Ransomware op recordhoogte en Nederland in het vizier

Aanvallen met ransomware bereikten in 2025 wereldwijd een recordhoogte met bijna achtduizend incidenten en een stijging van vijftig procent ten opzichte van 2024. Tegelijkertijd dreigt de groep ShinyHunters honderden organisaties, waaronder Nederlandse telecomproviders, via misconfiguraties in Salesforce. En AI wordt steeds vaker ingezet als aanvalsmiddel, van autonome oplichtsystemen tot deepfake videogesprekken met leidinggevenden. Het journaal bestrijkt het nieuws van 10 maart 2026.

Ransomware breekt alle records in 2025

Het Annual Threat Monitor Report van NCC Group, het moederbedrijf van Fox-IT, toont dat aanvallen met ransomware in 2025 recordniveaus bereikten. Wereldwijd werden bijna achtduizend incidenten geregistreerd, een stijging van vijftig procent ten opzichte van 2024. Qilin was de meest actieve groep met 1.022 aanvallen, goed voor dertien procent van het totaal. Akira volgde met 755 aanvallen en CL0P met 517. LockBit 3.0, voorheen marktleider, viel uit de top tien na aanhoudende internationale politieacties.

De industrie was de meest getroffen sector met 2.190 aanvallen, een stijging van 54 procent. Aanvallers kozen bewust voor sectoren waar operationele stilstand direct financiële druk oplevert, waardoor slachtoffers eerder geneigd zijn losgeld te betalen. Noord-Amerika bleef primair doelwit met 56 procent van de aanvallen, Europa volgde met 22 procent. Matt Hull, vp cyber intelligence and response bij NCC Group, wijst erop dat bekende technieken als diefstal van inloggegevens, social engineering en misbruik van toegangsgegevens nu meer schade aanrichten dan ooit in complexe, onderling verbonden organisaties.

Naast de schaal groeit ook de verfijning van aanvalsinfrastructuur. Het botnet KadNap, ontdekt door Black Lotus Labs (Lumen Technologies), heeft 14.000 apparaten waaronder routers van ASUS opgenomen in een P2P netwerk. De geïnfecteerde apparaten worden als residentiële proxies verhuurd via de Doppelganger dienst. Lumen heeft al het verkeer van en naar de C2 infrastructuur op zijn eigen netwerk geblokkeerd en publiceert indicatoren voor compromis.

Een tweede Russisch gelinkte campagne, BlackSanta, richt zich al meer dan een jaar op medewerkers bij HR in Europese organisaties. Onderzoekers van Aryaka ontdekten dat de aanvallers via nep cv’s vermomd als ISO bestand een infectieketen starten via DLL sideloading en steganografie. De kerncomponent is een zogenoemde EDR killer die antivirussoftware en eindpuntbeveiligingsprogramma’s op kernelniveau beëindigt, voordat aanvullende schadelijke programmatuur wordt ingezet. De campagne is al ruim een jaar onopgemerkt actief.

ShinyHunters richt pijlen op Nederland via Salesforce

De groep ShinyHunters heeft een laatste waarschuwing afgegeven aan circa 400 organisaties. De groep claimt via misconfiguraties in Salesforce Experience Cloud toegang te hebben gekregen tot klantgegevens. Het probleem ligt niet bij Salesforce zelf, maar bij organisaties die het gastgebruikersprofiel te open hebben geconfigureerd. Onderzoekers van Mandiant documenteerden dat de aanvallers een aangepaste versie van de tool Aura Inspector gebruikten om het internet te scannen op portalen met te ruime toegangsrechten.

De Nederlandse telecomproviders Odido en Ben staan centraal in de zaak. ShinyHunters begon miljoenen klantgegevens op het dark web te publiceren nadat Odido weigerde een losgeld van een miljoen euro te betalen. In S02E29 bespraken we hoe die 6,2 miljoen gestolen accounts ook Belgische klanten troffen. De nieuwe dimensie is de gerichte afpersing van circa 400 andere organisaties, waarbij data in fases wordt gelekt om de druk op te voeren. Salesforce raadt alle klanten aan om gastgebruikersinstellingen direct te auditen, alle data standaard op privé in te stellen en publieke API’s te beperken.

Hyundai Spanje onderstreept wat er op het spel staat. De Spaanse privacytoezichthouder AEPD legde een boete op van twee miljoen euro, na korting voor vrijwillige betaling uitkomend op 1,6 miljoen euro, voor een datalek in 2023 waarbij meer dan een miljoen klantgegevens onversleuteld werden buitgemaakt. De oorzaak was een bekende beveiligingspatch die niet tijdig was geïnstalleerd. De AEPD stelde ook vast dat er geen risicoanalyse was uitgevoerd vóór de verwerking van persoonsgegevens, een vereiste onder artikel 32 van de AVG.

Telecombedrijf Ericsson bevestigde eveneens een datalek bij een Amerikaanse serviceprovider na telefonische phishing. Het incident vond plaats in april 2025 en raakte meer dan vijftienduizend mensen. De gestolen gegevens omvatten sociale zekerheidsnummers, rijbewijsnummers, paspoortgegevens, medische informatie en creditcardnummers. Het onderzoek werd afgerond op 23 februari 2026.

AI als aanvalsmiddel en aanvalsdoel

De groep Lazarus, gelinkt aan Noord-Korea, gebruikt deepfakes voor gerichte aanvallen op leidinggevenden in de cryptosector. De CEO van AllSecure beschreef hoe hij via LinkedIn werd benaderd voor een nepvacature bij 0G Labs. Tijdens het videogesprek merkte hij dat de stem van de interviewer niet overeenkwam met openbare video’s van de echte gesprekspartner, wat wees op een deepfake of een gestolen identiteit. Toen de aanvallers hem vroegen een map met code te openen in VS Code als onderdeel van een technische test, verbrak hij het gesprek. De map bevatte BeaverTail, malware die computernaam en netwerkomgeving rapporteert aan een externe server en zichzelf direct verwijdert zodra een professioneel datacenter wordt gedetecteerd.

Onderzoekers van Rutgers University publiceerden een onderzoek naar ScamAgent, een autonoom kunstmatig intelligentiesysteem dat volledig geautomatiseerde oplichtingsgesprekken kan voeren via spraaksynthese. ScamAgent gebruikt rollenspelcontexten om veiligheidsfilters te omzeilen en splitst het einddoel op in reeksen ogenschijnlijk onschuldige tussenstappen, vergelijkbaar met hoe menselijke fraudeurs geleidelijk vertrouwen opbouwen. Experimenten toonden aan dat het systeem bij identiteitsfraudesimulaties met Meta’s LLaMA3-70B een voltooiingspercentage van 74 procent behaalde zonder veiligheidsonderbrekingen te activeren.

Dichterbij huis diende het UZ Leuven een klacht in na valse reclamefilmpjes op sociale media met door AI gegenereerde beelden van intensivist Geert Meyfroidt en viroloog Marc Van Ranst die een homeopathisch afslankmiddel aanprijzen. Meyfroidt noemde de video’s “knullig” maar vreest dat volgende versies overtuigender zullen zijn. Het ziekenhuis waarschuwt dat medicijnen uitsluitend via een apotheek aangeschaft mogen worden en adviseert bij twijfel een arts te raadplegen in plaats van te vertrouwen op online advertenties.

De belangrijkste punten

- Ransomware recordhoogte 2025: NCC Group telde 7.874 incidenten, stijging 50 procent; Qilin meest actief met 1.022 aanvallen

- ShinyHunters dreigt 400 organisaties: Salesforce portaalmisconfiguraties als ingang; Odido en Ben expliciet slachtoffer

- KadNap en BlackSanta actief in Europa: botnet kaapt 14.000 routers als proxies; EDR killer richt zich meer dan een jaar op medewerkers bij HR

- Hyundai beboet voor 2 miljoen euro: ontbrekende patch leidde direct tot aansprakelijkheid onder artikel 32 AVG

- Lazarus escaleert naar deepfakes: CEO AllSecure doelwit via nepvacature op LinkedIn; BeaverTail als payload

- ScamAgent omzeilt veiligheidsfilters van taalmodellen: 74 procent succespercentage bij identiteitsfraudesimulaties in gecontroleerde omgeving

Lees ook

- S02E29: Phishing wordt onzichtbaar, beheertools worden wapens - Huntress: 277 procent meer misbruik van beheertools en de eerste gestolen data van Odido online

- S02E28: Odido raakt vitaal, exploits lekken en Wikipedia gehackt - De oorsprong van het Odido lek uitgelegd

- Ransomware allianties en sabotage in Benelux - Achtergrond bij het aanhoudende ransomwarepatroon in de Benelux

- ClickFix explodeert, Belgische data op straat - Social engineering via nep foutmeldingen en hoe dit gelinkt is aan Lazarus

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam