Verzekeraars deinzen terug voor ransomware, Mexico sluit nationale loterijsites na ransomware DDoS-dreiging en zo'n 80% van de organisaties betaalt losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
30 mei
| Slachtoffer | Cybercriminele organisatie | Datum | |
|---|---|---|---|
| Akorbi | Avaddon | 2021-05-30 | |
| JM ROSSA SA | Avaddon | 2021-05-30 | |
| Forbes Hare | Avaddon | 2021-05-30 | |
| WorldUnion | Avaddon | 2021-05-30 | |
| Tri-Metal Fabricators | Avaddon | 2021-05-30 | |
| Hupac Intermodal Italia Srl | Avaddon | 2021-05-30 | |
| Dentalez | Marketo | 2021-05-30 | |
| Durard | LV | 2021-05-30 |
29 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Hotel Nyack | Prometheus | 2021-05-29 |
| JFA Construction | Avaddon | 2021-05-29 |
| Våpensmia AS | Prometheus | 2021-05-29 |
De trage decryptors van ransomware bendes zetten slachtoffers ertoe aan om alternatieven te zoeken
Onlangs ontvingen twee veelbesproken ransomware-slachtoffers een decryptor die te traag was om het netwerk van het slachtoffer snel te herstellen.
De eerste was Colonial Pipeline, die 4,4 miljoen dollar aan losgeld betaalde voor een decryptor na te zijn aangevallen door de DarkSide-ransomware-operatie .
De decryptor was echter zo traag dat het bedrijf zijn toevlucht nam tot het herstellen van back-ups.
"Toen ze de betaling hadden ontvangen, gaven de hackers de operator een decoderingstool om zijn uitgeschakelde computernetwerk te herstellen. De tool was zo traag dat het bedrijf zijn eigen back-ups bleef gebruiken om het systeem te herstellen", meldde Bloomberg.
28 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Sessions Payroll Management Inc | avaddon | 2021-05-28 |
| Al-Arfaj Group | avaddon | 2021-05-28 |
| AIM Financial Corporation Ltd | avaddon | 2021-05-28 |
| Pronosticos Deportivos | avaddon | 2021-05-28 |
| Loewe Technology GmbH | avaddon | 2021-05-28 |
| TEC EPM GmbH | avaddon | 2021-05-28 |
| Saigon Cargo Service Corporation | avaddon | 2021-05-28 |
| CENTRE | LV | 2021-05-28 |
| Citroen Wells | Sodinokibi (REvil) | 2021-05-28 |
| GRAYSONS SOLICITORS | Sodinokibi (REvil) | 2021-05-28 |
| Puntacana Group | Grief | 2021-05-28 |
Mexico sluit nationale loterijsites na ransomware DDoS-dreiging
Toegang tot de Lotería Nacional- en Pronósticos-loterijwebsites in Mexico is nu geblokkeerd voor IP-adressen buiten Mexico nadat een ransomware bende (Avaddon) dreigde denial-of-service-aanvallen (DDoS) uit te voeren. Lotería Nacional is het door de overheid gerunde nationale loterijsysteem van Mexico, dat opereert onder het Mexicaanse ministerie van Financiën. Pronósticos is het programma van Loteria Nacional waar Mexicanen kunnen wedden op kansspelen of sport.
Toen we gisteravond hoorden van deze vermeende aanval, hadden we toegang tot de site Lotería Nacional ( https://www.lotenal.gob.mx/ ) en Pronósticos (https://www.pronosticos.gob.mx/ ).
Tegenwoordig zijn deze sites echter niet langer toegankelijk voor IP-adressen buiten Mexico, en de verbinding met de site wordt nu verbroken, zoals hieronder wordt weergegeven.
‘Zo'n 80% van de organisaties betaalt losgeld’
Hoe ga je het gesprek aan met criminelen die net een hele organisatie stil hebben gelegd? Voor oud-rechercheur Pim Takkenberg is dit gesneden koek. “Vroeger stonden de criminelen aan mijn bureau. Nu spreek ik hen online.” Hij geeft ons een kijkje achter de schermen bij het cybersecuritybedrijf Northwave.
“Ik heb vandaag piketdienst", zegt Pim Takkenberg, general manager bij Northwave, voordat het interview start. “Dus het kan zijn dat we gestoord worden.”
En inderdaad, al binnen een half uur krijgt hij een bericht binnen. Hij typt dat zijn klant 2 bitcoins heeft overgemaakt. Dit is op dat moment zo'n 100.000 euro. Hij krijgt niet meteen een reactie terug. “Het is nog vroeg. Ook criminelen moeten nog even wakker worden." Lees verder
Waarom nog inbreken met een koevoet als jij de deur digitaal wagenwijd openzet?
Vraag aan een ‘gemiddelde Nederlander’ hoe een crimineel er uitziet en je krijgt antwoorden als: zwart gekleed, bivakmuts op, tas met inbrekersspullen en wellicht een onverzorgd baardje. Klopt dat beeld anno 2021 nog steeds?
Vraag diezelfde ‘gemiddelde Nederlander’ hoe hij zijn huis of bedrijf beveiligt. Het antwoord is meestal: “Er zitten goede sloten op mijn deuren, want als ik dat niet doe, nodigt het criminelen uit om eens binnen te komen kijken!”
Ondertussen lacht de crimineel in zijn vuistje als blijkt dat het wachtwoord om de bankzaken te regelen op de computer áchter die voordeur met een veilig slot, W3lk0m1 is. En welkom is deze hacker dan ook als hij vanuit zijn eigen veilige omgeving op enkele honderden kilometers afstand, een pizzapunt in één hand, rustig zijn gang kan gaan. Lees verder
Onderzoeksteam van SentinelOne ontdekt nieuwe threat-groep: Agrius
SentinelOne heeft een nieuwe groep ontdekt die het SentinelLabs-onderzoeksteam aanduidt als Agrius en die vanaf het begin van 2020 actief is in Israël. Agrius was aanvankelijk betrokken bij spionageactiviteiten, maar voerde daarna een reeks destructieve wiper-aanvallen uit op Israëlische doelen, waarna de activiteit werd vermomd als ransomware aanvallen.
27 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Sharafi Group Investments | XING LOCKER | 2021-05-27 |
| ALMA-SAS.FR | LV | 2021-05-27 |
| Gosiger | Sodinokibi (REvil) | 2021-05-27 |
| Balade Farms Food Industries / Grako | Prometheus | 2021-05-27 |
| Sullestad | Prometheus | 2021-05-27 |
| Archus | Prometheus | 2021-05-27 |
| Grako | Prometheus | 2021-05-27 |
| Comune di Porto Sant'Elpidio | Grief | 2021-05-27 |
| La Concha (MATERIAS PRIMAS LA CONCEPCIÓN S.A. de C.V.) | Grief | 2021-05-27 |
| Mobile County, Alabama | Grief | 2021-05-27 |
Qnap helpt slachtoffers Qlocker-ransomware uit de brand met QRescue
In april werd bekend dat er een nieuw soort ransomware rondgaat, dat specifiek Qnap-nas-apparaten in het vizier heeft. Er waren toen al zo'n 350 genoteerde slachtoffers. De Taiwanese nas-maker verklaart getroffen systemen nu te kunnen helpen.
Er is nu een handleiding voor getroffenen, waarin wordt beschreven hoe sommige gebruikers hun bestanden terug kunnen halen zonder de aanvallers te hoeven te betalen in Bitcoin. Er zijn een aantal voorwaarden. De versleutelde .7z-bestanden mogen niet zijn verwijderd of aangepast, de schijfruimte die gebruikt is door de originele bestanden zijn niet overgeschreven, je moet een extern opslagmedium hebben met anderhalf tot twee keer de opslagruimte voor de data die je wilt overzetten en je moet de Qnap-voorwaarden accepteren.
Je kunt hiervoor inloggen op je Qnap-account op de ondersteuningspagina. Linksboven staat de knop 'ondersteuning', waarna je kunt klikken op 'ondersteuningsticket maken'. Zelfstandigere nas-eigenaren kunnen ook zelf aan de gang gaan met behulp van de Qrescue-software. Daarvoor heeft Qnap een uitgebreide handleiding op zijn website staan.
Verzekeraars deinzen terug voor ransomware
Het begint nu in Frankrijk: de internationale verzekeraar AXA weigert in dat Europese land om nieuwe polissen uit te schrijven die ransomware dekken. AXA gaat niet langer Franse slachtoffers van ransomware vergoeden voor hun betaling van losgeld aan cybercriminelen. Andere verzekeraars zouden hun beleid heroverwegen, en ondertussen is AXA zelf geraakt door een ransomware-aanval.
De aanval op AXA is uitgevoerd op Aziatische vestigingen van het bedrijf. De IT-activiteiten in Thailand, Maleisië, Hong Kong en de Filipijnen zijn getroffen door gijzelingssoftware, hebben diverse media al gemeld. De daders claimen ook 3TB aan zeer gevoelige gegevens te hebben gestolen, en ze dreigen met DDoS-aanvallen op het netwerk van de verzekeraar.
Canada Post getroffen door datalek na ransomware-aanval
Canada Post heeft 44 van zijn grote commerciële klanten geïnformeerd dat een ransomware-aanval op een externe serviceprovider verzendgegevens voor hun klanten heeft blootgelegd. Canada Post is de belangrijkste postoperator in Canada en bedient 16,5 miljoen Canadese woon- en zakenadressen. Gisteren maakte Canada Post bekend dat een externe leverancier, Commport Communications genaamd, een ransomware-aanval heeft ondergaan waarbij bedreigingsactoren toegang kregen tot gegevens die op hun systemen waren opgeslagen. Bron
Avaddon: buit van minstens een miljoen dollar sinds begin mei
Deze ransomware wordt sinds maart steeds populairder bij cybercriminelen. Het aantal slachtoffers dat niet betaalt neemt toe. Maar de sporen van betalingen wijzen op een zorgwekkende situatie. Bron
26 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Webhelp's company - XtraSource | Ragnar_Locker | 2021-05-26 |
| Ballas Capital Limited | Avaddon | 2021-05-26 |
| Servilex Advocaten | Avaddon | 2021-05-26 |
| Johann Kupp GmbH & Co. KG | Avaddon | 2021-05-26 |
| Carlos Federspiel & Co SA | Avaddon | 2021-05-26 |
| Buckeye International Inc | Avaddon | 2021-05-26 |
| LE VOLCAN | Avaddon | 2021-05-26 |
| Syndex | Avaddon | 2021-05-26 |
| Inventec Appliances Corp | Avaddon | 2021-05-26 |
| Imperial Printing and Paper Box Mfg | Avaddon | 2021-05-26 |
| Accounts IQ | Avaddon | 2021-05-26 |
| Ludwig Pfeiffer | Ragnar_Locker | 2021-05-26 |
| Möbelstadt Sommerlad | Sodinokibi (REvil) | 2021-05-26 |
| Tulsa Cardiovascular Center of Excellence | Prometheus | 2021-05-26 |
25 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Coastal Family Health Center | XING LOCKER | 2021-05-25 |
| SEVES GROUP SPA | Conti | 2021-05-25 |
| FUNBREAK | Conti | 2021-05-25 |
Audiobedrijf Bose informeert personeel over datalek na ransomware-aanval
Audiobedrijf Bose heeft huidig en voormalig personeel geïnformeerd over een datalek nadat het slachtoffer van een ransomware-aanval was geworden. Op 7 maart ontdekte Bose dat systemen van het bedrijf in de Verenigde Staten besmet waren geraakt met ransomware.
Het audioconcern was na de aanval eerst bezig met het herstellen van de getroffen systemen. Vervolgens werd een forensisch onderzoek ingesteld. Daaruit bleek eind april dat de aanvallers, voordat ze de ransomware uitrolden, mogelijk eerst interne hr-bestanden hebben buitgemaakt.
Deze bestanden bevatten namen, social-securitynummers en salarisgerelateerde gegevens van huidige en voormalige medewerkers van Bose. Getroffen medewerkers kunnen nu een jaar lang kosteloos gebruikmaken van een identiteitsbeschermingsdienst, zo blijkt uit een brief die Bose vorige week naar het personeel stuurde. Tevens heeft het bedrijf het datalek bij het Amerikaanse ministerie van Justitie van de staat New Hampshire gemeld (pdf). In deze melding staan ook verschillende maatregelen die Bose naar aanleiding van de aanval heeft genomen.
Zscaler Ransomware rapport belicht groei double-extortion aanvallen
Zscaler, speler in cloud-native beveiliging, kondigt zijn Ransomware Report aan, met onder andere een analyse van belangrijke ransomware-trends en -details over de meest effectieve ransomware-actoren, hun aanvalstactieken en de meest kwetsbare sectoren die hier doelwit van zijn. Om opkomende ransomware-varianten, hun oorsprong en informatie over hoe zij gestopt kunnen worden te identificeren, analyseerde het Zscaler ThreatLabZ-team meer dan 150 miljard platform-transacties en 36,5 miljard geblokkeerde aanvallen tussen november 2019 en januari 2021. Het rapport bespreekt daarnaast het groeiende risico van ‘double-extortion’-aanvallen. Deze aanvallen worden steeds vaker ingezet door cybercriminelen om disruptie te veroorzaken en data gegijzeld te houden.
24 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| STAM | Conti | 2021-05-24 |
| CEFCO | Marketo | 2021-05-24 |
| Axis Communications | Marketo | 2021-05-24 |
| TECHNICAL UNIVERSITY OF BERLIN | Conti | 2021-05-24 |
| T.I.S. Group | XING LOCKER | 2021-05-24 |
Zeppelin ransomware komt weer tot leven met bijgewerkte versies
De ontwikkelaars van de Zeppelin-ransomware hebben hun activiteiten hervat na een periode van relatieve stilte. Een recente variant van de malware kwam eind vorige maand beschikbaar op een hacker forum, waardoor cybercriminelen in de ransomware-business volledige onafhankelijkheid kregen. Het bedrijf Advanced Intel ( AdvIntel ) ontdekte dat de ontwikkelaars van Zeppelin-ransomware hun activiteiten in maart nieuw leven hebben ingeblazen.
Zeppelin Update
— Yelisey Boguslavskiy (@y_advintel) May 24, 2021
"They announced a major update for the software along with a new round of sales - in an intelligence report, #AdvIntel head of research Yelisey Boguslavskiy says that the current Zeppelin version comes with a price tag of $2,300"https://t.co/3GwpQ9rYr7
De ransomware-hackers van de koloniale pijplijn hadden een geheim wapen: cyberbeveiligingsbedrijven die zichzelf promoten
Door de tool te publiceren, waarschuwde Bitdefender DarkSide voor de fout, waarbij dezelfde digitale sleutels opnieuw werden gebruikt om meerdere slachtoffers te vergrendelen en ontgrendelen. De volgende dag verklaarde DarkSide dat het het probleem had verholpen en dat "nieuwe bedrijven niets te hopen hebben". "Speciale dank aan BitDefender voor het helpen oplossen van onze problemen", zei DarkSide.“Hier worden we nog beter van.”Bron
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Meer weten over de historie van Ransomware klik dan hier.
Doxware
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 03-2025
Reading in another language
Slachtofferanalyse en Trends van Week 02-2025
Reading in another language
Slachtofferanalyse en Trends van Week 01-2025
Reading in another language
Slachtofferanalyse en Trends van Week 52-2024
Reading in another language
Slachtofferanalyse en Trends van Week 51-2024
Reading in another language
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Ransomware nieuws
De dag dat ransomware slim werd, hoe AI de spelregels verandert
Reading in another language
De stille pandemie van 2025, ransomware explodeert wereldwijd en blijft onzichtbaar
Reading in another language
LockBit gehackt: Het onmogelijke gebeurt en onthult een duistere wereld van ransomware
Reading in another language
Ransomware in 2025, een groeiende dreiging: trends en ontwikkelingen
Reading in another language
Double Extortion Ransomware: Een onderzoek naar de winst, inspanning en risico’s voor cybercriminelen
Reading in another language
Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware
Reading in another language
Alle het nieuws
Meta AI lek kaapt Instagram, vier Benelux datalekken
In het weekend van 30 en 31 mei en op maandag 1 juni 2026 stond kunstmatige intelligentie centraal als nieuw aanvalsoppervlak. Een lek in de digitale assistent Meta AI maakte het mogelijk om Instagramaccounts over te nemen, zelfs met tweefactorauthenticatie, waarbij het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van Barack Obama het bekendste slachtoffer was. Tegelijk verschenen op cybercrimefora vermeende datasets van vier grote organisaties uit Nederland en België, waaronder het Utrechtse BCD Travel en het grootste Belgische ziekenfonds. De opsporing boekte een succes met de aanhouding van de beheerder van een van de grootste platforms voor gestolen data. Verder worden twee kwetsbaarheden in Palo Alto GlobalProtect en de WordPress plugin WP Maps Pro op dit moment actief misbruikt.
Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt
In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.
Man gezocht na bankhelpdeskfraude bij 79-jarige in Velsen
Op 12 december 2025 ontving een 79-jarige man uit Velsen een sms met een alarmerende boodschap. Daarin stond dat iemand uit Rusland had geprobeerd geld van zijn bankrekening te halen. De sms bevatte een hulplijn waarop hij direct kon bellen.
Ajax hack Buren, NL ransomware en valse AI installaties
In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.
FIOD 800 servers, TrapDoor npm en Ghost CMS ClickFix
In de periode van vrijdag 22 tot en met zondag 24 mei 2026 arresteerde de FIOD twee verdachten en nam meer dan 800 servers in beslag van een hostingbedrijf dat vermoedelijk Russische cyberaanvallen en desinformatie faciliteerde. Dreigingsactor TrapDoor plaatste 34 kwaadaardige pakketten gericht op ontwikkelaars die AI coding assistants gebruiken, waarbij kwaadaardige instructiebestanden worden ingezet om toekomstige AI sessies te manipuleren. En op meer dan 700 websites, waaronder die van Harvard University en Oxford University, wordt een kritieke kwetsbaarheid in Ghost CMS (CVE-2026-26980) misbruikt om bezoekers via ClickFix naar malware te leiden.
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.