Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen 48 uur kenmerkten zich door een reeks significante cyberincidenten en de ontdekking van ernstige kwetsbaarheden, die de digitale weerbaarheid van organisaties en individuen opnieuw op de proef stellen. Zowel in Nederland als in België, en wereldwijd, is een toename te zien in de complexiteit en frequentie van aanvallen, met name door de inzet van kunstmatige intelligentie en verfijnde social engineering technieken.
Slachtoffers financiële schade en gegevensdiefstal
De Roemeense energieleverancier Complexul Energetic Oltenia, de grootste op steenkool gebaseerde energieproducent, werd getroffen door Gentlemen ransomware. Dit leidde tot uitval van de IT infrastructuur tijdens de kerstdagen, waarbij ongeveer dertig procent van de nationale elektriciteitsproductie werd beïnvloed, al kwam de werking van het nationale energienetwerk volgens de organisatie niet in gevaar. De aanval wordt toegeschreven aan de Gentlemen ransomwaregroep, die sinds augustus van dit jaar actief is en vaak binnendringt via gecompromitteerde inloggegevens. In België claimde BD Anonymous een DDoS aanval op de gemeente Weismes op 29 december 2025, gericht op de officiële website waimes.be. De aanval werd omstreeks 10:22 uur geclaimd via kanalen die dreigingsinformatie monitoren en betrof een Distributed Denial of Service DDoS, bedoeld om de server van de gemeente te overbelasten en dienstverlening te verstoren. Een grootschalige phishingcampagne gericht op Outlook gebruikers, actief sinds het voorjaar van 2025, gebruikt een AI gestuurde kit met een unieke signatuur van vier paddenstoel emoji’s. De campagne, die inloggegevens steelt via vervalste authenticatiepagina’s, heeft een mondiaal bereik, met aanzienlijke impact in Europa (19,8 procent), de Verenigde Staten (48,6 procent) en Azië Pacific (20,7 procent). De zwaarst getroffen sectoren waren de maakindustrie, technologiesector, financiële sector en het bankwezen. Op het darkweb is een omvangrijke dataset met inloggegevens van meer dan 275.000 unieke WordPress websites te koop aangeboden. Deze gegevens, aangeboden op 29 december 2025 door een dreigingsactor die zich richt op bulkhandel in gestolen inloggegevens, bevatten gebruikersnamen en wachtwoorden die directe toegang tot beheerdersomgevingen verschaffen. De dreiging van phishing binnen de cryptosector is in 2025 met 83,4 procent gestegen ten opzichte van 2023, waarbij ongeveer 40,8 procent van de gerapporteerde incidenten het gevolg is van sociale manipulatie en 33,7 procent van puur technische hacks. Nieuwe technieken zoals address poisoning, waarbij aanvallers wallet adressen genereren die lijken op die van gebruikers, hebben al geleid tot verliezen van minstens 83,8 miljoen dollar. Het Russische ticketplatform Kassy.ru is geconfronteerd met een datalek waarbij de gegevens van 300.000 gebruikers zijn blootgesteld. De aangetaste informatie omvat records van geregistreerde accounts, emailadressen en accountdetails. De Amerikaanse staat Pennsylvania heeft via het hooggerechtshof bepaald dat de politie geen gerechtelijk bevel nodig heeft om Google zoekopdrachten op te vragen. Deze uitspraak legitimeert reverse keyword search warrants, waarbij opsporingsdiensten data opvragen over iedereen die op een specifieke term heeft gezocht. De Autoriteit Persoonsgegevens in Nederland heeft dit jaar tientallen meldingen ontvangen van datalekken door het uploaden van persoonsgegevens naar AI chatbots. Een specifiek incident bij de gemeente Eindhoven betrof het verzenden van duizenden bestanden naar externe AI platforms, inclusief gevoelige informatie over minderjarigen en volwassenen in het kader van de Jeugdwet en de Wet maatschappelijke ondersteuning WMO. Het salaris van het Belgische Kamerlid Mathieu Michel werd abusievelijk overgemaakt naar criminelen als gevolg van een phishingmail die verzocht om het officiële rekeningnummer voor salarisbetaling te wijzigen. Het incident, dat eerder deze maand plaatsvond, werd naar buiten gebracht door het betrokken Kamerlid zelf. Trust Wallet heeft bekendgemaakt dat aanvallers ongeveer zeven miljoen dollar hebben buitgemaakt uit bijna drieduizend cryptocurrency portefeuilles via een gecompromitteerde browserextensie. Het incident vond plaats op 24 december 2025, veroorzaakt door een kwaadaardig JavaScript bestand in versie 2.68.0 van de browserextensie, mogelijk via een gelekte API sleutel van de Chrome Web Store. De Zuid-Koreaanse ecommercegigant Coupang heeft een compensatiepakket van in totaal 1,17 miljard dollar aangekondigd na een omvangrijk datalek waarbij de gegevens van 33,7 miljoen klanten zijn blootgesteld. Het incident is teruggeleid naar een voormalige IT medewerker die na zijn vertrek ongeautoriseerde toegang tot de systemen behield. De gegevens betreffen namen, emailadressen, telefoonnummers, bezorgadressen en de bestelgeschiedenis. De Zuid-Koreaanse luchtvaartmaatschappij Korean Air is getroffen door een datalek waarbij persoonlijke gegevens van duizenden medewerkers zijn gecompromitteerd. De bron van de inbreuk ligt bij Korean Air Catering & Duty Free KC&D, een externe cateraar. Namen en bankrekeningnummers van werknemers zijn ontvreemd uit het ERP systeem op de servers van de partner.
Kwetsbaarheden in kritieke systemen
De MongoDB kwetsbaarheid CVE-2025-14847, ook bekend als MongoBleed, stelt onbevoegden in staat om zonder authenticatie gevoelige informatie uit het servergeheugen te extraheren, waaronder inloggegevens en persoonsgegevens. De kwetsbaarheid bevindt zich in het zlib decompressiemechanisme en treft versies 4.4 tot en met 8.2.2. Statistieken wijzen uit dat ongeveer 42 procent van de cloudomgevingen wereldwijd, circa 87.000 publiek toegankelijke systemen, kwetsbaar is. The Shadowserver Foundation waarschuwt dat wereldwijd ongeveer 75.000 MongoDB servers die met internet zijn verbonden, kwetsbaar zijn voor datadiefstal. In de Benelux zijn 1600 mogelijk kwetsbare servers in Nederland en circa 1800 in België gedetecteerd. Een kritieke zero day kwetsbaarheid, CVE-2025-54322, is ontdekt in de SXZOS firmware van fabrikant XSpeeder, die wereldwijd meer dan 70.000 hosts blootstelt aan aanvalsmogelijkheden. Het lek, met een CVSS score van 9.8, treft met name SD WAN appliances, edge routers en controllers voor smart tv’s, en maakt ongeauthenticeerde Remote Code Execution RCE met root privileges mogelijk. De Europese Ruimtevaartorganisatie ESA heeft officieel bevestigd dat onbevoegden toegang hebben verkregen tot servers die buiten het interne bedrijfsnetwerk staan. De aanvaller claimde meer dan 200 GB aan gegevens te hebben ontvreemd na een week toegang tot JIRA- en Bitbucket servers, inclusief broncodes uit private repositories, CI/CD pijplijnen, API tokens en configuratiebestanden. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties beraadt zich momenteel op de toegevoegde waarde van een interdepartementale taskforce voor online leeftijdsverificatie, voortkomend uit een motie van de ChristenUnie en Nieuw Sociaal Contract. De taskforce moet versnipperde kennis bundelen en toewerken naar adequate online handhaving van leeftijdsgrenzen, mede door de inzetbaarheid van een leeftijdsverificatie app van de Europese Commissie.
Dreigingen door AI en geavanceerde malware
Het jaar 2025 markeert een omslag in het veiligheidsbewustzijn, waarbij de scheidslijnen tussen digitale en fysieke dreigingen vervagen. De geopolitieke situatie bevindt zich in een grijs gebied tussen vrede en oorlog, wat zorgt voor structurele onzekerheid. Binnen het cyberdomein is een zorgwekkende trend zichtbaar waarbij de grenzen tussen criminele hackers en statelijke actoren verdwijnen. Statelijke actoren maken vaker gebruik van criminele groeperingen voor spionage of sabotage, waardoor zij hun directe betrokkenheid plausibel kunnen ontkennen. Deze ontwikkeling wordt versterkt door de inzet van kunstmatige intelligentie, die het onderscheiden van desinformatie moeilijker maakt en de maatschappelijke stabiliteit onder druk zet. De HoneyMyte APT groep, ook bekend als Mustang Panda of Bronze President, zet in een nieuwe campagne een geavanceerde kernel mode rootkit in om de ToneShell backdoor te beschermen op besmette systemen. De rootkit, waarvan de driver specifiek is ontworpen voor bescherming van bestanden, register en processen, speelt een centrale rol in de uitrol van de aanval via payload injectie met de ToneShell backdoor als uiteindelijke lading. De officiële website van de teksteditor EmEditor is gecompromitteerd, waarbij tussen 19 en 22 december 2025 een met malware besmette versie van de software is verspreid. De toegevoegde malware betreft een infostealer die inloggegevens steelt en een malafide browserextensie, genaamd Google Drive Caching, installeert. Deze extensie steelt bookmarks, cookies, wachtwoorden en informatie over bezochte websites en fungeert als clipper malware, waarbij het klembord van het besturingssysteem wordt gemonitord voor cryptovaluta adressen. De methodiek achter digitale inbraken ondergaat een fundamentele verschuiving naar gecommoditiseerde, servicegebaseerde social engineering, met de verspreiding van ClickFix instrumenten. ErrTraffic (of ErrTraffic v2), een softwaresuite die deze valstrikken industrieel schaalbaar maakt, simuleert technische problemen met visuele misleiding (fake glitches) om gebruikers te manipuleren tot handmatige uitvoering van kwaadaardige scripts. Het ErrTraffic platform, aangeboden als Software as a Service SaaS op ondergrondse fora voor circa 800 dollar, identificeert automatisch het besturingssysteem van de bezoeker en levert specifieke malware, zoals infostealers voor Windows en banking trojans voor Android en Linux. De cybercriminele groepering Silver Fox, ook bekend onder de namen SwimSnake en Void Arachne, heeft haar aanvalsstrategieën verbreed met de inzet van de modulaire trojan ValleyRAT. De infectieketen verloopt veelal via emailberichten met een PDF bijlage die leidt naar een externe downloadlocatie van een gecomprimeerd bestand met een installatieprogramma dat DLL sideloading gebruikt om de malafide bibliotheek libexpat.dll te laden. Na activatie voert de malware controles uit om analyse omgevingen te omzeilen en wordt de Windows Update service uitgeschakeld. ValleyRAT, of Winos 4.0, wordt vervolgens geïnjecteerd in explorer.exe en beschikt over modulaire functionaliteiten zoals keylogging, het stelen van inloggegevens en systeemsurveillance. Malware is geïnfiltreerd in Maven Central via typosquatting, waarbij aanvallers kwaadaardige software verspreidden onder de bedrieglijke namespace org.fasterxml.jackson.core, lijkend op de legitieme com.fasterxml.jackson.core. De aanvalsinfrastructuur vertoont zorgvuldige planning, met domeinregistratie fasterxml.org, een nabootsing van fasterxml.com, op 17 december 2025. DDoS aanvallen in 2026 zullen naar verwachting steeds vaker fungeren als strategische afleidingsmanoeuvre voor datadiefstal of malware installatie. Deze ontwikkeling vereist een aanpassing van incidentrespons, waarbij gelijktijdige controle op dataintegriteit en verdacht intern netwerkverkeer noodzakelijk is. De toenemende afhankelijkheid van API first architecturen en hyper scale IoT botnets versterkt de complexiteit van digitale dreigingen. Het Open Web Application Security Project OWASP heeft de Top 10 voor Agentic Applications 2026 gepubliceerd, het eerste beveiligingskader specifiek ontworpen voor autonome AI agenten die zelfstandig beslissingen nemen en externe tools aansturen. Dit kader definieert tien risico's, variërend van Agent Goal Hijack tot Rogue Agents. Op het darkweb is een aanbod gesignaleerd van GitHub API sleutels met beheerdersrechten tot repositories van ecommerce Content Management Systemen en Large Language Models. Deze toegang stelt actoren in staat om broncode en configuratie instellingen in te zien of te bewerken, wat een aanzienlijk risico vormt voor de integriteit van de software en de verspreiding van malware. De Iraanse hackersgroep Handala, verantwoordelijk voor de Bibi Gate aanval, is succesvol binnengedrongen in de smartphone van Tzachi Braverman, de stafchef van de Israëlische premier. De aanval leidde tot de exfiltratie van gevoelige documenten, contactlijsten en persoonlijke communicatie. Chinese staatshackers gebruiken een rootkit om Microsoft Defender te saboteren. Onderzoekers hebben een nieuwe aanvalsmethode geïdentificeerd waarbij de ToneShell backdoor wordt verspreid via een kernel mode loader, toegeschreven aan de hackersgroep Mustang Panda, die zich richt op spionage van overheidsinstanties.
Opsporing succesvolle arrestaties en waarschuwingen
De politie in Capelle aan den IJssel heeft op zaterdag 27 december 2025 een 17 jarige verdachte aangehouden op verdenking van oplichting via een babbeltruc, nadat een alerte bewoonster argwaan kreeg tijdens een telefoongesprek met een persoon die zich voordeed als rechercheur. De verdachte werd op heterdaad aangehouden toen hij bij de woning verscheen. De politie in Utrecht heeft de identiteit vastgesteld van een verdachte die verantwoordelijk wordt gehouden voor een reeks oplichtingszaken in de wijken Ondiep en Zuilen. De man opereerde in de vermomming van een postbezorger, wat hem in staat stelde het vertrouwen van slachtoffers te winnen. Zijn identificatie volgde op het veiligstellen en tonen van camerabeelden. De politie in Zuid-Korea heeft bekendgemaakt dat een gemanipuleerde versie van de softwaretool KMSAuto, ongeveer 2,8 miljoen keer gedownload, besmet bleek met malware die cryptovaluta ontvreemdt. Een verdachte is na een internationaal arrestatiebevel aangehouden en uitgeleverd aan de Zuid-Koreaanse autoriteiten. Twee voormalige medewerkers van gespecialiseerde cybersecuritybedrijven, Ryan Clifford Goldberg en Kevin Tyler Martin, hebben voor een Amerikaanse rechtbank schuld bekend aan hun betrokkenheid bij ransomware aanvallen onder de vlag van het BlackCat collectief. Zij gebruikten hun professionele ervaring om tussen mei en november 2023 gericht Amerikaanse ondernemingen te infiltreren en af te persen. De daders, die als incident response manager en ransomware onderhandelaar werkzaam waren, kregen via het affiliate model van BlackCat toegang tot de ransomware infrastructuur.
Cyberoorlog geopolitieke spanningen en dreigingen
Het jaar 2025 markeert een omslag in het veiligheidsbewustzijn, waarbij de scheidslijnen tussen digitale en fysieke dreigingen steeds verder vervagen. De geopolitieke situatie bevindt zich in een grijs gebied tussen vrede en oorlog, wat zorgt voor structurele onzekerheid. Statelijke actoren maken vaker gebruik van criminele groeperingen om spionage of sabotage uit te voeren, waardoor zij hun directe betrokkenheid plausibel kunnen ontkennen. Deze ontwikkeling wordt versterkt door de inzet van kunstmatige intelligentie, die het onderscheiden van desinformatie moeilijker maakt en de maatschappelijke stabiliteit onder druk zet. De Iraanse hackersgroep Handala claimt succesvol te zijn binnengedrongen in de smartphone van Tzachi Braverman, de stafchef van de Israëlische premier Benjamin Netanyahu. De aanval, aangeduid als Bibi Gate, leidde tot de exfiltratie van gevoelige documenten, contactlijsten en persoonlijke communicatie. Naast de stafchef was ook voormalig premier Naftali Bennett doelwit. Chinese staatshackers gebruiken een rootkit om Microsoft Defender te saboteren. Onderzoekers hebben een nieuwe aanvalsmethode geïdentificeerd waarbij de ToneShell backdoor wordt verspreid via een kernel mode loader. Deze campagne wordt toegeschreven aan de hackersgroep Mustang Panda, die zich richt op het bespioneren van overheidsinstanties. De aanval maakt gebruik van een specifiek stuurprogramma, genaamd ProjectConfiguration.sys, dat op kernel niveau opereert en reguliere beveiligingsmechanismen omzeilt door de configuratie van de WdFilter driver van Microsoft Defender te manipuleren. Een spear phishingcampagne gericht op de defensie- en beveiligingssector maakt gebruik van een technische infrastructuur met servers in Nederland en Duitsland. De aanvalsmethode, toegeschreven aan de statelijke actor APT42 of Charming Kitten, omvat gepersonaliseerde WhatsApp berichten met kwaadaardige verkorte URL’s die leiden naar gespoofde registratiepagina’s. De hosting is geografisch verspreid over Nederland, Duitsland, Moldavië en Italië, wat duidt op een strategie om detectie en juridische interventies te bemoeilijken. DDoS aanvallen zullen in 2026 naar verwachting steeds vaker fungeren als strategische afleidingsmanoeuvre voor datadiefstal. Experts waarschuwen dat terwijl securityteams zich richten op het herstellen van de beschikbaarheid tijdens een grootschalige aanval, criminelen van de gelegenheid gebruikmaken om op de achtergrond netwerken binnen te dringen voor datadiefstal of malware installatie.
Algemeen digitale onafhankelijkheid en privacyzorgen
De Duitse hackersclub Chaos Computer Club CCC heeft tijdens het jaarlijkse Chaos Communications Congress in Hamburg gepleit voor de invoering van een digitale onafhankelijkheidsdag. De organisatie stelt dat grote technologiebedrijven Europa in een houdgreep hebben en dat overheden nalaten hier verandering in te brengen. Het plan is om via aangesloten hackerspaces maandelijkse workshops te faciliteren om gebruikers te ondersteunen bij het migreren van diensten als Gmail, Windows, WhatsApp en commerciële sociale media naar alternatieven. Ierland is voornemens om tijdens het EU voorzitterschap in de tweede helft van 2026 wetgeving te introduceren die een identificatieplicht voor socialmedia accounts in de gehele Europese Unie regelt. Vicepremier Simon Harris heeft verklaard dat deze maatregel noodzakelijk is om het gebruik van anonieme accounts en de verspreiding van desinformatie door zogenaamde bots tegen te gaan. De rechtbank Rotterdam heeft geoordeeld dat advertentiebedrijf Criteo onrechtmatig handelt door trackingcookies op systemen van internetgebruikers te plaatsen zonder expliciete toestemming. Dit vonnis bevestigt eerdere rechterlijke uitspraken waarin werd bepaald dat het bedrijf de geldende privacywetgeving overtreedt. De Amerikaanse staat Pennsylvania heeft via het hooggerechtshof bepaald dat de politie geen gerechtelijk bevel nodig heeft om gegevens over zoekopdrachten bij Google op te vragen, wat impliceert dat zoektermen niet dezelfde juridische privacybescherming genieten als privéberichten. De grootschalige aanschaf van circa vier miljoen slimme Chinese elektriciteitsmeters door Nederlandse netbeheerders, van producenten zoals Kaifa Technology, veroorzaakt onrust in de elektrotechnische sector vanwege mogelijke veiligheidsrisico’s en privacyzorgen omtrent de toegankelijkheid van gedetailleerde energieverbruiksinformatie. De financiële dienstverlening in de EMEA regio kampt met een structurele toename van cyberrisico’s. Uit recente sectorbrede analyses blijkt dat financiële instellingen in Europa verantwoordelijk zijn voor achttien procent van alle geregistreerde cyberincidenten binnen de EMEA regio. De gemiddelde kosten van een datalek in de financiële sector bedragen momenteel circa 4,77 miljoen euro per incident. De Chinese cyberwaakhond, de Cyberspace Administration, heeft nieuwe conceptregels gepubliceerd om de risico’s van kunstmatige intelligentie met menselijke trekjes in te dammen. De regelgeving richt zich specifiek op AI diensten die ontworpen zijn om menselijk over te komen en waar gebruikers een emotionele band mee kunnen opbouwen, met waarschuwingen voor verslavend gedrag en psychologische problemen. Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, heeft de overname afgerond van het AI bedrijf Manus, waarvoor circa 2 miljard dollar is betaald. Manus’ technologie, een General AI Agent, die software in staat stelt volledig zelfstandig digitale taken uit te voeren, zal worden geïntegreerd in Meta's bestaande ecosysteem.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.