• Naar artikel en overzicht

• Naar artikel en overzicht

De gemeente Arnhem heeft bij een ransomware-aanval op een ICT-leverancier gevoelige persoonsgegevens van tientallen inwoners gelekt. Eind januari verschenen delen van deze gegevens online. Burgemeester Marcouch informeerde de gemeenteraad hierover en gaf aan dat direct na ontdekking maatregelen zijn genomen. De hackers werden uit het systeem verwijderd, en het datalek werd gemeld bij de Autoriteit Persoonsgegevens. Daarnaast werd aangifte gedaan bij de politie.

De gemeente heeft de gestolen bestanden zelf gedownload om te achterhalen welke informatie openbaar is geworden, maar dit proces verliep moeizaam. Welke persoonsgegevens precies zijn gelekt, is niet bekendgemaakt. Inwoners die mogelijk getroffen zijn, zijn geïnformeerd en krijgen ondersteuning aangeboden.

Marcouch benadrukt dat cyberaanvallen steeds vaker voorkomen, zelfs bij goed beveiligde systemen. Hij roept op tot samenwerking om digitale dreigingen beter het hoofd te bieden.

Bron

CDA.BE is een Belgisch bedrijf actief in de transport- en logistieksector, dat uitgebreide IT-oplossingen biedt, waaronder softwareontwikkeling, consultancy, hardware-infrastructuur en cloudoplossingen. Het bedrijf richt zich op het opbouwen van langdurige, op maat gemaakte partnerschappen om de efficiëntie van processen en de prestaties van bedrijven te optimaliseren.

Op 5 maart 2025 werd CDA.BE getroffen door een ransomware-aanval, toegeschreven aan de groepering Ransomhub. De aanval werd op dezelfde dag ontdekt, maar de aanval zelf werd al op 5 september 2024 uitgevoerd. Er is enige verwarring, aangezien CDA.BE eerder al het doelwit was van een aanval door de groep Killsec, wat doet vermoeden dat de aanval mogelijk een cross-claim betreft of dat eerder gestolen gegevens opnieuw zijn gebruikt.

Screenshot

Het bedrijf Euranova is slachtoffer geworden van een ransomware-aanval door de cybercriminele groep Fog. De aanval werd ontdekt op 6 maart 2025, om 01:53 uur. Vermoedelijk vond de aanval plaats op 5 maart 2025.

Euranova is een bedrijf waarvan de sector momenteel niet bekend is, maar het lijkt betrokken te zijn bij een bredere dataset van getroffen organisaties, waaronder de 19 grootste GitLab-platforms. Dit wijst mogelijk op een gerichte aanval op softwareontwikkelings- en data-analysebedrijven.

De ransomwaregroep Fog staat bekend om aanvallen waarbij gevoelige bedrijfsgegevens worden versleuteld en losgeld wordt geëist. Het is nog onduidelijk welke impact deze aanval precies heeft op de bedrijfsvoering van Euranova en of er onderhandelingen plaatsvinden.

Meer details over deze aanval zullen naar verwachting in de komende dagen naar buiten komen.

Screenshot

Het Belgische technologiebedrijf Melexis is slachtoffer geworden van een ransomware-aanval door de cybercriminele groep Fog. De aanval werd ontdekt op 6 maart 2025, om 01:44 uur, en vond vermoedelijk plaats op 5 maart 2025.

Melexis is actief in de technologiesector en gespecialiseerd in halfgeleiders en micro-elektronica, met toepassingen in onder andere de automobielindustrie. De aanval maakt deel uit van een bredere campagne waarbij ook andere bedrijven, waaronder de 19 grootste GitLab-platforms, getroffen zijn.

De Fog-groep staat bekend om het versleutelen van bedrijfsgegevens en het eisen van losgeld in ruil voor herstel. Het is nog onduidelijk of Melexis onderhandelt met de aanvallers of welke maatregelen het bedrijf neemt om de schade te beperken.

Meer informatie over deze aanval wordt de komende dagen verwacht.

Screenshot

Nijhuis Bouw uit Rijssen werd begin februari slachtoffer van een cyberaanval. Cybercriminelen hielden de systemen van het bedrijf vijf dagen gegijzeld, waarna het bedrijf besloot losgeld te betalen om weer toegang te krijgen. Bij de aanval zijn mogelijk gegevens buitgemaakt van duizenden huurders van vijftig woningcorporaties die aan het bedrijf verbonden zijn. De exacte omvang van het datalek is nog onbekend.

Bron

Graphicworld, een bedrijf actief in Nederland, is getroffen door een ransomware-aanval uitgevoerd door de Akira-groep. De aanval werd ontdekt op 11 maart 2025 om 15:47. Akira beweert de IT-verdediging van meerdere bedrijven te hebben doorbroken, waaronder Graphicworld. De cybercriminelen hanteren een strategie waarbij ze slachtoffers dwingen tot betaling door te dreigen met het openbaar maken van gestolen gegevens. Organisaties die niet ingaan op hun eisen, zien hun data uiteindelijk gepubliceerd op het darkweb. De exacte impact van de aanval op Graphicworld is nog onbekend, maar dergelijke aanvallen kunnen leiden tot verlies van gevoelige bedrijfsgegevens, operationele verstoringen en reputatieschade. Nederlandse bedrijven worden steeds vaker doelwit van ransomware-groepen, wat het belang van sterke cyberbeveiliging onderstreept. Bedrijven wordt aangeraden om snel te handelen, back-ups te controleren en gespecialiseerde hulp in te schakelen om verdere schade te beperken.

Screenshot

CS Plastics, een bedrijf dat gespecialiseerd is in het vervaardigen van machines en apparatuur voor de kunststofverwerkingssector, is op 21 maart 2025 om 11:46 slachtoffer geworden van een ransomware-aanval door de Akira-groep. De aanval richtte zich op belangrijke bedrijfsdocumenten, waaronder rijbewijzen, financiële gegevens zoals audits en betalingsgegevens, interne correspondentie, en contactinformatie van zowel medewerkers als klanten. CS Plastics is gevestigd in Nederland en actief in de productiesector.

Screenshot

Het Nederlandse bedrijf Stuwarooij dat al meer dan 25 jaar actief is in de sector transport logistiek supply chain en opslag is slachtoffer geworden van een ransomware-aanval. Het bedrijf biedt totaaloplossingen voor logistieke vraagstukken en werkt met vaste teams om klanten te ondersteunen. Op 24 maart 2025 om 19 uur 23 werd de aanval ontdekt waarbij de ransomwaregroep Frag verantwoordelijk wordt gehouden. Vermoedelijk vond de aanval plaats op of rond 4 maart 2025. De daders slaagden erin gevoelige informatie buit te maken waaronder financiële verslagen contactgegevens van klanten en medewerkers en zelfs kopieën van paspoorten rijbewijzen en andere persoonlijke documenten van werknemers. Dit soort datadiefstal brengt niet alleen het bedrijf maar ook individuele medewerkers in gevaar en onderstreept het belang van structurele digitale weerbaarheid in de logistieke sector.

Screenshot darkweb

Elmos is een Belgisch IT-bedrijf dat bekend staat om zijn focus op mensgerichte technologie en hoogwaardige dienstverlening. Het bedrijf levert vijfsterren service aan zowel medewerkers als klanten en profileert zich als een verbindende schakel binnen de IT-sector. Op 26 maart 2025 werd Elmos slachtoffer van een ransomware-aanval uitgevoerd door de Sarcoma-groep. De aanval werd om 07:13 uur ontdekt. Sarcoma publiceerde een datalek van 186 GB aan gestolen data waaronder bestanden en SQL-databases. De aanval onderstreept opnieuw hoe kwetsbaar bedrijven in de IT-sector kunnen zijn voor gerichte cyberaanvallen.

Screenshot

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

Overzicht Ransomware-aanvallen 3 maart 2025

Op 3 maart 2025 zijn wereldwijd 22 nieuwe ransomware-aanvallen gemeld. Verschillende ransomwaregroepen, waaronder Ransomhub, Kairos, Akira en Cactus, hebben organisaties getroffen in landen als de VS, Rusland, Frankrijk, Japan en Brazilië.

Opvallende slachtoffers zijn onder meer Sunnking Sustainable Solutions (VS), Forstenlechner Installationstechnik (Oostenrijk), Utsunomiya Central Clinic (Japan) en Grafitec (VK). Ook bedrijven in de gezondheidszorg, IT-sector en industriële sector zijn doelwit geworden. Sommige aanvallen betroffen onbekende organisaties, wat duidt op mogelijke nieuwe doelwitten van cybercriminelen.

Deze golf van ransomware-aanvallen benadrukt opnieuw het belang van sterke cybersecuritymaatregelen. Bedrijven en instellingen worden geadviseerd hun systemen up-to-date te houden, back-ups regelmatig te controleren en waakzaam te zijn voor phishingaanvallen. De dreiging blijft hoog en cybercriminelen blijven actief nieuwe doelwitten zoeken.

Overzicht van Cyberdreigingen op 3 Maart 2025

Op 3 maart 2025 werden wereldwijd 125 cyberaanvallen geregistreerd. De meest actieve hackersgroepen waren NoName057(16) met 14 aanvallen, gevolgd door Arcus Media (8) en Jokeir 07x (6). De meest voorkomende aanvalsmethoden waren ransomware (24 keer), initiële toegang (23 keer) en DDoS-aanvallen (23 keer).

De Verenigde Staten, India en Spanje waren de grootste doelwitten, met respectievelijk 21, 20 en 19 getroffen organisaties. Sectoren die het zwaarst werden getroffen waren overheidsinstanties (20 slachtoffers), de maakindustrie (8) en IT-dienstverlening (6).

Deze gegevens zijn afkomstig uit cyberdreigingsfeeds en bieden een momentopname van de meest actieve dreigingen. Er worden nog aanvullende analyses en grafieken verwacht. De informatie helpt organisaties om zich beter te beschermen tegen de snel veranderende cyberdreigingen.

Darkweb Updates: Datalekken en Nieuwe Cyberdreigingen

Er zijn meerdere datalekken en hacks gemeld, waaronder een cyberaanval op Zurich Insurance en een verkoop van administratieve toegang tot een WordPress-site. Daarnaast claimt een cybercrimineel gegevens van de Aziatische Voetbalconfederatie te verkopen. Ook ransomwaregroepen blijven actief, met nieuwe aanvallen door onder andere de groep Kairos.

Verder werd bekend dat er toegang wordt aangeboden tot RDWeb-omgevingen van bedrijven in het VK en de VS, en dat criminelen gestolen identiteitsgegevens, zoals rijbewijzen en sociale zekerheidsnummers, te koop aanbieden. De dreiging van ransomware blijft een groot risico voor bedrijven en instellingen wereldwijd. Dit overzicht benadrukt de noodzaak van continue waakzaamheid en sterke cybersecuritymaatregelen.

Cyberdreigingen op het Darkweb: Recente Ontwikkelingen

Een opvallende kwetsbaarheid (CVE-2025-22273) betreft het onbeperkt toewijzen van systeembronnen, wat misbruikt kan worden voor DDoS-aanvallen. Daarnaast werd ZeroStresser, een bekende DDoS-service, zelf aangevallen door de groep ZAIDDOS.

Verder claimt een dreigingsactor toegang te verkopen tot een groot bedrijf in de Verenigde Arabische Emiraten en worden gehackte creditcardgegevens uit meerdere landen te koop aangeboden. Ook zijn verschillende ransomware-aanvallen gemeld, waaronder die op Tata Technologies en Seabank Group.

Tot slot is een nieuw open-source framework, fsociety, geïntroduceerd voor pentesting, en heeft Tor Browser een update gekregen. Dit dagelijkse dreigingsbeeld onderstreept hoe dynamisch en evoluerend de cybercriminaliteit op het darkweb is en benadrukt het belang van constante monitoring en beveiligingsmaatregelen.

Cyberaanvallen van 4 maart 2025: DDoS en ransomware domineren

Uit het dreigingsrapport van 4 maart 2025 blijkt dat cybercriminelen wereldwijd actief blijven, met in totaal 128 gemelde incidenten. De meest voorkomende aanvalsvormen waren DDoS-aanvallen (39 keer) en ransomware (21 keer), gevolgd door datalekken en defacements.

India, de Verenigde Staten en Spanje waren de zwaarst getroffen landen, met tientallen slachtoffers in diverse sectoren. Overheidsinstanties waren het vaakst doelwit, gevolgd door e-commercebedrijven en IT-diensten.

Onder de meest actieve hackersgroepen bevinden zich NoName057(16), de Moroccan Black Cyber Army en Sophia. Opvallend is dat naast bekende ransomwaregroeperingen ook nieuwe actoren opduiken.

De dreiging blijft zich ontwikkelen, en bedrijven en overheden moeten waakzaam blijven. Het rapport onderstreept de noodzaak van sterke cyberbeveiligingsmaatregelen om deze toenemende aanvallen het hoofd te bieden.

Overzicht van Ransomware-aanvallen op 4 maart 2025

Op 4 maart 2025 zijn wereldwijd 28 nieuwe ransomware-aanvallen geregistreerd. Verschillende groepen, waaronder Monti, Ransomexx, Bianlian en Akira, hebben organisaties in onder andere de VS, het VK, Spanje, Italië, Brazilië en India getroffen. Slachtoffers variëren van accountantskantoren en vastgoedbedrijven tot technologie- en toerismebedrijven.

Opvallende aanvallen zijn onder meer de infectie van Tata Technologies in India door de Hunters-groep en de aanval op Seabank Group in Malta door Lynx-ransomware. Daarnaast werd Wendy Wu Tours in Australië slachtoffer van Killsec.

De impact van deze aanvallen is aanzienlijk, met mogelijke datalekken en operationele verstoringen als gevolg. Bedrijven worden opnieuw gewaarschuwd om hun cybersecuritymaatregelen te versterken, zoals regelmatige back-ups, sterke wachtwoorden en het bewustmaken van personeel om phishing-aanvallen te herkennen.

Ransomware-aanvallen Update van 5 maart 2025

Op 5 maart 2025 werden wereldwijd verschillende organisaties het slachtoffer van ransomware-aanvallen. De bekendste aanvalsgroepen, waaronder Safepay, Lynx, Fog, en Akira, werden genoemd in de meldingen. Specifieke gevallen betroffen onder andere het Duitse bedrijf willms-fleisch.de, het Belgische CDA Verzekeringen, en Chicago Doorways uit de VS. De aanvallen kwamen van diverse ransomware-groepen, zoals Ransomhub, Rhysida en Monti, die hun eisen voor losgeld vaak via het darkweb publiceren. Bedrijven over de hele wereld blijven doelwit van dergelijke cybercriminaliteit, wat de noodzaak benadrukt voor sterke beveiligingsmaatregelen en paraatheid tegen dergelijke dreigingen. Bedrijven moeten hun verdediging tegen ransomware blijven versterken en regelmatig kwetsbaarheden in hun systemen controleren.

Cyberdreigingen van 5 maart 2025: Trends en Betrokken Sectoren

Op 5 maart 2025 werd er een overzicht gepresenteerd van de meest recente cyberdreigingen. De topdreigingen werden gedomineerd door een aantal prominente aanvalsgroepen, waaronder NoName057 en het mysterieuze Team Bangladesh. De meest voorkomende aanvallen waren datalekken en DDoS-aanvallen, met beide categorieën 39 keer geregistreerd. Verder werden ransomware-aanvallen 19 keer genoteerd, en werden er 14 gevallen van initiële toegang vastgesteld.

Wat betreft de getroffen landen waren de VS, Spanje en India de meest getroffen landen. De grootste slachtoffers bevonden zich vooral in de overheidssector (19 slachtoffers), gevolgd door het onderwijs en de retailsector. Cybercriminelen richtten zich ook op de financiële dienstverlening, de luchtvaart en de logistieke sector.

Deze gegevens bieden inzicht in de huidige trends en tonen aan welke landen en sectoren het meest kwetsbaar zijn voor cyberaanvallen.

Darkweb-update: Ransomware en datalekken in opmars

Meerdere bedrijven en instellingen wereldwijd zijn getroffen door ransomware, waaronder Best Collateral en Schmiedetechnik Plettenberg GmbH & Co. KG. Daarnaast beweren hackers gevoelige gegevens te hebben buitgemaakt van organisaties zoals Tuipoint International Limited en de American Academy of Dramatic Arts.

Ook worden er gestolen inloggegevens en toegang tot bedrijfsnetwerken aangeboden op het darkweb, waaronder RDWeb-toegang tot een commercieel bedrijf in het Verenigd Koninkrijk. Verder is een zero-day-exploit voor TP-Link-apparaten te koop aangeboden.

Naast deze dreigingen heeft de VS sancties opgelegd aan de beheerder van de Nemesis-marktplaats op het darkweb, waarbij 49 cryptoadressen zijn bevroren. De situatie onderstreept de aanhoudende dreiging van cybercriminaliteit en het belang van digitale weerbaarheid.

Ransomware-aanvallen Update 6 maart 2025

Op 6 maart 2025 werd een overzicht gepresenteerd van de ransomware-aanvallen die tussen 5 en 6 maart hebben plaatsgevonden. Totaal werden 48 aanvallen gemeld, waaronder aanvallen van bekende ransomwaregroepen zoals Weyhro, Akira, en Ransomhub. Bedrijven en organisaties wereldwijd, waaronder in de VS, Italië, Duitsland en België, werden getroffen. Enkele prominente slachtoffers zijn de Portland Public Schools, MBI International, en de Belgische Euranova. Daarnaast werd de Oekraïense Ministerie van Buitenlandse Zaken getroffen door de Qilin-ransomware. Deze incidenten benadrukken de voortdurende dreiging van ransomware-aanvallen, waarbij organisaties wereldwijd het risico lopen om getroffen te worden door versleuteling van gegevens en hoge losgelden. Het is van groot belang dat bedrijven en overheden hun cybersecurity-maatregelen blijven versterken om zich te beschermen tegen dergelijke dreigingen.

Dagelijkse Cyberdreigingen 6 maart 2025

Op 6 maart 2025 werden er wereldwijd 168 claims van cyberaanvallen gerapporteerd. De meeste aanvallen betroffen datalekken (56 gevallen), DDoS-aanvallen (50 gevallen) en ransomware (23 gevallen). Vooral de Verenigde Staten (33 slachtoffers) en Israël (30 slachtoffers) waren doelwitten van cybercriminaliteit. De meest actieve dreigingsgroepen waren FOG, Mr Hamza en Dark Storm Team. Er werden verschillende sectoren getroffen, waaronder de overheid, IT-diensten en financiële instellingen. De aanvallen varieerden van gegevenslekken tot malware-infecties, waarbij aanvallers vaak gebruik maakten van toegangstechnieken zoals phishing of exploitatie van kwetsbaarheden. Deze cijfers benadrukken de voortdurende dreiging van cybercriminaliteit en de noodzaak voor bedrijven en overheden om hun digitale beveiliging te versterken.

Ransomware-aanvallen op 10 maart 2025: Overzicht van de laatste dreigingen

Op 10 maart 2025 werden wereldwijd meerdere organisaties getroffen door ransomware-aanvallen. In totaal zijn er twaalf claims gemeld door verschillende ransomwaregroepen. Zo werd het Amerikaanse Callico Distributors aangevallen door Akira, terwijl Babuk2 verantwoordelijk zou zijn voor een aanval op een Braziliaanse onderneming. In Frankrijk werd Mazars getroffen door dezelfde groep. De groep Ransomhouse richtte zich op een ziekenhuis in de VS en Qilin viel een Argentijns bedrijf aan.

Naast deze incidenten werden ook bedrijven in Hongkong, Spanje en andere landen slachtoffer van cybercriminelen. De dreiging van ransomware blijft toenemen, waarbij gevoelige bedrijfsgegevens worden gestolen en losgeld wordt geëist. Het rapport benadrukt hoe belangrijk het is voor organisaties om hun cyberbeveiliging te versterken en voorbereid te zijn op potentiële aanvallen. De trend laat zien dat hackers steeds gerichter te werk gaan en diverse sectoren treffen.

Toename van DDoS-aanvallen en datalekken wereldwijd

Op 10 maart 2025 werden wereldwijd 91 cyberaanvallen gerapporteerd. De meest actieve dreigingsactor was NoName057(16) met 16 aanvallen, gevolgd door groepen zoals DieNet en CyberJund. De meest voorkomende aanvalsvorm was DDoS, met 51 geregistreerde incidenten, terwijl ook datalekken en ransomware-aanvallen veel voorkwamen.

Frankrijk werd het zwaarst getroffen met 22 slachtoffers, gevolgd door Irak en de Verenigde Staten. Overheden, onderwijsinstellingen en telecommunicatiebedrijven waren de belangrijkste doelwitten. De aanvalstrends tonen aan dat cybercriminelen zich steeds vaker richten op kritieke infrastructuren en publieke instellingen.

Deze gegevens zijn gebaseerd op dreigingsfeeds en geven een actueel beeld van de cyberdreigingen wereldwijd. Er wordt verwacht dat ransomware-gegevens binnenkort worden toegevoegd, waardoor een nog completer overzicht van de dreigingen beschikbaar komt. De ontwikkelingen in cyberaanvallen onderstrepen de noodzaak van voortdurende waakzaamheid en digitale weerbaarheid.

Cyberdreigingen van 10 maart 2025: ransomware, datalekken en DDoS-aanvallen

De nieuwste dreigingsrapportage onthult een reeks cyberaanvallen en kwetsbaarheden. Meerdere organisaties zijn getroffen door ransomware, waaronder DACAS en CPI Books UK, waarbij honderden gigabytes aan gegevens op het spel staan. Ook werd bekend dat hackers ongeautoriseerde toegang te koop aanbieden tot een Indonesische industriële fabrikant. Daarnaast claimt de Dark Storm Team verantwoordelijk te zijn voor een aanval op INTERPOL en een DDoS-aanval die sociale media verstoorde.

Verder zijn diverse websites doelwit geworden van cybercriminelen, zoals die van Multishades Aluminum en Cooked at Bayside, die zijn beklad door Marokkaanse hackers. Een kritieke kwetsbaarheid in een WordPress-plugin maakt systemen vatbaar voor Remote Code Execution (RCE). De ontwikkelingen onderstrepen de aanhoudende dreiging van cybercriminaliteit en de noodzaak van sterke beveiligingsmaatregelen om schade te beperken.

Toename van cyberaanvallen wereldwijd

Uit het dreigingsrapport van 11 maart 2025 blijkt dat cyberaanvallen wereldwijd in intensiteit en frequentie toenemen. In totaal werden 147 cyberaanvallen gemeld, met DDoS-aanvallen, ransomware en datalekken als de meest voorkomende dreigingen. De VS, Frankrijk en Spanje behoren tot de zwaarst getroffen landen. Overheidsinstanties, telecombedrijven en de gezondheidszorg zijn het vaakst doelwit.

Opvallend is de activiteit van de cybercriminelen NoName057(16) en Akira, die samen verantwoordelijk zijn voor 26 aanvallen. De gegevens in het rapport zijn verzameld tussen 10 en 11 maart en tonen een aanhoudende dreiging voor zowel bedrijven als overheden. De verwachting is dat ransomware-incidenten verder zullen toenemen.

Het rapport onderstreept de noodzaak voor organisaties om hun cyberweerbaarheid te verbeteren en zich beter te wapenen tegen digitale dreigingen. Regelmatige updates en proactieve beveiligingsmaatregelen zijn cruciaal om de impact van cyberaanvallen te minimaliseren.

Grote ransomware-aanval treft meerdere landen

Op 11 maart 2025 werd een update gepubliceerd over recente ransomware-aanvallen wereldwijd. In totaal zijn 30 nieuwe claims gemeld, waarbij verschillende ransomwaregroepen verantwoordelijk zijn. De groep Qilin heeft onder andere overheidsinstanties in Texas en Polen getroffen, terwijl Lynx zich richtte op bedrijven en overheidsdiensten in de VS en Australië. Incransom heeft medische instellingen in Duitsland en de VS aangevallen, en Funksec richtte zich op universiteiten in Frankrijk.

Daarnaast heeft Babuk2 een groot aantal organisaties getroffen, waaronder overheidsinstanties in Pakistan, Slowakije en Brazilië. Ook werd gevoelige informatie van het Indiase ministerie van Defensie gelekt. Andere groepen zoals Akira, Hunters, Fog en Ransomhub waren eveneens actief.

De dreiging van ransomware blijft wereldwijd toenemen, met steeds geavanceerdere methoden en gerichte aanvallen op kritieke infrastructuur en bedrijven. Het is essentieel dat organisaties zich wapenen met sterke cyberbeveiligingsmaatregelen om deze dreiging het hoofd te bieden.

Grootschalige datalekken en cyberdreigingen in kaart gebracht

Het meest recente overzicht van cyberdreigingen laat een reeks ernstige datalekken en ransomware-aanvallen zien. Meerdere grote organisaties, waaronder Jaguar Land Rover en verschillende Franse ziekenhuizen, zijn getroffen door datadiefstal. In totaal zijn miljoenen gevoelige gegevens op het darkweb terechtgekomen. Ook steeg de dreiging van ransomware, waarbij onder andere het bedrijf Suder & Suder en de lokale overheid van Gaines County slachtoffer werden van aanvallen die gevoelige documenten openbaar maakten.

Daarnaast zijn hackersgroepen zoals Dark Storm Team en Anonymous Sudan actief met nieuwe bedreigingen, waaronder een mogelijke aanval op Facebook. Ondertussen circuleren op het darkweb gestolen bedrijfsaccounts en financiële gegevens van Amerikaanse burgers. De verkoop van gehackte WordPress-sites en kwaadaardige softwarecode blijft een voortdurende zorg.

Dit overzicht benadrukt de groeiende dreiging van cybercriminaliteit en de noodzaak voor bedrijven en individuen om hun digitale beveiliging te versterken.

Cyberaanvallen op 12 maart 2025: een overzicht

Op 12 maart 2025 werden wereldwijd 125 cyberaanvallen geregistreerd. De meest actieve dreigingsactor was NoName057(16) met 13 aanvallen, gevolgd door groepen zoals Akira en NightSpire. De meest voorkomende aanvalsmethoden waren DDoS-aanvallen (33 keer), datalekken (30 keer) en ransomware-aanvallen (25 keer).

De Verenigde Staten waren het meest getroffen land met 21 slachtoffers, gevolgd door Frankrijk en Spanje. Ook bedrijven en instellingen uit sectoren zoals overheid, financiële diensten en onderwijs waren populaire doelwitten. In totaal werden 12 overheidsinstanties en 8 financiële instellingen getroffen.

Deze cijfers laten zien dat cybercriminelen onverminderd actief zijn en steeds geavanceerdere methoden gebruiken. Dit benadrukt de noodzaak voor bedrijven en overheden om hun digitale weerbaarheid te vergroten en zich beter te beschermen tegen cyberdreigingen.

Nieuwe Ransomware-aanvallen wereldwijd gemeld

Op 12 maart 2025 is een update uitgebracht over recente ransomware-aanvallen. In totaal werden 32 claims gerapporteerd, waarbij verschillende ransomwaregroepen betrokken waren. Babuk2 richtte zich onder andere op een luxe hotel in Singapore en een financieel bedrijf in India. Qilin nam organisaties in de VS en Duitsland op de korrel, terwijl Akira aanvallen uitvoerde in Spanje, de Bahama’s en China. Ook Cactus, Ransomhub, Arcusmedia en andere ransomwaregroepen vielen bedrijven aan in sectoren zoals telecom, onderwijs en defensie. De lijst bevat ook bedrijven uit Italië, Colombia, Maleisië en Peru. De aanvallen tonen aan dat ransomwaregroepen wereldwijd actief blijven en diverse sectoren treffen. Dit onderstreept het belang van sterke cybersecuritymaatregelen en continue waakzaamheid tegen deze dreiging.

Darkweb Update: Nieuwe Datadiefstallen en Cyberdreigingen

Op 12 maart 2025 zijn meerdere grote datalekken en cyberaanvallen gemeld. Het Amerikaanse bedrijf Maxikits Ltd zou getroffen zijn door een datalek waarbij gegevens van 500.000 gebruikers zijn buitgemaakt. Ook Ulysses ERP & MES Software is mogelijk slachtoffer van de Qilin-ransomwaregroep, die 530 GB aan data zou hebben gestolen. JPMorgan Chase zou daarnaast 8.880 klantgegevens hebben gelekt.

Naast deze incidenten zijn er meldingen van cybercriminelen die toegang tot diverse systemen verkopen. Zo zou er in de VS een vastgoedbeheerplatform zijn gehackt en zouden financiële gegevens van Amerikaanse burgers te koop worden aangeboden. Verder zijn gegevens van 600.000 klanten van een Thais bedrijf en 5 miljoen records van een Chinese verzekeraar gelekt.

Een nieuwe ransomwaregroep, NightSpire, is ook opgedoken. Deze en andere dreigingen tonen aan dat cybercriminelen steeds agressiever te werk gaan en dat bedrijven alert moeten blijven op hun digitale veiligheid.

Dreigingsanalyse van 13 maart 2025

Op 13 maart 2025 zijn er wereldwijd 125 meldingen van cyberdreigingen geregistreerd, met de meeste aanvallen gericht op de VS, Frankrijk en Israël. De meest voorkomende aanvalscategorieën zijn DDoS-aanvallen, datalekken en ransomware. Bij de topdreigingsactoren werden NoName057 en CyberJund genoemd, terwijl de meeste slachtoffers uit de overheidssector, telecom en gezondheidszorg komen. De schade varieert van systeemdefecten door aanvallen op netwerken tot ernstige datalekken in kritieke sectoren. Cybercriminelen richten zich steeds vaker op landen met grote economische en strategische belangen, zoals de VS en Israël. Dit benadrukt de voortdurende noodzaak voor robuuste beveiligingsmaatregelen tegen steeds geavanceerdere cyberaanvallen.

Ransomware-aanvallen op 13 maart 2025

Op 13 maart 2025 werd een update gepresenteerd over verschillende ransomware-aanvallen die de afgelopen dagen hebben plaatsgevonden. De aanvallen betroffen onder andere de Amerikaanse universiteit University Diagnostic Medical Imaging en het Mexicaanse bedrijf Milano. Ook de Iraakse regering werd getroffen, waaronder het Ministerie van Financiën en de Raad van Ministers. Verder werden bedrijven zoals Ascoma Group uit Monaco en TUV India Pvt. Ltd. aangevallen. De aanvallen werden uitgevoerd door verschillende ransomwaregroepen, waaronder Babuk2, Akira en Ransomhouse. De daders eisen losgeld om de gestolen gegevens terug te geven of te ontsleutelen. Deze aanvallen benadrukken het groeiende probleem van ransomware wereldwijd, waarbij zowel overheden als bedrijven het doelwit zijn.

Cyberdreigingen op 13 maart 2025

Op 13 maart 2025 werden er verschillende cyberdreigingen gerapporteerd, waaronder ransomware-aanvallen en datalekken. Zo werd het bedrijf Harrell's LLC getroffen door de LYNX ransomware, terwijl ook de gegevens van overheidsmedewerkers van Ontario werden blootgesteld. Daarnaast werden er meldingen gedaan van gegevenslekken bij TurkNet, waarbij miljoenen gegevens zijn gecompromitteerd. Ook zijn er nieuwe ransomware-varianten in omloop, zoals de EMBARGO ransomware die Rixos Hotels treft. Verder werd er informatie gedeeld over de verkoop van toegang tot systemen, waaronder het Amerikaanse zorg- en softwarebedrijven. Deze ontwikkelingen benadrukken het voortdurende risico van cybercriminaliteit en het belang van cybersecurity.

Overzicht van Cyberaanvallen op 14 Maart 2025

Op 14 maart 2025 zijn wereldwijd 192 cyberaanvallen geregistreerd, waarbij verschillende hackergroepen betrokken waren. De meest actieve groep was "diamond" met 44 claims, gevolgd door "Keymous+" en "NoName057(16)". De meest voorkomende aanvalsvormen waren initiële toegangspogingen (57 keer), DDoS-aanvallen (51 keer) en datalekken (25 keer).

De Verenigde Staten waren het grootste doelwit met 54 getroffen organisaties, gevolgd door Denemarken, Spanje en Frankrijk. Ook Nederland werd getroffen door twee incidenten. Sectoren die het zwaarst werden geraakt, zijn onder andere telecommunicatie, IT-diensten en overheidsinstanties.

De dreigingen blijven zich ontwikkelen, waarbij hackers zich richten op kwetsbare systemen en sectoren met gevoelige gegevens. Dit onderstreept de noodzaak van sterke cybersecuritymaatregelen om organisaties en individuen te beschermen tegen digitale aanvallen.

Ransomware-aanvallen op 14 maart 2025: Een overzicht

Op 14 maart 2025 werden wereldwijd 50 ransomware-aanvallen geregistreerd. Meerdere ransomwaregroepen, waaronder Babuk 2.0, Clop, Medusa en Akira, eisten verantwoordelijkheid op voor aanvallen op organisaties in de VS, Europa, Azië en Zuid-Amerika.

Babuk 2.0 richtte zich onder andere op het ministerie van Defensie van Vietnam, Movistar Peru en de inlichtingendienst van het Chinese leger. Clop nam Rackspace en andere Amerikaanse bedrijven onder vuur. Medusa viel een Canadees autobedrijf aan en beweerde 455 GB aan gegevens te hebben gestolen. Akira, Ransomhub en Lynx vielen bedrijven in de VS, India en Colombia aan.

Deze golf van cyberaanvallen benadrukt de aanhoudende dreiging van ransomware en de noodzaak voor bedrijven en overheden om hun cyberbeveiliging te versterken. Het blijft cruciaal om systemen up-to-date te houden en back-ups te maken om schade te beperken.

Nieuwe Cyberdreigingen op het Darkweb: Ransomware, Datadiefstal en Illegale Toegang

Op 14 maart 2025 zijn verschillende cyberdreigingen aan het licht gekomen op het darkweb. Zo wordt beweerd dat een dreigingsactor toegang verkoopt tot de systemen van BeyondTrust en dat er ruim 32.000 klantgegevens van een Venezolaanse telecomprovider te koop worden aangeboden. Daarnaast is de website van Orange Egypt aangevallen en heeft de ransomwaregroep Orca een Italiaanse wijnproducent getroffen, waarbij 253GB aan data zou zijn buitgemaakt.

Ook is er sprake van illegale verkoop van gevoelige informatie, zoals e-mailadressen, VPN-toegangen en financiële gegevens. Ransomwaregroepen blijven actief nieuwe slachtoffers maken, waaronder bedrijven in de VS en Europa. Verder zijn er updates over nieuwe kwetsbaarheden en tools die cybercriminelen inzetten.

Deze ontwikkelingen tonen aan dat cyberdreigingen blijven evolueren, en bedrijven en individuen alert moeten blijven op mogelijke risico’s. Regelmatige beveiligingsupdates en monitoring zijn cruciaal om digitale veiligheid te waarborgen.

Cybercrimeinfo (ccinfo.nl) beschikt over diepgaande cyberdreigingsinformatie en actuele ransomwaregegevens. Vanuit deze informatie stellen wij dagelijks overzichtelijke rapportages samen. De rapportages bevatten actuele gegevens over onder meer datalekken, ransomware-incidenten, DDoS-aanvallen, defacements en andere digitale bedreigingen, inclusief onbewerkte schermafbeeldingen.

Wilt u dagelijks actuele inzichten ontvangen in cyberdreigingen en ransomwareontwikkelingen? Neem dan contact op met Digiweerbaar via het contactformulier. Wij informeren u graag over de mogelijkheden.

Op 24 maart 2025 werd de Belgische overheidswebsite mygov.be getroffen door een DDoS-aanval. De verantwoordelijkheid werd opgeëist door de hackersgroep SERVER KILLERS via hun Telegram-kanaal. De aanval richtte zich specifiek op de federale overheidsdienst Beleid en Ondersteuning. Door de overbelasting van servers werd de website tijdelijk onbereikbaar voor burgers en ambtenaren. Het incident onderstreept opnieuw de kwetsbaarheid van digitale overheidsdiensten en de noodzaak van goede bescherming tegen cyberdreigingen. Dergelijke aanvallen worden vaak gebruikt om politieke of ideologische boodschappen over te brengen of om chaos te zaaien. Het is nog onduidelijk welke schade de aanval precies heeft veroorzaakt en of er persoonlijke gegevens in gevaar zijn gekomen. Wel toont het aan dat overheidsinstellingen aantrekkelijk blijven als doelwit voor georganiseerde cybercriminelen.

Screenshot

Een hackersgroep met de naam Keymous+ beweert verantwoordelijk te zijn voor een reeks DDoS-aanvallen op diverse Belgische instellingen. Volgens hun verklaring zijn meerdere ziekenhuizen en onderwijsinstellingen doelwit geweest, waaronder het Europa Ziekenhuis, Iris South, Kliniek Sint-Jan in Brussel, de Universitaire Klinieken Saint-Luc, CHU Saint-Pierre, The British School of Brussels en het Sint-Lievenscollege. DDoS-aanvallen (Distributed Denial of Service) zorgen ervoor dat websites onbereikbaar worden door ze te overspoelen met verkeer. Het is op dit moment nog onduidelijk of de aanvallen daadwerkelijk door Keymous+ zijn uitgevoerd en welke schade is aangericht. Wel onderstreept deze actie opnieuw de kwetsbaarheid van essentiële zorg- en onderwijsinstellingen voor digitale aanvallen. Er is nog geen officiële bevestiging of reactie van de getroffen organisaties.

Screenshot

Op 25 maart 2025 heeft de pro-Russische hackersgroep NoName opnieuw toegeslagen met een reeks DDoS-aanvallen gericht op Belgische doelwitten. De groep claimt verantwoordelijk te zijn voor het tijdelijk platleggen van meerdere websites waaronder die van de Federale Overheidsdienst Economie, de European Sea Ports Organisation en verschillende gemeentelijke websites zoals Sint-Genesius-Rode, Wemmel, Wezembeek-Oppem en de stad Edingen. Bij een DDoS-aanval wordt een website overspoeld met verkeer waardoor deze onbereikbaar raakt voor gewone gebruikers. Zulke aanvallen hebben vaak als doel om overheidsdiensten te ontregelen of een politiek statement te maken. NoName voert vaker cyberaanvallen uit op West-Europese doelen die zich kritisch uitlaten over Rusland of Oekraïne steunen. Voor zover bekend is er geen sprake van datalekken, maar de hinder voor burgers en organisaties kan aanzienlijk zijn.

Screenshot

Op 26 maart 2025 heeft de hacker-groep NoName verklaard dat ze meerdere websites in België hebben aangevallen met een DDoS-aanval (Distributed Denial of Service). De getroffen organisaties zijn onder andere het Economics and Econometrics Research Institute (EERI), de regio Wallonië, het European Centre for International Political Economy (ECIPE), Brupartners en SERV. Een DDoS-aanval houdt in dat een website tijdelijk onbereikbaar wordt gemaakt door een overweldigende hoeveelheid verkeer naar de server te sturen. Dergelijke aanvallen kunnen de werking van organisaties verstoren en aanzienlijke schade veroorzaken. De aanval werd blijkbaar zonder verdere uitleg uitgevoerd, en de impact op de getroffen websites is nog niet volledig duidelijk.

Er zijn drie belangrijke blinde vlekken in ons begrip van cyberconflicten die risico's met zich meebrengen. Ten eerste, de opkomst van hacktivisme, waarbij groepen steeds vaker opereren tegen kritieke infrastructuren, wat de grens tussen onafhankelijk activisme en staatsgerelateerde operaties vervaagt. Dit maakt het moeilijk om verantwoordelijkheden toe te wijzen en te reageren op aanvallen. Ten tweede, de Europese Unie kampt met gebrekkige coördinatie in defensie, wat resulteert in een zwakke reactie op AI-gedreven cyberdreigingen, zoals deepfake campagnes. Dit wordt bemoeilijkt door een gebrek aan gestandaardiseerde kaders en beperkte samenwerking tussen civiele en militaire sectoren. Ten derde, cybersecurity in de Global South wordt vaak genegeerd, terwijl kwetsbare landen steeds vaker het doelwit zijn van cyberaanvallen. De EU moet haar aanpak verbeteren door beter samen te werken met deze regio's om de digitale stabiliteit wereldwijd te waarborgen. Het negeren van deze blinde vlekken kan de wereldwijde cyberveiligheid ondermijnen.

Later meer hierover in een artikel op ccinfo

• Naar pagina

• Naar overzicht

Onderzoekers hebben zestien schadelijke extensies ontdekt in de Chrome Web Store, die samen meer dan 3,2 miljoen gebruikers troffen. Deze extensies injecteerden kwaadaardige code in browsers om fraude te plegen en schakelden beveiligingsmaatregelen tegen cross-site scripting (XSS) uit. Google heeft de malafide extensies verwijderd na melding door de onderzoekers.

De aanvallers verkregen toegang tot de ontwikkelaarsaccounts van extensies via phishing en pasten vervolgens de code aan. Eerder werden al tientallen andere extensies geïnfecteerd, waaronder een beveiligingsplug-in van een cybersecuritybedrijf. Sommige schadelijke extensies probeerden zelfs inloggegevens van Facebook-gebruikers te stelen.

De schadelijke extensies omvatten onder andere adblockers, emoji-keyboards en YouTube-gerelateerde plug-ins. Door de uitgeschakelde beveiligingsmaatregelen konden gebruikers kwetsbaar worden voor aanvallen. Het incident benadrukt het risico van browserextensies en het belang van waakzaamheid bij het installeren ervan.

Bron

Microsoft heeft vijf kwetsbaarheden ontdekt in de BioNTdrv.sys-driver van Paragon Partition Manager. Eén van deze zwakke plekken (CVE-2025-0289) wordt actief uitgebuit door ransomware-groepen om systeemrechten te verkrijgen op Windows-systemen. Dit gebeurt via de "Bring Your Own Vulnerable Driver" (BYOVD)-techniek, waarbij aanvallers een kwetsbare driver op een doelwit plaatsen en zo beveiligingsmaatregelen omzeilen.

Deze kwetsbaarheden stellen aanvallers in staat om privileges te escaleren of zelfs een denial-of-service (DoS)-aanval uit te voeren. Opvallend is dat Paragon Partition Manager zelf niet geïnstalleerd hoeft te zijn; cybercriminelen kunnen de kwetsbare driver namelijk handmatig inladen.

Microsoft heeft de problemen inmiddels verholpen en de kwetsbare driver toegevoegd aan de Vulnerable Driver Blocklist. Gebruikers wordt aangeraden hun systeem te updaten en te controleren of deze blocklist is ingeschakeld om misbruik te voorkomen.

Bron

Onderzoekers hebben bijna 12.000 geldige API-sleutels en wachtwoorden ontdekt in de Common Crawl-dataset, die wordt gebruikt voor het trainen van kunstmatige intelligentie (AI)-modellen. Deze dataset bevat enorme hoeveelheden webgegevens en wordt door verschillende AI-projecten benut. De gevoelige informatie werd aangetroffen in de code van websites, wat wijst op slechte beveiligingspraktijken van ontwikkelaars.

De gelekte gegevens omvatten onder andere sleutels voor Amazon Web Services (AWS) en MailChimp. Kwaadwillenden kunnen deze informatie misbruiken voor phishing, datadiefstal en andere cyberaanvallen. Opvallend is dat 63% van de gevonden sleutels meerdere keren voorkwam, met één specifieke API-sleutel die meer dan 57.000 keer werd hergebruikt.

Hoewel AI-trainingsdata wordt gefilterd om gevoelige informatie te verwijderen, blijkt dit proces niet waterdicht. De onderzoekers hebben de betrokken bedrijven geïnformeerd, zodat zij de getroffen sleutels konden intrekken. Dit lek benadrukt het belang van veilige coderingspraktijken.

Bron

Softwarebedrijf Zapier heeft klantgegevens gelekt door een misconfiguratie in de tweefactorauthenticatie (2FA) van een medewerkersaccount. Hierdoor kreeg een ongeautoriseerde gebruiker toegang tot interne repositories, waarin per ongeluk klantgegevens waren opgeslagen. Het lek werd op 27 februari ontdekt, waarna getroffen klanten zijn geïnformeerd.

Volgens Zapier zouden normaal gesproken geen klantgegevens in deze repositories staan, maar was bepaalde informatie daar toch voor debugging-doeleinden gekopieerd. Om welke gegevens en hoeveel klanten het precies gaat, heeft het bedrijf niet bekendgemaakt.

Getroffen klanten wordt aangeraden actie te ondernemen, zoals het vervangen van authenticatietokens als deze in plain text zijn opgeslagen. Hoe de aanvaller precies toegang kreeg, blijft onduidelijk. Dit incident onderstreept het belang van een correcte 2FA-configuratie en een strikte scheiding van klant- en testdata om datalekken te voorkomen.

Bron

Cybercriminelen maken actief gebruik van een kwetsbaarheid in een driver van Paragon Software om ransomware-aanvallen uit te voeren. Dit lek, aangeduid als CVE-2025-0289, stelt aanvallers in staat om hun rechten op een geïnfecteerd systeem te verhogen tot het hoogste niveau (SYSTEM), waardoor ze volledige controle krijgen en beveiligingssoftware kunnen uitschakelen.

Opvallend is dat organisaties niet per se Paragon Software geïnstalleerd hoeven te hebben om getroffen te worden. Aanvallers kopiëren de kwetsbare driver naar hun doelwit om een zogenoemde Bring Your Own Vulnerable Driver (BYOVD)-aanval uit te voeren.

Paragon Software heeft inmiddels een beveiligingsupdate uitgebracht en roept gebruikers op deze zo snel mogelijk te installeren. Daarnaast heeft Microsoft de kwetsbare driver sinds 28 februari geblokkeerd op Windows-systemen. Wie de update niet installeert, kan bepaalde functies van de software niet meer gebruiken.

Bron

Een nieuwe phishingcampagne maakt gebruik van de ClickFix-aanvalstechniek om slachtoffers te misleiden en malware te installeren. Cybercriminelen verspreiden phishing-e-mails met een zogenaamd "beperkt bericht" en vragen de ontvanger een HTML-bestand te openen. Dit bestand toont een valse foutmelding die suggereert dat de gebruiker een probleem met OneDrive moet oplossen door een PowerShell-opdracht uit te voeren.

Zodra het slachtoffer de opdracht uitvoert, wordt er een kwaadaardig script gedownload vanaf een SharePoint-server. Dit script controleert of de omgeving een sandbox is (een beveiligde testomgeving) en stopt zo nodig de uitvoering om detectie te voorkomen. Vervolgens installeert het de Havoc-malware, een gevaarlijk post-exploitatieframework waarmee hackers volledige controle over een systeem kunnen krijgen.

De aanval maakt misbruik van Microsoft’s Graph API om netwerkverkeer te verbergen, waardoor detectie moeilijker wordt. Dit soort aanvallen neemt toe en richt zich op bedrijven en individuen wereldwijd.

Bron

Cybersecuritybedrijf Rubrik heeft een beveiligingsincident gemeld waarbij een server met logbestanden werd gecompromitteerd. Hoewel er geen aanwijzingen zijn dat klantgegevens of interne broncode zijn buitgemaakt, heeft het bedrijf uit voorzorg bepaalde authenticatiesleutels vervangen. De inbreuk werd ontdekt na ongebruikelijke activiteit op de server, waarna deze direct offline werd gehaald.

Een extern forensisch onderzoek bevestigde dat het incident beperkt bleef tot deze specifieke server. Er is geen contact geweest met de aanvallers, en het betrof geen ransomware-aanval. Rubrik benadrukt dat er geen misbruik van de gelekte informatie is vastgesteld.

Dit is niet de eerste keer dat Rubrik met een datalek te maken heeft; in 2023 werd het bedrijf ook getroffen door een grootschalige cyberaanval. Het incident onderstreept opnieuw het belang van strikte toegangscontroles en snelle responsmaatregelen bij beveiligingsincidenten.

Bron

Google heeft beveiligingsupdates uitgebracht om actief aangevallen kwetsbaarheden in Android te verhelpen. Een van deze beveiligingslekken (CVE-2024-50302) maakt het mogelijk om vergrendelde Android-telefoons te ontgrendelen en is gebruikt door forensische softwaremakers. Een andere kwetsbaarheid (CVE-2024-43093) stelt aanvallers in staat toegang te krijgen tot gevoelige systeemdirectories.

Naast deze specifiek misbruikte lekken zijn er ook acht kritieke kwetsbaarheden ontdekt die remote code execution mogelijk maken, waardoor aanvallers op afstand code op Android-apparaten kunnen uitvoeren. Google heeft patches beschikbaar gesteld voor Android 12, 12L, 13, 14 en 15, maar niet alle apparaten zullen deze updates ontvangen. Sommige toestellen worden niet meer ondersteund of ontvangen updates pas later via de fabrikant. Google roept gebruikers op om hun apparaten zo snel mogelijk bij te werken om de risico’s te minimaliseren.

Bron

Chinese autoriteiten hebben een waarschuwing uitgegeven over oplichters die zich voordoen als ontwikkelaars van het DeepSeek blockchain-project. Ze lokken investeerders met nep-cryptotokens en valse beloftes van hoge winsten. Door de populariteit van DeepSeek, een AI-model dat eerder dit jaar veel aandacht kreeg, zagen fraudeurs hun kans om mensen te misleiden met crowdfundingcampagnes en waardeloze cursussen.

Daarnaast verspreiden criminelen met malware geïnfecteerde DeepSeek-applicaties onder namen als DeepSeek.apk en DeepSeek.exe. Deze apps compromitteren de privégegevens van gebruikers en bevatten schadelijke software die systeemfuncties kan manipuleren.

De Chinese overheid waarschuwt dat AI-gerelateerde fraude zal toenemen en adviseert investeerders om bronnen zorgvuldig te controleren voordat ze in projecten stappen. Gebruikers worden ook opgeroepen om voorzichtig te zijn met verdachte applicaties en verdachte financiële aanbiedingen.

Bron

Cybercriminelen gebruiken een geraffineerde phishingaanval om slachtoffers een kwaadaardig PowerShell-commando te laten uitvoeren. De aanval begint met een e-mail met als onderwerp "Critical Update", waarin de ontvanger wordt gevraagd een bijgevoegd HTML-bestand (document.html) te openen.

Bij het openen van dit bestand verschijnt een nepfoutmelding die suggereert dat er een verbindingsprobleem is met OneDrive. De melding bevat een knop "How to fix", die, zodra erop wordt geklikt, een schadelijk PowerShell-commando naar het klembord kopieert. Vervolgens krijgt de gebruiker instructies om een terminalvenster te openen, het commando te plakken en uit te voeren. Zodra dit gebeurt, wordt malware op het systeem geïnstalleerd, waardoor aanvallers volledige controle kunnen krijgen.

Experts waarschuwen voor dit type aanval en adviseren extra voorzichtig te zijn met instructies die vragen om PowerShell of de terminal te gebruiken. Wees alert op verdachte e-mails en voer nooit onbekende commando’s uit.

Bron

Onderzoekers hebben een nieuwe, nog niet eerder gedocumenteerde polyglot-malware ontdekt die wordt ingezet tegen luchtvaart-, satellietcommunicatie- en transportbedrijven in de Verenigde Arabische Emiraten. De malware installeert een achterdeur genaamd Sosano, waarmee aanvallers op afstand commando's kunnen uitvoeren en zich langdurig in systemen kunnen nestelen.

De aanvalsmethode maakt gebruik van polyglot-bestanden, die meerdere formaten bevatten en door verschillende applicaties anders worden geïnterpreteerd. Dit stelt cybercriminelen in staat om beveiligingssoftware te omzeilen en schadelijke payloads heimelijk te verspreiden. De campagne begint met gerichte spear-phishingmails die slachtoffers verleiden om geïnfecteerde bestanden te openen.

Hoewel de aanval nog kleinschalig is, wordt deze als geavanceerd en gevaarlijk beschouwd. De malware vertoont gelijkenissen met technieken van Iraans gelinkte hackersgroepen, maar lijkt zich vooral te richten op cyberspionage. Experts adviseren bedrijven om waakzaam te zijn en verdachte bestandsformaten op e-mailservers te blokkeren.

Bron

Op het darkweb wordt momenteel de verkoop aangeboden van twee kritieke 0-day Local Privilege Escalation (LPE) exploits voor Windows-systemen. Deze kwetsbaarheden stellen aanvallers in staat om verhoogde rechten te verkrijgen op getroffen systemen, wat grote risico’s met zich meebrengt voor bedrijven en overheden.

De eerste exploit, geprijsd op $120.000, werkt op Windows 10 en Windows Server 2016-2022 en combineert LPE met een sandbox-bypass (SBX). De tweede exploit, aangeboden voor $150.000, richt zich op meerdere versies van Windows Server (2008-2022) en Windows 10.

De verkoop van deze exploits laat zien dat cybercriminelen steeds geavanceerdere methoden inzetten om beveiligingslekken te misbruiken. Organisaties wordt aangeraden hun systemen up-to-date te houden en extra beveiligingsmaatregelen te nemen om misbruik te voorkomen.

Screenshot

YouTube waarschuwt creators voor een phishingaanval waarbij cybercriminelen AI-video’s van CEO Neal Mohan gebruiken. In deze vervalste video's worden zogenaamd wijzigingen in het verdienmodel van YouTube aangekondigd. De video's worden via privéberichten verspreid en bevatten links naar phishingwebsites die malware kunnen installeren of inloggegevens stelen.

Volgens YouTube gebruiken aanvallers functies van het platform om hun video's betrouwbaarder te laten lijken. Gebruikers op Reddit melden dat de video's slachtoffers proberen te verleiden tot het downloaden van een bestand dat sessiecookies steelt. Hiermee kunnen criminelen ongeautoriseerde toegang tot accounts krijgen.

YouTube adviseert om geen links in deze video's te openen en verdachte content te rapporteren. Dit incident onderstreept de toenemende dreiging van AI-gegenereerde phishingaanvallen en benadrukt het belang van waakzaamheid bij het klikken op onbekende links of bestanden.

Bron

Het aantal aanvallen gericht op het stelen van bankgegevens van smartphonegebruikers is in 2024 met 196% gestegen. Cybercriminelen gebruiken steeds vaker Trojaanse banker-malware, die verspreid wordt via sms, berichten-apps en kwaadaardige bijlagen. Dit gebeurt vaak door gebruik te maken van trending nieuws om slachtoffers in een staat van urgentie te brengen, waardoor ze minder oplettend zijn. In totaal blokkeerde Kaspersky wereldwijd meer dan 33 miljoen aanvallen. Hoewel Trojaanse bankers het snelst groeiende type malware zijn, blijft Adware het meest voorkomende soort bedreiging. Cybercriminelen richten zich nu op het verspreiden van dezelfde malware naar zo veel mogelijk slachtoffers in plaats van unieke varianten te creëren. Om jezelf te beschermen, wordt aangeraden om apps alleen uit officiële winkels te downloaden, app-recensies te controleren en beveiligingssoftware te installeren.

Bron

Criminelen achter de Black Basta- en Cactus-ransomware gebruiken 'e-mail bombing' als strategie voor social engineering-aanvallen. Bij deze aanvallen ontvangt het slachtoffer eerst een overdaad aan e-mails. Vervolgens wordt de persoon via Microsoft Teams benaderd door een nep-medewerker die zich voordoet als IT-ondersteuning. De aanvaller vraagt het slachtoffer om tools voor remote beheer te installeren, waarmee toegang tot het systeem wordt verkregen. Zodra de criminelen toegang hebben, stelen ze inloggegevens, VPN-configuraties en andere gevoelige informatie. Uiteindelijk wordt ransomware uitgerold om het netwerk verder te verstoren. Organisaties worden geadviseerd om het gebruik van remote assistance tools te beperken, medewerkers bewust te maken van social engineering en best practices voor Microsoft Teams toe te passen om zulke aanvallen te voorkomen.

Bron

Het BadBox-malwarebotnet, dat zich richt op goedkope Android-apparaten zoals tv-boxen, tablets en smartphones, is opnieuw verstoord. Onderzoekers hebben 24 schadelijke apps uit de Google Play Store verwijderd en de communicatie van ruim 500.000 geïnfecteerde apparaten geblokkeerd. De malware werd vooraf op sommige apparaten geïnstalleerd of via kwaadaardige apps verspreid en werd gebruikt voor advertentiefraude, het aanmaken van nepaccounts en credential stuffing-aanvallen.

Ondanks eerdere verstoringen groeide het botnet tot meer dan een miljoen besmettingen wereldwijd. De recente actie werd geleid door een cybersecurityteam in samenwerking met Google en andere partners. Google heeft ook maatregelen genomen om de verspreiding van de malware via de Play Store te stoppen, maar niet-gecertificeerde Android-apparaten blijven kwetsbaar. Gebruikers wordt aangeraden verdachte apparaten te vervangen of van het internet los te koppelen.

Bron

Een cybercrimineel, bekend als "sentap", biedt admin-toegang tot een onbekend industrieel CRM-systeem te koop aan op een ondergronds forum. Deze toegang geeft volledige administratieve rechten, wat aanvallers potentieel de controle zou geven over klantgegevens, serviceverzoeken, financiële transacties en interne communicatie van de getroffen organisatie. Het systeem is nog niet geïdentificeerd, maar het betreft een bedrijf in de industriële sector. De verkoop maakt deel uit van een grotere trend waarin aanvallers aanvallen richten op bedrijfsnetwerken door de verkoop van toegang tot systemen via het darkweb. Dit type aanvallen wordt vaak gebruikt voor vervolgaanvallen zoals datalekken of financiële fraude.

Screenshot

De cybercrimineel JumboJet beweert een zero-day exploit aan te bieden voor TP-Link routers, waarmee hij volledige controle over kwetsbare apparaten kan verkrijgen. Deze exploit maakt gebruik van een kwetsbaarheid in de LuCI-webinterface van de router en stelt aanvallers in staat om willekeurige commando's uit te voeren. Het script kan op verborgen wijze persistent blijven, netwerken scannen voor andere TP-Link routers infecteren, en gebruikersgegevens zoals inloggegevens en wifi-wachtwoorden stelen. De exploit kan ook gebruikt worden voor het creëren van botnets of grootschalige netwerkinterventies. De prijs voor het exploitpakket varieert van $1.000 voor het basisscript tot $2.000 voor een volledige versie met ondersteuning. Dit brengt aanzienlijke risico's voor zowel consumenten als bedrijven, die kwetsbaar zijn voor aanvallen als de routers niet gepatcht worden.

Screenshot

Een dreigingsactor beweert gestolen inloggegevens van gok- en telecomaccounts te verkopen op het darkweb. Deze gegevens zouden afkomstig zijn van verschillende bedrijven en platforms, met name uit de gok- en telecomsector, die door cybercriminelen zijn verzameld. De actor biedt toegang tot de accounts aan voor een onbekend bedrag, wat de mogelijkheid biedt om misbruik te maken van persoonlijke gegevens en financiële middelen van de slachtoffers. Dit soort activiteiten toont wederom de risico’s van het darkweb en benadrukt de noodzaak voor bedrijven en individuen om extra voorzorgsmaatregelen te nemen om hun gegevens te beschermen tegen diefstal en misbruik.

Screenshot

Meer dan 37.000 wereldwijd toegankelijke VMware ESXi-servers, waaronder ruim 900 in Nederland, missen een belangrijke beveiligingsupdate en zijn daardoor kwetsbaar voor aanvallen. De kwetsbaarheid (CVE-2025-22224) maakt het mogelijk voor aanvallers om vanuit een virtual machine toegang te krijgen tot de onderliggende server. Dit kan leiden tot dataverlies, systeemmanipulatie en mogelijk zelfs ransomware-aanvallen.

Broadcom heeft inmiddels updates uitgebracht, maar veel systemen zijn nog niet bijgewerkt. ESXi wordt gebruikt voor virtualisatie en is essentieel in veel IT-omgevingen. Kwetsbaarheden in deze software zijn eerder misbruikt voor cyberspionage en grootschalige aanvallen.

Organisaties wordt dringend geadviseerd om hun systemen te controleren en de updates zo snel mogelijk te installeren. Ongepatchte servers blijven een aantrekkelijk doelwit voor cybercriminelen, wat kan leiden tot ernstige beveiligingsincidenten.

Bron

Een nieuwe aanvalstechniek maakt gebruik van malafide Chrome-extensies die zich voordoen als populaire browserextensies, zoals wachtwoordmanagers, crypto-wallets en bank-apps. Deze "polymorfische" aanvallen stellen cybercriminelen in staat om gevoelige informatie te stelen door de legitieme extensies te imiteren. De aanvaller verstopt een kwaadaardige extensie op de Chrome Web Store, die zich via geavanceerde technieken toegang verschaft tot andere geïnstalleerde extensies. Zodra een doelwit wordt gedetecteerd, verandert de kwaadaardige extensie zijn uiterlijk om de gewilde applicatie, zoals de wachtwoordmanager 1Password, na te maken. Wanneer de gebruiker probeert in te loggen, verschijnt er een valse melding waardoor ze inloggen op een phishingpagina die hun inloggegevens steelt. De extensie keert daarna terug naar zijn oorspronkelijke vorm, waardoor de aanval moeilijker te detecteren is. Er zijn op dit moment nog geen specifieke maatregelen tegen deze aanvallen beschikbaar.

Bron

Cybercriminelen sturen op dit moment phishingberichten waarin ze een 'gratis noodpakket' aanbieden ter waarde van 213,62 euro, zogenaamd uit naam van de overheid. Deze e-mails bevatten vaak een link naar een nepwebsite waar je persoonlijke en bankgegevens worden gestolen. De Fraudehelpdesk meldt een toename van dit soort meldingen, zelfs meer dan in heel 2024. Deze tactiek speelt in op de zorgen van mensen over noodsituaties, zoals de coronamaatregelen en de energietoeslag. Het is belangrijk te weten dat de overheid nooit gratis noodpakketten aanbiedt. Om te controleren of een bericht legitiem is, kun je altijd de afzender en de webadressen controleren. Echte overheidswebsites eindigen op '.nl' en hebben geen verdachte domeinnamen. Let goed op en deel nooit je persoonlijke gegevens via verdachte links.

Bron

Een schadelijk pakket op de Python Package Index (PyPI) met de naam "set-utils" is ontdekt, dat in staat is om Ethereum privé-sleutels te stelen. Het pakket werd meer dan 1.000 keer gedownload sinds de publicatie op 29 januari 2025. Het misleidt gebruikers door zich voor te doen als een populaire Python-tool. Het richt zich vooral op ontwikkelaars van blockchaintoepassingen en projecten die Ethereum-wallets beheren.

Het pakket onderschept privé-sleutels tijdens het aanmaken van wallets, versleutelt deze en stuurt ze via de Polygon-blockchain naar de aanvaller. Omdat blockchaintransacties moeilijk te detecteren zijn door traditionele beveiligingssoftware, blijft de exfiltratie vaak onopgemerkt. Het pakket is inmiddels verwijderd van PyPI, maar gebruikers die het geïnstalleerd hadden, moeten hun Ethereum-wallets snel verplaatsen om diefstal te voorkomen.

Bron

De Akira ransomware-groep heeft een ongebruikelijke aanvalsmethode ontdekt door een onbeveiligde webcam in te zetten om encryptie-aanvallen uit te voeren op een netwerk. Dit gebeurde nadat hun eerdere poging om ransomware te verspreiden via Windows werd geblokkeerd door de Endpoint Detection and Response (EDR) software van het slachtoffer. Na het verkrijgen van toegang tot het netwerk, gebruikten de aanvallers een webcam, die draaide op een Linux-besturingssysteem, om het netwerk te scannen en bestanden via SMB (Server Message Block) te versleutelen. De webcam had geen EDR-agent en was dus niet gedetecteerd door het beveiligingssysteem, waardoor de aanvallers ongestoord hun encryptie konden uitvoeren. Het incident benadrukt dat EDR-oplossingen alleen niet voldoende bescherming bieden, vooral niet tegen kwetsbare IoT-apparaten. Het is belangrijk om dergelijke apparaten goed te monitoren en te isoleren van kritieke systemen.

Bron

Microsoft heeft verschillende GitHub-repositories verwijderd die gebruikt werden voor een grootschalige malvertising-aanval, die bijna één miljoen apparaten wereldwijd trof. De aanval, die in december 2024 werd ontdekt, werkte via illegale streamingwebsites die malvertising-advertenties in video’s invoegden. Deze advertenties leidde slachtoffers naar kwaadaardige GitHub-repositories die malware downloadden. Deze malware verzamelde systeemgegevens en voerde meerdere kwaadaardige payloads uit, waaronder informatie-diefstal software zoals Lumma en Doenerium. Daarnaast werd ook een NetSupport remote access trojan (RAT) ingezet voor verdere controle. Microsoft noemt deze aanval "Storm-0408", die meerdere industrieën en zowel consumenten- als zakelijke apparaten trof. Het bedrijf waarschuwt voor de verscheidenheid aan aanvalsstadia en de spreiding van de malware via platforms zoals GitHub, Dropbox en Discord.

Bron

Het Amerikaanse CISA waarschuwt voor actief misbruik van een ernstige kwetsbaarheid in Edimax IP-camera's, specifiek de IC-7100, die het mogelijk maakt om op afstand code uit te voeren via een os command injection. De kwetsbaarheid, aangeduid als CVE-2025-1316, heeft een score van 9.8 op een schaal van 10 en wordt sinds de herfst van 2024 door Mirai-gebaseerde botnets gebruikt. Hoewel misbruik alleen mogelijk is als de aanvaller geauthenticeerd is, zijn veel camera's toegankelijk via standaard wachtwoorden. Edimax heeft nog geen oplossing of update voor het probleem geboden, en het is onduidelijk of er een oplossing komt. CISA adviseert organisaties die deze camera gebruiken om de apparaten niet vanaf het internet toegankelijk te maken om verdere aanvallen te voorkomen.

Bron

Een dreigingsactor op een darkwebforum beweert toegang te hebben tot interne contacten bij T-Mobile. Deze persoon of groep biedt SIM-swaps aan voor een prijs van $4.500, waarbij zij stellen dat de insiders van T-Mobile cruciale authenticatie-informatie kunnen verstrekken. Het aanbod zou ook de mogelijkheid inhouden om de twee-factor-authenticatie (2FA) te omzeilen. De dreigingsactor zegt dat slechts basisgegevens zoals naam, adres en telefoonnummer nodig zijn om een doelwit te selecteren. Betalingen kunnen via een escrowservice of tussenpersoon worden geregeld. Dit biedt een risico voor de beveiliging van T-Mobile-klanten, aangezien SIM-swaps vaak worden gebruikt voor identiteitsdiefstal en toegang tot gevoelige accounts.

Screenshot

Op 7 maart 2025 is een database met persoonlijke gegevens van 90.000 Belgische burgers te koop aangeboden op een hackersforum. De gestolen informatie bevat onder meer namen, e-mailadressen, telefoonnummers, adressen, rijksregisternummers en geboortedata. De dataset zou afkomstig zijn van een Belgische overheidsinstantie, hoewel de exacte bron nog niet bevestigd is.

De hacker achter deze datalek, bekend als 'Loser', is een cybercrimineel die al sinds juni 2023 actief is en vaker betrokken is bij de verkoop van gestolen gegevens. De aangeboden data is beschikbaar via een darknet-marktplaats en wordt verhandeld met behulp van escrow-services om de anonimiteit van kopers en verkopers te waarborgen.

Dit lek vormt een ernstig risico voor identiteitsfraude en phishingaanvallen. Belgische burgers wordt aangeraden waakzaam te zijn en verdachte activiteiten rondom hun persoonlijke gegevens goed in de gaten te houden.

Screenshot

Op 7 maart 2025 werd een nieuw datalek gemeld op BreachForums, waarin gevoelige betaal- en klantgegevens van Nederlandse gebruikers zijn uitgelekt. De dataset bevat onder andere klant-ID's, ordernummers, betalingsgegevens, IP-adressen en contactinformatie zoals e-mailadressen en telefoonnummers. De gelekte informatie is afkomstig uit een niet nader gespecificeerde bron en wordt aangeboden door een cybercrimineel met de alias "Loser", die bekend staat om aanvallen op financiële instellingen en bedrijven.

Het lek kan ernstige gevolgen hebben voor gedupeerden, waaronder identiteitsfraude en financiële schade. Bedrijven en consumenten wordt geadviseerd om extra alert te zijn op verdachte transacties en phishingpogingen. Het gebruik van tweestapsverificatie en het regelmatig controleren van financiële accounts kan helpen om misbruik te voorkomen. Autoriteiten onderzoeken de omvang en impact van het datalek.

Screenshot

Oplichters misbruiken het advertentiesysteem van Google om nepnieuws en frauduleuze investeringsaanbiedingen te verspreiden. Deze advertenties lijken op berichten van bekende nieuwssites, maar leiden gebruikers naar nagemaakte websites. Daar proberen criminelen slachtoffers te overtuigen om geld te investeren in dubieuze projecten, zoals cryptocurrency.

Hoewel Google beweert strikte controles te hanteren, weten kwaadwillenden deze te omzeilen met technieken zoals "cloaking", waarbij de inhoud van de advertentie verandert afhankelijk van wie deze bekijkt. Meldingen van misleidende advertenties worden door Google vaak afgewezen, omdat ze niet in strijd zouden zijn met het beleid.

Desinformatie-experts waarschuwen dat deze praktijken niet alleen financiële schade veroorzaken, maar ook gebruikt kunnen worden voor propaganda. De Europese Commissie maakt zich zorgen over het probleem en heeft eerder actie ondernomen tegen techbedrijven vanwege misleidende advertenties. Tot nu toe blijft het echter lastig om deze vorm van digitale oplichting effectief te bestrijden.

Bron

De politiezone Sint-Truiden-Gingelom-Nieuwerkerken slaat alarm over een wereldwijd computervirus dat zich richt op beveiligingscamera’s en netwerkvideorecorders. Het virus heeft al 5.000 apparaten geïnfecteerd, waarvan 372 in België. Cybercriminelen maken misbruik van deze besmette apparaten door ze op te nemen in een botnet, waarmee grootschalige cyberaanvallen worden uitgevoerd.

Een groot risico is dat veel eigenaars niet doorhebben dat hun apparaat besmet is, waardoor de malware ongemerkt actief blijft. Hierdoor kunnen criminelen het systeem op afstand besturen en gebruiken voor aanvallen op bijvoorbeeld telecombedrijven en gamingplatformen.

Om besmetting te voorkomen, wordt aangeraden om apparaten regelmatig te updaten, standaardwachtwoorden te wijzigen en het netwerk goed te beveiligen. De politie roept op om waakzaam te zijn en verdachte activiteiten te melden, zodat verdere verspreiding van het virus kan worden beperkt.

Bron

Op een bekend hackersforum is een advertentie geplaatst waarin een cybercrimineel op zoek is naar Booking.com-gebruikers met minimaal niveau 3 e mailtoegang. Dit suggereert dat er mogelijk gevoelige gegevens van gebruikers zijn buitgemaakt en verhandeld. De gegevens kunnen worden misbruikt voor spamcampagnes, phishingaanvallen of andere vormen van cybercriminaliteit. De verkoper, die opereert onder de naam “adamharig” en sinds juni 2024 actief is, biedt deze toegang aan voor een bepaald bedrag. Booking.com is een wereldwijd platform voor reisreserveringen, en een mogelijke datalek kan verstrekkende gevolgen hebben voor zowel gebruikers als het bedrijf zelf. Het is nog onduidelijk hoe de aanvaller aan deze gegevens is gekomen en of Booking.com op de hoogte is van deze situatie. Gebruikers van het platform wordt aangeraden extra waakzaam te zijn, verdachte berichten te negeren en hun accountbeveiliging te versterken.

Cisco meldt dat cybercriminelen actief misbruik maken van kwetsbaarheden in oudere vpn routers die niet langer worden ondersteund. Omdat er geen beveiligingsupdates meer beschikbaar zijn, adviseert het netwerkbedrijf gebruikers om deze apparaten zo snel mogelijk te vervangen.

Een specifiek beveiligingslek stelt aanvallers in staat om met beheerdersrechten kwaadaardige code uit te voeren. Zelfs zonder beheerdersgegevens kunnen aanvallers de kwetsbaarheid combineren met andere lekken om toegang te krijgen. De getroffen modellen bevatten meerdere zwakke plekken, wat het risico op aanvallen vergroot.

Cisco waarschuwde al in 2023 voor deze problemen en bevestigt nu dat de kwetsbaarheden actief worden misbruikt. Ook de Amerikaanse overheid heeft eerder aandacht gevraagd voor deze dreiging. Cisco herhaalt daarom de oproep om over te stappen op moderne, goed beveiligde routers die wél updates ontvangen.

Bron

Cybercriminelen maken op grote schaal misbruik van een kritiek beveiligingslek in de Windowsversies van PHP. Het gaat om de kwetsbaarheid CVE-2024-4577, die aanvallers in staat stelt om willekeurige code uit te voeren op servers waar PHP in CGI mode draait en de Chinese of Japanse taal is ingesteld. Ook andere Windows systemen kunnen mogelijk risico lopen.

De impact van het lek wordt als zeer ernstig beoordeeld met een score van 9.8 op een schaal van 10. Na het verschijnen van een beveiligingsupdate werd de kwetsbaarheid snel actief misbruikt, onder andere voor ransomware aanvallen. Aanvallers richten zich vooral op organisaties in Japan, maar ook bedrijven in andere landen zoals Singapore, het Verenigd Koninkrijk en India zijn doelwit. Organisaties die PHP op Windows gebruiken wordt aangeraden hun systemen te updaten en te controleren op sporen van aanvallen.

Bron

Securitybedrijf Tarlogic meldde aanvankelijk dat de ESP32-microchip een backdoor bevatte, maar heeft deze claim later bijgesteld. In plaats van een backdoor gaat het om een verborgen functie die het mogelijk maakt om het geheugen van de chip te lezen en te wijzigen. De ESP32 wordt wereldwijd gebruikt voor bluetooth- en wifi-functionaliteit in IoT-apparaten.

Volgens onderzoekers bevat de chip niet-gepubliceerde commando's waarmee aanvallers apparaten kunnen manipuleren en infecteren. Dit beveiligingslek, geregistreerd als CVE-2025-27840, kan alleen worden misbruikt als een aanvaller fysieke toegang tot het apparaat heeft. Tarlogic benadrukt dat het juister is om te spreken van een ‘hidden feature’ in plaats van een backdoor en belooft binnenkort meer technische details te publiceren.

Bron

Cybercriminelen maken actief misbruik van kritieke path traversal-kwetsbaarheden in Ivanti Endpoint Manager (EPM). Dit stelt hen in staat om op afstand gevoelige informatie van organisaties en bedrijven te stelen. De Amerikaanse cybersecuritydienst CISA waarschuwt voor deze dreiging en dringt aan op snelle actie.

Ivanti Endpoint Manager wordt gebruikt voor het beheer van laptops, smartphones en servers binnen bedrijven en overheidsinstellingen. De kwetsbaarheden, geïdentificeerd als CVE-2024-13159, CVE-2024-13160 en CVE-2024-13161, hebben een ernstscore van 9.8 op een schaal van 10. Path traversal stelt aanvallers in staat om ongeautoriseerde toegang te krijgen tot bestanden en directories.

Hoewel er sinds 13 januari updates beschikbaar zijn om deze beveiligingslekken te dichten, worden ze nog steeds actief uitgebuit. Amerikaanse overheidsinstanties die EPM gebruiken, zijn verplicht om de patches uiterlijk 31 maart te installeren. Het blijft cruciaal voor alle organisaties om hun systemen up-to-date te houden.

Bron

Twee bedrijven uit Cyprus hebben via misleidende Microsoft pop-ups ruim 736.000 mensen opgelicht. De pop-ups deden zich voor als waarschuwingen van Microsoft en lieten gebruikers geloven dat hun computer besmet was. Vervolgens werd een ‘scan’ uitgevoerd, waarna slachtoffers werd geadviseerd om dure software aan te schaffen om de vermeende problemen op te lossen.

Na aankoop ontvingen slachtoffers een telefoonnummer voor activatie, maar hier probeerden telemarketeers hen extra ‘diensten’ te verkopen. Ze beweerden dat normale computerfouten tekenen waren van ernstige malware en boden peperdure hulp aan.

De Amerikaanse toezichthouder FTC stelde dat de slachtoffers voor tientallen miljoenen dollars waren opgelicht. De bedrijven zijn uiteindelijk een schikking aangegaan en hebben 26 miljoen dollar betaald. Hiervan wordt 25,5 miljoen dollar teruggegeven aan de gedupeerden, wat neerkomt op gemiddeld 35 dollar per slachtoffer.

Bron

Logius, de beheerder van DigiD, waarschuwt voor malafide brieven die zich voordoen als officiële communicatie. In deze brieven wordt de ontvanger gevraagd om zijn DigiD opnieuw te activeren via een link naar een verdachte website. Het lijkt een poging van cybercriminelen om persoonlijke gegevens te verkrijgen. Logius heeft aangegeven snel actie te hebben ondernomen om de betreffende website offline te halen, dankzij meldingen van waakzame burgers. In 2023 werden bijna zevenduizend DigiD-accounts ingetrokken wegens mogelijk misbruik, waaronder accounts die via malware op de illegale marktplaats Genesis Market waren gecompromitteerd. Logius blijft actief websites monitoren en verwijderen die gevaar kunnen vormen voor gebruikers.

Bron

Een nieuw ontdekte malwarecampagne genaamd MassJacker maakt gebruik van meer dan 778.000 cryptowallet-adressen om digitale activa te stelen van geïnfecteerde computers. De malware werkt met een zogenaamde "clipboard hijacker" die de inhoud van het klembord monitort en gekopieerde cryptowallet-adressen vervangt door een adres dat door de aanvallers wordt beheerd. Hierdoor sturen slachtoffers onbedoeld hun crypto naar criminelen in plaats van naar de bedoelde ontvanger.

De verspreiding van MassJacker gebeurt via websites die illegale software aanbieden. Zodra een gebruiker besmet raakt, worden verschillende schadelijke bestanden geladen en geïnjecteerd in legitieme Windows-processen om detectie te voorkomen. Onderzoek toont aan dat één centrale Solana-wallet al meer dan 300.000 dollar aan gestolen tegoeden heeft verzameld.

Experts vermoeden dat MassJacker onderdeel is van een grotere cybercriminele operatie en roepen op tot verder onderzoek naar dergelijke klembordmalware, omdat deze vaak onder de radar blijft maar aanzienlijke financiële schade kan veroorzaken.

Bron

De beruchte Noord-Koreaanse hackersgroep Lazarus heeft via het npm-platform zes schadelijke softwarepakketten verspreid. Deze pakketten, die al 330 keer zijn gedownload, zijn ontworpen om inloggegevens te stelen, achterdeurtjes te installeren en gevoelige cryptogegevens buit te maken. De aanval werd ontdekt door het Socket Research Team en vertoont overeenkomsten met eerdere supply chain-aanvallen van Lazarus.

De hackers gebruiken typosquatting-technieken om hun malware te vermommen als legitieme softwarebibliotheken. Ontwikkelaars die per ongeluk een van deze pakketten installeren, kunnen onbewust hun systemen blootstellen aan spionage en diefstal. De kwaadaardige code verzamelt onder andere wachtwoorden, cookies en gegevens uit cryptocurrency-wallets. Daarnaast worden de BeaverTail-malware en de InvisibleFerret-backdoor ingezet om langdurige toegang tot geïnfecteerde systemen te behouden.

De kwaadaardige pakketten zijn nog steeds beschikbaar, waardoor de dreiging actief blijft. Ontwikkelaars wordt aangeraden hun softwarebronnen zorgvuldig te controleren en verdachte code te vermijden.

Bron

Microsoft heeft een nieuwe variant ontdekt van de XCSSET-malware, die gericht is op het infecteren van Xcode-projecten op macOS. Deze malware maakt gebruik van verbeterde technieken voor obfuscatie, persistentie en infectie, waardoor het moeilijker te detecteren is. XCSSET verspreidt zich via Xcode, een veelgebruikte ontwikkelomgeving voor macOS-apps, en richt zich vooral op softwareontwikkelaars die met deze projecten werken. De nieuwe versie van de malware gebruikt een modulaire opzet en maakt gebruik van coderingstechnieken zoals Base64 om zijn payloads te verbergen. Dit verhoogt de moeilijkheidsgraad voor het detecteren en verwijderen van de malware. Daarnaast heeft de malware drie nieuwe methoden geïntroduceerd voor persistentie, waaronder infectie via Git-commits en het plaatsen van payloads in Xcode-projecten. De malware is in staat om gevoelige informatie zoals digitale portemonnees en notities te stelen. Microsoft heeft deze bevindingen gedeeld met Apple om gebruikers beter te beschermen tegen deze dreiging.

Bron

De FBI waarschuwt voor malafide online file converters die malware verspreiden. Deze converters, waarmee gebruikers bestanden zoals .doc naar .pdf kunnen omzetten, worden door cybercriminelen misbruikt om schadelijke software te verspreiden. In plaats van het gewenste bestand krijgen slachtoffers ongemerkt malware binnen, die gevoelige informatie zoals wachtwoorden en cryptowalletgegevens kan stelen.

Daarnaast zijn er tools in omloop die beweren bestanden veilig te converteren, maar in werkelijkheid bedoeld zijn om gebruikersdata te onderscheppen. De FBI ziet een toename van dit soort aanvallen en roept slachtoffers op om melding te maken. Ook adviseert de opsporingsdienst om geïnfecteerde apparaten te laten controleren door professionals.

Gebruikers wordt aangeraden om voorzichtig te zijn met online converters en alternatieven te overwegen, zoals de ingebouwde conversiemogelijkheden van tekstverwerkers. Het bewust omgaan met digitale tools kan helpen om cybercriminaliteit te voorkomen.

Bron

Onderzoekers van het beveiligingsbedrijf Lookout hebben spyware ontdekt in de Google Play Store, die in staat is om gevoelige informatie van besmette telefoons te stelen. De spyware, ontwikkeld door de Noord-Koreaanse APT-groep APT37 (ook bekend als ScarCruft), kan foto's maken, audio opnemen en gegevens verzamelen zoals sms-berichten, gesprekslogs, locatie-informatie en bestandsoverdrachten. De apps, die zich voordeden als File Manager, Phone Manager en beveiligingsapplicaties, waren gericht op zowel Koreaanse als Engelstalige gebruikers. De spyware werd ook verspreid via de alternatieve appstore Apkpure. Hoewel de schadelijke apps inmiddels zijn verwijderd uit de Google Play Store en door Google's Play Protect automatisch van besmette apparaten worden verwijderd, was de malware waarschijnlijk specifiek gericht op bepaalde doelwitten.

Bron

Microsoft heeft gisteren een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Windowskernel (CVE-2025-24983), die al sinds maart 2023 wordt misbruikt bij cyberaanvallen. Via dit lek kan een aanvaller met beperkte toegang tot het systeem, zoals een gewone gebruiker, SYSTEM-rechten verkrijgen en het systeem volledig overnemen. Dit biedt de aanvaller de mogelijkheid om beveiligingssoftware uit te schakelen en verdere schade aan te richten. De kwetsbaarheid heeft een impactscore van 7.0 op een schaal van 1 tot 10, wat aangeeft dat het risico aanzienlijk is, vooral omdat de aanvaller al toegang moet hebben. ESET, dat de kwetsbaarheid ontdekte, waarschuwde Microsoft, maar het is onduidelijk wanneer precies deze melding werd gedaan. De beveiligingsupdate van Microsoft is nu beschikbaar om de dreiging te verhelpen.

Bron

Onderzoekers hebben ontdekt dat Juniper MX-routers kwetsbaar zijn voor backdoors die de logging uitschakelen zodra een aanvaller inlogt. Dit voorkomt dat de acties van de aanvaller worden geregistreerd, waardoor detectie wordt bemoeilijkt. De logging wordt pas weer ingeschakeld wanneer de aanvaller uitlogt. Het securitybedrijf Mandiant ontdekte zes verschillende backdoors op de gecompromitteerde routers, die root-toegang hadden gekregen. De aanvallen zijn vermoedelijk uitgevoerd door een aan China gelieerde groep, UNC3886. Deze vorm van aanvallen op routers is een opkomende trend onder spionagegroepen, omdat het langdurige toegang biedt tot belangrijke netwerkinfrastructuren. Mandiant adviseert organisaties om verouderde apparatuur te vervangen om zich tegen dergelijke aanvallen te beschermen.

Bron

Hotels en andere accommodaties worden getroffen door een grootschalige phishingaanval die lijkt te zijn verzonden door Booking.com. Cybercriminelen sturen valse e-mails waarin ze hotelmedewerkers misleiden met berichten over negatieve recensies of accountverificatie. In de e-mails staan links naar nagemaakte Booking.com-pagina’s, waar slachtoffers een ‘captcha’ moeten oplossen. In werkelijkheid activeert dit een PowerShell-commando dat schadelijke software op het systeem installeert.

Deze malware is ontworpen om inloggegevens en wachtwoorden te stelen. Aanvallers gebruiken de verkregen informatie om toegang te krijgen tot Booking.com-accounts van hotels en sturen vervolgens phishingberichten naar hotelgasten, waarbij ze proberen creditcardgegevens te bemachtigen.

Beveiligingsexperts adviseren hotels om verdachte e-mails kritisch te beoordelen, het afzenderadres te controleren en geen onbekende links te openen. Ook wordt aangeraden om direct contact op te nemen met Booking.com bij twijfel over de echtheid van een bericht.

Bron

Een nieuwe ransomware-operateur genaamd 'Mora_001' maakt gebruik van twee Fortinet-kwetsbaarheden om ongeautoriseerde toegang te verkrijgen tot firewall-apparaten en een aangepaste ransomware-stam, SuperBlack, te verspreiden. De kwetsbaarheden, CVE-2024-55591 en CVE-2025-24472, zijn beide gerelateerd aan authenticatieproblemen en werden respectievelijk in januari en februari 2025 door Fortinet gepatched. Mora_001 volgt een gestructureerde aanvalsketen waarbij eerst beheerdersrechten worden verkregen via WebSocket-gebaseerde aanvallen, waarna nieuwe administratoraccounts worden aangemaakt en gegevens worden gestolen. Na encryptie van de bestanden volgt een afpersingsbericht en wordt een speciaal wiperprogramma ingezet om sporen van de ransomware te wissen. Er zijn sterke aanwijzingen dat de SuperBlack-ransomware verband houdt met de LockBit-ransomware-groep, hoewel Mora_001 onafhankelijk opereert.

Bron

Amazon Web Services (AWS) heeft nog geen stappen ondernomen tegen drie stalkerware-apps, namelijk Cocospy, Spyic en Spyzie, die data uploaden naar zijn servers. Deze apps maken het mogelijk om smartphones op afstand te volgen. Ondanks een melding van een securityonderzoeker in februari, die wees op een kwetsbaarheid in de apps en de opslag van gegevens van zo'n 3,1 miljoen mensen, heeft AWS tot nu toe geen actie ondernomen. De apps gebruiken dezelfde servers, maar Amazon heeft geen updates gegeven over maatregelen tegen de data-opslag door deze apps. AWS benadrukt dat klanten hun diensten moeten gebruiken volgens de geldende wetgeving en biedt een meldformulier aan voor misbruik, maar blijft vooralsnog inactief wat betreft de betrokken apps.

Bron

Op 9 maart vond een reeks grootschalige server-side request forgery (SRRF)-aanvallen plaats, gericht op diverse organisaties wereldwijd. Aanvallers gebruikten kwetsbaarheden in Grafana om vooraf netwerken in kaart te brengen en waardevolle doelwitten te identificeren. Producten van onder andere BerriAI, GitLab, VMware en Zimbra werden aangevallen, waarbij minstens 400 IP-adressen betrokken waren.

Beveiligingsonderzoekers zagen een duidelijke piek in SRRF-aanvallen en vermoeden dat deze gecoördineerd waren. Organisaties in onder meer Duitsland, de VS, Singapore en Nederland werden getroffen. De specifieke Nederlandse doelwitten zijn nog onbekend.

Volgens experts is het belangrijk om netwerken te monitoren op verdachte activiteiten die kunnen wijzen op verkenningsoperaties. Dit biedt organisaties de kans om aanvallen vroegtijdig te detecteren en tegenmaatregelen te nemen. Het updaten van kwetsbare systemen en het beperken van ongeautoriseerde toegang worden sterk aangeraden om dergelijke cyberdreigingen te verminderen.

Bron

Onderzoekers van Tenable hebben aangetoond dat het Chinese AI-model DeepSeek in staat is om een keylogger te schrijven, ondanks ingebouwde beveiligingen die dit normaal gesproken verhinderen. Door slimme trucjes, zoals beweren dat de code enkel voor educatieve doeleinden was, wisten zij het model toch malware te laten genereren.

Hoewel DeepSeek succesvol een keylogger schreef, zat de code vol fouten die het model zelf niet kon corrigeren. Handmatige aanpassingen waren nodig om de malware functioneel te maken. Dit experiment onderstreept de risico’s van kunstmatige intelligentie bij cybercriminaliteit, aangezien kwaadwillenden met relatief eenvoudige technieken de beperkingen van AI-systemen kunnen omzeilen.

Dit onderzoek past binnen een bredere trend waarbij AI-modellen steeds vaker worden misbruikt voor malafide doeleinden. Eerder werd al bekend dat accounts uit China en Noord-Korea toegang tot bepaalde AI-diensten verloren vanwege verdachte activiteiten.

Bron

Een nieuwe malwarecampagne, genaamd “ClickFix,” misbruikt valse CAPTCHA-tests om Windows-gebruikers te infecteren met wachtwoordstelende malware. Slachtoffers worden op misleidende websites gevraagd om toetsencombinaties in te drukken om hun menselijkheid te bewijzen. In werkelijkheid voeren deze acties kwaadaardige code uit op hun computer.

De aanval begint met een pop-up waarin gebruikers worden gevraagd de toetsencombinatie Windows + R in te drukken, waardoor het "Uitvoeren"-venster wordt geopend. Vervolgens wordt hen opgedragen CTRL + V te gebruiken om kwaadaardige code te plakken en tenslotte op Enter te drukken om de code uit te voeren. Hierdoor wordt malware zoals XWorm, Lumma Stealer en diverse Remote Access Trojans (RAT’s) geïnstalleerd.

Deze techniek wordt momenteel ingezet tegen medewerkers in de hotel- en gezondheidszorgsector. Gebruikers wordt aangeraden om waakzaam te zijn en IT-beheerders kunnen groepsbeleid instellen om deze aanval te blokkeren.

Bron

De ransomwaregroep Black Basta heeft een geautomatiseerd hulpmiddel ontwikkeld, genaamd BRUTED, waarmee ze brute-force aanvallen uitvoeren op VPN’s en firewalls. Dit stelt hen in staat om sneller en op grotere schaal netwerken binnen te dringen en ransomware te verspreiden. De tool werd ontdekt via gelekte interne chatlogs van de groep.

BRUTED is specifiek ontworpen om inloggegevens te kraken van veelgebruikte VPN- en remote-access systemen, waaronder Cisco AnyConnect, Fortinet SSL VPN en Citrix NetScaler. Het werkt door publiek toegankelijke netwerkapparaten te identificeren, wachtwoordcombinaties te genereren en massaal inlogpogingen te doen. De aanvallen worden verborgen via een netwerk van proxyservers.

Om dergelijke aanvallen te voorkomen, wordt aanbevolen sterke, unieke wachtwoorden te gebruiken en multi-factor authenticatie (MFA) in te schakelen. Daarnaast is het belangrijk om verdachte inlogpogingen te monitoren en netwerkapparaten up-to-date te houden met de nieuwste beveiligingsupdates.

Bron

Cybercriminelen voeren een grootschalige phishingaanval uit op Coinbase-gebruikers door zich voor te doen als het platform zelf. Slachtoffers ontvangen een e-mail waarin wordt beweerd dat Coinbase overstapt naar zelfbeheerde wallets en dat ze hun tegoeden moeten migreren. De e-mail bevat een vooraf gegenereerde herstelzin die gebruikers moeten invoeren in de officiële Coinbase Wallet-app. In werkelijkheid wordt hiermee een wallet gecreëerd die al volledig onder controle staat van de aanvallers.

Deze aanval is bijzonder geraffineerd omdat de phishingmail geen verdachte links bevat en de verwijzingen naar Coinbase legitiem lijken. Bovendien slaagt de e-mail erin om beveiligingscontroles zoals SPF, DMARC en DKIM te omzeilen, waardoor hij minder snel als verdacht wordt gemarkeerd. Coinbase waarschuwt gebruikers om nooit een herstelzin te gebruiken die hen wordt toegestuurd. Wie hier toch intrapt en nog toegang heeft tot de wallet, wordt aangeraden zijn fondsen zo snel mogelijk veilig te stellen.

Bron

Cybercriminelen gebruiken valse Microsoft OAuth-apps die zich voordoen als Adobe en DocuSign om malware te verspreiden en inloggegevens van Microsoft 365-gebruikers te stelen. Onderzoekers ontdekten gerichte phishingcampagnes waarbij de aanvallers via gehackte e-mailaccounts van kleine bedrijven en non-profitorganisaties slachtoffers benaderen. De apps vragen beperkte rechten zoals profiel- en e-mailgegevens, wat verdachte activiteiten verhult.

Wanneer gebruikers toestemming geven, krijgen criminelen toegang tot persoonlijke gegevens en worden ze doorgestuurd naar phishingpagina's of malware-downloads. Binnen een minuut na autorisatie detecteerden onderzoekers verdachte inlogpogingen. Het exacte type verspreide malware is onduidelijk, maar de aanvalsmethode lijkt op eerdere campagnes waarbij OAuth-apps worden misbruikt om accounts over te nemen zonder direct wachtwoorden te stelen.

Gebruikers wordt geadviseerd om OAuth-machtigingen zorgvuldig te controleren en onherkende apps onmiddellijk in te trekken. Beheerders kunnen het toestaan van externe apps beperken om het risico te verkleinen.

Bron

Een recente phishingaanval heeft bijna 12.000 GitHub-repositories getroffen met valse "Security Alert"-meldingen. Ontwikkelaars worden misleid om een kwaadaardige OAuth-app genaamd "gitsecurityapp" te autoriseren, waardoor aanvallers volledige toegang krijgen tot hun accounts en code. De nepmeldingen waarschuwen voor verdachte inlogpogingen vanuit IJsland en adviseren gebruikers om hun wachtwoord te wijzigen en extra beveiligingsmaatregelen te nemen.

In werkelijkheid leiden de links in deze meldingen naar een autorisatiepagina die de hackers uitgebreide rechten geeft, waaronder toegang tot privé-repositories en de mogelijkheid om deze te verwijderen. GitHub neemt maatregelen om de aanval te beperken, maar gebruikers die de kwaadaardige app hebben geautoriseerd, wordt aangeraden de toegang onmiddellijk in te trekken, verdachte workflows te controleren en hun inloggegevens te wijzigen.

Dit incident benadrukt het belang van waakzaamheid bij beveiligingswaarschuwingen en het controleren van geautoriseerde apps binnen GitHub.

Bron

Op BreachForums werd een datalek gepost waarin gegevens van Virgin Groep werden gedeeld. Het betrof een zogenaamde "Combolist" die mogelijk gebruik maakt van inloggegevens van klanten uit België. Het datalek werd gepost door de cybercriminele groep IMROG, die bekend staat om cyberespionage, met een focus op overheids- en militaire organisaties. IMROG is vermoedelijk een staatssponsorgroep die sinds 2018 actief is. Virgin Groep is een Britse multinational die actief is in verschillende sectoren, waaronder reizen, telecommunicatie en gezondheidszorg. Het lek bevatte mogelijk vertrouwelijke gegevens die voor kwaadaardige doeleinden gebruikt kunnen worden.

Een ernstige kwetsbaarheid voor remote code execution (RCE) in Apache Tomcat, aangeduid als CVE-2025-24813, wordt momenteel actief uitgebuit door cybercriminelen. Deze kwetsbaarheid stelt aanvallers in staat om servers over te nemen via een eenvoudige PUT-aanvraag. Hackers maken gebruik van openbaar gedeelde exploits op platforms zoals GitHub, en de aanvallen zijn moeilijk te detecteren omdat de kwaadaardige code gecodeerd is met base64. De kwetsbaarheid is aanwezig wanneer Tomcat een onvolledige PUT-aanvraag accepteert en sessiegegevens opslaat in een bestandssysteem, wat het mogelijk maakt om op afstand Java-code uit te voeren. Deze aanval vereist geen authenticatie en kan eenvoudig worden uitgevoerd, mits Tomcat bepaalde configuraties heeft. Apache adviseert gebruikers om te upgraden naar de nieuwste versies van Tomcat of de kwetsbaarheid te mitigeren door specifieke configuraties aan te passen.

Bron

Cryptobeurs OKX heeft besloten zijn DEX-aggregator tijdelijk op te schorten om extra beveiligingsmaatregelen door te voeren. Dit besluit kwam nadat bekend werd dat de Noord-Koreaanse hackersgroep Lazarus probeerde via deze dienst gestolen cryptovaluta wit te wassen. De groep, berucht om eerdere aanvallen, zou geprobeerd hebben om 100 miljoen dollar te verplaatsen van de recent gehackte beurs Bybit.

OKX stelt dat het verdachte transacties heeft gedetecteerd en onmiddellijk actie heeft ondernomen door tegoeden te bevriezen en de DEX-aggregator stil te leggen. Het platform werkt aan verbeterde detectie- en blokkadesystemen om toekomstige misbruikpogingen te voorkomen. Daarnaast zegt OKX samen te werken met blockchain-analysetools om verdachte adressen in real-time te identificeren en te blokkeren.

Met deze maatregelen hoopt OKX de veiligheid van zijn gebruikers te waarborgen en verdere criminele activiteiten op zijn platform te verhinderen. Het blijft afwachten of Lazarus zich zal verplaatsen naar andere, minder streng gecontroleerde exchanges.

Bron

Microsoft heeft een nieuwe remote access trojan (RAT) ontdekt, genaamd StilachiRAT, die geavanceerde technieken gebruikt om detectie te omzeilen, langdurig actief te blijven en gevoelige gegevens te stelen. De malware richt zich op cryptowallets en inloggegevens door informatie uit browsers, klemborden en systeeminstellingen te halen.

StilachiRAT heeft uitgebreide spionagefuncties, zoals het verzamelen van systeeminformatie, het volgen van actieve vensters en het controleren van Remote Desktop Protocol (RDP)-sessies. Daarnaast kan de malware privileges overnemen en zich opnieuw installeren als deze wordt verwijderd.

De trojan kan commando's uitvoeren vanaf een command-and-control-server, waarmee aanvallers systemen kunnen herstarten, logs wissen en applicaties manipuleren. Microsoft raadt aan om alleen software van officiële bronnen te downloaden en beveiligingsmaatregelen te nemen om besmetting te voorkomen.

Bron

Later meer hierover in een artikel op ccinfo

Een cybercriminele verkoper, bekend als EncryptHub, biedt een 1-day Remote Code Execution (RCE) exploit aan die naar verluidt een kwetsbaarheid in Microsoft Windows misbruikt. De exploit, gelinkt aan CVE-2025-26633, treft de Windows Management Console en kan aanvallers in staat stellen om willekeurige code uit te voeren op een geïnfecteerd systeem. Dit maakt het mogelijk om volledige controle over een computer te krijgen zonder dat de gebruiker hier iets van merkt.

De exploit wordt voor $10.000 aangeboden en de verkoper biedt een escrow-service aan om transacties veilig te laten verlopen. Dit soort kwetsbaarheden zijn bijzonder zorgwekkend omdat ze vaak worden misbruikt door cybercriminelen en statelijke actoren voordat fabrikanten een patch kunnen uitbrengen. Gebruikers wordt aangeraden om updates nauwgezet te volgen en extra beveiligingsmaatregelen te treffen om hun systemen te beschermen tegen dit soort bedreigingen.

Screenshot

ClickFix-aanvallen, ook bekend als ClearFix-aanvallen, winnen snel aan populariteit onder cybercriminelen en zelfs staatsgesponsorde hackers. Deze aanvalsmethode maakt gebruik van social engineering om slachtoffers te verleiden tot het uitvoeren van PowerShell-commando’s op hun systeem. Vaak worden ze misleid via valse reCAPTCHA-pagina’s of schadelijke clipboardmanipulatie.

Sinds de eerste waarneming in oktober 2023 is de techniek in opmars, vooral sinds eind 2024. Een bekend voorbeeld is de SMOKESABER-aanval in augustus 2024, waarbij slachtoffers via nep-reCAPTCHA’s ongemerkt malware installeerden. De Lumma C2-infostealer werd zo op systemen geplaatst.

Aanvallers gebruiken verschillende methoden om ClickFix-aanvallen uit te voeren, zoals spearphishing, malafide advertenties en gecompromitteerde websites. Ook social media en neppe inlogpagina’s worden ingezet. De snelle toename van deze aanvallen benadrukt het belang van bewustwording en beveiligingsmaatregelen om systemen en gegevens te beschermen tegen deze dreiging.

Bron

Cybercriminelen maken steeds vaker gebruik van AI-agents om gebruikersaccounts over te nemen. Onderzoek voorspelt dat deze technologie aanvallen met gestolen inloggegevens tot 50% sneller kan laten verlopen. Door geautomatiseerd grote aantallen inlogpogingen te doen, hopen aanvallers op hergebruikte wachtwoorden te stuiten en zo toegang te krijgen tot accounts.

AI wordt daarnaast ingezet voor social engineering, zoals deepfake-audio en -video, om werknemers te misleiden. Experts waarschuwen dat deze technieken in de komende jaren een steeds grotere dreiging zullen vormen, vooral voor managers en bedrijven. Ondanks dat deepfake-aanvallen nu nog relatief zeldzaam zijn, hebben ze al voor aanzienlijke financiële schade gezorgd.

Om zich hiertegen te wapenen, wordt aangeraden over te stappen op wachtwoordloze meerfactorauthenticatie. Waar mogelijk is het gebruik van multidevice passkeys de veiligste keuze. Bedrijven en individuen moeten zich bewust zijn van deze geavanceerde dreigingen en hun beveiliging hierop aanpassen.

Bron

Een kritieke kwetsbaarheid in Windows, bekend als ZDI-CAN-25373, wordt al sinds 2017 actief misbruikt door ten minste elf door staten gesteunde hackersgroepen uit Noord-Korea, Iran, Rusland en China. Deze kwetsbaarheid maakt het mogelijk om via schadelijke .lnk-bestanden ongemerkt kwaadaardige code uit te voeren op Windows-systemen. Onder de aanvallers bevinden zich bekende groeperingen zoals Evil Corp en Mustang Panda, die de zwakke plek inzetten voor spionage en datadiefstal.

Hoewel beveiligingsonderzoekers Microsoft al op de dreiging hebben gewezen, heeft het bedrijf tot nu toe geweigerd een patch uit te brengen, omdat het de kwetsbaarheid niet als kritiek genoeg beschouwt. Hierdoor blijven Windows-gebruikers wereldwijd blootgesteld aan cyberaanvallen. In bijna 70% van de waargenomen gevallen ging het om spionage en informatie-exfiltratie, terwijl slechts 20% gericht was op financieel gewin. Experts waarschuwen voor de geavanceerde aanvalsmethoden en dringen aan op extra beveiligingsmaatregelen.

Bron

Meer dan 300 schadelijke Android-apps zijn via Google Play gedownload en hebben samen 60 miljoen installaties bereikt. Deze apps, bekend onder de naam "Vapor", fungeerden als adware of probeerden inloggegevens en creditcardinformatie te stelen. Onderzoekers ontdekten dat de apps na installatie kwaadaardige functies ontvingen via updates, waardoor ze Googles beveiligingscontroles omzeilden.

De apps boden schijnbaar nuttige functies zoals fitness-trackers en QR-code scanners, maar verborgen hun aanwezigheid door zichzelf onzichtbaar te maken in het app-overzicht. Sommige versies vertoonden misleidende inlogschermen om gebruikersgegevens te stelen. Hoewel Google de apps inmiddels heeft verwijderd, blijft het risico bestaan dat de cybercriminelen terugkeren met nieuwe versies.

Gebruikers wordt aangeraden voorzichtig te zijn met onbekende apps, app-machtigingen kritisch te bekijken en verdachte apps direct te verwijderen. Een volledige systeemscan met Google Play Protect of een betrouwbare antivirus-app wordt sterk aanbevolen.

Bron

Een recente aanval op GitHub Actions heeft geleid tot een kettingreactie in de softwareketen, waarbij CI/CD-geheimen van duizenden repositories zijn gelekt. De aanval begon met de compromittering van de "reviewdog/action-setup@v1" GitHub Action, wat uiteindelijk leidde tot de aantasting van "tj-actions/changed-files". Hierdoor konden gevoelige gegevens zoals toegangstokens in workflowlogs worden opgeslagen en mogelijk openbaar worden.

Onderzoekers vermoeden dat aanvallers een GitHub Personal Access Token (PAT) hebben buitgemaakt en via geïnjecteerde code CI/CD-geheimen hebben verzameld. Door het gebruik van een geïnfecteerde GitHub Action konden zij verdere aanvallen uitvoeren. Hoewel de getroffen actie inmiddels is hersteld, blijft het risico bestaan dat andere gerelateerde acties ook zijn gecompromitteerd.

Experts adviseren ontwikkelaars om hun repositories te controleren, getroffen acties te verwijderen, alle geheime sleutels te roteren en beveiligingsmaatregelen zoals het vastzetten van versies aan specifieke commit-hashes toe te passen.

Bron

Kwaadwillenden maken op grote schaal gebruik van bekende kwetsbaarheden in het Now Platform van ServiceNow. Het gaat om drie ernstige kwetsbaarheden (CVE-2024-4879, CVE-2024-5217 en CVE-2024-5178), die al gepatcht zijn, maar waar nog veel systemen niet mee zijn bijgewerkt. De aanvallers richten zich vooral op systemen die de laatste beveiligingsupdates niet hebben geïnstalleerd. Twee van de kwetsbaarheden stellen aanvallers in staat om op afstand code uit te voeren, terwijl de derde, met minder risico, toegang tot gevoelige bestanden kan geven bij beheerderstoegang. Er wordt een verhoogd aantal aanvallen gemeld in Israël, waar 70% van de getroffen systemen zich bevindt. Organisaties worden aangespoord om snel de laatste updates te installeren om schade te voorkomen.

Bron

De onlangs ontdekte Arcane malware richt zich op gebruikers van YouTube en Discord door middel van game cheats en piratenbestanden. Deze infostealer steelt een breed scala aan gegevens, waaronder VPN-inloggegevens, informatie uit gaming-clients, berichtenapps en gegevens opgeslagen in webbrowsers. Arcane wordt verspreid via video's die game hacks en cracks promoten, waarbij gebruikers worden misleid om een wachtwoordbeveiligd archief te downloaden. Het malwareprogramma verzamelt gegevens zoals systeeminformatie, inloggegevens voor VPN-diensten (zoals NordVPN en ExpressVPN), berichtenapps (zoals Discord en Telegram), e-mailclients en zelfs cryptocurrency wallets. Het kan ook screenshots maken en opgeslagen wifi-wachtwoorden stelen. Dit type aanval kan leiden tot ernstige schade, zoals financiële fraude en identiteitsdiefstal, en het herstellen van een infectie is tijdrovend. Gebruikers wordt aangeraden om altijd voorzichtig te zijn met het downloaden van onbetrouwbare software, zoals cheats en cracks.

Bron

Sinds 2016 is de malwarecampagne 'DollyWay' actief, waarbij wereldwijd meer dan 20.000 WordPress-websites zijn gecompromitteerd om gebruikers naar schadelijke sites door te sturen. De campagne is in de loop der jaren geëvolueerd en maakt gebruik van geavanceerde strategieën voor ontwijking, herinfectie en monetisatie. De laatste versie van DollyWay (v3) richt zich op kwetsbare WordPress-sites door middel van zogenaamde 'n-day' kwetsbaarheden in plugins en thema's. De malware genereert maandelijks miljoenen frauduleuze impressies door bezoekers naar nepsites voor dating, gokken, crypto en loterijen te leiden. DollyWay zorgt voor auto-herinfectie bij elke paginalaad, waardoor het moeilijk te verwijderen is. De cybercriminelen verdienen geld via affiliate-netwerken zoals VexTrio en LosPollos. Het malwaregebruik is zo verfijnd dat het alleen werkt wanneer gebruikers actief interactie hebben met een pagina, waardoor passieve scanmethoden moeilijk detecteren zijn.

Bron

SpyX, een bedrijf dat spyware aanbiedt voor ouderlijk toezicht, is getroffen door een datalek waarbij gegevens van bijna twee miljoen accounts zijn blootgesteld. De gelekte informatie bevat onder andere e-mailadressen, wachtwoorden, apparaatinformatie, geografische locaties en IP-adressen. De gegevens werden opgeslagen in platte tekst, waardoor ze makkelijk toegankelijk zijn voor cybercriminelen. SpyX biedt software aan die via cloudback-ups informatie van gemonitorde smartphones verzamelt, zoals locatiegegevens en communicatiegeschiedenis. Het datalek vond plaats in juni 2024, en de getroffen accounts hebben mogelijk toegang tot iCloud-omgevingen van de gemonitorde apparaten. Dit incident benadrukt de risico’s van het gebruik van spyware en het gebrek aan beveiliging bij het omgaan met gevoelige gegevens.

Bron

De Graphite-spyware van het Israëlische bedrijf Paragon wordt mogelijk in verschillende landen, waaronder Cyprus en Denemarken, ingezet. Het spywarebedrijf, opgericht in 2019, levert technologie die vermoedelijk ook in landen zoals Australië, Canada en Singapore wordt gebruikt. De Italiaanse autoriteiten maken al gebruik van deze spyware. Recent onderzoek door CitizenLab heeft aangetoond dat de spyware gericht is op zowel Android- als iOS-apparaten. WhatsApp, onderdeel van Meta, waarschuwde meer dan 90 gebruikers die mogelijk besmet waren, waaronder Italianen. De spyware werd geïnstalleerd via een zero-click exploit in WhatsApp en andere apps. Een specifiek incident betrof een iPhone-gebruiker die nauw samenwerkte met Paragon-doelwitten. Apple had het kwetsbare lek in juni 2024 verholpen, maar WhatsApp waarschuwde de gebruiker pas later. De spywarecampagne blijft een bedreiging voor de digitale veiligheid.

Bron

De hackersgroep HellCat heeft wereldwijd Jira-servers aangevallen met gestolen inloggegevens. Het Zwitserse bedrijf Ascom bevestigde een cyberaanval waarbij hackers toegang kregen tot hun technische ticketsysteem. De daders claimen 44GB aan gegevens te hebben buitgemaakt, waaronder broncodes, projectdetails en vertrouwelijke documenten. Ascom stelt dat de aanval geen invloed had op de bedrijfsvoering en dat klanten geen actie hoeven te ondernemen.

HellCat gebruikt vaak gestolen Jira-inloggegevens om toegang te krijgen tot interne systemen. Eerder werden ook Schneider Electric, Telefónica en Orange Group via deze methode getroffen. Recentelijk viel de groep ook Jaguar Land Rover en het marketingbedrijf Affinitiv aan, waarbij gevoelige bedrijfs- en klantgegevens werden buitgemaakt.

Experts waarschuwen dat Jira een aantrekkelijk doelwit blijft vanwege de grote hoeveelheid waardevolle data. Bedrijven wordt geadviseerd om hun beveiliging te versterken en regelmatig wachtwoorden te wijzigen om dergelijke aanvallen te voorkomen.

Bron

Een supply chain-aanval op de GitHub Action ‘tj-actions/changed-files’ heeft geleid tot het uitlekken van geheimen uit 218 repositories. De aanval vond plaats op 14 maart 2025, waarbij aanvallers kwaadaardige code toevoegden die CI/CD-geheimen uit workflowprocessen lekte. Hoewel slechts een klein percentage van de 23.000 gebruikers van deze GitHub Action werd getroffen, zijn de gevolgen potentieel groot.

Van de 5.416 repositories die de kwetsbare actie gebruikten, draaiden 614 de workflow tijdens de besmettingsperiode. Slechts 218 hiervan lekte daadwerkelijk gevoelige gegevens, zoals GitHub-toegangstokens en credentials voor DockerHub, npm en AWS. Sommige van deze repositories hebben duizenden gebruikers, wat het risico op verdere supply chain-aanvallen vergroot.

Beheerders van getroffen repositories wordt aangeraden om direct hun geheimen te roteren en beveiligingsmaatregelen te treffen om herhaling te voorkomen. Gebruikers van GitHub Actions doen er goed aan om best practices te volgen en toegang tot gevoelige bestanden te beperken.

Bron

De onlangs geïdentificeerde 'Betruger' backdoor is gekoppeld aan een lid van de RansomHub ransomware-operatie. Onderzoekers beschrijven deze backdoor als een multifunctioneel kwaadaardig hulpmiddel, specifiek ontwikkeld voor ransomware-aanvallen. De backdoor biedt functies zoals keylogging, netwerkscanning, privilege-escalatie en het verzamelen van inloggegevens. Dit stelt aanvallers in staat meerdere kwaadaardige taken uit te voeren met één enkel hulpmiddel, wat de noodzaak voor andere tools vermindert tijdens een aanval. De malware wordt vaak verspreid met de bestandsnamen 'mailer.exe' of 'turbomailer.exe', waarmee het zich voordoet als legitieme e-mailsoftware. RansomHub zelf is actief sinds begin 2024 en is betrokken bij verschillende datalekken, waarbij het vaak dreigt gestolen data openbaar te maken in plaats van alleen systemen te versleutelen. De groep heeft meerdere hooggeprofileerde slachtoffers, waaronder grote bedrijven in de olie-, telecom- en gezondheidszorgsectoren.

Bron

Aanvallers richten zich momenteel op kwetsbare versies van Cisco's Smart Licensing Utility (CSLU) die niet gepatcht zijn tegen een ernstige beveiligingsfout. Deze kwetsbaarheid (CVE-2024-20439) biedt toegang via een ingebouwd backdoor-account voor beheerders. Dit stelt onbevoegde aanvallers in staat om op afstand in te loggen met beheerdersrechten, mits het systeem niet gepatcht is. Een tweede kwetsbaarheid (CVE-2024-20440) maakt het mogelijk om gevoelige logbestanden in te zien, inclusief API-gegevens, door speciaal gemaakte HTTP-aanvragen naar kwetsbare apparaten te sturen. Beide kwetsbaarheden treffen alleen systemen waarop een kwetsbare versie van CSLU draait. Onderzoekers melden dat aanvallers deze kwetsbaarheden nu actief uitbuiten, waarbij ze zowel de backdoor als andere beveiligingslekken proberen te exploiteren. Cisco heeft deze beveiligingsproblemen in september gepatcht, maar de dreiging blijft bestaan zolang systemen niet geüpdatet zijn.

Bron

Twee kwaadaardige extensies zijn onlangs ontdekt in de Visual Studio Code Marketplace. Het gaat om ‘ahban.shiba’ en ‘ahban.cychelloworld’ die PowerShell-commando’s uitvoerden waarmee ransomware werd gedownload en geactiveerd. De extensies wisten het beoordelingsproces van Microsoft te omzeilen en bleven daardoor enige tijd onopgemerkt beschikbaar. Hoewel ze maar zeven en acht keer zijn gedownload, konden ze toch schade aanrichten. De ransomware bleek vooralsnog beperkt te versleutelen, namelijk alleen bestanden in een testmap op het bureaublad van de gebruiker. Onderzoekers vermoeden dan ook dat het om een testversie van de malware gaat. Deze ontdekking onderstreept opnieuw het risico van supply chain-aanvallen binnen ontwikkelomgevingen en het belang van grondige controle op plugins en extensies.

Bron

Cybercriminelen maken steeds meer gebruik van aangepaste drivers om endpoint detection and response (EDR)-systemen te omzeilen en uit te schakelen. Dit wordt vaak gedaan door het misbruiken van kwetsbare legitieme drivers of door volledig nieuwe, zelfgemaakte drivers in te zetten. Elastic Security Labs waarschuwt voor een campagne waarbij de MEDUSA-ransomware wordt verspreid via een loader die gebruik maakt van de driver "ABYSSWORKER". Deze driver, die zich voordoet als een legitieme CrowdStrike Falcon-driver, is ondertekend met een ingetrokken certificaat en kan EDR-oplossingen van verschillende fabrikanten uitschakelen. Eenmaal geïnstalleerd op een systeem, krijgt ABYSSWORKER toegang tot belangrijke processen en kan het EDR-systeem uitschakelen door verschillende operaties uit te voeren, van bestandsmanipulatie tot het beëindigen van processen.

Bron 1, 2

Cybercriminelen maken steeds vaker misbruik van kwetsbaarheden in FortiOS- en FortiProxy-apparaten, wat leidt tot ransomware-aanvallen. Deze kwetsbaarheden stellen aanvallers in staat om ongeauthenticeerde toegang te verkrijgen tot apparaten en persistentie te bereiken via backdoors. Nadat ze super_admin-rechten hebben verkregen, kunnen ze software-updates uitvoeren en extra gebruikersaccounts aanmaken, waardoor het voor organisaties moeilijk is om compromitteringen op te sporen. Deze aanvallen kunnen leiden tot volledige netwerkcompromittaties, diefstal van gegevens en ransomware-afpersing. Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om kwetsbare systemen snel te patchen en aandacht te besteden aan de mogelijke persistentie van aanvallers op eerder gepatchte apparaten. Er is een publieke exploit beschikbaar die sinds januari 2025 wordt gebruikt om de kwetsbaarheden uit te buiten.

Bron

Valve heeft de game 'Sniper: Phantom's Resolution' van het Steam-platform verwijderd na meerdere meldingen van gebruikers dat de demo-installatie schadelijke malware bevatte. Deze malware, die informatie probeert te stelen, werd gedetecteerd nadat de demo van een externe GitHub-link werd gedownload, in plaats van via het Steam-platform zelf. De installatiebestanden werden gemaskeerd als een 'Windows Defender SmartScreen.exe' bestand en bevatten tools die schadelijke scripts uitvoerden om de beveiliging van systemen te omzeilen. De ontwikkelaar, Sierra Six Studios, had eerder gewaarschuwd voor mogelijke risico’s bij het downloaden van de game van andere bronnen dan Steam, maar zelfs de versie op Steam bleek niet veilig. Gebruikers die de demo hebben geïnstalleerd, wordt aangeraden om het spel te verwijderen en een volledige systeemscan uit te voeren. Dit incident volgt op een eerdere malware-inbraak via een andere game op Steam.

Bron

Een nieuwe phishingcampagne richt zich op SEO-professionals door middel van valse Google Ads die Semrush nabootsen. De cybercriminelen proberen Google-accountgegevens te stelen door malafide zoekresultaten te tonen die gebruikers naar een phishingwebsite leiden. Deze nepwebsite lijkt op Semrush, een populaire platform voor SEO en online marketing. De criminelen gebruiken domeinnamen die Semrush imiteren, maar met afwijkende extensies. Zodra slachtoffers hun Google-gegevens invoeren, worden deze gestolen. Het uiteindelijke doel is niet alleen toegang tot Google-accounts, maar ook tot waardevolle bedrijfsdata zoals marketingstrategieën en klantgedrag, die vaak gekoppeld zijn aan Semrush-accounts. SEO-experts raden aan om geen geklikte advertenties te openen, altijd te controleren of je op het juiste domein bent en wachtwoordmanagers te gebruiken om gegevens in te vullen. Google heeft snel gereageerd door de schadelijke advertenties te verwijderen, maar er is meer nodig om deze dreiging effectief te stoppen.

Bron

Op 22 maart 2025 is op een bekende marktplaats op het darkweb een dataset opgedoken met toegang tot 192.900 Nederlandse e-mailaccounts. De bestanden worden verspreid via verschillende downloadlinks en bevatten zogenoemde "combo mails" waarin e-mailadressen gecombineerd zijn met bijbehorende wachtwoorden. Het gaat vermoedelijk om een samenvoeging van eerdere datalekken die opnieuw worden verhandeld. Dergelijke combinaties worden vaak gebruikt door cybercriminelen om via zogeheten credential stuffing-aanvallen toegang te krijgen tot online accounts van slachtoffers. De herverkoop van dit soort lijsten vergroot het risico op identiteitsfraude en accountovername, vooral wanneer gebruikers herhaaldelijk hetzelfde wachtwoord gebruiken op meerdere platformen. Gebruikers wordt aangeraden hun e-mailadressen te controleren op lekken en direct hun wachtwoorden te wijzigen, bij voorkeur met unieke wachtwoorden per dienst en het gebruik van tweefactorauthenticatie.

De FBI waarschuwt dat cybercriminelen valse online bestandsconverters gebruiken om malware te verspreiden en persoonlijke informatie te stelen. Deze tools lijken legitiem en voeren ogenschijnlijk een conversie uit, zoals het omzetten van een DOC-bestand naar PDF. Achter de schermen wordt echter kwaadaardige software meegestuurd die onder andere ransomware kan installeren of toegang geeft tot gevoelige gegevens zoals wachtwoorden, bankgegevens en cryptowallets. Sommige sites bieden downloads aan in ZIP-formaat met daarin schadelijke JavaScript-bestanden die malware zoals Gootloader installeren. Daarmee krijgen aanvallers toegang tot netwerken en kunnen ze zich verder verspreiden binnen organisaties. Vooral gebruikers die zoeken naar gratis online conversietools lopen risico, omdat malafide sites vaak bovenaan zoekresultaten verschijnen via betaalde advertenties. De FBI adviseert terughoudendheid en waakzaamheid bij het gebruik van onbekende online tools.

Bron

Slimme apparaten van Belkin Wemo, zoals stekkers, lichtschakelaars en camera's, die vooral populair zijn bij particulieren en kleinere bedrijven, blijken gevoelig te zijn voor cyberaanvallen. De kwetsbaarheid CVE-2019-12780 wordt actief misbruikt en werd in Nederland, België en wereldwijd honderden keren gedetecteerd via honeypot-sensoren. Deze kwetsbaarheid kan hackers in staat stellen apparaten op afstand over te nemen. Vooral verouderde firmware en de standaard activatie van UPnP verhogen het risico. Gebruikers wordt dringend geadviseerd om firmware actueel te houden, UPnP uit te schakelen en slimme apparaten te scheiden op een apart netwerk.

Bron

De afgelopen 24 uur is een ernstige kwetsbaarheid in Next.js volop besproken op sociale media. Deze kwetsbaarheid staat geregistreerd als CVE-2025-29927 en heeft een hype score van 98 op een schaal van 100. Dat geeft aan dat er wereldwijd veel aandacht voor is vanwege de mogelijke impact. Het probleem zit in een authorization bypass waarbij de x middleware subrequest header onjuist wordt verwerkt. Hierdoor kunnen aanvallers beveiligingscontroles in de middleware omzeilen en mogelijk ongeautoriseerde toegang krijgen. De fout is inmiddels verholpen in de recent uitgebrachte versies 14.2.25 en 15.2.3 van Next.js. Beveiligingsteams wordt geadviseerd om zo snel mogelijk te controleren of ze kwetsbare versies gebruiken en indien nodig te updaten. De hype score geeft extra urgentie aan deze kwetsbaarheid omdat het duidt op actieve belangstelling van zowel beveiligingsexperts als mogelijk ook kwaadwillenden.

Bron

VanHelsing is een nieuwe en geavanceerde ransomware-as-a-service (RaaS) die zich richt op systemen met Windows, Linux, BSD, ARM en ESXi. De ransomware wordt actief aangeboden op ondergrondse fora en valt op door zijn professionele aanpak. Partners mogen tot 80 procent van de losgeldopbrengst houden, terwijl de ontwikkelaars de rest krijgen. VanHelsing versleutelt bestanden met het ChaCha20-algoritme en past slimme technieken toe om detectie te ontwijken, zoals het scheiden van versleuteling en bestandshernoeming. De malware kan per slachtoffer worden aangepast via command-line instellingen en ondersteunt een stealth-modus. Ondanks een aantal kinderziektes in de code, zoals fouten in de bestandsuitzonderingen en extensie-logica, wordt VanHelsing gezien als een snelgroeiende dreiging. Momenteel zijn er al drie slachtoffers bekend, waaronder een gemeente in Texas. De criminelen eisen losgeldbedragen tot 500.000 dollar en dreigen met het lekken van gestolen gegevens bij weigering.

Bron

Op 24 maart 2025 werd op een darkweb-marktplaats een zogenoemde "combolist" aangeboden met gegevens van 162.000 Nederlandse gebruikers. De lijst bevat vermoedelijk een combinatie van e-mailadressen en bijbehorende wachtwoorden, afkomstig uit eerdere datalekken. De verkoper promoot de lijst als “vers” en specifiek gericht op Nederlandse doelwitten, wat wijst op een verhoogd risico voor zowel particulieren als bedrijven in Nederland. Zulke lijsten worden vaak gebruikt voor grootschalige inlogpogingen bij online diensten, ook wel bekend als credential stuffing. Gebruikers die hergebruik maken van wachtwoorden lopen hierbij extra gevaar. Het is daarom raadzaam om direct wachtwoorden te wijzigen en waar mogelijk tweefactorauthenticatie in te schakelen. Dit incident onderstreept opnieuw de noodzaak van digitale weerbaarheid en alertheid op het gebied van persoonlijke gegevensbeveiliging.

Een groot aantal klanten van Oracle Cloud zou slachtoffer zijn geworden van een datalek, zo meldt securitybedrijf CloudSEK. Volgens een bericht op een internetforum heeft een aanvaller zes miljoen records gestolen, waaronder versleutelde wachtwoorden, sleutelbestanden en andere gevoelige data van ongeveer 140.000 Oracle Cloud-klanten. De aanvaller beweert toegang te hebben gekregen via een kwetsbaarheid in Oracle Fusion Middleware en een SSO-endpoint. Oracle ontkent echter een inbraak en stelt dat de gepubliceerde gegevens niet verband houden met Oracle Cloud. CloudSEK heeft aanvullende analyses gedeeld die de beweringen van de aanvaller ondersteunen, waarbij specifieke domeinen en gegevens zijn gedeeld die overeenkomen met Oracle-klanten. Het securitybedrijf benadrukt dat de situatie zorgvuldig wordt onderzocht.

Bron

Onderzoekers van McAfee hebben een nieuwe Android-malware ontdekt die gebruikmaakt van Microsoft’s .NET MAUI-platform om beveiligingssoftware te omzeilen. In plaats van de gebruikelijke programmeertaal Java of Kotlin wordt C# gebruikt, waarbij kwaadaardige code wordt verstopt in zogenaamde blob-bestanden die minder goed worden gescand door beveiligingstools. Hierdoor blijft de malware langer onopgemerkt. De malafide apps worden verspreid buiten de officiële Google Play Store en doen zich voor als legitieme diensten zoals banken of sociale netwerken. Vooral gebruikers in India en China worden momenteel getroffen, maar de tactiek kan zich wereldwijd verspreiden. Naast .NET MAUI gebruiken de apps ook encryptietechnieken en andere methoden om analyse te bemoeilijken. De malware probeert persoonlijke gegevens zoals bankinformatie, foto's en sms-berichten te stelen. Gebruikers worden geadviseerd om apps alleen van betrouwbare bronnen te installeren en waakzaam te zijn voor verdachte links of bestanden.

Bron

Er is een nieuwe phishingcampagne die gericht is op Counter-Strike 2 (CS2) spelers en gebruikmaakt van de Browser-in-the-Browser (BitB) techniek. Deze techniek creëert nep-popupvensters die de officiële Steam-inlogpagina nabootsen. Cybercriminelen doen zich voor als het populaire Oekraïense e-sportteam Navi om het vertrouwen van spelers te winnen. De aanvallen worden vaak gepromoot via YouTube-video's en andere kanalen, waarbij gebruikers verleid worden om in te loggen voor gratis in-game items, zoals lootcases. De nep-loginpagina's proberen Steam-gegevens en eenmalige wachtwoordcodes (OTP's) te stelen. Diefstal van Steam-accounts wordt vaak verhandeld op grijze marktplaatsen voor duizenden euro's. Het is belangrijk om multi-factorauthenticatie in te schakelen en verdachte inlogpogingen regelmatig te controleren om de beveiliging van Steam-accounts te versterken.

Bron

De cybercriminele groep EncryptHub is in verband gebracht met aanvallen op Windows-systemen via een recent ontdekte en inmiddels gepatchte zero-day kwetsbaarheid in de Microsoft Management Console. Deze kwetsbaarheid, CVE-2025-26633 genaamd, maakt het mogelijk om beveiligingswaarschuwingen te omzeilen en schadelijke code uit te voeren via gemanipuleerde .msc-bestanden. Door slachtoffers via e-mail of malafide websites te verleiden deze bestanden te openen, kunnen aanvallers toegang krijgen tot systemen, data stelen en hun aanwezigheid langdurig verbergen. EncryptHub gebruikte in deze aanvallen diverse malware zoals backdoors, informatie-stealers en een aangepaste trojan loader. De campagne is nog steeds in ontwikkeling en maakt gebruik van meerdere aanvalsmethoden. Trend Micro bracht de aanvalsmethode aan het licht en koppelde deze aan eerdere activiteiten van EncryptHub. Eerder werd deze groep al gelinkt aan de inbraak bij ruim 600 organisaties wereldwijd en het verspreiden van ransomware via samenwerkingen met andere criminele netwerken.

Bron

Onlangs zijn twee kwaadaardige pakketten ontdekt op npm (Node package manager), die legitieme lokaal geïnstalleerde pakketten ongemerkt aanpassen om een persistente reverse shell backdoor in te voegen. Deze backdoor blijft actief, zelfs nadat het kwaadaardige pakket is verwijderd. De aanval werd ontdekt door onderzoekers van Reversing Labs, die waarschuwen voor het risico, zelfs als de pakketten niet veel gedownload zijn. De twee ontdekte pakketten, 'ethers-provider2' en 'ethers-providerz', bevatten een gemanipuleerd 'install.js'-script dat een tweede payload downloadt en uitvoert. Dit script vervangt een legitiem bestand met een trojan versie die een reverse shell activeert. Het gevaar is dat de backdoor blijft bestaan, zelfs nadat het kwaadaardige pakket is gedeïnstalleerd. Ontwikkelaars wordt geadviseerd om extra voorzichtig te zijn bij het downloaden van pakketten en om de code goed te controleren op verdachte elementen.

Bron

De cyberdreiginggroep 'RedCurl', bekend om zijn stille bedrijfsespionage-aanvallen sinds 2018, heeft nu ransomware ontwikkeld die gericht is op het versleutelen van Hyper-V virtuele machines. In tegenstelling tot eerdere aanvallen, waarbij RedCurl zich richtte op datadiefstal, gebruikt de groep nu ransomware om toegang te monetariseren of als afleidingsmanoeuvre bij data-exfiltratie. De ransomware, genaamd QWCrypt, wordt verspreid via phishing-e-mails met IMG-bestanden die malafide screensavers bevatten. Het encryptieprogramma maakt gebruik van de XChaCha20-Poly1305-algoritme en voegt de extensie .locked$ of .randombits$ toe aan de versleutelde bestanden. QWCrypt biedt ook geavanceerde mogelijkheden om virtuele machines selectief aan te vallen, waardoor de ransomware specifiek Hyper-V-servers richt. Dit markeert een opvallende wijziging in de werkwijze van RedCurl, waarbij de groep mogelijk probeert te verbergen of af te leiden van hun aanvankelijke spionageactiviteiten.

Bron

Het cybercrime-platform 'Atlantis AIO' biedt een geautomatiseerde dienst voor credential stuffing-aanvallen, gericht op 140 online platformen zoals e-maildiensten, e-commercewebsites, banken en VPN's. Dit platform maakt gebruik van voorgeconfigureerde modules waarmee aanvallers brute force-aanvallen kunnen uitvoeren, CAPTCHA's kunnen omzeilen en accounts kunnen herstellen om gestolen inloggegevens te exploiteren. Credential stuffing houdt in dat cybercriminelen gestolen gebruikersnamen en wachtwoorden proberen bij verschillende diensten. Indien succesvol, kunnen aanvallers toegang krijgen tot accounts en deze misbruiken of verkopen. Het platform stelt criminelen in staat om deze aanvallen efficiënt te automatiseren. Bescherming tegen dergelijke aanvallen vereist sterke, unieke wachtwoorden en multi-factor authenticatie (MFA). Bedrijven kunnen ook maatregelen treffen zoals rate limiting en het monitoren van verdachte activiteiten om aanvallen te voorkomen.

Bron

Op 26 maart 2025 werd er melding gemaakt van een beveiligingsincident bij Booking.com, waarbij een hacker toegang probeerde te verkopen tot meerdere gebruikersaccounts van het platform. Het gaat specifiek om toegang tot de "genius" accounts, die mogelijk e-mailtoegang bieden. De prijs voor dergelijke toegang werd tussen de 10 en 15 dollar aangeboden. Booking.com is een wereldwijde online reisorganisatie die diensten biedt zoals hotelreserveringen, vluchtboekingen en autoverhuur. Dit incident benadrukt opnieuw de noodzaak voor bedrijven om strenge beveiligingsmaatregelen te treffen om gevoelige klantdata te beschermen tegen misbruik.

Bij een Nederlandse onderzoeksinstelling zijn de gegevens van ruim 35.000 onderzoekers uitgelekt. De gestolen data, waaronder e-mailadressen, telefoonnummers en slecht beveiligde wachtwoorden, zijn gratis gedeeld op besloten fora op het deep web. De gebruikte versleuteling met SHA1 en Base64 is verouderd en daardoor relatief eenvoudig te kraken. De gelekte dataset, in .sql-formaat, werd ontdekt door het Centrum voor Cybersecurity Veiligheid en Technologie tijdens hun dagelijkse monitoring. Cybercriminelen kunnen deze informatie gebruiken voor phishing en ongeautoriseerde toegang tot accounts. Omdat op het deep web dagelijks honderden berichten met gestolen gegevens verschijnen, is automatische monitoring van deze fora essentieel. Cybercriminelen beschermen hun platformen steeds beter, waardoor het detecteren van datalekken technisch uitdagend blijft. Na ontdekking heeft het CCVT direct de getroffen organisatie geïnformeerd en geadviseerd om snel in te grijpen. Door deze snelle reactie is verdere schade vooralsnog beperkt gebleven.

Bron

Onderzoekers hebben een nieuwe geavanceerde malware ontdekt die gericht is op macOS-systemen en de naam CoffeeLoader draagt. Deze malware weet op slimme wijze traditionele beveiligingsmaatregelen te omzeilen en maakt gebruik van legitieme systeemprocessen om detectie te voorkomen. CoffeeLoader verspreidt zich via valse softwaredownloads en phishing-mails met ogenschijnlijk onschuldige bijlagen, zoals PDF-bestanden of installatieprogramma’s. Eenmaal actief nestelt de malware zich diep in het systeem, schakelt beveiligingsfuncties uit en maakt verborgen mappen aan om onopgemerkt te blijven. Ook gebruikt het een techniek genaamd “dylib-kaping” om kwaadaardige code in legitieme processen te injecteren. Geïnfecteerde systemen worden onderdeel van een botnet dat ingezet kan worden voor cyberaanvallen of cryptomining, wat prestaties van systemen aantast en mogelijk bedrijfsprocessen verstoort. Beveiligingsteams worden geadviseerd om applicatie-toelating in te zetten en actief te scannen op verdachte processen om deze dreiging het hoofd te bieden.

Bron

QNAP heeft de backupsoftware Nakivo Backup & Replication uit het App Center verwijderd vanwege een ernstige kwetsbaarheid die actief wordt misbruikt. Via deze kwetsbaarheid kunnen aanvallers willekeurige bestanden uitlezen op het systeem, waaronder back-ups en inloggegevens. De software wordt veel gebruikt op QNAP NAS-systemen voor het maken en terugzetten van back-ups. De kwetsbaarheid, aangeduid als CVE-2024-48248, vormt een serieus risico omdat deze toegang kan geven tot gevoelige data. Het Amerikaanse CISA meldde recent dat deze kwetsbaarheid daadwerkelijk wordt ingezet bij aanvallen. QNAP heeft Nakivo verzocht om met een beveiligingsupdate te komen, maar die is op dit moment nog niet beschikbaar. Gebruikers wordt geadviseerd om de update direct te installeren zodra deze beschikbaar is. Tot die tijd is het belangrijk om extra alert te zijn op verdachte activiteiten binnen het systeem.

Bron

Een ernstige kwetsbaarheid in het populaire JavaScript-framework Next.js stelt aanvallers in staat om de authenticatie van webapplicaties te omzeilen. Het lek zit in de middlewarelaag, die vaak wordt gebruikt voor onder andere autorisatie en het controleren van toegang tot afgeschermde pagina’s. Door simpelweg een specifieke header toe te voegen aan een verzoek, kunnen kwaadwillenden deze controles passeren en toegang krijgen tot bijvoorbeeld adminpagina’s. De impact van deze kwetsbaarheid is beoordeeld met een 9.1 op een schaal van 10. Wereldwijd zijn via een zoekopdracht meer dan 300.000 kwetsbare systemen zichtbaar. Beheerders worden dringend geadviseerd om de beschikbare beveiligingsupdates onmiddellijk te installeren. Wie niet kan updaten, wordt aangeraden verdachte headers actief te blokkeren om misbruik te voorkomen.

Bron

De ontwikkelaars van CrushFTP waarschuwen gebruikers via e-mail voor een nieuw beveiligingslek dat het mogelijk maakt voor aanvallers om zonder in te loggen toegang te krijgen tot de server. Het lek treedt op als de http- of https-poort van de server openstaat. Er is nog geen officieel CVE-nummer toegekend, maar er is wel een beveiligingsupdate beschikbaar. Het probleem is opgelost in versie 11.3.1 en hoger. Ook gebruikers van versie 10.x zijn kwetsbaar en moeten updaten naar minimaal versie 10.8.4. Verdere technische details over de kwetsbaarheid zijn op dit moment niet openbaar gemaakt. CrushFTP ondersteunt meerdere protocollen zoals ftp, ftps, sftp en WebDAV en bestaat al sinds 1998. De waarschuwing volgt op eerdere incidenten waarbij actief misbruik werd gemaakt van vergelijkbare lekken in de software.

Bron

Er zijn vier ernstige kwetsbaarheden ontdekt in de Kubernetes Ingress-nginx controller die worden gebruikt binnen Azure Kubernetes Service. Eén van deze kwetsbaarheden (CVE-2025-1974) heeft een kritisch risiconiveau en kan door een aanvaller zonder inloggegevens worden misbruikt om volledige controle over het systeem te krijgen. De drie andere kwetsbaarheden (CVE-2025-1097, CVE-2025-1098 en CVE-2025-24514) maken het mogelijk voor aanvallers met beperkte rechten om kwaadaardige configuraties in te voeren, waarmee ze verkeer kunnen omleiden en mogelijk externe code kunnen uitvoeren. Deze lekken vormen een directe bedreiging voor de vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Er is inmiddels een bewijs van concept beschikbaar voor één van de kwetsbaarheden. Het is daarom sterk aanbevolen om zo snel mogelijk te updaten naar versie 1.11.5 of 1.12.1 of hoger, en tegelijkertijd de systemen intensief te monitoren op verdachte activiteiten.

Bron

Er is een kritieke kwetsbaarheid ontdekt in CrushFTP versies 10.0.0 tot 10.8.3 en 11.0.0 tot 11.3.0, die het mogelijk maakt voor aanvallers om zonder authenticatie toegang te krijgen via de HTTP(S)-poort. Deze kwetsbaarheid, aangeduid als CVE-2025-2825, heeft een hoge CVSS-score van 9.8 en kan leiden tot ongeautoriseerde toegang tot het systeem. Aanvallers kunnen remote HTTP-verzoeken sturen naar CrushFTP, waardoor ze controle kunnen krijgen over de server zonder inloggegevens. Gebruikers van de getroffen versies wordt aangeraden om zo snel mogelijk naar een veilige versie te upgraden om zich te beschermen tegen mogelijke aanvallen.

Bron

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

Vrijdagmiddag ondervond WhatsApp een storing waarbij tienduizenden gebruikers problemen meldden. De meeste klachten kwamen uit Nederland, terwijl er in het Verenigd Koninkrijk minder meldingen waren. Volgens gebruikers konden berichten niet worden verstuurd, de app niet worden geopend en waren er verbindingsproblemen met de server.

Binnen een half uur ontving een storingswebsite meer dan 100.000 meldingen over de problemen. Rond 16.45 uur begonnen de eerste klachten binnen te komen, maar een klein uur later leek de storing alweer voorbij. WhatsApp en moederbedrijf Meta hebben nog geen officiële verklaring gegeven over de oorzaak van de storing.

Bron

De Russische hostingprovider Prospero, bekend om het faciliteren van cybercriminelen met ‘bulletproof’ hostingdiensten, heeft zijn internetverkeer omgeleid via netwerken van Kaspersky Lab. Dit roept vragen op binnen de cybersecuritygemeenschap, aangezien Kaspersky een toonaangevend beveiligingsbedrijf is.

Prospero wordt al jaren in verband gebracht met het hosten van phishingwebsites, botnetcontrollers en ransomware-infrastructuren. De dienst staat bekend om zijn lak aan handhaving van misbruikmeldingen en wordt door cybercriminelen gepromoot als een veilige plek voor illegale activiteiten. Onder de aliassen Securehost en BEARHOST heeft het Russische bedrijf zich bewezen als een betrouwbare partner voor cybercrimegroepen.

Waarom Kaspersky zijn netwerk beschikbaar stelt aan Prospero is onduidelijk. Mogelijk biedt het bescherming tegen DDoS-aanvallen, maar experts waarschuwen dat dit de situatie alleen maar erger maakt. Kaspersky heeft geen commentaar gegeven op de onthullingen, wat de speculaties over de banden tussen het bedrijf en de Russische overheid verder aanwakkert.

Bron

Microsoft werd op zondagavond getroffen door een grote storing, waardoor gebruikers geen toegang hadden tot het populaire mailprogramma Outlook. Ook andere diensten binnen het Microsoft 365-pakket, zoals Teams en Exchange, ondervonden problemen.

Op meldingsplatformen kwamen tienduizenden klachten binnen, met alleen al in Nederland op het hoogtepunt twaalfduizend meldingen. De exacte oorzaak van de storing is niet bekendgemaakt.

Gebruikers uit verschillende landen klaagden op social media over de impact van de storing, vooral omdat veel bedrijven en organisaties afhankelijk zijn van de getroffen diensten. Gelukkig was de storing na ruim een halfuur verholpen en konden de systemen weer normaal gebruikt worden.

Dit incident benadrukt opnieuw hoe kwetsbaar digitale communicatie kan zijn bij technische problemen bij grote techbedrijven.

Bron

Een app voor OMRON-bloeddrukmeters heeft ongemerkt locatiegegevens van gebruikers verzameld en gedeeld met een derde partij, zonder toestemming. Dit ontdekte BNR na onderzoek. Hierdoor konden miljoenen gebruikers meerdere keren per dag gevolgd worden. OMRON beweert niet op de hoogte te zijn geweest en wijst naar een externe dienstverlener die pushnotificaties verstuurt.

Privacy-experts benadrukken dat het verzamelen van locatiegegevens zonder toestemming in strijd is met de wet. Bovendien is het opslaan van deze gegevens niet te verantwoorden als het geen toegevoegde waarde biedt voor de app. OMRON heeft inmiddels toegezegd te stoppen met het verzamelen van locatiegegevens.

Dit incident onderstreept het belang van transparantie bij dataverzameling en toont aan hoe eenvoudig gevoelige informatie ongemerkt gedeeld kan worden. Gebruikers doen er goed aan om app-machtigingen kritisch te bekijken en onnodige toegangsrechten in te trekken.

Bron

DigiD heeft te maken met terugkerende DDoS-aanvallen, waardoor de dienst beperkt beschikbaar is. Dit heeft ook gevolgen voor andere overheidsdiensten zoals DigiD Machtigen, MijnOverheid en Digipoort. De beheerder, Logius, laat weten dat er aan een oplossing wordt gewerkt, maar geeft geen verdere details.

Duizenden gebruikers hebben al storingen gemeld. Ook op sociale media klagen mensen over inlogproblemen. In januari was DigiD eveneens meerdere keren doelwit van DDoS-aanvallen. Logius benadrukt dat het al jaren deelneemt aan een samenwerkingsverband tegen DDoS-aanvallen, waarin overheden, internetproviders, academische instellingen en banken samenwerken om digitale infrastructuur beter te beschermen.

De exacte impact en de herkomst van de aanvallen zijn niet bekendgemaakt. Gebruikers wordt geadviseerd om storingen in de gaten te houden en later opnieuw te proberen in te loggen.

Bron

Onderzoekers hebben een botnet ontdekt dat bestaat uit ongeveer 30.000 beveiligingscamera’s en netwerkvideorecorders (NVR), waaronder apparaten van het merk VStarcam. Dit botnet maakt misbruik van hardcoded wachtwoorden om toegang te krijgen tot de systemen. Eenmaal geïnfecteerd worden de apparaten ingezet voor DDoS-aanvallen en het verder verspreiden van de malware.

De aanvallers gebruiken verschillende methodes om nieuwe apparaten te besmetten, zoals brute-force-aanvallen en het misbruiken van standaard en zwakke wachtwoorden. Vooral de camera’s van VStarcam zijn kwetsbaar, omdat ze voorzien zijn van een vast ingebouwd root-wachtwoord. Beveiligingsonderzoekers toonden vorig jaar al aan dat deze kwetsbaarheid bestond, en kort daarna werden de eerste aanvallen op deze apparaten gerapporteerd. Of de fabrikant inmiddels een oplossing heeft geboden, is nog niet bekend.

Dit incident benadrukt het belang van sterke, unieke wachtwoorden en regelmatige firmware-updates om apparaten te beschermen tegen misbruik door cybercriminelen.

Bron

In 2022 werd Skal, de toezichthouder op biologische producten in Nederland, getroffen door een cyberaanval. Hierdoor lag de organisatie zes weken grotendeels stil en konden inspecties niet doorgaan. De aanval vond plaats bij een externe ICT-dienstverlener, waardoor Skal ernstige verstoringen ondervond in de registratie, certificering en het toezicht op biologische bedrijven.

Uit voorzorg werden alle systemen uitgeschakeld, wat leidde tot extra kosten van 92.000 euro en het niet halen van het inspectiedoel voor dat jaar. Skal gebruikte een ICT-zaaksysteem genaamd ACM, dat door de aanval tijdelijk onbruikbaar werd. De storing had een aanzienlijke impact op de bedrijfsvoering en de inkomsten van de organisatie. Verdere details over de aard van de aanval zijn niet bekendgemaakt. De cyberaanval wordt genoemd in een evaluatie over het functioneren van Skal in de periode 2018-2022.

Bron

Microsoft onderzoekt een nieuwe storing in Microsoft 365 die vooral Teams-gebruikers treft. De storing veroorzaakt problemen met oproepen via auto attendants en wachtrijen. Daarnaast melden gebruikers bredere verstoringen, waaronder problemen met Outlook, OneDrive en Exchange.

Microsoft heeft nog niet bekendgemaakt welke regio’s getroffen zijn en wat de oorzaak is. Wel heeft het bedrijf aangegeven dat een recente wijziging mogelijk onbedoelde impact heeft gehad. Ondertussen ervaren gebruikers in Canada ook authenticatie- en verbindingsproblemen bij meerdere Microsoft 365-diensten.

Afgelopen weekend werd een andere Microsoft 365-storing veroorzaakt door een fout in een update van het authenticatiesysteem. Daarnaast zorgde een DNS-wijziging eerder deze maand voor loginproblemen bij Microsoft Entra ID. Microsoft heeft inmiddels een oplossing uitgerold en bevestigt dat de getroffen diensten zich herstellen na monitoring. Toch blijven sommige gebruikers problemen ondervinden met onder andere Exchange Online via de iOS-mailapp.

Bron

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft ontkend dat het is gestopt met het volgen en rapporteren over Russische cyberactiviteiten. In een verklaring benadrukt CISA dat de bescherming van kritieke infrastructuur tegen cyberdreigingen, inclusief die uit Rusland, een prioriteit blijft.

De ontkenning komt na een bericht waarin werd gesuggereerd dat de Trump-administratie Rusland niet langer als een cyberdreiging beschouwt en dat CISA zich vooral op China zou moeten richten. Volgens CISA is er echter geen verandering in beleid en blijven alle dreigingen gemonitord.

Daarnaast zou het Amerikaanse Cyber Command opdracht hebben gekregen om offensieve cyberoperaties tegen Rusland tijdelijk te staken. Dit besluit zou verband houden met lopende diplomatieke onderhandelingen over de oorlog in Oekraïne. Officiële bronnen weigeren echter details te geven over operationele cyberactiviteiten.

CISA blijft waakzaam en zet zich in voor de bescherming van de Amerikaanse infrastructuur tegen buitenlandse cyberdreigingen.

Bron

Onderzoek van een hoogleraar aan het Trinity College Dublin toont aan dat Androidtelefoons tracking- en advertentiecookies naar Google sturen voordat gebruikers hun eerste app openen. Dit gebeurt via Google Play Services, de Google Play Store en andere vooraf geïnstalleerde Google-apps, zonder dat gebruikers hiervoor toestemming geven of zich kunnen afmelden.

De hoogleraar benadrukt dat de EU-cookiewetgeving voorschrijft dat toestemming vereist is voor het plaatsen van trackingcookies, ook binnen apps. Dit proces blijft echter grotendeels onopgemerkt, omdat app-cookies moeilijker te detecteren zijn dan webcookies. Het onderzoek stelt dat deze praktijk privacywetgeving kan schenden.

Google heeft gereageerd door te stellen dat het zich niet herkent in de juridische analyse van de hoogleraar en dat het zich aan privacywetgeving houdt. Het techbedrijf ging echter niet in op de vraag of het zijn werkwijze zal aanpassen.

Bron

Odido-klanten met een Internet + TV & Vast Bellen-abonnement ondervinden sinds 1 maart problemen met hun verbinding. De storing treft gebruikers met een Zyxel T-56-modem, dat in sommige gevallen blijft hangen in het opstartproces, waarbij het statuslampje blijft knipperen.

De provider onderzoekt de oorzaak van de storing, maar heeft nog geen oplossing of tijdsindicatie gegeven voor het herstel. Klanten wordt aangeraden hun modem niet te resetten, omdat dit mogelijk geen verbetering oplevert.

Het is onduidelijk hoeveel klanten precies door de storing worden getroffen. Odido werkt aan een oplossing, maar geeft nog geen verdere details over de voortgang van het onderzoek.

Bron

Cybercriminelen sturen neppe afpersingsbrieven naar Amerikaanse bedrijven via de post, waarbij ze zich voordoen als de BianLian-ransomwaregroep. De brieven, gericht aan CEO’s en andere leidinggevenden, bevatten dreigementen over vermeend gestolen bedrijfsdata en eisen losgeld tussen de 250.000 en 500.000 dollar in Bitcoin. De inhoud van de brieven wordt aangepast op basis van de sector van het bedrijf, met claims over gestolen klantgegevens, financiële documenten en personeelsinformatie.

Hoewel de brieven echte Tor-dataleksites van BianLian vermelden om geloofwaardigheid te wekken, zijn er geen aanwijzingen dat deze daadwerkelijk afkomstig zijn van de ransomwaregroep. Onderzoek wijst uit dat deze poging tot afpersing puur gebaseerd is op angst, zonder bewijs van een daadwerkelijke hack. IT- en beveiligingsteams worden geadviseerd om leidinggevenden te waarschuwen voor deze oplichting, zodat geen onnodige paniek of betalingen ontstaan.

Bron

De opkomst van gewelddadige overvallen op cryptobezitters, bekend als "wrench attacks", is een groeiend probleem. Deze aanvallen worden gekarakteriseerd door fysiek geweld, waarbij criminelen slachtoffers dwingen cryptocurrency over te dragen. Sinds begin 2025 zijn er al meerdere gevallen gemeld, waaronder de ontvoering van de medeoprichter van Ledger en de overval op de bekende Twitch-streamer Amouranth. Experts waarschuwen dat het aantal van dergelijke aanvallen zal toenemen naarmate de waarde van cryptocurrencies stijgt.

Cryptobezitters worden geadviseerd om niet alleen hun digitale portemonnees te beveiligen, maar ook fysieke voorzorgsmaatregelen te nemen. Dit omvat het vermijden van openbare gesprekken over crypto-bezit, het gebruik van veilige opslagmethoden zoals multi-sig wallets, en het verhogen van de fysieke beveiliging van hun woningen. Het is essentieel om bewust te blijven van de risico’s in zowel de digitale als de fysieke wereld.

Bron

Honderden IoT-apparaten in Nederland maken deel uit van een groot botnet dat wordt gebruikt voor het uitvoeren van DDoS-aanvallen. Het botnet, genaamd "Eleven11bot", bestaat voornamelijk uit gecompromitteerde beveiligingscamera's en netwerkvideorecorders, die vaak gebruikmaken van zwakke of standaardwachtwoorden. Volgens onderzoek van The Shadowserver Foundation zijn er inmiddels meer dan 86.000 besmette apparaten, waarvan een aanzienlijk aantal zich in de Verenigde Staten, het Verenigd Koninkrijk, Canada en Australië bevindt. In Nederland werden 332 besmette apparaten gedetecteerd. Het botnet wordt ingezet voor DDoS-aanvallen tegen verschillende sectoren, waaronder communicatieproviders en gaminginfrastructuren. Experts adviseren om IoT-apparaten goed te beveiligen tegen dergelijke aanvallen door het gebruik van sterke wachtwoorden en netwerkbeveiliging.

Bron

Een aanzienlijk aantal EU-landen is tegen het voorstel van EU-voorzitter Polen om end-to-end encryptie beter te beschermen tegen chatcontrole. Dit blijkt uit informatie van de Europese burgerrechtenbeweging EDRi. Het Poolse voorstel betreft een nieuwe CSAM-Verordening waarin het eerder voorgestelde ‘detectiebevel’ voor chatapps is verwijderd. In plaats daarvan worden chatdiensten aangemoedigd om vrijwillig berichten te scannen. Daarnaast wordt leeftijdsverificatie verplicht gesteld voor ‘risicovolle’ communicatiediensten.

De Europese Commissie pleitte eerder voor grootschalige controle van chatberichten, inclusief versleutelde communicatie via client-side scanning. Het Europees Parlement verzette zich hiertegen en stelde een alternatieve verordening voor die encryptie grotendeels intact laat. De Raad van Ministers heeft echter nog geen gezamenlijke positie ingenomen, en eerdere voorstellen van België en Hongarije kregen onvoldoende steun. Volgens EDRi is er binnen de EU flinke weerstand tegen Polen’s aanpak, maar blijft onduidelijk welke landen precies tegen zijn.

Bron

Twee medewerkers van een extern bedrijf dat werkt voor het online ticketplatform StubHub, zouden samen een criminele operatie hebben uitgevoerd waarbij ze bijna 1.000 concerttickets stalen en deze online doorverkochten voor een totaalbedrag van $635.000. Het merendeel van de gestolen tickets waren voor het populaire concert van Taylor Swift’s Eras Tour. Daarnaast werden ook tickets voor andere evenementen, zoals optredens van Ed Sheeran en Adele, en sportwedstrijden gestolen. De verdachten, Tyrone Rose en Shamara Simmons, werkten voor Sutherland Global Services en maakten gebruik van een kwetsbaarheid in het systeem van StubHub. Ze onderschepten bestellingen en stuurden de ticket-URL’s naar hun eigen e-mailadressen. Beide verdachten zijn aangeklaagd voor grootschalige diefstal, computermanipulatie en samenzwering. Ze kunnen een gevangenisstraf van 3 tot 15 jaar tegemoet zien bij een veroordeling.

Bron

Een aanval op cryptobeurs Bybit heeft geleid tot de diefstal van bijna anderhalve miljard dollar aan ether. Dit was mogelijk doordat een ontwikkelaar een besmet Docker-project op zijn MacBook installeerde. De malware in dit project stelde aanvallers in staat om AWS-session tokens te stelen, waarmee ze de multifactorauthenticatie wisten te omzeilen. Vervolgens werd malafide JavaScript op de website van Safe{Wallet} geplaatst.

Safe{Wallet}, een platform voor Ethereum-multisig wallets, werd gebruikt om transacties van Bybit te manipuleren. De kwaadaardige code zorgde ervoor dat signers van Bybit een andere transactie te zien kregen dan daadwerkelijk werd uitgevoerd, waardoor het geld naar de aanvallers werd doorgesluisd.

Uit onderzoek blijkt dat de ontwikkelaar op 4 februari besmet raakte met de malware, mogelijk door social engineering. De aanvallers verwijderden sporen zoals de Bash-geschiedenis, wat verder onderzoek bemoeilijkt. Het incident onderstreept het risico van malafide software in ontwikkelomgevingen.

Bron

Cybercriminelen misbruiken YouTube's auteursrechtklachten om videomakers te dwingen schadelijke software te promoten. Ze richten zich vooral op YouTubers die tutorials maken over tools om internetcensuur te omzeilen. De aanvallers doen zich voor als de ontwikkelaars van deze tools en dienen valse copyrightclaims in. Vervolgens benaderen ze de makers met een “oplossing”: het toevoegen van een door hen verstrekte downloadlink in de videobeschrijving. Weigeren ze, dan dreigen ze met verdere copyrightclaims, wat kan leiden tot een verbanning van het kanaal.

De links verwijzen echter naar besmette versies van de software, die cryptominers op het systeem van slachtoffers installeren. Een van deze malafide video's kreeg meer dan 400.000 views, met tienduizenden downloads van de schadelijke software. Hoewel de campagne zich voornamelijk op Rusland richt, waarschuwen experts dat dezelfde tactiek breder ingezet kan worden. YouTubers en kijkers worden aangeraden nooit software te downloaden via verdachte links in video's.

Bron

De decentrale exchange-aggregator 1inch werd op 5 maart getroffen door een cyberaanval, waarbij een hacker $5 miljoen wist te stelen. De aanval maakte misbruik van een kwetsbaarheid in een verouderde versie van het smart contract van het platform, specifiek in de Fusion v1 resolver. Hierdoor kon de hacker ongeautoriseerde transacties uitvoeren en fondsen wegnemen van TrustedVolumes, een market maker op het platform.

Na onderhandelingen tussen 1inch en de hacker werd het grootste deel van het gestolen bedrag teruggegeven, waarbij de hacker een beloning mocht houden als bug bounty. Dit incident past binnen een bredere trend in de DeFi-sector, waarbij ethische hackers na het ontdekken van kwetsbaarheden fondsen teruggeven in ruil voor een vergoeding.

Hoewel 1inch de situatie heeft opgelost en beveiligingsmaatregelen heeft aangescherpt, benadrukt dit incident de aanhoudende risico’s binnen DeFi en het belang van voortdurende monitoring en proactieve beveiligingsmaatregelen.

Bron

Hackers hebben met succes 300 miljoen dollar witgewassen van een recordbrekende crypto-overval ter waarde van 1,5 miljard dollar. De aanval werd uitgevoerd op cryptobeurs ByBit en wordt toegeschreven aan de beruchte Lazarus Group, een hackerscollectief dat vermoedelijk voor het Noord-Koreaanse regime werkt.

De Amerikaanse autoriteiten probeerden te voorkomen dat het gestolen geld werd omgezet in bruikbare valuta, maar slaagden hier niet in. Cybersecurity-experts stellen dat Noord-Korea de meest geavanceerde methoden heeft om cryptogeld wit te wassen, waardoor de kans klein is dat het geld ooit wordt teruggevonden.

De Lazarus Group richtte zich eerder op banken, maar heeft zich de afgelopen jaren gespecialiseerd in aanvallen op cryptobedrijven. De Verenigde Staten plaatsten enkele leden van de groep op de Cyber Most Wanted-lijst, maar zolang zij in Noord-Korea blijven, is de kans op arrestatie minimaal.

Bron

Europa is sterk afhankelijk van Amerikaanse technologie, van WhatsApp en Gmail tot Microsoft-diensten voor overheden. Met de politieke onzekerheid in de VS groeit het besef dat deze afhankelijkheid risico’s met zich meebrengt. Experts waarschuwen dat de Amerikaanse overheid invloed kan uitoefenen op Europese digitale infrastructuur.

De dominantie van Amerikaanse techbedrijven komt deels door het ondernemersklimaat in de VS, waar meer durfkapitaal beschikbaar is en regelgeving voor start-ups minder beperkend is. In Europa worden innovatieve bedrijven geremd door complexe wetgeving en een minder gunstig investeringsklimaat.

Volledige onafhankelijkheid van Amerikaanse technologie lijkt onrealistisch, maar experts pleiten voor een hybride model waarin Europese alternatieven worden versterkt. Dit vergt investeringen in onderzoek, onderwijs en een zakelijker techbeleid. Hoewel Europa laat in actie komt, groeit de druk om digitale soevereiniteit serieus te nemen en stappen te zetten naar meer technologische onafhankelijkheid.

Bron

In de Tweede Kamer zijn vragen gesteld aan staatssecretaris Tuinman van Defensie en Szabo voor Digitalisering over de afhankelijkheid van Nederlandse clouddiensten van Amerikaanse bedrijven. Dit naar aanleiding van een bezoek van Tuinman aan Microsoft en Amazon in Seattle, waar hij sprak over cybersecurity, data-analyse en cloudtechnologie.

GroenLinks-PvdA-Kamerleden Kathmann en Nordkamp willen weten of er tijdens dit bezoek concrete afspraken zijn gemaakt en of de afhankelijkheid van niet-Europese clouddiensten een risico vormt voor de autonomie en veiligheid van Nederland en Europa. Daarnaast vragen zij of er alternatieve Europese cloudoplossingen zijn onderzocht.

Ook willen de Kamerleden verduidelijking over het gebruik van Microsoft en Amazon binnen Defensie, welke onderdelen hiervan afhankelijk zijn en welke gegevens via deze clouddiensten worden verwerkt of opgeslagen. De staatssecretarissen moeten binnen drie weken met antwoorden komen.

Bron

Het ministerie van Economische Zaken wil input van fabrikanten, importeurs en distributeurs over de Uitvoeringswet Verordening cyberweerbaarheid. Deze wet bevat onder meer een meldplicht voor actief misbruikte kwetsbaarheden en ernstige cyberincidenten. De Cyber Resilience Act (CRA) stelt dat fabrikanten en ontwikkelaars hun digitale producten minimaal vijf jaar met beveiligingsupdates moeten ondersteunen. Vanaf 10 december 2027 moeten alle producten aan de CRA voldoen.

Een meldplicht voor misbruikte kwetsbaarheden treedt op 10 september 2026 in werking. Fabrikanten moeten beveiligingslekken binnen 24 uur rapporteren bij een centraal meldloket, vermoedelijk het Nationaal Cyber Security Centrum. Beveiligingsexperts hebben eerder kritiek geuit op de meldplicht, vanwege zorgen over misbruik van de verstrekte informatie.

De CRA heeft directe werking, maar de uitvoeringswet bepaalt hoe toezicht en handhaving in Nederland worden geregeld. Tot 6 april kan publiek feedback geven via een internetconsultatie.

Bron

Vanaf 1 april moeten bedrijven en organisaties die deel uitmaken van de vitale infrastructuur in Zwitserland cyberaanvallen binnen 24 uur melden bij het National Cyber Security Centre (NCSC). Dit geldt onder andere voor energie- en waterleveranciers, vervoersbedrijven en bepaalde overheden.

De meldplicht is bedoeld om snelle actie mogelijk te maken, zodat de overheid getroffen organisaties kan ondersteunen en andere vitale sectoren kan waarschuwen. Aanvallen die de werking van diensten bedreigen, datadiefstal en afpersingsincidenten vallen onder deze verplichting. Bij niet-naleving kunnen boetes worden opgelegd.

Meldingen kunnen online of per e-mail worden ingediend. Binnen twee weken na de eerste melding moet een gedetailleerd rapport worden ingediend. Het NCSC beschouwt deze nieuwe verplichting als een belangrijke stap voor de cybersecurity van Zwitserland.

Bron

Het kabinet heeft besloten de verhuizing van het domeinregistratiesysteem van SIDN naar de cloud van Amazon niet tegen te houden. Staatssecretaris Szabo benadrukt dat er geen reden is om de AIVD opnieuw te laten onderzoeken, ondanks geopolitieke zorgen. SIDN, dat verantwoordelijk is voor de .nl-domeinnamen, is al langer bezig met de vernieuwing van haar verouderde systeem en ziet grote risico’s als het oude systeem behouden blijft. De verhuizing naar Amazon wordt voortgezet, mits SIDN de door de AIVD geadviseerde beveiligingsmaatregelen doorvoert, zoals het onderbrengen van essentiële data bij een Nederlandse cloudprovider. Het kabinet stelt dat er momenteel geen juridische bezwaren zijn tegen de verhuizing, zolang de risico’s binnen acceptabele grenzen blijven en de continuïteit van de .nl-DNS-keten gewaarborgd is.

Bron

De Medusa-ransomwaregroep heeft sinds februari 2025 meer dan 300 organisaties in vitale sectoren in de VS getroffen, waaronder de medische, onderwijs-, juridische en technologische sector. Dit werd bekendgemaakt in een gezamenlijk advies van CISA, de FBI en MS-ISAC.

Medusa begon in 2021 als een gesloten ransomwaregroep maar groeide uit tot een Ransomware-as-a-Service (RaaS)-operatie, waarbij cybercriminelen toegang tot netwerken verkopen. De groep eist losgeld door gestolen data openbaar te maken als slachtoffers niet betalen.

Om aanvallen te voorkomen, wordt geadviseerd om software en systemen tijdig te updaten, netwerksegmentatie toe te passen en onbekende netwerktoegang te blokkeren. Medusa wordt vaak verward met andere malware met dezelfde naam, zoals een Mirai-botnetvariant en een Android-malwaredienst.

De dreiging van Medusa blijft toenemen, waarbij de groep wereldwijd al meer dan 400 slachtoffers heeft gemaakt. Autoriteiten roepen organisaties op om extra beveiligingsmaatregelen te treffen en geen losgeld te betalen.

Bron

De Consumentenbond uit kritiek op de Tieneraccounts van Instagram, die bedoeld zijn om ouders meer controle te geven over het online gedrag van hun kinderen. Hoewel deze accounts standaard op privé staan en tieners alleen berichten kunnen ontvangen van accounts die ze zelf volgen, stelt de Consumentenbond dat deze maatregelen onvoldoende bescherming bieden.

Volgens de bond doet Instagram niets tegen verslavende algoritmes, schadelijke content en het verzamelen van persoonsgegevens van tieners. Daarnaast ontbreekt een betrouwbare leeftijdscontrole, waardoor kinderen eenvoudig een verkeerde leeftijd kunnen opgeven. Ook de ingestelde tijdslimieten blijken makkelijk te omzeilen, tenzij ouders zelf extra maatregelen nemen.

De Consumentenbond waarschuwt ouders om niet blind te vertrouwen op de automatische bescherming van Instagram. In werkelijkheid blijft het platform gericht op het maximaliseren van schermtijd, zonder fundamentele verbeteringen in veiligheid en privacy voor jongeren.

Bron

De Universiteit Leiden heeft haar personeel geadviseerd om WhatsApp niet langer te gebruiken voor zakelijke communicatie. In plaats daarvan wordt Microsoft Teams aanbevolen, of, als dat niet toereikend is, Signal. Dit advies komt voort uit zorgen over de vertrouwelijkheid en veiligheid van gegevens op WhatsApp.

Volgens de universiteit gebruiken veel medewerkers WhatsApp nog steeds voor werkgerelateerde communicatie, terwijl het platform sinds de lancering in 2009 flink is veranderd, en niet in het voordeel van privacy en beveiliging. Omdat WhatsApp niet officieel door de universiteit wordt ondersteund, kan de bescherming van persoonsgegevens niet worden gegarandeerd.

Een week na het eerste advies werd het personeel opnieuw opgeroepen om WhatsApp niet te gebruiken en over te stappen op Teams of Signal. De universiteit benadrukt hiermee het belang van veilige communicatiekanalen binnen de organisatie.

Bron

Doe ook mee

DigiD was donderdagmiddag korte tijd beperkt bereikbaar door een DDoS-aanval. De storing begon rond 15.00 uur en werd binnen veertig minuten opgelost. Hierdoor waren niet alleen DigiD, maar ook DigiD Machtigen, BSNk, Digipoort en MijnOverheid tijdelijk moeilijk toegankelijk. Logius, de beheerder van DigiD, bevestigde de aanval en gaf aan dat alle diensten inmiddels weer volledig functioneren.

Op een storingswebsite meldden meer dan drieduizend gebruikers problemen met inloggen. Dit is niet de eerste keer dat DigiD met dergelijke aanvallen te maken heeft. Eerder deze maand en in januari waren er al meerdere incidenten waarbij DDoS-aanvallen de dienstverlening verstoorden.

Een DDoS-aanval (Distributed Denial-of-Service) overbelast servers met een enorme hoeveelheid dataverkeer, waardoor diensten tijdelijk onbereikbaar worden. Het blijft een uitdaging voor overheidsdiensten om deze aanvallen effectief af te weren en de continuïteit van digitale dienstverlening te waarborgen.

Bron

Onderzoeker Yohanes Nugroho heeft een decryptor ontwikkeld voor de Linux-variant van Akira-ransomware. De tool maakt gebruik van de rekenkracht van GPU’s om de versleutelingssleutels te achterhalen en bestanden gratis te ontsleutelen. Nugroho kwam tot deze doorbraak na een verzoek van een vriend en ontdekte dat Akira de encryptiesleutels baseert op tijdstempels. Hierdoor kon hij via brute force-aanvallen de sleutels terugvinden.

De decryptor werkt niet zoals traditionele tools die een sleutel invoeren om bestanden te ontgrendelen. In plaats daarvan worden versleutelingssleutels berekend door miljarden mogelijkheden per seconde te testen met behulp van zestien RTX 4090 GPU’s. Hoewel het proces enkele dagen kan duren afhankelijk van de hoeveelheid versleutelde bestanden, is het een hoopvolle ontwikkeling voor slachtoffers van Akira-ransomware. De tool is beschikbaar op GitHub, maar experts kunnen de prestaties mogelijk nog verder verbeteren.

Bron

Het gebruik van 'uitkleed-apps' waarbij kunstmatige intelligentie (AI) mensen digitaal uitkleedt, is het afgelopen jaar sterk toegenomen, net als het aantal slachtoffers. Vooral vrouwen zijn het doelwit van deze apps, die vaak gratis zijn en steeds realistischer worden. In 2023 steeg het aantal meldingen van slachtoffers van deze deepfake naaktbeelden van 9 naar 59. De impact van deze beelden is groot, vooral op het zelfbeeld van slachtoffers, en wordt vaak gezien als een vorm van online seksueel misbruik. Veel apps werken via platforms zoals Telegram en zijn eenvoudig te gebruiken. De technologie achter de apps wordt steeds geavanceerder, waardoor het steeds moeilijker wordt om nepbeelden te onderscheiden van echte foto’s. Het maken en verspreiden van dergelijke beelden zonder toestemming is in Nederland strafbaar, maar de opsporing blijft een uitdaging.

Bron

Phishing en datalekken waren het afgelopen jaar de grootste digitale bedreigingen voor consumenten. Dit blijkt uit een analyse van een Duits cyberveiligheidsinstituut. Waar phishingaanvallen voorheen vooral gericht waren op de financiële sector, gebruiken cybercriminelen nu vaker de namen van bekende merken uit de logistiek, online handel, streamingdiensten en overheidsinstanties. Dit doen ze om vertrouwen te winnen en hun aanvallen geloofwaardiger te maken. Door de inzet van kunstmatige intelligentie worden phishingmails steeds realistischer en moeilijker te onderscheiden van echte berichten.

Naast phishing zijn datalekken een groot risico voor consumenten. Uit onderzoek blijkt dat bij 86,7% van de geanalyseerde datalekken namen en gebruikersnamen zijn buitgemaakt. Ook e-mailadressen en adresgegevens lekken regelmatig uit, wat kan leiden tot identiteitsfraude en andere vormen van misbruik. Dit benadrukt het belang van waakzaamheid en goede digitale beveiliging.

Bron

Sinds de invoering van de NIS2-wetgeving in oktober vorig jaar hebben 2410 organisaties uit kritieke sectoren in België zich geregistreerd bij het Centrum voor Cybersecurity België (CCB). Dit maakt het de grootste cyberbeveiligingsoperatie ooit in het land. De wetgeving is bedoeld om de cyberweerbaarheid van essentiële sectoren zoals energie, transport en gezondheidszorg te verbeteren. België was de eerste EU-lidstaat die NIS2 volledig implementeerde.

Het aantal meldingen van cyberincidenten is met 80% gestegen, maar dit komt vooral door betere rapportage. Er zijn geen aanwijzingen dat het aantal aanvallen daadwerkelijk is toegenomen. Organisaties die zich registreren bij Safeonweb@Work profiteren van snelle waarschuwingen bij kwetsbaarheden, dreigingsmeldingen en beveiligingsscans. De verwachting is dat meer bedrijven zich de komende maanden zullen aansluiten om hun digitale veiligheid te versterken.

Bron

De laatste tijd voeren verschillende landen, zoals de EU, het VK en Zweden, een intensievere strijd tegen end-to-end-encryptie. Experts waarschuwen dat het creëren van backdoors voor autoriteiten ook een risico vormt voor cybercriminelen en autoritaire regimes die deze toegang kunnen misbruiken. De zorgen zijn groot, vooral nu Europese landen maatregelen nemen die encryptie kunnen ondermijnen. Een voorbeeld is het voorstel van de Britse overheid om Apple te dwingen een backdoor in iCloud in te bouwen, wat resulteerde in het stopzetten van de Advanced Data Protection-service. Zweden overweegt wetgeving die platforms zou verplichten om kopieën van berichten op te slaan, zodat opsporingsinstanties toegang krijgen. Er is brede bezorgdheid over deze ontwikkelingen, die volgens experts een gevaar kunnen vormen voor de privacy van gebruikers wereldwijd.

Bron

Meer dan 100 autodealers zijn slachtoffer geworden van een supplychain-aanval via LES Automotive, een leverancier van videodiensten. De aanval maakte gebruik van een ClickFix-exploit met een gemanipuleerde reCAPTCHA, waarbij bezoekers ongemerkt schadelijke PowerShell-commando's uitvoerden. Hierdoor werd de malware SectopRAT op hun systemen geïnstalleerd.

SectopRAT is een remote access trojan (RAT) die gevoelige informatie steelt, zoals browsergegevens en cryptogerelateerde informatie. Opvallend aan deze aanval is dat niet alle bezoekers de kwaadaardige versie van de reCAPTCHA kregen voorgeschoteld. Gebruikers die de malafide variant wel ontvingen, werden misleid om handmatig een PowerShell-script uit te voeren, wat uiteindelijk leidde tot de installatie van de malware.

Deze aanval onderstreept de groeiende dreiging van supplychain-aanvallen, waarbij cybercriminelen zich richten op toeleveranciers om een groot aantal slachtoffers tegelijk te maken. Organisaties wordt aangeraden hun digitale keten goed te beveiligen en verdachte inlogprocedures te vermijden.

Bron

Uit het EU-SOCTA 2025-rapport blijkt dat georganiseerde misdaad ingrijpend verandert en een steeds grotere dreiging vormt voor Europa. Traditionele criminele structuren maken plaats voor flexibele netwerken die zich snel aanpassen aan digitale ontwikkelingen, geopolitieke instabiliteit en nieuwe technologieën. Misdaad wordt steeds ontwrichtender door de verwevenheid met corruptie, cyberaanvallen en illegale financiële netwerken.

De opkomst van AI en digitalisering versnelt deze trends, waardoor criminelen efficiënter opereren en moeilijker te traceren zijn. Online platforms worden gebruikt voor fraude, drugshandel, mensenhandel en de verspreiding van illegale wapens. Ook het witwassen van geld evolueert, met steeds slimmere methoden om criminele winsten te verbergen.

Om deze bedreigingen het hoofd te bieden, roept Europol op tot een geïntegreerde aanpak waarbij wetshandhavers niet alleen criminele netwerken aanpakken, maar ook hun digitale en financiële infrastructuren ontmantelen. Alleen zo kan Europa deze veranderende misdaad effectief bestrijden.

Bron

Later meer hierover in een artikel op ccinfo

De Belgische minister van Digitalisering, Vanessa Matz, overweegt een identificatieplicht bij het aanmaken van social media-accounts. Dit zou moeten helpen om kinderen en jongeren te beschermen tegen schadelijke invloeden op sociale media, zoals cyberpesten, fake news en haatspraak. De minister denkt hierbij aan identificatie via een digitale authenticatie-app.

Ook de Vlaamse minister van Welzijn, Caroline Gennez, steunt dit voorstel. Zij benadrukt de negatieve invloed van sociale media op het welzijn van jongeren. Volgens haar kan een identificatieplicht helpen om de minimumleeftijd van 13 jaar beter te handhaven.

Critici vrezen echter voor de impact op privacy. Zij stellen dat het verplicht delen van persoonlijke gegevens risico’s met zich meebrengt, zoals datalekken en misbruik door bedrijven. Anderen zien het als een beperking van anonieme online interacties, die voor sommige gebruikers juist van groot belang kunnen zijn.

Bron

Blockchain-gamingplatform WEMIX is het slachtoffer geworden van een cyberaanval waarbij 8,6 miljoen WEMIX-tokens, ter waarde van zo'n 5,6 miljoen euro, zijn gestolen. Het incident vond plaats op 28 februari 2025, maar werd pas later openbaar gemaakt vanwege de onzekerheid over de aanvallers en het risico op verdere cyberaanvallen. WEMIX, ontwikkeld door het Zuid-Koreaanse gamebedrijf Wemade, biedt spelers de mogelijkheid om cryptovaluta te verdienen en te verhandelen via hun platform. Na de ontdekking van de diefstal werd de getroffen server uit de lucht gehaald en is de website tijdelijk offline voor onderhoud. Het bedrijf heeft aangifte gedaan bij de politie en melding gemaakt bij de Zuid-Koreaanse autoriteiten.

Bron

OKX Web3 heeft zijn DEX-aggregator tijdelijk uit de lucht gehaald nadat bleek dat de Lazarus Group geprobeerd had gestolen ether te witwassen via het platform. De ether werd buitgemaakt tijdens de aanval op cryptoplatform Bybit in februari, waarbij 1,5 miljard dollar werd gestolen. De Amerikaanse FBI heeft deze aanval toegeschreven aan de Lazarus Group. OKX heeft maatregelen genomen om de situatie te verhelpen en meldt dat de witwaspogingen van de groep zijn mislukt. Het platform werkt aan nieuwe beveiligingsmaatregelen, waaronder een systeem dat crypto-adressen die verbonden zijn met cybercriminaliteit in realtime kan blokkeren. Ondertussen heeft de EU een onderzoek gestart naar de betrokkenheid van OKX bij de zaak, hoewel het platform zelf elke vorm van betrokkenheid ontkent.

Bron

Honderden Nederlandse militairen hebben per ongeluk persoonlijke gegevens gedeeld via de sportapp Strava. Veel van hen sporten op beveiligde militaire terreinen en publiceren hun prestaties, wat hen herkenbaar maakt in de app. Hierdoor zijn onder andere namen, profielfoto's en zelfs woonplaatsen van militairen zichtbaar geworden. Onderzoek heeft aangetoond dat op sommige Strava-routes gevoelige militaire locaties, zoals luchthavens en kazernes, te vinden zijn. Deze informatie kan eenvoudig gecombineerd worden met gegevens uit eerdere datalekken, waardoor e-mailadressen en telefoonnummers van de betrokkenen ook achterhaald kunnen worden. Als reactie adviseert het ministerie van Defensie militairen om hun profiel te vergrendelen en apps niet te gebruiken op gevoelige locaties. Dit incident benadrukt het risico van het onbewust delen van privé-informatie in openbare apps.

Bron

De Tweede Kamer heeft unaniem een motie aangenomen die oproept om de DNS-keten van SIDN weer volledig naar Nederland te verplaatsen. Dit besluit komt na zorgen over de migratie van een deel van het domeinregistratiesysteem naar Amazon Web Services (AWS), wat sinds de aankondiging tot bezorgdheid heeft geleid. SIDN zelf vindt de verplaatsing noodzakelijk vanwege lange termijn risico's voor de continuïteit van het systeem. Hoewel het kabinet de migratie niet volledig wil tegenhouden, heeft het besloten dat slechts een beperkt deel van het systeem naar AWS mag worden verplaatst. De AIVD voerde een risicoanalyse uit, maar de Kamerleden vrezen toch voor de veiligheid en autonomie van het .nl-domein. De motie werd gesteund door alle partijen in de Tweede Kamer.

Bron

DigiD, de inlogdienst voor overheidswebsites, was opnieuw tijdelijk onbereikbaar door een DDoS-aanval. Deze aanval, die begon om 10.15 uur, veroorzaakte storingen die twee uur later werden opgelost. Bij een DDoS-aanval wordt de dienst overbelast door massale verzoeken, waardoor gebruikers foutmeldingen ontvangen. In dit geval konden burgers niet inloggen bij belangrijke overheidsdiensten zoals de Belastingdienst, DUO, het UWV en zorgportalen. Dit is niet de eerste keer dit jaar dat DigiD getroffen werd door dergelijke aanvallen. Eerder waren er al storingen, zoals in de eerste week van maart, toen de dienst drie uur lang niet beschikbaar was. De aanvallers blijven onbekend, maar DDoS-aanvallen zijn relatief eenvoudig uit te voeren door kwaadwillenden die andere computers overnemen om een aanval uit te voeren.

Bron

Het Britse Nationaal Cyber Security Centre (NCSC) heeft een tijdspad gepresenteerd voor de overgang naar post-quantum cryptografie (PQC), die in 2035 afgerond moet zijn. Quantumcomputers hebben de potentie om bestaande encryptie te kraken, wat zorgt voor een verhoogd risico voor de digitale veiligheid. Daarom moeten overheden, bedrijven en andere organisaties overstappen naar PQC, een versleuteling die bestand is tegen quantumcomputers. Het tijdspad voorziet dat organisaties in 2028 hun migratiedoelen hebben opgesteld en plannen voor de overgang moeten hebben. In 2031 moeten belangrijke migratieactiviteiten zijn uitgevoerd en in 2035 moeten alle systemen volledig overgeschakeld zijn naar PQC. Het NCSC benadrukt dat sommige sectoren mogelijk meer tijd nodig hebben vanwege technische uitdagingen, maar de overgang is cruciaal voor de digitale veiligheid.

Bron

De samenwerking tussen Europese privacytoezichthouders heeft in 2024 steeds meer positieve resultaten opgeleverd, zo blijkt uit het jaarverslag van de Autoriteit Persoonsgegevens (AP). Onder andere gezamenlijke interventies bij grote bedrijven zoals Meta, Netflix en Uber werden uitgevoerd. De AP benadrukt de risico's die grote techbedrijven vormen voor de privacy van Europeanen en stelt dat samenwerking de enige manier is om deze dreigingen effectief aan te pakken. Ook werd er gezamenlijk standpunt ingenomen over 'pay or consent'-modellen voor gepersonaliseerde advertenties. De AP voert jaarlijks duizenden gesprekken met organisaties om wetgeving uit te leggen en privacyklachten af te handelen. Toch roept de toezichthouder op tot meer investeringen in capaciteit, aangezien er nog steeds tekorten zijn in het uitvoeren van onderzoeken en het bieden van voorlichting.

Bron

De Nederlandsche Bank (DNB) uit zorgen over de groeiende afhankelijkheid van buitenlandse bedrijven voor de infrastructuur van digitale betalingen. De meeste systemen worden beheerd door niet-Europese bedrijven, wat volgens DNB risico's met zich meebrengt. Beleidsbeslissingen van andere landen kunnen invloed hebben op hoe en aan wie betalingen worden uitgevoerd, wat onwenselijk is. DNB ondersteunt daarom Europese initiatieven zoals Wero en de ontwikkeling van de digitale euro, die een onafhankelijk betaalmiddel zou bieden. Daarnaast wijst DNB op de toenemende cyberdreigingen, waarbij een kwart van de wereldwijde aanvallen gericht is op de financiële sector. De introductie van de Digital Operational Resilience Act (DORA) moet de veerkracht van financiële instellingen vergroten. Ook wordt er gewerkt met geavanceerde weerbaarheidstesten om de kwetsbaarheid van de sector te verkleinen.

Bron

DigiD en verschillende andere overheidsdiensten zijn opnieuw beperkt beschikbaar door terugkerende DDoS-aanvallen. Volgens beheerder Logius wordt er hard gewerkt aan een oplossing om de dienstverlening te herstellen. De storing treft niet alleen DigiD, maar ook DigiD Machtigen, BSNk, Digipoort en MijnOverheid. Gebruikers klagen over problemen met inloggen, ondanks een goed werkende internetverbinding. De impact is merkbaar, vooral omdat dit al de derde storing in drie weken tijd is. Voor veel mensen zorgt dit voor frustratie, vooral wanneer ze afhankelijk zijn van DigiD voor hun werk of het regelen van overheidszaken. Verdere technische details over de aanvallen zijn niet vrijgegeven.

Bron, Bron2

Eén op de vijf jongeren is slachtoffer geworden van een nepwebwinkel waarbij bestelde producten nooit worden geleverd. Vaak gaat het om verleidelijke aanbiedingen via sociale media, zoals in het geval van de 18-jarige Dana Bello die 40 euro kwijt was aan nepschoenen. De helft van de jongeren kent bovendien iemand in hun omgeving die hetzelfde is overkomen. Uit onderzoek blijkt dat jongeren regelmatig worden opgelicht via onbetrouwbare websites met lage prijzen en neprecensies. Slachtoffers doen zelden aangifte omdat het te veel moeite kost of omdat ze het niet als ernstig genoeg ervaren. De politie krijgt desondanks veel meldingen binnen en houdt een lijst bij van verdachte websites en bankrekeningen. Ook worden jongeren gewaarschuwd voor dropshipping-webwinkels waar de levertijd extreem lang is of de kwaliteit tegenvalt. Het advies is om altijd reviews te checken en alert te zijn bij opvallend goedkope deals.

Bron

Signal-directeur Meredith Whittaker uit stevige kritiek op recente uitspraken van WhatsApp-topman Will Cathcart, die stelde dat er weinig verschil is tussen WhatsApp en Signal op het gebied van privacy. Whittaker noemt deze uitspraken misleidend en benadrukt dat WhatsApp wel degelijk veel metadata verzamelt, zoals locatiegegevens, contacten, tijdstippen van berichten en groepsinformatie. Deze data is niet versleuteld met end-to-end encryptie, in tegenstelling tot de inhoud van berichten. Signal gebruikt dezelfde encryptietechnologie, maar verzamelt deze gevoelige informatie niet. Volgens Whittaker zijn de verschillen fundamenteel en raken ze aan de kern van digitale veiligheid en privacy. Ze wijst erop dat de broncode van Signal openbaar is en dat transparantie en dataminimalisatie essentieel zijn voor gebruikerskeuze. Signal vindt het zorgelijk dat WhatsApp zich via marketingcampagnes gelijk probeert te stellen, terwijl de privacybenadering sterk verschilt.

De hoofdredacteur van The Atlantic, Jeffrey Goldberg, belandde per ongeluk in een besloten Signal-groep waarin topfunctionarissen van Donald Trump militaire strategieën bespraken. Zonder dat de leden het doorhadden, volgde hij dagenlang hun communicatie over een geplande aanval op de Houthi’s in Jemen. Goldberg was verbaasd om gesprekken te lezen van onder andere de vicepresident, CIA-directeur en nationale veiligheidsadviseur, waarin doelwitten en aanvalsmomenten openlijk werden gedeeld. Tijdens de gesprekken uitte JD Vance zijn frustratie over Amerika’s rol als verdediger van Europese belangen, terwijl anderen probeerden te bedenken hoe de aanval aan het Amerikaanse publiek verkocht kon worden. Enkele uren na het laatste bericht begon de daadwerkelijke aanval. De blunder leidde tot grote ophef in de Amerikaanse politiek. Democraten eisen een diepgaand onderzoek en spreken van een ongekende schending van veiligheidsprotocollen. Het Witte Huis bevestigde de fout maar Trump ontkende betrokkenheid.

Bron

Screenshot

Het Amerikaanse dna-testbedrijf 23andMe heeft faillissement aangevraagd, wat tot zorgen leidt over de privacy van gebruikersdata. In 2023 werd het bedrijf al getroffen door een groot datalek waarbij de afstammingsgegevens van 6,9 miljoen mensen werden buitgemaakt. Gebruikers konden via het platform hun genetische afkomst ontdekken en familieleden opsporen, maar ook gezondheidstests laten doen. Door het faillissement bestaat het risico dat deze gevoelige gegevens als onderdeel van de boedel worden overgedragen of verkocht. De procureur-generaal van Californië roept gebruikers op om hun data en eventueel dna-materiaal zo snel mogelijk te laten verwijderen. Hij benadrukt dat Californië strenge privacyregels kent die burgers het recht geven om hun gegevens te laten wissen. Hoewel 23andMe beweert dat het privacybeleid bij een overname niet verandert, blijft er onzekerheid omdat het beleid op elk moment kan worden aangepast.

Bron

Vijf jaar na een grote cyberaanval waarbij het netwerk van Universiteit Maastricht werd gegijzeld, heeft de universiteit het destijds betaalde losgeld van 197.000 euro teruggekregen. Niet alleen is het bedrag teruggekeerd, ook kreeg de universiteit ruim 3,5 ton extra, doordat de waarde van de bitcoins waarmee het losgeld werd betaald flink is gestegen. Na een langdurige juridische procedure kon het Openbaar Ministerie eind 2024 uiteindelijk 561.976 euro overmaken naar de universiteit. Hoewel dit financieel gezien een meevaller is, benadrukt de universiteit dat de totale schade door de aanval vele malen groter was. Het geld wordt nu ingezet voor een fonds dat wetenschappers en studenten in nood moet ondersteunen. Een deel van het bedrag gaat naar een programma dat academici uit conflictgebieden een veilige werkplek in Nederland biedt.

Bron

Oracle heeft ontkend dat hun cloudservers gehackt zijn en dat de gegevens van zes miljoen gebruikers zijn gestolen. Echter, onderzoek toont aan dat de gegevens die door de aanvaller zijn gedeeld, authentiek zijn. De dreiger genaamd 'rose87168' beweerde toegang te hebben gekregen tot de Oracle Cloud en bood gestolen gegevens aan, waaronder versleutelde wachtwoorden van gebruikers. Verschillende bedrijven die de gegevens verifieerden, bevestigden de juistheid van de informatie, zoals e-mailadressen en namen. Ook werd bewijs gevonden van een e-mailwisseling tussen de aanvaller en Oracle, wat suggereert dat er daadwerkelijk een kwetsbaarheid is uitgebuit in de Oracle Cloud-infrastructuur. De aanval zou gebruik hebben gemaakt van een bekende zwakte in Oracle Access Manager. Ondanks de ontkenning van Oracle blijft de dreiging bestaan, en het bedrijf heeft sindsdien de kwetsbare server offline gehaald.

Bron

Een dreigingsactor met de naam "rose87168" beweert ongeveer 6 miljoen gevoelige gegevens te hebben gestolen uit Oracle Cloud. Het gaat om versleutelde wachtwoorden, authenticatiegegevens en sleutelbestanden. Deze gegevens zouden te koop worden aangeboden en de aanvaller zou geprobeerd hebben om getroffen organisaties af te persen. Oracle ontkent echter de inbraak en stelt dat geen klantgegevens zijn gestolen. De claim betreft onder andere Java KeyStore-bestanden, Single Sign-On wachtwoorden en LDAP-wachtwoorden, die cruciaal kunnen zijn voor de beveiliging binnen Oracle Cloud. Onderzoekers hebben gemeld dat er mogelijk ongeautoriseerde toegang heeft plaatsgevonden, maar de zaak blijft onduidelijk. Oracle blijft volhouden dat de gelekte gegevens niet gerelateerd zijn aan hun systemen.

DigiD, het inlogsysteem van de overheid, heeft de laatste weken vaker last van korte storingen. De oorzaak ligt bij geavanceerdere ddos-aanvallen die moeilijker te detecteren en tegen te houden zijn. Zo’n aanval overbelast het netwerk door extreem veel verkeer te sturen, waardoor DigiD tijdelijk onbereikbaar wordt. Dit kan gevolgen hebben voor burgers die niet kunnen inloggen bij bijvoorbeeld de Belastingdienst of zorgportalen. Volgens Logius, de beheerder van DigiD, gaat het soms om meerdere kleine aanvallen tegelijk, wat een nieuwe tactiek is. Ondanks dat de meeste aanvallen snel worden afgeslagen, blijft het een uitdaging om het kwaadaardige verkeer te onderscheiden van legitiem verkeer. De daders zijn vaak jonge mensen die voor weinig geld zo’n aanval kunnen uitbesteden. Hoewel de schade beperkt blijft tot onbereikbaarheid, benadrukt Logius de maatschappelijke impact en de noodzaak om DigiD continu beschikbaar te houden.

Bron

T-Mobile heeft 33 miljoen dollar betaald in een Amerikaanse zaak rond een grootschalige cryptodiefstal via sim-swapping. Een arbitragecommissie oordeelde dat de telecomprovider nalatig was in het beveiligen van klantgegevens, waardoor criminelen toegang kregen tot het telefoonnummer van een slachtoffer. Vervolgens wisten de aanvallers 1500 bitcoin en 60.000 Bitcoin Cash te stelen, ter waarde van 38 miljoen dollar. De sim-swap werd in 2020 uitgevoerd door een medewerker van T-Mobile die het nummer van de klant overdroeg aan de criminelen. Een Canadese tiener werd later schuldig bevonden aan de diefstal. T-Mobile probeerde volgens het betrokken advocatenkantoor te voorkomen dat details over de beveiligingsfouten openbaar werden gemaakt. Deze zaak geldt als een van de duurste schadeclaims ooit in verband met sim-swapping.

Bron

Rostislav Panev, een 51-jarige dubbele Russische en Israëlische staatsburger, is op 13 maart 2025 uitgeleverd aan de Verenigde Staten. Hij wordt beschuldigd van zijn rol als ontwikkelaar voor de beruchte LockBit ransomware-groep. Panev werd in augustus 2024 in Israël gearresteerd na een uitleveringsverzoek van de VS. Volgens de aanklacht was hij betrokken bij de oprichting en ontwikkeling van LockBit van 2019 tot 2024, een van de meest destructieve ransomware-operaties ter wereld. Het netwerk viel meer dan 2.500 slachtoffers aan in meer dan 120 landen, waaronder ziekenhuizen, scholen en overheidsinstanties. Tijdens de arrestatie werden gegevens gevonden die zijn rol in de ontwikkeling van malware en specifieke technische componenten, zoals het omzeilen van Windows Defender, bevestigden. Panev zou tussen juni 2022 en februari 2024 meer dan $230.000 in cryptocurrency hebben ontvangen voor zijn werkzaamheden. Het onderzoek naar LockBit gaat wereldwijd door.

Bron

Het Openbaar Ministerie (OM) heeft celstraffen geëist voor vijf verdachten die betrokken waren bij de diefstal van meer dan 100.000 euro aan cryptovaluta. De drie hoofdverdachten zouden software op systemen van slachtoffers hebben geïnstalleerd om deze op afstand te besturen. Hierdoor kregen zij toegang tot telefoonnummers en cryptowallets van slachtoffers, waarbij zij cryptomunten weghaalden. Twee andere verdachten zouden derden tegen betaling toegang hebben verschaft tot systemen en gegevens. Het onderzoek leidde tot de arrestatie van drie mannen, van wie gegevensdragers in beslag werden genomen. Daarnaast bleek een gestolen database van een cryptodienstverlener door een van de verdachten te zijn gebruikt om doelwitpersonen te selecteren. Via een corrupt medewerker van een telecombedrijf werden telefoonnummers omgezet in blanco simkaarten, wat de toegang tot cryptowallets vergemakkelijkte.

Bron

In 2024 heeft SIDN, de beheerder van .nl-domeinnamen, in 88 gevallen contactgegevens van domeinnaamhouders gedeeld met partijen die een gerechtvaardigd belang konden aantonen. Dit gebeurde bijvoorbeeld bij juridische procedures of verzoeken van opsporingsinstanties. In totaal ontving SIDN 91 verzoeken, iets meer dan in 2023. Niet alle gegevens van domeinnaamhouders zijn publiek zichtbaar via de Whois-functie, maar kunnen op aanvraag verstrekt worden via een formulier op de SIDN-website. Ook kan SIDN deze informatie op eigen initiatief delen.

Daarnaast heeft SIDN actief opgetreden tegen malafide websites. In gevallen van phishing of malware op .nl-domeinen werden betrokken partijen eerst gewaarschuwd. Als zij na meerdere meldingen geen actie ondernamen, werd het domein inactief gemaakt. Dit gebeurde vorig jaar bij 393 domeinnamen, een daling ten opzichte van de 592 gevallen in 2023.

Bron

Tijdens een grootschalige internationale actie, geleid door INTERPOL, zijn in zeven Afrikaanse landen 306 verdachten gearresteerd voor hun betrokkenheid bij cyberaanvallen en digitale oplichting. De operatie, genaamd Red Card, liep van november 2024 tot februari 2025 en richtte zich op onder meer mobiele bankfraude, investeringszwendel en misbruik van berichtenapps. In totaal werden ruim 1.800 apparaten in beslag genomen en werden meer dan 5.000 slachtoffers geïdentificeerd. In Nigeria arresteerde de politie 130 personen, waaronder veel buitenlandse oplichters die mogelijk slachtoffer zijn van mensenhandel. In Zuid-Afrika werd een grootschalige SIM-kaartfraude ontmanteld en in Zambia werden hackers opgepakt die via malware bankapps overnamen. Rwanda ontdekte een netwerk dat via sociale manipulatie ruim 300.000 dollar buitmaakte. De operatie onderstreept het belang van internationale samenwerking in de strijd tegen grensoverschrijdende cybercriminaliteit en laat zien dat cybercriminelen steeds creatiever én gewetenlozer te werk gaan.

Bron

Tijdens een grootschalige actie van de politie en het Openbaar Ministerie zijn in drie dagen tijd vijftien verdachten verhoord op locaties in Groningen, Winschoten en Hoogezand. De actie, ook wel een ‘wasstraat’ genoemd, leidde tot de behandeling van 39 aangiftes van oplichting. Veel van de verdachten bleken zogeheten geldezels te zijn, personen die hun bankrekening beschikbaar stelden aan criminelen voor het witwassen van geld. Niet alle verdachten waren betrokken bij de oplichting zelf, maar faciliteerden het criminele proces. Elf verdachten kregen meteen duidelijkheid over hun straf of dagvaarding en sommigen moesten schadevergoeding betalen. Vier zaken worden later verder onderzocht. Het doel van deze aanpak is het verstoren van criminele geldstromen en het voorkomen van verdere fraude. De politie benadrukt dat het inzetten van je rekeningnummer ernstige gevolgen heeft, waaronder strafvervolging en financiële problemen.

Bron

• Naar pagina

De retailsector wordt steeds vaker het doelwit van cybercriminaliteit, waarbij gestolen inloggegevens de grootste dreiging vormen. Cyberaanvallen zijn frequenter en kostbaarder geworden, met een stijging van 25% in aanvallen in 2023 ten opzichte van 2022. Het gemiddelde kostenplaatje van een datalek in de retailsector steeg naar $3,48 miljoen in 2024. Cybercriminelen maken gebruik van social engineering, waaronder phishing en credential harvesting, om toegang te krijgen tot systemen. Retailers worden extra kwetsbaar door seizoensgebonden drukte, afhankelijkheid van derden en multichannel-operaties. Het implementeren van security awareness training kan de kans op succesvolle aanvallen aanzienlijk verkleinen.

Download

Het dreigingsbeeld voor 2025 laat een snelle toename zien van datalekken, ransomwareaanvallen en het gebruik van informatie-steelende malware. In 2024 werden 3,2 miljard inloggegevens buitgemaakt, een stijging van 33 procent, waarvan 75 procent via infostealers werd verkregen. Deze malware infecteerde wereldwijd 23 miljoen apparaten en is goedkoop en makkelijk beschikbaar op het darkweb. Datalekken stegen met 6 procent en leidden tot het lekken van 16,8 miljard gegevens, waarbij ongeautoriseerde toegang in 73 procent van de gevallen de oorzaak was. Ook het aantal kwetsbaarheden nam toe met 12 procent, waarvan meer dan 39 procent actief werd misbruikt. De trends tonen aan dat organisaties zich niet alleen moeten richten op technische verdediging, maar ook op vroegtijdige detectie en monitoring van dreigingen.

Download

Lees ons uitgebreide artikel: Cyberdreigingen 2025: deze trends bepalen jouw digitale veiligheid

In het laatste kwartaal van 2024 nam HP Wolf Security een sterke toename waar van aanvallen via e-mail waarbij kwaadwillenden misbruik maken van ogenschijnlijk veilige bestanden zoals PDF’s en SVG-afbeeldingen. Opvallend was de inzet van nep-CAPTCHA’s waarbij slachtoffers werden verleid om schadelijke PowerShell-commando’s te plakken en uit te voeren, wat leidde tot besmetting met Lumma Stealer. Andere campagnes maakten gebruik van gescripte SVG-bestanden en Python-malware om meerdere soorten RATs te verspreiden. In de regio Azië-Pacific werden ingenieursbedrijven gericht met kwaadaardige PDF’s die VIP Keylogger installeerden. Cybercriminelen gebruiken steeds creatievere technieken zoals DLL sideloading, dubbele extensies en HTML smuggling om detectie te omzeilen en systemen langdurig te besmetten.

Download

In 2024 werden operationele technologie en industriële controlesystemen steeds vaker doelwit van cyberaanvallen, waarbij geopolitieke conflicten zoals in Oekraïne en het Midden-Oosten centraal stonden. Hacktivisten en statelijke actoren gebruikten eenvoudige maar effectieve methoden om kritieke infrastructuur te verstoren, van verwarmingstorens in Oekraïne tot telecomnetwerken in Duitsland. Dragos zag hoe groepen zoals KAMACITE en ELECTRUM nieuwe malware inzetten en samenwerkten met hacktivisten om detectie te ontwijken. Ransomware-aanvallen op productiebedrijven stegen met 87 procent en bijna de helft van de kwetsbaarheden bevond zich diep in netwerken zonder zichtbaarheid. Basismaatregelen blijven cruciaal om deze toenemende dreiging het hoofd te bieden.

Lees ons uitgebreide artikel en download het rapport: Cybersecurity in OT: De dreigingen van 2025 en hoe te verdedigen

Uit internationaal onderzoek blijkt dat medewerkers vaak te veel vertrouwen hebben in hun vermogen om cyberdreigingen te herkennen, wat niet altijd overeenkomt met hun werkelijke vaardigheden. Hoewel 86% van de werknemers denkt phishing te kunnen herkennen, blijkt bijna 50% van hen ooit slachtoffer te zijn geworden van cyberaanvallen. Het onderzoek toont regionale verschillen, waarbij het vertrouwen in landen als Zuid-Afrika en het VK hoog is, maar de effectiviteit vaak achterblijft. Er wordt benadrukt dat trainingen op maat en scenario-gebaseerd leren nodig zijn om werknemers daadwerkelijk weerbaar te maken tegen cyberdreigingen.

Downloaden

• Naar pagina

Europese overheden en bedrijven vertrouwen massaal op Amerikaanse cloudomgevingen zoals Microsoft en Google. Dit biedt gemak, maar brengt ook grote risico’s met zich mee. Van juridische onzekerheden rondom privacywetgeving tot de dreiging van cyberaanvallen: de afhankelijkheid van buitenlandse techgiganten zet de digitale soevereiniteit onder druk. Wat betekent dit voor de veiligheid van onze gegevens en kritieke infrastructuur? En welke alternatieven zijn er om deze risico’s te beperken?

Lees verder

De opkomst van quantumcomputing dreigt de fundamenten van huidige beveiligingssystemen, zoals wachtwoordbeheer, te ondermijnen. De kracht van quantumcomputers maakt traditionele encryptiemethoden kwetsbaar, maar wat betekent dit voor de tools die we dagelijks gebruiken? In dit artikel onderzoeken we de impact van quantum computing op wachtwoordbeheer en of MindYourPass een toekomstbestendige oplossing biedt. Ontdek hoe de nieuwste technologieën de digitale veiligheid kunnen versterken in een wereld die snel verandert.

Lees verder

De wereld van cybercriminaliteit is in rap tempo veranderd. Waar aanvallen voorheen vaak het werk waren van individuele hackers, zien we nu een verschuiving naar een nieuwe dreiging: Cybercrime-as-a-Service (CaaS). Dit model maakt het mogelijk voor zowel ervaren criminelen als beginners om complexe cyberaanvallen uit te voeren zonder diepgaande technische kennis. In dit artikel onderzoeken we hoe CaaS de toekomst van cyberoorlogvoering vormgeeft, welke rol platforms zoals Telegram hierbij spelen en wat de gevolgen zijn voor onze digitale veiligheid.

Lees verder

Georganiseerde misdaad is in de loop der jaren ingrijpend veranderd, deels door technologische vooruitgangen en geopolitieke verschuivingen. De digitale ruimte biedt criminelen nieuwe mogelijkheden om sneller en effectiever operaties uit te voeren, terwijl traditionele misdrijven steeds vaker digitaal worden uitgevoerd. Dit artikel onderzoekt de impact van deze veranderingen op onze veiligheid en hoe wetshandhavers zich moeten aanpassen om deze nieuwe dreigingen het hoofd te bieden.

Lees verder

NIS2 is een belangrijke Europese richtlijn die de digitale veiligheid van bedrijven versterkt. Hoewel het vooral gericht is op grote organisaties in kritieke sectoren, raakt het ook kleinere bedrijven die deel uitmaken van toeleveringsketens. In dit artikel ontdek je waarom NIS2 ook voor jouw bedrijf relevant is en welke stappen je kunt nemen om compliant te worden. Mis niet de kans om te leren hoe je je organisatie kunt beschermen tegen de steeds toenemende cyberdreigingen.

Lees verder

• Naar pagina