Opsporing nieuws

De Amerikaanse autoriteiten hebben een 36-jarige man aangeklaagd voor het stelen van 53 miljoen dollar via gehackte smart contracts. De cryptobeurs waar het geld werd buitgemaakt, moest als gevolg van de diefstal de deuren sluiten. Volgens de aanklacht wist de man in april 2021 twee keer toe te slaan bij cryptobeurs Uranium Finance door middel van gehackte smart contracts.

Uranium Finance was een gedecentraliseerde cryptobeurs waar gebruikers door middel van liquidity pools cryptovaluta konden storten en omwisselen. Voor het beheer van de liquidity pools gebruikte de cryptobeurs smart contracts. Een smart contract is een digitaal contract, vastgelegd op de blockchain, dat automatisch wordt uitgevoerd wanneer aan vooraf vastgestelde voorwaarden wordt voldaan.

De verdachte maakte begin april 2021 misbruik van een fout in een smart contract van Uranium Finance, waardoor hij zo'n 1,4 miljoen dollar aan cryptovaluta uit een liquidity pool kon stelen. Vervolgens zou hij de cryptobeurs hebben afgeperst, waarbij hij ongeveer een miljoen dollar zou teruggeven, als hij het resterende bedrag mocht houden en er geen actie tegen hem werd ondernomen.

Eind april vond de verdachte een tweede fout in een smart contract van Uranium Finance, waarin stond hoeveel hij uit een liquidity pool mocht opnemen. De man zou op deze manier het geld uit 26 verschillende liquidity pools hebben gestolen, goed voor een bedrag van meer dan 53 miljoen dollar. Dat bedrag werd vervolgens witgewassen en onder andere uitgegeven aan munten, Pokémon-kaarten en Magic: The Gathering-kaarten. Deze spullen zijn inmiddels door de autoriteiten in beslag genomen, evenals zo'n 31 miljoen dollar aan cryptovaluta. Mocht de verdachte schuldig worden bevonden, dan kan hij worden veroordeeld tot een gevangenisstraf van maximaal 30 jaar.

Bron: U.S. Department of Justice

Een politieagent raakte op donderdag 2 april 2026 in zijn vrije tijd gewond tijdens de aanhouding van een minderjarige verdachte uit Vlaardingen. De aanhouding vond plaats in Steenbergen en betrof een zaak van bankhelpdeskfraude.

De agent kreeg van een familielid te horen dat deze was opgelicht door middel van bankhelpdeskfraude. Samen met zijn zoon ging de agent verhaal halen bij het slachtoffer en zocht vervolgens in de omgeving naar de verdachte, aan de hand van een signalement. De verdachte werd aangetroffen op het Floraplein in Steenbergen.

De agent sprak de verdachte aan en maakte kenbaar dat hij bij de politie werkzaam is. De verdachte ontkende echter en gebruikte geweld tegen de agent, die meerdere malen werd geslagen en verwondingen opliep. Uiteindelijk kon de agent de verdachte aanhouden, waarna collega's ter plaatse kwamen en de minderjarige jongen meenamen naar het politiecellencomplex voor verhoor. De politie doet verder onderzoek in deze zaak.

De politie benadrukt dat agressie en geweld tegen politie en hulpverleners onacceptabel is. Politiebeambten moeten hun werk kunnen doen zonder te worden gehinderd. Geweld tegen mensen met een publieke taak krijgt bij de politie altijd prioriteit.

Bron: Politie

Een 59-jarige Amerikaanse man heeft bekend dat hij honderden servers en duizenden workstations heeft gesaboteerd om zijn toenmalige werkgever af te persen. De man was werkzaam als 'core infrastructure engineer' bij een niet nader genoemd industrieel bedrijf. Eind 2023 creëerde hij taken waardoor dertien domain administrator accounts werden verwijderd en het wachtwoord van 254 servers en 3284 workstations werden aangepast, evenals 301 domain user accounts.

Op dezelfde dag dat deze taken werden uitgevoerd, stuurde hij zijn werkgever een afpersingsmail. Hij dreigde elke dag tientallen andere servers uit te schakelen als er geen 700.000 euro aan bitcoin als losgeld werd betaald. Onderzoek wees uit dat de verdachte ook de taken had aangemaakt die hiervoor moesten zorgen. Volgens de aanklager zou het gevolgen voor de bedrijfsvoering kunnen hebben als deze taken zouden zijn uitgevoerd.

Verder onderzoek onthulde dat er een remote verbinding was opgezet naar een verborgen virtual machine op het netwerk van het getroffen bedrijf. Vanuit deze virtual machine was ingelogd op het admin account van het bedrijf. Ook bleek dat er vanuit deze virtual machine voorbereidingen voor de aanval waren getroffen. Zo was er gezocht naar hoe domein user wachtwoorden vanaf de command line zijn aan te passen, computers op afstand via cmd zijn uit te schakelen en hoe alle Windows logs vanaf de command line zijn te verwijderen.

Het onderzoek toonde ook aan dat de verborgen virtual machine was benaderd vanaf de laptop en het account van de verdachte. Een analyse van de laptop van de verdachte en de verborgen virtual machine liet zien dat de browse activiteiten op de laptop van de verdachte stopten zodra er vanaf de verborgen virtual machine werd gebrowsed. De aanklager stelt dat er op basis van deze activiteit reden is om aan te nemen dat dezelfde gebruiker zowel de laptop van de verdachte als de verborgen virtual machine gebruikte. De man heeft nu bekend schuldig te zijn en kan worden veroordeeld tot een gevangenisstraf van maximaal vijftien jaar en een boete van 500.000 dollar.

Bron: U.S. Department of Justice

De Duitse autoriteiten hebben de identiteit onthuld van de hacker die bekend stond als "UNKN", de leider van de Russische ransomwaregroepen GandCrab en REvil. De 31-jarige Rus Daniil Maksimovich Shchukin wordt ervan beschuldigd beide cybercrimebendes te hebben geleid en betrokken te zijn geweest bij minstens 130 gevallen van computersabotage en afpersing in Duitsland tussen 2019 en 2021.

De Duitse federale recherche (BKA) publiceerde een opsporingsbericht waarin Shchukin wordt geïdentificeerd als UNKN (ook bekend als UNKNOWN). Volgens de BKA hebben Shchukin en een andere Rus, de 43-jarige Anatoly Sergeevitsch Kravchuk, bijna 2 miljoen euro afgeperst middels cyberaanvallen, die in totaal meer dan 35 miljoen euro aan economische schade veroorzaakten.

Shchukin's naam dook op in een document uit februari 2023 van het Amerikaanse ministerie van Justitie, waarin de inbeslagname werd gevorderd van verschillende cryptocurrency accounts die verband houden met de activiteiten van de REvil ransomwaregroep. De digitale wallet die aan Shchukin was gekoppeld, bevatte meer dan 317.000 dollar aan illegaal verkregen cryptocurrency.

Het GandCrab ransomware affiliate programma verscheen in januari 2018 en betaalde hackers een groot deel van de winst voor het hacken van gebruikersaccounts bij grote bedrijven. Het GandCrab team probeerde vervolgens die toegang uit te breiden en vaak grote hoeveelheden gevoelige en interne documenten weg te sluizen. Het team bracht vijf grote revisies van de GandCrab code uit, elk met nieuwe functies en bugfixes om de inspanningen van computerbeveiligingsbedrijven om de verspreiding van de malware te belemmeren, te dwarsbomen.

Op 31 mei 2019 kondigde het GandCrab team aan te stoppen na meer dan 2 miljard dollar van slachtoffers te hebben afgeperst. "We zijn een levend bewijs dat je kwaad kunt doen en er ongestraft mee weg kunt komen", aldus GandCrab in een afscheidsbericht. "We hebben bewezen dat je in één jaar een leven lang geld kunt verdienen. We hebben bewezen dat je nummer één kunt worden door algemene toelating, niet uit eigenwaan."

Het REvil ransomware affiliate programma ontstond rond dezelfde tijd als het einde van GandCrab, onder leiding van een gebruiker genaamd UNKNOWN, die op een Russisch cybercrimeforum aankondigde dat hij 1 miljoen dollar in escrow had gestort om te laten zien dat hij serieus was. Veel cybersecurity experts concludeerden dat REvil niet meer was dan een reorganisatie van GandCrab.

UNKNOWN gaf ook een interview aan Dmitry Smilyanets, een voormalig hacker die door Recorded Future was ingehuurd, waarin UNKNOWN een rags-to-riches verhaal beschreef. "Als kind snuffelde ik door de vuilnisbelten en rookte ik sigarettenpeuken", vertelde UNKNOWN aan Recorded Future. "Ik liep 10 km enkele reis naar school. Ik droeg zes maanden dezelfde kleren. In mijn jeugd, in een gemeenschappelijk appartement, at ik twee of zelfs drie dagen niet. Nu ben ik miljonair."

UNKNOWN en REvil herinvesteerden aanzienlijke inkomsten in het verbeteren van hun succes en het spiegelen van praktijken van legitieme bedrijven. "Net zoals een echte fabrikant andere bedrijven zou inhuren om de logistiek of het webdesign te verzorgen, besteedden ransomwareontwikkelaars steeds vaker taken buiten hun bereik uit, en concentreerden ze zich in plaats daarvan op het verbeteren van de kwaliteit van hun ransomware. De hogere kwaliteit ransomware resulteerde in meer en hogere uitbetalingen van slachtoffers. De monumentale betalingen stelden bendes in staat te herinvesteren in hun ondernemingen. Ze huurden meer specialisten in, en hun succes versnelde."

REvil zou uitgroeien tot een gevreesde "big-game-hunting" machine die in staat was om forse afpersingsbetalingen van slachtoffers te eisen, voornamelijk gericht op organisaties met een jaaromzet van meer dan 100 miljoen dollar en cyberverzekeringen.

Bron: BKA | Bron 2: amazon.com | Bron 3: event-myata.ru

Cybercrimeinfo heeft ontdekt dat de beheerder van BreachForums, Mr. Tsvetkov, zich in de problemen heeft gewerkt na een poging tot exit-scam. Op 15 maart ging het forum offline, wat later werd bevestigd als een exit-scam door een onbekende beheerder. Op 25 maart werd het forum opnieuw gelanceerd onder het alias "Caine", waarbij gebruik werd gemaakt van een backup van februari.

Bron: Int. Cyber Digest

Een 24-jarige man uit Delfzijl is door de rechtbank Noord Nederland veroordeeld tot een gevangenisstraf van zeven jaar voor het stelen van 900.000 euro via bankhelpdeskfraude. Dit is een van de hoogste straffen die ooit in Nederland is opgelegd voor dit type fraude. De man maakte zich ook schuldig aan het witwassen van cryptovaluta ter waarde van ruim 6,5 miljoen euro.

Volgens het Openbaar Ministerie (OM) had de verdachte een leidende rol in het aansturen van anderen die zich voordeden als bankmedewerkers. Hij belde slachtoffers ook zelf op en deed zich voor als bankmedewerker. Slachtoffers werden overgehaald om de remote access software AnyDesk te installeren, waardoor hun computers op afstand konden worden overgenomen. Vervolgens werden zowel bankrekeningen als cryptowallets leeggehaald. Bij een van de slachtoffers werd 500.000 euro buitgemaakt.

De rechter stelde dat computervredebreuk essentieel was voor de oplichtingen en diefstallen. De computers van de slachtoffers werden overgenomen om geld over te maken van spaarrekeningen naar lopende rekeningen, opnamelimieten te verhogen en geld over te boeken naar bankrekeningen en cryptowallets van katvangers.

Bij de verdachte werden twaalf 'leadlijsten' met gegevens van vermogende personen aangetroffen. Tijdens een huiszoeking bij de moeder van de verdachte vond de politie twee A4'tjes met seed phrases, waardoor 1,6 miljoen euro aan cryptovaluta in beslag kon worden genomen. De rechtbank benadrukte dat de inhoud van het dossier en de handelswijze van de verdachte schokkend waren. Hij sprak openlijk in chatberichten en telefoongesprekken over de strafbare feiten en het buitgemaakte geld.

De rechter noemde ook het gedrag van de verdachte vanuit de penitentiaire inrichting zorgelijk. In afgeluisterde gesprekken gaf hij aan dat het dossier niet veel voorstelde, hij een gevangenisstraf van twee tot vier jaar zou krijgen, hij met goed gedrag snel weer vrij zou zijn en dat als hij een miljoen van zijn geld terugkreeg, het dan wel wit zou zijn en hij daarover zes procent rente zou ontvangen. De man was al eerder veroordeeld voor soortgelijke feiten. Naast de gevangenisstraf moet de man zijn slachtoffers een schadevergoeding van ruim 600.000 euro betalen. De ontnemingsvordering van het Openbaar Ministerie wordt op een later tijdstip behandeld.

Bron: Rechtbank Noord-Nederland

Tijdens een internationale operatie hebben de Britse politie, de Amerikaanse Secret Service en de Canadese politie duizenden slachtoffers van 'approval phishing' geïdentificeerd. Het gaat om mensen in meer dan dertig landen die criminelen toegang tot hun cryptowallets gaven. De autoriteiten hebben twaalf miljoen dollar weten te bevriezen die door criminelen uit de wallets was gestolen. Daarnaast is er meer dan 45 miljoen dollar aan gestolen crypto geïdentificeerd, buitgemaakt bij andere fraudes wereldwijd.

De operatie duurde een week en was gericht op het opsporen van slachtoffers van 'approval phishing' en gecompromitteerde wallets. De autoriteiten identificeerden meer dan twintigduizend wallets en konden meer dan drieduizend slachtoffers identificeren en waarschuwen. De Secret Service waarschuwt dat scammers valse nepmeldingen of waarschuwingen tonen die van een vertrouwde app of dienst afkomstig lijken, die met crypto investeringen te maken hebben. Slachtoffers wordt vervolgens gevraagd om toegang tot hun wallet goed te keuren, waarna criminelen de wallets kunnen legen. De Amerikaanse opsporingsdienst benadrukt dat transacties niet terug te draaien zijn en het geld lastig terug te krijgen is zodra het geld uit het account van het slachtoffer is gestolen. De autoriteiten namen ook ruim honderd domeinnamen in beslag die voor fraude werden gebruikt.

Bron: National Crime Agency | Bron 2: secretservice.gov | Bron 3: chainalysis.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Een medewerkster van een bedrijf in de Rotterdamse haven is in hoger beroep niet veroordeeld voor computervredebreuk, ondanks het delen van haar inloggegevens met een collega. Het Openbaar Ministerie (OM) had een gevangenisstraf van twaalf dagen geëist. De vrouw had een account voor MyTerminal, een systeem met realtime informatie over containeroverslag in de Rotterdamse haven.

Een collega vroeg haar om haar inloggegevens en 2FA-codes, onder het mom dat hij deze nodig had voor zijn werk en nog op zijn eigen inloggegevens wachtte. In werkelijkheid gebruikte hij de gegevens om informatie op te zoeken over containers die mogelijk verband hielden met de invoer van verdovende middelen. Het OM beschuldigde de medewerkster van misbruik van haar inloggegevens en medeplegen van computervredebreuk. In eerste aanleg werd ze vrijgesproken, waarna het OM in hoger beroep ging.

Het gerechtshof Den Haag stelt dat voor een veroordeling wegens computervredebreuk vereist is dat de verdachte opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk dat aan een ander toebehoort. Het hof voegt toe dat van wederrechtelijk binnendringen sprake is als men zich toegang verschaft tegen de onmiskenbare wil van de rechthebbende, bijvoorbeeld door het doorbreken van beveiliging, met een valse sleutel of door het aannemen van een valse hoedanigheid.

Hoewel de collega inlogde, oordeelde het hof dat er een nauwe band en bewuste samenwerking was tussen de collega en medewerkster, waardoor zij medeverantwoordelijk kon worden gehouden. De medewerkster gaf willens en wetens haar inloggegevens aan haar collega, wetende dat hij daarmee toegang zou krijgen tot MyTerminal. Het hof stelde dat de medewerkster zich schuldig heeft gemaakt aan computervredebreuk.

De advocaat van de medewerkster stelde dat zij ontslagen moet worden van alle rechtsvervolging, omdat de vrouw niet wist dat haar handelen ongeoorloofd was. Volgens de medewerkster was het binnen het bedrijf gebruikelijk dat collega's elkaars inloggegevens gebruikten. Het hof stelde dat collega's in beginsel elkaar mogen vertrouwen en er niet steeds op bedacht hoeven te zijn dat een collega zich mogelijk inlaat met criminele zaken, tenzij anders geïnstrueerd. Het bedrijf bleek medewerkers niet te hebben ingelicht over het gebruik van hun persoonlijke inloggegevens. Hoewel er een handboek was met voorschriften over het gebruik van zakelijke accounts, maakte de inhoud daarvan geen deel uit van het dossier, zodat het hof niet kon vaststellen welke concrete regels voor de medewerkster golden. Ook bleek niet of dit handboek ooit aan de vrouw was verstrekt.

Het hof hield er rekening mee dat de medewerkster en collega elkaar zeer goed kenden en er geen bewijs is dat de vrouw iets met het delen van de inloggegevens heeft verdiend. Volgens het hof is dan ook bewezen dat de vrouw niet wist dat ze haar inloggegevens niet mocht delen. Hoewel bewezen is dat ze zich schuldig heeft gemaakt aan computervredebreuk, is de vrouw volgens het hof niet strafbaar en wordt ze van alle rechtsvervolging ontslagen.

Bron: Gerechtshof Den Haag

De FBI heeft met succes privé berichten in Signal van een iPhone van een verdachte hersteld, zelfs nadat de app was verwijderd. Dit werd onthuld in een rechtszaak in Texas, waaruit bleek dat deze berichten langer in het telefoongeheugen kunnen blijven dan verwacht. De FBI kon de berichten terughalen uit de push notificatie database van de iPhone.

Tijdens de rechtszaak in april 2026, in een zaak rond een aanval op een detentiecentrum in Texas in juli 2025, legde FBI Special Agent Clark Wiethorn uit hoe onderzoekers toegang kregen tot het bewijs. Wanneer een bericht binnenkomt, toont de telefoon een kleine preview op het scherm, die wordt afgehandeld door het besturingssysteem van de telefoon en niet door Signal. Zelfs als Signal het bericht later verwijdert, kan het telefoonsysteem een kopie van die preview opslaan in zijn eigen records. Om deze opgeslagen berichten van Signal te lezen, gebruikte de FBI Cellebrite, een forensische tool die vaak door wetshandhavers wordt gebruikt om in beslag genomen apparaten te scannen.

Een belangrijke bevinding is dat de FBI alleen inkomende berichten kon zien, niet de berichten die de verdachte had verzonden. Dit bevestigt dat de data afkomstig was van de notificatieopslag. Het toont aan dat, hoewel de encryptie van de app sterk is, het besturingssysteem van de telefoon zijn eigen logs van alles bijhoudt. Dit is niet alleen een probleem voor Signal, maar kan gebeuren met elke app voor berichten die previews toont, inclusief WhatsApp of Telegram.

Om te voorkomen dat de telefoon berichtpreviews opslaat, kunnen gebruikers de instellingen van hun iPhone en app wijzigen. Op een iPhone kan men naar de meldingsinstellingen van Signal gaan en 'Show Previews' op 'Never' zetten. Vervolgens kan men Signal openen, naar 'Settings' > 'Notifications' > 'Notification Content' gaan en 'No Name or Content' selecteren. De telefoon zal nog steeds waarschuwen wanneer een bericht binnenkomt, maar zal de tekst niet weergeven of opslaan. Zonder preview data is er niets voor het systeem om te bewaren of voor forensische tools om te extraheren. Het is raadzaam dezelfde instellingen toe te passen op andere apps voor berichten om te vermijden dat berichtinhoud via notificatielogs wordt blootgesteld.

Bron: FBI

Het FBI Atlanta Field Office en de Indonesische Nationale Politie hebben een wereldwijde phishingoperatie opgerold die in verband wordt gebracht met meer dan 20 miljoen dollar aan pogingen tot fraude. Deze actie omvatte de inbeslagname van infrastructuur en de arrestatie van een verdachte ontwikkelaar die gelinkt is aan een veelgebruikte phishingkit.

Het onderzoek draait om de W3LL phishingkit, waarmee cybercriminelen overtuigende replica's van legitieme inlogpagina's konden maken. De dienst werd verkocht voor ongeveer 500 dollar en bood kopers een gebruiksklare methode om gebruikersnamen en wachtwoorden van slachtoffers te stelen. De operatie wordt beschreven als een compleet cybercrime platform, ondersteund door een online marktplaats genaamd W3LLSTORE, waar gestolen inloggegevens werden gekocht en verkocht. Tussen 2019 en 2023 faciliteerde de marktplaats de verkoop van meer dan 25.000 gecompromitteerde accounts.

Na de sluiting van W3LLSTORE in 2023 ging de operatie door via versleutelde berichtenplatforms. De dienst werd omgedoopt en privé gedistribueerd, waardoor deze actief bleef en nieuwe gebruikers bereikte. Tussen 2023 en 2024 werd de phishingkit gebruikt in meer dan 17.000 aanvallen wereldwijd. Uit onderzoek van Group-IB in september 2023 bleek dat het platform zich richtte op bedrijfsomgevingen, waaronder Microsoft 365 accounts, waarbij aanvallers authenticatiebescherming probeerden te omzeilen en permanente toegang te krijgen.

De activiteit was geconcentreerd in een paar belangrijke landen, waarbij de Verenigde Staten meer dan de helft van de geïdentificeerde gevallen voor hun rekening namen. De aanvallen waren gericht op meerdere industrieën, waaronder de maakindustrie, technologie en professionele dienstverlening.

Op 10 april 2026 kondigden de autoriteiten de inbeslagname aan van domeinen die aan de operatie waren gekoppeld, waardoor zowel de verkoop van de phishingkit als de distributie van gestolen gegevens werd verstoord. De vermeende ontwikkelaar, geïdentificeerd als G.L., werd gearresteerd in Indonesië. Verdere details over hun identiteit zijn niet vrijgegeven.

Volgens de FBI is door het oprollen van deze operatie voorkomen dat cybercriminelen duizenden slachtoffers accountgegevens konden stelen en meer dan 20 miljoen dollar aan fraude konden plegen. De autoriteiten richten zich niet alleen op de gebruikers van phishingtools, maar ook op de ontwikkelaars ervan. Door de infrastructuur achter de dienst te verwijderen, hopen de onderzoekers meerdere criminele operaties tegelijkertijd te verstoren. Phishingkits maken het voor cybercriminelen, zelfs script kiddies, gemakkelijker om professionele oplichting uit te voeren. Met gebruiksklare tools die relatief goedkoop verkrijgbaar zijn, kunnen aanvallers grootschalige campagnes lanceren zonder geavanceerde technische vaardigheden, waardoor het volume en bereik van credential diefstal wereldwijd toeneemt.

Bron: Group-IB | Bron 2: hackread.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

De FBI heeft in samenwerking met Indonesische autoriteiten het wereldwijde phishing platform "W3LL" ontmanteld. Hierbij is de infrastructuur in beslag genomen en de vermeende ontwikkelaar gearresteerd. Dit is de eerste gecoördineerde actie tussen de Verenigde Staten en Indonesië gericht op een ontwikkelaar van phishing kits.

De W3LL Store bood een phishing kit aan voor $500 waarmee cybercriminelen overtuigende replica's van zakelijke login portals konden maken om inloggegevens te stelen. De kit stelde aanvallers in staat om authenticatie sessie tokens te onderscheppen, waardoor ze multi factor authenticatie konden omzeilen en toegang konden krijgen tot gecompromitteerde accounts.

Het platform omvatte ook een marktplaats genaamd W3LLSTORE, waar gestolen inloggegevens en ongeautoriseerde netwerktoegang werden verhandeld. Volgens de autoriteiten faciliteerde deze marktplaats de verkoop van meer dan 25.000 gecompromitteerde accounts tussen 2019 en 2023. Zelfs na de sluiting van W3LLSTORE ging de operatie door via encrypted messaging platforms, waar de toolkit werd geherstructureerd en verkocht aan andere dreigingsactoren.

Tussen 2023 en 2024 werd de phishing kit gebruikt om meer dan 17.000 slachtoffers wereldwijd te treffen. Onderzoekers ontdekten dat de ontwikkelaar toegang tot gecompromitteerde accounts verzamelde en doorverkocht. Het W3LL phishing platform werd eerder al in verband gebracht met campagnes gericht op Microsoft 365 zakelijke accounts en was ontworpen om business email compromise (BEC) aanvallen te ondersteunen, van initiële toegang tot post exploitatie.

De phishing kit maakte gebruik van adversary in the middle aanvallen, waarbij legitieme login portals via de infrastructuur van de aanvaller werden geleid. Hierdoor konden de dreigingsactoren in real time inloggegevens, eenmalige MFA codes en sessie cookies onderscheppen. Deze sessie cookies konden vervolgens worden gebruikt om in te loggen op de gecompromitteerde accounts zonder MFA authenticatie uitdagingen te triggeren. Eenmaal toegang verkregen, monitorden aanvallers inboxes, creëerden e-mailregels en deden zich voor als slachtoffers om factuurfraude te plegen en betalingen om te leiden in BEC aanvallen.

Bron: FBI

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

De Thaise politie heeft afgelopen vrijdag Noah Christopher, een 27-jarige Duitse staatsburger, gearresteerd in zijn luxe appartement in Bangkok. De arrestatie volgde op een jarenlang onderzoek door Duitse en EU wetshandhavingsinstanties. Christopher wordt ervan verdacht tussen 2021 en 2025 een Cybercrime as a Service (CaaS) bedrijf te hebben gerund. Hij zou twee beruchte CaaS platforms, Fluxstress en Neldowner, hebben gecreëerd en beheerd. Deze platforms boden tools aan waarmee klanten wereldwijd Distributed Denial of Service (DDoS)-aanvallen konden lanceren. Hierbij wordt een website overspoeld met zoveel nepverkeer dat deze onbereikbaar wordt voor echte gebruikers.

Uit verder onderzoek bleek dat klanten voor deze diensten betaalden in Bitcoin en andere digitale valuta, omdat deze transacties moeilijk te traceren zijn. Omdat de schade zich over verschillende landen verspreidde, beschouwden onderzoekers dit als een ernstige vorm van grensoverschrijdende criminaliteit. Christopher verbleef eerder in Dubai en China om uit handen van de autoriteiten te blijven. De Duitse Federale Veiligheidsdienst wist hem uiteindelijk te lokaliseren en schakelde de Thaise politie in voor hulp. De Thaise autoriteiten annuleerden zijn visum op 9 april en arresteerden hem de volgende dag.

Ondanks zijn arrestatie is de dreiging die hij creëerde mogelijk nog actief. Volgens een bericht van Jacob Sims, een regionale cybercrime expert, lijkt ten minste één van zijn platforms, Fluxstress, nog steeds online en operationeel te zijn. Thaise immigratieofficieren onderzoeken nu zijn computers om te zien of hij aanvallen heeft uitgevoerd tegen lokale Thaise bedrijven terwijl hij in de stad woonde. Christopher wacht nu op uitlevering aan Duitsland, waar hij terecht zal staan voor 74 verschillende aanklachten met betrekking tot ransomware en platforms waarmee mensen hackers konden inhuren voor diverse aanvallen. De Thaise politie zal nu nauwlettend toezien op buitenlanders die zich mogelijk in het land schuilhouden en werken aan het vinden van personen die gezocht worden door Interpol of andere veiligheidsdiensten en een risico voor het publiek vormen.

Bron: HackRead

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

In Noord-Ierland is een 16-jarige jongen gearresteerd in verband met een cyberaanval die de toegang tot onderwijssystemen van mogelijk honderdduizenden studenten heeft verstoord. De jongen werd woensdag in Portadown, County Armagh, gearresteerd op verdenking van overtredingen van de Computer Misuse Act. De politie van Noord-Ierland (PSNI) heeft de jongen vrijgelaten, terwijl het cybercrime team het onderzoek voortzet, inclusief een extra huiszoeking na de arrestatie.

De arrestatie volgt op een aanval eerder deze maand op het "C2K"-systeem, dat door bijna alle scholen in Noord-Ierland wordt gebruikt. Het systeem werd offline gehaald na een niet nader gespecificeerde aanval. De Education Authority (EA), die toezicht houdt op de ondersteunende diensten voor scholen, verklaarde dat het incident "een gerichte aanval op een klein aantal scholen betrof, waarbij vermoedelijk persoonlijke gegevens zijn gecompromitteerd". De EA zal de betrokken personen en scholen op de hoogte stellen, afhankelijk van de richtlijnen van de PSNI en het Information Commissioner's Office.

Volgens de EA zijn er extra beveiligingsmaatregelen getroffen na detectie van het incident. Er wordt hard gewerkt om de scholen weer volledig aan te sluiten op het C2K-systeem en alle getroffen systemen weer normaal te laten functioneren. Het C2K-systeem biedt online diensten, waaronder toegang tot lesmateriaal, opdrachten, examenvoorbereiding en communicatiemiddelen. Er zijn ongeveer 300.000 leerlingen en 20.000 leerkrachten in Noord-Ierland. De EA prioriteert leerlingen die zich in cruciale fasen van het academisch jaar bevinden, met name degenen die examens moeten afleggen. In sommige gevallen waren scholen tijdens de paasvakantie geopend om studenten te helpen hun wachtwoorden opnieuw in te stellen en weer toegang te krijgen. De EA heeft excuses aangeboden voor de verstoring en zal updates blijven verstrekken over de ontwikkelingen.

Bron: The Record

Twee Amerikaanse staatsburgers zijn veroordeeld tot gevangenisstraffen voor hun betrokkenheid bij het faciliteren van Noord-Koreaanse IT medewerkers die zich voordeden als Amerikaanse inwoners. Hierdoor konden de Noord-Koreanen door meer dan 100 bedrijven in de Verenigde Staten worden ingehuurd, waaronder verschillende Fortune 500-bedrijven.

Kejia Wang, 42 jaar, en Zhenxing Wang, 39 jaar, werden in juni 2025 aangeklaagd als gevolg van een gecoördineerde actie van de Amerikaanse autoriteiten tegen de fondsenwervingsoperaties van de Democratische Volksrepubliek Korea (DPRK). Volgens de rechtbankdocumenten genereerden de twee tussen 2021 en oktober 2024 meer dan 5 miljoen dollar aan illegale inkomsten voor de Noord-Koreaanse overheid. Daarnaast veroorzaakten ze naar schatting 3 miljoen dollar aan financiële schade bij de bedrijven die de Noord-Koreaanse werknemers inhuurden, die de gestolen identiteiten van meer dan 80 Amerikaanse burgers gebruikten.

De fraude omvatte het creëren van financiële accounts, valse websites en meerdere shell bedrijven, zoals Tony WKJ LLC, Hopana Tech LLC en Independent Lab LLC. Hiermee werd de schijn gewekt dat de DPRK werknemers verbonden waren aan legitieme Amerikaanse bedrijven, waardoor ze betalingen konden innen. Zhenxing Wang huisvestte ook door bedrijven verstrekte laptops in woningen in de Verenigde Staten, zodat Noord-Koreaanse IT medewerkers op afstand toegang konden krijgen tot de bedrijfsnetwerken zonder argwaan te wekken.

Kejia Wang werd veroordeeld tot 108 maanden gevangenisstraf nadat hij in september 2025 schuldig had gepleit. Zhenxing Wang kreeg 92 maanden nadat hij in januari 2026 schuldig had bevonden aan samenzwering tot het witwassen van geld en samenzwering tot het plegen van draadfraude. In februari werd de Oekraïense staatsburger Oleksandr Didenko, die in november 2025 schuldig had gepleit aan samenzwering tot draadfraude en gekwalificeerde identiteitsdiefstal, eveneens veroordeeld tot vijf jaar gevangenisstraf. Hij had DPRK IT medewerkers voorzien van gestolen identiteiten, waardoor ze Amerikaanse bedrijven konden infiltreren.

De operators verbonden de laptops van de slachtofferbedrijven met Keyboard-Video-Mouse (KVM) switches, waardoor overzeese werknemers op afstand toegang konden krijgen tot de apparaten terwijl ze leken in te loggen vanaf Amerikaanse residentiële IP adressen. Begin 2024 wisten overzeese actoren via deze route in te breken bij een in Californië gevestigde defensiecontractant en stalen ze technische gegevens over kunstmatige intelligentie die expliciet werden gecontroleerd onder de International Traffic in Arms Regulations (ITAR).

De FBI waarschuwt al sinds 2023 voor Noord-Koreaanse actoren die zich voordoen als Amerikaanse IT medewerkers. De DPRK beschikt over een groot leger van duizenden IT medewerkers die gestolen identiteiten gebruiken om werk te vinden bij honderden Amerikaanse bedrijven. Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van maximaal 5 miljoen dollar uitgeloofd voor informatie over de negen andere verdachten die nog op vrije voeten zijn.

Bron: U.S. Department of Justice | Bron 2: rewardsforjustice.net

In de meest recente fase van de internationale wetshandhavingsactie Operatie PowerOFF zijn meer dan 75.000 personen die gebruikmaken van distributed denial-of-service (DDoS)-platforms voor disruptieve aanvallen, gewaarschuwd via e-mails en brieven. De lopende operatie wordt ondersteund door Europol en omvat autoriteiten in 21 landen. Gecoördineerde inspanningen hebben geleid tot de arrestatie van vier personen, het offline halen van 53 domeinen en het uitvaardigen van 25 huiszoekingsbevelen.

Europol meldt dat voorafgaand aan de actieweek een reeks operationele sprints plaatsvond, waarbij experts van nationale autoriteiten van over de hele wereld werden samengebracht om acties uit te voeren tegen waardevolle doelgebruikers van DDoS for hire platforms en om het bewustzijn over de illegaliteit van deze activiteiten te vergroten. Tijdens deze sprints hebben de deelnemende landen illegale booter services verstoord en de technische infrastructuur die illegale DDoS ondersteunt, ontmanteld.

De operatie heeft een mondiale omvang en omvat Nederland en andere landen van Europa, evenals Australië, Thailand, de Verenigde Staten, het Verenigd Koninkrijk, Japan en Brazilië. "Booter services" zijn DDoS for hire platforms die gebruikers in staat stellen te betalen voor het huren van de vuurkracht van DDoS zwermen, die meestal bestaan uit gecompromitteerde routers en IoT's, en deze te richten op hun beoogde doelen. Sommige exploitanten van deze diensten proberen hun werkelijke doel te verbergen door te beweren dat ze worden gebruikt voor legitieme stresstests, maar ze missen verificatie van doelwit eigendom en worden daarom nog steeds gebruikt voor illegale aanvallen.

De meest recente actie van Operatie PowerOFF is gebouwd op eerdere fasen die resulteerden in het ontmantelen van belangrijke infrastructuur en het in beslag nemen van databases met meer dan 3 miljoen criminele accounts. Europol stelt dat de operatie nu de preventiefase ingaat, die het lanceren van bewustmakingscampagnes en verstoring maatregelen omvat. Deze omvatten het plaatsen van zoekmachine advertenties gericht op jongeren die op zoek zijn naar DDoS tools, het verwijderen van meer dan 100 URL's uit de zoekresultaten die deze illegale diensten promoten, en het toevoegen van on-chain waarschuwingsberichten gekoppeld aan illegale betalingen.

Bron: Europol

De 23-jarige Kamerin Stokes uit Memphis, Tennessee, is veroordeeld tot 30 maanden gevangenisstraf voor de verkoop van toegang tot tienduizenden gehackte DraftKings accounts. Volgens de rechtbankdocumenten werden de accounts gecompromitteerd door Nathan Austad, bijgenaamd Snoopy, met hulp van Joseph Garrison, tijdens een credential stuffing aanval in november 2022. Bijna 68.000 DraftKings accounts werden hierdoor getroffen.

Aanklagers zeiden dat Austad en Garrison een lijst gebruikten van inbreuken om in te breken in DraftKings accounts en verkochten vervolgens de toegang aan anderen, die ongeveer $635.000 stalen van ongeveer 1.600 gecompromitteerde accounts. Ze verdienden ruim $2,1 miljoen met de verkoop van gehackte DraftKings, FanDuel en Chick-fil-A accounts via hun eigen "shops", en verkochten ook accounts in bulk aan Stokes, die ze via zijn eigen "shop" doorverkocht.

DraftKings moest honderdduizenden dollars terugbetalen die waren gestolen van gehackte accounts, nadat alle beschikbare fondsen waren opgenomen na de toevoeging van een nieuwe betaalmethode en een storting van $5 om de geldigheid ervan te verifiëren.

Na zijn arrestatie, schuldbekentenis en vrijlating in afwachting van zijn proces, heropende Stokes zijn shop met een nieuwe "fraud is fun" tagline en bleef hij toegang verkopen tot gecompromitteerde accounts voor verschillende retailers. Stokes gaf toe dat hij dit type shops al drie jaar runde en dat hij de shop heropende omdat hij geld nodig had om zijn advocaat te betalen.

Na de heropening van zijn website werd Stokes opnieuw in federale hechtenis genomen wegens schending van de voorwaarden van zijn voorlopige vrijlating. Naast 30 maanden gevangenisstraf kreeg Stokes 3 jaar toezicht en werd hij veroordeeld tot het betalen van $1.327.061 aan schadevergoeding en $125.965,53 aan verbeurdverklaring.

Bron: U.S. Department of Justice

De 24-jarige Britse man Tyler Robert Buchanan, verdacht van leiderschap over het cybercriminele collectief Scattered Spider, heeft in de Verenigde Staten schuld bekend aan wire fraud en identity theft. Het Amerikaanse Department of Justice meldt dat Buchanan en vier medeverdachten tussen september 2021 en april 2023 minstens 8 miljoen dollar aan cryptocurrency hebben gestolen via SMS-phishing campagnes gericht op minstens een dozijn bedrijven.

De werkwijze was telkens vergelijkbaar. Buchanan en zijn team stuurden honderden SMS-berichten naar medewerkers van doelwit-bedrijven. De berichten leken afkomstig van het eigen bedrijf of van een IT of BPO leverancier, en verwezen naar nepinlogpagina's die exact leken op echte bedrijfswebsites. Wie zijn inloggegevens invulde, gaf die rechtstreeks aan de aanvallers, die vervolgens via SIM swapping en laterale beweging dieper de netwerken in drongen.

De slachtoffers komen uit uiteenlopende sectoren, entertainment, telecommunicatie, technologie, business process outsourcing, IT leveranciers, cloud communicatieproviders en cryptocurrency diensten. Scattered Spider stond eerder al bekend om grote aanvallen op casino's MGM en Caesars, waarbij losgeld werd geëist na data-exfiltratie.

Buchanan zit sinds april in federale voorarrest. De strafmaat wordt later bepaald. Voor bedrijven is het een herinnering dat goed opgeleide medewerkers en MFA op SMS-vulnerabele accounts essentieel blijven tegen social engineering via SMS-phishing, de aanvalsroute die Scattered Spider jarenlang met succes gebruikte.

Bron: US Department of Justice | Bron 2: hackread.com | Bron 3: cybersecuritynews.com

De Franse overheidsinstantie France Titres, verantwoordelijk voor het uitgeven en beheren van administratieve documenten, heeft een datalek bevestigd. Dit volgt op een claim van een dreigingsactor die beweert burgergegevens te hebben gestolen en deze te koop aanbiedt. De instantie, ook bekend als Agence nationale des titres sécurisés (ANTS), valt onder het Franse Ministerie van Binnenlandse Zaken en beheert officiële identiteits- en registratiedocumenten zoals rijbewijzen, nationale identiteitskaarten, paspoorten en immigratiedocumenten.

Volgens een gisteren gepubliceerde aankondiging van ANTS vond het beveiligingsincident vorige week plaats, op woensdag 15 april 2026. Hoewel het onderzoek nog loopt, is het mogelijk dat verschillende soorten gegevens van een onbekend aantal individuen zijn blootgesteld. Het incident betreft mogelijk de openbaarmaking van gegevens van individuele en professionele accounts op het ants.gouv.fr-portaal.

De data die mogelijk zijn blootgesteld, omvatten: inlog-ID, volledige naam, e-mailadres, geboortedatum, unieke account-ID, postadres (voor sommigen), geboorteplaats (voor sommigen) en telefoonnummer (voor sommigen). ANTS is bezig met het informeren van de geïdentificeerde betrokkenen. De instantie benadrukt dat de blootgestelde informatie geen ongeautoriseerde toegang tot haar elektronische portalen toestaat. Echter, dezelfde gegevens kunnen wel worden misbruikt voor phishing en social engineering aanvallen.

Gebruikers hoeven geen actie te ondernemen, maar worden geadviseerd extra waakzaam te zijn voor verdachte of ongebruikelijke berichten (sms, telefoongesprekken, e-mails) die afkomstig lijken te zijn van ANTS. De instantie heeft de autoriteit voor gegevensbescherming (CNIL), de openbaar aanklager van Parijs en de nationale cyberbeveiligingsinstantie (ANSSI) op de hoogte gebracht en betrokken bij de respons. ANTS heeft tevens gewaarschuwd dat de verkoop of verspreiding van de gestolen data illegaal is.

Op 16 april 2026 claimde een dreigingsactor met het pseudoniem 'breach3d' de aanval op ANTS op hackerforums. De actor beweert tot wel 19 miljoen records in bezit te hebben, met daarin volledige namen, contactgegevens, geboortedata, huisadressen, accountmetadata, geslacht en burgerlijke staat. Deze data zijn te koop aangeboden voor een onbekend bedrag en zijn nog niet breed gelekt.

Bron: ANTS | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

De Franse autoriteiten hebben een vermoedelijke hacker gearresteerd die verantwoordelijk wordt geacht voor tientallen datalekken bij publieke instellingen, sportfederaties en private organisaties in het hele land. De verdachte, een 20-jarige man die online bekendstond als "HexDex", werd maandag gearresteerd in het westen van Frankrijk en in hechtenis genomen. Dit gebeurde in het kader van een onderzoek onder leiding van de eenheid cybercriminaliteit van het parket van Parijs.

De verdachte wordt in verband gebracht met ongeveer honderd meldingen van website-inbraken die sinds eind 2025 zijn ingediend. Hij heeft toegegeven het alias HexDex te hebben gebruikt om verantwoordelijkheid op te eisen voor hacks en gestolen data te publiceren op cybercrimemarktplaatsen zoals BreachForum en Darkforum. De autoriteiten hebben de Darkforum account en computerapparatuur van de verdachte in beslag genomen voor forensische analyse.

Volgens Franse functionarissen heeft de hacker diverse organisaties aangevallen, waaronder een aantal nationale sportfederaties. Hieronder vallen onder andere de zeil-, atletiek-, motorsport-, gymnastiek-, ski-, rugby league-, aikido-, universitaire sport-, bergsport- en klimfederaties, en parasporten. Andere slachtoffers waren voedselbanken, hotelketens zoals Logis Hôtels France en Brit Hotel, en de Philharmonie de Paris concertzaal.

De verdachte wordt ook gelinkt aan een inbraak in de "Compas"-database van het Franse Ministerie van Nationaal Onderwijs. Dit is een systeem voor personeelszaken dat wordt gebruikt voor het beheer van leraren in opleiding in het primair en voortgezet onderwijs. Deze cyberaanval, die midden maart plaatsvond, leidde tot de blootlegging van persoonlijke informatie van ongeveer 243.000 medewerkers, voornamelijk leraren. De gecompromitteerde gegevens omvatten namen, adressen, telefoonnummers en registraties van afwezigheden van werknemers. Onderzoekers vermoeden tevens dat de verdachte heeft ingebroken in een overheidsinformatiestysteem voor wapens, dat gegevens van eigenaars van vuurwapens bevatte.

De Franse autoriteiten onderzoeken de laatste tijd meerdere spraakmakende datalekken. In januari werd al een 18-jarige verdachte gearresteerd voor het lekken en doorverkopen van persoonlijke gegevens van meer dan een miljoen leden van de Franse Schietsportfederatie (FFT). Eerder deze week meldden Franse functionarissen dat een cyberaanval op de website van het Nationaal Agentschap voor Beveiligde Documenten (ANTS) – het overheidsportaal voor het beheer van identiteitsdocumenten en rijbewijzen – mogelijk de persoonlijke gegevens van gebruikers heeft blootgelegd. De autoriteiten hebben niet aangegeven of de deze week gearresteerde verdachte een connectie heeft met deze eerdere incidenten. Het onderzoek naar de recente inbraken loopt nog.

Bron: Le Parisien | Bron 2: education.gouv.fr | Bron 3: recordedfuture.com

Het Openbaar Ministerie (OM) heeft een gevangenisstraf van vier jaar geëist tegen een 29-jarige man uit Emmen. De man wordt verdacht van grootschalige handel in gestolen persoonsgegevens. Volgens het OM heeft de verdachte omvangrijke datasets met gevoelige informatie verhandeld, waaronder namen, adressen en telefoonnummers. Deze gegevens zouden afkomstig zijn uit verschillende bronnen en zijn doorverkocht binnen het criminele circuit.

De verdachte maakte gebruik van diverse online accounts, waaronder @CFOleads, @shadowhunter74 en @Chickenpizza77, om zijn illegale activiteiten uit te voeren. Het onderzoeksteam van de politie heeft honderden miljoenen gegevens bij de verdachte aangetroffen. De officier van justitie beschrijft de zaak als "buitencategorie" vanwege de aard en omvang van de verhandelde data. Er zijn persoonsgegevens van over de hele wereld gevonden, die de verdachte zonder scrupules aanbood.

Het OM stelt dat de verdachte via een van zijn accounts aan ten minste 113 contacten op Telegram lijsten met persoonsgegevens heeft verkocht. De officier van justitie benadrukt de cruciale rol van dergelijke verdachten in de toename van online fraude: "Zonder verdachten als deze was online fraude niet de plaag die het nu wel is." Een specifieke transactie van 20 augustus 2024 wordt in het onderzoek uitgelicht, waarbij de verdachte via Telegram inloggegevens voor online werkomgevingen verkocht. Deze gegevens betroffen onder meer ziekenhuizen, telecombedrijven, universiteiten, gemeenten en een ministerie.

De verhandelde gegevens kunnen worden misbruikt voor verschillende vormen van criminaliteit, zoals phishing, identiteitsfraude en andere oplichtingspraktijken. De rechtbank zal op 4 mei 2026 uitspraak doen in deze zaak.

Bron: Openbaar Ministerie

De Amerikaanse autoriteiten hebben donderdag sancties opgelegd aan de Cambodjaanse senator Kok An en 28 andere personen vanwege hun betrokkenheid bij omvangrijke oplichtingsnetwerken in Zuidoost-Azië. Deze netwerken zijn verantwoordelijk voor miljoenen dollars aan financiële verliezen bij Amerikaanse slachtoffers. Het Amerikaanse Ministerie van Financiën stelt dat de oplichtingsoperaties onder bescherming van Kok An en zijn politieke connecties functioneerden.

Volgens Amerikaanse functionarissen hebben de scamcentra, gevestigd in omgebouwde casino's en kantoorparken, miljoenen dollars gestolen van Amerikaanse burgers. De opbrengsten werden witgewassen en de locaties dienden als basis voor verdere fraude en mensenrechtenschendingen. Kok An, al decennia een politiek invloedrijke zakenman in Zuidoost-Azië, gebruikte zijn connecties met de voormalige Cambodjaanse premier Hun Sen en de huidige leider Hun Manet om zijn imperium van casino's, hotels en andere bedrijven uit te breiden.

De sancties volgen op een arrestatiebevel dat Thailand in juli vorig jaar uitvaardigde tegen Kok An. Destijds werden tientallen van zijn eigendommen langs de grens tussen Cambodja en Thailand doorzocht. Thaise politie nam voor meer dan 33,8 miljoen dollar aan activa in beslag, zo meldde de Bangkok Post. Kok An's belangrijkste bedrijf, Crown Resorts, bezit casino's, resorts en hotels in diverse Cambodjaanse grenssteden zoals Poipet, Sihanoukville en Bavet. Amerikaanse functionarissen bevestigden dat deze complexen zijn omgebouwd tot faciliteiten die door criminele organisaties worden gebruikt voor onder andere digitale activa investeringsfraude.

Slachtoffers van mensenhandel, die naar deze faciliteiten werden gebracht, hebben verklaard dat zij en duizenden anderen werden uitgebuit en gedwongen geld te stelen van slachtoffers, waaronder Amerikanen, om de kosten van hun ontvoering terug te betalen. Een rapport van het Amerikaanse Ministerie van Buitenlandse Zaken, waarnaar in de sancties wordt verwezen, beschrijft hoe slachtoffers op eigendommen van Kok An werden geslagen als ze niet dagelijks een bepaald aantal scam-slachtoffers contacteerden. Kok An ontving huurinkomsten van de oplichters en leverde diensten aan de werknemers, waaronder geüniformeerde beveiliging. Bijna alle grote scamcomplexen in Cambodja zijn verbonden met casino's die de opbrengsten van de fraude witwassen.

Het Ministerie van Financiën heeft ook diverse medewerkers van Kok An gesanctioneerd, waaronder Rithy Raksmei, eigenaar van K99 Group. Raksmei zou verschillende casino's exploiteren die mensenhandel slachtoffers hebben gehuisvest. Zijn eigendommen zijn naar verluidt sinds 2019 plaatsen geweest van onrechtmatige detenties, mishandelingen en doden van bewoners. Andere genoemde medewerkers zijn de Birmese staatsburgers Aik Paung en Sai Aung Linn, de Cambodjaanse casino-eigenaar Luo Hong, en de bank Heng Feng Cambodia. Onderzoekers stelden vast dat Luo Hong een rol speelde in het faciliteren van de overdracht van fraudegelden van Amerikaanse bankrekeningen naar rekeningen in het buitenland, waarbij minstens 1,3 miljoen dollar naar zijn rekeningen werd getraceerd.

De Secret Service meldde dat verschillende personen werden opgelicht door te denken dat hun geld naar een cryptocurrency investering ging, terwijl het naar bankrekeningen van tussenpersonen in de VS werd gestuurd, die het vervolgens doorstuurden naar Cambodja. Acht Amerikaanse inwoners hebben schuld bekend voor hun betrokkenheid bij de regeling, waaronder geldwasser Daren Li, die vorig jaar schuldig pleitte maar in december zijn enkelband verwijderde en de VS ontvluchtte. Li verklaarde in een pleidooi dat 73,6 miljoen dollar aan slachtofferfondsen op bankrekeningen van zijn team werden gestort voordat deze elders werden verzonden.

Amerikaanse overheidsinstanties hebben herhaaldelijk Cambodjaanse leiders aangepakt vanwege hun rol in de scamcentrum economie, die naar schatting 44 miljard dollar heeft gegenereerd voor Myanmar, Cambodja en Laos. Mensenrechtenorganisaties en het Ministerie van Buitenlandse Zaken schatten dat er honderden van dergelijke scamcentra in Cambodja zijn. Het Ministerie van Financiën sanctioneerde in 2024 al een andere Cambodjaanse senator en miljardair, Ly Yong Phat, vanwege zijn eigendom van hotels, resorts en casino's die cyberfraude operaties huisvesten. Ironisch genoeg stemden zowel Kok An als Ly Yong Phat twee weken geleden voor een nieuwe Cambodjaanse wet die strenge straffen oplegt aan exploitanten van scamcentra.

Bron: U.S. Department of the Treasury | Bron 2: kharon.com | Bron 3: world.thaipbs.or.th

Een 41-jarige Amerikaanse cybersecurity expert heeft schuld bekend aan zijn diepgaande betrokkenheid bij verschillende ransomware aanvallen. De man, wiens identiteit niet nader is gespecificeerd in de melding, werkte voor een incident response bedrijf. Dit type bedrijf is juist gespecialiseerd in het bijstaan van organisaties die het slachtoffer zijn geworden van cyberaanvallen, waaronder ransomware, en helpt hen bij herstel en onderhandelingen.

De expert misbruikte zijn positie door vertrouwelijke informatie over de lopende losgeld onderhandelingen rechtstreeks te delen met de aanvallers. Dit stelde de cybercriminelen in staat om hun strategie aan te passen en hogere losgeldbedragen te eisen van de getroffen slachtoffers. Hij heeft bekend informatie te hebben gelekt betreffende vijf verschillende bedrijven. Als directe consequentie van zijn illegale activiteiten hebben de Amerikaanse autoriteiten beslag gelegd op bezittingen van de verdachte ter waarde van maar liefst 10 miljoen dollar.

Deze bekentenis markeert een significante stap in de zaak, aangezien hij de derde persoon is die schuld bekent in dit onderzoek. Eerder hadden reeds twee andere individuen hun betrokkenheid bij de criminele operatie erkend. De verdachten werkten naar verluidt samen met de beruchte "BlackCat" ransomware groep, ook bekend onder de naam ALPHV. Deze criminele organisatie is verantwoordelijk voor het infecteren van meer dan duizend organisaties over de hele wereld.

Hoewel de BlackCat groep in 2023 door de Amerikaanse autoriteiten werd opgerold in een gecoördineerde actie, bleef de groep nog enkele maanden daarna actief. De groep wist een aanzienlijk losgeldbedrag van 22 miljoen dollar te innen, waarna zij een zogenaamde 'exit scam' uitvoerden. Hierbij verdwijnt de groep plotseling met de buit, vaak na het vernietigen van hun infrastructuur. De Verenigde Staten hebben een beloning van 10 miljoen dollar uitgeloofd voor waardevolle informatie die kan leiden tot de opsporing en arrestatie van "key members" van deze gevaarlijke ransomware groep. De voormalige cybersecurity expert riskeert voor zijn aandeel in deze misdrijven een gevangenisstraf van maximaal twintig jaar.

Bron: Onbekend

De Canadese politie heeft drie mannen gearresteerd in wat autoriteiten omschrijven als de eerste bekende criminele zaak in het land waarbij een mobiele "SMS blaster" is gebruikt. Dit apparaat is in staat een cellulaire zendmast te imiteren om massaal phishingberichten te versturen en mobiele netwerken te verstoren.

De Toronto Police Service meldde donderdag dat het onderzoek in november vorig jaar begon na een melding over een verdacht apparaat in het centrum van Toronto. In de daaropvolgende maanden volgde de politie het apparaat terwijl het zich verplaatste door verschillende locaties in de Greater Toronto Area. Twee verdachten werden in maart gearresteerd, waarbij een grote hoeveelheid elektronische apparatuur in beslag werd genomen, waaronder meerdere mobiele SMS blasters. Een derde man gaf zich eerder deze week aan bij de politie.

Tijdens de operatie van de blaster zouden tienduizenden mobiele telefoons verbinding hebben gemaakt met het malafide systeem. De autoriteiten registreerden meer dan 13 miljoen netwerkstoringen die aan de apparaten werden gekoppeld. Deze storingen konden telefoons tijdelijk verhinderen om verbinding te maken met legitieme cellulaire netwerken, waardoor de toegang tot hulpdiensten zoals 911 gedurende enkele seconden tot meerdere minuten kon worden beperkt.

Adjunct-hoofdcommissaris Robert Johnson verklaarde: "Dit is een nieuwe en opkomende dreiging in Canada - een die geavanceerde technologie gebruikt om duizenden mensen tegelijk te bereiken en hun vertrouwen te exploiteren." Hij voegde eraan toe: "Wat dit bijzonder zorgwekkend maakt, is de schaal en impact. Dit was niet gericht op een enkel individu of bedrijf. Het had de mogelijkheid om duizenden apparaten tegelijk te bereiken."

SMS blasters werken door legitieme cellulaire basisstations na te bootsen, waardoor telefoons in de buurt worden misleid om verbinding te maken met deze malafide systemen in plaats van met officiële mobiele netwerken. Zodra een telefoon verbinding maakt, kunnen aanvallers tekstberichten sturen die lijken afkomstig te zijn van vertrouwde organisaties zoals banken of overheidsinstanties. De berichten bevatten doorgaans links die slachtoffers naar frauduleuze websites leiden, ontworpen om gevoelige informatie zoals bankgegevens of wachtwoorden te stelen - een tactiek die algemeen bekendstaat als "smishing", oftewel phishing via SMS. Doordat het apparaat fungeert als een malafide zendmast, kunnen telefoons in de nabijheid tijdelijk hun verbinding met legitieme netwerken verliezen terwijl ze aan het systeem gekoppeld zijn.

Vergelijkbare aanvallen zijn gemeld in verschillende landen, waaronder Griekenland, Thailand, Indonesië, Qatar en het Verenigd Koninkrijk. Hierbij waren vaak valse basisstations betrokken die waren verborgen in voertuigen en door dichtbevolkte gebieden werden gereden. Vorig jaar arresteerde de Thaise politie twee verdachten die toegaven te zijn ingehuurd door een Chinese opdrachtgever om duizenden phishingberichten per dag te versturen met behulp van telecomapparatuur die in een auto was verborgen. Een Chinese student in Londen werd in juni veroordeeld tot meer dan een jaar gevangenisstraf voor het bedienen van een vergelijkbaar systeem terwijl hij door de stad reed. De Canadese politie heeft de identiteit van de verdachten niet bekendgemaakt en ook niet gespecificeerd of slachtoffers financiële verliezen hebben geleden. Het onderzoek is nog gaande.

Bron: Toronto Police Service | Bron 2: tps.ca | Bron 3: standard.co.uk

De Franse politie heeft op maandag 20 april 2026 een twintigjarige man gearresteerd die verdacht wordt van grootschalige exfiltratie van data en diefstal van privé-informatie van tientallen websites. De man, bekend onder zijn pseudoniem HexDex, werd in zijn woning in de Vendée-regio aangehouden, naar verluidt op het moment dat hij op het punt stond meer data online te lekken.

Het onderzoek, geleid door het parket van Parijs, begon eind december 2025 nadat bijna honderd meldingen van datadiefstal waren ontvangen. HexDex wordt ervan beschuldigd data te hebben gestolen van diverse organisaties, waaronder sportbonden, overheidsinstanties en particuliere bedrijven, en deze vervolgens online te hebben gepubliceerd op platforms zoals Breachforums en Darkforums, die bekendstaan om het delen of verkopen van gestolen data.

Onder de vermeende doelwitten bevonden zich ongeveer vijftien Franse sportfederaties, waaronder die voor American Football, zeilen, atletiek, gymnastiek, skiën, rugby, boksen, parasporten, motorsport, kanovaren, aikido en universitaire sportgroepen. Daarnaast wordt HexDex verdacht van een aanval op het Franse Ministerie van Onderwijs halverwege maart dit jaar. Hij zou toegang hebben verkregen tot Compas, een beheersysteem voor stagiair-leraren dat door het ministerie wordt gebruikt. Deze aanval trof 243.000 werknemers, waarbij hun namen, thuisadressen, telefoonnummers en absentiegegevens werden blootgesteld.

De lijst met getroffen entiteiten omvat verder de SIA, de nationale database voor vuurwapenbezitters, en het e-campusplatform dat wordt gebruikt voor de training van de nationale politie. Ook de prefectuur van Moselle, het Nationaal Agentschap voor Territoriale Cohesie (ANCT), het wervingsportaal voor overheidsdiensten 'Choisir le service public' en de concertzaal Philharmonie de Paris waren doelwit. Zelfs liefdadigheidsorganisaties zoals voedselbanken en hotelketens, waaronder Logis Hôtels France en Brit Hotel, behoren tot de slachtoffers.

De Cybercrime Brigade (BL2C) heeft de computerapparatuur van HexDex in beslag genomen en controle verkregen over zijn Darkforum account. HexDex heeft toegegeven het online alias te hebben gebruikt. Echter, functionarissen stellen dat hij niet verantwoordelijk is voor een afzonderlijke cyberaanval op het ANTS-portaal (Nationaal Agentschap voor Beveiligde Titels), die op 15 april werd gedetecteerd en mogelijk de data van twaalf miljoen accounthouders heeft blootgesteld. De verdachte blijft in hechtenis terwijl de politie een forensische analyse van zijn apparaten uitvoert om te achterhalen of nog meer organisaties zijn getroffen.

Bron: Paris prosecutor’s office

De Canadese autoriteiten hebben drie mannen gearresteerd voor het bedienen van een 'SMS blaster' apparaat in Toronto. Dit apparaat doet zich voor als een legitieme zendmast voor mobiele telefonie om phishing-tekstberichten te versturen naar telefoons in de directe omgeving. Deze methodiek misleidt mobiele apparaten door signalen uit te zenden die een legitieme zendmast nabootsen. Telefoons binnen het bereik van het apparaat maken automatisch verbinding, aangetrokken door de sterkere ontvangst. Zodra de verbinding tot stand is gebracht, kunnen de bedieners van deze malafide basisstations voor mobiele telefonie SMS-berichten direct naar de verbonden apparaten sturen. Deze berichten lijken afkomstig te zijn van vertrouwde entiteiten, zoals banken of de overheid.

De politie van Toronto, die de details van de operatie heeft gedeeld, legt uit dat een 'SMS blaster' legitieme mobiele zendmasten imiteert. Wanneer nabijgelegen telefoons verbinding maken, ontvangen gebruikers frauduleuze tekstberichten die afkomstig lijken te zijn van betrouwbare organisaties. Deze berichten bevatten vaak links die ontvangers naar nepsites leiden, ontworpen om persoonlijke informatie, waaronder bankgegevens en wachtwoorden, te verzamelen. Voor het versturen van deze berichten zijn geen telefoonnummers vereist; alleen de aanwezigheid van de doelwitten binnen het bereik van het apparaat is voldoende. In dichtbevolkte gebieden betekent dit een massale verspreiding, vandaar de term "blaster".

De Canadese autoriteiten hebben opgemerkt dat dit de eerste keer is dat een dergelijk apparaat in het land is waargenomen. Het onderzoek, genaamd 'Project Lighthouse', begon in november 2025 na meldingen van verdachte activiteiten in het centrum van Toronto. De politie ontdekte dat de apparatuur vanuit voertuigen werd bediend, waardoor deze kon worden verplaatst over de Greater Toronto Area en een groot aantal mensen kon worden bereikt. Onderzoekers schatten dat tijdens de operatie van de 'SMS blaster' ongeveer 13 miljoen gevallen van misleiding van mobiele netwerken hebben plaatsgevonden. Naast het phishing-aspect worden apparaten die verbinding maken met deze malafide stations tijdelijk losgekoppeld van het legitieme netwerk van hun provider, waardoor ze in geval van nood geen hulpdiensten kunnen bereiken.

Op 31 maart werden huiszoekingen verricht in Markham en Hamilton, waarbij meerdere 'SMS blasters' en andere elektronische apparaten in beslag werden genomen. Twee verdachten werden gearresteerd, terwijl een derde man zich op 21 april zelf heeft gemeld. Om zich te verdedigen tegen malafide zendmasten wordt gebruikers geadviseerd om 2G-degradaties op Android-apparaten uit te schakelen, hoewel deze maatregel niet effectief is tegen geavanceerdere opstellingen die zich richten op LTE/5G-signalisering. SMS moet worden behandeld als een onveilig kanaal en gebruikers moeten voorkomen dat ze links volgen die via dit kanaal worden ontvangen. Voor gevoelige gegevens of communicatie wordt aanbevolen om end-to-end versleutelde kanalen te gebruiken.

Bron: Toronto Police Service | Bron 2: tps.ca

Een Chinese staatsburger die wordt beschuldigd van het uitvoeren van cyberespionage-operaties voor de Chinese inlichtingendiensten, is vanuit Italië uitgeleverd aan de Verenigde Staten om daar strafrechtelijk te worden vervolgd. De Amerikaanse autoriteiten hebben bekendgemaakt dat Xu Zewei een gecontracteerde hacker is voor het Chinese Ministerie van Staatsveiligheid (MSS), die tussen februari 2020 en juni 2021 inbraken pleegde als onderdeel van een gecoördineerde campagne voor inlichtingenverzameling.

Xu werd eerder in 2025 in Milaan, Italië, gearresteerd op verzoek van de Amerikaanse autoriteiten, vanwege zijn vermeende banden met de hackersgroep Silk Typhoon, ook bekend als Hafnium. De aanklacht koppelt Xu aan een reeks aanvallen die aan deze groep zijn toegeschreven. Silk Typhoon maakte gebruik van kwetsbaarheden in internetgerichte systemen om initiële toegang te krijgen tot netwerken van slachtoffers. Eenmaal binnen voerden de aanvallers verkenningen uit, implementeerden malware en stalen ze gegevens.

Het Amerikaanse Ministerie van Justitie (DOJ) stelt dat Xu betrokken was bij inbraken gericht op onderzoeksorganisaties naar COVID-19. Hierbij zouden de aanvallers geprobeerd hebben gegevens te verkrijgen over vaccins, behandelingen en testmethoden. De Amerikaanse autoriteiten beweren verder dat Xu en zijn medeverdachten vanaf eind 2020 zero-day kwetsbaarheden in Microsoft Exchange Server hebben misbruikt. Dit gebeurde als onderdeel van een wijdverspreide campagne om e-mailservers te compromitteren en toegang te krijgen tot de netwerken van slachtoffers.

Na het binnendringen van kwetsbare Exchange servers, implementeerden de aanvallers webshells. Deze webshells stelden hen in staat om toegang te krijgen tot mailboxen, lateraal te bewegen binnen de netwerken en gegevens te exfiltreren. Deze grootschalige exploitatie leidde tot wereldwijde incidenten die duizenden organisaties troffen, nog voordat patches volledig beschikbaar waren.

De aanklagers stellen dat Xu en zijn medeverdachte opereerden als gecontracteerde hackers onder directe leiding van functionarissen van het MSS. Volgens rechtbankdocumenten gaf het Shanghai State Security Bureau (SSSB), een onderdeel van het MSS, Xu opdracht om deze hackactiviteiten uit te voeren. Ten tijde van de computervitrages zou Xu hebben gewerkt voor een bedrijf genaamd Shanghai Powerock Network Co., Ltd. (Powerock). Dit bedrijf wordt beschreven als een van de vele ondernemingen die door de Chinese overheid werden gebruikt om hackoperaties uit te voeren. Xu wordt verwacht te verschijnen voor een federale rechtbank, waar hij meerdere aanklachten zal krijgen met betrekking tot computerinbraken en samenzwering.

Bron: U.S. Department of Justice

Evan Tangeman, een 22-jarige inwoner van Newport Beach, Californië, is veroordeeld tot 70 maanden gevangenisstraf wegens zijn aandeel in het witwassen van gelden die gestolen zijn bij een grootschalige cryptodiefstal van $263 miljoen. Tangeman, die ook bekendstond onder de aliassen "E", "Tate" en "Evan|Exchanger", hielp de verdachten achter de diefstal tussen oktober 2023 en mei 2025 met het witwassen van minstens $3.5 miljoen.

In september 2024 en mei 2025 werden veertien verdachten aangeklaagd in een RICO-samenzwering, waarbij meer dan $263 miljoen aan cryptovaluta was gestolen en vervolgens witgewassen via cryptobeurzen en mixdiensten. Onder de aangeklaagden bevonden zich Malone Lam (20, alias "Greavys") en Jeandiel Serrano (21, alias "Box"), die in september 2024 werden gearresteerd. Zij worden ervan verdacht in augustus 2024 meer dan 4.100 Bitcoin te hebben gestolen van een slachtoffer in Washington, D.C., destijds ter waarde van meer dan $263 miljoen.

Crypto fraudebestrijder ZachXBT ontdekte dat de aanvallers zich richtten op een schuldeiser van de Genesis crypto exchange. Ze maakten gebruik van gespoofde telefoonnummers en deden zich voor als klantenservice van Google en Gemini. Door zich voor te doen als een lid van het Gemini-ondersteuningsteam, beweerden ze dat de account van het slachtoffer was gecompromitteerd. Ze misleidden het slachtoffer om de twee-factor authenticatie (2FA) te resetten en hun scherm te delen via de AnyDesk applicatie voor extern bureaublad. Dit gaf de aanvallers toegang tot de privésleutels van Bitcoin Core, waarmee ze de cryptovaluta konden stelen.

Na de diefstal werd het gestolen geld witgewassen met behulp van crypto mixdiensten en beurzen, met assistentie van medeplichtigen zoals Tangeman. Hierbij werden technieken als "peel chains", pass-through wallets en virtuele private netwerken (VPNs) ingezet om de identiteit en locatie van de daders te verhullen. De gestolen cryptovaluta werd gebruikt om een luxueuze levensstijl te financieren, inclusief privébeveiligers, dure horloges, designertassen, uitjes naar nachtclubs van wel $500.000 per avond en internationale reizen. Ze huurden ook huizen in Los Angeles, de Hamptons en Miami voor bedragen tussen $40.000 en $80.000 per maand, en maakten gebruik van privéjets en een vloot van minstens 28 auto's, variërend in waarde van $100.000 tot $3.8 miljoen, waaronder een widebody Lamborghini Urus voor Tangeman.

U.S. Attorney Pirro merkte op dat de criminele onderneming was gebouwd op "zo'n schaamteloze hebzucht dat het het karikaturale nadert". Tangeman pleitte in december 2025 schuldig aan het witwassen van gestolen gelden voor een criminele organisatie als onderdeel van een RICO-samenzwering. Naast zijn gevangenisstraf van 70 maanden moet hij ook drie jaar onder toezicht worden vrijgelaten. Kunal Mehta (45, alias "Papa"), die in november 2025 schuldig pleitte aan het witwassen van minstens $25 miljoen van de gestolen cryptovaluta, wacht nog op zijn veroordeling.

Bron: U.S. Department of Justice

Een 19-jarige man met de Amerikaanse en Estse nationaliteit, eerder deze maand gearresteerd in Finland, wordt in de Verenigde Staten federaal aangeklaagd. Hij wordt verdacht van een prominente rol binnen het beruchte hackerscollectief Scattered Spider. De verdachte, geïdentificeerd in rechtbankdocumenten als Peter Stokes en online actief onder de alias "Bouquet", zou betrokken zijn geweest bij het afpersen van miljoenen dollars van diverse grote internationale bedrijven. Volgens het Openbaar Ministerie leidde Stokes een wereldreizend leven, pendelend tussen Dubai, Thailand en New York, terwijl hij designer sieraden, bundels contant geld en verblijven in luxe hotels op sociale media etaleerde.

De vermeende Scattered Spider-hacker werd op 10 april door de Finse autoriteiten gearresteerd op de luchthaven van Helsinki, terwijl hij probeerde een vlucht naar Japan te nemen. Hij wordt geconfronteerd met aanklachten wegens wire fraud, samenzwering en computercriminaliteit. Volgens tijdelijk openbaar gemaakte rechtbankdocumenten, verkregen door de Chicago Tribune, was Bouquet betrokken bij ten minste vier inbraken door Scattered Spider. Dit omvat een hack in maart 2023 van een online communicatieplatform, toen hij nog maar 16 jaar oud was. Deze aanvallen dwongen de slachtofferbedrijven naar verluidt miljoenen dollars aan losgeld te betalen.

Onder de bedrijven die met Bouquet's hulp zouden zijn gehackt, bevindt zich een niet nader genoemde "detailhandelaar in luxeartikelen met een waarde van miljarden dollars". In mei 2025 belden de hackers naar verluidt de IT-helpdesk van het bedrijf, waarbij ze zich voordeden als werknemers om authenticatiegegevens te resetten. Dit gaf hen toegang tot beheerdersaccounts. De groep stuurde later een losgeldeis, bewerend 100 gigabytes aan gestolen data in bezit te hebben, en eiste uiteindelijk 8 miljoen dollar. Hoewel het bedrijf weigerde te betalen, liep het toch meer dan 2 miljoen dollar aan verstoringen en herstelkosten op.

Het cybercrimecollectief Scattered Spider, ook bekend onder de namen 0ktapus, Scatter Swine, Octo Tempest, Starfraud, UNC3944 en Muddled Libra, verscheen in 2022. Het is een losjes georganiseerd, financieel gemotiveerd hackerscollectief dat voornamelijk bestaat uit tieners en jongvolwassenen uit de Verenigde Staten en Groot-Brittannië. Volgens de FBI staat de groep bekend om het gebruik van een combinatie van social engineering, gerichte overbelasting van multi-factor authenticatie (MFA-bombing of MFA-fatigue), en SMS-phishingaanvallen voor inloggegevens om gebruikersgegevens en gevoelige documenten te stelen voor afpersing, na het binnendringen van de netwerken van hun doelwitten.

De lijst met slachtoffers van Scattered Spider omvat tal van bekende bedrijven, waaronder Caesars, MGM Resorts, Riot Games, MailChimp, Twilio, DoorDash, Reddit, Allianz Life, en de Britse detailhandelaren Co-op, Marks & Spencer (M&S) en Harrods. Meer recentelijk werden ook WestJet en Jaguar Land Rover (JLR) getroffen. Eerder deze maand pleitte de 24-jarige Tyler Robert Buchanan, beschouwd als een van de leiders van Scattered Spider, schuldig in de Verenigde Staten aan aanklachten wegens crypto-diefstal.

Bron: chicagotribune.com | Bron 2: adaptivesecurity.com | Bron 3: mandiant.com

In een gezamenlijke operatie tussen wetshandhavingsinstanties van de Verenigde Staten en China zijn minstens negen scamcentra in Dubai ontruimd, wat leidde tot de arrestatie van 276 personen. Het Amerikaanse ministerie van Justitie maakte bekend dat de operatie vorig jaar van start ging na talrijke klachten van Amerikaanse slachtoffers bij de FBI, die miljoenen verloren door oplichting via investeringen in cryptovaluta.

Met behulp van informatie van socialemediagigant Meta, financiële gegevens en cryptovalutarecords, traceerden federale agenten de oplichtingspraktijken terug naar Dubai. Aanklagers hebben federale aanklachten wegens fraude en witwassen ingediend tegen vier personen die worden beschuldigd van het runnen van de scamcentra. Dit betreft de 27-jarige Myanmarese staatsburger Thet Min Nyi en de Indonesische staatsburgers Wiliang Awang, Andreas Chandra en Lisa Mariam. Twee niet nader genoemde voortvluchtige medeverdachten zijn eveneens aangeklaagd.

Thet Min Nyi zou hebben gefungeerd als manager en recruiter voor een dekmantelbedrijf genaamd Ko Thet Company, terwijl de anderen twee organisaties genaamd Sanduo Group en Giant Company leidden. Alle drie werden gebruikt om zogenaamde 'pig-butchering' oplichtingsmethoden uit te voeren, waarbij valse investeringsmogelijkheden werden aangeboden.

Wiliang Awang werd in Thailand gearresteerd door de Royal Thai Police, terwijl de politie van Dubai een gecoördineerde inval uitvoerde in de negen scamcentra. Deze inval leidde tot de arrestaties van Thet Min Nyi, Andreas Chandra en Lisa Mariam. Het ministerie van Justitie heeft geen verdere details verstrekt over de status van de in totaal 276 gearresteerde personen in Dubai.

Scamcentra in Azië worden vaak gevoed door mensenhandel en zijn doorgaans bemand door mensen die tegen hun wil worden vastgehouden. De Amerikaanse procureur Adam Gordon merkte op: "Deze oplichters dachten dat ze veilig waren aan de andere kant van de wereld."

De operatie in Dubai en de coördinatie met Chinese autoriteiten volgen op beschuldigingen van sommige Amerikaanse functionarissen dat Beijing recente ontmantelingen van scamcentra gebruikt om de controle over Zuidoost-Aziatische landen zoals Cambodja, Laos en Myanmar te verdiepen. Verschillende Amerikaanse regeringsexperts stelden dat er ook expliciete coördinatie en financiële vermenging bestaat tussen door de Chinese staat gesteunde investeringsprojecten en scamcentra, waarvan de overgrote meerderheid wordt gecontroleerd door Chinese bendes.

De door het ministerie van Justitie geleide 'Scam Center Strike Force' heeft in 2026 een reeks wetshandhavingsacties aangekondigd gericht op cyberoplichting, die vorig jaar 16 miljard dollar van Amerikanen naar cybercriminelen heeft gesluisd. De sancties, arrestaties en invallen leiden tot chaotische taferelen in Zuidoost-Azië, aangezien scamcentra sluiten en vervolgens weer heropenen.

Bron: abc.net.au | Bron 2: mekongindependent.com | Bron 3: recordedfuture.com

Op 29 april 2026 hebben aanklagers in de oblast Lviv, in samenwerking met de Cyberpolitie en de Veiligheidsdienst van Oekraïne (SBU), een criminele groepering ontmanteld die verantwoordelijk was voor het kapen van Roblox accounts. De gestolen accounts werden vervolgens doorverkocht op Russische websites in ruil voor cryptocurrency, wat de groep naar schatting 10 miljoen Oekraïense hryvnia (UAH) aan winst opleverde. Dit bedrag komt overeen met ongeveer 235.000 euro.

De criminele activiteit werd vermoedelijk georganiseerd door een 19-jarige inwoner van Drohobych. Deze hoofdverdachte rekruteerde twee medeplichtigen van 21 en 22 jaar oud. De groepering wordt ervan verdacht meer dan 610.000 accounts van zowel Oekraïense als buitenlandse spelers te hebben gecompromitteerd. De focus lag op profielen die waardevolle virtuele items, zeldzame uitrusting en in-game valuta bevatten, die met echt geld waren aangeschaft.

Om toegang te krijgen tot de accounts, zette de groep "stealer" malware in. Deze malware werd vermomd als gaming cheats om argeloze gebruikers te misleiden. Daarnaast maakten de verdachten gebruik van gestolen cookiebestanden, waardoor ze zonder wachtwoorden konden inloggen op de accounts van de slachtoffers. De gekaapte accounts werden vervolgens verkocht via besloten online communities en een website die op een Russisch domein werd gehost. De opbrengsten van deze verkopen werden doorgesluisd naar cryptocurrency wallets, om zo de illegale winsten wit te wassen.

In het kader van het onderzoek hebben opsporingsambtenaren tien huiszoekingen verricht. Hierbij werden diverse bewijsmaterialen in beslag genomen, waaronder computerapparatuur, opslagmedia, mobiele telefoons, bankkaarten en handgeschreven notities. Tevens werd er meer dan 2.500 euro en bijna 35.000 Amerikaanse dollar aan contant geld aangetroffen en in beslag genomen.

De verdachten zijn officieel in kennis gesteld van verdenking op grond van deel 4 van artikel 185 en deel 5 van artikel 361 van het Wetboek van Strafrecht van Oekraïne. Deze aanklachten kunnen leiden tot een gevangenisstraf van maximaal 15 jaar. Alle verdachten zijn in voorlopige hechtenis geplaatst in afwachting van verdere voortgang van het onderzoek.

Bron: Darkweb

Oostenrijkse en Albanese autoriteiten hebben een criminele organisatie ontmanteld die wordt beschuldigd van het runnen van een grootschalige fraude met investeringen in cryptocurrency. Deze operatie heeft naar schatting wereldwijd meer dan €50 miljoen aan verliezen veroorzaakt. De gezamenlijke actie, die in juni 2023 begon en werd ondersteund door Europol en Eurojust, leidde op 17 april tot de arrestatie van tien verdachten en doorzoekingen van drie callcenters en negen privéwoningen.

Tijdens de actie namen wetshandhavers €891.735 aan contant geld in beslag, evenals 443 computers, 238 mobiele telefoons, 6 laptops en diverse gegevensdragers voor forensisch onderzoek. De fraude ring opereerde als een legitiem bedrijf, met maar liefst 450 medewerkers verdeeld over afdelingen zoals klantenwerving, retentie, financiën, IT en personeelszaken. Zoals Europol in een persbericht uitlegde, hielden teamleiders toezicht op de dagelijkse activiteiten, terwijl callcenter managers de teamleiders en de algehele operaties coördineerden en begeleidden.

De operators werkten in teams van zes tot acht personen, georganiseerd per taal (waaronder Duits, Engels, Italiaans, Grieks en Spaans), en ontvingen maandelijkse salarissen van ongeveer €800, plus prestatiegebonden commissies. Europol verklaarde dat het criminele netwerk, dat vermoedelijk meerdere callcenters in Tirana, Albanië, exploiteerde, aanzienlijke financiële schade heeft veroorzaakt, met een totaal van ten minste €50 miljoen. De callcenters waren professioneel opgezet en georganiseerd, met legitieme bedrijfsstructuren en een duidelijke taakverdeling en hiërarchisch management.

Slachtoffers werden naar nep-investeringsplatforms voor cryptocurrency gelokt via advertenties op zoekmachines en sociale media. Daar werden zogenaamde "retentie-agenten" aan hen toegewezen, die zich voordeden als professionele makelaars en beleggingsadviseurs. Deze agenten beheerden de investeringsrekeningen van de slachtoffers, gebruikten vaak software voor toegang op afstand om controle over hun apparaten te krijgen, en manipuleerden hen ook via psychologische druk om extra stortingen te doen. De fondsen van de slachtoffers werden echter nooit geïnvesteerd. In plaats daarvan werden ze via een internationale witwasconstructie naar de rekeningen van het criminele netwerk gesluisd.

In een tweede frauduleuze opzet benaderden de criminelen de slachtoffers opnieuw, boden aan om hun verloren geld terug te vorderen en vroegen hen om €500 op cryptocurrency rekeningen te storten als toegangsprijs, waardoor ze effectief een tweede keer werden opgelicht. Het onderzoek begon in juni 2023 in Wenen en identificeerde slachtoffers in Italië, Duitsland, Griekenland, Spanje, Canada en het Verenigd Koninkrijk. Dit is de meest recente in een lange reeks soortgelijke criminele organisaties die de afgelopen jaren door Europese autoriteiten zijn ontmanteld.

Bron: Europol

Peter Stokes, een 19-jarige man met de Amerikaanse en Estse nationaliteit, is eerder deze maand in Finland gearresteerd terwijl hij een vlucht naar Japan probeerde te nemen. Aanklagers beweren dat hij een productief lid is van het losjes verbonden internationale hackerscollectief bekend als Scattered Spider.

Volgens een strafrechtelijke aanklacht, verkregen door de Chicago Tribune, vond de arrestatie plaats op 10 april toen Stokes zich voorbereidde om naar Tokio te vliegen. De autoriteiten waren echter al maanden bezig met het opbouwen van een federale zaak tegen hem. Stokes werd in december in een verzegelde aanklacht met zes punten aangeklaagd wegens draadfraude, samenzwering en computercriminaliteit. De autoriteiten werken nu aan zijn uitlevering aan Chicago.

De uitlevering van Stokes zou de tweede zijn die verband houdt met een lid van de Scattered Spider hackersgroep. Vorige week bekende Tyler Robert Buchanan, een 24-jarige Britse hacker, een jarenlang Amerikaans hackingschema waarbij minstens 8 miljoen dollar aan cryptovaluta werd gestolen. Buchanan werd in Spanje gearresteerd en uitgeleverd aan de Verenigde Staten.

Autoriteiten beweren dat Stokes het alias "Bouquet" gebruikte voor zijn online activiteiten. Hij leidde een luxueuze levensstijl, reisde van Dubai naar Thailand en New York, verbleef in vijfsterrenhotels en pronkte openlijk met contant geld en sieraden. Hij bespotte ook de FBI in posts en berichten, plaatste memes die zijn groep als maffiabazen afbeeldden en foto's van zichzelf met een halsketting met diamanten die in grote letters "HACK THE PLANET" spelde.

Volgens de aanklacht, geciteerd door de Chicago Tribune, toonde Stokes, de zoon van een prominente Europese zakenman, de laatste jaren een ongebruikelijke rijkdom voor zijn leeftijd. Onderzoekers zeggen dat hij foto's op Facebook en Snapchat plaatste van reizen door Europa en naar Mexico, Thailand en Dubai. Autoriteiten benadrukten ook een meme die zij veelzeggend vonden. Stokes deelde een afbeelding van de tv-show The Sopranos, bewerkt met de aliassen van vermeende Scattered Spider-leden over verschillende personages. In de versie die in de aanklacht is opgenomen, staat zijn voornaam, "Peter," over Carmine Lupertazzi Sr., een fictieve misdaadbaas uit New York.

Stokes en zijn vermeende medesamenzweerders leken federale onderzoekers meer als een grap dan als een bedreiging te behandelen. De aanklacht stelt dat hij en andere Scattered Spider-leden memes en berichten uitwisselden waarin de wetshandhavers die hen volgden, werden bespot. In een voorbeeld dat door onderzoekers werd aangehaald, stuurde een medesamenzweerder Stokes in 2024 een afbeelding met herhaalde mislukte inlogpogingen, samen met het bericht "F off, FBI." Het plagen ging door naarmate het onderzoek vorderde. In een uitwisseling in januari 2025 stuurde Stokes een medesamenzweerder afbeeldingen van een politiebureau in Estland met het onderschrift "Feel like Raymond Reddington season 1 episode 1 rn," een verwijzing naar Raymond Reddington uit The Blacklist, die zichzelf aangeeft bij de FBI en aanbiedt te helpen bij het vangen van spraakmakende criminelen.

De aanklacht beweert dat Stokes deelnam aan ten minste vier Scattered Spider-inbraken, waaronder één toen hij 16 was, wat miljoenen dollars aan verliezen veroorzaakte. Zijn vroegste vermeende aanval volgde een veelvoorkomende social engineering tactiek. In maart 2023, slechts enkele maanden na zijn 16e verjaardag, zou Stokes een online communicatieplatform, geïdentificeerd als "Company H", hebben aangevallen door een reset van de twee-factor authenticatie van een werknemer aan te vragen. Onderzoekers zeggen dat versleutelde chats laten zien hoe hij coördineerde met een handlanger terwijl ze toegang kregen tot gevoelige gegevens, waaronder identificatiegegevens van werknemers.

Een later incident onthulde dat Stokes in mei 2025 een miljardenbedrijf in luxe detailhandel zou hebben gehackt door de IT-helpdesk van het bedrijf te bellen en zich voor te doen als een werknemer om inloggegevens te resetten. De aanvallers kregen vervolgens toegang tot beheeraccounts, beweerden 100 GB aan gegevens te hebben gestolen en eisten 8 miljoen dollar. Het bedrijf weigerde te betalen, maar meldde nog steeds meer dan 2 miljoen dollar aan verliezen door verstoring en herstel.

Scattered Spider, ook bekend als Octo Tempest, is een transnationale cybercriminaliteitsgroep die grote bedrijven en hun IT-helpdesks aanvalt, gevoelige gegevens steelt en deze gebruikt voor afpersing. De groep bestaat grotendeels uit tieners en jongvolwassenen. Het ontstond in 2022 in de VS en het Verenigd Koninkrijk en heeft zich sindsdien verspreid over Europa en Australië. De slachtoffers zijn onder meer grote detailhandelaren, luchtvaartmaatschappijen en gamingbedrijven zoals MGM Resorts. Volgens de Federal Bureau of Investigation maken leden gebruik van tactieken zoals social engineering, phishing, MFA-bombing en SIM-swapping, in plaats van geavanceerde malware.

Stokes is de nieuwste in een reeks arrestaties die verband houden met de groep. Tyler Robert Buchanan, beschreven als een senior lid, pleitte schuldig in Californië aan het hacken van Amerikaanse bedrijven en het stelen van minstens 8 miljoen dollar aan cryptovaluta. Eerder werd Noah Michael Urban veroordeeld tot 10 jaar gevangenisstraf na schuldig te hebben gepleit aan fraude en samenzwering. Britse autoriteiten hebben ook arrestaties verricht. In juli 2024 arresteerde de politie een 17-jarige verdachte die verband hield met de aanval op MGM Resorts in 2023. Andere inbreuken die aan de groep worden toegeschreven, zijn onder meer Caesars Entertainment, Riot Games, Mailchimp, Twilio, DoorDash en Reddit.

Bron: HackRead

Twee voormalige Amerikaanse cybersecurityprofessionals, Ryan Goldberg (40) uit Georgia en Kevin Martin (36) uit Texas, zijn door het Amerikaanse ministerie van Justitie (DOJ) veroordeeld tot elk vier jaar gevangenisstraf. Zij kregen deze straf voor hun betrokkenheid bij de inzet van ALPHV BlackCat ransomware tegen meerdere Amerikaanse slachtoffers in 2023. De veroordelingen werden op 30 april 2026 bekendgemaakt door het DOJ.

Goldberg en Martin werkten beiden in de cybersecuritysector en waren daardoor volledig op de hoogte van hun daden en de impact ervan. Samen met een derde medeplichtige, Angelo Martino (41) uit Florida, sloten zij een overeenkomst met de beheerders van ALPHV BlackCat. In ruil voor toegang tot de ransomware en de afpersingsinfrastructuur zou het trio 20% van de geïnde losgelden afstaan. Tussen april en december 2023 gebruikten zij deze toegang om Amerikaanse bedrijven aan te vallen, waaronder een medische praktijk en een ingenieursbureau. Eén slachtoffer betaalde ongeveer 1,2 miljoen dollar in Bitcoin. De drie mannen verdeelden hun 80% aandeel en witwasten de opbrengsten op diverse manieren, zo blijkt uit gerechtelijke documenten.

De aanval op de medische praktijk was bijzonder ernstig, aangezien de aanvallers patiëntgegevens lekten toen de onderhandelingen niet naar wens verliepen. Assistent-procureur-generaal A. Tysen Duva van de strafrechtelijke afdeling van het DOJ sprak hier schande van, en beschreef hoe de beklaagden "hard speelden" met slachtoffers en zelfs zover gingen om patiëntgegevens van een dokterskantoor te lekken. Duva benadrukte dat deze personen "cybersecurityspecialisten waren die het goede moesten doen en bedrijven en mensen moesten helpen. In plaats daarvan gebruikten ze hun geavanceerde cybervaardigheden om hun hebzucht te voeden."

Deze zaak illustreert opnieuw de werking van ransomware als een dienst (RaaS). De ontwikkelaars bouwden en onderhielden de malware en de darkweb-infrastructuur, terwijl affiliates zoals Goldberg, Martin en Martino slachtoffers zochten om aan te vallen. Na een succesvolle afpersing deelden beide partijen de opbrengst. Deze arbeidsdeling droeg bij aan de productiviteit van BlackCat, dat volgens het DOJ wereldwijd meer dan 1.000 slachtoffers maakte. Het maakt RaaS-operaties ook veerkrachtig, wordt één affiliate uitgeschakeld, dan blijven er tientallen over.

De rol van Martino verdient speciale aandacht. Martino, die in april 2026 schuldig pleitte en op 9 juli wordt veroordeeld, hielp niet alleen bij de inzet van ransomware. Hij werkte als onderhandelaar voor losgeld, een persoon die door slachtoffers wordt ingehuurd om deals te sluiten met aanvallers. Volgens het DOJ misbruikte hij deze rol door vertrouwelijke slachtofferinformatie door te spelen aan de dreigingsactoren, zodat zij de losgeldeis konden verhogen. Indien waar, is dit een duidelijk voorbeeld van belangenverstrengeling die is omgezet in een misdaad. Dit detail zou elk bedrijf dat een externe onderhandelaar inhuurt, moeten aanzetten tot een grondige due diligence.

Deze veroordeling is het meest recente hoofdstuk in een jarenlange campagne van het DOJ tegen BlackCat. In december 2023 kondigde de FBI al aan dat zij een decryptietool hadden ontwikkeld en deze hadden gebruikt om honderden slachtoffers te helpen hun systemen te herstellen, wat naar schatting 99 miljoen dollar aan losgeldbetalingen bespaarde. Het Bureau nam toen ook verschillende door BlackCat beheerde websites in beslag. De achtervolging van Goldberg zelf leest als een thrillersubplot. Volgens Brett Leatherman, assistent-directeur van de Cyberdivisie van de FBI, werd Goldberg door de FBI door tien landen gevolgd toen hij probeerde te vluchten om vervolging te ontlopen. Uiteindelijk werd hij gearresteerd met de hulp van de Mexicaanse federale recherche op de internationale luchthaven van Mexico-Stad. Goldberg en Martin pleitten in december 2025 schuldig aan één aanklacht van samenzwering tot belemmering, vertraging of beïnvloeding van de handel door afpersing. Beiden kregen een straf van vier jaar.

Deze zaak benadrukt een aantal belangrijke punten. Ten eerste is de interne dreiging in cybersecurity reëel. De sector heeft een verborgen vertrouwensprobleem, dezelfde vaardigheden die netwerken beschermen, kunnen ze ook ontmantelen, en er is geen eenduidige manier om moreel karakter te screenen. Bedrijven die afhankelijk zijn van externe beveiligingsprofessionals (pentesters, incidentresponders, onderhandelaars voor losgeld) zouden zorgvuldig moeten nadenken over achtergrondcontroles, contractuele waarborgen en segregatie van toegang. Ten tweede wordt de wetshandhaving steeds beter in de bestrijding van cybercriminaliteit. De combinatie van de inbeslagname van de BlackCat-infrastructuur in 2023, de ontwikkeling van een werkende decryptietool en de internationale opsporing van vluchtende affiliates, toont aan dat federale cybercrime-onderzoekers opereren op een niveau dat tien jaar geleden moeilijk voorstelbaar was. Het DOJ merkte op dat sinds 2020 de sectie Computer Crime and Intellectual Property meer dan 180 veroordelingen van cybercriminelen heeft bewerkstelligd en meer dan 350 miljoen dollar voor slachtoffers heeft teruggevonden. Ten slotte voelen vier jaar gevangenisstraf nog steeds licht aan. Goldberg en Martin waren betrokken bij aanvallen die patiëntgegevens lekten en minstens 1,2 miljoen dollar van één slachtoffer afpersten, naast aanvallen op meerdere andere organisaties. Of deze straf de volgende cybersecurityprofessional die overweegt om als afperser te opereren zal afschrikken, blijft een open vraag.

Het DOJ herinnert slachtoffers van ransomware eraan contact op te nemen met hun lokale FBI-kantoor of een melding in te dienen via ic3.gov. Iedereen met informatie over ALPHV BlackCat of zijn affiliates kan in aanmerking komen voor een beloning via de Transnational Organized Crime Rewards of Rewards for Justice-programma's van het State Department. Hoewel het uitschakelen van één criminele cel ransomware niet beëindigt, maken zaken als deze de rekensom iets minder aantrekkelijk voor de volgende aspirant-affiliate, vooral voor degenen die al dagelijkse banen hebben in het verdedigen van de netwerken die zij overwegen aan te vallen.

Bron: Darkweb

Patrick Schmitz, een 37-jarige Duitse staatsburger, is door Colombia uitgeleverd aan de Verenigde Staten. Schmitz wordt ervan beschuldigd de toonaangevende dark web marktplaats "The Versus Project" te hebben opgericht en geëxploiteerd. De marktplaats was actief gedurende een periode van ruim tweeënhalf jaar, van november 2019 tot mei 2022, en ontwikkelde zich tot een significant platform binnen het illegale online circuit.

Op zijn hoogtepunt telde "The Versus Project" meer dan 380.000 geregistreerde gebruikers en bood het een uitgebreid assortiment van ruim 32.000 illegale productvermeldingen aan. Via het platform werden meer dan 300.000 bestellingen verwerkt, wat resulteerde in transacties ter waarde van miljoenen dollars. Het aanbod op de marktplaats omvatte een breed scala aan verboden artikelen, waaronder heroïne en diverse andere verdovende middelen, gestolen identiteitsbewijzen, vals geld, evenals malware en gespecialiseerd gereedschap voor hacking.

Om traditioneel financieel toezicht en opsporing te omzeilen, werden voor alle transacties uitsluitend de cryptocurrencies Bitcoin en Monero geaccepteerd. Schmitz, die medeoprichter was van het platform, speelde een centrale rol in de exploitatie. Hij beheerde de dagelijkse operaties van de marktplaats, was verantwoordelijk voor het rekruteren van verkopers en personeel, en streek uiteraard een aanzienlijk deel van de behaalde winsten op.

De Duitse staatsburger wordt in de Verenigde Staten geconfronteerd met acht aanklachten. Deze omvatten onder meer het leiden van een voortdurende criminele organisatie, een vergrijp waarvoor een verplichte minimumstraf van 20 jaar geldt, met een potentiële levenslange gevangenisstraf. Daarnaast wordt hij aangeklaagd voor samenzwering met verdovende middelen en het witwassen van geld. Het Amerikaanse ministerie van Justitie heeft met deze uitlevering en aanklacht duidelijk gemaakt dat het dark web geen schild biedt voor criminelen die denken anoniem te kunnen opereren.

Bron: Darkweb

Een Roemeense staatsburger die aan het hoofd stond van een online ring die zich bezighield met swatting, is veroordeeld tot vier jaar federale gevangenisstraf. De ring heeft meer dan 75 overheidsfunctionarissen, meerdere journalisten en vier religieuze instellingen in de Verenigde Staten als doelwit gehad. Thomasz Szabo, 27 jaar oud, moet na zijn gevangenisstraf ook drie jaar onder toezicht worden geplaatst. Hij werd in november 2024 vanuit Roemenië uitgeleverd en pleitte in juni 2025 schuldig aan samenzwering en bedreiging met explosieven.

Swatting is een gevaarlijke criminele intimidatietactiek waarbij valse meldingen worden gedaan aan hulpdiensten over een gewelddadige dreiging op het adres van een doelwit. Dit is erop gericht een gewapende politie-interventie uit te lokken. Szabo opereerde online onder verschillende aliassen, waaronder "Jonah," "Jonah Goldberg," "Plank," "Rambler," "War Lord," "Shovel," "Cypher," "Kollectivist," "Mortenberg Shekelstorms," en "NotThuggin2". Hij richtte een online gemeenschap op die vanaf eind 2020 begon met bommeldingen en swatting aanvallen.

Volgens gerechtelijke documenten heeft Szabo persoonlijk valse meldingen gedaan aan Amerikaanse wetshandhavingsinstanties. Hiertoe behoorde een dreiging in december 2020 om een massale schietpartij uit te voeren in synagogen in New York City, en een dreiging in januari 2021 om explosieven tot ontploffing te brengen bij het U.S. Capitol en de verkozen president Joe Biden te doden.

U.S. Attorney Pirro verklaarde dat Szabo en zijn volgers leden van het Congres, functionarissen van het kabinet, hoofden van federale wetshandhavingsinstanties, kerken en journalisten met swatting-oproepen en valse bommeldingen viseerden. Het doel was om gewapende politie naar hun deuren te sturen. Szabo werd vanuit Roemenië uitgeleverd om in een Amerikaanse rechtszaal terecht te staan en heeft nu de consequenties van zijn daden onder ogen moeten zien.

Szabo adverteerde ook voor zijn activiteiten en moedigde zijn volgers aan om soortgelijke aanvallen uit te voeren. Dit leidde tot een geconcentreerde reeks swatting aanvallen tussen december 2023 en begin januari 2024. Tijdens deze periode werden minstens 25 leden van het Congres of hun familieleden, en minstens zes hoge ambtenaren van de uitvoerende macht, waaronder meerdere functionarissen op kabinetsniveau, als doelwit genomen. Ook werden minstens 13 hoge federale wetshandhavingsfunctionarissen, leden van de federale rechterlijke macht, minstens 27 staatsambtenaren en vier religieuze instellingen getroffen. Een van de leden van de groep pochte tegenover Szabo zelfs dat hij meer dan 25 swatting-oproepen op één dag had uitgevoerd en beweerde in twee dagen meer dan 500.000 dollar aan belastinggeld te hebben verspild.

Een andere medeplichtige van Szabo, de 23-jarige Servische staatsburger Nemanja Radovanovic, werd in augustus 2024 eveneens aangeklaagd in verband met hetzelfde complot en staat voor afzonderlijke procedures. FBI Special Agent Michael Burgwald benadrukte dat de aanhoudende swatting aanvallen van Szabo en zijn medeplichtigen een enorme belasting vormden voor de middelen van de wetshandhaving en belastinggeld, en onschuldige burgers in gevaar brachten. De huidige veroordeling is een belangrijke stap om ervoor te zorgen dat degenen die denken dat swatting slechts een grap is, van die gedachte worden afgeholpen en om duidelijk te maken dat degenen die zich ermee bezighouden, voor de rechter zullen verschijnen.

Bron: U.S. Department of Justice | Bron 2: dhs.gov

De Amerikaanse Federal Bureau of Investigation (FBI) waarschuwt de transport en logistieksector voor een aanzienlijke toename van ladingdiefstal die mogelijk wordt gemaakt door cybercriminelen. In 2025 bereikten de geschatte verliezen in de Verenigde Staten en Canada bijna 725 miljoen dollar, wat een stijging van 60 procent betekent ten opzichte van het voorgaande jaar. Deze toename wordt gedreven door criminelen die steeds vaker hacking en impersonatietactieken gebruiken om waardevolle vracht te kapen. Het aantal bevestigde incidenten van ladingdiefstal steeg vorig jaar met 18 procent, terwijl de gemiddelde waarde per diefstal met 36 procent toenam tot 273.990 dollar, als gevolg van een selectievere targeting van waardevolle ladingen.

In een openbare waarschuwing (Public Service Announcement) van woensdag stelde de FBI dat dreigingsactoren sinds ten minste 2024 de computersystemen van vrachtmakelaars en vervoerders infiltreren via gespoofde e-mails en valse weblinks. Eenmaal binnen plaatsen de criminelen frauduleuze advertenties op online vrachtplatforms, digitale marktplaatsen die worden gebruikt door verladers, makelaars en vervoerders. Ze doen zich voor als legitieme bedrijven om zendingen om te leiden. Zo meldde het platform voor de monitoring van typosquatting, Have I Been Squatted, in februari dat de financieel gemotiveerde dreigingsgroep Diesel Vortex sinds september 2025 in phishingaanvallen in de VS en Europa inloggegevens stal van vrachtoperatoren en logistiekoperatoren, waarbij 52 domeinen werden gebruikt.

De FBI waarschuwt dat cyberdreigingsactoren steeds geavanceerdere, door cybercriminaliteit gefaciliteerde tactieken gebruiken om legitieme bedrijven te imiteren, vracht te kapen, waardevolle zendingen te stelen en leveringen om te leiden, wat resulteert in een sterke toename van strategische ladingdiefstal. De actoren richten zich op de Amerikaanse transport en logistieksector, inclusief bedrijven met belangen in het verzenden, ontvangen, leveren en verzekeren van vracht.

De aanvallers compromitteren eerst de accounts van makelaars of vervoerders door werknemers naar phishingsites te lokken die software voor monitoring op afstand installeren. Zo verkrijgen ze onopgemerkte toegang tot de systemen van het doelwit. Vervolgens plaatsen ze tienduizenden nepvrachtadvertenties, waarbij ze legitieme vervoerders verleiden om kwaadaardige bestanden te downloaden. Daarna accepteren ze echte zendingen onder een gestolen vervoerdersidentiteit. De ladingen worden omgeleid naar medeplichtige chauffeurs, gestolen voor wederverkoop en in sommige gevallen eisen de criminelen ook losgeld voor de locatie van de omgeleide ladingen. Dreigingsactoren die betrokken zijn bij ladingdiefstal via cybermethoden wijzigen ook de registratiegegevens van de gecompromitteerde vervoerder bij de Federal Motor Carrier Safety Administration en werken verzekeringsgegevens bij. Dit zorgt ervoor dat legitieme bedrijven pas ontdekken dat ze zijn gehackt wanneer makelaars melding maken van vermiste zendingen die zonder hun medeweten op hun naam zijn geboekt.

Om pogingen tot ladingdiefstal via cybermethoden te blokkeren, spoort de FBI transportbedrijven en logistiekbedrijven aan om alle zendingaanvragen via secundaire kanalen te verifiëren, meervoudige authenticatie te implementeren en af te dwingen waar mogelijk, alle onverwachte communicatie te valideren met een proces voor tweefactorauthenticatie, en gedetailleerde archieven bij te houden van alle voertuigen en chauffeurs. De FBI adviseert slachtoffers van ladingdiefstal via cybermethoden om naast het indienen van politierapporten voor de gestolen lading, ook een klacht in te dienen bij het Internet Crime Complaint Center (IC3). In haar 2025 Internet Crime Report, eerder deze maand uitgebracht, meldde de FBI dat het IC3 vorig jaar meer dan 1 miljoen klachten ontving, gekoppeld aan bijna 21 miljard dollar aan gerapporteerde verliezen door diverse cybercriminaliteitsvormen, waaronder investeringsfraude, fraude via technische ondersteuning, zakelijke e-mailcompromis en datalekken.

Bron: FBI | Bron 2: ic3.gov | Bron 3: hubs.la

Een 15-jarige tiener is onder verdenking genomen in Frankrijk voor een vermeende inbraak bij de Nationale Dienst voor Veilige Documenten (ANTS). Deze overheidsinstantie is verantwoordelijk voor de verwerking van aanvragen voor paspoorten, nationale identiteitskaarten, verblijfsvergunningen en rijbewijzen. De tiener werd op 25 april door de politie aangehouden op verdenking van betrokkenheid bij het datalek. Parijse aanklagers bevestigden donderdag de arrestatie en de lopende zaak.

De verdachte, wiens identiteit niet is vrijgegeven, zou online actief zijn geweest onder het pseudoniem "breach3d". Dit alias werd eerder deze maand gebruikt om tussen de 12 miljoen en 18 miljoen persoonsgegevens te koop aan te bieden op fora van cybercriminelen. De cybercriminaliteitseenheid van het parket van Parijs werd vorige maand gealarmeerd nadat de data op illegale marktplaatsen verscheen. ANTS heeft de ongebruikelijke activiteit op zijn netwerk bevestigd en erkende dat de verspreide informatie authentiek leek te zijn.

De autoriteiten hebben een onderzoek ingesteld naar frauduleuze toegang tot en extractie van data uit een door de staat beheerd geautomatiseerd systeem voor de verwerking van persoonsgegevens. Onder de Franse wet kunnen dergelijke overtredingen leiden tot gevangenisstraffen van maximaal zeven jaar en een boete van 300.000 euro. Eerder deze week hebben aanklagers verzocht om de minderjarige formeel aan te klagen en onder gerechtelijk toezicht te plaatsen.

De verdachte wordt ervan beschuldigd betrokken te zijn geweest bij een breed scala aan activiteiten gerelateerd aan aanvallen op het systeem van de staat, waaronder ongeautoriseerde toegang, het behouden van toegang, het extraheren en verzenden van data, en het bezit van tools die zijn ontworpen om cyberinbraken uit te voeren. ANTS beheert een van de meest gevoelige digitale platforms van Frankrijk. Het is ook verantwoordelijk voor een nieuwe applicatie van de overheid voor leeftijdsverificatie, bedoeld om te voorkomen dat kinderen jonger dan 15 jaar toegang krijgen tot sociale netwerken.

Franse functionarissen hebben vorige week bekendgemaakt dat de cyberaanval mogelijk meerdere categorieën persoonsgegevens gekoppeld aan gebruikersaccounts heeft blootgelegd. Potentieel gecompromitteerde informatie omvat inloggegevens, namen, e-mailadressen, geboortedata en unieke identificatienummers van accounts. Autoriteiten meldden dat aanvullende persoonsgegevens, waaronder postadressen, telefoonnummers en geboorteplaatsen, mogelijk ook zijn getroffen.

Dit incident volgt op een reeks spraakmakende onderzoeken naar datalekken in Frankrijk. Eerder deze maand arresteerden autoriteiten een 20-jarige verdachte die online bekend stond als "HexDex", vermoedelijk verantwoordelijk voor tientallen inbraken gericht op openbare instellingen, sportfederaties en particuliere organisaties. In januari hield de politie ook een 18-jarige man aan, die werd beschuldigd van het lekken en verkopen van de persoonsgegevens van meer dan een miljoen leden van de Franse Schietfederatie.

Bron: leparisien.fr

Een omvangrijke internationale operatie, waarbij autoriteiten uit de Verenigde Staten en China betrokken waren, heeft geleid tot de arrestatie van minstens 276 verdachten en de sluiting van negen fraudecentra die zich richtten op cryptocurrency investeringen. De actie werd gecoördineerd door de politie van Dubai, onder het ministerie van Binnenlandse Zaken van de Verenigde Arabische Emiraten, en was gericht op criminele netwerken die zogenaamde 'pig butchering' fraude uitvoerden. Deze vorm van oplichting, ook bekend als 'romance baiting', houdt in dat oplichters het vertrouwen van hun slachtoffers winnen via geveinsde vriendschappen of romantische relaties, om hen vervolgens te verleiden tot investeringen op valse cryptocurrency platforms die hun geld aftappen.

Volgens gerechtelijke documenten verloren slachtoffers onmiddellijk de controle over de overgemaakte fondsen, die vervolgens werden witgewassen via aanvullende cryptocurrency rekeningen. De oplichters moedigden slachtoffers ook aan om geld te lenen van familie of leningen af te sluiten om nog meer te investeren.

Onder de 275 verdachten die in Dubai werden gearresteerd, is de Birmese staatsburger Thet Min Nyi aangeklaagd wegens draadfraude en samenzwering tot witwassen. Hij zou hebben gefungeerd als manager en recruiter voor een van de fraudeoperaties, bekend als Ko Thet Company. De Indonesische staatsburgers Wiliang Awang, Andreas Chandra en Lisa Mariam worden ook geconfronteerd met aanklachten wegens samenzwering tot draadfraude in verband met twee andere vermeende fraudenetwerken, Sanduo Group en Giant Company. Hoewel de politie van Dubai Thet Min Nyi, Chandra en Mariam arresteerde, en de Koninklijke Thaise politie Awang oppakte, zijn twee andere medeverdachten nog voortvluchtig.

U.S. Attorney Adam Gordon benadrukte: "Deze oplichters dachten dat ze veilig waren aan de andere kant van de wereld. Maar hun wereld is veranderd. Wereldwijde criminaliteit staat nu tegenover wereldwijde gerechtigheid." Assistant Attorney General A. Tysen Duva voegde daaraan toe dat fraude in de huidige maatschappij grenzeloos is, en dat de wetshandhaving eveneens grensoverschrijdend opereert om dit te bestrijden.

Na analyse van klachten ingediend bij het Internet Crime Complaint Center (IC3) van de FBI, identificeerden onderzoekers talloze slachtoffers in de Verenigde Staten met verliezen van miljoenen dollars door cryptocurrency investeringsfraude. Volgens het FBI's 2025 Internet Crime Report was investeringsfraude vorig jaar verantwoordelijk voor 49% van alle gemelde fraude-incidenten, met een gerapporteerd verlies van 8,6 miljard dollar, een stijging ten opzichte van 6,5 miljard dollar in 2024.

In november richtten federale autoriteiten in de Verenigde Staten de Scam Center Strike Force op, een nieuwe taskforce gericht op het ontwrichten van cryptocurrency fraudenetwerken. Dit volgde op de inbeslagname door het Amerikaanse ministerie van Justitie van 15 miljard dollar van de leider van Prince Group, een criminele organisatie die miljarden dollars van Amerikanen heeft gestolen via cryptocurrency investeringsfraude. Deze week hebben Europese autoriteiten een andere cryptofraude ring ontmanteld, die naar schatting meer dan 50 miljoen euro verlies veroorzaakte voor slachtoffers wereldwijd.

Bron: U.S. Department of Justice | Bron 2: hubs.la

Onderzoekers verifieerden een tip die op 30 april 2026 binnenkwam via het tipformulier en bevestigde dat de website van het Nederlandse bedrijf Kanters Lieshout op het moment van schrijven is overgenomen door aanvallers. Op de homepage van www.kanters.nl staat enkel een afpersingsbericht waarin om 0,1 bitcoin wordt gevraagd in ruil voor herstel van bestanden, met daarbij een specifiek bitcoin adres en de instructie om een bericht naar Twitter te sturen met een unieke code. De originele inhoud van de website is op het moment van publicatie niet meer zichtbaar.

Kanters Lieshout is een Nederlandse waterspecialist gevestigd in Lieshout in Noord Brabant. Het bedrijf is actief in de agrarische sector en levert producten en kennis op het gebied van drinkwaterhygiëne, vloeibare voedingssupplementen, reinigingsmiddelen en desinfectiemiddelen voor waterleidingen, en hoefverzorging. De afnemers zijn voornamelijk veehouders in de melkvee, varkens en pluimveesector. Het bedrijf is zowel binnen Nederland als internationaal actief en presenteert zichzelf als kennispartner op het gebied van water in de veehouderij.

Het afpersingsbericht op de homepage is kort en in het Engels gesteld en bevat geen aanwijzing voor een bekende ransomware groep. De combinatie van een bitcoin adres en een Twitter contact suggereert een individueel of klein opererende aanvaller in plaats van een gevestigde ransomwaregroep met eigen lekplatform. Op het moment van publicatie waren er geen aanvullende publieke meldingen van Kanters zelf of van andere bronnen over de toedracht, de omvang van een mogelijke datalek of de getroffen systemen. Het bedrijf is nog niet bereikt voor een reactie.

Voor klanten en leveranciers van Kanters is het verstandig om alert te zijn op mogelijke vervolgactiviteiten zoals phishing namens het bedrijf, gewijzigde betaalverzoeken of andere social engineering pogingen die misbruik maken van de naam van het bedrijf zolang het incident loopt. Voor de bredere Nederlandse agrarische sector onderstreept dit incident dat ook gespecialiseerde mkb leveranciers van veehouderijen doelwit kunnen zijn van cybercriminelen, terwijl een verstoring van zo'n schakel impact kan hebben op de productieketen en voedselketen verderop. De redactie blijft de status van de website monitoren en zal het artikel actualiseren wanneer aanvullende informatie of een verklaring van het bedrijf beschikbaar komt.

Bron: Cybercrimeinfo onderzoek

De Franse autoriteiten hebben een vijftienjarige jongen aangehouden op verdenking van de verkoop van gestolen data, afkomstig van een cyberaanval op France Titres (ANTS). Deze overheidsdienst is verantwoordelijk voor de uitgifte en het beheer van administratieve documenten in Frankrijk. De ANTS bevestigde eerder de inbreuk en de authenticiteit van de data die te koop werden aangeboden op een cybercrimineel forum door iemand met het alias 'breach3d'.

Op 13 april detecteerde de ANTS verdachte activiteiten op haar netwerk en bracht enkele dagen later, op 16 april, de autoriteiten op de hoogte, zo meldde het parket van Parijs. Na onderzoek zijn de autoriteiten van mening dat de vijftienjarige verdachte de alias 'breach3d' gebruikte om tussen de 12 en 18 miljoen records aan te bieden die bij de datalek van de ANTS waren gestolen.

De minderjarige wordt beschuldigd van ongeoorloofde toegang, persistentie en data-exfiltratie uit een door de staat beheerd geautomatiseerd persoonsgegevensverwerkend systeem, evenals het bezit van software die deze overtredingen mogelijk maakt. Deze delicten kunnen leiden tot een maximale gevangenisstraf van zeven jaar en een boete van 300.000 euro, aldus het parket van Parijs in een persbericht. Een rechter overziet nu de zaak. Op basis van het gevonden bewijsmateriaal eisen aanklagers formele aanklachten en hebben zij verzocht om de minderjarige onder gerechtelijk toezicht te plaatsen.

De ANTS maakte op 20 april bekend dat een dreigingsacteur hun systemen had gecompromitteerd en toegang had verkregen tot data van individuele en professionele accounts op het ants.gouv.fr portaal. De overheidsdienst stelde vast dat onder de getroffen data volledige namen, e-mailadressen, geboortedatums, postadressen en telefoonnummers vielen. Deze aankondiging volgde nadat een dreigingsacteur beweerde de ANTS te hebben gecompromitteerd en tot 19 miljoen records te koop aanbood die naar verluidt bij de aanval waren gestolen. In een update over het incident verklaarde de dienst dat het aantal getroffen accounts 11,7 miljoen bedroeg, maar dat de gestolen data niet konden worden gebruikt voor ongeoorloofde toegang. In afwachting van de beslissing van de onderzoeksrechter is de vijftienjarige minderjarige nog niet formeel aangeklaagd.

Bron: Paris Prosecutor's Office | Bron 2: hubs.la