Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dag schetsen een verontrustend beeld waarin zowel geavanceerde statelijke actoren als opportunistische criminelen succesvol binnendringen bij organisaties. Terwijl vitale infrastructuren en overheidsinstanties doelwit zijn van politiek gemotiveerde sabotage, blijkt uit diverse incidenten in de regio dat ook basisbeveiliging en menselijk handelen nog te vaak de zwakke schakel vormen. Van ransomware aanvallen op de industrie tot het onbedoeld lekken van privacygevoelige burgerservicenummers, de impact van deze digitale onveiligheid was gisteren direct voelbaar in de samenleving.
Van de Belgische maakindustrie tot privacyschending in Eindhoven
De zakelijke en publieke sector zijn geconfronteerd met ernstige incidenten waarbij gevoelige data op straat zijn beland. De Belgische onderneming Rconcept, gespecialiseerd in mechanische en elektrische onderdelen, is op 19 december toegevoegd aan de lijst van slachtoffers van ransomwaregroep Nova. De aanvallers claimen systemen te hebben gecompromitteerd en dreigen met het publiceren van interne gegevens als dwangmiddel. Tegelijkertijd is gebleken dat de gemeente Eindhoven te maken heeft met een omvangrijk datalek door het gebruik van openbare AI tools. Medewerkers hebben duizenden bestanden geüpload naar platformen zoals ChatGPT, waaronder zeer vertrouwelijke dossiers uit de Jeugdwet, burgerservicenummers en cv's. Omdat de AI diensten deze data na dertig dagen verwijderen, kan de gemeente niet meer achterhalen welke specifieke personen gedupeerd zijn. Ook in de culturele sector zijn de gevolgen van cybercriminaliteit merkbaar, nu na een datalek bij de Lokerse Feesten persoonsgegevens van bezoekers worden samengevoegd tot verhandelbare profielen. Dat oplettendheid cruciaal is bewijst een incident bij Amazon, waar beveiligers een Noord-Koreaanse fraudeur ontmaskerden die via een laptop farm in Arizona als thuiswerker probeerde te infiltreren. Een vertraging van slechts 110 milliseconden op het toetsenbord verraadde dat de gebruiker zich niet in de Verenigde Staten bevond. Advertentiebedrijf Mobius voelt ondertussen de financiële gevolgen van nalatigheid en heeft een boete van 1 miljoen euro ontvangen na het lekken van data van miljoenen Deezer gebruikers.
Lekke firewalls en risicovolle moederborden zetten poorten open
Op technisch vlak zijn er kritieke kwetsbaarheden aan het licht gekomen die directe actie vereisen van systeembeheerders. Onderzoek van The Shadowserver Foundation toont aan dat honderden Fortinet systemen in deze regio direct gevaar lopen door lekken in de Single Sign On service, specifiek CVE-2025-59718 en CVE-2025-59719. Door een fout in de controle van cryptografische handtekeningen kunnen aanvallers toegang forceren tot bedrijfsnetwerken. Daarnaast wordt een ernstig lek in WatchGuard firewalls met een score van 9.3 momenteel actief misbruikt. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige code uit te voeren via specifieke VPN configuraties. Het probleem reikt zelfs tot de hardware, aangezien moederborden van ASRock, ASUS, GIGABYTE en MSI kwetsbaar blijken voor Direct Memory Access aanvallen tijdens het opstarten door een foutieve IOMMU configuratie. Ook de softwareketen blijft een doelwit, nu bestandsdeelsoftware Gladinet CentreStack wordt aangevallen door de Cl0p ransomwaregroep. In de publieke sector is er daarnaast onrust ontstaan over de overname van databeveiliger Zivver door het Amerikaanse Kiteworks. Het kabinet kan hierdoor niet langer uitsluiten dat gegevens die via deze dienst worden gedeeld in handen komen van Amerikaanse inlichtingendiensten.
Raffinage bij spionagegroepen en massale aanvallen op inlogportalen
Wereldwijd is een breed scala aan aanvalstechnieken waargenomen die variëren van gerichte spionage tot geautomatiseerde massale inbraakpogingen. De aan China gelieerde groep LongNosedGoblin maakt gebruik van Windows groepsbeleid om malware zoals NosyDoor te verspreiden binnen overheidsnetwerken. De Iraanse groep Prince of Persia is na een jarenlange stilte teruggekeerd en verbergt nu executables in Excel bestanden en gebruikt vermomde videobestanden voor communicatie. In India richt de SideWinder groep zich op belastingplichtigen met malware die via geofencing infecties buiten de regio blokkeert. Een minder subtiele campagne richt zich op VPN gateways van Cisco en Palo Alto, waarbij vanuit een Duitse hostingprovider miljoenen inlogpogingen worden gedaan om wachtwoorden te kraken. Marketingteams zijn het specifieke doelwit van een phishingcampagne die via het betrouwbare MailChimp platform valse meldingen verstuurt om HubSpot accounts over te nemen. Daarnaast verspreiden criminelen loaders zoals CountLoader en GachiLoader via YouTube en gekraakte software om uiteindelijk informatie stelende malware te installeren. Ook binnen netwerken ontwikkelen aanvallers zich door, waarbij steeds vaker DCOM objecten worden misbruikt om zich onopgemerkt lateraal tussen systemen te verplaatsen. De groep Scripted Sparrow automatiseert fraude door zich voor te doen als executive coaching bureaus en facturen te sturen die net onder de goedkeuringslimieten van financiële afdelingen blijven.
Arrestaties van ontwikkelaars en corrupte beveiligers
In de strijd tegen cybercriminaliteit zijn er successen geboekt met de aanhouding van sleutelfiguren. De Nigeriaanse politie heeft in samenwerking met internationale partners de vermoedelijke ontwikkelaar van RaccoonO365 gearresteerd. Deze verdachte faciliteerde een platform waarmee duizenden Microsoft 365 accounts wereldwijd werden gecompromitteerd. Een verontrustende trend van interne dreiging kwam aan het licht in de Verenigde Staten, waar twee medewerkers van beveiligingsbedrijven bekenden dat zij ransomware aanvallen uitvoerden voor de groep BlackCat, terwijl zij in hun dagelijkse werk juist slachtoffers adviseerden bij incidenten. Om burgers beter te beschermen tegen identiteitsfraude werkt de overheid aan een nieuwe voorziening genaamd StopID. Hiermee kunnen personen bij verlies of diefstal hun paspoort of identiteitskaart direct digitaal ongeldig verklaren, waardoor de kans op misbruik aanzienlijk afneemt.
Sabotage van infrastructuur en verschuivende geopolitieke lijnen
De digitale dreiging verhardt zich ook in het geopolitieke domein, waarbij fysieke sabotage niet langer hypothetisch is. Denemarken heeft de Russische ambassadeur ontboden na bewijs dat Moskou betrokken was bij cyberaanvallen op een waterleidingbedrijf in Køge, waarbij pompen werden gemanipuleerd om leidingbreuken te veroorzaken. Ook in het Verenigd Koninkrijk loopt de spanning op na berichten dat Chinese hackers mogelijk toegang hadden tot documenten van het ministerie van Buitenlandse Zaken. In de Verenigde Staten tekent zich onder de nieuwe regering een ingrijpende koerswijziging af. Het beleid verschuift naar intensievere surveillance van burgers en bezoekers, terwijl de internationale samenwerking tegen desinformatie en corruptie wordt afgebouwd. Ondertussen waarschuwen experts op een conferentie in Kyiv voor de veiligheidsrisico's van embedded finance, nu financiële diensten steeds vaker onzichtbaar worden geïntegreerd in platforms die essentieel zijn voor economische stabiliteit in conflictgebieden.
Menselijke factor domineert en toekomstige digitale infrastructuur
Ondanks de technische complexiteit van veel aanvallen, blijft de mens de grootste kwetsbaarheid. Uit nieuw onderzoek van KnowBe4 blijkt dat bij 90 procent van de incidenten menselijk handelen een rol speelt en dat organisaties onvoldoende zicht hebben op interne risicoprofielen. Op het gebied van digitale soevereiniteit en infrastructuur worden stappen gezet voor de toekomst. Het kabinet heeft aangekondigd dat de nieuwe AI supercomputer in Groningen naar verwachting eind 2027 operationeel zal zijn. Op Europees niveau is overeenstemming bereikt over de introductie van de digitale euro, die op zijn vroegst in 2029 beschikbaar komt. In de Verenigde Staten lijkt de onzekerheid rondom TikTok voorlopig beslecht door een verkoopdeal met Oracle en investeerders, waarbij de data van Amerikaanse gebruikers binnen de landsgrenzen moet blijven en het algoritme opnieuw wordt getraind.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.