Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Vanwege de groeiende dreiging van cybercriminaliteit en digitale oorlogsvoering, schakelen we vanaf nu over naar de technische variant van het Cyberjournaal. Ons team blijft dagelijks scherp op de belangrijkste ontwikkelingen en duikt dieper dan ooit in de analyses. Zoek je liever een korte en begrijpelijke uitleg? Luister dan naar de podcast van drie minuten of bekijk de video hieronder. Daaronder vind je zoals altijd de uitgebreide technische editie van het journaal. Bedankt voor je begrip en blijf alert!
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
De afgelopen dag onthulde een complex en evoluerend landschap van cyberdreigingen en verdedigingsmechanismen. Organisaties, zowel hier als wereldwijd, kregen te maken met een breed scala aan incidenten, variërend van datalekken en ransomware tot de opkomst van AI gestuurde aanvallen, wat de noodzaak benadrukt van constante alertheid en internationale samenwerking.
Datalekken en de ransomware nasleep
Gisteravond verscheen een melding op een darkwebkanaal over een mogelijk datalek bij Eurofiber, waarbij zowel de volledige database als onderdelen van het interne IT systeem zouden zijn buitgemaakt. De omvang en betrouwbaarheid van deze claim zijn nog onduidelijk, maar een dergelijke inbreuk kan aanzienlijke gevolgen hebben voor de continuïteit van netwerkdiensten en de bescherming van klantinformatie, gezien Eurofiber's belangrijke rol in de digitale infrastructuur. Tegelijkertijd werd RTV Noord het slachtoffer van een ransomware aanval, vermoedelijk een willekeurige 'sprayaanval' gericht op zoveel mogelijk kwetsbare systemen. Ondanks de dreiging van publicatie van gevoelige werknemersdata, besloot de omroep niet te betalen en werkt het nu aan herstel en beveiligingsversterking in samenwerking met andere organisaties en het NCSC. Verder meldde het Britse betalingsplatform Checkout.com een datalek door de ShinyHunters groep, die toegang kreeg tot een oud cloudopslagsysteem met gegevens tot en met 2020. Checkout.com weigert het geëiste losgeld te betalen en kondigt aan het bedrag te doneren aan onderzoekscentra.
De constante strijd tegen softwarefouten
De afgelopen dag bracht een reeks kritieke kwetsbaarheden aan het licht die de digitale infrastructuur bedreigen. Een ernstig lek in de ImunifyAV malwarescanner voor Linux servers, specifiek in de AI Bolit component, maakt het voor aanvallers mogelijk om op afstand willekeurige code uit te voeren op miljoenen websites die draaien op gedeelde hostingplatforms. ASUS heeft een beveiligingsupdate uitgebracht voor de kritieke authenticatie omzeilingskwetsbaarheid CVE-2025-59367 in meerdere DSL routers, die ongeautoriseerde externe toegang zonder inloggegevens mogelijk maakte. Ook in de N-able N-Central software zijn twee kritieke kwetsbaarheden (CVE-2025-11366 en CVE-2025-11367) ontdekt die op afstand code uitvoering zonder gebruikersinteractie toelaten, met ernstige gevolgen voor remote monitoring en management. Dell Data Lakehouse (CVE-2025-46608) vereist een onmiddellijke patch vanwege onterecht toegangsbeheer, wat tot privilege escalatie kan leiden. IBM AIX- en VIOS-systemen zijn eveneens getroffen door ernstige lekken (CVE-2025-36251, CVE-2025-36250, CVE-2025-36096, CVE-2025-36236) in de NIM server, die op afstand het uitvoeren van commando's en dataverlies mogelijk maken. In PostgreSQL pgAdmin tot en met versie 9.9 zijn kritieke kwetsbaarheden (CVE-2025-12762, CVE-2025-12764, CVE-2025-12765) ontdekt, waaronder LDAP injectie en remote code execution. De meest verontrustende ontdekking betrof ernstige kwetsbaarheden in AI inferentie engines van Meta, Nvidia en Microsoft, en in open sourceprojecten zoals PyTorch (CVE-2024-50050), waardoor remote code execution mogelijk is door de onveilige toepassing van ZeroMQ en Python's pickle deserialisatie, een probleem bekend als ShadowMQ. Het Fortinet FortiWeb lek (CVE-2025-64446 / CVE-2025-40684) wordt actief misbruikt om zonder authenticatie nieuwe beheerdersaccounts aan te maken. Positiever nieuws kwam van Google, dat meldt dat het aantal memory safety kwetsbaarheden in Android met een factor duizend is afgenomen sinds het gebruik van de programmeertaal Rust, hoewel volledige risicovrijheid niet bestaat.
Van geavanceerde malware tot slinkse misleidingstactieken
De cyberdreigingen van gisteren toonden een breed scala aan geavanceerde en geraffineerde aanvalstactieken. Onderzoekers van Cisco Talos hebben vastgesteld dat de nieuwe variant van de Kraken ransomware, opvolger van de vroegere HelloKitty campagne, een unieke methode gebruikt om de encryptiesnelheid van geïnfecteerde systemen te optimaliseren. De malware richt zich op Windows-, Linux- en VMware ESXi-omgevingen en verwijdert schaduwkopieën en backups om herstel te bemoeilijken. De groep valt vooral grote organisaties aan in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Panama, Koeweit en Denemarken. Een gezamenlijk advies van CISA, FBI, Europol (EC3) en het Nederlandse NCSC waarschuwt voor de aanhoudende dreiging van de Akira ransomware, die sinds maart 2023 actief is en zich richt op middelgrote bedrijven, ook in Linux systemen en VMware ESXi omgevingen, en al meer dan 244 miljoen dollar heeft buitgemaakt. De Iraanse hacker groep APT42 heeft een nieuwe spionagecampagne gelanceerd, 'SpearSpecter', gericht op defensie- en overheidsfunctionarissen via sociale engineeringtechnieken en de TAMECAT malware. Wereldwijd worden mensen slachtoffer van de snelgroeiende 'schermdelen oplichting' via WhatsApp, waarbij oplichters zich voordoen als bankmedewerkers of andere vertrouwde personen om slachtoffers te misleiden hun scherm te delen en zo toegang te krijgen tot gevoelige informatie en OTP's, met aanzienlijke financiële verliezen. Hackers misbruiken Remote Monitoring and Management (RMM) tools zoals LogMeIn en PDQ Connect om malware te verspreiden, door zich voor te doen als legitieme software installaties, en installeren zo PatoRAT voor volledige controle over systemen. Een nep Bitcoin applicatie verbergt de bekende DarkComet remote access trojan (RAT) malware, gericht op cryptocurrency gebruikers die tools van onbetrouwbare bronnen downloaden. De ClickFix aanval richt zich op zowel Windows als macOS gebruikers met informatie stelende malware zoals ACR stealer en Odyssey infostealer, door gebruik te maken van social engineering en nepwebpagina’s op vertrouwde platforms. Een geavanceerde aanvalscampagne genaamd 'Contagious Interview' misbruikt legitieme JSON opslagservices zoals JSON Keeper en npoint.io om malware zoals de BeaverTail infostealer en InvisibleFerret Remote Access Tool te verspreiden, gericht op softwareontwikkelaars via valse sollicitaties. Ten slotte heeft de SmartApeSG campagne zijn aanvallen verfijnd door gebruik te maken van de ClickFix techniek, waarbij gebruikers worden misleid met valse CAPTCHA pagina’s om het NetSupport RAT (Remote Access Tool) te installeren.
Internationale inspanningen tegen cybercriminaliteit
In een belangrijke actie tegen cybercriminaliteit heeft het Team Cybercrime Oost-Nederland 250 fysieke servers in beslag genomen tijdens een grootschalig onderzoek naar een zogenoemde bulletproof hoster. Deze hoster, die volledige anonimiteit aanbood, werd sinds 2022 in meer dan tachtig nationale en internationale onderzoeken gelinkt aan criminele activiteiten zoals ransomware aanvallen, botnets en de verspreiding van kindermisbruikmateriaal. De actie vond plaats in datacenters in Den Haag en Zoetermeer, waarbij ongeveer duizend virtuele servers offline zijn gehaald. Op internationaal niveau hebben de Amerikaanse autoriteiten een nieuwe Strike Force opgezet om grootschalige Chinese cryptofraudenetwerken aan te pakken die jaarlijks bijna tien miljard dollar van Amerikaanse slachtoffers buitmaken. Deze teams, bestaande uit het ministerie van Justitie, de FBI, de Secret Service en het openbaar ministerie, richten zich op het opsporen van geldstromen, het in beslag nemen van digitale tegoeden en het ontmantelen van criminele infrastructuur in Zuidoost-Azië, waar slachtoffers van mensenhandel tot fraude worden gedwongen.
Geopolitieke spanningen en de rol van AI
De geopolitieke arena ziet een groeiende rol voor cybercapaciteiten, waarbij kunstmatige intelligentie een centrale speler wordt. Onderzoekers van het Amerikaanse bedrijf Anthropic hebben een cyberoperatie ontdekt waarbij kunstmatige intelligentie werd ingezet om delen van een hackcampagne te automatiseren. Deze operatie, die wordt gelinkt aan de Chinese overheid en zich richtte op ongeveer dertig personen werkzaam bij technologiebedrijven, financiële instellingen, chemische ondernemingen en overheidsorganisaties, is een zorgwekkende ontwikkeling vanwege de snelheid waarmee AI gestuurde aanvallen zich ontwikkelen. In Nederland benadrukt David van Weel, demissionair minister van Buitenlandse Zaken, de urgentie van een AI strategie voor nationale en internationale veiligheid. Hij pleit voor effectieve wet- en regelgeving rondom AI via de EU, de NAVO en de VN, en wijst erop dat landen zoals China AI gebruiken voor grootschalige surveillantie, wat in strijd is met Europese normen van privacy en mensenrechten. Ondertussen stelt de Duitse politieke partij Alternative für Deutschland (AfD) in parlementen vragen die lijken te sympathiseren met de Russische belangen, wat de spanning tussen Rusland en Europese landen verder polariseert en de publieke opinie tracht te beïnvloeden.
De evolutie van het digitale landschap
Google is bezig met het heroverwegen van de invoering van verplichte identiteitsverificatie voor alle Android ontwikkelaars, nadat het eerder aangekondigde beleid leidde tot stevige kritiek uit de gemeenschap. Het bedrijf komt nu met een afzonderlijk accounttype voor ontwikkelaars die apps in beperkte kring willen verspreiden en werkt aan een nieuw proces voor ervaren gebruikers die bewust ongeverifieerde apps installeren, waarbij de uiteindelijke keuze bij de gebruiker blijft.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.
Meta AI lek kaapt Instagram, vier Benelux datalekken
In het weekend van 30 en 31 mei en op maandag 1 juni 2026 stond kunstmatige intelligentie centraal als nieuw aanvalsoppervlak. Een lek in de digitale assistent Meta AI maakte het mogelijk om Instagramaccounts over te nemen, zelfs met tweefactorauthenticatie, waarbij het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van Barack Obama het bekendste slachtoffer was. Tegelijk verschenen op cybercrimefora vermeende datasets van vier grote organisaties uit Nederland en België, waaronder het Utrechtse BCD Travel en het grootste Belgische ziekenfonds. De opsporing boekte een succes met de aanhouding van de beheerder van een van de grootste platforms voor gestolen data. Verder worden twee kwetsbaarheden in Palo Alto GlobalProtect en de WordPress plugin WP Maps Pro op dit moment actief misbruikt.
Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt
In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.
Ajax hack Buren, NL ransomware en valse AI installaties
In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.
FIOD 800 servers, TrapDoor npm en Ghost CMS ClickFix
In de periode van vrijdag 22 tot en met zondag 24 mei 2026 arresteerde de FIOD twee verdachten en nam meer dan 800 servers in beslag van een hostingbedrijf dat vermoedelijk Russische cyberaanvallen en desinformatie faciliteerde. Dreigingsactor TrapDoor plaatste 34 kwaadaardige pakketten gericht op ontwikkelaars die AI coding assistants gebruiken, waarbij kwaadaardige instructiebestanden worden ingezet om toekomstige AI sessies te manipuleren. En op meer dan 700 websites, waaronder die van Harvard University en Oxford University, wordt een kritieke kwetsbaarheid in Ghost CMS (CVE-2026-26980) misbruikt om bezoekers via ClickFix naar malware te leiden.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.