Vierhonderd organisaties door Conti-ransomware aangevallen, Toyota slachtoffer cyberaanval en verzekeraar CNA betaalde ransomware groep 40 miljoen dollar losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
23 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| UNIQUE TOOLING PTY LTD | LV | 2021-05-23 |
| Agile Property Holdings | Sodinokibi (REvil) | 2021-05-23 |
Cybercriminelen bieden data van Air India aan voor $ 3000 op het Darkweb
Cybercriminelen bieden data van Dominos India aan voor $ 1000 op het Darkweb
22 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Saipa Press | Nefilim | 2021-05-22 |
| TPG Internet | Nefilim | 2021-05-22 |
| Angstrom automotive group | Sodinokibi (REvil) | 2021-05-22 |
FBI: vierhonderd organisaties door Conti-ransomware aangevallen
De groep criminelen achter de Conti-ransomware heeft wereldwijd meer dan vierhonderd organisaties aangevallen, waarvan zich er 290 in de Verenigde Staten bevinden, zo stelt de FBI. Het gaat onder andere om zorginstellingen, gemeenschappen en politiediensten. De Ierse nationale gezondheidszorg HSE werd onlangs nog slachtoffer van de Conti-ransomware, wat gevolgen had voor de dienstverlening aan patiënten. Voor het ontsleutelen van bestanden eist de groep bedragen tot wel 25 miljoen euro.
Cyberveiligheid: België als vogeltje voor de kat
Op 4 mei 2021 kreeg Belgie een ongeziene cyberaanval te verduren. Het Belgische bedrijf Belnet dat internetverkeersdiensten levert aan verschillende overheids- en onderwijsinstellingen, TaxOnWeb, MyMinFin en vele andere diensten werden getroffen. Zo lagen ook enkele boekingssites van vaccinatiecentra een tijdlang plat. Zelfs enkele zittingen in het parlement werden geschorst. De desbetreffende aanval was een DDOS aanval. Bij dat soort aanvallen worden sites bestookt met berichten van over de hele wereld. Dit gaat door totdat de website overbelast geraakt en niet meer beschikbaar is. Lees verder
21 mei
Toyota slachtoffer cyberaanval
De eerste trof de Europese activiteiten van haar dochteronderneming Daihatsu Diesel Company, een bedrijfsentiteit van Toyota die motoren ontwerpt. In een verklaring [pdf] van 16 mei zei Daihatsu dat het "op 14 mei 2021 een probleem had met de toegang tot zijn bestandsserver in het interne systeem."
サイバー攻撃でトヨタ車体子会社も情報流出 #モーサテ pic.twitter.com/CWkSAZhJjT
— 世界四季報 (@4ki4) May 19, 2021
'Verzekeraar CNA betaalde ransomwaregroep 40 miljoen dollar losgeld'
Verzekeringsmaatschappij CNA heeft de groep criminelen die het netwerk met ransomware infecteerde veertig miljoen dollar losgeld betaald voor het ontsleutelen van bestanden. Het zou mogelijk om het hoogste losgeld gaan dat voor zover bekend bij een ransomware-aanval is betaald. Dat laten bronnen tegenover persbureau Bloomberg weten.
Ransomware infecteert QNAP-systemen via lek in Hybrid Backup Sync
NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten.
Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten.
Ierse rechter verbiedt ransomwaregroep om gestolen patiëntdata te publiceren
Het Ierse hooggerechtshof heeft de groep achter de Conti-ransomware verboden om gegevens die bij de Ierse nationale gezondheidszorg zijn gestolen te delen, verwerken, verkopen of publiceren. De Health Service Executive (HSE) liet het hof weten dat mogelijk alle data die het bezit gecompromitteerd is. De aanvallers, die de gezondheidszorg inmiddels een decryptietool hebben gegeven voor het ontsleutelen van de data, eisen twintig miljoen dollar om publicatie van de gestolen gegevens te voorkomen. De aanvallers hebben naar eigen zeggen zevenhonderd gigabyte aan data buitgemaakt.
Het gerechtelijke bevel is gericht tegen "onbekende personen". Naast het verbod om de gestolen data te openbaren of verspreiden, worden de aanvallers ook verplicht om zichzelf te identificeren door hun namen, adresgegevens en e-mailadressen te verstrekken. Het primaire doel van het bevel is om legitieme it-providers, zoals Google en Twitter, duidelijk te maken dat verspreiding van de gegevens niet is toegestaan, zo melden de Irish Examiner en de Independent.
DarkSide-partners claimen de bitcoin-storting van de bende op het hackerforum
Sinds de DarkSide-ransomware-operatie een week geleden werd stopgezet, hebben meerdere partners geklaagd over het feit dat ze niet zijn betaald voor eerdere services en hebben ze een claim ingediend voor bitcoins in escrow op een hackerforum. Russisch-talige cybercriminele gemeenschappen hebben doorgaans een escrow-systeem om oplichting tussen verkopers en kopers te voorkomen. Voor ransomware-operaties is de aanbetaling een duidelijke verklaring dat ze big business betekenen.
Criminals are still submitting claims to DarkSide Ransomware.https://t.co/lVlUW6bEJm pic.twitter.com/MEJxgLqrAb
— 3xp0rt (@3xp0rtblog) May 20, 2021
20 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| FEBANCOLOMBIA | Avaddon | 2021-05-20 |
| Cube Audit Ltd | Avaddon | 2021-05-20 |
| Halwani Bros Ltd | Avaddon | 2021-05-20 |
| Rate Rabbit Inc | Avaddon | 2021-05-20 |
| JetSJ | Avaddon | 2021-05-20 |
| Maryan beachwear group GmbH | Avaddon | 2021-05-20 |
| 360 InStore | Avaddon | 2021-05-20 |
| PKMK law&finance s.r.o | Avaddon | 2021-05-20 |
| SOLVERE LLC | Avaddon | 2021-05-20 |
| RINGSPANN GmbH | Avaddon | 2021-05-20 |
| PT. Realta Chakradarma | Conti | 2021-05-20 |
| Multifeeder | Lorenz | 2021-05-20 |
| Commport Communications | Lorenz | 2021-05-20 |
| STEMCOR | RansomEXX | 2021-05-20 |
| Ash Industries, Inc. | Conti | 2021-05-20 |
| Cairns Marine | Conti | 2021-05-20 |
| Cable Color S.A. de C.V. | Conti | 2021-05-20 |
| B.P. MITCHELL HAULAGE CONTRACTORS LIMITED | Conti | 2021-05-20 |
| Bartec Gmbh | Conti | 2021-05-20 |
| Birtcher Anderson & Davis Associates, Inc. | Conti | 2021-05-20 |
| Electronic Environments Co. LLC | Conti | 2021-05-20 |
| Creative Liquid Coatings, Inc | Conti | 2021-05-20 |
| cardinalmfg.com | LV | 2021-05-20 |
| RPE CONTRACTING | Conti | 2021-05-20 |
| Michael Stevens Interests, Inc. | Conti | 2021-05-20 |
| MHA MacIntyre Hudson | Conti | 2021-05-20 |
| Frank G. Love Envelopes, Inc. | Conti | 2021-05-20 |
| ResCon Group | Conti | 2021-05-20 |
| Vendrig Holding B.V. | Conti | 2021-05-20 |
| TURLA SRL | Conti | 2021-05-20 |
| TELCAL srl | Conti | 2021-05-20 |
| Sanger & Altgelt Insurance Agents | Conti | 2021-05-20 |
Ransomwaregroep dreigt met publicatie van Ierse patiëntgegevens
De groep achter de Conti-ransomware die onlangs de systemen van de Ierse nationale gezondheidszorg versleutelde dreigt honderden gigabytes aan patiëntgegevens te zullen publiceren of verkopen tenzij de Ierse overheid twintig miljoen dollar betaalt. Als bewijs van de datadiefstal zijn van enkele patiënten al de gegevens online gezet, melden The Journal, Bloomberg en de Financial Times. Vanwege de aanval is de dienstverlening aan patiënten nog altijd verstoord en kunnen meerdere ziekenhuizen geen radiotherapie bieden.
'Honderden QNAP-gebruikers betalen losgeld na ransomware-infectie'
Honderden mensen met een NAS-systeem van fabrikant QNAP hebben het losgeld betaald nadat hun apparaat met ransomware besmet raakte. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd. Deze ransomware versleutelt bestanden en eist 0,01 bitcoin voor het ontsleutelen van de data.
In de vier weken dat de ransomware actief is hebben bijna negenhonderd mensen bij elkaar zo'n 350.000 dollar betaald om hun bestanden terug te krijgen, zo stelt Bleeping Computer op basis van de bitcoin-wallets die de aanvallers gebruikten. Het bedrag kan mogelijk hoger liggen als er ook nog andere bitcoin-wallets zijn gebruikt.
Colonial Pipeline bevestigt betalen van 4,4 miljoen dollar losgeld
De Colonial Pipeline Company heeft bevestigd dat het de criminelen achter de recente ransomware-aanval 4,4 miljoen dollar losgeld heeft betaald voor het ontsleutelen van bestanden. "Ik weet dat het een zeer controversiële beslissing is", laat Colonial Pipeline-ceo Joseph Blount tegenover The Wall Street Journal weten. Volgens Blount was het geen eenvoudige beslissing. "Ik was er niet blij mee dat er geld naar dit soort mensen ging. Maar het was het juiste om te doen voor het land."
Microsoft: massale malware campagne levert nep-ransomware
De nieuwste versie van de op Java gebaseerde STRRAT-malware (1.5) werd vorige week verspreid via een enorme e-mailcampagne. Deze RAT is berucht om zijn ransomware-achtige gedrag waarbij de bestandsextensie .crimson aan bestanden wordt toegevoegd zonder ze daadwerkelijk te versleutelen.
The latest version of the Java-based STRRAT malware (1.5) was seen being distributed in a massive email campaign last week. This RAT is infamous for its ransomware-like behavior of appending the file name extension .crimson to files without actually encrypting them. pic.twitter.com/mGow2sJupN
— Microsoft Security Intelligence (@MsftSecIntel) May 19, 2021
Energy Hamburg terug met lokale programma’s na cyberaanval
Radiozender Energy Hamburg heeft de lokale programma’s weer hervat, nadat de radiozender vorige week was platgelegd door een cyberaanval. Sinds woensdag is de reguliere programmering weer te horen op der zender. Bron
19 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Finolex Cables Ltd. | Conti | 2021-05-19 |
| empire physicians Medical Group | Conti | 2021-05-19 |
| Iaffaldano, Shaw & Young LLP | Sodinokibi (REvil) | 2021-05-19 |
| Eitan Medical | N3tw0rm | 2021-05-19 |
MountLocker ransomware gebruikt Windows API om door netwerken te worstelen
De MountLocker-ransomwarebewerking gebruikt nu Windows Active Directory-API's voor bedrijven om door netwerken te worstelen. MountLocker begon in juli 2020 te werken als een Ransomware-as-a-Service (RaaS) waar ontwikkelaars de leiding hebben over het programmeren van de ransomwaresoftware en betalingssite. Filialen worden gerekruteerd om bedrijven te hacken en hun apparaten te versleutelen. Deze week deelde MalwareHunterTeam een voorbeeld van wat werd verondersteld een nieuw uitvoerbaar bestand van MountLocker te zijn dat een nieuwe wormfunctie bevat waarmee het zich kan verspreiden en versleutelen naar andere apparaten op het netwerk.
No one seems to talking about MountLocker ransomware recently, while they keep updating it.
— MalwareHunterTeam (@malwrhunterteam) May 17, 2021
Most interesting probably recently is the "worm" feature...
cc @demonslay335 @VK_Intel pic.twitter.com/ENakgtwTLv
18 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Loudoun Mutual Insurance Company | Conti | 2021-05-18 |
| ARWORLD | Conti | 2021-05-18 |
| ENPOL LLC | Sodinokibi (REvil) | 2021-05-18 |
| L.F. Manufacturing (LFM) Inc. | Conti | 2021-05-18 |
| Hentzen Coatings, Inc. | Conti | 2021-05-18 |
| HBD Industries, Inc. | Conti | 2021-05-18 |
| Transports P. Fatton Inc. | Conti | 2021-05-18 |
| DigiCon Technologies Limited | Conti | 2021-05-18 |
| AZ INVESTIGATION | Conti | 2021-05-18 |
| RIB GROUP | Conti | 2021-05-18 |
| MOSS BROS GROUP | Conti | 2021-05-18 |
| Mauffrey Group | Conti | 2021-05-18 |
| LG CNS | Conti | 2021-05-18 |
| Seifert Logistics Group | Conti | 2021-05-18 |
| Riwega S.R.L. | Conti | 2021-05-18 |
| OSF Healthcare System | XING LOCKER | 2021-05-18 |
'Grootste brandstofpijplijn in VS uitgeschakeld wegens zorgen over facturatie'
Het uitschakelen van de grootste brandstofpijplijn in de Verenigde Staten, wat bij duizenden tankstations voor tekorten zorgde, is gedaan wegens zorgen over de facturatie, zo laten bronnen tegenover CNN en journalist Kim Zetter weten. De ransomware-aanval tegen de Colonial Pipeline Company raakte het facturatiesysteem. De brandstofpijplijn zelf werd niet direct door de aanval getroffen.
Ransomware-aanval op Iers ministerie van Volksgezondheid afgeslagen
Niet alleen de Ierse gezondheidszorg was vorige week het doelwit van een ransomware-aanval, ook het Ierse ministerie van Volksgezondheid werd aangevallen. Deze laatste aanval kon echter worden afgeslagen. Dat meldt het Ierse National Cyber Security Centre (NCSC) in een rapport.
DarkSide-ransomware heeft in slechts negen maanden $ 90 (€73,8) miljoen "verdiend"
De DarkSide-ransomware-bende heeft de afgelopen negen maanden minstens €73,8 miljoen aan losgeld verzameld dat door zijn slachtoffers is betaald aan meerdere Bitcoin-portefeuilles. Ongeveer 10% van de winst kwam binnen een week van de aanval op slechts twee bedrijven, Colonial Pipeline het grootste oliepijpleidingsysteem in de Verenigde Staten en Brenntag een groot chemiedistributiebedrijf in Duitsland. Blockchain-analysebedrijf Elliptic vond en analyseerde losgeldbetalingen aan DarkSide uit 47 verschillende Bitcoin-portefeuilles. De transacties bedroegen in totaal iets meer dan €73,8 miljoen sinds oktober 2020.
Utrechts Archief eind mei weer online bereikbaar na cyberaanval: ‘Er wordt met man en macht aan gewerkt’
Het door een cyberaanval getroffen Utrechts Archief hoopt eind mei online weer geheel bereikbaar te zijn. En als de voorspelde versoepelingen vanwege corona doorgaan, zou de studiezaal aan de Alexander Numankade komende donderdag weer beperkt open mogen, laat directeur Chantal Keijsper weten. Bron
17 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Intermountain Farmers Association - IFA COUNTRY STORES | Conti | 2021-05-17 |
| Tegut | Nefilim | 2021-05-17 |
| The MADSACK Media Group | Nefilim | 2021-05-17 |
Experts: wijzigen van taalinstelling kan ransomware-infectie voorkomen
Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit.
Benzinetekort in Verenigde Staten door ransomware-aanval neemt af
Het benzinetekort aan de Amerikaanse oostkust als gevolg van de ransomware-aanval op de Colonial Pipeline Company is aan het afnemen, maar de situatie is nog altijd niet hersteld. De afgelopen dagen zaten duizenden tankstations zonder brandstof, mede door Amerikanen die op grote schaal benzine en diesel hamsterden en het feit dat er geen brandstof werd geleverd. Op het hoogtepunt moesten zestienduizend tankstations nee verkopen aan klanten.
Zaterdag meldde de Colonial Pipeline dat de werking van de pijplijn is hersteld en het brandstof weer met miljoenen liters per uur wordt vervoerd. Toch zal het nog wel even duren voordat de volledig 'supply chain' is hersteld, laat het bedrijf tegenover persbureau Reuters weten. Zo zou in Washington D.C zo'n zeventig procent van de tankstations nog altijd zonder brandstof zitten, aldus cijfers van GasBuddy.
Divisie verzekeringsmaatschappij AXA getroffen door ransomware-aanval
Een Aziatische bedrijfsdivisie van verzekeringsmaatschappij AXA is recentelijk getroffen door een ransomware-aanval. Onlangs maakte de Franse tak nog bekend dat het voortaan geen losgeld meer vergoedt dat slachtoffers van ransomware-aanvallen betalen om hun bestanden terug te krijgen of het openbaar maken van gestolen data te voorkomen.
De aanval op de bedrijfsdivisie vond volgens bronnen plaats voordat AXA Frankrijk besloot het beleid te veranderen. De aanval op de AXA-divisie is opgeëist door de groep achter de Avaddon-ransomware. De groep claimt dat het drie terabyte aan data heeft buitgemaakt, meldt de Financial Times. Het zou onder andere gaan om persoonlijke informatie van klanten, waaronder medische dossiers en verzekeringsclaims, alsmede data van ziekenhuizen en artsen.
Slachtoffer van ransomware laat zien waarom transparantie bij aanvallen belangrijk is
Aangezien verwoestende ransomware-aanvallen verstrekkende gevolgen blijven hebben, proberen bedrijven de aanvallen nog steeds te verbergen in plaats van transparant te zijn. Gelukkig zijn er ook uitzonderingen! Op 5 mei kreeg Volue, leverancier van groene energie-technologie, te maken met een Ryuk-ransomware-aanval die invloed had op enkele van hun front-end klantplatforms.
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Meer weten over de historie van Ransomware klik dan hier.
Doxware
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 03-2025
Reading in another language
Slachtofferanalyse en Trends van Week 02-2025
Reading in another language
Slachtofferanalyse en Trends van Week 01-2025
Reading in another language
Slachtofferanalyse en Trends van Week 52-2024
Reading in another language
Slachtofferanalyse en Trends van Week 51-2024
Reading in another language
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Ransomware nieuws
De dag dat ransomware slim werd, hoe AI de spelregels verandert
Reading in another language
De stille pandemie van 2025, ransomware explodeert wereldwijd en blijft onzichtbaar
Reading in another language
LockBit gehackt: Het onmogelijke gebeurt en onthult een duistere wereld van ransomware
Reading in another language
Ransomware in 2025, een groeiende dreiging: trends en ontwikkelingen
Reading in another language
Double Extortion Ransomware: Een onderzoek naar de winst, inspanning en risico’s voor cybercriminelen
Reading in another language
Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware
Reading in another language
Alle het nieuws
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NB414: Basic-Fit en Booking gelekt, NIS2 officieel van start
Deze week bevestigde Booking.com een datalek met boekingsdetails van Nederlandse klanten en meldde Basic-Fit dat gegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de ChipSoft ransomwareaanval die 70 procent van de Nederlandse ziekenhuizen raakt via één leverancier. België zette de NIS2 wet op 18 april in werking voor 2.410 essentiële entiteiten en Nederland volgde met de Cyberbeveiligingswet voor 8.000 organisaties onder NCSC-toezicht. Aanvallers misbruikten actief een kritieke Nginx UI kwetsbaarheid en richtten zich op AI-coding-agents via GitHub. Eerder die week verspreidde de CPU-Z tool van CPUID zes uur lang malware, werd de Marimo kwetsbaarheid binnen tien uur na openbaarmaking misbruikt en toonde de FBI dat gewiste Signal berichten te herstellen zijn via de iPhone notificatiedatabase. In het bibliotheekdossier duiken we in ShinyHunters, de groep achter Odido, Ticketmaster en de recente Amtrak en McGraw Hill lekken. En de politie vraagt uw hulp bij het herkennen van twee pinners na bankhelpdeskfraude in Erp en Eindhoven.
Pinners gezocht na bankhelpdeskfraude in Erp en Eindhoven
Een 74-jarige vrouw werd op 18 december 2025 slachtoffer van bankhelpdeskfraude. Een vrouw belde haar als nepbankmedewerker en zei dat haar bankpas geskimd was. Diezelfde avond stond een koerier aan de deur die haar bankpas, sieraden, telefoon en identiteitskaart meenam. De volgende dag werd er met de gestolen bankpas gepind in Erp en Eindhoven. De politie zoekt twee verdachten via Opsporing Verzocht.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.