Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen vierentwintig uur werd het digitale landschap gedomineerd door een combinatie van menselijke fouten binnen de overheid en zeer geavanceerde aanvalstechnieken van statelijke actoren. Terwijl lokale bestuurders in Nederland worstelen met basisveiligheid, waarschuwen internationale diensten voor complexe malware die zich diep in servernetwerken nestelt. Deze ontwikkelingen tonen aan dat de digitale dreiging voor de regio Nederland en België onverminderd groot blijft en zich op meerdere fronten tegelijk manifesteert.
Friese privacyblunder en miljoenenverlies door gijzelsoftware en crypto manipulatie
In de Friese gemeente Dantumadiel ging het mis bij de verzending van een e-mail over een woningbouwproject, waarbij de e-mailadressen van meer dan honderd inwoners voor iedereen zichtbaar waren doordat de bcc functie niet werd gebruikt. Dit incident volgt op een eerdere fout dit jaar met een niet geregistreerde domeinnaam, wat de noodzaak voor betere interne procedures onderstreept. Op internationaal niveau werd de farmaceutische sector getroffen; het Amerikaanse bedrijf Inotiv bevestigde een datalek na een ransomware aanval door de groep Qilin in augustus 2025, waarbij 176 gigabyte aan data, waaronder personeelsgegevens, werd buitgemaakt. Ook individuele gebruikers van de Solana blockchain leden zware verliezen door een phishingcampagne waarbij aanvallers via een technische manipulatie de eigendomsrechten van wallets aanpasten. Hierdoor bleven de fondsen zichtbaar voor het slachtoffer, maar waren ze feitelijk onbereikbaar, wat in één geval leidde tot een verlies van drie miljoen dollar.
Kritieke weeffouten in documentsoftware en infrastructuur zetten beheerders op scherp
Systeembeheerders wereldwijd moeten direct in actie komen voor een kritiek lek in Apache Tika, software die veel wordt gebruikt voor documentanalyse. De kwetsbaarheid, geregistreerd als CVE-2025-66516, kreeg de maximale risicoscore van 10.0 omdat aanvallers via gemanipuleerde pdf bestanden systemen volledig kunnen overnemen. Ook gebruikers van Array Networks vpn apparaten lopen gevaar door een command injection lek in ArrayOS AG, dat in Japan al actief wordt misbruikt om webshells te plaatsen en waarvoor een patch uit mei 2025 essentieel is. In de ontwikkelhoek werd de Rust gemeenschap opgeschrikt door een kwaadaardig pakket genaamd finch rust, dat zich voordeed als een legitieme bio informaticatool maar via een verborgen afhankelijkheid inloggegevens stal. Daarnaast bleek de kwetsbaarheid van de centrale internetinfrastructuur toen een interne configuratiewijziging bij Cloudflare, en geen cyberaanval, leidde tot een wereldwijde uitval van diensten zoals LinkedIn en Zoom.
Van onzichtbare spionage in advertenties tot destructieve browseraanvallen
De diversiteit aan aanvalsvectoren nam de afgelopen dag toe met de ontdekking van BrickStorm, geavanceerde malware die door Chinese hackersgroepen zoals Warp Panda wordt ingezet tegen VMware vSphere servers. Deze malware gebruikt versleutelde verbindingen om onopgemerkt virtuele machines te creëren en data te stelen. Mobiele gebruikers lopen risico door Predator spyware die via de nieuwe Aladdin vector en advertentienetwerken telefoons kan infecteren zonder dat de gebruiker ergens op klikt. Android toestellen zijn specifiek doelwit van de ClayRat malware, die zich vermomt als populaire apps om sms berichten en camerabeelden te stelen. Een andere zorgwekkende ontwikkeling is een zero click aanval gericht op de Perplexity Comet browser, waarbij ogenschijnlijk beleefde e-mails een browseragent opdracht kunnen geven om een volledige Google Drive te wissen. Voor Windows gebruikers vormt de nieuwe CastleRAT een dreiging doordat deze klembordgegevens, zoals crypto adressen, steelt en versleuteld verstuurt. Zelfs offline opslag is niet veilig, aangezien de CoinMiner malware zich via verborgen mappen op usb sticks verspreidt. Tot slot waarschuwt de fbi voor virtuele ontvoeringen, waarbij criminelen met bewerkte sociale mediafoto's families afpersen.
Europese vuist tegen techreuzen en mensensmokkelnetwerken naast juridische winst voor banken
Europese justitiële diensten boekten een succes in de strijd tegen mensensmokkel, waarbij een samenwerking via Eurojust leidde tot zware celstraffen voor een netwerk dat opereerde vanuit onder meer België en Frankrijk. Het onderzoek, dat zwaar leunde op digitaal bewijs, volgde op fatale incidenten op het Kanaal. De Europese Commissie trad hard op tegen desinformatie door techbedrijf X een boete van 120 miljoen euro op te leggen vanwege het misleidende systeem met blauwe vinkjes en een gebrek aan advertentietransparantie. In Nederland oordeelde het Kifid in het voordeel van de bankensector; Nationale Nederlanden mag onbewerkte kopieën van identiteitsbewijzen opslaan omdat de verplichtingen uit de wet ter voorkoming van witwassen zwaarder wegen dan privacyrichtlijnen. In het Verenigd Koninkrijk startte het NCSC een proef met proactieve meldingen om organisaties te waarschuwen voor kwetsbaarheden die via internetscans zichtbaar zijn.
Russische hackers misbruiken diplomatieke evenementen voor digitale spionage
Russische staatsactoren, bekend als UTA0355, hebben hun spionageactiviteiten opgevoerd door zich voor te doen als organisatoren van Europese veiligheidsconferenties in Brussel en Belgrado. Via overtuigende neppagina's proberen ze inloggegevens voor cloudomgevingen te stelen van diplomaten en beleidsmakers. In het Midden-Oosten zet de groep MuddyWater een nieuwe achterdeur in genaamd UDPGangster, die communiceert via het udp protocol om detectiesystemen te omzeilen die zich focussen op tcp verkeer. Europol meldt tevens dat criminele netwerken steeds vaker geopolitieke instabiliteit misbruiken en geavanceerde technologieën inzetten om hun operaties te verhullen, wat de grens tussen zware criminaliteit en hybride oorlogsvoering verder doet vervagen.
Haagse zorgen over cloudsoevereiniteit en geheimzinnigheid rond chatcontrole
In politiek Den Haag weigerde de demissionair minister van justitie details te delen over de Nederlandse stem bij het Europese voorstel voor chatcontrole, uit vrees de diplomatieke positie te schaden. Tegelijkertijd uitte minister Bruijn zijn zorgen over de digitale soevereiniteit van de zorgsector, waarbij hij waarschuwde dat de toenemende opslag van patiëntendossiers in de cloud grote risico's met zich meebrengt. Deze roep om onafhankelijkheid klonk ook door in de financiële sector, waar het kabinet aangaf de afhankelijkheid van grote Amerikaanse techbedrijven te willen verminderen om systeemrisico's bij banken te beperken. Het gebrek aan volwaardige Europese alternatieven maakt deze ambitie voorlopig echter een complexe opgave voor beleidsmakers.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.