Deze podcast is AI-gegeneerd. (Engels)
De cyberdreigingen van afgelopen week laten zien hoe fragiel onze digitale infrastructuur is. Er vonden talloze ransomwareaanvallen plaats, zowel op kleine als grote organisaties, en datalekken troffen honderden tot honderdduizenden gebruikers wereldwijd. Dit artikel maakt het onzichtbare zichtbaar door recente incidenten uit te lichten die grote gevolgen hebben voor bedrijven en consumenten. We starten met een overzicht van ransomwareaanvallen en de bijbehorende gevolgen, waarna we ingaan op datalekken in Nederland en België. Vervolgens werpen we een blik op de mondiale dreigingstrends en sluiten we af met concrete preventietips en een doorkijk naar wat ons te wachten staat.
Ransomwareaanvallen in binnen- en buitenland
Ransomware blijft een van de meest destructieve vormen van cybercriminaliteit. Criminelen versleutelen gegevens en eisen vervolgens losgeld om deze weer vrij te geven. Onderhandelingen vinden vaak plaats in het geheim, wat de daders in staat stelt grote sommen geld los te peuteren. Hieronder staan enkele opvallende ransomwareincidenten van de afgelopen week.
Meerapfel Family in België getroffen
In België is de Meerapfel Family – vooral bekend door de productie en verkoop van premium sigaren – het slachtoffer geworden van een ransomwareaanval op het bedrijf MMS Belgium S.A. De aanval resulteerde in toegang tot gevoelige bedrijfsinformatie. Hoewel de omvang van het lek nog niet volledig in kaart is gebracht, zijn interne documenten mogelijk openbaar gemaakt of te koop aangeboden op het darkweb. Deze aanval past in een bredere trend waarbij voedings- en genotmiddelenbedrijven steeds vaker doelwit zijn van ransomwaregroepen. De Meerapfel Family stelt dat de dagelijkse bedrijfsvoering ondanks de aanval doorgaat, maar erkent dat de exacte impact op reputatie en klantvertrouwen nog niet duidelijk is.
Wereldwijde golf van ransomware
Van 30 december 2024 tot en met 5 januari 2025 heeft een opmerkelijke reeks ransomwareaanvallen plaatsgevonden in verschillende landen:
- Play-ransomware sloeg onder meer toe bij Bettisworth North, Luxury Yacht Group, Zeifmans en McCray Lumber (Verenigde Staten en Canada). Deze groep staat bekend om het aanvallen van organisaties in uiteenlopende sectoren, van bouw en recreatie tot financiële dienstverlening.
- Funksec-ransomware trof organisaties zoals Equitiesnagain.com (VS), Bitnato.one (VS), DCD.gov.ae (Verenigde Arabische Emiraten), MOPH.gov.lb (Libanon) en MOFAGA.gov.np (Nepal). Ook ApexFootwearLtd.com (Bangladesh) ontkwam niet aan deze aanval. Funksec focust zich opvallend vaak op (semi-)overheidsinstellingen in Afrika en Azië, maar maakt ook uitstapjes naar commerciële ondernemingen.
- Cloak-ransomware richtte zich op een stad in Canada (Town of Ponoka), een onbekend Australisch bedrijf en een Duits bedrijf. Cloak combineert chantage door data te lekken als er niet betaald wordt, en maakt gebruik van sociale druk door ook perscontacten te benaderen met de aankondiging van een datalek.
- 8Base-ransomware zorgde voor schade bij onder meer Carrollton Orthopaedic Clinic, Tarnaise des Panneaux SAS, Jay Enn Corporation, VOLTAIRE AVOCATS en Grupo Buddemeyer (Brazilië). De 8Base-groep staat bekend om doelgerichte aanvallen op zowel zorginstellingen als advocatenkantoren.
- Ook namen als Ransomhub, Dragonforce, Qilin, Darkvault en Eldorado doken op in hun aanvallen op bijvoorbeeld Lian Beng Group (Singapore), Groupe GM (Frankrijk), Conflux HR (India) en HIDROCARBUROS ARGENTINOS S.A. (Argentinië).
Uit deze incidenten blijkt dat ransomwaregroeperingen steeds gerichter te werk gaan, vaak inspelend op zwakheden in netwerken, menselijke fouten en onveilige software.
Datalekken en hacks in nederland en belgië
Naast ransomware bleken datalekken in Nederland en België een belangrijk thema. Criminelen en hackers richten zich vaak op de grote hoeveelheden persoonlijke gegevens die hier beschikbaar zijn, variërend van e-mailadressen en wachtwoorden tot volledige persoonsdossiers. Deze data is uiterst waardevol op het darkweb.
120.000 Nederlandse accounts blootgesteld
Een hacker met de alias “el_capitan” biedt op een populair darkwebforum 120.000 Nederlandse accounts te koop aan. De datasets bevatten gebruikersnamen en wachtwoorden en zouden volgens de hacker “van hoge kwaliteit” zijn. De precieze bron van deze gegevens is onduidelijk, maar el_capitan geldt als een ervaren cybercrimineel. Slachtoffers lopen risico op identiteitsfraude en andere vormen van misbruik. Daarom wordt aangeraden wachtwoorden meteen te wijzigen en waar mogelijk tweefactorauthenticatie te activeren.
Datalek bij BreachForums: 800.000 persoonsgegevens
Op 2 januari 2025 heeft de bekende dataleksite BreachForums opnieuw van zich laten horen. De hacker “icywinds” zette een dataset met 800.000 Nederlandse persoonsgegevens online. Het gaat onder meer om namen, e-mailadressen, adressen, telefoonnummers en geboortedata. Omdat de gegevens openbaar zijn gemaakt, ligt misbruik op de loer. Iemand die in bezit is van dit soort informatie kan phishingmails sturen die heel geloofwaardig overkomen, of gerichte sms’jes versturen. BreachForums zelf heeft nog niet gereageerd op dit incident.
205.000 accounts gelekt door CobraEgyLeaks
Op 3 januari 2025 werd bekend dat nog eens 205.000 Nederlandse accounts te koop worden aangeboden door de groep CobraEgyLeaks. Deze organisatie, naar verluidt actief in het Midden-Oosten en Noord-Afrika, richt zich op diverse sectoren, waaronder overheidsinstellingen en private ondernemingen. De gestolen data omvat voornamelijk e-mailadressen en wachtwoorden. De groepering staat te boek als zeer ervaren en zou reeds meerdere succesvolle aanvallen op haar naam hebben staan.
KLM X-account gehackt
Ook grote bedrijven met een breed gebruikersbestand blijven doelwit, zoals de luchtvaartmaatschappij KLM. Hun officiële X-account (voorheen Twitter) werd overgenomen door onbekende aanvallers, die cryptogerelateerde boodschappen plaatsten en zelfs een ludieke oproep deden: “Willen jullie meevliegen met KLM? Bestemming: Maan!” Hoewel de hack snel ongedaan werd gemaakt, blijft onduidelijk wie erachter zit. KLM heeft aangegeven dat de beveiliging van hun socialmedia-accounts verder zal worden aangescherpt.
Politie lanceert online aangifte ransomware
Om meldingsbereidheid te verhogen, heeft de Nederlandse politie aangekondigd dat bedrijven vanaf 2025 online aangifte kunnen doen van ransomwareaanvallen. Dit is een uitbreiding op de bestaande mogelijkheid voor particulieren om cybercrime online te melden. De politie hoopt zo sneller en efficiënter opsporingswerk te kunnen doen, bijvoorbeeld door IP-adressen en cryptovaluta-transacties te traceren. Digitale rechercheur Gina Doekhie benadrukt dat de politie deze informatie dringend nodig heeft om daders te identificeren en te vervolgen. Tegelijk blijft er terughoudendheid bij bedrijven die bang zijn voor reputatieschade of twijfelen of aangifte zinvol is.
Premier Schoof: afluisteren via mobiele apparaten
Naast puur criminele dreigingen nemen ook de zorgen over spionage toe. Premier Schoof onderstreepte in een recente toespraak dat elke smartphone of smartwatch gebruikt kan worden om gesprekken op te nemen. Daarom moeten leden van het kabinet en hun medewerkers bij binnenkomst in het Catshuis hun devices in een afgesloten kast plaatsen. Dit beleid leverde controverse op, omdat het digitale gemak en de bereikbaarheid eronder lijden. Toch wijst de premier erop dat de gevaren van afluisterpraktijken niet onderschat moeten worden, zeker nu buitenlandse inlichtingendiensten steeds innovatiever te werk gaan.
Mondiale dreiging: trends en incidenten
Hoewel de nadruk ligt op Nederland en België, is cybercriminaliteit per definitie een mondiaal fenomeen. De afgelopen week kwamen enkele opmerkelijke ontwikkelingen aan het licht die laten zien hoe internationaal en veelzijdig de dreiging is.
Nieuwe aanvalstechnieken
- Bad Likert Judge: Deze innovatieve methode misbruikt AI-systemen door subtiele manipulatie van data, waardoor de kunstmatige intelligentie minder goed in staat is malafide inhoud te detecteren. Vooral grote bedrijven die AI inzetten voor spam- en malwarefiltering moeten alert zijn op deze nieuwe aanvalstechniek.
- Geavanceerde UEFI-bootkits: Onderzoekers ontdekten een bootkit die zich nestelt onder het besturingssysteem in de UEFI-laag (Unified Extensible Firmware Interface). Omdat deze firmware zeer vroeg in het opstartproces laadt, is het lastig voor antivirussoftware om de aanval te detecteren of te blokkeren. Hierdoor zijn aanvallers in staat op kernel-niveau controle te krijgen over systemen.
Datadiefstal op grote schaal
- Massale datalek van 180 miljoen inloggegevens: Hackers hebben een gigantisch pakket van 180 miljoen inloggegevens van diverse URL’s buitgemaakt. Deze kunnen worden verkocht op het darkweb of worden gebruikt voor credential stuffing, waarbij hackers proberen in te loggen op andere websites, in de hoop dat gebruikers dezelfde wachtwoorden hergebruiken.
- Nieuwe Android-malware ‘FireScam’: Deze malware doet zich voor als een zogenaamd “Telegram Premium”-app en verspreidt zich via neppe downloadlinks. Zodra een gebruiker de toepassing installeert, krijgt de aanvaller toegang tot contacten, sms-berichten en andere privégegevens.
Kwetsbaarheden en foutieve configuraties
- Verouderde D-Link-routers blijven een gemakkelijke prooi voor botnetaanvallen. Aanvallers kunnen routerinstellingen overnemen, waardoor doorverwijzing van internetverkeer of injectie van malware mogelijk wordt.
- Foutieve Kubernetes-configuraties in Azure Airflow: Dit leidt tot ongeautoriseerde toegang tot containers, waardoor de data van bedrijven in gevaar komt. Microsoft en security-experts wijzen er al langer op dat misconfiguraties een van de grootste oorzaken zijn van datalekken in cloudomgevingen.
Organisaties onder vuur
- Schneider Electric meldt een datalek waarbij gevoelige gegevens op het darkweb zijn beland. Het bedrijf, gespecialiseerd in energiebeheer en automatisering, onderzoekt de aard en omvang van het lek.
- Atos, een Frans IT-consultancybedrijf, ontkent betrokkenheid bij een ransomware-aanval, ondanks dat meerdere bronnen claimen dat er toch data is buitgemaakt.
- Amerikaanse banksector maakte recent melding van een datadiefstal die privacyzorgen oproept. Hoewel details schaars zijn, wijst het incident erop dat financiële instellingen voortdurend onder vuur liggen van gespecialiseerde hackersgroepen.
De internationale aard van deze incidenten illustreert hoe kwetsbaar digitale infrastructuur is en hoe variërend de werkwijze van de aanvallers kan zijn. Sommigen gebruiken geavanceerde technieken, anderen richten zich op slecht geconfigureerde systemen. Waar men ook kijkt, het beeld is hetzelfde: elke sector, elk land en elke organisatie kan doelwit zijn, en de gevolgen kunnen zeer ernstig zijn.
Lessen, preventie en vooruitblik
Om de impact van ransomwareaanvallen en datalekken te beperken, is een combinatie van technische en organisatorische maatregelen nodig. Hieronder staan vijf belangrijke aanbevelingen:
-
Implementeer sterke wachtwoord- en authenticatiebeleid
In vrijwel alle datalekken speelt hergebruik van wachtwoorden een rol. Een adequaat beleid houdt in dat wachtwoorden lang, uniek en complex zijn. Combineer dit met tweefactor- of meerfactorauthenticatie, zodat een gelekt wachtwoord niet automatisch tot een volledig verlies van gegevens leidt. -
Houd systemen up-to-date
Zowel bij thuisgebruik als in zakelijke omgevingen is tijdig patchen van besturingssystemen, firmware en software essentieel. De meeste hackers richten zich op bekende kwetsbaarheden die allang gedicht hadden kunnen zijn. -
Versleutel dataverkeer en gebruik VPN waar mogelijk
Onversleutelde e-maildiensten (zonder TLS) vormen een verhoogd risico, zoals blijkt uit de 280.000 onveilige POP3- en IMAP-services in Nederland. Stel TLS in, en beperk de toegang tot deze services zo mogelijk via een VPN. Dit bemoeilijkt het werk van kwaadwillenden die willen meelezen of inbreken. -
Train medewerkers en creëer bewustzijn
De mens is vaak de zwakste schakel. Phishingmails, neptelefoontjes of social engineering blijven effectief. Met regelmatige trainingen en bewustwordingscampagnes kunt u de kans op succes van zulke methodes verkleinen. -
Leg incidentresponsprocedures vast en doe aangifte
Weet wie er moet worden ingeschakeld bij een aanval, hoe systemen afgesloten moeten worden en welke meldplichten gelden. De nieuwe mogelijkheid voor online aangifte in Nederland maakt het makkelijker om incidenten te rapporteren zonder direct te hoeven vrezen voor reputatieschade. Digitale rechercheur Doekhie benadrukt dat aangiftes helpen om daders te pakken en toekomstige aanvallen te beperken.
Toekomstige ontwikkelingen
Kijken we vooruit, dan zien we dat ransomware en datalekken waarschijnlijk nog geraffineerder worden. Ransomware-as-a-service (RaaS)-platforms maken het ook voor niet-techneuten eenvoudiger om aanvallen uit te voeren. Tegelijkertijd neemt de internationale samenwerking op het gebied van cybercrimebestrijding toe. INTERPOL heeft onlangs nieuwe stappen gezet in de strijd tegen cybercriminaliteit, en diverse landen werken samen aan wet- en regelgeving die techbedrijven en organisaties dwingt hun beveiliging op te schroeven.
Tot slot groeit de aandacht voor spionage en het afluisteren van kritieke overleggen, zoals premier Schoof benadrukt. Inlichtingen- en veiligheidsdiensten wereldwijd investeren in methoden om op afstand toegang te krijgen tot telefoons, laptops en andere randapparatuur. Organisaties die met gevoelige informatie omgaan, doen er goed aan om beleid in te voeren dat het gebruik van mobiele apparaten strikt reguleert in vergaderruimtes.
Door alert te blijven, tijdig maatregelen te nemen en vooral meldingen te doen zodra zich een incident voordoet, kunnen we een duidelijke vuist maken tegen cybercriminaliteit. De risico’s blijven hoog, maar met een gerichte aanpak en een veiligheidsbewuste cultuur kunnen we veel schade voorkomen.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Wekelijks overzicht: Bedrijven met data op het darkweb
Elke week worden er bedrijven slachtoffer van cybercriminelen die hun gestolen data openbaar maken op het darkweb. Dit wekelijkse overzicht geeft inzicht in de bedrijven waarvan de gegevens de afgelopen week op deze illegale marktplaatsen zijn verschenen. Hieronder vindt u de bedrijven die recentelijk getroffen zijn door deze ernstige cyberdreiging.
| Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb ↑ |
|---|---|---|---|---|
| Hunter Taubman Fischer & Li | Lynx | USA | Legal Services | 5-jan-25 |
| akantha.fr | BlackLock (Eldorado) | France | IT Services | 5-jan-25 |
| Veccio and Company PLLC | Qilin | USA | Accounting Services | 5-jan-25 |
| ribernuez.com | Funksec | Spain | Agriculture | 4-jan-25 |
| gsw.co.in | Funksec | India | Metal Industries | 4-jan-25 |
| hasa-arg.com | BlackLock (Eldorado) | Argentina | Electric, Gas, And Sanitary Services | 4-jan-25 |
| perucontrols.com | BlackLock (Eldorado) | Peru | Electronic, Electrical Equipment, Components | 4-jan-25 |
| technotouch.co | Funksec | USA | IT Services | 4-jan-25 |
| datascan.com | BlackLock (Eldorado) | USA | IT Services | 4-jan-25 |
| maxvaluecredits.com | Qilin | Australia | Defense industry | 4-jan-25 |
| Montreal North | Rhysida | Canada | General Government | 4-jan-25 |
| www.smawins.com | Qilin | USA | Business Services | 4-jan-25 |
| lscd | Qilin | USA | Legal Services | 4-jan-25 |
| YorkTest Laboratories | Qilin | United Kingdom | Chemical Producers | 4-jan-25 |
| Auxis | Apos Security | USA | Management Services | 3-jan-25 |
| ISOR | Cicada3301 | France | Business Services | 3-jan-25 |
| Frameworks | Cicada3301 | USA | Membership Organizations | 3-jan-25 |
| Concession Peugeot | Cicada3301 | France | Automotive Dealers | 3-jan-25 |
| Nikki-Universal Co Ltd | Hunters International | Japan | Chemical Producers | 3-jan-25 |
| Amourgis & Associates | Lynx | USA | Legal Services | 3-jan-25 |
| www.alliancemat.com | Ransomhub | USA | Machinery, Computer Equipment | 3-jan-25 |
| www.geedingconstruction.com | Ransomhub | USA | Construction | 3-jan-25 |
| Lyons Specialty Co. | 8BASE | USA | Wholesale Trade-non-durable Goods | 3-jan-25 |
| scps.mp.gov.in | Funksec | India | Administration Of Human Resource Programs | 3-jan-25 |
| Ikav Global Energy | DragonForce | Luxembourg | Oil, Gas | 3-jan-25 |
| Asheville Eye Associates | DragonForce | USA | Health Services | 3-jan-25 |
| Cogitis | DragonForce | France | IT Services | 3-jan-25 |
| SolGeo AG Baugelogie and Geotechnik | 8BASE | Switzerland | Engineering Services | 2-jan-25 |
| VOLTAIRE AVOCATS | 8BASE | France | Legal Services | 2-jan-25 |
| Jay Enn Corporation | 8BASE | USA | Machinery, Computer Equipment | 2-jan-25 |
| Tarnaise des Panneaux SAS | 8BASE | France | Miscellaneous Manufacturing Industries | 2-jan-25 |
| Carrollton Orthopaedic Clinic | 8BASE | USA | Health Services | 2-jan-25 |
| confluxhr.com | DarkVault | India | IT Services | 2-jan-25 |
| Grupo Buddemeyer | 8BASE | Brazil | Apparel And Other Finished Products | 2-jan-25 |
| groupegm.com | Ransomhub | France | Chemical Producers | 2-jan-25 |
| Kitevuc - Equipamentos E Veiculos Utilitários E Comerciais | CiphBit | Portugal | Transportation Equipment | 1-jan-25 |
| lianbeng.sg | Ransomhub | Singapore | Construction | 1-jan-25 |
| www.metlife.com | Ransomhub | USA | Insurance Carriers | 31-dec-24 |
| McCray Lumber | PLAY | USA | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 30-dec-24 |
| Zeifmans | PLAY | Canada | Accounting Services | 30-dec-24 |
| Luxury Yacht Group | PLAY | USA | Automotive Dealers | 30-dec-24 |
| Bettisworth North | PLAY | USA | Construction | 30-dec-24 |
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| 01-05-2023 | 8.292 |
| 01-05-2024 | 13.707 |
| Week 01-2025 | +42 |
| 05-01-2025 (t/m) | 17.739 |