cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb

In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.

cPanel massale exploitatie in Nederland en wereldwijd

De Shadowserver Foundation maakte op 2 mei 2026 bekend dat minimaal 44.000 IP-adressen van cPanel installaties haar honeypots hebben gescand, wat zij beschouwen als een sterke indicator van compromittering. Zowel het Australische Cyber Security Centre als CISA hebben bevestigd dat aanvallers actief misbruik maken van CVE-2026-41940, een authentication bypass in het login en sessieproces van cPanel en WebHost Manager met een CVSS score van 9.8. Wereldwijd zijn naar schatting 650.000 cPanel installaties direct vanaf internet bereikbaar. Van dit aantal bevinden zich bijna dertienduizend in Nederland. Het exacte aantal gecompromitteerde Nederlandse installaties is op het moment van publicatie niet bekend.

CVE-2026-41940 is op 28 april 2026 gepatcht in versie 11.136.0.5, maar meldingen wijzen erop dat actieve exploitatie al mogelijk vanaf 23 februari 2026 als zero day plaatsvond. Op 30 april publiceerde een dreigingsactor de aanvalstool cPanelSniper publiekelijk als een aanvalstool in vier fasen. Een dag later publiceerde onderzoeksbureau watchTowr een werkende proof of concept, waardoor de drempel voor minder ervaren aanvallers verder daalde. De gevolgen waren direct zichtbaar, op 1 mei steeg het aantal nieuw geïdentificeerde kwaadaardige hosts met 19.131, waarvan ruim vijftienduizend cPanel systemen, terwijl dit in de dagen ervoor slechts 47 tot 146 per dag was. Twee parallelle campagnes maken misbruik van de kwetsbaarheid, een Mirai botnet variant en een ransomware campagne waarbij bestanden versleuteld worden met de extensie .sorry. Ruim zevenduizend cPanel servers zijn al getroffen door de ransomware. De zwaarst getroffen hostingproviders zijn onder meer DigitalOcean, Contabo en OVH. Het CCB Belgium publiceerde een dringend advies. Op een populair cybercrimeforum bood een actor onder de alias NormalLeVrai daarna ook een vervolgkwetsbaarheid aan voor 1.000 dollar, die na het patchen van de auth bypass zou zijn ontdekt en inloggegevens van 13.522 cPanel installaties in 94 landen zou blootleggen. Deze claims zijn op het moment van publicatie niet onafhankelijk geverifieerd.

Voor Nederlandse en Belgische hosters en website-eigenaren geldt dat een succesvolle exploitatie van CVE-2026-41940 volledige controle geeft over alle websites op een gedeeld hostingsysteem. Dat betekent directe meldplicht aan de Autoriteit Persoonsgegevens onder AVG artikel 33 als er persoonsgegevens zijn verwerkt, plus mogelijke betrokkenenmelding onder artikel 34. Beheerders die nog niet hebben geüpdateerd naar versie 11.136.0.5 moeten dit onmiddellijk doen. Aanvullende maatregelen zijn het beperken van cPanel sessies tot specifieke IP bereiken, het afdwingen van multifactorauthenticatie voor paneeltoegang, en het monitoren van loginlogs op afwijkende patronen.

Vishing cluster treft Aman Resorts, vragen over Zalando en NVIDIA

Op 1 mei 2026 werd het datalek bij luxehotelgroep Aman Resorts toegevoegd aan de Have I Been Pwned database. De dreigingsactor ShinyHunters claimde het CRM-systeem van Salesforce dat Aman gebruikt te hebben gecompromitteerd in april 2026 via een betaal of lek afpersing. De gelekte data omvat meer dan 200.000 unieke e-mailadressen en in totaal 215.600 accounts, met gevoelige persoonsgegevens waaronder geboortedatums, fysieke adressen, telefoonnummers, nationaliteiten, namen van echtgenoten en VIP-statuscodes. De aanval past in een groter patroon dat CrowdStrike beschreef over twee verwante dreigingsgroepen, Cordial Spider (ook bekend als UNC6671) en Snarky Spider (ook bekend als UNC6661).

Cordial Spider en Snarky Spider opereren actief sinds ten minste oktober 2025 en richten hun aanvallen op SaaS omgevingen. De standaardwerkwijze is vishing, het bellen van helpdesks waarbij IT medewerkers worden nagebootst, gecombineerd met nagemaakte SSO inlogpagina's via adversary in the middle technieken. Zodra een aanvaller de IdP sessie van een medewerker onderschept, geeft één geauthenticeerde sessie toegang tot alle via Single Sign On gekoppelde clouddiensten tegelijk, waaronder Google Workspace, HubSpot, Microsoft SharePoint en Salesforce. De groepen bewegen daarna via het volledige SaaS ecosysteem van het slachtoffer zonder individuele applicaties afzonderlijk te hoeven compromitteren, wat de detectie sterk bemoeilijkt. Unit 42 en het Retail and Hospitality Information Sharing and Analysis Center schatten met matig vertrouwen in dat de actoren achter de aanvallen ook gelieerd zijn aan The Com.

Aanvullende, nog niet bevestigde claims betreffen Zalando Nederland en België, waarbij een actor op het darkweb een dataset van circa 530.000 records aanbiedt met e-mailadressen, adresgegevens, bestelhistorie en fraudescoremetadata. ShinyHunters plaatste bovendien een claim over NVIDIA GeForce NOW met vermeende miljoenen gebruikersgegevens waaronder TOTP-metadata. Beide claims zijn op het moment van publicatie niet onafhankelijk bevestigd door de betrokken organisaties. Verdedigers in de retail- en horecasector moeten rekening houden met actieve gerichte aanvallen via vishing op IT-helpdesks, het registreren van nieuwe apparaten om MFA te omzeilen, en het aanpassen van inboxregels om meldingen van ongeautoriseerde apparaatregistratie automatisch te verwijderen.

Raptor Supplies Wemeldinge op darkweb en CMD Organization verschijnt

Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec op 1 mei 2026 aanvullende bestanden heeft gepubliceerd van een claim die al sinds december 2025 in onderzoekskringen circuleert over Raptor Supplies. Raptor Supplies is een Britse leverancier van industriële en commerciële artikelen met een Nederlandse vestiging onder de naam Raptor Supplies B.V. in Wemeldinge (Zeeland), opgericht in 2020 en actief in heel Europa. Eerdere analyses wijzen op misbruik van openstaande directories met toegang tot omgevingen van Google Cloud, Zoho Workspace en Microsoft Exchange. De gepubliceerde data zou klantfacturen, financiële administratie, e-mailberichten met bijlagen, paspoortscans, IBAN-gegevens en contactinformatie van militaire en overheidsklanten omvatten. Raptor Supplies heeft op het moment van publicatie niet publiekelijk gereageerd.

Op 2 mei 2026 verscheen ook een nieuwe ransomwaregroep op het darkweb, CMD Organization, die zichzelf profileert als "IT Security organization est. 2026". De groep publiceerde haar eerste twee slachtoffers op een Tor site in een veilingformaat met aflopende deadlines en biedingen in Bitcoin, een aanpak die gericht is op hogere uitbetalingen dan directe publicatie. De geclaimde slachtoffers zijn Zampell, een Amerikaanse leverancier van vuurvaste materialen voor de energiesector, en JG Stewart Construction uit Canada. Externe ransomware tracking platforms hebben de claims onafhankelijk gerapporteerd. CMD Organization opereert naast haar Tor adres ook via een clearnet domein en een statisch IP adres. Hoewel de huidige slachtoffers buiten Nederland en België zijn gevestigd, is de verschijning van een nieuwe groep die het veilingmodel hanteert relevant voor de risicobeoordeling van bedrijven in vergelijkbare sectoren.

Voor organisaties met een leveranciersrelatie naar Raptor Supplies is het raadzaam recente correspondentie en factuurstromen te controleren op signalen van misbruik, en wachtwoorden van gedeelde accounts te wijzigen. Een wachtwoordmanager zoals MindYourPass beperkt de gevolgen van eerder gelekte inloggegevens.

Verder in dit journaal

Het Martini Ziekenhuis in Groningen bevestigde op 2 mei 2026 dat het patiëntenportaal Mijn Martini na drie weken volledig operationeel is hersteld. De ransomware aanval trof op 7 april 2026 ChipSoft, leverancier van elektronische patiëntendossiers waarvan naar schatting zeventig procent van de Nederlandse ziekenhuizen gebruikmaakt. Het Martini Ziekenhuis benadrukt dat er geen patiëntgegevens zijn geraakt en dat de zorg gedurende de uitval niet is verstoord. De hersteloperatie bevestigt dat de noodmaatregelen effect hadden, al onderstreept de afhankelijkheid van één centrale EPD leverancier een systemisch risico voor de Nederlandse zorgsector.

Canonical, het Britse bedrijf achter Ubuntu, bevestigde op 1 mei 2026 een aanhoudende DDoS aanval die rond 30 april startte en een groot aantal centrale diensten raakte, waaronder de hoofdwebsite, de mondiale Ubuntu downloadmirrors, Launchpad, de Snap store, het Canonical SSO systeem en de Ubuntu Security API met informatie over kwetsbaarheden en beveiligingsadviezen. De Iran gelinkte hacktivistengroep 313 Team, ook bekend als Islamic Cyber Resistance in Iraq, eiste verantwoordelijkheid op en stuurde aanvullend een afpersingsbericht via Session. Cybercrimeinfo ontdekte dit op het darkweb en sociale media. De groep is actief sinds eind 2023 en wordt door analisten in verband gebracht met het Iraanse Ministerie van Inlichtingen en Veiligheid. Voor Nederlandse en Belgische organisaties die op Ubuntu draaien betekende de uitval dat tijdige toegang tot beveiligingsupdates onder druk stond. Het gebruik van eigen interne mirrors voor pakketten helpt de gevolgen van vergelijkbare aanvallen te beperken.

Cybersecuritybedrijf Trellix bevestigde op 3 mei 2026 dat ongeautoriseerde partijen toegang hebben gekregen tot een deel van zijn broncode repository. Trellix, eigendom van Symphony Technology Group en in 2022 ontstaan uit de fusie van McAfee Enterprise en FireEye, stelt dat er geen bewijs is dat de broncode is beïnvloed of misbruikt. Op het cybercrimeforum BreachForums kondigde een actor onder de naam LAPSUS$ Group een openbare defacement wedstrijd aan met een geldprijs van 1.000 dollar in Monero, met als winnaarcriterium de bekendheid van het slachtoffer en een deadline op 12 mei 2026. Externe analyses van onder meer Resecurity en Picus Security wijzen erop dat de huidige LAPSUS$ vlag op cybercrimefora geen geverifieerde connectie heeft met de oorspronkelijke groep die in 2022 Microsoft, Nvidia, Samsung en Okta raakte. Voor publiek toegankelijke websites van Nederlandse en Belgische organisaties betekent de wedstrijd een verhoogd risico op opportunistische aanvallen tot en met 12 mei. Webbeheerders wordt aangeraden CMS patches actueel te houden en beheerderspanelen te beveiligen met multifactorauthenticatie.

Onderzoekers van Check Point Research en Halcyon publiceerden op 3 mei 2026 een analyse van VECT 2.0, een Ransomware as a Service platform dat in de praktijk als wiper functioneert. De encryptiemethode voor Windows, Linux en ESXi bevat een fundamentele fout, waardoor bestanden groter dan 128 kilobyte permanent worden vernietigd. De malware maakt per bestand vier sleutels aan, maar overschrijft en verwijdert per ongeluk de eerste drie direct bij gebruik. Zelfs de aanvallers beschikken daarna niet meer over de benodigde sleutels voor herstel, waardoor betaling van losgeld zinloos is. De groep werkt samen met de groep TeamPCP die in maart 2026 aanvallen uitvoerde via gecompromitteerde ontwikkelaarstools zoals LiteLLM en Trivy. Op Windows systemen voegt de malware de extensie .vect toe aan versleutelde bestanden. Voor organisaties in Nederland en België is het advies reservekopieën op te slaan op een locatie die niet via het netwerk bereikbaar is vanuit werkstations, zodat herstel mogelijk blijft ook bij dit soort aanvallen.

De belangrijkste punten

- cPanel 44.000 IP-adressen gecompromitteerd: Shadowserver Foundation telde minimaal 44.000 gescande honeypots, bijna 13.000 cPanel installaties in Nederland, ACSC en CISA bevestigen actief misbruik CVE-2026-41940 (CVSS 9.8), update naar versie 11.136.0.5 onmiddellijk verplicht

- ShinyHunters lekt Aman Resorts: 215.600 luxehotel gastaccounts op Have I Been Pwned, CRM Salesforce gecompromitteerd via een betaal of lek afpersing in april 2026, gevoelige VIP gegevens en familiedata in dataset

- Cordial Spider en Snarky Spider vishing via SSO: één telefoontje naar de helpdesk geeft toegang tot alle via Single Sign On gekoppelde clouddiensten tegelijk, actief in retail en horeca, CrowdStrike rapport bevestigt patroon

- Zalando en NVIDIA claims niet bevestigd: 530.000 Zalando Nederland en België records aangeboden op darkweb, ShinyHunters claimt NVIDIA GeForce NOW, beide niet onafhankelijk geverifieerd op moment van publicatie

- Raptor Supplies Wemeldinge op darkweb: FulcrumSec publiceert data van Nederlandse vestiging, militaire en overheidsklantgegevens in dataset, leveranciersrelaties controleren op misbruiksignalen

- VECT 2.0 ransomware vernietigt data onherstelbaar: Check Point Research en Halcyon tonen aan dat bestanden groter dan 128 kilobyte permanent vernietigd worden, betaling van losgeld brengt data niet terug

- CMD Organization nieuw op darkweb: veilingmodel met Bitcoin, twee eerste slachtoffers op 2 mei gepubliceerd, nieuwe ransomwaregroep te volgen voor vergelijkbare industriële sectoren in Benelux

- Martini Ziekenhuis volledig hersteld: patiëntenportaal Mijn Martini drie weken na de aanval op ChipSoft weer volledig operationeel, geen patiëntgegevens geraakt

Lees ook

- S02E52: Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico, vorige aflevering, Bunq 35.367 euro uitspraak en SAP supply chain expansie

- S02E51: APT73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt, achtergrond bij de aanval op ChipSoft en herstel Martini Ziekenhuis

- S02E50: ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee, eerder ShinyHunters patroon bij SSO gerichte aanvallen

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT-managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam