Sinds 2024 heeft de AIVD en MIVD een nieuwe, tot nu toe onbekende Russische cyberactor onder de naam Laundry Bear geïdentificeerd. Deze actor heeft zich gespecialiseerd in het uitvoeren van cyberaanvallen die gericht zijn op spionage en het verkrijgen van gevoelige informatie uit westerse overheden, bedrijven en andere strategische doelwitten. In dit artikel duiken we dieper in de achtergrond van Laundry Bear, de gebruikte technieken en de gevolgen voor Nederland, Europa en de wereld. Daarnaast bespreken we maatregelen om de weerbaarheid tegen dergelijke cyberdreigingen te versterken.
Oorsprong en het pad van laundry bear
Laundry Bear is een relatief nieuwe speler in het wereldwijde cyberlandschap. De naam werd door de AIVD en MIVD toegekend aan een Russische cyberactor die sinds 2024 actief is in het uitvoeren van cyberaanvallen tegen westerse doelwitten. De oorsprong van deze actor ligt waarschijnlijk binnen de Russische staatsveiligheidsstructuren, wat betekent dat de aanvallen mogelijk gecoördineerd zijn door de Russische overheid. Dit maakt Laundry Bear onderdeel van een breder offensief van de Russische cyberoorlogvoering gericht op het verkrijgen van strategische informatie, met name in de context van de oorlog in Oekraïne.
De eerste grote aanval werd uitgevoerd op de Nederlandse politie in september 2024. De cyberactor wist werkgerelateerde contactgegevens van politiemedewerkers te stelen. Deze aanval, die aanvankelijk als opportunistisch werd beschouwd, leek meer te maken te hebben met de strategische belangen van Rusland in de context van geopolitieke spanningen. Dit markeerde het begin van de bekende operaties van Laundry Bear, die zich sindsdien heeft gericht op een breed scala aan organisaties, zowel binnen als buiten de overheid.
Aanvalstechnieken en cyberoperaties van laundry bear
Wat Laundry Bear bijzonder maakt, is de combinatie van relatief eenvoudige maar effectieve aanvalstechnieken, die het voor slachtoffers moeilijk maken om de aanvallen snel te detecteren. De actor maakt gebruik van technieken zoals phishing en password spraying. Phishing-aanvallen worden uitgevoerd door e-mails te sturen die eruit zien als legitieme berichten, maar die de ontvanger naar een malafide website leiden om inloggegevens te stelen. Password spraying is een andere techniek waarbij een beperkt aantal veelgebruikte wachtwoorden op meerdere accounts wordt geprobeerd, wat helpt om detectie door netwerkbeheerders te vermijden.
Naast deze veelgebruikte methoden maakt Laundry Bear ook gebruik van zogenaamde Living off the Land-technieken. Dit houdt in dat de actor bestaande systemen en tools binnen het netwerk van het slachtoffer gebruikt om zijn aanvallen uit te voeren, zonder nieuwe malware te introduceren. Hierdoor lijkt de activiteit van de actor op legitiem gebruik van de systemen, wat het voor slachtoffers lastig maakt om de aanval te herkennen. Door gebruik te maken van gestolen authenticatietokens, zoals cookies die via criminele fora zijn verkregen, kan de actor zichzelf voordoen als een gewone gebruiker van het systeem.
Doelen van laundry bear en de impact op Nederland en Europa
De aanvallen van Laundry Bear richten zich voornamelijk op westerse landen, met een speciale focus op de Europese Unie en de NAVO. Het doel van de aanvallen is vaak spionage, waarbij de actor gevoelige informatie probeert te verkrijgen die van strategisch belang is voor Rusland. De aanvallen zijn vooral gericht op de militaire en defensiesector, zoals luchtvaarttechnologiebedrijven, defensiebedrijven en bedrijven die betrokken zijn bij de wapenlevering aan Oekraïne. Dit toont aan dat Laundry Bear nauw samenwerkt met bredere geopolitieke doelstellingen van de Russische overheid.
In Nederland is de politie een van de slachtoffers geworden van Laundry Bear, maar er zijn aanwijzingen dat ook andere Nederlandse organisaties doelwit zijn geweest. De AIVD en MIVD hebben aangegeven dat de actor gebruik maakt van gestolen inloggegevens en cookies om toegang te krijgen tot gevoelige netwerken. Het is waarschijnlijk dat Laundry Bear niet alleen de politie, maar ook andere overheidsinstellingen en private bedrijven in Nederland heeft getroffen. Dit maakt de dreiging van deze actor niet alleen relevant voor overheidsinstanties, maar voor het bredere bedrijfsleven en de samenleving als geheel.
Op Europees niveau heeft Laundry Bear zijn aanvallen gericht op landen die direct betrokken zijn bij de Oekraïense crisis en andere strategische belangen van Rusland. De actor heeft zich waarschijnlijk gericht op defensiebedrijven die militaire technologie ontwikkelen, zoals bedrijven die betrokken zijn bij de productie van wapens of het leveren van technologie aan Oekraïne. Deze cyberoperaties zijn bedoeld om informatie te verkrijgen die van invloed kan zijn op de geopolitieke situatie, met als doel de Russische belangen te beschermen en uit te breiden.
Versterking van de digitale weerbaarheid tegen laundry bear
In reactie op de dreiging van Laundry Bear hebben de AIVD en MIVD een reeks aanbevelingen gedaan om de digitale weerbaarheid van organisaties te vergroten. Deze maatregelen zijn essentieel om te voorkomen dat soortgelijke aanvallen in de toekomst plaatsvinden. De eerste aanbeveling is het gebruik van multi-factor authenticatie (MFA) voor alle systemen die gevoelige informatie bevatten. MFA zorgt ervoor dat een aanvaller niet alleen toegang heeft tot een account door een wachtwoord te verkrijgen, maar dat er aanvullende verificatiestappen nodig zijn om toegang te krijgen.
Daarnaast wordt organisaties geadviseerd om hun systemen te monitoren op verdachte activiteiten, zoals ongebruikelijke inlogpogingen of onverklaarbare toegangspogingen tot gevoelige gegevens. Het implementeren van een zero-trustarchitectuur is een andere belangrijke stap. Hierbij wordt elke gebruiker of apparaat binnen het netwerk als potentieel onbetrouwbaar beschouwd, tenzij deze expliciet geverifieerd is. Dit voorkomt dat aanvallers ongehinderd toegang kunnen krijgen tot vertrouwelijke informatie.
Verder wordt het periodiek uitvoeren van beveiligingsaudits aanbevolen, evenals het versterken van de beveiliging van e-mailomgevingen. Aangezien Laundry Bear bekend staat om het stelen van gegevens via e-mailomgevingen en cloudsystemen, is het essentieel dat organisaties maatregelen treffen om hun e-mailverkeer te versleutelen en bescherming tegen phishing-aanvallen te bieden. Het trainen van medewerkers om verdachte e-mails en activiteiten te herkennen is daarbij ook cruciaal.
De toekomstige dreiging van laundry bear en cyberespionage
De AIVD en MIVD beschouwen Laundry Bear als een nieuwe en potentieel gevaarlijke cyberactor die in de toekomst steeds geavanceerdere technieken kan ontwikkelen. Hoewel de actor nu gebruik maakt van relatief eenvoudige technieken, is het waarschijnlijk dat Laundry Bear in staat zal zijn om complexere aanvalsmethoden te implementeren naarmate zijn ervaring toeneemt. Dit betekent dat de dreiging van cyberespionage door Laundry Bear in de toekomst mogelijk groter zal worden.
Omdat de actor sterk gericht is op strategische informatie en spionage, is het mogelijk dat Laundry Bear een grotere rol zal spelen in de bredere geopolitieke cyberoorlogvoering. De informatie die de actor verwerft, kan van invloed zijn op politieke en militaire besluitvorming, vooral in verband met de voortdurende oorlog in Oekraïne. Dit benadrukt de urgentie voor landen en organisaties om zich voor te bereiden op toekomstige cyberaanvallen van deze en andere soortgelijke actoren.
Wat is?
- Wat is een Living off the Land-techniek?
Living off the Land (LOTL) is een techniek waarbij een cyberaanvaller gebruik maakt van de bestaande tools en systemen die al aanwezig zijn op het netwerk van het slachtoffer, in plaats van nieuwe, vaak makkelijker te detecteren malware te installeren. Deze techniek maakt het moeilijker voor beveiligingssystemen om de aanval te detecteren, omdat de aanvaller lijkt te werken met legitieme middelen. - Wat is phishing?
Phishing is een techniek waarbij een aanvaller zich voordoet als een vertrouwde bron (zoals een bank, bedrijf of zelfs een collega) om iemand te misleiden tot het prijsgeven van vertrouwelijke informatie, zoals wachtwoorden of creditcardgegevens. Dit gebeurt vaak via e-mail, waarin de aanvaller een valse link of bijlage verstuurt. - Wat is password spraying?
Password spraying is een aanval waarbij een aanvaller probeert toegang te krijgen tot veel verschillende accounts door een paar veelgebruikte wachtwoorden uit te proberen. In tegenstelling tot brute force-aanvallen, waarbij veel verschillende wachtwoorden snel op één account worden geprobeerd, probeert password spraying hetzelfde wachtwoord op meerdere accounts, wat de kans vergroot dat het wachtwoord op een van de accounts correct is. - Wat is een authenticatietoken?
Een authenticatietoken is een stukje informatie dat door een systeem wordt gebruikt om te bevestigen dat een gebruiker echt is wie hij zegt te zijn. Het token wordt vaak gegenereerd na een succesvolle login en kan bestaan uit een stukje code of een sessiecookie. Aanvallers kunnen dit token stelen om toegang te krijgen tot een systeem zonder opnieuw in te loggen. - Wat is een zero-trustarchitectuur?
Zero trust is een beveiligingsmodel dat ervan uitgaat dat geen enkele gebruiker of apparaat, zelfs niet binnen het interne netwerk van een organisatie, automatisch vertrouwd is. Alles moet steeds opnieuw worden geverifieerd voordat toegang wordt verleend. Dit model helpt voorkomen dat aanvallers onopgemerkt toegang krijgen tot gevoelige systemen of gegevens, zelfs als ze al binnen het netwerk zitten. - Wat is MFA (Multi-Factor Authentication)?
Multi-Factor Authentication (MFA) is een beveiligingsmaatregel die meerdere vormen van identificatie vereist om toegang te krijgen tot een systeem. Dit kan een combinatie zijn van iets wat je weet (zoals een wachtwoord), iets wat je hebt (zoals een smartphone voor een bevestiging), of iets wat je bent (zoals een vingerafdruk of gezichtsherkenning). MFA biedt extra bescherming tegen aanvallen die alleen gebruik maken van wachtwoorden. - Wat is een cookie?
Een cookie is een klein bestand dat door een website op je computer wordt geplaatst. Het wordt gebruikt om je voorkeuren of inloggegevens op te slaan, zodat je bijvoorbeeld automatisch ingelogd blijft bij je volgende bezoek. Aanvallers kunnen gestolen cookies gebruiken om toegang te krijgen tot accounts zonder opnieuw inloggegevens in te voeren.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
Reactie plaatsen
Reacties