• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

Ansell, een wereldwijd toonaangevend bedrijf in beschermingsoplossingen, werd op 31 oktober 2025 getroffen door een ransomwareaanval uitgevoerd door de Clop ransomwaregroep. Het bedrijf is gespecialiseerd in het ontwerpen, ontwikkelen en produceren van beschermende handschoenen, condooms en andere veiligheidskleding. Ansell is actief in verschillende sectoren, waaronder de gezondheidszorg en de industrie, en heeft een lange geschiedenis van meer dan 125 jaar. De aanval werd ontdekt op 31 oktober 2025, en het bedrijf heeft zijn activiteiten in Australië en wereldwijd, inclusief België, gestaakt. De Clop-groep heeft de verantwoordelijkheid voor de aanval opgeëist, en er is een vermoeden van datalekken, waarbij gevoelige gegevens van medewerkers en externe partners mogelijk zijn buitgemaakt.

Ansell biedt een breed assortiment aan persoonlijke beschermingsmiddelen, met de nadruk op handschoenen en beschermkleding voor diverse industrieën zoals gezondheidszorg en de chemische sector. Het bedrijf heeft vestigingen in meer dan 100 landen en biedt producten die voldoen aan strenge veiligheidsnormen en duurzaamheidseisen. Een van de innovaties is de HyFlex™ Precision Comfort Series, ontworpen met AEROFIT™ Technology, die zorgt voor een uitstekende pasvorm en verhoogd draagcomfort. Ansell zet zich in voor duurzaamheid en heeft initiatieven zoals het RightCycle™-programma, dat zich richt op circulaire economie door producten te reinigen en hergebruiken. De organisatie heeft ook het AnsellGUARDIAN veiligheidsbeoordelingsprogramma en biedt producten die voldoen aan milieuverantwoordelijkheid. Met een focus op veiligheid, innovatie en duurzaamheid blijft Ansell een vooraanstaande speler in de wereld van persoonlijke beschermingsmiddelen.

Screenshot

Bij een ransomwareaanval op de afvalverwerker Omrin zijn persoonsgegevens van inwoners van Schiermonnikoog buitgemaakt. Gehackte gegevens omvatten namen, adressen, BSN-nummers en RSIN-nummers van zowel eilandbewoners als eigenaren van recreatiewoningen. Daarnaast werden ook adresgegevens van bedrijven gestolen, wat risico’s met zich meebrengt zoals identiteitsfraude en phishing. De aanval vond plaats halverwege oktober 2025 en werd door de gemeente Schiermonnikoog gemeld bij de Autoriteit Persoonsgegevens. Omrin, dat verantwoordelijk is voor afvalinzameling in het noorden van Nederland, had onterecht BSN-nummers verzameld, waarvoor geen noodzakelijkheid bestond. De gemeente heeft inwoners geadviseerd alert te zijn op verdachte communicatie en bankgegevens te controleren. Verdachte gevallen kunnen gemeld worden bij de Fraudehelpdesk of het Centraal Meldpunt Identiteitsfraude om verdere schade te voorkomen.

Bron 1

Op een hackforum werd informatie gedeeld over toegang tot een Nederlands bedrijf met een omzet van ongeveer $6 miljoen in de commerciële sector. De toegang wordt beschreven als sterk en betreft een domeinaccount. Dit wijst op mogelijke kwetsbaarheden binnen het systeem van het bedrijf, die kunnen worden misbruikt voor ongeautoriseerde toegang. De details impliceren dat cybercriminelen toegang hebben tot waardevolle gegevens van een commercieel bedrijf, wat het risico op datalekken of andere vormen van digitale criminaliteit verhoogt. Het delen van dergelijke toegangspunten op hackforums is een veelvoorkomende manier waarop aanvallers zich toegang verschaffen tot systemen van bedrijven, wat kan leiden tot schade aan de reputatie en financiële verliezen.

Screenshot

Twee maanden na de inbraak op de Citrix-systemen van het Openbaar Ministerie (OM) is het onderzoek door een commissie van cyberexperts nog niet begonnen. Het kabinet had eerder aangekondigd een onderzoekscommissie in te stellen om de incidenten te onderzoeken. De inbraak leidde tot het loskoppelen van de interne systemen van het OM, naar aanleiding van waarschuwingen van het Nationaal Cyber Security Centrum (NCSC). De gevolgen van het incident zijn groot voor de strafrechtketen. Een eerste technisch en forensisch onderzoek heeft geen aanwijzingen opgeleverd dat er data is gestolen of aangepast. De minister van Justitie laat weten dat het onderzoek door de commissie zich zal richten op de reactie van het OM op het incident, de genomen maatregelen en de versterking van de IT-weerbaarheid. Het is nog niet duidelijk wanneer het onderzoek zal beginnen en wanneer de commissie wordt aangesteld.

Bron 1

De gemeente Schiermonnikoog heeft in 2024 een bestand met namen, adressen en burgerservicenummers van alle inwoners en eigenaren van recreatiewoningen gedeeld met afvalverwerker Omrin. Het bestand diende voor de introductie van nieuwe containerstags, maar bevatte meer gegevens dan noodzakelijk. Bij de ransomwareaanval op Omrin, gemeld op 13 oktober 2025, kwam het bestand op een gecompromitteerde schijf terecht en is mogelijk door criminelen ingezien. Omrin stelt dat het bestand destijds is aangepast, maar dat een kopie is blijven staan. De burgemeester noemde de situatie “vervelend” en ziet geen datalek; er is geen melding gedaan bij de Autoriteit Persoonsgegevens. Binnen de gemeente onderzoekt een privacyexpert het incident. Tijdens de storing waren kringloopwinkels tijdelijk gesloten, was de klantenservice telefonisch onbereikbaar en gaf de Afvalapp problemen; deze dienstverlening is inmiddels hersteld. De casus roept vragen op over dataminimalisatie, verantwoordingsplicht en meldplicht onder de AVG. Bron 1

RTV Noord is het slachtoffer geworden van een cyberaanval, die aanzienlijke gevolgen heeft voor de uitzendingen en publicaties op hun verschillende platforms. De hack werd ontdekt op donderdagochtend, waardoor medewerkers tijdelijk niet meer toegang hadden tot de systemen. Ondanks de verstoring bleef de omroep in staat om uitzendingen voort te zetten, hoewel dit met tijdelijke ongemakken gebeurde. De live-uitzendingen via de website en app waren echter niet beschikbaar, en de normale berichtgeving lag stil. De omroep blijft actief op sociale media, maar in beperkte mate. Er werd een bericht achtergelaten door de hackers, maar hierover zijn geen details gedeeld. De technische ploeg wordt ondersteund door experts om het probleem op te lossen. De politie is nog niet ingeschakeld, aangezien de focus eerst ligt op het herstellen van de diensten van de omroep.

Bron 1

Op 10 november 2025 werd bekend dat de Belgische multinational AGFA het slachtoffer is geworden van een cyberaanval, geclaimd door de Everest ransomwaregroep. AGFA is actief in de ontwikkeling van analoge en digitale beeldsystemen, evenals IT-oplossingen voor onder andere de gezondheidszorg en de grafische industrie. De aanval werd gedetecteerd door Ransomware.live en vond plaats op dezelfde dag. De Everest ransomwaregroep, bekend om hun aanvallen op grote organisaties, heeft de verantwoordelijkheid voor de aanval opgeëist. Er is momenteel geen specifieke informatie over de aard van de gestolen data of de omvang van de schade. AGFA is een van de vele bedrijven die in 2025 getroffen zijn door een reeks ransomware-aanvallen, wat de risico's voor bedrijfsbeveiliging verder benadrukt.

Screenshot

Op een darkwebkanaal is een melding verschenen over een mogelijk datalek bij Eurofiber, waarbij zowel de volledige database als onderdelen van het interne IT systeem zouden zijn buitgemaakt. De claim is op dit moment niet bevestigd door Eurofiber of andere officiële bronnen, waardoor de omvang en betrouwbaarheid van het bericht nog onduidelijk zijn. Als de melding klopt, kan dit gevolgen hebben voor de continuïteit van netwerkdiensten en de bescherming van klantinformatie, omdat Eurofiber een belangrijke rol speelt in digitale infrastructuur in Nederland en omringende landen. De situatie illustreert hoe snel ongeverifieerde datalekclaims kunnen circuleren via online platforms, vaak voordat verificatie heeft plaatsgevonden. Verdere informatie is nodig om de werkelijke impact te bepalen en om vast te stellen of er daadwerkelijk gegevens zijn gepubliceerd.

Screenshot

De hack op RTV Noord was een ransomware-aanval, vermoedelijk een spray-aanval, waarbij de cybercriminelen willekeurig zoveel mogelijk systemen probeerden te compromitteren. Dit soort aanvallen is vaak geautomatiseerd en maakt gebruik van AI om kwetsbare systemen te vinden. Het doel van de aanvallers is om zoveel mogelijk data te stelen en daarna losgeld te eisen, zonder dat er sprake is van gerichte targeting. RTV Noord meldde dat de aanval geen specifieke focus had op de omroep, maar dat de interne systemen werden versleuteld en er mogelijk gevoelige werknemersdata werd gestolen. Ondanks de dreiging van publicatie van de gegevens, besloot de omroep niet te betalen. Er werd bevestigd dat de aanval niet het gevolg was van een medewerker die op een verdachte link had geklikt. De omroep werkt nu samen met andere organisaties en het NCSC aan herstel en versterking van de beveiliging.

Bron 1

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

Op 31 oktober 2025 werd een FakeCaptcha-payload ontdekt op een gecompromitteerde webpagina van analyticscampus.com. De site, die zich voordeed als een legitiem artikel over een zelfpropagerende Visual Studio Code worm, bevatte in werkelijkheid een misleidende verificatieprompt. Deze prompt instrueerde gebruikers om opdrachten uit te voeren op macOS-systemen, een typische techniek van FakeCaptcha-social-engineeringcampagnes. Het doel was om gebruikers te misleiden en hen te laten uitvoeren van schadelijke payloads of toegang te geven tot hun systemen via de opdrachtregel. De verdachte website wordt aanbevolen om te blokkeren en gebruikers te waarschuwen voor dit type gedrag. Deze aanval benadrukt de voortdurende evolutie van FakeCaptcha-technieken, waarbij zelfs legitiem ogende technologie-artikelen worden misbruikt om malware te verspreiden.

Cybercriminelen maken gebruik van de populariteit van ChatGPT door vervalste mobiele apps te verspreiden die zich voordoen als legitieme ChatGPT-interfaces. Onderzoek heeft onthuld dat deze apps ontworpen zijn om gevoelige gebruikersgegevens te verzamelen en digitale activiteiten te monitoren zonder toestemming. De kwaadaardige apps infiltreren derde partij-appstores en gebruiken overtuigende branding, waardoor ze moeilijk te onderscheiden zijn van echte ChatGPT-toepassingen. Eenmaal geïnstalleerd voeren ze verborgen surveillance uit, terwijl ze de schijn wekken van werkende AI-assistenten. Het risico neemt toe doordat miljoenen gebruikers wereldwijd onofficiële AI-apps downloaden zonder zich bewust te zijn van de ingebedde spyware. Onderzoekers ontdekten dat de malware gebruik maakt van cloudinfrastructuur van Amazon Web Services en Google Cloud om communicatie te maskeren en beveiligingsdetectie te omzeilen. Gevoelige gegevens zoals wachtwoorden, bankcodes en contactgegevens worden gestolen en kunnen worden gebruikt voor verdere aanvallen.

Bron 1

In de eerste helft van 2025 hebben financieel gemotiveerde aanvallers hun aanpak veranderd, waarbij ze traditionele malware-aanvallen hebben vervangen door het misbruiken van gestolen inloggegevens en geldige accounttoegang. Deze aanvallers verkrijgen toegang tot netwerken via gecompromitteerde VPN-inloggegevens, vaak verkregen door phishing, de aankoop van gestolen gegevens of via infostealer-malware. De aanvallers maken gebruik van externe diensten, zoals VPN-infrastructuur en kwetsbaarheden in openbare applicaties, om toegang te verkrijgen en zich lateraal door netwerken te bewegen. Een belangrijk kenmerk van deze aanvallen is het gebruik van legitieme remote managementtools zoals AnyDesk en Atera, wat het detecteren van aanvallen bemoeilijkt. De aanvallers behouden hun toegang door eigen remote toegangstools te installeren en misbruik te maken van verhoogde gebruikersrechten. Deze aanpak stelt de aanvallers in staat om voor langere tijd onopgemerkt te blijven en effectief datadiefstal of andere aanvallen uit te voeren.

Bron 1

Vibe hacking is een opkomende vorm van sociale manipulatie waarbij AI wordt ingezet om de toon, timing en persoonlijkheid van aanvallers te gebruiken om slachtoffers, inclusief andere AI-systemen, te misleiden. Deze techniek maakt gebruik van tekst, stemdeepfakes, korte video's en persona-mimicry om vertrouwen op te bouwen en toegang te verkrijgen tot gevoelige gegevens. Het doel is om mensen of bedrijven te overtuigen om informatie, geld of toegang te delen. Vibe hacking richt zich vooral op de bedrijfswereld, waar aanvallers gebruik maken van AI-modellen zoals Claude Code om vertrouwen op te bouwen en gegevens te stelen. Criminelen gebruiken ook eenvoudige AI-tools om overtuigende stemmen en berichten te genereren. Deze nieuwe vorm van cybercrime is moeilijk te detecteren, omdat de aanvallen zowel menselijke als AI-systemen kunnen misleiden.

Download rapport (pdf)

Cybercriminelen hebben in de periode tussen midden augustus en eind september 2025 maar liefst 1.330 valse domeinen geregistreerd om consumenten te misleiden. De domeinen deden zich voor als officiële websites van 23 bekende luxe merken zoals Gucci, Prada, Louis Vuitton, Rolex en Chanel. Deze nepdomeinen waren vaak gelinkt aan 'boutiques' of 'outlets' en probeerden consumenten met vermeende kortingen te lokken. De domeinen werden kort voor de drukke feestdagen geregistreerd, wat suggereert dat ze tijdens de piekverkoopseizoenen geactiveerd zouden kunnen worden. Sommige domeinen zijn nog inactief, maar er wordt verwacht dat ze zullen worden gebruikt voor verkoop tijdens evenementen zoals Black Friday. De onderzoekers van PreCrime Labs, onderdeel van BforeAI, adviseren merken om proactief domeinen die een risico vormen te registreren en consumenten bewust te maken van veilige kooppraktijken om schade aan hun reputatie en financiën te voorkomen.

Bron 1

Hackers richten zich op vrachtmakelaars en transportbedrijven door kwaadaardige links en e-mails te versturen. Deze berichten bevatten tools voor remote monitoring en management (RMM), zoals NetSupport en ScreenConnect, waarmee de aanvallers volledige controle krijgen over de systemen van de bedrijven. Het doel van de aanvallers is om de vrachtwagens te kapen en fysieke goederen te stelen. De aanvallen zijn met name gericht op Noord-Amerikaanse bedrijven, maar ook in andere landen zoals Brazilië, Mexico, Duitsland en Zuid-Afrika zijn er incidenten gemeld. De aanvallers gebruiken fraude met vrachtvermeldingen en e-mailinbraken om slachtoffers naar schadelijke URL’s te leiden, waarna de RMM-tools worden geïnstalleerd. Deze tools geven de hackers controle over de systemen, waardoor ze de boekingen kunnen aanpassen en ladingen kunnen stelen. De gestolen goederen worden vaak via internet of in het buitenland verkocht.

Bron 1, 2

Microsoft-onderzoekers hebben een nieuwe backdoor-malware ontdekt, SesameOp, die de OpenAI Assistants API gebruikt als een verborgen command-and-control kanaal. Het werd aangetroffen tijdens het onderzoeken van een cyberaanval in juli 2025. De malware stelt aanvallers in staat om langdurige toegang tot geïnfecteerde omgevingen te behouden, door gebruik te maken van legitieme cloudservices in plaats van traditionele malafide infrastructuur. SesameOp haalt gecomprimeerde en versleutelde opdrachten op via de API, welke vervolgens op geïnfecteerde systemen worden uitgevoerd. De aanvallers gebruikten deze techniek voor langdurige spionage. Microsoft werkte samen met OpenAI om de misbruikte API-sleutels uit te schakelen en adviseert bedrijven om firewalllogs te controleren, bescherming in te schakelen en endpointdetectie te configureren.

Bron 1, 2

Een vervalste Solidity-extensie in de Open VSX-registry heeft zich als een populaire ontwikkeltool voorgedaan, maar bevatte de malware SleepyDuck, een remote access trojan. Deze trojan gebruikt een Ethereum-smartcontract om een communicatiekanaal met de aanvaller te creëren, wat zorgt voor langdurige persistentie. De extensie, genaamd 'juan-bianco.solidity-vlang', werd meer dan 53.000 keer gedownload voordat het kwaadwillige karakter werd ontdekt. De malware wordt geactiveerd wanneer een Solidity-bestand wordt geopend, waarna het systeemgegevens verzamelt en het commando-executiesysteem van de aanvaller opzet. Een uniek kenmerk van SleepyDuck is het gebruik van de Ethereum-blockchain om de C2-server te onderhouden, zelfs wanneer de primaire server offline is. Open VSX heeft inmiddels waarschuwingen geplaatst, maar ontwikkelaars moeten voorzichtig zijn met het downloaden van extensies van onbekende auteurs.

Bron 1

Op 3 november 2025 werd een waarschuwing uitgegeven over een domein dat zich voordeed als een Shopify-verificatiewebsite. Het domein thesmartboater.com bleek onderdeel te zijn van een ClickFix-payload leveringscampagne. Dit domein imiteerde een standaard "beveiligingsverificatie"-pagina, maar bevatte scripts die gebruikers omleidden of secundaire payloads afleverden. Dit soort infrastructuur wordt vaak gebruikt in ClickFix-campagnes, waarbij gecompromitteerde of verlopen Shopify- en WordPress-sjablonen worden geëxploiteerd voor malwarelevering en phishing-omleidingen. De campagne werd met 100% zekerheid bevestigd. Beveiligingsexperts adviseren om toegang tot thesmartboater.com te blokkeren en netwerkbeacons en omleidingen te monitoren die verband houden met deze ClickFix-campagne.

De FBI heeft een wijziging in de DNS-registratie gedetecteerd voor het domein lkxstress[.]su. Het betreft een verandering van de naamservers (NS), waarbij de vorige naamservers zijn vervangen door de nieuwe servers van beget.com, beget.pro en beget.ru. Deze wijziging kan wijzen op een aanpassing van de infrastructuur van een cybercriminele site die mogelijk wordt gebruikt voor ransomware- of andere cyberaanvallen. De verandering werd op 4 november 2025 geregistreerd.

Onderzoekers hebben twee Android-trojans ontdekt, BankBot-YNRK en DeliveryRAT, die gericht zijn op het stelen van gevoelige gegevens van besmette apparaten. BankBot-YNRK vermijdt detectie door de omgeving te analyseren en werkt alleen op specifieke apparaten zoals Google Pixel of Samsung. Het kan financiële gegevens stelen en frauduleuze transacties uitvoeren. De malware maakt gebruik van Android's toegankelijkheidsdiensten om verhoogde machtigingen te verkrijgen en misbruik van applicaties zoals cryptocurrency wallets te maken. DeliveryRAT, dat zich voordoet als voedselbezorg- en bankapps, verzamelt ook gegevens en voert acties uit op de achtergrond. Beide trojans worden verspreid via kwaadwillige apps die onterecht toegang vragen tot systeeminstellingen. Deze malwarefamilies zijn actief sinds midden 2024 en hebben wereldwijd slachtoffers gemaakt, waaronder in Rusland, Brazilië, Polen en andere landen.

Bron 1, 2, 3, 4, 5

XLoader, een complexe malwarefamilie, blijft een uitdaging voor analisten door de versnelde releases en geavanceerde encryptie- en obfuscatiemethoden. Dit artikel beschrijft hoe generatieve AI wordt ingezet om de reverse-engineering van XLoader te versnellen. Het traditionele proces van handmatige analyse en decryptie wordt aanzienlijk versneld door AI, die complexe functies analyseert, algoritmes identificeert en werkende tools genereert in enkele uren. Dit versnelt de toegang tot gedecrypteerde code en indicatoren van compromittering (IoC's). Check Point Research toonde aan hoe ChatGPT cloudgebaseerde statische analyses uitvoert zonder de noodzaak van zware lokale tools. De AI kan zowel statische als dynamische reverse-engineering effectief combineren, wat de efficiëntie en samenwerking in onderzoek verbetert. Hoewel AI de efficiëntie verhoogt, blijft menselijke expertise noodzakelijk, vooral bij het oplossen van complexere beschermingsmechanismen van de malware.

Bron 1

In september 2025 lanceerden cybercriminelen een gecoördineerde phishingaanval gericht op NPM-ontwikkelaars. De aanval infiltreerde de accounts van onder andere de bekende ontwikkelaar Josh Junon, bekend als “qix”, en richtte zich op vier andere onderhouders, wat de kwetsbaarheid van softwarerepositories blootlegde. Het slachtoffer van de aanval was goed voor 2,8 miljard wekelijkse downloads. De phishingmails, die zich voordeden als officiële communicatie van NPM, drukten ontwikkelaars aan om hun twee-factor-authenticatie bij te werken om accountopschorting te voorkomen. Deze e-mails, verstuurd vanaf een vervalst domein, wisten bij meerdere ontvangers het wantrouwen te omzeilen. Door de toegang tot de NPM-accounts konden de aanvallers schadelijke JavaScript-clipper malware toevoegen aan populaire pakketten, die cryptocurrency-overdrachten onderschepte en omleidde. De aanval werd gedetecteerd door een nieuw Business Email Protection-systeem, wat een belangrijke bescherming biedt tegen dergelijke aanvallen.

Bron 1

Een geavanceerde phishingcampagne maakt misbruik van het vertrouwen dat in legitieme cloudhostingdiensten wordt gesteld. Cybercriminelen gebruiken Cloudflare Pages en ZenDesk-platforms om op grote schaal inloggegevens te stelen van nietsvermoedende gebruikers. De aanvallers hebben meer dan 600 malafide domeinen geregistreerd onder de *.pages[.]dev-domeinnaamstructuur. Ze passen typografische technieken toe om klantenportalen van bekende merken te imiteren. De phishingpagina's bevatten een live chat-interface waarmee menselijke operators persoonlijke gegevens van slachtoffers verzamelen. Na het verkrijgen van deze gegevens worden de slachtoffers gevraagd een legitiem maar kwaadaardig hulpmiddel te installeren, genaamd Rescue, waarmee aanvallers volledige toegang krijgen tot het apparaat van het slachtoffer. De aanvallers richten zich op accountovername en fraude, wat deze campagne tot een aanzienlijke bedreiging maakt voor zowel bedrijven als individuen.

Bron 1

TruffleNet, een nieuwe Business Email Compromise (BEC) campagne, maakt gebruik van gestolen AWS-credentials om de Amazon Simple Email Service (SES) te misbruiken voor grootschalige phishing- en BEC-aanvallen. De aanvallers benaderen meer dan 800 gecompromitteerde hosts verspreid over 57 netwerken. Dit stelt hen in staat om e-mails te verzenden die afkomstig lijken van legitieme bedrijven, zoals valse facturen met verzoeken om betaling. De aanvallers gebruiken gekaapte WordPress-websites om DKIM-sleutels te verkrijgen en AWS SES in te stellen voor e-mailidentiteit. Het netwerk is specifiek ontworpen voor deze aanval, zonder gebruik te maken van reguliere VPN's of Tor. Fortinet Labs ontdekte de infrastructuur en merkte op dat de aanvallers gebruik maakten van geavanceerde beveiligingsmaatregelen en automatisering om de aanval op grote schaal uit te voeren. De fraudeurs richtten zich onder andere op de olie- en gasindustrie, waarbij ze frauduleuze betalingsverzoeken verstuurden.

Bron 1

Meer dan 40 miljoen downloads van kwaadaardige Android-apps op Google Play werden geregistreerd tussen juni 2024 en mei 2025, volgens een rapport van Zscaler. Het aantal malware-aanvallen op mobiele apparaten groeide in hetzelfde periode met 67% in vergelijking met het jaar ervoor. De meeste dreigingen kwamen van spyware en banktrojans. Cybercriminelen verschuiven van traditionele creditcardfraude naar aanvallen op mobiele betalingen door middel van phishing, smishing, SIM-swapping en betalingsfraude. Bovendien nam het aantal gedetecteerde adware-aanvallen toe, wat nu 69% van alle Android-malware vormt, bijna dubbel zoveel als vorig jaar. De meest getroffen landen waren India, de Verenigde Staten en Canada, maar er werden ook enorme stijgingen waargenomen in Italië en Israël. Drie belangrijke malwarefamilies werden opgemerkt: Anatsa, Android Void (Vo1d) en Xnotice. Zscaler raadt aan om regelmatig beveiligingsupdates te installeren en alleen apps van vertrouwde ontwikkelaars te downloaden.

Bron 1

Onderzoekers van Check Point hebben vier ernstige kwetsbaarheden in Microsoft Teams onthuld die aanvallers de mogelijkheid bieden om gesprekken te manipuleren, collega's te imiteren en meldingen te misleiden. Deze kwetsbaarheden stellen aanvallers in staat om berichtinhoud te wijzigen zonder dat het label "Bewerkt" wordt weergegeven, en om de afzender van berichten te veranderen, zodat deze afkomstig lijkt van een vertrouwde bron, zoals hooggeplaatste medewerkers. Dit vergemakkelijkt social engineering-aanvallen, waarbij slachtoffers worden misleid om schadelijke berichten te openen of gevoelige informatie te delen. Bovendien kunnen aanvallers de weergavenaam in privégesprekken en tijdens oproepen aanpassen, wat het mogelijk maakt om de identiteit van bellers te vervalsen. Microsoft heeft na de verantwoorde bekendmaking van de kwetsbaarheden in maart 2024 patches uitgerold, maar de gebreken blijven een risico vormen voor de beveiliging van organisaties.

Bron 1

Een fusie van drie prominente cybercriminelen, Scattered Spider, LAPSUS$ en ShinyHunters, heeft geleid tot de oprichting van een nieuwe cybercrime-groep genaamd "Scattered LAPSUS$ Hunters" (SLH). Sinds augustus 2025 zijn ze actief op Telegram, waar ze tot wel 16 kanalen hebben gecreëerd en opnieuw gestart, telkens onder variaties van hun naam. Deze kanalen dienen zowel als communicatieplatform als als middel voor het uitvoeren van extortion-aanvallen. De groep biedt 'extortion-as-a-service' aan, waardoor andere groepen zich kunnen aansluiten en profiteren van hun merk en naamsbekendheid om losgeld te eisen. De SLH-groep is verbonden met andere cybercriminaliteitclusters zoals CryptoChameleon en Crimson Collective. Hun tactieken omvatten geavanceerde sociale engineering, zoals spear-phishing en vishing, en het gebruik van kwetsbare toegangspunten voor datadiefstal en afpersing. Ze tonen een mix van financieel gemotiveerde criminaliteit en hacktivistische motieven.

Bron 1

Hackers richten zich actief op een kritieke kwetsbaarheid in XWiki's SolrSearch-component, die een remote code execution (RCE) aanval mogelijk maakt. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige commando's uit te voeren op kwetsbare systemen, wat een groot beveiligingsrisico vormt voor organisaties die deze open-source wiki-software gebruiken. De kwetsbaarheid kan worden misbruikt met minimale gastrechten, wat het voor vrijwel elke gebruiker met basis toegang mogelijk maakt om het systeem te compromitteren. XWiki bracht in februari een beveiligingsupdate uit, maar de exploitatie van de kwetsbaarheid kwam pas onlangs op gang, nadat proof-of-concept code eerder werd vrijgegeven. De aanvallers sturen speciaal geprepareerde GET-aanvragen naar de kwetsbare XWiki-eindpunten, waarbij Groovy-scriptcommando's worden ingesloten om shellcommando's uit te voeren. Organisaties wordt aangeraden om de patch te implementeren en verdachte verzoeken naar SolrSearch te monitoren om aanvallen te voorkomen.

Bron 1

Wereldwijd zijn ruim veertienduizend Cisco routers en switches besmet met de Badcandy backdoor. Uit onderzoek van Shadowserver blijkt dat de infecties voortkomen uit misbruik van CVE-2023-20198, een ernstig lek in de webinterface van IOS XE waarmee ongeauthenticeerde aanvallers een privileged account kunnen aanmaken en controle over het apparaat krijgen. Het lek wordt gebruikt om de backdoor te plaatsen, waarna aanvallers het lek lokaal dichten om verdere exploitatie te voorkomen. De backdoor en de toegepaste patch verdwijnen bij een reboot, maar toegang kan blijven bestaan via gestolen inloggegevens of aanvullende kwetsbaarheden. Het aantal besmette apparaten daalde de afgelopen maanden van achttienduizend naar veertienduizend. In Nederland zijn 103 apparaten geïnfecteerd en in België 13. De grootste aantallen worden waargenomen in Mexico en de Verenigde Staten. De situatie laat zien dat ongepatchte systemen langdurig risico’s veroorzaken.

Bron 1

Google's Threat Intelligence Group (GTIG) heeft een verschuiving in cyberdreigingen geïdentificeerd, waarbij aanvallers kunstmatige intelligentie (AI) gebruiken om nieuwe malwarefamilies te creëren. Deze malware, zoals de "PromptFlux" dropper en de "PromptSteal" miner, maken gebruik van grote taalmodellen (LLM's) zoals Gemini, waarmee ze zich dynamisch kunnen aanpassen tijdens uitvoering. Dit stelt hen in staat om hun gedrag in real-time te wijzigen, wat traditionele malwaretechnieken overtreft. De techniek, genaamd "just-in-time" zelfmodificatie, maakt de malware moeilijk te detecteren en te blokkeren. Google ontdekte ook andere AI-gedreven malware zoals FruitShell en QuietVault, die gebruik maken van AI om commando's uit te voeren en gegevens te stelen. De opkomst van AI-tools op ondergrondse marktplaatsen vergroot de toegang tot geavanceerde cyberaanvallen, wat de dreiging verder verhoogt. Google heeft de toegang tot de gebruikte AI-modellen in sommige gevallen geblokkeerd en veiligheidsmaatregelen aangescherpt.

Bron 1

De Gootloader-malware is terug na een pauze van zeven maanden en heeft zijn strategieën aangepast. Deze malware wordt verspreid via websites die door aanvallers zijn gecompromitteerd of gecontroleerd, en maakt gebruik van zoekmachineoptimalisatie (SEO) om valse websites te promoten die schadelijke bestanden aanbieden. In eerdere campagnes werden valse fora gebruikt om malafide document sjablonen aan te bevelen, maar nu worden websites gepromoot die zogenaamd gratis juridische documenten aanbieden. Gebruikers die op een "Get Document" knop klikken, worden misleid om een schadelijke ZIP-archief te downloaden dat een JavaScript-bestand bevat. Bij openen van dit bestand worden aanvullende malwarepayloads geïnstalleerd, zoals Cobalt Strike en backdoors, waarmee aanvallers toegang krijgen tot netwerken. De onderzoekers wijzen erop dat deze nieuwe variant technieken gebruikt die het voor automatische analysetools moeilijker maken om de dreiging te detecteren.

Bron 1, 2

Er wordt melding gemaakt van de vermeende verkoop van EU-creditcards op de zwarte markt. Deze kaarten zouden te koop worden aangeboden door cybercriminelen op diverse darknetmarktplaatsen. De verkoop betreft mogelijk gestolen gegevens van Europese consumenten, wat de kans op fraude verhoogt. Het aanbieden van deze gegevens op het darkweb is een onderdeel van grotere cybercriminaliteitsnetwerken die actief zijn in het uitvoeren van financieel gerelateerde misdaden. Dergelijke activiteiten kunnen leiden tot aanzienlijke financiële schade voor de betrokken slachtoffers. Deze zaak benadrukt de voortdurende dreiging van identiteitsdiefstal en het misbruik van persoonlijke informatie, met een groeiend aantal incidenten die via online marktplaatsen worden verhandeld. Cybersecurity-experts adviseren bedrijven en individuen om waakzaam te zijn en beveiligingsmaatregelen te treffen tegen deze vormen van digitale fraude.

Cloudflare heeft onlangs domeinen die zijn gekoppeld aan het Aisuru-botnet, verwijderd uit hun publieke lijst van meest gevraagde websites. Het Aisuru-botnet, dat in 2024 werd ontdekt, maakt gebruik van duizenden gehackte IoT-apparaten, zoals routers en beveiligingscamera’s, en is sinds zijn ontstaan aanzienlijk gegroeid. Aisuru wordt ingezet voor DDoS-aanvallen van recordgrootte. De botnetbeheerders maakten gebruik van Cloudflare’s DNS-service om hun malafide domeinen hoog in de ranking te krijgen, wat bezorgdheid opriep over de betrouwbaarheid van deze lijst. Cloudflare reageerde door de malafide domeinen gedeeltelijk te redacteren en hun systeem aan te passen om dergelijke manipulaties te voorkomen. De meeste DNS-aanvragen naar deze domeinen kwamen uit de VS, waar Aisuru zijn grootste infrastructuur heeft. Cloudflare werkt nu aan verbeteringen om te voorkomen dat dergelijke schadelijke activiteiten de lijst opnieuw verstoren.

Bron 1

Het RondoDox-botnet heeft zijn aanvalsmogelijkheden drastisch uitgebreid, met een toename van 650% in exploitatiecapaciteiten. Dit markeert een verschuiving van de oorspronkelijke variant, die zich vooral richtte op DVR-systemen, naar een meer geavanceerde versie (RondoDox v2) die meer dan 75 exploitatievectoren bevat. Deze nieuwe variant richt zich op een breed scala aan kwetsbare apparaten, van legacy routers tot moderne enterprise-toepassingen. De aanvallen, die in oktober 2025 werden gedetecteerd via honeypots, kenmerkten zich door een groot aantal exploits die snel na elkaar werden uitgevoerd. Het botnet maakt gebruik van een geavanceerd infrastructuurdesign dat moeilijk te blokkeren is en voegt malware toe aan systemen om resourcegebruik te monopolizeren en andere schadelijke software te elimineren. Dit vergroot de dreiging voor zowel IoT-infrastructuren als bedrijfsomgevingen.

Bron 1

Het Tycoon 2FA phishing-kit is een geavanceerd platform dat sinds zijn lancering in augustus 2023 actief is en specifiek is ontworpen om bescherming van twee- en meerfactorauthenticatie te omzeilen bij Microsoft 365- en Gmail-accounts. Deze dreiging maakt gebruik van een 'Adversary-in-the-Middle'-aanval, waarbij reverse proxy-servers overtuigende phishingpagina’s hosten die legitieme inloginterfaces repliceren en gebruikersgegevens in realtime onderscheppen. Het Tycoon 2FA-kit is bijzonder gevaarlijk omdat het zelfs de codes voor twee-factorauthenticatie steelt. Dit wordt mogelijk gemaakt door het implementeren van complexe JavaScript-executieketens en het gebruik van meerdere verdedigingsmechanismen die gericht zijn op het omzeilen van detectie door automatische beveiligingstools. Het phishing-aanvalsnetwerk verspreidt zich via schadelijke documenten, e-mailbijlagen en cloudopslagplatforms zoals Amazon S3, Canva en Dropbox, waardoor het moeilijker wordt om de dreiging te identificeren.

Bron 1

De APT-groep Silent Lynx blijft haar spionagecampagne tegen overheidsinstanties in Centraal-Azië voortzetten. De groep is sinds 2024 actief en heeft zich gepositioneerd als een bedreiging door overheidsmedewerkers te targeten via phishingcampagnes, waarbij ze zich voordoen als overheidsfunctionarissen. Het belangrijkste aanvalsmiddel zijn vervalste e-mails met kwaadaardige bijlagen, vaak in verband met valse topontmoetingen. Twee campagnes in 2025 richtten zich op diplomatieke entiteiten in verband met de voorbereiding van een Rusland-Azerbeidzjan top en een tweede, gericht op China-Centraal-Aziatische relaties. De aanvallen maken gebruik van PowerShell-scripts en andere kwaadaardige software om inloggegevens en gevoelige informatie te stelen. Silent Lynx past een geavanceerde infectieketen toe, waarbij een onschadelijke RAR-bestand wordt gebruikt om de schadelijke payload te verspreiden. De infecties zijn zorgvuldig gecoördineerd met geopolitieke belangen als drijfveer, niet financieel gewin.

Bron 1

De DragonForce groep, actief sinds 2023, heeft zich gepositioneerd als een ransomware-cartel, voortgekomen uit de openbaar gelekte source code van Conti v3. Oorspronkelijk een ransomwaregroep die de LockBit 3.0 builder gebruikte, schakelde DragonForce in 2025 over naar een eigen Conti v3 code, wat hen strategische voordelen en geavanceerde technische capaciteiten gaf. In plaats van te functioneren als een traditionele groep, opereert DragonForce nu als een netwerk van affiliates, die in ruil voor 80% van de winst gebruik kunnen maken van de infrastructuur van het cartel. Het cartel biedt op maat gemaakte encryptor-tools, geautomatiseerde uitrolsystemen en ondersteuning voor meerdere platforms. Ze werken samen met Scattered Spider, een groep die zich richt op social engineering en MFA-bypassing. DragonForce heeft zich gepositioneerd als een krachtige speler in de ransomware-industrie, met meer dan 200 slachtoffers in sectoren zoals retail en luchtvaart.

Bron 1

De datalekzoekmachine Have I Been Pwned heeft 1,3 miljard gestolen wachtwoorden en 2 miljard gecompromitteerde e-mailadressen toegevoegd aan zijn database. De nieuwe data werd verzameld uit zogenaamde credential stuffing-aanvallen, waarbij gestolen inloggegevens geautomatiseerd worden gebruikt om toegang te verkrijgen tot accounts op verschillende websites. Deze aanvallen zijn effectief wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven onvoldoende bescherming bieden tegen dergelijke geautomatiseerde pogingen. De meeste gestolen e-mailadressen waren al bekend bij de zoekmachine, maar de toevoeging van de wachtwoorden bevatte een aanzienlijk aantal nieuwe gegevens. Beheerders kunnen nu via de zoekmachine controleren of de wachtwoordhashes in hun systemen overeenkomen met de gecompromitteerde gegevens. Dit geeft hen de mogelijkheid om maatregelen te nemen om de veiligheid van hun systemen te verbeteren.

Bron 1

De ClickFix-malwareaanvallen zijn geavanceerd door toevoeging van videohandleidingen die slachtoffers door het zelfinfectieproces leiden, evenals een timer die druk uitoefent op het slachtoffer om risicovolle acties snel uit te voeren. Daarnaast detecteert de aanval automatisch het besturingssysteem van de gebruiker om de juiste commando's te leveren. Bij de meeste ClickFix-aanvallen wordt gebruikgemaakt van social engineering, waarbij slachtoffers worden misleid om schadelijke code of opdrachten uit te voeren. Nieuwere aanvallen bevatten een video die de aanvallen minder verdacht maakt. De aanvallers gebruiken bekende kwetsbaarheden in verouderde WordPress-plug-ins of SEO-technieken om hun kwaadaardige JavaScript op webpagina's te injecteren. Onder de gebruikte payloads bevinden zich onder andere PowerShell-scripts en MSHTA-executables. Er wordt verwacht dat toekomstige ClickFix-aanvallen volledig in de browser kunnen plaatsvinden, waardoor traditionele beveiligingsmaatregelen mogelijk worden omzeild.

Bron 1

Onderzoekers hebben een kwaadaardige Visual Studio Code-extensie ontdekt, genaamd "susvsex", die ransomware-functionaliteiten bevat. Deze extensie, die vermoedelijk met behulp van kunstmatige intelligentie is gemaakt, werd op 5 november 2025 geüpload door de gebruiker "suspublisher18" en bevatte een beschrijving "Just testing". De extensie maakt gebruik van een functie die bestanden in een opgegeven directory comprimeert, uploadt naar een externe server, en deze vervolgens versleutelt. Gelukkig is deze extensie momenteel beperkt tot een testdirectory, maar de functionaliteit kan eenvoudig worden aangepast. De extensie maakt gebruik van GitHub als command-and-control-server en zoekt naar nieuwe opdrachten in een privérepository. Microsoft heeft inmiddels de extensie uit de officiële VS Code-marktplaats verwijderd. Dit incident benadrukt de gevaren van open-source extensies en de noodzaak voor developers om zorgvuldig te zijn bij het installeren van packages.

Bron 1, 2

Een recente phishingcampagne heeft hotels wereldwijd getroffen, waarbij aanvallers e-mails verzonden vanuit gecompromitteerde Booking.com accounts van hotels. De aanvallers gebruikten malafide links die via de ClickFix-techniek malware, waaronder PureRAT, verspreidden. Deze malware stelt de aanvallers in staat om beheerdersaccounts van hotels te compromitteren en vervolgens gasten via valse e-mails en WhatsApp-berichten opnieuw te laten betalen voor hun reserveringen, wat resulteert in financiële schade. De malware werd geleverd door PowerShell-opdrachten, die systematische gegevensverzameling en verdere infectie van het systeem mogelijk maakten. De aanvallers verkochten ook gestolen inloggegevens van Booking.com in ondergrondse marktplaatsen. Dit frauduleuze model wordt breed gedistribueerd via cybercriminaliteitsforums, wat het voor criminelen gemakkelijker maakt om deze tactieken op grote schaal toe te passen.

Bron 1

De afhankelijkheid van verbonden technologieën in de publieke sector brengt steeds meer risico's met zich mee. Zscaler’s ThreatLabz-rapport 2025 benadrukt de opkomst van bedreigingen door kwetsbaarheden in mobiele apparaten, IoT-systemen en legacy OT-omgevingen. Afgelopen jaar was er een stijging van 370% in IoT-aanvallen op overheidsystemen, evenals een toename van 147% in mobiele dreigingen. Vooral in de gezondheidszorg werden mobiele aanvallen met 224% toegenomen, met name gericht op Android-malware. Scholen en universiteiten ervaren ook een sterke stijging in IoT-aanvallen, met een 861% toename in het afgelopen jaar. Deze dreigingen hebben grote gevolgen voor publieke diensten, waarbij kwetsbare apparaten en systemen het risico op verstoringen vergroten. Zscaler beveelt aan om een zero trust-architectuur te implementeren om de risico's te beheersen en mobiele en IoT/OT-systemen in de publieke sector beter te beveiligen.

Bron 1

In het jaarlijkse cybersecurity-rapport van Google Cloud wordt een dreigende toekomst geschetst voor 2026. Bedreigers passen geavanceerde technologieën, waaronder kunstmatige intelligentie (AI), steeds vaker toe als fundamentele tools in hun aanvallen. Dit markeert een verschuiving van experimentele naar operationele toepassingen van deze technologieën. In 2026 zullen zowel aanvallers als verdedigers zich snel aanpassen aan nieuwe technologieën, waarbij AI steeds vaker wordt ingezet voor snellere en effectievere aanvallen. Specifieke dreigingen, zoals het manipuleren van AI-systemen en het gebruik van stemkloning voor social engineering, worden steeds gebruikelijker. Ook virtualisatielaag-kwetsbaarheden worden een belangrijke zorg, waarbij succesvolle aanvallen volledige controle over digitale infrastructuren kunnen opleveren. Naast cybercriminaliteit nemen ook geopolitieke cyberactiviteiten van landen zoals China, Rusland en Noord-Korea toe, wat de complexiteit van de dreigingslandschap vergroot.

Bron 1

De EndClient RAT, een geavanceerde Remote Access Trojan, is opgedoken als een ernstige dreiging die gericht is op mensenrechtenactivisten uit Noord-Korea. De malware, toegeschreven aan de Kimsuky groep, maakt gebruik van gestolen code-signing certificaten om antivirusbescherming te omzeilen en Windows SmartScreen waarschuwingen te ontwijken. De aanval wordt gekarakteriseerd door sociale engineering en het gebruik van legitiem uitziende installatiepakketten, zoals een MSI-bestand genaamd "StressClear.msi", dat een module voor Zuid-Koreaanse bankauthenticatie bevat. Na installatie zorgt de malware voor persistente toegang via geavanceerde technieken, zoals het instellen van geplande taken en polymorfe variaties om detectie te vermijden. Deze aanval heeft minstens 40 bevestigde slachtoffers, voornamelijk binnen de mensenrechtencommunity, maar de volledige omvang blijft onduidelijk door het lage aantal antivirusdetecties.

Bron 1

Socket-onderzoekers hebben negen kwaadaardige NuGet-pakketten ontdekt die gebruikmaken van tijdvertragingen om destructieve payloads te leveren. Deze pakketten, gepubliceerd onder de alias shanhai666 tussen 2023 en 2024, kunnen applicaties doen crashen en industriële besturingssystemen verstoren. De kwaadaardige pakketten, waaronder het meest gevaarlijke Sharp7Extend, richten zich op verschillende databasesystemen zoals SQL Server, PostgreSQL en SQLite, evenals industriële PLC's (programmable logic controllers). Het Sharp7Extend-pakket bevat twee sabotagemechanismen: onmiddellijke procesbeëindiging en stille schrijfoperaties die na een vertraging van 30 tot 90 minuten mislukken. De kwaadaardige code heeft 9.488 downloads verzameld en is nog steeds actief, ondanks dat NuGet onderzoek doet naar de verwijdering. Organisaties worden aangespoord om onmiddellijk hun systemen te controleren op deze kwaadaardige pakketten.

Bron 1

De politie heeft een waarschuwing uitgebracht voor nepmails die zogenaamd afkomstig zijn van de Eenheid Landelijke Opsporing en Interventies (LO). In de e-mails wordt gesteld dat er een onderzoek is ingesteld naar de ontvanger wegens seksuele strafbare feiten, die digitaal en grensoverschrijdend zouden zijn gepleegd. Tevens wordt beweerd dat er een arrestatiebevel tegen de ontvanger loopt. Ontvangers worden gevraagd persoonlijke informatie te verstrekken. De politie benadrukt dat dit een phishingpoging betreft en waarschuwt mensen om de e-mail onmiddellijk te verwijderen en melding te maken bij de Fraudehelpdesk. Tevens wordt erop gewezen dat de politie nooit op deze manier contact opneemt met burgers en enkel e-mails verstuurt van adressen die eindigen op @politie.nl.

Bron 1

Aanvallers hebben een ernstig beveiligingslek in Samsung Galaxy-telefoons misbruikt om Android-spyware, genaamd Landfall, te installeren. Dit gebeurde via een kwetsbaarheid in de verwerking van DNG-afbeeldingen, gedocumenteerd als CVE-2025-21042. Het lek werd in 2024 ontdekt en een update werd pas in april 2025 beschikbaar. De spyware werd voornamelijk gebruikt in landen in het Midden-Oosten, zoals Turkije, Marokko, Iran en Irak. De aanvallers verstuurden speciaal aangepaste afbeeldingen via WhatsApp, die bij opening het lek benutten om de spyware te installeren. De spyware kan onder andere de microfoon van de telefoon inschakelen, de locatie van het slachtoffer volgen en gevoelige gegevens zoals foto's en berichten verzamelen. Palo Alto Networks ontdekte de aanval nadat vergelijkbare kwetsbaarheden ook in andere platformen, zoals iOS, werden gebruikt. Er is geen bewijs dat dezelfde aanvaller verantwoordelijk is voor de aanvallen op zowel Android- als iOS-apparaten.

Bron 1

Cisco heeft gewaarschuwd voor twee kwetsbaarheden in ASA- en FTD-firewalls die actief misbruikt worden in zero-day aanvallen. De kwetsbaarheden, CVE-2025-20333 en CVE-2025-20362, stellen aanvallers in staat om op afstand toegang te krijgen tot beperkte URL-eindpunten zonder authenticatie, en zelfs om op kwetsbare apparaten code uit te voeren. Deze kwetsbaarheden kunnen in combinatie worden gebruikt, waardoor aanvallers volledige controle krijgen over niet-gepatchte systemen. Cisco heeft al beveiligingsupdates uitgebracht, maar veel apparaten zijn nog niet geüpdatet. CISA heeft een spoedmaatregel genomen, waarbij Amerikaanse federale overheidsinstanties binnen 24 uur hun Cisco firewalls moesten beveiligen tegen deze aanvallen. Shadowserver volgt momenteel meer dan 34.000 internet-verbonden, kwetsbare apparaten. Van deze apparaten bevinden zich 591 in Nederland en 86 in België. Deze aanvallen worden gekoppeld aan de ArcaneDoor-campagne, die eerder al andere zero-day kwetsbaarheden in Cisco firewalls misbruikte.

BE en NL overzicht

Op NuGet, een open-source pakketmanager voor .NET, zijn verschillende kwaadaardige pakketten aangetroffen die sabotage-payloads bevatten, die zijn geprogrammeerd om in 2027 en 2028 te activeren. Deze payloads richten zich voornamelijk op database-implementaties en Siemens S7 industriële controleapparaten. Het kwaadwillige code maakt gebruik van een probabilistische trigger, waardoor de activering afhankelijk is van specifieke parameters op het geïnfecteerde apparaat. De meest gevaarlijke is het pakket Sharp7Extend, dat de communicatie met Siemens PLC's saboteert door het stoppen van Ethernet-communicatie of het corrupt maken van gegevens. De aanval heeft meerdere lagen, met zowel onmiddellijke als vertraagde verstoringen. Het is nog niet duidelijk wie er achter de aanval zit, maar organisaties wordt aangeraden om hun systemen te controleren op de getroffen pakketten.

Een nieuwe scam richt zich op cryptocurrency-gebruikers door hen te misleiden met valse 0-day-exploit e-mails. Deze e-mails beweren een winstgevende methode te bieden via een "0-day glitch" en verzoeken gebruikers om een stuk JavaScript-code in hun browser in te voeren. Dit stukje code haalt vervolgens een groter, verborgen programma op dat de browsercontrole overneemt. De code manipuleert de weergegeven informatie, zoals winstpercentages, en zorgt ervoor dat betalingen naar de wallet van de aanvallers worden omgeleid. De scam is goed georganiseerd en heeft zich verspreid via privé cybercrime-forums. Onderzoekers waarschuwen dat gebruikers voorzichtig moeten zijn met het invoeren van onbekende code in hun browser en benadrukken de rol van hebzucht en urgentie in het succes van deze aanvalsmethode.

Bron 1

Criminelen hebben een grootschalige fraudeoperatie opgezet waarbij hotelreserveringssystemen zoals Booking.com en Expedia zijn aangevallen. Via een phishingaanval ontvangen hotelmedewerkers een e-mail die een link bevat naar een malware-installatie, genaamd PureRAT, die hen toegang geeft tot de reserveringssystemen van hotels. De malware steelt inloggegevens, die vervolgens worden verkocht op het dark web. Zodra de aanvallers toegang hebben tot een echt Booking.com-account, nemen ze contact op met hotelgasten en informeren hen over vermeende betalingsproblemen. Gasten worden naar een valse website geleid om bankgegevens te stelen. Het kwaadwillende systeem heeft al honderden schadelijke domeinen geïdentificeerd en richt zich op een breed scala aan reis- en horecabedrijven. Deze goed georganiseerde fraudemodel blijft veel slachtoffers maken, zowel bij hotels als gasten.

Bron 1

Tussen 21 en 26 oktober 2025 werd een geavanceerde supply chain-aanval ontdekt waarbij kwaadaardige npm-pakketten werden gebruikt om Vidar infostealer malware te verspreiden naar Windows-systemen. In totaal werden 17 pakketten met 23 releases gepubliceerd, die als legitiem ogende tools, zoals Telegram-bots en icon libraries, werden vermomd. Deze pakketten werden meer dan 2.240 keer gedownload voordat ze uit de registry werden verwijderd. De aanvallers maakten gebruik van twee nieuwe npm-accounts, aartje en saliii229911, en plaatsten code die automatisch schadelijke scripts uitvoerde bij installatie. De malware verzamelde gevoelige informatie, waaronder wachtwoorden en cryptomunten, en exfiltreerde deze naar command-and-control servers. Deze aanval benadrukt de kwetsbaarheden in de npm-ecosysteem en toont aan hoe makkelijk het is voor kwaadwillende actoren om ontwikkelaars te misleiden door gebruik te maken van vertrouwde pakketten.

Bron 1

Een nieuwe Android-malware, genaamd Fantasy Hub, is ontdekt. Deze malware, ontwikkeld door Russische dreigingsactoren, wordt verspreid als een Malware-as-a-Service (MaaS) en is gericht op het stelen van persoonlijke gegevens van slachtoffers. Fantasy Hub stelt aanvallers in staat om SMS-berichten, contacten en oproeplogs te onderscheppen, en zelfs twee-factor-authenticatiecodes te stelen. De malware richt zich voornamelijk op financiële instellingen en maakt gebruik van geavanceerde technieken om detectie door beveiligingssoftware te omzeilen. Gebruikers die het slachtoffer worden van deze malware kunnen hun bankgegevens, zoals inloggegevens, verliezen. De verspreiding van de malware gebeurt via Telegram-kanalen, waar criminelen zich abonneren op de dienst en toegang krijgen tot de malware. Fantasy Hub maakt gebruik van versleuteling en andere maatregelen om onopgemerkt te blijven en zijn werking uit te voeren.

Bron 1

LockBit 5.0, gelanceerd in september 2025, brengt belangrijke upgrades voor de beruchte ransomware-as-a-service groep. Het nieuwe model bouwt voort op de versie 4.0 codebase, maar introduceert een modulair ontwerp dat gericht is op het verhogen van de evasiecapaciteiten, de destructieve impact en de persistentie binnen netwerken. Een opvallende verbetering is het twee-fasen uitvoeringsmodel, waarbij de infectie wordt opgesplitst in een loader- en payload-fase. De loader is ontworpen voor stealth en anti-analyse, en gebruikt complexe obfuscatie om de uitvoering van de malware te verbergen. Deze benadering maakt het moeilijker voor beveiligingstools om de aanval te detecteren en te stoppen. Het gebruik van API-hashing en procesinjectie zorgt ervoor dat LockBit 5.0 effectief kan voortbestaan, zelfs wanneer beveiligingsmechanismen ingrijpen. Deze nieuwe versie van LockBit bevestigt de reputatie van de groep als een van de meest gevreesde ransomware-bedreigingen in het huidige landschap.

Bron 1

De Herodotus Android-banktrojan is een geavanceerde dreiging die Android-gebruikers wereldwijd treft. Het malwareprogramma wordt verspreid via SMS-phishing en vermomt zich als een legitiem hulpmiddel, wat gebruikers misleidt om een APK-bestand buiten de officiële Play Store te downloaden en te installeren. Zodra het op een apparaat is geïnstalleerd, krijgt de trojan toegang tot belangrijke systeemrechten en kan het banktransacties uitvoeren namens de getroffen gebruiker. Dit vormt een zorgwekkende evolutie van mobiele malware, omdat het nauwelijks detecteerbaar is door traditionele antivirussoftware, ondanks zijn kwaadaardige intenties. Het malwareprogramma gebruikt geavanceerde technieken om automatische detectie te vermijden, zoals het 'humaniseren' van schadelijke acties door vertragingen en realistische typen. Het stelt aanvallers in staat om scherminhoud en toetsaanslagen in real-time te onderscheppen en bankgegevens te stelen.

Bron 1

Onderzoekers van Synacktiv hebben aangetoond dat aanvallers kwetsbaarheden in Active Directory-sites kunnen misbruiken om administratieve rechten te verkrijgen en domeinen te compromitteren. Active Directory-sites worden normaal gebruikt om de netwerkprestaties te optimaliseren door replicatie en authenticatie over verschillende locaties te beheren. De kwetsbaarheid ontstaat doordat deze sites gekoppeld kunnen worden aan Group Policy Objects (GPO’s), die systeeminstellingen regelen binnen een organisatie. Wanneer aanvallers schrijfrechten verkrijgen op deze sites of de bijbehorende GPO’s, kunnen zij schadelijke configuraties injecteren die alle verbonden systemen, inclusief domeincontrollers, compromitteren. Dit geeft aanvallers toegang tot domeinen zonder traditionele beveiligingsmaatregelen te activeren. De onderzoekers benadrukken dat dit aanvalspad vaak over het hoofd wordt gezien door organisaties, wat het een kritieke kwetsbaarheid maakt voor systemen met grote Active Directory-omgevingen.

Bron 1

De GlassWorm malwarecampagne is teruggekeerd en heeft drie nieuwe VSCode-extensies toegevoegd aan de OpenVSX-marktplaats. Deze extensies zijn al meer dan 10.000 keer gedownload. De malware richt zich op GitHub-, NPM- en OpenVSX-accountgegevens, evenals op cryptocurrency-walletinformatie van 49 verschillende extensies. Door het gebruik van onzichtbare Unicode-tekens die als lege ruimte worden weergegeven, maar als JavaScript functioneren, kan de malware kwaadaardige acties uitvoeren. Vorige maand was de malware ook al actief via 12 extensies op de OpenVSX- en VS Code-marktplaatsen, die in totaal 35.800 keer werden gedownload, hoewel het aantal downloads mogelijk werd opgeblazen door de aanvaller zelf. De drie nieuwe extensies bevatten dezelfde obfuscatie-truc om beveiligingsmaatregelen te omzeilen. Gegevens van getroffen slachtoffers zijn inmiddels in handen van de onderzoekers en worden gedeeld met wetshandhavers.

Bron 1, 2, 3, 4

Er is melding gemaakt van de verkoop van ongeautoriseerde shell-toegang tot een onbekende e-commercewebsite die draait op het OpenCart-platform. Dit wijst op een potentieel beveiligingsrisico voor online winkels, aangezien kwaadwillenden toegang kunnen krijgen tot gevoelige gegevens of de werking van het platform kunnen verstoren. De verkoper en de getroffen website zijn onbekend, maar dergelijke incidenten benadrukken de noodzaak voor bedrijven in de e-commercebranche om hun beveiliging voortdurend te evalueren en te versterken. Het is essentieel dat e-commerceplatforms, zoals OpenCart, extra waakzaam zijn en hun beveiligingsmaatregelen verbeteren om dit soort dreigingen te voorkomen.

Microsoft heeft details gedeeld over een nieuwe zij-kanaalaanval genaamd Whisper Leak, die de mogelijkheid biedt om, zelfs bij versleuteld verkeer, de onderwerpen van gesprekken met AI-taalmodellen af te leiden. Het verkeer tussen gebruikers en modellen kan worden geanalyseerd door middel van patroonherkenning in de pakketgrootte en tijdsverschillen tijdens gestreamde antwoorden van de modellen. Dit maakt het mogelijk voor aanvallers om te achterhalen of het gesprek over gevoelige onderwerpen gaat, zoals politieke kwesties of financiële misdrijven, ondanks de versleuteling van het verkeer via HTTPS. Onderzoekers ontdekten dat met behulp van machine learning-modellen de aanval boven de 98% nauwkeurigheid kan bereiken bij het identificeren van specifieke gespreksonderwerpen. Microsoft en andere AI-aanbieders hebben mitigaties uitgerold, maar de ontdekking wijst op de potentieel toenemende dreiging van deze aanval bij langdurige interacties en het verzamelen van extra trainingdata.

Bron 1

Cisco heeft een kritieke kwetsbaarheid in zijn firewalls gemeld die nu actief wordt misbruikt voor Denial of Service (DDoS)-aanvallen. Deze kwetsbaarheid maakt deel uit van twee beveiligingslekken (CVE-2025-20333 en CVE-2025-20362) in Cisco's Secure Firewall ASA- en FTD-software. De aanvallers kunnen deze lekken combineren om volledige controle over de systemen te verkrijgen. Dit werd eerder gebruikt voor het compromitteren van firewalls, maar de nieuwe aanvallen richten zich op het veroorzaken van DDoS-omstandigheden door de firewalls te laten herstarten. De kwetsbaarheden werden in september al gedocumenteerd door Cisco, die sindsdien een beveiligingsupdate heeft uitgebracht. De impactscore van de kwetsbaarheden is 9.9 voor het ernstigste lek. Dit stelt aanvallers in staat om systemen uit te schakelen door middel van DDoS-aanvallen. Cisco heeft geen verdere details over de aanvallen vrijgegeven.

Het Zwitserse Nationaal Cyber Security Centre (NCSC) heeft een waarschuwing uitgebracht voor iPhone-eigenaren over een nieuwe phishingfraude die zich richt op verloren of gestolen toestellen. Criminelen sturen sms-berichten die zogenaamd afkomstig zijn van Apple, met de bewering dat de verloren iPhone is teruggevonden. De berichten bevatten gedetailleerde informatie over het toestel en een link naar een valse website die de officiële "Find My" pagina nabootst. Wanneer slachtoffers hun Apple ID inloggen, krijgen de aanvallers toegang tot hun account. Het doel van de fraudeurs is om de Activation Lock te verwijderen, zodat de gestolen iPhone opnieuw kan worden verkocht. Het NCSC raadt gebruikers aan om nooit op verdachte links te klikken, een uniek e-mailadres voor verloren apparaten te gebruiken en de SIM-kaart te beveiligen met een pincode. Apple zelf zal nooit via sms of e-mail contact opnemen over gevonden toestellen.

Bron 1, 2

Op 10 november 2025 werd via het X-platform door de Dark Web Informer een nieuwe ransomware-software ontdekt, genaamd Kazu Onion. De ransomware is beschikbaar via een Onion-link (6czlbd2jfiy6765fbnbnzuwuqocg57ebvp3tbm35kib425k4qnmiiiqd.onion), waarmee cybercriminelen de aanval kunnen uitvoeren op slachtoffers. Deze malware kan ernstige schade veroorzaken door gegevens te versleutelen en vervolgens losgeld te eisen voor de decryptie. De ontdekking van Kazu Onion toont aan dat het dreigingslandschap op het Dark Web blijft evolueren, met nieuwe aanvallen die voortdurend opduiken. Het is belangrijk dat organisaties zich bewust zijn van de risico’s van ransomware en adequate maatregelen treffen om hun systemen te beschermen tegen dit type dreiging.

Cybercriminelen richten zich steeds vaker op productiebedrijven door gebruik te maken van cloudgebaseerde platforms en kunstmatige intelligentie (AI) voor geavanceerde aanvallen. Een recent rapport van Netskope Threat Labs toont aan dat 22 van elke 10.000 gebruikers in de productiebranche maandelijks worden blootgesteld aan kwaadaardige inhoud. Aanvallers maken niet alleen gebruik van traditionele malware, maar ook van vertrouwde cloudservices zoals Microsoft OneDrive, GitHub en Google Drive om schadelijke software te verspreiden. AI-platforms, zoals die van OpenAI en AssemblyAI, worden ook actief aangevallen, waarbij malware wordt verborgen in ogenschijnlijk legitieme bestanden. Dit maakt het voor beveiligingssystemen moeilijk om aanvallen vroegtijdig te detecteren. De toename van dergelijke aanvallen benadrukt de noodzaak voor productiebedrijven om striktere inspectie- en veiligheidsmaatregelen te implementeren, vooral met betrekking tot bestanddownloads uit cloudplatforms.

Bron 1

Cybercriminelen richten zich steeds vaker op websites om schadelijke links in te voegen en hun zoekmachineoptimalisatie (SEO) te verbeteren via blackhat SEO-technieken. Deze aanvallen richten zich voornamelijk op online casinospam, die momenteel het meest voorkomende type spam is dat getroffen websites beïnvloedt. De aanvallers maken misbruik van kwetsbaarheden in WordPress-installaties om spaminhoud te plaatsen die online casino's promoot, met name gericht op markten waar gokken zwaar gereguleerd is. Om hun aanwezigheid te verbergen, maken de aanvallers gebruik van meerdere technieken, waaronder het vervangen van originele websitepagina's door pagina's met spam-inhoud. De kwaadaardige code wordt op slimme wijze verborgen in thema- en pluginbestanden van WordPress, wat zorgt voor meerdere lagen van bescherming tegen detectie. Deze geavanceerde malware maakt gebruik van dynamische content en database-manipulatie om zijn schadelijke code door te voeren, zelfs als onderdelen van de aanval worden ontdekt.

Bron 1

Een nieuw phishingplatform, Quantum Route Redirect, wordt wereldwijd ingezet om inloggegevens van Microsoft 365 gebruikers buit te maken. Het systeem maakt gebruik van ongeveer duizend domeinen die vooraf zijn ingericht om snel grootschalige campagnes te starten. Onderzoekers zien dat aanvallen beginnen met overtuigend ogende e-mails die bijvoorbeeld lijken op DocuSign meldingen, betalingsverzoeken of gemiste berichten. Slachtoffers worden doorgestuurd naar een pagina waar hun gegevens worden onderschept, terwijl het platform geautomatiseerde beveiligingstools juist naar onschuldige sites leidt. Deze aanpak maakt gebruik van gecompromitteerde of geparkeerde domeinen, wat de betrouwbaarheid voor slachtoffers vergroot. Het platform biedt aanvallers dashboards om verkeer te volgen en onderscheid te maken tussen echte bezoekers en bots. De meeste activiteiten zijn gericht op gebruikers in de Verenigde Staten, maar het platform is actief in negentig landen. Analisten verwachten een verdere toename door de effectieve omzeiling van URL-scans. Bron 1

Er zijn meldingen van valse sms-berichten die zogenaamd van banken of Bitvavo afkomstig zijn. In deze berichten wordt aangegeven dat er een inlogpoging is gedaan vanuit het buitenland. Ontvangers worden gevraagd een telefoonnummer te bellen als zij zelf geen inlogpoging hebben gedaan. Bij contact via dit nummer wordt een zogenaamde medewerker geïnformeerd, die de ontvanger vertelt dat hij of zij moet helpen het saldo te beveiligen. Dit kan door software te downloaden of inlogcodes te verstrekken. In werkelijkheid wordt het saldo gestolen. De afzender lijkt de echte nummer van Bitvavo te gebruiken, maar dit is een geval van spoofing. Het advies is om niet naar het opgegeven nummer te bellen en het bericht te verwijderen.

Bron 1

Onderzoekers hebben een kwaadaardig npm-pakket met de naam "@acitons/artifact" ontdekt, dat lijkt op het legitieme pakket "@actions/artifact" en gericht is op repositories van GitHub. Het pakket bevat een post-installatiescript dat tokens uit de buildomgeving van GitHub-repositories probeert te stelen. Deze tokens zouden vervolgens gebruikt kunnen worden om nieuwe schadelijke bestanden te publiceren als GitHub. Het kwaadaardige pakket werd gedownload via zes versies tussen 4.0.12 en 4.0.17 en is sinds de ontdekking verwijderd. Het pakket werd in totaal 47.405 keer gedownload. Een andere npm-pakket, "8jfiesaf83", werd ook geïdentificeerd, maar is inmiddels verwijderd, na 1.016 downloads. Het malware-script is ontworpen om gegevens in een versleuteld bestand te exfiltreren naar een specifieke GitHub-onderdomein. Deze campagne lijkt gericht te zijn op GitHub zelf en mogelijk een testaccount.

Bron 1, 2

AI-aangedreven aanvallen op software-supply chains zijn de afgelopen tijd exponentieel gestegen, met een toename van 156% in het afgelopen jaar. Traditionele beveiligingsmaatregelen blijken steeds minder effectief tegen de nieuwe, meer geavanceerde dreigingen, waarbij aanvallers gebruik maken van AI-gegenereerde malware die polymorfisch, contextbewust en semantisch gecamoufleerd is. Hierdoor is het steeds moeilijker voor detectietools om deze aanvallen op te sporen. Malafide uploads van softwarepakketten naar open-source repositories hebben geleid tot ernstige incidenten, zoals de 3CX-inbraak die 600.000 bedrijven wereldwijd trof. AI-malware kan nu zelfstandig zijn code aanpassen om traditionele beveiligingsmechanismen te omzeilen, wat resulteert in aanzienlijk langere detectietijden. Experts adviseren bedrijven om AI-bewuste beveiligingsmaatregelen te implementeren, zoals gedragsanalyse en runtime bescherming, en zich voor te bereiden op strengere regelgeving zoals de EU AI-wetgeving, die hoge boetes kan opleggen voor ernstige inbreuken.

Bron 1

In 2025 werd een nieuwe golf van ransomware-aanvallen gemeld, gericht op Britse organisaties, waarbij gebruik werd gemaakt van kwetsbaarheden in de SimpleHelp Remote Monitoring and Management (RMM)-platforms. Twee bekende ransomware-groepen, Medusa en DragonForce, exploiteerden drie ernstige kwetsbaarheden (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) om via vertrouwde derde partijen toegang te krijgen tot systemen. In plaats van direct te richten op organisaties, richtten de aanvallers zich op de RMM-infrastructuur van leveranciers, waardoor ze door de toegenomen vertrouwensbanden toegang kregen tot de netwerken van klanten. Beide groepen gebruikten geavanceerde technieken om de beveiliging van de systemen te omzeilen, waaronder het uitschakelen van Microsoft Defender en het verkrijgen van toegang via remote management-tools. De aanvallen resulteerden in ernstige verstoringen, versleuteling van gegevens en de dreiging van gegevensdiefstal op darkweb-leksites.

Bron 1

Cybercriminelen richten zich steeds vaker op Outlook en Google, de twee grootste e-mailplatforms ter wereld, waarbij ze traditionele beveiligingslagen omzeilen. Uit het Q3-rapport over e-maildreigingen blijkt dat meer dan 90% van de phishingaanvallen nu op deze platforms is gericht. De onderzoekers van VIPRE hebben 1,8 miljard e-mails geanalyseerd en ontdekten 26 miljoen extra kwaadaardige berichten, een toename van 13% ten opzichte van vorig jaar. Aanvallers maken niet alleen gebruik van geavanceerde malware, maar ook van eenvoudige methoden zoals vervalste loginpagina's en misbruik van vertrouwde links. Dit maakt het voor zowel automatische systemen als menselijke operators steeds moeilijker om legitieme berichten van kwaadaardige te onderscheiden. De aanvallen zijn voornamelijk gericht op het stelen van inloggegevens en het overnemen van e-mailaccounts, wat leidt tot toegang tot netwerken en cloudservices van bedrijven.

Bron 1

De VanHelsing ransomware is een nieuwe, geavanceerde ransomware-as-a-service (RaaS) operatie die sinds maart 2025 actief is. Deze ransomware biedt criminelen een platform om snel aanvallen te lanceren op verschillende besturingssystemen, waaronder Windows, Linux, BSD, ARM en ESXi, waarmee de potentiële slachtoffers drastisch zijn vergroot. Nieuwe affiliates betalen $5.000 om deel te nemen, waarbij ze 80% van de losgeldbetalingen ontvangen. Dit model vergroot de schaalbaarheid van aanvallen. De ransomware is ontworpen met veel technische flexibiliteit, zoals een uitgebreid systeem voor het aanpassen van aanvallen en de mogelijkheid om laterale bewegingen door netwerken uit te voeren. VanHelsing is nog in ontwikkeling, met regelmatige updates die de effectiviteit vergroten. Het model heeft al geresulteerd in meerdere succesvolle aanvallen, waarbij losgeldbedragen tot $500.000 werden geëist. De operaties lijken bovendien geografische beperkingen te hanteren, met uitzondering van landen binnen de Gemenebest van Onafhankelijke Staten (CIS).

Bron 1

Onderzoekers van CyberProof hebben sterke connecties ontdekt tussen de Maverick- en Coyote-bankingtrojan, die beide gericht zijn op Braziliaanse gebruikers en financiële instellingen. Beide malwarefamilies maken gebruik van vergelijkbare infectieketens en vertonen bijna identieke gedragingen. De aanvallen beginnen wanneer slachtoffers ZIP-bestanden via WhatsApp ontvangen, die kwaadaardige snelkoppelingbestanden bevatten. Deze bestanden starten PowerShell-commando’s die obfusceren en bedoeld zijn om detectie te vermijden. De malware gebruikt complexe coderingsmethoden zoals Base64 en UTF-16LE om de kwaadaardige commando's te reconstrueren en contact te maken met de infrastructuur van de aanvaller voor verdere infectie. Daarnaast gebruiken beide malwaretypes dezelfde versleuteling om de URL's van banken te decrypten en monitoren ze activiteiten in verschillende browsers. De overeenkomsten tussen deze malwarefamilies wijzen op een gedeelde ontwikkelingsbron.

Bron 1

Er is een nieuwe golf van phishing-aanvallen die zich voordoen als beveiligingsmeldingen. Deze kwaadaardige e-mails lijken afkomstig te zijn van de eigen domeinen van slachtoffers en waarschuwen voor vermeende "geblokkeerde berichten." De aanvallers proberen gebruikers in paniek te brengen en hen te dwingen op een link te klikken om het probleem op te lossen. Zodra een slachtoffer op de link klikt, wordt het doorverwezen naar een valse inlogpagina die lijkt op legitieme webmailportalen. Deze pagina is zelfs al ingevuld met het e-mailadres van het slachtoffer, wat de echtheid versterkt. De aanvallers gebruiken JavaScript in de e-mailbijlagen om inloggegevens te verzamelen, die vervolgens naar een server van de aanvallers worden gestuurd. Deze campagne maakt gebruik van psychologische manipulatie en technische verfijning om gebruikers te misleiden, wat het belang van goede beveiligingsmaatregelen en waakzaamheid onderstreept.

Bron 1

Danabot, een bekende banking trojan, is teruggekeerd met versie 669 na een tijdelijke onderbreking door de handhavingsactie Operation Endgame in mei 2025. Deze geavanceerde malware richt zich opnieuw op financiële instellingen, cryptocurrency-gebruikers en individuele slachtoffers via geavanceerde multi-stage aanvallen. De trojan maakt gebruik van spear-phishing en kwaadaardige documenten om systemen te infecteren, waarna het zijn payload aflevert. Zodra de malware zich heeft gevestigd, kan het meerdere modules inzetten voor gegevensdiefstal, laterale verplaatsing binnen netwerken en verdere payload-levering, specifiek voor Windows-omgevingen. Danabot versie 669 heeft ook zijn infrastructuur geüpdatet, waarbij het nu zowel IP-gebaseerde command-and-control (C2)-servers als .onion-adressen gebruikt voor communicatie, wat de detectie bemoeilijkt. Deze strategische verbeteringen maken de malware een nog grotere dreiging in het huidige cyberlandschap.

Bron 1

Een grootschalige phishingaanval is ontdekt die zich richt op gebruikers van Meta Business Suite, met als doel inloggegevens te stelen van duizenden kleine en middelgrote bedrijven wereldwijd. De aanval, die werd geïdentificeerd door Check Point-onderzoekers, verspreidde ongeveer 40.000 phishing-e-mails naar meer dan 5.000 klanten, voornamelijk uit de automobiel-, onderwijs-, vastgoed-, horeca- en financiële sectoren in de VS, Europa, Canada en Australië. De phishingcampagne maakt gebruik van legitieme Meta-infrastructuur, wat het moeilijker maakt om de aanval te detecteren. Aanvallers maakten misbruik van de uitnodigingsfunctie van Meta Business, waardoor de berichten authentiek lijken en traditionele e-mailbeveiligingsfilters omzeilen. De e-mails bevatten schadelijke links die gebruikers naar phishing-websites leiden, waar inloggegevens en andere gevoelige informatie wordt verzameld. Organisaties wordt geadviseerd om multi-factorauthenticatie in te schakelen om ongeautoriseerde toegang te voorkomen.

Bron 1

Een nieuwe phishingcampagne maakt misbruik van het officiële @facebookmail.com-domein om Facebook Business-gebruikers wereldwijd te misleiden. De aanvallers verstuurden e-mails die lijken op officiële uitnodigingen van Meta, bedoeld om de ontvangers naar frauduleuze inlogpagina's te lokken. Deze e-mails, met onderwerpen zoals 'Accountverificatie vereist' en 'Uitnodiging voor Meta Agency Partner', bevatten links naar websites die ontworpen zijn om inloggegevens van gebruikers te stelen. De campagne werd opgemerkt door Check Point en heeft wereldwijd duizenden kleine en middelgrote bedrijven getroffen, waaronder bedrijven in de VS, Europa, Canada en Australië. Het grootste slachtoffer ontving meer dan 4.000 phishingberichten. Bedrijven die gebruik maken van Meta Business Suite wordt geadviseerd om multi-factor authenticatie in te schakelen en uitnodigingen altijd te verifiëren via de officiële Meta-ondersteuningspagina’s.

Bron 1

Een nieuwe Android Remote Access Trojan (RAT), genaamd KomeX, is opgedoken op hackerforums en zorgt voor bezorgdheid binnen de cybersecuritygemeenschap. Het is gebouwd op de BTMOB RAT-code en biedt geavanceerde spionage- en apparaatcontrolefuncties. KomeX wordt gepromoot door een dreigingsactor onder de alias “Gendirector” en is ontworpen om Android-apparaten in massa te infecteren. De malware wordt verspreid via schadelijke Android-apps en phishingcampagnes. Na installatie vraagt KomeX onmiddellijk om uitgebreide systeemrechten, wat zijn bereik vergroot en zijn effectiviteit versterkt. De RAT biedt onder andere functies voor live schermstreaming, audio- en videocaptatie via camera en microfoon, sms-interceptie, geolocatie-tracking, en volledige besturingssysteemtoegang. KomeX wordt verkocht met verschillende abonnementsopties, waaronder toegang voor een korte periode, levenslange updates en volledige broncode voor criminele netwerken die aangepaste aanpassingen willen maken.

Bron 1

Een nieuwe vorm van cyberaanval, bekend als 'authentication coercion', richt zich op Windows-systemen binnen organisaties. Deze aanval maakt gebruik van de ingebouwde communicatieprotocollen in Windows om machines te misleiden en gevoelige inloggegevens automatisch naar een door de aanvaller gecontroleerde server te sturen. De techniek is bijzonder effectief doordat het gebruik maakt van legitieme Windows-functies, zoals Remote Procedure Call (RPC), wat het moeilijk maakt voor traditionele beveiligingssystemen om de aanval te detecteren. De aanvallers zetten kwaadaardige luisteraars op die zich voordoen als vertrouwde netwerkbronnen. Wanneer een geïnfecteerde machine probeert verbinding te maken met deze server, worden de inloggegevens via RPC-berichten doorgestuurd. Aangezien de aanval geen speciale rechten vereist, kunnen aanvallers met minimale technische kennis profiteren van deze kwetsbaarheid. Organisaties kunnen zichzelf beschermen door verdachte RPC-patronen en ongebruikte protocollen te monitoren en beveiligingsmaatregelen zoals SMB-handtekeningen in te stellen.

Bron 1

Hackers hebben een nieuwe methode ontwikkeld om malware te verspreiden via AppleScript-bestanden (.scpt), die nu worden gebruikt om vervalste Zoom- en Teams-installaties te verspreiden. Deze bestanden worden gepresenteerd als legitieme software-updates, maar bevatten schadelijke code. Wanneer gebruikers de bestanden openen, wordt een sociaal-engineeringprompt weergegeven, die hen aanmoedigt de scriptbestanden uit te voeren, zelfs als ze door Apple’s Gatekeeper-beveiliging zijn gemarkeerd. De aanvallers maken gebruik van de scripteditor van macOS, een legitieme applicatie die door gebruikers vaak wordt vertrouwd. Deze aanvalsmethode is moeilijk te detecteren, aangezien veel van de AppleScript-bestanden momenteel geen meldingen op virus-scanners zoals VirusTotal geven. Security-onderzoekers hebben dit als een zorgwekkende trend gemeld, vooral omdat deze techniek nu ook door cybercriminelen wordt gebruikt die eerder geavanceerde aanvallen uitvoerden.

Bron 1

Een geavanceerde phishingcampagne richt zich op organisaties in Centraal- en Oost-Europa door legitieme wereldmerken te imiteren om gebruikers te misleiden en hun inloggegevens te verkrijgen. De aanval maakt gebruik van zelfbevatte HTML-bestanden die als e-mailbijlagen worden verzonden, waardoor externe servers of verdachte URL's, die meestal door traditionele beveiligingssystemen worden gedetecteerd, overbodig zijn. Wanneer de bijlagen worden geopend, tonen ze overtuigende nep-inlogpagina's voor merken zoals Microsoft 365, Adobe, WeTransfer, FedEx en DHL, waarmee een naadloze gebruikerservaring wordt gecreëerd. Deze aanpak maakt gebruik van JavaScript binnen de HTML-bestanden om inloggegevens te verzamelen en direct naar Telegram-bots van de aanvallers te sturen. De campagne richt zich vooral op sectoren zoals landbouw, de auto-industrie, de bouw en het onderwijs in landen als Tsjechië, Slowakije, Hongarije en Duitsland. Organisaties wordt aangeraden om controles voor HTML-bijlagen in te voeren om dergelijke aanvallen te blokkeren.

Bron 1

De APT-C-08 hacker-groep, ook bekend als Manlinghua of BITTER, heeft een verfijnde aanvalscampagne gelanceerd gericht op overheidsorganisaties in Zuid-Azië. De groep maakt gebruik van een kritieke directory traversal-kwetsbaarheid in WinRAR (CVE-2025-6218), die het mogelijk maakt om systeemgrenzen te doorbreken en kwaadaardige code uit te voeren op gecompromitteerde systemen. De groep heeft een lange geschiedenis in het stelen van gevoelige informatie van overheidsinstanties en andere gerelateerde organisaties. De aanval maakt gebruik van een speciaal gemaakte RAR-archief met misleidende bestandsnamen, zoals "Provision of Information for Sectoral for AJK[.]rar". Wanneer het archief wordt uitgepakt, wordt een kwaadaardig macrobestand gedeponeerd op het systeem, dat via Microsoft Word automatisch wordt geladen. Experts raden aan alle WinRAR-installaties onmiddellijk te patchen en toepassing van macro-uitvoering te blokkeren voor verhoogde bescherming.

Bron 1

Een nieuwe aanval richt zich op Windows-gebruikers via een gemanipuleerde versie van SteamCleaner, een legitiem hulpprogramma voor het opruimen van ongewenste bestanden van het Steam-platform. De malware maakt gebruik van Node.js-scripts om toegang te verkrijgen tot het systeem en onderhoudt communicatie met command-and-control-servers. Deze aanval maakt gebruik van een ongewijzigde versie van het SteamCleaner-programma, dat sinds 2018 geen updates meer heeft ontvangen, maar nu wordt verspreid via frauduleuze websites. Het kwaadaardige installatiebestand is ondertekend met een geldig digitaal certificaat, waardoor het aanvankelijk niet wordt gedetecteerd door beveiligingssoftware. Nadat het programma is uitgevoerd, installeert de malware zich op het systeem en zorgt ervoor dat er verbinding wordt gemaakt met meerdere C2-servers voor verdere commando-uitvoering. De aanvallers maken gebruik van geavanceerde technieken om detectie te voorkomen, zoals het uitvoeren van milieutests en het obfusceren van commando's.

Bron 1

In 2025 is er een significante stijging in het gebruik van infostealers gericht op macOS-apparaten, wat een verhoogde dreiging vormt voor zowel individuele gebruikers als bedrijven. Deze malware is ontworpen om vertrouwelijke gegevens zoals inloggegevens, cryptowallets en persoonlijke informatie te stelen. Door de groeiende populariteit van macOS, vooral in zakelijke omgevingen, zijn deze apparaten nu een aantrekkelijk doelwit voor cybercriminelen. KELA’s onderzoek toont aan dat de macOS-gebruikers vaak hogere inkomens hebben, meer vertrouwen in de beveiliging van hun apparaten en waardevolle accounts beheren, wat hen kwetsbaarder maakt voor social engineering-aanvallen. Bedrijven die macOS in hun netwerk gebruiken lopen het risico dat één gecompromitteerd apparaat toegang biedt tot gevoelige gegevens, waaronder cloud- en SaaS-inloggegevens. De markt voor macOS infostealers heeft zich ontwikkeld tot een gestructureerd ecosysteem waarin dergelijke malware tegen hoge prijzen wordt verhandeld.

Bron 1

Een grootschalige phishingcampagne richt zich wereldwijd op reizigers door meer dan 4.300 valse domeinen te gebruiken om betaalkaartgegevens te stelen. De aanvallers doen zich voor als bekende reismerken en sturen nepbevestigingsmails voor hotelboekingen, waarmee ze slachtoffers naar valse boekingspagina's lokken. De nepwebsites zijn zorgvuldig ontworpen om legitiem te lijken, met bekende logo's en professionele layouts. De slachtoffers worden aangemoedigd om snel te handelen en hun gegevens in te voeren, onder de indruk van valse urgentie. De aanval maakt gebruik van een complex redirectiesysteem, waarbij de slachtoffers via meerdere websites naar de phishingpagina worden geleid. Zodra de slachtoffers hun betaalgegevens invoeren, worden deze gestolen. De aanval wordt toegeschreven aan een Russisch-talige dreigingsactor. De campagne, die begon in februari 2025, is in omvang gegroeid met dagelijks nieuwe domeinen.

Bron 1

De Uhale Android-gebaseerde digitale fotolijsten vertonen meerdere ernstige beveiligingsproblemen, waaronder de automatische download en uitvoering van malware tijdens het opstarten. Onderzoek door Quokka ontdekte dat de apparaten bij het opstarten verbinding maken met servers in China en schadelijke payloads downloaden. Deze malware is gelinkt aan de Vo1d-botnet en Mzmess-malwarefamilies. Bovendien bevat de app talrijke kwetsbaarheden, zoals de mogelijkheid voor man-in-the-middle-aanvallen en root toegang door onveilige TrustManager-implementaties. Veel van de onderzochte apparaten worden met een standaardinstelling geleverd die SELinux uitschakelt en ze worden vaak direct geroot, wat ze kwetsbaar maakt. Andere gebreken omvatten gebrekkige versleuteling en onvoldoende bescherming tegen het injecteren van kwaadaardige code. Consumenten wordt aangeraden om alleen apparaten van vertrouwde merken te kopen die geen firmwaremodificaties bevatten.

Bron pdf (downloaden), Google, Apple, Amazon

Onderzoekers hebben een grootschalige spamcampagne ontdekt die de npm-registry heeft overspoeld met duizenden nep-pakketten sinds begin 2024. De aanval, die meer dan 67.000 nep-pakketten heeft gepubliceerd, is gericht op het verstoren van de npm-ecosysteem door willekeurige pakketten te plaatsen. De pakketten bevatten een JavaScript-bestand dat pas actief wordt wanneer een gebruiker het handmatig uitvoert, waardoor het moeilijker te detecteren is door beveiligingssystemen. Het doel lijkt geen datadiefstal of andere kwaadwillende acties te zijn, maar eerder het creëren van ruis in de registry, wat kan leiden tot onbedoelde installatie van deze nep-pakketten door ontwikkelaars. De campagne maakt gebruik van een wormachtig mechanisme, waarbij de pakketten elkaar als afhankelijkheden vermelden, wat de belasting van de registry vergroot. GitHub heeft de kwaadaardige pakketten inmiddels verwijderd.

Bron 1, 2, 3

Een kwaadaardige Chrome-extensie genaamd "Safery: Ethereum Wallet" is ontdekt, die zich voordoet als een veilige Ethereum-portemonnee, maar een backdoor bevat waarmee het de seedfrases van gebruikers steelt. De extensie werd op 29 september 2025 geüpload naar de Chrome Web Store en is tot op heden nog beschikbaar. De malware encodeert de seedfrases als valse Sui-walletadressen en verstuurt microtransacties naar deze adressen vanuit een door de aanvaller gecontroleerde wallet. Dit stelt de aanvaller in staat om de seedfrases te reconstrueren en vervolgens de fondsen van de slachtoffers te stelen. Gebruikers worden geadviseerd alleen vertrouwde extensies te gebruiken en verdachte extensies te controleren op verdachte blockchain-activiteiten.

Bron 1, 2, 3

Het Engels-sprekende cybercriminele ecosysteem, bekend als “The COM,” is geëvolueerd van een nichegemeenschap die zich richtte op de handel in sociale mediaaccounts, naar een georganiseerde operatie die enkele van de werelds meest schadelijke cyberaanvallen uitvoert. Oorspronkelijk gericht op het stelen van socialemediagegevens, verschoven de activiteiten tijdens de cryptovalutahype van 2020-2021 naar het stelen van digitale wallets. Deze verschuiving leidde tot nieuwe aanvalsmethoden en verdienmodellen, die de wereld van cybercriminaliteit ingrijpend veranderden. Het COM fungeert nu als een uitgebreid crimineel supply chain-systeem, waar verschillende actoren gespecialiseerd zijn in taken zoals phishing, gegevensdiefstal en witwaspraktijken. Dit ecosysteem opereert volgens een model dat lijkt op legitieme bedrijfsstructuren, wat de schaal en efficiëntie van de aanvallen vergroot. Een van de meest effectieve methoden is social engineering, waarbij aanvallers zich voordoen als legitieme medewerkers om toegang te verkrijgen tot netwerken van organisaties.

Bron 1

MastaStealer, een infostealer, wordt ingezet via spear-phishing-aanvallen waarbij LNK-bestanden in ZIP-archieven worden verzonden. Bij het openen van deze bestanden wordt een multistap-infectie geactiveerd. De LNK-bestanden openen Microsoft Edge met een legitiem ogende AnyDesk-website, terwijl in de achtergrond de MSI-installer van een gecompromitteerd domein wordt gedownload. De malware vermijdt detectie door zijn payload in een verborgen map te plaatsen en de naam van een legitiem Windows-proces na te volgen. Een PowerShell-commando wordt gebruikt om de Windows Defender-beveiliging uit te schakelen, waardoor de malware ongehinderd met command-and-control-servers kan communiceren. Dit maakt het voor traditionele beveiligingssystemen moeilijk om de aanval te detecteren. Deze techniek toont aan hoe aanvallers gebruik maken van legitieme Windows-beheerfuncties om beveiligingsmaatregelen te omzeilen.

Bron 1

Een ernstig beveiligingslek in Fortinet FortiWeb wordt actief uitgebuit om zonder authenticatie nieuwe beheerdersaccounts aan te maken op kwetsbare apparaten. Onderzoekers van Defused, PwnDefend en watchTowr Labs ontdekten dat het gaat om een path traversal-kwetsbaarheid waarmee aanvallers volledige toegang tot systemen kunnen verkrijgen. Het lek treft FortiWeb-versies tot en met 8.0.1 en is verholpen in versie 8.0.2, die eind oktober werd uitgebracht. Desondanks heeft Fortinet geen publieke melding gedaan van de kwetsbaarheid of het verhelpen daarvan, wat tot kritiek in de beveiligingsgemeenschap leidt. Rapid7 bevestigde dat meerdere versies kwetsbaar zijn en dat aanvallen sinds begin oktober sterk zijn toegenomen. De exploit wordt inmiddels breed gedeeld via een openbaar beschikbare tool waarmee willekeurige admin-accounts kunnen worden aangemaakt, wat het risico op misbruik verder vergroot. (CVE-2025-64446 / CVE-2025-40684)

Bron 1, 2

Github

Onderzoekers van Cisco Talos hebben vastgesteld dat de nieuwe variant van de Kraken-ransomware, opvolger van de vroegere HelloKitty-campagne, een unieke methode gebruikt om de encryptiesnelheid van geïnfecteerde systemen te optimaliseren. De malware voert een prestatietest uit om te bepalen of volledige of gedeeltelijke versleuteling het meest effectief is zonder het systeem te overbelasten. Kraken richt zich op Windows-, Linux- en VMware ESXi-omgevingen en verwijdert vooraf schaduwkopieën en back-ups om herstel te bemoeilijken. De groep valt voornamelijk grote organisaties aan in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Panama, Koeweit en Denemarken. Daarnaast exploiteert zij SMB-kwetsbaarheden voor toegang en gebruikt Cloudflared-tunnels en SSHFS voor datadiefstal. Na de aanval wist een automatisch script sporen, logbestanden en zichzelf. De operatie is gelinkt aan de voormalige HelloKitty-groep, wat wijst op hergebruik van infrastructuur en tactieken.

Bron 1

IOC's

Een snelgroeiende dreiging, bekend als de schermdelen-oplichting, maakt misbruik van een functie op WhatsApp om geld en persoonlijke gegevens te stelen. De scam maakt gebruik van het schermdelen, dat sinds 2023 beschikbaar is, en heeft wereldwijd al grote verliezen veroorzaakt. In een specifiek geval in Hong Kong verloor een slachtoffer ongeveer 700.000 dollar. De scam begint met een onverwachte videogesprek van een onbekend nummer, waarbij de oplichter zich voordoet als een vertrouwd persoon, zoals een bankmedewerker of een medewerker van Meta. Ze wekken paniek door te claimen dat het account van het slachtoffer is gehackt of dat er verdachte betalingen zijn. Vervolgens wordt het slachtoffer gevraagd om het scherm te delen of apps zoals AnyDesk of TeamViewer te installeren. De oplichter heeft hierdoor toegang tot gevoelige informatie zoals wachtwoorden en OTP's. Meta werkt aan maatregelen om gebruikers beter te beschermen tegen deze dreiging.

Bron 1

Hackers maken gebruik van Remote Monitoring and Management (RMM)-tools zoals LogMeIn en PDQ Connect om malware te verspreiden, terwijl ze zich voordoen als legitieme programma's. Ze misleiden slachtoffers door populaire software, zoals Notepad++ of 7-Zip, aan te bieden via valse websites. In plaats van de echte applicaties, installeren gebruikers een aangepaste versie van LogMeIn Resolve of PDQ Connect, waarmee de aanvallers volledige controle krijgen over de computers van de slachtoffers. Het malwareprogramma, PatoRAT, wordt geïnstalleerd en biedt aanvallers de mogelijkheid om functies zoals muisbediening, schermopname, keylogging en het stelen van wachtwoorden uit te voeren. Dit alles gebeurt zonder dat de slachtoffers het merken. Onderzoekers ontdekten drie verschillende dreigingsactoren die deze aanvallen uitvoeren, wat wijst op een gecoördineerde poging om systemen wereldwijd aan te vallen.

Bron 1

Cybercriminelen hebben een nieuwe campagne gelanceerd waarbij de bekende DarkComet remote access trojan (RAT) wordt vermomd als een Bitcoin-applicatie. Deze malware richt zich op cryptocurrency-gebruikers die tools downloaden van onbetrouwbare bronnen. De DarkComet RAT biedt aanvallers volledige controle over geïnfecteerde systemen en stelt hen in staat om bijvoorbeeld toetsaanslagen te registreren, bestanden te stelen, webcams te activeren en desktopcontrole uit te voeren. De malware wordt verspreid als een gecomprimeerd RAR-bestand, waarin een uitvoerbaar bestand is verpakt als "94k BTC wallet.exe". Dit maakt het moeilijker voor antivirussoftware om de malware te detecteren. Na uitvoering installeert de malware zichzelf in het systeem en maakt het verbinding met een command-and-control-server. Gebruikers worden gewaarschuwd om geen cryptocurrency-tools van onbetrouwbare bronnen te downloaden en om up-to-date beveiligingssoftware te gebruiken om dergelijke dreigingen te detecteren.

Bron 1

Een nieuwe variant van de ClickFix-aanval richt zich op zowel Windows- als macOS-gebruikers, waarbij informatie-stelende malware wordt geïnstalleerd. Deze aanval maakt gebruik van een social engineering techniek waarbij gebruikers worden misleid om schadelijke commando’s in hun besturingssysteem in te voeren. De aanval kan traditionele beveiligingssystemen omzeilen, omdat de malware binnen een browser-sandbox draait en niet door gebruikelijke e-mailbeveiliging wordt gedetecteerd. De aanvallers maken gebruik van nepwebpagina’s, gehost op vertrouwde platformen zoals Google Colab en Drive, om slachtoffers naar een besmette downloadlink te leiden. Windows-gebruikers krijgen de ACR-stealer te verwerken, terwijl macOS-gebruikers worden doorgestuurd naar de Odyssey-infostealer. Deze malware steelt niet alleen inloggegevens en persoonlijke informatie, maar fungeert ook als loader voor andere bedreigingen, zoals de SharkClipper cryptovaluta-hijacker.

Bron 1

Onderzoekers hebben een geavanceerde aanvalscampagne ontdekt waarbij dreigingsactoren legitieme JSON-opslagservices misbruiken om malware te verspreiden. Deze campagne, genaamd Contagious Interview, maakt gebruik van populaire platforms zoals JSON Keeper en npoint.io om kwaadaardige code te verbergen in legitieme ontwikkelaarsprojecten. De aanval richt zich voornamelijk op softwareontwikkelaars, vooral die in cryptocurrency- en Web3-projecten, op Windows, Linux en macOS-systemen. De aanvallers gebruiken social engineering, waarbij valse recruiters ontwikkelaars benaderen met nep-sollicitaties, om hen naar trojaanse code te leiden die wordt gehost op GitHub of GitLab. Na het uitvoeren van de geïnfecteerde projecten, wordt de BeaverTail infostealer gedownload, die gevoelige informatie steelt. Vervolgens wordt het InvisibleFerret Remote Access Tool ingezet, wat verdere data-exfiltratie en systeeminbraken mogelijk maakt. De slimme inzet van legitieme infrastructuur maakt het moeilijk voor traditionele beveiligingstools om de aanval te detecteren.

Bron 1

De SmartApeSG-campagne, ook wel bekend als ZPHP of HANEY MANEY, heeft zijn aanvallen verfijnd door gebruik te maken van de ClickFix-techniek, waarbij gebruikers worden misleid om een valse CAPTCHA-pagina in te vullen. Deze techniek is een vervolg op eerdere aanvallen die gebruik maakten van nep-browserupdates en wordt nu ingezet om het NetSupport RAT (Remote Access Tool) te installeren. De campagne richt zich op gebruikers van websites die gecompromitteerd zijn en verborgen kwaadaardige scripts bevatten. Bij het klikken op een valse verificatiebox wordt de NetSupport RAT geïnstalleerd, wat de aanvallers volledige controle over het geïnfecteerde systeem geeft. De aanval maakt gebruik van meerdere fasen, waardoor het voor traditionele beveiligingsmaatregelen moeilijk is om de aanval te detecteren en te verwijderen. De gebruikte techniek bypasses traditionele beveiligingsmaatregelen en is een voorbeeld van social engineering.

Bron 1

Een nieuwe phishingcampagne maakt gebruik van valse spamfiltermeldingen om gebruikers te misleiden en hun e-mailinloggegevens te stelen. De aanvallers versturen e-mails die beweren dat een organisatie zijn beveiligingssystemen heeft geüpgraded en dat sommige berichten niet in de inbox konden worden afgeleverd. De ontvangers worden aangemoedigd om op een link te klikken om de vastgehouden berichten in de inbox te verplaatsen. Deze link leidt echter naar een phishingwebsite die de inloggegevens van gebruikers probeert te stelen.

De e-mail is opvallend goed nagebootst, met ogenschijnlijk legitieme berichttitels en afleveringsrapporten die vertrouwd en onschuldig lijken. Daarnaast wordt er een afmeldlink toegevoegd om de e-mail authentieker te doen lijken. Zowel de knop als de afmeldlink leiden de slachtoffers via een omgeleide link naar de phishingpagina.

Wat deze aanval bijzonder maakt, is het gebruik van websockets voor het direct verzamelen van gegevens. Dit stelt de aanvallers in staat om de ingevoerde gegevens, zoals e-mailadressen en wachtwoorden, in realtime te ontvangen zonder dat de pagina hoeft te verversen. Het gebruik van websockets maakt het zelfs mogelijk om aanvullende verzoeken voor tweefactorauthenticatiecodes te sturen, waarmee aanvallers accounts met extra beveiligingslagen kunnen omzeilen.

Bron 1

Lumma Stealer is een vorm van malware die via valse software-updates en gekraakte applicaties verspreidt. Deze malware is ontworpen om inloggegevens, betaalinformatie en cryptocurrency-walletdata van geïnfecteerde systemen te stelen. Het verspreidt zich voornamelijk via phishing-e-mails, schadelijke advertenties en gecompromitteerde websites. Lumma Stealer is bijzonder gevaarlijk doordat het gegevens verzamelt van meerdere webbrowsers, waaronder Chrome, Firefox, Edge en Brave. Het verzamelt wachtwoorden, ingevulde informatie, browsegeschiedenis en sessietokens. De malware maakt gebruik van browserfingerprinting om gedetailleerde apparaatinformatie te verzamelen en stelt zich in staat om verborgen communicatiekanalen met de command-and-control-servers op te zetten. Deze techniek helpt aanvallers om geïnfecteerde apparaten te volgen en communicatie te camoufleren als reguliere webverkeer. Geïnfecteerde systemen kunnen onopgemerkt blijven totdat slachtoffers ongeautoriseerde transacties of accountinbreuken opmerken.

Bron 1

Akira ransomware is een van de meest actieve dreigingen die wereldwijd bedrijven treffen. Sinds maart 2023 heeft deze ransomware meer dan 250 organisaties in Noord-Amerika, Europa en Australië aangevallen, met een geschat losgeldbedrag van 244 miljoen dollar eind september 2025. De dreigingsactoren achter Akira worden in verband gebracht met de opgeheven Conti ransomwaregroep. Akira richt zich voornamelijk op kleine en middelgrote bedrijven in diverse sectoren, waaronder de maakindustrie, onderwijsinstellingen, informatie-technologie, gezondheidszorg en financiële dienstverlening.

De aanvallers verkrijgen toegang via virtuele privé-netwerken zonder geconfigureerde multi-factor authenticatie en maken gebruik van kwetsbaarheden in Cisco-producten. De groep past continu haar aanvalsmethoden aan, waarbij ze in 2025 gebruik maakt van verschillende encryptietools, waaronder de Megazord-encryptor, die een op Rust gebaseerde encryptie toevoegt. Akira gebruikt een double-extortion-model, waarbij naast het versleutelen van gegevens ook gedreigd wordt met de openbaarmaking van gevoelige informatie. De aanvallers zetten geavanceerde technieken in om toegang te behouden en verdere schade te veroorzaken.

Bron 1

Een nieuwe phishingkit die onlangs werd ontdekt, heeft aangetoond hoe geavanceerd cybercriminelen hun methoden blijven verbeteren om gevoelige gegevens te stelen. Deze kit is ontworpen om de Italiaanse IT- en webserviceprovider Aruba S.p.A. te imiteren, een bedrijf dat meer dan 5,4 miljoen klanten bedient binnen de digitale infrastructuur van Italië. Door een dergelijke vertrouwde dienstverlener te targeten, kunnen aanvallers toegang krijgen tot kritieke bedrijfsmiddelen, waaronder gehoste websites, domeinbeheersystemen en e-mailsystemen. De phishingcampagne begint met spear-phishing-e-mails die urgentie creëren door te waarschuwen voor verlopen diensten of mislukte betalingen. De berichten bevatten links naar valse inlogpagina’s die sterk lijken op het officiële Aruba webmailportaal.

Wat deze aanval bijzonder slim maakt, is het gebruik van vooraf ingevulde inlog-URL’s, waardoor het e-mailadres van het slachtoffer automatisch in het formulier wordt geplaatst. Dit vergroot de authenticiteit en maakt de slachtoffers minder wantrouwend, waardoor ze sneller hun wachtwoorden invoeren. Het framework achter deze aanval werkt verder met een vierfasenproces, waarbij eerst een CAPTCHA-uitdaging wordt gebruikt om bots te blokkeren, gevolgd door een valse inlogpagina, een nep-betalingspagina en uiteindelijk een frauduleuze 3D Secure-verificatiepagina. Alle gestolen gegevens worden via Telegram-kanalen direct naar de aanvallers verzonden, waardoor ze direct op de hoogte worden gehouden van elke nieuwe slachtofferinvoer. Nadat het proces is voltooid, worden de slachtoffers doorgestuurd naar de legitieme Aruba-website, waardoor ze onbewust blijven van de compromittering van hun gegevens.

Deze operatie benadrukt de groeiende trend van phishing-as-a-service, waarbij vooraf gebouwde kits de technische drempels verlagen en op industriële schaal bijdragen aan credential theft.

Bron 1

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Naar overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

Na de grote diefstal in het Louvre in Parijs is een beveiligingsfirma, CGI Group, benaderd om via het darkweb te onderhandelen over de verkoop van gestolen juwelen ter waarde van 88 miljoen euro. De juwelen, die nog niet zijn teruggevonden, werden aangeboden door iemand die beweerde de dieven te vertegenwoordigen. CGI besloot de autoriteiten in Parijs in te schakelen, maar bureaucratische vertragingen verhinderden dat er verder actie werd ondernomen. Het beveiligingsbedrijf had gehoopt de daders te kunnen traceren en de juwelen terug te krijgen. Dit incident doet denken aan eerdere succesvolle samenwerkingen van CGI bij het oplossen van andere grote diefstallen, zoals de miljoenenroof in Dresden in 2019. Inmiddels is Interpol betrokken bij de verspreiding van informatie over de gestolen goederen. Er is echter nog geen informatie over de locatie van de juwelen.

Proton heeft bevestigd dat er 300 miljoen gestolen inloggegevens op het darkweb zijn ontdekt, waarvan 49% wachtwoorden bevat. Deze gegevens zijn afkomstig van zowel kleine bedrijven als individuele gebruikers, waarbij 71% van de records uit gegevens van kleine en middelgrote bedrijven (SMB's) komt. Proton maakte gebruik van zijn nieuwe Data Breach Observatory-tool om deze informatie direct van de criminele marktplaatsen op het darkweb te verzamelen, in plaats van te vertrouwen op openbaar gemaakte gegevens van getroffen organisaties. De blootstelling van deze gegevens wijst op de kwetsbaarheid van wachtwoordbeveiliging, vooral gezien de vele gevallen van phishing en malware-aanvallen. Experts waarschuwen dat de misbruik van gestolen inloggegevens steeds vaker voorkomt, met aanvallers die gebruik maken van legitieme accounts en tools om in te breken. Gebruikers wordt geadviseerd om wachtwoorden te veranderen, waar mogelijk gebruik te maken van wachtwoorden zonder, en altijd twee-factor-authenticatie in te schakelen.

Bron 1

Eigenwallet, voorheen bekend als UnstoppableSwap, biedt een platform voor gedecentraliseerde, veilige Bitcoin-Monero atomic swaps. Dit platform maakt gebruik van een geavanceerd cryptografisch protocol en open-source desktopsoftware. De service garandeert dat er geen KYC (Know Your Customer) wordt gevraagd, wat de privacy van gebruikers beschermt. De platformen zijn niet-custodial, wat betekent dat gebruikers de controle houden over hun eigen sleutels. Eigenwallet is ook beschikbaar via .onion en I2P-netwerken, wat extra anonimiteit biedt. De site heeft geen registratievereisten en biedt een peer-to-peer netwerk voor transacties. Hoewel de privacy scores hoog zijn, is de verwerkingstijd voor transacties vaak traag. Er is geen beleid voor een bug bounty of privacybeleid beschikbaar. Deze kenmerken maken het platform handig voor cybercriminelen die op zoek zijn naar manieren om transacties anoniem uit te voeren.

We are keeping an eye 👁️👁️ on you, cybercriminals!

China heeft aangekondigd de export van Nexperia-producten, geproduceerd in Chinese fabrieken, onder bepaalde voorwaarden te hervatten. Deze beslissing volgt op gesprekken tussen de Amerikaanse president Donald Trump en zijn Chinese tegenhanger Xi Jinping, waarbij de exportbeperkingen werden versoepeld. Het exportverbod werd opgelegd door China nadat Nederland het bedrijf onder curatele had gesteld vanwege zorgen over het uitlekken van technologische kennis naar China. De versoepeling van het exportverbod is bedoeld om de productie van cruciale chips voor de wereldwijde markt te waarborgen, vooral voor de auto-industrie, die werd getroffen door de verstoring van de chipleveringen. De specifieke voorwaarden voor de hervatting zijn nog niet duidelijk, maar China benadrukt dat bedrijven die aan bepaalde criteria voldoen, vrijstellingen kunnen krijgen.

Bron 1, 2

Nederlandse bedrijven zijn steeds beter voorbereid op cyberaanvallen, maar de kwetsbaarheid ligt bij toeleveranciers, die vaak niet hetzelfde beveiligingsniveau kunnen bieden. Volgens experts zoals Willemijn Aerdts van de Universiteit Leiden, maken statelijke actoren uit landen als Rusland en China gebruik van deze zwakke schakels. Grote bedrijven in vitale sectoren, zoals de defensie- en chipindustrie, spoorwegen en vliegvelden, realiseren zich vaak hun kwetsbaarheid, maar kunnen niet altijd garanderen dat hun externe leveranciers dezelfde veiligheidsmaatregelen treffen. Aanvallers zoeken vaak naar manieren om via deze kleinere bedrijven toegang te krijgen tot grotere systemen, bijvoorbeeld door besmette hardware of malware te leveren. Bewustzijn over de dreigingen is essentieel, evenals het versterken van de beveiliging bij zowel grote bedrijven als hun toeleveranciers.

Bron 1

Zico Kolter, professor aan Carnegie Mellon University, leidt een panel bij OpenAI dat de autoriteit heeft om de release van nieuwe AI-systemen te stoppen als ze als onveilig worden beschouwd. Het panel heeft de mogelijkheid om technologische releases uit te stellen totdat de risico’s zijn gemitigeerd, bijvoorbeeld als AI wordt gebruikt voor massavernietigingswapens of schadelijk is voor de geestelijke gezondheid. Kolter benadrukt dat AI-beveiliging niet alleen gaat om existentiële dreigingen, maar ook over de bredere impact van AI op de samenleving. Na OpenAI’s recente verschuiving naar een voor-profit structuur, is het panel cruciaal geworden om te zorgen dat veiligheid voorop blijft staan bij zakelijke overwegingen. Kolter en zijn team worden nauwlettend gevolgd, aangezien ze een belangrijke rol spelen in het waarborgen van de veiligheid van AI-systemen.

Bron 1

De Open VSX-registry heeft toegangstokens geroteerd nadat deze per ongeluk waren gelekt door ontwikkelaars in openbare repositories, wat cybercriminelen in staat stelde schadelijke extensies te publiceren als onderdeel van een supply-chain aanval. De lekken werden twee weken geleden ontdekt door Wiz-onderzoekers, die meer dan 550 geheime sleutels blootlegden die toegang gaven tot projecten met 150.000 downloads. Het lek werd snel geïdentificeerd en de schadelijke extensies werden op 21 oktober uit de Open VSX-registry verwijderd. De aanval werd geïdentificeerd als "GlassWorm", die gebruik maakte van onzichtbare Unicode-tekens om ontwikkelaarsgegevens te stelen. De Open VSX en de Eclipse Foundation hebben aangekondigd extra beveiligingsmaatregelen te implementeren om dergelijke incidenten in de toekomst te voorkomen, waaronder kortere tokenlevenscycli en snellere intrekkingsprocessen voor gelekte tokens. Het incident werd inmiddels volledig ingedamd, zonder blijvende impact.

Bron 1, 2

Saoedi-Arabië wil zijn olie-inkomsten gebruiken om een wereldleider op het gebied van kunstmatige intelligentie (AI) te worden. Het onlangs opgerichte staatsbedrijf Humain, ondersteund door een investeringsfonds van 1000 miljard dollar en goedkope zonne-energie, ziet kansen om zich te positioneren tussen China en de VS. Humain heeft al samenwerkingen gesloten met grote AI-bedrijven zoals Nvidia en Amazon Web Services. De Saoedische overheid streeft ernaar om in tien jaar tijd 6 gigawatt aan datacenters te realiseren. Dit initiatief maakt deel uit van de bredere visie om de Saoedische economie minder afhankelijk te maken van olie-inkomsten. Humain’s CEO, Tareq Amin, gelooft niet in een AI-bubbel en ziet een enorme waarde in de toekomst van AI, ondanks de huidige onvolledige ontwikkeling van de technologie. De groei van AI is volgens Amin nog maar net begonnen.

Bron 1

LinkedIn heeft aangekondigd te beginnen met het gebruiken van gegevens van Europese gebruikers voor het trainen van generatieve AI-modellen. Deze gegevens omvatten profielinformatie zoals naam, foto, huidige functie, werkervaring, opleiding, locatie en vaardigheden, evenals openbare content zoals posts, artikelen, reacties en polls. Privéberichten worden volgens LinkedIn niet gebruikt voor de training. Gebruikers kunnen zich via de instellingen afmelden voor het gebruik van nieuwe gegevens, maar de opt-out geldt niet voor eerder verstrekte informatie. De Autoriteit Persoonsgegevens heeft zijn bezorgdheid geuit over het verlies van controle over persoonlijke data zodra deze in de AI-systemen van LinkedIn wordt verwerkt. LinkedIn stelt dat het gebruik van deze gegevens noodzakelijk is voor het verbeteren van gebruikerservaringen, zoals het beter matchen van gebruikers met kansen en het helpen bij het creëren van content.

Bron 1

De Zweedse privacytoezichthouder IMY is een onderzoek gestart naar een datalek bij de IT-leverancier Miljödata, dat 1,5 miljoen Zweden heeft getroffen. Het lek gebeurde na een ransomware-aanval die plaatsvond in augustus. Miljödata levert HR-systemen en is een belangrijke speler voor ruim tachtig procent van de Zweedse gemeenten en diverse bedrijven. Door de aanval hadden deze gemeenten geen toegang meer tot hun systemen. Naast het versleutelen van data werden ook persoonlijke gegevens gestolen en vervolgens op het darknet gepubliceerd, waaronder gevoelige informatie van veel Zweden. IMY onderzoekt nu of de beveiliging bij Miljödata onvoldoende was en wat er moet worden gedaan om soortgelijke incidenten in de toekomst te voorkomen. De onderzoekers hebben nog niet aangegeven wanneer het onderzoek zal worden afgerond.

Bron 1

Balancer heeft bevestigd dat hackers zijn gericht op de v2-pools van het platform, waarbij de verliezen worden geschat op meer dan 128 miljoen dollar. Balancer is een gedecentraliseerd financieel (DeFi) protocol op de Ethereum-blockchain, dat fungeert als een automatische marktmaker en liquiditeitsinfrastructuur. Het platform biedt flexibele pools met op maat gemaakte tokenmixen voor gebruikers om activa te storten en handel te verrichten. De hack was het gevolg van een fout in de precisierondingen van de swap-berekeningen in de V2 Compostable Stable Pools. De aanvaller exploiteerde de kleine discrepanties die ontstonden bij elke swap en genereerde zo een aanzienlijke prijsverstoring. Ondanks eerdere audits van het protocol werden deze kwetsbaarheden niet gedetecteerd. De aanvallers zijn nog niet geïdentificeerd, maar DeFi-platforms blijven kwetsbaar voor aanvallen zoals deze.

Bron 1, 2, 3

De recente diefstal van kunstwerken ter waarde van bijna €90 miljoen uit het Louvre is een blamage voor het museum. Het bleek dat de toegang tot de video-surveillance-server mogelijk was met het eenvoudige wachtwoord "LOUVRE", wat de zwakke beveiliging blootlegt. Vijf jaar geleden waarschuwde de Nationale Cyberbeveiligingsdienst al voor deze kwetsbaarheid. De dieven slaagden erin het museum in de Apollo Gallery binnen te dringen via een vrachtlift en vluchtten op een motorfiets met de kroonjuwelen. Er wordt gespeculeerd dat de dieven geen geavanceerde criminelen zijn, maar eerder eenvoudige inbrekers zonder interne hulp. Vier verdachten zijn inmiddels gearresteerd, waaronder een stel uit La Courneuve, wiens DNA werd gevonden op de vrachtlift. De zoektocht naar de gestolen goederen en eventuele andere betrokkenen gaat door. De rol van de verdachten doet vermoeden dat deze diefstal mogelijk niet het werk is van georganiseerde misdaad.

Bron 1

Op 2 november 2025 werd op het darkweb geclaimd dat het Israëlische Iron Dome-systeem te koop werd aangeboden door een actor die een negatieve reputatie van -30 heeft. Deze actor, actief op het darkweb, heeft eerder in de media aandacht getrokken door het delen van gevoelige informatie en gegevens die doorgaans geassocieerd worden met cybercriminaliteit. Het is echter niet duidelijk of deze bewering van de actor geloofwaardig is of dat het slechts een poging tot misleiding is. De aanbieding heeft veel reacties uitgelokt, waaronder discussies over de mogelijke implicaties van een dergelijke verkoop, als het al waar zou zijn. De kwestie roept zorgen op over de veiligheid van kritieke systemen en de rol van het darkweb bij de verspreiding van gevoelige militaire technologie.

Ernst & Young heeft een fout ontdekt die resulteerde in de blootstelling van meer dan 4 terabyte aan gegevens in een SQL-database. De gegevens waren toegankelijk via het open internet en bevatten gevoelige informatie, waaronder persoonlijke gegevens en bedrijfsinformatie. Deze ontdekking benadrukt de risico's van slecht geconfigureerde databases en de noodzaak voor strengere beveiligingsmaatregelen bij het beheren van vertrouwelijke gegevens. Er wordt momenteel onderzocht hoe lang de gegevens blootstonden en welke impact dit heeft gehad op betrokken organisaties. Het incident heeft geleid tot een bredere discussie over de kwetsbaarheden van cloud- en serveromgevingen, evenals de verplichting van bedrijven om goede beveiligingsprotocollen te volgen. Ernst & Young heeft stappen ondernomen om het probleem te verhelpen en de beveiliging te versterken, maar het incident blijft een belangrijk voorbeeld van de risico's van onvoldoende bescherming van bedrijfsdata.

Volgens een recent rapport van het Jeugdonderzoeksplatform (JOP) is de helft van de Vlaamse jongeren in het afgelopen jaar slachtoffer geworden van een misdrijf. Het meest voorkomende misdrijf is cyberflashing, waarbij seksueel getinte foto's ongewenst worden verstuurd. Ongeveer 1 op de 4 jongeren heeft hiermee te maken gehad, met variaties tussen steden: in Gent meldde 30% van de jongeren dit fenomeen, terwijl in Brussel 21% werd gerapporteerd. Naast cyberflashing werden jongeren ook vaak lastiggevallen op straat (16%) en slachtoffer van diefstal (16%). Het rapport toont aan dat jongeren uit grotere steden zoals Brussel en Gent vaker slachtoffer zijn van misdrijven dan hun leeftijdsgenoten in de rest van Vlaanderen. Opvallend is dat jongeren die slachtoffer werden, meestal geen hulp zochten, hoewel zij in de meeste gevallen steun bij familie of vrienden vonden.

Bron 1

AURA is een relatief nieuwe speler op de markt van infostealers, met een groeiende gemeenschap van gebruikers. Het ontwikkelteam benadrukt de technische superioriteit en stabiliteit van hun product, met ervaren programmeurs die dagelijks nieuwe technologieën toepassen. De naam AURA is gekozen vanwege de associatie met succes, wat weerspiegeld wordt in hun logo. Hoewel AURA soms wordt vergeleken met Lumma, wordt dit ontkend door het team, die stelt dat de enige gelijkenis in de visuele aspecten ligt, door het gebruik van een gemeenschappelijk webtemplate. AURA richt zich op snelle groei, met een klantenbestand dat sneller toeneemt dan sommige concurrenten die al jaren actief zijn. Het product werkt niet in CIS-landen, wat bewust is geïmplementeerd als beveiligingsmaatregel. Het team heeft ambitieuze plannen om de leider in de markt te worden, ondanks de uitdagingen en concurrentie.

Bron 1

De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat kredietverstrekkers niet zonder meer volledige bankafschriften mogen eisen van consumenten. Dit vormt volgens de AP een te grote inbreuk op de privacy. Het advies van de toezichthouder komt na de beoordeling van een wetsvoorstel over leningen, waarin onder andere strengere regels worden voorgesteld voor kleine leningen en ‘koop nu, betaal later’-diensten. De AP vindt dat consumenten meer controle moeten krijgen over de gegevens die kredietverstrekkers mogen inzien. Het verplicht verstrekken van bankafschriften kan namelijk een volledig beeld geven van iemands persoonlijke leven en voorkeuren, wat te ver gaat. De toezichthouder pleit voor regels die kredietverstrekkers in staat stellen om kredietwaardigheid te beoordelen met minder ingrijpende gegevens.

Bron 1

Minister Van Oosten van Justitie en Veiligheid meldt dat er brede steun is voor de invoering van een Europese bewaarplicht. De discussie hierover werd recent gevoerd tijdens de Raad Justitie en Binnenlandse Zaken (JBZ). De voorgestelde bewaarplicht volgt op de ongeldigverklaring van de dataretentie-richtlijn door het Europese Hof van Justitie elf jaar geleden. De Europese Commissie onderzoekt of een nieuwe, geharmoniseerde bewaarplicht mogelijk is, mede naar aanleiding van een advies van de High-Level Group ‘Going Dark’. Deze groep pleit voor toegang van opsporingsdiensten tot versleutelde data en de invoering van encryptie-backdoors. Het demissionaire kabinet steunt het plan en wijst op de rechtsongelijkheid die door de huidige versnipperde wetgeving is ontstaan. Er is brede steun onder lidstaten, maar er is ook felle kritiek van Europese burgers via een online impactbeoordeling. De Commissie verwacht begin 2026 de resultaten van de impactbeoordeling te presenteren.

Bron 1

Tijdens een ontmoeting met de Zuid-Koreaanse president Lee Jae-myung op zaterdag maakte de Chinese president Xi Jinping een grap over Xiaomi-smartphones, waarbij hij suggereerde dat de toestellen mogelijk achterdeurtjes bevatten. De opmerking werd gemaakt nadat Lee, die een Go-bord cadeau gaf aan Xi, vroeg of de smartphones die aan hem werden gegeven, veilig waren. Xi's reactie was dat Lee moest controleren op achterdeurtjes, wat resulteerde in een lach van beide leiders. De opmerking is opmerkelijk, aangezien achterdeurtjes in technologie vaak worden geassocieerd met inbreuk op de privacy en staatsbespionage, wat een veelvoorkomende zorg is rondom Chinese technologiebedrijven zoals Huawei en ZTE. De opmerking van Xi lijkt te spelen met de bezorgdheden die bestaan over de beveiliging van Chinese apparaten, terwijl Xiaomi als een belangrijke speler op de mondiale smartphonemarkt wordt gezien.

Bron 1

Deskundigen hebben honderden tests beoordeeld die AI-modellen evalueren op veiligheid en effectiviteit. Uit hun onderzoek blijkt dat vrijwel alle tests zwakke punten bevatten die de geldigheid van de claims over deze AI-modellen kunnen ondermijnen. De onderzoekers, waaronder experts van het AI Security Institute en universiteiten zoals Oxford, Berkeley en Stanford, ontdekten dat veel gebruikte benchmarks – belangrijke maatstaven voor AI-modellen – op verschillende gebieden tekortschieten. Slechts 16% van de benchmarks gebruikt statistische tests die de accuraatheid van de resultaten ondersteunen. Dit probleem heeft ernstige implicaties voor de betrouwbaarheid van AI-modellen die door technologiebedrijven worden gepromoot. Experts roepen op tot de ontwikkeling van uniforme normen voor het testen van AI-modellen. Het onderzoek benadrukt ook de gevaren die gepaard gaan met het gebruik van AI, zoals valse beschuldigingen of zelfs tragische incidenten, wat de noodzaak van robuuste normen verder onderstreept.

Bron 1

Marks and Spencer meldt een sterke daling van de winst over de eerste helft van het jaar nadat een cyberaanval het online verkoopkanaal langdurig stillegde. De winst vóór belastingen daalde met ruim de helft en de online verkoop van mode en woonartikelen zakte aanzienlijk doordat de winkel zes weken lang geen bestellingen kon verwerken. De logistieke systemen raakten eveneens verstoord, wat leidde tot lege schappen. Het bedrijf wijt de aanval aan menselijke fout en schat het verlies in omzet op meer dan driehonderd miljoen pond, waarvan een deel werd gecompenseerd door een verzekeringsuitkering. De aanval had ook gevolgen voor klantgegevens die konden zijn buitgemaakt. Andere Britse winkels zoals Harrods en Co op kregen te maken met vergelijkbare aanvallen. Volgens deskundigen versnelt de inzet van generatieve ai de dreigingsontwikkeling en blijft versterking van digitale weerbaarheid noodzakelijk.

Bron 1

Avans Hogeschool heeft het gebruik van de Outlook functies Copilot en Samenvatten verboden voor iedereen met een Avans account en voor externe verwerkers van Avans gegevens. De instelling wijst op het risico dat via deze AI functies persoonsgegevens en bedrijfsgevoelige informatie worden verwerkt en mogelijk lekken. Volgens Avans kunnen de knoppen op dit moment niet centraal worden uitgeschakeld vanwege de manier waarop Microsoft de functies aanbiedt; het uitschakelen zou andere essentiële onderdelen van Outlook kunnen beïnvloeden. Daarom vraagt de hogeschool medewerkers en studenten om de functies niet te gebruiken en zorgvuldig met e mail te blijven omgaan. Avans werkt aan formeel beleid om de regels vast te leggen en gaat in gesprek met Microsoft om naar een structurele oplossing te zoeken. Totdat hierover duidelijkheid bestaat, blijft het gebruik van de AI functies in Outlook binnen de organisatie niet toegestaan. Bron 1

Een klant van Revolut die slachtoffer werd van bankhelpdeskfraude krijgt geen vergoeding voor de schade van 12.000 euro. Volgens het financiële klachteninstituut Kifid heeft het slachtoffer grof nalatig gehandeld door beveiligingscodes via WhatsApp te delen en waarschuwingen van de bank te negeren. De oplichters deden zich telefonisch en via berichten voor als bankmedewerkers en overtuigden het slachtoffer om geld “veilig te stellen”. Daarbij werden meerdere betalingen uitgevoerd, waaronder een transactie naar crypto.com. Revolut had enkele pogingen al geblokkeerd vanwege vermoedens van fraude, maar de klant bevestigde zelf dat betalingen doorgang moesten vinden. Het Kifid concludeert dat de bank geen zorgplicht heeft geschonden en binnen het coulancekader mocht besluiten geen compensatie toe te kennen. De klacht van het slachtoffer werd ongegrond verklaard.

Bron 1

In de Tweede Kamer zijn vragen gesteld over de afhankelijkheid van de Nederlandse financiële sector van grote Amerikaanse technologiebedrijven. GroenLinks-PvdA vraagt demissionair ministers Heinen (Financiën) en Karremans (Economische Zaken) of zij bereid zijn deze afhankelijkheid te verminderen door samen te werken met de Autoriteit Financiële Markten en De Nederlandsche Bank. Beide toezichthouders waarschuwden recent voor concentratie- en systeemrisico’s, omdat verstoringen bij één Amerikaanse leverancier grote gevolgen kunnen hebben voor de hele sector. De Kamer wil weten of de regering kan onderzoeken welke structurele risico’s hiermee gepaard gaan, welke obstakels Europese samenwerking voor digitale autonomie hinderen en of Amerikaanse bedrijven onder Amerikaanse surveillancewetgeving kunnen worden uitgesloten bij aanbestedingen. De ministers hebben drie weken de tijd om de vragen te beantwoorden.

Bron 1

In de Verenigde Staten groeit de bezorgdheid over Amazons plan om gezichtsherkenning toe te voegen aan de Ring-deurbelcamera. De nieuwe functie “Familiar Faces” maakt het mogelijk om personen te taggen zodat de camera hen later automatisch herkent. Daarbij worden gezichten van voorbijgangers gescand en kan Amazon de verzamelde biometrische data tot zes maanden bewaren. De burgerrechtenorganisatie EFF waarschuwt dat dit kan leiden tot massasurveillance, datalekken en discriminatie, mede doordat Ring al samenwerkt met politie en opsporingsdiensten. Ook senator Edward Markey uitte zijn zorgen en riep Amazon op het plan te schrappen. Volgens hem vormt de uitbreiding een bedreiging voor de privacy van burgers, omdat mensen gevolgd kunnen worden zonder hun medeweten. Amazon kondigde daarnaast de “search party”-functie aan, bedoeld voor het opsporen van huisdieren, maar volgens critici eenvoudig inzetbaar voor het volgen van personen.

Bron 1, 2

De Apache Software Foundation heeft ontkend dat haar OpenOffice-project slachtoffer is geworden van een aanval door de Akira-ransomwaregroep. De criminelen beweerden 23 gigabyte aan bedrijfsdocumenten te hebben gestolen, waaronder personeels- en financiële gegevens. Volgens de stichting is er echter geen enkel bewijs dat er een inbraak of datalek heeft plaatsgevonden. OpenOffice is een open-sourceproject zonder betaalde medewerkers, waardoor de organisatie niet over de genoemde gevoelige informatie beschikt. Er is geen losgeldeis ontvangen en er zijn geen aanwijzingen dat de infrastructuur van Apache of OpenOffice is gecompromitteerd. De foundation benadrukt dat alle ontwikkelingsactiviteiten openbaar verlopen via mailinglijsten, waardoor interne documenten zoals door Akira beschreven niet bestaan. Tot op heden is geen gestolen data gepubliceerd en heeft Apache geen contact gezocht met politie of externe beveiligingsexperts.

Bron 1

SonicWall heeft bevestigd dat staatsgesponsorde hackers verantwoordelijk waren voor de beveiligingsinbreuk in september, waarbij de back-upbestanden van de firewallconfiguraties van klanten werden blootgesteld. Het onderzoek, uitgevoerd door Mandiant, toonde aan dat de schadelijke activiteiten geen invloed hadden op SonicWall-producten, firmware, systemen, tools, broncode of klantennetwerken. De inbreuk werd beperkt tot onbevoegde toegang tot cloud-back-upbestanden in een specifieke cloudomgeving via een API-aanroep. De gedupeerden kregen het advies om hun inloggegevens te resetten en bepaalde wachtwoorden en toegangscodes te vernieuwen. Het incident had geen impact op de producten of de werking van SonicWall, en er is geen verband met eerdere aanvallen van de Akira-ransomwaregroep. Het onderzoek is inmiddels afgerond en de cyberweerbaarheid van SonicWall is versterkt.

Bron 1

China heeft recent meerdere leden van criminele families die betrokken zijn bij zogenaamde "pig butchering"-oplichterij, tot de doodstraf veroordeeld. De Bai-maffiafamilie is de laatste in een reeks die verantwoordelijk was voor grootschalige oplichtingen in Zuidoost-Azië, met name in Myanmar. Deze bende opereerde op 41 locaties en genereerde miljarden dollars door het uitvoeren van oplichtingsschema's, zoals frauduleuze casino’s en dwangprostitutie. De leden van de Bai-familie werden aangeklaagd voor moord, ontvoering, afpersing, en andere misdaden. Verschillende leden, waaronder de leiders Bai Suocheng en Bai Yingcang, kregen de doodstraf, terwijl andere levenslange gevangenisstraffen of langere straffen kregen. De Chinese autoriteiten intensiveren hun samenwerking met Myanmar en Thailand om dergelijke misdaden harder aan te pakken, met waarschuwingen dat de daders het uiterste risico lopen.

Bron 1

De blokkade door China van de export van Nexperia-chips heeft de auto-industrie in Europa in een crisissituatie gebracht. Nexperia, gevestigd in Nijmegen, levert essentiële chips die in talloze auto-onderdelen zitten. Door de stopzetting van de leveringen dreigen autofabrieken stil te vallen, aangezien de voorraden snel opraken. Grote fabrikanten zoals Volkswagen en Nissan melden dat het onzeker is of ze na deze week nog door kunnen produceren. Honda heeft een fabriek in Mexico al stilgelegd door het chiptekort. Nexperia-chips zijn moeilijk te vervangen, omdat andere leveranciers mogelijk niet dezelfde hoeveelheden kunnen leveren en het technisch lastig is om ze te vervangen zonder aanzienlijke aanpassingen. De Europese autobezorgers hopen dat China uitzonderingen kan maken op de exportblokkade, maar er is nog veel onzekerheid over de voorwaarden en het papierwerk kan weken duren. De situatie blijft kritiek voor de auto-industrie.

Er is veel onduidelijkheid voor bedrijven over de nieuwe Cyberbeveiligingswet, die voortkomt uit de Europese NIS2-richtlijn. Deze wet, die organisaties in cruciale sectoren verplicht om hun cyberbeveiliging op orde te brengen en incidenten te melden, zou oorspronkelijk in oktober 2024 ingaan, maar is nu uitgesteld tot het tweede kwartaal van 2026. Deskundigen geven aan dat de voortdurende vertraging en onduidelijke communicatie van de overheid de urgentie voor bedrijven ondermijnen. Veel bedrijven weten nog steeds niet of zij onder de wet vallen en krijgen geen duidelijke antwoorden van overheidsinstanties zoals het NCSC. De overheid heeft aangekondigd dat er eind november een online campagne zal starten om bedrijven beter te informeren en hen aan te moedigen stappen te zetten richting naleving van de wet.

Bron 1

Matthijs van Amelsfort, directeur van het Nationaal Cyber Security Centrum (NCSC), benadrukt dat het NCSC niet optreedt als de ‘digitale brandweer’ van Nederland. De invoering van de Cyberbeveiligingswet (Cbw) zal leiden tot een stijging van het aantal organisaties dat het centrum ondersteunt van 300 naar naar verwachting 8.000 tot 10.000. Deze wet, die voortkomt uit de Europese NIS2-richtlijn, verplicht bedrijven in cruciale sectoren zoals energie en zorg om hun cyberbeveiliging op orde te hebben. De wet introduceert meld- en registratieplichten, en bedrijven zullen bestuurlijk aansprakelijk zijn voor nalatigheid. Het NCSC blijft zich richten op het adviseren, duiden en onderzoeken van cyberincidenten, maar bedrijven moeten zelf de verantwoordelijkheid nemen voor het oplossen van incidenten. De wet zou in 2026 in werking moeten treden, nadat eerdere deadlines zijn gemist.

Bron 1

Norton’s onderzoeksafdeling heeft een kwetsbaarheid ontdekt in de Midnight-ransomware, die is opgebouwd uit de Babuk ransomware-code. Deze kwetsbaarheid, die oorspronkelijk bedoeld was om de versleuteling te versnellen en te versterken, leidde echter tot een verslechtering van de beveiliging. Het gebruik van RSA-sleutels in combinatie met ChaCha20-versleuteling maakte het mogelijk voor Norton om een gratis decryptor te ontwikkelen die slachtoffers in staat stelt hun bestanden zonder losgeld te herstellen. Midnight, die vergelijkbaar is met Babuk, versleutelt delen van bestanden in plaats van de gehele bestanden, waardoor de versleuteling sneller wordt uitgevoerd. De decryptor van Norton is nu beschikbaar voor Windows-gebruikers in zowel 32-bits als 64-bits versies en biedt een veilige manier om gegevens te herstellen. Norton raadt aan een back-up te maken voordat het herstelproces wordt gestart om verlies van gegevens te voorkomen.

Bron 1, 2

De beruchte cybercriminelen van de FIN7 groep, ook wel bekend als Savage Ladybug, blijven een aanzienlijke bedreiging vormen voor bedrijfsomgevingen door een verfijnde Windows SSH backdoor te gebruiken. Deze malware, die sinds 2022 actief is, stelt aanvallers in staat om persistente toegang te verkrijgen en data te stelen, terwijl traditionele detectiemechanismen worden omzeild. De groep maakt gebruik van legitieme OpenSSH-tools en batchscripts om een verborgen communicatielijn te creëren tussen gecompromitteerde systemen en de infrastructuur van de aanvallers. Dit maakt het moeilijk om de aanvallen op te merken, aangezien het verkeer lijkt op reguliere administratieve verbindingen. De backdoor biedt verschillende manieren voor de aanvallers om data te extraheren en zich lateraal door netwerken te bewegen, terwijl de veranderingen minimaal zijn om detectie te voorkomen. Organisaties wordt aangeraden strikte SSH-toegangscontrole in te stellen en op afwijkende verbindingen te letten om deze dreiging effectief te bestrijden.

Bron 1

De Curly COMrades hacker groep heeft een geavanceerde aanvalsmethode geïntroduceerd die gebruik maakt van Hyper-V virtualisatietechnologie op gecompromitteerde Windows 10-machines. De groep activeert de Hyper-V rol en gebruikt een minimalistische Alpine Linux-gebaseerde virtuele machine (VM) om malware, zoals de reverse shell CurlyShell en de reverse proxy CurlCat, te draaien. Deze virtuele omgeving is moeilijk te detecteren door traditionele beveiligingsmaatregelen, omdat het verkeer via het netwerk van de host verloopt. Het gebruik van proxy- en tunnelingtools versterkt de flexibiliteit van de toegang tot de getroffen systemen. Deze aanval markeert een verfijnde stap in de tactieken van de groep, die zich eerder in augustus 2025 richtte op geopolitieke doelen. De operatie benadrukt de technologische vaardigheid en zorgvuldige planning van de aanvallers.

Bron 1

Vanaf 2030 moeten Nederlandse basisscholen en middelbare scholen voldoen aan strikte normen voor digitale veiligheid. Deze normen, die onder andere betrekking hebben op de veilige uitwisseling van privacygevoelige informatie en het omgaan met hacks, worden vastgesteld om de risico's van cyberaanvallen op het onderwijs te verkleinen. Demissionair staatssecretaris Becking benadrukt dat er in 2025 verschillende cyberincidenten plaatsvonden die de continuïteit van het onderwijs in gevaar brachten. Om scholen te ondersteunen, is het programma Digitaal Veilig Onderwijs (DVO) opgericht, dat samenwerkt met diverse organisaties zoals de PO-Raad en VO-raad. Scholen hebben tot 2030 de tijd om de normen uit het "Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs" te implementeren, met financiële steun van de overheid. De Inspectie van het Onderwijs kan ingrijpen als scholen niet voldoen aan de vereisten.

Bron 1, 2, 3

Britse telecombedrijven hebben nieuwe maatregelen aangekondigd om telefoonspoofing te bestrijden. De maatregelen richten zich op het voorkomen van misleidende telefoongesprekken, zoals bankfraude waarbij oplichters zich voordoen als medewerkers van een bank. De telecomproviders, waaronder BT en Vodafone, zullen hun netwerken upgraden om spoofing door buitenlandse callcenters te blokkeren. Bij gesprekken van dergelijke callcenters wordt het internationale telefoonnummer voortaan aangegeven. Daarnaast wordt er technologie ingezet om verdachte telefoontjes en sms-berichten te blokkeren voordat ze bij eindgebruikers terechtkomen. De telecombedrijven werken ook samen met de politie om data te delen en gesprekken te traceren, wat hen moet helpen bij het opsporen van criminelen. Deze nieuwe maatregelen moeten de impact van oplichtingspraktijken verminderen, aangezien steeds meer mensen geconfronteerd worden met telefoonspoofing.

Bron 1

Rockstar Games heeft onlangs meer dan dertig medewerkers ontslagen, naar eigen zeggen vanwege het delen van vertrouwelijke bedrijfsinformatie op een online forum. De werknemers zouden zich schuldig hebben gemaakt aan het schenden van interne richtlijnen door geheime gegevens in een openbare Discord-groep te delen. Volgens de vakbond The Independent Workers' Union of Great Britain zouden de ontslagen echter verband houden met het lidmaatschap van de vakbond of de wens om zich aan te sluiten. De vakbond beschouwt deze ontslagen als onwettig, maar Rockstar betwist dit en stelt dat de medewerkers wegens wangedrag zijn ontslagen. Het bedrijf benadrukt dat het ontslag geen verband houdt met vakbondactiviteiten. Rockstar, bekend van onder andere de Grand Theft Auto-reeks, werkt momenteel aan de langverwachte game GTA VI, waarvan de lancering gepland is voor november 2026, na een eerdere uitstel.

Bron 1

In september 2025 veroorzaakte een cyberaanval chaos in de Europese luchtvaart, waarbij systemen op luchthavens zoals Heathrow, Brussel en Berlijn werden uitgeschakeld. De aanval richtte zich op de MUSE-software van Collins Aerospace, die wordt gebruikt voor passagiersverwerking. Hoewel aanvankelijk ransomware als oorzaak werd genoemd, claimde de Everest Ransomware Groep verantwoordelijk te zijn voor de inbraak. Ze maakten gebruik van gestolen inloggegevens, die eerder in 2022 waren buitgemaakt, en exfiltreerden meer dan 50 GB aan gegevens, waaronder persoonlijke gegevens van passagiers en werknemers. De groep ontkent ransomware te hebben gebruikt en beschuldigt Collins Aerospace van verzekeringsfraude, waarbij ze de servers opzettelijk afsloten om een verzekeringsbetaling te verkrijgen. De Everest Groep benadrukt dat hun focus ligt op het blootleggen van veiligheidsproblemen zonder schade aan infrastructuur aan te richten.

Bron pdf downloaden

De EFF en AV-Comparatives hebben de effectiviteit van dertien virusscanners voor Android getest op het detecteren van stalkerware. Stalkerware zijn apps die op smartphones geïnstalleerd kunnen worden om slachtoffers op afstand te bespioneren. Het onderzoek toonde aan dat slechts één virusscanner, Malwarebytes, alle stalkerware-apps correct detecteerde. Google Play Protect, de standaardbeveiliging op veel Android-apparaten, miste 53% van de apps, terwijl Trend Micro slechts 59% van de apps detecteerde. Stalkerware kan ongemerkt op de achtergrond draaien en is moeilijk te verwijderen, vaak door blokkering van systeeminstellingen. Het rapport benadrukt dat gebruikers niet uitsluitend moeten vertrouwen op ingebouwde beveiliging en dat virusscanners duidelijke informatie en veilige verwijderingsopties moeten bieden. De opkomst van goedkopere bluetooth-trackers zoals Apple AirTags wordt genoemd als mogelijke vervanger voor traditionele stalkerware-apps.

Bron pdf (download)

De verplichte online leeftijdsverificatie die in het Verenigd Koninkrijk sinds enkele maanden van kracht is, wordt vaak omzeild door gebruikers via VPN-verbindingen, zo blijkt uit een verslag van de commissie Digitale Zaken van de Tweede Kamer. De verplichting, onderdeel van de Online Safety Act, heeft als doel de toegang tot bepaalde online inhoud te beperken voor minderjarigen. Hoewel steeds meer landen, zoals Spanje, Frankrijk en Denemarken, soortgelijke maatregelen overwegen, blijkt de implementatie in het VK niet volledig effectief. VPN-providers rapporteren een toename van gebruikers die de leeftijdsverificatie ontwijken. In reactie hierop waarschuwde de Britse toezichthouder Ofcom dat websites gebruikers niet mogen aanmoedigen om de controle te omzeilen. Daarnaast wordt er in Denemarken gewerkt aan een digitale identiteits-app die anoniem de leeftijd kan verifiëren.

Bron 1, 2, 3

Het Amerikaanse softwarebedrijf Illuminate Education heeft een schikking getroffen van 5,1 miljoen dollar na een datalek veroorzaakt door de gestolen inloggegevens van een ex-medewerker. Het incident vond plaats in 2021, waarbij de gegevens van miljoenen leerlingen, waaronder persoonlijke en medische informatie, werden gestolen. De aanvaller kreeg toegang tot het systeem via verouderde inloggegevens van de ex-medewerker en wist daarna de toegang te behouden door nieuwe inloggegevens aan te maken. Het bedrijf moet nu diverse beveiligingsmaatregelen doorvoeren, waaronder het verwijderen van inloggegevens van ex-medewerkers, het scheiden van actieve databases van back-ups, en het implementeren van real-time monitoring. Ook moeten scholen hun opgeslagen gegevens controleren en de bewaartermijn en verwijdering ervan nakijken.

Bron 1

De Electronic Frontier Foundation (EFF) uit zorgen over het plan van Google om app-ontwikkelaars te verplichten zich te registreren met persoonlijke gegevens, waaronder hun naam, adres en een kopie van hun legitimatiebewijs. Deze verplichting is bedoeld om te voorkomen dat kwaadaardige apps op Android-toestellen komen, maar de EFF waarschuwt dat dit kan leiden tot censuur en versterking van Google’s monopolie. De maatregelen zullen eerst in landen zoals Brazilië en Indonesië van kracht zijn, en wereldwijd uitgerold worden in 2027. De EFF stelt dat dergelijke registratievereisten de privacy van ontwikkelaars kunnen schaden en overheden toegang kunnen geven tot de data. Bovendien kan dit de concurrentie onderdrukken, vooral voor alternatieve appstores, zoals F-Droid, die vreest dat dit beleid hun voortbestaan bedreigt.

Bron 1

Op 7 november 2025 werd via een melding op een openbaar platform gewaarschuwd voor een link die op de Dread-site op het darkweb werd gedeeld. De link leidt naar een mogelijk gevaarlijke pagina, waarvan de inhoud op dit moment onduidelijk is. De waarschuwing benadrukt de risico’s van verdachte links op het darkweb, die vaak verbonden zijn met cyberdreigingen zoals ransomware. Gebruikers wordt aangeraden uiterst voorzichtig te zijn met het openen van dergelijke links, gezien de mogelijke connectie met cybercriminaliteit. De melding geeft aan dat de situatie nog in ontwikkeling is, maar legt de nadruk op de noodzaak van waakzaamheid.

Op 7 november 2025 werd gemeld dat er een verkoop van een WordPress-toolkit plaatsvond op het darkweb. Deze toolkit bevat vermoedelijk hulpmiddelen die cybercriminelen kunnen helpen bij het misbruiken van kwetsbaarheden in WordPress-websites. De toolkit lijkt een waardevolle bron te zijn voor kwaadwillenden die zich richten op bekende platformen en open-source software zoals WordPress. Dergelijke tools kunnen worden gebruikt om aanvallen uit te voeren, websites over te nemen of gegevens te stelen. Het is een waarschuwing voor organisaties en website-eigenaren om de beveiliging van hun WordPress-sites te versterken.

De Duitse internetprovider Aurologic GmbH heeft zich gepositioneerd als een belangrijke speler binnen de wereldwijde infrastructuur voor cybercriminaliteit. Het bedrijf biedt netwerk- en datacenterdiensten aan risicovolle hostingnetwerken, waaronder verbindingen met hostingproviders die malware-commando-servers voor bekende malwarefamilies zoals Cobalt Strike en Amadey beheren. De infrastructuur van Aurologic is ook een belangrijke schakel voor gesanctioneerde entiteiten, waaronder de Aeza-groep, ondanks internationale sancties. Het bedrijf beschikt over een robuuste Europese interconnectie-infrastructuur en heeft datacenters in Duitsland, Finland en Nederland, wat zorgt voor snelle, redundante datatransmissie door Europa. Door zijn centrale rol biedt Aurologic continuïteit aan netwerken die betrokken zijn bij cybercriminaliteit, desinformatiecampagnes en malwareverspreiding, wat vragen oproept over de scheidslijn tussen technologische neutraliteit en actieve facilitering van cybercriminaliteit.

Bron 1

Singapore heeft besloten om strengere maatregelen te nemen tegen online oplichters, die tussen 2020 en september 2025 bijna 3 miljard dollar aan schade veroorzaakten. In een nieuwe wet wordt een minimaal aantal van zes stokslagen opgelegd aan mensen die zich schuldig maken aan fraude via afstandscommunicatie, zoals bijvoorbeeld valse online advertenties. De overheid heeft aangegeven dat de lijfstraffen ook van toepassing zullen zijn op zogenaamde 'mules', die fraudeurs helpen door bijvoorbeeld inloggegevens of SIM-kaarten aan te bieden. In sommige gevallen kan het aantal slagen oplopen tot 24. Deze maatregelen worden gezien als een manier om de opkomst van digitale oplichting tegen te gaan en de verantwoordelijken stevig te straffen. Het idee is om een sterkere afschrikking te creëren voor degenen die betrokken zijn bij de oplichtingsindustrie.

Bron 1

Uit interne documenten blijkt dat Meta in 2024 meer dan $16 miljard heeft verdiend met misleidende advertenties op Facebook en Instagram, wat ongeveer 10% van de totale jaarlijkse omzet van het bedrijf vertegenwoordigt. Gebruikers zouden dagelijks zo'n 15 miljard frauduleuze advertenties te zien krijgen, waaronder advertenties voor illegale producten, e-commerce oplichterijen en online casino's. Meta heeft wel maatregelen getroffen, zoals het verwijderen van 134 miljoen misleidende advertenties in 2025, maar de systemen die advertenties markeren als frauduleus werken alleen als er meer dan 95% zekerheid is. Lagere zekerheid leidt tot hogere advertentiekosten voor de adverteerders. De Amerikaanse SEC onderzoekt het bedrijf vanwege advertenties voor financiële oplichterijen. Meta verwacht boetes van $1 miljard, maar is bezorgd dat een scherpe afname van frauduleuze advertenties de bedrijfsresultaten zou kunnen beïnvloeden.

Bron 1

Op een hackforum is een 0-day kwetsbaarheid aangeboden voor een populaire WordPress-plugin. De kwetsbaarheid kan door aanvallers worden misbruikt om toegang te krijgen tot websites die de plugin gebruiken, waardoor vertrouwelijke gegevens in gevaar komen. Deze kwetsbaarheid kan aanzienlijke risico’s voor de veiligheid van WordPress-gebruikers met zich meebrengen, vooral voor bedrijven en organisaties die afhankelijk zijn van de plugin voor hun webfunctionaliteit. Het aanbieden van dergelijke kwetsbaarheden op illegale marktplaatsen toont de groeiende bedreigingen in de cybercriminaliteit, waarbij steeds meer digitale zwaktes actief worden verhandeld. Beveiligingsspecialisten wordt aangeraden om de getroffen systemen snel te patchen zodra er een fix beschikbaar is, om de impact van dergelijke aanvallen te minimaliseren.

OWASP heeft in de 2025-editie van de Top 10 een nieuwe categorie geïntroduceerd: Software Supply Chain Failures. Deze toevoeging weerspiegelt de groeiende bezorgdheid over risico’s in de afhankelijkheden en bouwsystemen van software. Aanvallen op de softwareleveringsketen gaan verder dan verouderde componenten en omvatten nu ook inbreuken op tools en infrastructuur die gebruikt worden om software te ontwikkelen en te distribueren. De incidentie van deze kwetsbaarheden is relatief laag, maar ze dragen een hoger exploitatie- en impactrisico. OWASP benadrukt de noodzaak van strengere beveiliging van CI/CD-pijplijnen, afhankelijkheden en ontwikkeltools. De focus verschuift naar een cultuur waarin de componenten in de ontwikkelketen als deel van het dreigingsmodel worden beschouwd, in plaats van als vertrouwde achtergrondtools. Het rapport adviseert organisaties om de integriteit van hun ontwikkelprocessen te waarborgen, onder meer door gebruik te maken van goedgekeurde en ondertekende pakketten en het streng monitoren van ontwikkelomgevingen.

Bron 1

Oekraïne heeft een wereldwijd primeur bereikt door Diia.AI te lanceren als de eerste volledig operationele nationale AI assistent voor overheidsdiensten. Het systeem ondersteunt inmiddels miljoenen inwoners bij het aanvragen van documenten en administratieve handelingen zonder fysieke loketten of complexe formulieren. Tijdens een technologietop in Kyiv werd bevestigd dat Diia.AI meer dan tweehonderd diensten automatiseert en al een groot deel van het interne werk binnen het ministerie van Digitale Transformatie verwerkt. De overheid werkt verder aan een stemfunctionaliteit om de toegankelijkheid te vergroten en ontwikkelt daarnaast een eigen Oekraïense taalmodel om minder afhankelijk te zijn van buitenlandse technologie en beter weerstand te bieden tegen desinformatie. Ondanks de voortdurende oorlog en cyberdreiging vanuit Rusland blijft Oekraïne investeren in digitale innovatie, met als doel een toekomstig staatsmodel waarin overheidsdiensten proactief worden aangeboden. Bron 1

De Zuid-Koreaanse telecomaanbieder SK Telecom rapporteert een sterke daling van de operationele winst in het derde kwartaal na de grootschalige cyberaanval die eerder dit jaar aan het licht kwam. Het bedrijf behaalde een operationele winst van 48,4 miljard won, aanzienlijk minder dan de 493 miljard won in dezelfde periode een jaar eerder. De onderneming wijt deze afname aan hoge herstelkosten en compensatiebetalingen. Tijdens de aanval werden gegevens van circa 27 miljoen klanten buitgemaakt, waaronder abonneenummers, authenticatiesleutels, logbestanden en op simkaarten opgeslagen berichten. Onderzoek toont aan dat aanvallers al sinds 2022 onopgemerkt toegang hadden tot interne systemen. Door de financiële impact schort SK Telecom de dividenduitkering op. Het incident onderstreept de langdurige gevolgen van datalekken en de risico’s van ongepatchte of onvoldoende bewaakte systemen binnen vitale telecominfrastructuur. Bron 1

De Bank of England meldt dat de Britse economie in het derde kwartaal minder sterk is gegroeid dan verwacht. Het bruto binnenlands product steeg met 0,2 procent, terwijl de bank rekende op 0,3 procent. De tegenvaller wordt volgens de centrale bank deels veroorzaakt door de grote cyberaanval op Jaguar Land Rover in september 2025. Door de aanval lag de productie van de autofabrikant ongeveer vijf weken stil, wat leidde tot een geschatte schade van bijna 2,2 miljard euro. De verstoring trof niet alleen het bedrijf zelf, maar had ook gevolgen voor de toeleveringsketen. De Britse overheid verstrekte eind september een noodlening van circa 1,7 miljard euro om verdere economische schade te beperken. Naast de impact van de cyberaanval wijst de Bank of England ook op lagere exportcijfers richting de Verenigde Staten. De verwachting is dat de groei in het vierde kwartaal uitkomt op 0,3 procent. Bron 1

De Amerikaanse krant The Washington Post is getroffen door een cyberaanval op het Oracle E-Business Suite-platform. De aanval maakt deel uit van een bredere campagne waarbij naar schatting meer dan honderd organisaties zijn getroffen. Oracle waarschuwde eerder dat criminelen klanten afpersen via een kwetsbaarheid, aangeduid als CVE-2025-61882, in de E-Business Suite. De ransomwaregroep Cl0p heeft de verantwoordelijkheid opgeëist en zegt bedrijfsgegevens te hebben buitgemaakt waarmee slachtoffers worden bedreigd om losgeld te betalen. Het is niet bekend welke gegevens bij The Washington Post zijn gestolen, maar de getroffen software wordt vaak gebruikt voor bedrijfsprocessen die gevoelige financiële en personeelsinformatie bevatten. De aanval illustreert de aanhoudende risico’s van ongepatchte bedrijfssoftware en de toenemende impact van grootschalige supply-chain-aanvallen op mediabedrijven en andere sectoren.

Bron 1

Op 6 november 2025 werd de Duitse gemeente Ludwigshafen getroffen door een cyberaanval, waarbij de ICT-systemen ernstig verstoord raakten. Om verdere schade te voorkomen, werden de systemen van de gemeente offline gehaald. De stad is sindsdien niet bereikbaar via telefoon of e-mail, en haar website toont enkel een verklaring over de aanval. Hoewel de gemeente geen indicaties heeft dat persoonsgegevens zijn gestolen, is er geen informatie over de aard van de aanval of de betrokkenheid van ransomware. Het herstel van de systemen zal minstens de hele komende week duren. Dit incident volgt op eerdere cyberaanvallen in andere Duitse steden, wat wijst op een groeiend patroon van cyberdreigingen tegen lokale overheden. De gemeente adviseert inwoners om voor dringende zaken fysiek langs te gaan bij kantoren, aangezien online diensten tijdelijk niet beschikbaar zijn.

Bron 1

De Europese Commissie heeft voorstellen gepresenteerd voor wijzigingen in de Algemene Verordening Gegevensbescherming (AVG), die voor veel kritiek zorgen bij privacyorganisatie Noyb. De commissie maakt gebruik van de Omnibus-procedure, die normaal alleen voor technische aanpassingen wordt gebruikt, maar in dit geval wordt toegepast op ingrijpende herzieningen van de privacyregels. Noyb, onder leiding van privacyactivist Max Schrems, stelt dat de wijzigingen vooral ten goede komen aan grote techbedrijven en niet aan kleine bedrijven, zoals oorspronkelijk werd beloofd. De focus van de wijzigingen ligt op het versoepelen van de regels voor AI-training met persoonsgegevens en het verzwakken van de bescherming van gezondheidsgegevens, minderheden en werknemers. Noyb waarschuwt dat de wijzigingen de effectiviteit van de AVG aanzienlijk kunnen ondermijnen, met onbedoelde gevolgen voor de bescherming van persoonsgegevens in verschillende sectoren.

Bron 1, pdf

DNS-resolver Quad9 heeft gewaarschuwd voor de groeiende dreiging die gerechtelijke bevelen tegen DNS-providers vormen. Deze bevelen dwingen providers zoals Google, Cloudflare, en Cisco om domeinen te blokkeren die illegale streams van live sport en beschermd materiaal aanbieden. Kleine DNS-providers, zoals Quad9, kunnen echter niet de juridische kosten dragen die deze bevelen met zich meebrengen. Quad9 spreekt van een "existentiële dreiging", aangezien grote bedrijven zoals Google en Cloudflare deze kosten in hun bedrijfsmodellen kunnen verwerken, maar kleinere partijen zoals Quad9 niet over de benodigde financiële middelen beschikken. Dit heeft invloed op de werking van het internet, aangezien DNS-resolvers cruciaal zijn voor de vertaling van webadressen naar digitale paden. Quad9 heeft zich in de rechtszaak tegen deze gerechtelijke bevelen niet laten vertegenwoordigen vanwege de kosten.

Bron 1

Phishing-aanvallen vinden steeds vaker plaats via niet-traditionele kanalen, waaronder LinkedIn. Dit platform biedt aanvallers voordelen, zoals het omzeilen van e-mailbeveiliging en de mogelijkheid om contact te maken met bedrijfsleiders en andere belangrijke doelwitten. LinkedIn is een populaire keuze omdat veel medewerkers het gebruiken voor zakelijke doeleinden, wat de kans vergroot dat zij op kwaadaardige berichten reageren. Aanvallers kunnen eenvoudig bestaande accounts overnemen, waardoor de aanvallen geloofwaardiger lijken. Daarnaast kunnen ze via LinkedIn direct benaderen zonder de beperkingen die e-mailbeveiliging oplegt. Dit maakt de aanvallen goedkoper en gemakkelijker schaalbaar. Verder is LinkedIn ook een krachtige tool voor het identificeren van hooggeplaatste medewerkers, wat de kans op succesvolle spear-phishing aanvallen vergroot. De schade kan enorm zijn, aangezien aanvallers via deze aanval toegang kunnen krijgen tot kritieke bedrijfsdata en cloudplatformen, waardoor ze bredere netwerken kunnen compromitteren.

De schade door cryptofraude is in 2025 explosief gestegen. Tot 1 november werd al 29 miljoen euro buitgemaakt, vergeleken met 25 miljoen euro in 2024. De Fraudehelpdesk ontving meer dan 1200 meldingen van slachtoffers, waarvan 97% betrekking heeft op cryptobeleggingen. De werkelijke schade is waarschijnlijk groter, aangezien veel slachtoffers zich schamen om melding te maken. Criminelen gebruiken social media om slachtoffers te benaderen, waarbij ze zich voordoen als betrouwbare beleggers of experts. Ze misbruiken vaak de namen van bekende Nederlanders en spelen in op de ‘fear of missing out’ (FOMO) om mensen te overtuigen te investeren. Daarnaast wordt de oplichtingstruc ‘pig butchering’ steeds vaker toegepast, waarbij slachtoffers via datingsites worden benaderd en uiteindelijk worden aangespoord om geld te investeren in crypto’s. Slachtoffers wordt geadviseerd aangifte te doen en melding te maken bij de Fraudehelpdesk.

Bron 1

Ondernemer Alexander Klöpping onthulde dat hij 8.000 euro won door via het Amerikaanse platform Polymarket te gokken op de uitkomst van de Nederlandse Tweede Kamerverkiezingen. Dit platform, waar gebruikers inzetten op allerlei gebeurtenissen, waaronder politieke verkiezingen, wordt in Nederland als illegaal beschouwd, aangezien het geen vergunning heeft van de Kansspelautoriteit. Klöpping was niet de enige; op Polymarket werd in totaal bijna 33 miljoen dollar ingezet op de verkiezingen. Desondanks omschrijft Polymarket zichzelf als een "voorspellingsplatform" en niet als een gokbedrijf, wat de juridische handhaving bemoeilijkt. Experts, zoals Tony van Rooij van het Trimbos-instituut, maken zich zorgen over de impact van dit platform en de normalisatie van gokken op politiek, wat volgens hen niet zonder risico is, aangezien dergelijke praktijken wettelijk verboden zijn.

Bron 1, 2, 3

Asahi Group Holdings kampt nog steeds met de gevolgen van een ransomware-aanval die een maand geleden zijn interne systemen platlegde. Hierdoor is het bedrijf genoodzaakt bestellingen en leveringen handmatig af te handelen, wat heeft geleid tot een drastische daling van de leveringen, die momenteel slechts 10% van het normale niveau vertegenwoordigen. Dit komt op een ongunstig moment, aangezien december traditioneel de drukste maand voor Asahi is, met een hoge vraag naar bier en geschenkpakketten. Concurrenten zoals Kirin, Suntory en Sapporo profiteren van de verstoring door Asahi’s marktaandeel over te nemen, wat mogelijk langdurige gevolgen heeft voor het herstel van het bedrijf. Bovendien heeft Asahi de publicatie van zijn kwartaalcijfers uitgesteld vanwege de vertragingen in de afwikkeling van transacties en de problemen met het toegankelijk maken van financiële gegevens.

Bron 1

De Autoriteit Persoonsgegevens (AP) heeft meer dan tweehonderd Nederlandse websites gewaarschuwd vanwege misleidende of onjuiste cookiebanners. Ongeveer driekwart van deze websites heeft inmiddels de banner aangepast om te voldoen aan de regels. De overige partijen zullen handhavingsmaatregelen ondergaan. Sinds april 2025 controleert de AP of websites op de juiste manier toestemming vragen voor trackingcookies. Deze cookies mogen alleen worden geplaatst als bezoekers daar vrijwillig en op basis van heldere informatie mee instemmen. Trackingcookies kunnen namelijk gedrag volgen, profielen opbouwen en voorspellende analyses uitvoeren. Monique Verdier, vicevoorzitter van de AP, benadrukt dat de waarschuwingen gericht zijn op het verbeteren van de cookiebanners, maar dat boetes mogelijk zijn voor degenen die na de waarschuwing geen aanpassingen doorvoeren.

Bron 1

Uit recent onderzoek blijkt dat Nederlanders vooral gebruik maken van tweestapsverificatie (2FA) bij overheidsdiensten (77%), medische diensten (64%) en financiële diensten (59%). Er is echter een opvallend verschil tussen leeftijdsgroepen: 65-plussers gebruiken 2FA minder vaak dan jongere generaties. Zo past 66% van hen 2FA toe bij overheidsdiensten, tegenover 77% van de algemene bevolking, en slechts 49% bij financiële diensten, tegenover 59% gemiddeld. De meerderheid van de ouderen vindt 2FA te veel gedoe of heeft er simpelweg nooit aan gedacht. Dit komt doordat zij vaak minder bewust zijn van de risico’s van ongeautoriseerde toegang tot hun online accounts. Eind november start de overheid een campagne gericht op het verhogen van het bewustzijn over de voordelen van 2FA voor deze groep.

Bron 1

De Autoriteit Persoonsgegevens (AP) heeft recent aanbevelingen gedeeld voor het opstellen van een sterke verwerkersovereenkomst, gericht op het verbeteren van de samenwerking tussen organisaties en hun dienstverleners bij cyberaanvallen. Een verwerkersovereenkomst bevat afspraken over het delen van persoonsgegevens en de verantwoordelijkheden bij datalekken. De AP benadrukt dat dienstverleners vaak het doelwit zijn van cyberaanvallen, mede door hun rol in meerdere organisaties, wat de schade vergroot. Bij onderzoek naar vijf grote cyberaanvallen werd geconcludeerd dat het ontbreken van adequate verwerkersovereenkomsten vaak leidde tot een beperkte grip op het incident. De AP raadt aan om duidelijke afspraken te maken over taken en communicatie bij datalekken, grip te houden op de leveranciersketen, en verwerkersovereenkomsten regelmatig bij te werken om de risico’s van cyberincidenten te verkleinen.

Bron 1

Het Britse parlement heeft een wetsvoorstel ingediend dat vitale sectoren zoals ziekenhuizen, energieleveranciers, waterbedrijven en transportnetwerken beter moet beschermen tegen cyberaanvallen. De nieuwe Cyber Security and Resilience Bill verplicht organisaties in deze sectoren, evenals bedrijven die IT-diensten leveren, om strengere beveiligingsmaatregelen te nemen. Organisaties moeten ernstige cyberincidenten binnen 24 uur melden en binnen 72 uur een volledig rapport indienen bij hun toezichthouder en het National Cyber Security Centre (NCSC). Ook worden datacenters en digitale dienstverleners verplicht om getroffen klanten onmiddellijk te waarschuwen na een incident. De wet voorziet in nieuwe bevoegdheden voor toezichthouders om kritieke leveranciers aan te wijzen, en bedrijven die openbare diensten leveren moeten voldoende bescherming bieden om de continuïteit van hun systemen te waarborgen. Overtredingen kunnen leiden tot omzetgerelateerde boetes.

Bron 1

Active Directory (AD) speelt een cruciale rol in de beveiliging van bedrijfssystemen en wordt door cybercriminelen vaak aangevallen. AD beheert de toegang tot netwerken door middel van gebruikersauthenticatie en autorisatie. Zodra aanvallers AD compromitteren, krijgen zij toegang tot het hele netwerk, waarmee ze accounts kunnen aanmaken, machtigingen kunnen wijzigen en beveiligingsinstellingen kunnen uitschakelen. Dit vergroot de risico's op een ernstige aanval, zoals bleek bij de cyberaanval op Change Healthcare, waarbij de aanvallers via AD toegang kregen tot vertrouwelijke medische gegevens en aanzienlijke schade veroorzaakten. Aanvallers maken gebruik van technieken zoals 'Golden Ticket'-aanvallen, 'DCSync' en 'Kerberoasting' om toegang te krijgen tot gevoelige data zonder dat dit wordt opgemerkt door traditionele beveiligingstools. De complexiteit van hybride netwerkinfrastructuren maakt het steeds moeilijker om deze aanvallen te detecteren. Om AD effectief te beschermen, is een gelaagde beveiligingsaanpak noodzakelijk, inclusief strikte wachtwoordbeleid en voortdurende monitoring.

Bron 1

Google heeft een rechtszaak aangespannen tegen het Chinese phishingplatform "Lighthouse", dat wereldwijd wordt gebruikt door cybercriminelen voor het stelen van creditcardinformatie via sms-phishingaanvallen, ook wel "smishing" genoemd. Het platform wordt beschuldigd van het vergemakkelijken van fraude via valse berichten die de Amerikaanse Postdienst (USPS) en tolbetalingssystemen zoals E-ZPass nabootsen. De rechtszaak, die gebaseerd is op federale racketeering- en fraudewetten, heeft als doel de website-infrastructuur van Lighthouse te sluiten, die volgens Google meer dan 1 miljoen slachtoffers heeft getroffen in 120 landen. De fraude heeft geleid tot de diefstal van tot wel 115 miljoen betaalkaarten in de VS tussen juli 2023 en oktober 2024. Google heeft ook steun uitgesproken voor nieuwe Amerikaanse wetgeving die consumenten moet beschermen tegen buitenlandse cybercriminaliteit.

Bron 1

North Sea Port heeft een strategisch plan gepresenteerd waarin de veiligheid van de havens van Gent, Terneuzen en Vlissingen centraal staat. Het doel is om tegen 2030 de fysieke en digitale beveiliging van de havens aanzienlijk te verbeteren. Er wordt gewerkt aan het uitbreiden van fysieke hekken van 3 naar 9 kilometer en er komen extra maatregelen om drones tegen te houden. De samenwerking met politie en justitie wordt versterkt, vooral om de invoer van drugs te bestrijden. Daarnaast is er aandacht voor cybersecurity, met een intensievere focus op bescherming tegen cyberaanvallen, in samenwerking met Nederlandse havens. Het plan benadrukt de noodzaak om de veiligheid te verhogen, gezien de groeiende risico’s op zowel fysieke als digitale bedreigingen.

Bron 1

De groei van kunstmatige intelligentie heeft geleid tot een uitzonderlijk hoge vraag naar opslagcapaciteit, waardoor wereldwijde tekorten aan harde schijven en SSD’s ontstaan. Grote technologiebedrijven zoals Google, Amazon en Microsoft investeren massaal in datacenters om hun AI-infrastructuren te ondersteunen, maar de productiecapaciteit van fabrikanten kan dit tempo niet bijhouden. Volgens DigiTimes lopen levertijden voor harde schijven inmiddels op tot twee jaar. Om de tekorten te omzeilen schakelen datacenters over op QLC NAND-gebaseerde SSD’s, maar ook daar ontstaan nu knelpunten. De vraag in de zakelijke markt drijft de prijzen in de consumentenmarkt op, waardoor fabrikanten als SanDisk hun SSD-prijzen met circa vijftig procent hebben verhoogd. De verwachting is dat deze trend in 2026 verder doorzet, wat gevolgen kan hebben voor de beschikbaarheid en kosten van datacenter- en consumentenopslag wereldwijd.

Bron 1

Oplichters proberen cryptovaluta te stelen door zich voor te doen als de Australische federale politie. Ze gebruiken gestolen gegevens om valse rapporten in te dienen bij ReportCyber, een tool waarmee cybercriminaliteit gemeld kan worden. Deze oplichters benaderen slachtoffers via telefoon, met een zogenaamd officieel referentienummer dat uit ReportCyber afkomstig zou zijn. Een slachtoffer werd gebeld door iemand die zich voordeed als de politie en zei dat het slachtoffer betrokken was bij een datalek met cryptovaluta. Vervolgens werd het slachtoffer verzocht om het rapport in te voeren en zijn e-mail te gebruiken om de status te controleren. Later belde een tweede oplichter om het slachtoffer te overtuigen cryptovaluta over te maken naar een ‘cold storage’-account. Het slachtoffer kreeg argwaan en beëindigde het gesprek. Het Australian Cyber Security Centre waarschuwt voor dergelijke oplichters en adviseert mensen altijd voorzichtig te zijn met verzoeken om cryptovaluta over te maken.

Bron 1

Google heeft aangekondigd dat vanaf september 2026 alleen nog apps van geverifieerde ontwikkelaars zullen worden toegelaten op Android-apparaten. Ontwikkelaars kunnen nu al beginnen met de verificatie van hun identiteit via de Android Developer Console. Deze verificatie vereist onder andere het verstrekken van naam, adresgegevens, e-mailadres en telefoonnummers, evenals het uploaden van een kopie van hun legitimatiebewijs. Het doel van deze maatregel is om de verspreiding van malafide apps te voorkomen. De verificatie is niet alleen van toepassing op de Google Play Store, maar ook op alternatieve appwinkels. Google heeft aangegeven dat er een speciaal account voor studenten en hobbyisten komt, waarbij de volledige verificatievereisten mogelijk niet van toepassing zijn, hoewel de details hierover nog niet duidelijk zijn. Het bedrijf benadrukt dat het veilig houden van Android-gebruikers een topprioriteit is.

Bron 1

Voormalig Europarlementariër Patrick Breyer waarschuwt voor een vernieuwde versie van het EU-voorstel Chat Control, dat probeert verplicht chatverkeer te scannen, onder het mom van het tegengaan van kindermisbruikmateriaal. Breyer noemt de wijziging "politieke misleiding", aangezien lidstaten zoals Nederland eerder tegen dergelijke voorstellen waren. Het nieuwe plan verplicht providers om 'alle passende maatregelen' te nemen tegen risico’s, wat in de praktijk kan leiden tot scans van privéberichten door AI en algoritmes. Dit zou het onderscheid tussen onschuldige en criminele communicatie moeilijk maken. Daarnaast bevat het voorstel verplichte identificatie voor minderjarigen en een verbod op chatapps voor jongeren onder de 16 jaar. Breyer pleit voor het schrappen van verplichte scans, het beperken van AI-gesprekken tot alleen CSAM en het behoud van anonimiteit op het internet.

Bron 1

Er zijn meldingen binnengekomen over neptelefoontjes namens Amazon, waarbij slachtoffers een Engels- of Nederlandstalig bandje horen. In het bericht wordt beweerd dat er een bestelling van een iPhone 15 is geplaatst. Het bandje biedt twee opties: de transactie bevestigen of annuleren. Wie het keuzemenu volgt, wordt doorgeschakeld naar een zogenaamde medewerker die vraagt om een app op de computer te installeren om de bestelling te annuleren. In werkelijkheid installeert de app malware, waardoor de oplichters de controle over de computer kunnen overnemen. Melders geven aan dat na het installeren van de app, online aankopen zijn gedaan en geld is overgeschreven naar onbekende rekeningen. Het advies is om het telefoontje onmiddellijk te beëindigen, het nummer te blokkeren en melding te maken bij de Fraudehelpdesk.

Bron 1

Er zijn weer meldingen binnengekomen van afpersmails waarin wordt gedreigd met de verspreiding van vermeende erotische filmbeelden. In de e-mail stelt de afzender dat hij de computer van het slachtoffer heeft gehackt en toegang heeft gekregen tot gevoelige gegevens. Hierbij wordt beweerd dat beschamende beelden van de ontvanger zijn gemaakt tijdens een bezoek aan een pornosite. Soms wordt een oud wachtwoord genoemd om de dreiging te onderbouwen, maar dit wijst vaak op een eerder datalek, niet op daadwerkelijke toegang tot de computer. De afperser eist betaling in bitcoins om de verspreiding van de beelden te voorkomen, maar de inhoud van de mail is een bluf. Het is belangrijk om geen geld te betalen en de mail te negeren en te verwijderen.

Bron 1

In het derde kwartaal van 2025 steeg het aantal actieve ransomwaregroepen tot een record van 85, waarvan de top 10 slechts 56% van de slachtoffers vertegenwoordigde, een afname ten opzichte van het eerste kwartaal. De activiteit bleef stabiel op gemiddeld 535 slachtoffers per maand, wat een stijging is ten opzichte van 420 in het voorgaande jaar. De terugkeer van LockBit 5.0 in september 2025 markeert een mogelijke hercentralisatie van ransomware-affiliategroepen onder een groot merk. Qilin werd de meest actieve groep, met gemiddeld 75 slachtoffers per maand, gevolgd door Akira en INC Ransom. De geografische concentratie van aanvallen verschuift, waarbij Zuid-Korea nu in de top 10 van getroffen landen staat, voornamelijk door een gerichte campagne van Qilin. De productiesector en zakelijke diensten blijven de zwaarst getroffen sectoren, terwijl de gezondheidszorg stabiel blijft op 8% van de slachtoffers.

Bron 1

Google heroverweegt de invoering van verplichte identiteitsverificatie voor alle Androidontwikkelaars, nadat het eerder aangekondigde beleid leidde tot stevige kritiek uit de gemeenschap. Het bedrijf wilde vanaf 2026 alleen nog apps toestaan van volledig geverifieerde ontwikkelaars, met als doel het verspreiden van malware via sideloading tegen te gaan. De verplichting om een identiteitsbewijs en een vergoeding te overleggen leidde tot brede weerstand onder gebruikers, studenten, hobbyisten en externe appwinkels. F-Droid waarschuwde zelfs dat het project door deze eisen onhoudbaar zou worden. Google kondigt nu een afzonderlijk accounttype aan voor ontwikkelaars die apps in beperkte kring willen verspreiden en werkt aan een nieuw proces voor ervaren gebruikers die bewust ongeverifieerde apps installeren. Dit traject biedt waarschuwingen maar laat de uiteindelijke keuze bij de gebruiker. De gefaseerde wereldwijde uitrol van volledige verificatie blijft gepland voor 2026 en 2027.

Het Britse betalingsplatform Checkout.com meldt een datalek waarbij de cybercriminele groep ShinyHunters toegang kreeg tot een oud cloudopslagsysteem dat gegevens uit 2020 en eerdere jaren bevatte. Het gaat om documentatie en onboardingmateriaal van handelaren, waarbij minder dan een kwart van de huidige klanten is getroffen, maar ook voormalige klanten kunnen zijn betrokken. De toegang werd verkregen via een derde partij waarvan het systeem niet volledig was uitgefaseerd. ShinyHunters eist losgeld, maar Checkout.com weigert te betalen en kondigt aan het bedrag te doneren aan onderzoekscentra van Carnegie Mellon University en de University of Oxford. Het bedrijf richt zich op herstelmaatregelen en extra beveiliging van zijn infrastructuur. De aanvallers staan bekend om datadiefstal via onder meer phishing, social engineering en misbruik van kwetsbaarheden, en worden in verband gebracht met recente aanvallen op grote platforms. De naam van de getroffen opslagdienst is niet bekendgemaakt. Bron 1, 2

Logitech heeft bevestigd dat het slachtoffer is geworden van een datalek, veroorzaakt door een cyberaanval die werd opgeëist door de Clop-extortiegroep. Het Zwitserse technologiebedrijf, bekend van zijn hardware en softwareproducten, meldde het incident aan de Amerikaanse Securities and Exchange Commission (SEC). De aanval vond plaats via een kwetsbaarheid in de Oracle E-Business Suite, die eerder in juli werd misbruikt door de aanvallers.

Logitech verklaarde dat het datalek geen invloed heeft gehad op hun producten, bedrijfsvoering of productieprocessen. Gevoelige gegevens zoals nationale identificatienummers of creditcardinformatie waren niet aangetast, aangezien deze gegevens niet waren opgeslagen in de getroffen systemen. De gestolen informatie zou beperkte gegevens van werknemers, consumenten, klanten en leveranciers omvatten.

De aanval werd mogelijk gemaakt door een zero-day kwetsbaarheid die snel werd gepatcht zodra de oplossing beschikbaar was. Clop heeft bijna 1,8 TB aan gegevens gelekt, en dit komt ko
rt nadat het bedrijf in verband werd gebracht met de exploitatie van een Oracle-kwetsbaarheid. Logitech werkt samen met externe cybersecurity-experts om het incident te onderzoeken.
Bron 1

De recente vooruitgang in kunstmatige intelligentie (AI) heeft geleid tot de ontwikkeling van technologie die in staat is om stemmen en muziek te genereren die niet van echte mensen te onderscheiden zijn. Dit opent nieuwe mogelijkheden, maar ook risico’s. Onderzoek van Deezer en Ipsos toont aan dat 97 procent van de mensen het niet doorheeft wanneer muziek door AI is gecomponeerd. Bovendien onthulde een studie van de Queen Mary University in Londen dat meer dan de helft van de deelnemers moeite had om te herkennen of een stem afkomstig was van een mens of van AI.

Voor cybercriminelen biedt deze technologie nieuwe kansen om digitale misleiding en identiteitsfraude te plegen. Het gebruik van AI om stemmen van beroemdheden of andere publieke figuren na te maken, kan bijvoorbeeld worden ingezet voor oplichting, zoals het afnemen van gevoelige informatie of het uitvoeren van valse aanvragen. De technologie achter deepfake-video’s en -audio kan ook worden ingezet voor politieke manipulatie, financiële fraude of het uitvoeren van social engineering-aanvallen.

Tegelijkertijd zien we dat sommige beroemdheden, zoals de acteurs Michael Caine en Matthew McConaughey, hun stemmen beschikbaar stellen voor commerciële toepassingen via AI, wat de vraag oproept hoe we als samenleving omgaan met de ethische en juridische implicaties van dergelijke technologieën. In de context van cybercrime en digitale veiligheid is het van belang dat bedrijven en individuen zich bewust zijn van de potentie van AI om zowel beveiligingsrisico’s als kansen te creëren voor cybercriminelen.

Als deze technologie onbeheerd wordt gebruikt, kunnen de gevolgen verstrekkend zijn voor privacy en digitale veiligheid. Het is cruciaal dat er strikte regels en technologieën worden ontwikkeld om misbruik van AI te voorkomen en om gebruikers beter te beschermen tegen de gevaren van valse digitale identiteiten.