Sinds 2024 heeft de AIVD en MIVD een nieuwe, tot nu toe onbekende Russische cyberactor onder de naam Laundry Bear geïdentificeerd. Deze actor heeft zich gespecialiseerd in het uitvoeren van cyberaanvallen die gericht zijn op spionage en het verkrijgen van gevoelige informatie uit westerse overheden, bedrijven en andere strategische doelwitten. In dit artikel duiken we dieper in de achtergrond van Laundry Bear, de gebruikte technieken en de gevolgen voor Nederland, Europa en de wereld. Daarnaast bespreken we maatregelen om de weerbaarheid tegen dergelijke cyberdreigingen te versterken.
Oorsprong en het pad van laundry bear
Laundry Bear is een relatief nieuwe speler in het wereldwijde cyberlandschap. De naam werd door de AIVD en MIVD toegekend aan een Russische cyberactor die sinds 2024 actief is in het uitvoeren van cyberaanvallen tegen westerse doelwitten. De oorsprong van deze actor ligt waarschijnlijk binnen de Russische staatsveiligheidsstructuren, wat betekent dat de aanvallen mogelijk gecoördineerd zijn door de Russische overheid. Dit maakt Laundry Bear onderdeel van een breder offensief van de Russische cyberoorlogvoering gericht op het verkrijgen van strategische informatie, met name in de context van de oorlog in Oekraïne.
De eerste grote aanval werd uitgevoerd op de Nederlandse politie in september 2024. De cyberactor wist werkgerelateerde contactgegevens van politiemedewerkers te stelen. Deze aanval, die aanvankelijk als opportunistisch werd beschouwd, leek meer te maken te hebben met de strategische belangen van Rusland in de context van geopolitieke spanningen. Dit markeerde het begin van de bekende operaties van Laundry Bear, die zich sindsdien heeft gericht op een breed scala aan organisaties, zowel binnen als buiten de overheid.
Aanvalstechnieken en cyberoperaties van laundry bear
Wat Laundry Bear bijzonder maakt, is de combinatie van relatief eenvoudige maar effectieve aanvalstechnieken, die het voor slachtoffers moeilijk maken om de aanvallen snel te detecteren. De actor maakt gebruik van technieken zoals phishing en password spraying. Phishing-aanvallen worden uitgevoerd door e-mails te sturen die eruit zien als legitieme berichten, maar die de ontvanger naar een malafide website leiden om inloggegevens te stelen. Password spraying is een andere techniek waarbij een beperkt aantal veelgebruikte wachtwoorden op meerdere accounts wordt geprobeerd, wat helpt om detectie door netwerkbeheerders te vermijden.
Naast deze veelgebruikte methoden maakt Laundry Bear ook gebruik van zogenaamde Living off the Land-technieken. Dit houdt in dat de actor bestaande systemen en tools binnen het netwerk van het slachtoffer gebruikt om zijn aanvallen uit te voeren, zonder nieuwe malware te introduceren. Hierdoor lijkt de activiteit van de actor op legitiem gebruik van de systemen, wat het voor slachtoffers lastig maakt om de aanval te herkennen. Door gebruik te maken van gestolen authenticatietokens, zoals cookies die via criminele fora zijn verkregen, kan de actor zichzelf voordoen als een gewone gebruiker van het systeem.
Doelen van laundry bear en de impact op Nederland en Europa
De aanvallen van Laundry Bear richten zich voornamelijk op westerse landen, met een speciale focus op de Europese Unie en de NAVO. Het doel van de aanvallen is vaak spionage, waarbij de actor gevoelige informatie probeert te verkrijgen die van strategisch belang is voor Rusland. De aanvallen zijn vooral gericht op de militaire en defensiesector, zoals luchtvaarttechnologiebedrijven, defensiebedrijven en bedrijven die betrokken zijn bij de wapenlevering aan Oekraïne. Dit toont aan dat Laundry Bear nauw samenwerkt met bredere geopolitieke doelstellingen van de Russische overheid.
In Nederland is de politie een van de slachtoffers geworden van Laundry Bear, maar er zijn aanwijzingen dat ook andere Nederlandse organisaties doelwit zijn geweest. De AIVD en MIVD hebben aangegeven dat de actor gebruik maakt van gestolen inloggegevens en cookies om toegang te krijgen tot gevoelige netwerken. Het is waarschijnlijk dat Laundry Bear niet alleen de politie, maar ook andere overheidsinstellingen en private bedrijven in Nederland heeft getroffen. Dit maakt de dreiging van deze actor niet alleen relevant voor overheidsinstanties, maar voor het bredere bedrijfsleven en de samenleving als geheel.
Op Europees niveau heeft Laundry Bear zijn aanvallen gericht op landen die direct betrokken zijn bij de Oekraïense crisis en andere strategische belangen van Rusland. De actor heeft zich waarschijnlijk gericht op defensiebedrijven die militaire technologie ontwikkelen, zoals bedrijven die betrokken zijn bij de productie van wapens of het leveren van technologie aan Oekraïne. Deze cyberoperaties zijn bedoeld om informatie te verkrijgen die van invloed kan zijn op de geopolitieke situatie, met als doel de Russische belangen te beschermen en uit te breiden.
Versterking van de digitale weerbaarheid tegen laundry bear
In reactie op de dreiging van Laundry Bear hebben de AIVD en MIVD een reeks aanbevelingen gedaan om de digitale weerbaarheid van organisaties te vergroten. Deze maatregelen zijn essentieel om te voorkomen dat soortgelijke aanvallen in de toekomst plaatsvinden. De eerste aanbeveling is het gebruik van multi-factor authenticatie (MFA) voor alle systemen die gevoelige informatie bevatten. MFA zorgt ervoor dat een aanvaller niet alleen toegang heeft tot een account door een wachtwoord te verkrijgen, maar dat er aanvullende verificatiestappen nodig zijn om toegang te krijgen.
Daarnaast wordt organisaties geadviseerd om hun systemen te monitoren op verdachte activiteiten, zoals ongebruikelijke inlogpogingen of onverklaarbare toegangspogingen tot gevoelige gegevens. Het implementeren van een zero-trustarchitectuur is een andere belangrijke stap. Hierbij wordt elke gebruiker of apparaat binnen het netwerk als potentieel onbetrouwbaar beschouwd, tenzij deze expliciet geverifieerd is. Dit voorkomt dat aanvallers ongehinderd toegang kunnen krijgen tot vertrouwelijke informatie.
Verder wordt het periodiek uitvoeren van beveiligingsaudits aanbevolen, evenals het versterken van de beveiliging van e-mailomgevingen. Aangezien Laundry Bear bekend staat om het stelen van gegevens via e-mailomgevingen en cloudsystemen, is het essentieel dat organisaties maatregelen treffen om hun e-mailverkeer te versleutelen en bescherming tegen phishing-aanvallen te bieden. Het trainen van medewerkers om verdachte e-mails en activiteiten te herkennen is daarbij ook cruciaal.
De toekomstige dreiging van laundry bear en cyberespionage
De AIVD en MIVD beschouwen Laundry Bear als een nieuwe en potentieel gevaarlijke cyberactor die in de toekomst steeds geavanceerdere technieken kan ontwikkelen. Hoewel de actor nu gebruik maakt van relatief eenvoudige technieken, is het waarschijnlijk dat Laundry Bear in staat zal zijn om complexere aanvalsmethoden te implementeren naarmate zijn ervaring toeneemt. Dit betekent dat de dreiging van cyberespionage door Laundry Bear in de toekomst mogelijk groter zal worden.
Omdat de actor sterk gericht is op strategische informatie en spionage, is het mogelijk dat Laundry Bear een grotere rol zal spelen in de bredere geopolitieke cyberoorlogvoering. De informatie die de actor verwerft, kan van invloed zijn op politieke en militaire besluitvorming, vooral in verband met de voortdurende oorlog in Oekraïne. Dit benadrukt de urgentie voor landen en organisaties om zich voor te bereiden op toekomstige cyberaanvallen van deze en andere soortgelijke actoren.
Wat is?
- Wat is een Living off the Land-techniek?
Living off the Land (LOTL) is een techniek waarbij een cyberaanvaller gebruik maakt van de bestaande tools en systemen die al aanwezig zijn op het netwerk van het slachtoffer, in plaats van nieuwe, vaak makkelijker te detecteren malware te installeren. Deze techniek maakt het moeilijker voor beveiligingssystemen om de aanval te detecteren, omdat de aanvaller lijkt te werken met legitieme middelen. - Wat is phishing?
Phishing is een techniek waarbij een aanvaller zich voordoet als een vertrouwde bron (zoals een bank, bedrijf of zelfs een collega) om iemand te misleiden tot het prijsgeven van vertrouwelijke informatie, zoals wachtwoorden of creditcardgegevens. Dit gebeurt vaak via e-mail, waarin de aanvaller een valse link of bijlage verstuurt. - Wat is password spraying?
Password spraying is een aanval waarbij een aanvaller probeert toegang te krijgen tot veel verschillende accounts door een paar veelgebruikte wachtwoorden uit te proberen. In tegenstelling tot brute force-aanvallen, waarbij veel verschillende wachtwoorden snel op één account worden geprobeerd, probeert password spraying hetzelfde wachtwoord op meerdere accounts, wat de kans vergroot dat het wachtwoord op een van de accounts correct is. - Wat is een authenticatietoken?
Een authenticatietoken is een stukje informatie dat door een systeem wordt gebruikt om te bevestigen dat een gebruiker echt is wie hij zegt te zijn. Het token wordt vaak gegenereerd na een succesvolle login en kan bestaan uit een stukje code of een sessiecookie. Aanvallers kunnen dit token stelen om toegang te krijgen tot een systeem zonder opnieuw in te loggen. - Wat is een zero-trustarchitectuur?
Zero trust is een beveiligingsmodel dat ervan uitgaat dat geen enkele gebruiker of apparaat, zelfs niet binnen het interne netwerk van een organisatie, automatisch vertrouwd is. Alles moet steeds opnieuw worden geverifieerd voordat toegang wordt verleend. Dit model helpt voorkomen dat aanvallers onopgemerkt toegang krijgen tot gevoelige systemen of gegevens, zelfs als ze al binnen het netwerk zitten. - Wat is MFA (Multi-Factor Authentication)?
Multi-Factor Authentication (MFA) is een beveiligingsmaatregel die meerdere vormen van identificatie vereist om toegang te krijgen tot een systeem. Dit kan een combinatie zijn van iets wat je weet (zoals een wachtwoord), iets wat je hebt (zoals een smartphone voor een bevestiging), of iets wat je bent (zoals een vingerafdruk of gezichtsherkenning). MFA biedt extra bescherming tegen aanvallen die alleen gebruik maken van wachtwoorden. - Wat is een cookie?
Een cookie is een klein bestand dat door een website op je computer wordt geplaatst. Het wordt gebruikt om je voorkeuren of inloggegevens op te slaan, zodat je bijvoorbeeld automatisch ingelogd blijft bij je volgende bezoek. Aanvallers kunnen gestolen cookies gebruiken om toegang te krijgen tot accounts zonder opnieuw inloggegevens in te voeren.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt
Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Odido finale: 6,1 miljoen op straat, overheid kwetsbaar
Het datalek bij Odido heeft zijn definitieve omvang bereikt. Beveiligingsonderzoeker Troy Hunt bevestigt dat de gegevens van 6,1 miljoen klanten inmiddels op het darkweb staan, inclusief burgerservicenummers van zelfstandigen. In Den Haag stapelen de zorgen zich op, de Dienst Justitiële Inrichtingen werd vijf maanden lang bespioneerd via een kwetsbaarheid in Ivanti, de Belastingdienst vertrouwt het systeem voor de omzetbelasting toe aan een Amerikaans bedrijf en duizenden applicaties op het Mendix platform lekken wereldwijd gevoelige data. Het IBM X-Force rapport onthult dat een kwart van alle cyberaanvallen op Europa is gericht, terwijl het Nederlandse Jaarbeeld Ransomware laat zien dat gehackte accounts de belangrijkste aanvalsmethode zijn geworden. Dit journaal bestrijkt het nieuws van 28 februari tot en met 2 maart 2026.
NB407: Jouw Odido data staat nu op het darkweb
Deze week werd het ergste scenario werkelijkheid: ShinyHunters publiceerde de gestolen gegevens van honderdduizenden klanten van Odido op het darkweb, inclusief IBAN nummers en paspoortnummers. We leggen uit wat criminelen nu over jou weten en welke stappen je moet nemen. Daarnaast gebruikte een Russische hacker AI om meer dan 600 FortiGate firewalls te kraken, misbruikte een hacker Claude AI voor een overheidshack en onthulde Google een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties bespioneerde. CrowdStrike meldde dat AI aanvallers in recordtijd van 27 seconden door netwerken bewegen. Tot slot zoekt de politie een verdachte van bankhelpdeskfraude bij een goudsmid in Naarden. Lees alle details in de zes artikelen van deze week.
Odido data op straat, AI hackt overheden en Chinese spionage
Het ultimatum van hackersgroep ShinyHunters is verlopen en de gestolen gegevens van honderdduizenden Odido klanten staan op het darkweb. In de eerste publicatie verscheen data van 430.000 particulieren en 290.000 zakelijke klanten, waarna een dag later opnieuw klantgegevens werden vrijgegeven. De politie adviseert bedrijven expliciet niet te betalen. Tegelijkertijd misbruikte een hacker het AI model Claude om 150 gigabyte aan gegevens van de Mexicaanse overheid te stelen, en integreert Kali Linux nu AI voor penetratietesten. Google onthulde een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties in 42 landen bespioneerde, terwijl de Tweede Kamer vragen stelt over een killswitch in Chinese bussen. Dit journaal bestrijkt het nieuws van 26 en 27 februari 2026.
Goudsmid in Naarden voor tonnen opgelicht
Een goudsmid uit Naarden is in oktober 2025 slachtoffer geworden van een geraffineerde vorm van bankhelpdeskfraude. De vrouw werd eerst telefonisch benaderd door iemand die zich voordeed als medewerker van haar bank. Vervolgens verscheen een man op de afgesproken locatie die haar tas vol sieraden, goud en contant geld meenam. De geschatte schade loopt op tot enkele honderdduizenden euro's. De politie heeft camerabeelden van een verdachte en doet een dringend beroep op getuigen.
ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
Reactie plaatsen
Reacties