S02E11
De digitale wereld toonde zich de afgelopen dagen weer van zijn meest veelzijdige en risicovolle kant, waarbij zowel menselijke goedgelovigheid als technische imperfecties genadeloos werden uitgebuit. Van geraffineerde oplichtingstrucs die de hoogste kringen raken tot diepgravende zorgen over de fundamentele veiligheid van clouddiensten en vitale infrastructuur, de incidenten volgen elkaar in rap tempo op. Het beeld dat ontstaat is er een van een kat en muisspel waarin aanvallers steeds creatievere methoden vinden om beveiliging te omzeilen, terwijl verdedigers racen om gaten te dichten voordat de schade onomkeerbaar is.
Van babbeltrucs op hoog niveau tot ransomware bij multinationals
De diversiteit aan slachtoffers was afgelopen dagen opvallend groot, variërend van individuele bankklanten tot multinationals en overheidsinstellingen. In een opmerkelijke zaak waarschuwde het federaal parket voor criminelen die zich voordoen als de Belgische koning of zijn kabinetschef om bedrijfsleiders geld afhandig te maken voor een niet bestaand galadiner. Ook de financiële sector werd op de vingers getikt; het Kifid oordeelde dat SNS Bank deels aansprakelijk is voor de schade van een klant omdat de bank naliet ING tijdig te waarschuwen voor een verdachte transactie. Op grotere schaal claimt ransomwaregroep Nova dat ze KPMG Nederland hebben aangevallen en gevoelige data hebben gestolen, terwijl Nike te maken kreeg met de WorldLeaks groep die screenshots van interne systemen publiceerde. Ook kwam de Nederlandse politie opnieuw in opspraak na onthullingen over het grote datalek uit 2024; uit nieuwe informatie blijkt dat destijds cruciale beveiligingsadviezen werden genegeerd, wat bijdroeg aan het blootstellen van tienduizenden agentengegevens. Daarnaast maken aanvallers gebruik van een subtiele 'rn' typefout in domeinnamen om Microsoft en Marriott te imiteren en inloggegevens te stelen. De culturele sector bleef niet gespaard; de Dresden State Art Collections kampte met een cyberaanval die de kaartverkoop platlegde. Verder werden inloggegevens van duizenden accounts van diensten als Roblox, TikTok en Netflix online gelekt na malware infecties.
Patches voor kunstmatige intelligentie en elektrische voertuigen
Softwareleveranciers en fabrikanten hebben met spoed updates uitgebracht om ernstige beveiligingslekken te dichten die aanvallers diepe toegang tot systemen kunnen geven. Microsoft moest in actie komen voor kritieke kwetsbaarheden in hun AI chatbot Copilot, aangeduid met CVE-2026-21521 en CVE-2026-24307, die datadiefstal mogelijk maakten. VMware waarschuwde voor een ernstige heap overflow kwetsbaarheid in vCenter Server, geregistreerd als CVE-2024-37079, terwijl Fortinet kampte met een authenticatie bypass in FortiCloud (CVE-2025-59718) die nog niet volledig gepatcht bleek. In de auto industrie werden tijdens het Pwn2Own Automotive evenement maar liefst 76 zeroday kwetsbaarheden gedemonstreerd, waarmee hackers controle kregen over infotainmentsystemen en laadstations. Ook de infrastructuurlaag is kwetsbaar; er werd een lek ontdekt in HPE Alletra opslagsystemen dat beheerdersrechten geeft aan aanvallers, en TrustAsia moest 143 SSL certificaten intrekken na een incident met hun LiteSSL dienst. Verder waarschuwde CISA voor actief misbruik van lekken in Zimbra en Versa, en moesten Apple en Google zeroday lekken in WebKit en Chrome dichten.
Misleidende captcha’s en onzichtbare proxynetwerken
De methoden waarmee cybercriminelen systemen infiltreren worden steeds geavanceerder en zijn vaak ontworpen om detectie langdurig te ontwijken. Een nieuw botnet genaamd Kimwolf heeft wereldwijd meer dan twee miljoen IoT apparaten geïnfecteerd en gebruikt deze via residentiële proxy's om onopgemerkt bedrijfs- en overheidsnetwerken aan te vallen. Een andere sluwe techniek is het gebruik van een nep Captcha ecosysteem, waarbij gebruikers worden misleid om malware te installeren onder het mom van een menselijkheidsverificatie. Microsoft waarschuwt daarnaast voor een toename in geavanceerde AiTM aanvallen die multifactorauthenticatie weten te omzeilen, terwijl de FBI alarm slaat over diefstal van BitLocker encryptiesleutels van Windows laptops. Ook de verspreiding van malware via LNK bestanden, zoals de MoonPeak malware, en via fake add ons voor de teksteditor EmEditor, toont aan dat aanvallers continu nieuwe vectoren zoeken. Mac gebruikers zijn eveneens doelwit van de MacSync infostealer die zich voordoet als een 'ClickFix' oplossing. Zorgwekkend is tevens de opkomst van malware die door generatieve AI wordt herschreven om beveiligingsscanners te slim af te zijn.
Gekloonde terminals en nepagenten tegen de lamp gelopen
Opsporingsdiensten boekten successen in de strijd tegen zowel digitale als fysiek gefaciliteerde fraude. Drie mannen uit Drenthe zijn in beeld gekomen voor een grootschalige fraude bij Amazon, waarbij ze met een gekloonde PostNL handterminal voor twee miljoen euro aan onterechte retourbetalingen wisten te innen. In Antwerpen werd een bende veroordeeld die zich voordeed als bankmedewerkers om ouderen hun pincodes en bankpassen te ontfutselen. De politie waarschuwt tevens voor een hardnekkige golf van phishingmails uit naam van korpschef Janny Knol en Europol, waarin slachtoffers valselijk worden beschuldigd van het bezit van kinderporno. In een internationaal onderzoek werden Venezolaanse hackers in de VS veroordeeld voor het plunderen van geldautomaten met behulp van malware, en in eigen land hield de politie een man uit Woensdrecht aan die verdacht wordt van het ronselen van nepagenten. Op het dark web werd ondertussen toegang tot het beheerpaneel van een cybersecuritybedrijf aangeboden voor een verdacht lage prijs, wat wijst op mogelijke nalatigheid of een valstrik.
Destructieve wipers en diplomatieke spanningen aan de oostgrens
Het geopolitieke speelveld blijft onrustig met digitale aanvallen die direct gekoppeld zijn aan internationale conflicten. In Oekraïne is een nieuwe variant van wiper malware ontdekt, genaamd Dynowiper, die specifiek is ontworpen om systemen volledig onbruikbaar te maken en data onherstelbaar te vernietigen. Tegelijkertijd wordt de Russische hackersgroep Sandworm verantwoordelijk gehouden voor een cyberaanval op de Poolse energiesector, wat de dreiging voor kritieke infrastructuur in de regio onderstreept. De diplomatieke spanningen liepen verder op nadat Duitsland een Russische diplomaat uitzette wegens spionageactiviteiten gerelateerd aan de oorlog in Oekraïne. Wetenschappers waarschuwen daarnaast in een publicatie in Science voor de inzet van AI gestuurde zwermen bots die democratische processen kunnen ondermijnen door autonoom desinformatie te verspreiden. In Davos werd ondertussen koortsachtig gezocht naar diplomatieke oplossingen, waarbij de druk op de NAVO en de situatie rondom Groenland en Oekraïne centraal stonden.
Digitale soevereiniteit en ethische dilemma’s rondom algoritmes
Er is een breed maatschappelijk debat gaande over de invloed van technologie op privacy en autonomie. Uit recent data onderzoek blijkt dat twee derde van de vitale infrastructuur in dit gebied leunt op Amerikaanse clouddiensten, wat volgens Bits of Freedom grote risico's met zich meebrengt voor de digitale soevereiniteit, zeker nu de beheerder van DigiD onderwerp is van een mogelijke Amerikaanse overname. Microsoft kwam in het nieuws omdat het bedrijf op gerechtelijk bevel BitLocker herstelsleutels heeft overhandigd aan de FBI, wat vragen oproept over de privacy van gebruikers. Ook de bescherming van jongeren staat hoog op de agenda; in het Verenigd Koninkrijk stemde het Hogerhuis voor een verbod op social media en VPN's voor kinderen onder de zestien, terwijl uit onderzoek van Newcom blijkt dat ook hier een meerderheid voorstander is van een dergelijk verbod. Tot slot is er kritiek op Google's AI Overviews, dat medische vragen vaker beantwoordt met bronnen van YouTube dan van erkende medische websites, wat zorgen baart over de betrouwbaarheid van gezondheidsinformatie.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel
Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.