Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dagen tonen een verontrustende intensivering van cybercriminaliteit in onze regio, waarbij ransomware bendes hun pijlen richten op vitale schakels in de toeleveringsketen en de zorgsector. Terwijl lokale organisaties de schade van recente infiltraties opmaken, kampt de internationale tech gemeenschap met een reeks kritieke kwetsbaarheden die fundamentele infrastructuren, van databases tot AI frameworks, direct bedreigen.
Golf van ransomware bij lokale bedrijven en grootschalige datadiefstal bij multinationals
Een gecoördineerde golf van ransomware aanvallen heeft diverse organisaties in de regio getroffen, waarbij met name Lockbit5 een agressief offensief voert. Het Nederlandse metaalrecyclingbedrijf RD Metals zag zijn systemen op eerste kerstdag geïnfiltreerd worden, waarbij de hackers dreigen met datalekken. Vrijwel gelijktijdig werd groothandel Fresh2You, een belangrijke internationale speler in de AGF sector, toegevoegd aan de slachtofferlijst na een inbraak op 26 december. De impact reikt verder dan de commerciële sector, aangezien ook de Belgische non profitinstelling JEF slachtoffer is geworden. Bij deze organisatie, die zich inzet voor jongeren en mensen met een beperking, bestaat de vrees dat gevoelige gegevens via hun Microsoft 365 omgeving zijn gecompromitteerd. Naast Lockbit5 roert ook de Safepay groep zich, die het Brabantse productiebedrijf Van Venrooy op hun lijst voor dubbele afpersing heeft geplaatst. In België werd daarnaast de website van het Federaal Agentschap voor Nucleaire Controle bestookt met een DDoS aanval door BD Anonymous, gericht op het meetnetwerk voor radioactiviteit. Op internationaal vlak is de schade eveneens aanzienlijk. Spelgigant Ubisoft moest de servers van Rainbow Six Siege wereldwijd offline halen na een ernstig incident waarbij aanvallers admin tools overnamen en de in game economie manipuleerden. Er zijn tevens claims over de diefstal van broncode, maar deze zijn nog niet geverifieerd. Ondertussen publiceerde een actor genaamd Lovely een database van 2,3 miljoen records van tijdschrift WIRED, als voorbode van een groter lek bij moederbedrijf Condé Nast. Ook hardwarefabrikant Logitech ziet 2 terabyte aan interne data circuleren op een hackersforum en de Russische luchtvaartmaatschappij Utair wordt geconfronteerd met het opnieuw opduiken van een dataset met privégegevens van ruim 400.000 passagiers.
Kritieke gaten in databases en AI frameworks zetten poorten wagenwijd open
De technische integriteit van veelgebruikte systemen staat onder zware druk door de publicatie van enkele kritieke lekken. Het meest acute gevaar komt voort uit een kwetsbaarheid in MongoDB, aangeduid als MongoBleed of CVE-2025-14847. Met een score van 8.7 stelt dit lek aanvallers in staat om zonder authenticatie het geheugen van servers uit te lezen, wat waarschijnlijk de oorzaak was van de recente inbraak bij Ubisoft. Het NCSC waarschuwt voor actief misbruik nu exploitcode publiek is. Een ander ernstig lek bevindt zich in LangChain Core, essentieel voor AI applicaties. Via CVE-2025-68664 kunnen kwaadwillenden door foutieve serialisatie gevoelige sleutels en omgevingsvariabelen ontvreemden. In de cryptosector heeft een supply chainaanval op de Trust Wallet browserextensie geleid tot een verlies van 7 miljoen dollar; versie 2.68.0 bevatte kwaadaardige code die herstelzinnen onderschepte. Tot slot zijn in nog geen twee dagen tijd tienduizenden servers die draaien op het Next.js framework overgenomen in een campagne genaamd Operatie PCPcat. Aanvallers misbruiken hierbij de kritieke lekken CVE-2025-29927 en CVE-2025-66478 om via 'remote code execution' cloud omgevingen binnen te dringen en configuraties te stelen.
Van legitieme domeinen tot criminele economieën op Telegram
Criminelen professionaliseren hun methoden en misbruiken steeds vaker legitieme infrastructuur. Een treffend voorbeeld is de recente campagne tegen Grubhub, waarbij phishingmails werden verstuurd vanaf het legitieme subdomein @b.grubhub.com, waardoor spamfilters werden omzeild. Een structurelere verschuiving is zichtbaar op Telegram, waar Chinese criminele netwerken een miljardeneconomie hebben opgebouwd die de traditionele dark web markten in volume overtreft. Deze groepen faciliteren via USDT grootschalige fraude, waaronder 'pig butchering', en handelen in tools voor deepfakes en witwaspraktijken. Daarnaast is er een levendige, professionele handel ontstaan in gestolen toegangssleutels voor cryptowallets, waarbij de verkoop van 'seed phrases' als kant en klaar product wordt aangeboden. Ook de inzet van offensieve AI neemt toe, zoals bleek bij de aanval op het Chinese platform Kuaishou. Hierbij wisten geautomatiseerde AI agenten de contentfilters te overspoelen en te misleiden, wat aantoont dat statische moderatie niet langer opgewassen is tegen dynamische, AI gestuurde aanvallen.
Tiener ingezet voor spionage en corruptie op hoog niveau in Georgiëezet voor spionage en corruptie op hoog niveau in Georgië
Justitie en veiligheidsdiensten boeken successen, maar stuiten daarbij op complexe fenomenen. In Nederland wordt een zeventienjarige havo scholier vervolgd die fysiek spionagewerk verrichtte in opdracht van pro Russische hackers. Daarnaast is de politie een tweede onderzoek gestart naar moordopdrachten op het darkweb, waarbij diverse Nederlanders doelwit bleken op een site die huurmoordenaars aanbood. Internationaal zorgde de arrestatie van Grigol Liluashvili, de voormalige Georgische veiligheidschef, voor ophef. Hij wordt ervan verdacht tegen betaling van miljoenen aan steekpenningen frauduleuze callcenters te hebben beschermd. Op het gebied van digitale defensie speelt Nederland een opvallende rol in Vaticaanstad. Een team vrijwilligers onder leiding van de Nederlandse expert Joe Shenouda beveiligt daar de infrastructuur, nadat bleek dat het netwerk zo lek was dat metadata van de paus en personeelsdossiers eenvoudig toegankelijk waren.
Hybride oorlogsvoering en geopolitieke druk op Europese autonomie
De geopolitieke spanningen vertalen zich steeds directer naar het digitale domein, met een focus op hybride oorlogsvoering. België ervaart verhoogde druk door Russische pogingen om de politieke besluitvorming te destabiliseren, waarbij de afhankelijkheid van Russische LNG import via Zeebrugge als hefboom fungeert. Deze tactiek past in de bredere Russische strategie om westerse infrastructuur te ondermijnen. Tegelijkertijd veranderen de trans Atlantische verhoudingen door de intensieve samenwerking tussen de nieuwe Amerikaanse regering en 'Big Tech'. Deze alliantie zet de Europese digitale soevereiniteit onder druk, aangezien de VS technologie steeds openlijker inzetten als politiek machtsmiddel. Experts waarschuwen dat de afhankelijkheid van Amerikaanse IT infrastructuur en AI ontwikkeling de strategische autonomie van Europese overheden bedreigt, zeker nu de VS dreigen met consequenties voor landen die Amerikaanse techbedrijven zwaar belasten.
Nucleaire energie voor datacenters en volatiliteit op de cryptomarkt
Buiten de directe conflicten om vinden er innovatieve verschuivingen plaats in de energiesector om de digitale infrastructuur overeind te houden. In de Verenigde Staten is een traject gestart om afgedankte nucleaire reactoren van de marine in te zetten als stroomvoorziening voor datacenters. Dit initiatief van HGP Intelligent Energy moet de continuïteit van dataopslag garanderen zonder het openbare stroomnet te belasten. Op de financiële markten heeft de bitcoin een grillig jaar achter de rug. Ondanks een cryptovriendelijker beleid vanuit het Witte Huis is de waarde gedaald naar circa 88.000 dollar, na een piek in het najaar. De volatiliteit wordt gedreven door onzekerheid over regelgeving en een verschuiving van kapitaal naar andere activa.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.