Universiteiten en ShinyHunters, Crimenetwork en TCLBanker

In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.

Universiteiten in gesprek met ShinyHunters terwijl Instructure van de leksite verdwijnt

Meerdere universiteiten zijn in contact geweest met ShinyHunters over de bij Canvas LMS gestolen data, zo berichtten Reuters en onderzoeksjournalist Brian Krebs rond 10 mei 2026. Beide bronnen stelden dat gesprekken gaande waren, al variëren de details en de betrokkenheid per instelling. Sommige instellingen zouden verkennen of een schikking de enige optie is om openbaarmaking van de gegevens van studenten en medewerkers te voorkomen. De deadline van ShinyHunters verstrijkt op 12 mei 2026, de dag na publicatie van dit artikel.

Opvallend is dat Instructure, de exploitant van Canvas LMS, op het moment van schrijven niet voorkomt op het Pay or Leak portaal van ShinyHunters. Dat is ongebruikelijk voor een incident van deze omvang en wijst op de mogelijkheid dat er achter de schermen een schikking is getroffen. Als Instructure een bedrag heeft betaald, blijven de gevolgen voor de individuele instellingen onzeker, omdat ShinyHunters de data in dat geval mogelijk alsnog kan doorverkopen aan derden. De groep claimde eerder 275 miljoen gebruikers bij bijna 9.000 instellingen te hebben getroffen, wat Instructure in concrete aantallen noch bevestigd noch ontkend heeft.

Op het darkweb verscheen in dezelfde periode een serie aanbiedingen met Europese persoonsgegevens. Een database met telefoonnummers van Belgische senioren werd aangeboden op een hackingforum. Dreigingsactor NormalLeVrai bood 9.542 kopiëen van Europese paspoorten en identiteitsbewijzen te koop aan voor 1.000 dollar. Op een ander forum verscheen een database met 2 miljoen records van investeerders bij handelsplatform eToro. Bij al deze aanbiedingen gaat het om onbevestigde claims van verkopers die stellen over de data te beschikken.

BKA sluit Crimenetwork definitief en arresteert beheerder op Mallorca

De Duitse opsporingsdienst BKA maakte op 9 mei 2026 definitief een einde aan de herrezen versie van Crimenetwork, een Duitstalig online platform voor cybercriminelen dat na een eerdere ontmanteling in december 2024 opnieuw was opgestart. De beheerder van het herstarte platform werd gearresteerd op Mallorca in samenwerking met de Spaanse autoriteiten. Het originele Crimenetwork, neergehaald eind 2024, telde meer dan 22.000 geregistreerde gebruikers en ruim 100 actieve verkopers met een gedocumenteerde omzet van 3,6 miljoen euro.

Het platform werd eerder door de BKA ontmanteld maar slaagde erin opnieuw op te starten, wat de veerkracht van dit soort criminele marktplaatsen illustreert. De definitieve sluiting is het resultaat van een langlopend onderzoek waarbij de digitale infrastructuur volledig in beslag is genomen en de beheerder door zijn verblijf in Spanje kon worden aangehouden. De zaak sluit aan bij een reeks internationale opsporingsacties in 2025 en 2026 waarbij Europese opsporingsdiensten in samenwerking met Europol en Eurojust meerdere marktplaatsen voor cybercriminaliteit hebben neergehaald.

TCLBanker verspreidt zich via WhatsApp en Outlook naar Europa

Onderzoekers documenteerden in de periode van 8 tot 10 mei 2026 de verdere verspreiding van de TCLBanker bankentrojan buiten zijn oorspronkelijke operatiegebied in Latijns-Amerika. De malware richt zich op 59 financiële platforms en bereikt slachtoffers via berichten op WhatsApp en via kwaadaardige bijlagen in Outlook. Eenmaal geïnstalleerd onderschept TCLBanker loginpogingen bij banken, steelt sessiecookies en kan transacties omleiden zonder dat de gebruiker dat merkt.

Het Nederlandse bedrijf VeriCon werd op 9 mei 2026 geclaimd als slachtoffer door de ransomwaregroep thegentlemen. Via de darkwebmonitoring van Cybercrimeinfo ontdekte de redactie de claim op het portaal van de groep. VeriCon is een constructief ingenieursbureau dat actief is in staal en betonconstructies voor bouw en industrie in Nederland en omringende landen. Op het moment van schrijven heeft het bedrijf geen publieke mededeling gedaan over het incident. De ransomwaregroep thegentlemen hanteert een werkwijze waarbij eerst data wordt geëxfiltreerd voordat systemen worden versleuteld, waarna losgeld wordt geëist in ruil voor een decryptiesleutel en de belofte de data niet openbaar te maken.

Onderzoekers van Wiz en Sysdig publiceerden bewijs van haalbaarheid voor twee kwetsbaarheden in de Linux kernel, aangeduid als CVE-2026-43284 en CVE-2026-43500 en samengevat onder de naam Dirty Frag. De kwetsbaarheden treffen Linux containeromgevingen en maken het mogelijk voor een aanvaller om uit een container te breken en toegang te krijgen tot het onderliggende gastsysteem. Voor CVE-2026-43500 is op het moment van schrijven nog geen stabiele patch beschikbaar voor alle distributies, voor CVE-2026-43284 verscheen op 8 mei een patch in de mainline kernel. Beheerders van containeromgevingen worden geadviseerd aanvullende isolatiemaatregelen te treffen en de publicaties van Wiz en Sysdig te raadplegen voor tijdelijke mitigaties. cPanel patcht op 8 mei 2026 drie kwetsbaarheden waaronder CVE-2026-29202 met een CVSS score van 9.8. Beheerders van cPanel installaties worden geadviseerd direct bij te werken.

De belangrijkste punten

- Universiteiten in gesprekken met ShinyHunters voor deadline 12 mei: Reuters en Brian Krebs berichtten rond 10 mei over contact tussen instellingen en de groep, sommige instellingen zouden schikkingsopties verkennen

- Instructure niet op Pay or Leak portaal van ShinyHunters: ongebruikelijk voor incident van deze omvang, mogelijke schikking achter de schermen, gevolgen voor individuele instellingen onduidelijk als data alsnog circuleert

- BKA arresteert beheerder herrezen Crimenetwork op Mallorca: originele platform (dec 2024 ontmanteld, 22.000 gebruikers, 3,6 miljoen euro omzet) startte opnieuw op, beheerder aangehouden in samenwerking met Spanje

- TCLBanker via WhatsApp en Outlook richting Europa: bankentrojan richt zich op 59 financiële platforms, onderschept loginpogingen en sessiecookies, verspreidt vanuit Latijns-Amerika

- VeriCon NL geclaimd door thegentlemen ransomware: constructief ingenieursbureau staal en beton in Nederland, claim ontdekt via darkwebmonitoring Cybercrimeinfo op 9 mei

- Dirty Frag CVE-2026-43284 en CVE-2026-43500 in Linux containeromgevingen: onderzoekers Wiz en Sysdig publiceerden bewijs van haalbaarheid voor containeruitbraak naar gastsysteem, CVE-2026-43500 nog zonder stabiele patch voor alle distributies

- cPanel patcht drie kwetsbaarheden op 8 mei: CVE-2026-29201, CVE-2026-29202 (CVSS 9.8) en CVE-2026-29203 gesloten, beheerders wordt aangeraden direct bij te werken

Lees ook

► S02E55: ShinyHunters ontsiert Canvas portalen en stelt deadline 12 mei, zeven universiteiten bevestigd getroffen en Belgische scholen melden diefstal van studentgegevens, directe voorgeschiedenis met bevestigde NL en Belgische instellingen en de werkwijze van ShinyHunters

► S02E54: ShinyHunters treft 44 Nederlandse onderwijsinstellingen via Canvas, Edge bewaart wachtwoorden als platte tekst en ClickFix actief in Nederland, achtergrond bij de eerste bevestiging van 44 Nederlandse onderwijsinstellingen in de ShinyHunters Canvas campagne

► S02E53: cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb, eerdere cPanel kwetsbaarheden en ShinyHunters patroon als context bij de huidige patches en gesprekken

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam