Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercriminfo heeft het rapport 'Kaspersky - Ongebruikelijke infectiemethoden' geanalyseerd om meer inzicht te krijgen in de nieuwste en meest ongebruikelijke cyberaanvalstechnieken. Om een breed publiek te bereiken, biedt Cybercriminfo twee verschillende versies van hun analyse aan: een beknopte, begrijpelijke samenvatting en een uitgebreidere technische toelichting.
De beknopte samenvatting is bedoeld voor lezers die geïnteresseerd zijn in een algemeen overzicht van de belangrijkste bevindingen zonder al te veel technische details. Deze versie geeft een duidelijk beeld van de nieuwste infectiemethoden die door cybercriminelen worden gebruikt en biedt advies over hoe men zichzelf kan beschermen tegen dergelijke aanvallen.
De uitgebreidere technische toelichting is daarentegen bedoeld voor professionals of mensen met een diepere interesse in cyberbeveiliging. Deze versie bevat een gedetailleerde uitleg van de verschillende infectiemethoden, hun werking en de potentiële gevolgen. Bovendien worden er in deze versie aanbevelingen gedaan voor effectieve tegenmaatregelen en beveiligingsprotocollen.
Cybercriminfo wil graag weten welke versie van de analyse het meest gewaardeerd wordt door hun lezers. Ze nodigen daarom iedereen uit om hun voorkeur kenbaar te maken door onderaan het artikel te stemmen op de gewenste versie: een korte, eenvoudige uitleg of een meer technische, gedetailleerde toelichting. Uw feedback helpt Cybercriminfo bij het aanbieden van toekomstige rapporten en analyses die beter aansluiten bij de behoeften van hun lezers. Alvast bedankt voor uw bijdrage.
De korte eenvouduge uitleg:
Cybercriminelen blijven nieuwe manieren vinden om mensen en bedrijven aan te vallen. Kaspersky heeft in een blogpost enkele geavanceerde infectiemethoden onderzocht, zoals 'RapperBot', 'Rhadamanthys' en 'CUEMiner'.
RapperBot
RapperBot is een worm die zich richt op slimme apparaten (IoT) om DDoS-aanvallen uit te voeren. Het is belangrijk om de beveiliging van IoT-apparaten serieus te nemen, zoals het updaten van firmware, sterke wachtwoorden gebruiken en onnodige diensten uitschakelen.
CUEMiner
CUEMiner is een open source malware voor het stelen van rekenkracht om cryptomunten te delven (cryptojacking). Het wordt verspreid via gekraakte software op BitTorrent en OneDrive-netwerken. Open source malware is populair bij beginnende cybercriminelen en kan overal ter wereld slachtoffers maken. Wees voorzichtig bij het downloaden van software en gebruik betrouwbare antivirus- en beveiligingsoplossingen.
Rhadamanthys
Rhadamanthys steelt informatie en verspreidt malware via Google Advertising. Er is een sterke band met de Hidden Bee miner, die zich richt op het delven van cryptocurrency. Beide malware-varianten gebruiken vergelijkbare technieken om zich te verbergen. Wees bewust van de risico's van het klikken op online advertenties en neem voorzorgsmaatregelen om apparaten en gegevens te beschermen. Blijf op de hoogte van de nieuwste bedreigingen en beveiligingsoplossingen om jezelf en je organisatie te beschermen.
De langere meer technische uitleg:
Cybercriminelen zitten niet stil en blijven hun vaardigheden en instrumenten ontwikkelen om nieuwe manieren te vinden om zowel individuen als bedrijven te benaderen en aan te vallen. In een recente blogpost op Securelist heeft Kaspersky enkele van de meest ongewone en geavanceerde infectiemethoden onderzocht die door aanvallers worden gebruikt. Een van deze ontdekkingen is 'RapperBot', een worm gebaseerd op Mirai die Internet of Things (IoT)-apparaten infecteert met als uiteindelijk doel het uitvoeren van DDoS-aanvallen op niet-HTTP-doelwitten. Andere besproken methoden zijn de informatiedief 'Rhadamanthys' en 'CUEMiner', gebaseerd op open source malware die vermoedelijk wordt verspreid via BitTorrent en OneDrive.
RapperBot: Geavanceerde IoT-worm met slimme brute-forcingaanpak
De geavanceerde worm genaamd RapperBot, speciaal ontworpen voor IoT-apparaten, werd voor het eerst opgemerkt in juni 2022. Aanvankelijk was het gericht op het Secure Shell-protocol (SSH), dat algemeen wordt beschouwd als een veilige methode om bestanden te verzenden. Dit komt omdat het versleutelde communicatie gebruikt, in tegenstelling tot Telnet-diensten die gegevens in platte tekst overbrengen. Desondanks heeft de nieuwste versie van RapperBot de SSH-functionaliteit volledig verwijderd en richt het zich nu uitsluitend op Telnet. Deze aanpak blijkt zeer effectief te zijn, aangezien er in het vierde kwartaal van 2022 meer dan 112.000 infectiepogingen door RapperBot werden geregistreerd, afkomstig van meer dan 2.000 unieke IP-adressen.
Wat RapperBot onderscheidt van andere wormen, is de slimme manier waarop het brute forcing uitvoert. In plaats van een uitgebreide lijst met referenties te doorlopen, controleert het de prompt en kiest het de juiste inloggegevens op basis daarvan. Deze methode versnelt het brute-forcingproces aanzienlijk, waardoor het effectiever wordt in het compromitteren van systemen.
In december 2022 waren de landen met het hoogste aantal door RapperBot geïnfecteerde apparaten Taiwan, Zuid-Korea en de Verenigde Staten. De toename van het aantal infecties in deze landen benadrukt de noodzaak voor verbeterde beveiligingsmaatregelen en het monitoren van IoT-apparaten om potentiële bedreigingen zoals RapperBot te identificeren en tegen te gaan.
RapperBot's succes kan gedeeltelijk worden toegeschreven aan de groeiende populariteit en het wijdverbreide gebruik van IoT-apparaten. Deze apparaten zijn vaak kwetsbaar voor cyberaanvallen, omdat ze meestal minder geavanceerde beveiligingsfuncties hebben in vergelijking met traditionele computers en servers. Bovendien zijn IoT-apparaten meestal verbonden met het internet, wat ze blootstelt aan een breed scala aan bedreigingen van kwaadwillende actoren.
Om RapperBot en vergelijkbare wormen effectief te bestrijden, is het belangrijk om de beveiliging van IoT-apparaten serieus te nemen. Dit omvat het regelmatig updaten van firmware, het gebruik van sterke wachtwoorden en het uitschakelen van onnodige services zoals Telnet. Daarnaast is het van essentieel belang om netwerkverkeer te monitoren en verdachte activiteiten te detecteren, zodat er snel actie kan worden ondernomen om potentiële infecties te voorkomen.
CUEMiner: Open Source Malware voor Cryptojacking Verspreid via Getrojaniseerde Gekraakte Software en OneDrive-netwerken
De open source malware voor cryptojacking, CUEMiner, is een andere malwarefamilie die uitgebreid wordt besproken in de blogpost van Kaspersky. Deze specifieke malware is gebaseerd op een open-sourcevariant die voor het eerst opdook op Github in 2021. De meest recente versie van CUEMiner, die werd ontdekt in oktober 2022, bevat een zogenaamde 'miner' en een 'watcher'. Het watcher-programma houdt een systeem nauwlettend in de gaten terwijl er een zwaar proces, zoals het spelen van een videogame, plaatsvindt op de computer van het slachtoffer.
Gedurende het onderzoek naar CUEMiner heeft Kaspersky twee verschillende methoden geïdentificeerd die worden gebruikt om de malware te verspreiden. De eerste methode houdt in dat de malware wordt verspreid via getrojaniseerde, gekraakte software die wordt gedownload via het BitTorrent-netwerk. De tweede methode omvat het verspreiden van de malware via getrojaniseerde, gekraakte software die wordt gedownload van OneDrive-deelnetwerken. Hoewel er op het moment van publicatie geen directe links beschikbaar zijn, blijft het onduidelijk op welke manier slachtoffers worden overgehaald om deze gekraakte softwarepakketten te downloaden. Veel websites die gekraakte software aanbieden, geven tegenwoordig geen directe downloads meer. In plaats daarvan verwijzen ze naar Discord serverkanalen voor verdere discussie. Dit wijst erop dat er enige vorm van menselijke interactie en social engineering bij betrokken is.
Dit soort open source malware is bijzonder populair onder beginnende of ongeschoolde cybercriminelen. Dit komt doordat het hen in staat stelt om op relatief eenvoudige wijze grootschalige campagnes op te zetten en uit te voeren. Slachtoffers van CUEMiner zijn momenteel over de hele wereld te vinden, soms zelfs binnen de netwerken van bedrijven. Uit de telemetriegegevens van het Kaspersky Security Network blijkt dat het grootste aantal slachtoffers zich bevindt in landen als Brazilië, India en Turkije.
Door de toegankelijkheid van open source malware zoals CUEMiner kunnen cybercriminelen met weinig ervaring of technische kennis toch succesvolle aanvallen uitvoeren. Dit maakt dergelijke malware zeer aantrekkelijk en verontrustend tegelijkertijd. Bovendien zijn de verspreidingsmethoden vaak gericht op het misleiden van slachtoffers door middel van social engineering, wat het moeilijker maakt om de verspreiding van dergelijke malware te voorkomen en te bestrijden. Daarom is het van groot belang om altijd waakzaam te zijn bij het downloaden van software en om gebruik te maken van betrouwbare antivirus- en beveiligingsoplossingen om de kans op besmetting met malware te minimaliseren.
Rhadamanthys: Informatiediefstal en Malwareverspreiding via Google Advertising, Verband met Hidden Bee Miner Ontdekt
Tot slot onthult de Kaspersky-blogpost nieuwe gegevens over Rhadamanthys, een cybercrimineel die gespecialiseerd is in het stelen van informatie en die Google Advertising inzet als middel om kwaadaardige software te verspreiden en af te leveren. Rhadamanthys werd voor het eerst genoemd op Securelist in maart 2023, maar sindsdien is gebleken dat er een sterke band bestaat met de Hidden Bee miner, die zich specifiek richt op het delven van cryptocurrency.
Beide malware-varianten gebruiken afbeeldingen om hun schadelijke lading te verbergen en hebben vergelijkbare shellcodes voor het opstarten van het proces. Bovendien maken ze allebei gebruik van 'in-memory virtual file systems' en de Lua-programmeertaal om diverse plugins en modules te laden, wat bijdraagt aan hun functionaliteit en flexibiliteit.
De Kaspersky-blogpost biedt verder inzicht in hoe Rhadamanthys Google Advertising als platform benut om malware te verspreiden. Door misbruik te maken van dit populaire advertentieplatform kunnen de cybercriminelen een groot aantal nietsvermoedende gebruikers bereiken en hun apparaten infecteren met schadelijke software. Dit maakt de situatie des te zorgwekkender, aangezien veel internetgebruikers Google Advertising vertrouwen als betrouwbare bron van online advertenties.
De sterke connectie tussen Rhadamanthys en de Hidden Bee miner is met name verontrustend omdat dit suggereert dat de cybercriminelen achter deze malware zich richten op het delven van cryptocurrency, wat kan leiden tot aanzienlijke financiële verliezen voor getroffen gebruikers en bedrijven. Het feit dat beide malwarevarianten vergelijkbare technieken gebruiken om hun payload te verbergen, suggereert bovendien dat ze mogelijk door dezelfde groep cybercriminelen zijn ontwikkeld.
In dit licht is het van cruciaal belang dat zowel individuen als bedrijven zich bewust zijn van de risico's die gepaard gaan met het klikken op online advertenties en de nodige voorzorgsmaatregelen nemen om hun apparaten en gegevens te beschermen tegen mogelijke malware-infecties. Het is eveneens belangrijk om up-to-date te blijven over de nieuwste bedreigingen en beveiligingsoplossingen, zodat men proactief kan handelen om zichzelf en hun organisaties te beschermen tegen de steeds geavanceerdere en sluwe tactieken van cybercriminelen zoals Rhadamanthys en de Hidden Bee miner.
Bron: securelist.com
Welke versie van de Cybercriminfo-analyse heeft uw voorkeur?
Meer actueel nieuws
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.