Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Vanwege de groeiende dreiging van cybercriminaliteit en digitale oorlogsvoering, schakelen we vanaf nu over naar de technische variant van het Cyberjournaal. Ons team blijft dagelijks scherp op de belangrijkste ontwikkelingen en duikt dieper dan ooit in de analyses. Zoek je liever een korte en begrijpelijke uitleg? Luister dan naar de podcast van drie minuten of bekijk de video hieronder. Daaronder vind je zoals altijd de uitgebreide technische editie van het journaal. Bedankt voor je begrip en blijf alert!
Powered by RedCircle
Powered by RedCircle
Kijk naar "PRESENTATIE" podcast.
Het voorbije weekend heeft een scala aan digitale ontwikkelingen gebracht, van spionage en datalekken tot kwetsbaarheden en de aanhoudende discussie over privacy. De dynamiek van cyberspace blijft onverminderd, met incidenten die de digitale infrastructuur en het vertrouwen van gebruikers op de proef stellen.
Clop groep eist datalek bij Logitech op, Jaguar Land Rover zwaar getroffen door cyberaanval
Logitech heeft recent een datalek bevestigd, veroorzaakt door een cyberaanval die door de Clop extortiegroep is opgeëist en die kwetsbaarheden in Oracle E-Business Suite misbruikte. Het bedrijf benadrukte dat er geen gevoelige nationale identificatienummers of creditcardinformatie werd getroffen, maar wel beperkte data van werknemers, consumenten, klanten en leveranciers. Jaguar Land Rover (JLR) heeft aanzienlijke financiële schade geleden, naar schatting ruim 220 miljoen dollar, als gevolg van een cyberaanval die op 2 september werd aangekondigd en waarbij productie in belangrijke fabrieken tijdelijk stil kwam te liggen. Gevoelige data werd gestolen, wat werd opgeëist door de groep Scattered Lapsus$ Hunters. Bovendien zijn op het darkweb recent inloggegevens van 1.200 FortiGate VPN netwerken te koop aangeboden, wat een direct en aanzienlijk risico vormt voor de getroffen organisaties.
Critical vulnerabilities in Cisco, XWiki, and legacy protocols exploited in recent cyberattacks
Een kritieke beveiligingsfout in de Cisco Catalyst Center Virtual Appliance, bekend als CVE-2025-20341, stelt aanvallers met beperkte toegang in staat om volledige beheerderscontrole te verkrijgen over getroffen systemen die draaien op VMware ESXi. De hoge ernst van deze kwetsbaarheid vereist onmiddellijke patching naar de gepatchte versie 2.3.7.10-VA. Daarnaast wordt het al lang bestaande 'Finger' protocol misbruikt in de ClickFix aanvallen om op afstand commando's uit te voeren op Windows systemen, wat het downloaden en installeren van malware, vaak infostealers, mogelijk maakt via de Windows opdrachtprompt. Verder worden onbeschermde XWiki servers actief geëxploiteerd door het RondoDox botnet via de CVE-2025-24893 kwetsbaarheid, een evaluatie injectie die het uitvoeren van willekeurige code toestaat en gebruikt wordt voor het installeren van cryptocurrency miners en het lanceren van DDoS aanvallen.
Noord-Koreaanse spionage, geavanceerde malware en AI gedreven cyberdreigingen domineren de digitale dreigingen van vandaag
Noord-Koreaanse spionnen hebben Amerikaanse techbedrijven geïnfiltreerd door onder valse identiteiten ICT posities te bemachtigen, gebruikmakend van tussenpersonen en 'laptop farms' om informatie te verzamelen en fondsen naar Noord-Korea door te sluizen. Lumma Stealer is een nieuwe malware die zich verspreidt via valse software updates en gekraakte applicaties, gericht op het stelen van inloggegevens, betaalinformatie en cryptocurrency walletdata via browserfingerprinting voor verborgen communicatie. De Akira ransomware blijft een van de meest actieve dreigingen, met meer dan 250 getroffen organisaties in Noord-Amerika, Europa en Australië, waarbij toegang vaak wordt verkregen via virtuele privé netwerken zonder multifactor authenticatie en kwetsbaarheden in Cisco producten worden misbruikt. Phishingcampagnes zijn eveneens geëvolueerd, met valse spamfiltermeldingen die gebruikers misleiden om inloggegevens te stelen, en geavanceerde phishingkits die Telegram kanalen gebruiken voor realtime dataverzameling en het omzeilen van tweefactorauthenticatie bij het imiteren van diensten zoals die van Aruba S.p.A. Formbook malware wordt verspreid via gezipte bestanden met meerdere scripts die zich voordoen als betalingsbevestigingen, terwijl de nieuwe macOS malware DigitStealer geavanceerde detectie ontwijkingstechnieken en hardwarecontroles gebruikt om gevoelige gegevens te stelen, specifiek gericht op de nieuwste Apple Silicon systemen. XWorm, een remote access trojan (RAT), wordt verspreid via nep facturen met Visual Basic Scripts (.vbs) om inloggegevens en gevoelige bestanden te stelen en volledige controle over geïnfecteerde machines te verkrijgen. RONINGLOADER, een recente dreiging gericht op Windows systemen, schakelt antivirusprogramma's zoals Windows Defender uit door misbruik te maken van digitaal ondertekende stuurprogramma's en PPL technieken. Tenslotte, de discussie over de claim van Anthropic dat een door China gesponsorde dreigingsgroep, GTG 1002, een grotendeels geautomatiseerde cyberespionage operatie uitvoerde via hun Claude Code AI model, benadrukt de groeiende aandacht voor de potentiële rol van AI in cyberaanvallen, ondanks de heersende scepsis over de reikwijdte van de claim. De vooruitgang in AI technologieën die stemmen en muziek nauwelijks van menselijke te onderscheiden maken, creëert nieuwe wegen voor digitale misleiding en identiteitsfraude, wat een verhoogd risico vormt voor cyberbeveiliging en de noodzaak tot strikte ethische en juridische kaders benadrukt.
Vijf personen schuldig verklaard in Noord-Koreaans cybernetwerk, Europa versterkt defensie tegen hybride dreigingen
Vijf individuen hebben zich schuldig verklaard voor hun rol in het helpen van Noord-Korea bij het infiltreren van Amerikaanse bedrijven en het genereren van illegale inkomsten, resulterend in meer dan 2,2 miljoen dollar voor het regime via remote IT werknemers en fraude. Dit omvatte de verkoop van gestolen identiteiten en de inbeslagname van miljoenen dollars aan gestolen cryptocurrency, afkomstig van hacks door de APT38 groep. Dit toont de vastberadenheid van opsporingsinstanties om internationale cybercriminaliteit en de financiering van statelijke actoren aan te pakken.
Europese defensieministers hebben in Berlijn hun voortdurende steun aan Oekraïne herbevestigd en benadrukten het belang van het versterken van Europa's defensiecapaciteiten tegen hybride dreigingen, zoals cyberaanvallen en desinformatie. De bijeenkomst van de "Groep van Vijf" markeert een gezamenlijke inzet voor de Euro Atlantische veiligheid en de versnelling van de Europese defensie industrie in het licht van aanhoudende conflicten.
Spamcampagnes op npm, nieuwe uitzonderingen contant geld en zorgen over chatcontrole in Europa
Een recente golf van spam op npm, onterecht bestempeld als "worm", blijkt een voortzetting van de TEA Protocol spamcampagnes die open source registratiesystemen misbruiken om kunstmatig afhankelijkheden te vergroten, wat leidt tot operationele verstoringen. Het demissionaire kabinet heeft uitzonderingen voorgesteld voor de acceptatieplicht van contant geld, zoals bij onbemande locaties of tussen 22.00 en 06.00 uur, in een poging witwaspraktijken te bestrijden. Deze maatregelen kunnen het gebruik van digitale betalingen stimuleren, wat op zijn beurt nieuwe uitdagingen kan creëren op het gebied van cyberdreigingen. Tot slot zijn er Kamervragen gesteld over het aangepaste Europese voorstel voor chatcontrole, dat de mogelijkheid voor chatdiensten om berichten te monitoren, in stand houdt. Dit wekt zorgen over de ondermijning van end to end encryptie en de potentiële schending van privacy en burgerrechten in digitale communicatie.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.