drones. Ze proberen technische gegevens over drones te stelen, wat kan bijdragen aan de technologie die Noord-Korea ontwikkelt. Ze gebruiken misleidende emails om medewerkers van bedrijven te verleiden schadelijke bestanden te openen.
Kwetsbaarheden in WSUS en SharePoint bedreigen bedrijfsnetwerken
Er is een ernstige kwetsbaarheid ontdekt in servers die een belangrijke rol spelen bij de software updates van Windows systemen, bekend als WSUS servers. Meer dan 8.000 van deze servers zijn direct vanaf het internet toegankelijk, wat betekent dat hackers op afstand toegang kunnen krijgen en schadelijke software kunnen installeren. Microsoft heeft onlangs een update uitgebracht om dit probleem te verhelpen, maar veel servers hebben deze nog niet geïnstalleerd. Experts waarschuwen dat bedrijven de updates snel moeten doorvoeren om gevaar te voorkomen.
Daarnaast is er een ander probleem ontdekt in een veelgebruikte technologie, SharePoint, die door veel bedrijven wordt gebruikt. Hackers maken misbruik van een beveiligingslek om ransomware (een vorm van gijzelaarssoftware) te verspreiden. Bedrijven die deze technologie gebruiken, moeten snel maatregelen nemen om hun systemen te beschermen.
Er is een nieuwe bedreiging van een groep cybercriminelen die gebruik maakt van smishing, een vorm van phishing via sms berichten. Ze hebben meer dan 194.000 gevaarlijke websites gemaakt om mensen te misleiden. Deze groep heeft wereldwijd meer dan 1 miljard dollar verdiend met het stelen van persoonlijke gegevens van slachtoffers. Ze maken vaak gebruik van vertrouwde merken om hun slachtoffers te misleiden.
Daarnaast is er malware ontdekt die zich voordoet als een populaire Minecraft app, maar eigenlijk kwaadaardige software is. Deze malware, die ook via Telegram wordt bestuurd, kan persoonlijke gegevens stelen en de computer van het slachtoffer op afstand bedienen. De malware wordt vaak verspreid door andere cybercriminelen die toegang kopen tot de software.
Lazarus groep en Warlock ransomware richten zich op Europese bedrijven
Internationaal gezien is er groeiende bezorgdheid over cyberaanvallen die door staatspionnen worden uitgevoerd. De Lazarus groep uit Noord-Korea richt zich op Europese bedrijven om informatie over drone technologie te stelen. Dit kan Noord Korea helpen bij het ontwikkelen van hun eigen wapensystemen.
De Warlock ransomwaregroep heeft ook geprofiteerd van een beveiligingslek in de software van Microsoft SharePoint om wereldwijd aanvallen uit te voeren. Deze groep is verantwoordelijk voor het versleutelen van bestanden en het stelen van gegevens van grote organisaties.
In Nederland is er een bankfraude zaak waar cybercriminelen zich voordeden als medewerkers van een bank om mensen op te lichten. De politie is bezig met het opsporen van de daders. Deze fraudeurs gebruikten valse telefoontjes en misleidende berichten om slachtoffers te overtuigen geld over te maken naar hun rekeningen.
Internationaal is er ook nieuws over een hack op Transport for London (TfL) in 2024. Twee tieners zijn aangeklaagd voor hun betrokkenheid bij de aanval, die leidde tot ernstige verstoringen in het openbaar vervoer. De schade werd geschat op £39 miljoen.
Nieuwe phishingtechniek bedreigt inloggegevens en accounts
Een nieuwe techniek om phishing (het stelen van persoonlijke gegevens) uit te voeren, maakt gebruik van willekeurige identificatiecodes die moeilijk te detecteren zijn door beveiligingssystemen. Deze methode wordt vooral gebruikt in emailaanvallen, waar hackers proberen inloggegevens te stelen door mensen naar valse websites te leiden.
Verder werd er een grote verkoop van gestolen inloggegevens ontdekt op het darkweb. Deze gegevens komen van populaire games zoals Roblox, Steam en Valorant. Hackers gebruiken deze gestolen gegevens om accounts over te nemen, virtuele goederen te stelen of identiteitsfraude te plegen.
De afgelopen dagen hebben we te maken gehad met verschillende cyberdreigingen, van ransomware aanvallen tot phishing via sms berichten. De kwetsbaarheid van systemen, zoals Windows servers en SharePoint, blijft een groot risico. Bovendien blijven groepen als Lazarus uit Noord-Korea actief in het stelen van technologie voor militaire doeleinden. Het is essentieel dat zowel bedrijven als individuen goed voorbereid blijven en tijdig maatregelen nemen om zich tegen deze dreigingen te beschermen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer gedetailleerde technische variant:
De afgelopen dagen zijn er verschillende cyberincidenten gemeld, waaronder incidenten die zowel bedrijven als individuen treffen. Een aanzienlijke aanval werd uitgevoerd door de SideWinder Hacking Group, die gebruik maakte van de ClickOnce infectieketen om StealerBot malware te verspreiden. Deze aanval richtte zich specifiek op diplomatieke en overheidsinstellingen in Zuid-Azië, waaronder Sri Lanka, Pakistan, Bangladesh en India. De gebruikte tactiek markeert een verschuiving in de methoden van de groep, waarbij de traditionele exploits in Microsoft Word zijn vervangen door een complexere infectieketen via PDF’s en ClickOnce applicaties. De aanvallen werden verspreid via zorgvuldig samengestelde spearphishing emails, die slachtoffers verleidden om een ogenschijnlijk legitiem Adobe Reader updatebestand te downloaden. Nadat de malware was geactiveerd, begon deze met spionageactiviteiten, waaronder het verzamelen van systeeminformatie en het exfiltreren van gevoelige data.
Verder richtte een Noord-Koreaanse hackersgroep zich op Europese bedrijven die werken met drone technologie. Deze aanval maakte deel uit van een bredere spionagecampagne van de Lazarus groep, die eerder bekendheid verwierf door aanvallen zoals de hack op Sony en de diefstal van cryptovaluta. De aanvallen waren gericht op het verkrijgen van technische informatie over droneontwerpen, wat mogelijk kan bijdragen aan de Noord-Koreaanse droneproductie. De hackers maakten gebruik van social engineering om medewerkers van doelbedrijven te verleiden schadelijke bestanden te openen.
Meer dan 8000 Windows WSUS servers blootgesteld aan ernstige kwetsbaarheid
Er is een aanzienlijke kwetsbaarheid ontdekt in Windows WSUS servers die wereldwijd actief misbruikt werd. Meer dan achtduizend servers bleken direct toegankelijk vanaf het internet, waardoor aanvallers op afstand code konden uitvoeren via de kwetsbaarheid CVE-2025-59287. Microsoft bracht op 14 oktober een update uit, maar deze bleek onvoldoende. Op 23 oktober werd een noodpatch vrijgegeven, gevolgd door beveiligingsupdates voor verschillende versies van Windows Server. Het NCSC waarschuwde opnieuw dat WSUS servers niet vanaf het internet toegankelijk mogen zijn. In reactie op deze kwetsbaarheid heeft de Amerikaanse CISA een waarschuwing uitgegeven en Amerikaanse overheidsinstellingen opgedragen de patch voor 14 november te installeren. Het is echter onbekend hoeveel servers de noodpatch nog niet hebben geïnstalleerd.
Daarnaast heeft Tenable een proof of concept gepubliceerd voor de eerder genoemde WSUS kwetsbaarheid. Dit GitHub platform biedt beveiligingsexperts voorbeelden van kwetsbaarheden die verder onderzocht kunnen worden. De ontdekking van deze kwetsbaarheid onderstreept de noodzaak voor bedrijven om snel te reageren en updates tijdig door te voeren.
Smishing Triad gebruikt 194.000 kwaadaardige domeinen voor wereldwijde fraude
Een andere wereldwijde dreiging komt van de Smishing Triad, een criminele groep die meer dan 194.000 kwaadaardige domeinen gebruikt voor een wereldwijde smishing operatie. De groep richt zich op verschillende diensten, waaronder bankdiensten en pakketleveringen. De afgelopen drie jaar heeft deze operatie meer dan 1 miljard dollar opgebracht. De gebruikelijke technieken om smishing aanvallen te verbergen omvatten snel verwisselbare domeinen, die helpen om detectie te ontwijken. De snelheid van domeinregistratie en vervanging maakt de dreiging moeilijk te detecteren en te blokkeren.
Daarnaast is er een nieuwe Python RAT ontdekt, genaamd de Nursultan Client, die zich voordoet als een legitieme Minecraft app. Dit malwareprogramma maakt gebruik van de Telegram Bot API voor de controle infrastructuur, waarmee aanvallers gevoelige gegevens van geïnfecteerde machines kunnen stelen. Het bestand, verpakt met PyInstaller, is uitzonderlijk groot (68,5 MB) en kan beveiligingssoftware omzeilen. De malware richt zich niet alleen op Discord authenticatietokens, maar kan ook screenshots maken, de webcam inschakelen en gedetailleerde systeeminformatie verzamelen. De verspreiding lijkt plaats te vinden via een Malware as a Service model, wat suggereert dat meerdere aanvallers toegang hebben tot gepersonaliseerde versies van de malware.
Lazarusgroep voert spionagecampagne uit tegen Europese dronebedrijven
In de geopolitieke cyberdreigingen is er zorg over de Warlock ransomwaregroep, die een kritieke zeroday kwetsbaarheid in Microsoft SharePoint (CVE-2025-53770) begon te misbruiken. Deze kwetsbaarheid werd op 19 juli 2025 ontdekt en werd een belangrijke vector voor de verspreiding van Warlock ransomware wereldwijd. De aanvallen, die zich richten op verschillende sectoren, zijn verontrustend omdat ze niet alleen ransomware verspreiden, maar ook spionageactiviteiten en datadiefstal uitvoeren. Deze groep is opmerkelijk vanwege haar vermoedelijke Chinese oorsprong, wat een afwijking is van de eerder voornamelijk Russische ransomwaregroepen.
Verder heeft de Lazarus groep opnieuw Noord-Korea betrokken bij een spionagecampagne, gericht op dronebedrijven in Europa. Deze aanvallen maken deel uit van een grotere strategie om technische informatie over droneproductie te verkrijgen. Door de inzet van social engineering zijn medewerkers van bedrijven in Centraal- en Zuidoost-Europa gemanipuleerd om schadelijke bestanden te openen, wat leidde tot de diefstal van gevoelige gegevens. De gevolgen voor de regionale veiligheid zijn groot, aangezien dergelijke technologieën van cruciaal belang zijn voor zowel defensieve als offensieve capaciteiten.
Schade van cyberaanval op Transport for London op £39 miljoen
In Nederland heeft de Politie opgeroepen om aandacht te hebben voor een bankhelpdeskfraude incident waarbij duizenden euro’s werden gestolen. De fraudeurs gebruikten valse telefoontjes en misleidende communicatie om slachtoffers te overtuigen geld over te maken. Er wordt gezocht naar de verantwoordelijke criminelen. Dergelijke gevallen van oplichting blijven toenemen, en de politie heeft het publiek gewaarschuwd om waakzaam te blijven voor verdachte telefoontjes en emails.
Op internationaal niveau is er ook actie tegen een hackgroep die verantwoordelijk is voor de cyberaanval op Transport for London (TfL) in 2024. De schade van deze aanval, die drie maanden van verstoring veroorzaakte, wordt geschat op £39 miljoen. Twee tieners, Thalha Jubair (19) uit Oost-Londen en Owen Flowers (18) uit Walsall, zijn aangeklaagd voor hun betrokkenheid. De aanval werd uitgevoerd door de Scattered Spider groep, en hun rechtszaak is gepland voor juni 2026.
Nieuwe malwaretechnieken maken detectie moeilijker voor beveiligingssystemen
Opmerkelijke ontwikkelingen in de malwarecampagnes zijn de geavanceerde technieken die recent zijn ingezet, waaronder PHP variabele functies en cookie gebaseerde obfuscatie. Deze technieken helpen aanvallers om kwaadaardige scripts te verbergen, waardoor traditionele beveiligingssystemen moeite hebben met detectie. Het gebruik van Least Significant Bit (LSB) steganografie door de Caminho malware loader maakt het voor beveiligingssystemen nog moeilijker om de kwaadaardige payload te identificeren, aangezien de malware zich verstopt in onschuldige afbeeldingsbestanden.
Daarnaast wordt een nieuwe phishingmethode gemeld die gebruik maakt van UUID’s voor Secure Email Gateways (SEGs). Deze techniek omzeilt traditionele beveiligingsmaatregelen door het genereren van willekeurige identificatoren, waardoor de beveiliging van emailgateways wordt ondermijnd. De aanvallers maken misbruik van legitieme domeinen om schadelijke inhoud te verspreiden, wat de kans op succes aanzienlijk vergroot.
Er wordt ook melding gemaakt van de verkoop van 200.000 gestolen inloggegevens op het darkweb, afkomstig van populaire online platformen zoals Roblox, Steam en Valorant. De verkoop van deze gegevens kan leiden tot identiteitsfraude en de verkoop van virtuele goederen. Gebruikers van de getroffen platforms wordt dringend geadviseerd om hun wachtwoorden te wijzigen en waar mogelijk multifactorauthenticatie in te schakelen.
De afgelopen dagen hebben weer een breed scala aan cyberdreigingen aan het licht gebracht, van ransomware aanvallen tot geavanceerde phishing campagnes en malware infecties. De kwetsbaarheid van systemen, zoals WSUS servers en SharePoint, blijft een ernstig probleem, terwijl geopolitieke dreigingen uit landen zoals Noord-Korea de regio beïnvloeden. Cybercriminelen blijven zich richten op zowel bedrijven als individuen met steeds geavanceerdere technieken, terwijl de Smishing Triad en Lazarus groep blijven opereren met wereldwijd verstrekkende gevolgen. Organisaties in Nederland en België moeten waakzaam blijven voor deze dreigingen en tijdig reageren om schade te voorkomen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Recente journaal uitzendingen
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.