Pink kaapt Microsoft 365 via telefoon, datalek Epe

In deze aflevering van het Cyber Journaal kijken we terug op het weekend van zaterdag 6 tot en met maandag 8 juni. Een nieuwe afpersgroep steelt bedrijfsdata uit Microsoft 365 zonder ook maar één regel malware, een Nederlandse gemeente verloor honderden gigabytes aan persoonsgegevens en boven Europa lijkt een Russische satelliet het navigatiesignaal te verstoren. Daarnaast zien we beveiligingssoftware die blijft draaien maar stilvalt, een reeks actief misbruikte kwetsbaarheden in netwerkapparatuur, en flinke resultaten in de opsporing. We lopen het thema voor thema langs.

Datalekken en oplichting in Nederland en België

Het meest leerzame verhaal van dit weekend komt van de gemeente Epe. Uit de eigen evaluatie blijkt dat een aanvaller op 10 maart via een misleidingstruc, een zogenoemde ClickFix aanval, het wachtwoord van een beheerder kraakte en zo een noodaccount zonder meervoudige authenticatie bereikte. Met dat account kopieerde de aanvaller ongeveer 871 gigabyte aan data, verspreid over ruim 550.000 bestanden, naar een externe opslag in de cloud. Daarbij zat een export uit de Basisregistratie Personen met burgerservicenummers en ongeveer duizend kopieën van identiteitsbewijzen. Er is geen losgeld geëist en de gegevens zijn nog niet op leksites verschenen. De pijnlijke les is dat een noodaccount zonder extra beveiliging een loper is voor de hele organisatie.

Een tweede Nederlands slachtoffer is het zakenreisbureau BCD Travel uit Utrecht. De groep ShinyHunters publiceerde een bestand van dertig gigabyte nadat een onderhandelingsdeadline van 1 juni verstreek, en beveiligingsonderzoeker Troy Hunt voegde 396.000 e-mailadressen toe aan zijn datalekzoekmachine. De groep beweert in totaal de gegevens van meer dan 700.000 accounts te bezitten. BCD Travel bevestigt verdachte activiteit via een intern account en doet onderzoek. Tegelijk dook er een vermeend datalek op bij gokbedrijf Meridianbet, waarbij een actor op het darkweb claimt 3,7 miljoen klantrecords uit elf landen te bezitten, waaronder België. Die claim is niet bevestigd door Meridianbet en niet onafhankelijk geverifieerd, dus voorlopig past vooral voorzichtigheid.

De grootste verschuiving zit echter in de manier waarop criminelen binnenkomen. Een nieuwe afpersgroep, door onderzoekers van Unit 42 Pink genoemd, steelt bedrijfsdata uit Microsoft 365 zonder klassieke malware. De groep belt medewerkers, doet zich voor als de eigen ICT afdeling en leidt het slachtoffer naar een valse inlogpagina. Op het moment van invoeren kaapt de groep de actieve sessie, stapt zo dwars door de meervoudige authenticatie heen en doorzoekt OneDrive en SharePoint, waarna bestuurders binnen 72 uur moeten betalen. Diezelfde menselijke ingang zien we in België, waar een alleenstaande moeder uit Aarschot binnen enkele minuten haar volledige spaargeld kwijtraakte na een sollicitatie op een valse vacature. De rode draad is dat een geloofwaardig telefoontje of bericht vaak meer schade aanricht dan welk lek dan ook. Wees daarom alert op een phishingmail uit naam van betaaldienst Revolut die deze dagen rondgaat, en op betaalverzoeken via WhatsApp die exact aansluiten op een echte hotelreservering, waarvoor Safeonweb in België waarschuwt.

Beveiliging die blijft draaien maar stilvalt

Waar aanvallers vroeger beveiligingssoftware uitschakelden, kiezen ze nu voor onzichtbaarheid. Een nieuwe tool genaamd EDRChoker schakelt de beveiligingsagent op een werkstation niet uit, maar misbruikt een ingebouwde functie van Windows om netwerkverkeer te prioriteren. De agent blijft gewoon draaien en oogt groen, maar zijn verbinding wordt zo ver dichtgeknepen dat hij geen meldingen meer kan versturen en geen opdrachten meer ontvangt. Er gaat niets kapot dat een controle opmerkt, en juist dat maakt het gevaarlijk. De belangrijkste vraag is daardoor niet langer of de beveiliging draait, maar of er aan de andere kant nog gegevens binnenkomen.

Onder die noemer van stille toegang valt ook de toeleverketen van software, die opnieuw onder druk staat. Aanvallers kaapten het persoonlijke account van een medewerker van Red Hat en injecteerden schadelijke code in 32 pakketten in de npm index, samen goed voor 96 besmette versies, die wekelijks tienduizenden keren worden gedownload. De worm achter deze aanval, Miasma genoemd, steelt cloudsleutels en wachtwoorden en verspreidt zichzelf verder. Op de websites van de Japanse merken Toshiba en Muji verschenen valse inlogschermen door een oude, gecompromitteerde scriptdienst, en een nieuw botnet genaamd C0XMO verspreidt zich via een kwetsbaarheid in routerfirmware en schakelt onderweg concurrerende malware uit. De groep achter het ShinyHunters incident is niet de enige die met onzichtbaarheid werkt, want ook de cluster UNC3753, beter bekend als Luna Moth, belt medewerkers en stuurt in sommige gevallen zelfs iemand fysiek langs met een usb stick.

Kritieke en actief misbruikte kwetsbaarheden

Drie kwetsbaarheden in netwerkapparatuur vragen deze dagen directe actie. In de Cisco Catalyst SD-WAN Manager wordt CVE-2026-20245 actief misbruikt, terwijl er nog geen patch beschikbaar is. Daarnaast staat de authenticatie omzeiling in Palo Alto Networks PAN-OS (CVE-2026-0257) op de lijst van actief misbruikte kwetsbaarheden van CISA en wordt die nu gebruikt om ongeautoriseerde VPN verbindingen op te zetten. Ook een kwetsbaarheid in SolarWinds Serv-U (CVE-2026-28318) belandde op die lijst. Voor beheerders van netwerkapparatuur is de boodschap helder, namelijk patchen of mitigeren voordat de overige taken aan de beurt komen.

Ook breed gebruikte software loopt risico. In de WordPress plugin Everest Forms Pro maken aanvallers actief misbruik van een lek waarmee zonder inloggegevens code kan worden uitgevoerd (CVE-2026-3300, CVSS 9.8), en ook een SQL injectie in Drupal (CVE-2026-9082) staat op de lijst van actief misbruikte kwetsbaarheden. Volgens beveiliger Wordfence werden in het eerste kwartaal van dit jaar ruim 2700 kwetsbaarheden in WordPress plugins gevonden, een herinnering dat juist de plugins het zwakke punt vormen. Verder verschenen er lekken zonder bevestigd misbruik. Microsoft verhielp automatisch kwetsbaarheden in Exchange Online en in de Copilot diensten, en Google bracht een recordaantal van 429 beveiligingslekken in de Chrome browser in één keer naar buiten, waarvan 22 als kritiek zijn aangemerkt. Instagram dichtte tot slot een logische fout in de wachtwoordresetprocedure waardoor volledige e-mailadressen en telefoonnummers zichtbaar werden, ook van bekende namen.

Opsporing, cyberoorlog en digitale soevereiniteit

In de ruimte boven Europa speelt een opvallend verhaal. Onderzoekers van de Universiteit van Texas en het Spaanse bedrijf GMV concluderen met hoge waarschijnlijkheid dat de Russische satelliet Cosmos 2546 te koppelen is aan verstoringen van het navigatiesignaal boven grote delen van Europa. Sinds oktober 2019 zijn 75 gevallen onderzocht, en in minstens drie daarvan kon de storing direct aan deze satelliet worden gelinkt. De onderbrekingen duren doorgaans kort, maar leggen wel de grote afhankelijkheid van satellietnavigatie bloot. In de Verenigde Staten tilde de militaire inlichtingendienst DIA het dreigingsniveau voor spionage door Israël naar het hoogste niveau, nadat afluistersoftware was aangetroffen op telefoons van Amerikaans personeel, een beschuldiging die Israël stellig ontkent. En in Armenië voert Rusland al maanden gecoördineerde desinformatiecampagnes rond de verkiezingen.

De opsporing boekte mooie resultaten. In de Verenigde Staten werd een man veroordeeld tot ruim 26 jaar cel voor de handel in fentanyl en methamfetamine via de inmiddels opgerolde darkweb markt Nemesis Market. Dichter bij huis veroordeelde de Rechtbank Amsterdam een man voor de diefstal van miljoenen klantgegevens bij onder meer webshop Allekabels en de app Scoupy, en hield de politie in Noord-Holland twee mannen uit Bergschenhoek aan die phishingpanels verkochten aan criminelen in meerdere landen. In België werd een eerder veroordeelde hacker uit Mechelen naar verluidt opnieuw opgepakt, ditmaal voor fraude met simkaarten. Tegelijk werken datawetenschappers van Maastricht University samen met de politie aan slimme methoden om bankhelpdeskfraude sneller op te sporen.

Tot slot kreeg het beleid rond gegevens en soevereiniteit vorm. De Nederlandse overheid breidt de versleuteling van DigiD uit en gaat het platform van leverancier Solvinity scherper monitoren, nadat een geplande Amerikaanse overname werd verboden. In Brussel presenteerde de Europese Commissie een breed pakket met onder meer een nieuwe Chips Act en een wet voor cloud en kunstmatige intelligentie, bedoeld om de afhankelijkheid van leveranciers buiten Europa te verminderen. En OpenAI introduceerde een Lockdown Mode voor ChatGPT die het ongewenst weglekken van gegevens via verborgen instructies moet beperken.

*Bronnen: Gemeente Epe en Rijksoverheid, Have I Been Pwned en Troy Hunt, Cybercrimeinfo darkweb monitoring, Palo Alto Networks Unit 42 en Gurucul, HLN, Opgelicht, Safeonweb, Zerosalarium, Microsoft, Wiz, Snyk en Aikido, Toshiba en Muji, Fortinet, Mandiant, NCSC en CISA, Wordfence, Google, Meta, de Universiteit van Texas en GMV, NBC News en The New York Times, CivilNet, het Amerikaanse Department of Justice, de Rechtbank Amsterdam, de Politie, het Parket Antwerpen, Maastricht University, de Europese Commissie en OpenAI. Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Microsoft 365 via de telefoon gekaapt: de nieuwe groep Pink steelt cloudbestanden zonder malware, kaapt de sessie en omzeilt zo de meervoudige authenticatie.

- 871 gigabyte weg bij gemeente Epe: via een ClickFix aanval en een noodaccount zonder meervoudige authenticatie lekten burgerservicenummers en identiteitsbewijzen.

- Beveiliging die stilvalt: de tool EDRChoker knijpt de verbinding van de beveiligingsagent dicht zodat die blijft draaien maar niets meer doorgeeft.

- Actief misbruikte netwerklekken: Cisco SD-WAN (CVE-2026-20245, zonder patch) en Palo Alto Networks PAN-OS (CVE-2026-0257) worden nu uitgebuit, patch met voorrang.

- Russische satelliet boven Europa: onderzoekers koppelen Cosmos 2546 met hoge waarschijnlijkheid aan verstoringen van het navigatiesignaal sinds 2019.

- Resultaten in de opsporing: een darkweb drugshandelaar kreeg 26 jaar cel en in Nederland en België volgden veroordelingen en aanhoudingen voor datadiefstal en phishing.

Lees ook

► Cyber Journaal S02E67, maandenlange mailboxspionage en Cisco SD-WAN actief misbruikt - de vorige aflevering

► Cyber Journaal S02E65, Meta AI lek kaapt Instagram en vier Benelux datalekken - achtergrond bij de nieuwe Instagram kwetsbaarheid

► Odido hack treft miljoenen, AI als wapen en supply chain - over de toeleverketen als aanvalsoppervlak

► De stille oorlog, hoe Nederland zich beschermt tegen cyberaanvallen - over spionage en stille toegang

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam