• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

Kyocera Document Solutions Europe, een bedrijf actief in de technologiesector, is recentelijk het slachtoffer geworden van een ransomware-aanval. De aanval werd ontdekt op 31 maart 2025 om 16:10, en werd uitgevoerd door de ransomware-groep Killsec. Het bedrijf is gevestigd in Europa, maar de specifieke locatie is niet bekendgemaakt. Kyocera is bekend om zijn innovatieve documentbeheeroplossingen en heeft wereldwijd klanten in verschillende industrieën. Deze aanval heeft de normale bedrijfsvoering verstoord, en de impact is momenteel nog in onderzoek. Het bedrijf werkt samen met de autoriteiten en cyberbeveiligingsexperts om de gevolgen van de aanval te beperken.

Screenshot

De hackersgroepen dna en grep hebben beweerd dat ze gevoelige gegevens hebben gelekt naar ICIT. De gelekte data bevat persoonlijke informatie, zoals ID, naam, e-mail, telefoonnummer, adres en meer. Dit is een alarmerend incident, aangezien het gevoelige gegevens betreft die makkelijk kunnen worden misbruikt voor identiteitsdiefstal of andere vormen van cybercriminaliteit. Het lekken van dergelijke informatie toont wederom de kwetsbaarheid van persoonlijke gegevens op het dark web en benadrukt de noodzaak voor verhoogde beveiligingsmaatregelen. Het is belangrijk om alert te blijven en voorzorgsmaatregelen te nemen om persoonlijke informatie te beschermen tegen misbruik door cybercriminelen.

Screenshot

Komec is een Belgisch bedrijf dat zich richt op betrouwbare producten en diensten, waarbij de nadruk ligt op eerlijkheid en betrouwbaarheid. Helaas is Komec recent slachtoffer geworden van een ransomware-aanval door de Qilin-groep. De aanval werd ontdekt op 7 april 2025 om 21:20. Op dit moment is het niet duidelijk in welke sector Komec actief is, aangezien deze informatie niet is gevonden. Ondanks de aanval blijft Komec zich inzetten voor zijn kernwaarden en het leveren van kwaliteitsproducten. Het is belangrijk dat bedrijven zoals Komec zich blijven wapenen tegen de steeds complexere dreigingen in de digitale wereld.

Screenshot

Thiekon Constructie BV, gevestigd in Rijen (Nederland), is een gerenommeerd bedrijf in de bouwsector met meer dan 40 jaar ervaring in staalconstructies en zinkcoating. Het bedrijf is het enige in Nederland met een eigen verzinkinstallatie, waarmee het staalbewerking in eigen huis kan uitvoeren. Thiekon Constructie is gespecialiseerd in het vervaardigen en monteren van stalen elementen, van kleine onderdelen tot complete constructies, en biedt op verzoek poedercoating aan. Deze geïntegreerde benadering maakt het mogelijk om staal, zink en schildertechnologieën binnen één bedrijf te combineren.

Op 8 april 2025 werd Thiekon Constructie getroffen door een ransomware-aanval uitgevoerd door de groep Incransom. De aanval werd om 10:03 uur ontdekt, wat het bedrijf voor een grote uitdaging stelde binnen de bouwsector.

Screenshot

Er is een belangrijke datalekmelding geplaatst over Adyen, een financieel dienstverlener uit Nederland. Een lid van BreachForums heeft informatie gedeeld over een datalek waarbij gegevens zijn gecompromitteerd. De gelekte data zou afkomstig zijn van een derde partij die in verband staat met Adyen. De impact van dit incident kan groot zijn, aangezien de gegevens mogelijk vertrouwelijke informatie bevatten die door de aanvallers kan worden misbruikt. Het lek werd op 9 april 2025 gemeld, en het wordt verder onderzocht. Deze zaak benadrukt de noodzaak voor bedrijven om extra waakzaam te zijn in hun samenwerking met externe organisaties, om te voorkomen dat gevoelige informatie via deze kanalen in verkeerde handen valt.

screenshot

Een groot datalek heeft verschillende ministeries in Den Haag getroffen, waaronder het ministerie van Binnenlandse Zaken (BZK), Economische Zaken (EZ) en Klimaat en Groene Groei (KGG). Het ministerie van BZK bevestigde het datalek en meldde dat er een ‘privacyprobleem’ is, waarbij de volledige aandacht naar de situatie uitgaat. Er is een datalekprocedure gestart, en ook de Autoriteit Persoonsgegevens is ingeschakeld. De omvang en de oorzaak van het datalek worden nog onderzocht. Het ministerie van EZ en KGG hebben bevestigd dat ook zij getroffen zijn, maar de impact op hun werk is nog onduidelijk. Naast de genoemde ministeries zouden ook andere ministeries betrokken zijn. De administratieve werkzaamheden zijn tijdelijk stilgelegd, terwijl het onderzoek doorgaat.

Bron

De Rijksoverheid heeft recent een datalek meegemaakt waarbij namen en functies van ambtenaren per ongeluk openbaar werden gemaakt. Dit gebeurde doordat deze gegevens niet uit documenten werden verwijderd voordat ze online werden geplaatst. Het betreft voornamelijk beslisnota's en Kamerstukken waarin de persoonlijke informatie zichtbaar bleef, terwijl deze dat niet had mogen zijn. Het datalek ontstond tijdens het uploaden van documenten op de Rijksoverheid-website. De oorzaak van de fout is nog onbekend, evenals de hoeveelheid gelekte gegevens. Het ministerie van Binnenlandse Zaken heeft inmiddels gemeld dat het incident is gemeld bij de Autoriteit Persoonsgegevens. De VVD en PVV hebben Kamervragen gesteld over het datalek en eisen opheldering. Het ministerie heeft drie weken de tijd om te reageren.

Bron

Er zijn meldingen van gegevens die mogelijk zijn gestolen van Wolters Kluwer en te koop worden aangeboden op het darkweb. Het gaat om gevoelige informatie die volgens de verkoper afkomstig is van een gegevensinbreuk bij het bedrijf. De aangeboden data omvat onder andere persoonlijke gegevens en mogelijk vertrouwelijke bedrijfsinformatie. Dit soort incidenten benadrukt het belang van proactieve maatregelen in cyberbeveiliging, zowel voor bedrijven als voor individuen. Het is nog niet bevestigd of de gegevens daadwerkelijk van Wolters Kluwer afkomstig zijn, maar dergelijke dreigingen kunnen ernstige gevolgen hebben voor de betrokkenen, zoals identiteitsdiefstal of andere vormen van misbruik. Het is essentieel om waakzaam te blijven en verdachte activiteiten tijdig te melden.

Screenshot

In april 2025 werd Wolterskluwer, een Nederlands bedrijf dat financiële software aanbiedt, getroffen door een cyberaanval. Ongeveer 2 miljoen rijen gebruikersinformatie werden geëxporteerd en te koop aangeboden. Het getroffen bedrijf heeft inmiddels contact opgenomen om de verkoop van de gegevens te stoppen, maar de data wordt tegen een prijs van 15.000 dollar per set aangeboden. De aanval werd uitgevoerd via een phishing-aanval met kwaadaardige bijlagen, een techniek die vaak wordt gebruikt om toegang te verkrijgen tot systemen. De aanvallers maakten gebruik van PowerShell om hun kwaadaardige activiteiten uit te voeren. Wolterskluwer, dat jaarlijks meer dan 5 miljard dollar omzet genereert en wereldwijd meer dan 21.000 medewerkers heeft, is momenteel bezig met het verhelpen van de schade.

On IT, een Belgisch bedrijf dat zich richt op digitale transformatie voor ondernemingen, is recent slachtoffer geworden van de TERMITE ransomware-aanval. De aanval heeft geleid tot de compromittering van ongeveer 760 GB aan gegevens, waaronder 1,5 miljoen bestanden van klanten. Het bedrijf biedt IT-diensten en wordt nu geconfronteerd met de gevolgen van een ernstig datalek. De TERMITE ransomware-groep heeft de gegevens gestolen en geëist dat het bedrijf betaalt om de bestanden terug te krijgen. Dit incident benadrukt de groeiende dreiging van ransomware-aanvallen die bedrijven wereldwijd treffen. Het is een waarschuwing voor bedrijven om hun beveiligingsmaatregelen te versterken en voorbereid te zijn op dergelijke aanvallen.

Screenshot

In Nederland zijn momenteel meer dan 150 Fortinet-firewalls gecompromitteerd, zo blijkt uit recent onderzoek van een internationale cybersecurityorganisatie. Wereldwijd gaat het om meer dan tienduizend geïnfecteerde systemen. De aanvallen maken gebruik van bekende kwetsbaarheden in FortiGate-firewalls waarvoor eerder al beveiligingsupdates zijn uitgebracht, maar die niet overal zijn geïnstalleerd. Na het verkrijgen van toegang maken aanvallers een zogeheten ‘symbolic link’ aan waarmee ze blijvend toegang houden tot gevoelige configuratiebestanden, zelfs na updates. Dit maakt het voor organisaties lastig om volledig van de indringer af te komen. Alleen gebruikers die de ssl vpn-functie niet geactiveerd hebben, lopen geen risico. Fortinet heeft een waarschuwing gepubliceerd waarin staat wat getroffen organisaties kunnen doen om de situatie te herstellen en verdere schade te beperken. In België zijn 131 geïnfecteerde firewalls vastgesteld.

Screenshot

Bij een recente wereldwijde scan zijn in België meer dan 130 Fortinet-firewalls aangetroffen die door aanvallers zijn gecompromitteerd. Het gaat om systemen die kwetsbaar zijn gebleven doordat bekende beveiligingslekken niet zijn gepatcht, ondanks dat Fortinet hier al eerder updates voor heeft uitgebracht. Aanvallers maken gebruik van een techniek waarbij ze een ‘symbolic link’ plaatsen tussen het gebruikers- en rootbestandssysteem van de firewall. Hierdoor behouden ze toegang tot belangrijke configuratiebestanden, zelfs na een beveiligingsupdate. Deze techniek is vooral effectief bij firewalls waarbij de ssl vpn-functie actief is. Systemen zonder deze functie lopen geen risico. Wereldwijd zijn meer dan tienduizend geïnfecteerde firewalls in kaart gebracht, waarvan 154 in Nederland. Fortinet heeft inmiddels richtlijnen gedeeld waarmee organisaties zich kunnen beschermen en de impact kunnen beperken.

Screenshot

Een reeks bekende financiële platforms zoals Bunq, Revolut, Stripe, CashApp, Vivid en andere is recent slachtoffer geworden van een grootschalig datalek. De getroffen organisaties opereren in de sectoren finance, banking en insurance en staan bekend om hun innovatieve digitale diensten. Bij de aanval zijn vermoedelijk gegevens buitgemaakt die nu te koop worden aangeboden op het darkweb. De herkomst van de aanval is nog onduidelijk, maar de omvang en combinatie van getroffen bedrijven wijzen op een gerichte actie.

Anoniem

De gemeentelijke administratie van Jemeppe-sur-Sambre is sinds maandagochtend volledig buiten werking door een zware cyberaanval. Medewerkers konden niet meer inloggen op hun systemen en ook e-mail en telefonie lagen plat. De daders eisen 700.000 euro losgeld. De burgemeester omschreef de situatie als een volledige stilstand van de diensten. De federale gerechtelijke politie, met name de Computer Crime Unit, werd meteen ingeschakeld. Zij bevestigden dat het om een gerichte cyberaanval gaat, maar konden nog geen toegang tot de digitale systemen of de telefonie herstellen. Het is nog onduidelijk of er data is buitgemaakt. De aanval legt pijnlijk bloot hoe kwetsbaar lokale besturen zijn voor digitale dreigingen en benadrukt de noodzaak van een sterk cyberweerbaarheidsbeleid binnen overheidsinstanties.

Bron

Koninklijke Ahold Delhaize N.V., een toonaangevend bedrijf in de landbouw- en voedselproductiesector, is slachtoffer geworden van een ransomware-aanval door de groep Incransom. Ahold Delhaize bedient wekelijks 72 miljoen klanten in de Verenigde Staten, Europa en Indonesië, met een focus op het leveren van kwaliteitsvoedsel, waarde en innovatie. Op 16 april 2025 werd de aanval ontdekt, waarbij de criminelen 6TB aan gevoelige gegevens hebben buitgemaakt. Het bedrijf is actief in Nederland en andere internationale markten.

Screenshot

INC Ransom

​De ransomwaregroep 'INC Ransom' is actief sinds juli 2023 en heeft wereldwijd talloze organisaties getroffen, met name in de zorgsector. Hoewel de specifieke identiteit van de leden onbekend is, wijzen aanwijzingen op een Russische oorsprong van de groep.

Achtergrond en activiteiten

INC Ransom maakt gebruik van een 'double extortion' strategie, eerst wordt data gestolen en vervolgens versleuteld, waarna het openbaar wordt gemaakt op hun darkweb leksite als het slachtoffer niet betaalt. De groep heeft onder andere ziekenhuizen in het Verenigd Koninkrijk aangevallen, zoals NHS Dumfries and Galloway en Alder Hey Children's Hospital, waarbij gevoelige patiëntgegevens werden gestolen en openbaar gedeeld.

Mogelijke herkomst en connecties

Hoewel er geen direct bewijs is dat de Russische staat betrokken is, wordt aangenomen dat INC Ransom opereert vanuit Rusland of voormalige Sovjetstaten. De groep lijkt enige bescherming te genieten van de Russische autoriteiten, zolang hun activiteiten geen Russische belangen schaden. Er zijn ook aanwijzingen dat INC Ransom mogelijk samenwerkt met of onderdeel is van andere groepen zoals Qilin, wat wijst op een netwerk van cybercriminelen die onder verschillende namen opereren.

Hoewel de exacte identiteit van de leden van INC Ransom onbekend is, wijzen de gebruikte technieken, doelwitten en de vermoedelijke oorsprong op een goed georganiseerde groep cybercriminelen met mogelijk Russische banden.

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

Cybercrimeinfo (ccinfo.nl) beschikt over diepgaande cyberdreigingsinformatie en actuele ransomwaregegevens. Vanuit deze informatie stellen wij dagelijks overzichtelijke rapportages samen. De rapportages bevatten actuele gegevens over onder meer datalekken, ransomware-incidenten, DDoS-aanvallen, defacements en andere digitale bedreigingen, inclusief onbewerkte schermafbeeldingen.

Wilt u dagelijks actuele inzichten ontvangen in cyberdreigingen en ransomwareontwikkelingen? Neem dan contact op met Digiweerbaar via het contactformulier. Wij informeren u graag over de mogelijkheden.

China heeft in een geheime bijeenkomst erkend dat het betrokken was bij cyberaanvallen op de Amerikaanse infrastructuur. Een hooggeplaatste Chinese functionaris legde de aanvallen in verband met de groeiende steun die de VS aan Taiwan biedt. Deze bewering werd gedaan tijdens een ontmoeting tussen Chinese en Amerikaanse ambtenaren. Het doel van de aanvallen was onder andere het verstoren van vitale systemen zoals die van energie, transport en water, als reactie op de geopolitieke spanningen rondom Taiwan. Deze cyberaanvallen zijn een onderdeel van een breder conflict waarin technologie en digitale dreigingen een steeds grotere rol spelen. De erkenning van China komt op een moment dat de VS haar verdediging tegen cyberdreigingen versterkt en meer maatregelen neemt om kritieke infrastructuur te beschermen tegen aanvallen van buitenlandse actoren.

Bron

De cyberdreigingsgroep Paper Werewolf, ook bekend als GOFFEE, heeft tussen juli en december 2024 doelgerichte aanvallen uitgevoerd op Russische organisaties binnen de media, telecom, overheid en energiesector. De aanvallen begonnen meestal met phishingmails met kwaadaardige documenten die bij openen een PowerShell-trojan installeerden. Deze malware, PowerModul genoemd, stelt aanvallers in staat extra scripts uit te voeren, bestanden van externe media te stelen en zelfs wachtwoorden van accounts te wijzigen. Er werden ook geavanceerde tools ingezet zoals PowerTaskel en een kwaadaardige IIS-module om Outlook-wachtwoorden te onderscheppen. Opvallend is dat steeds vaker wordt gekozen voor uitvoerbare bestanden vermomd als Word- of PDF-documenten. De aanvalstechnieken zijn gericht op spionage en sabotage, met gebruik van aangepaste malware die continu met een commandoserver communiceert. Deze ontwikkelingen tonen aan hoe geavanceerd en veelzijdig hedendaagse cyberaanvallen zijn geworden, met een sterke focus op het misbruiken van legitieme systemen voor kwaadaardige doeleinden.

Bron

In de vroege uren van 12 april 2025 heeft de cybercriminele groep Dark Storm Team meerdere DDoS-aanvallen opgeëist op Belgische doelen. De getroffen organisaties zijn luchtvaartmaatschappij Sabena, de Federatie Wallonië-Brussel en het provinciale RSZ-kantoor in Brugge. Deze aanvallen maken gebruik van een tactiek bekend als Network Denial of Service, waarbij de beschikbaarheid van netwerken en digitale diensten wordt verstoord door het netwerkverkeer te overbelasten. Dit soort aanvallen is vaak gericht op websites, e-maildiensten en webapplicaties en kan ingezet worden om politieke boodschappen te verspreiden, aandacht af te leiden of afpersing toe te passen. Dark Storm Team lijkt met deze actie publieke en logistieke sectoren in België bewust te hebben geviseerd. De impact ligt vooral op het gebied van bereikbaarheid en continuïteit van dienstverlening.

In de Verenigde Staten krijgen steeds meer bedrijven te maken met deepfake-sollicitanten die zich via video-oproepen voordoen als iemand anders. Dankzij geavanceerde AI-technologie kunnen kwaadwillenden zelfs tijdens een videogesprek geloofwaardig overkomen. Vaak gaat het om buitenlandse kandidaten die via gestolen identiteiten en perfect ogende cv’s remote functies proberen te bemachtigen. Soms valt op dat de lipsynchronisatie niet klopt, wat argwaan wekt. De risico’s zijn groot, variërend van incompetente medewerkers tot serieuze spionage of sabotage van binnenuit. Zo wordt gevreesd dat sommige nepwerknemers banden hebben met geheime diensten uit landen als Noord-Korea of Rusland. Deze personen kunnen bedrijfsgeheimen stelen of schadelijke software installeren. Techbedrijven worden gewaarschuwd dat het probleem alleen maar zal toenemen, zeker nu AI steeds beter wordt in het nabootsen van mensen.

Bron

China heeft de Verenigde Staten beschuldigd van geavanceerde cyberaanvallen tijdens de Aziatische Winterspelen in februari. Volgens de Chinese autoriteiten zouden drie agenten van de Amerikaanse NSA betrokken zijn geweest bij het aanvallen van cruciale sectoren zoals energie, transport, communicatie en defensie in de provincie Heilongjiang. De aanvallen zouden gericht zijn geweest op het verstoren van vitale infrastructuur, het stelen van gevoelige informatie en het veroorzaken van sociale onrust. Ook zouden Amerikaanse universiteiten betrokken zijn, al werd hun rol niet verduidelijkt. De NSA zou gebruik hebben gemaakt van anonieme servers en vooraf geïnstalleerde achterdeurtjes in Windows-systemen om toegang te krijgen. De Chinese overheid heeft haar zorgen bij de VS aangekaart en roept op tot verantwoordelijkheid in cyberspace. Deze beschuldigingen komen op een moment van toenemende spanningen tussen de twee grootmachten, waarbij beide landen elkaar regelmatig betichten van cyberspionage.

Bron

• Naar pagina

• Naar overzicht

• Naar overzicht

Een phishing-platform genaamd 'Lucid' heeft wereldwijd 169 doelwitten in 88 landen aangevallen met goed voorbereide berichten via iMessage (iOS) en RCS (Android). Het platform, beheerd door de Chinese cybercriminelen van de 'XinXin groep', wordt via een abonnementsmodel verkocht aan andere cybercriminelen, waardoor ze toegang krijgen tot phishingdomeinen, op maat gemaakte phishingwebsites en geavanceerde spammethoden. Lucid verstuurt dagelijks zo'n 100.000 smishing-berichten die gebruik maken van versleutelde communicatiekanalen om spamfilters te omzeilen. De berichten, vaak vermomd als meldingen over verzendingen of belastingaangiftes, leiden slachtoffers naar valse websites die persoonlijke en financiële gegevens stelen. Deze geavanceerde en grootschalige phishingcampagnes verlagen de drempel voor cybercriminaliteit en vergroten de kans op succes door de hoge kwaliteit van de aanvallen.

Bron

De Lazarus Group, voorheen gezien als één enkele geavanceerde persistente dreiging (APT), is geëvolueerd naar een netwerk van verschillende subgroepen. Deze subgroepen, zoals Diamond Sleet en Moonstone Sleet, gebruiken overlappende technieken, maar richten zich op verschillende doelen, zoals cryptocurrency-aanvallen of ransomware. Deze fragmentatie maakt het moeilijker om de activiteiten van de Lazarus-groep te attribueren. Elke subgroep heeft zijn eigen strategieën en doelen, wat het uitdagend maakt om uniforme verdedigingen te ontwikkelen. Het identificeren van deze subgroepen is van cruciaal belang voor het verstrekken van gerichte waarschuwingen en het ontwikkelen van effectieve tegenmaatregelen. De complexiteit van het toewijzen van verantwoordelijkheden groeit, vooral nu er ook taakgerichte groepen ontstaan die middelen delen. De evolutie van Lazarus benadrukt de noodzaak voor voortdurende innovatie in cyberbeveiliging om deze dynamische bedreigingen tegen te gaan.

Bron

The Shadowserver Foundation heeft melding gemaakt van actief misbruik van een kwetsbaarheid in CrushFTP, een softwaretool voor het opzetten van FTP-servers. De kwetsbaarheid stelt aanvallers in staat om ongeauthenticeerde toegang te krijgen tot de servers via een open HTTP- of HTTPS-poort. De zwakte is opgelost in de nieuwste versies van CrushFTP, namelijk versie 10.8.4+ en 11.3.1+. Ondanks de beschikbaarheid van updates worden er wereldwijd nog steeds meer dan duizend kwetsbare servers aangetroffen, waaronder vijftig in Nederland. Hackers maken momenteel gebruik van proof-of-concept exploitcode om misbruik van de kwetsbaarheid te maken. Het probleem heeft nog geen officieel CVE-nummer gekregen. Beheerders van getroffen servers wordt dringend aangeraden de software te updaten naar de laatste versie om verdere aanvallen te voorkomen.

Bron

GreyNoise heeft een significante stijging opgemerkt in de activiteit van login-scanners gericht op de Palo Alto Networks PAN-OS GlobalProtect-poorten. In de afgelopen 30 dagen hebben bijna 24.000 unieke IP-adressen geprobeerd toegang te krijgen tot deze poorten. Dit patroon wijst op een gecoördineerde poging om netwerkbeveiligingen te testen en kwetsbare systemen te identificeren, wat mogelijk een voorbode is van gerichte aanvallen. De activiteit begon op 17 maart 2025 en bereikte een piek van bijna 20.000 IP-adressen per dag. De meeste waargenomen activiteit werd geclassificeerd als verdacht, met een kleiner aantal als schadelijk. Dit kan duiden op een gepland proces voor het testen van netwerken, wat zou kunnen leiden tot exploitatie. Organisaties die gebruik maken van Palo Alto Networks-systemen wordt geadviseerd hun login-poorten te beveiligen en hun logs te controleren op tekenen van compromittering.

Bron

HijackLoader, een malware die al sinds 2023 actief is, heeft onlangs zijn tactieken voor het ontwijken van beveiligingssoftware verder ontwikkeld. De nieuwste versies bevatten modules die de oorsprong van functieaanroepen maskeren door middel van call stack spoofing, waarmee de malware moeilijker te detecteren is door endpoint-detectiesystemen. Daarnaast detecteert HijackLoader virtuele machines en analysemilieus, waardoor het zich beter kan verbergen tijdens inspecties. Een andere nieuwe module maakt gebruik van geplande taken om de persistentie van de malware te waarborgen. Deze continue updates tonen aan dat HijackLoader zich blijft aanpassen en zijn ontwijkingstechnieken verbetert, wat het voor beveiligingssystemen steeds moeilijker maakt om deze malware te identificeren en te neutraliseren.

Bron

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in Apache Tomcat-webservers. Deze kwetsbaarheid, bekend als CVE-2025-24813, werd op 10 februari verholpen met de release van Apache Tomcat 11.0.3, maar pas op 10 maart openbaar gemaakt. Als de Tomcat-installatie bepaalde instellingen heeft, zoals 'writes enabled for the default servlet' ingeschakeld, kan een aanvaller op afstand code uitvoeren. Kort na de bekendmaking van de kwetsbaarheid verscheen er al exploitcode online. Hoewel CISA geen details geeft over de aanvallen, heeft het Amerikaanse overheidsinstanties opgedragen om vóór 22 april de benodigde updates te installeren. De impact van deze kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.

Bron

In 2024 zijn via GitHub 39 miljoen 'secrets' gelekt, waaronder credentials, API-sleutels en tokens. Deze lekken stellen aanvallers in staat ongeautoriseerde toegang te verkrijgen tot systemen en data. GitHub benadrukt dat dergelijke lekken een van de meest voorkomende en te voorkomen oorzaken zijn van beveiligingsincidenten en datalekken. Veel van deze incidenten ontstaan doordat ontwikkelaars bewust secrets delen of openbaar maken, vaak uit gemak, zonder de risico's op lange termijn te overzien. Aanvallers kunnen zelfs 'low risk' secrets misbruiken om lateraal te bewegen naar waardevollere assets. Om dit tegen te gaan, introduceerde GitHub vorig jaar standaard 'push protection' voor publieke repositories. Recent heeft het platform aangekondigd dat organisaties gratis een 'point-in-time scan' kunnen uitvoeren om blootgestelde secrets op te sporen.

Bron 1, 2

Onderzoekers van de Acronis Threat Research Unit hebben een complexe malwareketen blootgelegd die begint met een schijnbaar onschuldige e-mailbijlage in de vorm van een RAR-bestand. Dit bestand, bedoeld om angst op te wekken met een Spaanse titel over beslaglegging, bevat een VBS-script dat een reeks geavanceerde stappen in gang zet. Deze stappen omvatten het aanmaken van batch- en PowerShell-scripts die uiteindelijk leiden tot het in het geheugen laden van malware zoals DCRat of Rhadamanthys. De scripts zijn zwaar versleuteld en maken gebruik van technieken zoals Base64-encoding en byte-voor-byte XOR-decodering. Opmerkelijk is dat de PowerShell-code citaten van Nietzsche bevat, vermoedelijk als afleiding. Door het gebruik van meerdere programmeertalen en lagen van obfuscatie is deze aanval moeilijk te detecteren, maar de complexiteit biedt ook aanknopingspunten om het proces te onderbreken. Multilayered beveiligingsoplossingen zijn essentieel om zulke bedreigingen effectief te stoppen.

Bron

Noord-Koreaanse IT-werknemers, vaak aangeduid als "IT-krijgers", breiden hun operaties uit naar Europa nadat ze in de VS onder toenemende druk kwamen te staan. Door zich online voor te doen als freelancers uit landen als Italië, Japan en de VS weten ze werk te bemachtigen bij Europese bedrijven in onder meer Duitsland, Portugal en het Verenigd Koninkrijk. Ze maken gebruik van vervalste identiteiten en betalen wordt vaak geregeld via cryptovaluta en diensten die de herkomst van het geld verbergen. Deze strategie levert miljoenen op voor het Noord-Koreaanse regime dat het gebruikt voor wapens. Daarnaast is er sprake van spionage en afpersing van voormalige werkgevers. Europese bedrijven zijn inmiddels gewaarschuwd dat het inhuren van deze werknemers kan leiden tot schending van sancties. De dreiging groeit vooral binnen sectoren als defensie en technologie, waar gevoelige informatie steeds vaker wordt buitgemaakt.

Bron

Aanvallers richten zich op Mac-gebruikers die op zoek zijn naar een baan in de cryptovalutasector. Ze benaderen slachtoffers via sociale media, waarbij een nep-recruiter beweert dat het slachtoffer geschikt is voor een vacature bij een bekend cryptobedrijf. Vervolgens wordt het slachtoffer doorverwezen naar een valse sollicitatiewebsite.

Op deze site wordt gevraagd een contactformulier in te vullen, vragen over cryptovaluta te beantwoorden en een introductievideo op te nemen. Tijdens het opnemen verschijnt een foutmelding die stelt dat de toegang tot de microfoon of camera is geblokkeerd. Om dit te verhelpen, wordt het slachtoffer geïnstrueerd een opgegeven curl-commando in de Terminal uit te voeren om zogenaamd 'FFMPEG-drivers voor macOS' te updaten.

In werkelijkheid downloadt dit commando een zip-bestand dat de 'FrostyFerret stealer' malware installeert. Deze malware toont een vals systeemvenster dat om het systeemwachtwoord vraagt, waarna het wachtwoord naar de aanvallers wordt gestuurd. Tevens wordt een backdoor geïnstalleerd, waardoor de aanvallers toegang krijgen tot de keychain en andere gevoelige informatie van de gebruiker.

Bron

Op duizenden namaak Android-smartphones is een nieuwe versie van de Triada-malware aangetroffen die al actief is zodra het toestel wordt opgestart. Vooral Russische gebruikers zijn slachtoffer, met minstens 2.600 bevestigde infecties in maart 2025. De besmette toestellen zijn goedkope imitaties van populaire modellen en worden online verkocht tegen aantrekkelijke prijzen. Triada nestelt zich diep in de systeemsoftware en is daardoor bijna onmogelijk te verwijderen zonder het besturingssysteem opnieuw te installeren. De malware steelt accounts van sociale media, onderschept berichten, vervangt cryptowalletadressen en voert andere kwaadaardige acties uit. Onderzoekers schatten dat er al minstens 270.000 dollar aan cryptovaluta is gestolen. Vermoedelijk raakt de malware via een supply chain-aanval in de toestellen en zelfs verkopers zijn zich daar mogelijk niet van bewust. Gebruikers wordt aangeraden alleen bij erkende distributeurs te kopen of bij twijfel een schone installatie van betrouwbare software uit te voeren.

Bron

Een gebruiker op BreachForums heeft op 31 maart 2025 een database gelekt met informatie over 10.000 Nederlandse klanten van Ledger, een bedrijf gespecialiseerd in beveiligingsoplossingen voor cryptocurrency. De gelekte gegevens omvatten voornaam, achternaam, e-mailadres, telefoonnummer en land van de betrokken personen. De bron van het lek is een Ledger-vestiging in Nederland en betreft actieve cryptohandelaren van 20 jaar en ouder. De gebruiker kondigde tevens aan in de toekomst meer databases met gegevens uit andere regio's te zullen delen. Ledger biedt hardware wallets en softwareoplossingen aan voor het veilig beheren en opslaan van digitale activa.

Een enorme datalek heeft mogelijk de gegevens van 2,87 miljard Twittergebruikers (tegenwoordig X genoemd) blootgelegd. De hack werd op 28 maart 2025 gemeld door een gebruiker op een hackersforum en zou zijn uitgevoerd door een ontevreden ex-medewerker tijdens massaontslagen. De gelekte informatie is gecombineerd met data uit een eerdere hack van januari 2023 en omvat gebruikersnamen, profielomschrijvingen, locatiegegevens, volgersaantallen, tweetstatistieken en meer. Hoewel de nieuwste dataset geen e-mailadressen bevat, zorgt de combinatie van beide lekken voor een uiterst gedetailleerd gebruikersprofiel. De bestanden zijn gestructureerd in CSV-formaat en lijken afkomstig van API-tools. Met een omvang van 400GB zou dit lek het op één na grootste datalek in de geschiedenis zijn. Het werkelijke aantal getroffen gebruikers roept vragen op, aangezien X slechts ongeveer 336 miljoen actieve gebruikers heeft. Vermoedelijk bevat de dataset ook verwijderde of inactieve accounts. X heeft tot nu toe geen officiële reactie gegeven. De gelekte gegevens vergroten het risico op gerichte phishing en identiteitsfraude.

Bron

Onderzoekers hebben een geavanceerde malwarecampagne ontdekt waarbij een nieuwe variant van KoiLoader wordt gebruikt om informatie te stelen. Deze variant maakt gebruik van PowerShell-scripts die verborgen zitten in Windows-snelkoppelingen en wordt verspreid via phishingmails die zich voordoen als bankcommunicatie. Zodra de gebruiker het kwaadaardige bestand opent, activeert dit een keten van scripts die detectie proberen te omzeilen en extra malware downloaden. De aanvallers maken gebruik van bekende kwetsbaarheden in Windows om hun code te verbergen en voeren taken uit via legitiem ogende processen zoals svchost.exe. KoiLoader levert uiteindelijk Koi Stealer, een programma dat wachtwoorden, cryptowallets en gevoelige documenten steelt. De communicatie met de server van de aanvallers verloopt versleuteld via HTTP POST-verzoeken. De aanvalsmethode toont aan dat cybercriminelen steeds vaker bestaande systeemtools en scripts gebruiken om beveiligingsmaatregelen te ontwijken. Experts raden aan om PowerShell en wscript te beperken en gedragsanalyse in beveiligingssoftware toe te passen.

Bron

Cybercriminelen maken gebruik van Microsoft Teams om via ogenschijnlijk legitieme berichten schadelijke software te verspreiden en langdurige toegang tot bedrijfsnetwerken te verkrijgen. Deze aanval begint met een PowerShell-commando dat rechtstreeks in een Teams-bericht wordt gestuurd en maakt gebruik van tools zoals Quick Assist en TeamViewer om de controle over systemen over te nemen. De hackers doen zich vaak voor als IT-medewerkers om vertrouwen te winnen. Een tweede fase van de aanval gebruikt een JavaScript-backdoor die via Node.js draait en een permanente verbinding opzet met de infrastructuur van de aanvallers. De aanvalsmethode is bijzonder geraffineerd doordat zij gebruikmaakt van gesigneerde legitieme bestanden in combinatie met schadelijke modules. Deze techniek maakt het lastig voor traditionele beveiligingssystemen om de aanval te detecteren. Organisaties worden aangeraden om ongebruikte externe toegangstools te blokkeren en medewerkers te trainen in het herkennen van digitale manipulatiepogingen via samenwerkingsplatformen.

Bron

Cybersecurityonderzoekers hebben een nieuwe golf van phishingaanvallen ontdekt die zich richten op belastingbetalers via hun mobiele apparaten. Deze campagne maakt gebruik van de stress rondom de belastingdeadline om mensen te misleiden tot het delen van gevoelige gegevens. Aanvallers sturen sms’jes met urgente waarschuwingen over belastingteruggaven of juridische dreigingen, vaak met links die lijken op legitieme IRS-webadressen. Deze leiden naar overtuigende nepwebsites die ontworpen zijn om persoonlijke informatie zoals burgerservicenummers en financiële gegevens te stelen. De aanvallen maken gebruik van technieken zoals domeinspoofing en geavanceerde visuele imitatie van officiële IRS-pagina’s. Ze passen zich aan elk mobiel apparaat aan en gebruiken verkorte links en misleidende HTTPS-certificaten om gebruikers te misleiden. Zodra informatie is ingevoerd, wordt deze direct doorgestuurd naar servers buiten het bereik van Amerikaanse autoriteiten. Gebruikers wordt aangeraden alleen via de officiële IRS-site te communiceren en alert te blijven op verdachte berichten.

Bron

Cybercriminelen richten zich in toenemende mate op kwetsbaarheden in veelgebruikte netwerkapparatuur en remote access tools van bedrijven zoals Ivanti, SonicWall, Zoho en F5. Sinds eind maart is een sterke toename van aanvallen waargenomen waarbij oude én recent ontdekte zwakke plekken worden misbruikt. Ivanti’s VPN-systemen zijn doelwit van code-injectie en buffer overflow, terwijl SonicWall kampt met een kritieke kwetsbaarheid waardoor aanvallers VPN-sessies kunnen kapen. Bij Zoho wordt misbruik gemaakt van onveilige API’s om toegang op rootniveau te verkrijgen en F5 BIG-IP systemen worden aangevallen via server-side request forgery om interne netwerken te doorzoeken. Ondanks beschikbare updates blijven veel organisaties kwetsbaar door trage patchprocessen. Aanvallers gebruiken geavanceerde technieken zoals fingerprinting van TLS-handshakes en combineren verschillende CVE’s om volledige controle over systemen te verkrijgen. Deze campagne benadrukt het belang van tijdig patchen en het inzetten van gedragsanalyses en segmentatie om verdere schade te voorkomen.

Bron

Onderzoekers hebben een geavanceerde aanvalsmethode ontdekt waarbij draadloze communicatiesignalen worden misbruikt om heimelijke achterdeurtjes in netwerken te creëren. Deze zogenaamde “Channel Triggered Backdoor Attack” gebruikt subtiele wijzigingen in draadloze signalen om verborgen communicatiepaden te openen waarmee aanvallers ongemerkt wachtwoorden en andere gevoelige gegevens kunnen stelen. De techniek werkt door specifieke patronen toe te voegen aan legitiem draadloos verkeer die kwaadaardige code op besmette apparaten activeren. Dit gebeurt via signalen die normaal als omgevingsruis worden gezien, waardoor traditionele beveiligingstools de aanval niet opmerken. Vooral netwerken die gebruik maken van wifi en Bluetooth, zoals die in kantoren, ziekenhuizen en onderwijsinstellingen, lopen risico. Het kwaadaardige signaal blijft onzichtbaar tot het wordt geactiveerd door een vooraf ingesteld kanaalpatroon. Beveiligingsexperts raden aan om netwerken continu te monitoren op afwijkende draadloze activiteit om deze bedreiging tijdig te kunnen herkennen en neutraliseren.

Bron

Webbrowsers gebruiken de CSS :visited pseudo-class om bezochte links anders te stylen, wat gebruikers helpt bij het navigeren. Echter, deze functie kan door kwaadwillenden worden misbruikt om de browsegeschiedenis van gebruikers te achterhalen. Aanvallers gebruiken JavaScript om de opmaakverschillen tussen bezochte en niet-bezochte links te detecteren en zo gevoelige informatie te verzamelen. Geavanceerde technieken, zoals timingaanvallen en pixelkleuraanvallen, maken het mogelijk om zelfs subtiele visuele verschillen te identificeren. Onderzoek toont aan dat 97-99% van de gebruikers unieke browsepatronen heeft, wat betekent dat dergelijke aanvallen persoonlijke gegevens zoals gezondheidsproblemen, financiële interesses en politieke voorkeuren kunnen onthullen. Als reactie hierop implementeren browserontwikkelaars nu een nieuwe methode genaamd 'partitionering', waarbij bezochte linkgeschiedenis wordt opgeslagen met behulp van een drievoudige sleutel: de link-URL, de top-level site en de frame-oorsprong. Dit zorgt ervoor dat een link alleen als bezocht wordt weergegeven als deze is bezocht vanuit dezelfde top-level site en frame-oorsprong, waardoor cross-site geschiedenislekken worden voorkomen. Gebruikers die bezorgd zijn over hun privacy wordt aangeraden om privé-browsingmodi te gebruiken en regelmatig hun browsegeschiedenis te wissen totdat deze beschermingsmaatregelen standaard zijn in alle browsers.

Bron

Outlaw is een hardnekkige Linux-malware die wereldwijd systemen infecteert, ondanks het gebruik van eenvoudige technieken. De malware maakt gebruik van SSH brute-force aanvallen om toegang te verkrijgen tot systemen met zwakke of standaard wachtwoorden. Eenmaal binnen, wordt een schadelijk bestand gedownload dat de infectie in meerdere stadia verspreidt. Wat Outlaw bijzonder effectief maakt, is zijn worm-achtige verspreiding, waarbij het na infectie op zoek gaat naar andere kwetsbare systemen in het netwerk om de aanval verder uit te breiden.

Daarnaast maakt de malware gebruik van cron jobs en manipuleert het SSH-sleutels om zijn persistentie te waarborgen. Dit betekent dat zelfs na herstarts of het beëindigen van de malware, de aanval door kan gaan. Beheerders kunnen hun systemen moeilijk herstellen, omdat de malware immutabele bestandsattributen toepast op de schadelijke bestanden. De aanvallers kunnen zo continu toegang behouden tot de geïnfecteerde systemen. Het detecteren van deze malware biedt mogelijkheden voor beveiligingsteams om verdachte SSH-pogingen, ongebruikelijke cron job-aanmaken en onbevoegde SSH-sleutels te monitoren.

Bron

De opkomst van Prince Ransomware markeert een verontrustende trend in de wereld van cyberdreigingen. Deze open source ransomware-builder is beschikbaar op GitHub en stelt zelfs mensen zonder diepgaande technische kennis in staat om functionerende ransomware te creëren. Door eenvoudig een configuratiebestand aan te passen kunnen gebruikers onder meer losgeldberichten en bestandsuitbreidingen personaliseren. Aanvallers combineren Prince Ransomware vaak met technieken om beveiliging te omzeilen en zich lateraal binnen netwerken te verplaatsen, wat leidt tot grootschalige verstoring. Een ernstig voorbeeld deed zich voor in Taiwan, waar een ziekenhuis meer dan 600 apparaten verloor aan een aanval via een geïnfecteerde USB-stick. De gebruikte encryptie is technisch geavanceerd en maakt gebruik van ChaCha20 in combinatie met ECIES, waardoor bestanden vrijwel onmogelijk te herstellen zijn zonder privésleutel. Door zijn toegankelijkheid en kracht vormt Prince Ransomware een serieus risico voor organisaties wereldwijd.

Bron

Een nieuwe en geraffineerde phishingaanval misbruikt QR-codes om inloggegevens van Microsoft 365-gebruikers te stelen. Aanvallers sturen overtuigende e-mails die afkomstig lijken van Microsoft of interne IT-afdelingen, met het verzoek om accounts te verifiëren of wachtwoorden te vernieuwen. In plaats van verdachte links bevatten deze e-mails QR-codes die gebruikers met hun mobiele apparaten moeten scannen. Dit omzeilt traditionele e-mailbeveiliging die normaliter op schadelijke links scant. Na het scannen worden slachtoffers doorgestuurd naar een nagemaakte inlogpagina die visueel nauwelijks te onderscheiden is van een echte Microsoft-pagina. Deze pagina’s maken gebruik van JavaScript om ingevoerde gegevens te valideren en door te sturen zonder dat de gebruiker merkt dat er iets mis is. Vooral de financiële en gezondheidssector zijn getroffen. Onderzoekers van Palo Alto Networks ontdekten dat deze campagne geavanceerde omleidingen en coderingstechnieken gebruikt om detectie te ontwijken en slachtoffers effectief te misleiden.

Bron

Antivirusbedrijf Kaspersky heeft vastgesteld dat er in Nederland Androidtelefoons circuleren die al vóór verkoop met malware zijn besmet. Het betreft vermoedelijk namaaktoestellen die via niet-geautoriseerde verkopers worden aangeboden. De Triada-malware is diep in de systeemfirmware geïntegreerd, opereert onopgemerkt en geeft aanvallers volledige controle over de apparaten.

Deze malware heeft toegang tot alle actieve processen en kan onder meer berichten stelen van chatapps en sociale media-accounts zoals Telegram, TikTok, Facebook en Instagram. Daarnaast is het in staat berichten te versturen en te verwijderen in apps zoals WhatsApp en Telegram.

Verder kan de malware cryptowallet-adressen vervangen tijdens transacties, links in browsers injecteren, sms-berichten onderscheppen en verwijderen, extra malware installeren en gebruikers aanmelden voor premium sms-diensten. Kaspersky heeft wereldwijd 2.600 slachtoffers geïdentificeerd, voornamelijk in Rusland, maar ook in Nederland, Duitsland, Brazilië, Kazachstan en Indonesië.

Volgens Kaspersky-analist Dmitry Kalinin duidt deze besmetting op firmwareniveau op een kwetsbaarheid in de toeleveringsketen. Aanvallers zouden al minstens 270.000 dollar aan gestolen cryptovaluta hebben verkregen. Kaspersky heeft niet gespecificeerd om welke Androidmodellen het gaat.

Bron

Amerikaanse autoriteiten, waaronder de FBI en NSA, hebben samen met cyberagentschappen uit Australië, Canada en Nieuw-Zeeland een waarschuwing afgegeven voor de 'fast flux'-techniek . Deze methode stelt aanvallers, zoals cybercriminelen en statelijke actoren, in staat detectie te omzeilen door snel de IP-adressen van domeinen in DNS-records te wijzigen. Hierdoor blijven malafide domeinen operationeel, zelfs na blokkering van individuele IP-adressen. Bij 'double flux' worden zowel de IP-adressen van de domeinnaam als die van de gebruikte DNS-servers aangepast. Beide technieken maken gebruik van gecompromitteerde hosts, vaak onderdeel van een botnet, wat het voor netwerkverdedigers bemoeilijkt om kwaadaardig verkeer te identificeren of te blokkeren. De diensten adviseren internetproviders een meerlaagse aanpak te hanteren voor het detecteren van fast flux, zoals het monitoren van domeinen die frequent van IP-adres veranderen en het ontwikkelen van detectiealgoritmes.

Bron

Een geavanceerde aanvalscampagne richt zich op Telegram-gebruikers, waarbij cybercriminelen standaard voicemailwachtwoorden misbruiken. Deze aanval maakt gebruik van de menselijke neiging om standaardinstellingen niet te wijzigen, zoals de gebruikelijke PIN’s van voicemailsystemen. In veel gevallen gebruiken aanvallers de voicemail om verificatiecodes van Telegram-afspraken af te luisteren. De techniek werkt door eerst in te loggen op het Telegram-account van een slachtoffer en vervolgens de optie voor spraakverificatie te kiezen. Als het slachtoffer niet opneemt, wordt de verificatiecode naar de voicemail gestuurd en kunnen de aanvallers toegang krijgen tot het account. In veel gevallen wordt het slachtoffer meteen van zijn apparaten uitgelogd, waardoor toegang verloren gaat. Experts raden aan om voicemailwachtwoorden te wijzigen en de twee-stapsverificatie van Telegram in te schakelen om zich tegen deze aanvallen te beschermen. De aanvallen komen voornamelijk uit Bangladesh en Indonesië en blijken gecoördineerd te zijn sinds de start van de oorlog in Israël.

Bron

Een nieuwe variant van de Triada-malware richt zich op Android-apparaten en heeft de mogelijkheid om uitgaande oproepen te onderscheppen en telefoonnummers te vervangen. Dit gebeurt op een manier die gebruikers meestal niet opmerken, waardoor legitieme telefoonnummers worden vervangen door frauduleuze nummers. Het doel hiervan is vaak om gebruikers naar premium-rate nummers te leiden of om gevoelige gesprekken af te luisteren. De malware wordt meestal geïnstalleerd via onbetrouwbare app-winkels en apps die onterecht veel machtigingen vereisen. Eenmaal geïnstalleerd, krijgt de malware toegang tot het telefoonsysteem van Android, waardoor het in staat is om de telefoonoproepen te manipuleren. Deze aanvallen hebben aanzienlijke financiële schade veroorzaakt, vooral door de frauduleuze kosten van premium-nummers, en lopen steeds verder uit naar andere regio's, zoals West-Europa en Noord-Amerika. Het is belangrijk dat gebruikers hun smartphones alleen van geautoriseerde verkopers aanschaffen en beveiligingsoplossingen gebruiken om dergelijke bedreigingen te detecteren.

Bron

De FBI heeft gewaarschuwd dat cybercriminelen nog steeds gebruikmaken van oude kwetsbaarheden in Citrix-systemen, evenals in firewalls van Palo Alto Networks en BIG-IP F5-apparaten, om ransomware-aanvallen uit te voeren. Deze aanvallen worden toegeschreven aan een groep hackers uit Iran die zich richt op diverse sectoren zoals onderwijs, financiën, zorg en overheidsinstellingen. De criminelen maken gebruik van kwetsbaarheden zoals CVE-2019-19781 en CVE-2022-1388 om toegang te verkrijgen tot netwerken. Na de initiële toegang installeren de aanvallers tools zoals AnyDesk en PowerShell Web Access om hun controle te behouden. De FBI, samen met CISA, adviseert organisaties om onmiddellijk de nodige beveiligingsupdates te installeren en verdachte IP-adressen en andere indicators of compromise te controleren.

Er is een nieuwe vorm van Android-spyware ontdekt die het voor slachtoffers moeilijk maakt om de kwaadaardige software van hun apparaten te verwijderen. Deze spyware vereist een wachtwoord om de-applicatie te de-installeren, wat een belangrijke hindernis vormt voor de slachtoffers die proberen hun apparaat terug onder controle te krijgen. De malware maakt gebruik van een "overlay"-functie van Android, waardoor een wachtwoordprompt verschijnt wanneer geprobeerd wordt de app via de instellingen te verwijderen. De app wordt vaak geïnstalleerd door iemand met fysieke toegang tot het apparaat en kennis van het toegangswachtwoord. Onderzoekers hebben echter een manier ontdekt om de spyware te verwijderen door het apparaat in de veilige modus op te starten, waar gebruikers de administratorrechten van de app kunnen deactiveren en de app vervolgens kunnen verwijderen. Deskundigen raden aan om Google Play Protect in te schakelen en aandacht te besteden aan ongebruikelijke apparaatgewoonten om dergelijke dreigingen te voorkomen.

Bron

De 'PoisonSeed'-phishingcampagne maakt gebruik van gehackte bedrijfsaccounts van e-mailmarketingplatforms zoals Mailchimp en SendGrid om e-mails te versturen met valse crypto-wallet seed phrases. Deze zinnen worden gepresenteerd als deel van een nep-update voor platforms zoals Coinbase, waarbij slachtoffers worden verleid hun crypto-cryptowallet te migreren naar een valse wallet die door de aanvallers wordt beheerd. De aanvallers stelen eerst inloggegevens van marketingaccounts en gebruiken deze om grote mailinglijsten te verzamelen. Vervolgens versturen ze phishing-e-mails die lijken te komen van vertrouwde bronnen. Gebruikers die de seed phrase invoeren, geven hun crypto-privésleutels prijs, waardoor aanvallers toegang krijgen tot de wallets en de digitale valuta kunnen stelen. Het advies is om e-mails met urgente verzoeken te negeren en altijd via de officiële kanalen in te loggen op een platform om te controleren of er echt acties nodig zijn.

Bron

Cybersecurity-onderzoekers hebben een geavanceerde aanval ontdekt waarbij cybercriminelen zich voordoen als recruitmentprofessionals om malware te verspreiden. De aanvallers gebruiken e-mails die lijken op legitieme jobaanbiedingen, maar bevatten schadelijke bestanden die verborgen zijn in projectbestanden via links naar platforms zoals BitBucket. De malware, genaamd BeaverTail, wordt geleverd in een JavaScript-configuratiebestand en bevat een downloader-component genaamd "car.dll". Na uitvoering steelt de malware gevoelige informatie, zoals inloggegevens voor webbrowsers en cryptocurrency-portefeuilles, en creëert een achterdeur voor langdurige toegang. Deze campagnes richten zich vaak op LinkedIn-gebruikers en maken gebruik van technieken zoals obfuscatie om detectie te voorkomen. Het is belangrijk om extreem voorzichtig te zijn bij het ontvangen van ongevraagde jobaanbiedingen, vooral wanneer deze gekoppeld zijn aan code-opslagplaatsen. Verifieer de legitimiteit van recruitment e-mails voordat je interactie aangaat met de bijgevoegde bestanden.

Bron

Een nieuwe cyberaanval, genaamd "KongTuke", maakt gebruik van schadelijke scripts op gehackte legitieme websites om onwetende gebruikers te treffen. Deze aanval begint met een script dat informatie verzamelt over het apparaat van het slachtoffer, zoals IP-adres en browsergegevens. Vervolgens worden gebruikers naar een valse CAPTCHA-pagina geleid, die niet bedoeld is om bots te detecteren, maar om het klembord van het slachtoffer over te nemen. Dit gebeurt via een techniek die "clipboard hijacking" of "pastejacking" wordt genoemd. De kwaadaardige code wordt via het klembord ingevoegd en vraagt de gebruiker om deze uit te voeren in een Windows Run-venster. Dit kan leiden tot de installatie van malware op het systeem. Cybersecurity-experts waarschuwen gebruikers om voorzichtig te zijn met CAPTCHA-pagina's die verzoeken om scripts in te voeren en adviseren het gebruik van antivirussoftware en regelmatige systeemupdates om zich te beschermen tegen deze dreiging.

Bron

Een recent ontdekte kwaadaardige Python-package genaamd ‘disgrasya’ is meer dan 34.000 keer gedownload via het open-sourceplatform PyPI. De tool werd gebruikt voor zogeheten ‘carding’, waarbij gestolen creditcards automatisch worden getest op geldigheid via legitieme WooCommerce-webshops die het CyberSource-betaalsysteem gebruiken. De software emuleert het gedrag van een normale klant, vult de winkelwagen met producten, steelt checkouttokens en stuurt de creditcardgegevens naar een server van de aanvaller. Daarmee wordt gecontroleerd of de kaart werkt, waarna deze bruikbaar is voor fraude of verkoop op het darkweb. De tool was openlijk kwaadaardig en probeerde niet eens legitiem te lijken. Volgens onderzoekers is deze methode moeilijk te detecteren omdat de activiteiten sterk lijken op normaal winkelgedrag. Aanbevolen maatregelen zijn onder meer het blokkeren van kleine betalingen, het inzetten van CAPTCHA en het monitoren van verdachte checkout-patronen.

Bron

Op het darkweb is een dreigingsactor opgedoken die beweert een methode te verkopen waarmee tweefactorauthenticatie (2FA) van Bitwarden omzeild kan worden. De techniek zou specifiek gericht zijn op gebruikers van de Europese Bitwarden-omgeving en wordt aangeboden voor 25.000 dollar per kopie. In totaal zouden er drie exemplaren beschikbaar zijn. Hoewel de genoemde link naar een foutmelding leidt en de echtheid van het aanbod niet te verifiëren is, is de melding zorgwekkend. Het wijst erop dat cybercriminelen actief proberen in te breken op accounts die extra beveiligd zijn met 2FA, wat normaal gesproken een belangrijke drempel vormt tegen ongeautoriseerde toegang. Gebruikers van Bitwarden wordt aangeraden extra alert te zijn, hun beveiligingsinstellingen te controleren en verdachte activiteiten onmiddellijk te melden. De situatie onderstreept opnieuw het belang van voortdurende monitoring van het darkweb op opkomende dreigingen.

Screenshot

Neptune RAT is een geavanceerd type malware dat actief Windows-gebruikers wereldwijd aanvalt. Deze Remote Access Trojan kan inloggegevens buitmaken uit meer dan 270 applicaties, waaronder webbrowsers, e-mailprogramma’s en wachtwoordmanagers. De verspreiding gebeurt via GitHub, Telegram en YouTube, vaak vermomd als legitieme software. Het schadelijke script wordt onopvallend uitgevoerd via PowerShell-commando’s, waardoor traditionele beveiliging vaak tekortschiet. Naast datadiefstal kan de malware ook ransomware inzetten, crypto-wallets manipuleren en real-time meekijken op het scherm van slachtoffers. Neptune RAT is moeilijk te detecteren door technieken als virtual machine-detectie en gebruik van Arabische tekens in de code. Voor blijvende aanwezigheid op een systeem maakt het gebruik van Windows-registerwijzigingen en geplande taken. De groep achter deze malware, vermoedelijk ‘Freemasonry’ of ‘Mason Team’, biedt zowel een gratis als betaalde versie aan. Gebruikers wordt aangeraden PowerShell voor standaardgebruikers uit te schakelen en geavanceerde endpoint-beveiliging toe te passen.

Bron

Cybercriminelen gebruiken momenteel misleidende technieken waarbij nep-CAPTCHAs en Cloudflare Turnstile ingezet worden om slachtoffers te infecteren met de LegionLoader-malware. De aanval begint wanneer gebruikers op zoek zijn naar PDF-documenten en via zoekresultaten terechtkomen op een pagina met een valse CAPTCHA. Na interactie worden ze doorgestuurd naar meerdere stappen, waaronder het toestaan van browsermeldingen en het downloaden van een schijnbaar onschuldig bestand. In werkelijkheid wordt er via een MSI-installatiebestand malware binnengesluisd.

De uiteindelijke payload is een kwaadaardige browserextensie die zich voordoet als “Save to Google Drive”, maar ontworpen is om gevoelige informatie te stelen. Deze extensie richt zich op populaire browsers zoals Chrome, Edge, Brave en Opera, en verzamelt gegevens zoals cookies, browsergeschiedenis en zelfs cryptotransacties. De aanval maakt gebruik van geavanceerde technieken zoals Process Hollowing en meerdere lagen van versluiering om detectie te ontwijken.

Bron

Uit nieuw onderzoek van SpyCloud blijkt dat maar liefst 66 procent van de malware-infecties plaatsvindt op apparaten waarop al endpointbeveiliging is geïnstalleerd. Ondanks de inzet van geavanceerde detectie via EDR en antivirus, weten moderne malwarevarianten deze toch vaak te omzeilen. Criminelen maken gebruik van technieken zoals polymorfe malware, geheugen-only aanvallen en het uitbuiten van zero-day kwetsbaarheden. Hierdoor ontstaan grote risico’s op onder meer ransomware en accountovernames. SpyCloud benadrukt het belang van een gelaagde beveiligingsaanpak en biedt aanvullende detectiemogelijkheden door data afkomstig van malwarelogboeken op het darkweb te analyseren. Door deze informatie snel terug te koppelen naar bestaande EDR-oplossingen kunnen geïnfecteerde apparaten sneller worden geïsoleerd en hersteld. Het rapport laat zien dat organisaties verder moeten kijken dan alleen apparaatbeveiliging, en ook inzicht moeten krijgen in wat hun huidige beveiligingsoplossingen mogelijk missen.

Bron

Een geavanceerde spionagegroep met de naam ToddyCat maakt misbruik van een kwetsbaarheid in de ESET Command line scanner om malware uit te voeren op geïnfecteerde systemen. Het lek zit in de manier waarop de scanner dll-bestanden laadt. In plaats van deze uit de veilige systeemmap te halen, worden ze uit de programmamap geladen. Hierdoor kunnen aanvallers een kwaadaardig dll-bestand inschakelen om verdere toegang te verkrijgen. De spionagegroep gebruikt deze techniek om een malafide tool te starten die via een kwetsbare Dell-driver detectie probeert te omzeilen. De tool manipuleert kernelstructuren die normaal gesproken systeemgebeurtenissen in de gaten houden. Het uiteindelijke doel van de aanval is het stelen van vertrouwelijke informatie. ESET heeft het lek op 4 april gedicht. Deze aanval onderstreept het belang van regelmatige updates en het monitoren van afwijkend gedrag binnen systemen.

Bron

Negen kwaadaardige extensies op de Visual Studio Code Marketplace van Microsoft zijn ontdekt die zich voordoen als legitieme ontwikkeltools. Bij installatie besmetten ze systemen met de XMRig cryptominer, die wordt gebruikt om Ethereum en Monero te minen. De extensies, die al meer dan 300.000 keer gedownload waren, bevatten een PowerShell-script dat schadelijke software installeert, zoals de cryptominer, en zichzelf camoufleert als legitieme software om detectie te vermijden. Het script schakelt beveiligingsmechanismen uit, zorgt ervoor dat de malware opnieuw wordt opgestart na het opstarten van het systeem en verhoogt de beheerdersrechten van de aanvaller. Microsoft is op de hoogte gesteld van de bedreiging en heeft de extensies verwijderd. Gebruikers die deze extensies hebben geïnstalleerd, wordt aangeraden om de extensies onmiddellijk te verwijderen en handmatig de malware van hun systeem te verwijderen.

Bron

Google heeft gewaarschuwd voor twee ernstige beveiligingslekken in de Androidkernel die via de USB-poort kunnen worden aangevallen. De kwetsbaarheden, CVE-2024-53150 en CVE-2024-53197, kunnen aanvallers toegang verschaffen tot persoonlijke gegevens en de rechten op een Androidtelefoon verhogen, mits ze fysieke toegang hebben tot het toestel. Deze kwetsbaarheden werden onlangs gebruikt door het bedrijf Cellebrite om vergrendelde telefoons te ontgrendelen. Naast deze twee kwetsbaarheden heeft Google ook vier andere lekken gepatcht die informatiebeveiliging kunnen bedreigen, waarvan er één kritiek is. Het betreft een lek in de Qualcomm-chip die lokaal misbruikt kan worden. Fabrikanten van Androidtoestellen zijn al ingelicht en hebben tijd gehad om updates te ontwikkelen, maar niet alle toestellen zullen direct de updates ontvangen. Het patchniveau van de aprilupdates heeft de datum 2025-04-01 of 2025-04-05.

Bron

Veel Nederlandse organisaties zijn kwetsbaar door een beveiligingslek in Ivanti-systemen, zoals Ivanti Connect Secure en Pulse Connect Secure. Dit lek maakt het mogelijk voor aanvallers om op afstand code uit te voeren en systemen te compromitteren. Het gaat om de kwetsbaarheid CVE-2025-22457, die een score van 9.0 kreeg op de schaal van 1 tot 10. Ivanti bracht op 11 februari een patch uit, maar systemen die vóór die tijd niet zijn gepatcht, blijven kwetsbaar. Vooral oudere versies van Pulse Connect Secure, die sinds eind 2024 geen updates meer ontvangen, zijn een risicofactor. De Amerikaanse overheid heeft organisaties geadviseerd om fabrieksreset uit te voeren op alle kwetsbare systemen. De Shadowserver Foundation heeft wereldwijd duizenden ongepatchte systemen geïdentificeerd, waarvan er 140 in Nederland staan. Aanvallers maken misbruik van de kwetsbaarheid om backdoors op vpn-servers te installeren.

Bron

Criminelen hebben wereldwijd via kwetsbare CrushFTP-servers gevoelige gegevens van bedrijven gestolen. De groep Kill Security heeft bekendgemaakt dat ze getroffen organisaties zullen benaderen om de "veiligheid van de gegevens" te bespreken, wat erop duidt dat losgeld eisen waarschijnlijk is. De kwetsbaarheid in CrushFTP, die sinds 31 maart actief wordt misbruikt, stelt aanvallers in staat om zonder authenticatie toegang te krijgen tot systemen. Dit gebeurt via een lek in de http- of https-poorten van de servers. Na toegang creëren de aanvallers een backdoor-account en installeren ze software zoals MeshCentral en AnyDesk om persistent toegang te behouden. Dit probleem heeft wereldwijd duizenden servers getroffen, met 27 kwetsbare servers in Nederland. Organisaties die gebruik maken van CrushFTP worden geadviseerd om snel beveiligingsupdates toe te passen.

Digitale videorecorders (DVR's) van het merk TVT, met name in Duitsland, het Verenigd Koninkrijk en de Verenigde Staten, zijn momenteel het doelwit van aanvallen. De aanvallers maken misbruik van een kwetsbaarheid die hen toegang geeft tot administratieve controle over de apparaten. Het gaat om de NVMS-9000, een recorder die wordt gebruikt voor beveiliging en surveillancesystemen. Deze kwetsbaarheid werd vorig jaar al gemeld, maar het is onduidelijk of er een patch beschikbaar is. De aanvallen zijn mogelijk afkomstig van een botnet dat op de Mirai-malware is gebaseerd. Ondanks eerdere beveiligingsmaatregelen blijven de apparaten kwetsbaar, vooral wanneer poorten open staan, waardoor gevoelige informatie zoals gebruikersnamen en wachtwoorden kan worden onderschept. Dit is niet de eerste keer dat deze apparaten doelwit zijn van aanvallen; ook in 2019 werden vergelijkbare kwetsbaarheden misbruikt.

Er is een datalek gemeld bij Discord, waarbij meer dan 348 miljoen openbare berichten zijn gestolen van ongeveer 1.000 servers wereldwijd. De gestolen data bevat onder andere gebruikers-ID's, gebruikersnamen en de inhoud van de berichten. Dit lek werd ontdekt door een lid van BreachForums, een platform waar cybercriminelen gegevens delen. Het lek heeft aanzienlijke zorgen veroorzaakt over de privacy van Discord-gebruikers, aangezien het een groot aantal servers wereldwijd betreft. De gecompromitteerde gegevens kunnen mogelijk worden misbruikt voor verschillende vormen van cybercriminaliteit. Gebruikers wordt geadviseerd om hun accounts goed te beveiligen, bijvoorbeeld door het gebruik van sterke wachtwoorden en twee-factor-authenticatie.

Cybercriminelen blijven het .scr-bestandsformaat voor schermbeveiligers misbruiken om kwaadaardige software te verspreiden. Deze bestanden, die zich voordoen als onschuldige systeembestanden, kunnen in phishingcampagnes worden ingezet. Een recent voorbeeld is een campagne waarbij aanvallers zich voordeden als een Taiwanees transportbedrijf om ModiLoader, een malwareloader op basis van Delphi, te verspreiden. Deze loader kan op zijn beurt andere schadelijke programma’s, zoals Remcos en Agent Tesla, downloaden. De aanvallers richtten zich op diverse sectoren, waaronder de maakindustrie en elektronica, in Japan, de VS, Taiwan en Zuidoost-Azië. De infectie begint vaak met een phishingmail die een RAR-archief bevat met een .scr-bestand dat de loader activeert. Het gebruik van geavanceerde technieken, zoals procesinjectie en anti-sandboxmaatregelen, maakt de malware moeilijker te detecteren. Organisaties wordt geadviseerd om de uitvoering van .scr-bestanden te blokkeren en e-mailbijlagen in een sandbox te controleren om aanvallen te voorkomen.

Bron

Hackers hebben een nieuwe techniek ontwikkeld waarbij ze .RDP-bestanden gebruiken om ongeautoriseerde verbindingen tot stand te brengen via Windows Remote Desktop Protocol (RDP). Dit gebeurde in een aanval gericht op Europese overheids- en militaire instellingen, waarbij vermoedelijk Russische actoren betrokken waren. De aanvallers versturen phishing-e-mails met .RDP-bestanden die, wanneer uitgevoerd, een RDP-verbinding opzetten van het slachtoffer naar een server die door de aanvaller wordt gecontroleerd, zonder dat de gebruikelijke waarschuwingen verschijnen. Deze methode stelt de aanvallers in staat om toegang te krijgen tot het bestandssysteem, het klembord en zelfs systeemvariabelen van het slachtoffer. De aanval maakt gebruik van de mogelijkheid om gegevens van de slachtoffercomputer naar de aanvallers te sturen en om zich voor te doen als een legitieme applicatie, wat het detecteren van de aanval bemoeilijkt. Organisaties worden geadviseerd om extra beveiligingsmaatregelen te nemen om deze dreiging te voorkomen.

Bron

Onderzoekers van PCAutomotive ontdekten een kwetsbaarheid in het infotainmentsysteem van de tweede generatie Nissan Leaf (2020 model), die aanvallers in staat stelt om op afstand essentiële voertuigfuncties over te nemen. De exploit maakt gebruik van een fout in de Bluetooth-verbinding, waardoor kwaadwillenden toegang krijgen tot het voertuig bij tijdelijke nabijheid, zoals bij parkeerterreinen. Na het verkrijgen van toegang kunnen ze via een embedded modem blijven communiceren met de auto, zelfs na herstarten. Ze kunnen deuren openen, ramen neerzetten, spiegels aanpassen en zelfs de stuurinrichting manipuleren. De kwetsbaarheid werd in augustus 2023 gemeld, maar updates voor eigenaars van de huidige modellen worden pas in het derde kwartaal van 2025 verwacht. De ontdekking benadrukt de risico's van legacy-systemen en onvoldoende beveiligde voertuignetwerken.

Bron

Google heeft onlangs phishingaanvallen gemeld waarbij Europese overheden en militaire organisaties het doelwit waren. Deze aanvallen, die in oktober vorig jaar plaatsvonden, maakten gebruik van .rdp-bestanden als e-mailbijlage. Wanneer slachtoffers het bestand openden, werd er verbinding gemaakt met het RDP-systeem van de aanvallers, die daardoor toegang kregen tot de gegevens op de aangevallen systemen. De aanvallers konden bestanden stelen, gegevens uit het klembord onderscheppen en omgevingsvariabelen uitlezen. Tevens werd gebruik gemaakt van een minder bekende functie binnen het Remote Desktop Protocol (RDP), genaamd RemoteApp, waarmee een malafide applicatie werd gepresenteerd alsof deze lokaal geïnstalleerd was. Google waarschuwt dat deze campagne waarschijnlijk gericht was op spionage en manipulatie van gebruikers.

Bron

Microsoft heeft een kwetsbaarheid ontdekt in het Windows Common Log Filesystem (CLFS), die door cybercriminelen wordt misbruikt voor ransomware-aanvallen. De kwetsbaarheid, aangeduid als CVE-2025-29824, kan ervoor zorgen dat aanvallers die al toegang hebben tot een systeem, volledige beheerdersrechten verkrijgen. Dit maakt het mogelijk om het systeem te compromitteren. De aanvallen richtten zich voornamelijk op bedrijven in de Verenigde Staten, Venezuela, Spanje en Saoedi-Arabië. Microsoft heeft op 8 april 2025 een beveiligingsupdate uitgebracht om het probleem te verhelpen. De exacte methode waarop aanvallers toegang tot de systemen kregen, is nog onbekend. Organisaties kunnen aan de hand van bepaalde indicatoren nagaan of ze getroffen zijn door deze aanvallen.

Bron

In 2024 werden bijna één miljoen WordPress-websites getroffen door malware. Dit blijkt uit het jaarlijkse rapport van het beveiligingsbedrijf Wordfence. De infecties betroffen vaak kwetsbare plug-ins, die via beveiligingslekken toegang gaven voor aanvallen. Deze malware probeert onder andere gebruikers te besmetten door valse browser-updates aan te bieden of bezoekers door te sturen naar gevaarlijke websites. De kwetsbaarheden in plug-ins waren vorig jaar opvallend veel, met meer dan achtduizend meldingen, waarvan er nog steeds tweeduizend zonder update zijn. Gelukkig zijn de meeste aanvallen via zwakke wachtwoorden afgenomen door de invoering van betere beveiliging, zoals tweefactorauthenticatie. WordPress-beheerders wordt geadviseerd om hun systemen en plug-ins up-to-date te houden en geen verouderde software meer te gebruiken om aanvallen te voorkomen.

Bron

Cyberagentschappen uit verschillende landen hebben een gezamenlijke waarschuwing uitgegeven over mobiele spyware, genaamd Moonshine en Badbazaar. Deze spyware richt zich op Android- en iOS-apparaten en maakt het mogelijk om gebruikers ongemerkt te bespioneren via hun microfoon, camera en locatiegegevens. Ook kunnen berichten, foto's en andere gegevens van het toestel worden ingezien. De spyware is vooral gericht tegen leden van Tibetaanse, Taiwanese en Oeigoerse gemeenschappen, evenals medewerkers van maatschappelijke organisaties. Autoriteiten adviseren gebruikers om telefoons niet te rooten of jailbreaken, aangezien ongepatchte kwetsbaarheden dan makkelijker kunnen worden misbruikt. Ze raden ook aan apps alleen uit officiële appstores te downloaden en telefoons up-to-date te houden. Gebruikers van Android wordt bovendien geadviseerd deel te nemen aan het Google Advanced Protection programma.

Bron

Er is een significante stijging van pogingen om kwetsbaarheden in TVT NVMS9000 digitale videorecorders (DVR's) te misbruiken. Op 3 april 2025 werden meer dan 2.500 unieke IP-adressen gedetecteerd die op zoek waren naar kwetsbare apparaten. De aanvallen maken gebruik van een informatielek, ontdekt in mei 2024, waarmee aanvallers beheerderswachtwoorden kunnen verkrijgen en ongeautoriseerde commando’s kunnen uitvoeren. Het lijkt erop dat de aanvallen verband houden met een Mirai-gebaseerd botnet, dat deze apparaten probeert te integreren in zijn netwerk. In de afgelopen maand registreerde het platform GreyNoise 6.600 verschillende IP’s die betrokken waren bij deze aanvallen. De meeste aanvallen komen uit Taiwan, Japan en Zuid-Korea, terwijl de doelwitten voornamelijk in de VS, het VK en Duitsland zijn gevestigd. Gebruikers van deze DVR's wordt geadviseerd om firmware-updates uit te voeren of de apparaten af te schermen van het openbare internet.

Bron

Cybercriminelen maken misbruik van het legitieme platform SourceForge om nep Microsoft Office-add-ins te verspreiden. Deze add-ins installeren malware op de systemen van slachtoffers, die zowel cryptocurrency kunnen minen als stelen. Het nepproject, genaamd "officepackage," lijkt op een legitieme ontwikkeltool voor Office-add-ins, maar bevat schadelijke bestanden. Wanneer gebruikers de tool downloaden, wordt er een ZIP-bestand met een installer gedownload dat een reeks schadelijke scripts en bestanden activeert. Deze malware bevat onder andere een cryptominer en een clipboard-hijacker die cryptocurrency-adressen vervangt met die van de aanvaller. De geïnfecteerde systemen sturen informatie naar de aanvallers via Telegram en kunnen nieuwe malware ontvangen. Het project werd snel verwijderd, maar gebruikers worden aangespoord om alleen software van vertrouwde bronnen te downloaden en alle bestanden te scannen met up-to-date antivirussoftware.

Bron

Phishing-aanvallers gebruiken een nieuwe techniek, genaamd 'Precision-Validated Phishing', waarbij valse inlogformulieren alleen worden weergegeven wanneer een gebruiker een specifiek doelwit-email invoert. In tegenstelling tot traditionele phishing, die massa-aanvallen uitvoert, controleert deze techniek in real-time of een ingevoerd e-mailadres op een lijst van vooraf geselecteerde slachtoffers staat. Wanneer een e-mailadres niet herkend wordt, wordt de gebruiker doorgestuurd naar een onschuldige website. Deze aanpak maakt traditionele phishinganalyse moeilijker, omdat beveiligingsexperts vaak foutieve e-mailadressen gebruiken om aanvallen te onderzoeken. Dit verlaagt de detectiecapaciteit van beveiligingssystemen en verlengt de levensduur van phishingcampagnes. De aanvallers gebruiken hiervoor externe e-mailverificatieservices of JavaScript om het ingevoerde e-mailadres te controleren. Dit heeft grote gevolgen voor de effectiviteit van de huidige phishingdetectie. Organisaties moeten nieuwe detectiestrategieën ontwikkelen die zich richten op gedragsanalyse en real-time dreigingsintelligentie om bij te blijven met deze evoluerende aanvalsmethode.

Bron

Op 7 april 2025 werd bekend dat de volledige CloudBelgium-database, inclusief gevoelige informatie zoals bankgegevens en IBAN-nummers, online is gelekt. Het betreft een aanzienlijke datalek waarbij vertrouwelijke klantinformatie in handen is gekomen van onbevoegden. Dit soort incidenten kan ernstige gevolgen hebben voor de getroffen organisaties en individuen, omdat de gestolen gegevens kunnen worden misbruikt voor financiële fraude of identiteitsdiefstal. Organisaties wordt geadviseerd snel maatregelen te nemen, zoals het controleren van beveiligingsprotocollen en het informeren van getroffen klanten. Het is belangrijk om te blijven monitoren voor mogelijke misbruik van de gegevens en preventieve stappen te nemen om verdere schade te voorkomen.

Fortinet heeft een belangrijke beveiligingspatch uitgebracht voor een kwetsbaarheid in zijn FortiSwitch-apparaten, die cybercriminelen in staat stelt om op afstand administratorwachtwoorden te veranderen. De kwetsbaarheid (CVE-2024-48887) werd ontdekt door een interne ontwikkelaar van FortiSwitch en heeft een ernstscore van 9,8 op 10. Aanvallers kunnen de kwetsbaarheid misbruiken zonder enige authenticatie of gebruikersinteractie, door een speciaal geprepareerde verzoek naar een kwetsbare endpoint te sturen. De kwetsbaarheid betreft meerdere versies van FortiSwitch, van versie 6.4.0 tot 7.6.0. Fortinet heeft updates beschikbaar gesteld voor de getroffen versies en raadt gebruikers aan deze zo snel mogelijk te installeren. Voor wie de updates niet onmiddellijk kan doorvoeren, biedt Fortinet een tijdelijke oplossing, zoals het uitschakelen van HTTP/HTTPS-toegang op de beheerdersinterfaces.

Bron

Hackers hebben gebruikgemaakt van Server-Side Request Forgery (SSRF) kwetsbaarheden op websites die gehost worden op AWS EC2-instanties. Deze kwetsbaarheden maakten het mogelijk om EC2-metadata op te vragen, waaronder Identity and Access Management (IAM)-referenties. Door deze referenties konden de aanvallers hun toegang verhogen en mogelijk gevoelige gegevens exfiltreren of verstoren, zoals gegevens in S3-buckets. De aanvallen vonden plaats tussen 13 en 25 maart 2025 en werden uitgevoerd door een enkele dreigingsactor. De aanvallers richtten zich op systemen die nog de oudere IMDSv1-metadata-service gebruikten, die minder bescherming biedt tegen SSRF-aanvallen. AWS heeft inmiddels IMDSv2 geïntroduceerd, dat extra beveiliging biedt door sessietokens te vereisen. De campagne benadrukt de risico’s van verouderde systemen en het belang van het toepassen van de nieuwste beveiligingsupdates.

Bron

Op 9 april 2025 werd er een ernstige kwetsbaarheid in Google Chrome ontdekt die misbruikt kan worden voor Remote Code Execution (RCE). Deze exploit maakt het mogelijk voor aanvallers om volledige controle te krijgen over een systeem via een simpel gekopieerd bestand of een geïnfecteerde website. Het risico van deze kwetsbaarheid wordt als hoog ingeschat, omdat het relatief eenvoudig is om de exploit te gebruiken. Gebruikers van Chrome worden aangespoord om hun browsers direct bij te werken om zich tegen deze dreiging te beschermen. De exploit wordt momenteel actief gedeeld op verschillende cybercriminaliteitforums, wat de noodzaak voor snelle actie benadrukt. Organisaties wordt aangeraden om hun netwerkbeveiliging te versterken en gebruikers te waarschuwen voor het openen van verdachte links of het downloaden van onbekende bestanden. Deze kwetsbaarheid toont opnieuw aan hoe belangrijk het is om software regelmatig bij te werken om te voorkomen dat kwaadwillenden misbruik maken van beveiligingslekken.

Een groep Chinese cybercriminelen, bekend als de "Smishing Triad", heeft zich recent gericht op klanten van internationale financiële instellingen. Voorheen imiteerden ze tolbedrijven en koeriersdiensten om betaalinformatie te stelen, maar nu gebruiken ze geavanceerde phishingtechnieken om klanten van onder andere Citigroup, PayPal en Visa te targeten. De groep verstuurt iMessages of RCS-berichten, waarbij ze misleidende links sturen naar nep-websites die lijken op die van officiële instellingen. Wanneer slachtoffers hun betalingsgegevens invoeren, proberen de criminelen de informatie in digitale portemonnees van Apple of Google op te slaan. Deze gestolen gegevens worden vervolgens vaak via massaal gekloonde telefoons verkocht, die worden gebruikt voor fraude en e-commerce. De Smishing Triad heeft hun netwerk enorm uitgebreid, met duizenden phishing-domeinen actief in tientallen landen, wat de uitdaging voor cyberbeveiliging vergroot.

Bron

Op het darkweb is een verkoop van IBAN callcenter-leads uit Nederland gesignaleerd. De gegevens worden aangeboden op het platform BreachForums, waar cybercriminelen regelmatig gevoelige informatie verhandelen. De verkoper, die zich "daisy" noemt en sinds juni 2023 actief is, biedt deze gegevens aan, wat mogelijk kan leiden tot misbruik of fraude. Het gaat hierbij om specifieke klantinformatie die via callcenters is verzameld, en de verkoop van dergelijke data kan grote risico’s met zich meebrengen voor de getroffen individuen en organisaties. Dit incident is onderdeel van een breder probleem van datalekken en cybercriminaliteit op het darkweb, waar regelmatig privé-informatie wordt verhandeld. Het is van belang voor zowel bedrijven als individuen om waakzaam te blijven en maatregelen te nemen tegen dergelijke bedreigingen.

Op 9 april 2025 werd bekend dat er toegang is verkregen tot logs van tientallen zonne-energiecentrales. De betrokken apparatuur betreft het model Solor log, en de gegevens zijn beschikbaar op een onveilige server. Deze kwetsbaarheid kan ernstige risico's voor de betrokken centrales met zich meebrengen, doordat gevoelige informatie zoals systemen en bedrijfsvoering blootgesteld wordt. Er zijn specifieke toegangspunten en wachtwoorden gedeeld die toegang verschaffen tot deze logs. Dit incident benadrukt de risico's van onvoldoende beveiliging bij industriële systemen, wat de noodzaak van strengere beveiligingsmaatregelen voor vitale infrastructuren onderstreept.

Op 10 april 2025 werd er een databestand met maar liefst 800.000 Belgische accounts te koop aangeboden op het darkweb. Het bestand, dat wordt aangeduid als een "good combolist", bevat zowel e-mailadressen als bijbehorende wachtwoorden, wat het een waardevolle bron maakt voor cybercriminelen. Dergelijke gegevens worden vaak gebruikt voor phishing-aanvallen, identiteitsdiefstal of verdere cybercriminaliteit. Het is belangrijk dat bedrijven en individuen zich bewust zijn van deze dreiging en maatregelen nemen om hun gegevens te beschermen, zoals het gebruik van sterke wachtwoorden en twee-factor-authenticatie. Het lek benadrukt opnieuw de risico’s van onveilige gegevensopslag en de noodzaak voor bedrijven om hun cyberbeveiliging constant te evalueren en te verbeteren.

Kort na de bekendmaking van een kwetsbaarheid in de OttoKit WordPress-plug-in, die eerder bekend was als SureTriggers, werd deze al misbruikt om websites aan te vallen. OttoKit is een platform voor automatisering dat wordt gebruikt door tienduizenden WordPress-websites. De kwetsbaarheid maakt het mogelijk voor aanvallers om via een 'authentication bypass' ongeautoriseerd een admin-account aan te maken. Dit gebeurt doordat de plug-in een HTTP-header onvoldoende controleert, waardoor aanvallers toegang krijgen zonder geldige inloggegevens. Hoewel de plug-in alleen kwetsbaar is als deze nog niet geconfigureerd is met een API-sleutel, zijn er binnen enkele uren na de ontdekking al aanvallen geregistreerd. Er is een update beschikbaar voor de plug-in en beheerders worden dringend verzocht deze te installeren om verdere schade te voorkomen.

Bron

Onderzoekers hebben onlangs 35 verdachte browserextensies ontdekt in de Chrome Web Store, die samen meer dan 4 miljoen installaties hadden. Deze extensies waren "unlisted", wat betekent dat ze niet via zoekmachines te vinden waren, maar alleen toegankelijk waren via specifieke URL's. De extensies vroegen om uitgebreide toestemmingen, zoals toegang tot webverkeer, cookies en browsertabs. Ook konden ze scripts uitvoeren. Volgens de onderzoekers verzamelen de extensies informatie over de bezochte websites van gebruikers. De extensies claimden functionaliteiten op het gebied van beveiliging en zoekopdrachten, maar door de verdachte activiteiten werd het onderzoek bij Google gemeld, zodat de extensies uit de store konden worden verwijderd. Gebruikers wordt geadviseerd om de extensies te verwijderen om mogelijke privacyrisico's te vermijden.

Bron 1, 2

Fortinet heeft een waarschuwing uitgegeven voor een nieuwe aanvalstechniek die gericht is op FortiGate-firewalls. Aanvallers maken gebruik van kwetsbaarheden die eerder werden gedicht met beveiligingsupdates in 2022, 2023 en 2024. Na het verkrijgen van toegang tot de firewall, creëren de aanvallers een 'symbolic link' die de user- en rootbestanden van het systeem met elkaar verbindt. Deze link blijft bestaan na een update, waardoor de aanvaller read-only toegang behoudt tot belangrijke bestanden, waaronder de configuratiebestanden van de firewall. Dit risico is alleen relevant voor systemen waar de SSL VPN-functie is ingeschakeld. Fortinet heeft inmiddels maatregelen genomen door handtekeningen uit te rollen om dergelijke aanvallen te detecteren en de symbolic links te verwijderen. Klanten die de SSL VPN niet gebruiken, lopen geen gevaar.

Bron

Fortinet heeft een waarschuwing uitgegeven over een geavanceerde techniek die cybercriminelen gebruiken om toegang te behouden tot eerder gehackte FortiGate VPN-apparaten, zelfs nadat kwetsbaarheden zijn gepatcht. Deze methode maakt gebruik van symbolische links die tijdens eerdere aanvallen zijn achtergelaten in de map voor taalbestanden van de SSL-VPN. Daardoor behouden aanvallers via de webinterface een read-only toegang tot het systeem. Hoewel de originele kwetsbaarheden (zoals CVE-2022-42475) zijn verholpen, blijven deze links bestaan en ontsnappen ze aan detectie. Sinds begin 2023 zouden al grootschalige aanvallen hebben plaatsgevonden waarbij deze techniek werd gebruikt. Fortinet adviseert klanten dringend hun systemen te updaten, configuraties te controleren en verdachte wijzigingen te onderzoeken. Ook wordt geadviseerd om eventueel gecompromitteerde apparaten te isoleren en alle toegangsgegevens opnieuw in te stellen om verdere schade te voorkomen.

Bron

Lees ook: Vraag van de week: Wat is fileless malware en hoe werkt het?

Door de opkomst van generatieve AI in programmeertools is een nieuw type softwareketenaanval ontstaan, genaamd “slopsquatting”. Hierbij maken aanvallers misbruik van het feit dat AI-modellen soms niet-bestaande pakketten verzinnen bij het genereren van code. Deze foutieve pakketnamen worden vervolgens door kwaadwillenden aangemaakt met kwaadaardige inhoud. Uit onderzoek blijkt dat in ongeveer 20 procent van de AI-gegenereerde codevoorbeelden pakketten worden genoemd die niet bestaan. Hoewel commerciële modellen zoals ChatGPT minder vaak deze fouten maken, zijn de hallucinerende pakketnamen vaak herhaalbaar en lijken ze overtuigend echt, wat het voor aanvallers makkelijker maakt om slachtoffers te misleiden. Volgens onderzoekers is de enige manier om dit risico te beperken, het handmatig controleren van pakketnamen en het gebruik van veilige technieken zoals dependency scanners en hashverificatie. Daarnaast helpt het om AI-modellen met een lagere "temperatuur" in te zetten om foutieve output te verminderen.

Bron

Het phishing-as-a-service platform Tycoon2FA heeft nieuwe functies gekregen waarmee het nog beter in staat is om Microsoft 365-accounts te misleiden en beveiligingsmaatregelen te omzeilen. De kit gebruikt nu onzichtbare Unicode-tekens in JavaScript om kwaadaardige code te verbergen en past een zelfgehoste CAPTCHA toe om detectie door reputatiesystemen te voorkomen. Ook bevat het scripts die automatisch onderzoekstools blokkeren. Wanneer verdachte activiteit wordt gedetecteerd, krijgt het slachtoffer een afleidingspagina of legitieme website te zien. Daarnaast is er een sterke toename van phishingaanvallen met SVG-bestanden vastgesteld, waarbij afbeeldingen vermomd zijn als voicemailberichten of cloudlogo’s. Deze SVG’s bevatten verborgen JavaScript dat gebruikers naar valse inlogpagina’s leidt. Door deze technieken te combineren wordt het steeds moeilijker om deze aanvallen vroegtijdig te herkennen en te stoppen. Het is daarom belangrijk om e-mailbijlagen kritisch te bekijken en phishingbestendige authenticatie, zoals FIDO-2, te gebruiken.

Bron

Onderzoekers hebben een kwaadaardige versie van WhatsApp ontdekt die vooraf geïnstalleerd staat op bepaalde goedkope Androidtelefoons. Deze app blijkt in werkelijkheid clipper-malware te zijn, ontworpen om cryptovaluta te stelen. Wanneer gebruikers een walletadres kopiëren, vervangt de malware het gekopieerde adres in het clipboard met dat van de aanvaller, waardoor het geld bij de cybercrimineel terechtkomt. De malware speurt ook naar afbeeldingen op het toestel, in de hoop screenshots van seed phrases te vinden, waarmee toegang tot crypto wallets mogelijk is. In totaal zou via deze methode al meer dan 1,7 miljoen dollar zijn buitgemaakt. De toestellen worden verkocht als bekende merken, maar blijken in werkelijkheid gemodificeerde en goedkopere modellen te zijn. Gebruikers wordt aangeraden voorzichtig te zijn met goedkope smartphones waarvan de specificaties niet kloppen met de prijs, en geen gevoelige informatie of screenshots van wachtwoorden en seed phrases onversleuteld op hun telefoon op te slaan.

Bron

Op een bekend darkwebforum is een nog onbekende kwetsbaarheid (zero-day) aangeboden waarmee Fortinet FortiGate-firewalls volledig overgenomen kunnen worden zonder inloggegevens. De exploit maakt misbruik van een lek in FortiOS en biedt aanvallers volledige configuratietoegang en de mogelijkheid tot remote code execution. Uit gelekte configuratiebestanden blijkt dat aanvallers onder andere toegang kunnen krijgen tot beheerdersaccounts, lokale gebruikersgegevens en 2FA-instellingen. Deze informatie kan worden gebruikt om beveiligingsmaatregelen te omzeilen en verdere aanvallen uit te voeren.

Fortinet wordt vaker getroffen door ernstige kwetsbaarheden, waaronder eerdere gevallen van authentication bypass. Ondanks waarschuwingen en patches blijft een groot aantal firewalls wereldwijd kwetsbaar, onder andere doordat updates vaak te laat worden geïnstalleerd. Het incident benadrukt de noodzaak voor organisaties om hun firewalls actief te beveiligen, firmware tijdig te updaten en beheerinterfaces goed af te schermen tegen onbevoegde toegang.

Bron

Een nieuwe vorm van malware genaamd ResolverRAT wordt wereldwijd ingezet tegen organisaties in de farmaceutische en gezondheidszorgsector. Deze Remote Access Trojan (RAT) verspreidt zich via phishingmails die zich voordoen als meldingen over auteursrechten of juridische kwesties, aangepast aan de taal van het doelwit. Een legitiem ogend bestand wordt gebruikt om de malware onopvallend in het geheugen van het systeem te injecteren. ResolverRAT draait volledig in geheugen, maakt geen verdachte API-aanroepen en omzeilt zo traditionele detectiemethoden. De malware is complex opgebouwd, ontwijkt analyse en blijft actief door zich op meerdere plekken in het Windows-register en bestandssysteem te nestelen. Daarnaast kan het grote hoeveelheden data in kleine stukjes versturen, waardoor het minder snel wordt opgemerkt door beveiligingssystemen. Aanvallen zijn al waargenomen in onder andere Italië, Tsjechië, India en Indonesië, wat wijst op een wereldwijde inzet en mogelijke uitbreiding naar andere landen.

Bron

Het aantal aanvallen met zogeheten infostealers neemt sterk toe. In 2024 zijn er al meer dan 33.000 meldingen gedaan van deze malware die op slinkse wijze wachtwoorden en privégegevens buitmaakt. Infostealers besmetten apparaten vaak via phishingmails of illegale downloads, waarbij slachtoffers zich van geen kwaad bewust zijn. De gestolen data komt vervolgens terecht op het darkweb en op versleutelde chatdiensten, waar andere criminelen ze inzetten voor identiteitsfraude, het plunderen van bankrekeningen of het overnemen van accounts zoals bij webshops en WhatsApp. Vooral jongeren die onbewust software of spelletjes installeren, vormen een risico voor gezinsapparaten. De dreiging is al jaren groeiende, maar experts zien nu dat het aandeel van infostealers in het totale aantal cyberaanvallen steeds groter wordt. Vaak merken slachtoffers de besmetting pas op als het te laat is, bijvoorbeeld als ze niet meer kunnen inloggen bij een dienst.

Bron

Later meer hierover in een artikel op ccinfo

Begin januari is BPO-dienstverlener Conduent getroffen door een cyberaanval waarbij klantgegevens zijn buitgemaakt. Het bedrijf, dat diensten levert zoals klantcontact en HR-oplossingen in 24 landen waaronder Nederland, merkte op 13 januari een verstoring in de bedrijfsvoering. Onderzoek wees uit dat een aanvaller toegang had tot delen van het netwerk en daarbij gegevens van een beperkt aantal klanten heeft gestolen. Later werd duidelijk dat de gestolen data persoonlijke informatie bevat van een aanzienlijk aantal eindgebruikers van die klanten. Hoe de aanvaller toegang kreeg en om hoeveel personen het precies gaat is niet bekendgemaakt. Wel stelt het bedrijf dat de systemen binnen enkele dagen hersteld waren. De impact is daarmee nog onduidelijk, maar het voorval onderstreept opnieuw hoe belangrijk het is dat bedrijven hun digitale weerbaarheid op orde hebben en transparant communiceren bij incidenten.

Bron

De door Rusland gesteunde spionagegroep Midnight Blizzard, ook bekend als APT29 of Cozy Bear, voert sinds januari 2025 een gerichte phishingcampagne uit tegen diplomatieke instellingen in Europa. Slachtoffers ontvangen een e-mail die afkomstig lijkt van een ministerie van Buitenlandse Zaken, met een uitnodiging voor een wijnproeverij. Wanneer aan specifieke voorwaarden is voldaan, wordt een ZIP-bestand gedownload met daarin de nieuwe malware 'GrapeLoader'. Deze wordt op een slimme manier ingeladen via een legitiem PowerPoint-bestand. GrapeLoader verzamelt systeeminformatie en legt contact met een commandoserver, waarna de geavanceerde backdoor 'WineLoader' wordt geladen. Deze laatste wordt als geïnfecteerd VMware Tools-bestand ingezet en voert verdere spionage uit. De malware opereert volledig in het geheugen, wat detectie bemoeilijkt. Deze campagne laat zien dat APT29 zijn tactieken blijft verfijnen en dat verhoogde waakzaamheid en gelaagde beveiliging essentieel zijn om zulke dreigingen te stoppen.

Bron

Sinds eind 2024 zien beveiligingsexperts dat criminelen steeds vaker Node.js gebruiken om malware en andere schadelijke software te verspreiden. Node.js, normaal gesproken een vertrouwde omgeving voor ontwikkelaars, wordt misbruikt om aanvallen te verhullen als legitieme toepassingen. Een recente campagne maakt gebruik van misleidende advertenties over cryptoplatformen om slachtoffers een geïnfecteerde installatiebestanden te laten downloaden. Dit bestand installeert kwaadaardige scripts, verzamelt systeeminformatie en stuurt die naar een command-and-controlserver. Daarbij worden technieken ingezet om detectie door antivirussoftware te omzeilen. Ook wordt inline JavaScript via Node.js ingezet om direct vanuit de opdrachtregel kwaadaardige code uit te voeren. Deze werkwijze maakt het lastig voor traditionele beveiligingsmaatregelen om de aanval tijdig te stoppen. Organisaties doen er goed aan om het gebruik van Node.js actief te monitoren, medewerkers te waarschuwen voor malvertising en PowerShell-logs grondig te analyseren.

Bron

Onderzoekers hebben een kwaadaardige npm-package ontdekt die zich voordoet als een integratie met het betaalplatform Advcash. Deze package bevat een verborgen backdoor die pas actief wordt bij een succesvolle betaling. Op dat moment opent de code een reverse shell naar een externe server, waarmee een aanvaller volledige toegang krijgt tot het systeem van het slachtoffer. Opvallend is dat de package overtuigend is opgebouwd, met functies voor betaling, validatie en hashing die doen vermoeden dat het om een legitieme module gaat. Door de malafide code slim te verstoppen in de zogeheten url_success callback, lijkt alles normaal te verlopen voor de gebruiker. Deze methode is lastig te detecteren, omdat de aanval pas tijdens runtime plaatsvindt. Het incident benadrukt hoe belangrijk het is om open source modules grondig te controleren voordat ze in productieomgevingen worden gebruikt, zeker wanneer het gaat om betalingsverkeer en gevoelige data.

Bron

Een geavanceerde spionagesoftware genaamd PasivRobber richt zich op macOS-systemen en is ontdekt door beveiligingsonderzoekers. De malware bestaat uit meerdere componenten die samenwerken om gegevens te verzamelen van populaire communicatieapps zoals WeChat en QQ. Ook worden webbrowsergegevens, e-mails en cloudwachtwoorden buitgemaakt. De infectie begint met een nep-systeemproces dat via een zogenaamde LaunchDaemon automatisch opstart bij het aanzetten van de computer. Vervolgens installeren aanvullende modules zich stiekem, waarbij slimme technieken worden gebruikt om detectie te omzeilen. Er zijn in totaal 28 plugins ontdekt die uiteenlopende soorten data stelen. De malware lijkt afkomstig uit China en specifiek gericht op Chinese gebruikers. De betrokken infrastructuur zou te linken zijn aan een bedrijf dat eerder in verband is gebracht met surveillance voor de Chinese overheid. Gebruikers wordt aangeraden hun systemen up-to-date te houden en alert te zijn op verdachte processen en netwerkverkeer.

Bron

In 2024 blokkeerde Google 5,1 miljard advertenties en schorste meer dan 39,2 miljoen adverteerders vanwege misbruik van zijn platform voor oplichting. De toename van AI-gegenereerde content, waaronder deepfake-video's die beroemdheden en publieke figuren imiteren voor scams, leidde tot strengere maatregelen. In reactie hierop heeft Google zijn Misrepresentation-beleid aangepast en een speciaal team van experts opgericht om deze oplichters aan te pakken. Dit leidde tot de permanente schorsing van meer dan 700.000 adverteerdersaccounts, wat resulteerde in een 90% afname van dit soort advertenties in 2024. Daarnaast blokkeerde Google advertenties in verschillende categorieën, zoals financiële diensten, gokken, volwassen inhoud en gezondheidszorg. AI speelde ook een rol bij het sneller identificeren en voorkomen van nieuwe bedreigingen. Google blijft werken aan verbeterde methoden om dergelijke oplichters te bestrijden.

Bron

Meer dan 16.000 internet-exposed Fortinet apparaten zijn gecompromitteerd door een nieuwe symlink backdoor, die de aanvallers in staat stelt om alleen-lezen toegang te krijgen tot gevoelige bestanden op eerder gecompromitteerde apparaten. Deze ontdekking werd gedaan door de Shadowserver Foundation, die aanvankelijk 14.000 apparaten rapporteerde, maar inmiddels 16.620 gecompromitteerde apparaten heeft vastgesteld. De aanvallers gebruikten geen nieuwe kwetsbaarheden, maar maakten gebruik van eerder ontdekte kwetsbaarheden in FortiOS, die in 2023 en 2024 werden misbruikt. Ze creëerden symbolische koppelingen in de taalbestandenmap om zo persistent toegang te behouden tot de root-bestandssystemen van de apparaten, zelfs nadat de kwetsbaarheden waren gepatcht. Fortinet heeft inmiddels een update uitgebracht om deze backdoor te detecteren en te verwijderen. Organisaties die getroffen zijn, worden geadviseerd om alle wachtwoorden te resetten en de aanbevolen stappen te volgen.

Bron

De kwetsbaarheid CVE-2025-24054, die NTLM-hashes kan lekken via een speciaal gemaakte .library-ms file, wordt sinds 19 maart 2025 actief misbruikt. Aanvallers kunnen deze kwetsbaarheid gebruiken om NTLM-hashes of gebruikerswachtwoorden te achterhalen, wat kan leiden tot systeemcompromissies. Microsoft bracht op 11 maart 2025 een patch uit, maar de kwetsbaarheid werd al snel door cybercriminelen gebruikt, vooral in aanvallen gericht op instellingen in Polen en Roemenië. In deze campagnes werden malspam-e-mails verstuurd met een Dropbox-link naar een gecomprimeerd bestand dat meerdere kwetsbaarheden, waaronder CVE-2025-24054, uitbuitte. Deze aanvallen kunnen eenvoudig worden geactiveerd door minimale gebruikersinteractie, zoals het navigeren naar een map met het kwaadwillige bestand. Het lekken van NTLM-hashes kan worden misbruikt voor brute-force aanvallen of relay-aanvallen, vooral wanneer de gestolen gegevens behoren tot een bevoorrechte gebruiker.

Bron

Op de Patch Tuesday van april 2025 heeft Microsoft 134 kwetsbaarheden verholpen, waarvan er één actief werd uitgebuit door cybercriminelen. De update betreft vooral kritieke kwetsbaarheden voor Remote Code Execution, die misbruikt kunnen worden voor aanvallen van op afstand. Onder de fixen zit ook de zero-day kwetsbaarheid CVE-2025-29824, die lokaal misbruikt kan worden om systeemrechten op een apparaat te verkrijgen. Deze kwetsbaarheid werd eerder al door de RansomEXX ransomware-groep gebruikt. De updates zijn inmiddels beschikbaar voor Windows 11 en Windows Server, maar voor Windows 10 zullen ze later volgen. Verder bevat de update ook patches voor andere kwetsbaarheden die invloed kunnen hebben op programma’s zoals Microsoft Office, Windows Bluetooth en de Remote Desktop Services. Het is raadzaam om de updates zo snel mogelijk te installeren om het systeem te beschermen tegen potentieel misbruik van deze kwetsbaarheden.

Meer info

Microsoft heeft spoedupdates uitgebracht voor meerdere Windows-versies om een probleem met auditbeleid in Active Directory Group Policy op te lossen. Het ging om een fout waarbij de instellingen voor het auditen van aanmeld- en afmeldgebeurtenissen lokaal als uitgeschakeld werden weergegeven, terwijl ze in werkelijkheid wel actief waren. Dit kon verwarring veroorzaken bij systeembeheerders en de nauwkeurigheid van logbestanden beïnvloeden. De updates zijn gericht op zakelijke systemen en hebben geen directe impact op thuisgebruikers. De updates zijn beschikbaar voor onder andere Windows 10, 11 en verschillende Windows Server-versies. Ze zijn cumulatief, wat betekent dat eerdere updates niet apart hoeven te worden geïnstalleerd. Microsoft benadrukt dat alleen getroffen organisaties deze update hoeven toe te passen. Tegelijkertijd waarschuwde het bedrijf voor een ander probleem waarbij sommige domeincontrollers onbereikbaar kunnen worden na een herstart.

Bron

Op 14 april 2025 zijn twee ernstige beveiligingslekken ontdekt in het populaire Pega-platform, dat wereldwijd wordt gebruikt voor het bouwen van bedrijfsapplicaties. De kwetsbaarheden bevinden zich in de Mashup-functie en maken het mogelijk voor aanvallers om schadelijke scripts uit te voeren in de browser van een gebruiker. Hierdoor kunnen gevoelige gegevens worden buitgemaakt en gebruikerssessies worden overgenomen. De kwetsbaarheden, aangeduid als CVE-2025-2160 en CVE-2025-2161, treffen versies van Pega vanaf 7.2.1 tot en met 24.2.1. Hoewel er op dit moment geen meldingen zijn van misbruik, is het risico aanzienlijk. De impact op vertrouwelijkheid en integriteit is hoog, al blijft de beschikbaarheid van het systeem onaangetast. De Belgische overheid roept op om de nodige updates zo snel mogelijk door te voeren en de monitoring te versterken. Patching voorkomt toekomstig misbruik, maar biedt geen bescherming tegen eerdere compromitteringen.

Bron

Google heeft een dringende beveiligingsupdate uitgebracht voor de Chrome-browser na de ontdekking van twee ernstige kwetsbaarheden. De eerste kwetsbaarheid betreft een heap buffer overflow in het Codecs-component van Chrome, wat aanvallers in staat stelt om schadelijke code uit te voeren en volledige controle over een systeem te verkrijgen. De tweede fout is een ‘use-after-free’ probleem in de USB-component, die eveneens misbruikt kan worden om ongeautoriseerde toegang te krijgen. Beide kwetsbaarheden maken het mogelijk om gegevens zoals wachtwoorden en creditcardgegevens te stelen via een kwaadaardige website of geïnfecteerde content. De problemen treffen vooral gebruikers van verouderde Chrome-versies op Windows, Mac en Linux. Google heeft inmiddels versie 135.0.7049.95/.96 vrijgegeven om deze kwetsbaarheden te verhelpen en roept gebruikers dringend op hun browser zo snel mogelijk te updaten. Hoewel er nog geen bewijs is van actieve uitbuiting, is het risico op misbruik aanzienlijk.

Bron

Apple heeft noodpatches uitgebracht voor twee ernstig beveiligingslekken die actief zijn misbruikt in gerichte aanvallen op iPhones. De kwetsbaarheden zitten in CoreAudio en RPAC en treffen meerdere besturingssystemen waaronder iOS, macOS, iPadOS, tvOS en visionOS. Het eerste lek maakt het mogelijk om via een kwaadaardig audiobestand op afstand code uit te voeren. Het tweede lek stelt aanvallers in staat om de geheugenbescherming van Apple te omzeilen via Pointer Authentication.

De aanvallen werden omschreven als “uiterst geavanceerd” en gericht op specifieke doelwitten. Hoewel Apple geen details heeft gedeeld over wie er zijn aangevallen, wordt geadviseerd om de updates zo snel mogelijk te installeren. De patches zijn beschikbaar voor een breed scala aan apparaten, waaronder de iPhone XS en nieuwer, diverse iPads, Apple TV's en de Vision Pro.

Met deze updates komt het aantal gerepareerde zero-days dit jaar op vijf.

Bron

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

• Naar overzicht

Hoewel cybercriminaliteit toeneemt, maakt slechts 5% van de kleine ondernemers zich zorgen over een cyberaanval. Dit is opvallend, want nepfacturen, valse bestellingen en ICT-storingen komen steeds vaker voor. Veel ondernemers hebben al te maken gehad met zulke incidenten, maar nemen desondanks nauwelijks voorzorgsmaatregelen. Deskundigen wijzen op een groot gebrek aan bewustzijn en digitale weerbaarheid binnen het kleinbedrijf. Ook blijkt dat veel ondernemers denken dat cybercriminelen alleen op grote bedrijven mikken, terwijl juist de kleinere vaak een makkelijker doelwit zijn. De gevolgen van een aanval kunnen ernstig zijn, zoals langdurige bedrijfsonderbrekingen of reputatieschade. Er is dan ook dringend behoefte aan betere voorlichting en ondersteuning om deze ondernemers digitaal weerbaarder te maken, maar voorlopig lijkt het besef nog ver weg.

Bron

EvilCorp is een Russische cybercriminele organisatie onder leiding van Maksim Yakubets, bekend om grootschalige financiële cyberaanvallen en het ontwikkelen van ransomware zoals BitPaymer en WastedLocker. Ondanks internationale sancties sinds 2019 blijft EvilCorp actief door samen te werken met andere ransomwaregroepen. RansomHub, voorheen bekend als Cyclops en Knight, is een Ransomware-as-a-Service (RaaS) operatie, actief sinds februari 2024 en gerund door Russisch sprekende cybercriminelen. Veel voormalige leden van ontbonden RaaS-groepen zoals ALPHV/BlackCat en LockBit hebben zich bij RansomHub aangesloten, waardoor het een van de meest verspreide ransomwarefamilies is geworden.

Er zijn aanwijzingen dat EvilCorp en RansomHub samenwerken. Microsoft meldde in juli 2024 dat RansomHub werd ingezet door EvilCorp na initiële toegang via de SocGholish-malware, ook bekend als FakeUpdates. Daarnaast rapporteerde GuidePoint in januari 2025 over een nieuwe Python backdoor, geleverd door SocGholish en gebruikt door een RansomHub-affiliate, wat wijst op een connectie met EvilCorp-gerelateerde malware. Google onthulde vervolgens dat EvilCorp, onder de naam UNC2165, diverse tools en malwarefamilies gebruikt om RansomHub te verspreiden, waaronder de Python backdoor VIPERTUNNEL.

De samenwerking tussen EvilCorp en RansomHub kan leiden tot verhoogde aandacht van wetshandhavingsinstanties en mogelijk nieuwe sancties voor RansomHub. Dit vergroot het risico voor slachtoffers die losgeld betalen, aangezien zij onbedoeld sancties kunnen schenden en juridische gevolgen kunnen ondervinden.

Bron

De Hellcat-groep, voorheen bekend als ICA Group, verwierf in korte tijd beruchtheid door gerichte cyberaanvallen op grote bedrijven. Onderzoek van KELA onthult de ware identiteiten van twee kernleden: Rey en Pryx. Rey begon zijn activiteiten als Hikki-Chan op BreachForums, waar hij bekend werd met dubieuze datalekken en haatzaaiende online posts. Zijn echte naam zou Saif zijn, een jongeman uit Amman, Jordanië. Hij maakte gebruik van platforms als Telegram en X, en werd uiteindelijk leider van Hellcat. Pryx daarentegen begon solo met datalekken en ontwikkelde geavanceerde malware, waaronder een server-side stealer. Zijn identiteit lijkt te linken aan een persoon uit de Verenigde Arabische Emiraten, bekend onder de naam Adem, die eveneens banden heeft met andere cybercriminelen. Ironisch genoeg werden beide hackers zelf slachtoffer van infostealers, waarmee cruciale informatie over hun ware identiteit werd blootgelegd. KELA’s analyse toont hoe cybercriminelen soms struikelen over hun eigen wapens.

Bron

Hackers maken gebruik van legitieme Cloudflare-diensten voor verfijnde phishingcampagnes. Deze aanvallen, die in 2025 zijn opgemerkt, gebruiken Cloudflare Workers en Pages om kwaadaardige inhoud te hosten. Hierdoor kunnen ze de traditionele beveiligingsfilters omzeilen, aangezien Cloudflare wordt vertrouwd door de meeste systemen. De aanvallen richten zich vooral op financiële instellingen en technologiebedrijven. De slachtoffers ontvangen e-mails met links naar zogenaamd authentieke inlogpagina's, die echter Cloudflare-gehoste phishingpagina’s zijn met geldige SSL-certificaten. De criminelen repliceren legitieme inlogschermen om de slachtoffers te misleiden. Onderzoek toont aan dat deze aanvallen waarschijnlijk afkomstig zijn van goed georganiseerde groepen die bekend zijn met cloudserviceconfiguraties. Cloudflare wordt vaak niet geblokkeerd door beveiligingssoftware, waardoor de aanvallen ongehinderd kunnen doorgaan. De kosten van datalekken door deze aanvallen kunnen oplopen tot miljoenen dollars per incident. De aanvallers gebruiken geavanceerde JavaScript-code die de inloggegevens van slachtoffers onderschept en naar hun eigen servers stuurt.

Bron

Hunters International, een cybercriminelen-groep die oorspronkelijk werkte met ransomware als dienst (RaaS), heeft zijn activiteiten herzien. Na een aangekondigde stopzetting in november 2024 vanwege afnemende winstgevendheid en toegenomen overheidscontrole, heeft de groep op 1 januari 2025 de naam veranderd naar "World Leaks". De focus is nu verschoven naar datadiefstal en afpersing zonder het gebruik van ransomware. In plaats van bestanden te versleutelen, gebruiken ze een zelfontwikkeld hulpmiddel voor het extraheren van data. Het nieuwe systeem maakt het eenvoudiger om gegevens te stelen en af te persen zonder de risico’s van versleuteling. Deze operatie heeft al geleid tot aanvallen op grote organisaties wereldwijd, waaronder Tata Technologies en de Amerikaanse marine. Het is duidelijk dat de groep een prominente speler is in de wereld van cybercriminaliteit, met schade die kan oplopen tot miljoenen dollars.

Bron

Een experiment heeft aangetoond hoe een vervalst paspoort, gegenereerd met ChatGPT-4o, met succes een digitale identiteitverificatie doorstond. Borys Musielak, een technologie-ondernemer, creëerde het vervalste document in enkele minuten en deelde het op LinkedIn. Het paspoort leek vrijwel identiek aan een echt exemplaar, wat de betrouwbaarheid van traditionele KYC-procedures (Know Your Customer) in twijfel trok. Dit toont aan hoe snel en gemakkelijk vervalsingen nu kunnen worden gemaakt met behulp van generatieve AI, wat bestaande identiteitsverificatiesystemen kwetsbaar maakt voor aanvallen. Hoewel het vervalste paspoort waarschijnlijk geen stand zou houden bij een grondige controle, volstond het om basis KYC-procedures van sommige financiële platforms te omzeilen. Experts adviseren daarom de bredere implementatie van technologieën voor verificatie op hardware-niveau, zoals elektronische identiteitsdocumenten (eID).

Bron

Europcar Mobility Group, een internationale autoverhuurder, werd recent het doelwit van een hack die toegang kreeg tot hun GitLab-repositories. De aanvaller stal niet alleen de broncode van hun Android- en iOS-applicaties, maar ook persoonlijke gegevens van tot 200.000 klanten. Het gaat om gegevens zoals namen en e-mailadressen van gebruikers van de merken Goldcar en Ubeeqo. De hacker dreigde de gestolen 37GB aan data, waaronder backups en details van de interne systemen van Europcar, openbaar te maken. Gelukkig zijn er geen bankgegevens, wachtwoorden of andere gevoelige informatie blootgesteld. Europcar is momenteel bezig met het informeren van de getroffen klanten en heeft de relevante autoriteiten ingelicht. De oorzaak van de hack is nog onbekend, maar het gebruik van gestolen inloggegevens wordt als een mogelijke oorzaak beschouwd.

Bron

De Amerikaanse overheid heeft een dringend advies uitgebracht aan organisaties die gebruikmaken van Ivanti-systemen, zoals Connect Secure en Pulse Connect Secure, om een fabrieksreset uit te voeren. Aanleiding is een actief misbruikt beveiligingslek (CVE-2025-22457) waarmee ongeauthenticeerde aanvallers op afstand systemen kunnen overnemen. De kwetsbaarheid krijgt een hoge ernstscore van 9.0. Vooral systemen die niet zijn bijgewerkt met de juiste beveiligingspatch van 28 februari 2025 lopen risico. Zelfs als er geen sporen van een aanval zijn gevonden, wordt geadviseerd om voorzorgsmaatregelen te nemen door systemen volledig opnieuw in te stellen. In geval van daadwerkelijke compromittering moeten ook alle wachtwoorden, certificaten en sleutels worden vervangen. Voor hybride omgevingen geldt dat tokens voor cloud-accounts ongeldig gemaakt moeten worden en domeinwachtwoorden dubbel gereset. Deze maatregelen zijn bedoeld om verdere verspreiding of dieperliggende schade te voorkomen.

Bron

Een apotheker van het University of Maryland Medical Center in de Verenigde Staten wordt verdacht van het heimelijk installeren van keyloggers op ruim vierhonderd ziekenhuiscomputers. Hiermee zou hij jarenlang inloggegevens van collega’s hebben buitgemaakt om toegang te krijgen tot privéaccounts, waarin onder andere gevoelige foto's werden opgeslagen. Ook wist hij op afstand in te breken op beveiligingscamera’s in de woningen van slachtoffers en in het ziekenhuis zelf, waarbij hij signalen die het gebruik van de camera aangeven wist te omzeilen. Volgens de aanklacht was de beveiliging binnen het ziekenhuis onvoldoende, waardoor de verdachte ongehinderd zijn gang kon gaan. Slachtoffers kwamen pas op de hoogte van het misbruik na een waarschuwing van de FBI. Het ziekenhuis zegt inmiddels mee te werken aan het onderzoek en hoopt dat de verdachte verantwoordelijk zal worden gehouden voor zijn daden.

Bron

Het Nationaal Cyber Security Centrum en het Digital Trust Center hebben vijf vernieuwde basisprincipes gepresenteerd om bedrijven en organisaties te helpen hun digitale weerbaarheid te vergroten. Deze principes zijn gebaseerd op de Nederlandse Cybersecuritystrategie en combineren inzichten van meerdere instanties. Ze richten zich op het in kaart brengen van risico’s, het bevorderen van veilig gedrag, het beschermen van systemen en data, het beheren van toegang en het voorbereiden op incidenten. Het doel is om organisaties, ongeacht grootte of sector, concrete handvatten te bieden om hun cyberveiligheid te verbeteren. De principes benadrukken het belang van bewustwording onder medewerkers en het beperken van het aanvalsoppervlak via maatregelen zoals segmentatie van netwerken en goed patchbeheer. Door praktisch toepasbare richtlijnen te bieden, willen NCSC en DTC digitale veiligheid toegankelijk maken voor het hele bedrijfsleven.

Bron

De beruchte Everest-ransomwaregroep, gelinkt aan Rusland, is dit weekend zelf gehackt. Hun darkweb-leksite, normaal gebruikt om gestolen data te publiceren en slachtoffers onder druk te zetten, werd overgenomen en beklad met de boodschap “Don’t do crime, CRIME IS BAD xoxo from Prague.” Of de aanvallers ook toegang kregen tot gevoelige data is nog onduidelijk, maar de actie laat zien dat zelfs geavanceerde cybercriminelen kwetsbaar zijn. Everest is sinds 2020 actief en bekend van aanvallen op onder andere NASA en de Braziliaanse overheid. De groep gebruikt geavanceerde tools en technieken om netwerken binnen te dringen en verkoopt inmiddels ook toegang aan andere criminelen. De aanval op hun infrastructuur komt op een moment dat steeds meer organisaties weigeren losgeld te betalen en dat opsporingsdiensten meer succes boeken tegen ransomwaregroepen. Toch verwachten experts dat Everest zich snel kan herstellen of onder een nieuwe naam verdergaat.

Bron

Europol heeft in een recent rapport gewaarschuwd dat criminelen steeds vaker in staat zijn om biometrische beveiligingssystemen te omzeilen en te misbruiken. Dit kan bijvoorbeeld door het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten, of door het afspelen van opgenomen beelden. Ook technieken zoals het dragen van 3D-maskers en deep fakes worden genoemd als manieren om biometrische systemen te misleiden. Europol benadrukt het belang voor opsporingsdiensten om op de hoogte te zijn van deze kwetsbaarheden. Door actief deel te nemen aan initiatieven voor de ontwikkeling en standaardisatie van biometrische technologieën, kunnen autoriteiten betere richtlijnen en systemen ontwikkelen om misbruik te voorkomen. Het rapport benadrukt dat het cruciaal is om deze kwetsbaarheden tijdig te herkennen en de ontwikkeling van nieuwe misleidingsmethoden te anticiperen.

Later meer hierover in een artikel op ccinfo

De politie in Amsterdam waarschuwt voor een toenemend aantal kaarten met verdachte QR-codes die in brievenbussen worden gevonden. Deze codes kunnen gebruikers naar onveilige websites leiden of zelfs naar oplichtingssites. De politie adviseert mensen om nooit zomaar een QR-code van een onbekende afzender te scannen en altijd de URL te controleren op verdachte tekens. Daarnaast wordt aangeraden om op je onderbuikgevoel te vertrouwen als iets te mooi lijkt om waar te zijn. Dit volgt op eerdere waarschuwingen over malafide QR-codes, bijvoorbeeld bij parkeerautomaten. Het is belangrijk om voorzichtig te zijn bij het scannen van QR-codes, aangezien kwaadwillende actoren steeds vaker deze methode gebruiken voor phishing of andere vormen van cybercriminaliteit.

Bron

Oracle heeft bevestigd dat een hacker gebruikersgegevens heeft gestolen van verouderde servers, maar ontkent dat de Oracle Cloud zelf is gehackt. Volgens het bedrijf werden alleen gegevens van "twee verouderde servers" gelekt, die niet betrokken waren bij de Oracle Cloud-infrastructuur. De gestolen inloggegevens waren geëncrypteerd of gehasht, waardoor de hacker geen toegang kreeg tot klantomgevingen of gegevens. Oracle benadrukte dat er geen schending was van hun clouddiensten en dat klantdata niet werd gestolen of ingezien. De hack betreft een legacy-systeem dat sinds 2017 niet meer actief is voor klanten. Eerder beweerde een hacker dat hij 6 miljoen records van Oracle had gestolen en op het dark web verkocht, maar Oracle bleef volhouden dat deze gegevens niet uit hun Cloud komen. Dit incident heeft geen invloed gehad op de werking van de Oracle Cloud.

Bron

Sensata Technologies, een wereldwijde leverancier van industriële sensoren, is slachtoffer geworden van een ransomware-aanval, waarbij meerdere systemen zijn versleuteld. Dit heeft geleid tot het offline halen van het netwerk, wat de bedrijfsvoering ernstig verstoort. De aanvaller heeft onder andere toegang gekregen tot en mogelijk bestanden gestolen van het netwerk. Het herstel van de getroffen systemen is inmiddels gestart, maar het bedrijf kan nog niet aangeven wanneer alles volledig hersteld zal zijn. Sensata, dat actief is in vijftien landen, inclusief Nederland, verwacht dat de aanval geen significante impact zal hebben op de financiële resultaten of dagelijkse operaties. Het incident blijft onder onderzoek, en de exacte oorzaken zijn nog niet bekend. Sensata heeft wereldwijd 18.000 medewerkers en genereerde vorig jaar een omzet van 3,6 miljard dollar.

Bron

In Nederland zijn elf mensen slachtoffer geworden van de beruchte spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO. Deze software, die officieel bedoeld is voor inlichtingen- en veiligheidsdiensten, kan onder andere toegang krijgen tot berichten, camera’s, microfoons en locatiegegevens van slachtoffers. De lijst van slachtoffers werd ingediend bij een rechtszaak in de Verenigde Staten, waaruit blijkt dat Nederland na Spanje het land is met de meeste slachtoffers in Europa. De identiteit van de bespioneerden en de daders blijft onduidelijk, en het is niet bekend of de aanvallen van buitenlandse origine zijn. Pegasus is internationaal bekritiseerd vanwege het gebruik tegen journalisten, activisten en politici, wat in diverse landen voor opschudding heeft gezorgd. Nederland heeft de software in 2022 ingezet voor het hacken van de telefoon van een verdachte, Ridouan Taghi.

Bron

In november vorig jaar werd de Fourlis Group, de exclusieve franchisenemer van IKEA in Griekenland, Cyprus en Bulgarije, getroffen door een ransomware-aanval. De aanval vond plaats twee dagen voor Black Friday en veroorzaakte verstoringen in de bevoorrading van winkels en e-commerce operaties in de drie landen. Het bedrijf betaalde geen losgeld, maar het herstel van de getroffen systemen duurde tot vorige maand. In totaal liep de Fourlis Group door de aanval een verlies van twintig miljoen euro op, waarvan vijftien miljoen euro in het vierde kwartaal van 2024 en vijf miljoen euro in het eerste kwartaal van 2025. Hoe de aanvallers toegang kregen tot de systemen is niet bekendgemaakt. Er werd echter geen persoonlijk klantengegevens gestolen tijdens de aanval.

Bron

Het aantal meldingen van telefonische oplichting is in Nederland in korte tijd verdrievoudigd. In de eerste maanden van 2025 ontving de Fraudehelpdesk bijna tienduizend meldingen van verdachte telefoontjes. Vooral helpdeskfraude, waarbij oplichters zich voordoen als medewerkers van banken of techbedrijven, is populair. De schade per slachtoffer kan oplopen tot tienduizenden euro’s. Deze vorm van fraude is voor criminelen aantrekkelijker geworden door nieuwe technologieën. Met behulp van kunstmatige intelligentie kunnen stemmen geloofwaardig worden nagebootst en scripts razendsnel worden geschreven. Dat verlaagt de drempel om professioneel en overtuigend over te komen. Volgens experts maken criminelen er handig gebruik van dat veel van deze tools gratis beschikbaar zijn. De telecomsector pleit voor meer mogelijkheden om verdachte telefoongegevens te kunnen delen met banken, maar wetgeving belemmert dit nog. Intussen blijven consumenten het slachtoffer van deze steeds geavanceerdere oplichtingstechnieken.

Bron

Cybercriminelen richten zich steeds doelgerichter op bedrijven die veel betalen, met name diegenen die een cyberverzekering hebben. Bedrijven met zo'n verzekering betalen gemiddeld 2,8 keer meer losgeld dan bedrijven zonder. Het onderzoek van Tom Meurs toont aan dat criminelen bewust zoeken naar documenten met termen als ‘insurance’ of ‘policy’ om hogere losgeldbedragen te eisen. Daarnaast wordt aangetoond dat bedrijven met goed beveiligde back-ups veel minder vaak losgeld hoeven te betalen, aangezien criminelen vaak proberen back-ups te verwijderen. Sectoren zoals de handel, bouw en ICT zijn het vaakst doelwit, waarbij de ICT-sector de hoogste losgeldbetalingen kent. Het advies is om zelf maatregelen te treffen, zoals het gebruiken van offline back-ups en het inschakelen van multifactorauthenticatie om de kans op een succesvolle aanval te verkleinen. Bedrijven wordt ook geadviseerd geen losgeld te betalen, omdat dit de kans op herhaalde aanvallen vergroot.

Bron

Veel bedrijven die slachtoffer worden van ransomware hebben geen andere keuze dan het gevraagde losgeld te betalen, anders dreigt een faillissement. Dat blijkt uit onderzoek van de politie naar meer dan vijfhonderd incidenten. In 95 van de 100 gevallen is herstel zonder betaling niet mogelijk omdat de hele IT-infrastructuur kapot is. Bedrijven met een cyberverzekering blijken gemiddeld 2,8 keer meer losgeld te betalen dan bedrijven zonder verzekering. Ook blijkt dat organisaties met goed beveiligde back-ups 27 keer minder vaak betalen. Toch zijn back-ups alleen niet genoeg, omdat aanvallers bewust op zoek gaan naar deze gegevens en ze verwijderen. Offline back-ups of goed afgeschermde cloudoplossingen bieden meer bescherming. Hoewel de overheid adviseert om geen losgeld te betalen, blijkt dat in de praktijk vaak onvermijdelijk, bijvoorbeeld om sneller te kunnen herstellen of reputatieschade te beperken. De situatie onderstreept het belang van een goede back-upstrategie en preventieve beveiligingsmaatregelen.

Bron

De Amerikaanse zorgverlener DaVita, gespecialiseerd in nierzorg, is getroffen door een ransomware-aanval. Het incident werd op zaterdag ontdekt waarna het bedrijf snel maatregelen nam door getroffen systemen te isoleren. De aanval heeft impact op de dienstverlening, maar het is nog onduidelijk hoe ernstig de verstoring precies is en hoe lang deze zal duren. DaVita levert dialyse aan zo'n 250.000 patiënten wereldwijd via drieduizend centra, waarvan de meeste in de Verenigde Staten staan. Er wordt momenteel gewerkt aan herstel met hulp van externe experts. Of er persoonsgegevens zijn buitgemaakt of hoe de aanvallers binnen zijn gekomen is nog niet bekendgemaakt. Het onderzoek naar de aanval en de impact ervan loopt nog. Het incident onderstreept opnieuw de kwetsbaarheid van de zorgsector voor cyberaanvallen, waarbij verstoring van kritieke zorgprocessen ernstige gevolgen kan hebben voor patiënten.

Bron

Autoverhuurbedrijf Hertz is getroffen door een datalek waarbij klantgegevens van de merken Hertz, Thrifty en Dollar zijn buitgemaakt. De aanval werd uitgevoerd via een zero-day kwetsbaarheid in het Cleo platform, dat gebruikt wordt voor bestandsoverdracht. De inbraak vond plaats in oktober en december 2024 en werd in februari 2025 bevestigd. De gestolen gegevens variëren per persoon en kunnen onder meer namen, geboortedata, contact- en betaalgegevens, rijbewijsinformatie en zelfs sofi- of paspoortnummers bevatten. Ook gegevens in verband met letselschade en arbeidsongeschiktheidsclaims zijn mogelijk betrokken. Hoewel Hertz geen bewijs heeft gevonden van misbruik, is een deel van de data inmiddels opgedoken op een afpersingssite van de Clop-ransomwaregroep. Klanten krijgen twee jaar lang gratis identiteitsbewaking aangeboden. Clop claimt in totaal gegevens van 66 bedrijven te hebben gestolen via deze kwetsbaarheid.

Bron

Uit onderzoek van het CBS blijkt dat in 2024 meer Nederlanders slachtoffer zijn geworden van online criminaliteit dan het jaar ervoor. Het percentage steeg van 14,8 procent in 2022 naar 15,7 procent. De meest voorkomende vorm van online misdaad is aankoopfraude, waarbij mensen betaalden voor producten of diensten die nooit geleverd werden. Dit overkwam 7,2 procent van de ondervraagden. Ook online bedreiging en intimidatie, zoals pesten en shamesexting, kwamen regelmatig voor, net als hacken van accounts of apparaten. Opvallend is dat het aantal gevallen van hacken juist iets is gedaald naar 3,9 procent. Slechts een klein deel van de slachtoffers meldt het incident bij de politie, en nog minder doet daadwerkelijk aangifte. Veel mensen geven aan dat ze er niet aan gedacht hebben of het niet belangrijk genoeg vonden. Het onderzoek onderstreept dat bewustwording en meldingsbereidheid rondom online criminaliteit nog steeds aandacht nodig hebben.

Bron

Later meer hierover in een artikel op ccinfo

In 2024 heeft Bunq tien miljoen euro uitgekeerd aan klanten die slachtoffer zijn geworden van phishing en bankhelpdeskfraude. Dit is een forse toename ten opzichte van het jaar ervoor, toen het nog om ruim twee ton ging. Aanleiding voor deze stijging is onder andere de aanpassing van het coulancebeleid door de bank. Bunq benadrukt dat klanten met een wettelijk recht op compensatie altijd worden vergoed, maar ook in andere gevallen wordt per situatie beoordeeld of extra coulance gepast is. De bank maakt inmiddels geen onderscheid meer tussen phishing en spoofing en erkent haar verantwoordelijkheid bij fraude via bankhelpdesks. Tegelijkertijd uit Bunq zorgen over het gedrag van klanten, waarbij social engineering en grove nalatigheid vaak een rol spelen. Om schade te beperken zijn er nieuwe maatregelen genomen om gebruikers beter te beschermen tegen deze vormen van oplichting.

Bron

Het beruchte forum 4chan is tijdelijk offline gehaald na een grootschalige hack. De aanval is opgeëist door leden van Soyjak.party, die beweren al meer dan een jaar toegang te hebben tot de systemen. Ze publiceerden screenshots van beheerderspanelen en persoonlijke gegevens van medewerkers, waaronder e-mailadressen van beheerders en moderators. Ook zou de broncode van de site zijn gelekt. Volgens berichten draaide 4chan op sterk verouderde software uit 2016, wat mogelijk de kwetsbaarheid vergrootte. Tijdens de aanval had de hacker toegang tot gevoelige beheertools waarmee gebruikersinformatie ingezien kon worden, zoals IP-adressen en locatiegegevens. In een poging de schade te beperken zijn de servers offline gehaald, maar er zijn aanwijzingen dat deze volledig gecompromitteerd zijn. Het incident benadrukt opnieuw het risico van achterstallig onderhoud en verouderde software in kritieke IT-infrastructuren.

Bron

De Amerikaanse overheidsfinanciering voor de CVE- en CWE-programma’s, cruciaal voor wereldwijde cybersecurity, is per 16 april 2025 verlopen. Deze programma’s worden beheerd door MITRE en zijn essentieel voor het standaardiseren en delen van informatie over kwetsbaarheden. Zonder deze financiering dreigt een verstoring van de internationale samenwerking bij incidentrespons en kwetsbaarheidsbeheer. Volgens MITRE kan het stopzetten leiden tot problemen bij beveiligingstools, nationale databases en coördinatie van kritieke infrastructuren. Experts uit de sector waarschuwen voor ernstige gevolgen, waaronder het wegvallen van een gezamenlijke taal voor het melden en aanpakken van cyberdreigingen. Hoewel er vanuit de overheid wordt gewerkt aan een oplossing, is het risico op een tijdelijke onderbreking van de diensten reëel. Dit kan de digitale weerbaarheid wereldwijd onder druk zetten op een moment waarop cyberdreigingen blijven toenemen.

Bron

De Amerikaanse overheid heeft de financiering voor het belangrijke Common Vulnerabilities and Exposures (CVE) programma met 11 maanden verlengd. Dit voorkomt een dreigende onderbreking van deze cruciale dienst die wereldwijd wordt gebruikt voor het melden en classificeren van kwetsbaarheden in software. De verlenging kwam net op tijd, aangezien de financiering op 16 april zou aflopen. MITRE, de organisatie die het CVE-programma beheert, waarschuwde eerder dat een onderbreking grote gevolgen zou hebben voor onder meer kwetsbaarheidsdatabases, beveiligingstools en incidentrespons. Tegelijkertijd werd ook een nieuwe non-profitorganisatie aangekondigd, de CVE Foundation, die het voortbestaan van het programma op lange termijn moet waarborgen en de afhankelijkheid van de Amerikaanse overheid moet verminderen. Deze stap moet zorgen voor een meer onafhankelijke en duurzame structuur voor het wereldwijde beheer van kwetsbaarheden.

Bron

Op woensdagmiddag 16 april 2025 had Spotify te maken met een wereldwijde storing die veel gebruikersproblemen veroorzaakte. In Nederland meldden gebruikers onder andere dat ze waren uitgelogd, ongewenst reclame hoorden op hun premiumaccount of dat de app niet goed werkte. Ook de webversie van de dienst was voor sommige gebruikers niet bereikbaar. De storing resulteerde in een piek van bijna 17.000 meldingen op allestoringen.nl. Spotify heeft inmiddels bevestigd dat de problemen zijn opgelost, maar de oorzaak van de storing blijft onbekend. Gedownloade muziek bleef toegankelijk, maar het afspelen van andere content en de toegang tot de ondersteuningssite waren voor sommige gebruikers tijdelijk niet mogelijk.

Bron

Europol heeft bekendgemaakt dat verschillende klanten van het Superstar-botnet zijn ondervraagd en aangehouden door opsporingsdiensten. Het botnet, beheerd door een persoon met het alias 'Superstar', werd aan criminelen aangeboden. Deze criminelen konden via het botnet malware installeren op geïnfecteerde machines om onder andere ransomware te verspreiden, cryptomining uit te voeren, webcams van slachtoffers te gebruiken en inloggegevens te stelen. Deze acties zijn het resultaat van Operation Endgame, die vorig jaar mei plaatsvond. Tijdens deze operatie werden meerdere botnets ontmanteld die wereldwijd werden gebruikt voor cybercriminaliteit, zoals ransomware-aanvallen en phishing. De autoriteiten kregen toegang tot klantgegevens van deze botnets, wat leidde tot de arrestaties en ondervragingen van vijf personen, evenals het uitschakelen van verschillende servers.

Bron

Na de succesvolle actie van Operation Endgame in mei 2024, waarbij grote botnets zoals IcedID en Smokeloader werden uitgeschakeld, heeft de politie in 2025 een vervolgoperatie uitgevoerd. Dit vervolg richtte zich niet op de hoogste criminelen, maar op de klanten van de botnets, die deze diensten gebruikten voor allerlei illegale activiteiten zoals ransomware-aanvallen en cryptomining. Dankzij informatie uit een in beslag genomen database werden deze klanten gelinkt aan hun echte identiteit. Vijf verdachten werden gearresteerd en verhoord, terwijl anderen werden aangespoord om samen te werken met de autoriteiten. De operatie benadrukt dat criminelen die dergelijke diensten kopen, vaak het slachtoffer worden van dezelfde cybercriminelen die ze huurden. De internationale samenwerking tussen verschillende politiediensten blijft doorgaan om de rest van de betrokkenen te identificeren en aan te houden.

Bron, politie

Op dinsdag 8 april 2025 heeft de politie in Rotterdam drie mannen aangehouden in een onderzoek naar grootschalige drugshandel. De verdachten, twee mannen uit Vlaardingen en één uit Rotterdam, worden ook verdacht van witwassen van crimineel geld. Het onderzoek begon na de ontmanteling van versleutelde cryptocommunicatiedata van de communicatieplatforms SkyECC. Dankzij deze data kon de politie de verdachten traceren. Bij doorzoekingen van vier woningen en twee panden in Rotterdam en omliggende steden werden grote hoeveelheden contant geld, dure sieraden, horloges en auto’s in beslag genomen. Het onderzoek wordt voortgezet, en de verdachten worden vrijdag voorgeleid aan de Rechter-Commissaris. De politie benadrukt het belang van meldingen vanuit de buurt om ondermijning tegen te gaan.

Bron

In een grootschalige internationale operatie zijn vier grote criminele netwerken ontmanteld die verantwoordelijk waren voor de invoer van drugs naar Europa en Turkije. Dankzij informatie uit versleutelde communicatieapps zoals Sky ECC en ANOM konden opsporingsdiensten in onder andere België, Nederland, Frankrijk, Duitsland en Spanje 232 verdachten aanhouden. Het ging hierbij om zowel leiders als logistieke schakels binnen de organisaties. Er werden voor meer dan 300 miljoen euro aan bezittingen in beslag genomen, waaronder honderden panden en voertuigen. De netwerken maakten gebruik van geavanceerde smokkelroutes en logistiek, en waren betrokken bij drugshandel, witwassen en geweld. De operatie, genaamd BULUT, werd gecoördineerd door Europol en markeert een belangrijke stap in het blootleggen van grootschalige georganiseerde criminaliteit in Europa. De samenwerking tussen verschillende landen en het slim inzetten van digitale inlichtingen bleken cruciaal voor het succes van deze actie.

Bron

De politie heeft op dinsdag 15 april in Tilburg en Goirle twee mannen van 30 en 32 jaar aangehouden op verdenking van handel in vuurwapens. Via communicatie-apps zouden zij onder andere handvuurwapens, automatische wapens, raketwerpers en handgranaten hebben aangeboden. Tijdens doorzoekingen in meerdere panden werden ook drugs, illegaal vuurwerk, contant geld en cryptovaluta gevonden. Een derde verdachte werd op heterdaad aangehouden. Het onderzoek is onderdeel van een bredere aanpak van internationale wapenhandel en ondermijnende criminaliteit, waarbij samengewerkt wordt met Belgische autoriteiten. De zaak toont aan hoe criminelen gebruik maken van apps als Telegram en Signal om hun illegale handel te drijven. Deze praktijken vormen een groeiend gevaar voor de samenleving, vooral door de vermenging van onderwereld en bovenwereld. De politie benadrukt het belang van meldingen door burgers om deze vormen van criminaliteit effectief aan te pakken.

Bron

• Naar pagina

In februari 2025 werden er 886 ransomware-aanvallen gerapporteerd, met een opvallende toename van de activiteit van de Cl0p-groep, verantwoordelijk voor 37% van de aanvallen. De groep maakte gebruik van kwetsbaarheden in Cleo-software, wat leidde tot een massale vrijlating van slachtoffers. Het rapport bespreekt verder de opkomst van LockBit 4.0, de inzet van wetshandhavers tegen ransomwaregroepen zoals 8Base, en de groeiende bedreigingen voor cloudbeveiliging. Cloudinfrastructuren worden steeds vaker aangevallen, wat de noodzaak benadrukt voor modellen zoals Zero Trust om de beveiliging van gevoelige gegevens te waarborgen.

Download

Biometrische herkenningstechnologie speelt een cruciale rol in de rechtshandhaving door betrouwbare hulpmiddelen voor identiteitsverificatie te bieden. Er bestaan echter kwetsbaarheden die criminelen kunnen uitbuiten, waaronder presentatieaanvallen die zijn ontworpen om zich voor te doen als legitieme gebruikers of om herkenning te omzeilen. Deze aanvallen kunnen gericht zijn op verschillende biometrische kenmerken zoals vingerafdrukken, gezichtspatronen, irissen en stemmen. Het rapport benadrukt de noodzaak voor rechtshandhaving om evoluerende bedreigingen voor te blijven door samen te werken met experts, het bewustzijn te vergroten en robuuste beveiligingsmaatregelen te ontwikkelen. Het implementeren van ethische praktijken en het naleven van wettelijke kaders is essentieel om individuele rechten te beschermen en tegelijkertijd biometrische systemen effectief te gebruiken in strafrechtelijk onderzoek.

Download

In 2024 werd digitale identiteit het belangrijkste doelwit voor cybercriminelen, waarbij gestolen gegevens van bedrijven, medewerkers en consumenten massaal werden gebruikt voor gerichte aanvallen. Data afkomstig van datalekken, infostealer-malware, phishing en combolijsten werden geëxploiteerd om inloggegevens, persoonlijke informatie en sessie-cookies te stelen. Het rapport benadrukt de groeiende dreiging van "holistische identiteitsaanvallen", waarbij cybercriminelen toegang krijgen tot meerdere digitale profielen van slachtoffers om aanvallen efficiënter uit te voeren. Bedrijven moeten hun beveiligingsstrategieën herzien en proactief maatregelen nemen tegen de toenemende blootstelling van identiteitsoverzichten op het dark web.

Download

Uit het wereldwijde onderzoek van het Ponemon Institute blijkt dat ransomware-aanvallen blijven toenemen en steeds geavanceerder worden, ondanks de inzet van nieuwe technologieën zoals AI. Organisaties besteden gemiddeld ruim 146.000 dollar aan herstel per aanval, terwijl reputatieschade nu de duurste consequentie is. Hoewel meer organisaties aangeven geen losgeld te willen betalen, gebeurt dit in de praktijk toch vaak, met slechts 13% volledig herstel van data. Phishing en zwakke plekken in systemen blijven de voornaamste aanvalsmethoden. AI wordt nog te weinig ingezet ter verdediging, terwijl AI-gegenereerde aanvallen juist sterk toenemen. Gebrek aan bewustzijn en nalatig gedrag van personeel bemoeilijken een snelle reactie.

Download

Uit het jaaroverzicht van Cisco over 2024 blijkt dat ransomware-aanvallers in bijna de helft van de onderzochte gevallen de beveiligingssoftware van hun slachtoffers weten uit te schakelen. Dit is vaak één van hun eerste stappen zodra ze toegang tot een netwerk hebben verkregen. Ze maken gebruik van zwak ingestelde beveiligingsoplossingen of systemen zonder goede wachtwoordbeveiliging. In veel gevallen staan beveiligingsinstellingen standaard op “audit-only” waardoor dreigingen alleen gemeld worden maar niet automatisch worden geblokkeerd. Ook verwijderen aanvallers vaak logbestanden en shadow copies om sporen uit te wissen. Toegang tot netwerken wordt meestal verkregen via gestolen inloggegevens, waarbij legitieme accounts worden misbruikt. Daarnaast installeren aanvallers vaak externe toegangstools zoals AnyDesk of PsExec om langdurige toegang te behouden. Cisco adviseert organisaties om streng te controleren welke remote access software is toegestaan en om beveiligingsoplossingen goed te configureren en actief te beheren.

Download

• Naar pagina

Europese overheden en bedrijven vertrouwen massaal op Amerikaanse cloudomgevingen zoals Microsoft en Google. Dit biedt gemak, maar brengt ook grote risico’s met zich mee. Van juridische onzekerheden rondom privacywetgeving tot de dreiging van cyberaanvallen: de afhankelijkheid van buitenlandse techgiganten zet de digitale soevereiniteit onder druk. Wat betekent dit voor de veiligheid van onze gegevens en kritieke infrastructuur? En welke alternatieven zijn er om deze risico’s te beperken?

Lees verder

De opkomst van quantumcomputing dreigt de fundamenten van huidige beveiligingssystemen, zoals wachtwoordbeheer, te ondermijnen. De kracht van quantumcomputers maakt traditionele encryptiemethoden kwetsbaar, maar wat betekent dit voor de tools die we dagelijks gebruiken? In dit artikel onderzoeken we de impact van quantum computing op wachtwoordbeheer en of MindYourPass een toekomstbestendige oplossing biedt. Ontdek hoe de nieuwste technologieën de digitale veiligheid kunnen versterken in een wereld die snel verandert.

Lees verder

De wereld van cybercriminaliteit is in rap tempo veranderd. Waar aanvallen voorheen vaak het werk waren van individuele hackers, zien we nu een verschuiving naar een nieuwe dreiging: Cybercrime-as-a-Service (CaaS). Dit model maakt het mogelijk voor zowel ervaren criminelen als beginners om complexe cyberaanvallen uit te voeren zonder diepgaande technische kennis. In dit artikel onderzoeken we hoe CaaS de toekomst van cyberoorlogvoering vormgeeft, welke rol platforms zoals Telegram hierbij spelen en wat de gevolgen zijn voor onze digitale veiligheid.

Lees verder

Georganiseerde misdaad is in de loop der jaren ingrijpend veranderd, deels door technologische vooruitgangen en geopolitieke verschuivingen. De digitale ruimte biedt criminelen nieuwe mogelijkheden om sneller en effectiever operaties uit te voeren, terwijl traditionele misdrijven steeds vaker digitaal worden uitgevoerd. Dit artikel onderzoekt de impact van deze veranderingen op onze veiligheid en hoe wetshandhavers zich moeten aanpassen om deze nieuwe dreigingen het hoofd te bieden.

Lees verder

NIS2 is een belangrijke Europese richtlijn die de digitale veiligheid van bedrijven versterkt. Hoewel het vooral gericht is op grote organisaties in kritieke sectoren, raakt het ook kleinere bedrijven die deel uitmaken van toeleveringsketens. In dit artikel ontdek je waarom NIS2 ook voor jouw bedrijf relevant is en welke stappen je kunt nemen om compliant te worden. Mis niet de kans om te leren hoe je je organisatie kunt beschermen tegen de steeds toenemende cyberdreigingen.

Lees verder

• Naar pagina