S02E09
De afgelopen achtenveertig uur werd het digitale landschap getekend door een scherp contrast tussen gerichte aanvallen op lokaal erfgoed en fundamentele discussies over de robuustheid van onze financiële infrastructuur. Terwijl Nederlandse instellingen worstelen met de directe gevolgen van cybercriminaliteit en de maatschappelijke impact van digitalisering, zien we wereldwijd hoe geavanceerde malware en kwetsbaarheden in essentiële software de druk op IT beveiliging verder opvoeren.
Culturele en medische instellingen verliezen grip op gevoelige data
Het Veenkoloniaal Museum in Veendam is gisteren ten prooi gevallen aan de ransomwaregroep LockBit die onder de specifieke naam Lockbit5 opereert. De criminelen hebben toegang gekregen tot interne systemen en dreigen gevoelige data te publiceren als er geen losgeld wordt betaald, wat de enorme kwetsbaarheid van de culturele sector voor digitale afpersing onderstreept. Ook klanten van ING ondervonden hinder door een technische storing die leidde tot vertragingen in het betalingsverkeer. Hoewel de storing zelf van technische aard was, vormde dit incident de directe aanleiding voor felle online discussies over bredere onvrede rondom bankzaken, waarbij klanten hun frustraties uitten over strenge witwascontroles en limieten op het opnemen van contant geld die hun financiële vrijheid zouden inperken. Buiten onze landsgrenzen kampte het Franse ministerie van Sport met de nasleep van een enorme inbraak waarbij de privégegevens van miljoenen huishoudens zijn buitgemaakt. In de zakelijke markt claimt de groep RansomHouse succesvol te hebben ingebroken bij Luxshare Precision Industry, een belangrijke toeleverancier van Apple, waarbij waardevolle technische documenten en ontwerpen zouden zijn gestolen. Daarnaast kreeg een Spaans ziekenhuis een miljoenenboete opgelegd van de privacytoezichthouder wegens grootschalige nalatigheid bij het beschermen van medische patiëntgegevens.
Gaten in cloudplatforms en hardware ondermijnen systeemintegriteit
Beveiligingsonderzoekers hebben diverse kritieke lekken blootgelegd die de fundamenten van moderne bedrijfsnetwerken en hardware raken. Een ernstige fout in het platform ServiceNow, geregistreerd als CVE-2025-12420 en aangeduid als BodySnatcher, stelt aanvallers in staat om volledige controle over systemen over te nemen door zich voor te doen als willekeurige gebruikers. Ook de cloudinfrastructuur vertoont scheuren met een ontdekking in Microsoft Azure Private Endpoint die denial of service aanvallen mogelijk maakt en een lek in de Web Application Firewall van Cloudflare waardoor kwaadwillenden beveiligingsregels volledig kunnen omzeilen. Op chipniveau blijken processoren van AMD kwetsbaar voor StackWarp ofwel CVE-2025-29943, waarmee aanvallers kunnen uitbreken uit beveiligde virtuele machines. Consumentenelektronica blijft niet achter; in de firmware van Xiaomi Redmi Buds zijn fouten gevonden die afluisteren mogelijk maken, en in beveiligingscamera’s van TP Link zorgen lekken ervoor dat aanvallers beheerdersrechten kunnen verkrijgen. Daarnaast werd in de populaire Livewire Filemanager component een kritiek lek gevonden waarmee ongeauthenticeerde aanvallers via willekeurige code servers kunnen overnemen.
Zelfschrijvende malware en gemanipuleerde extensies vormen nieuwe voorhoede
De technologische wedloop versnelt met de opkomst van VoidLink, een geavanceerd raamwerk dat kunstmatige intelligentie inzet om zijn eigen code voortdurend te herschrijven en zo detectie door beveiligingssoftware te ontwijken. Naast deze complexe malware zien we een toename van misleiding via gemanipuleerde software; een valse versie van de PDF24 applicatie, verspreid onder de naam PDFSIDER, installeert in het geheim achterdeurtjes op systemen van slachtoffers. Gebruikers van Google Chrome zijn doelwit van malafide extensies zoals CrashFix en NexShield die browsers volledig laten vastlopen door het geheugen compleet uit te putten. Een andere subtiele dreiging is het misbruik van slimme assistenten, waarbij onderzoekers aantoonden hoe een agenda uitnodiging het Gemini model van Google kan manipuleren om privégegevens te lekken zonder medeweten van de gebruiker. Verder waarschuwen experts voor social engineering waarbij aanvallers via geraffineerde procedures proberen de salarisadministratie van bedrijven te misleiden om loonbetalingen om te leiden naar criminele rekeningen.
Autoriteiten ontmantelen criminele infrastructuur en marktplaatsen
De politie heeft een concreet succes geboekt in de aanpak van fraude met de identificatie van een 19 jarige Amsterdammer. De jongeman meldde zichzelf nadat hij beelden van een opsporingsprogramma had gezien waarop hij te zien was tijdens het pinnen met passen die waren buitgemaakt via een babbeltruc in Hellevoetsluis. Op internationaal vlak is de infrastructuur van de beruchte BlackBasta ransomwarebende blootgelegd na het uitlekken van interne chats en servergegevens bij hostingprovider Media Land. In de Verenigde Staten heeft een verdachte uit Georgië schuld bekend aan het verkopen van toegang tot gehackte bedrijfsnetwerken, waarmee hij fungeerde als een cruciale inbreekmakelaar voor ransomwaregroepen. Ook zijn de illegale marktplaatsen Tudou Guarantee en Huione Guarantee, die werden gebruikt voor witwaspraktijken, effectief verstoord na de arrestatie van de CEO van de achterliggende Prince Group. Daarnaast is er actie ondernomen tegen de pro Russische groep NoName057, waarbij servers van hun DDoS project in beslag zijn genomen tijdens de internationale operatie Eastwood.
Digitale sabotage verschuift van slagveld naar ontwikkelomgevingen en staatsmedia
Het digitale domein speelt een steeds grotere rol in moderneconflicten, waarbij Oekraïne inzet op drones aangedreven door kunstmatige intelligentie en naar verluidt Russische operators heeft gehackt om hun posities te onthullen. Noord Koreaanse staatshackers richten hun pijlen nu specifiek op softwareontwikkelaars door besmette extensies voor Visual Studio Code te verspreiden, waarmee ze via kwaadaardige repositories toegang proberen te krijgen tot ontwikkelomgevingen. In Iran werd de uitzending van de staatstelevisie kortstondig overgenomen om protestboodschappen en beelden van oppositieleiders te tonen, wat wijst op interne kwetsbaarheden in de media infrastructuur van het regime. Tegelijkertijd waarschuwen Britse inlichtingendiensten voor aanhoudende pogingen van Russische hacktivisten om westerse kritieke infrastructuur te ontregelen met verstorende aanvallen.
Beleidsmakers zetten in op open standaarden en digitale onafhankelijkheid
In de politieke arena klinkt kritiek op de snelle invoering van de digitale euro, waarbij minister Heinen pleit voor een gefaseerde aanpak die de privacy van burgers en offline beschikbaarheid waarborgt. Het kabinet zet daarnaast in op het gebruik van open source broncode voor de Europese digitale portemonnee om de veiligheid en transparantie te vergroten. Er is ook toenemende aandacht voor de strategische afhankelijkheid van grote Amerikaanse techbedrijven, waarbij secretaris generaal Gaastra oproept tot een inkoopbeleid dat de digitale autonomie versterkt. Op het gebied van onderwijs waarschuwt de OESO dat passief gebruik van kunstmatige intelligentie door studenten kan leiden tot slechtere leerresultaten. De Nederlandsche Bank heeft daarnaast een wijziging doorgevoerd in de beveiliging van emailverkeer, waarbij de overstap van end to end encryptie naar transportlaagbeveiliging vragen oproept over de vertrouwelijkheid van data die via Microsoft servers loopt.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.