S02E09
De afgelopen achtenveertig uur werd het digitale landschap getekend door een scherp contrast tussen gerichte aanvallen op lokaal erfgoed en fundamentele discussies over de robuustheid van onze financiële infrastructuur. Terwijl Nederlandse instellingen worstelen met de directe gevolgen van cybercriminaliteit en de maatschappelijke impact van digitalisering, zien we wereldwijd hoe geavanceerde malware en kwetsbaarheden in essentiële software de druk op IT beveiliging verder opvoeren.
Culturele en medische instellingen verliezen grip op gevoelige data
Het Veenkoloniaal Museum in Veendam is gisteren ten prooi gevallen aan de ransomwaregroep LockBit die onder de specifieke naam Lockbit5 opereert. De criminelen hebben toegang gekregen tot interne systemen en dreigen gevoelige data te publiceren als er geen losgeld wordt betaald, wat de enorme kwetsbaarheid van de culturele sector voor digitale afpersing onderstreept. Ook klanten van ING ondervonden hinder door een technische storing die leidde tot vertragingen in het betalingsverkeer. Hoewel de storing zelf van technische aard was, vormde dit incident de directe aanleiding voor felle online discussies over bredere onvrede rondom bankzaken, waarbij klanten hun frustraties uitten over strenge witwascontroles en limieten op het opnemen van contant geld die hun financiële vrijheid zouden inperken. Buiten onze landsgrenzen kampte het Franse ministerie van Sport met de nasleep van een enorme inbraak waarbij de privégegevens van miljoenen huishoudens zijn buitgemaakt. In de zakelijke markt claimt de groep RansomHouse succesvol te hebben ingebroken bij Luxshare Precision Industry, een belangrijke toeleverancier van Apple, waarbij waardevolle technische documenten en ontwerpen zouden zijn gestolen. Daarnaast kreeg een Spaans ziekenhuis een miljoenenboete opgelegd van de privacytoezichthouder wegens grootschalige nalatigheid bij het beschermen van medische patiëntgegevens.
Gaten in cloudplatforms en hardware ondermijnen systeemintegriteit
Beveiligingsonderzoekers hebben diverse kritieke lekken blootgelegd die de fundamenten van moderne bedrijfsnetwerken en hardware raken. Een ernstige fout in het platform ServiceNow, geregistreerd als CVE-2025-12420 en aangeduid als BodySnatcher, stelt aanvallers in staat om volledige controle over systemen over te nemen door zich voor te doen als willekeurige gebruikers. Ook de cloudinfrastructuur vertoont scheuren met een ontdekking in Microsoft Azure Private Endpoint die denial of service aanvallen mogelijk maakt en een lek in de Web Application Firewall van Cloudflare waardoor kwaadwillenden beveiligingsregels volledig kunnen omzeilen. Op chipniveau blijken processoren van AMD kwetsbaar voor StackWarp ofwel CVE-2025-29943, waarmee aanvallers kunnen uitbreken uit beveiligde virtuele machines. Consumentenelektronica blijft niet achter; in de firmware van Xiaomi Redmi Buds zijn fouten gevonden die afluisteren mogelijk maken, en in beveiligingscamera’s van TP Link zorgen lekken ervoor dat aanvallers beheerdersrechten kunnen verkrijgen. Daarnaast werd in de populaire Livewire Filemanager component een kritiek lek gevonden waarmee ongeauthenticeerde aanvallers via willekeurige code servers kunnen overnemen.
Zelfschrijvende malware en gemanipuleerde extensies vormen nieuwe voorhoede
De technologische wedloop versnelt met de opkomst van VoidLink, een geavanceerd raamwerk dat kunstmatige intelligentie inzet om zijn eigen code voortdurend te herschrijven en zo detectie door beveiligingssoftware te ontwijken. Naast deze complexe malware zien we een toename van misleiding via gemanipuleerde software; een valse versie van de PDF24 applicatie, verspreid onder de naam PDFSIDER, installeert in het geheim achterdeurtjes op systemen van slachtoffers. Gebruikers van Google Chrome zijn doelwit van malafide extensies zoals CrashFix en NexShield die browsers volledig laten vastlopen door het geheugen compleet uit te putten. Een andere subtiele dreiging is het misbruik van slimme assistenten, waarbij onderzoekers aantoonden hoe een agenda uitnodiging het Gemini model van Google kan manipuleren om privégegevens te lekken zonder medeweten van de gebruiker. Verder waarschuwen experts voor social engineering waarbij aanvallers via geraffineerde procedures proberen de salarisadministratie van bedrijven te misleiden om loonbetalingen om te leiden naar criminele rekeningen.
Autoriteiten ontmantelen criminele infrastructuur en marktplaatsen
De politie heeft een concreet succes geboekt in de aanpak van fraude met de identificatie van een 19 jarige Amsterdammer. De jongeman meldde zichzelf nadat hij beelden van een opsporingsprogramma had gezien waarop hij te zien was tijdens het pinnen met passen die waren buitgemaakt via een babbeltruc in Hellevoetsluis. Op internationaal vlak is de infrastructuur van de beruchte BlackBasta ransomwarebende blootgelegd na het uitlekken van interne chats en servergegevens bij hostingprovider Media Land. In de Verenigde Staten heeft een verdachte uit Georgië schuld bekend aan het verkopen van toegang tot gehackte bedrijfsnetwerken, waarmee hij fungeerde als een cruciale inbreekmakelaar voor ransomwaregroepen. Ook zijn de illegale marktplaatsen Tudou Guarantee en Huione Guarantee, die werden gebruikt voor witwaspraktijken, effectief verstoord na de arrestatie van de CEO van de achterliggende Prince Group. Daarnaast is er actie ondernomen tegen de pro Russische groep NoName057, waarbij servers van hun DDoS project in beslag zijn genomen tijdens de internationale operatie Eastwood.
Digitale sabotage verschuift van slagveld naar ontwikkelomgevingen en staatsmedia
Het digitale domein speelt een steeds grotere rol in moderneconflicten, waarbij Oekraïne inzet op drones aangedreven door kunstmatige intelligentie en naar verluidt Russische operators heeft gehackt om hun posities te onthullen. Noord Koreaanse staatshackers richten hun pijlen nu specifiek op softwareontwikkelaars door besmette extensies voor Visual Studio Code te verspreiden, waarmee ze via kwaadaardige repositories toegang proberen te krijgen tot ontwikkelomgevingen. In Iran werd de uitzending van de staatstelevisie kortstondig overgenomen om protestboodschappen en beelden van oppositieleiders te tonen, wat wijst op interne kwetsbaarheden in de media infrastructuur van het regime. Tegelijkertijd waarschuwen Britse inlichtingendiensten voor aanhoudende pogingen van Russische hacktivisten om westerse kritieke infrastructuur te ontregelen met verstorende aanvallen.
Beleidsmakers zetten in op open standaarden en digitale onafhankelijkheid
In de politieke arena klinkt kritiek op de snelle invoering van de digitale euro, waarbij minister Heinen pleit voor een gefaseerde aanpak die de privacy van burgers en offline beschikbaarheid waarborgt. Het kabinet zet daarnaast in op het gebruik van open source broncode voor de Europese digitale portemonnee om de veiligheid en transparantie te vergroten. Er is ook toenemende aandacht voor de strategische afhankelijkheid van grote Amerikaanse techbedrijven, waarbij secretaris generaal Gaastra oproept tot een inkoopbeleid dat de digitale autonomie versterkt. Op het gebied van onderwijs waarschuwt de OESO dat passief gebruik van kunstmatige intelligentie door studenten kan leiden tot slechtere leerresultaten. De Nederlandsche Bank heeft daarnaast een wijziging doorgevoerd in de beveiliging van emailverkeer, waarbij de overstap van end to end encryptie naar transportlaagbeveiliging vragen oproept over de vertrouwelijkheid van data die via Microsoft servers loopt.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.