Peter’s dagelijkse cybercrime analyse

Analyse 9 juni 2026

Iemand bespaarde een paar honderd euro per jaar door oude domeinnamen op te zeggen. Daardoor kwamen de overlijdensakten en testamenten van kwetsbare mensen op straat te liggen.

Meerdere bewindvoerders lieten hun oude e-maildomeinen verlopen. Wie zo'n domein opnieuw registreert, ontvangt vanaf dat moment alle e-mail die er nog naartoe gaat. Een ethisch hacker stuitte hierop tijdens onderzoek naar een eerder datalek, waarin veel mensen het adres van hun bewindvoerder als contactgegeven hadden opgegeven. Binnen enkele weken kon hij 258 financiële dossiers inzien.

Het venijn zit niet in de hack, maar in de aanname dat een opgezegd domein verdwenen is. Dat is niet zo. Het blijft bestaan en kan door iedereen worden overgenomen, inclusief de mailstroom die er nog op binnenkomt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat vergeten domeinen tot de meest onderschatte risico's behoren. Na een fusie, een rebranding of een afgerond project blijft er vaak een adres achter dat niemand meer beheert.

Voor elke organisatie geldt dezelfde les. Een domein dat u niet meer gebruikt hoort niet zomaar opgezegd, maar bewust geparkeerd te worden.

Weet u welke oude domeinnamen van uw organisatie ooit zijn opgezegd en nu door een ander geregistreerd kunnen worden?

Analyse 8 juni 2026

De gevaarlijkste aanval op je beveiliging schakelt die beveiliging niet uit. Ze laat haar gewoon doorpraten tegen niemand.

Onderzoekers beschreven deze week een nieuwe techniek, EDRChoker genaamd, die misbruik maakt van een ingebouwde functie van Windows om netwerkverkeer te prioriteren. De aanvaller gebruikt die functie omgekeerd en knijpt de verbinding van de beveiligingsagent terug tot bijna niets. Het gevolg is dat de agent zijn meldingen niet meer naar de cloud kan sturen en geen opdrachten meer ontvangt. Het proces draait door, het pictogram blijft groen, maar aan de andere kant komt niets meer binnen.

Wat dit zo lastig maakt, is dat er niets kapotgaat dat een controle zou opmerken. Er wordt geen proces beëindigd en geen bestand aangeraakt. Veel detectie is gebouwd om te zien wanneer beveiliging stopt, niet wanneer beveiliging blijft draaien maar stilvalt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat aanvallers steeds vaker kiezen voor onzichtbaarheid boven brute kracht. Niet uitschakelen, maar laten verstommen.

Voor Nederlandse en Belgische organisaties betekent dit dat een groen vinkje in een securitydashboard niet hetzelfde is als zicht. De vraag is niet alleen of de agent draait, maar of er aan de andere kant ook echt gegevens binnenkomen.

Zou u het binnen uw organisatie merken wanneer een beveiligingsagent nog draait maar al uren niets meer doorgeeft?

Analyse 7 juni 2026

De gevaarlijkste aanval op Microsoft 365 van deze week begon niet met code, maar met een telefoontje.

Een nieuwe afpersgroep, door onderzoekers Pink genoemd, belt medewerkers en doet zich voor als de eigen helpdesk. Het slachtoffer wordt naar een valse inlogpagina geleid en voert daar zijn gegevens in. Op dat moment kaapt de groep de actieve sessie en omzeilt zo de meervoudige authenticatie. Binnen enkele minuten doorzoeken ze OneDrive en SharePoint en sturen ze gevoelige bestanden naar buiten.

Wat deze aanpak zo lastig maakt, is dat er geen klassieke malware aan te pas komt. De groep gebruikt legitieme inloggegevens en de eigen cloudtools van Microsoft. Een virusscanner ziet niets, een firewall ziet alleen een gewone medewerker die zijn werk doet.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe deze verschuiving steeds duidelijker wordt. Aanvallers investeren niet langer in malware, maar in overtuigingskracht.

Voor Nederlandse en Belgische organisaties betekent dit dat de belangrijkste verdediging niet in een nieuw securityproduct zit, maar in medewerkers die een onverwacht telefoontje van de helpdesk durven te wantrouwen en zelf terugbellen via een bekend nummer.

Hoe goed zou een medewerker in uw organisatie een telefoontje herkennen dat zogenaamd van de eigen helpdesk komt?

Analyse 6 juni 2026

Eén klik. Meer was er niet nodig om bij de gemeente Epe binnen te komen en 871 gigabyte aan data te stelen, waaronder de persoonsgegevens en burgerservicenummers van vrijwel alle inwoners.

De aanval begon niet met een geavanceerde exploit, maar met een valse captcha. Een medewerker kreeg de instructie een paar stappen te volgen om te bewijzen dat hij geen robot was, en voerde daarbij zonder het te beseffen zelf een verborgen commando uit.

Daarna ging het snel. De aanvaller kraakte het wachtwoord van een beheerder, misbruikte een noodaccount dat geen extra beveiliging had en sluisde de data in stilte naar externe opslag. Geen ransomware, geen losgeldeis, gewoon een kopie die ongemerkt vertrok.

Deze techniek heet ClickFix. Het gevaarlijke is dat het slachtoffer de actie zelf uitvoert, waardoor beveiliging die op verdachte bijlagen of bekende malware let, niets opmerkt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik deze verschuiving steeds duidelijker. Aanvallers investeren niet in techniek, maar in het manipuleren van vertrouwen.

Voor Nederlandse en Belgische organisaties zijn bewustwording en streng accountbeheer daarom geen bijzaak, maar de eerste verdedigingslinie.

Weet u welke accounts in uw organisatie nog zonder meervoudige verificatie toegang hebben tot gevoelige data?

Analyse 5 juni 2026

Vijf maanden. Zo lang keken aanvallers mee in de mailbox van een directeur bij een grote internationale beurs, zonder dat iemand het merkte.

Geen ransomware, geen losgeldeis, geen kapotte systemen. De aanvallers kopieerden de inhoud van de mailbox in kleine, herhaalde batches en leidden die weg via Dropbox en OneDrive. Diensten die in elke organisatie de hele dag gebruikt worden, en waar vrijwel niemand argwanend naar kijkt.

Dat is precies de kracht van deze aanpak. Wie data wegsluist via een onbekende server valt op. Wie het doet via OneDrive verdwijnt in de ruis van normaal werkverkeer. De stilte is de aanval.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik deze verschuiving steeds duidelijker. Aanvallers investeren niet in lawaai, maar in geduld en in het misbruiken van vertrouwde diensten.

Voor Nederlandse en Belgische organisaties betekent dit dat detectie op basis van bekende malware of verdachte domeinen niet meer volstaat. De gevaarlijkste toegang ziet er vaak volkomen gewoon uit.

Zou u het merken wanneer gevoelige data uw organisatie verlaat via een dienst die u zelf elke dag gebruikt?

Analyse 4 juni 2026

Een datalek is bijna nooit het echte probleem. Wat erna gebeurt, is dat wel.

Bij ruim honderd hotels in Nederland en België zijn reserveringsgegevens buitgemaakt. Geen wachtwoorden, geen creditcards, alleen namen, data en boekingen. Op papier beperkt. Toch zijn gasten inmiddels duizenden euro's kwijt.

De reden is dat de gestolen data perfect bruikbaar is voor gerichte phishing. Een bericht dat je hotel, je aankomstdatum en je reserveringsbedrag noemt, voelt niet als oplichting. Het voelt als service. En precies daarom werkt het.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon steeds terugkomen. Een lek dat technisch klein lijkt, wordt de grondstof voor fraude die mensen echt geld kost.

Voor organisaties betekent dit dat de meldplicht pas het begin is. De echte schade ontstaat bij de klant, dagen later, via een bericht dat te kloppend is om te wantrouwen.

Hoe bereidt u uw klanten voor op fraude die hun eigen gegevens tegen hen gebruikt?

Analyse 3 juni 2026

Een phishingbericht herken je meestal aan wat er niet klopt. Maar wat als alles wel klopt?

Koninklijke Horeca Nederland waarschuwt deze week voor een omvangrijk datalek. Aanvallers zijn binnengedrongen in de boekingssystemen die door een groot aantal hotels worden gebruikt en hebben daar reserveringsgegevens van gasten buitgemaakt. KHN kreeg talloze meldingen van gasten die kort daarna phishingberichten ontvingen.

Het venijn zit in de details. De criminelen weten in welk hotel je hebt geboekt, voor welke datum en onder welke naam. Daarmee sturen ze geen algemene spam, maar een bericht dat naadloos aansluit op een reservering die je echt hebt gemaakt. Een verzoek om je boeking te bevestigen of te betalen oogt dan volkomen logisch.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon steeds vaker. Eén lek bij een gedeelde leverancier raakt niet één organisatie, maar tientallen tegelijk, en levert criminelen precies de context die phishing geloofwaardig maakt.

Voor bestuurders betekent dit dat de vraag niet alleen is hoe goed uw eigen systemen beveiligd zijn, maar ook welke gevoelige gegevens u deelt met leveranciers en hoe die partijen daarmee omgaan.

Weet u welke externe leveranciers toegang hebben tot de persoonsgegevens van uw klanten?

Analyse 2 juni 2026

Een gevangenis is een van de zwaarst beveiligde omgevingen die er bestaat. En toch kan daar data lekken door iets simpels, een laptop die niet werd schoongemaakt.

De staatssecretaris meldt een mogelijk datalek in de gevangenis van Vught. Gedetineerden kunnen daar hun eigen strafdossier digitaal inzien op een speciale laptop zonder internet. Na gebruik hoort die laptop te worden afgesloten en volledig gewist voordat een volgende gedetineerde hem krijgt. Een gedetineerde meldde nu dat op zijn laptop nog gegevens van iemand anders stonden. Beide betrokkenen hebben een risicostatus. Blijkt uit onderzoek dat hij die gegevens echt kon inzien, dan wordt het bij de Autoriteit Persoonsgegevens gemeld.

Wat dit zo leerzaam maakt, is dat hier niets werd gehackt. Geen kwetsbaarheid, geen aanvaller, geen slim trucje. Er was een procedure die op papier klopt en die in de praktijk een keer niet werd gevolgd.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat patroon overal terugkomen. Organisaties investeren in techniek, maar veel datalekken ontstaan bij een menselijke of organisatorische handeling die misgaat.

Voor bestuurders betekent dit dat een datalekregister en een firewall niet genoeg zijn. De vraag is of de dagelijkse routines, het wissen, het overdragen en het opruimen, ook echt worden uitgevoerd en gecontroleerd.

Welke routinehandeling in uw organisatie zou een datalek veroorzaken als die een keer wordt overgeslagen?

Analyse 1 juni 2026

Een chatbot gaf aanvallers de sleutels van accounts weg. Geen exploit, gewoon een overtuigend gesprek.

Een lek in de assistent Meta AI van Instagram maakte het mogelijk om accounts over te nemen, zelfs als die met tweefactorauthenticatie waren beveiligd. Aanvallers misleidden de assistent met promptinjectie, waarna die een wachtwoordherstellink naar het mailadres van de aanvaller stuurde. Wie de gebruikersnaam van een doelwit kende, kon zo binnenkomen. Het gearchiveerde account van het Witte Huis was het bekendste slachtoffer. Meta heeft het inmiddels verholpen.

Wat dit zo veelzeggend maakt, is dat de beveiliging hier niet werd gekraakt maar overtuigd. De tweefactorauthenticatie deed niets, omdat de AI assistent zelf de bevoegdheid had om die stap te omzeilen.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon nu vaker. AI systemen die gevoelige handelingen mogen uitvoeren worden een nieuw en onderschat aanvalsoppervlak.

Voor organisaties betekent dit dat elke AI assistent met toegang tot accounts, data of processen even kritisch beoordeeld moet worden als een medewerker met diezelfde rechten.

Welke AI assistenten in uw organisatie mogen nu al gevoelige handelingen uitvoeren zonder dat er een mens tussen zit?

Analyse 31 mei 2026

De apparaten die we kopen om ons netwerk te beschermen, zijn steeds vaker precies de plek waar de aanvaller binnenkomt.

Een kwetsbaarheid in de Palo Alto GlobalProtect VPN wordt op dit moment actief misbruikt. Aanvallers vervalsen een sessiecookie van de functie voor automatische herauthenticatie en zetten zo ongeautoriseerde verbindingen op, zonder ooit een wachtwoord in te voeren. De fout staat sinds eind mei op de lijst met actief misbruikte kwetsbaarheden van CISA.

Het patroon erachter is belangrijker dan deze ene zaak. Firewalls en VPN staan per definitie aan de rand van het netwerk, met een publiek bereikbaar inlogscherm. Juist die randapparatuur krijgt minder vaak een update dan een gewone werkplek, terwijl een fout er direct toegang tot het hele netwerk geeft.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat aanvallers steeds sneller schakelen, vaak binnen enkele dagen nadat een kwetsbaarheid bekend wordt.

Voor organisaties in Nederland en België betekent dit dat het in kaart brengen en snel bijwerken van randapparatuur geen bijzaak meer is, maar de eerste verdedigingslinie.

Hoe snel kan jouw organisatie een kritieke patch op een VPN of firewall uitrollen, gemeten in uren of in weken?

Analyse 30 mei 2026

Zeventien miljoen apparaten, en de meeste eigenaren weten van niets.

De Nederlandse politie en het NCSC haalden deze week een omvangrijk botnet offline. Het ging om een residential proxynetwerk dat draaide op 200 servers in Nederland. Bij zo'n netwerk laten criminelen hun internetverkeer lopen via de verbindingen van gewone huishoudens, zodat het lijkt alsof het van een normaal woonadres komt.

Dat is precies wat deze netwerken zo waardevol maakt voor cybercriminelen. Verkeer vanaf een echt huisadres omzeilt veel beveiligingsfilters en valt nauwelijks op. De apparaten die hiervoor worden misbruikt zijn vaak slecht beveiligde routers, camera's of andere slimme apparaten die jaren geleden zijn aangesloten en daarna vergeten.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit soort proxynetwerken steeds vaker opduiken.

Voor Nederlandse en Belgische organisaties betekent dit dat het risico niet alleen in de eigen kantooromgeving zit. Elk slecht beveiligd apparaat thuis of op het netwerk kan ongemerkt onderdeel worden van criminele infrastructuur.

Weet u welke slimme apparaten binnen uw organisatie nog verbonden zijn met het internet zonder dat iemand er nog naar omkijkt?

Analyse 29 mei 2026

Een hackersgroep viel het bedrijf aan dat de betaalterminals levert aan vrijwel elke winkel, supermarkt en parkeergarage in Nederland.

De groep Handala, waarvan wordt aangenomen dat deze nauwe banden heeft met Iraanse belangen, voerde in maart 2026 een cyberaanval uit op Verifone. Dat is de leverancier van betaalterminals en betalingssystemen achter veel vertrouwde pinautomaten en kassa's. Verifone heeft na eigen onderzoek geen bewijs gevonden van een geslaagde inbreuk op haar systemen. Nederlandse banken en betaalinstellingen bevestigen dat er geen merkbare impact was op het betaalverkeer.

Maar De Nederlandsche Bank zet de financiële sector alsnog op scherp. Dat is significant. Toezichthouders doen dat niet zonder reden, ook als concrete bevindingen niet publiek worden gemaakt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat aanvallen op betalingsinfrastructuur vaker voorkomen dan publiekelijk bekend wordt. Terminalleveranciers en betaalverwerkers zitten in de keten van vrijwel elke organisatie, maar worden zelden beschouwd als kritieke leverancier in het leveranciersrisicobeheer.

Als Verifone uw terminalleverancier is, of als uw organisatie afhankelijk is van hun betaalsystemen, is nu het moment om het leveranciersrisico te beoordelen. Niet omdat er een bevestigd lek is, maar omdat DNB dat signaal al voor u heeft afgegeven.

Heeft uw organisatie Verifone of een vergelijkbare terminalleverancier opgenomen in uw leveranciersrisicobeheer?

Analyse 28 mei 2026

Het percentage aanvallen met gijzelsoftware waarbij data daadwerkelijk wordt versleuteld, is gedaald naar het laagste punt in vijf jaar. Dat blijkt uit het nieuwe State of Ransomware rapport van Sophos.

Bij 40 procent van de aanvallen is er nog versleuteling. Bij 10 procent worden data gestolen en wordt publicatie gedreigd, zonder dat systemen worden platgelegd.

De redenering is pragmatisch. Slachtoffers zijn beter geworden in herstellen. Criminelen zijn meegegroeid. Ze versleutelen minder omdat publicatiedreiging alleen ook werkt. Encryptie is een keuze geworden, geen vereiste.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon keer op keer terugkomen. Groepen die geen gijzelsoftware inzetten, maar wel data publiceren, opereren buiten het klassieke herstelscenario dat de meeste organisaties als verdediging hebben ingericht.

Voor organisaties in Nederland en Belgie betekent dit dat een herstelstrategie alleen niet meer voldoende is. De vraag is ook wat er gebeurt als klantdata al publiek is voordat de aanval wordt ontdekt.

Heeft uw organisatie naast een herstelplan ook een protocol voor het geval dat gestolen data al openbaar is gemaakt?

Analyse 27 mei 2026

ShadowByt3S werft actief medewerkers bij grote techbedrijven. Ze bieden insiders die toegang verlenen tot systemen 30 procent van de opbrengst aan, zonder startkosten.

De groep heeft eerder een aanval op Starbucks geclaimd waarbij 10 gigabyte broncode en firmware zou zijn buitgemaakt. Vandaag duikt de naam opnieuw op in de dagelijkse monitoring.

Wat dit onderscheidt van een gewone aanval van buitenaf is de manier van binnenuit opereren. Er is geen kwetsbaarheid in software nodig. Er is geen phishingmail nodig. Een medewerker met toegang en een financieel motief is genoeg.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik criminele groepen steeds vaker adverteren op afgeschermde forums met concrete bedragen en gegarandeerde anonimiteit.

De drempel is bewust laag gehouden. Geen technische kennis vereist. Alleen toegang.

Voor CISO's en HR samen: het gesprek over insiderdreigingen hoort in de bestuurskamer, niet alleen bij IT.

Heeft uw organisatie een actief programma om insiderdreigingen te detecteren en bespreekbaar te maken?

Analyse 26 mei 2026

Drie ransomwaregroepen. Één Pinksterweekend. Drie Nederlandse bedrijven neer.

De Waard Transport B.V. werd geraakt door PLAY ransomware, saver.nl door dragonforce en Van Tuijl Haaften door LockBit 5.0. Drie afzonderlijke criminele organisaties, drie sectoren, allemaal binnen dezelfde 48 uur. De aanvallen werden pas na het weekend zichtbaar op darkwebfora.

Feestdagen zijn voor criminelen geen rustdag maar een kans. Minder personeel op kantoor, minder toezicht op systemen, meer tijd voordat een aanval ontdekt wordt. Het Pinksterweekend van 2026 laat zien dat dit geen theorie meer is.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon consistent terugkomen. Incidentrespons vertraagt zodra medewerkers op vakantie zijn.

Nederlandse organisaties van elke omvang staan op de lijst van ransomwaregroepen. Transport, detailhandel, bouw. Het gaat niet om de sector maar om de beschikbaarheid van een kwetsbaar systeem.

Hoe heeft uw organisatie de noodprocedures geregeld voor als een cyberaanval plaatsvindt tijdens een feestdag?

Analyse 25 mei 2026

Vierendertig pakketten. Driehonderdvierentachtig versies. Gemiddeld vijf minuten en zevenenvijftig seconden tot detectie.

Beveiligingsbedrijf Socket ontdekte op 22 mei 2026 een gecoördineerde supply chain aanval genaamd TrapDoor. Aanvallers verspreidden kwaadaardige pakketten via npm, PyPI en Crates.io tegelijk. De pakketten stelen sleutels van cryptowallets voor Sui, Solana en Aptos, sleutels voor SSH, tokens voor GitHub, cloudtoegangsgegevens en browseropgeslagen data.

Maar er is iets wat verder gaat dan gewone diefstal. De aanvallers dienden ook pull requests in bij populaire open source projecten, specifiek gericht op het toevoegen van verborgen instructies aan configuratiebestanden van codeerassistenten op basis van kunstmatige intelligentie. Ze probeerden de AI tool zelf te besmetten, zodat gegenereerde code besmet zou zijn nog voor een ontwikkelaar er iets van merkte.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe de aanvalsoppervlakte van softwareontwikkeling zich uitbreidt naar de tools die code genereren.

Voor organisaties in Nederland en Belgie die werken met externe ontwikkelaars of open source componenten: de aanval is niet meer gericht op uw netwerk. De aanval zit in de pijplijn die uw software bouwt.

Controleert u welke pakketten uw ontwikkelteam automatisch installeert, en wie die pakketten heeft gepubliceerd?

Analyse 24 mei 2026

Een router die in 2018 werd aangeschaft staat in 2026 nog altijd in productie bij een groot deel van het Nederlandse mkb. En er loopt een botnet dat dat weet.

Nieuw onderzoek van VulnCheck toont aan dat het RondoDox botnet actief misbruik maakt van CVE-2018-5999, een kritieke kwetsbaarheid in oudere modellen van ASUS. De ernstigheidscore is 9,8 op 10. Aanvallers hoeven geen wachtwoord of inloggegevens te hebben om volledige controle te krijgen.

Wat dit verhaal zo relevant maakt, is niet de kwetsbaarheid zelf. Die is al acht jaar bekend. Het probleem is dat netwerkapparatuur buiten de normale patchcyclus valt. Servers krijgen maandelijkse updates, werkstations ook, maar de router in de serverruimte draait al jaren op dezelfde firmware.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit structureel. Niet de nieuwste lekken zijn het actiefst misbruikt, maar de kwetsbaarheden die lang genoeg zijn blijven liggen om vergeten te zijn.

Voor Nederlandse en Belgische organisaties is dit direct toepasbaar. Controleer welke routers in uw netwerk staan, inclusief die van thuiswerkers, en vergelijk firmwareversies.

Heeft uw organisatie een actief patchbeleid voor netwerkapparatuur, of valt die buiten de standaard patchcyclus?

Analyse 23 mei 2026

Achthonderd servers. Twee arrestaties. een webhostingbedrijf dat cyberaanvallen en desinformatiecampagnes faciliteerde.

De FIOD heeft de directeur van een Nederlands webhostingbedrijf en een tweede persoon aangehouden. Het onderzoek richt zich op overtreding van sanctiewetgeving. Het bedrijf zou actief infrastructuur hebben aangeboden voor cyberaanvallen en inmengingsoperaties.

Bulletproof hosting is de logistieke ruggengraat van georganiseerde cybercriminaliteit. Zonder servers die aanvallen doorlaten en onderzoek vertragen, zijn grootschalige campagnes moeilijker vol te houden. Dat de FIOD dit type infrastructuur aanpakt vanuit een sanctieperspectief, is een nieuwe stap in de aanpak van cybercriminaliteit in Nederland.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe hostingproviders steeds vaker zelf onderdeel worden van het strafrechtelijke onderzoek.

Voor organisaties in Nederland en Belgie betekent dit dat de keten achter cyberaanvallen steeds verder in beeld raakt bij opsporingsdiensten. Weten dat de infrastructuur achter een aanval mogelijk al onderzocht wordt, voegt een nieuwe dimensie toe aan het melden van incidenten.

Weet uw organisatie bij welke hostingproviders uw kritieke systemen draaien en of die providers voldoen aan Europese sanctieregelgeving?

Analyse 22 mei 2026

Negentig procent. Dat is wat ransomwaregroep The Gentlemen haar affiliates belooft.

De criminele groep lanceerde deze week formeel een Ransomware as a Service programma op ondergrondse forums. Het standaardmodel in de ransomwarewereld is tachtig procent voor de affiliate, twintig voor de groep zelf. The Gentlemen biedt tien procent meer. Dat is geen beleefdheid, dat is een wervingsstrategie.

Achter die hogere uitbetaling schuilt een gevaarlijke dynamiek. Meer marge voor affiliates betekent meer instroom van criminelen die normaal elders actief waren. Check Point Research bevestigt dat de groep in de eerste vijf maanden van 2026 al 332 slachtoffers publiceerde op haar dataleksite.

De groep richt zich op Windows, Linux, NAS, BSD en ESXi omgevingen. Dat is de infrastructuur van vrijwel elk middelgroot en groot bedrijf in Nederland en Belgie. Met meer affiliates in omloop komen er meer aanvallen, niet minder.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe snel dit soort aankondigingen het criminele ecosysteem vergroot.

Heeft uw organisatie een actueel beeld van welke systemen doelwit zijn bij een gerichte ransomware aanval?

Analyse 21 mei 2026

Er hoeft geen bedrijf te zijn aangevallen om als Belgische burger op een crimineel forum te belanden.

Op een ondergronds forum adverteert een dreigingsactor een vermeend dataset van Belgische burgers. Geen specifieke organisatie als slachtoffer. Geen bevestigde inbraak. De claims zijn niet geverifieerd en zijn mogelijk gerecycled materiaal. Toch staat de aankondiging er.

Dat is de kern van dit type dreiging. De actor verkoopt perceptie. Een geloof dat de data echt is, is genoeg om afnemers aan te trekken of slachtoffers te intimideren. Of de inhoud klopt is secundair.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe dergelijke listings een eigen leven gaan leiden, ongeacht de feitelijke waarde van de aangeboden data.

Voor Belgische burgers en organisaties die persoonsdata verwerken is dit een signaal dat het dreigingslandschap verder reikt dan bekende datalekken bij bedrijven.

Controleert uw organisatie actief of gegevens van uw klanten of medewerkers op criminele forums verschijnen?

Analyse 20 mei 2026

MFA werkt. Maar niet als de aanvaller nooit om je wachtwoord vraagt.

EvilTokens is een platform dat phishing als dienst aanbiedt en in vijf weken meer dan 340 Microsoft 365-organisaties in Europa en de VS heeft gecompromitteerd. De methode steelt geen wachtwoorden maar onderschept het sessietoken dat na een geslaagde verificatie wordt afgegeven.

De aanpak is technisch eenvoudig. Het slachtoffer klikt op een nagemaakte inlogpagina die alle invoer doorstuurt naar de echte omgeving en het sessietoken retourneert. Wat de aanvaller ontvangt, is volledige toegang. Zonder ooit het wachtwoord of de verificatiecode te hebben gezien.

Voor organisaties die MFA onlangs hebben ingevoerd als beveiligingsmaatregel, is dit een ongemakkelijke boodschap. De maatregel klopt. De methode gaat er omheen.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe aanvalstechnieken zich aanpassen aan de beveiligingsmaatregelen die organisaties nemen.

Voor organisaties in Nederland en Belgie geldt dat sessiebeveiliging steeds vaker het zwakste punt is, niet het wachtwoord of de verificatiecode zelf.

Heeft uw organisatie al gecontroleerd of sessietokens een maximale geldigheidsduur hebben?

Analyse 19 mei 2026

Een ransomwaregroep die honderden organisaties aanviel, is nu zelf het slachtoffer. De interne systemen van The Gentlemen zijn uitgelekt en de schade is volledig.

Gesprekslogboeken, slachtofferlijsten, onderhandelingstranscripten en informatie over affiliates liggen nu publiek op meerdere cybercrime forums. De data beslaat de periode november 2025 tot eind april 2026 en toont hoe een moderne RaaS operatie van binnenuit werkt. The Gentlemen is in 2026 de op een na meest productieve ransomwaregroep ter wereld, met 332 gepubliceerde slachtoffers in de eerste vijf maanden van dit jaar.

De lek begon bij hun hostingaanbieder. Een aanvaller bood de gestolen data eerst aan voor 10.000 dollar. Drie dagen later werd alles gratis vrijgegeven op meerdere forums.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe ransomwaregroepen hun interne communicatie vaak behandelen als veilig terrein. Dit incident laat zien dat ook aanvallers kwetsbaar zijn voor de methodes die zij zelf gebruiken.

Voor organisaties in Nederland en Belgie is dit nuttige informatie. De blootgestelde gesprekslogboeken geven inzicht in hoe slachtoffers worden geselecteerd, welke argumenten worden gebruikt in onderhandelingen en welke sectoren prioriteit krijgen bij aanvallen.

Staat uw sector in de doelwitlijsten die nu openbaar zijn?

Analyse 18 mei 2026

Criminelen sturen nu ook echte post om uw crypto te stelen.

Eigenaren van Ledger hardware wallets ontvangen momenteel vervalste post op papier. De brief ziet er officieel uit, compleet met het logo van Ledger, een referentienummer en een melding over een dringende beveiligingsupdate. Er staat een QR code in. Die code leidt naar een namaaksite waar gevraagd wordt om uw herstelzin in te vullen. Dat zijn de 24 woorden die volledige toegang geven tot uw cryptosaldo.

Wie die zin invult, verliest zijn crypto.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe criminelen digitale aanvalstechnieken steeds vaker combineren met fysieke methoden. Dit is niet langer een e-mail of sms die in de spammap belandt. Iemand heeft geld geïnvesteerd in briefpapier, drukwerk, enveloppen en postzegels. Dat betekent dat de opbrengst de investering rechtvaardigt.

Ledger heeft bevestigd dat zij nooit om uw herstelzin vragen, op geen enkele manier. Ontvangt u zo'n brief? Vernietig hem direct.

Weet u welke medewerkers in uw organisatie hardware wallets gebruiken voor zakelijke crypto?

Analyse 17 mei 2026

Grafana weigerde losgeld te betalen. Dat is goed nieuws. Het slechte nieuws: hun broncode is al gestolen via een kwetsbaarheid die veel organisaties op dit moment ook hebben.

Aanvallers maakten gebruik van een zogenaamde Pwn Request kwetsbaarheid in een GitHub Actions workflow. Door een pull request in te dienen bij een publiek Grafana repository kregen ze toegang tot productietokens. Daarmee downloadden ze vijf privérepositories en eisten ze betaling.

De kern van het probleem zit in GitHub Actions workflows die draaien op pull_request_target events. Daarmee krijgen externe bijdragers toegang tot productiegeheimen tijdens een CI uitvoering. Dit is een bekende, maar veelgemaakte misconfiguratie, ook bij grote organisaties.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik hoe supply chain aanvallen via CI omgevingen steeds vaker voorkomen. Grafana heeft 20 miljoen gebruikers en werd door zijn eigen monitoring ontdekt via een canary token die werd getriggerd. Dat is de betere kant van dit verhaal.

De vraag is of uw organisatie overzicht heeft over welke GitHub Actions workflows in uw repositories toegang hebben tot productietokens, en of externe bijdragers daarbij betrokken zijn.

Heeft uw organisatie dit in kaart gebracht?

Analyse 16 mei 2026

Wat me vandaag het meeste opvalt aan de dreigingen van dit moment.

De CalPhishing aanval via Outlook is slim omdat de aanval begint vóórdat je iets ziet. Het ics bestand komt binnen, Outlook verwerkt het automatisch, en ineens staat er een afspraak in je agenda met een link die eruitziet als een normale Teams vergadering. Je phishingtraining heeft je geleerd om verdachte e-mails te herkennen, maar deze aanval omzeilt precies die training.

Combineer dit met de EvilTokens kit, die sessietokens steelt waarmee ook meerfactorauthenticatie wordt omzeild, en je begrijpt waarom meer dan 340 organisaties al getroffen zijn.

The Gentlemen ransomwaregroep verdient aandacht. 240 aanvallen in 2026 alleen al, een 90/10 winstdeling die concurrenten overtreft, en initiële toegang via kwetsbaarheden in Fortinet en Cisco apparatuur die veel organisaties nog niet hebben gepatcht.

Via de monitoring van Cybercrimeinfo zie ik dagelijks hoe snel dit soort groepen groeien. De vraag is niet of, maar wanneer ze Nederlandse en Belgische organisaties actief targeten.

Welk van deze dreigingen is voor jou het meest relevant?

Analyse 15 mei 2026

Er zijn in Nederland nog tienduizenden organisaties die Exchange Server in eigen beheer draaien. Banken, gemeenten, zorginstellingen, advocatenkantoren. Geen cloud. Gewoon eigen servers, op locatie of in een datacenter.

Microsoft heeft gisteren een kwetsbaarheid bevestigd in die servers die actief wordt misbruikt. CVE-2026-42897. CVSS score 8.1. Het gaat om een fout in Outlook Web Access waarmee een aanvaller via een speciaal opgesteld bericht code kan uitvoeren in de browser van de ontvanger. Zonder authenticatie. Van buitenaf.

Een definitieve patch is er nog niet. Tijdelijke bescherming is beschikbaar via de Exchange Emergency Mitigation Service, maar alleen als die actief staat op de server.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat kwetsbaarheden in mailapplicaties bijzonder snel worden opgepakt zodra actief misbruik wordt bevestigd. Geautomatiseerde scanners zoeken binnen uren naar bereikbare systemen. Het tijdvenster om actie te ondernemen is klein.

Als uw organisatie Exchange Server in eigen beheer draait, controleer dan nu of EEMS actief staat en volg de mitigatiestappen van Microsoft.

Hoe lang duurt het gemiddeld bij jouw organisatie voordat een kritieke patch is doorgevoerd?

Analyse 14 mei 2026

Er bestaat in Nederland een beveiligingsnorm die verplicht is voor elke zorginstelling die medische gegevens verwerkt. Die norm heet NEN 7510. Hij schrijft voor hoe informatiebeveiliging in de zorg georganiseerd moet zijn. Onafhankelijke audits, toegangscontrole, aantoonbare maatregelen. Verplicht. Al jaren.

Zorglaboratorium Clinical Diagnostics is gehackt. Meer dan 850.000 mensen hebben gegevens in dit systeem staan, afkomstig van bevolkingsonderzoeken en medische tests. De IGJ heeft nu vastgesteld dat er ernstige tekortkomingen zijn in de naleving van NEN 7510. Geen onafhankelijke audit. Geen adequate toegangscontrole.

Er is hier geen discussie over of de norm goed is. De norm bestond al. Ze werd niet nageleefd.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat dit patroon terugkomt. Organisaties die werken met gevoelige gegevens van grote groepen mensen kennen de norm, maar schuiven de implementatie door totdat er een incident is.

Het verschil met andere sectoren is dat het bij de zorg gaat om medische gegevens. De schade voor mensen van wie gegevens werden buitgemaakt is blijvend. Medische gegevens kun je niet wijzigen, niet terugdraaien en ook niet wissen.

Hoe waarborg jij in jouw organisatie dat beveiligingsnormen niet alleen op papier staan?

Analyse 13 mei 2026

Er zit een patroon in twee berichten van vandaag die op het eerste gezicht niets met elkaar te maken hebben.

De CEO van Odido weigert compensatie te bieden aan 6,2 miljoen gedupeerde klanten na het datalek van februari 2026. Tegelijkertijd sloot Instructure, leverancier van Canvas een akkoord met ShinyHunters na de diefstal van gegevens van honderdduizenden Nederlandse studenten. Het was de leverancier die betaalde, niet de universiteiten zelf.

Beide situaties draaien om hetzelfde. Hoe reageer je als organisatie nadat slachtoffers al schade hebben geleden?

Bij Odido is de reactie afwijzend. Bij Instructure, de leverancier van Canvas, sloot men een akkoord met ShinyHunters om verdere verspreiding te voorkomen. Beide keuzes hebben consequenties voor wie er daarna nog slachtoffer wordt.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dat de druk op getroffen organisaties toeneemt, niet afneemt. Criminelen leren van elk incident welke aanpak werkt.

Voor organisaties die nu nadenken over hun crisisplan, geldt dit. De vraag is niet of je getroffen wordt, maar hoe je dan handelt.

Hoe zou jouw organisatie reageren?

Analyse 12 mei 2026

De combinatie van twee berichten vandaag vertelt een groter verhaal.

Google Threat Intelligence Group meldde dat hackers AI inzetten voor de eerste bevestigde zero day 2FA-bypass. Tegelijkertijd werden 42 TanStack npm pakketten gecompromitteerd in een supply chain aanval.

Dit zijn geen toevalligheden. Aanvallers combineren AI voor aanvalsontwerp met supply chain toegang voor verspreiding. De aanvalsketen wordt korter en het ontdekken moeilijker.

Via de dagelijkse monitoring van Cybercrimeinfo zie ik dit patroon de afgelopen weken toenemen. Aanvallers investeren in AI omdat het loont.

Voor organisaties die JavaScript frameworks gebruiken: TanStack is in miljoenen applicaties aanwezig. Een besmette dependency bereikt je systemen vaak voor je het weet.

Vraag jezelf af: hoe lang duurt het voordat jouw organisatie een gecompromitteerd npm pakket detecteert?

Analyse 11 mei 2026

Nederlandse universiteiten onderhandelen met een ransomwaregroep over losgeld.

Dat is wat er nu speelt. ShinyHunters heeft systemen van meerdere Nederlandse universiteiten gegijzeld en de instellingen zijn actief in gesprek over betaling. Via de dagelijkse monitoring van Cybercrimeinfo zie ik deze situatie zich de afgelopen dagen ontwikkelen.

Ransomwaregroepen kiezen universiteiten niet willekeurig. De combinatie van waardevolle onderzoeksdata, beperkte beveiligingsbudgetten en grote maatschappelijke druk om snel te herstellen maakt het onderwijs tot een aantrekkelijk doelwit.

Het dilemma van betalen is voor universiteiten extra zwaar. Studenten die door verstoringen tentamens missen, onderzoekers die data verliezen en subsidietrajecten die stilliggen, dat zijn de concrete gevolgen als systemen wekenlang plat liggen.

Tegelijk financiert elke betaling de volgende aanval. Op scholen, op ziekenhuizen, op ieder die afhankelijk is van digitale systemen.

Ik zie dit patroon al jaren. Ransomware gaat niet weg zolang het loont.

Hoe kijken jullie hier naar, is er een moment waarop betalen verdedigbaar wordt?