Wetenschapsfinancier NWO raakte via e-mail besmet met ransomware, Utrechts Archief deels offline als gevolg van ransomware aanval en tijdens Darkweb onderzoek ontdekken we een lijst met maar liefst 1714 slachtoffers van ransomware. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.
15 maart 2020
College sluit alle campussen voor een week na 'grote' cyberaanval
Een universiteit in Birmingham heeft al zijn campussen een week lang gesloten voor studenten na een "grote" ransomware-cyberaanval die zijn belangrijkste IT-systemen heeft uitgeschakeld. Bron
EDAG getroffen door cyberaanval
Verschillende dochterondernemingen van EDAG Engineering Group AG waren het doelwit van een gerichte cyberaanval in de nacht van 13 maart 2021. Het bestaande EDAG-systeemlandschap werd gedeeltelijk aangetast.
Als preventieve maatregel om onze klanten, medewerkers en partners te beschermen, werden direct de nodige maatregelen genomen om de aanval met objectieve maatregelen tegen te gaan. Bron
16 maart 2020
Hof van Twente raakte door zwak wachtwoord besmet met ransomware
De criminelen die systemen van de gemeente Hof van Twente met ransomware wisten te infecteren konden dankzij het wachtwoord "Welkom2020" binnendringen. Dat blijkt uit onderzoek dat de gemeente naar de aanval liet uitvoeren en vandaag is gepubliceerd. Sinds 29 oktober 2019 was een FTP-server van de gemeente voor iedereen op het internet via RDP (remote desktop protocol) benaderbaar. Lees verder
Het grootstedelijk gebied van Barcelona lijdt opnieuw aan een Ransomware-aanval, zoals de SEPE
De Metropolitan Area van Barcelona, AMB, heeft zijn digitale diensten stopgezet na een computeraanval waarvan wordt vermoed dat het een ransomware is, zoals de recente van SEPE. Bron
Een interview met REvil's Unknown
'Unknown' sprak onlangs met Dmitry Smilyanets, een expert op het gebied van dreigingsinformatie van Recorded Future. Ze spraken over het gebruik van ransomware als wapen en experimenteren met nieuwe tactieken en nog veel meer. Het interview is in het Russisch afgenomen en met de hulp van een professionele vertaler naar het Engels vertaald. Lees verder / Audio fragment
Nieuwe variant Xorist ransomware
Xiaopao ontdekt een nieuwe variant met extensie *.sandboxtest
#Xorist #Ransowmare
— xiaopao (@Kangxiaopao) March 16, 2021
ext:sandboxtest
sample:https://t.co/VqCAfOdno2
Cyberaanval op drie Praagse poliklinieken
Hackers vielen drie privé poliklinieken in het centrum van Praag aan, meldde de server van Deník N. dinsdag. De internet aanval op het bedrijf Poliklinika IPP werd bevestigd door de uitvoerende macht en ook door het Nationaal Bureau voor Cyber- en Informatiebeveiliging (NÚKIB). Bron
17 maart 2020
Wetenschapsfinancier NWO raakte via e-mail besmet met ransomware
De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) raakte vorige maand via een malafide e-mail besmet met ransomware. Dat laat de organisatie via de eigen website weten. Vanaf volgende week zal de NWO weer subsidieaanvragen verwerken. Vanwege de aanval lag het subsidieproces vijf weken stil. "Wij realiseren ons dat de gevolgen daarvan groot zijn voor alle betrokkenen. Wij doen er dan ook alles aan om de impact zo klein mogelijk te laten zijn", aldus de organisatie.
FBI: toenemend aantal onderwijsinstellingen doelwit van Pysa-ransomware
Een toenemend aantal onderwijsinstellingen in de Verenigde Staten is doelwit van de Pysa-ransomware geworden, zo waarschuwt de FBI. De aanvallers achter de ransomware weten netwerken meestal binnen te dringen door wachtwoorden voor het Remote Desktop Protocol (RDP) te compromitteren en malafide e-mails (pdf).
Is het betalen van losgeld bij ransomware niet in strijd met de wet?
Juridische vraag: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over "ongebruikelijk" betalingsverkeer en betalen aan verdachte landen?
Antwoord: Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.
Bevindingen ransomware aanval gemeente Hof van Twente
Hackers weten de computersystemen van de gemeente te infiltreren. Daarbij versleutelen en stelen ze privacygevoelige informatie, zowel de gemeente als haar inwoners. Het gaat om de financiële administratie van de gemeente en aanvragen voor jeugdzorg en omgevingsvergunningen. Ook vertrouwelijke informatie over werk, inkomen en schulden van burgers wordt buitgemaakt. Tot slot slaagden de aanvallers er in om de back-up systemen plat te leggen. De gemeente lag op dat moment volledig plat en kon niets voor haar burgers betekenen. Lees verder
Gemiste kans: bug in LockBit-ransomware maakte gratis decodering mogelijk
Een lid van de cybercriminele gemeenschap heeft een bug in de LockBit-ransomware ontdekt. De bug heeft gevolgen voor LockBit, een ransomware-as-a-service (RaaS) -operatie die in januari 2020 werd gelanceerd en waarmee de LockBit-bende toegang verhuurt tot een versie van hun ransomware. Lees verder
Tri County Sheriff Dispatch getroffen door een ransomwareaanval
Het Sheriff's Office van Albany County zegt dinsdag rond 21.30 uur dat het Tri County Public Safety-netwerk, dat Albany, Saratoga en Rensselaer Counties omvat, werd getroffen door een ransomware-aanval. Hun kantoor werkte naar verluidt de hele nacht samen met hun leveranciers, evenals met het NYDHSES Office of Counter Terrorism Cyber Incident Response Team om de aanval te stoppen. Bron
Scholen in South Gloucestershire (UK) getroffen door een ransomwareaanval
Een aantal scholen in South Gloucestershire heeft geen toegang meer tot hun IT-systemen na te zijn blootgesteld aan een gerichte ransomwareaanval. Bron
Nieuwe variant CrySiS Dharma ransomware
JakubKroustek ontdekt een nieuwe variant met extensie *.liz
'.liz' - 'lizardcrypt@tuta.io' - https://t.co/tjrEUIPugA #CrySiS #Dharma #ransomware
— Jakub Kroustek (@JakubKroustek) March 16, 2021
Nieuwe variant Rapid ransomware
Dnwls0719 ontdekt een nieuwe variant met extensie *.lock
#Rapid (Covid 19) #Ransomware
— dnwls0719 (@fbgwls245) March 17, 2021
BCD0CF45D8A8B16EFC9970D3C02B93E7
ext: ********.lock
Note: !!!_FILES_RECOVERY.txt@BleepinComputer @demonslay335 @Amigo_A_ @siri_urz @malwrhunterteam pic.twitter.com/N86xibaVc7
Nieuwe variant Hackbit ransomware
Xiaopao ontdekt een nieuwe variant met extensie *.PROM
#Ransomware
— xiaopao (@Kangxiaopao) March 17, 2021
ext:PROM[prometheushelp@mail.ch]
mail:
prometheushelp@mail.ch
prometheushelp@airmail.cc
Prometheus.help@protonmail.ch
url:https://t.co/MW0WyzOqsF
sample:dd4eb8aa3371b7fd821a7a9730c924cf@Amigo_A_ @fbgwls245 @demonslay335 pic.twitter.com/fFWFoyCgF1
Nieuwe variant SFile ransomware
Xiaopao ontdekt een nieuwe variant met extensie *.zuadr
#YourData #Ransomware
— xiaopao (@Kangxiaopao) March 17, 2021
ext:zuadr
mail:yourdata@RecoveryGroup.at
ransom note:RESTORE_FILES_INFO.hta RESTORE_FILES_INFO.txt
sample:9a80157f8cfc6012ff2cdad4c50231ed
Other suffixes used:.stnts .plastic .zonecare lpsk@Amigo_A_ @demonslay335 @fbgwls245 pic.twitter.com/EhL33KSUXo
18 maart 2020
FBI waarschuwt voor aanval met zogenaamde verkeersovertreding
De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwen voor een aanvalscampagne waarbij een zogenaamde verkeersovertreding wordt gebruikt voor het stelen van gevoelige informatie en het verspreiden van ransomware.
Vierhonderd Exchange-servers in België geïnfecteerd met malware
Van meer dan vierhonderd Exchange-servers in België staat vast dat ze geïnfecteerd zijn met malware, zo stelt het Centrum voor Cybersecurity België (CCB) van de Belgische overheid. De organisatie waarschuwde eerder deze week al voor een "tsunami aan cyberaanvallen" als gevolg van de kwetsbaarheden in de mailserversoftware van Microsoft.
Utrechts Archief deels offline als gevolg van ransomware-aanval
Het Utrechts Archief kampt als gevolg van een ransomware-aanval met een gedeeltelijke ict-verstoring en zag zich genoodzaakt om het online archief tijdelijk offline te halen. De herstel- en onderzoekswerkzaamheden naar de aanval zullen naar verwachting enkele weken in beslag nemen. Volgens het Utrechts Archief zijn erop dit moment geen aanwijzingen dat er als gevolg van de aanval gegevens verloren zijn gegaan. Ook is nog niet vastgesteld dat de aanvallers gegevens hebben gestolen. De aanval is wel gemeld bij de Autoriteit Persoonsgegevens. Daarnaast zal het Utrechts Archief aangifte bij de politie doen. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Er zal nog een onderzoek naar het incident worden ingesteld.
Douglas County (VS) doelwit als onderdeel van een internationale cyberaanval
De servers van Douglas County behoorden tot de duizenden servers die het doelwit waren van een cyberaanval door een groep uit China. Het was een internationale aanval die op 2 maart plaatsvond en misbruik maakte van een zwakte in Microsoft-servers, zei Brad Hudson, manager managementinformatiesystemen van Douglas County. De aanval vereiste dat Hudson van vrijdag tot en met zondag de servers van Douglas County moest bijwerken. De provincie heeft geen gegevens verloren, maar het kostte veel tijd om te reageren. Lees verder
De REvil ransomware heeft een nieuwe 'Windows Veilige modus' versleutelingsmodus
De REvil ransomware-operatie heeft een nieuwe mogelijkheid toegevoegd om bestanden te versleutelen in Windows Veilige Modus, waardoor detectie door beveiligingssoftware waarschijnlijk wordt omzeild.
Not remember seeing these before in REvil ransomware samples.
— MalwareHunterTeam (@malwrhunterteam) March 18, 2021
🤔
So basically the actors using REvil now can use it to reboot target machines into safe mode with networking...@demonslay335 @VK_Intel pic.twitter.com/dLk4EirNFO
De politie (D) doet onderzoek naar de cyberaanval op verf fabrikanten
Tot nu toe hebben onbekende daders een cyberaanval gepleegd op chemiebedrijf Remmers uit Löningen. Dit meldt NDR 1 Nedersaksen. De lak- en verffabrikant uit de wijk Cloppenburg moest daarom grote delen van zijn productie stopzetten. Inmiddels zijn delen van het systeem weer opgestart, zei een woordvoerder van het bedrijf 's middags. De politie doet ook onderzoek. Tot nu toe wilde het bedrijf geen nadere informatie geven over de mogelijke daders en de motieven voor het misdrijf om het onderzoek niet te verstoren. Remmers heeft ongeveer 1.500 medewerkers, waarvan de meeste op het hoofdkantoor in Löningen. Bron
Door een cyberaanval moest Eastern Health, een van de grootste openbare gezondheidsdiensten van Australië, verschillende operaties uitstellen.
Na de cyberaanval op de servers van het Australische ziekenhuis, die plaatsvond in de vroege uren van dinsdag 17 maart, werden alle minder urgente operaties geclassificeerd als "Categorie 2 en 3" opgeschort, zo luidt een verklaring van het Management. Ziekenhuis , terwijl die van "Categorie 1" die niet kunnen worden uitgesteld, zijn ingevuld.
Nieuwe variant PewPew ransomware
Amigo-A ontdekt een nieuwe variant met extensie *.optimus
Sample (.optimus): https://t.co/IUUNzEokfp
— dnwls0719 (@fbgwls245) March 18, 2021
I found a sample
Nieuwe variant Stopp Djvu ransomware
Dnwls0719 ontdekt een nieuwe variant met extensie *.enfp
#STOP #Djvu #Ransomware
— dnwls0719 (@fbgwls245) March 18, 2021
C2F2834B216EF788B6C0568D0267223C
E029107139C27F93A1AD1E718DC27369
New ext: .enfp
New Version: (v0288)
Note: _readme.txt@BleepinComputer @demonslay335 @Amigo_A_ @siri_urz @malwrhunterteam pic.twitter.com/N9EpRyL24l
19 maart 2020
Door ransomware-software te installeren, houden ze de organisatie in hun greep
De Autoriteit Persoonsgegevens heeft de afgelopen weken 75 meldingen van datalekken ontvangen die zijn veroorzaakt door inbraken op Microsoft Exchange-servers. De toezichthouder verwacht dat het werkelijke aantal datalekken veel hoger ligt en veel inbraken nog niet door organisaties zijn ontdekt.
Ransomwaregroep claimt succesvolle aanval op computerfabrikant Acer
De groep criminelen achter de REvil-ransomware claimt dat het een succesvolle aanval op computerfabrikant Acer heeft uitgevoerd. Voor het ontsleutelen van de data vraagt de ransomwaregroep omgerekend 50 miljoen dollar, zo blijkt uit een screenshot van de REvil-website dat door onderzoeker Marcelo Rivero van Malwarebytes op Twitter werd gedeeld.
#REvil le exige $50 millones de dólares a #Acer - en lo que podría ser la mayor cantidad de dinero jamás pedida en un ataque de ransomware hasta la fecha.
— Marcelo Rivero (@MarceloRivero) March 19, 2021
😮🍿 pic.twitter.com/kihF84ks9Q
Cyberaanval: $ 50 miljoen aan losgeld geëist van Acer
Exploitanten van de Revil-ransomware, ook wel bekend als Sodinokibi, hebben Acer toegevoegd aan de lijst met slachtoffers. Ze geven Acer nog 9 dagen de tijd om te onderhandelen, anders verdubbelen ze hun eisen. Lees verder
Cyberaanval brengt de werking van Celg-GT-applicaties en -bestanden uit Brazilië in gevaar
Celg Geração e Transmissão (Celg GT) bevestigd dat het 's nachts een cyberaanval heeft ondergaan waardoor toegang tot het volledige bedrijfsnetwerk van applicaties en bestanden is gecompromitteerd. Bron
Ransomware statistieken voor 2020: jaar samengevat
2020, het jaar van de pandemie, was opnieuw een lucratief jaar voor ransomware. Terwijl landen over de hele wereld probeerden de verspreiding van het virus te vertragen, probeerden cybercriminelen te profiteren van de chaos. Bron
Nieuwe variant SFile ransomware
Xiaopao ontdekt een nieuwe variant met extensie *.Technomous-zbtrqyd
#SFile
— xiaopao (@Kangxiaopao) March 19, 2021
ext:Technomous-zbtrqyd
mail:
recoverfiles@ctemplar.com
recoverfilesquickly@ctemplar.com
primethetime@protonmail.com
samlple:https://t.co/cLdnW6zheZ
There will be a blue screen, but I don't know if it is also on other systems.@Amigo_A_ @fbgwls245 @demonslay335 pic.twitter.com/OEsSHP3A35
20 maart 2020
Cybercrime in de VS (Internet Crime Report 2020)
Ransomware eiste eveneens de nodige slachtoffers in de VS. Hackers infiltreren het bedrijfsnetwerk van een organisatie. Als ze voldoende privileges aan zichzelf hebben toegekend, installeren ze gijzelsoftware op de servers. De software steelt en vergrendelt zoveel mogelijk bedrijfsgevoelige informatie als ze maar kan. De bestanden zijn versleuteld, wat betekent dat medewerkers er niet langer bij kunnen. Pas als de getroffen organisatie losgeld betaalt, wordt de decryptiesleutel overhandigd. Het IC3 ontving afgelopen jaar 2.474 klachten over ransomware. Totale schade: 29,1 miljoen dollar. Lees verder
Nieuwe variant Thanos ransomware
MalwareDev ontdekt een nieuwe variant met extensie *.skyland
Seems Thanos Ransomware
— MalwareDev (@Malwaredev) March 20, 2021
Ext:.Skyland
EmailID:yourdata@RecoveryGroup.at
Accepts BTC Only as per ransom note
VT Link: https://t.co/aQJ9NyOcJr
AnyRun:https://t.co/JWTWdOZklF@JAMESWT_MHT @lazyactivist192 @James_inthe_box @blackorbird @BleepinComputer @struppigel
21 maart 2020
De serviceprovider van Nunavut-scholen wordt aangevallen door ransomware
Het ministerie van Onderwijs van Nunavut heeft bevestigd dat er een ransomwareaanval heeft plaatsgevonden bij de serviceprovider voor het schoolinformatiesysteem van het gebied dat cijfers, aanwezigheid en inschrijving van leerlingen opslaat. Lees verder
REvil publiceert eerste documenten Acer
De ransomwaregroep Sodinokibi (REvil) publiceert op zijn website, binnen de Tor-netwerken, de eerste documenten die tijdens een recente cyberaanval van Acer zijn gestolen. Lees verder
Ontdekking slachtoffer lijst Ransomware
Tijdens mijn onderzoek op het Darkweb ontdek ik een lijst met maar liefst 1714 ransomware slachtoffers!
PS: Als je de volledige lijst wil ontvangen, laat het ons dan weten via de Cybercrimeinfo.nl Chat.
Met speciale dank aan: anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware
Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Doxware
Wat is Doxware?
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 03-2025
Reading in another language
Slachtofferanalyse en Trends van Week 02-2025
Reading in another language
Slachtofferanalyse en Trends van Week 01-2025
Reading in another language
Slachtofferanalyse en Trends van Week 52-2024
Reading in another language
Slachtofferanalyse en Trends van Week 51-2024
Reading in another language
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Ransomware berichten
De dag dat ransomware slim werd, hoe AI de spelregels verandert
Reading in another language
De stille pandemie van 2025, ransomware explodeert wereldwijd en blijft onzichtbaar
Reading in another language
LockBit gehackt: Het onmogelijke gebeurt en onthult een duistere wereld van ransomware
Reading in another language
Ransomware in 2025, een groeiende dreiging: trends en ontwikkelingen
Reading in another language
Double Extortion Ransomware: Een onderzoek naar de winst, inspanning en risico’s voor cybercriminelen
Reading in another language
Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware
Reading in another language
Alle blogs
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.