Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen vierentwintig uur toonden opnieuw aan hoe kwetsbaar de grens is tussen digitale netwerken en de fysieke wereld, met incidenten die variëren van datadiefstal bij medische diensten tot spionage die militaire slagaanval faciliteert. Terwijl Nederland en België te maken hadden met specifieke lokale dreigingen en opmerkelijke hacks, speelden er zich wereldwijd ontwikkelingen af die de privacy en veiligheid van burgers en overheden ernstig onder druk zetten.
Grootschalige gegevensdiefstal en juridische strijd tussen techgiganten
In Rijswijk zijn de gevolgen van een omvangrijk datalek bij Clinical Diagnostics zichtbaar geworden, waarbij de privégegevens van meer dan 941.000 mensen betrokken zijn. Hoewel gegevens van het Bevolkingsonderzoek buiten schot bleven, zijn namen, adressen, burgerservicenummers en testuitslagen mogelijk buitgemaakt, waarvan een deel reeds op het darkweb is aangetroffen; betrokkenen worden per brief geïnformeerd over dit incident dat in juli 2025 werd ontdekt. In de zakelijke sfeer onderzoekt Salesforce een datadiefstal waarbij aanvallers via een koppeling met de Gainsight applicatie toegang probeerden te krijgen tot klantgegevens, wat leidde tot het preventief intrekken van toegangstokens. De spanningen in de technologiesector lopen eveneens hoog op nu TP Link een rechtszaak heeft aangespannen tegen concurrent Netgear. TP Link eist schadevergoeding voor een vermeende smaadcampagne waarin werd gesuggereerd dat hun routers door Chinese hackers waren gecompromitteerd, wat volgens het bedrijf tot meer dan een miljard dollar aan schade heeft geleid. Dichter bij huis, in het Belgische Herentals, zorgde een ethische hack voor opschudding toen inwoners op 20 november werden geconfronteerd met valse berichten op officiële kanalen over een zone die enkel toegankelijk zou zijn voor emissievrije voertuigen; een actie bedoeld om de digitale kwetsbaarheid van de stad aan te tonen.
Ernstige beveiligingslekken in archiveringssoftware en netwerkapparatuur
Onderzoekers en beveiligingsinstanties waarschuwen voor diverse kritieke lekken, waaronder een kwetsbaarheid in het populaire programma 7-Zip (CVE-2025-11001). De Britse NHS meldt dat aanvallers via speciaal geprepareerde archiefbestanden en symbolische links schadelijke code kunnen uitvoeren, ondanks dat er een update beschikbaar is. Netwerkapparatuur vormt eveneens een risico; D Link heeft aangegeven geen patches meer uit te brengen voor drie RCE kwetsbaarheden in de 'end-of-life' DIR-878 routers, die nu actief worden opgenomen in exploit-kits. Ook SonicWall waarschuwt voor een ernstige buffer overflow (CVE-2025-40601) in hun firewalls die systemen kan laten crashen. In de cloudomgeving richten criminelen zich met nieuwe ransomware varianten specifiek op Amazon S3 buckets, waarbij ze misbruik maken van misconfiguraties en klantbeheerde versleuteling om data onherstelbaar te gijzelen. Daarnaast detecteerde GreyNoise een explosieve toename van 2,3 miljoen scans gericht op GlobalProtect VPN portalen, wat vaak wijst op een voorbereiding voor aanvallen. Tot slot bleek uit Oostenrijks onderzoek dat een ontwerpfout in WhatsApp het scrapen van openbare gegevens van 3,5 miljard accounts mogelijk maakte, waarmee gedetailleerde gebruikersprofielen konden worden samengesteld.
Geavanceerde malwarecampagnes en misleiding via kunstmatige intelligentie
De dreigingen worden steeds complexer, zoals blijkt uit een spionagecampagne van een China Nexus APT groep die WinRAR kwetsbaarheden en DLL sideloading inzet om overheden in Zuidoost-Azië te infiltreren. Ook mobiele gebruikers zijn doelwit; de nieuwe malware Sturnus misbruikt toegankelijkheidsdiensten op Android om berichten van Signal en WhatsApp mee te lezen. Daarnaast breidt het Tsundere botnet zich uit via gekraakte games en gebruikt het Ethereum blockchaintechnologie om zijn infrastructuur te verbergen, terwijl de Rhadamanthys malware geavanceerde anti sandboxingtechnieken inzet om detectie te ontwijken. Een andere groep, aangeduid als APT24, heeft via een gehackt marketingbedrijf duizenden websites geïnfecteerd om bezoekers met valse browserupdates te misleiden. Naast technische hacks neemt fraude via social engineering toe; de Fraudehelpdesk waarschuwt voor criminelen die zich voordoen als medewerkers van de ‘Fraudehelpdesks van Nederland en België’ en slachtoffers via nepmails proberen te bestelen. Dit past in een bredere trend waarbij AI gedreven fraude, waaronder deepfakes, exponentieel groeit en het voor criminelen steeds makkelijker maakt om geloofwaardige oplichtingspraktijken op te zetten.
Internationale arrestaties en vonnissen in de strijd tegen cybermisdaad
Rechtshandhavingsdiensten hebben wereldwijd successen geboekt, waaronder de arrestatie van een door de FBI gezochte Russische hacker op het Thaise eiland Phuket, die verdacht wordt van aanvallen op overheidsinstellingen. In de Verenigde Staten zijn de oprichters van de cryptomixer Samourai Wallet veroordeeld tot celstraffen en een verbeurdverklaring van 237 miljoen dollar wegens het witwassen van crimineel geld. Binnen Europa versterkt Europol de druk met een speciaal team dat zich richt op het opsporen van netwerken die EU sancties tegen Rusland proberen te omzeilen. Daarnaast leidde een grootschalig onderzoek naar kunstsmokkel, gecoördineerd vanuit Bulgarije, tot 35 arrestaties en de inbeslagname van duizenden artefacten, waarbij digitale opsporingsmethoden een cruciale rol speelden in het blootleggen van het criminele netwerk.
Maritieme systemen ingezet voor fysieke militaire operaties
De vervaging tussen digitale aanvallen en kinetische oorlogsvoering is duidelijk zichtbaar geworden door acties van Iraanse hackgroepen. De groep Imperial Kitten, gelinkt aan de Iraanse Revolutionaire Garde, heeft cyberoperaties uitgevoerd om informatie te vergaren via het Automatic Identification System (AIS) en camera's van schepen. Deze digitale verkenning bleef niet beperkt tot spionage, maar werd direct gebruikt om fysieke raketaanvallen op maritieme doelen te coördineren. Dit incident onderstreept hoe cybercapaciteiten in toenemende mate worden ingezet als een direct verlengstuk van militaire operaties, wat een ernstige dreiging vormt voor de fysieke veiligheid van de internationale scheepvaart en kritieke infrastructuur.
Privacyzorgen en menselijk gedrag als zwakke schakel
Uit onderzoek van ABN AMRO blijkt dat de online veiligheid van veel Nederlanders afneemt door gemakzucht, waarbij veertig procent wachtwoorden hergebruikt ondanks een hoog risicobewustzijn. Deze menselijke factor speelt ook een rol op de groeiende 'arbeidsmarkt' op het darkweb, waar de vraag naar IT specialisten voor criminele doeleinden toeneemt. Op beleidsniveau is er forse kritiek van de Autoriteit Persoonsgegevens en burgerrechtenbeweging EDRi op de Europese 'digital omnibus' plannen; zij vrezen dat de voorgestelde versoepelingen van de AVG ten gunste van innovatie de privacy van burgers zullen ondermijnen. Tegelijkertijd integreert de overheid zelf nieuwe technologieën met de uitrol van de AI chatbot vlam chat voor duizenden rijksambtenaren, een stap die vragen oproept over de beveiliging van staatsgegevens in het tijdperk van kunstmatige intelligentie.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.