Wereldwijd geven honderdduizenden hackers en IT’ers gehoor aan de oproep van de Oekraïense regering om mee te vechten tegen de Russen. Dat is een slecht idee, vinden de AIVD en cyberexperts. ‘Je weet niet welke gevolgen het heeft. Voor je het weet, hebben de Oekraïners geen eten meer.’
‘We are creating an IT-army,’ tweet Mykhailov Fedorov, vice-premier en minister van Digitale Zaken van Oekraïne op 26 februari. Hij roept digitale talenten op zich te melden, om een leger te vormen dat gaat vechten aan een tweede front: dat in cyberspace.
Vanuit Nederland meldt ***** en zelfbenoemd ‘human hacker’ Peter Lahousse zich als rekruut in dit Oekraïense IT-leger. Lahousse zit sinds de Russen Oekraïne binnenvielen aan zijn laptop gekluisterd en zag in de dagen voor Fedorovs call to arms de roep om een cyberleger aanzwellen. Hij besluit de verspreiding van desinformatie via Russische media te gaan bevechten en vraagt via de website cybercrimeinfo.nl om bijval. ‘Stop desinformatie van het Russische regime, simpel, legaal en effectief!’ schrijft Lahousse. ‘Laten we YouTube-nieuwskanalen sluiten die openlijk liegen over de oorlog in Oekraïne.’
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
Op 26 februari 2022 plaatste de vice-premier en minister van Digitale Zaken van Oekraïne Mykhailov Fedorov op Twitter een oproep aan cyberspecialisten om mee te helpen in een te vormen Oekraïens IT-leger. Hij plaatste op Telegram ook een lijst met Russische targets, waar dit leger zijn pijlen op kon richten.
Hij hoopt met zijn oproep burgers te mobiliseren om via hun eigen computers de Russische agressie aan te pakken, zegt hij enthousiast tegen Follow the Money: ‘Ik dacht: als ik nu iets bedenk waar iedereen aan kan meedoen, is Rusland kansloos.’
Internationaal cyberleger
Lahousse is niet de enige die in actie komt. Honderdduizenden techies beantwoordden de roep om cyberhulp vanuit Oekraïne. Samen vormen zij een internationaal cyberleger dat het land probeert te beschermen tegen digitale aanvallen van Rusland. Tegelijkertijd willen ze het land van de tsaren frustreren met hacks en ddos-aanvallen.
Inmiddels hebben hackersgroeperingen aan beide kanten tientallen websites van Russische ministeries, banken en staatsmedia uitgeschakeld. Het Russische ruimtevaartprogramma werd gehackt, en het cyberconflict breidde zich uit naar aanvallen op Belarus. Zelfs het privéjacht van Poetin moest eraan geloven, nadat hackers het call sign van het jacht Graceful veranderden naar ‘FCKPTN’.
Hackerscollectief Anonymous voert in al het cybergeweld de boventoon. Het collectief waar ‘iedereen en niemand’ zich volgens deskundigen bij kan aansluiten, verklaarde op 24 februari ‘officieel in cyberwar’ te zijn met Rusland. Sindsdien claimt het collectief aan de lopende band Russische overheidswebsites plat te leggen, data uit ministeries buit te maken en een gaspomp-controlesysteem in een fabriek te hebben overgenomen.
Uniek maar controversieel
Niet eerder riep een land zo openlijk op om digitaal mee te vechten in een conflict tussen tweestaten en om overheidsinstanties, vitale infrastructuur en bedrijven uit het land van de vijand aan te vallen.
Maar de oproep is ook controversieel. Want hebben burgers, gewapend met een laptop, wel iets te zoeken in zo’n conflict? Nee, zegt de Algemene Inlichtingen- en Veiligheiddienst (AIVD). ‘Het is de vraag of het strafrechtelijk wel mag, het is heel gevaarlijk voor de personen die het zelf doen. Je wilt niet dat je voor een goedbedoelde actie uiteindelijk wordt vervolgd,’ aldus Bas Dunnebier, hoofd Nationaal Bureau Verbindingsbeveiliging van de AIVD, vrijdagmiddag in een online webinar van het cybersecuritybedrijf ESET. ‘En je weet vaak niet welke gevolgen het heeft. Het kan escalerend zijn richting de Russische federatie, maar wellicht creëer je ook een fallout die je niet hebt bedoeld en hebben vervolgens de Oekraïners geen eten meer.’
Cybersecurityspecialist Rickey Gevers ziet het anders. Volgens hemt hoort hacken nu eenmaal bij deze tijd: ‘Dit geeft mensen een stem in dit conflict, waarmee ze kunnen zeggen dat we dit niet pikken.’
‘Het vette is dat de Oekraïense regering er in geslaagd is om crowdfunded cyberattacks uit te voeren op Rusland’, vervolgt Gevers. ‘Dit hadden de Russen nooit verwacht. Ze hadden misschien gerekend op aanvallen vanuit Oekraïne, maar niet uit de hele wereld. Dat is veel meer dan ze kunnen verdedigen. Zie dat maar eens te stoppen.’
Gevers schetst hoe deze collectieven tot stand komen: ‘Het gaat bij dit soort collectieve acties vaak om gamers die verstand hebben van computers. Die zien iets gebeuren, zoals nu in Oekraïne, en zetten een kanaal op. Meer mensen sluiten aan, die wel willen helpen, en dan beginnen ze een operatie. Het geeft mensen die zich boos maken over dit soort zaken ook een mogelijkheid die te ventileren. Om hun stem te laten horen.’
Peter Lahousse valt hem bij. ‘Mensen willen handelen. Of het nu het verzamelen van kleding is of YouTube-kanalen platleggen.’
‘Iedereen met een laptop kan nu meedoen’
Die wens om ‘mee te doen’ is niets nieuws: ‘Dat Nederlanders steun verlenen aan een partij in een conflict gebeurde de vorige eeuw al in de Spaanse Burgeroorlog,’ zegt brigadegeneraal Paul Ducheine, die ook militair jurist en hoogleraar Cyber Warfare is aan de Nederlandse Defensie Academie. ‘Door de moderne techniek gebeurt dit nu ook digitaal.’
Ducheine vervolgt: ‘Dat maakt het ook eenvoudiger. Niet iedereen kan een geweer kopen, maar iedereen met een laptop en een beetje verstand van techniek kan nu vanaf zijn zolderkamer duizenden kilometers verderop “meedoen”.’ Er is daardoor meer betrokkenheid: ‘Dat loopt van het verstoren van overheidsdiensten van Rusland en het aanbieden van communicatiemiddelen, tot het bestrijden van Russische oorlogspropaganda door recensies op een restaurant-website te schrijven om de censuur in het land te omzeilen.’
De brigade-generaal verwijst naar de campagne van Anonymous, die het publiek oproept om in google-reviews van Russische restaurants en bedrijven te beschrijven wat er op dit moment werkelijk in Oekraïne gebeurt. Het collectief wil de Russische bevolking zo een alternatief bieden voor de Russische staatsmedia, die hen volgens Anonymous ‘voorliegen’.
‘Principieel op tegen’
De Volkskrant meldde eerder deze week dat de wens van burgers om mee te doen in het conflict zich niet beperkt tot het digitale domein. Bij de Oekraïense ambassade in Nederland hebben zich al meerdere Nederlanders gemeld om als vrijwilliger mee te vechten tegen het Russische leger.
‘Mijn grondhouding over digitale en fysieke inmenging is dezelfde,’ zegt Ducheine. ‘Ik vind het principieel niet juist als burgers dat doen. Als ze dat willen moeten ze bij de inlichtingendienst gaan werken, bij het Defensie Cyber Commando of bij de politie.’
Hij benadrukt dat het omslagpunt van wat wel en niet wenselijk is in cyberspace bijzonder lastig te bepalen is: ‘Die recensies op websites gaan voor mij niet verder dan protesteren op de Dam. Maar met DDOS-aanvallen en dergelijke bega je een strafbaar feit. In Nederland word je daarvoor vervolgd.’
Risico op escalatie
Cybersecurity-expert Matthijs Koot deelt Ducheines zorgen. ‘Laat ik voorop stellen dat ook zonder Fedorovs oproep digitale aanvallen van particulieren op Rusland zullen plaatsvinden. Anti-autoritaire hackers hebben daar geen uitnodiging voor nodig. Maar de oproep is gericht aan een wereldwijd techsavvy publiek. Dat bestaat echt niet alleen uit personen en groepen die weten wat ze juist wel of juist niet moeten doen. Dat brengt een risico op escalatie, waar de-escalatie het doel zou moeten zijn.’
De acties van het internationale IT-leger kunnen volgens Koot bovendien de activiteiten van Westerse inlichtingen- en veiligheidsdiensten verstoren: ‘Stel, je kaapt een internetdomein en haalt het offline. Mogelijk saboteer je zo het werk van een dienst die Russische e-mailcommunicatie probeert te onderscheppen, of een andere digitale operatie op een kritiek moment. Dan heb je misschien de lol te kunnen claimen dat je een Russisch internetdomein downkreeg, maar je kunt in zo’n conflictsituatie niet goed inschatten welke neveneffecten je veroorzaakt. Bewust of onbewust.’
Dat dit geen onrealistisch scenario is, bevestigt Gerard Janssen, journalist en auteur van het vorige week verschenen boek Hackers. ‘Toen Islamitische Staat opkwam, had je ook lui die IS-sites uit de lucht haalden, terwijl de NSA probeerde in die sites te komen, omdat daar waardevolle informatie inzat. Die goedbedoelende hackers reden de NSA zo in de wielen, waardoor het uiteindelijk maar besloot het beheer van die sites over te nemen. Wat natuurlijk bizar is.’
Maar dat is niet het enige gevaar, vervolgt Janssen: ‘Als Oekraïne oproept om allemaal mensen in een Telegramgroep te krijgen, waarin doelen worden gedeeld, zitten daar tweehonderd, driehonderdduizend mensen in. Dat kan ook een honeypot van de FSB zijn. De Russen kunnen zien wie er meedoen en wat de plannen zijn.’
Community met sterk moreel kompas
Cybersecurity-specialist Gevers ontkent niet dat burgerinitiatieven nadelen kunnen hebben: ‘Escalatie zou zeker niet fijn zijn. Maar is dat dan de schuld van een paar hackers, of van het land dat escalerend reageert? Als een 16-jarige achter een laptop een wereldoorlog weet te ontketenen zijn er veel grotere dingen aan de hand.’
Ook is er volgens Gevers in de hackerscommunity aardig wat sociale controle. ‘Veel hackers kennen elkaar en weten wie er achter nicknames schuilgaan. Als er gekke dingen gebeuren, wordt zo’n persoon daar op aangesproken. Gaat-ie echt de fout in, dan worden zijn gegevens online gegooid en wordt diegene waarschijnlijk opgepakt’.
Dat de hackerscommunity een sterk moreel kompas heeft, kan Gerard Janssen beamen. ‘Hackers nemen samen vaak alle scenario's door. Wat kunnen de gevolgen zijn als je Russia Today hackt of Poetin voor paal zet? Een aanval van een Nederlandse vrijwilliger kan worden geïnterpreteerd als een aanval van Nederland op Rusland, waardoor je Nederland potentieel in oorlog kan trekken. Dat bewustzijn is er, die discussies worden in de openbaarheid gevoerd.’
Het neemt volgens Matthijs Koot niet weg dat de inmenging van particulieren in een oorlogssituatie gevaarlijk is. ‘In de emotie van het moment kunnen slecht doordachte acties plaatsvinden, die ook risico’s kunnen veroorzaken voor onschuldige Russische burgers. Die zijn uiteindelijk afhankelijk van de vitale infrastructuur, die volgens de oproep moet worden aangevallen. Als Rusland zich hierdoor aangevallen voelt, weet je simpelweg niet wat voor tegenreactie dat veroorzaakt.’
Niet voor niets liggen de zorg voor veiligheid en het geweldsmonopolie bij de overheid, benadrukt Ducheine: ‘Dit soort gecrowdsourcete cyberattacks kunnen aan Nederland toegerekend worden, daar moeten we op beducht zijn Dat kan in onze relatie met Rusland voor problemen zorgen. Omdat de juiste checks and balances in het private domein ontbreken, is onvoldoende zicht op waar dit heengaat.’
Voor de brigade-generaal is het duidelijk: burgers horen niet thuis in een cyberwar. ‘Het blijft voor mij vergelijkbaar met supporters van FC Den Bosch die mee gaan helpen de avondklok te handhaven: dat hoort gewoon niet. Het geweldsmonopolie is in handen van de democratisch gelegitimeerde staat. Die beschikt over mensen die zijn opgeleid om zich met conflicten en conflictmandaten bezig te houden en heeft de inzet van middelen omgeven met checks and balances. Die taak zou niet door burgers vervuld moeten worden.’
Doel heiligt de middelen
De Bredase ‘hobbyhacker’ Lahousse begrijpt dat collectieve digitale acties, zoals die waar hij nu zelf aan meedoet, omstreden kunnen zijn. ‘*****’
Op zijn afdeling Politieprofessie denkt men na over de politie van morgen. ‘*****’
Poetins regime is een dictatuur, zo rechtvaardigt hij zijn eigen oproep. Daarom, en vanwege de huidige situatie in Oekraïne, vindt Lahousse zijn oproep een ‘proportioneel’ middel. ‘Maar als je hetzelfde zou doen met de website van Forum voor Democratie in Nederland wordt het natuurlijk een heel ander verhaal.’
‘Deze “leider” gooit clusterbommen op nietsvermoedende mensen’, benadrukt Rickey Gevers. En dan heiligt het doel de middelen: ‘Voor al die mensen is dat voldoende reden om de wetgeving even aan de kant te schuiven en het Oekraïense volk te helpen.’
De acties van het IT-leger staan nog niet in verhouding tot Poetins bommentapijt. Tot dusver gaat het om defacements – het overnemen van websites van je tegenstander en volzetten met de informatie die jij kiest – sites even offline zetten, of een database lekken. ‘Niet echt hele grote aanvallen,’ zegt Gevers.
En ook niet alles wat geclaimd wordt is waar, constateert Janssen. Zo plaatste Anonymous e-mailadressen en wachtwoorden op hun kanalen, alsof ze uit een hack voortkwamen. ‘Maar die databases circuleren al lang op het internet en worden gewoon repackaged,’ zegt Janssen. ‘In die zin stellen de initiatieven op dit moment misschien nog niet zo heel veel voor.’ Voor de moraal in Oekraïne is het wel goed. ‘Daar voelt men zich gesteund door een grote, international hackersgroep.’
En om dat signaal gaat het, vindt Gevers: ‘Het is echt niet zo dat als je een oproep plaats om een Russische overheidsorganisatie of groot bedrijf te hacken dat dit zomaar eventjes lukt. Die zijn natuurlijk goed beveiligd. Bovendien worden veel van de behaalde resultaten van de hackerscollectieven schromelijk overdreven. Maar de acties bieden wel steun aan Oekraïne en laten de mensen in Rusland weten dat de internationale gemeenschap het niet ok vindt wat er nu gebeurt. Hopelijk brengt dat ook iets teweeg bij de Russische bevolking.’
Bron: ftm.nl | Harry Lensink
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel nieuws
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
NB414: Basic-Fit en Booking gelekt, NIS2 officieel van start
Deze week bevestigde Booking.com een datalek met boekingsdetails van Nederlandse klanten en meldde Basic-Fit dat gegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de ChipSoft ransomwareaanval die 70 procent van de Nederlandse ziekenhuizen raakt via één leverancier. België zette de NIS2 wet op 18 april in werking voor 2.410 essentiële entiteiten en Nederland volgde met de Cyberbeveiligingswet voor 8.000 organisaties onder NCSC-toezicht. Aanvallers misbruikten actief een kritieke Nginx UI kwetsbaarheid en richtten zich op AI-coding-agents via GitHub. Eerder die week verspreidde de CPU-Z tool van CPUID zes uur lang malware, werd de Marimo kwetsbaarheid binnen tien uur na openbaarmaking misbruikt en toonde de FBI dat gewiste Signal berichten te herstellen zijn via de iPhone notificatiedatabase. In het bibliotheekdossier duiken we in ShinyHunters, de groep achter Odido, Ticketmaster en de recente Amtrak en McGraw Hill lekken. En de politie vraagt uw hulp bij het herkennen van twee pinners na bankhelpdeskfraude in Erp en Eindhoven.
Pinners gezocht na bankhelpdeskfraude in Erp en Eindhoven
Een 74-jarige vrouw werd op 18 december 2025 slachtoffer van bankhelpdeskfraude. Een vrouw belde haar als nepbankmedewerker en zei dat haar bankpas geskimd was. Diezelfde avond stond een koerier aan de deur die haar bankpas, sieraden, telefoon en identiteitskaart meenam. De volgende dag werd er met de gestolen bankpas gepind in Erp en Eindhoven. De politie zoekt twee verdachten via Opsporing Verzocht.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.