Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang. Onderaan vind je de briefing ook als PDF.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen dag stond in het teken van een breed scala aan digitale incidenten die de kwetsbaarheid van zowel individuen als grote organisaties blootlegden. Van geavanceerde staatshacks gericht op persvrijheid tot fraude met pakketdiensten, het landschap van cyberdreigingen blijft zich in hoog tempo ontwikkelen. Er is in deze periode specifieke aandacht uitgegaan naar de beveiliging van vitale systemen in Nederland en België en de impact van internationale conflicten op de digitale infrastructuur in deze regio.
Fraudeurs misbruiken logistieke ketens en vertrouwde beveiligingsdiensten voor miljoenenroof
Criminelen worden steeds inventiever in het misbruiken van legitieme bedrijfsprocessen om slachtoffers te maken en geld buit te maken. Een opvallend voorbeeld hiervan is een omvangrijke fraudezaak waarbij Amazon voor maar liefst 260.000 euro werd opgelicht door manipulatie van een logistiek systeem. De daders wisten toegang te krijgen tot het netwerk van de logistieke dienstverlener door een terminal te klonen en zich voor te doen als medewerkers, waardoor ze retourzendingen konden simuleren en onterecht geld terugkregen voor goederen die ze zelf hielden. Tegelijkertijd kwamen er meldingen binnen over een mogelijk beveiligingsincident bij een bedrijf waarbij toegang zou zijn verkregen via de beheersoftware NetSupport. Hoewel deze tool bedoeld is voor legitiem systeembeheer op afstand, wordt deze steeds vaker door kwaadwillenden ingezet om ongemerkt netwerken binnen te dringen. Naast deze directe aanvallen op bedrijven worden ook consumenten en zakelijke gebruikers massaal bestookt via vertrouwde kanalen. Hackers maakten misbruik van de beveiligde linktechnologie van Mimecast om tienduizenden phishingmails te versturen die eruitzagen als bonafide meldingen van diensten als SharePoint en DocuSign. Ook de Amerikaanse dierenwinkelketen Petco kreeg te maken met een ernstig datalek waarbij mogelijk miljoenen klantgegevens, waaronder namen en adressen, op straat kwamen te liggen door een eenvoudige IDOR kwetsbaarheid in hun online portaal waardoor klantnummers voorspelbaar waren.
Kritieke patchronde dicht gaten in zakelijke software en hardware encryptie
Systeembeheerders hebben hun handen vol aan een reeks ernstige kwetsbaarheden die de afgelopen uren aan het licht zijn gekomen en die directe actie vereisen om netwerken veilig te houden. Ivanti waarschuwde voor een kritiek lek in hun Endpoint Manager software waarmee aanvallers willekeurige code kunnen uitvoeren, een probleem dat extra urgentie heeft omdat er in onze regio tientallen kwetsbare systemen zijn geïdentificeerd die direct gevaar lopen. Tegelijkertijd bracht Microsoft zijn maandelijkse beveiligingsupdates uit waarin zevenenvijftig lekken werden gedicht, waaronder drie zeroday kwetsbaarheden waarvan er één actief werd misbruikt. Een van de opvallendste problemen betreft een lek in Outlook waardoor het beantwoorden van een malafide email al voldoende kan zijn om een hacker toegang te geven tot het systeem. Ook in Windows zelf werd een ernstige fout verholpen die aanvallers in staat stelde om volledige systeemrechten te verkrijgen via de drivers voor cloudbestanden. Naast Microsoft moesten ook gebruikers van Fortinet producten alert zijn op een kritieke fout in de authenticatie waardoor hackers via gemanipuleerde berichten de inlogprocedure voor de cloudomgeving konden omzeilen. Verder werden er patches uitgebracht voor SAP systemen waar drie kritieke lekken in zaten en waarschuwde de Amerikaanse overheid voor het actieve misbruik van een kwetsbaarheid in het inpakprogramma WinRAR door diverse hackergroepen. Tot slot zijn er fundamentele fouten ontdekt in de encryptie van moderne PCIe systemen die de integriteit van dataverwerking in gevaar kunnen brengen.
Geavanceerde malwarekits en supply chain aanvallen bestoken financiële en ontwikkelomgevingen
De financiële sector en kritieke bedrijfsnetwerken worden geconfronteerd met steeds geavanceerdere aanvalsmethoden die specifiek zijn ontworpen om detectie te ontwijken. Een nieuwe phishingkit genaamd Spiderman richt zich specifiek op klanten van tientallen Europese banken en fintech diensten. Deze modulaire malware is in staat om realtime inloggegevens en verificatiecodes te onderscheppen door de websites van banken pixelperfect na te bootsen. Op technisch vlak baren de ontwikkelingen rondom de ValleyRAT malware zorgen aangezien onderzoekers hebben ontdekt dat deze software steeds vaker gebruikmaakt van geavanceerde technieken, zoals kernel rootkits, om zich diep in het Windows systeem te nestelen en beveiligingssoftware uit te schakelen. Ook ransomwarebendes zitten niet stil zoals blijkt uit de opkomst van de Makop ransomware die via bruteforce aanvallen op externe bureaubladverbindingen netwerken binnendringt en legitieme drivers misbruikt om beveiliging uit te schakelen. Daarnaast waarschuwen experts voor aanvallen op de toeleveringsketen zoals de Shai-Hulud 2.0 campagne en het misbruik van de React2Shell exploit waarmee servers worden overgenomen voor het delven van cryptomunten en het plaatsen van backdoors. Ook in het ontwikkelaarsdomein is waakzaamheid geboden nu npm klassieke tokens heeft ingetrokken en er waarschuwingen klinken over kwetsbaarheden in de vervangende OIDC authenticatieprotocollen. Zelfs standaard PowerShell commando's blijken risico's te bevatten, wat Microsoft ertoe heeft bewogen nieuwe waarschuwingen te implementeren bij het ophalen van webinhoud.
Celstraffen en internationale arrestaties in strijd tegen ddos aanvallen en datadiefstal
De strijd tegen cybercriminaliteit heeft geresulteerd in diverse successen waarbij opsporingsdiensten en justitie daders van zware digitale vergrijpen ter verantwoording riepen. In de fraudezaak rondom de gekloonde logistieke terminal zijn celstraffen uitgedeeld aan de hoofdverdachten die verantwoordelijk waren voor de omvangrijke oplichting. Ook is er een forse straf geëist tegen een man die verantwoordelijk wordt gehouden voor ddos aanvallen op de 112 centrale, acties die de bereikbaarheid van het alarmnummer ernstig verstoorden. De verdachten van de grootschalige helpdeskfraude rondom cryptobeurs Bitvavo blijven voorlopig langer vastzitten terwijl het onderzoek naar hun praktijken voortduurt. Internationaal was er sprake van een gecoördineerde actie waarbij de Spaanse politie een tiener arresteerde die verdacht wordt van het stelen en verkopen van miljoenen persoonsgegevens van diverse bedrijven. In de Verenigde Staten zijn zware aanklachten ingediend tegen een Oekraïense vrouw die ervan wordt beschuldigd cyberaanvallen te hebben uitgevoerd ter ondersteuning van Russische staatsgroepen, gericht op vitale infrastructuur zoals watersystemen. Deze opsporingsinspanningen worden ondersteund door een wereldwijde oproep van overheidsdiensten om het gebruik van standaardwachtwoorden in vitale sectoren definitief uit te bannen om zo de digitale deuren voor aanvallers te sluiten.
Digitale spionage en sanctie ontduiking door statelijke actoren onder druk
De digitale arena wordt steeds vaker gebruikt als strijdtoneel voor geopolitieke conflicten waarbij statelijke actoren hun invloed proberen uit te breiden en tegenstanders dwarsbomen. Reporters Without Borders onthulde dat zij doelwit zijn geweest van een cyberaanval die gelinkt kan worden aan de Russische inlichtingendienst FSB, specifiek de Calisto groep. De aanval was gericht op het ondermijnen van de organisatie die zich wereldwijd inzet voor journalisten en persvrijheid. Deze digitale agressie past in een breder patroon van Russische inmenging waarbij ook desinformatiecampagnes worden ingezet om westerse democratieën te destabiliseren. Het Verenigd Koninkrijk reageerde hierop met nieuwe sancties tegen Russische en Chinese actoren die beschuldigd worden van informatieoorlogvoering en cyberaanvallen. Tegelijkertijd bleek uit gelekte documenten dat Rusland er ondanks zware westerse sancties toch in slaagt om geavanceerde technologie te importeren voor de productie van straaljagers. Via omwegen in landen als Taiwan en Servië weet het land essentiële onderdelen zoals CNC machines voor zijn wapenindustrie te verkrijgen, wat de beperkte effectiviteit van de huidige embargo's blootlegt.
Zorgen over digitale autonomie en infrastructuur naast innovatieve mijlpalen
Binnen de overheid en de wetenschap woedt een levendige discussie over de balans tussen technologische vooruitgang en digitale soevereiniteit. Een belangrijke mijlpaal werd bereikt met een succesvolle test waarbij gemeentedata werd gekoppeld aan de Europese digitale identiteitswallet, wat een stap vooruit betekent voor grensoverschrijdende dienstverlening. Ondanks deze stap is er op politiek niveau twijfel over de noodzaak van de digitale euro waarbij vraagtekens worden gezet bij de behoefte van de burger. Zorgen over afhankelijkheid van grote techreuzen spelen ook bij de Belastingdienst waar politieke partijen zich verzetten tegen de overstap naar Microsoft 365 vanwege mogelijke risico's voor de privacy en autonomie in relatie tot Amerikaanse wetgeving. De AIVD probeert ondertussen technisch talent aan te trekken en uit te dagen met hun jaarlijkse kerstpuzzel. Op het gebied van toekomstige technologie bouwt QuantWare een nieuwe fabriek voor kwantumchips wat grote gevolgen kan hebben voor cryptografie en beveiliging. Tegelijkertijd luidt de wetenschappelijke wereld de noodklok omdat de positie op het gebied van digitale infrastructuur voor onderzoek verslechtert, wat niet alleen de wetenschap maar ook de nationale cybersecurity kan ondermijnen door verouderde systemen. Tot slot zorgt het Australische verbod op sociale media voor jongeren wereldwijd voor discussie over de haalbaarheid en wenselijkheid van dergelijke ingrijpende maatregelen ter bescherming van de jeugd.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.