S02E08
De afgelopen 72 uur werd het cyberdomein gedomineerd door een samenspel van geopolitieke manoeuvres en criminelen die de grenzen tussen fysieke diefstal en digitale criminaliteit doen vervagen. Terwijl de Europese Commissie concrete stappen voorbereidt om Chinese technologie uit vitale systemen te weren, zien we in de Benelux hoe de handel in gestolen fysieke goederen zich verplaatst naar online platforms. Tegelijkertijd worden organisaties wereldwijd geconfronteerd met ernstige kwetsbaarheden in essentiële netwerkapparatuur en cloudomgevingen, wat de noodzaak voor acute waakzaamheid bij zowel overheden als bedrijven onderstreept.
Juridische dienstverlening en activisme onder vuur naast grootschalige datadiefstal
In de juridische sector is het Luxemburgse advocatenkantoor SJL Jimenez Lunz getroffen door een cyberaanval met de MS13-089 ransomware, waarbij mogelijk gevoelige cliëntinformatie is buitgemaakt. Een opvallende vermenging van fysieke en digitale criminaliteit doet zich voor in Nederland na een vrachtwagenoverval in Barendrecht, waarbij voor 400.000 euro aan thuisbatterijen van fabrikant HomeWizard werd gestolen. De buit duikt nu tegen dumpprijzen op via handelsplatforms als Marktplaats en Bol, wat de fabrikant dwingt te waarschuwen voor heling. Ook de activistische website ICE List, opgericht door de in Nederland wonende Dominick Skinner, is doelwit geworden van een zware DDoS aanval nadat zij identiteitsgegevens van Amerikaanse federale agenten publiceerden. In Canada is de financiële sector opgeschrikt door een datalek bij investeringswaakhond CIRO, waardoor de gegevens van 750.000 beleggers zijn blootgesteld aan potentiële phishingaanvallen.
Lokale infrastructuurrisico’s en kritieke lekken in wereldwijde bedrijfssoftware
Uit recente data van honeypotsensoren blijkt dat aanvallers zich in Nederland momenteel specifiek richten op kwetsbaarheden in Metabase en Citrix NetScaler, terwijl in België systemen die draaien op het ThinkPHP5 framework zwaar worden bestookt. Een wereldwijd risico vormt de zeroday kwetsbaarheid in Cisco Secure Email Gateways, die al sinds eind vorig jaar wordt misbruikt door de Chinese hackersgroep UAT-9686 en waarvoor nu dringende patches beschikbaar zijn. Ook voor gebruikers van Android toestellen is er werk aan de winkel na de ontdekking van 'zero click' exploits in de Dolby audiocodec, waarmee aanvallers zonder interactie de controle kunnen overnemen. In de cloudomgeving heeft een configuratiefout in AWS CodeBuild geleid tot de onbedoelde blootstelling van diverse interne GitHub repositories van Amazon zelf. Daarnaast blijven malafide browserextensies een hardnekkig probleem; de GhostPoster campagne is nog steeds actief met 17 extensies, en nieuwe frauduleuze add ons richten zich specifiek op het overnemen van accounts op HR platformen zoals Workday.
Destructieve wissers en geavanceerde misleiding via vertrouwde kanalen
Het Belgische Centrum voor Cyberveiligheid waarschuwt voor een toename van wiper aanvallen, die in tegenstelling tot ransomware gericht zijn op de totale vernietiging van data in plaats van financieel gewin. Consumenten moeten extra alert zijn op een nieuwe vorm van phishing waarbij oplichters misbruik maken van de legitieme factuurfunctie van PayPal om via officiële notificaties geld te eisen, naast een stroom van valse boetes uit naam van het CJIB en MijnOverheid. De criminele dienstverlening professionaliseert verder met de lancering van STARKILLER, een platform dat criminelen helpt geavanceerde multifactor authenticatie te omzeilen. Ook de dreiging van infostealers evolueert; de nieuwe malware CastleLoader richt zich specifiek op kritieke infrastructuur in Europa, terwijl de dreigingsactor CHONG toegang tot telecomnetwerken en databases te koop aanbiedt. Zorgen zijn er tevens over misbruik van AI, waarbij expertisecentrum Offlimits een explosieve stijging meldt van met AI gegenereerd misbruikmateriaal, wat platforms dwingt tot strengere regels.
Arrestaties in ransomwarekartel en blootlegging van criminele infrastructuur
Duitse en Oekraïense autoriteiten hebben een belangrijke slag geslagen in de strijd tegen ransomware met invallen in Oekraïne gericht tegen de beruchte Black Basta groep. Hierbij is de vermoedelijke leider, de 36 jarige Rus Oleg Nefedov, geïdentificeerd en zijn twee verdachten opgespoord die gespecialiseerd waren in het kraken van toegangscodes. Ook op digitaal vlak boeken onderzoekers succes; door een kwetsbaarheid in het beheerpaneel van de infostealer StealC uit te buiten, kon beveiligingsbedrijf CyberArk de locatiegegevens van de beheerders in Oekraïne en Rusland achterhalen. Dit toont aan dat de software die criminelen gebruiken zelf niet vrij is van bugs en dat deze fouten effectief tegen hen kunnen worden ingezet.
Politieke onrust en spionagecampagnes rond energienetwerken
De Europese Commissie bereidt een voorstel voor om Chinese netwerkapparatuur en zonnepanelen te weren uit kritieke infrastructuur, een maatregel met grote impact gezien het marktaandeel van Chinese leveranciers. De vrees voor spionage wordt versterkt door de ontdekking van de LotusLite malwarecampagne, die door Chinese staatshackers wordt ingezet tegen Amerikaanse doelen en verband houdt met de situatie in Venezuela. Daar melden media, waaronder The New York Times, dat een Amerikaanse cyberaanval de stroomvoorziening en radarsystemen platlegde voorafgaand aan de militaire operatie waarbij president Maduro begin januari gevangen werd genomen. Ook Iran kampt met ernstige internetverstoringen die de economie ontwrichten. In een poging de Europese autonomie in de ruimte te vergroten, werken Eutelsat en startup MaiaSpace samen aan een eigen satellietnetwerk als tegenhanger van het Amerikaanse Starlink.
Zorgen over digitale afhankelijkheid en integriteit van verkiezingen
Demissionair minister Hermans waarschuwt voor de risico's die ontstaan doordat het Nederlandse energiesysteem te afhankelijk is van buitenlandse clouddiensten. Soortgelijke zorgen over digitale soevereiniteit klinken rondom de mogelijke overname van de beheerder van DigiD door een Amerikaans technologiebedrijf. Op gemeentelijk niveau blijkt uit onderzoek dat er bij verkiezingen gebruik wordt gemaakt van apps die risico's vormen voor de integriteit van het stemproces. TikTok heeft aangekondigd accounts van kinderen onder de 13 jaar in Europa te blokkeren om te voldoen aan strengere regels. Ondertussen hebben onderzoekers de mythe ontkracht dat smartphones gesprekken afluisteren voor advertentiedoeleinden; datamining op basis van gedrag blijkt al effectief genoeg. Tot slot oordeelde een Amerikaanse rechter dat het bestuur van CrowdStrike niet misleidend heeft gehandeld rondom de wereldwijde storing van juli 2024, waardoor de rechtszaak van aandeelhouders is verworpen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.