Opsporing nieuws

Beveiligingsjournalist Brian Krebs van KrebsOnSecurity heeft de vermoedelijke identiteit onthuld van de beheerder achter het Kimwolf botnet, een van de grootste en meest destructieve botnets ter wereld. De persoon achter het botnet opereert onder de alias "Dort" en wordt geidentificeerd als Jacob Butler uit Ottawa, Canada, geboren in augustus 2003.

Butler, die ook de aliassen CPacket, M1ce, DortDev en Meow gebruikte, coordineerde vanuit het Kimwolf botnet grootschalige DDoS-aanvallen, doxing campagnes, email flooding en zelfs swatting (valse noodoproepen) tegen beveiligingsonderzoekers. Het Kimwolf botnet heeft wereldwijd miljoenen apparaten besmet en dwingt gecompromitteerde systemen om kwaadaardig internetverkeer door te sturen en deel te nemen aan DDoS-aanvallen.

Onder de naam DortDev was Butler in maart 2022 actief op LAPSUS$ chatservers, waar hij diensten aanbood voor wegwerp e-mailadressen en CAPTCHA omzeiling. LAPSUS$ was destijds verantwoordelijk voor spraakmakende hacks bij onder meer Microsoft, Nvidia, Samsung en Uber. Daarnaast stal Butler meer dan $250.000 aan Xbox Game Pass accounts.

Het onderzoek maakte gebruik van OSINT tools en informatie van inlichtingenbedrijven Intel 471, Flashpoint en Constella Intelligence. Een eerder gepubliceerde dox uit 2020 koppelde de alias Dort al aan een Canadese tiener met het e-mailadres jay.miner232@gmail.com en een GitHub account aangemaakt in 2017. Butler ontkent betrokken te zijn bij activiteiten na 2021 en beweert dat zijn accounts zijn gecompromitteerd.

Het Kimwolf botnet verspreidt zich door te tunnelen via residential proxy netwerken en apparaten te infecteren die verborgen zijn achter firewalls en routers. Onofficiële Android TV-boxen die met Android Debug Bridge (ADB) standaard ingeschakeld werden geleverd, droegen bij aan de snelle verspreiding van het botnet.

Bron: KrebsOnSecurity | Bron 2: Intel 471

Een 22-jarige man uit Alabama heeft schuld bekend aan afpersing, cyberstalking en computermisdrijf nadat hij de social media accounts van honderden jonge vrouwen (waaronder minderjarigen) had gekaapt. Tussen april 2022 en mei 2025 deed Jamarcus Mosley zich voor als vrienden van de slachtoffers en gebruikte hij andere tactieken om zijn slachtoffers over te halen account recovery codes en wachtwoorden te overhandigen. Mosley gebruikte vervolgens de gestolen inloggegevens om de controle over hun Snapchat-, Instagram- en andere social media accounts over te nemen.

Nadat hij hun accounts had overgenomen, dreigde hij hun prive naaktfoto's en video's openbaar te maken of hen uit hun accounts te sluiten, tenzij de slachtoffers aan zijn eisen voldeden. Deze eisen omvatten het overdragen van volledige toegang tot extra accounts, het sturen van seksueel expliciete content of het betalen van verschillende geldsommen.

Volgens U.S. Attorney Theodore S. Hertzberg is Mosley de gevaarlijke online vreemdeling waar elke ouder bang voor is. Door het vertrouwen van tieners en jongvolwassenen te misbruiken, hackte Mosley hun accounts om intieme en seksueel getinte afbeeldingen te stelen en hen gedurende een periode van drie jaar af te persen.

In een specifiek geval deed Mosley zich voor als een middelbare schoolvriend van een 20-jarige vrouw uit Georgia en overtuigde haar om haar Snapchat recovery code te delen. Vervolgens kaapte hij haar account, kreeg toegang tot haar prive afbeeldingen en stuurde haar een dreigend bericht, waarin hij zei dat hij 65 video's en een foto van haar had die op het punt stonden te worden gepost.

In een ander incident weigerde een 18-jarige vrouw uit Florida aan zijn eisen te voldoen om meer naaktfoto's te sturen. Mosley maakte zijn dreigementen waar en plaatste haar gestolen prive foto's online. Later gebruikte Mosley ook het gehackte account van een 17-jarig slachtoffer uit Illinois om contact op te nemen met de 13-jarige zus van de vrouw uit Florida, waarbij hij een Snapchat-kaartafbeelding stuurde om te impliceren dat hij wist waar ze woonde. Mosley zal op 27 mei worden veroordeeld door U.S. District Judge Michael L. Brown.

Bron: U.S. Department of Justice

Een vrouw uit Florida is veroordeeld tot 22 maanden gevangenisstraf voor het jarenlang verhandelen van duizenden gestolen Microsoft Certificate of Authenticity (COA)-labels. De 52-jarige Heidi Richards, die een e-commercebedrijf genaamd Trinity Software Distribution runde, kreeg ook een boete van 50.000 dollar opgelegd.

COA labels zijn kleine stickers die software authenticeren en unieke productcodes bevatten om producten op fysieke media te activeren, zoals Microsofts Windows en Office. Volgens aanklagers hebben COA labels geen zelfstandige commerciele waarde en mogen ze niet los van de bijbehorende software en hardware worden verkocht. De codes op deze labels kunnen echter worden gebruikt om Microsoft-software te activeren zonder een legitieme licentie, wat leidt tot een illegale markt voor losse COA labels.

De enige geautoriseerde manier om een Windows OEM COA te distribueren, is bevestigd aan de computer waarop de software is geinstalleerd, of met de complete, verzegelde OEM-verpakking, inclusief het COA label en de licentie. De labels mogen niet los worden verkocht van de software.

Tussen juli 2018 en januari 2023 kochten Richards en haar medeplichtigen tienduizenden originele Windows 10- en Microsoft Office COA labels van een bedrijf in Texas, voor miljoenen dollars tegen prijzen ver onder de detailhandelwaarde. In plaats van de labels te verkopen met de software, liet Richards werknemers de productcodes handmatig extraheren en in Excel-spreadsheets zetten. Vervolgens verkochten ze de Microsoft-licentiecodes in bulk aan klanten over de hele wereld, waarbij ze tussen 2018 en 2023 in totaal 5.148.181,50 dollar overmaakten aan de leverancier.

De zaak werd behandeld door Assistant U.S. Attorney Risha Asokan en trial attorney Jared Hosid van de Computer Crime and Intellectual Property Section (CCIPS). De afgelopen vijf jaar heeft CCIPS meer dan 180 cybercrime-veroordelingen verkregen en slachtoffers geholpen meer dan 350 miljoen dollar terug te krijgen.

Bron: U.S. Department of Justice | Bron 2: documentcloud.org

Een internationale politieactie, genaamd Project Compass, heeft het 764-netwerk (ook bekend als The Com) blootgelegd, een online netwerk dat zich richt op jongeren wereldwijd. De groep, die begon als een lokaal initiatief, is uitgegroeid tot een internationaal probleem waarbij de National Crime Agency van het Verenigd Koninkrijk, de FBI en de politie van 28 andere landen betrokken zijn.

Het netwerk, opgericht in 2020 door de 15-jarige Bradley Chance Cadenhead uit Texas, opereert via verschillende platforms, waaronder Minecraft en sociale media. Het is verdeeld in verschillende takken, elk met een specifiek doel. Cyber Com richt zich op hacking en het gijzelen van bedrijfsgegevens, terwijl Offline Com en Sextortion Com kinderen manipuleren en chanteren om zichzelf te filmen in situaties van zelfbeschadiging of geweld tegen dieren. Deze beelden worden vervolgens gebruikt om de slachtoffers gevangen te houden in een cyclus van misbruik.

Project Compass, onder leiding van het Europees Centrum voor Terrorismebestrijding, is sinds januari 2025 actief en bouwt aan een internationaal netwerk om expertise en advies over preventie te delen. Het project brengt specialisten op het gebied van terrorismebestrijding, georganiseerde misdaad en kinderbescherming samen om informatie uit te wisselen en hun onderzoeken te coordineren. Een belangrijk onderdeel van het werk zijn data sprints, waarbij functionarissen uit het Verenigd Koninkrijk, Canada, Australie en Nieuw-Zeeland samenwerken om de bewegingen van de criminelen op het internet te volgen.

Tot nu toe heeft Project Compass geleid tot de arrestatie van 30 verdachten en de identificatie van 179 andere personen die vermoedelijk betrokken zijn bij de misdaden. Vier slachtoffers zijn uit onmiddellijk gevaar gered en 62 anderen zijn geidentificeerd voor ondersteuning.

Eerdere arrestaties hebben al aangetoond hoe gedecentraliseerd het netwerk is geworden. In plaats van als een georganiseerde groep te opereren, functioneert 764 meer als een losse verzameling van gemeenschappen en subgroepen die tactieken, ideologie en doelwitten delen. Deze structuur bemoeilijkt het volledig ontmantelen van het netwerk, waardoor internationale initiatieven zoals Project Compass noodzakelijk zijn.

Bron: Europol

Het phishing-as-a-service (PhaaS) platform Tycoon2FA, dat sinds augustus 2023 actief was, is door een gezamenlijke actie van Microsoft en Europol ontmanteld. Tycoon2FA stelde cybercriminelen in staat om op grote schaal phishingcampagnes uit te voeren, waarbij maandelijks tientallen miljoenen phishingberichten meer dan 500.000 organisaties wereldwijd bereikten. Het platform, ontwikkeld door de dreigingsactor Storm-1747, bood adversary-in-the-middle (AiTM) mogelijkheden, waardoor zelfs minder ervaren cybercriminelen multifactor authenticatie (MFA) konden omzeilen.

Tycoon2FA werd ingezet in diverse sectoren, waaronder het onderwijs, de gezondheidszorg, de financiele sector, non-profitorganisaties en de overheid. De populariteit van het platform onder cybercriminelen kwam mogelijk voort uit verstoringen van andere phishingdiensten zoals Caffeine en RaccoonO365.

Om detectie te voorkomen, maakte Tycoon2FA gebruik van technieken zoals anti-bot screening, browser fingerprinting, code obfuscation, zelf gehoste CAPTCHA's, custom JavaScript en dynamische decoy pagina's. Slachtoffers werden vaak gelokt via phishing e-mails met bijlagen zoals .svg, .pdf, .html of .docx bestanden, vaak met QR codes of JavaScript.

Het Tycoon2FA-beheerpaneel, dat via een webinterface toegankelijk was, integreerde alle functionaliteiten van het PhaaS platform. Phish kits werden verkocht via Telegram en Signal, vanaf $120 USD voor 10 dagen toegang tot het panel en $350 voor een maand.

Campagne operators konden een breed scala aan parameters configureren, waaronder lure template selectie, branding customization, redirection routing, MFA interception behavior, CAPTCHA appearance, attachment generation en exfiltration configuration. Gevangen sessie informatie, zoals accountattributen, browser- en locatie metadata en authenticatie artifacts, werd geexfiltreerd via een Telegram bot. De infrastructuur van Tycoon2FA is verschoven van statische domeinen naar een ecosysteem met diverse top-level domeinen (TLD's) en short-lived fully qualified domain names (FQDN's), waarvan de meeste op Cloudflare werden gehost.

Bron: Microsoft

Het Openbaar Ministerie in Taipei heeft 62 personen en 13 bedrijven aangeklaagd voor hun betrokkenheid bij cyberfraude-operaties, georganiseerd door de Prince Group in Azië. Het onderzoek door het Taipei District Prosecutors Office startte in oktober nadat Chen Zhi, de oprichter van de Prince Group, al was aangeklaagd door Amerikaanse aanklagers voor witwassen.

De Prince Group wordt ervan beschuldigd honderden complexen in Cambodja te runnen, waar werknemers en slachtoffers van mensenhandel werden gedwongen tot het uitvoeren van cyberscams en het stelen van miljarden van mensen in de Verenigde Staten, Europa en China. Chen Zhi werd eerder dit jaar in Cambodja gearresteerd en uitgeleverd aan China.

Volgens de Taiwanese aanklagers heeft de Prince Group minstens 339 miljoen dollar witgewassen in Taiwan. Met het gestolen geld werden 24 panden, 35 voertuigen en andere bezittingen ter waarde van ongeveer 1,7 miljoen dollar gekocht. Taiwan heeft ongeveer 174 miljoen dollar aan contanten en activa in beslag genomen. De Prince Group zou 250 offshorebedrijven in 18 landen hebben gecontroleerd, met 453 binnen- en buitenlandse financiële rekeningen.

Negen mensen zijn vastgehouden en 73 mensen werden op borgtocht vrijgelaten na het maandenlange onderzoek in Taiwan. De vastgehouden personen, die worden beschouwd als belangrijke figuren binnen de Prince Group of nauwe banden met de operatie hadden, riskeren tientallen jaren gevangenisstraf.

Amerikaanse en Britse wetshandhavingsinstanties legden sancties op aan de Prince Group en het Amerikaanse ministerie van Justitie nam ongeveer 15 miljard dollar aan bitcoin in beslag van rekeningen die aan Chen Zhi waren gekoppeld. De scamcomplexen die door Chen Zhi en anderen werden gerund, genereerden miljarden dollars via diverse vormen van oplichting, waarbij aanzienlijke bedragen werden gestolen van nietsvermoedende westerlingen.

Bron: U.S. Department of Justice | Bron 2: tpc.moj.gov.tw | Bron 3: home.treasury.gov

De FBI heeft op het eiland Saint Martin John Daghita gearresteerd, de zoon van een overheidscontractant, die ervan wordt beschuldigd meer dan 46 miljoen dollar aan cryptocurrency van de U.S. Marshals Service te hebben gestolen. De arrestatie was het resultaat van een gezamenlijke operatie tussen de FBI en de Franse Groupe d'Intervention de la Gendarmerie Nationale.

John Daghita, die online de naam "Lick" gebruikt, is de zoon van Dean Daghita, president en CEO van Command Services & Support (CMDSS). Dit in Virginia gevestigde bedrijf helpt de U.S. Marshals Service sinds oktober 2024 bij het beheren en verwijderen van in beslag genomen digitale activa, waaronder fondsen die verband houden met de Bitfinex-hack van 2016, waarbij 120.000 bitcoins werden gestolen van de in Hong Kong gevestigde Bitfinex crypto-exchange.

Blockchain-onderzoeker ZachXBT bracht de zaak eind januari aan het licht met een analyse waarin hij 23 miljoen dollar aan USMS-gelinkte walletbewegingen traceerde naar adressen die hij in verband bracht met Daghita. Daghita zou zichzelf hebben verraden tijdens een conflict met een andere dreigingsactor in een opgenomen privé Telegram-chat, waar hij liet zien dat hij grote bedragen tussen twee cryptowallets kon verplaatsen.

Na de bevindingen van ZachXBT zou Daghita hem herhaaldelijk hebben getreiterd op Telegram door kleine bedragen van de vermeende gestolen fondsen (een "dust attack") naar ZachXBT's publieke walletadres te sturen. Na zijn arrestatie zei ZachXBT: "Eind januari 2026 heb ik onthuld hoe John meer dan 46 miljoen dollar aan in beslag genomen crypto-activa van de Amerikaanse overheid heeft gestolen door misbruik te maken van de toegang bij CMDSS, het bedrijf van zijn vader, dat een USMS-contract had."

Bron: FBI

Spaanse en Oekraïense wetshandhavingsinstanties hebben een criminele organisatie opgerold die Oekraïense vrouwen, die door de oorlog ontheemd zijn geraakt, uitbuitte om een online gokprogramma te runnen waarmee bijna 4,75 miljoen euro aan illegale opbrengsten werd witgewassen. De criminele groep ontstond tijdens de oorlog in Oekraïne en richtte zich opzettelijk op jonge vrouwen uit gebieden die continu werden aangevallen. De rekruteringscellen van het criminele netwerk financierden de reis van de vrouwen naar Spanje, waar de organisatie hen onder strakke controle hield.

Na aankomst in Spanje begeleidden de verdachten de slachtoffers bij het verkrijgen van een tijdelijke beschermingsstatus in officiële opvangcentra. Daarna werd hen gevraagd bankrekeningen en creditcards te openen, die de criminelen onmiddellijk volledig overnamen. Volgens Spaanse onderzoekers bevonden de slachtoffers zich in uiterst kwetsbare situaties en stonden ze volledig onder controle van de verdachten.

De bankrekeningen werden gebruikt om een sterk geautomatiseerde fraudeoperatie te voeden die botprogramma's gebruikte om duizenden gelijktijdige weddenschappen met lage odds te plaatsen op online gokplatforms, met behulp van de gestolen identiteiten van duizenden burgers uit 17 nationaliteiten. Het netwerk had een fraudesysteem ontwikkeld om online gamingplatforms te misleiden via meerdere accounts met identiteiten die waren gestolen van meer dan 5.000 burgers van 17 verschillende nationaliteiten.

Na een gezamenlijk onderzoek met de Oekraïense politie dat in oktober 2023 begon, arresteerden de Spaanse autoriteiten 12 verdachten en voerden 9 huiszoekingen uit in Alicante en Valencia. Na zoekacties op negen Spaanse adressen en acht Oekraïense panden namen ze ook tientallen mobiele telefoons, 20 computers, 22 bots, vier high-end voertuigen en 500 simkaarten in beslag, bevroren ze tien panden met een waarde van meer dan 2 miljoen euro en blokkeerden ze rekeningen in 11 landen met een saldo van meer dan 470.000 euro.

Bron: Europol | Bron 2: policia.es

De politie heeft op dinsdag 3 maart drie mannen uit Hilversum aangehouden op verdenking van de handel in harddrugs via het darkweb. De verdachten zijn 19, 28 en 36 jaar oud. Ze worden ervan verdacht verschillende soorten drugs, waaronder mdma, cocaïne en amfetamine, via postpakketten naar het buitenland te hebben verstuurd.

De politie kwam de verdachten op het spoor na een eerder onderzoek van het Hit And Run Postteam (HARP), waarbij een postpakket met drugs werd onderschept. Vervolgens startte het Post Interventieteam van de Eenheid Landelijke Expertise en Operaties van de politie een onderzoek onder leiding van het Landelijk Parket. Tijdens dit onderzoek kwam een specifieke verkoper op het darkweb in beeld, die vermoedelijk al jaren actief is in de handel in verdovende middelen. De verdenking is dat de mannen van 19 en 28 jaar schuilgaan achter dit online account.

Tijdens de doorzoeking van de woning van de 36-jarige verdachte vond de politie diverse soorten drugs, waaronder cocaïne, amfetamine, mdma, 2C-B en ketamine. De woning in Hilversum zou worden gebruikt als inpaklocatie voor de verdovende middelen. In een van de kamers stond een stellingkast met daarin plastic bakken gevuld met ongeveer 25 kilo harddrugs. De drugs werden daar gesorteerd in kartonnen drinkbekers en in enveloppen gedaan. In een andere kamer vond de politie enveloppen, speelgoed en speldozen, vermoedelijk bedoeld om de drugs in te verstoppen en vervolgens per post te versturen.

Het onderzoek is nog volop bezig. De mannen worden vrijdag 6 maart voorgeleid bij de rechter-commissaris in Den Bosch.

Bron: OM

De gerechtelijke en politionele autoriteiten van veertien landen hebben het cybercriminele platform LeakBase ontmanteld tijdens een grootscheepse actie. Het platform, dat sinds 2021 actief was, werd beschouwd als een van de grootste onlinefora waar cybercriminelen gestolen gegevens en cybercriminele tools konden kopen en verkopen. In België werd een Belg gearresteerd die een van de belangrijkste bijdragers aan het platform zou zijn, zo meldden Europol en het federaal parket. De actie vond plaats op 3 en 4 maart.

LeakBase bood toegang tot gegevens afkomstig uit gehackte databases, waaronder creditcardnummers, bankgegevens, gebruikersnamen, wachtwoorden en andere gevoelige informatie van bedrijven en particulieren. In december 2025 telde het platform meer dan 142.000 geregistreerde gebruikers, ongeveer 32.000 posts en meer dan 215.000 privéberichten.

Het onderzoek naar het platform werd voornamelijk gevoerd door de Amerikaanse autoriteiten, met medewerking van dertien andere landen. Europol-analisten brachten de infrastructuur en gebruikersactiviteit in kaart en legden verbanden met lopende onderzoeken in Europa en daarbuiten. Op 3 en 4 maart werden meer dan honderd gerechtelijke acties uitgevoerd, gericht tegen de 37 meest actieve gebruikers. De website van het platform werd uitgeschakeld en de database in beslag genomen.

Het Belgische federaal parket werkte ook mee aan het onderzoek. Een opsporingsonderzoek van het parket leidde tot de identificatie van een mogelijke Belgische verdachte. Op dinsdag vonden huiszoekingen plaats in Rixensart en Profondeville, op de woon- en werkadressen van de verdachte, die wordt beschouwd als een van de belangrijkste bijdragers aan het forum. De verdachte werd verhoord door de Federal Computer Crime Unit en in verdenking gesteld voor hacking en informaticafraude. Het gerechtelijk onderzoek wordt voortgezet.

Bron: Belga

De politie heeft 1,6 miljoen euro aan cryptovaluta in beslag genomen van een 23-jarige verdachte uit Delfzijl, die wordt verdacht van phishing, bankhelpdeskfraude en witwassen. De wachtwoorden die toegang gaven tot de cryptowallets werden gevonden tijdens een huiszoeking bij zijn moeder.

Volgens het Openbaar Ministerie (OM) had de verdachte een leidende rol bij het aansturen van anderen die zich voordeden als bankmedewerkers. Slachtoffers werden overgehaald om remote access software te installeren, waardoor hun computers op afstand werden overgenomen. Vervolgens werden zowel bankrekeningen als cryptowallets geplunderd. Bij één slachtoffer maakten de oplichters 500.000 euro buit. Het OM schat dat de verdachte in totaal 5,1 miljoen euro heeft verdiend met criminele activiteiten.

Het OM meldt dat de man vlak voor zijn aanhouding twee telefoons uit het raam gooide. Uit deze telefoons bleek dat de verdachte cryptotegoeden in Bitcoin en Ethereum bezat, verdeeld over drie wallets. Daarnaast werden er twaalf lijsten met gegevens van vermogende personen aangetroffen. De politie vond de wachtwoorden van zijn cryptowallets tijdens een huiszoeking bij zijn moeder, wat leidde tot de inbeslagname van 1,6 miljoen euro aan cryptovaluta.

Het OM stelt dat de verdachte, vanuit de gevangenis, doorgaat met het witwassen van cryptovaluta en contanten. Tegen de verdachte is een gevangenisstraf van 8 jaar geëist. Het OM wil ook dat de in beslag genomen cryptovaluta verbeurd wordt verklaard en dat de man ruim 661.000 euro aan schadevergoedingen betaalt.

Bron: Politie

De politie en het Openbaar Ministerie (OM) zijn op 9 maart een groot opsporingsoffensief gestart tegen oplichters, waaronder nepagenten, pasophalers en helpdeskfraudeurs. In de zogenoemde 'Game Over?!-campagne' worden de beelden van 100 verdachten getoond op digitale schermen langs de weg, in televisiereclames, online advertenties en op www.politie.nl/gameover. Het doel is om de uitvoerders van deze oplichtingspraktijken een harde klap toe te brengen.

De verdachten zijn in eerste instantie met een blur te zien, zodat ze zichzelf kunnen melden. Indien zij dit niet doen, worden ze vanaf 23 maart herkenbaar in beeld gebracht, totdat hun identiteit is vastgesteld.

In 2025 is het aantal incidenten met nepagenten gestegen naar ruim 13.000. Het aantal zaken betreffende (bank)helpdeskfraude was nog aanzienlijk groter. Slachtoffers zijn vaak kwetsbare ouderen, en de impact op hen is groot. Veel jongeren die zich inlaten met deze vorm van criminaliteit zien dit als een spel, waarbij onderling wordt gesproken over het "F-Game" (fraude spel).

Politie en justitie willen met de campagne ook nieuwe, potentiële daders ontmoedigen. Vaak gaat het om jongeren die zich voor een klein geldbedrag laten verleiden tot het plegen van deze delicten. De politie hoopt dat niemand zich meer zal laten lenen als loopjongen voor deze organisaties, waardoor het fenomeen van nepagenten en nep bankmedewerkers zal stoppen.

In de eerste fase van de campagne, tot donderdag 19 maart, kunnen verdachten en hun bekenden zich melden bij de politie om te voorkomen dat de ongeblurde beelden worden getoond. Vanaf 23 maart zijn de beelden herkenbaar te zien, zodat iedereen namen van de verdachten kan doorgeven aan de politie.

De politie heeft verdachten in steeds meer zaken scherp in beeld, waardoor mogelijk in de toekomst meer 'Game Over' campagnes zullen volgen. De campagne is een initiatief van het Landelijk Team Opsporingscommunicatie, onderdeel van het Politiedienstencentrum, in samenwerking met het landelijk programma gedigitaliseerde criminaliteit en het Openbaar Ministerie.

Bron: Politie

De Indiase Narcotics Control Bureau (NCB) heeft een landelijk opererend darknet drugdistributienetwerk genaamd "Team Kalki" opgerold. Twee personen zijn gearresteerd en er is voor ongeveer 5 crore (~$580.000 USD) aan verdovende middelen in beslag genomen. De operatie, die plaatsvond in New Delhi na drie maanden van inlichtingen verzamelen, resulteerde in de inbeslagname van 2.338 LSD-zegels, 160 MDMA (Ecstasy) pillen (~77,5g), 73,6 gram charas (cannabis hars), 3,6 gram amfetamine en 3,6 kilogram vloeibare MDMA. De drugs werden gevonden in 13 onderschepte pakketten binnen India en twee internationale zendingen uit Nederland.

Het netwerk werd gerund door Anurag Thakur en zijn partner Vikas Rathi, beiden recidivisten die eerder gearresteerd zijn onder de Narcotic Drugs and Psychotropic Substances (NDPS) Act van India. Rathi had in Tihar Jail gezeten voor een charas-smokkelzaak, terwijl Thakur gevangen zat voor methamfetamine-smokkel. De twee ontmoetten elkaar tijdens hun detentie en bouwden na hun vrijlating samen de Team Kalki-operatie op.

Team Kalki vestigde zich aanvankelijk op het dark web forum Dread, waar het een viersterren verkopersrating had. Later breidde de operatie zich uit naar het encrypted messaging platform Session voor orderafhandeling en klantcommunicatie. Het netwerk betrok LSD en MDMA van internationale darknet verkopers gevestigd in Nederland, Polen en Duitsland. Bestellingen van kopers in heel India werden ontvangen via Dread en Session, waarna de pakketten via India Post's Speed Post en diverse private koeriersdiensten werden verzonden.

Betalingen werden uitsluitend in cryptocurrency geaccepteerd, voornamelijk Monero (XMR) en USDT (Tether), met behulp van unhosted wallets. Voor USDT-transacties werden tijdelijke wallets dynamisch aangemaakt voor elke betaling, waarbij fondsen onmiddellijk via meerdere tussenliggende wallets werden geleid in een poging het transactiespoor te verdoezelen.

Deze operatie is onderdeel van de NCB's aanhoudende actie tegen darknet-enabled drugshandel in India. Eerdere operaties omvatten Operation Ketamelon (2025), die India's enige Level-4 darknet verkoper "Ketamelon" ontmantelde, en Operation Zambada (2023), die zich richtte op internationale darknet markt supply chains. Het onderzoek is nog gaande en richt zich op het identificeren van extra medewerkers, het traceren van financiële transacties en het blootleggen van de internationale supply chain gekoppeld aan Team Kalki.

Bron: Darkweb

De 66-jarige Abderrahim El M., een voormalig medewerker van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), is woensdag vrijgesproken van het lekken van staatsgeheimen naar de Marokkaanse geheime dienst. Wel is hij veroordeeld tot een celstraf van twintig maanden voor het bezitten van staatsgeheimen.

Bron: NU.nl

Het Amerikaanse ministerie van Justitie heeft Angelo Martino aangeklaagd, een voormalig werknemer van DigitalMint, wegens zijn betrokkenheid bij een insider-regeling waarbij ransomware-onderhandelaars in het geheim samenwerkten met de BlackCat (ALPHV) ransomwaregroep. Martino wordt beschuldigd van samenzwering om de handel tussen staten te belemmeren door afpersing, nadat hij zich op 10 maart had overgegeven aan de U.S. Marshals.

Volgens de gerechtelijke documenten deelde Martino vertrouwelijke informatie over lopende onderhandelingen met BlackCat-operators, terwijl hij werkte als ransomware-onderhandelaar voor DigitalMint, een cybersecuritybedrijf dat gespecialiseerd is in reacties op ransomware-incidenten. Tussen april 2023 en april 2025 was Martino ook direct betrokken bij aanvallen met ransomware, samen met medeplichtigen Kevin Tyler Martin (een voormalig DigitalMint-medewerker) en Ryan Goldberg (een voormalig Sygnia incident response manager).

Martino werd eerder aangeduid als "Co-Conspirator 1" in een aanklacht van oktober 2025, waarin Martin en Goldberg werden aangeklaagd. Martin en Goldberg hebben inmiddels schuld bekend en zullen in april worden veroordeeld. De verdachten zouden hebben geopereerd als BlackCat-affiliates, waarbij ze losgeld eisten en dreigden met het lekken van gegevens die van de netwerken van slachtoffers waren gestolen. Het Openbaar Ministerie beweert ook dat de verdachten de BlackCat-beheerders een aandeel van 20% van het geïnde losgeld betaalden in ruil voor toegang tot het ransomware- en afpersingsportaal.

De lijst van slachtoffers omvat minstens vijf Amerikaanse organisaties, waaronder een non-profitorganisatie die 26.793.000 dollar losgeld betaalde en een financiële dienstverlener die 25.660.000 dollar betaalde. Andere doelwitten zijn organisaties en bedrijven in diverse sectoren, zoals medische faciliteiten, advocatenkantoren, schooldistricten en financiële dienstverleners.

DigitalMint CEO Jonathan Solomon veroordeelde het gedrag in een verklaring aan BleepingComputer en merkte op dat het bedrijf beide medewerkers had ontslagen nadat het op de hoogte was gekomen van de acties van Martin en Martino, en vanaf het begin van het onderzoek volledig had meegewerkt met de wetshandhaving.

De FBI heeft BlackCat ransomware eerder in verband gebracht met meer dan 60 inbreuken tussen november 2021 en maart 2022. In een afzonderlijk advies zei het bureau ook dat de cybercrimebende minstens 300 miljoen dollar aan betalingen heeft binnengehaald van meer dan 1.000 slachtoffers tot september 2023.

Bron: U.S. Department of Justice | Bron 2: documentcloud.org | Bron 3: features.propublica.org

De politie heeft twee mannen uit Etten-Leur aangehouden die verdacht worden van online oplichting van tientallen jongeren via Snapchat. De oplichters boden nieuwe iPhones aan voor ongeveer vijf euro. Slachtoffers die reageerden, werden naar WhatsApp gelokt.

De oplichter vroeg slachtoffers een betaalverzoek van vijftig euro te sturen, dat daadwerkelijk werd betaald. Vervolgens werd gesproken over de levering van de telefoon. De "verkoper" vroeg om een kopie van het identiteitsbewijs en een foto van de bankpas, zogenaamd nodig voor de levering van de iPhone.

Daarna vroeg de "verkoper" de vijftig euro terug via een betaallink, die in werkelijkheid van een telefoonprovider was. Via deze link werd een nieuw telefoonabonnement afgesloten en een automatische incasso gestart, zonder dat de slachtoffers dit beseften.

De telefoons die bij de abonnementen hoorden, werden naar een pakketpunt gestuurd en door verschillende verdachten opgehaald. Na de levering werd contact met de "verkoper" steeds moeilijker. Soms werd een nieuwe betaallink gestuurd onder het mom van een fout, waarmee een tweede telefoonabonnement op naam van het slachtoffer werd afgesloten.

Vooral minderjarigen tussen de dertien en zeventien jaar zijn slachtoffer geworden. De politie heeft zeventig zaken in behandeling. Ouders zijn vaak niet op de hoogte dat hun kind is opgelicht. De politie roept ouders op om het gesprek met hun kinderen aan te gaan om te voorkomen dat ze slachtoffer worden. De oplichters werkten steeds op dezelfde manier.

Bron: Politie

De correctionele rechtbank van Mechelen heeft een man bij verstek veroordeeld tot een effectieve celstraf van 2 jaar en een boete van 2.000 euro voor helpdeskfraude. De man maakte minstens twee slachtoffers en haalde in totaal 26.450 euro op via oplichting.

In de eerste zaak ontving een vrouw een valse e-mail van energieleverancier Fluvius en klikte ze op een link. Kort daarna werd ze gebeld door een zogenaamde bankmedewerker die meldde dat er fraude op haar rekening was gepleegd. De nepbankmedewerker overtuigde haar om haar bankkaart af te geven, waarna hij 7.450 euro cash pinde aan een bankautomaat in Sint-Niklaas. Het parket kon Simon J. aan die afhaling linken via camerabeelden van een voertuig.

Tijdens het onderzoek bleek de man ook betrokken bij een eerdere oplichting, waarbij hij 19.000 euro buitmaakte. Het parket vorderde daarop 24 maanden cel en een boete van 2.000 euro, welke de rechtbank effectief oplegde. Daarbovenop verklaarde de rechtbank een bedrag van 26.450 euro verbeurd, het totaal van de fraudeopbrengsten. De echtgenoot van het eerste slachtoffer, dat inmiddels overleden is, stelde zich burgerlijke partij voor de geleden schade.

Bron: VRT NWS

INTERPOL heeft vrijdag de ontmanteling aangekondigd van 45.000 malafide IP-adressen en servers die werden gebruikt bij phishing-, malware- en ransomware-campagnes. Deze actie is onderdeel van de voortdurende inspanningen van de organisatie om criminele netwerken te ontmantelen, opkomende bedreigingen te verstoren en slachtoffers te beschermen tegen oplichting.

De operatie, waaraan 72 landen en gebieden deelnamen, leidde tot de arrestatie van 94 mensen en het onderzoek naar nog eens 110 personen. Tijdens de acties werden in totaal 212 elektronische apparaten en servers in beslag genomen.

In Bangladesh werden 40 verdachten gearresteerd en 134 elektronische apparaten in beslag genomen in verband met diverse vormen van cybercriminaliteit, waaronder lening- en baanfraude, identiteitsdiefstal en creditcardfraude.

In Togo arresteerden de autoriteiten 10 verdachten die ervan werden beschuldigd een fraudenetwerk te runnen vanuit een woonwijk. Sommigen waren betrokken bij het hacken van social media-accounts, terwijl anderen zich bezighielden met social engineering, waaronder oplichting via romantiek en sextortion. De fraudeurs benaderden, na ongeautoriseerde toegang tot het account van een slachtoffer, hun online contacten en deden zich voor als de accounthouder om valse romantische relaties aan te gaan en vrienden en familieleden te misleiden. Het uiteindelijke doel van de oplichting was om de secundaire slachtoffers over te halen geld over te maken.

In Macau identificeerden wetshandhavers meer dan 33.000 phishing- en frauduleuze websites die verband hielden met valse casino's en kritieke infrastructuur, zoals banken, overheden en betalingsdiensten. Deze websites waren opgezet om slachtoffers op te lichten door hen te instrueren hun saldo op te waarderen of persoonlijke informatie in te voeren. De cybercrime-actie markeert de derde fase van Operation Synergia, die plaatsvond tussen 18 juli 2025 en 31 januari 2026. De vorige twee fasen vonden plaats in 2023 en 2024, waarbij duizenden kwaadaardige servers werden geïdentificeerd en tientallen arrestaties werden verricht.

Het Central Bureau of Investigation (CBI) van India zei dat het gecoördineerde zoekacties heeft uitgevoerd op 15 locaties in Delhi, Rajasthan, Uttar Pradesh en Punjab als onderdeel van een grootschalige georganiseerde online investerings- en parttime baanfraude, voornamelijk via een in Dubai gevestigd fintech-platform genaamd Pyypl. Volgens het CBI werden duizenden nietsvermoedende Indiase burgers opgelicht voor miljoenen rupees via misleidende online systemen die werden beheerd door een georganiseerd transnationaal fraudesyndicaat. Het criminele netwerk maakte gebruik van social media-platforms, mobiele applicaties en versleutelde berichtendiensten om slachtoffers te lokken met beloften van hoge rendementen op online investeringen en parttime banen.

Deze oplichtingspraktijken zijn erop gericht het vertrouwen van slachtoffers te winnen door hen ervan te overtuigen kleine bedragen te storten en fictieve winsten te tonen op valse sites, waarna ze worden overgehaald om grotere sommen geld te investeren. Zodra het geld is gestort, wordt het snel overgemaakt via meerdere katvangerbankrekeningen om het geldspoor te verdoezelen en vervolgens opgenomen via offshore geldautomaten met behulp van betaalpassen die geschikt zijn voor internationale transacties en via wallet-opwaarderingen op buitenlandse fintech-platforms zoals Pyypl met behulp van Visa- en Mastercard-betalingsnetwerken.

Volgens het CBI verschenen deze opnames als point-of-sale (PoS)-transacties in banksystemen om onder de radar te blijven. Een deel van het gestolen geld is ook omgezet in cryptocurrency en geconsolideerd in accounts die zijn gekoppeld aan 15 shellbedrijven en via twee entiteiten zijn geleid. Deze entiteiten zetten de opbrengsten om in USDT via in India gevestigde virtuele activabeurzen en maakten de cryptocurrency over naar hun white-listed wallets. Het CBI heeft Ashok Kumar Sharma en andere niet bij naam genoemde medeplichtigen geïdentificeerd als belangrijke leden van het syndicaat. Sharma is in hechtenis genomen. Verschillende bankrekeningen die door de entiteiten werden gebruikt, zijn bevroren en belastende documenten en digitaal bewijs met betrekking tot de dagelijkse activiteiten van het syndicaat zijn in beslag genomen.

Bron: CBI | Bron 2: thn.news

Een medewerker van een bedrijf dat bemiddelt tussen slachtoffers van ransomware en cybercriminelen wordt ervan beschuldigd informatie te hebben verstrekt aan de criminelen. Hierdoor konden ze een hoger losgeld bedingen, aldus de Amerikaanse openbaar aanklager. De verdachte wordt er ook van beschuldigd zelf aanvallen met ransomware te hebben uitgevoerd.

Volgens de aanklacht deelde de verdachte bij vijf ransomware-onderhandelingen vertrouwelijke informatie en instructies met handlangers, met als doel een hoger losgeld te verkrijgen. In ruil hiervoor zou hij een deel van het losgeld hebben ontvangen. De verdachte wist verschillende hoge losgeldbedragen te onderhandelen, waaronder meer dan 26 miljoen, 25 miljoen en 16 miljoen dollar. De aanklacht vermeldt niet hoeveel de verdachte voor zijn informatie ontving.

De aanklacht stelt verder dat de man met twee andere medewerkers van cybersecuritybedrijven samenwerkte om aanvallen met ransomware uit te voeren. Ze zouden hebben samengewerkt met de ransomwaregroep ALPHV, ook bekend als BlackCat. Twee van de drie mannen zijn eerder al aangeklaagd en hebben inmiddels bekend. De drie zouden meerdere aanvallen met ransomware hebben uitgevoerd, waarbij één van de slachtoffers, een medisch bedrijf, uiteindelijk losgeld betaalde. Het cybersecuritybedrijf waar twee van de drie verdachten werkten, keurt hun gedrag af en heeft met de politie samengewerkt in het onderzoek. De twee zijn inmiddels ontslagen. De rechter wijst volgende maand vonnis in de zaak van de twee verdachten die eerder schuld bekenden. Ze kunnen een gevangenisstraf van maximaal 20 jaar krijgen.

Bron: Security.NL

Een internationale wetshandhavingsoperatie, geleid door het Amerikaanse ministerie van Justitie, heeft het residentiële proxy-netwerk SocksEscort succesvol ontmanteld. Deze dienst compromitteerde duizenden routers van huizen en kleine bedrijven wereldwijd, waardoor cybercriminelen hun identiteit konden maskeren tijdens het uitvoeren van grootschalige financiële fraude. De gecoördineerde actie resulteerde in de inbeslagname van tientallen in de VS geregistreerde internetdomeinen en de ontmanteling van serverinfrastructuur in meerdere landen.

De werking van het SocksEscort-netwerk berustte op het direct inzetten van malware op kwetsbare internetrouters. Na infectie werden deze apparaten omgevormd tot nodes binnen een proxy-netwerk. De beheerders achter SocksEscort verkochten vervolgens deze toegang aan andere cybercriminelen. Door hun kwaadaardige verkeer via gecompromitteerde thuis- en bedrijfsnetwerken te leiden, konden aanvallers hun werkelijke IP-adressen en fysieke locaties verbergen. Omdat residentiële IP-adressen over het algemeen een hoge mate van vertrouwen genieten, konden aanvallers zo geografische blokkades en beveiligingsfilters omzeilen.

Sinds de zomer van 2020 bood SocksEscort zijn klanten toegang tot ongeveer 369.000 unieke IP-adressen. In februari 2026 alleen al bood het platform ongeveer 8.000 geïnfecteerde routers te koop aan. Ongeveer 2.500 van deze actieve gecompromitteerde apparaten bevonden zich in de Verenigde Staten. De anonimiteit die SocksEscort bood, voedde ernstige cybercriminaliteit, waaronder de overname van bankrekeningen, frauduleuze claims voor werkloosheidsverzekeringen en grootschalige diefstal van cryptocurrency. De financiële schade voor Amerikaanse burgers en bedrijven bedroeg miljoenen dollars.

Enkele opmerkelijke incidenten die aan het proxy-netwerk zijn gekoppeld: een inwoner van New York verloor $1 miljoen bij de overname van een cryptocurrency exchange account, een productiebedrijf in Pennsylvania werd voor $700.000 opgelicht en actieve en voormalige Amerikaanse militairen zagen $100.000 van hun MILITARY STAR-kaarten verdwijnen als gevolg van gecompromitteerde kaarten.

Het ontmantelen van het botnet vereiste internationale samenwerking. De Amerikaanse overheid nam gerelateerde domeinen in beslag, terwijl wetshandhavers in Oostenrijk, Frankrijk en Nederland de fysieke servers die het SocksEscort-netwerk ondersteunden, uitschakelden. Het FBI Sacramento Field Office, de IRS Criminal Investigation unit en het Department of Defense leidden het onderzoek. Er was ook samenwerking met Europol, Eurojust en autoriteiten in Duitsland, Bulgarije, Hongarije en Roemenië. Private sector onderzoekers van Lumen's Black Lotus Labs en de Shadowserver Foundation leverden cruciale dreigingsinformatie om de actie te ondersteunen.

Volgens gerechtelijke documenten bevelen experts aan om routerfirmware regelmatig bij te werken om nieuw ontdekte kwetsbaarheden te patchen, alle standaard beheerderswachtwoorden te wijzigen in sterke, unieke wachtwoorden, remote management interfaces op consumentenrouters uit te schakelen om externe toegang vanaf het publieke internet te blokkeren en netwerkverkeer te monitoren op ongebruikelijke uitgaande verbindingen of onverklaarbare bandbreedtepieken.

Bron: U.S. Department of Justice

Europol en Microsoft hebben een internationaal phishingplatform genaamd Tycoon 2FA ontmanteld. Dit platform fungeerde als een "cybercriminele supermarkt" waar criminelen kant-en-klare phishingtools konden huren, waarmee ze gegevens konden stelen en toegang konden krijgen tot beveiligde accounts. Volgens Microsoft zijn er meer dan 500 Belgische slachtoffers, waaronder bedrijven en particulieren.

Tycoon 2FA, actief sinds augustus 2023, was een platform waar cybercriminelen konden inloggen op een dashboard en tools konden huren, zoals phishingmails, nepwebsites en software om zelfs twee-factor-authenticatie te omzeilen. Hierdoor konden aanvallers zich voordoen als legitieme gebruikers zonder alarmsignalen te activeren, zelfs bij goed beveiligde accounts. Bart Asnot, North-Europe security leader bij Microsoft, vergeleek het platform met een maaltijdbox: "Bij eenvoudigere aanvallen gebruiken ze meestal één of twee ingrediënten. Maar eigenlijk zaten zowat alle denkbare ingrediënten in de box, zelfs met een lijstje en een stappenplan en dat hebben ze ter beschikking gesteld als in een webwinkel."

Wereldwijd werden via Tycoon 2FA maandelijks tientallen miljoenen frauduleuze e-mails verstuurd, gericht op meer dan 500.000 organisaties. De aanvallen leidden onder meer tot vertraagde loonbetalingen, omgeleide facturen, datadiefstal, verstoorde ziekenhuiszorg en onderbrekingen bij scholen en kritieke diensten. Scholen, ziekenhuizen en andere organisaties uit de private sector behoorden tot de Belgische slachtoffers.

De ontmanteling kwam er dankzij samenwerking tussen techbedrijven, cybersecuritybedrijven en politiediensten. Microsoft leverde technische informatie over de aanvallen, waarna Europol en andere autoriteiten het platform konden uitschakelen. De actie werd gecoördineerd door het European Cybercrime Centre (EC3) van Europol. Door gerechtelijke actie is de kerninfrastructuur van Tycoon 2FA, zoals controlepanelen en valse inlogpagina’s, uitgeschakeld. Het platform maakte het mogelijk om zonder toestemming binnen te geraken bij bijna 100.000 organisaties wereldwijd. Halverwege 2025 was Tycoon 2FA verantwoordelijk voor ongeveer 62 procent van alle door Microsoft geblokkeerde phishingpogingen. Er zijn mensen opgepakt in Egypte en Nigeria. De persoon die mee verantwoordelijk was voor het maken van de "webwinkel" zat in Pakistan.

Asnot benadrukte dat hoewel niet alle phishingaanvallen wereldwijd zijn gestopt, er wel een zware slag is toegebracht dankzij de samenwerking met Europol en private partners.

Bron: Microsoft

Een week na de start van het landelijke opsporingsoffensief 'Game Over?!' zijn er nog 86 van de 100 gezochte verdachten over. De actie richt zich op de aanpak van nepagenten en bankhelpdeskfraude. Vorige week publiceerde de politie 100 onherkenbaar gemaakte foto's van verdachten, met de oproep aan hen om zich voor donderdag 19 maart te melden. Vanaf maandag 23 maart zullen de foto's van de verdachten herkenbaar te zien zijn, als hun identiteit op dat moment nog niet bekend is.

De politie ziet dat burgers in actie komen. Veel mensen herkennen ondanks de geblurde beelden toch iemand of zien iets wat helpt in het onderzoek. De politie richt zich met deze actie op de uitvoerders, de mensen die de pas ophalen, bij de pinautomaat staan of als nepagent aan de deur komen. Het naar buiten brengen van herkenbare foto's van daders wordt opsporingsberichtgeving genoemd. De politie mag dit middel alleen inzetten als het Openbaar Ministerie daar per zaak toestemming voor geeft. Die toestemming is er voor alle honderd zaken in 'Game Over?!'.

Alleen al het aantal incidenten met nepagenten steeg in 2025 naar ruim 13.000. Het aantal zaken van bankhelpdeskfraude ligt nog veel hoger. Slachtoffers zijn vaak oudere en kwetsbare mensen en de impact op hen is groot. Veel slachtoffers verliezen niet alleen geld, maar ook het vertrouwen in andere mensen en in instanties. Schaamte speelt ook een rol, waardoor niet iedereen aangifte doet. Met de 'Game Over?!' campagne willen politie en het Openbaar Ministerie daders opsporen en laten zien dat deze criminaliteit grote gevolgen heeft. De politie verwacht de komende dagen meer herkenningen. Verdachten worden opgeroepen zich voor donderdag 19 maart te melden.

Bron: Politie

In Brugge zijn 14 leden van een criminele bende veroordeeld voor het oplichten van ouderen. De bende maakte gebruik van valse e-mails om hun slachtoffers te beroven van hun bankkaarten en pincodes. Het hoofd van de bende, een 22-jarige man uit Sint-Niklaas, is veroordeeld tot 8 jaar gevangenisstraf. De overige 13 leden van de bende kregen lichtere celstraffen of een werkstraf.

De bende opereerde volgens een vaste methode. De bejaarde slachtoffers ontvingen een valse e-mail van Fluvius, een Vlaamse netbeheerder, waarin ze werden gevraagd op een link te klikken. Vervolgens werden ze gebeld door een valse bankmedewerker die hen vertelde dat er verdachte transacties op hun rekening waren vastgesteld. De slachtoffers werden overtuigd om hun bankkaarten en pincodes aan een vermeende bankmedewerker te overhandigen. In sommige gevallen werden de slachtoffers ook van hun juwelen beroofd.

Volgens het openbaar ministerie heeft de bende ruim 200.000 euro en juwelen ter waarde van ruim 140.000 euro buitgemaakt. De rechtbank veroordeelde de leider van de bende tot 8 jaar cel, zoals gevorderd door het openbaar ministerie. Tien andere beklaagden kregen celstraffen van 18 maanden tot 5 jaar, terwijl drie beklaagden een werkstraf van 180 uur moeten uitvoeren. Deze laatsten waren onder andere actief als chauffeurs voor de criminele organisatie. De bende pleegde in ongeveer twee maanden tijd 22 gelijkaardige feiten. De zaak kwam aan het licht toen een paar uit Koekelare twee jaar geleden verdachte transacties verrichtte in het casino van Oostende met de bankkaart van een 80-jarige vrouw.

Bron: Fluvius

De politie heeft de identiteit achterhaald van veertien verdachten van oplichting. Ze waren te zien in een campagne die op 9 maart van start ging, waarbij foto's van honderd verdachten werden gepubliceerd.

De campagne is onderdeel van de aanpak van nepagenten en helpdeskfraude. Het aantal incidenten waarbij iemand zich voordeed als politiemedewerker steeg in 2025 tot ruim dertienduizend. Het aantal slachtoffers van helpdeskfraude ligt volgens de politie nog veel hoger.

Bij helpdeskfraude doen criminelen zich voor als medewerkers van banken of andere instanties en proberen slachtoffers te bewegen geld over te maken of toegang te geven tot hun bankrekening. De politie roept mensen die een van de overige 86 verdachten herkennen op om dit te melden.

Bron: Politie

Een 34-jarige man uit Georgia, Kwamaine Jerell Ford, is aangeklaagd door het Amerikaanse ministerie van Justitie voor het hacken van Apple-accounts van professionele atleten en het gebruiken van hun creditcardgegevens voor eigen aankopen. Ford wordt beschuldigd van het oplichten van meerdere NFL- en NBA-spelers door zich voor te doen als een bekende actrice uit de porno-industrie.

Ford werd gearresteerd en verscheen vrijdag voor een rechtbank in Atlanta, waar hij onschuldig pleitte op tientallen aanklachten van draadfraude, computermisbruik, identiteitsdiefstal, fraude met toegangskaarten en mensenhandel. De rechter beval dat Ford zonder borgtocht wordt vastgehouden.

Naast de financiële diefstal wordt Ford ervan beschuldigd een vrouw te hebben gedwongen tot seks met verschillende spelers en ongeautoriseerde video's van de interacties te hebben gemaakt. Aanklagers zeiden ook dat hij de beveiligingscamera's had gehackt die een atleet in zijn huis had geïnstalleerd. Ford zou dit alles hebben gedaan terwijl hij op proef was voor het uitvoeren van soortgelijke aanvallen met phishing en het uitgeven van bijna 325.000 dollar via de gestolen financiële informatie van zijn slachtoffers.

Volgens de aanklagers begon Ford, binnen twee dagen na zijn vrijlating onder voorwaarden van een eerdere veroordeling, opnieuw met het uitvoeren van aanvallen met phishing op professionele atleten. Hij verkreeg de inloggegevens voor Apple-accounts door zich voor te doen als de pornoactrice "T.T." en de atleten seksueel expliciete video's aan te bieden. Vervolgens nam hij contact op met dezelfde atleten, zich voordoend als een Apple-klantenservicevertegenwoordiger, en vroeg hen om hun gebruikersnaam, wachtwoord en multifactor-authenticatiecodes te verzenden om toegang te krijgen tot de video's.

Via de Apple-accounts kreeg Ford toegang tot de creditcards en betaalpassen van de atleten. Hij gebruikte ze voor duizenden dollars aan aankopen, waaronder directe geldovermakingen en DoorDash-bestellingen. In totaal voerde hij meer dan 2.000 transacties uit. In 2021 dwong Ford een beginnende pornoactrice tot prostitutie met professionele atleten. Ford, die zich voordeed als "T.T.", zei dat hij de carrière van de vrouw zou bevorderen en verkocht haar seksuele diensten aan de atleten, waarbij hij haar reis en betaling voor seks regelde. Ford dwong de vrouw om verschillende seksuele ontmoetingen te filmen zonder de toestemming van de atleten. Aanklagers vonden ook bewijs dat Ford de beveiligingscamera's van een slachtoffer had gehackt en video's uit het huis van de persoon had gestolen.

Bron: U.S. Department of Justice | Bron 2: recordedfuture.com

Het Openbaar Ministerie (OM) heeft een gevangenisstraf van dertig maanden, waarvan zes voorwaardelijk, geëist tegen een 34-jarige man uit Amsterdam. De man wordt verdacht van het omzeilen van de ID-scan en verificatiemethodes van ABN Amro. Volgens het OM injecteerde de verdachte valse biometrische gegevens in het systeem van de bank om toegang te krijgen tot beveiligde informatie. Hierbij zou hij gebruik hebben gemaakt van deepfake-technologie, waarbij kunstmatige intelligentie wordt ingezet om realistische, maar valse beelden of video’s te genereren.

De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. ABN Amro startte vorig jaar mei een onderzoek naar aanleiding van een intern signaal. Er bleek een bankrekening te zijn geopend met een kopie van een paspoort en een selfie die niet overeenkwamen: op het paspoort was een vrouw te zien, terwijl de selfie van een man was. De bank deed daarop aangifte bij de politie.

Op de telefoon van de verdachte werd een foto van het identiteitsbewijs aangetroffen van ongeveer de helft van de slachtoffers die in de aangiftes van de bank werden genoemd. Ook zijn e-mailadressen die zijn opgegeven bij het aanmaken van de bankrekeningen teruggevonden op de telefoon. Tevens vond de politie een WhatsAppgesprek, waarin de verdachte bespreekt hoe hij een bankrekening kan openen met de identiteit van een ander persoon en hoe hij creditcards kan aanvragen en telefoons kan bestellen.

Het OM stelt dat de verdachte digitale technieken heeft gebruikt om de ID-scan en verificatiemethodes van de bank te omzeilen. Hiertoe zijn identiteitsdocumenten vervalst en valse filmpjes met vervalste gezichtskenmerken gebruikt. Ook zijn foto’s van anderen gebruikt, zonder dat diegene daarvan wist, waarbij ook op illegale wijze van hun identiteit gebruik is gemaakt. Volgens de officier van justitie werden de geopende bankrekeningen onder andere gebruikt om crimineel geld wit te wassen en bij het oplichten van mensen.

De verdachte werd afgelopen december aangehouden. Om het digitale identiteitsverificatieproces van de bank te doorlopen, paste hij de gezichtskenmerken, zoals ogen, neus en mond, van de foto’s op de identificatiedocumenten aan naar zijn eigen gezicht of nam de gezichtskenmerken van het identiteitsbewijs over op zijn eigen gezicht. Door middel van deze deepfake techniek slaagde hij erin om 46 bankrekeningen op naam van anderen te openen en misbruiken.

Bron: OM

De Metropolitan Police heeft een darkweb-marktplaats opgerold die verantwoordelijk was voor illegale drugstransacties ter waarde van miljoenen ponden. De actie volgde op een undercoveroperatie. De site, genaamd AEGIS Marketplace, kwam in juni 2025 onder de aandacht van de Cyber Crime Unit van de Met. Het platform bood individuele verkopers de mogelijkheid om drugs te koop aan te bieden, waarbij kopers betaalden met cryptocurrency.

In maart 2026 was de marktplaats gegroeid tot 30 actieve verkopers en er werd aangenomen dat het ongeveer 10.000 drugstransacties had gefaciliteerd in tien maanden tijd, met een geschatte jaaromzet van bijna 2 miljoen pond. De politie infiltreerde met succes het platform en verkreeg serverdata, waardoor ze sitebeheerders, verkopers en klanten konden identificeren. Bezoekers van de site zien nu een banner met de tekst "deze website is in beslag genomen". Onderzoekers blijven de gegevens analyseren met als doel betrokkenen te vervolgen.

Will Lyne, hoofd van de afdeling Economische en Cybercriminaliteit van de Met, zei dat de operatie de inzet van de politie demonstreert om complexe digitale platforms te ontmantelen en criminele netwerken te verstoren. Hij waarschuwde dat daders die denken dat het darkweb hen beschermt tegen wetshandhaving zich zouden moeten herbezinnen. De takedown komt te midden van een bredere golf van internationale cybercrime-handhavingsacties in de afgelopen maanden, waaronder operaties gericht op fora met gestolen gegevens en grootschalige phishing-netwerken in tientallen landen.

Bron: Darkweb

De FBI heeft twee websites van de hacktivistische groep Handala in beslag genomen. Dit gebeurde na een destructieve cyberaanval op het medische technologiebedrijf Stryker, waarbij ongeveer 80.000 apparaten werden gewist. De domeinen handala-redwanted[.]to en handala-hack[.]to tonen nu een melding dat ze in beslag zijn genomen door de FBI, op basis van een gerechtelijk bevel van de rechtbank voor het District van Maryland.

Volgens de melding werden de websites gebruikt om kwaadaardige cyberactiviteiten uit te voeren namens of in coördinatie met een buitenlandse staat. Deze activiteiten omvatten ongeautoriseerde netwerkintrusies, het aanvallen van infrastructuren en andere schendingen van de Amerikaanse wetgeving. De Amerikaanse overheid heeft de domeinen overgenomen om lopende kwaadaardige cyberoperaties te verstoren en verdere uitbuiting te voorkomen.

Handala, ook bekend als Handala Hack Team, Hatef of Hamsa, is een Iraans-gelieerde, pro-Palestijnse hacktivistische groep die in december 2023 voor het eerst verscheen. De groep is mogelijk gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Hun aanvallen waren gericht op Israëlische organisaties met destructieve malware, ontworpen om Windows- en Linux apparaten te wissen.

De domeinnaamservers zijn nu overgeschakeld naar ns1.fbi.seized.gov en ns2.fbi.seized.gov, die door de FBI worden gebruikt bij de inbeslagname van domeinen. Het is niet bekend of de FBI alleen de domeinen in beslag heeft genomen, of ook toegang heeft tot de inhoud van de websites en serverlogs.

De actie volgt op Handala's cyberaanval op Stryker, waarbij een Windows domein administrator account werd gecompromitteerd en een nieuwe Global Administrator account werd aangemaakt. Vervolgens gaven ze het Microsoft Intune "wipe" commando om ongeveer 80.000 apparaten, waaronder computers en mobiele apparaten, terug te zetten naar de fabrieksinstellingen. Ook de persoonlijke apparaten van werknemers die door het bedrijf werden beheerd, werden gewist.

Handala heeft de inbeslagname van de websites erkend en aangegeven dat ze bezig zijn met het creëren van nieuwe websites om hun aanvallen aan te kondigen. Microsoft en CISA hebben na de aanval richtlijnen uitgebracht over het beveiligen van Windows-domeinen en Intune om soortgelijke aanvallen te voorkomen.

Bron: CISA | Bron 2: learn.microsoft.com | Bron 3: techcommunity.microsoft.com

De rechtbank Rotterdam heeft drie Nederlandse twintigers veroordeeld tot gevangenisstraffen van drie tot zeven jaar wegens grootschalige bankhelpdeskfraude en witwassen. De rechtbank acht bewezen dat er sprake was van een criminele organisatie. De verdachten werden eind 2024 aangehouden.

De fraudeurs benaderden slachtoffers via e-mail, sms berichten en WhatsApp, waarbij ze links naar phishingsites verstuurden. De ingevulde gegevens, waaronder telefoonnummers, werden misbruikt om de slachtoffers te bellen. De oplichters deden zich voor als bankmedewerkers en manipuleerden de slachtoffers om bepaalde handelingen uit te voeren, waardoor hun bankrekeningen werden geplunderd. De buit wordt geschat op miljoenen euro’s. De callcenters waren ingericht in luxe woontorens en AirBnB-woningen, vanwaar de phishingscampagnes werden opgezet en de slachtoffers werden gebeld, aldus Jacqueline Bonnes, officier van justitie van het Openbaar Ministerie Rotterdam.

Volgens de politie speelde één van de verdachten een cruciale rol bij de fraude. Hij regelde panden, bellers, niet openbare persoonsgegevens, telefoons, simkaarten en mailers. Ook dacht hij mee over het wegsluizen van geld en het witwassen via de bunq bank. Hoewel er geen concrete slachtoffers zijn geïdentificeerd, gaat de rechter ervan uit dat er veel slachtoffers moeten zijn geweest. De rechter benadrukte dat de verdachten het economisch systeem en het vertrouwen van burgers in de digitale wereld, het digitale betalingsverkeer, financiële instellingen en de medemens ernstig hebben ondermijnd.

Een van de verdachten zou 1,3 miljoen euro hebben witgewassen. Hij is eerder veroordeeld voor soortgelijke feiten en gaf in een afgetapt telefoongesprek aan niet van detentie te leren. Hij is veroordeeld tot een gevangenisstraf van zeven jaar, terwijl het Openbaar Ministerie acht jaar had geëist. De andere verdachten kregen gevangenisstraffen van zes jaar en drie jaar, waarvan één jaar voorwaardelijk.

Bron: Rechtbank Rotterdam

Het Amerikaanse ministerie van Justitie heeft samen met autoriteiten in Canada en Duitsland de online infrastructuur ontmanteld van vier botnets die meer dan drie miljoen Internet of Things (IoT)-apparaten, zoals routers en webcams, hadden gecompromitteerd. De botnets, genaamd Aisuru, Kimwolf, JackSkid en Mossad, worden verantwoordelijk gehouden voor een reeks recente DDoS aanvallen (Distributed Denial-of-Service) die in staat zijn om vrijwel elk doelwit offline te halen.

Het ministerie van Justitie meldt dat de Defense Criminal Investigative Service (DCIS) van het Department of Defense Office of Inspector General (DoDIG) beslagleggingsbevelen heeft uitgevoerd op meerdere in de VS geregistreerde domeinen, virtuele servers en andere infrastructuur die betrokken waren bij DDoS aanvallen tegen internetadressen van het DoD. De overheid beweert dat de niet nader genoemde personen die de controle hadden over de vier botnets, hun criminele machines gebruikten om honderdduizenden DDoS aanvallen te lanceren, waarbij ze vaak afpersingsbetalingen van slachtoffers eisten. Sommige slachtoffers rapporteerden tienduizenden dollars aan verliezen en herstelkosten.

Aisuru, het oudste van de botnets, verstuurde meer dan 200.000 aanvalscommando's, terwijl JackSkid minstens 90.000 aanvallen uitvoerde. Kimwolf verstuurde meer dan 25.000 aanvalscommando's, terwijl Mossad verantwoordelijk werd gehouden voor ongeveer 1.000 digitale aanvallen. De wetshandhavingsactie is ontworpen om verdere infectie van slachtofferapparaten te voorkomen en om de mogelijkheid van de botnets om toekomstige aanvallen te lanceren te beperken of te elimineren.

Aisuru dook eind 2024 op en lanceerde medio 2025 recordbrekende DDoS aanvallen terwijl het snel nieuwe IoT apparaten infecteerde. In oktober 2025 werd Aisuru gebruikt om Kimwolf te verspreiden, een Aisuru-variant die een nieuw verspreidingsmechanisme introduceerde waardoor het botnet apparaten kon infecteren die verborgen waren achter de bescherming van het interne netwerk van de gebruiker. Op 2 januari 2026 maakte het beveiligingsbedrijf Synthient publiekelijk de kwetsbaarheid bekend die Kimwolf gebruikte om zich zo snel te verspreiden. Die onthulling hielp de verspreiding van Kimwolf enigszins in te dammen, maar sindsdien zijn er verschillende andere IoT botnets opgedoken die effectief de verspreidingsmethoden van Kimwolf kopiëren terwijl ze concurreren om dezelfde pool van kwetsbare apparaten. Volgens het ministerie van Justitie zocht het JackSkid-botnet ook naar systemen op interne netwerken, net als Kimwolf.

De ontmanteling van de vier botnets viel samen met wetshandhavingsacties in Canada en Duitsland gericht op personen die deze botnets zouden hebben beheerd, hoewel er geen verdere details beschikbaar waren over de vermeende operators. Eind februari identificeerde KrebsOnSecurity een 22-jarige Canadese man als een belangrijke operator van het Kimwolf-botnet. Meerdere bronnen die bekend zijn met het onderzoek vertelden KrebsOnSecurity dat de andere hoofdverdachte een 15-jarige is die in Duitsland woont.

Bron: U.S. Department of Justice

Autoriteiten uit de Verenigde Staten, Duitsland en Canada hebben gezamenlijk de Command and Control (C2)-infrastructuur van de botnets Aisuru, KimWolf, JackSkid en Mossad uitgeschakeld. Deze botnets werden gebruikt om Internet of Things (IoT)-apparaten te infecteren. De actie was gericht op virtuele servers, internetdomeinen en andere infrastructuur die door de vier botnets werden gebruikt om honderdduizenden Distributed Denial of Service (DDoS)-aanvallen uit te voeren.

De botnets hebben de afgelopen maanden wereldwijd slachtoffers bestookt, waaronder IP adressen van het Department of Defense Information Network (DoDIN). In december bereikte het Aisuru botnet een piek van 31,4 Tbps en 200 miljoen requests per seconde. Dit was onderdeel van een campagne gericht op meerdere bedrijven, voornamelijk in de telecommunicatiesector. Aisuru was ook verantwoordelijk voor een eerdere DDoS record van 29,7 Tbps. Een incident dat afkomstig was van 500.000 IP adressen, toegeschreven aan hetzelfde botnet door Microsoft, piekte in november op 15,72 Tbps.

Volgens het U.S. Justice Department hebben de botnets gezamenlijk meer dan drie miljoen IoT apparaten geïnfecteerd, waaronder webcamera's, digitale videorecorders en wifirouters, waarvan vele zich in de Verenigde Staten bevinden. De beheerders verkochten toegang tot andere cybercriminelen via een cybercrime as a service model, waardoor ze DDoS aanvallen konden lanceren die tienduizenden dollars aan schade en herstelkosten veroorzaakten.

Cybersecuritybedrijf Akamai, dat deelnam aan de actie, stelt dat deze aanvallen de kerninfrastructuur van het internet kunnen lamleggen, de service voor ISP's en hun klanten kunnen verslechteren en zelfs cloud based mitigatiediensten kunnen overweldigen. De cybercriminelen gebruikten de botnets om honderdduizenden aanvallen uit te voeren en eisten in sommige gevallen afpersingsbetalingen van slachtoffers.

Bron: U.S. Department of Justice | Bron 3: hubs.li

Een man uit North Carolina is schuldig bevonden aan het afpersen van Brightly Software, een technologiebedrijf gevestigd in Washington D.C. De 27-jarige Cameron Curry, ook bekend als "Loot", maakte misbruik van zijn toegang als data analist contractor tot de payroll informatie en bedrijfsgegevens van Brightly. Nadat hij te horen kreeg dat zijn zes maanden contract niet zou worden verlengd, stal hij gevoelige documenten en startte een afpersingscampagne.

Op 11 december 2023, een dag na het einde van zijn contract, begon Curry met het versturen van meer dan 60 e-mails naar medewerkers van Brightly. Hij gebruikte het e-mailadres lootsoftware@outlook.com en het alias Loot, en dreigde gevoelige informatie die hij tussen augustus en december 2023 had gestolen te lekken, tenzij hij een losgeld van 2,5 miljoen dollar betaald kreeg.

Curry voegde screenshots toe van spreadsheets met persoonlijke identificatie informatie (PII) van medewerkers van Brightly, waaronder namen, geboortedata, thuisadressen en salarisgegevens. Hij dreigde ook het bedrijf aan te geven bij de U.S. Securities and Exchange Commission (SEC) omdat het het datalek niet had gemeld, zoals wettelijk verplicht is.

In een van de e-mails dreigde Curry: "We zullen vanaf 1 januari 2024 in fases salarisinformatie verspreiden naar alle medewerkers en zullen u daarna aangeven bij de SEC voor het niet melden van de breach. Als u uw gegevens wilt terugvorderen, raden we u aan dit snel te doen voor 2,5 miljoen USD om uw bedrijf en aandelen te redden, aangezien elke volgende maand een verhoging van 100.000 USD met zich meebrengt. Discrepanties in uw boeken bedragen momenteel meer dan 16 miljoen USD, wat een potentieel risico vormt voor retentieproblemen, een vijandige werkomgeving, wrok en meer."

Na de vele e-mails betaalde Brightly $7.540 in Bitcoin, dat werd overgemaakt naar een cryptocurrency wallet die door Curry werd beheerd. Op 24 januari doorzocht de FBI Curry's woning nadat het bedrijf aangifte had gedaan. Er werden verschillende elektronische apparaten in beslag genomen met bewijs van zijn afpersingspraktijken. Curry werd in januari 2024 vrijgelaten op borgtocht en riskeert nu maximaal 12 jaar gevangenisstraf voor zes aanklachten van het verzenden van interstate communicatie met de intentie een bedrijf af te persen.

Brightly waarschuwde klanten in mei 2023 ook voor een datalek, dat los staat van deze zaak. Aanvallers kregen toegang tot de database van het SchoolDude online platform en stalen inloggegevens en persoonlijke gegevens van bijna 3 miljoen SchoolDude klanten en gebruikers.

Bron: U.S. Department of Justice | Bron 2: brightlysoftware.com | Bron 3: documentcloud.org

Internationale opsporingsdiensten, waaronder het Amerikaanse Ministerie van Justitie (DOJ) en de FBI, hebben met succes vier botnets uitgeschakeld die gebruikt werden voor grootschalige DDoS aanvallen. De botnets, bekend als Aisuru, KimWolf, JackSkid en Mossad, kaapten meer dan drie miljoen apparaten om recordbrekende cyberaanvallen uit te voeren.

De gecoördineerde operatie omvatte het in beslag nemen van internetdomeinen en virtuele servers om de verbinding tussen de hackers en de gekaapte apparaten te verbreken. Naast de FBI en DCIS waren ook de Canadese Royal Canadian Mounted Police en de Duitse federale politie betrokken. Verschillende techbedrijven en cybersecuritybedrijven hebben de autoriteiten geholpen bij het opsporen van deze botnets.

Volgens onderzoek van Akamai konden deze botnets op hun hoogtepunt 30 Terabits aan data per seconde verplaatsen, genoeg om de kerninfrastructuur van het internet te verstoren. Uit het onderzoek bleek ook dat de vier botnets tot maart 2026 wereldwijd meer dan drie miljoen apparaten hadden gecompromitteerd. De operators gebruikten een cybercrime-as-a-service (CaaS) model, waarbij ze de botnets verhuurden aan andere hackers. Het netwerk van Aisuru verstuurde meer dan 200.000 aanvalcommando's, KimWolf meer dan 25.000, JackSkid lanceerde 90.000 DDoS aanvallen en het Mossad-botnet verstuurde 1.000 DDoS-aanvalcommando's. Sommige slachtoffers rapporteerden tienduizenden dollars aan schade als gevolg van de aanvallen. De KimWolf- en JackSkid-botnets konden zelfs apparaten infecteren die zich achter firewalls bevonden.

Hoewel het uitschakelen van deze vier botnets een grote overwinning is, is het model van het verhuren van aanvalskracht als een service nog steeds actief en winstgevend. Zonder betere apparaatbeveiliging, snellere updates en voortdurende coördinatie tussen overheden en techbedrijven, kunnen vergelijkbare netwerken onder andere namen weer opduiken, aldus de DOJ.

Bron: U.S. Department of Justice

De politie heeft de opsporingsactie Game Over?! tegen nepagenten en bankhelpdeskfraude uitgebreid. Vanaf vandaag zijn herkenbare beelden van 79 verdachten te zien op politie.nl, sociale media, digitale reclameschermen en televisie. De campagne is gericht op het aanpakken van fraudeurs die zich voordoen als agenten of bankmedewerkers en met name ouderen duperen.

Volgens Daan Annegarn van het Landelijk Team Opsporingscommunicatie van de politie is de campagne effectief. Inmiddels hebben 21 verdachten zichzelf gemeld of zijn door anderen herkend. De politie zet nu een volgende stap door de gezichten van de overige 79 verdachten zonder blur openbaar te maken. Officier van justitie Ernst Pols benadrukt dat elke zaak onafhankelijk is beoordeeld en dat het om ernstige misdrijven gaat.

De politie roept burgers op om mee te denken en namen van verdachten door te geven. Tips kunnen worden doorgegeven via www.politie.nl/gameover of telefonisch via de gratis opsporingstiplijn 0800-6070. Anoniem melden kan via Meld Misdaad Anoniem op 0800-7000. Verdachten kunnen zichzelf ook melden via www.politie.nl/zelfmelden. Na elke herkenning wordt de foto van de verdachte offline gehaald.

Game Over?! is een initiatief van het Landelijk Team Opsporingscommunicatie, het landelijk programma gedigitaliseerde criminaliteit en het Openbaar Ministerie.

Bron: Politie

Een rechter heeft drie mannen veroordeeld voor hun betrokkenheid bij een plan waarbij Noord-Koreaanse IT-medewerkers hun identiteit konden gebruiken om werk te vinden bij Amerikaanse bedrijven. Een van de mannen, de 35-jarige Alexander Paul Travis, was actief lid van het Amerikaanse leger en gestationeerd in Fort Gordon in Georgia. Hij nam deel aan het plan van september 2019 tot november 2022.

Travis bekende schuld aan de beschuldiging dat hij Noord-Koreaanse IT-medewerkers toestond zijn identiteit te gebruiken in cv's en tijdens sollicitatiegesprekken, drugstesten en het afnemen van vingerafdrukken. De Noord-Koreaanse IT-medewerkers openden ook bankrekeningen op zijn naam om betalingen van werkgevers te ontvangen. Travis ontving een laptop van acht bedrijven die dachten dat ze hem in dienst namen, en installeerde software waarmee Noord-Koreaanse medewerkers op afstand toegang konden krijgen tot de apparaten. Voor zijn rol in het plan ontving hij 51.397 dollar. Travis is veroordeeld tot een jaar gevangenisstraf en drie jaar toezicht. Hij moet ook 193.265 dollar verbeuren, het bedrag dat de Noord-Koreanen op zijn naam hebben verdiend.

Naast Travis werden ook Jason Salazar (30) uit Clovis, Californie, en Audricus Phagnasay (25) uit Fresno, Californie, veroordeeld. Alle drie mannen bekenden schuld aan samenzwering tot draadfraude. Salazar en Phagnasay stelden eveneens hun identiteit ter beschikking aan Noord-Koreanen en ontvingen bedrijfslaptops. Aanklagers zeiden dat Phagnasay minstens 3.450 dollar betaald kreeg en dat Noord-Koreaanse IT-medewerkers zijn naam gebruikten om van 2019 tot 2021 bij 10 Amerikaanse bedrijven aangenomen te worden. De medewerkers verdienden gezamenlijk 680.000 dollar. Salazar verdiende 4.500 dollar en zijn naam werd gebruikt om van september 2020 tot oktober 2022 meer dan 400.000 dollar te verdienen. Salazar en Phagnasay kregen drie jaar voorwaardelijk en moesten het geld verbeuren dat op hun naam was verdiend.

Volgens de aanklagers verdienden Noord-Koreanen in totaal ongeveer 1,3 miljoen dollar aan salarisbetalingen met het plan. Margaret Heap, openbaar aanklager voor het zuidelijke district van Georgia, zei dat het plan met Noord-Koreaanse IT-medewerkers een "aanzienlijke uitdaging vormt voor onze nationale veiligheid". Amerikaanse wetshandhavers hebben de afgelopen vijf jaar langzaam het IT-medewerkersplan van Noord-Korea ontrafeld, waarbij ze laptopfarms ontmantelden en Amerikanen arresteerden die de campagne hielpen. De Noord-Koreaanse regering heeft honderden miljoenen dollars verdiend door burgers illegaal te laten inhuren bij Amerikaanse en Europese bedrijven.

Uit onderzoek van Flare en IBM is gebleken dat IT-medewerkers prestigieuze universiteiten in Noord-Korea bezoeken en een strenge sollicitatieprocedure doorlopen voordat ze aan de slag gaan. Deelnemers "worden beschouwd als eliteleden van de Noord-Koreaanse samenleving en zijn een onmisbaar onderdeel geworden van de strategische doelstellingen van de Noord-Koreaanse regering". Het rapport merkt op dat veel collaborateurs in de VS en Europa worden gerekruteerd via LinkedIn en GitHub. Velen stellen "willens en wetens of onwillig hun identiteit ter beschikking voor gebruik in de IT-medewerkersfraude".

Bron: flare.io | Bron 2: recordedfuture.com

Een wereldwijde wetshandhavingsoperatie heeft meer dan 373.000 darkweb-websites stilgelegd die verbonden waren aan een groot cybercrimineel netwerk. Het is een van de grootste gecoördineerde acties in zijn soort. Deze sites boden cybercrime-as-a-service (CaaS) en illegale content aan, waaronder materiaal met seksueel misbruik van kinderen (CSAM).

De operatie, ondersteund door Europol en geleid door Duitse autoriteiten, was gericht op een netwerk dat was gebouwd rond een darkweb-platform dat bekend staat als "Alice with Violence CP". De zaak begon in 2021 als een routineonderzoek, maar al snel ontdekten onderzoekers een veel groter netwerk.

Autoriteiten zeggen dat één persoon meer dan 373.000 onion-domeinen beheerde. Door het grote aantal sites kon het netwerk het darkweb overspoelen met valse marktplaatsen. Deze pagina's adverteerden illegale content en cybercrimediensten, maar waren opgezet om cryptocurrency van gebruikers te verzamelen zonder iets te leveren.

De actie, bekend als "Operatie Alice", liep van 9 tot 19 maart 2026 en er waren instanties uit 23 landen bij betrokken. Naast de domeinbeslagleggingen namen onderzoekers de controle over meer dan 100 servers en diverse elektronische apparaten, waardoor een groot deel van de infrastructuur achter het netwerk werd ontwricht.

Het onderzoek bracht ook de klantenzijde van de operatie aan het licht. De politie identificeerde ongeveer 440 personen die het platform hadden gebruikt, waarvan meer dan 100 zaken nog in onderzoek zijn. Hoewel de diensten frauduleus waren, blijft het proberen illegale materialen te kopen in veel rechtsgebieden een strafbaar feit.

Financieel gezien was de operatie goedkoop voor gebruikers, maar over het algemeen winstgevend. De verdachte zou meer dan € 345.000 hebben verdiend aan ongeveer 10.000 klanten, door "pakketten" aan te bieden met een prijs tussen € 17 en € 215, allemaal betaald in cryptocurrency.

Technisch gezien profiteerde de exploitant van het grote aantal websites door honderdduizenden kleine, kortstondige sites op te zetten. Dit maakte het moeilijker om te volgen en wekte de indruk van een veel grotere operatie.

Volgens het persbericht van Europol, gepubliceerd op 20 maart 2026, is er een internationaal arrestatiebevel uitgevaardigd voor de hoofdverdachte, een 35-jarige man die vermoedelijk in China woont. De autoriteiten blijven zowel gebruikers als alle overgebleven infrastructuur die aan de operatie is gekoppeld, opsporen.

Hoewel de actie een grote hoeveelheid illegale activiteiten van het darkweb verwijdert, laat het ook zien hoe gemakkelijk dergelijke netwerken kunnen worden geschaald met behulp van automatisering, cryptocurrency en geanonimiseerde hosting. Eerdere operaties hebben aangetoond dat zodra een netwerk is ontmanteld, anderen snel inspringen, vaak met dezelfde tactieken onder nieuwe identiteiten.

Bron: Europol

Een 26-jarige Russische staatsburger is in de Verenigde Staten veroordeeld tot 6,75 jaar (81 maanden) gevangenisstraf voor zijn rol in het assisteren van grote cybercrimegroepen, waaronder de Yanluowang-ransomwaregroep, bij het uitvoeren van talloze aanvallen op Amerikaanse bedrijven en andere organisaties.

Volgens het Amerikaanse Ministerie van Justitie (DoJ) faciliteerde Aleksei Olegovich Volkov tientallen ransomware aanvallen in de hele VS, waardoor meer dan $9 miljoen aan werkelijke schade en meer dan $24 miljoen aan beoogde schade is veroorzaakt. Volkov werd op 18 januari 2024 in Italië gearresteerd en aan de VS uitgeleverd om terecht te staan. Hij pleitte in november 2025 schuldig aan de misdaden.

Volkov zou hebben gediend als een initial access broker, verantwoordelijk voor het verkrijgen van ongeautoriseerde toegang tot computernetwerken en -systemen van verschillende organisaties, en het verkopen van die toegang aan andere criminele groepen, waaronder ransomware-actoren. Dit werd bereikt door het exploiteren van kwetsbaarheden of het vinden van manieren om zonder toestemming toegang te krijgen tot de netwerken.

"De medeplichtigen van Volkov gebruikten vervolgens de toegang die Volkov verschafte om de getroffen computernetwerken en -systemen met malware te infecteren," aldus het DoJ. "Deze malware versleutelde de gegevens van de slachtoffers en verhinderde de slachtoffers toegang tot de gegevens, waardoor hun bedrijfsactiviteiten werden beschadigd."

"De samenzweerders eisten vervolgens dat de slachtoffers hen een losgeld in cryptocurrency betaalden - soms in de tientallen miljoenen dollars - in ruil voor het herstellen van de toegang van de slachtoffers tot de gegevens en de belofte om de hack niet openbaar te maken of gestolen gegevens van slachtoffers op een 'lek'-website vrij te geven."

Telkens wanneer een slachtoffer losgeld betaalde, ontving Volkov een deel van de illegale opbrengst. Hij werd aangeklaagd voor onrechtmatige overdracht van een middel tot identificatie, handel in toegangsinformatie, fraude met toegangsapparatuur en zware identiteitsdiefstal, naast twee aanklachten wegens computermisdrijf en samenzwering tot het witwassen van geld.

Als onderdeel van de schuldbekentenis heeft de verdachte ermee ingestemd om volledige restitutie aan de slachtoffers te betalen, waaronder ten minste $9.167.198 aan bekende slachtoffers om hen te compenseren voor hun werkelijke verliezen, samen met het verbeuren van de tools die werden gebruikt om de misdaden te plegen.

De onthulling komt nu Amerikaanse aanklagers een derde persoon hebben aangeklaagd voor het optreden als onderhandelaar voor de BlackCat (ook bekend als ALPHV) ransomwarebende, die de dreigingsactoren helpt om hogere uitbetalingen af te persen van ten minste 10 slachtoffers. De 41-jarige man, Angelo Martino (eerder alleen geïdentificeerd als "Co-Conspirator 1"), werkte als ransomware-onderhandelaar voor DigitalMint.

Autoriteiten hebben bijna $9,2 miljoen in vijf soorten cryptocurrency (Bitcoin, Monero, Ripple, Solana en Stellar) in beslag genomen van 21 wallets die door Martino werden beheerd, naast het in beslag nemen van luxe voertuigen en eigendommen. Hij riskeert maximaal 20 jaar gevangenisstraf. Twee andere incident responders, Ryan Clifford Goldberg en Kevin Tyler Martin, pleitten in december 2025 schuldig aan hun rollen als BlackCat-affiliates.

In een verklaring die werd gedeeld met The Record, zei DigitalMint dat de acties in strijd waren met het bedrijfsbeleid en de ethische normen, en dat het zowel Martino als Martin had ontslagen nadat hun gedrag aan het licht was gekomen.

Bron: U.S. Department of Justice