Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen 24 uur werden gekenmerkt door een complexe vermenging van fysieke sabotage en digitale kwetsbaarheden, waarbij duidelijk werd dat de grens tussen de fysieke en digitale wereld steeds verder vervaagt. In Nederland en België, evenals in de rest van Europa, zien we dat zowel vitale infrastructuur als medische gegevens onder druk staan door een combinatie van geopolitieke spanningen, menselijke fouten en gerichte cybercriminaliteit.
Mysterieuze datalekken in de zorg en extreemrechts vandalisme treffen diverse organisaties
De impact van cyberincidenten op de samenleving blijft groot, waarbij zowel de zorgsector als kritieke internetinfrastructuur hard werden geraakt. Bij Clinical Diagnostics, een organisatie die cruciaal is voor bevolkingsonderzoeken, heerst bijna vier maanden na ontdekking van een grootschalig datalek nog altijd onduidelijkheid over de toedracht. De hack, waarbij gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen werden buitgemaakt, is onderwerp van onderzoek, maar staatssecretaris Tielen kon nog geen uitsluitsel geven over de oorzaak. Ondertussen voerde Z-CERT scans uit op kwetsbaarheden bij betrokken laboratoria. In een ander incident werden het Martini Ziekenhuis in Groningen, het Isala Ziekenhuis in Zwolle en vervoersbedrijf Arriva slachtoffer van de hackersgroep Black Witch. Deze groep plaatste nazi symbolen en de cijfers 14 en 18 op de websites, vermoedelijk om naamsbekendheid te genereren, al is diefstal van gegevens nog niet uitgesloten. Naast deze gerichte acties kampte het internetlandschap met een grootschalige verstoring door een fout bij Cloudflare. Een interne wijziging in databasepermissies leidde tot een cascade van fouten en een te groot configuratiebestand, waardoor diensten wereldwijd urenlang onbereikbaar waren. Hoewel dit geen cyberaanval betrof, legde het incident pijnlijk bloot dat het wegvallen van Cloudflare beveiliging sommige bedrijven direct kwetsbaar maakte voor aanvallen zoals SQL injecties, omdat hun interne verdediging tekortschoot. Een andere organisatie, actief in opslag en infrastructuur, werd wel degelijk het slachtoffer van een aanval, via een enkele klik op een valse CAPTCHA kreeg de groep Howling Scorpius toegang, wat leidde tot de installatie van Akira ransomware na 42 dagen onopgemerkte aanwezigheid in het netwerk.
Kritieke gaten in beveiligingssoftware en verouderde routers vormen direct gevaar
Softwareleveranciers en beveiligingsonderzoekers hebben alarm geslagen over diverse ernstige lekken die direct actie vereisen van systeembeheerders. Fortinet waarschuwde voor het actieve misbruik van een kwetsbaarheid in de FortiWeb firewall, waarmee geauthenticeerde aanvallers via HTTP requests commando's op het besturingssysteem kunnen uitvoeren; de situatie is zo ernstig dat Amerikaanse overheidsinstanties een ultrakorte patch termijn van een week kregen opgelegd. Ook in de mediaserver software Emby werd een kritiek lek ontdekt waarmee aanvallers administratieve rechten kunnen verkrijgen, terwijl de veelgebruikte WordPress plugin W3 Total Cache honderdduizenden websites blootstelde aan ongeautoriseerde commando injecties. Een specifiek en wijdverspreid risico vormt de verouderde hardware van Asus; duizenden end of life routers worden via de zogeheten WrtHug campagne en bekende AiCloud lekken overgenomen om te dienen als doorgeefluik voor crimineel verkeer. Daarnaast is op het dark web een zero day exploit voor Windows en Office te koop aangeboden voor 300.000 dollar, die code uitvoering op afstand mogelijk maakt zonder gebruikersinteractie. De integratie van AI brengt eveneens nieuwe risico's met zich mee, in Windows 11 creëert de "Ask Copilot" agent een aanvalsvector voor infostealers, en in het ServiceNow platform bleek een kwetsbaarheid aanwezig waarmee AI agenten via prompt injecties tegen elkaar kunnen worden uitgespeeld om gevoelige data te stelen.
Nieuwe aanvalsgolven misbruiken AI en verbergen malware in onschuldige bestanden
Cybercriminelen innoveren hun methoden in hoog tempo, waarbij het gebruik van AI en geavanceerde verhullingstechnieken opvalt. De ShadowRay 2.0 campagne zet AI gegenereerde payloads in om kwetsbare Ray clusters over te nemen voor cryptomining en datadiefstal. Tegelijkertijd ontwikkelt de groep ShinyHunters een eigen ransomware platform, ShinySp1d3r, dat forensisch onderzoek bemoeilijkt door logs te manipuleren. Een verontrustende trend is het gebruik van steganografie, waarbij een nieuwe .NET malware de beruchte Lokibot trojan verbergt in de kleurkanalen van PNG- en BMP-bestanden, waardoor deze onzichtbaar blijft voor veel beveiligingsscanners. Specifiek gericht op macOS gebruikers is de Nova Stealer, die legitieme crypto apps vervangt door malafide versies om wallets te plunderen. Ook mobiele gebruikers zijn niet veilig, in Brazilië verspreidt een Python gebaseerde worm de Eternidade Stealer via WhatsApp, en wereldwijd bleek een "gratis" VPN extensie voor Chrome jarenlang het verkeer van negen miljoen gebruikers af te tappen. Daarnaast worden gebruikers misleid via de Sneaky 2FA phishingkit, die inlogschermen nabootst met een 'Browser-in-the-Browser' techniek, en via de TamperedChef campagne die vervalste software installateurs verspreidt. Ook is er de opkomst van "The Gentlemen", een ransomware groep die een dubbele afpersingsstrategie hanteert en backups actief vernietigt.
Internationale politiediensten halen hostingnetwerken en witwassers neer
Op het gebied van rechtshandhaving zijn belangrijke successen geboekt tegen de facilitaire dienstverleners van cybercriminaliteit. De Verenigde Staten, het Verenigd Koninkrijk en Australië hebben gezamenlijk sancties opgelegd aan Russische 'bulletproof' hostingproviders en individuen zoals Aleksandr Volosovik, die gelinkt worden aan beruchte ransomwarebendes als LockBit en Evil Corp. In een gecoördineerde actie nam de politie in Nederland 250 servers in beslag van een dergelijke hostingdienst. Het NCSC en de FBI hebben in reactie hierop internetproviders geadviseerd strengere controles uit te voeren op hun klanten. Ook op andere fronten werd ingegrepen, Europol rolde een netwerk op dat via illegale streamingdiensten miljoenen euro's aan cryptovaluta witwaste, en in West-Afrika leidde een grensoperatie tot 62 arrestaties en de inbeslagname van smokkelwaar. In de VS bekende een man schuld aan het witwassen van 25 miljoen dollar uit een crypto diefstal, terwijl in Nederland het OM een taakstraf eiste tegen een man die uit onvrede DDoS aanvallen uitvoerde op zijn eigen werkgevers. Tot slot werd de fraudeur Valentín López, die geld voor een kankerpatiënt verduisterde, gelinkt aan een malware aanval via online games, wat leidde tot hernieuwde maatschappelijke verontwaardiging en onderzoek door beveiligingsexperts.
Hybride oorlogsvoering escaleert met fysieke aanvallen op spoorwegen en diplomatieke spanningen
De geopolitieke spanningen vertalen zich steeds vaker in hybride conflicten. Polen staat in de frontlinie en arresteerde twee Oekraïners die in opdracht van Russische inlichtingendiensten sabotage pleegden op een cruciale spoorlijn naar Oekraïne. Als reactie hierop sloot Polen het Russische consulaat in Gdańsk, waarbij de regering sprak van staatsterrorisme. Deze incidenten passen in een patroon waarin Rusland digitale aanvallen, desinformatie en fysieke sabotage combineert om Europa te destabiliseren. Ook economische belangen spelen een rol in deze strijd, minister Karremans heeft een ingreep bij chipfabrikant Nexperia opgeschort om de relatie met China te verbeteren en de export van chips veilig te stellen, al blijft de waakzaamheid voor ongewenste kennisoverdracht hoog. Binnen de Nederlandse krijgsmacht wordt de focus op het digitale domein verder versterkt met de overstap van kolonel Jorrit de Gruijter van de luchtmacht naar het Defensie Cyber Commando.
Privacyzorgen domineren de politieke agenda terwijl menselijke fouten risico’s vergroten
Naast acute dreigingen is er veel discussie over regelgeving en menselijk gedrag. Nederland heeft besloten zich te onthouden van stemming over het Europese voorstel voor chatcontrole vanwege aanhoudende zorgen over privacy en encryptie. Ook de plannen voor een digitale euro en aanpassingen aan de AVG stuiten op weerstand van organisaties als Privacy First en Noyb, die vrezen voor verwatering van burgerrechten. De Autoriteit Persoonsgegevens pleit daarnaast voor een strikter wettelijk kader voor OSINT onderzoeken door de overheid. De Europese Commissie tracht ondertussen de "cookie vermoeidheid" aan te pakken met nieuwe voorstellen om toestemmingsverzoeken te stroomlijnen. Dat menselijk handelen een zwakke schakel blijft, blijkt uit onderzoek van NordPass, generatie Z gebruikt nog slechtere wachtwoorden dan 80 plussers. Tevens heeft de rechtszaak die Meta won tegen de FTC mogelijke gevolgen voor hoe techreuzen in de toekomst met data en concurrentie omgaan.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.