S02E76
Vond je dit artikel interessant of nuttig?
Het cybernieuws van donderdag 25 en vrijdag 26 juni 2026 stond in het teken van twee grote dossiers en een breed patroon. Een internationale operatie, bekend als Operation Endgame, ontmantelde de infrastructuur achter de infostealers Amadey en StealC en de dropper SocGholish, met het Team High Tech Crime van de Nederlandse politie als een van de trekkers. Tegelijk blijft de omvang van het datalek bij het onderwijsplatform Canvas voor Nederland onbekend, omdat leverancier Instructure niet kan aangeven welke gegevens precies zijn buitgemaakt. Onder de oppervlakte loopt opnieuw een rode draad, aanvallers mikken op vertrouwen via de servicedesk, de browser en vertrouwde apps, terwijl kritieke lekken in netwerkapparatuur en in Chrome actief worden misbruikt en de opsporing op meerdere fronten resultaat boekt.
Grootste slag tegen infostealers tot nu toe
Onder de naam Operation Endgame haalden Europol, Microsoft en opsporingsdiensten uit Nederland, Canada, Denemarken, Duitsland, het Verenigd Koninkrijk en de Verenigde Staten de infrastructuur offline achter drie samenwerkende malwarefamilies. SocGholish en Amadey dienen als loaders die toegang verschaffen, StealC steelt vervolgens wachtwoorden, cookies en sessietokens. In twee weken werden 326 servers ontmanteld, 142 domeinen in beslag genomen, ongeveer 27 miljoen gestolen inloggegevens hersteld en voor 41 miljoen euro aan crypto-activa bevroren. Europol vond ook bijna 15.000 met SocGholish besmette WordPress-sites van alledaagse detailhandelaren.
Het Team High Tech Crime van de Nederlandse politie trok samen op met Duitse, Deense, Britse en Amerikaanse diensten en trof op de servers 24 miljoen inloggegevens aan, afkomstig van 384.000 besmette systemen en gekoppeld aan meer dan anderhalf miljoen verschillende diensten. Een dag later verfijnde de Shadowserver Foundation het beeld, in totaal raakten bijna 385.000 Windows-computers wereldwijd besmet, waarvan drieduizend in Nederland, goed voor 9,9 miljoen unieke inloggegevens en 9,6 miljoen wachtwoordhashes. Het merendeel betrof e-maildiensten, met onder meer anderhalf miljoen gegevens van Gmail. Deze operatie sluit aan op de eerdere politieactie tegen het SocGholish-botnet waarover we eerder berichtten.
De boodschap voor slachtoffers is helder. Wie vermoedt besmet te zijn met een infostealer, moet ervan uitgaan dat de inloggegevens van álle accounts die op het apparaat zijn gebruikt in handen van criminelen kunnen zijn. Wijzig dus niet alleen het wachtwoord van het gemelde account, maar van alles wat op dat toestel is gebruikt, en schakel waar mogelijk tweefactorauthenticatie in. Europol waarschuwt daarnaast opnieuw voor pop-ups die zich voordoen als een browserupdate, een legitieme update komt altijd via de systeeminstellingen of een erkende appstore.
Canvas houdt het onderwijs in onzekerheid
Bij het onderwijsplatform Canvas, beheerd door het bedrijf Instructure, is nog altijd onbekend hoeveel Nederlandse studenten en medewerkers zijn getroffen. Minister Letschert van Onderwijs antwoordde op Kamervragen van D66 dat alleen bekend is welke instellingen geraakt zijn, en dat Instructure nog niet heeft aangegeven welke gegevens precies zijn buitgemaakt. De criminele groep ShinyHunters claimde de gegevens van ongeveer 275 miljoen gebruikers wereldwijd, verspreid over bijna negenduizend instellingen. Instructure stelt een akkoord met de aanvallers te hebben gesloten en zogenoemde shred logs te hebben ontvangen die de vernietiging zouden bewijzen, al twijfelen beveiligingsexperts aan de echtheid van die claim.
De pijnlijke kern zit in de afhankelijkheid van de leverancier. De getroffen universiteiten, hogescholen en mbo-instellingen kunnen voor het antwoord op de simpelste vraag, namelijk wiens gegevens precies zijn gestolen, niets anders dan wachten op Instructure. Dat is het kenmerkende risico van een aanval in de toeleveringsketen, waarbij niet de school zelf maar haar gedeelde platform het doelwit was. ShinyHunters bleef ook elders actief en publiceerde na een pay-or-leak-campagne de gegevens van de Amerikaanse sport- en entertainmentorganisatie Madison Square Garden Sports, bijna tien miljoen unieke e-mailadressen plus namen, telefoonnummers en adressen.
Hetzelfde ketenpatroon speelde bij het marktonderzoeksbureau Klue, waar aanvallers via een vergeten toegangssleutel uit 2022 OAuth-tokens stalen en zo bij de Salesforce-omgevingen van klanten kwamen, waaronder beveiligings- en techbedrijven als Gong, Jamf, HackerOne, Recorded Future, Snyk en Tanium. En de producent Tata Electronics, die componenten en iPhones voor Apple maakt, bevestigde een cyberaanval waarbij de afpersingsgroep World Leaks interne documentatie claimt, volgens het bedrijf zonder gevolgen voor de productie. Telkens is het niet de zwakte van één organisatie, maar de gedeelde schakel die de schade vergroot.
Aanvallers mikken op vertrouwen
Een opvallend deel van het nieuws ging over aanvallen die niet de techniek maar het vertrouwen van mensen aanvallen. De FBI waarschuwde opnieuw voor social engineering via de servicedesk, waarbij aanvallers zich voordoen als een gehaaste collega en de helpdesk een wachtwoord of tweede factor laten resetten. Dezelfde tactiek werd in 2025 ingezet tegen de Britse retailers Marks & Spencer, Co-op en Harrods door Scattered Spider, en recent ook tegen Carnival Corporation en door de Silent Ransom Group. Volgens onderzoek van Verizon zijn gestolen inloggegevens betrokken bij bijna de helft van alle datalekken.
Ook de browser zelf werd een wapen. Beveiligingsbedrijf Zscaler beschreef Edgecution, een kwaadaardige Microsoft Edge-uitbreiding die via het Native Messaging-protocol uit de browser-sandbox ontsnapt en een Python-achterdeur plaatst, vermoedelijk ingezet door een toegangsmakelaar rond de Payouts Kings-ransomware. Symantec koppelde de in het geheugen draaiende backdoor Mistic aan de groep Woodgnat, die zich via DLL-sideloading voordoet als beveiligingssoftware van Microsoft en de verkregen toegang doorverkoopt aan ransomware-affiliates. En Netcraft liet zien hoe de phishingdienst Bluekit is overgestapt op een Browser-in-the-Middle-techniek, die de echte inlogpagina naar het slachtoffer streamt en de authenticatie in de browser van de aanvaller voltooit, waarna die een geldige sessie bezit.
De fraude kroop ook in vertrouwde apps en hypes. Volgens Gen Digital voegen oplichters valse aankoopbewijzen toe in de bestel-app Shop van Shopify en doen zij zich voor als merken als Norton, McAfee, Apple en PayPal om slachtoffers naar een frauduleus telefoonnummer te lokken. De oude infostealer LokiBot keerde terug via kwaadaardige e-mailbijlagen, en rond de aanstaande release van Grand Theft Auto VI doken volgens Malwarebytes en NordVPN nepsites op die tegen betaling in cryptomunten valse Early Access beloven, met malware of geldverlies tot gevolg. Er is geen openbare bètaversie van het spel.
Kritieke lekken aan de rand en in de browser
Aan de technische kant waren netwerkapparatuur en de browser het zwaarst belast. Het Amerikaanse agentschap CISA waarschuwde voor het actieve misbruik van drie kwetsbaarheden in Ubiquiti UniFi OS (CVE-2026-34908, CVE-2026-34909 en CVE-2026-34910), alle met de maximale score van 10.0. Het is de eerste keer dat lekken in UniFi OS op de lijst van bekende misbruikte kwetsbaarheden belanden, Ubiquiti bracht op 21 mei updates uit en federale instanties moeten binnen drie dagen patchen. Daarnaast meldde Mandiant dat een zero-day in Cisco Catalyst SD-WAN (CVE-2026-20245) al maanden voor de openbaarmaking werd misbruikt om via een verborgen account met de naam troot volledige root-toegang te krijgen, en bevestigde Defused actief misbruik van een kritiek lek in Cisco Unified Communications Manager (CVE-2026-20230) wanneer de WebDialer-functie aanstaat.
Google verhielp vier kritieke kwetsbaarheden in Chrome, in de componenten WebGL, Blink en Autofill, waarmee een aanvaller code kan uitvoeren zodra het slachtoffer enkel een kwaadaardige of gehackte website bezoekt, zonder dat een klik of download nodig is. Gebruikers werken bij naar versie 149.0.7827.196 of hoger, bij voorkeur via een handmatige controle in de instellingen. Cisco kondigde voor 1 juli bovendien beveiligingsupdates aan voor Catalyst Center en de Secure Endpoint Connectors, een opvallende vooraankondiging, al staan de lekken nog niet op de KEV-lijst.
De toeleveringsketen van software bleef eveneens onder vuur liggen. Onderzoekers van JFrog meldden een nieuwe golf van de Shai-Hulud-campagne, die zich nu richt op npm-pakketten voor cloudtoepassingen in het Leo en RStreams-ecosysteem rond Amazon Web Services. De kwaadaardige pakketten verzamelen toegangssleutels, tokens en geheimen uit de omgeving van ontwikkelaars en haalden in een maand ongeveer 45.000 downloads. Het advies is om getroffen machines en bouwomgevingen te isoleren en alle ontwikkelaars-, cloud- en pakketregisterreferenties te roteren.
Opsporing en beleid, van SIM-swap tot soevereine cloud
De opsporing boekte op meerdere fronten resultaat. In Polen arresteerde het Cybercrime Bureau met steun van de FBI vier leden van een bende die telecompartners hackte en telefoonnummers kaapte voor SIM-swapaanvallen, waarmee zij naar schatting miljoenen dollars aan cryptovaluta stalen. In Oost-Vlaanderen rolde de federale gerechtelijke politie een internationale phishingbende op die met valse e-mails namens de overheidsdienst MyEbox meer dan honderdduizend euro buitmaakte, drie verdachten zitten vast. En de rechtbank Noord-Nederland veroordeelde een 27-jarige man tot twee jaar cel voor het bezit van acht leadlijsten met de gegevens van meer dan 110.000 personen en het criminele gebruik van het programma AnyDesk, dat vaak opduikt bij bankhelpdeskfraude. In de Verenigde Staten kreeg de hacker achter de aanval op DraftKings uit 2022 een celstraf van achttien maanden.
Op beleidsniveau koos het Nederlandse kabinet duidelijk positie. Staatssecretaris Van der Burg liet weten dat de voorkeur uitgaat naar een soevereine overheidscloud voor de digitale identiteitsdienst DigiD, met aanbestedingen via de Aanbestedingswet Defensie en Veiligheid om risico's voor de nationale veiligheid te beperken. De mbo-instellingen kondigden een gezamenlijke pool voor cyberweerbaarheid aan die vanaf oktober 2027 wederzijdse steun bij een aanval moet regelen. Tegelijk wezen de Europese Commissie en de Nederlandse toezichthouder ACM de clouddiensten van Amazon en Microsoft voorlopig aan als poortwachters onder de Digital Markets Act, wat verplichtingen meebrengt rond overstapmogelijkheden en gegevensoverdraagbaarheid.
Tot slot waren er signalen die verder reiken dan een enkel incident. De Belgische federale politie registreerde in 2025 ruim 73.000 gevallen van cybercriminaliteit, met een stijging van dertig procent in phishing, terwijl slechts 21 procent van de slachtoffers aangifte doet. De Rijksinspectie Digitale Infrastructuur riep organisaties op zich nu voor te bereiden op de dreiging van quantumcomputers voor bestaande encryptie. En Anthropic beschuldigde het Chinese Alibaba van een grootschalige onttrekkingscampagne tegen zijn Claude-model, met bijna 25.000 frauduleuze accounts, een zaak die de beveiliging van kunstmatige intelligentie tot onderwerp van nationaal veiligheidsbeleid maakt.
De belangrijkste punten
- Operation Endgame: internationale takedown van Amadey, StealC en SocGholish, 326 servers en 142 domeinen offline, 27 miljoen inloggegevens hersteld, drieduizend besmette computers in Nederland.
- Canvas en Instructure: omvang voor Nederland onbekend, minister kan geen schatting geven, ShinyHunters claimt 275 miljoen gebruikers wereldwijd, leverancier bepaalt het zicht op de schade.
- Aanval op vertrouwen: servicedesk, de Edge-uitbreiding Edgecution, de backdoor Mistic, de Browser-in-the-Middle-dienst Bluekit en valse aankoopbewijzen in de app Shop.
- Kritieke lekken: Ubiquiti UniFi OS (drie keer 10.0), Cisco Catalyst SD-WAN en Unified Communications Manager actief misbruikt, plus vier kritieke lekken in Google Chrome.
- Opsporing: SIM-swapbende opgerold in Polen, phishingbende in Oost-Vlaanderen, celstraf voor leadlijsten en AnyDesk in Nederland.
- Beleid: kabinet kiest soevereine cloud voor DigiD, mbo start cyberweerbaarheidspool, Amazon en Microsoft voorlopig poortwachters onder de DMA.
Lees ook
- Financiën gehackt via zeroday, politie rolt SocGholish op - eerdere politieactie tegen hetzelfde malwarenetwerk
- Odido-hack treft miljoenen, kunstmatige intelligentie als wapen en de toeleveringsketen - achtergrond bij aanvallen in de toeleveringsketen
- Zo voorkom je bankhelpdeskfraude - praktische tips tegen oplichters die misbruik maken van software als AnyDesk
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
Categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.
MEDIA & ANALYSES
๐ง Liever luisteren? (Journaal & Analyse)
Powered by RedCircle
Powered by RedCircle
Kies hieronder waar je wilt luisteren
RSS feed
Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".