S02E59
Vond je dit artikel interessant of nuttig?
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
Vervalste brieven van Ledger beogen diefstal herstelzin
Eigenaren van Ledger hardware wallets ontvangen op dit moment vervalste papieren post. De brieven zijn vormgegeven als officiële communicatie van Ledger en zijn ondertekend met de naam van de chief executive officer van het bedrijf. De inhoud beschrijft een zogenaamde beveiligingsupdate voor kwantumresistentie en bevat een QR code. Die code leidt naar een namaakwebsite waarop gevraagd wordt om de herstelzin in te voeren.
De herstelzin bestaat uit 24 woorden en geeft volledige toegang tot het cryptosaldo van de wallethouder. Wie de zin invult op de namaaksite, verliest zijn volledige saldo. De brieven zijn professioneel gedrukt en bevatten referentienummers en opmaak die de indruk wekt van legitieme Ledger communicatie.
De campagne is vermoedelijk mogelijk gemaakt door klantgegevens die bij de Global-e inbreuk in januari 2026 zijn buitgemaakt. Ledger heeft bevestigd deze campagne te kennen. Het bedrijf stelt nooit om de herstelzin te vragen, op geen enkele manier en via geen enkel kanaal. Ontvangers wordt geadviseerd de brief direct te vernietigen zonder de QR code te scannen.
Het gebruik van papieren post als aanvalsvector is opmerkelijk omdat digitale spamfilters en phishingdetectie niet werken op fysieke post. De investering in drukwerk, enveloppen en porto suggereert dat de campagne voldoende opbrengst oplevert om de kosten te rechtvaardigen.
Apple M5 kernel exploit doorbreekt geheugenbeveiliging met AI
Vier beveiligingsonderzoekers, te weten Calif, Bruce Dang, Dion Blazakis en Josh Maine, hebben een werkende publieke exploit gepubliceerd voor de Apple M5 chip. De exploit richt zich op macOS 26.4.1 (build 25E253) op echte M5 hardware zonder virtualisatielaag en levert een volledige rootshell via een lokale bevoegdheidsescalatie aanval.
De exploit omzeilt Memory Integrity Enforcement, het hardwarematige geheugenbeveiligingssysteem dat Apple heeft ontwikkeld voor de M5 en A19 chips. Naar eigen zeggen van Apple kostte de ontwikkeling van dit systeem vijf jaar en miljarden dollars aan investering. Het doel was specifiek om exploits op kernelgeheugencorruptie te dwarsbomen. De doorbraak van de onderzoekers wordt in beveiligingskringen beschouwd als een mijlpaal voor AI ondersteund offensief beveiligingsonderzoek.
De onderzoekers maakten gebruik van Anthropic Mythos Preview, een AI model, als hulpmiddel bij de ontwikkeling van de exploit. De samenwerking tussen mens en AI stelde het team in staat het onderzoek te voltooien in een periode die aanzienlijk korter was dan de vijf jaar die Apple investeerde in de verdedigingssystemen.
De onderzoekers kozen ervoor het 55 pagina's tellende rapport persoonlijk in te leveren bij Apple Park in Cupertino, om wachtrijen te vermijden die gebruikelijk zijn bij beveiligingsevenementen zoals Pwn2Own. Volledige technische details worden pas gepubliceerd nadat Apple een patch heeft uitgebracht. Gebruikers van macOS op M5 hardware dienen patches te installeren zodra Apple die beschikbaar stelt.
LockBit 5.0 claimt zes organisaties waaronder Stahlwille B.V.
De LockBit 5.0 ransomwaregroep heeft op haar darkweb portaal zes nieuwe organisaties gepubliceerd als geclaimde slachtoffers. Onder de gepubliceerde namen bevindt zich Stahlwille B.V. uit Nederland. Stahlwille is een fabrikant van precisiehandgereedschap.
Naast Stahlwille B.V. claimt de groep aanvallen op JEC Eye Hospitals and Clinics in Indonesië en organisaties in Brazilië, Mexico en andere landen. De omvang van de vermeende aanval op Stahlwille en de aard van de buitgemaakte data zijn op dit moment niet publiekelijk bevestigd door de organisatie zelf. De publicatie op het darkweb portaal is een gebruikelijke methode van ransomwaregroepen om druk uit te oefenen op slachtoffers om losgeld te betalen.
LockBit 5.0 is een voortzetting van de ransomwaregroep die in februari 2025 werd geraakt door een internationale politieoperatie waarbij infrastructuur in beslag werd genomen en een aantal leden werd aangehouden. De groep is daarna met een nieuwe infrastructuur en nieuwe encryptiesoftware voortgegaan met haar activiteiten.
De belangrijkste punten
- Ledger wallethouders ontvangen professioneel gedrukte brieven met QR codes: campagne gelinkt aan Global-e datalek januari 2026, Ledger bevestigt campagne en stelt nooit om herstelzin te vragen
- Valse Ledger post vraagt om 24-woordige herstelzin: wie invult verliest volledig saldo, brieven ondertekend op naam van CEO en bevatten valse beveiligingsupdate voor kwantumresistentie
- Vier onderzoekers doorbraken Apple Memory Integrity Enforcement op M5 chip: lokale bevoegdheidsescalatie exploit op macOS 26.4.1, werkende rootshell gepubliceerd, patches in aantocht
- AI model Anthropic Mythos Preview hielp bij ontwikkeling Apple exploit: samenwerking mens en AI verkortte doorlooptijd drastisch ten opzichte van Apples vijf jaar voor het beveiligingssysteem
- 55 pagina's tellend rapport persoonlijk ingediend bij Apple Park in Cupertino: technische details pas gepubliceerd na Apples patch
- LockBit 5.0 publiceert Stahlwille B.V. Nederland op darkweb portaal: Nederlandse gereedschapsfabrikant een van zes geclaimde slachtoffers, omvang datalek niet bevestigd
- CoinbaseCartel heeft 170 slachtoffers gemaakt via GitHub tokendiefstal: Grafana weigerde afpersingsbetaling, eigen codebase gedownload maar geen klantdata buitgemaakt
Lees ook
- ► S02E58: INT geclaimd, Clinical Diagnostics en Kamervragen Canvas, achtergrond bij The Gentlemen ransomwaregroep en de aanhoudende druk op Nederlandse en Belgische organisaties
- ► S02E57: Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline, overzicht van de supply chain campagne via Jenkins en de Odido datalek
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
Categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.
MEDIA & ANALYSES
🎧 Liever luisteren? (Journaal & Analyse)
Powered by RedCircle
Powered by RedCircle
Kies hieronder waar je wilt luisteren
RSS feed
Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".