S02E07
De afgelopen twee dagen stonden in het teken van ernstige verstoringen binnen de medische sector en een reeks onthullingen over staatsgebonden cyberoperaties. Terwijl ziekenhuispersoneel in onze regio noodgedwongen terugvalt op papierwerk na een gijzelingsaanval, worden burgers internationaal geconfronteerd met grootschalige datalekken en geraffineerde oplichtingstrucs. Tegelijkertijd woedt er een technologische wapenwedloop tussen grootmachten, waarbij kwantumtechnologie en kunstmatige intelligentie het strijdtoneel herdefiniëren.
Zorginstellingen en miljoenen burgers doelwit van digitale aanvallen
De impact van ransomware op de gezondheidszorg is de afgelopen 48 uur pijnlijk zichtbaar gebleven bij het AZ Monica ziekenhuis. Nadat de servers eerder deze week werden platgelegd, is de campus in Antwerpen heropend op vijftig procent van de capaciteit, al blijft de technische infrastructuur grotendeels offline. Sinds gisteren wordt er weer beperkt ambulancevervoer toegelaten voor specifieke spoedgevallen, maar medische scans zijn nog onmogelijk en de administratie verloopt traag via papier. Hoewel er geen aanwijzingen zijn dat patiëntgegevens zijn gestolen, is de druk op omliggende ziekenhuizen groot. Ook consumenten worden hard geraakt; de Fraudehelpdesk meldt een explosieve stijging van oplichting via Booking.com, waarbij criminelen via gehackte hotelaccounts en de officiële chatfunctie ruim tweehonderd Nederlanders voor tienduizenden euro's hebben opgelicht. Daarnaast deelde de Franse toezichthouder CNIL een monsterboete van 42 miljoen euro uit aan provider Free na een datalek waarbij zelfs bankrekeningnummers op straat kwamen. Ook bij cloud distributeur Pax8 ging het mis door een menselijke fout met een spreadsheet, terwijl de Canadese beurswaakhond CIRO en de Russische berichtendienst Max Messenger melding maakten van lekken die miljoenen gebruikers en beleggers treffen.
Kritieke lekken in beveiligingssoftware en verouderde protocollen
Softwareleveranciers hebben de afgelopen dagen met spoed updates uitgebracht voor ernstige kwetsbaarheden die netwerken wagenwijd openzetten. Fortinet repareerde kritieke gaten in hun SIEM en telefoniesoftware die aanvallers zonder inloggegevens volledige controle gaven. Bij Palo Alto Networks zorgde een fout in firewalls voor het risico op totale uitval van netwerkverbindingen. Microsoft had de handen vol aan het dichten van lekken in Windows Admin Center, Azure en een methode om beveiligingsfuncties in Remote Assistance te omzeilen, terwijl het bedrijf ook startte met het vervangen van verlopende certificaten in Windows 11 om toekomstige opstartproblemen te voorkomen. Adobe bracht patches uit voor diverse creatieve programma's zoals Illustrator om het uitvoeren van kwaadaardige code te blokkeren. Een opvallend risico werd gevonden in Google Fast Pair, waardoor bluetooth audioapparaten kunnen worden afgeluisterd. Zorgwekkend is ook dat verouderde versies van Apache Struts nog massaal worden gedownload ondanks bekende gevaren, en dat een populaire plugin voor WordPress actief wordt misbruikt om websites over te nemen.
Innovatieve malware en misbruik van kunstmatige intelligentie
Criminelen zetten steeds zwaardere middelen in, waarbij kunstmatige intelligentie een hoofdrol opeist. Onderzoekers ontdekten MonetaStealer, een stuk malware gericht op macOS dat AI gebruikt om onopgemerkt te blijven en cryptovaluta te stelen. Een andere nieuwe aanvalsmethode genaamd Reprompt richt zich specifiek op Microsoft Copilot om via een simpele link gevoelige data uit chatsessies te trekken. De handel in gestolen data tiert welig met een aanbod van vijf miljard inloggegevens op het darkweb. Ook ransomwarebendes vernieuwen zich; de groep Gunra lanceerde een nieuw partnerprogramma, terwijl de beruchte Turla groep geavanceerde malware inzet die nauwelijks te detecteren is. Noord Koreaanse hackers richten zich ondertussen met nepsollicitaties op ontwikkelaars om via ontwikkelsoftware binnen te dringen. Daarnaast werd een methode blootgelegd waarbij aanvallers legitieme tools zoals GitKraken misbruiken om via verborgen bestanden malware te installeren bij bedrijven in de energiesector. Gelukkig was er ook een lichtpuntje met de vondst van een decryptiesleutel voor slachtoffers van DragonForce ransomware.
Politieacties tegen kinderlokkers en ontmanteling van criminele netwerken
Handhavingsdiensten hebben diverse successen geboekt in de strijd tegen online misdaad. De politie lanceerde de preventieve actie TicketBewust.nl om duizenden potentiële slachtoffers van aankoopfraude te waarschuwen. In een schokkende zedenzaak werd een man uit Limburg aangehouden die via de videochat app Thundr tientallen minderjarigen afperste met naaktbeelden. Microsoft slaagde erin de infrastructuur van RedVDS offline te halen, een dienst die cruciaal was voor talloze phishingaanvallen. Ook het enorme Kimwolf botnet, dat miljoenen onveilige Android apparaten misbruikte, is door beveiligingsonderzoekers onschadelijk gemaakt. De rechtbank in Rotterdam bevestigde een miljoenenboete voor Epic Games vanwege manipulatieve handelspraktijken in het spel Fortnite gericht op kinderen. Minder coulance was er voor een slachtoffer van helpdeskfraude bij ING; het financiële klachteninstituut oordeelde dat de bank de schade niet hoeft te vergoeden omdat de klant diverse waarschuwingen negeerde.
Escalatie van digitale conflicten en wapenwedloop met kwantumtechnologie
De geopolitieke spanningen in cyberspace zijn de afgelopen 48 uur verder opgelopen. Polen beschuldigde Russische inlichtingendiensten formeel van een aanval op de stroomvoorziening eind vorig jaar. China demonstreerde zijn militaire ambities met testen van experimentele cyberwapens op basis van kwantumtechnologie en het beheer van een gigantisch spionagenetwerk. In Oekraïne zet de nieuwe minister van Defensie vol in op de integratie van autonome drones en AI om de Russische agressie het hoofd te bieden. Ondertussen woedt in Iran een digitaal kat en muisspel waarbij het regime niet alleen het internet blokkeert, maar ook actief probeert om satellietverbindingen van Starlink te verstoren om protesten te smoren. Ook bleek dat de groep die eerder de Nederlandse politie hackte, nu met spionagesoftware jaagt op Oekraïens defensiepersoneel.
Politieke zorgen over privacy en miljardeninvesteringen in digitale veiligheid
De politiek worstelt met de balans tussen innovatie en veiligheid. De Cyber Security Raad adviseerde het kabinet dringend om honderden miljoenen extra te investeren in digitale weerbaarheid. Er is onrust ontstaan over de overname van cloudprovider Solvinity door een Amerikaans bedrijf, wat vragen oproept over de veiligheid van Nederlandse overheidsdata. Demissionair minister Hermans probeerde zorgen weg te nemen over het gebruik van Chinese sensoren in slimme energiemeters. Het World Economic Forum waarschuwde dat desinformatie en cyberaanvallen door AI de grootste wereldwijde risico's vormen. Verder wordt er politiek gedebatteerd over een verbod op software die nepnaaktbeelden maakt, nadat platform X de regels voor zijn chatbot aanscherpte. De politie waarschuwde ouders bovendien dat het afplakken van kindergezichten met emojis op sociale media geen zin meer heeft door de komst van slimme AI tools die deze kunnen verwijderen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.