Ajax hack Buren, NL ransomware en valse AI installaties

In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.

Ajax hack leidt naar 35-jarige man uit Buren

De politie hield dinsdag 26 mei 2026 een 35-jarige man aan uit de gemeente Buren in Gelderland. Hij wordt verdacht van het meerdere malen zonder toestemming inbreken in de computersystemen van voetbalclub Ajax.

De hack werd in maart 2026 aan het licht gebracht na een onderzoek van RTL Nieuws. Via beveiligingsfouten in de app van Ajax waren de gegevens van meer dan 300.000 geregistreerde fans mogelijk kwetsbaar. Daadwerkelijk werden de gegevens van meer dan 42.000 seizoenkaarthouders ingezien. De beveiligingsfout maakte het bovendien mogelijk om digitale seizoenkaarten door te schakelen naar een andere gebruiker of ze volledig te blokkeren. Ajax deed aangifte nadat de media over de zaak berichtten. Bij de aanhouding werden computers en harde schijven in beslag genomen.

De zaak illustreert hoe apps van grote organisaties als aanvalsvector kunnen dienen. Een beveiligingslek dat aanvankelijk door de club onopgemerkt bleef, leidde pas tot een aangifte nadat de media erover berichtten. Dat een verdachte na twee maanden onderzoek is aangehouden, geeft aan dat digitale sporen ook bij dergelijke aanvallen traceerbaar zijn.

► Man (35) aangehouden voor hacken Ajax - BNR berichtgeving over de aanhouding van 26 mei 2026

Drie Nederlandse bedrijven op darkwebportalen ransomwaregroepen

In de periode van 25 tot 26 mei 2026 claimden drie verschillende ransomwaregroepen een Nederlandse organisatie als slachtoffer.

De groep PLAY voegde op 26 mei De Waard Transport B.V., een logistiek bedrijf gevestigd in Nederland, toe aan zijn darkwebportaal. PLAY staat bekend om het stelen van data voorafgaand aan versleuteling, waarna de gestolen informatie als pressiemiddel wordt ingezet. Naast De Waard Transport claimde PLAY nog vijf slachtoffers in de Verenigde Staten en Canada.

saver.nl, actief in de afvalbeheer- en consumentensector, werd op 25 mei als slachtoffer van DragonForce vermeld. De groep versleutelt systemen en exfiltreert data, waarna losgeld wordt geëist voor zowel ontsleuteling als het achterhouden van de gestolen gegevens. DragonForce, LockBit en Qilin kondigden eerder dit jaar een strategisch samenwerkingsverband aan.

LockBit 5.0 claimde Van Tuijl Haaften, een Nederlands bedrijf. De groep vermeldde tegelijk de Columbia Orthopedic Group uit de Verenigde Staten. LockBit 5.0 is de hernieuwde variant van de ransomwaregroep die in 2024 door een internationale politieoperatie zwaar werd getroffen maar sindsdien is herbouwd.

Drie aanvallen met ransomware op Nederlandse bedrijven in twee dagen wijst op aanhoudende targeting van Nederlandse organisaties ongeacht sector of omvang. Darkwebpublicaties zijn berichten van de aanvallers zelf en daarmee niet onafhankelijk geverifieerd, maar ze bevestigen doorgaans een succesvolle initiële toegang.

► Lockbit 5.0 teistert de Benelux en Mongobleed treft Ubisoft - eerder in het journaal over LockBit 5.0 en Benelux-slachtoffers

EclecticIQ: valse installatiepagina's voor Gemini CLI en Claude Code verspreiden fileless infostealer

Beveiligingsonderzoekers van EclecticIQ publiceerden op 21 mei 2026 een rapport over een campagne die al loopt sinds begin maart 2026. De campagne richt zich op ontwikkelaars in de Verenigde Staten en het Verenigd Koninkrijk die zoeken naar installatiepagina's voor Gemini CLI van Google of Claude Code van Anthropic.

Via zoekmachinemanipulatie (SEO poisoning) duwen de aanvallers nepdomeinen zoals geminicli.co.com en claudecode.co.com naar de top van zoekresultaten. Deze sites kopiëren de officiële documentatie van de tools nauwkeurig. Een ontwikkelaar die de officiële installatieinstructies volgt, voert onbewust een PowerShell opdracht uit die een kwaadaardig script downloadt van een van de aanvallersservers.

De infostealer draait volledig in het geheugen en schrijft geen bestanden naar de schijf. Daarmee laat de malware geen forensisch spoor achter. Eenmaal actief schakelt de software twee verdedigingsmechanismen uit: de Antimalware Scan Interface (AMSI) en Event Tracing for Windows (ETW). Dat verblindt de lokale beveiliging voordat de datasteling begint.

De malware steelt inloggegevens, sessiecookies en invulgeschiedenissen uit browsers als Chrome, Firefox en Edge. Vanuit zakelijke communicatieprogramma's als Slack, Teams, Zoom en Discord worden sessiegegevens gestolen waarmee aanvallers toegang krijgen tot interne netwerken zonder wachtwoord. Daarnaast worden VPN-configuratiebestanden, cryptowalletgegevens en cloudopslagpaden uitgelezen. De gestolen data wordt versleuteld verstuurd naar commando- en controleservers op events.msft23.com, events.ms709.com en mo2307.com.

De aanvallers beheren meer dan dertig nepdomeinen voor andere populaire tools, waaronder Node.js, WinSCP en PuTTY. Ze maakten gebruik van een gestolen EV-certificaat van een Chinees bedrijf om beveiligingswaarschuwingen van Windows te omzeilen.

Ontwikkelaars die zoeken naar installatiepagina's voor ontwikkeltools worden aangeraden de domeinnaam in de adresbalk te controleren voor het uitvoeren van installatieopdrachten, en bij voorkeur de officiële packagemanager te gebruiken in plaats van installatiescripts van externe websites.

► Tip van de week: de verborgen gevaren van SEO poisoning - achtergrond over hoe SEO poisoning werkt

► Infostealers ontrafeld: ontdek de stille dreiging - wat infostealers zijn en hoe ze werken

MFA prompt bombing: wanneer de gebruiker zelf de toegang verleent

The Hacker News publiceerde deze week een uitgebreide analyse van een aanvalstechniek die op push gebaseerde multifactorauthenticatie omzeilt zonder de tweede factor te stelen. De aanval, ook wel prompt bombing of MFA vermoeidheid (MFA fatigue) genoemd, werkt door de gebruiker te overstelpen met goedkeuringsverzoeken totdat die er een accepteert.

Voor de aanval zijn drie elementen nodig: een geldig wachtwoord, een inlogportaal met op push gebaseerde authenticatie zoals VPN, Microsoft 365, Okta of Duo, en een gebruiker die bij elke inlogpoging een melding ontvangt op zijn telefoon. De aanvaller probeert herhaaldelijk in te loggen. Sommige slachtoffers klikken uiteindelijk op accepteren uit vermoeidheid of in de veronderstelling dat er een storing is. Aanvallers combineren deze methode vaak met een telefoontje waarbij ze zich voordoen als IT-ondersteuning.

De inbraak bij Cisco in 2022 illustreert hoe effectief de techniek is. De aanvaller, verbonden aan de ransomwaregroep Yanluowang, compromitteerde het persoonlijke Google account van een medewerker van Cisco dat wachtwoorden synchroniseerde vanuit de browser, inclusief het VPN-wachtwoord van Cisco. Na herhaalde pushmeldingen en een vishing telefoontje accepteerde de medewerker een prompt. Vervolgens registreerde de aanvaller eigen apparaten voor multifactorauthenticatie om persistentie te behouden, escaleerde naar beheerdersrechten en bereikte Citrix servers en domeincontrollers. Vóór ontdekking was 2,8 gigabyte aan data geëxfiltreerd.

De effectiefste verdediging is de overstap naar authenticatiemethoden die bestand zijn tegen phishing, zoals FIDO2-beveiligingssleutels, hardware tokens zoals YubiKey of authenticator apps met nummermatching. Aanvullend verminderen voorwaardelijke toegangsregels op basis van locatie, apparaatstatus en tijdstip het risico dat een promptaanval slaagt. Het continu monitoren van Active Directory op wachtwoorden uit gelekte databases haalt de initiële toegangsvoorwaarde weg.

*Heeft uw organisatie nog MFA op basis van pushberichten zonder nummermatching actief? De overstap naar methoden die bestand zijn tegen phishing is de meest directe verdediging.*

► Tip van de week: wees waakzaam bij onverwachte MFA-verzoeken - praktisch advies bij MFA-aanvragen

► MFA bypass ontrafeld: waarom meerfactorauthenticatie niet volstaat - dieper inzicht in MFA-kwetsbaarheden

Bron: Cybercrimeinfo, ondezoeksteam