Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
Datalekken bij luchtvaart en communicatieplatformen door derde partijen
Een grootschalig datalek bij luchtvaartmaatschappij Iberia toont opnieuw de risico’s van de toeleveringsketen aan, nadat hackers 77 GB aan gegevens wisten te stelen via een externe leverancier. Hoewel financiële data veilig bleven, zijn persoonsgegevens en loyaliteitsnummers gecompromitteerd, wat de kwetsbaarheid van derde partijen in het ecosysteem onderstreept. Een nog groter privacy incident kwam aan het licht bij WhatsApp, waar onderzoekers via een kwetsbaarheid in de API maar liefst 3,5 miljard accounts konden extraheren. Door het ontbreken van limieten op de contactdiscoveriefunctie waren profielafbeeldingen en gekoppelde apparaten eenvoudig op te halen, wat de risico's van onbeveiligde interfaces pijnlijk duidelijk maakt. Ook in de cybersecuritysector zelf ging het mis bij CrowdStrike, waar een medewerker werd ontslagen voor het lekken van interne screenshots. Deze beelden werden door de groep Scattered Lapsus$ Hunters op Telegram verspreid om onterecht een hack te claimen, terwijl het in werkelijkheid ging om een interne fout zonder dat systemen daadwerkelijk waren binnengedrongen.
Kritieke softwarefouten in zakelijke systemen en infrastructuur
Lokaal is een verontrustende trend zichtbaar waarbij specifieke softwarelekken actief worden misbruikt, met name in de business intelligence tool Metabase waarvoor de kwetsbaarheid CVE-2023-38646 geldt. Ook netwerkapparatuur van Cisco en beveiligingscamera’s van Dahua blijken in onze regio veelvuldig doelwit door onveilige standaardinstellingen, terwijl bedrijven die CrushFTP gebruiken extra waakzaam moeten zijn voor bestandsoverdrachtrisico's. Op mondiaal niveau is alarm geslagen over een kritiek lek in Oracle Identity Manager met een score van 9.8, dat aanvallers in staat stelt op afstand code uit te voeren en waarvoor inmiddels dwingende updates zijn bevolen. Daarnaast wordt op sociale media veelvuldig gewaarschuwd voor diverse andere CVE's, waaronder een fout in de libpng bibliotheek die applicaties kan laten crashen en een lek in de grafische tool Grafana. De snelheid waarmee aanvallers scannen naar deze openingen in zowel zakelijke software als infrastructuurcomponenten vergt onmiddellijke actie van systeembeheerders.
Menselijke spionage en kunstmatige intelligentie als nieuwe gevaren
Spionageactiviteiten nemen steeds complexere vormen aan, waarbij China in Europa de focus verlegt naar menselijke bronnen en langdurige infiltratie binnen academische en zakelijke netwerken om technologische kennis te vergaren. Deze hybride tactiek wordt aangevuld met digitale misleiding, zoals een recente campagne waarbij hackers zich voordoen als journalisten van TechCrunch om via valse interviews techbedrijven binnen te dringen. Toekomstige dreigingen dienen zich aan via de entertainmentindustrie, waar de ontwikkeling van volledig door AI gegenereerde films door partijen als Luma AI de deur opent voor geavanceerde deepfakes en desinformatiecampagnes. Ook de snelle opkomst van datacenters in de ruimte brengt nieuwe veiligheidsvraagstukken met zich mee die vooralsnog onderbelicht blijven. Met de feestdagen in het vooruitzicht wordt daarnaast gewaarschuwd voor de jaarlijkse piek in cybercriminaliteit rondom Black Friday, waarbij consumenten extra risico lopen op digitale fraude.
Militaire actie tegen luchtruimschendingen en forensische reconstructies
De beveiliging van militaire objecten stond op scherp toen drones werden waargenomen boven vliegbasis Volkel, de thuisbasis van F-35 gevechtsvliegtuigen. Defensie heeft hierop ingegrepen door wapens in te zetten om de onbemande toestellen uit de lucht te halen, waarna de Koninklijke Marechaussee een onderzoek is gestart naar dit ernstige incident. Op digitaal forensisch vlak is er succes geboekt met de analyse van een complexe Qilin ransomware aanval. Ondanks dat de aanvallers probeerden hun sporen te wissen en beveiligingssoftware zoals Windows Defender uit te schakelen, wisten onderzoekers via beperkte logbestanden het aanvalspad te reconstrueren. Het bleek dat de criminelen via legitieme beheertools toegang kregen en lateraal door het netwerk bewogen, een inzicht dat cruciaal is voor het detecteren van soortgelijke stealth aanvallen in de toekomst.
Geopolitieke strijd verschuift naar sabotage van bondgenoten
Oekraïne profileert zich nadrukkelijk als een strategische speler die verder kijkt dan het directe conflict met Rusland, door cybercapaciteiten in te zetten tegen Chinese proxynetwerken en logistieke ketens wereldwijd. Deze acties in de 'grijze zone' tonen aan hoe digitale middelen kunnen worden gebruikt om invloedssferen van grootmachten te verstoren zonder directe militaire escalatie. Opvallend is ook de activiteit van de aan China gelieerde groep APT31, die betrapt is op spionagecampagnes gericht tegen de Russische IT sector. Door gebruik te maken van Russische clouddiensten zoals Yandex voor hun commando infrastructuur, wisten deze aanvallers lange tijd onopgemerkt data te stelen van bedrijven die voor de Russische overheid werken. Het illustreert een complex speelveld waarin zelfs politieke bondgenoten niet veilig zijn voor elkaars digitale spionageoperaties.
Politieke zorgen over digitale soevereiniteit en privacywetgeving
In de politieke arena is er zorg ontstaan over de voorgenomen overname van cloudbedrijf Solvinity door het Amerikaanse Kyndryl, aangezien dit bedrijf essentiële diensten zoals DigiD en MijnOverheid faciliteert. Het kabinet onderzoekt momenteel de impact van deze deal op de nationale veiligheid en de controle over overheidsdata. Tegelijkertijd heeft de AIVD een scherpe waarschuwing afgegeven over Europese plannen voor chatcontrole, die volgens de inlichtingendienst de digitale weerbaarheid kunnen verzwakken door het ondermijnen van encryptie. Vanuit de Verenigde Staten klinken eveneens zorgwekkende geluiden over bezuinigingen bij cyberagentschap CISA, wat de capaciteit om verkiezingsprocessen te beschermen tegen buitenlandse inmenging onder druk zet. Deze ontwikkelingen tonen aan dat beleidskeuzes en marktwerking directe gevolgen hebben voor de integriteit van onze digitale samenleving.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.