Analyse 22 mei 2026

Negentig procent. Dat is wat ransomwaregroep The Gentlemen haar affiliates belooft.

De criminele groep lanceerde deze week formeel een Ransomware as a Service programma op ondergrondse forums. Het standaardmodel in de ransomwarewereld is tachtig procent voor de affiliate, twintig voor de groep zelf. The Gentlemen biedt tien procent meer. Dat is geen beleefdheid, dat is een wervingsstrategie.

Achter die hogere uitbetaling schuilt een gevaarlijke dynamiek. Meer marge voor affiliates betekent meer instroom van criminelen die normaal elders actief waren. Check Point Research bevestigt dat de groep in de eerste vijf maanden van 2026 al 332 slachtoffers publiceerde op haar dataleksite.

De groep richt zich op Windows, Linux, NAS, BSD en ESXi omgevingen. Dat is de infrastructuur van vrijwel elk middelgroot en groot bedrijf in Nederland en Belgie. Met meer affiliates in omloop komen er meer aanvallen, niet minder.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe snel dit soort aankondigingen het criminele ecosysteem vergroot.

Heeft uw organisatie een actueel beeld van welke systemen doelwit zijn bij een gerichte ransomware aanval?

Analyse 21 mei 2026

Er hoeft geen bedrijf te zijn aangevallen om als Belgische burger op een crimineel forum te belanden.

Op een ondergronds forum adverteert een dreigingsactor een vermeend dataset van Belgische burgers. Geen specifieke organisatie als slachtoffer. Geen bevestigde inbraak. De claims zijn niet geverifieerd en zijn mogelijk gerecycled materiaal. Toch staat de aankondiging er.

Dat is de kern van dit type dreiging. De actor verkoopt perceptie. Een geloof dat de data echt is, is genoeg om afnemers aan te trekken of slachtoffers te intimideren. Of de inhoud klopt is secundair.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe dergelijke listings een eigen leven gaan leiden, ongeacht de feitelijke waarde van de aangeboden data.

Voor Belgische burgers en organisaties die persoonsdata verwerken is dit een signaal dat het dreigingslandschap verder reikt dan bekende datalekken bij bedrijven.

Controleert uw organisatie actief of gegevens van uw klanten of medewerkers op criminele forums verschijnen?

Analyse 20 mei 2026

MFA werkt. Maar niet als de aanvaller nooit om je wachtwoord vraagt.

EvilTokens is een platform dat phishing als dienst aanbiedt en in vijf weken meer dan 340 Microsoft 365-organisaties in Europa en de VS heeft gecompromitteerd. De methode steelt geen wachtwoorden maar onderschept het sessietoken dat na een geslaagde verificatie wordt afgegeven.

De aanpak is technisch eenvoudig. Het slachtoffer klikt op een nagemaakte inlogpagina die alle invoer doorstuurt naar de echte omgeving en het sessietoken retourneert. Wat de aanvaller ontvangt, is volledige toegang. Zonder ooit het wachtwoord of de verificatiecode te hebben gezien.

Voor organisaties die MFA onlangs hebben ingevoerd als beveiligingsmaatregel, is dit een ongemakkelijke boodschap. De maatregel klopt. De methode gaat er omheen.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe aanvalstechnieken zich aanpassen aan de beveiligingsmaatregelen die organisaties nemen.

Voor organisaties in Nederland en Belgie geldt dat sessiebeveiliging steeds vaker het zwakste punt is, niet het wachtwoord of de verificatiecode zelf.

Heeft uw organisatie al gecontroleerd of sessietokens een maximale geldigheidsduur hebben?

Analyse 19 mei 2026

Een ransomwaregroep die honderden organisaties aanviel, is nu zelf het slachtoffer. De interne systemen van The Gentlemen zijn uitgelekt en de schade is volledig.

Gesprekslogboeken, slachtofferlijsten, onderhandelingstranscripten en informatie over affiliates liggen nu publiek op meerdere cybercrime forums. De data beslaat de periode november 2025 tot eind april 2026 en toont hoe een moderne RaaS operatie van binnenuit werkt. The Gentlemen is in 2026 de op een na meest productieve ransomwaregroep ter wereld, met 332 gepubliceerde slachtoffers in de eerste vijf maanden van dit jaar.

De lek begon bij hun hostingaanbieder. Een aanvaller bood de gestolen data eerst aan voor 10.000 dollar. Drie dagen later werd alles gratis vrijgegeven op meerdere forums.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe ransomwaregroepen hun interne communicatie vaak behandelen als veilig terrein. Dit incident laat zien dat ook aanvallers kwetsbaar zijn voor de methodes die zij zelf gebruiken.

Voor organisaties in Nederland en Belgie is dit nuttige informatie. De blootgestelde gesprekslogboeken geven inzicht in hoe slachtoffers worden geselecteerd, welke argumenten worden gebruikt in onderhandelingen en welke sectoren prioriteit krijgen bij aanvallen.

Staat uw sector in de doelwitlijsten die nu openbaar zijn?

Analyse 18 mei 2026

Criminelen sturen nu ook echte post om uw crypto te stelen.

Eigenaren van Ledger hardware wallets ontvangen momenteel vervalste post op papier. De brief ziet er officieel uit, compleet met het logo van Ledger, een referentienummer en een melding over een dringende beveiligingsupdate. Er staat een QR code in. Die code leidt naar een namaaksite waar gevraagd wordt om uw herstelzin in te vullen. Dat zijn de 24 woorden die volledige toegang geven tot uw cryptosaldo.

Wie die zin invult, verliest zijn crypto.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe criminelen digitale aanvalstechnieken steeds vaker combineren met fysieke methoden. Dit is niet langer een e-mail of sms die in de spammap belandt. Iemand heeft geld geïnvesteerd in briefpapier, drukwerk, enveloppen en postzegels. Dat betekent dat de opbrengst de investering rechtvaardigt.

Ledger heeft bevestigd dat zij nooit om uw herstelzin vragen, op geen enkele manier. Ontvangt u zo'n brief? Vernietig hem direct.

Weet u welke medewerkers in uw organisatie hardware wallets gebruiken voor zakelijke crypto?

Analyse 17 mei 2026

Grafana weigerde losgeld te betalen. Dat is goed nieuws. Het slechte nieuws: hun broncode is al gestolen via een kwetsbaarheid die veel organisaties op dit moment ook hebben.

Aanvallers maakten gebruik van een zogenaamde Pwn Request kwetsbaarheid in een GitHub Actions workflow. Door een pull request in te dienen bij een publiek Grafana repository kregen ze toegang tot productietokens. Daarmee downloadden ze vijf privérepositories en eisten ze betaling.

De kern van het probleem zit in GitHub Actions workflows die draaien op pull_request_target events. Daarmee krijgen externe bijdragers toegang tot productiegeheimen tijdens een CI uitvoering. Dit is een bekende, maar veelgemaakte misconfiguratie, ook bij grote organisaties.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe supply chain aanvallen via CI omgevingen steeds vaker voorkomen. Grafana heeft 20 miljoen gebruikers en werd door zijn eigen monitoring ontdekt via een canary token die werd getriggerd. Dat is de betere kant van dit verhaal.

De vraag is of uw organisatie overzicht heeft over welke GitHub Actions workflows in uw repositories toegang hebben tot productietokens, en of externe bijdragers daarbij betrokken zijn.

Heeft uw organisatie dit in kaart gebracht?

Analyse 16 mei 2026

Wat me vandaag het meeste opvalt aan de dreigingen van dit moment.

De CalPhishing aanval via Outlook is slim omdat de aanval begint vóórdat je iets ziet. Het ics bestand komt binnen, Outlook verwerkt het automatisch, en ineens staat er een afspraak in je agenda met een link die eruitziet als een normale Teams vergadering. Je phishingtraining heeft je geleerd om verdachte e-mails te herkennen, maar deze aanval omzeilt precies die training.

Combineer dit met de EvilTokens kit, die sessietokens steelt waarmee ook meerfactorauthenticatie wordt omzeild, en je begrijpt waarom meer dan 340 organisaties al getroffen zijn.

The Gentlemen ransomwaregroep verdient aandacht. 240 aanvallen in 2026 alleen al, een 90/10 winstdeling die concurrenten overtreft, en initiële toegang via kwetsbaarheden in Fortinet en Cisco apparatuur die veel organisaties nog niet hebben gepatcht.

Via de monitoring van Cybercrimeinfo zie ik dagelijks hoe snel dit soort groepen groeien. De vraag is niet of, maar wanneer ze Nederlandse en Belgische organisaties actief targeten.

Welk van deze dreigingen is voor jou het meest relevant?

Analyse 15 mei 2026

Er zijn in Nederland nog tienduizenden organisaties die Exchange Server in eigen beheer draaien. Banken, gemeenten, zorginstellingen, advocatenkantoren. Geen cloud. Gewoon eigen servers, op locatie of in een datacenter.

Microsoft heeft gisteren een kwetsbaarheid bevestigd in die servers die actief wordt misbruikt. CVE-2026-42897. CVSS score 8.1. Het gaat om een fout in Outlook Web Access waarmee een aanvaller via een speciaal opgesteld bericht code kan uitvoeren in de browser van de ontvanger. Zonder authenticatie. Van buitenaf.

Een definitieve patch is er nog niet. Tijdelijke bescherming is beschikbaar via de Exchange Emergency Mitigation Service, maar alleen als die actief staat op de server.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat kwetsbaarheden in mailapplicaties bijzonder snel worden opgepakt zodra actief misbruik wordt bevestigd. Geautomatiseerde scanners zoeken binnen uren naar bereikbare systemen. Het tijdvenster om actie te ondernemen is klein.

Als uw organisatie Exchange Server in eigen beheer draait, controleer dan nu of EEMS actief staat en volg de mitigatiestappen van Microsoft.

Hoe lang duurt het gemiddeld bij jouw organisatie voordat een kritieke patch is doorgevoerd?

Analyse 14 mei 2026

Er bestaat in Nederland een beveiligingsnorm die verplicht is voor elke zorginstelling die medische gegevens verwerkt. Die norm heet NEN 7510. Hij schrijft voor hoe informatiebeveiliging in de zorg georganiseerd moet zijn. Onafhankelijke audits, toegangscontrole, aantoonbare maatregelen. Verplicht. Al jaren.

Zorglaboratorium Clinical Diagnostics is gehackt. Meer dan 850.000 mensen hebben gegevens in dit systeem staan, afkomstig van bevolkingsonderzoeken en medische tests. De IGJ heeft nu vastgesteld dat er ernstige tekortkomingen zijn in de naleving van NEN 7510. Geen onafhankelijke audit. Geen adequate toegangscontrole.

Er is hier geen discussie over of de norm goed is. De norm bestond al. Ze werd niet nageleefd.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat dit patroon terugkomt. Organisaties die werken met gevoelige gegevens van grote groepen mensen kennen de norm, maar schuiven de implementatie door totdat er een incident is.

Het verschil met andere sectoren is dat het bij de zorg gaat om medische gegevens. De schade voor mensen van wie gegevens werden buitgemaakt is blijvend. Medische gegevens kun je niet wijzigen, niet terugdraaien en ook niet wissen.

Hoe waarborg jij in jouw organisatie dat beveiligingsnormen niet alleen op papier staan?

Analyse 13 mei 2026

Er zit een patroon in twee berichten van vandaag die op het eerste gezicht niets met elkaar te maken hebben.

De CEO van Odido weigert compensatie te bieden aan 6,2 miljoen gedupeerde klanten na het datalek van februari 2026. Tegelijkertijd sloot Instructure, leverancier van Canvas een akkoord met ShinyHunters na de diefstal van gegevens van honderdduizenden Nederlandse studenten. Het was de leverancier die betaalde, niet de universiteiten zelf.

Beide situaties draaien om hetzelfde. Hoe reageer je als organisatie nadat slachtoffers al schade hebben geleden?

Bij Odido is de reactie afwijzend. Bij Instructure, de leverancier van Canvas, sloot men een akkoord met ShinyHunters om verdere verspreiding te voorkomen. Beide keuzes hebben consequenties voor wie er daarna nog slachtoffer wordt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat de druk op getroffen organisaties toeneemt, niet afneemt. Criminelen leren van elk incident welke aanpak werkt.

Voor organisaties die nu nadenken over hun crisisplan, geldt dit. De vraag is niet of je getroffen wordt, maar hoe je dan handelt.

Hoe zou jouw organisatie reageren?

Analyse 12 mei 2026

De combinatie van twee berichten vandaag vertelt een groter verhaal.

Google Threat Intelligence Group meldde dat hackers AI inzetten voor de eerste bevestigde zero day 2FA-bypass. Tegelijkertijd werden 42 TanStack npm pakketten gecompromitteerd in een supply chain aanval.

Dit zijn geen toevalligheden. Aanvallers combineren AI voor aanvalsontwerp met supply chain toegang voor verspreiding. De aanvalsketen wordt korter en het ontdekken moeilijker.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon de afgelopen weken toenemen. Aanvallers investeren in AI omdat het loont.

Voor organisaties die JavaScript frameworks gebruiken: TanStack is in miljoenen applicaties aanwezig. Een besmette dependency bereikt je systemen vaak voor je het weet.

Vraag jezelf af: hoe lang duurt het voordat jouw organisatie een gecompromitteerd npm pakket detecteert?

Analyse 11 mei 2026

Nederlandse universiteiten onderhandelen met een ransomwaregroep over losgeld.

Dat is wat er nu speelt. ShinyHunters heeft systemen van meerdere Nederlandse universiteiten gegijzeld en de instellingen zijn actief in gesprek over betaling. Via de dagelijkse monitoring van Cybercrimeinfo zie ik deze situatie zich de afgelopen dagen ontwikkelen.

Ransomwaregroepen kiezen universiteiten niet willekeurig. De combinatie van waardevolle onderzoeksdata, beperkte beveiligingsbudgetten en grote maatschappelijke druk om snel te herstellen maakt het onderwijs tot een aantrekkelijk doelwit.

Het dilemma van betalen is voor universiteiten extra zwaar. Studenten die door verstoringen tentamens missen, onderzoekers die data verliezen en subsidietrajecten die stilliggen, dat zijn de concrete gevolgen als systemen wekenlang plat liggen.

Tegelijk financiert elke betaling de volgende aanval. Op scholen, op ziekenhuizen, op ieder die afhankelijk is van digitale systemen.

Ik zie dit patroon al jaren. Ransomware gaat niet weg zolang het loont.

Hoe kijken jullie hier naar, is er een moment waarop betalen verdedigbaar wordt?