De afgelopen achtenveertig uur werd het digitale landschap gedomineerd door een reeks onthullingen die aantonen hoe snel de tactieken van cybercriminelen zich aanpassen aan nieuwe technologieën. Terwijl grote ondernemingen en overheidsinstellingen worstelen met de nasleep van datalekken en ransomware, blijkt dat zowel verouderde hardware als de nieuwste kunstmatige intelligentie nieuwe aanvalsroutes openen. Met name in de Benelux groeit de bezorgdheid over de verwevenheid van de onderwereld met alledaagse digitale processen, wat vraagt om zowel juridische als operationele tegenmaatregelen.
Grootschalige diefstal van bedrijfsgeheimen en verstoringen in onderwijs en horeca
De zakelijke dienstverlener Sedgwick staat in het middelpunt van een beveiligingsincident waarbij de ransomwaregroep TridentLocker claimt bijna 3,4 gigabyte aan documenten te hebben buitgemaakt uit een geïsoleerd bestandsoverdrachtsysteem. Deze groepering werd eerder al gelinkt aan een aanval op het Belgische postbedrijf Bpost. Ook de Amerikaanse provider Brightspeed onderzoekt een ernstige claim van het Crimson Collective over de diefstal van gegevens van meer dan een miljoen klanten. In het Verenigd Koninkrijk moest de Higham Lane School de deuren tijdelijk sluiten na een aanval die kritieke systemen, waaronder telefoonlijnen en mailservers, platlegde. De Europese hotelsector kampt ondertussen met de ClickFix campagne, waarbij medewerkers via phishingmails die Booking.com imiteren worden misleid om malware te installeren via een vervalst crashscherm. Er was ook ophef rondom NordVPN, dat in verband werd gebracht met een datalek; de provider ontkent echter stellig en stelt na onderzoek vast dat de gelekte data afkomstig is van een testomgeving van een derde partij en louter fictieve gegevens bevat. Tot slot blijken inloggegevens van zo'n vijftig multinationals, waaronder Samsung en Deloitte, te worden verhandeld door de groep Zestix, die toegang verkreeg via infostealers op systemen van medewerkers.
Discussie over veiligheid van assistenten en kritieke fouten In frameworks
Een fundamenteel meningsverschil is ontstaan tussen Microsoft en de beveiligingsgemeenschap over Copilot AI. Onderzoeker John Russell toonde aan dat de beveiligingsfilters van de assistent omzeild kunnen worden via methoden zoals Base64 codering, maar de techgigant weigert dit vooralsnog als een kwetsbaarheid te bestempelen. Google heeft daarentegen wel direct actie ondernomen door een kritiek lek in de Dolby componenten van Android te dichten, geregistreerd als CVE-2025-54957, waarmee aanvallers gegevens uit het geheugen konden stelen via een bufferoverflow. Ook het automatiseringsplatform n8n moest een ernstig lek met een score van 9,9 patchen, waarmee aanvallers via de Python code uit de sandbox konden breken. Ernstige kwetsbaarheden werden eveneens gevonden in AdonisJS, waar aanvallers bestanden kunnen wegschrijven, en in de jsPDF bibliotheek, die gevoelig bleek voor het uitlezen van lokale bestanden. Gebruikers van de verouderde TOTOLINK EX200 extender lopen groot risico door een ongepatcht lek dat root toegang verschaft. Verder waarschuwen experts voor 'Prompt Poaching' via malafide Chrome extensies die zich voordoen als AI hulpmiddelen maar in werkelijkheid chatgesprekken met diensten als ChatGPT onderscheppen.
Onzichtbare technieken en agressieve werving van binnenuit
De evolutie van malware neemt zorgwekkende vormen aan met de ontdekking van Tuoni, software die zich specifiek richt op de vastgoedsector en gebruikmaakt van steganografie om kwaadaardige code te verbergen in onschuldige afbeeldingen. Doordat deze malware enkel in het geheugen draait, blijven traditionele sporen op de harde schijf achterwege. Ook GravityRAT vertoont geavanceerd gedrag door de temperatuur van de processor uit te lezen om zo virtuele testomgevingen van beveiligers te herkennen en te ontwijken. In Centraal- en Oost-Europa is een sterke toename gezien van CloudEyE, een dienst die als lanceerplatform fungeert voor andere malware. Een andere verontrustende trend is de terugkeer van de groep Scattered Lapsus$ Hunters, die via het platform ShinySp1d3r agressief insiders bij telecom- en softwarebedrijven werft met de belofte van hoge commissies. Daarnaast is de nieuwe tool Brutus opgedoken, die zich specifiek richt op het bruteforcen van Fortinet VPN's. Ook gebruikers van macOS zijn niet langer veilig; de activiteit van infostealers op dit platform is in het afgelopen jaar explosief gestegen.
Politie waarschuwt voor vermenging van criminelen en statelijke actoren
Stan Duijf, hoofd operatiën cyber van de Nederlandse politie, luidt de noodklok over de vervagende grenzen tussen kleine criminelen, georganiseerde misdaad en statelijke actoren. Hij waarschuwt dat deze groepen steeds vaker samenwerken en pleit voor een aanpak waarbij digitale aanvallen met dezelfde urgentie worden behandeld als zware geweldsmisdrijven. Onderzoekers hebben daarnaast een phishingcampagne blootgelegd die zich richt op beheerders van WordPress sites, waarbij 3D Secure beveiliging wordt omzeild via nagemaakte bankschermen. Ook fabrikant Ledger moest gebruikers informeren over een lek bij partner Global-e, waarbij contactgegevens zijn blootgesteld. Op het dark web wordt intussen geadverteerd met toegang tot een intern paneel van crypto exchange Kraken voor een opvallend lage startprijs, wat leidt tot scepsis onder analisten over de authenticiteit van de claim. Forcepoint analisten onthulden verder een complexe campagne rondom de feestdagen, waarbij DocuSign documenten werden nagemaakt om inloggegevens te stelen in combinatie met identiteitsfraude via leningaanvragen.
Strategische inzet van economische desinformatie en synthetische media
Het Evident Institute waarschuwt dat economische desinformatie in 2026 een structureel wapen is geworden om strategisch beleid van landen te hinderen en het vertrouwen van investeerders te ondermijnen. Deze zogenoemde DFK praktijken beperken zich niet meer tot incidenten, maar zijn integraal onderdeel van bredere strategieën. Daarnaast is de nieuwe dreigingsactor Fletchen geïdentificeerd, die in verband wordt gebracht met diverse categorieën van digitale aanvallen. De kracht van AI in dit domein werd onderstreept door een virale video over Venezuela, die na analyse volledig synthetisch bleek te zijn, maar werd gepresenteerd als authentiek nieuws. Ook in de wereld van phishing is de invloed van AI zichtbaar; door het gebruik van generatieve modellen is de succesratio van deze aanvallen gestegen naar 54 procent, doordat berichten nauwelijks meer van echt te onderscheiden zijn.
Juridische overwinning voor gebruikers en nuance rondom banenverlies
In een belangrijke uitspraak voor de digitale burgerrechten heeft de Nederlandse rechter bepaald dat Meta de voorkeur van gebruikers voor een chronologische tijdlijn permanent moet onthouden, na een zaak aangespannen door Bits of Freedom. Deze uitspraak kan verstrekkende gevolgen hebben voor de implementatie van de Digital Services Act in Europa. Op de arbeidsmarkt nuanceert de Intelligence Group de angst voor banenverlies door AI; hoewel ontslagen vaak aan automatisering worden toegeschreven, blijkt dit in de praktijk veelal een gelegenheidsargument voor reorganisaties. Goed nieuws komt er uit Delft, waar chipontwerper Qualinx twintig miljoen euro heeft opgehaald voor de productie van chips die locatiebepaling lokaal verwerken, wat de afhankelijkheid van de cloud vermindert. Tot slot blijft fraude via sociale media een hardnekkig probleem, waarbij criminelen via gehackte accounts fictieve voertuigen verkopen aan nietsvermoedende vrienden en volgers.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.