Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen dag werd gekenmerkt door een intensieve reeks digitale verstoringen waarbij essentiële voorzieningen en commerciële diensten het zwaar te verduren kregen. Terwijl internationale conflicten zich steeds duidelijker vertalen naar sabotage en spionage in het digitale domein, worstelen organisaties in deze regio met geavanceerde gijzelsoftware en overbelastingsaanvallen die de samenleving direct raken. In dit overzicht worden de cruciale incidenten en trends van de afgelopen 24 uur geduid, met specifieke aandacht voor de impact op Nederland en België en de wereldwijde dreigingen die hierop van invloed zijn.
Belgische energiesector onder vuur en dodelijk geweld tegen nederlandse cryptobezitter
De digitale infrastructuur in de directe omgeving heeft zware klappen gekregen door diverse kwaadwillende actoren die zich richten op vitale sectoren. Het Belgische tankstationbedrijf SCIPIONI is getroffen door de MORPHEUS ransomwaregroep, die bekendstaat om het versleutelen van netwerken en het eisen van losgeld. Terwijl dit bedrijf werkt aan herstel, werden andere cruciale onderdelen van de Belgische maatschappij bestookt door de hackersgroep NoName. Deze groepering voerde gecoördineerde distributed denial of service aanvallen uit op websites van grote spelers zoals de Proximus Group, Telenet Group en energiemaatschappij ENGIE Electrabel. Ook overheidsinstellingen zoals het Directoraat generaal Statistiek en lokale besturen van Lo Reninge en Linkebeek ondervonden hinder, evenals de politieke partij Mouvement Réformateur. Naast deze digitale aanvallen op infrastructuur is er sprake van fysiek geweld met een digitale link. Een 37 jarige Nederlandse cryptomiljonair is in de Spaanse stad Mijas ontvoerd en later dood aangetroffen. Hij werd slachtoffer van een bende die zich specifiek richt op vermogende bezitters van cryptovaluta. Consumenten lopen ondertussen risico door het downloaden van torrentbestanden van de film One Battle After Another, waarin criminelen de Agent Tesla malware hebben verstopt via een kwaadaardig snelkoppelingsbestand.
Kritieke lekken in servers en populaire software vereisen onmiddellijke actie
Beveiligingsonderzoekers en overheidsinstanties hebben gewaarschuwd voor een reeks ernstige kwetsbaarheden die systemen wereldwijd blootstellen aan risico's. Een prominente dreiging wordt gevormd door een lek in GeoServer, aangeduid als CVE-2025-58360, dat actief wordt misbruikt via XML External Entity injecties. De Amerikaanse CISA heeft federale instanties verplicht deze kwetsbaarheid in versies ouder dan 2.26.2 voor 1 januari 2026 te dichten. Ook in het React framework zijn meerdere problemen ontdekt, waaronder de kritieke kwetsbaarheid CVE-2025-55182 in het Flight protocol die leidt tot het uitvoeren van willekeurige code, en diverse denial of service lekken. Onderzoekers zien wereldwijd scans en exploits, met name gericht op systemen in Taiwan, Vietnam en Japan. Voor Windows systemen is een waarschuwing afgegeven voor een ongepatchte zero day in de Remote Access Connection Manager die kan leiden tot systeemcrashes; hiervoor zijn voorlopig alleen onofficiële micropatches beschikbaar via 0patch. Het Nationaal Cyber Security Centrum heeft daarnaast gewezen op een kwetsbaarheid in de updatefunctie van Notepad++, waarmee aanvallers malafide updates kunnen pushen. Hoewel dit lek actief wordt misbruikt in Oost Azië, zijn er geen aanwijzingen voor slachtoffers binnen Nederlandse grenzen. Verder blijft cross site scripting volgens MITRE de gevaarlijkste kwetsbaarheid van 2025 en blijken zelfs ogenschijnlijk veilige Zigbee protocollen in de industrie kwetsbaar voor packet injection. Onderzoekers toonden zelfs aan dat een twintig jaar oude techniek genaamd Blinkenlights gebruikt kan worden om firmware uit een smartwatch te stelen door pixels op het scherm te manipuleren.
Hackersgroepen automatiseren processen en misbruiken vergeten infrastructuren
Criminelen innoveren hun methoden in hoog tempo door aanvallen te automatiseren en oude systemen te hergebruiken. De aan Noord Korea gelieerde Lazarus Group maakt slim gebruik van een oud desinformatienetwerk in Jemen om hun cyberaanvallen te maskeren. Zij verkregen toegang via een met RedLine Stealer besmette computer en gebruiken de sites nu voor phishing en malwareverspreiding. Een andere zorgwekkende ontwikkeling komt van de hacktivisten van CyberVolk, die hun ransomware operaties hebben geprofessionaliseerd met VolkLocker. Via Telegram bots bieden zij een geautomatiseerd ransomware as a service platform aan dat zich richt op zowel Windows als Linux omgevingen, waarbij ze gebruikmaken van specifieke technieken om beheerdersrechten te verkrijgen. Daarnaast is er een nieuwe phishingcampagne opgedoken die erin slaagt om multi factor authenticatie te omzeilen bij Microsoft 365 en Okta accounts door gebruik te maken van adversary in the middle technieken en valse domeinen. Ook de JSCEAL infostealer blijft evolueren en richt zich specifiek op het stelen van inloggegevens van Windows gebruikers via misleidende advertenties en complexe PowerShell scripts die detectie ontwijken. Deze gestolen data vindt vervolgens via Telegram en beheerpanelen zijn weg naar dark web marktplaatsen voor verdere verkoop.
Politie pakt online oplichters aan en europol zoekt toegang tot versleutelde chats
Op het gebied van rechtshandhaving zijn er successen geboekt en nieuwe strategieën ontwikkeld om digitale criminaliteit het hoofd te bieden. De politie heeft twee mannen uit Leiden aangehouden die verdacht worden van het online oplichten, bedreigen en afpersen van een kwetsbaar slachtoffer via Snapchat en WhatsApp. Op internationaal niveau zet Europol zwaar in op de bestrijding van digitale migrantensmokkel, waarbij criminele netwerken steeds vaker gebruikmaken van digitale tools en versleutelde communicatie. Tijdens een conferentie in Brussel werd de nadruk gelegd op het verstoren van deze digitale infrastructuur. In het verlengde hiervan heeft Europol via Jurgen Ebner de wens uitgesproken om end to end encryptie te kunnen doorbreken wanneer er een gerechtelijk bevel ligt. Opsporingsdiensten lopen vast omdat criminelen massaal overstappen van gespecialiseerde cryptofoons naar reguliere apps met sterke versleuteling. Dit pleidooi stuit echter op weerstand van experts en burgerrechtenorganisaties die waarschuwen dat het verzwakken van encryptie de veiligheid van alle burgers in gevaar brengt.
Oplopende spanningen door russische sabotage en militaire waarschuwingen voor europa
De digitale ruimte wordt steeds meer het toneel van conflicten tussen staten, waarbij beschuldigingen van sabotage en inmenging over en weer vliegen. Duitsland heeft de Russische ambassadeur ontboden na beschuldigingen van gerichte cyberaanvallen, sabotage en pogingen tot verkiezingsinmenging via desinformatiecampagnes zoals Storm 1516. De inlichtingendienst GRU wordt verantwoordelijk gehouden voor aanvallen op de luchtverkeersleiding en politieke partijen. In reactie op de toenemende dreiging heeft het Verenigd Koninkrijk zijn militaire inlichtingendiensten samengevoegd in een nieuw centrum in Wyton om sneller te kunnen reageren op hybride dreigingen. Tegelijkertijd waarschuwt NAVO secretaris generaal Mark Rutte voor een verslechterende veiligheidssituatie en stelt hij dat Europa zich in een feitelijke oorlogssituatie met Rusland bevindt. De aanzienlijke toename van Russische droneproductie en militaire activiteiten dwingt Europese landen om hun defensie en digitale weerbaarheid in hoog tempo op te schroeven.
Zorgen over privacywetgeving en trage adoptie van kunstmatige intelligentie
De snelle technologische ontwikkelingen roepen fundamentele vragen op over privacy en regelgeving. Uit cijfers van het CBS blijkt dat één op de zes Nederlandse bedrijven inmiddels kunstmatige intelligentie gebruikt, een verdubbeling ten opzichte van twee jaar geleden, maar experts waarschuwen dat de adoptie achterblijft bij internationale concurrenten zoals de Verenigde Staten. Tegelijkertijd uit het demissionaire Nederlandse kabinet zorgen over plannen van de Europese Commissie die de bescherming van persoonsgegevens in de AVG zouden kunnen verzwakken ten gunste van AI ontwikkeling. In België groeit ondertussen het politieke en maatschappelijke verzet tegen een wetsvoorstel dat de belastingdienst inzage zou geven in bankrekeningen van burgers om fraude op te sporen. Tegenstanders noemen dit een onacceptabele inbreuk op de privacy. Ook de Electronic Frontier Foundation waarschuwt voor de risico's van verplichte online leeftijdsverificatie, stellende dat het uploaden van identiteitsbewijzen de anonimiteit op het internet bedreigt en gebruikers blootstelt aan datalekken.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.