Wereldwijd geven honderdduizenden hackers en IT’ers gehoor aan de oproep van de Oekraïense regering om mee te vechten tegen de Russen. Dat is een slecht idee, vinden de AIVD en cyberexperts. ‘Je weet niet welke gevolgen het heeft. Voor je het weet, hebben de Oekraïners geen eten meer.’
‘We are creating an IT-army,’ tweet Mykhailov Fedorov, vice-premier en minister van Digitale Zaken van Oekraïne op 26 februari. Hij roept digitale talenten op zich te melden, om een leger te vormen dat gaat vechten aan een tweede front: dat in cyberspace.
Vanuit Nederland meldt ***** en zelfbenoemd ‘human hacker’ Peter Lahousse zich als rekruut in dit Oekraïense IT-leger. Lahousse zit sinds de Russen Oekraïne binnenvielen aan zijn laptop gekluisterd en zag in de dagen voor Fedorovs call to arms de roep om een cyberleger aanzwellen. Hij besluit de verspreiding van desinformatie via Russische media te gaan bevechten en vraagt via de website cybercrimeinfo.nl om bijval. ‘Stop desinformatie van het Russische regime, simpel, legaal en effectief!’ schrijft Lahousse. ‘Laten we YouTube-nieuwskanalen sluiten die openlijk liegen over de oorlog in Oekraïne.’
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
Op 26 februari 2022 plaatste de vice-premier en minister van Digitale Zaken van Oekraïne Mykhailov Fedorov op Twitter een oproep aan cyberspecialisten om mee te helpen in een te vormen Oekraïens IT-leger. Hij plaatste op Telegram ook een lijst met Russische targets, waar dit leger zijn pijlen op kon richten.
Hij hoopt met zijn oproep burgers te mobiliseren om via hun eigen computers de Russische agressie aan te pakken, zegt hij enthousiast tegen Follow the Money: ‘Ik dacht: als ik nu iets bedenk waar iedereen aan kan meedoen, is Rusland kansloos.’
Internationaal cyberleger
Lahousse is niet de enige die in actie komt. Honderdduizenden techies beantwoordden de roep om cyberhulp vanuit Oekraïne. Samen vormen zij een internationaal cyberleger dat het land probeert te beschermen tegen digitale aanvallen van Rusland. Tegelijkertijd willen ze het land van de tsaren frustreren met hacks en ddos-aanvallen.
Inmiddels hebben hackersgroeperingen aan beide kanten tientallen websites van Russische ministeries, banken en staatsmedia uitgeschakeld. Het Russische ruimtevaartprogramma werd gehackt, en het cyberconflict breidde zich uit naar aanvallen op Belarus. Zelfs het privéjacht van Poetin moest eraan geloven, nadat hackers het call sign van het jacht Graceful veranderden naar ‘FCKPTN’.
Hackerscollectief Anonymous voert in al het cybergeweld de boventoon. Het collectief waar ‘iedereen en niemand’ zich volgens deskundigen bij kan aansluiten, verklaarde op 24 februari ‘officieel in cyberwar’ te zijn met Rusland. Sindsdien claimt het collectief aan de lopende band Russische overheidswebsites plat te leggen, data uit ministeries buit te maken en een gaspomp-controlesysteem in een fabriek te hebben overgenomen.
Uniek maar controversieel
Niet eerder riep een land zo openlijk op om digitaal mee te vechten in een conflict tussen tweestaten en om overheidsinstanties, vitale infrastructuur en bedrijven uit het land van de vijand aan te vallen.
Maar de oproep is ook controversieel. Want hebben burgers, gewapend met een laptop, wel iets te zoeken in zo’n conflict? Nee, zegt de Algemene Inlichtingen- en Veiligheiddienst (AIVD). ‘Het is de vraag of het strafrechtelijk wel mag, het is heel gevaarlijk voor de personen die het zelf doen. Je wilt niet dat je voor een goedbedoelde actie uiteindelijk wordt vervolgd,’ aldus Bas Dunnebier, hoofd Nationaal Bureau Verbindingsbeveiliging van de AIVD, vrijdagmiddag in een online webinar van het cybersecuritybedrijf ESET. ‘En je weet vaak niet welke gevolgen het heeft. Het kan escalerend zijn richting de Russische federatie, maar wellicht creëer je ook een fallout die je niet hebt bedoeld en hebben vervolgens de Oekraïners geen eten meer.’
Cybersecurityspecialist Rickey Gevers ziet het anders. Volgens hemt hoort hacken nu eenmaal bij deze tijd: ‘Dit geeft mensen een stem in dit conflict, waarmee ze kunnen zeggen dat we dit niet pikken.’
‘Het vette is dat de Oekraïense regering er in geslaagd is om crowdfunded cyberattacks uit te voeren op Rusland’, vervolgt Gevers. ‘Dit hadden de Russen nooit verwacht. Ze hadden misschien gerekend op aanvallen vanuit Oekraïne, maar niet uit de hele wereld. Dat is veel meer dan ze kunnen verdedigen. Zie dat maar eens te stoppen.’
Gevers schetst hoe deze collectieven tot stand komen: ‘Het gaat bij dit soort collectieve acties vaak om gamers die verstand hebben van computers. Die zien iets gebeuren, zoals nu in Oekraïne, en zetten een kanaal op. Meer mensen sluiten aan, die wel willen helpen, en dan beginnen ze een operatie. Het geeft mensen die zich boos maken over dit soort zaken ook een mogelijkheid die te ventileren. Om hun stem te laten horen.’
Peter Lahousse valt hem bij. ‘Mensen willen handelen. Of het nu het verzamelen van kleding is of YouTube-kanalen platleggen.’
‘Iedereen met een laptop kan nu meedoen’
Die wens om ‘mee te doen’ is niets nieuws: ‘Dat Nederlanders steun verlenen aan een partij in een conflict gebeurde de vorige eeuw al in de Spaanse Burgeroorlog,’ zegt brigadegeneraal Paul Ducheine, die ook militair jurist en hoogleraar Cyber Warfare is aan de Nederlandse Defensie Academie. ‘Door de moderne techniek gebeurt dit nu ook digitaal.’
Ducheine vervolgt: ‘Dat maakt het ook eenvoudiger. Niet iedereen kan een geweer kopen, maar iedereen met een laptop en een beetje verstand van techniek kan nu vanaf zijn zolderkamer duizenden kilometers verderop “meedoen”.’ Er is daardoor meer betrokkenheid: ‘Dat loopt van het verstoren van overheidsdiensten van Rusland en het aanbieden van communicatiemiddelen, tot het bestrijden van Russische oorlogspropaganda door recensies op een restaurant-website te schrijven om de censuur in het land te omzeilen.’
De brigade-generaal verwijst naar de campagne van Anonymous, die het publiek oproept om in google-reviews van Russische restaurants en bedrijven te beschrijven wat er op dit moment werkelijk in Oekraïne gebeurt. Het collectief wil de Russische bevolking zo een alternatief bieden voor de Russische staatsmedia, die hen volgens Anonymous ‘voorliegen’.
‘Principieel op tegen’
De Volkskrant meldde eerder deze week dat de wens van burgers om mee te doen in het conflict zich niet beperkt tot het digitale domein. Bij de Oekraïense ambassade in Nederland hebben zich al meerdere Nederlanders gemeld om als vrijwilliger mee te vechten tegen het Russische leger.
‘Mijn grondhouding over digitale en fysieke inmenging is dezelfde,’ zegt Ducheine. ‘Ik vind het principieel niet juist als burgers dat doen. Als ze dat willen moeten ze bij de inlichtingendienst gaan werken, bij het Defensie Cyber Commando of bij de politie.’
Hij benadrukt dat het omslagpunt van wat wel en niet wenselijk is in cyberspace bijzonder lastig te bepalen is: ‘Die recensies op websites gaan voor mij niet verder dan protesteren op de Dam. Maar met DDOS-aanvallen en dergelijke bega je een strafbaar feit. In Nederland word je daarvoor vervolgd.’
Risico op escalatie
Cybersecurity-expert Matthijs Koot deelt Ducheines zorgen. ‘Laat ik voorop stellen dat ook zonder Fedorovs oproep digitale aanvallen van particulieren op Rusland zullen plaatsvinden. Anti-autoritaire hackers hebben daar geen uitnodiging voor nodig. Maar de oproep is gericht aan een wereldwijd techsavvy publiek. Dat bestaat echt niet alleen uit personen en groepen die weten wat ze juist wel of juist niet moeten doen. Dat brengt een risico op escalatie, waar de-escalatie het doel zou moeten zijn.’
De acties van het internationale IT-leger kunnen volgens Koot bovendien de activiteiten van Westerse inlichtingen- en veiligheidsdiensten verstoren: ‘Stel, je kaapt een internetdomein en haalt het offline. Mogelijk saboteer je zo het werk van een dienst die Russische e-mailcommunicatie probeert te onderscheppen, of een andere digitale operatie op een kritiek moment. Dan heb je misschien de lol te kunnen claimen dat je een Russisch internetdomein downkreeg, maar je kunt in zo’n conflictsituatie niet goed inschatten welke neveneffecten je veroorzaakt. Bewust of onbewust.’
Dat dit geen onrealistisch scenario is, bevestigt Gerard Janssen, journalist en auteur van het vorige week verschenen boek Hackers. ‘Toen Islamitische Staat opkwam, had je ook lui die IS-sites uit de lucht haalden, terwijl de NSA probeerde in die sites te komen, omdat daar waardevolle informatie inzat. Die goedbedoelende hackers reden de NSA zo in de wielen, waardoor het uiteindelijk maar besloot het beheer van die sites over te nemen. Wat natuurlijk bizar is.’
Maar dat is niet het enige gevaar, vervolgt Janssen: ‘Als Oekraïne oproept om allemaal mensen in een Telegramgroep te krijgen, waarin doelen worden gedeeld, zitten daar tweehonderd, driehonderdduizend mensen in. Dat kan ook een honeypot van de FSB zijn. De Russen kunnen zien wie er meedoen en wat de plannen zijn.’
Community met sterk moreel kompas
Cybersecurity-specialist Gevers ontkent niet dat burgerinitiatieven nadelen kunnen hebben: ‘Escalatie zou zeker niet fijn zijn. Maar is dat dan de schuld van een paar hackers, of van het land dat escalerend reageert? Als een 16-jarige achter een laptop een wereldoorlog weet te ontketenen zijn er veel grotere dingen aan de hand.’
Ook is er volgens Gevers in de hackerscommunity aardig wat sociale controle. ‘Veel hackers kennen elkaar en weten wie er achter nicknames schuilgaan. Als er gekke dingen gebeuren, wordt zo’n persoon daar op aangesproken. Gaat-ie echt de fout in, dan worden zijn gegevens online gegooid en wordt diegene waarschijnlijk opgepakt’.
Dat de hackerscommunity een sterk moreel kompas heeft, kan Gerard Janssen beamen. ‘Hackers nemen samen vaak alle scenario's door. Wat kunnen de gevolgen zijn als je Russia Today hackt of Poetin voor paal zet? Een aanval van een Nederlandse vrijwilliger kan worden geïnterpreteerd als een aanval van Nederland op Rusland, waardoor je Nederland potentieel in oorlog kan trekken. Dat bewustzijn is er, die discussies worden in de openbaarheid gevoerd.’
Het neemt volgens Matthijs Koot niet weg dat de inmenging van particulieren in een oorlogssituatie gevaarlijk is. ‘In de emotie van het moment kunnen slecht doordachte acties plaatsvinden, die ook risico’s kunnen veroorzaken voor onschuldige Russische burgers. Die zijn uiteindelijk afhankelijk van de vitale infrastructuur, die volgens de oproep moet worden aangevallen. Als Rusland zich hierdoor aangevallen voelt, weet je simpelweg niet wat voor tegenreactie dat veroorzaakt.’
Niet voor niets liggen de zorg voor veiligheid en het geweldsmonopolie bij de overheid, benadrukt Ducheine: ‘Dit soort gecrowdsourcete cyberattacks kunnen aan Nederland toegerekend worden, daar moeten we op beducht zijn Dat kan in onze relatie met Rusland voor problemen zorgen. Omdat de juiste checks and balances in het private domein ontbreken, is onvoldoende zicht op waar dit heengaat.’
Voor de brigade-generaal is het duidelijk: burgers horen niet thuis in een cyberwar. ‘Het blijft voor mij vergelijkbaar met supporters van FC Den Bosch die mee gaan helpen de avondklok te handhaven: dat hoort gewoon niet. Het geweldsmonopolie is in handen van de democratisch gelegitimeerde staat. Die beschikt over mensen die zijn opgeleid om zich met conflicten en conflictmandaten bezig te houden en heeft de inzet van middelen omgeven met checks and balances. Die taak zou niet door burgers vervuld moeten worden.’
Doel heiligt de middelen
De Bredase ‘hobbyhacker’ Lahousse begrijpt dat collectieve digitale acties, zoals die waar hij nu zelf aan meedoet, omstreden kunnen zijn. ‘*****’
Op zijn afdeling Politieprofessie denkt men na over de politie van morgen. ‘*****’
Poetins regime is een dictatuur, zo rechtvaardigt hij zijn eigen oproep. Daarom, en vanwege de huidige situatie in Oekraïne, vindt Lahousse zijn oproep een ‘proportioneel’ middel. ‘Maar als je hetzelfde zou doen met de website van Forum voor Democratie in Nederland wordt het natuurlijk een heel ander verhaal.’
‘Deze “leider” gooit clusterbommen op nietsvermoedende mensen’, benadrukt Rickey Gevers. En dan heiligt het doel de middelen: ‘Voor al die mensen is dat voldoende reden om de wetgeving even aan de kant te schuiven en het Oekraïense volk te helpen.’
De acties van het IT-leger staan nog niet in verhouding tot Poetins bommentapijt. Tot dusver gaat het om defacements – het overnemen van websites van je tegenstander en volzetten met de informatie die jij kiest – sites even offline zetten, of een database lekken. ‘Niet echt hele grote aanvallen,’ zegt Gevers.
En ook niet alles wat geclaimd wordt is waar, constateert Janssen. Zo plaatste Anonymous e-mailadressen en wachtwoorden op hun kanalen, alsof ze uit een hack voortkwamen. ‘Maar die databases circuleren al lang op het internet en worden gewoon repackaged,’ zegt Janssen. ‘In die zin stellen de initiatieven op dit moment misschien nog niet zo heel veel voor.’ Voor de moraal in Oekraïne is het wel goed. ‘Daar voelt men zich gesteund door een grote, international hackersgroep.’
En om dat signaal gaat het, vindt Gevers: ‘Het is echt niet zo dat als je een oproep plaats om een Russische overheidsorganisatie of groot bedrijf te hacken dat dit zomaar eventjes lukt. Die zijn natuurlijk goed beveiligd. Bovendien worden veel van de behaalde resultaten van de hackerscollectieven schromelijk overdreven. Maar de acties bieden wel steun aan Oekraïne en laten de mensen in Rusland weten dat de internationale gemeenschap het niet ok vindt wat er nu gebeurt. Hopelijk brengt dat ook iets teweeg bij de Russische bevolking.’
Bron: ftm.nl | Harry Lensink
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel nieuws
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Vrouw gezocht na babbeltruc bij slachtoffer in Oudenbosch
Op donderdag 15 januari 2026 werd een inwoner van Oudenbosch opgelicht door nepagenten. Een vrouw wist het vertrouwen te winnen, drong de woning binnen en nam sieraden, contant geld en een kluisje mee. De politie zoekt haar via vrijgegeven beelden.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Verdachte gezocht na bankhelpdeskfraude in Amsterdam
De politie zoekt een man die op camerabeelden is vastgelegd terwijl hij contactloos betaalt via de bankrekening van een ander. De opname is gemaakt in een supermarkt in Amsterdam, nadat meerdere slachtoffers werden opgelicht door iemand die zich voordeed als bankmedewerker.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Gezocht: pinners na bankhelpdeskfraude in Klundert en Breda
Een inwoner van Klundert is op woensdag 11 maart 2026 opgelicht door iemand die zich voordeed als bankmedewerker. De gestolen pinpas werd dezelfde dag nog gebruikt in het centrum van Breda. De politie deelt camerabeelden van twee verdachten en vraagt om tips.
Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig
In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.