Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Vanwege de groeiende dreiging van cybercriminaliteit en digitale oorlogsvoering, schakelen we vanaf nu over naar de technische variant van het Cyberjournaal. Ons team blijft dagelijks scherp op de belangrijkste ontwikkelingen en duikt dieper dan ooit in de analyses. Zoek je liever een korte en begrijpelijke uitleg? Luister dan naar de podcast van drie minuten of bekijk de video hieronder. Daaronder vind je zoals altijd de uitgebreide technische editie van het journaal. Bedankt voor je begrip en blijf alert!
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dag onthulde een complex en evoluerend landschap van cyberdreigingen en verdedigingsmechanismen. Organisaties, zowel hier als wereldwijd, kregen te maken met een breed scala aan incidenten, variërend van datalekken en ransomware tot de opkomst van AI gestuurde aanvallen, wat de noodzaak benadrukt van constante alertheid en internationale samenwerking.
Datalekken en de ransomware nasleep
Gisteravond verscheen een melding op een darkwebkanaal over een mogelijk datalek bij Eurofiber, waarbij zowel de volledige database als onderdelen van het interne IT systeem zouden zijn buitgemaakt. De omvang en betrouwbaarheid van deze claim zijn nog onduidelijk, maar een dergelijke inbreuk kan aanzienlijke gevolgen hebben voor de continuïteit van netwerkdiensten en de bescherming van klantinformatie, gezien Eurofiber's belangrijke rol in de digitale infrastructuur. Tegelijkertijd werd RTV Noord het slachtoffer van een ransomware aanval, vermoedelijk een willekeurige 'sprayaanval' gericht op zoveel mogelijk kwetsbare systemen. Ondanks de dreiging van publicatie van gevoelige werknemersdata, besloot de omroep niet te betalen en werkt het nu aan herstel en beveiligingsversterking in samenwerking met andere organisaties en het NCSC. Verder meldde het Britse betalingsplatform Checkout.com een datalek door de ShinyHunters groep, die toegang kreeg tot een oud cloudopslagsysteem met gegevens tot en met 2020. Checkout.com weigert het geëiste losgeld te betalen en kondigt aan het bedrag te doneren aan onderzoekscentra.
De constante strijd tegen softwarefouten
De afgelopen dag bracht een reeks kritieke kwetsbaarheden aan het licht die de digitale infrastructuur bedreigen. Een ernstig lek in de ImunifyAV malwarescanner voor Linux servers, specifiek in de AI Bolit component, maakt het voor aanvallers mogelijk om op afstand willekeurige code uit te voeren op miljoenen websites die draaien op gedeelde hostingplatforms. ASUS heeft een beveiligingsupdate uitgebracht voor de kritieke authenticatie omzeilingskwetsbaarheid CVE-2025-59367 in meerdere DSL routers, die ongeautoriseerde externe toegang zonder inloggegevens mogelijk maakte. Ook in de N-able N-Central software zijn twee kritieke kwetsbaarheden (CVE-2025-11366 en CVE-2025-11367) ontdekt die op afstand code uitvoering zonder gebruikersinteractie toelaten, met ernstige gevolgen voor remote monitoring en management. Dell Data Lakehouse (CVE-2025-46608) vereist een onmiddellijke patch vanwege onterecht toegangsbeheer, wat tot privilege escalatie kan leiden. IBM AIX- en VIOS-systemen zijn eveneens getroffen door ernstige lekken (CVE-2025-36251, CVE-2025-36250, CVE-2025-36096, CVE-2025-36236) in de NIM server, die op afstand het uitvoeren van commando's en dataverlies mogelijk maken. In PostgreSQL pgAdmin tot en met versie 9.9 zijn kritieke kwetsbaarheden (CVE-2025-12762, CVE-2025-12764, CVE-2025-12765) ontdekt, waaronder LDAP injectie en remote code execution. De meest verontrustende ontdekking betrof ernstige kwetsbaarheden in AI inferentie engines van Meta, Nvidia en Microsoft, en in open sourceprojecten zoals PyTorch (CVE-2024-50050), waardoor remote code execution mogelijk is door de onveilige toepassing van ZeroMQ en Python's pickle deserialisatie, een probleem bekend als ShadowMQ. Het Fortinet FortiWeb lek (CVE-2025-64446 / CVE-2025-40684) wordt actief misbruikt om zonder authenticatie nieuwe beheerdersaccounts aan te maken. Positiever nieuws kwam van Google, dat meldt dat het aantal memory safety kwetsbaarheden in Android met een factor duizend is afgenomen sinds het gebruik van de programmeertaal Rust, hoewel volledige risicovrijheid niet bestaat.
Van geavanceerde malware tot slinkse misleidingstactieken
De cyberdreigingen van gisteren toonden een breed scala aan geavanceerde en geraffineerde aanvalstactieken. Onderzoekers van Cisco Talos hebben vastgesteld dat de nieuwe variant van de Kraken ransomware, opvolger van de vroegere HelloKitty campagne, een unieke methode gebruikt om de encryptiesnelheid van geïnfecteerde systemen te optimaliseren. De malware richt zich op Windows-, Linux- en VMware ESXi-omgevingen en verwijdert schaduwkopieën en backups om herstel te bemoeilijken. De groep valt vooral grote organisaties aan in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Panama, Koeweit en Denemarken. Een gezamenlijk advies van CISA, FBI, Europol (EC3) en het Nederlandse NCSC waarschuwt voor de aanhoudende dreiging van de Akira ransomware, die sinds maart 2023 actief is en zich richt op middelgrote bedrijven, ook in Linux systemen en VMware ESXi omgevingen, en al meer dan 244 miljoen dollar heeft buitgemaakt. De Iraanse hacker groep APT42 heeft een nieuwe spionagecampagne gelanceerd, 'SpearSpecter', gericht op defensie- en overheidsfunctionarissen via sociale engineeringtechnieken en de TAMECAT malware. Wereldwijd worden mensen slachtoffer van de snelgroeiende 'schermdelen oplichting' via WhatsApp, waarbij oplichters zich voordoen als bankmedewerkers of andere vertrouwde personen om slachtoffers te misleiden hun scherm te delen en zo toegang te krijgen tot gevoelige informatie en OTP's, met aanzienlijke financiële verliezen. Hackers misbruiken Remote Monitoring and Management (RMM) tools zoals LogMeIn en PDQ Connect om malware te verspreiden, door zich voor te doen als legitieme software installaties, en installeren zo PatoRAT voor volledige controle over systemen. Een nep Bitcoin applicatie verbergt de bekende DarkComet remote access trojan (RAT) malware, gericht op cryptocurrency gebruikers die tools van onbetrouwbare bronnen downloaden. De ClickFix aanval richt zich op zowel Windows als macOS gebruikers met informatie stelende malware zoals ACR stealer en Odyssey infostealer, door gebruik te maken van social engineering en nepwebpagina’s op vertrouwde platforms. Een geavanceerde aanvalscampagne genaamd 'Contagious Interview' misbruikt legitieme JSON opslagservices zoals JSON Keeper en npoint.io om malware zoals de BeaverTail infostealer en InvisibleFerret Remote Access Tool te verspreiden, gericht op softwareontwikkelaars via valse sollicitaties. Ten slotte heeft de SmartApeSG campagne zijn aanvallen verfijnd door gebruik te maken van de ClickFix techniek, waarbij gebruikers worden misleid met valse CAPTCHA pagina’s om het NetSupport RAT (Remote Access Tool) te installeren.
Internationale inspanningen tegen cybercriminaliteit
In een belangrijke actie tegen cybercriminaliteit heeft het Team Cybercrime Oost-Nederland 250 fysieke servers in beslag genomen tijdens een grootschalig onderzoek naar een zogenoemde bulletproof hoster. Deze hoster, die volledige anonimiteit aanbood, werd sinds 2022 in meer dan tachtig nationale en internationale onderzoeken gelinkt aan criminele activiteiten zoals ransomware aanvallen, botnets en de verspreiding van kindermisbruikmateriaal. De actie vond plaats in datacenters in Den Haag en Zoetermeer, waarbij ongeveer duizend virtuele servers offline zijn gehaald. Op internationaal niveau hebben de Amerikaanse autoriteiten een nieuwe Strike Force opgezet om grootschalige Chinese cryptofraudenetwerken aan te pakken die jaarlijks bijna tien miljard dollar van Amerikaanse slachtoffers buitmaken. Deze teams, bestaande uit het ministerie van Justitie, de FBI, de Secret Service en het openbaar ministerie, richten zich op het opsporen van geldstromen, het in beslag nemen van digitale tegoeden en het ontmantelen van criminele infrastructuur in Zuidoost-Azië, waar slachtoffers van mensenhandel tot fraude worden gedwongen.
Geopolitieke spanningen en de rol van AI
De geopolitieke arena ziet een groeiende rol voor cybercapaciteiten, waarbij kunstmatige intelligentie een centrale speler wordt. Onderzoekers van het Amerikaanse bedrijf Anthropic hebben een cyberoperatie ontdekt waarbij kunstmatige intelligentie werd ingezet om delen van een hackcampagne te automatiseren. Deze operatie, die wordt gelinkt aan de Chinese overheid en zich richtte op ongeveer dertig personen werkzaam bij technologiebedrijven, financiële instellingen, chemische ondernemingen en overheidsorganisaties, is een zorgwekkende ontwikkeling vanwege de snelheid waarmee AI gestuurde aanvallen zich ontwikkelen. In Nederland benadrukt David van Weel, demissionair minister van Buitenlandse Zaken, de urgentie van een AI strategie voor nationale en internationale veiligheid. Hij pleit voor effectieve wet- en regelgeving rondom AI via de EU, de NAVO en de VN, en wijst erop dat landen zoals China AI gebruiken voor grootschalige surveillantie, wat in strijd is met Europese normen van privacy en mensenrechten. Ondertussen stelt de Duitse politieke partij Alternative für Deutschland (AfD) in parlementen vragen die lijken te sympathiseren met de Russische belangen, wat de spanning tussen Rusland en Europese landen verder polariseert en de publieke opinie tracht te beïnvloeden.
De evolutie van het digitale landschap
Google is bezig met het heroverwegen van de invoering van verplichte identiteitsverificatie voor alle Android ontwikkelaars, nadat het eerder aangekondigde beleid leidde tot stevige kritiek uit de gemeenschap. Het bedrijf komt nu met een afzonderlijk accounttype voor ontwikkelaars die apps in beperkte kring willen verspreiden en werkt aan een nieuw proces voor ervaren gebruikers die bewust ongeverifieerde apps installeren, waarbij de uiteindelijke keuze bij de gebruiker blijft.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.