S02E08
De afgelopen 72 uur werd het cyberdomein gedomineerd door een samenspel van geopolitieke manoeuvres en criminelen die de grenzen tussen fysieke diefstal en digitale criminaliteit doen vervagen. Terwijl de Europese Commissie concrete stappen voorbereidt om Chinese technologie uit vitale systemen te weren, zien we in de Benelux hoe de handel in gestolen fysieke goederen zich verplaatst naar online platforms. Tegelijkertijd worden organisaties wereldwijd geconfronteerd met ernstige kwetsbaarheden in essentiële netwerkapparatuur en cloudomgevingen, wat de noodzaak voor acute waakzaamheid bij zowel overheden als bedrijven onderstreept.
Juridische dienstverlening en activisme onder vuur naast grootschalige datadiefstal
In de juridische sector is het Luxemburgse advocatenkantoor SJL Jimenez Lunz getroffen door een cyberaanval met de MS13-089 ransomware, waarbij mogelijk gevoelige cliëntinformatie is buitgemaakt. Een opvallende vermenging van fysieke en digitale criminaliteit doet zich voor in Nederland na een vrachtwagenoverval in Barendrecht, waarbij voor 400.000 euro aan thuisbatterijen van fabrikant HomeWizard werd gestolen. De buit duikt nu tegen dumpprijzen op via handelsplatforms als Marktplaats en Bol, wat de fabrikant dwingt te waarschuwen voor heling. Ook de activistische website ICE List, opgericht door de in Nederland wonende Dominick Skinner, is doelwit geworden van een zware DDoS aanval nadat zij identiteitsgegevens van Amerikaanse federale agenten publiceerden. In Canada is de financiële sector opgeschrikt door een datalek bij investeringswaakhond CIRO, waardoor de gegevens van 750.000 beleggers zijn blootgesteld aan potentiële phishingaanvallen.
Lokale infrastructuurrisico’s en kritieke lekken in wereldwijde bedrijfssoftware
Uit recente data van honeypotsensoren blijkt dat aanvallers zich in Nederland momenteel specifiek richten op kwetsbaarheden in Metabase en Citrix NetScaler, terwijl in België systemen die draaien op het ThinkPHP5 framework zwaar worden bestookt. Een wereldwijd risico vormt de zeroday kwetsbaarheid in Cisco Secure Email Gateways, die al sinds eind vorig jaar wordt misbruikt door de Chinese hackersgroep UAT-9686 en waarvoor nu dringende patches beschikbaar zijn. Ook voor gebruikers van Android toestellen is er werk aan de winkel na de ontdekking van 'zero click' exploits in de Dolby audiocodec, waarmee aanvallers zonder interactie de controle kunnen overnemen. In de cloudomgeving heeft een configuratiefout in AWS CodeBuild geleid tot de onbedoelde blootstelling van diverse interne GitHub repositories van Amazon zelf. Daarnaast blijven malafide browserextensies een hardnekkig probleem; de GhostPoster campagne is nog steeds actief met 17 extensies, en nieuwe frauduleuze add ons richten zich specifiek op het overnemen van accounts op HR platformen zoals Workday.
Destructieve wissers en geavanceerde misleiding via vertrouwde kanalen
Het Belgische Centrum voor Cyberveiligheid waarschuwt voor een toename van wiper aanvallen, die in tegenstelling tot ransomware gericht zijn op de totale vernietiging van data in plaats van financieel gewin. Consumenten moeten extra alert zijn op een nieuwe vorm van phishing waarbij oplichters misbruik maken van de legitieme factuurfunctie van PayPal om via officiële notificaties geld te eisen, naast een stroom van valse boetes uit naam van het CJIB en MijnOverheid. De criminele dienstverlening professionaliseert verder met de lancering van STARKILLER, een platform dat criminelen helpt geavanceerde multifactor authenticatie te omzeilen. Ook de dreiging van infostealers evolueert; de nieuwe malware CastleLoader richt zich specifiek op kritieke infrastructuur in Europa, terwijl de dreigingsactor CHONG toegang tot telecomnetwerken en databases te koop aanbiedt. Zorgen zijn er tevens over misbruik van AI, waarbij expertisecentrum Offlimits een explosieve stijging meldt van met AI gegenereerd misbruikmateriaal, wat platforms dwingt tot strengere regels.
Arrestaties in ransomwarekartel en blootlegging van criminele infrastructuur
Duitse en Oekraïense autoriteiten hebben een belangrijke slag geslagen in de strijd tegen ransomware met invallen in Oekraïne gericht tegen de beruchte Black Basta groep. Hierbij is de vermoedelijke leider, de 36 jarige Rus Oleg Nefedov, geïdentificeerd en zijn twee verdachten opgespoord die gespecialiseerd waren in het kraken van toegangscodes. Ook op digitaal vlak boeken onderzoekers succes; door een kwetsbaarheid in het beheerpaneel van de infostealer StealC uit te buiten, kon beveiligingsbedrijf CyberArk de locatiegegevens van de beheerders in Oekraïne en Rusland achterhalen. Dit toont aan dat de software die criminelen gebruiken zelf niet vrij is van bugs en dat deze fouten effectief tegen hen kunnen worden ingezet.
Politieke onrust en spionagecampagnes rond energienetwerken
De Europese Commissie bereidt een voorstel voor om Chinese netwerkapparatuur en zonnepanelen te weren uit kritieke infrastructuur, een maatregel met grote impact gezien het marktaandeel van Chinese leveranciers. De vrees voor spionage wordt versterkt door de ontdekking van de LotusLite malwarecampagne, die door Chinese staatshackers wordt ingezet tegen Amerikaanse doelen en verband houdt met de situatie in Venezuela. Daar melden media, waaronder The New York Times, dat een Amerikaanse cyberaanval de stroomvoorziening en radarsystemen platlegde voorafgaand aan de militaire operatie waarbij president Maduro begin januari gevangen werd genomen. Ook Iran kampt met ernstige internetverstoringen die de economie ontwrichten. In een poging de Europese autonomie in de ruimte te vergroten, werken Eutelsat en startup MaiaSpace samen aan een eigen satellietnetwerk als tegenhanger van het Amerikaanse Starlink.
Zorgen over digitale afhankelijkheid en integriteit van verkiezingen
Demissionair minister Hermans waarschuwt voor de risico's die ontstaan doordat het Nederlandse energiesysteem te afhankelijk is van buitenlandse clouddiensten. Soortgelijke zorgen over digitale soevereiniteit klinken rondom de mogelijke overname van de beheerder van DigiD door een Amerikaans technologiebedrijf. Op gemeentelijk niveau blijkt uit onderzoek dat er bij verkiezingen gebruik wordt gemaakt van apps die risico's vormen voor de integriteit van het stemproces. TikTok heeft aangekondigd accounts van kinderen onder de 13 jaar in Europa te blokkeren om te voldoen aan strengere regels. Ondertussen hebben onderzoekers de mythe ontkracht dat smartphones gesprekken afluisteren voor advertentiedoeleinden; datamining op basis van gedrag blijkt al effectief genoeg. Tot slot oordeelde een Amerikaanse rechter dat het bestuur van CrowdStrike niet misleidend heeft gehandeld rondom de wereldwijde storing van juli 2024, waardoor de rechtszaak van aandeelhouders is verworpen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
AI voert zelf de aanval uit en firewalls als ingang
Het cybernieuws van donderdag 2 en vrijdag 3 juli 2026 werd beheerst door één rode draad, aanvallers verschuilen zich achter wat organisaties juist zouden moeten vertrouwen. Onderzoekers documenteerden de eerste ransomware die volledig door een AI agent werd aangestuurd, terwijl gestolen inloggegevens van tienduizenden firewalls rechtstreeks aan ransomware werden gekoppeld. Tegelijk brak een reeks actief misbruikte lekken los aan de rand van het netwerk, van Citrix NetScaler tot Microsoft SharePoint. In eigen land stond een datalek bij een hogeschool bijna een jaar open, arresteerde de Belgische politie een negentienjarige als vermeend kopstuk van een phishingbende, en klonk de geopolitiek door in dronespionage en de zoektocht naar digitale soevereiniteit.
Golf actief misbruikte lekken en AI als aanvalswapen
Het cybernieuws van dinsdag 30 juni en woensdag 1 juli 2026 stond in het teken van een golf kritieke kwetsbaarheden die nu daadwerkelijk worden misbruikt, van beheersoftware tot bedrijfsapplicaties. Daarnaast werd kunstmatige intelligentie op steeds meer manieren een aanvalsvlak, van browsers die zich laten ompraten tot verzonnen domeinen die aanvallers alvast registreren. In eigen land toonde De Nederlandsche Bank hoe hard de fraude in het betalingsverkeer groeit, terwijl de opsporing resultaat boekte en de geopolitiek opnieuw doorklonk in de spionage tegen overheden.
Russische jacht op Signal en een golf kritieke lekken
Het cybernieuws van zaterdag 27 tot en met maandag 29 juni 2026 liet drie sterke rode draden zien. De FBI, CISA en de Oekraïense veiligheidsdienst waarschuwden alle drie voor dezelfde Russische campagne die niet de versleuteling van Signal kraakt, maar gebruikers hun herstelsleutel laat afstaan. Tegelijk werd kunstmatige intelligentie zichtbaar als zowel wapen als doelwit, van gekaapte softwarepakketten die ontwikkelaars bestelen tot een schone projectmap die een AI codeassistent verleidt om zelf malware uit te voeren. Onder de oppervlakte liep een golf van kritieke kwetsbaarheden met publieke exploitcode, terwijl de Benelux werd geraakt door een datalek bij zeilsoftware en een aanhoudende aanval op hotels, en de opsporing en de geopolitiek opnieuw met elkaar verweven raakten rond Jaguar Land Rover.
Operation Endgame tegen infostealers, Canvas onzeker
Het cybernieuws van donderdag 25 en vrijdag 26 juni 2026 stond in het teken van twee grote dossiers en een breed patroon. Een internationale operatie, bekend als Operation Endgame, ontmantelde de infrastructuur achter de infostealers Amadey en StealC en de dropper SocGholish, met het Team High Tech Crime van de Nederlandse politie als een van de trekkers. Tegelijk blijft de omvang van het datalek bij het onderwijsplatform Canvas voor Nederland onbekend, omdat leverancier Instructure niet kan aangeven welke gegevens precies zijn buitgemaakt. Onder de oppervlakte loopt opnieuw een rode draad, aanvallers mikken op vertrouwen via de servicedesk, de browser en vertrouwde apps, terwijl kritieke lekken in netwerkapparatuur en in Chrome actief worden misbruikt en de opsporing op meerdere fronten resultaat boekt.
Fortinet treft 270 Belgische bedrijven, Joomla-lek 10.0
Het cybernieuws van dinsdag 23 en woensdag 24 juni 2026 stond in het teken van één groot dossier en een breed patroon. Het datalek bij Fortinet blijkt minstens 270 Belgische organisaties en honderden Nederlandse systemen te raken, terwijl de onderliggende oogstcampagne FortiBleed meer dan 110 miljoen inloggegevens verzamelde. Daarnaast wordt een kritiek lek in de Joomla Content Editor met de hoogste score van 10.0 actief misbruikt, en doken vier nieuwe darkweb-claims op tegen Belgische en Nederlandse bedrijven. Onder de oppervlakte loopt een rode draad: aanvallers oogsten en verhandelen toegang, en de software-toeleveringsketen en de tooling rond kunstmatige intelligentie worden een steeds groter doelwit.
Belgische Staatsveiligheid gehackt, SRA op leaksite
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 20 tot en met maandag 22 juni. De Belgische inlichtingendienst bleek via een lek bij een toeleverancier te zijn getroffen, de Nederlandse accountantskoepel SRA verscheen op de leaksite van LockBit 5, en Fortinet gaf nu ook zelf een dringende waarschuwing uit over de FortiBleed campagne. Daarnaast legde ESET de werkwijze van de ransomwaregroep Gentlemen bloot, doken nieuwe kwetsbaarheden op die directe actie vragen, en speelden oplichters in op de zomervakantie, de belastingaangifte en de Wereldbeker. We lopen het thema voor thema langs.