Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen 24 uur hebben opnieuw een complex beeld geschetst van de cyberveiligheid, met incidenten die variëren van datalekken en geavanceerde malwarecampagnes tot de bredere impact van hybride oorlogsvoering op de digitale en fysieke infrastructuur. Voor landen zoals Nederland en België, die nauw verbonden zijn met de mondiale digitale economie, zijn deze ontwikkelingen van directe relevantie, zowel in de context van nationale veiligheid als de bescherming van burgers en bedrijven.
Datadiefstal treft diverse sectoren
De Franse dochter van Eurofiber, een belangrijke speler in glasvezelnetwerken, bevestigde recentelijk een datalek dat zich beperkte tot haar regionale Franse merken, Eurafibre, FullSave, Netiwan en Avelia. Hierbij werd onbevoegde toegang verkregen tot klantgegevens via kwetsbaarheden in een ticketmanagementplatform en een portaal van hostingpartner ATE. Hoewel de Nederlandse, Belgische en Duitse klanten van Eurofiber Cloud Infra volgens het bedrijf niet zijn getroffen, onderstrepen geruchten over duizenden gestolen klantgegevens de potentiële schaal van dergelijke aanvallen. Gelijktijdig werd op het darkweb een veiling gemeld van 800 'fullz', complete gestolen identiteiten, waarvan de verkoper beweert dat 70% geldig is. Ook werden twee zorgwekkende veilingen van Fortinet VPN toegangspunten en inloggegevens aan het licht gebracht, met prijzen die de kwetsbaarheid van beveiligde netwerken benadrukken. Deze incidenten tonen aan hoe waardevol persoonlijke en bedrijfsgegevens zijn geworden voor cybercriminelen. In een andere zaak verloor een voormalig technisch manager van een Nederlands windmolenpark zijn baan en kreeg hij een taakstraf van 120 uur vanwege het aansluiten van cryptominers en Helium nodes op de bedrijfsrouter en windturbines. Dit werd beschouwd als diefstal van elektriciteit en computervredebreuk, waarbij de rechtbank een schadevergoeding van 4.155 euro toekende aan de windmolenfabrikant. Tot slot weigerde financiële dienstverlener ICS twee slachtoffers van een phishingaanval te vergoeden, die duizenden euro's verloren nadat ze creditcardgegevens invulden op een valse DHL site. Het klachteninstituut Kifid oordeelde dat de slachtoffers nalatig waren in het beschermen van hun gegevens.
Systemen onder vuur en ongewenste apps
De kwetsbaarheden in digitale systemen blijven een constante bron van zorg. Hackers misbruiken steeds vaker Microsoft Entra gastgebruiker uitnodigingen in zogenaamde TOAD aanvallen (Telephone Oriented Attack Delivery). Hierbij worden legitieme uitnodigingen gebruikt om slachtoffers te verleiden contact op te nemen met valse Microsoft ondersteuning en zo inloggegevens te stelen. Een andere dreiging komt van de 'EVALUSION' campagne, die de ClickFix techniek inzet om gebruikers te misleiden en systemen te infecteren met Amatera Stealer en NetSupport RAT, twee geavanceerde tools voor informatieverlies en afstandsbeheer. Deze campagne maakt gebruik van technieken zoals AES 256 CBC encryptie en het omzeilen van AMSI om detectie te voorkomen. Daarnaast maakt een recente malwarecampagne op het npm platform gebruik van Adspect cloaking om slachtoffers om te leiden naar crypto gerelateerde scamwebsites. Deze techniek verbergt schadelijke inhoud voor beveiligingsonderzoekers, terwijl echte slachtoffers naar phishingwebsites worden gestuurd. Naast deze externe dreigingen is er ook kritiek op Samsung, omdat Galaxy smartphones worden geleverd met de onverwijderbare app AppCloud, die automatisch opnieuw installeert na updates. Dit roept vragen op over gebruikersprivacy en de controle over vooraf geïnstalleerde software, aangezien de app niet zonder ingrijpende systeemwijzigingen kan worden verwijderd.
Malware en desinformatie versterken de druk
De NotDoor malware, gelinkt aan APT28 (Fancy Bear), maakt gebruik van Outlook macro’s en DLL sideloading via OneDrive.exe om systemen te infecteren en gegevens te stelen. Deze aanvallen zijn moeilijk te detecteren en laten sporen na zoals gewijzigde bestandsinstellingen en verdachte registerwijzigingen. De Duitse minister van Defensie Boris Pistorius waarschuwt dat Rusland binnen enkele jaren, rond 2028 of 2029, opnieuw over voldoende militaire slagkracht kan beschikken om de Europese veiligheid te ondermijnen, waarbij hybride strategieën een centrale rol spelen. Deze dreiging, gekenmerkt door digitale aanvallen, sabotage en desinformatie, wordt door verschillende analisten gezien als een continue test van de Europese defensie. Polen rapporteert ook vaker over drone incidenten en verstoringen aan de grens met Belarus, die passen binnen een bredere strategie om Europese lidstaten te destabiliseren. Het aantal incidenten met nepagenten in Nederland blijft stijgen, met 10.631 gevallen tot en met oktober, waarbij criminelen zich richten op ouderen om waardevolle spullen te stelen. De Nederlandse overheid lanceerde een campagne ‘Denk vooruit’ om burgers voor te bereiden op langdurige stroomuitval, die mogelijk het gevolg is van cyberaanvallen op het elektriciteitsnet, benadrukkend dat zelfredzaamheid essentieel is in dergelijke crisissituaties. Het kabinet steunt EU richtlijnen voor online leeftijdsverificatie, gericht op de bescherming van minderjarigen tegen schadelijke content, terwijl tegelijkertijd bezorgdheid groeit over voorgestelde aanpassingen aan de Algemene Verordening Gegevensbescherming (AVG), die de privacybescherming zouden kunnen verzwakken ten gunste van AI bedrijven.
Nieuwe successen en blijvende uitdagingen
In de strijd tegen cybercriminaliteit en online radicalisering zijn er ook successen te melden. Europol voerde op 13 november 2025 in samenwerking met acht Europese landen een gezamenlijke actie uit om online radicalisering tegen te gaan op gamingplatforms, wat leidde tot de verwijdering van meer dan 5.400 links naar jihadistische inhoud, 1.070 links naar gewelddadige extreemrechtse en terroristische inhoud en 105 links naar racistische en xenofobische content. Deze Referral Action Day richtte zich op inhoud die vaak via diverse lagen van platforms wordt verspreid. De Britse autoriteiten hebben daarnaast bepaald dat Joseph James O'Connor, de hacker die in juli 2020 de Twitter accounts van prominente figuren zoals Barack Obama en Elon Musk heeft gehackt, 5,4 miljoen dollar in Bitcoin moet terugbetalen. Dit volgt op zijn veroordeling in de Verenigde Staten tot vijf jaar gevangenisstraf en onderstreept de inzet van wetshandhavers om criminele winsten terug te vorderen, zelfs als de verdachte elders is veroordeeld. De politie in Nederland blijft ook inzetten op de opsporing van nepagenten, en hoewel het aantal incidenten stijgt, worden er steeds meer verdachten gepakt, mede dankzij meldingen van burgers die bij vermoedens 112 bellen.
Polen op de voorgrond van hybride dreigingen
Polen onderzoekt een explosie op de spoorlijn tussen Warschau en Lublin die de regering als doelbewuste sabotage beschouwt. Premier Donald Tusk ziet dit als een ernstige aantasting van de nationale veiligheid en plaatst het incident in een patroon van hybride activiteiten, waaronder drone incidenten, verstoringen aan de grens met Belarus en toenemende cyberaanvallen. Deze combinatie van digitale en fysieke acties vergroot de druk op Europese veiligheidsstructuren, aldus Tusk, die pleit voor samenwerking binnen de NAVO en versterking van de Europese defensieve capaciteit. De Duitse waarschuwing van Boris Pistorius voor een hernieuwde Russische militaire slagkracht rond 2028 of 2029 versterkt de aandacht voor deze hybride oorlogsvoering, waarin digitale aanvallen en desinformatie een centrale rol spelen in de destabilisatie van Europese landen.
Nieuwe strategieën en onopgeloste kwesties
De Israëlische spywarefirma NSO Group, bekend van Pegasus, heeft nieuw eigenaarschap en leiderschap aangesteld in een poging haar reputatie te herstellen en de Amerikaanse markt opnieuw te betrekken. David Friedman, voormalig Amerikaans ambassadeur in Israël en ex advocaat van president Trump, is aangesteld als uitvoerend voorzitter en wil de Pegasus software inzetten voor een veiligere wereld, met een belofte voorzichtiger om te gaan met licentiëring. Deze ontwikkeling blijft gevoelig, gezien de ethische bezorgdheden rondom het gebruik van dergelijke spyware en de wereldwijde discussie over privacy en digitale veiligheid. Tot slot blijft Google gegevens ontvangen van gedowngrade Nest Learning thermostaten van de eerste en tweede generatie, zelfs nadat de ondersteuning voor remote beheer is beëindigd in oktober 2025. Beveiligingsonderzoeker Cody Kociemba benadrukt dat de apparaten nog steeds temperatuur, luchtvochtigheid en aanwezigheid van personen naar Google servers sturen, wat vragen oproept over de controle van gebruikers over hun privacy.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.