Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen 24 uur werden gekenmerkt door een complexe vermenging van fysieke sabotage en digitale kwetsbaarheden, waarbij duidelijk werd dat de grens tussen de fysieke en digitale wereld steeds verder vervaagt. In Nederland en België, evenals in de rest van Europa, zien we dat zowel vitale infrastructuur als medische gegevens onder druk staan door een combinatie van geopolitieke spanningen, menselijke fouten en gerichte cybercriminaliteit.
Mysterieuze datalekken in de zorg en extreemrechts vandalisme treffen diverse organisaties
De impact van cyberincidenten op de samenleving blijft groot, waarbij zowel de zorgsector als kritieke internetinfrastructuur hard werden geraakt. Bij Clinical Diagnostics, een organisatie die cruciaal is voor bevolkingsonderzoeken, heerst bijna vier maanden na ontdekking van een grootschalig datalek nog altijd onduidelijkheid over de toedracht. De hack, waarbij gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen werden buitgemaakt, is onderwerp van onderzoek, maar staatssecretaris Tielen kon nog geen uitsluitsel geven over de oorzaak. Ondertussen voerde Z-CERT scans uit op kwetsbaarheden bij betrokken laboratoria. In een ander incident werden het Martini Ziekenhuis in Groningen, het Isala Ziekenhuis in Zwolle en vervoersbedrijf Arriva slachtoffer van de hackersgroep Black Witch. Deze groep plaatste nazi symbolen en de cijfers 14 en 18 op de websites, vermoedelijk om naamsbekendheid te genereren, al is diefstal van gegevens nog niet uitgesloten. Naast deze gerichte acties kampte het internetlandschap met een grootschalige verstoring door een fout bij Cloudflare. Een interne wijziging in databasepermissies leidde tot een cascade van fouten en een te groot configuratiebestand, waardoor diensten wereldwijd urenlang onbereikbaar waren. Hoewel dit geen cyberaanval betrof, legde het incident pijnlijk bloot dat het wegvallen van Cloudflare beveiliging sommige bedrijven direct kwetsbaar maakte voor aanvallen zoals SQL injecties, omdat hun interne verdediging tekortschoot. Een andere organisatie, actief in opslag en infrastructuur, werd wel degelijk het slachtoffer van een aanval, via een enkele klik op een valse CAPTCHA kreeg de groep Howling Scorpius toegang, wat leidde tot de installatie van Akira ransomware na 42 dagen onopgemerkte aanwezigheid in het netwerk.
Kritieke gaten in beveiligingssoftware en verouderde routers vormen direct gevaar
Softwareleveranciers en beveiligingsonderzoekers hebben alarm geslagen over diverse ernstige lekken die direct actie vereisen van systeembeheerders. Fortinet waarschuwde voor het actieve misbruik van een kwetsbaarheid in de FortiWeb firewall, waarmee geauthenticeerde aanvallers via HTTP requests commando's op het besturingssysteem kunnen uitvoeren; de situatie is zo ernstig dat Amerikaanse overheidsinstanties een ultrakorte patch termijn van een week kregen opgelegd. Ook in de mediaserver software Emby werd een kritiek lek ontdekt waarmee aanvallers administratieve rechten kunnen verkrijgen, terwijl de veelgebruikte WordPress plugin W3 Total Cache honderdduizenden websites blootstelde aan ongeautoriseerde commando injecties. Een specifiek en wijdverspreid risico vormt de verouderde hardware van Asus; duizenden end of life routers worden via de zogeheten WrtHug campagne en bekende AiCloud lekken overgenomen om te dienen als doorgeefluik voor crimineel verkeer. Daarnaast is op het dark web een zero day exploit voor Windows en Office te koop aangeboden voor 300.000 dollar, die code uitvoering op afstand mogelijk maakt zonder gebruikersinteractie. De integratie van AI brengt eveneens nieuwe risico's met zich mee, in Windows 11 creëert de "Ask Copilot" agent een aanvalsvector voor infostealers, en in het ServiceNow platform bleek een kwetsbaarheid aanwezig waarmee AI agenten via prompt injecties tegen elkaar kunnen worden uitgespeeld om gevoelige data te stelen.
Nieuwe aanvalsgolven misbruiken AI en verbergen malware in onschuldige bestanden
Cybercriminelen innoveren hun methoden in hoog tempo, waarbij het gebruik van AI en geavanceerde verhullingstechnieken opvalt. De ShadowRay 2.0 campagne zet AI gegenereerde payloads in om kwetsbare Ray clusters over te nemen voor cryptomining en datadiefstal. Tegelijkertijd ontwikkelt de groep ShinyHunters een eigen ransomware platform, ShinySp1d3r, dat forensisch onderzoek bemoeilijkt door logs te manipuleren. Een verontrustende trend is het gebruik van steganografie, waarbij een nieuwe .NET malware de beruchte Lokibot trojan verbergt in de kleurkanalen van PNG- en BMP-bestanden, waardoor deze onzichtbaar blijft voor veel beveiligingsscanners. Specifiek gericht op macOS gebruikers is de Nova Stealer, die legitieme crypto apps vervangt door malafide versies om wallets te plunderen. Ook mobiele gebruikers zijn niet veilig, in Brazilië verspreidt een Python gebaseerde worm de Eternidade Stealer via WhatsApp, en wereldwijd bleek een "gratis" VPN extensie voor Chrome jarenlang het verkeer van negen miljoen gebruikers af te tappen. Daarnaast worden gebruikers misleid via de Sneaky 2FA phishingkit, die inlogschermen nabootst met een 'Browser-in-the-Browser' techniek, en via de TamperedChef campagne die vervalste software installateurs verspreidt. Ook is er de opkomst van "The Gentlemen", een ransomware groep die een dubbele afpersingsstrategie hanteert en backups actief vernietigt.
Internationale politiediensten halen hostingnetwerken en witwassers neer
Op het gebied van rechtshandhaving zijn belangrijke successen geboekt tegen de facilitaire dienstverleners van cybercriminaliteit. De Verenigde Staten, het Verenigd Koninkrijk en Australië hebben gezamenlijk sancties opgelegd aan Russische 'bulletproof' hostingproviders en individuen zoals Aleksandr Volosovik, die gelinkt worden aan beruchte ransomwarebendes als LockBit en Evil Corp. In een gecoördineerde actie nam de politie in Nederland 250 servers in beslag van een dergelijke hostingdienst. Het NCSC en de FBI hebben in reactie hierop internetproviders geadviseerd strengere controles uit te voeren op hun klanten. Ook op andere fronten werd ingegrepen, Europol rolde een netwerk op dat via illegale streamingdiensten miljoenen euro's aan cryptovaluta witwaste, en in West-Afrika leidde een grensoperatie tot 62 arrestaties en de inbeslagname van smokkelwaar. In de VS bekende een man schuld aan het witwassen van 25 miljoen dollar uit een crypto diefstal, terwijl in Nederland het OM een taakstraf eiste tegen een man die uit onvrede DDoS aanvallen uitvoerde op zijn eigen werkgevers. Tot slot werd de fraudeur Valentín López, die geld voor een kankerpatiënt verduisterde, gelinkt aan een malware aanval via online games, wat leidde tot hernieuwde maatschappelijke verontwaardiging en onderzoek door beveiligingsexperts.
Hybride oorlogsvoering escaleert met fysieke aanvallen op spoorwegen en diplomatieke spanningen
De geopolitieke spanningen vertalen zich steeds vaker in hybride conflicten. Polen staat in de frontlinie en arresteerde twee Oekraïners die in opdracht van Russische inlichtingendiensten sabotage pleegden op een cruciale spoorlijn naar Oekraïne. Als reactie hierop sloot Polen het Russische consulaat in Gdańsk, waarbij de regering sprak van staatsterrorisme. Deze incidenten passen in een patroon waarin Rusland digitale aanvallen, desinformatie en fysieke sabotage combineert om Europa te destabiliseren. Ook economische belangen spelen een rol in deze strijd, minister Karremans heeft een ingreep bij chipfabrikant Nexperia opgeschort om de relatie met China te verbeteren en de export van chips veilig te stellen, al blijft de waakzaamheid voor ongewenste kennisoverdracht hoog. Binnen de Nederlandse krijgsmacht wordt de focus op het digitale domein verder versterkt met de overstap van kolonel Jorrit de Gruijter van de luchtmacht naar het Defensie Cyber Commando.
Privacyzorgen domineren de politieke agenda terwijl menselijke fouten risico’s vergroten
Naast acute dreigingen is er veel discussie over regelgeving en menselijk gedrag. Nederland heeft besloten zich te onthouden van stemming over het Europese voorstel voor chatcontrole vanwege aanhoudende zorgen over privacy en encryptie. Ook de plannen voor een digitale euro en aanpassingen aan de AVG stuiten op weerstand van organisaties als Privacy First en Noyb, die vrezen voor verwatering van burgerrechten. De Autoriteit Persoonsgegevens pleit daarnaast voor een strikter wettelijk kader voor OSINT onderzoeken door de overheid. De Europese Commissie tracht ondertussen de "cookie vermoeidheid" aan te pakken met nieuwe voorstellen om toestemmingsverzoeken te stroomlijnen. Dat menselijk handelen een zwakke schakel blijft, blijkt uit onderzoek van NordPass, generatie Z gebruikt nog slechtere wachtwoorden dan 80 plussers. Tevens heeft de rechtszaak die Meta won tegen de FTC mogelijke gevolgen voor hoe techreuzen in de toekomst met data en concurrentie omgaan.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel
Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.