Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dag tonen een verontrustend beeld van een digitale wereld waarin de grenzen tussen geopolitiek conflict en cybercriminaliteit vervagen. Terwijl Aziatische en Russische actoren hun krachten bundelen, worden westerse infrastructuren en individuen geconfronteerd met zowel technische kwetsbaarheden als geraffineerde oplichtingspraktijken. Van grootschalige diefstallen bij cryptobeurzen tot de stille dreiging van spionage in de toeleveringsketen; de incidenten onderstrepen de noodzaak voor verhoogde waakzaamheid in alle sectoren.
Miljoenendiefstal bij cryptobeurs en persoonlijke drama's door internationale oplichtingsnetwerken
De financiële sector en individuele burgers zijn de afgelopen 24 uur zwaar getroffen door uiteenlopende incidenten. In Zuid-Korea is de grootste cryptocurrency exchange, Upbit, slachtoffer geworden van een diefstal waarbij 44,5 miljard won (ongeveer 30,4 miljoen dollar) werd buitgemaakt via een abnormale opname. De autoriteiten wijzen naar de beruchte Lazarus groep, opererend vanuit Noord-Korea, als vermoedelijke dader. Deze aanval vond plaats op een precair moment, vlak voor de overname van het platform door internetgigant Naver. Naast cybercriminaliteit zorgde een technische storing bij CME Group op 28 november 2025 voor wereldwijde handelsverstoringen; door een koelingsprobleem in de datacenters van partner CyrusOne werd de handel in Amerikaanse futures stilgelegd, wat de kwetsbaarheid van digitale handelsinfrastructuren pijnlijk blootlegde. Ook de sportwereld deelde in de klappen, waarbij de Franse voetbalbond (FFF) bevestigde dat ledengegevens zijn gestolen na een inbraak op een account. Op individueel niveau onthulde de documentaire Pano hoe Vlamingen massaal slachtoffer worden van beleggingsfraude via Facebook, waarbij professionele callcenters in Belgrado, gedreven door een harde bonuscultuur, miljoenen buitmaken. Tegelijkertijd waarschuwt de Britse organisatie NPCC voor een toename in sextortion, waarbij criminelen, soms met behulp van AI, kinderen en ouders afpersen met intieme beelden.
Risico's door verouderde scripts en zorgen over privacy in cloud en biometrie
Onderzoekers hebben diverse technische en juridische zwakke plekken blootgelegd die de veiligheid van systemen ondermijnen. Een significant risico vormt het gebruik van verouderde Python pakketten die verwijzen naar het inmiddels te koop staande domein python distribute[.]org; kwaadwillenden kunnen dit domein registreren om via scripts systemen over te nemen. Daarnaast blijken verlaten synchronisatie domeinen in iCalendar een sluiproute voor criminelen, waarbij miljoenen apparaten ongemerkt verbinding blijven maken met onveilige servers. Op het dark web wordt zelfs geclaimd dat er een 'zero click' exploit voor iOS 26 te koop is die root toegang verschaft zonder enige gebruikersinteractie, hoewel de authenticiteit hiervan nog niet definitief is bevestigd. Privacyzorgen leiden ook tot fysieke verplaatsingen; de ontwikkelaars van het besturingssysteem GrapheneOS trekken hun infrastructuur terug uit Frankrijk vanwege de toenemende druk van autoriteiten om backdoors in te bouwen. Dat privacywetgeving tanden heeft, bleek in Spanje, waar luchthavenbeheerder Aena een boete van 10 miljoen euro kreeg voor het onrechtmatig inzetten van gezichtsherkenning. Tot slot waarschuwt de Zwitserse organisatie Privatim voor het opslaan van overheidsdata in de Amerikaanse cloud vanwege de CLOUD Act, die de Amerikaanse overheid toegang kan geven tot gegevens in Europa, wat pleit voor strikte encryptie waarbij de sleutels in eigen beheer blijven.
Misbruik van zakelijke platformen en inzet van kwaadaardige taalmodellen
Criminelen innoveren hun aanvalsmethoden met behulp van kunstmatige intelligentie en misbruik van vertrouwde merken. De groep Scattered Lapsus$ Hunters heeft het gemunt op gebruikers van Zendesk door meer dan veertig domeinen te registreren die legitieme inlogportalen nabootsen, met als doel inloggegevens en gevoelige bedrijfsdata te onderscheppen. Deze groep deinst niet terug voor het inzetten van malware die gelinkt is aan eerdere aanvallen op Salesforce. Met de feestdagen in het vooruitzicht hebben fraudeurs daarnaast wereldwijd 18.000 domeinnamen geregistreerd die inspelen op termen als 'Black Friday' en 'Kerstmis', waarbij ze gebruikmaken van een specifieke kwetsbaarheid in Adobe Magento (CVE-2025-54236) om webshops over te nemen. De drempel voor cybercrime verlaagt verder door de beschikbaarheid van kwaadaardige taalmodellen zoals WormGPT 4 en KawaiiGPT, die onervaren hackers helpen bij het schrijven van ransomware en phishingmails. Ook specifieke sectoren zijn doelwit, de Handala groep richt zich met gemanipuleerde LinkedIn data op de high techsector, terwijl de actor Bloody Wolf in Centraal Azië toeslaat met Java gebaseerde malware. De geopolitieke spanningen rondom chipfabrikant Nexperia laten zien hoe handelsconflicten de leveringszekerheid en veiligheid van kritieke hardware in gevaar kunnen brengen.
Identificatie van jonge verdachten en versterking van internationale politiestrategieën
Wetshandhavers boeken successen door internationale samenwerking en het delen van inlichtingen. In het onderzoek naar de Scattered Lapsus$ Hunters is een 15 jarige jongen, bekend onder het alias "Rey", geïdentificeerd als vermoedelijk kopstuk, hoewel hij betrokkenheid ontkent en stelt samen te werken met justitie. Dichter bij huis heeft het EVA Team van de Nederlandse politie in vier maanden tijd 46 voortvluchtige veroordeelden opgepakt, waaronder criminelen die internationaal opereerden. Op Europees niveau ondersteunde Europol acties tegen mensenhandelnetwerken in onder meer Frankrijk en Spanje, waarbij de verwevenheid van georganiseerde misdaad over grenzen heen duidelijk werd. Om de strijd tegen transnationale misdaad, inclusief cybercrime, te versterken, heeft INTERPOL een nieuw strategisch kader aangenomen dat loopt tot 2030. Preventief advies komt vanuit het Verenigd Koninkrijk, waar de overheid een nieuwe toolkit heeft gelanceerd om het midden- en kleinbedrijf te helpen met basismaatregelen zoals updates en wachtwoordbeheer, aangezien veel ondernemers beveiliging nog steeds als te complex ervaren.
Intensivering van spionage door samenwerking tussen statelijke hackergroepen
De verharding van geopolitieke relaties vertaalt zich direct naar het cyberdomein. Noord-Korea en Rusland hebben hun banden aangehaald, wat niet alleen blijkt uit culturele uitwisselingen zoals verplicht Russisch taalonderwijs, maar vooral uit de operationele samenwerking tussen de hackersgroepen Lazarus en Gamaredon. Deze groepen delen nu tactieken en middelen, wat de dreiging voor Europese doelwitten aanzienlijk vergroot. Daarnaast zorgt de publicatie van mogelijk onderschepte gesprekken tussen de Amerikaanse gezant Witkoff en Kremlin adviseurs voor diplomatieke onrust, waarbij de authenticiteit wordt betwist maar de impact op de informatieoorlog onmiskenbaar is. De APT groep Tomiris heeft ondertussen nieuwe, geavanceerde spionagetools ontwikkeld, waaronder het gebruik van open source C2 frameworks, om langdurig en onopgemerkt toegang te behouden tot netwerken van buitenlandse overheden en diplomatieke diensten.
Nieuw leiderschap bij de inlichtingendienst en inzichten in criminele carrières
Op bestuurlijk en maatschappelijk vlak worden stappen gezet om de digitale weerbaarheid te vergroten. Simone Smit is aangekondigd als de nieuwe directeur generaal van de AIVD per maart 2026; zij zal zich specifiek richten op het versterken van de technologische slagkracht van de dienst. Vanuit de overheid loopt nog steeds een onderzoek naar de invoering van een eenduidige .gov.nl extensie om burgers te helpen overheidswebsites beter te herkennen, al worden de resultaten pas eind 2025 verwacht. Wetenschappelijk onderzoek van het WODC biedt tot slot inzicht in de daderprofielen van cybercriminelen, de meesten stoppen na hun twintigste levensjaar, maar een kleine, technisch zeer vaardige kern blijft actief en vormt een langdurig risico voor de digitale veiligheid.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.