ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER

Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.

ChipSoft, Rituals en gemeente Epe

De Nederlandse softwareleverancier ChipSoft, die gespecialiseerde software levert aan huisartsen, revalidatiecentra en zorginstellingen, bevestigde donderdag dat cybercriminelen patiëntgegevens hebben gestolen. De ransomwaregroep Embargo plaatste begin deze week twee aftelklokken op het darkweb met de claim 100 GB aan data in handen te hebben. Dat dreigement is inmiddels verwijderd, wat volgens ESET-analist Harm Teunis vaak duidt op betaling, al kan het ook onderdeel zijn van een lopende onderhandeling. De Landelijke Huisartsen Vereniging schat dat mogelijk gegevens van enkele tientallen huisartsenpraktijken zijn buitgemaakt, exacte aantallen en inhoud zijn nog onbekend. Voor de zorgsector geldt dat gezondheidsgegevens bijzondere persoonsgegevens zijn, wat de meldplicht aan de Autoriteit Persoonsgegevens en de betrokkenen binnen 72 uur verplicht maakt zodra het risico bekend is.

Het Nederlandse cosmeticabedrijf Rituals meldde eerder deze week zelf een datalek bij het loyaliteitsprogramma My Rituals, dat wereldwijd ruim 41 miljoen leden telt. Aanvallers haalden naam, e-mailadres, telefoonnummer, geboortedatum, geslacht en thuisadres uit de ledendatabase. Wachtwoorden en betaalgegevens zijn volgens Rituals niet gecompromitteerd. Rituals heeft de autoriteiten geïnformeerd en een forensisch onderzoek gestart, maar identiteit en motief van de aanvaller blijven onbekend, er heeft geen groep claims gemaakt op het darkweb. De combinatie van NAW-gegevens met geboortedatum is goud voor gerichte phishing. Het bedrijf is in 2000 opgericht in Amsterdam en opereert als Nederlands bedrijf, waardoor Nederland de lidstaat-verantwoordelijke is voor AVG-meldingen aan de Autoriteit Persoonsgegevens en gecoördineerde meldingen aan andere EU-toezichthouders.

De gemeente Epe publiceerde donderdag de gedetailleerde resultaten van het onderzoek naar de cyberaanval op gemeentelijke servers. De aanval wordt door de gemeente aangeduid als een ClickFix-incident, en daarbij zijn persoonsgegevens van nagenoeg alle inwoners van Epe buitgemaakt plus kopieën van geldige identiteitsbewijzen van ongeveer duizend inwoners. De getroffen data stond op een specifieke server die door een beperkt aantal medewerkers werd gebruikt, in afwachting van verdere verwerking in het primaire systeem. Dit is het zoveelste overheidsincident in een reeks die eerder al het Openbaar Ministerie, Solvinity en diverse gemeenten raakte. Voor gemeentelijke CISO's betekent dit dat BIO-controlemaatregelen voor burgerdossiers, waaronder encryptie bij opslag en granulaire toegangscontrole op ID-bewijzen, opnieuw tegen het licht gehouden moeten worden.

FIRESTARTER, Breeze Cache en de KEV-deadline

De Cybersecurity and Infrastructure Security Agency (CISA) publiceerde donderdag een waarschuwing die verder reikt dan de gebruikelijke patch-instructie. Aanvallers die Cisco Adaptive Security Appliance-firewalls via CVE-2025-20333 en CVE-2025-20362 exploiteerden vóór 25 september 2025, blijken een nieuwe malwarefamilie te hebben geïnstalleerd. FIRESTARTER blijft actief na het patchen van de oorspronkelijke kwetsbaarheden en biedt persistente toegang zonder dat aanvallers hoeven te reexploiteren. Organisaties met Cisco ASA die voor september 2025 in productie stonden, moeten forensisch onderzoek doen, ongeacht de huidige patchstatus. Patchen alleen is onvoldoende.

Hackers misbruiken actief een kritieke kwetsbaarheid met CVSS 9.8 in de Breeze Cache plugin voor WordPress, die volgens Cloudways meer dan 400.000 actieve installaties heeft. Wordfence telt inmiddels meer dan 170 exploitatiepogingen van CVE-2026-3844, waarbij een ongeauthenticeerde aanvaller willekeurige bestanden op de server kan uploaden en zo tot remote code execution komt. Succesvolle exploitatie vereist wel dat de add-on "Host Files Locally - Gravatars" is ingeschakeld, wat niet de standaardinstelling is. Eigenaren van WordPress-sites met Breeze Cache moeten direct updaten of die add-on uitschakelen tot een patch beschikbaar is. Deze exploitatie laat opnieuw zien hoe snel aanvallers reageren op nieuwe CVE's in wijdverbreide plugins.

Microsoft gaf buiten Patch Tuesday om noodupdate 10.0.7 uit voor het NuGet-pakket Microsoft.AspNetCore.DataProtection (CVE-2026-40372). Ontwikkelaars die recent upgradeden naar 10.0.6 zijn nu juist kwetsbaar doordat de HMAC-validatietag over de verkeerde payload-bytes werd berekend, waardoor authenticatiecookies, antiforgery-tokens en OIDC-state vervalst kunnen worden. Naast patchen moet de Data Protection key ring worden geroteerd, anders blijven oude vervalste tokens geldig. Shadowserver meldt nog steeds 1.300 publiek bereikbare SharePoint-servers die kwetsbaar zijn voor CVE-2026-32201, en minder dan 200 zijn sinds de patch bijgewerkt. CISA KEV-deadline voor SharePoint, Microsoft Defender CVE-2026-33825 en beide Cisco ASA-CVE's is 28 april, aanstaande dinsdag. Organisaties die niet onder FCEB vallen doen er goed aan dezelfde deadline als interne norm te hanteren.

Supply chain en staatsactoren

Het beveiligingsbedrijf Socket ontdekte dat onbekende aanvallers getrojaniseerde images plaatsten in de officiële Checkmarx KICS Docker Hub-repository op 22 april tussen 14:17 en 15:41 UTC. Ook VS Code- en Open VSX-extensies van Checkmarx werden gecompromitteerd. De kwaadaardige binary verzamelt GitHub-tokens, AWS-, Azure- en Google Cloud-credentials, npm-tokens en SSH-sleutels, en exfiltreert versleuteld naar audit.checkmarx[.]cx. De aanvalsgroep TeamPCP eiste de operatie op, eerder gelinkt aan supply chain-compromitteringen bij Trivy en LiteLLM. Nederlandse en Belgische DevOps-teams die KICS gebruiken voor Infrastructure-as-Code-scanning moeten alle secrets roteren en hun build-pijplijnen forensisch doorlichten.

Het MIVD-jaarverslag 2025 en de NCSC-UK waarschuwing van donderdag schetsen hetzelfde beeld, Chinese offensieve cybercapaciteiten evenaren die van de Verenigde Staten. De MIVD stelt dat slechts een fractie van de operaties tegen Nederlandse belangen wordt gedetecteerd. De PLA Cyberspace Force, in 2024 opgericht na ontbinding van de Strategic Support Force, levert flexibelere tooling. Salt Typhoon en RedMike troffen in 2025 Nederlandse hosting- en internetproviders. Het NCSC-UK publiceerde gelijktijdig een MITRE ATT&CK-mapping van Chinese netwerken en koppelde die aan concrete aanbevelingen voor randapparatuur, routers en VPN-concentrators. Russische levering van cybertools en inlichtingen aan Iran, zoals de Kyiv Post bevestigde, onderstreept dat het dreigingsbeeld voor westerse infrastructuur steeds meer een gecoördineerd staatsactor-vraagstuk wordt.

Een 41-jarige cybersecurity-expert die voor een Amerikaans incident-response bedrijf werkte, heeft schuld bekend aan medeplichtigheid bij meerdere BlackCat ransomware-aanvallen. Juist de functie die bedrijven moet helpen na een incident, bleek de brug naar de aanvaller. Samen met de ChipSoft-situatie, waarin de leverancier zelf gecompromitteerd is, vormt dit een signaal dat het vertrouwen in externe dienstverleners, zowel leveranciers als incident-response partners, opnieuw onder de loep moet. Nederlandse organisaties die werken met derde partijen voor zorgsoftware of ransomware-respons doen er verstandig aan contractuele audits en forensische logging-eisen te actualiseren.

De belangrijkste punten

- ChipSoft en Embargo: zorgsoftware-leverancier onderhandelt over 100 GB patiëntdata, LHV schat mogelijk enkele tientallen huisartsenpraktijken getroffen

- Rituals: My Rituals-datalek raakt 41 miljoen leden wereldwijd, NAW plus geboortedatum stuwt phishing-risico

- Epe: persoonsgegevens nagenoeg alle inwoners plus duizend kopieën van identiteitsbewijzen buitgemaakt via ClickFix-incident

- FIRESTARTER: Cisco ASA-firewalls van voor september 2025 zijn persistent gecompromitteerd, patchen alleen volstaat niet

- Breeze Cache WordPress: CVE-2026-3844 (CVSS 9.8) actief misbruikt, 170 pogingen gedetecteerd, add-on "Host Files Locally - Gravatars" uitschakelen of updaten

- KEV-deadline 28 april: SharePoint, Defender en beide Cisco ASA-CVE's voor FCEB, interne norm voor NL/BE organisaties

- Checkmarx KICS: supply chain-compromittering van Docker-images en IDE-extensies, TeamPCP claimt, secrets roteren

Lees ook

- S02E48: Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt, vorige aflevering, Odido-rechtszaak en Vercel-OAuth-casus

- Promptspy Cepezed gehackt en 90 procent ransomware via firewalls, context bij FIRESTARTER en firewallpersistentie

- Ziekenhuizen onder aanval, kwetsbare firewalls in Nederland en België en de dreiging van Glassworm en Monolock ransomware, zorgsector en firewalls

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam