ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt

Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.

ChipSoft, Anderlues en Temse onder druk

ChipSoft bevestigde vrijdag via een LinkedIn bericht en een geupdate FAQ pagina dat forensisch onderzoek heeft uitgewezen dat aanvallers bij de eerdere ransomware aanval persoonsgegevens inclusief medische data hebben buitgemaakt. De getroffen instellingen draaien op het HiX 365 cloudplatform, onder meer huisartsen, revalidatieklinieken en het Oogziekenhuis Rotterdam zijn geraakt. Belgische klanten vallen buiten de reikwijdte. De aanval werd op 7 april door medewerkers opgemerkt als systeemanomalie, op 8 april meldde het bedrijf nog dat persoonsgegevens waarschijnlijk niet waren getroffen. Patiëntportalen blijven offline, patiënten kunnen hun dossier niet inzien. Minister Mirjam Sterk van Langdurige Zorg, Jeugd en Sport noemt de zaak "heel ernstig" en verlangt een snel en zorgvuldig onderzoek. De eerdere Kamervragen over de leverancier zijn hiermee pijnlijk actueel.

In België is zondag 19 april 2026 de gemeente Anderlues, een plaats van ongeveer 12.000 inwoners in de provincie Henegouwen in Wallonië, toegevoegd aan de leaksite van TheGentlemen. De groep claimt gegevens buit te hebben gemaakt en dreigt met publicatie, maar vermeldt tot nu toe geen losgeldbedrag en geen voorproefje van gestolen data. De officiële site anderlues.be verzorgt een e-loket voor documenten, nieuwsberichten en evenementen. TheGentlemen richt zich in Europa steeds vaker op lokale overheden, de groep claimde eerder al slachtoffers in Frankrijk en de groothandel. Cybercrimeinfo houdt een apart darkweb dashboard bij en meldt nieuwe NL en BE slachtoffers direct via Telegram.

Diezelfde dag besloot de gemeente Temse in samenspraak met het Centre for Cybersecurity Belgium alle online diensten op te schorten na verdachte activiteit in de ICT omgeving. Medewerkers ontdekten de onregelmatigheden op donderdag 11 april, waarna in overleg met experts werd besloten de dienstverlening preventief stil te leggen. Schepen Bart Van Geyt van Digitalisering en ICT benadrukt dat er geen aanwijzing is voor een hack, de maatregel moet een mogelijk datalek voorkomen. Inwoners kunnen voorlopig geen online aanvragen indienen, fysieke afspraken waarvoor identiteitsgegevens nodig zijn, zijn uitgesteld. De website blijft bereikbaar omdat deze extern wordt gehost. De gemeente verwacht woensdag 23 april meer duidelijkheid. Tot slot meldt een lezer via het ccinfo meldformulier dat IPTV site tvnex.nl na betaling van 39 euro geen toegang leverde. Het domein is op 18 februari 2026 geregistreerd via Internet Domain Service BS Corp op de Bahamas, met afgeschermde WHOIS. Het patroon past bij tvnexu.nl en tvmexu.nl, steeds hosting in Frankfurt, steeds een verse .nl domeinnaam na een ronde slachtoffers. Cybercrimeinfo heeft SIDN ingelicht en roept via ccinfo.nl/melden andere slachtoffers op zich te melden.

Android bankmalware, Amtrak en Franse basketbaldata

Zimperium zLabs publiceerde een analyse van vier nieuwe Android malwarefamilies die samen ruim 800 bank en crypto apps bestoken: RecruitRat, SaferRat, Astrinox en Massiv. Elke familie hanteert een eigen verspreidingsroute. RecruitRat reist mee op valse vacaturesites die een APK aanbieden alsof het een sollicitatie is, SaferRat komt binnen via sites die gratis premium streaming beloven of via smishing, Astrinox doet zich voor als business tool HireX op het domein xhirecc en de verspreiding van Massiv is nog onbekend. Na installatie tonen de apps een overlay-scherm zodra een bank of crypto wallet opent, slachtoffers die hun wachtwoord typen, geven dit rechtstreeks weg. Om geen argwaan te wekken legt de malware via Accessibility Service een bevroren beeld over het scherm, zoals een nep-update, terwijl op de achtergrond contacten en SMS worden gelezen en het scherm via het MediaProjection framework wordt opgenomen. OTP codes via SMS worden onderschept. RecruitRat heeft een bibliotheek van ruim 700 valse inlogpagina's. Experts adviseren om niet op links in urgente berichten te klikken en apps alleen uit officiële stores te installeren.

Datadiefstal speelt deze week op twee grote fronten. ShinyHunters dumpte 17 april 2026 een dataset met ruim 2,1 miljoen Amtrak klantgegevens op een cybercrimeforum, nadat een eis van enkele miljoenen dollars niet werd betaald. Have I Been Pwned operator Troy Hunt downloadde en analyseerde de dataset en voegde 2.147.679 unieke e-mailadressen toe. Ongeveer tachtig procent van de gegevens kwam al voor in eerdere datalekken, maar er zitten ook namen, fysieke adressen en klantenservicerecords bij. ShinyHunters beweert oorspronkelijk 9,4 miljoen Salesforce records te hebben buitgemaakt. De aanval past in het patroon dat de groep toepast op Salesforce omgevingen, waarbij misconfiguratie of gecompromitteerde OAuth integratie de ingang is, vergelijkbaar met de eerdere McGraw Hill en Odido incidenten.

Aan de andere kant van de wereld verloor de Franse basketbalfederatie FFBB de data van 1,9 miljoen leden en ongeveer 800.000 ouders aan dreigingsactor HexDex, die ook eerder Therapeutes, Airsoft-Entrepot en Allopneus raakte. De dataset bevat volledige namen, geboortedata, geboorteplaatsen, nationaliteit, telefoonnummers, e-mailadressen en volledige woonadressen inclusief appartementnummer. Bijzonder gevoelig zijn medische certificaten en vervaldata, plus lengte en fysieke gegevens, en voor minderjarigen ook contactgegevens van ouders. De betrokkenen zijn geboren tussen 2003 en 2007. HexDex gebruikt volgens de actor zelf T1190 Exploit Public-Facing Application om binnen te komen en T1213 Data from Information Repositories om de database leeg te halen. Tot slot bracht ook ransomwaregroep Payouts King van zich spreken. Sophos beschrijft hoe de groep, gelinkt aan voormalige BlackBasta affiliates, QEMU virtuele machines op Alpine Linux laadt om endpoint security te omzeilen. De VM's starten als SYSTEM via een scheduled task TPMProfiler en bevatten AdaptixC2, Chisel, BusyBox en Rclone, toegang loopt via reverse SSH tunnels over SonicWall VPN of SolarWinds Web Help Desk.

EU leeftijdsapp, Protobuf en Windows zero days

De Digital Age Verification App van de Europese Commissie, op 14 april gelanceerd om minderjarigen te beschermen tegen schadelijke online content, werd binnen twee minuten compleet omzeild. Security consultant Paul Moore uit het Verenigd Koninkrijk demonstreerde een volledige authenticatie bypass. De app slaat een versleutelde pincode op in een lokaal bestand shared_prefs, maar die pincode is niet cryptografisch gekoppeld aan de identiteitskluis met de echte verificatiedata. Een aanvaller met fysieke toegang tot het toestel verwijdert simpelweg de waarden PinEnc en PinIV uit dat bestand, start de app opnieuw en kiest een eigen pincode, waarna de app de originele verificatiegegevens als geldig presenteert. Twee andere zwaktes in hetzelfde bestand laten de brute-force teller resetten naar nul en de biometrische check uitschakelen via een boolean. Zes EU lidstaten waaronder Frankrijk, Spanje en Denemarken draaien de testfase. Moore waarschuwde Commissievoorzitter Ursula von der Leyen publiek dat het product een toekomstige grote inbreuk zal aandragen. De Europese Commissie had per 17 april nog geen patch of publieke reactie.

Endor Labs maakte 18 april een kritieke remote code execution kwetsbaarheid in protobuf.js bekend, getrackt als GHSA-xq3m-2v4x-88gg met CVSS score 9.4. De bibliotheek heeft gemiddeld bijna 50 miljoen wekelijkse npm downloads en bouwt JavaScript functies uit Protobuf schema's door strings samen te voegen en uit te voeren via de Function constructor. Omdat message names niet worden gevalideerd, kan een aanvaller een kwaadaardig schema leveren dat willekeurige code injecteert. Exploitatie lukt op servers of applicaties die door de aanvaller beïnvloede schema's laden, met toegang tot environment variables, credentials, databases en interne systemen. Patches staan in 8.0.1 en 7.5.5, beheerders moeten ook transitieve afhankelijkheden auditen via @grpc/proto-loader, Firebase en Google Cloud SDK's. Tot nu toe is geen actieve uitbuiting waargenomen.

Voor Fortinet FortiSandbox werd een werkende proof of concept voor CVE-2026-39808 op GitHub gepubliceerd. De kwetsbaarheid zit in het endpoint /fortisandbox/job-detail/tracer-behavior en laat een ongeauthenticeerde aanvaller via de jid parameter met een pipe symbool willekeurige besturingssysteemcommando's als root uitvoeren. Onderzoeker samu-delucas demonstreert dat één curl commando volstaat voor volledige remote code execution. Versies 4.4.0 tot en met 4.4.8 zijn getroffen, de advisory draagt kenmerk FG-IR-26-100 op het FortiGuard PSIRT portaal. Organisaties moeten direct upgraden naar een versie hoger dan 4.4.8 en management interfaces niet op het publieke internet laten staan. Huntress Labs meldde donderdag 16 april dat drie op GitHub gelekte Windows zero day exploits, publiek gedeeld door onderzoeker Nightmare-Eclipse uit protest tegen het Microsoft Security Response Center, actief worden misbruikt. Twee Microsoft Defender local privilege escalation lekken heten BlueHammer en RedSun, de derde bekend als UnDefend kan door een standaardgebruiker worden ingezet om Defender definitie updates te blokkeren. Microsoft patchte BlueHammer in de Patch Tuesday van april 2026 als CVE-2026-33825, de andere twee zijn nog open. Aanvallers gebruiken RedSun om SYSTEM rechten te krijgen op Windows 10, 11 en Server 2019 en nieuwer, zelfs na de April patches. NIST meldde deze week daarbovenop dat de National Vulnerability Database vanaf 15 april alleen nog CVE's in de CISA KEV catalogus, kwetsbaarheden in federaal gebruikte software en kritieke software volgens Executive Order 14028 verrijkt. CVE inzendingen stegen met 263 procent sinds 2020. Backlog items met een NVD publicatiedatum vóór 1 maart 2026 verdwijnen naar de categorie "Not Scheduled", en de NVD levert geen eigen CVSS score meer als een CNA er al een heeft toegekend.

Staatshacks, AI en Europol

Oekraïense hackers hebben volgens IntCyberDigest een besloten bijeenkomst van het Russische ministerie van Industrie en Handel over droneproductie afgeluisterd. Tijdens de sessie bleek dat Rusland zelfs basiscomponenten zoals koperdraad en plastic niet meer zelf kan verkrijgen en volledig afhankelijk is van China. In dezelfde regio gaf Oekraïne via cyberfunctionaris Taras Dzyuba van de Staatsdienst voor Speciale Communicatie en Informatiebescherming bevestiging voor de APT28 campagne tegen aanklagers, onderdeel van een reeks aanvallen die Oekraïne sinds 2023 volgt en die aansluit op de bredere APT28 golf van vorige week. De eerdere campagne misbruikte kwetsbaarheden in Roundcube webmail en raakte ook doelen in Roemenië, Bulgarije, Griekenland en Servië. Oekraïense instellingen zoals het anticorruptie openbaar ministerie SAP en activabureau ARMA zijn geraakt, volgens ARMA zijn interne systemen niet gecompromitteerd.

Aan de financiële kant vallen twee opmerkelijke incidenten op. De Kirgizische cryptobeurs Grinex schort alle activiteiten op nadat 13,7 miljoen dollar is weggesluisd en wijt de aanval zelf aan westerse inlichtingendiensten, zonder technisch bewijs voor die toeschrijving. Grinex geldt volgens het Amerikaanse ministerie van Financiën als voortzetting van het eerder gesanctioneerde Garantex platform, en draait op de Russische roebel stablecoin A7A5. Elliptic en TRM Labs traceren de gestolen fondsen naar TRON en Ethereum en koppelen een tweede hack bij exchange TokenSpot aan witwasoperaties rond de Houthi en de InfoLider beïnvloedingscampagne in Moldavië. Tegelijk deelde een lezer met BleepingComputer een phishing mail die via legitieme Apple servers binnenkwam. Aanvallers maken een Apple ID aan, plaatsen phishing tekst in de voor en achternaam velden en wijzigen daarna de verzendinformatie. Apple stuurt dan een echte beveiligingswaarschuwing waarin de phishing boodschap, bijvoorbeeld een claim van 899 dollar iPhone aankoop via PayPal, rechtstreeks is ingebed. Het nepnummer dat je moet bellen om de aankoop te annuleren levert remote access tools en bankrekeningdiefstal op.

Aan de verdedigende kant draait Europol de teugels aan. In de nieuwste fase van Operatie PowerOFF zijn meer dan 75.000 gebruikers van DDoS for hire platforms via e-mail en brief gewaarschuwd, vier personen gearresteerd, 53 domeinen offline gehaald en 25 huiszoekingsbevelen uitgevaardigd, over 21 landen waaronder Nederland. De operatie gaat naar een preventiefase met zoekmachine advertenties gericht op jongeren, verwijdering van meer dan honderd URL's uit zoekresultaten en waarschuwingen in de blockchain bij illegale betalingen. Verder laten beveiligingsonderzoeker s1r1us van Hacktron en Anthropic zien hoe snel AI exploit ontwikkeling evolueert. Een week Claude Opus werk van s1r1us, 2,3 miljard tokens en ruim 2.000 dollar aan API kosten leverde een werkende full chain exploit op voor de V8 JavaScript engine van Chrome, gebaseerd op een reeds bekende kwetsbaarheid. Google keert voor een dergelijke exploit tienduizend dollar uit, Discord betaalde in dit geval vijfduizend dollar voor de code. Tot slot meldde het Nederlandse kabinet een investering van 3,7 miljoen euro in cyberweerbaarheid voor het mkb, het eerste miljoen gaat naar het CYRCLE consortium rond vier regionale clusters in mensgerichte security, security by design, operationele technologie en serious gaming.

De belangrijkste punten

- ChipSoft bevestigt medische datadiefstal: HiX 365 platform, huisartsen en Oogziekenhuis Rotterdam geraakt, patiëntportalen blijven offline

- Anderlues en Temse onder druk: TheGentlemen claimt Waalse gemeente, Temse legt diensten preventief stil met CCB

- Vier Android bankmalwarefamilies: RecruitRat, SaferRat, Astrinox en Massiv bestoken ruim 800 bank en crypto apps via overlays en SMS diefstal

- EU leeftijdsapp in 2 minuten gekraakt: Paul Moore demonstreert bypass via shared_prefs, 6 lidstaten testen

- Amtrak datalek 2,1 miljoen e-mailadressen: 80 procent al in eerdere breaches, Salesforce opnieuw ingang

- Protobuf.js CVSS 9.4 RCE: 50 miljoen wekelijkse downloads, upgrade naar 8.0.1 of 7.5.5

- FortiSandbox CVE-2026-39808 PoC publiek: unauth RCE via jid parameter, FG-IR-26-100, versies 4.4.0 tot 4.4.8

- Windows zero days actief misbruikt: BlueHammer gepatcht, RedSun en UnDefend nog open, Huntress ziet hands on keyboard

- NIST kapt enrichment lage prioriteit CVE's: per 15 april, 263 procent meer inzendingen sinds 2020

Lees ook

- NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur - Het vorige journaal met de initiële APT28 campagne en Nginx UI exploit

- Booking en Basic-Fit gelekt, Kamervragen over ChipSoft - Context bij de Kamervragen die nu bevestiging krijgen

- ShinyHunters publiceert gestolen Odido data - Achtergrond bij het patroon van ShinyHunters rond Salesforce en afpersing

- Supply chain aanvallen, Marimo gehackt en FBI leest Signal - Bredere context bij supply chain risico's en OAuth integraties

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam