S02E12
De afgelopen dagen werden gedomineerd door onthullingen over grootschalige spionagecampagnes en zorgwekkende beveiligingslekken in vitale systemen. Terwijl statelijke actoren hun digitale wapenarsenaal vernieuwen met moeilijk te detecteren frameworks, maken opportunistische criminelen opnieuw gebruik van gijzelsoftware om databases wereldwijd plat te leggen. In de Lage Landen groeit de bezorgdheid over de digitale weerbaarheid van fysieke infrastructuur en de privacy van burgers, terwijl wetshandhavers internationaal successen boeken met zowel innovatieve lokwebsites als traditioneel speurwerk.
Datalekken bij streamingdiensten en privacyschendingen door overheidspersoneel
Muziekdienst SoundCloud is getroffen door een omvangrijk datalek waarbij de gegevens van naar schatting dertig miljoen gebruikers op straat zijn beland. Aanvallers wisten via een onbeveiligd dashboard voor aanvullende diensten onder meer emailadressen en locatiegegevens buit te maken, waarna een deel van de dataset verscheen op een zoekmachine voor gestolen data. In eigen land luidde de Autoriteit Persoonsgegevens de noodklok over Nederlandse gemeenten, waar het intern toezicht faalt bij het opsporen van ambtenaren die onrechtmatig persoonsgegevens van burgers inzien. Ook de sportwereld bleef niet gespaard, het X account van voormalig wielrenner Tom Dumoulin werd gekaapt om dubieuze crypto investeringen te promoten, terwijl sportmerk Nike een datalek bevestigde op de klokkenluiderssite Worldleaks. Een opvallend incident in Frankrijk trof de jagersfederatie in Bas Rhin, waar een cyberaanval de gegevens van een miljoen leden blootlegde. Dit leidde tot grote onrust onder de leden, die vrezen dat hun thuisadressen nu bekend zijn bij criminelen die uit zijn op wapendiefstal. In Zweden kreeg softwarebedrijf SportAdmin een forse boete opgelegd na een SQL injectie waarbij de gegevens van talloze sportclubleden, waaronder kinderen, werden gestolen.
Kritieke lekken in mailservers en industriële beheersystemen
Het Nationaal Cyber Security Centrum heeft gewaarschuwd voor ernstige kwetsbaarheden in Citrix ADC en Gateway, die kwaadwillenden in staat stellen systemen volledig over te nemen. Beheerders wordt met klem geadviseerd direct te patchen en actief te monitoren op misbruik. Een specifiek lek in SmarterMail servers, aangeduid als CVE-2026-23760, wordt momenteel actief misbruikt om beheerderswachtwoorden te resetten; scans tonen aan dat ruim zestig servers in Nederland hierdoor direct gevaar lopen. Ook de populaire compressiesoftware WinRAR bevat een kritieke fout die door Russische en Chinese staatsactoren wordt ingezet om via gemanipuleerde archiefbestanden malware te verspreiden. Fortinet waarschuwde voor een lek in hun cloudplatform waardoor aanvallers de authenticatie kunnen omzeilen en toegang krijgen tot firewalls. In de industriële hoek zijn zorgwekkende gaten gevonden in systemen van Festo en Schneider Electric, wat operationele processen in fabrieken in gevaar kan brengen. Microsoft bracht met spoed noodpatches uit voor zeroday kwetsbaarheden in Office en Windows die reeds werden uitgebuit, terwijl VMware kampte met een heap overflow in vCenter Server die een bijna perfecte risicoscore kreeg.
Terugkeer van databasegijzeling en misleiding via deepfakes
Ondanks een eerdere afname van het aantal meldingen, is de 'MongoDB apocalyps' terug van weggeweest. Criminelen scannen het internet systematisch op onbeveiligde databases, wissen de inhoud en laten een losgeldnota achter, waarbij bedrijven door foute Docker configuraties vaak onbewust slachtoffer worden. Chinese spionagegroepen hebben hun tactieken verfijnd met het nieuwe 'Peckbirdy' framework, dat hen in staat stelt flexibel malware te beheren en detectie te ontwijken. Een andere groep, HoneyMyte, zet vernieuwde CoolClient malware in via besmette USB sticks om spionage uit te voeren. Een verontrustende trend is de inzet van deepfake technologie tijdens live Zoom vergaderingen, waarbij aanvallers de identiteit van collega's aannemen om informatie te stelen. Daarnaast verspreiden criminelen malware via websites die legitieme tools zoals Notepad++ en 7 Zip nabootsen. Ontwikkelaars zijn eveneens doelwit, via gekaapte GitHub repositories en malafide npm pakketten zoals 'G_Wagon' proberen hackers ontwikkelomgevingen binnen te dringen. Ook waarschuwen experts voor een nieuwe malwaretoolkit genaamd 'SyncFuture', die zich specifiek richt op het misbruiken van legitieme beveiligingssoftware.
Fysieke arrestaties en digitale valstrikken voor zware criminelen
De politie in het Belgische Lier waarschuwt voor een bende die zich voordoet als medewerkers van de Christelijke Mutualiteit om via huisbezoeken bij kwetsbare slachtoffers spullen en geld te stelen. In Rotterdam is een 37 jarige man veroordeeld tot een celstraf voor het oplichten van ouderen door zich voor te doen als bankmedewerker, een methode die volgens het Openbaar Ministerie diepe sporen nalaat bij de slachtoffers. In de Verenigde Staten klagen autoriteiten verdachten aan voor 'ATM jackpotting', waarbij geldautomaten werden gehackt om grote hoeveelheden contant geld uit te spugen. Een opmerkelijk digitaal succes werd geboekt met een Roemeense website die zich presenteerde als marktplaats voor huurmoordenaars; de site bleek een honeypot die leidde tot de identificatie van personen die bereid waren te betalen voor geweldsmisdrijven. Ondertussen reorganiseert de Britse politie haar cybercrime aanpak grondig om sneller te kunnen reageren op digitale dreigingen, en overweegt Zweden de strafrechtelijke leeftijd te verlagen naar dertien jaar om jonge cybercriminelen aan te kunnen pakken.
Kwetsbare waterwerken en strijd om digitale soevereiniteit
De digitale beveiliging van de Nederlandse waterinfrastructuur blijkt onder de maat, zo waarschuwt TNO na ketenanalyses. Verouderde besturingssystemen bij sluizen en bruggen maken deze objecten kwetsbaar voor sabotage, wat in het hoogwaterseizoen tot rampzalige gevolgen kan leiden. De gemeente Amsterdam worstelt met haar digitale autonomie na de overname van cloudleverancier Solvinity door een Amerikaanse partij, wat vragen oproept over de zeggenschap over overheidsdata. In Duitsland looft de overheid een miljoen euro beloning uit voor de gouden tip over de sabotage die leidde tot een grootschalige stroomuitval in Berlijn. Aan de oostgrens bouwt de NAVO aan een geautomatiseerde verdedigingslinie met sensoren en drones om Russische bewegingen vroegtijdig te detecteren. Daarnaast richten Noord-Koreaanse hackers van de Lazarus groep hun pijlen op Europese dronefabrikanten om technologie te stelen. Ook Chinese witwaspraktijken via cryptovaluta nemen toe, wat leidt tot een roep om strengere internationale handhaving.
Investeringen in kwantumtech en juridische strijd om datagebruik
De Nederlandse overheid trekt ruim negen miljard euro uit voor de ontwikkeling van 'Quantum Valley', met als doel een internationale koploper te worden in kwantumtechnologie en de afhankelijkheid van buitenlandse techreuzen te verkleinen. In Oostenrijk heeft de privacytoezichthouder geoordeeld dat Microsoft moet stoppen met het illegaal volgen van scholieren via trackingcookies in educatieve software. Meta heeft in een rechtszaak aangespannen door Bits of Freedom bakzeil gehaald en belooft gebruikers meer controle te geven over hun tijdlijnen. In Frankrijk zet het parlement een vergaande stap door in te stemmen met een verbod op sociale media voor kinderen onder de vijftien jaar, in een poging hun mentale gezondheid te beschermen. Ondertussen liggen navigatie apps zoals Waze en Google Maps onder vuur vanwege het verzamelen van grote hoeveelheden gebruikersdata, en waarschuwt de Britse overheid dat een gebrek aan AI investeringen en inzicht de arbeidsmarkt negatief kan beïnvloeden.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Meta AI lek kaapt Instagram, vier Benelux datalekken
In het weekend van 30 en 31 mei en op maandag 1 juni 2026 stond kunstmatige intelligentie centraal als nieuw aanvalsoppervlak. Een lek in de digitale assistent Meta AI maakte het mogelijk om Instagramaccounts over te nemen, zelfs met tweefactorauthenticatie, waarbij het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van Barack Obama het bekendste slachtoffer was. Tegelijk verschenen op cybercrimefora vermeende datasets van vier grote organisaties uit Nederland en België, waaronder het Utrechtse BCD Travel en het grootste Belgische ziekenfonds. De opsporing boekte een succes met de aanhouding van de beheerder van een van de grootste platforms voor gestolen data. Verder worden twee kwetsbaarheden in Palo Alto GlobalProtect en de WordPress plugin WP Maps Pro op dit moment actief misbruikt.
Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt
In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.
Ajax hack Buren, NL ransomware en valse AI installaties
In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.
FIOD 800 servers, TrapDoor npm en Ghost CMS ClickFix
In de periode van vrijdag 22 tot en met zondag 24 mei 2026 arresteerde de FIOD twee verdachten en nam meer dan 800 servers in beslag van een hostingbedrijf dat vermoedelijk Russische cyberaanvallen en desinformatie faciliteerde. Dreigingsactor TrapDoor plaatste 34 kwaadaardige pakketten gericht op ontwikkelaars die AI coding assistants gebruiken, waarbij kwaadaardige instructiebestanden worden ingezet om toekomstige AI sessies te manipuleren. En op meer dan 700 websites, waaronder die van Harvard University en Oxford University, wordt een kritieke kwetsbaarheid in Ghost CMS (CVE-2026-26980) misbruikt om bezoekers via ClickFix naar malware te leiden.
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.