Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen vierentwintig uur werd het digitale domein getekend door verstoringen die direct ingrijpen op het dagelijks leven, variërend van de logistieke afhandeling van kerstpost tot de beschikbaarheid van bankdiensten. Terwijl vitale processen in Frankrijk haperden, kwamen internationaal ernstige kwetsbaarheden in beheersoftware en grootschalige datadiefstallen aan het licht die ook implicaties hebben voor organisaties in de Benelux. De volgende analyse biedt een gedetailleerd overzicht van de situatie, waarbij specifieke incidenten, technische analyses en geopolitieke manoeuvres in kaart zijn gebracht.
Grootschalige uitval in Frankrijk en datalekken via toeleveranciers
In Frankrijk hebben burgers en bedrijven te maken gekregen met een aanzienlijke verstoring van de dienstverlening door een ddos aanval op de systemen van La Poste en diverse financiële instellingen. Op de maandagochtend voor kerst werden de servers van het postbedrijf overspoeld, waardoor klanten pakketten niet konden volgen en de bezorging vertraging opliep. Gelijktijdig werden banken zoals La Banque Postale, Caisse d'Epargne en Banque Populaire getroffen, wat resulteerde in het onvermogen om betalingen via mobiele applicaties goed te keuren; fysieke pinbetalingen bleven wel mogelijk. Naast deze directe verstoringen kwam een ernstig incident bij softwareleverancier Red Hat aan het licht, waar aanvallers een GitLab omgeving binnendrongen. Dit leidde tot het lekken van gegevens van 21.000 Nissan klanten, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn de gevolgen breder en behoren ook de Nederlandse bank ING en luchtvaartmaatschappij Delta Airlines tot de ruim vijfduizend getroffen klanten van Red Hat. In de mediasector claimt hackersgroep Anna’s Archive een inbreuk op Spotify waarbij 300 terabyte aan data is buitgemaakt, goed voor bijna de volledige muziekbibliotheek. De groep heeft vooralsnog alleen metadata gepubliceerd, maar dreigt audiobestanden via torrents te verspreiden na het omzeilen van de DRM beveiliging.
Kritieke lekken in workflow automatisering en infrastructuurbeheer
Beveiligingsteams moeten onmiddellijk actie ondernemen vanwege twee hoog risico kwetsbaarheden in veelgebruikte enterprise software. In het workflow platform n8n is een lek ontdekt (CVE-2025-68613) met een CVSS score van 9.9, waarmee geauthenticeerde gebruikers willekeurige code kunnen uitvoeren; gezien de populariteit van dit platform in Duitsland en Frankrijk is waakzaamheid in de omliggende regio vereist. Een nog hogere ernstscore van 10.0 is toegekend aan CVE-2025-37164 in HPE OneView, het beheerplatform voor IT infrastructuur. Door een configuratiefout in de REST API kunnen ongeautoriseerde aanvallers op afstand commando’s uitvoeren en systemen volledig overnemen, waarvoor HPE inmiddels een hotfix heeft uitgebracht. Op een fundamenteler niveau waarschuwt OpenAI dat AI browsers, zoals hun eigen ChatGPT Atlas, vatbaar blijven voor prompt injection aanvallen. Omdat Large Language Models moeilijk onderscheid maken tussen systeeminstructies en externe data, blijft het risico bestaan dat kwaadwillenden via verborgen instructies op websites de controle over deze ‘agentic’ browsers overnemen, een probleem waarvoor mogelijk geen definitieve technische oplossing bestaat.
Geavanceerde distributiemethoden voor malware en fraude via vertrouwde kanalen
Criminelen zetten in op verfijnde technieken om detectie te omzeilen en maken misbruik van legitieme platforms. In de npm Registry is de malafide package 'lotusbail' opgedoken, die zich voordoet als een WhatsApp Web API tool maar in werkelijkheid sessies en chats steelt. Voor macOS gebruikers vormt een nieuwe variant van de MacSync infostealer een bedreiging; deze malware omzeilt de Gatekeeper beveiliging door gebruik te maken van een geldige digitale handtekening en notarisering van Apple. Ook browserextensies blijken een risico, onder de naam ‘Phantom Shuttle’ zijn tools in de Chrome Web Store ontdekt die netwerkverkeer kapen. Op het gebied van ransomware gebruikt de groep achter HardBit 4.0 het verouderde Neshta virus als 'dropper' om antivirussoftware te misleiden. Een specifieke campagne richt zich op de security community zelf, waarbij de Webrat malware via GitHub wordt verspreid vermomd als exploits voor recente kwetsbaarheden. Daarnaast wordt gewaarschuwd voor fraude met brandhout waarbij betaling via PaysafeCards wordt geëist, en is er sprake van phishing rondom de migratie van iDEAL naar Wero. Op het dark web wordt bovendien toegang tot 1500 gecompromitteerde netwerken verhandeld, terwijl in India een campagne met ‘image only’ emails en NSIS installers zakelijke netwerken infiltreert.
Internationale successen tegen financiële netwerken en advertentiefraude
Justitiële diensten hebben wereldwijd diverse criminele infrastructuren ontmanteld. Het Amerikaanse ministerie van Justitie heeft beslag gelegd op servers die werden gebruikt voor een miljoenenfraude via zoekmachine advertenties, waarbij voor bijna 15 miljoen dollar werd gestolen door bankwebsites na te bootsen. Eurojust presenteerde de resultaten van het afgelopen jaar, waaronder de aanpak van een netwerk dat verantwoordelijk was voor 300 miljoen euro aan creditcardfraude en de ontmanteling van drugs- en mensenhandelnetwerken. In Ghana wisten autoriteiten, in samenwerking met Interpol, 30 terabyte aan data te herstellen na een ransomware aanval op de financiële sector, waarbij ook arrestaties zijn verricht. Zuid-Korea neemt preventieve maatregelen door vanaf 2026 gezichtsherkenning verplicht te stellen bij de aanvraag van nieuwe telefoonnummers om voice phishing tegen te gaan.
Spionage door statelijke actoren en weren van buitenlandse technologie
De geopolitieke spanningen vertalen zich in concrete digitale dreigingen en defensieve maatregelen. Techgigant Amazon heeft meer dan achttienhonderd sollicitaties geblokkeerd van vermoedelijke Noord-Koreaanse agenten die via gestolen identiteiten probeerden IT functies te verkrijgen om geld te genereren voor het wapenprogramma van Pyongyang. Diezelfde Noord-Koreaanse dreiging manifesteert zich in Operation Artemis, waarbij hackers zich voordoen als schrijvers van Zuid-Koreaanse tv programma’s om via HWP documenten malware te verspreiden bij experts en journalisten. Als reactie op spionagerisico’s heeft de Amerikaanse FCC een verbod ingesteld op de verkoop van drones en kritieke componenten van specifieke buitenlandse fabrikanten, waaronder het Chinese DJI, om de nationale veiligheid en het luchtruim te beschermen tegen surveillance en sabotage.
Beleidswijzigingen en investeringen in digitale weerbaarheid
In Vlaanderen hebben 21 gemeenten in Oost-Vlaanderen en Vlaams-Brabant een nieuw noodplan geactiveerd dat voorziet in back upsystemen om dienstverlening zoals de uitgifte van paspoorten te garanderen tijdens cyberaanvallen. De Nederlandse overheid reageerde ondertussen terughoudend op een voorstel voor een 'digitale rode knop' om persoonsgegevens centraal te wissen, maar kondigde wel aan dat leeftijdsverificatie voor online alcoholverkoop gekoppeld zal worden aan de Europese Digitale Identiteit. Apple vecht in Italië een boete van 98 miljoen euro aan betreffende het App Tracking Transparency beleid, terwijl de Israëlische cybersecuritysector ondanks regionale onrust een recordgroei noteert met bijna 16 miljard dollar aan investeringen. Tot slot wijst onderzoek naar SIEM systemen uit dat technische correctheid alleen onvoldoende is voor effectieve detectie, waarbij operationele afstemming op de organisatie cruciaal blijkt.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.