S02E14
De afgelopen dagen werd het digitale landschap gedomineerd door een verharding in cybercriminaliteit, waarbij aanvallers zich steeds vaker richten op zowel bedrijven als individuen. Terwijl overheden en bedrijven worstelen met de nasleep van hacks en spionage, zien we dat vooral kwetsbare groepen, zoals ouders van schoolgaande kinderen en softwareontwikkelaars, doelwit worden van gerichte aanvallen. Ook de geopolitieke spanning is voelbaar in de vorm van digitale sabotage en spionage door statelijke actoren.
Datalekken bij de overheid en agressieve losgeldeisen in het onderwijs
Onlangs werd bekend dat het scholingsfonds Haaglanden Leert Door, dat mede wordt beheerd door de gemeente Den Haag, slachtoffer werd van een hack. Persoonsgegevens van ongeveer twaalfhonderd betrokkenen, zoals burgerservicenummers en loonstroken, kunnen mogelijk zijn gestolen. De gemeente Den Haag heeft aangegeven dat er geen bewijs is dat de data daadwerkelijk zijn gestolen, maar dit kan niet volledig worden uitgesloten. De softwareleverancier vermoedt dat cryptomining aanvankelijk het doel was, maar datadiefstal is niet uitgesloten. Het is belangrijk op te merken dat de meldingen over dit incident vooral afkomstig zijn uit lokale overheidsbronnen en niet direct uit brede nationale nieuwsrapporten. In België werd de school OLV Pulhof slachtoffer van een cyberaanval. Nadat de school weigerde losgeld te betalen, richtten de aanvallers hun pijlen op de ouders, die een losgeld van vijftig euro per kind moesten betalen. Dit leidde tot onrust en zorgen over de veiligheid van persoonlijke gegevens.
Geïnfecteerde extensies voor ontwikkelaars en kwetsbaarheden in industriële systemen
Een zorgwekkende ontwikkeling in de softwareketen is de ontdekking van de "GlassWorm" malware in de Open VSX registry. Deze kwaadaardige extensies infecteerden duizenden ontwikkelaars en gaven cybercriminelen de mogelijkheid om systemen over te nemen en gegevens te exfiltreren. Deze aanval maakt duidelijk hoe supply‑chain‑aanvallen de softwarebeveiliging kunnen ondermijnen. Verder zijn ernstige kwetsbaarheden ontdekt in industriële systemen zoals het Iconics SCADA systeem, dat wordt gebruikt in de energie en automobielsector. Dit stelt aanvallers in staat om volledige controle over industriële processen te krijgen. Ook is er een kwetsbaarheid gevonden in het ecommerceplatform Magento, waardoor aanvallers in staat waren om tweehonderd websites te kapen en betaalgegevens te stelen.
Misbruik van cloudinloggegevens en oprukkende spyware via chatdiensten
De hackersgroep ShinyHunters heeft zijn tactieken verder verfijnd door phishing te combineren met telefonische oplichting, waarbij ze proberen toegang te krijgen tot cloudomgevingen door multifactorauthenticatie te omzeilen. Consumenten worden daarnaast bestookt met valse meldingen over volle cloudopslag om hen te verleiden tot betalingen. Ook wordt er nieuwe spyware, zoals GhostChat, verspreid via WhatsApp, specifiek gericht op Android gebruikers in Pakistan. Andere spyware, zoals Arsink, richt zich op gebruikers van sociale media zoals TikTok en YouTube om inloggegevens te stelen. Daarnaast is de Pulsar RAT malware actief, die via live chats op websites wordt verspreid om Windows systemen over te nemen.
Veroordeling voor bedrijfsspionage en inbeslagname van digitale valuta
In de Verenigde Staten werd een voormalig software‑ingenieur van Google schuldig bevonden aan het stelen van bedrijfsgeheimen over kunstmatige intelligentie, met de intentie om deze door te spelen aan Chinese bedrijven. Een andere grote slag werd geslagen tegen de financiële infrastructuur van cybercriminelen, met de inbeslagname van 400 miljoen dollar aan cryptovaluta van de beruchte mixer Helix. In Nederland heeft de recherche zes verdachten aangehouden die zich schuldig maakten aan babbeltrucs door zich voor te doen als bankmedewerkers en zo pinpassen en sieraden buit te maken. In België leidde een onderzoek naar douanefraude in de haven van Antwerpen tot drie arrestaties, en in Genk werden bij een huiszoeking negentien vuurwapens en luxe goederen ter waarde van vier ton in beslag genomen.
Digitale dreiging rondom wintersportevenementen en spionage bij defensiebedrijven
De dreiging van staatsgesponsorde cyberaanvallen neemt toe in aanloop naar grote sportevenementen. Experts waarschuwen dat de Olympische Winterspelen van 2026 in Milaan Cortina mogelijk het doelwit kunnen zijn van Russische vergeldingsacties, gezien eerdere incidenten en de huidige geopolitieke situatie. Daarnaast blijft de aan China gelinkte groep UAT-8099 actief, met aanvallen op verouderde IIS webservers om malware te verspreiden en gegevens te stelen. Iran is ook een actieve speler met de groep RedKitten, die zich richt op de defensie industrie door middel van geavanceerde spearphishing en malware om toegang te krijgen tot gevoelige militaire informatie. Deze aanvallen tonen aan dat conflicten zich steeds meer verplaatsen naar het digitale domein, waarbij vitale belangen en intellectueel eigendom in gevaar komen.
Privacygrenzen voor handhavers en strengere regels voor sociale media
De Autoriteit Persoonsgegevens oordeelde onlangs dat buitengewoon opsporingsambtenaren in het openbaar vervoer geen toegang mogen krijgen tot pasfoto's in het rijbewijsregister, omdat de noodzaak hiervoor niet voldoende is aangetoond. Daarnaast pleit het kabinet voor een Europese minimumleeftijd van vijftien jaar voor het gebruik van sociale media, in een poging jongeren beter te beschermen. Apple heeft een nieuwe functie geïntroduceerd in iOS waarmee gebruikers de precisie van locatiedeling kunnen beperken, wat tegemoetkomt aan de groeiende behoefte aan privacy. Ondertussen waarschuwt de Autoriteit Persoonsgegevens ook voor de risico's van afhankelijkheid van Amerikaanse clouddiensten voor vitale processen en pleit zij voor meer Europese digitale soevereiniteit.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.
Meta AI lek kaapt Instagram, vier Benelux datalekken
In het weekend van 30 en 31 mei en op maandag 1 juni 2026 stond kunstmatige intelligentie centraal als nieuw aanvalsoppervlak. Een lek in de digitale assistent Meta AI maakte het mogelijk om Instagramaccounts over te nemen, zelfs met tweefactorauthenticatie, waarbij het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van Barack Obama het bekendste slachtoffer was. Tegelijk verschenen op cybercrimefora vermeende datasets van vier grote organisaties uit Nederland en België, waaronder het Utrechtse BCD Travel en het grootste Belgische ziekenfonds. De opsporing boekte een succes met de aanhouding van de beheerder van een van de grootste platforms voor gestolen data. Verder worden twee kwetsbaarheden in Palo Alto GlobalProtect en de WordPress plugin WP Maps Pro op dit moment actief misbruikt.
Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt
In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.
Ajax hack Buren, NL ransomware en valse AI installaties
In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.
FIOD 800 servers, TrapDoor npm en Ghost CMS ClickFix
In de periode van vrijdag 22 tot en met zondag 24 mei 2026 arresteerde de FIOD twee verdachten en nam meer dan 800 servers in beslag van een hostingbedrijf dat vermoedelijk Russische cyberaanvallen en desinformatie faciliteerde. Dreigingsactor TrapDoor plaatste 34 kwaadaardige pakketten gericht op ontwikkelaars die AI coding assistants gebruiken, waarbij kwaadaardige instructiebestanden worden ingezet om toekomstige AI sessies te manipuleren. En op meer dan 700 websites, waaronder die van Harvard University en Oxford University, wordt een kritieke kwetsbaarheid in Ghost CMS (CVE-2026-26980) misbruikt om bezoekers via ClickFix naar malware te leiden.