S02E16
In de afgelopen achtenveertig uur is de kwetsbaarheid van digitale infrastructuren pijnlijk duidelijk geworden door een aaneenschakeling van datalekken en gerichte aanvallen. Terwijl toezichthouders strenger optreden tegen onzorgvuldige dataverwerking blijven internationale dreigingsactoren zoeken naar zwakke plekken in software die door miljoenen mensen wordt gebruikt. De incidenten tonen aan dat zowel technologische tekortkomingen als menselijk handelen grote maatschappelijke gevolgen kunnen hebben.
Miljoenen burgers en lokale instanties betalen de prijs voor falende databeveiliging
De Autoriteit Persoonsgegevens heeft een forse boete van tweehonderdvijftigduizend euro opgelegd aan tien Nederlandse gemeenten waaronder Delft, Ede en Eindhoven wegens het illegaal verwerken van gevoelige informatie over inwoners. De gemeenten stelden op advies van de Nationaal Coördinator Terrorismebestrijding en Veiligheid rapporten op over islamitische gemeenschappen zonder dat daarvoor een wettelijke grondslag bestond. Naast deze bestuurlijke misstappen kampen medische instanties nog steeds met de gevolgen van een datalek bij het laboratorium Clinical Diagnostics afgelopen zomer. Hoewel de hackersgroep Nova destijds de gegevens van achthonderdvijftigduizend vrouwen buitmaakte dwingt de noodzakelijke herbeoordeling van de it beveiliging nu tot een langdurige stopzetting van de samenwerking waardoor wachttijden voor het bevolkingsonderzoek baarmoederhalskanker met momenteel een maand oplopen. De dienstverlener Conduent meldde een massaal datalek waarbij de gegevens van 26 miljoen mensen uit onder andere Texas en Oregon zijn buitgemaakt door de SafePay ransomwaregroep. In Veendam heeft de ransomwaregroep LockBit gegevens van het Veenkoloniaal Museum online gezet nadat de instelling weigerde losgeld te betalen. Ook tandartspraktijken in heel Europa lopen risico door een backdoor in de veelgebruikte GoDent scanner. Financiële instellingen bleven evenmin gespaard want een technische storing bij BNP Paribas Fortis leidde tot veertigduizend foutieve afschrijvingen bij klanten die betaalden via diensten zoals Apple Pay.
Kritieke lekken in software dwingen tot massale updates bij overheden en bedrijven
De beveiligingswereld is in hoogste staat van paraatheid door ernstige kwetsbaarheden in veelgebruikte softwarepakketten. Google heeft een urgente update uitgebracht voor Chrome om twee kritieke lekken in de V8 engine en videobibliotheken te dichten die code uitvoering op afstand mogelijk maken. Tegelijkertijd waarschuwt CISA voor het actief misbruiken van een vijf jaar oude zwakheid in GitLab aangeduid als CVE-2021-39935 waarmee aanvallers ongeautoriseerde verzoeken kunnen uitvoeren. Ook het virtualisatieplatform VMware ESXi kampt met een sandbox escape onder CVE-2025-22225 wat aanvallers in staat stelt om uit virtuele machines te breken en ransomware te verspreiden. In de wereld van automatisering zijn kritieke rce lekken ontdekt in het populaire platform n8n waarbij de kwetsbaarheden CVE-2026-25049 en CVE-2025-68613 aanvallers controle over de hostserver kunnen geven. Een kritiek lek in React Server Components geregistreerd onder CVE-2025-55182 maakt met een maximale score ongeautoriseerde code uitvoering mogelijk via een enkel post verzoek. Verder zijn er ernstige beveiligingslekken gemeld in producten van Ivanti zoals CVE-2026-1281 en CVE-2026-1340 en bij Cisco Meeting Management onder CVE-2026-20098.
Nieuwe malwareketens en sluwe phishingcampagnes infiltreren Europese infrastructuren
Dreigingsactoren zoals de aan Rusland gelinkte groep APT28 maken gebruik van een nieuw ontdekte malware genaamd OpNeusPloit om Microsoft Office systemen te compromitteren via gerichte phishing. Deze aanvallers versturen kwaadaardige documenten die bij opening een backdoor installeren waarna gevoelige informatie kan worden gestolen en laterale bewegingen binnen het netwerk mogelijk worden. De Chinese groep Amaranth Dragon richt zich ondertussen op overheidsinstanties in Europa door een lek in WinRAR genaamd CVE-2025-8088 te misbruiken voor het plaatsen van de Amaranth Loader. Een andere zorgwekkende ontwikkeling is de PhantomVAI loader die process hollowing gebruikt om payloads onzichtbaar te injecteren in legitieme Windows processen. Ransomwaregroepen zoals Interlock en ValleyRAT verfijnen hun tactieken door gebruik te maken van kwetsbare stuurprogramma s om beveiligingssoftware uit te schakelen waarbij Interlock zich specifiek richt op de onderwijssector. De Roemeense oliepijpleidingexploitant Conpet werd getroffen door Qilin ransomware waarbij bijna een terabyte aan data inclusief paspoortscans en financiële documenten werd gestolen. Ook malafide advertenties voor Deadvax malware en valse voicemailmeldingen worden ingezet om gebruikers te verleiden tot het installeren van schadelijke software.
Justitie ontmantelt illegale handelsplaatsen en pakt digitale overlastgevers aan
De internationale opsporingsdiensten hebben belangrijke successen geboekt in de strijd tegen cybercriminaliteit. De beheerder van de beruchte drugsmarktplaats Incognito Market de vierentwintigjarige Rui Siang Lin is in de Verenigde Staten veroordeeld tot een gevangenisstraf van dertig jaar. De marktplaats faciliteerde voor ruim honderd miljoen dollar aan transacties in verdovende middelen en Lin verdiende miljoenen aan commissies. In Nederland heeft het Openbaar Ministerie vijf jaar cel en tbs geëist tegen een man uit Vlijmen voor het online misbruiken van minderjarige meisjes. Op lokaal niveau hield de politie een man uit Den Haag aan voor het doxen van de Feyenoord directeur Dennis te Kloese na een verloren voetbalwedstrijd. In Rotterdam werd een man veroordeeld tot een taakstraf voor het versturen van antisemitische emails naar de Anne Frank Stichting. In Londen is een man genaamd Faris veroordeeld in een zaak waarin een cumulatieve gevangenisstraf van zestien jaar werd opgelegd voor een gewapende overval waarbij voor meer dan 4,3 miljoen dollar aan cryptovaluta werd buitgemaakt. Verder claimt de actor HasanBroker verantwoordelijkheid voor het neerhalen van BreachForums onder de naam OpVictoria waarbij kwetsbaarheden zoals sql injectie werden benut.
Geopolitieke conflicten verplaatsen zich naar het digitale domein door staatsgesteunde hacks
De digitale oorlogsvoering tussen wereldmachten intensiveert met acties die direct invloed hebben op fysieke infrastructuren. Het Amerikaanse leger heeft met Operation Midnight Hammer ingegrepen in Iraanse luchtverdedigingssystemen om nucleaire locaties te beschermen. Ondertussen heeft Oekraïne de controle op Starlink terminals aangescherpt om te voorkomen dat Russische eenheden de technologie gebruiken voor drone operaties in conflictgebieden. In Italië wijst de minister van Buitenlandse Zaken naar Russische hackers van de groep NoName057(16) voor een reeks aanvallen op diplomatieke missies en hotels rondom de aanstaande Olympische Winterspelen. Daarnaast heeft de Aziatische spionagegroep TGR-STA-1030 in het afgelopen jaar overheidsorganisaties in zevenendertig landen gecompromitteerd. De groep maakt gebruik van geavanceerde technieken zoals Linux rootkits en de rootkit ShadowGuard om toegang te houden tot kritieke netwerken. Een recente briefing onthulde bovendien dat de groep Mustang Panda zich richt op Europese diplomaten met een nieuwe malwarevariant die stilletjes keylogging en screenshots uitvoert.
Overheden en bedrijven herzien strategieën voor digitale autonomie en artificiële intelligentie veiligheid
De snelle opkomst van kunstmatige intelligentie zorgt voor een transformatie in het cyberlandschap waarbij aanvallers hun rechten binnen cloudomgevingen in minder dan tien minuten kunnen escaleren. De Algemene Rekenkamer waarschuwt ondertussen dat de rijksoverheid onvoldoende is voorbereid op de dreiging van quantumcomputers die huidige versleutelingstechnieken tegen 2030 waardeloos kunnen maken. In Amsterdam werkt de gemeente aan een strategie voor digitale autonomie om de afhankelijkheid van Amerikaanse techreuzen zoals Microsoft en Google te verminderen. Microsoft stopt in 2027 met Exchange Web Services in de cloud en adviseert een overstap naar de Graph api voor betere beveiliging. Brussel evalueert momenteel een nieuwe interne communicatietool op basis van het Matrix protocol als soeverein digitaal alternatief voor Teams. De Autoriteit Persoonsgegevens uitte daarnaast zorgen over de snelle centralisatie van gevoelige data door aanbieders van kunstmatige intelligentie. Lokale initiatieven zoals de inzet van een cyberboa in de gemeente Beek tonen aan dat ook op wijkniveau de strijd tegen digitale fraude en oplichting wordt opgevoerd.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.