ShinyHunters eist miljoenen, AI breekt door in 27 seconden

ShinyHunters eist miljoenen en ontmaskert zich

De hackersgroep ShinyHunters heeft via het darkweb een losgeld van Odido geeist in de orde van 1 tot 10 miljoen euro. Als het telecombedrijf niet betaalt, dreigen de criminelen de buitgemaakte klantgegevens openbaar te maken. Volgens de NOS claimt ShinyHunters 21 miljoen regels aan data van 8 miljoen klanten te hebben buitgemaakt, hoewel Odido zelf spreekt over 6,2 miljoen getroffen accounts. Onderhandelaar Joey Fennis, die bedrijven bijstaat na hacks, schat dat ruim een kwart van de getroffen Nederlandse bedrijven het afgelopen jaar losgeld heeft betaald aan afpersers.

Cybercrime expert Tom Sturme legt uit dat het bij Odido niet om traditionele ransomware gaat. De hackers ontfutselden inloggegevens van medewerkers via phishing en logden daarmee in op clouddiensten, waarna de data werd gestolen. Deze relatief eenvoudige techniek levert ShinyHunters al jaren succes op. Eerder werden op soortgelijke wijze data gestolen bij onder meer Louis Vuitton, Jaguar en PornHub. In het vorige journaal meldden we al de escalerende impact van het datalek bij Odido, maar nu is de groep erachter voor het eerst publiekelijk geclaimd.

ShinyHunters blijkt extreem actief. Het platform CarGurus, een Amerikaans platform voor de handel in auto's, werd getroffen door een datalek waarbij 12,5 miljoen accounts zijn buitgemaakt. De gestolen data bevat e-mailadressen, telefoonnummers, fysieke adressen en zelfs details van financieringsaanvragen. Ook het advertentietechnologiebedrijf Optimizely bevestigde een datalek na een aanval via voice phishing, waarbij basis contactgegevens van klanten zijn gestolen. BleepingComputer meldt dat de aanvalsmethode overeenkomt met het gedrag van ShinyHunters, die SSO accounts bij Microsoft, Okta en Google compromitteren bij meer dan honderd organisaties via telefonische oplichting.

AI als cyberwapen bereikt een kantelpunt

Het Global Threat Report 2026 van CrowdStrike, gepubliceerd op 24 februari, schetst een alarmerend beeld. Het aantal aanvallen door tegenstanders die AI inzetten steeg met 89 procent ten opzichte van vorig jaar. De gemiddelde tijd tussen de eerste toegang tot een netwerk en de laterale verplaatsing naar andere systemen daalde tot 29 minuten, een versnelling van 65 procent ten opzichte van 2024. De snelste geregistreerde doorbraak duurde slechts 27 seconden. In 82 procent van alle detecties was er geen malware betrokken, wat betekent dat de meeste aanvallen verliepen via geautoriseerde paden en gestolen identiteiten.

Concrete voorbeelden illustreren deze verschuiving. De aan Rusland gelieerde groep Fancy Bear zette de malware LAMEHUG in, die via het platform Hugging Face het open source taalmodel Qwen2.5 Coder bevroeg om verkenningen uit te voeren en documenten te verzamelen voor exfiltratie. PUNK SPIDER, een van de meest actieve ransomware groepen in 2025, gebruikte door Gemini en DeepSeek gegenereerde scripts om inloggegevens uit Veeam Backup databases te dumpen en forensisch bewijs te vernietigen. Dreigingsgroep FAMOUS CHOLLIMA, gelieerd aan Noord Korea, bouwde volledige aanvalspijplijnen met behulp van ChatGPT, Gemini en GitHub Copilot om valse identiteiten te creeren en meerdere accounts te beheren.

Anthropic onthulde op 23 februari dat drie Chinese AI bedrijven, DeepSeek, Moonshot AI en MiniMax, op grote schaal de mogelijkheden van het Claude taalmodel hebben gekopieerd. Via ongeveer 24.000 frauduleuze accounts genereerden zij meer dan 16 miljoen interacties om hun eigen modellen te verbeteren. DeepSeek richtte zich op het redeneervermogen van Claude met meer dan 150.000 uitwisselingen, Moonshot AI op codering en computervisie met meer dan 3,4 miljoen, en MiniMax op tool use met meer dan 13 miljoen uitwisselingen. Volgens Anthropic ontberen illegaal gekopieerde modellen de nodige veiligheidsmaatregelen, waardoor gevaarlijke mogelijkheden zich kunnen verspreiden zonder enige bescherming. De campagnes maakten gebruik van commerciele proxydiensten die massaal toegang tot Claude doorverkopen.

Onderzoek van Surfshark toonde aan dat de schade door deepfake fraude in 2025 wereldwijd is opgelopen tot ongeveer 930 miljoen euro, bijna drie keer zoveel als de circa 304 miljoen in 2024. De technologie wordt steeds toegankelijker en moeilijker te detecteren, waardoor criminelen met behulp van nagemaakte video's en stemmen steeds grotere bedragen buitmaken.

Nederland en Belgie sluiten de rijen

De Stichting Internet Domeinregistratie Nederland (SIDN) heeft het afgelopen jaar 413 domeinnamen uit de .nl zone verwijderd vanwege malware en phishing. In totaal verstuurde SIDN 3.700 waarschuwingen naar houders, hosters en registrars. Zij krijgen maximaal 66 uur de tijd om het probleem op te lossen, waarna de domeinnaam uit de zone wordt verwijderd. Daarnaast werden 22 domeinnamen verwijderd vanwege strafbare of onrechtmatige content, voornamelijk identiteitsfraude.

De Nederlandsche Bank (DNB) heeft besloten extra maatregelen te implementeren om het financiele systeem beter te beschermen tegen hybride dreigingen. President Steven Maijoor waarschuwde tijdens de jaarlijkse persconferentie specifiek voor de grote digitale afhankelijkheid van niet Europese IT leveranciers. Het programma bestrijkt scenario's van cyberaanvallen en verstoringen van logistieke ketens tot operationele uitval. In Belgie ligt de bank KBC onder vuur vanwege een verzekering tegen phishing die zeven euro per maand kost en schade tot 25.000 euro vergoedt. Beveiligingsexpert Mathieu Verschraege stelt dat het niet aan de klant is om een verzekering af te sluiten, maar aan de bank om betere beschermingsmechanismen in te bouwen.

Mozilla lanceerde Firefox 148 met een opvallende nieuwigheid: een schakelaar waarmee gebruikers alle AI functies in de browser in een keer kunnen uitschakelen. Intern werd deze optie door de ontwikkelaars een "AI killswitch" genoemd. Daarnaast bevat de update de Sanitizer API, waarmee webontwikkelaars bescherming tegen cross site scripting (XSS) aanvallen kunnen inbouwen. Firefox is de eerste browser die deze API standaard aanbiedt. De update verhelpt tevens meer dan 47 kwetsbaarheden. Meer dan 39 Europese burgerrechtenorganisaties, waaronder Bits of Freedom en de Chaos Computer Club, riepen het Europees Parlement op om de verlenging van chatcontrole 1.0 te verwerpen, een regeling die Big Tech toestaat om miljarden chatberichten te scannen.

De belangrijkste punten

- ShinyHunters eist miljoenen van Odido, dreigt data van miljoenen klanten openbaar te maken als er niet wordt betaald

- CrowdStrike rapport onthult verviervoudiging, aanvallen met AI stegen 89 procent en de snelste netwerkinbraak duurde 27 seconden

- Chinese bedrijven kopieerden Claude, DeepSeek, Moonshot AI en MiniMax gebruikten 16 miljoen queries via 24.000 frauduleuze accounts

- Deepfake fraude verdrievoudigd, wereldwijd 930 miljoen euro schade in 2025 tegenover 304 miljoen het jaar ervoor

- SIDN verwijderde 413 domeinen, de .nl zone werd opgeschoond van malware en phishing na 3.700 waarschuwingen

- Firefox lanceert AI killswitch, gebruikers kunnen voor het eerst alle AI functies in de browser in een keer uitschakelen

Lees ook

- S02E23: AI kraakt 600 firewalls, beurzen dalen en Odido escaleert - Het vorige hoofdstuk van de Odido saga en de 600 gehackte firewalls met behulp van AI

- S02E21: AI vergiftigt geheugen, Odido soap groeit en LockBit 5.0 - Hoe het Odido datalek eerder al escaleerde en de waarschuwingen rond OpenClaw

- S02E22: PromptSpy, Cepezed gehackt en 90% ransomware via firewalls - PromptSpy ontmaskerd, architectenbureau Cepezed gehackt en de rol van firewalls bij ransomware

- S02E19: Odido hack treft miljoenen, AI als wapen en supply chain - Het begin van het datalek bij Odido en AI als aanvalswapen

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn