Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dag laten een verontrustend beeld zien waarbij zowel vitale overheidsdiensten als commerciële hardware het doelwit waren van geavanceerde aanvallen. Terwijl gijzelsoftware de fysieke infrastructuur in Oost-Europa onder druk zette, moeten systeembeheerders in Nederland en België acuut handelen om duizenden kwetsbare netwerkapparaten te beveiligen tegen actieve misbruikpogingen. Daarnaast werden er wereldwijd successen geboekt in de opsporing, variërend van het oprollen van digitale fraudenetwerken tot het fysiek verijdelen van een hightech ontvoeringspoging.
Watermanagement en ruimtevaartorganisatie doelwit van gijzelsoftware en datadiefstal
Een grootschalige ransomware aanval heeft de operationele processen van de Roemeense nationale waterbeheerautoriteit ernstig verstoord, waarbij circa duizend computersystemen en servers voor email en geografische data zijn versleuteld. De aanvallers maakten hierbij misbruik van de legitieme Windows functie BitLocker om bestanden onbruikbaar te maken en eisten dat er binnen een week contact werd opgenomen. Hoewel de vitale aansturing van waterinfrastructuur en overstromingsbescherming gewaarborgd blijft doordat deze losstaat van het getroffen IT netwerk, wordt er nu met spoed gewerkt aan de integratie in nationale beveiligingssystemen. Ook de Amerikaanse ruimtevaartorganisatie NASA kreeg te maken met een incident waarbij vermoedelijk de broncode van teleradiologiesystemen is buitgemaakt via een server die direct aan hun infrastructuur was gekoppeld. Gebruikers van QNAP netwerkopslag werden eveneens opgeschrikt door claims van de hackersgroep KaruHunters, die stelt 1,7 terabyte aan data te hebben gestolen van een NAS systeem. De fabrikant wijst in een reactie echter op het gebruik van zwakke wachtwoorden en verouderde software op het specifieke apparaat en benadrukt dat hun cloudinfrastructuur niet is gecompromitteerd.
Ernstige lekken in firewalls en moederborden vereisen directe mitigatie en nuance
Voor netwerkbeheerders in de Benelux is directe actie noodzakelijk vanwege een kritiek lek in WatchGuard firewalls dat aanvallers in staat stelt systemen op afstand volledig over te nemen. Ondanks dat er sinds 18 december patches beschikbaar zijn, staan er in België nog 2810 en in Nederland 1760 apparaten open voor deze exploitatie die wereldwijd al actief wordt misbruikt. Een ander fundamenteel probleem is ontdekt in de hardware van grote fabrikanten zoals Gigabyte en ASUS, waar de Sleeping Bouncer kwetsbaarheid de geheugenbeveiliging tijdens het opstarten kan uitschakelen en zo malware diep in het systeem laat nestelen. In de beveiligingsgemeenschap ontstond kortstondig verwarring over een vermeend nieuw lek in ASUS software, maar dit blijkt na analyse te gaan om een administratieve registratie van de historische ShadowHammer aanval uit 2019 op software die al jaren niet meer wordt ondersteund. Tevens blijken programmeerassistenten die werken met kunstmatige intelligentie manipuleerbaar via de Lies in the Loop techniek, waarmee hackers goedkeuringsvensters kunnen vervalsen om gebruikers ongemerkt schadelijke code te laten uitvoeren.
Innovatie in cybercrime door deepfakes en misbruik van beheertools
Het onderwijs kampt met een explosieve toename van cyberpesten waarbij leerlingen met behulp van AI naaktbeelden van klasgenoten genereren, wat in de eerste helft van 2025 al leidde tot 440.000 meldingen in de Verenigde Staten. Op financieel gebied richten criminelen zich steeds vaker op de menselijke factor door werknemers van grote bedrijven tot wel 15.000 dollar te bieden voor het verlenen van toegang tot interne netwerken. De technische drempel voor criminelen wordt verder verlaagd door het nieuwe BBQLL ransomwaremodel, waarmee ook minder technisch onderlegde daders gijzelsoftware kunnen huren om aanvallen uit te voeren. Voor Android gebruikers is er een nieuwe dreiging in de vorm van Wonderland malware, die zich via onschuldig ogende apps nestelt op telefoons om bankrekeningen te plunderen en sms berichten te onderscheppen. Zelfs legitieme beheertools zijn niet veilig, zo blijkt uit het misbruik van de monitoringsoftware Nezha, die door hackers wordt ingezet als een onzichtbaar paard van Troje om volledige controle over servers te verkrijgen zonder alarmbellen te laten afgaan.
Wereldwijde arrestaties en verijdelde ontvoering tonen slagkracht politie
De Nederlandse politie heeft in een woning in de provincie Utrecht een illegale handel in medicijnen blootgelegd met de vondst van ruim 37.500 pillen en diverse wapens, wat leidde tot de arrestatie van een man die via een neppe webshop slachtoffers oplichtte. Op internationaal niveau heeft Operatie Sentinel in Afrika geresulteerd in 574 arrestaties en het voorkomen van miljoenenverliezen door fraude en ransomware, waarbij onder meer een olibedrijf in Senegal voor een verlies van bijna acht miljoen dollar werd behoed. In de Verenigde Staten bekende een Oekraïense man schuld aan zijn rol in de beruchte Nefilim ransomwaregroep die wereldwijd grote bedrijven afperste en miljoenen aan schade veroorzaakte. Een bijzonder zorgwekkende zaak speelde zich af in Florida, waar criminelen drones en signaalverstoorders inzetten om een crypto ondernemer te observeren in een poging hem te ontvoeren, een plan dat dankzij ingrijpen van de FBI kon worden verijdeld.
Spionagegroep vernieuwt toolkit voor aanvallen op industriële doelen
De cyberspionagegroep Arcane Werewolf heeft zijn tactieken aangescherpt en richt zich nu specifiek op de Russische productiesector met een vernieuwde versie van de Loki malware. De aanvallers maken gebruik van phishing emails die afkomstig lijken van legitieme organisaties om slachtoffers te verleiden tot het downloaden van ZIP bestanden met verborgen kwaadaardige ladingen. Deze nieuwe variant is compatibel gemaakt met geavanceerde frameworks voor post exploitatie, waardoor de aanvallers na binnenkomst meer mogelijkheden hebben om ongemerkt systeeminformatie te stelen en hun aanwezigheid in het netwerk te verankeren.
Politieke discussie over surveillance en digitale opvoeding laait op
Privacyvoorvechters luiden de noodklok over plannen van de Europese Commissie die dienstverleners zouden verplichten om op grote schaal gebruikersdata en metadata op te slaan, wat door critici wordt gezien als een opmaat naar massasurveillance onder de noemer Chatcontrol 3.0. De Nederlandse overheid kiest ondertussen voor een preventieve benadering van digitale veiligheid bij jongeren door in een nieuwe campagne het gebruik van de zogeheten dumbphone te promoten als middel tegen schermverslaving en prikkelgevoeligheid. Tegelijkertijd heeft de demissionair staatssecretaris laten weten niets te zien in een verbod op online anonimiteit, omdat een identificatieplicht te grote risico's voor de privacy en de vrijheid van meningsuiting met zich mee zou brengen en bestaande opsporingsmiddelen als voldoende worden beschouwd.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.