Opsporing nieuws

De Amerikaanse autoriteiten hebben een 36-jarige man aangeklaagd voor het stelen van 53 miljoen dollar via gehackte smart contracts. De cryptobeurs waar het geld werd buitgemaakt, moest als gevolg van de diefstal de deuren sluiten. Volgens de aanklacht wist de man in april 2021 twee keer toe te slaan bij cryptobeurs Uranium Finance door middel van gehackte smart contracts.

Uranium Finance was een gedecentraliseerde cryptobeurs waar gebruikers door middel van liquidity pools cryptovaluta konden storten en omwisselen. Voor het beheer van de liquidity pools gebruikte de cryptobeurs smart contracts. Een smart contract is een digitaal contract, vastgelegd op de blockchain, dat automatisch wordt uitgevoerd wanneer aan vooraf vastgestelde voorwaarden wordt voldaan.

De verdachte maakte begin april 2021 misbruik van een fout in een smart contract van Uranium Finance, waardoor hij zo'n 1,4 miljoen dollar aan cryptovaluta uit een liquidity pool kon stelen. Vervolgens zou hij de cryptobeurs hebben afgeperst, waarbij hij ongeveer een miljoen dollar zou teruggeven, als hij het resterende bedrag mocht houden en er geen actie tegen hem werd ondernomen.

Eind april vond de verdachte een tweede fout in een smart contract van Uranium Finance, waarin stond hoeveel hij uit een liquidity pool mocht opnemen. De man zou op deze manier het geld uit 26 verschillende liquidity pools hebben gestolen, goed voor een bedrag van meer dan 53 miljoen dollar. Dat bedrag werd vervolgens witgewassen en onder andere uitgegeven aan munten, Pokémon-kaarten en Magic: The Gathering-kaarten. Deze spullen zijn inmiddels door de autoriteiten in beslag genomen, evenals zo'n 31 miljoen dollar aan cryptovaluta. Mocht de verdachte schuldig worden bevonden, dan kan hij worden veroordeeld tot een gevangenisstraf van maximaal 30 jaar.

Bron: U.S. Department of Justice

Een politieagent raakte op donderdag 2 april 2026 in zijn vrije tijd gewond tijdens de aanhouding van een minderjarige verdachte uit Vlaardingen. De aanhouding vond plaats in Steenbergen en betrof een zaak van bankhelpdeskfraude.

De agent kreeg van een familielid te horen dat deze was opgelicht door middel van bankhelpdeskfraude. Samen met zijn zoon ging de agent verhaal halen bij het slachtoffer en zocht vervolgens in de omgeving naar de verdachte, aan de hand van een signalement. De verdachte werd aangetroffen op het Floraplein in Steenbergen.

De agent sprak de verdachte aan en maakte kenbaar dat hij bij de politie werkzaam is. De verdachte ontkende echter en gebruikte geweld tegen de agent, die meerdere malen werd geslagen en verwondingen opliep. Uiteindelijk kon de agent de verdachte aanhouden, waarna collega's ter plaatse kwamen en de minderjarige jongen meenamen naar het politiecellencomplex voor verhoor. De politie doet verder onderzoek in deze zaak.

De politie benadrukt dat agressie en geweld tegen politie en hulpverleners onacceptabel is. Politiebeambten moeten hun werk kunnen doen zonder te worden gehinderd. Geweld tegen mensen met een publieke taak krijgt bij de politie altijd prioriteit.

Bron: Politie

Een 59-jarige Amerikaanse man heeft bekend dat hij honderden servers en duizenden workstations heeft gesaboteerd om zijn toenmalige werkgever af te persen. De man was werkzaam als 'core infrastructure engineer' bij een niet nader genoemd industrieel bedrijf. Eind 2023 creëerde hij taken waardoor dertien domain administrator accounts werden verwijderd en het wachtwoord van 254 servers en 3284 workstations werden aangepast, evenals 301 domain user accounts.

Op dezelfde dag dat deze taken werden uitgevoerd, stuurde hij zijn werkgever een afpersingsmail. Hij dreigde elke dag tientallen andere servers uit te schakelen als er geen 700.000 euro aan bitcoin als losgeld werd betaald. Onderzoek wees uit dat de verdachte ook de taken had aangemaakt die hiervoor moesten zorgen. Volgens de aanklager zou het gevolgen voor de bedrijfsvoering kunnen hebben als deze taken zouden zijn uitgevoerd.

Verder onderzoek onthulde dat er een remote verbinding was opgezet naar een verborgen virtual machine op het netwerk van het getroffen bedrijf. Vanuit deze virtual machine was ingelogd op het admin account van het bedrijf. Ook bleek dat er vanuit deze virtual machine voorbereidingen voor de aanval waren getroffen. Zo was er gezocht naar hoe domein user wachtwoorden vanaf de command line zijn aan te passen, computers op afstand via cmd zijn uit te schakelen en hoe alle Windows logs vanaf de command line zijn te verwijderen.

Het onderzoek toonde ook aan dat de verborgen virtual machine was benaderd vanaf de laptop en het account van de verdachte. Een analyse van de laptop van de verdachte en de verborgen virtual machine liet zien dat de browse activiteiten op de laptop van de verdachte stopten zodra er vanaf de verborgen virtual machine werd gebrowsed. De aanklager stelt dat er op basis van deze activiteit reden is om aan te nemen dat dezelfde gebruiker zowel de laptop van de verdachte als de verborgen virtual machine gebruikte. De man heeft nu bekend schuldig te zijn en kan worden veroordeeld tot een gevangenisstraf van maximaal vijftien jaar en een boete van 500.000 dollar.

Bron: U.S. Department of Justice

De Duitse autoriteiten hebben de identiteit onthuld van de hacker die bekend stond als "UNKN", de leider van de Russische ransomwaregroepen GandCrab en REvil. De 31-jarige Rus Daniil Maksimovich Shchukin wordt ervan beschuldigd beide cybercrimebendes te hebben geleid en betrokken te zijn geweest bij minstens 130 gevallen van computersabotage en afpersing in Duitsland tussen 2019 en 2021.

De Duitse federale recherche (BKA) publiceerde een opsporingsbericht waarin Shchukin wordt geïdentificeerd als UNKN (ook bekend als UNKNOWN). Volgens de BKA hebben Shchukin en een andere Rus, de 43-jarige Anatoly Sergeevitsch Kravchuk, bijna 2 miljoen euro afgeperst middels cyberaanvallen, die in totaal meer dan 35 miljoen euro aan economische schade veroorzaakten.

Shchukin's naam dook op in een document uit februari 2023 van het Amerikaanse ministerie van Justitie, waarin de inbeslagname werd gevorderd van verschillende cryptocurrency accounts die verband houden met de activiteiten van de REvil ransomwaregroep. De digitale wallet die aan Shchukin was gekoppeld, bevatte meer dan 317.000 dollar aan illegaal verkregen cryptocurrency.

Het GandCrab ransomware affiliate programma verscheen in januari 2018 en betaalde hackers een groot deel van de winst voor het hacken van gebruikersaccounts bij grote bedrijven. Het GandCrab team probeerde vervolgens die toegang uit te breiden en vaak grote hoeveelheden gevoelige en interne documenten weg te sluizen. Het team bracht vijf grote revisies van de GandCrab code uit, elk met nieuwe functies en bugfixes om de inspanningen van computerbeveiligingsbedrijven om de verspreiding van de malware te belemmeren, te dwarsbomen.

Op 31 mei 2019 kondigde het GandCrab team aan te stoppen na meer dan 2 miljard dollar van slachtoffers te hebben afgeperst. "We zijn een levend bewijs dat je kwaad kunt doen en er ongestraft mee weg kunt komen", aldus GandCrab in een afscheidsbericht. "We hebben bewezen dat je in één jaar een leven lang geld kunt verdienen. We hebben bewezen dat je nummer één kunt worden door algemene toelating, niet uit eigenwaan."

Het REvil ransomware affiliate programma ontstond rond dezelfde tijd als het einde van GandCrab, onder leiding van een gebruiker genaamd UNKNOWN, die op een Russisch cybercrimeforum aankondigde dat hij 1 miljoen dollar in escrow had gestort om te laten zien dat hij serieus was. Veel cybersecurity experts concludeerden dat REvil niet meer was dan een reorganisatie van GandCrab.

UNKNOWN gaf ook een interview aan Dmitry Smilyanets, een voormalig hacker die door Recorded Future was ingehuurd, waarin UNKNOWN een rags-to-riches verhaal beschreef. "Als kind snuffelde ik door de vuilnisbelten en rookte ik sigarettenpeuken", vertelde UNKNOWN aan Recorded Future. "Ik liep 10 km enkele reis naar school. Ik droeg zes maanden dezelfde kleren. In mijn jeugd, in een gemeenschappelijk appartement, at ik twee of zelfs drie dagen niet. Nu ben ik miljonair."

UNKNOWN en REvil herinvesteerden aanzienlijke inkomsten in het verbeteren van hun succes en het spiegelen van praktijken van legitieme bedrijven. "Net zoals een echte fabrikant andere bedrijven zou inhuren om de logistiek of het webdesign te verzorgen, besteedden ransomwareontwikkelaars steeds vaker taken buiten hun bereik uit, en concentreerden ze zich in plaats daarvan op het verbeteren van de kwaliteit van hun ransomware. De hogere kwaliteit ransomware resulteerde in meer en hogere uitbetalingen van slachtoffers. De monumentale betalingen stelden bendes in staat te herinvesteren in hun ondernemingen. Ze huurden meer specialisten in, en hun succes versnelde."

REvil zou uitgroeien tot een gevreesde "big-game-hunting" machine die in staat was om forse afpersingsbetalingen van slachtoffers te eisen, voornamelijk gericht op organisaties met een jaaromzet van meer dan 100 miljoen dollar en cyberverzekeringen.

Bron: BKA | Bron 2: amazon.com | Bron 3: event-myata.ru

Cybercrimeinfo heeft ontdekt dat de beheerder van BreachForums, Mr. Tsvetkov, zich in de problemen heeft gewerkt na een poging tot exit-scam. Op 15 maart ging het forum offline, wat later werd bevestigd als een exit-scam door een onbekende beheerder. Op 25 maart werd het forum opnieuw gelanceerd onder het alias "Caine", waarbij gebruik werd gemaakt van een backup van februari.

Bron: Int. Cyber Digest

Een 24-jarige man uit Delfzijl is door de rechtbank Noord Nederland veroordeeld tot een gevangenisstraf van zeven jaar voor het stelen van 900.000 euro via bankhelpdeskfraude. Dit is een van de hoogste straffen die ooit in Nederland is opgelegd voor dit type fraude. De man maakte zich ook schuldig aan het witwassen van cryptovaluta ter waarde van ruim 6,5 miljoen euro.

Volgens het Openbaar Ministerie (OM) had de verdachte een leidende rol in het aansturen van anderen die zich voordeden als bankmedewerkers. Hij belde slachtoffers ook zelf op en deed zich voor als bankmedewerker. Slachtoffers werden overgehaald om de remote access software AnyDesk te installeren, waardoor hun computers op afstand konden worden overgenomen. Vervolgens werden zowel bankrekeningen als cryptowallets leeggehaald. Bij een van de slachtoffers werd 500.000 euro buitgemaakt.

De rechter stelde dat computervredebreuk essentieel was voor de oplichtingen en diefstallen. De computers van de slachtoffers werden overgenomen om geld over te maken van spaarrekeningen naar lopende rekeningen, opnamelimieten te verhogen en geld over te boeken naar bankrekeningen en cryptowallets van katvangers.

Bij de verdachte werden twaalf 'leadlijsten' met gegevens van vermogende personen aangetroffen. Tijdens een huiszoeking bij de moeder van de verdachte vond de politie twee A4'tjes met seed phrases, waardoor 1,6 miljoen euro aan cryptovaluta in beslag kon worden genomen. De rechtbank benadrukte dat de inhoud van het dossier en de handelswijze van de verdachte schokkend waren. Hij sprak openlijk in chatberichten en telefoongesprekken over de strafbare feiten en het buitgemaakte geld.

De rechter noemde ook het gedrag van de verdachte vanuit de penitentiaire inrichting zorgelijk. In afgeluisterde gesprekken gaf hij aan dat het dossier niet veel voorstelde, hij een gevangenisstraf van twee tot vier jaar zou krijgen, hij met goed gedrag snel weer vrij zou zijn en dat als hij een miljoen van zijn geld terugkreeg, het dan wel wit zou zijn en hij daarover zes procent rente zou ontvangen. De man was al eerder veroordeeld voor soortgelijke feiten. Naast de gevangenisstraf moet de man zijn slachtoffers een schadevergoeding van ruim 600.000 euro betalen. De ontnemingsvordering van het Openbaar Ministerie wordt op een later tijdstip behandeld.

Bron: Rechtbank Noord-Nederland

Tijdens een internationale operatie hebben de Britse politie, de Amerikaanse Secret Service en de Canadese politie duizenden slachtoffers van 'approval phishing' geïdentificeerd. Het gaat om mensen in meer dan dertig landen die criminelen toegang tot hun cryptowallets gaven. De autoriteiten hebben twaalf miljoen dollar weten te bevriezen die door criminelen uit de wallets was gestolen. Daarnaast is er meer dan 45 miljoen dollar aan gestolen crypto geïdentificeerd, buitgemaakt bij andere fraudes wereldwijd.

De operatie duurde een week en was gericht op het opsporen van slachtoffers van 'approval phishing' en gecompromitteerde wallets. De autoriteiten identificeerden meer dan twintigduizend wallets en konden meer dan drieduizend slachtoffers identificeren en waarschuwen. De Secret Service waarschuwt dat scammers valse nepmeldingen of waarschuwingen tonen die van een vertrouwde app of dienst afkomstig lijken, die met crypto investeringen te maken hebben. Slachtoffers wordt vervolgens gevraagd om toegang tot hun wallet goed te keuren, waarna criminelen de wallets kunnen legen. De Amerikaanse opsporingsdienst benadrukt dat transacties niet terug te draaien zijn en het geld lastig terug te krijgen is zodra het geld uit het account van het slachtoffer is gestolen. De autoriteiten namen ook ruim honderd domeinnamen in beslag die voor fraude werden gebruikt.

Bron: National Crime Agency | Bron 2: secretservice.gov | Bron 3: chainalysis.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Een medewerkster van een bedrijf in de Rotterdamse haven is in hoger beroep niet veroordeeld voor computervredebreuk, ondanks het delen van haar inloggegevens met een collega. Het Openbaar Ministerie (OM) had een gevangenisstraf van twaalf dagen geëist. De vrouw had een account voor MyTerminal, een systeem met realtime informatie over containeroverslag in de Rotterdamse haven.

Een collega vroeg haar om haar inloggegevens en 2FA-codes, onder het mom dat hij deze nodig had voor zijn werk en nog op zijn eigen inloggegevens wachtte. In werkelijkheid gebruikte hij de gegevens om informatie op te zoeken over containers die mogelijk verband hielden met de invoer van verdovende middelen. Het OM beschuldigde de medewerkster van misbruik van haar inloggegevens en medeplegen van computervredebreuk. In eerste aanleg werd ze vrijgesproken, waarna het OM in hoger beroep ging.

Het gerechtshof Den Haag stelt dat voor een veroordeling wegens computervredebreuk vereist is dat de verdachte opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk dat aan een ander toebehoort. Het hof voegt toe dat van wederrechtelijk binnendringen sprake is als men zich toegang verschaft tegen de onmiskenbare wil van de rechthebbende, bijvoorbeeld door het doorbreken van beveiliging, met een valse sleutel of door het aannemen van een valse hoedanigheid.

Hoewel de collega inlogde, oordeelde het hof dat er een nauwe band en bewuste samenwerking was tussen de collega en medewerkster, waardoor zij medeverantwoordelijk kon worden gehouden. De medewerkster gaf willens en wetens haar inloggegevens aan haar collega, wetende dat hij daarmee toegang zou krijgen tot MyTerminal. Het hof stelde dat de medewerkster zich schuldig heeft gemaakt aan computervredebreuk.

De advocaat van de medewerkster stelde dat zij ontslagen moet worden van alle rechtsvervolging, omdat de vrouw niet wist dat haar handelen ongeoorloofd was. Volgens de medewerkster was het binnen het bedrijf gebruikelijk dat collega's elkaars inloggegevens gebruikten. Het hof stelde dat collega's in beginsel elkaar mogen vertrouwen en er niet steeds op bedacht hoeven te zijn dat een collega zich mogelijk inlaat met criminele zaken, tenzij anders geïnstrueerd. Het bedrijf bleek medewerkers niet te hebben ingelicht over het gebruik van hun persoonlijke inloggegevens. Hoewel er een handboek was met voorschriften over het gebruik van zakelijke accounts, maakte de inhoud daarvan geen deel uit van het dossier, zodat het hof niet kon vaststellen welke concrete regels voor de medewerkster golden. Ook bleek niet of dit handboek ooit aan de vrouw was verstrekt.

Het hof hield er rekening mee dat de medewerkster en collega elkaar zeer goed kenden en er geen bewijs is dat de vrouw iets met het delen van de inloggegevens heeft verdiend. Volgens het hof is dan ook bewezen dat de vrouw niet wist dat ze haar inloggegevens niet mocht delen. Hoewel bewezen is dat ze zich schuldig heeft gemaakt aan computervredebreuk, is de vrouw volgens het hof niet strafbaar en wordt ze van alle rechtsvervolging ontslagen.

Bron: Gerechtshof Den Haag

De FBI heeft met succes privé berichten in Signal van een iPhone van een verdachte hersteld, zelfs nadat de app was verwijderd. Dit werd onthuld in een rechtszaak in Texas, waaruit bleek dat deze berichten langer in het telefoongeheugen kunnen blijven dan verwacht. De FBI kon de berichten terughalen uit de push notificatie database van de iPhone.

Tijdens de rechtszaak in april 2026, in een zaak rond een aanval op een detentiecentrum in Texas in juli 2025, legde FBI Special Agent Clark Wiethorn uit hoe onderzoekers toegang kregen tot het bewijs. Wanneer een bericht binnenkomt, toont de telefoon een kleine preview op het scherm, die wordt afgehandeld door het besturingssysteem van de telefoon en niet door Signal. Zelfs als Signal het bericht later verwijdert, kan het telefoonsysteem een kopie van die preview opslaan in zijn eigen records. Om deze opgeslagen berichten van Signal te lezen, gebruikte de FBI Cellebrite, een forensische tool die vaak door wetshandhavers wordt gebruikt om in beslag genomen apparaten te scannen.

Een belangrijke bevinding is dat de FBI alleen inkomende berichten kon zien, niet de berichten die de verdachte had verzonden. Dit bevestigt dat de data afkomstig was van de notificatieopslag. Het toont aan dat, hoewel de encryptie van de app sterk is, het besturingssysteem van de telefoon zijn eigen logs van alles bijhoudt. Dit is niet alleen een probleem voor Signal, maar kan gebeuren met elke app voor berichten die previews toont, inclusief WhatsApp of Telegram.

Om te voorkomen dat de telefoon berichtpreviews opslaat, kunnen gebruikers de instellingen van hun iPhone en app wijzigen. Op een iPhone kan men naar de meldingsinstellingen van Signal gaan en 'Show Previews' op 'Never' zetten. Vervolgens kan men Signal openen, naar 'Settings' > 'Notifications' > 'Notification Content' gaan en 'No Name or Content' selecteren. De telefoon zal nog steeds waarschuwen wanneer een bericht binnenkomt, maar zal de tekst niet weergeven of opslaan. Zonder preview data is er niets voor het systeem om te bewaren of voor forensische tools om te extraheren. Het is raadzaam dezelfde instellingen toe te passen op andere apps voor berichten om te vermijden dat berichtinhoud via notificatielogs wordt blootgesteld.

Bron: FBI

Het FBI Atlanta Field Office en de Indonesische Nationale Politie hebben een wereldwijde phishingoperatie opgerold die in verband wordt gebracht met meer dan 20 miljoen dollar aan pogingen tot fraude. Deze actie omvatte de inbeslagname van infrastructuur en de arrestatie van een verdachte ontwikkelaar die gelinkt is aan een veelgebruikte phishingkit.

Het onderzoek draait om de W3LL phishingkit, waarmee cybercriminelen overtuigende replica's van legitieme inlogpagina's konden maken. De dienst werd verkocht voor ongeveer 500 dollar en bood kopers een gebruiksklare methode om gebruikersnamen en wachtwoorden van slachtoffers te stelen. De operatie wordt beschreven als een compleet cybercrime platform, ondersteund door een online marktplaats genaamd W3LLSTORE, waar gestolen inloggegevens werden gekocht en verkocht. Tussen 2019 en 2023 faciliteerde de marktplaats de verkoop van meer dan 25.000 gecompromitteerde accounts.

Na de sluiting van W3LLSTORE in 2023 ging de operatie door via versleutelde berichtenplatforms. De dienst werd omgedoopt en privé gedistribueerd, waardoor deze actief bleef en nieuwe gebruikers bereikte. Tussen 2023 en 2024 werd de phishingkit gebruikt in meer dan 17.000 aanvallen wereldwijd. Uit onderzoek van Group-IB in september 2023 bleek dat het platform zich richtte op bedrijfsomgevingen, waaronder Microsoft 365 accounts, waarbij aanvallers authenticatiebescherming probeerden te omzeilen en permanente toegang te krijgen.

De activiteit was geconcentreerd in een paar belangrijke landen, waarbij de Verenigde Staten meer dan de helft van de geïdentificeerde gevallen voor hun rekening namen. De aanvallen waren gericht op meerdere industrieën, waaronder de maakindustrie, technologie en professionele dienstverlening.

Op 10 april 2026 kondigden de autoriteiten de inbeslagname aan van domeinen die aan de operatie waren gekoppeld, waardoor zowel de verkoop van de phishingkit als de distributie van gestolen gegevens werd verstoord. De vermeende ontwikkelaar, geïdentificeerd als G.L., werd gearresteerd in Indonesië. Verdere details over hun identiteit zijn niet vrijgegeven.

Volgens de FBI is door het oprollen van deze operatie voorkomen dat cybercriminelen duizenden slachtoffers accountgegevens konden stelen en meer dan 20 miljoen dollar aan fraude konden plegen. De autoriteiten richten zich niet alleen op de gebruikers van phishingtools, maar ook op de ontwikkelaars ervan. Door de infrastructuur achter de dienst te verwijderen, hopen de onderzoekers meerdere criminele operaties tegelijkertijd te verstoren. Phishingkits maken het voor cybercriminelen, zelfs script kiddies, gemakkelijker om professionele oplichting uit te voeren. Met gebruiksklare tools die relatief goedkoop verkrijgbaar zijn, kunnen aanvallers grootschalige campagnes lanceren zonder geavanceerde technische vaardigheden, waardoor het volume en bereik van credential diefstal wereldwijd toeneemt.

Bron: Group-IB | Bron 2: hackread.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing