ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN

In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.

ShinyHunters verhoogt druk met nieuw ultimatum op 12 mei

Op 7 mei 2026 ontsierden aanvallers de inlogportalen van meerdere universiteiten die gebruik maken van Canvas LMS. Op canvas.vt.edu stond een bericht in de stijl van losgeld dat universiteiten op de lijst waarschuwde voor 12 mei contact op te nemen met ShinyHunters, anders zouden alle gestolen gegevens openbaar worden gemaakt. De portaalontsieringen volgen op eerdere mededelingen van Instructure dat ongeautoriseerde toegang tot delen van zijn systemen heeft plaatsgevonden. Instructure bevestigde dat de gestolen data namen, e-mailadressen, studentnummers en interne Canvas berichten omvat. Wachtwoorden, geboortedata, overheidsidentificatienummers en financiële informatie zijn volgens het bedrijf niet buitgemaakt. De omvang die ShinyHunters claimt blijft aanzienlijk: 3,65 terabyte aan data van bijna 9.000 instellingen en 275 miljoen gebruikers wereldwijd.

Koepelorganisatie Universiteiten van Nederland meldde op 6 mei dat zeven Nederlandse universiteiten zijn getroffen. Het gaat om de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, de Erasmus Universiteit Rotterdam, Tilburg University, de Technische Universiteit Eindhoven, Universiteit Maastricht en Universiteit Twente. De details over welke gegevens precies zijn gecompromitteerd of wat de gevolgen zijn voor studenten en medewerkers zijn op het moment van schrijven nog niet gespecificeerd door de instellingen. ShinyHunters publiceerde op 6 mei ook de volledige lijst van naar eigen zeggen 9.000 getroffen scholen als extra drukmiddel.

In België meldden meerdere hogescholen en universiteiten te zijn getroffen. De Vrije Universiteit Brussel liet weten dat in haar geval geen persoonsgegevens zijn buitgemaakt. De Arteveldehogeschool in Gent bevestigde echter dat wel privégegevens zijn gestolen, waaronder namen, e-mailadressen en volgnummers van studenten. Thomas More, Erasmushogeschool Brussel en CVO Gent staan eveneens op de lijst van getroffen Belgische instellingen. Voor alle betrokken instellingen die onder de AVG vallen, geldt de meldplicht aan de Gegevensbeschermingsautoriteit in België of de Autoriteit Persoonsgegevens in Nederland. Studenten en medewerkers van getroffen instellingen worden gewaarschuwd extra alert te zijn op gerichte phishing via de buitgemaakte namen en e-mailadressen.

Drie Belgische bedrijven in één dag door ransomware en sportketen Animo verliest 105.000 klantrecords

Op 6 mei 2026 ontdekte Cybercrimeinfo via darkwebmonitoring dat drie Belgische bedrijven op dezelfde dag slachtoffer zijn geworden van ransomware. European Truck Trailer Parts (ETTP), een toeleverancier van originele Volvo en Renault onderdelen voor trucks en trailers uit Roeselare die actief is in meer dan 76 landen, werd getroffen door de ransomwaregroep Safepay. Architectenbureau C2O Architects uit Asse in Vlaams-Brabant en familiebedrijf ETS Fabritius SPRL, een driegeneraties oude producent van thermokoppels en temperatuurmeetapparatuur, werden beiden getroffen door The Gentleman. Bij alle drie de incidenten past de werkwijze waarbij gevoelige bedrijfsdata eerst wordt gestolen voordat systemen worden versleuteld, waarna losgeld wordt geëist in ruil voor een decryptiesleutel en de belofte de data niet openbaar te maken.

Eveneens op 6 mei ontdekte Cybercrimeinfo op het darkweb een advertentie waarbij dreigingsactor Shabat beweert een database van Belgische sportketen Animo te verkopen. De database bevat naar eigen zeggen 105.000 klantrecords in JSON formaat en omvat naast persoonlijke identificatiegegevens ook volledig IBAN en BIC bankgegevens, de naam van de rekeninghouder en het BTW nummer van klanten. De verkoper hanteert een getrapte prijsstelling van 90 dollar per 1.000 records of 8.500 dollar voor de volledige set. De combinatie van persoonsgegevens en bankgegevens in één database vormt een aanzienlijk risico voor identiteitsfraude en financiële oplichting bij de 105.000 getroffen klanten. Animo had op het moment van schrijven nog geen publieke reactie gegeven.

Certificaatautoriteit DigiCert bevestigde in een incidentrapport dat het op 2 april 2026 is getroffen door een hack via een malafide screensaver bestand. Een aanvaller stuurde een zip bestand via het klantenondersteuningschatkanaal dat was vermomd als een screenshot maar een kwaadaardig bestand bevatte. Via een geïnfecteerde machine van een analist verkreeg de aanvaller toegang tot de interne supportportal van DigiCert en wist hij codes te bemachtigen voor 27 code signing certificaten. Als gevolg heeft DigiCert in totaal 60 certificaten ingetrokken. Het incident toont hoe aanvallers ondersteuningsportalen gebruiken als aanvalsoppervlak, ook bij bedrijven die cruciaal zijn voor de beveiliging van de rest van het internet.

ClickFix bestormt macOS, cryptowallets en Windows tegelijk

Microsoft publiceerde op 6 mei een uitgebreid onderzoeksrapport over drie parallelle ClickFix campagnes die macOS gebruikers doelwit maken. De aanvallen beginnen met nep hulpartikelen op platforms als Medium en Craft die beloven veelvoorkomende problemen zoals schijfruimtegebrek op te lossen. Bezoekers worden geïnstrueerd Terminal te openen en een commando te plakken. Omdat macOS commando's die direct in Terminal worden geplakt niet worden gecheckt door Gatekeeper, omzeilen aanvallers zo de ingebouwde beveiligingscontroles van Apple. Drie infostealer families zijn bevestigd actief in deze campagnes, namelijk AMOS, Macsync en Shub Stealer. Zij stelen iCloud data, Keychain wachtwoorden, browsergegevens en cryptowallet informatie. In sommige gevallen gaat de malware verder door legitieme cryptowallet applicaties zoals Ledger Live, Exodus en Trezor Suite te vervangen door getrojaniseerde versies die toekomstige transacties stilzwijgend onderscheppen. Apple heeft de XProtect signaturen bijgewerkt om de bekende varianten te detecteren, en macOS 26.4 introduceerde een blokkerende waarschuwing voor het plakken van commando's in Terminal.

Het Australian Cyber Security Centre publiceerde eveneens een waarschuwing over een parallelle ClickFix campagne die Australische organisaties target via gecompromitteerde WordPress sites. Bezoekers krijgen een nep Cloudflare verificatieprompt te zien en worden verleid een PowerShell commando uit te voeren, waarna Vidar Stealer wordt geïnstalleerd. Vidar is een infostealer die al actief is als malware als een dienst sinds 2018 en zich richt op browsergegevens, cookies, cryptowallets en systeemdetails. Hoewel de huidige campagne op Australische organisaties is gericht, is de techniek universeel toepasbaar en geldt de waarschuwing ook voor organisaties in Nederland en België.

Onderzoekers van Sophos publiceerden een analyse van een neppe website onder de naam claude-pro[.]com die een archief van 505 megabyte aanbiedt dat wordt gepresenteerd als een relay service voor Claude Code ontwikkelaars. Na uitvoering installeert het bestand via DonutLoader een voorheen ongedocumenteerde backdoor genaamd Beagle die communiceert met een command and control server op Alibaba Cloud infrastructuur. De website probeert de opmaak van de legitieme Claude website na te bootsen. Gebruikers wordt geadviseerd Claude uitsluitend te downloaden via het officiële portaal en gesponsorde zoekresultaten over te slaan. Disc Soft Limited bevestigde op 6 mei eveneens dat de infectie van DAEMON Tools Lite met malware is ingeperkt en dat versie 12.6, uitgebracht op 5 mei, geen kwaadaardig gedrag meer vertoont. Gebruikers die de software hebben gedownload tussen 8 april en 5 mei worden geadviseerd te desinstalleren, een volledige systeemscan uit te voeren en de nieuwste versie te installeren.

De belangrijkste punten

- ShinyHunters portaalontsieringen en deadline 12 mei: Canvas inlogportalen van meerdere universiteiten ontsier met losgeldboodschap, deadline van 7 mei verschoven naar 12 mei, aanvallers vergroten druk via openbare zichtbaarheid in plaats van stilte

- Zeven Nederlandse universiteiten via UNL bevestigd: Universiteit van Amsterdam, VU Amsterdam, Erasmus Rotterdam, Tilburg University, TU Eindhoven, Universiteit Maastricht en Universiteit Twente staan op lijst van Universiteiten van Nederland

- Belgische instellingen bevestigen diefstal studentgegevens: Arteveldehogeschool bevestigt namen, e-mailadressen en volgnummers gestolen, VUB meldt geen persoonsgegevens buitgemaakt, Thomas More, Erasmushogeschool en CVO Gent eveneens getroffen

- Animo 105.000 Belgische klantrecords met IBAN te koop: database omvat volledige bankgegevens inclusief IBAN, BIC en naam rekeninghouder, risico op identiteitsfraude bij 105.000 klanten van de Belgische sportketen

- Drie Belgische bedrijven ransomware op 6 mei: ETTP Roeselare door Safepay, C2O Architects Asse en Fabritius SPRL door The Gentleman, alle drie via data eerst stelen dan versleutelen werkwijze

- ClickFix drie campagnes macOS en Windows tegelijk: Microsoft en ACSC documenteren parallelle aanvallen via Terminal commando's, WordPress sites en nep CAPTCHA prompts, cryptowallets van Ledger, Exodus en Trezor vervangen door getrojaniseerde versies

- Beagle backdoor via neppe Claude website en DAEMON Tools schoon: Sophos ontdekt claude-pro[.]com verspreidt Beagle backdoor via DonutLoader op Alibaba Cloud, Disc Soft bevestigt DAEMON Tools 12.6 veilig en infectie ingeperkt

Lees ook

- S02E54: ShinyHunters treft 44 Nederlandse onderwijsinstellingen via Canvas, Edge bewaart wachtwoorden als platte tekst en ClickFix actief in Nederland, vorige aflevering, eerdere bevestiging van 44 NL instellingen en achtergrond bij ShinyHunters campagne

- S02E53: cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb, eerder ShinyHunters patroon en supply chain aanvallen op hostingomgevingen

- S02E52: Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico, achtergrond bij AI tools als aanvalsoppervlak en neppe AI installatiepakketten

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam