Opsporing nieuws

De Franse autoriteiten hebben een vijftienjarige jongen aangehouden op verdenking van de verkoop van gestolen data, afkomstig van een cyberaanval op France Titres (ANTS). Deze overheidsdienst is verantwoordelijk voor de uitgifte en het beheer van administratieve documenten in Frankrijk. De ANTS bevestigde eerder de inbreuk en de authenticiteit van de data die te koop werden aangeboden op een cybercrimineel forum door iemand met het alias 'breach3d'.

Op 13 april detecteerde de ANTS verdachte activiteiten op haar netwerk en bracht enkele dagen later, op 16 april, de autoriteiten op de hoogte, zo meldde het parket van Parijs. Na onderzoek zijn de autoriteiten van mening dat de vijftienjarige verdachte de alias 'breach3d' gebruikte om tussen de 12 en 18 miljoen records aan te bieden die bij de datalek van de ANTS waren gestolen.

De minderjarige wordt beschuldigd van ongeoorloofde toegang, persistentie en data-exfiltratie uit een door de staat beheerd geautomatiseerd persoonsgegevensverwerkend systeem, evenals het bezit van software die deze overtredingen mogelijk maakt. Deze delicten kunnen leiden tot een maximale gevangenisstraf van zeven jaar en een boete van 300.000 euro, aldus het parket van Parijs in een persbericht. Een rechter overziet nu de zaak. Op basis van het gevonden bewijsmateriaal eisen aanklagers formele aanklachten en hebben zij verzocht om de minderjarige onder gerechtelijk toezicht te plaatsen.

De ANTS maakte op 20 april bekend dat een dreigingsacteur hun systemen had gecompromitteerd en toegang had verkregen tot data van individuele en professionele accounts op het ants.gouv.fr portaal. De overheidsdienst stelde vast dat onder de getroffen data volledige namen, e-mailadressen, geboortedatums, postadressen en telefoonnummers vielen. Deze aankondiging volgde nadat een dreigingsacteur beweerde de ANTS te hebben gecompromitteerd en tot 19 miljoen records te koop aanbood die naar verluidt bij de aanval waren gestolen. In een update over het incident verklaarde de dienst dat het aantal getroffen accounts 11,7 miljoen bedroeg, maar dat de gestolen data niet konden worden gebruikt voor ongeoorloofde toegang. In afwachting van de beslissing van de onderzoeksrechter is de vijftienjarige minderjarige nog niet formeel aangeklaagd.

Bron: Paris Prosecutor's Office | Bron 2: hubs.la

Een 30-jarige man is door de rechtbank Noord-Nederland veroordeeld tot een gevangenisstraf van twee jaar, waarvan één jaar voorwaardelijk, wegens handel in gestolen persoonsgegevens en witwassen. De man verkocht grote hoeveelheden gestolen data via het berichtenplatform Telegram.

Uit het onderzoek van de politie bleek dat de verdachte beschikte over een dusdanig grote hoeveelheid gestolen persoonsgegevens dat het voor de autoriteiten niet mogelijk was om alle data volledig in kaart te brengen. Een deel van de gegevensdragers die in beslag waren genomen, bleek bovendien zo zwaar versleuteld dat deze niet volledig door de politie konden worden onderzocht. Het wel onderzochte deel van de data omvatte persoonlijke informatie van miljoenen mensen van diverse nationaliteiten.

De verkochte gegevens bestonden uit zogenaamde 'leadlijsten', die persoonlijke informatie van een groot aantal mensen bevatten, en 'combolijsten', bestaande uit gestolen combinaties van gebruikersnamen en wachtwoorden. Volgens de rechter worden dergelijke leadlijsten veelvuldig afgenomen door cybercriminelen en andere fraudeurs. Deze criminelen gebruiken de gegevens vervolgens voor diverse vormen van fraude, zoals phishingcampagnes en bankhelpdeskfraude. Ouderen en kwetsbare personen zijn hierbij vaak het slachtoffer.

De rechtbank benadrukte dat dergelijke fraudepraktijken niet alleen ernstige negatieve gevolgen hebben voor de directe slachtoffers, maar ook een bredere impact hebben op het maatschappelijk en economisch verkeer. Naast de handel in persoonsgegevens maakte de veroordeelde man zich ook schuldig aan het witwassen van 32.000 euro. Dit bedrag had hij verdiend met de verkoop van de gestolen data en werd witgewassen middels cryptovaluta. Hoe de man de gestolen gegevens precies wist te verkrijgen, is niet in het vonnis vermeld.

Bron: Rechtbank Noord-Nederland

Een helpdeskmedewerker is in hoger beroep veroordeeld tot een gevangenisstraf, taakstraf en een geldboete voor het stelen van medische gegevens van ongeveer dertigduizend mensen bij een klant van zijn werkgever. De man probeerde de klant, een stichting die de grootste klant van de werkgever was, af te persen met de buitgemaakte data.

De verdachte werd op 30 april 2021 op staande voet ontslagen nadat zijn werkgever informatie van de politie ontving. Uit politieonderzoek bleek dat de helpdeskmedewerker verantwoordelijk was voor de afpersing. Hij had bestanden, waaronder persoonlijke en medische gegevens, van de server van zijn werkgever naar een persoonlijke USB-stick gekopieerd. Vervolgens probeerde hij de klant te dwingen tot een betaling in bitcoins. Als deze betaling uitbleef, dreigde hij de informatie aan de hoogste bieder te verkopen en deze tevens naar lokale kranten te sturen.

De man voerde ter verdediging aan dat iemand misbruik had gemaakt van zijn wifi-netwerk om de bestanden naar zijn USB-stick te downloaden. Deze bewering werd door de rechter niet geaccepteerd, mede op basis van het gebruikte IP-adres voor het downloaden van de data.

In 2023 werd de man in eerste aanleg veroordeeld tot een gevangenisstraf van 180 dagen, waarvan 132 dagen voorwaardelijk, en een taakstraf van 240 uur. Zowel de verdachte als het Openbaar Ministerie (OM) gingen in beroep tegen dit vonnis. De verdachte streefde naar vrijspraak, terwijl het OM naast de reeds opgelegde straf een aanvullende geldboete van 10.000 euro eiste. Eerder, in 2024, had de rechtbank de helpdeskmedewerker al veroordeeld tot het betalen van 65.000 euro aan zijn ex-werkgever.

Het gerechtshof Amsterdam heeft de verdachte schuldig bevonden en geoordeeld dat hij met behulp van een valse sleutel op de server is binnengedrongen. Dit gebeurde door onbevoegd gebruik te maken van een toegangscertificaat met bijbehorend wachtwoord. Hij verschafte zich toegang tot de server van het bedrijf, waarop de medische gegevens van de patiënten van de stichting stonden, met een ander doel dan waarvoor hem toegang tot het certificaat en wachtwoord was verleend. Vervolgens nam hij een hoeveelheid gegevens van het geautomatiseerde werk, waarin hij zich wederrechtelijk bevond, voor zichzelf over.

Het hof benadrukt de ernst van het hacken van systemen en het vervolgens afpersen van bedrijven met buitgemaakte privacygevoelige data. Het stelt dat dit een potentieel grote inbreuk maakt op de privacy van de betrokken personen en kan leiden tot ernstige vervolgcriminaliteit, zoals oplichting. Dit kan bovendien grote onzekerheid veroorzaken bij slachtoffers, die niet weten waar hun gegevens terechtkomen en wat ermee gebeurt. De impact van dergelijke 'hacks' is derhalve aanzienlijk. In hoger beroep veroordeelde het hof de verdachte tot een gevangenisstraf van 180 dagen, waarvan 132 voorwaardelijk, een taakstraf van 240 uur en een geldboete van 7500 euro.

Bron: Gerechtshof

De Amerikaanse rechtbank heeft Deniss Zolotarjovs, een Lets staatsburger, veroordeeld tot 102 maanden (8,5 jaar) gevangenisstraf. Zolotarjovs speelde een sleutelrol in een in Rusland gevestigde ransomware organisatie die banden had met de Conti, Karakurt, Royal en Akira groepen.

De groep richtte zich op meer dan vijftig bedrijven, waaronder een pediatrisch zorgbedrijf waarvan gestolen gezondheidsgegevens van kinderen werden ingezet voor afpersing. Ook werd een 911-noodoproepcentrale van een overheidsinstantie offline gehaald. De totale schade bedraagt naar schatting 56 miljoen dollar bij dertien bedrijven.

Zolotarjovs werd in december 2023 gearresteerd in Georgië en in augustus 2024 aan de Verenigde Staten uitgeleverd. Zijn arrestatie toont aan dat de bescherming van zogenoemde niet-uitleveringslanden voor cybercriminelen minder waterdicht is dan gedacht. Het Amerikaanse ministerie van Justitie publiceerde een persbericht over de zaak.

Bron: US Department of Justice

Een 23-jarige universiteitsstudent in Taiwan is gearresteerd op verdenking van het verstoren van het TETRA-communicatiesysteem van de Taiwanese hogesnelheidslijn (THSR). De student, bekend onder zijn achternaam Lin, zou op 5 april vier treinen 48 minuten lang hebben stilgelegd door een hoog-prioriteit "Algemeen Alarm" signaal te verzenden, wat de noodremprocedures activeerde.

Lin gebruikte hiervoor software-defined radio (SDR) communicatieapparatuur en handheld radio's. Voorafgaand aan de aanval had hij de TETRA-radioparameters onderschept en gedecodeerd met SDR-apparatuur die hij online had aangeschaft. Deze parameters programmeerde hij vervolgens in handheld radio's om legitieme bakens te imiteren. De politie ontdekte ook dat een 21-jarige handlanger Lin van cruciale THSR-parameters had voorzien die de aanval mogelijk maakten.

Het TETRA-systeem van de THSR was al 19 jaar in gebruik en de parameters waren in die periode blijkbaar niet geroteerd. Dit stelde de hacker in staat om zeven verificatielagen te omzeilen. Het incident heeft geleid tot kritiek van Taiwanese politici, die de verantwoordelijke instanties nalatigheid verwijten.

De THSR, die een enkele 350 km lange lijn langs de westkust van Taiwan exploiteert met treinen die snelheden tot 300 km/u bereiken en jaarlijks 81,8 miljoen passagiers vervoert, is een cruciale dienst voor het land. Na het incident onderzocht de THSR de logbestanden en constateerde dat het signaal afkomstig was van een radiobaken dat niet in dienst was. Na controle bleek het apparaat niet te ontbreken, wat leidde tot het vermoeden van ongeautoriseerde klonen. Hierop werd de politie ingeschakeld.

De politie analyseerde camerabeelden en TETRA-netwerklogs, wat hen naar de residentie van de verdachte leidde. Daar werden elf handheld radio's, een SDR en een laptop in beslag genomen. Lin werd op 28 april gearresteerd en wordt nu aangeklaagd op grond van artikel 184 van het strafrecht, waarop een gevangenisstraf van maximaal 10 jaar staat. Hij is momenteel op borgtocht vrij, hoewel zijn advocaat beweert dat de verzending van het noodsignaal per ongeluk plaatsvond, een bewering die de autoriteiten niet overtuigend vinden.

Bron: Newtalk.tw | Bron 2: rtl-sdr.com | Bron 3: taipeitimes.com

De Cybercrime Squad van de New South Wales Police in Australië heeft op maandag 4 mei 2026 een aanzienlijke hoeveelheid cryptocurrency in beslag genomen tijdens een inval in Ingleburn, een voorstad van Sydney. Detectives namen elektronische apparaten in beslag die 52,3 bitcoin bevatten, met een geschatte waarde van 5,7 miljoen dollar op het moment van de inbeslagname. Dit markeert een van de grootste cryptocurrency-inbeslagnames in de Australische geschiedenis, aldus de NSW Police.

De inval was het hoogtepunt van een vijftien maanden durend onderzoek onder de naam 'Strike Force Andalusia', die in september 2024 werd opgericht. De taskforce had de opdracht om een substantiële bitcoin-wallet te onderzoeken die naar verluidt de opbrengst van darknet-marktplaatsactiviteiten bevatte. Het onderzoek begon aan de zuidkust van New South Wales. In mei 2025 voerden detectives een huiszoeking uit in Surfside, nabij Batemans Bay, waarbij elektronische apparaten en ongeveer 7,2 gram cocaïne in beslag werden genomen.

Forensische analyse van deze apparaten leidde tot de ontdekking van een kleinere hoeveelheid cryptocurrency ter waarde van ongeveer 47.000 dollar en belangrijke aanwijzingen naar twee mannen van 39 en 41 jaar. Deze mannen zouden toegang hebben gehad tot de veel grotere wallet. Een 39-jarige man werd gearresteerd en aangeklaagd in Batemans Bay voor ernstige feiten, waaronder het omgaan met opbrengsten van misdaad van meer dan 5 miljoen dollar, het leveren van een verboden drug en het niet voldoen aan een bevel tot toegang tot digitaal bewijs. De 41-jarige man werd afzonderlijk aangeklaagd in verband met een vermeende cryptotransactie van meer dan 100.000 dollar en moet binnenkort voor de lokale rechtbank van Campbelltown verschijnen.

De daaropvolgende periode van bijna een jaar omvatte verder onderzoek, waaronder het traceren van wallets, forensisch werk op in beslag genomen apparaten en het koppelen van on-chain activiteit aan identiteiten in de fysieke wereld. Dit leidde uiteindelijk tot de inval in de woning in Ingleburn en het terugvinden van het grootste deel van de bitcoin.

Detective Superintendent Matt Craft, die de Cybercrime Squad van de State Crime Command leidt, benadrukte dat de inbeslagname een directe weerlegging is van de mythe dat darknet-activiteiten ontraceerbaar zijn. Hij stelde dat criminelen op het darknet vaak geloven dat ze buiten het bereik van wetshandhaving vallen, maar dit onderzoek bewijst het tegendeel. Darknet-marktplaatsen worden door de politie actief aangepakt als een belangrijke facilitator van ernstige criminele activiteiten. De politie wees erop dat de openbare ledger van bitcoin betekent dat elke transactie voor altijd wordt vastgelegd, en dat forensische blockchain-analyse de afgelopen tien jaar aanzienlijk is verbeterd. Dit, gecombineerd met menselijke fouten zoals het hergebruiken van wallets of het mengen van persoonlijke en illegale activiteiten, maakt de bewering van anonimiteit steeds moeilijker te verdedigen.

De zaak toont de geduldige aanpak van wetshandhaving en de kritieke overgang tussen digitale en fysieke opsporing. Operationele beveiliging op het darknet faalt vaak niet in code, maar door fouten in de fysieke wereld. Strike Force Andalusia blijft actief.

Bron: Darkweb

Marlon Ferro, online bekend onder de alias GothFerrari, is door een Amerikaanse federale rechtbank veroordeeld tot een gevangenisstraf van 78 maanden, wat overeenkomt met 6,5 jaar. De 20-jarige Ferro kreeg deze straf opgelegd vanwege zijn cruciale rol in de zogenaamde Malone Lam-cryptodiefstal, waarbij meer dan 250 miljoen dollar aan cryptovaluta van slachtoffers werd gestolen.

De criminele organisatie, waarvan Ferro deel uitmaakte, combineerde geavanceerde hackingtechnieken met fysieke woninginbraken om hun doelwitten te beroven. Ferro's specifieke taak was het fysiek inbreken bij slachtoffers om hardware wallets te bemachtigen. Dit gebeurde als laatste redmiddel, nadat zijn medeplichtige Malone Lam de bewegingen van de slachtoffers nauwlettend in de gaten hield via gecompromitteerde iCloud-accounts. Door deze gecoördineerde aanpak konden de daders met succes grote sommen cryptovaluta buitmaken.

Naast zijn gevangenisstraf is Ferro ook veroordeeld tot het betalen van 2,5 miljoen dollar aan restitutie. Deze zaak is onderdeel van een omvangrijke RICO-vervolging (Racketeer Influenced and Corrupt Organizations Act), die zich richt op meerdere verdachten die betrokken waren bij een reeks cryptodiefstallen. De totale waarde van de gestolen cryptovaluta in deze grotere zaak overschrijdt de 263 miljoen dollar en de misdrijven vonden plaats tussen eind 2023 en begin 2025.

Bron: U.S. Department of Justice | Bron 2: bleepingcomputer.com | Bron 3: theblock.co

Twee Amerikaanse staatsburgers zijn elk veroordeeld tot achttien maanden gevangenisstraf wegens het exploiteren van zogenaamde 'laptop farms'. Deze operaties stelden Noord-Koreaanse IT-werknemers in staat om op frauduleuze wijze op afstand werk te verkrijgen bij bijna zeventig Amerikaanse bedrijven. Matthew Isaac Knoot en Erick Ntekereze Prince zijn respectievelijk de zevende en achtste in de VS gevestigde facilitators die dit jaar naar de gevangenis zijn gestuurd, als onderdeel van een federaal initiatief gericht op Noord-Korea's illegale methoden om inkomsten te genereren.

Assistent-procureur-generaal John A. Eisenberg verklaarde woensdag dat deze veroordelingen Amerikaanse staatsburgers verantwoordelijk houden die de illegale inspanningen van Noord-Korea mogelijk maakten om Amerikaanse netwerken te infiltreren en te profiteren van Amerikaanse bedrijven. Hij benadrukte dat de beklaagden Noord-Koreaanse IT-werknemers hielpen zich voor te doen als legitieme werknemers, waardoor Amerikaanse bedrijfsnetwerken werden gecompromitteerd en inkomsten werden gegenereerd voor een zwaar gesanctioneerd en schurkenregime.

Matthew Knoot, die in augustus 2024 werd gearresteerd en aangeklaagd, runde een laptop farm vanuit zijn woningen in Nashville tussen juli 2022 en augustus 2023. Gedurende deze periode ontving hij laptops die door bedrijven waren uitgegeven en gericht waren aan een gestolen identiteit, "Andrew M.". Vervolgens installeerde hij ongeautoriseerde software voor extern bureaublad, waardoor Noord-Koreaanse IT-werknemers konden optreden als legitieme werknemers gevestigd in de VS. De getroffen bedrijven betaalden meer dan 250.000 dollar aan IT-werknemers die geassocieerd waren met Knoots operatie. Deze betalingen werden vervolgens frauduleus gerapporteerd aan de Social Security Administration en de Internal Revenue Service onder gestolen identiteiten.

Erick Ntekereze Prince, die in november schuldig pleitte aan samenzwering tot draadfraude, stelde ten minste drie Noord-Koreaanse IT-werknemers in staat om op afstand werk te verkrijgen bij Amerikaanse bedrijven, van ongeveer juni 2020 tot augustus 2024. Hij opereerde via zijn bedrijf, Taggcar Inc. De bedrijven die IT-werknemers inhuurden met de hulp van Prince betaalden meer dan 943.000 dollar aan salaris, waarvan het grootste deel naar het buitenland werd doorgesluisd.

De acties van Knoot veroorzaakten ook meer dan 500.000 dollar aan auditkosten en herstelkosten bij de getroffen bedrijven, terwijl de acties van Prince leidden tot meer dan 1 miljoen dollar aan herstelkosten. Naast hun gevangenisstraffen van achttien maanden werd Knoot veroordeeld tot het betalen van 15.100 dollar aan restitutie en het verbeuren van nog eens 15.100 dollar. Prince werd veroordeeld tot het verbeuren van 89.000 dollar.

De FBI waarschuwt al sinds minstens 2023 voor Noord-Koreaanse IT-werknemers die Amerikaanse bedrijven infiltreren. De dienst heeft herhaaldelijk opgemerkt dat Noord-Korea een groot leger van duizenden IT-werknemers onderhoudt die identiteitsdiefstal gebruiken om jaarlijks werk te bemachtigen bij honderden Amerikaanse bedrijven. Eerder in april werden de Amerikaanse staatsburgers Kejia Wang en Zhenxing Wang ook al naar de gevangenis gestuurd voor het helpen van Noord-Koreaanse IT-werknemers om zich voor te doen als Amerikaanse ingezetenen. Afgelopen juli werd Christina Marie Chapman uit Arizona veroordeeld tot 102 maanden gevangenisstraf voor het runnen van een laptop farm vanuit haar huis, als onderdeel van een plan dat Noord-Koreaanse IT-werknemers hielp om met gestolen identiteiten bij 309 Amerikaanse bedrijven te worden aangenomen.

Bron: U.S. Department of Justice | Bron 2: ic3.gov | Bron 3: state.gov

Alan Bill, een 33-jarige Slowaakse man uit Bratislava, is door de Amerikaanse districtsrechter Cristian M. Stevens veroordeeld tot 200 maanden (16 jaar en 8 maanden) gevangenisstraf. De veroordeling volgt op zijn rol in de exploitatie van Kingdom Market, een darknetmarktplaats die actief was van maart 2021 tot december 2023. Bill pleitte in januari schuldig aan één aanklacht wegens samenzwering tot de distributie van verdovende middelen.

Bill gaf toe webadministratie diensten te hebben geleverd voor de site, cryptovaluta te hebben ontvangen via een wallet die gekoppeld was aan Kingdom Market, te hebben geholpen bij het opzetten van Kingdom forum pagina's op Reddit en Dread, en berichten te hebben geplaatst op de socialemedia-accounts van de marktplaats. De rechter oordeelde dat Bill een leider of organisator van de samenzwering was en op de hoogte was van de producten die verkopers op het platform aanboden.

Kingdom Market faciliteerde duizenden transacties met illegale drugs, gestolen financiële informatie, frauduleuze identificatiedocumenten, valse valuta en computermalware. Betalingen werden uitsluitend in cryptovaluta gedaan. Serverlogs toonden meer dan 1.500 heroïneverkopen en bijna 600 verkopen van vermeende Oxycodon. Aanklagers stelden dat Bill en zijn medesamenzweerders wisten dat fentanyl werd gemengd in andere producten die op de marktplaats werden verkocht. Undercover federale onderzoekers kochten via de marktplaats onder andere fentanyl, methamfetamine en een Amerikaans paspoort.

Bill werd op 15 december 2023 gearresteerd op Newark Liberty International Airport. Op zijn elektronische apparaten werd bewijs van zijn betrokkenheid gevonden. Hij stemde ermee in om vijf soorten cryptovaluta te verbeuren, evenals de domeinen Kingdommarket.live en Kingdommarket.so, die inmiddels buiten gebruik zijn gesteld.

Bron: Darkweb

Een man uit Virginia, Sohaib Akhter (34), is door een federale jury schuldig bevonden aan meerdere aanklachten, waaronder samenzwering tot computerfraude, wachtwoordtrafficking en verboden wapenbezit. Dit volgt op zijn betrokkenheid bij het wissen van 96 databases van de Amerikaanse overheid en het ongeautoriseerd toegang verkrijgen tot een e-mailaccount door het stelen van een wachtwoord.

De misdaad begon toen Akhter het wachtwoord van een persoon deelde met zijn tweelingbroer Muneem. Deze persoon had een discriminatieklacht ingediend bij de Equal Employment Opportunity Commission (EEOC). Dit leidde tot ongeoorloofde toegang tot de e-mailaccount van de klager. Beide broers waren werkzaam bij een niet nader genoemd bedrijf, gevestigd in Washington D.C., dat software diensten levert aan meer dan 45 Amerikaanse federale instanties, waaronder de EEOC.

Na het incident ontdekte hun werkgever dat Akhter eerder was veroordeeld voor misdrijven, wat resulteerde in het ontslag van beide broers. De aanklagers stelden dat de broers na hun ontslag probeerden hun voormalige werkgever en diens klanten binnen de Amerikaanse overheid te schaden. Dit deden zij door ongeautoriseerd toegang te verkrijgen tot computers, databases te voorzien van schrijfbescherming, databases te wissen en bewijs van hun onwettige activiteiten te vernietigen.

Akhter zal op 9 september worden veroordeeld en riskeert een gevangenisstraf van maximaal 21 jaar. In 2015 pleitte hij al schuldig aan federale aanklachten, waaronder samenzwering tot draadfraude, ongeautoriseerde toegang tot een beschermde computer en ongeautoriseerde toegang tot een computer van de overheid, waarvoor hij twee jaar in de gevangenis heeft gezeten.

Bron: U.S. Department of Justice

De pornografische website Motherless, die content bevatte gerelateerd aan gendergerelateerd geweld en seksueel geweld onder invloed van drugs, is op 08 mei 2026 door Nederlandse autoriteiten offline gehaald. Het Openbaar Ministerie Zeeland-West-Brabant heeft inmiddels een voorlopig onderzoek ingesteld naar de website en de gepresenteerde inhoud.

De beslissing om de website offline te halen volgt op toenemende druk, mede veroorzaakt door een onderzoek van CNN. Dit onderzoek bracht meer dan 20.000 video's aan het licht van seksueel geweld dat plaatsvond onder invloed van drugs. De bevindingen van CNN werden verder versterkt door berichtgeving van de NOS, wat de roep om actie tegen de website in Nederland deed toenemen.

De servers van Motherless waren gehost in Nederland, specifiek bij NFOrce Internet Services in Steenbergen. Door deze lokale aanwezigheid konden de Nederlandse autoriteiten direct ingrijpen. De website is momenteel niet meer bereikbaar. De actie van het Openbaar Ministerie onderstreept de vastberadenheid van Nederlandse wetshandhavers om op te treden tegen online platforms die misbruik en illegale content faciliteren.

Bron: NL Times | Bron 2: cnn.com | Bron 3: dutchnews.nl

In een grootschalige, internationaal gecoördineerde operatie hebben het Openbaar Ministerie Frankfurt am Main - Centrale Dienst voor Bestrijding Internetcriminaliteit (ZIT) en de Federale Recherche (BKA) met succes het opnieuw gelanceerde darknetplatform ‘Crimenetwork’ ontmanteld. De autoriteiten arresteerden de vermoedelijke beheerder, een 35-jarige Duitse staatsburger, in zijn woning op Mallorca. Een speciale eenheid van de Spaanse Nationale Politie voerde de arrestatie uit op basis van een Europees Arrestatiebevel, waarmee een van de meest prominente marktplaatsen in de Duitstalige ondergrondse economie effectief werd stilgelegd.

Volgens de autoriteiten bouwde en beheerde de verdachte deze volledig nieuwe technische infrastructuur onder de naam ‘Crimenetwork’ slechts enkele dagen nadat de politie het oorspronkelijke platform in december 2024 had gesloten. Ondanks de arrestatie van de vorige beheerder, won de opnieuw opgestarte site op het darkweb snel aan populariteit. Het bood een vergelijkbaar scala aan illegale goederen en diensten aan, waaronder gestolen data, vervalste documenten en illegale verdovende middelen.

Vóór de plotselinge sluiting had het vernieuwde platform snel een gebruikersbestand van meer dan 22.000 individuen opgebouwd en huisvestte het meer dan 100 actieve verkopers. Gebruikers op het platform voerden de illegale transacties voornamelijk uit met cryptovaluta met een focus op privacy, zoals Bitcoin, Litecoin en Monero. Onderzoekers hebben uitgebreid bewijsmateriaal veiliggesteld dat erop wijst dat het nieuwe platform inkomsten van meer dan 3,6 miljoen euro genereerde. De primaire beheerder inde commissiebetalingen op elke verwerkte verkoop en bracht verkopers maandelijkse kosten in rekening voor advertentierechten en verkooplicenties.

Tijdens de recente inval heeft de internationale wetshandhaving ongeveer 194.000 euro aan activa in beslag genomen die vermoedelijk direct verband houden met het platform. Bovendien hebben de autoriteiten uitgebreide gebruikers- en transactiedatabases verkregen, die cruciale aanwijzingen bieden voor het opsporen van de kopers en verkopers die voornamelijk in Duitstalige regio's verblijven. Deze succesvolle ontmanteling berustte sterk op nauwe samenwerking tussen de BKA, de ZIT, de Spaanse Policía Nacional, Moldavische cybercrime-eenheden en Eurojust. Regionale Duitse politieafdelingen coördineerden ook gelijktijdige maatregelen tegen de beschuldigde voor afzonderlijke commerciële fraudeonderzoeken.

Carsten Meywirth, directeur bij de BKA en hoofd van de cybercrime-afdeling, verklaarde: “De herstart van Crimenetwork is mislukt, en een andere beheerder zal zich voor een Duitse rechtbank moeten verantwoorden. Wij handhaven ook consequent de toepasselijke wetgeving op het darkweb, samen met onze nationale en internationale partners. Cybercriminaliteit loont niet.” Dr. Benjamin Krause, Senior Officier van Justitie en perswoordvoerder van de ZIT, voegde hieraan toe en benadrukte de juridische gevolgen. In maart 2026 werd de vermeende beheerder van de voorgaande versie van ‘Crimenetwork’ door de Regionale Rechtbank van Gießen veroordeeld tot zeven jaar en tien maanden gevangenisstraf. De rechtbank beval ook de confiscatie van de criminele opbrengsten van meer dan tien miljoen euro. Hoewel dit vonnis nog niet juridisch bindend is, toont het duidelijk aan dat misdaad op het darkweb ook gevolgen heeft. Na de sluiting werd een waarschuwingsbanner van de wetshandhaving geplaatst op het in beslag genomen online portaal (bustedagaincrime.network) om gebruikers op de hoogte te stellen van de ontmanteling.

Bron: CyberSecurityNews

Het clearnet domein shinyhunters.rs van de hackgroep ShinyHunters is opgeschort door de domeinregistrar. Een automatisch FBI watchdog script, ontworpen om wijzigingen in WHOIS-records te monitoren, detecteerde op 11 mei 2026 om 08:15 UTC een cruciale wijziging in het WHOIS-record van het domein. De status van het domein werd gewijzigd naar ‘clientupdateprohibited’. Als direct gevolg van deze wijziging is het domein inmiddels offline gegaan.

Op het moment van publicatie bleef het Pay or lekportaal, dat ShinyHunters gebruikt om slachtoffers onder druk te zetten voor losgeld, echter nog wel online en operationeel. De hackgroep ShinyHunters is in het verleden verantwoordelijk gehouden voor de cyberinbraak op Canvas, het onderwijsplatform van Instructure. Bij die aanval werd gevoelige data buitgemaakt van tientallen onderwijsinstellingen in zowel Nederland als België, wat de relevantie van deze groep voor de Benelux-regio onderstreept.

Het is op dit moment nog niet definitief bevestigd of de opschorting van het domein shinyhunters.rs direct verband houdt met actieve strafrechtelijke procedures of een inbeslagname door de FBI of andere bevoegde autoriteiten. De detectie door het FBI watchdog script en de aard van de statuswijziging suggereren echter een mogelijke interventie vanuit de handhaving.

Bron: Cybercrimeinfo

Signal heeft nieuwe bevestigingen en waarschuwingsberichten in de app geïntroduceerd als extra beveiligingsmaatregelen tegen phishing en social engineering pogingen die kunnen leiden tot diverse vormen van fraude. Het doel is om voldoende frictie te creëren, zodat gebruikers de tijd krijgen om de veiligheid van een extern verzoek te evalueren.

Recentelijk zijn er aanvallen geweest gericht op hooggeplaatste gebruikers met valse 'Signal Support'-meldingen. Deze aanvallen zijn onder de aandacht gebracht door onder andere de FBI, de Nederlandse overheid en de Duitse autoriteiten. Alle incidenten werden toegeschreven aan door de staat gesponsorde Russische hackers, die misbruik maakten van de Linked Device-functionaliteit om toegang te krijgen tot de accounts, chats en contactlijsten van de doelwitten.

De aanval werkt door slachtoffers ervan te overtuigen een QR-code te scannen of eenmalige codes te delen, zogenaamd als onderdeel van een verificatieproces om hun accounts te beschermen tegen verdachte activiteiten. Dit stelt de dreigingsactoren in staat om hun eigen apparaat aan het account van het doelwit te koppelen en zo toegang te verkrijgen tot alle gegevens.

Signal heeft hierop gereageerd: "Om Signal-gebruikers te helpen beschermen tegen phishing en social engineering aanvallen, hebben we extra bevestigingen en educatieve berichten in de app geïntroduceerd om mensen beter te helpen frauduleuze profielen te detecteren, met name berichtverzoeken van oplichters die zich voordoen als Signal," aldus de leverancier van de app.

De nieuwe beschermingsmaatregelen omvatten verschillende aspecten. Signal zal nu een 'Naam niet geverifieerd' weergeven onder contacten die communicatie tot stand brengen via directe berichten. Daarnaast zal een 'Geen gemeenschappelijke groepen' worden getoond om het ontbreken van enige associatie met de ontvanger te benadrukken. Wanneer een nieuw verzoek arriveert, zal Signal de gebruiker vragen om de acceptatie te bevestigen, terwijl hen eraan wordt herinnerd dat de app nooit zal vragen om hun registratiecode, pincode of herstelsleutel. De veiligheidstips zijn ook uitgebreid met nieuwe items en aanvullende informatie. Gebruikers zullen reminders ontvangen om nooit te reageren op chats die beweren van Signal Support afkomstig te zijn.

Social engineering blijft een van de meest effectieve vormen van cyberaanvallen, omdat het bestaande beveiligingsmaatregelen volledig kan omzeilen. Gebruikers dienen alert te blijven op verdachte berichten van onbekende contacten, vooral wanneer er wordt gevraagd om QR-codes te scannen of verificatiecodes te delen. Signal-gebruikers wordt ook geadviseerd om in de instellingen te controleren op ongeautoriseerde gekoppelde apparaten en deze te verwijderen indien ze deze niet herkennen. Deze stappen zijn cruciaal om persoonlijke gegevens en communicatie te beveiligen tegen geavanceerde en gerichte aanvallen.

Bron: Signal

Beveiligingsonderzoekers van Cisco Talos waarschuwen dat overheidsgesponsorde cyberactoren niet inbreken, maar inloggen, en daarbij de eigen tools van een organisatie gebruiken om maandenlang onzichtbaar te blijven. Het reageren op een dreiging van een staatsactor verschilt fundamenteel van de respons op ransomware, en het begrijpen van deze verschillen is cruciaal voor een succesvolle uitkomst. Voorbereidend werk, zoals adequate logging, het opstellen van baselines, segmentatie van operationele technologie (OT) en paraatheid van de toeleveringsketen, is van essentieel belang lang voordat de eerste waarschuwing wordt geactiveerd.

Veel organisaties gaan ervan uit dat alles binnen hun vertrouwensgrens betrouwbaar is. Software wordt geleverd door gecontroleerde leveranciers, werknemers ondergaan achtergrondcontroles, cloudproviders beschikken over compliance-certificeringen en bouw-pipelines produceren ondertekende artefacten. In de praktijk worden deze aannames zelden kritisch onderzocht, en overheidsgesponsorde actoren hebben hun operationele methodologie juist rondom de exploitatie van deze kloof opgebouwd. Ze opereren binnen de vertrouwensgrens, gebruiken vertrouwde tools, beschikken over geldige inloggegevens en voeren acties uit die volledig geautoriseerd lijken. Conventionele beveiligingsarchitectuur is niet ontworpen om dit te identificeren, een beperking die erkenning verdient voordat men zich richt op incidentrespons wanneer de tegenstander een staatsactor is.

De respons op een staatsgesponsorde inbraak is fundamenteel anders dan die op een criminele inbraak. De tegenstander beschikt over betere middelen, meer geduld, operationele discipline en streeft vaak doelen na die geen alarmen doen afgaan, zoals spionage of langdurige data-extractie. Standaard incidentrespons draaiboeken, die doorgaans zijn opgebouwd rondom het inperken van malware en het herstellen van ransomware, zijn ontoereikend voor deze categorie dreigingen. De tooling, besluitvorming, juridische coördinatie en zelfs de definitie van een succesvolle respons moeten opnieuw worden overwogen. Dit is ook de context waarin een zero-trust architectuur essentieel wordt; een fundamentele heroriëntatie van een model waarin vertrouwen wordt aangenomen naar een model waarin het continu wordt geverifieerd en systemen zijn ontworpen om te handelen wanneer verificatie faalt. Het principe is niet "vertrouw niets", maar eerder "verifieer continu en plan op falen".

Hoewel elke cyberaanval, van commerciële ransomware tot staatsgesponsorde spionage, dezelfde fundamentele sequentie volgt als de Cyber Kill Chain van Lockheed Martin (verkenning, wapenisering, levering, exploitatie, installatie, command & control en actie op doelen), voeren staatsactoren elke fase uit met meer geduld, grotere precisie en een fundamenteel ander doel. Een financieel gemotiveerde aanvaller vereist dat het doelwit weet dat het is gecompromitteerd (ransomware notitie, lekwebsite, onderhandelingskanaal). Een overheidsgesponsorde actor vereist het tegenovergestelde, succes hangt af van het feit dat het doelwit onwetend blijft, of het nu gaat om spionage, diefstal van intellectueel eigendom of pre-positionering voor toekomstige verstoring. Deze behoefte aan heimelijkheid vormt elke technische beslissing van de actor en bepaalt waar verdedigers in elke fase naar moeten zoeken.

De verkenningstactieken van staatsactoren zijn dieper en langduriger. Waar een financieel gemotiveerde aanvaller mogelijk scant op blootgesteld Remote Desktop Protocol (RDP) en verder gaat, kan een staatsgesponsorde tegenstander weken of maanden besteden aan het in kaart brengen van personeel, technologie-stack, leveranciersrelaties en communicatiepatronen van een organisatie, vaak volledig buiten de perimeter van het doelwit via open-source intelligence (OSINT) en social engineering van aangrenzende organisaties. Deze fase laat vaak geen sporen achter in de logs van verdedigers. Staatsactoren kunnen ook gebruikmaken van wettelijke toegangswetten in hun respectievelijke landen om een deel van deze gegevens te verkrijgen zonder dat het doelwit zich bewust is van enige verkenning.

Voor initiële toegang kunnen staatsgesponsorde tegenstanders aanzienlijke capaciteiten inzetten tegen een enkel doelwit, inclusief zero-days of supply chain vectoren die op handtekeningen gebaseerde detectie niet zal identificeren. Vaker gebruiken ze echter legitieme inloggegevens die zijn verkregen via spear phishing of supply chain compromittering, wat helemaal geen exploit handtekening oplevert. Bij laterale verplaatsing wordt de eis van heimelijkheid technisch het meest consequent. In plaats van aangepaste malware te implementeren, opereren overheidsgesponsorde actoren steeds vaker met behulp van tools die al aanwezig zijn op de systemen van het doelwit, zoals PowerShell, WMI en PsExec, of nemen ze de tijd om te observeren welke tools in de omgeving worden gebruikt. Als de omgeving SCCM of Puppet gebruikt voor infrastructuurbeheer, zal de staatsgesponsorde actor proberen deze tools te misbruiken.

Bron: Cisco Talos | Bron 2: cisa.gov | Bron 3: industrialcyber.co

Federale aanklagers in de Verenigde Staten hebben Owe Martin Andresen, een 49-jarige Duitse staatsburger die wordt beschouwd als de hoofdbeheerder van de voormalige darknet-marktplaats Dream Market, aangeklaagd wegens het witwassen van ruim 2 miljoen dollar aan opbrengsten uit de commissierekeningen van de site. Duitse autoriteiten arresteerden Andresen vorige week op basis van vergelijkbare aanklachten.

Volgens de Amerikaanse openbare aanklager Theodore S. Hertzberg wordt Andresen ervan beschuldigd commissies, gegenereerd uit de verkoop van illegale verdovende middelen, gestolen persoonsgegevens, vervalste identiteitsdocumenten en andere contrabande, via een reeks cryptocurrency-wallets te hebben gesluisd. Een aanzienlijk deel van de opbrengsten zou zelfs zijn omgezet in fysieke goudstaven. Hertzberg prees de samenwerking tussen Amerikaanse en Duitse onderzoekers die de dubbele vervolging mogelijk maakte. Kareem Carter, hoofd van de Cyber Crimes Unit van de IRS Criminal Investigation in Washington, D.C., benadrukte dat digitale criminelen traceerbare financiële sporen achterlaten, ongeacht hoe lang deze inactief blijven. Miles Aley, speciale agent van de DEA in Miami, voegde eraan toe dat smokkelaars steeds vaker technologie gebruiken om verdovende middelen in gemeenschappen te verspreiden en dat wetshandhavingsinstanties vastbesloten zijn deze kanalen af te sluiten.

Dream Market verscheen voor het eerst online in 2013 en groeide uit tot een van de grootste illegale marktplaatsen op het darkweb, met vaak bijna 100.000 actieve advertenties. Gedurende zijn zesjarige bestaan heeft de marktplaats naar verluidt de verkoop gefaciliteerd van aanzienlijke hoeveelheden drugs, waaronder ongeveer 90 kilogram heroïne, 450 kilogram cocaïne, 25 kilogram crack, 45 kilogram methamfetamine, 13 kilogram oxycodon en 36 kilogram fentanyl. Zowel kopers als verkopers gebruikten het Tor-anonimiteitsnetwerk om de site te bereiken en vertrouwden op cryptocurrency om hun transacties te verhullen, een combinatie die de snelle groei van de marktplaats stimuleerde.

Eerdere onderzoeken leidden al tot de veroordeling van verschillende personen die hielpen bij het runnen van het platform. Beheerders die online bekend stonden als "Oxymonster" en "KITT3N" werden veroordeeld in zaken die werden behandeld door het U.S. Attorney's Office voor het Southern District of Florida en de Computer Crime and Intellectual Property Section van het Amerikaanse Ministerie van Justitie. Een moderator op middenniveau, bekend als "GOWRON", werd vervolgd in het Verenigd Koninkrijk. De topbeheerder van de marktplaats, alleen bekend onder de handle "Speedstepper", bleef echter jarenlang ongeïdentificeerd. Toen de aandacht van wetshandhavers in 2019 toenam, kondigden de beheerders van Dream Market aan dat zij de site vrijwillig zouden sluiten. De cryptocurrency-wallets met de commissies van de beheerders bleven echter grotendeels onaangeroerd.

De wallets kwamen eind 2022 weer tot leven, toen Andresen naar verluidt toegang kreeg tot de inhoud en deze verplaatste naar nieuw geconsolideerde crypto-wallets. Aanklagers stellen dat deze overdracht alleen kon worden uitgevoerd door iemand die over de originele private keys van Dream Market beschikte, wat onderzoekers naar "Speedstepper" leidde. Enkele maanden later, in augustus 2023, zou Andresen een in Atlanta gevestigde cryptodienst hebben gebruikt om goudstaven te kopen van internationale leveranciers, met de instructie om deze naar zijn huis in Duitsland te verzenden. Duitse onderzoekers ontdekten aanvullende witwasactiviteiten aan hun zijde van de Atlantische Oceaan. Alles bij elkaar, zo stellen aanklagers, heeft Andresen tussen augustus 2023 en april 2025 meer dan 2 miljoen dollar witgewassen.

Op 7 mei voerden Duitse en Amerikaanse autoriteiten een gecoördineerde operatie uit, waarbij Andresen werd gearresteerd en drie locaties werden doorzocht. Onderzoekers namen ongeveer 1,7 miljoen dollar aan goudstaven in beslag, waarvan wordt gezegd dat deze zijn gekocht met Dream Market-gelden, meer dan 23.000 dollar aan contant geld, en gegevens die wijzen op bankrekeningen en crypto-wallets met nog eens ongeveer 1,2 miljoen dollar, vermoedelijk afkomstig van Dream Market-opbrengsten.

Een federale grand jury in het Northern District of Georgia diende de aanklacht in op 13 januari 2026. Andresen wordt geconfronteerd met zes aanklachten wegens internationale verhulling van witwassen en zes aanklachten wegens verhulling van witwassen. Elke Amerikaanse aanklacht kent een maximale straf van 20 jaar gevangenisstraf. Duitse autoriteiten hebben verschillende aanklachten wegens verhulling van witwassen ingediend, elk strafbaar met maximaal vijf jaar. Zoals bij elke aanklacht zijn de beschuldigingen slechts beweringen en wordt Andresen als onschuldig beschouwd, tenzij en totdat hij tijdens een proces wordt veroordeeld. De zaak wordt onderzocht door de Cyber Crimes Unit van de IRS Criminal Investigation en de Counternarcotic Cyber Investigations Task Force van de DEA in Miami, met aanzienlijke hulp van Duitse partners, waaronder de Cybercrime Unit van het Bundeskriminalamt en de Zentrale Kriminalinspektion Oldenburg. Het oorspronkelijke Dream Market-onderzoek, dat liep van 2016 tot 2022, werd geleid door een taskforce van meerdere instanties, waaronder de DEA, IRS-CI, USPIS, FBI, Homeland Security Investigations en de Fort Lauderdale Police Department. Assistent U.S. Attorney Bethany L. Rupert vervolgt de huidige zaak, met assistentie van het Office of International Affairs van het Amerikaanse Ministerie van Justitie.

Bron: DOJ

De Nederlandse politie maakt bij de inzet van de hackbevoegdheid, zoals vastgelegd in de Wet computercriminaliteit III, uitsluitend gebruik van commerciële hacksoftware. Dit komt doordat er geen niet-commerciële alternatieven met vergelijkbare functionaliteit beschikbaar zijn, zo stelt minister Van Weel van Justitie en Veiligheid. De minister reageert hiermee op een eerder dit jaar verschenen rapport van het Wetenschappelijk Onderzoeks en Datacentrum (WODC), waarin de toepassing van de wet in de praktijk werd geëvalueerd.

Het WODC rapport uitte ook kritiek op de inhoudelijke toetsing van de hackbevoegdheid door zittingsrechters. Volgens het onderzoek buigen rechters zich nauwelijks over de inzet van deze ingrijpende bevoegdheid. Het WODC onderzocht 89 opsporingsonderzoeken die plaatsvonden tussen april 2021 en april 2024, waarbij de hackbevoegdheid werd toegepast. In totaal werden 105 telefoons van verdachten gehackt. Opvallend is dat in veertig procent van deze onderzoeken de inzet van de hackbevoegdheid geen bewijs opleverde.

De onderzoekers van het WODC benadrukten dat de inzet van nieuwe bevoegdheden, zoals het hacken van apparaten, een aanzienlijke inbreuk vormt op de rechten van verdachten. Zij achtten het zorgwekkend dat de inhoudelijke behandeling hiervan in rechtszaken beperkt bleef, vooral omdat de politie in de toekomst mogelijk technische hulpmiddelen zal gebruiken die niet volledig zijn goedgekeurd. De keuring van dergelijke hulpmiddelen is essentieel om de betrouwbaarheid van verzamelde gegevens te waarborgen.

Minister Van Weel kan zich echter niet vinden in deze bevindingen van het WODC. Hij stelt dat het ontbreken van informatie in vonnissen niet automatisch betekent dat de rechterlijke toetsing achterwege blijft. Volgens de minister wordt de inzet van een technisch hulpmiddel altijd vermeld in het proces-verbaal, wat de rechter de mogelijkheid biedt om hierover een oordeel te vellen, al dan niet na bespreking ter zitting.

Wat betreft het gebruik van commerciële hacksoftware, merkte het WODC op dat dit eerder de regel dan een uitzondering is, wat de term 'uiterst middel' in twijfel trekt. Minister Van Weel nuanceert dit door te stellen dat de inzet van een commercieel middel wel degelijk een uiterst middel is, maar dan afgezet tegen de beschikbaarheid van niet-commerciële alternatieven. Niet-commerciële middelen hebben de voorkeur, maar in de praktijk zijn deze doorgaans niet beschikbaar, waardoor de commerciële variant wordt ingezet vanuit het principe van subsidiariteit. Vier jaar geleden waarschuwde de Inspectie Justitie en Veiligheid al dat het gebruik van commerciële hacksoftware door de politie risico's met zich meebrengt, aangezien de leverancier van de software potentieel toegang zou kunnen krijgen tot de verkregen gegevens.

Bron: Tweede Kamer

Twee broers die werkzaam waren bij een Amerikaans IT bedrijf in Washington D.C. hebben kort na hun ontslag 96 databases met gevoelige informatie van de Amerikaanse overheid verwijderd. Het incident vond plaats in mei 2026. Het bedrijf, dat software en diensten levert aan meer dan 45 Amerikaanse overheidsinstanties, host de data van zijn klanten op eigen servers. Onder de getroffen klanten bevindt zich het Amerikaanse ministerie van Homeland Security.

De broers, Muneeb en Sohaib, waren in 2015 al veroordeeld voor misdrijven, waaronder samenzwering tot draadfraude en ongeautoriseerde toegang tot beschermde en overheidscomputers. Deze informatie kwam aan het licht nadat zij respectievelijk in 2023 en 2024 bij het IT bedrijf in dienst waren getreden. Toen het bedrijf hun criminele verleden ontdekte, werden beide broers tijdens een Microsoft Teams overleg ontslagen.

Slechts vijf minuten na het gesprek over het ontslag probeerde één van de broers vanuit zijn woning in te loggen op het bedrijfsnetwerk, maar zijn VPN toegang was reeds geblokkeerd. De andere broer, die in hetzelfde huis woonde, bleek echter nog wel in staat te zijn om in te loggen. Binnen een uur tijd verwijderde hij 96 databases met data van de overheid. Daarnaast downloadde hij gegevens van de belastingdienst van minstens 450 personen en honderd vertrouwelijke rapporten van de Amerikaanse belastingdienst IRS.

Om hun sporen te wissen, verwijderden de broers ook meerdere event logs van de servers. Vervolgens werden hun laptops voor werk opnieuw geïnstalleerd, waarbij zij hulp kregen van een onbekende handlanger. Drie weken na het incident deden de autoriteiten een inval bij de broers. Zij werden uiteindelijk afgelopen december aangehouden.

In april van dit jaar sloot één van de broers een zogenaamde 'plea deal' met de autoriteiten, waarin hij schuld bekende. De andere broer koos ervoor de zaak voor de rechter te laten komen en is recent door een jury schuldig bevonden. Hij riskeert een gevangenisstraf van maximaal 21 jaar. Voor beide broers moet de uiteindelijke strafmaat nog door een rechter worden bepaald.

Bron: U.S. Department of Justice

De Amerikaanse politiek heeft om opheldering gevraagd aan Instructure, de leverancier van het wereldwijd gebruikte onderwijsplatform Canvas, na een omvangrijk datalek. Een commissie van het Amerikaanse Huis van Afgevaardigden wil details over het incident waarbij naar verluidt de gegevens van 275 miljoen mensen werden gestolen.

De criminele groepering ShinyHunters claimde verantwoordelijkheid voor de diefstal van data en dreigde de gestolen informatie te publiceren als er geen losgeld werd betaald. Instructure heeft onlangs bekendgemaakt dat het een overeenkomst heeft bereikt met de criminelen, waarbij de buitgemaakte data naar verluidt is vernietigd. Het bedrijf heeft echter niet bekendgemaakt of er daadwerkelijk losgeld is betaald.

Het platform Canvas van Instructure faciliteert onderwijsinstellingen bij het aanbieden van lesmateriaal aan studenten, het indienen van werk, en de uitwisseling van berichten en samenwerking. Instructure stelt dat wereldwijd zevenduizend onderwijsinstellingen gebruikmaken van Canvas en dat het platform meer dan tweehonderd miljoen gebruikers telt. De aanval leidde ertoe dat diverse universiteiten en scholen hun omgeving van Canvas offline haalden, wat onder andere gevolgen had voor studenten die examens aflegden.

Het House Committee on Homeland Security van het Amerikaanse Huis van Afgevaardigden heeft Instructure opgeroepen om tijdens een briefing tekst en uitleg te geven over het incident. De commissie wijst erop dat ShinyHunters een vaste werkwijze hanteert, namelijk misbruik maken van een kwetsbaarheid, gevolgd door diefstal van gevoelige data, en vervolgens losgeld eisen onder dreiging van openbaarmaking.

De commissieleden willen van Instructure onder meer weten hoe het datalek kon plaatsvinden, hoeveel mensen precies zijn getroffen, hoe het bedrijf op de aanval heeft gereageerd en welke maatregelen worden genomen om huidige en toekomstige risico's te verhelpen. Daarnaast is er behoefte aan inzicht in hoe de aanvallers er na de initiële inbraak in slaagden om een boodschap binnen de omgeving van Canvas te plaatsen. Instructure is verzocht uiterlijk 21 mei opheldering te verschaffen.

Bron: US House Judiciary | Bron 2: homeland.house.gov

Recent zijn diverse ontwikkelingen gemeld op het gebied van cybercriminaliteit, waaronder een aanklacht tegen een Duitse staatsburger en meldingen van datalekken die wereldwijde impact kunnen hebben. Een Duitse staatsburger is aangeklaagd wegens witwassen van geld, dat in verband wordt gebracht met de inmiddels opgeheven darknetmarktplaats "Dream Market". Deze aanklacht onderstreept de voortdurende inspanningen van wetshandhavingsinstanties om financiële stromen van illegale online activiteiten te ontregelen.

Naast deze opsporingsactie is er bezorgdheid ontstaan over de District Health Information Software (DHIS2). Er wordt beweerd dat deze software is getroffen door een datalek, waarbij toegang tot nationale gezondheidssystemen in meer dan 30 landen is gedeeld. Deze systemen bedienen naar schatting 3,2 miljard mensen, wat de potentiële reikwijdte van dit incident aanzienlijk maakt. Een dergelijk datalek van kritieke gezondheidsinfrastructuur kan verstrekkende gevolgen hebben voor de privacy en veiligheid van medische gegevens op wereldwijde schaal.

Verder is er een "supply chain attack" competitie aangekondigd, vergezeld van de open source "Shai Hulud worm". De beschikbaarheid van een open source worm die gericht is op supply chain aanvallen, kan een nieuwe dreiging vormen voor organisaties wereldwijd. Open-source malware kan door een breder publiek van kwaadwillenden worden gebruikt en aangepast, wat de detectie en bestrijding ervan complexer maakt. Dit type malware richt zich op kwetsbaarheden in de toeleveringsketen, waarbij aanvallers zich richten op een minder beveiligde schakel om toegang te krijgen tot grotere, beter beveiligde doelwitten.

Deze ontwikkelingen tonen de diverse aard van hedendaagse cyberdreigingen, variërend van de juridische aanpak van langdurige darknetoperaties tot grootschalige datalekken in kritieke sectoren en de opkomst van nieuwe, open source aanvalstools.

Bron: DOJ

De Amerikaanse autoriteiten hebben aanklachten ingediend tegen Owe Martin Andresen, een 49-jarige man die wordt verdacht de hoofdbeheerder te zijn geweest van Dream Market, een van de grootste marktplaatsen op het dark web. Andresen werd eerder al in Duitsland gearresteerd en wordt nu in de Verenigde Staten geconfronteerd met zes aanklachten wegens internationaal witwassen van geld en zes aanklachten wegens witwassen van geld, elk met een mogelijke gevangenisstraf van maximaal 20 jaar. De Duitse aanklachten voor witwassen van geld kunnen ook leiden tot vijf jaar cel per overtreding.

Dream Market werd in november 2013 gelanceerd en bood anonieme toegang tot illegale goederen en diensten. Het groeide uit tot de grootste dark web marktplaats na de inbeslagname van de marktplaatsen Hansa en AlphaBay. Op zijn hoogtepunt telde Dream Market bijna 100.000 aanbiedingen. Het Amerikaanse Ministerie van Justitie stelt dat via de marktplaats de verkoop van meer dan 450 kilogram cocaïne, 90 kilogram heroïne, 45 kilogram metamfetamine, 25 kilogram crack cocaïne, 13 kilogram oxycodon en 36 kilogram fentanyl werd gefaciliteerd, totdat de site in 2019 werd gesloten.

Andresen opereerde naar verluidt onder de gebruikersnaam "Speedstepper", de hoofdbeheerder van de marktplaats, wiens identiteit ondanks eerdere vervolgingen van andere hooggeplaatste beheerders nooit eerder was vastgesteld. Volgens de aanklagers heeft Andresen in november en december 2022 toegang verkregen tot slapende cryptocurrency wallets van Dream Market, die miljoenen dollars aan commissiebetalingen bevatten. Deze fondsen werden vervolgens verplaatst naar nieuwe cryptocurrency wallets, een actie die alleen kon worden uitgevoerd door iemand die in het bezit was van de originele private keys van de marktplaats.

In augustus 2023 zou Andresen een aanbieder van cryptodiensten in Atlanta, Georgia, hebben gebruikt om goudstaven aan te schaffen van internationale bedrijven. De fondsen hiervoor kwamen uit de zogenaamde Consolidated Wallets. Hij liet de goudstaven vervolgens naar zijn woonadres in Duitsland verzenden. Duitse wetshandhavers hebben verdere transacties voor het witwassen van geld door Andresen in Duitsland geïdentificeerd. In totaal wordt Andresen verdacht van het witwassen van meer dan 2 miljoen dollar tussen augustus 2023 en april 2025.

Tijdens huiszoekingen op zijn residentie en twee andere locaties op 7 mei 2026, vonden de Duitse autoriteiten ongeveer 1,7 miljoen dollar aan goudstaven, die naar verluidt met Dream Market-gelden waren gekocht. Ook werd meer dan 23.000 dollar aan contant geld in beslag genomen, evenals bewijsmateriaal met betrekking tot bankrekeningen en cryptocurrency wallets die ongeveer 1,2 miljoen dollar aan vermoedelijke opbrengsten van Dream Market bevatten.

Eerdere vervolgingen door het Amerikaanse Ministerie van Justitie leidden tot veroordelingen van andere hooggeplaatste beheerders die de monikers "Oxymonster" en "KITT3N" gebruikten. Een middelhoog beheerder die verantwoordelijk was voor klantenserviceproblemen onder de naam "GOWRON" werd veroordeeld na een vervolging door de Britse Crown Prosecution Service. Recentelijk werd ook de eigenaar van Incognito Market, een grote online narcotica marktplaats met meer dan 105 miljoen dollar aan illegale drugverkopen, veroordeeld tot 30 jaar gevangenisstraf. Daarnaast bekende een man uit Virginia, medeoprichter van de Empire Market dark web marktplaats, schuld aan aanklachten wegens drugssamenzwering, waarbij hij de facilitatie van 430 miljoen dollar aan illegale transacties toegaf.

Bron: U.S. Department of Justice

De Nederlandse Belastingdienst heeft een omvangrijke en vermoedelijk georganiseerde fraudezaak aan het licht gebracht, waarbij groepen Bulgaarse ingezetenen betrokken zijn. In totaal is hierdoor reeds 6,7 miljoen euro aan belastingteruggaven overgemaakt naar bankrekeningen die specifiek werden gebruikt voor het ontvangen van gelden van de Belastingdienst. Naar schatting kan ongeveer twee derde van dit bedrag niet meer worden teruggevorderd. Staatssecretaris Eelco Eerenberg van Financiën heeft de Tweede Kamer geïnformeerd over deze ontwikkelingen, en verder onderzoek moet uitwijzen of de schade beperkt blijft tot dit bedrag.

Sinds november 2025 signaleert de Belastingdienst een toename van verkeerde of verdachte belastingaanvragen en aangiften, voornamelijk ingediend door niet-ingezetenen. De fraude omvat circa 900 nieuwe bankrekeningen, uitsluitend bestemd voor de teruggave van inkomstenbelasting, waarna de bedragen vrijwel direct werden doorgesluisd naar buitenlandse rekeningen. De methoden van fraude waren divers, men vulde opzettelijk een hoger salaris in dan bij de Belastingdienst bekend was om meer teruggave te ontvangen, voerde te hoge zorgkosten op als aftrekpost, of claimde onterecht belastingplichtig te zijn in het buitenland. Een opvallend signaal van fraude was het indienen van belastingverzoeken voor burgerservicenummers (BSN's) voor jaren waarin de betreffende persoon nog niet eens geboren was.

Ook bij Logius, de organisatie die verantwoordelijk is voor DigiD, zijn aanwijzingen van georganiseerde fraude gevonden. Logius registreerde een sterke stijging van het aantal DigiD-aanvragen. Het gaat hierbij om Bulgaarse personen die zich bij gemeenten melden, vermoedelijk gecoördineerd door tussenpersonen. Deze tussenpersonen organiseren afspraken, regelen vervoer en begeleiden de aanvragers naar het loket. Er zijn aanwijzingen dat zij mensen betalen om een DigiD aan te vragen.

Een steekproef van Logius toonde aan dat met de verkregen DigiD's "veelvuldig" werd ingelogd bij de Belastingdienst, waarbij steeds dezelfde apparatuur en IP-adressen werden gebruikt. De Belastingdienst heeft bevestigd dat de ongeveer vierhonderd BSN's die door Logius als verdacht zijn aangemerkt, in grote mate overeenkomen met de belastingaanvragen waarin onregelmatigheden zijn geconstateerd. De Belastingdienst erkent de ernst van de situatie en heeft in januari een projectgroep opgericht om snel tot een oplossing te komen.

Bron: Belastingdienst

De Nederlandse politie roept Meta op om meer actie te ondernemen tegen malafide reclames op Facebook en Instagram. Volgens Gijs van der Linden, teamleider van het Landelijk Meldpunt Internetoplichting van de politie, verschijnen er honderden advertenties voor nepwebwinkels op deze platforms. Deze advertenties beloven hoge kortingen, maar de beloofde producten worden vrijwel nooit geleverd. Hoewel oplichters ook adverteren via andere kanalen zoals Google, Snapchat en TikTok, wordt het overgrote deel van de frauduleuze advertenties waargenomen op de platforms van Meta.

Sinds juni vorig jaar heeft de politie 535 websites officieel aangemerkt als criminele webwinkels. Van deze websites verschenen advertenties voor 273 ervan op Facebook en Instagram. De NOS heeft Meta benaderd voor een reactie op de maatregelen die het bedrijf neemt tegen dergelijke advertenties, maar ontving geen antwoord. Van der Linden benadrukt dat de politie de advertenties ziet, en dat Meta ze eveneens moet opmerken. Hij stelt dat Meta de verantwoordelijkheid heeft om te voorkomen dat oplichters hun platforms kunnen misbruiken voor frauduleuze reclame. "Als heel veel mensen zo'n advertentie zien, is er altijd wel iemand die daarop klikt," aldus Van der Linden.

Bron: Meta

Tijdens Operatie Ramz, een grootschalige actie van INTERPOL gericht op het Midden-Oosten en Noord-Afrika (MENA-regio), zijn meer dan 200 personen gearresteerd voor cybercriminaliteitsactiviteiten. De wetshandhavingsinstanties identificeerden daarnaast nog eens 382 verdachten in 13 landen, waaronder Algerije, Bahrein, Egypte, Irak, Jordanië, Libanon, Libië, Marokko, Oman, Palestina, Qatar, Tunesië en de Verenigde Arabische Emiraten.

Naast de arrestaties werden 53 servers in beslag genomen die werden gebruikt voor phishing, malware en online fraude. Deze infrastructuur had ten minste 3.867 bevestigde slachtoffers getroffen, een aantal dat werd vastgesteld aan de hand van bijna 8.000 intelligentiepakketten die van de apparatuur werden gehaald. Volgens een bekendmaking van INTERPOL was de operatie gericht op het neutraliseren van phishing en malware dreigingen, en het aanpakken van cyberfraude die aanzienlijke kosten veroorzaakt in de regio.

INTERPOL werkte samen met verschillende private cybersecuritybedrijven om de kwaadaardige infrastructuur te traceren, waaronder Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru en TrendAI. Enkele belangrijke resultaten van Operatie Ramz omvatten het beveiligen van gecompromitteerde apparaten in Qatar die onbewust werden gebruikt om malware te verspreiden, en het ontmantelen van een operatie voor beleggingsfraude in Jordanië. In Jordanië werden twee organisatoren gearresteerd die 15 arbeiders uit Azië dwongen om fraudeschema's uit te voeren. Verder werd in Oman een kwetsbare, met malware geïnfecteerde server met gevoelige gegevens uitgeschakeld, en werd in Algerije een phishing als een dienst platform gesloten, waarbij één verdachte werd gearresteerd. In Marokko werden apparaten en bankgegevens die verband hielden met phishing operaties in beslag genomen, waarbij meerdere verdachten onder gerechtelijk onderzoek staan.

Dit is de derde grote cybercriminaliteitsactie die INTERPOL dit jaar heeft afgerond. In maart kondigden de autoriteiten Operatie Synergia III aan, die resulteerde in het sinkholen van 45.000 kwaadaardige IP-adressen, de inbeslagname van 212 apparaten en servers, en de arrestatie van 94 personen in 72 landen voor deelname aan phishing, hacking, fraude en malware distributie. Eerder, in februari, kondigde INTERPOL de arrestatie aan van 651 verdachten in 16 Afrikaanse landen, als onderdeel van Operatie Red Card 2.0. Deze operatie richtte zich op beleggingsfraude, fraude met mobiel geld en valse leenapps, die gekoppeld waren aan meer dan 45 miljoen dollar aan verliezen.

Bron: INTERPOL

Microsoft heeft een cruciale dienst ontwricht die cybercriminelen hielp om beveiligingssystemen te omzeilen door malware eruit te laten zien als legitieme software. Het bedrijf heeft dinsdag een juridische zaak openbaar gemaakt bij de Amerikaanse districtsrechtbank, waarin de ontwrichting van Fox Tempest wordt beschreven. Deze populaire dienst, actief sinds mei 2025, voorzag cybercriminelen van hulpmiddelen voor ondertekening van code.

De groep misbruikte Microsofts Artifact Signing, een dienst die is ontworpen om te verifiëren dat software legitiem is en niet is gemanipuleerd. Steven Masada, assistent-algemeen adviseur bij Microsofts Digital Crimes Unit, verklaarde dat cybercriminelen de dienst gebruikten om malware te verspreiden en ransomwareaanvallen mogelijk te maken, wat leidde tot de infectie van duizenden machines en de compromittering van netwerken wereldwijd. "Kwaadaardige software die geblokkeerd of gemarkeerd had moeten worden door antivirus en andere beveiligingsmaatregelen, werd vaker geopend, mocht worden uitgevoerd of doorstond beveiligingscontroles - waardoor malware zich in feite ongezien kon verbergen", aldus Masada. "In plaats van zich een weg naar binnen te banen, konden aanvallers via de voordeur naar binnen glippen door zich voor te doen als een welkome gast."

Masada legde uit dat wanneer legitieme ondertekeningsdiensten worden bewapend, alles wat daaruit voortvloeit gemakkelijker wordt, waarbij malware er legitiem uitziet, beveiligingswaarschuwingen worden minder snel geactiveerd en aanvallen hebben een grotere kans van slagen. Ransomware-affiliates die banden hebben met grote groepen zoals Rhysida, INC, Qilin en Akira, uploadden hun malware naar de Fox Tempest-website, lieten deze legitimeren en creëerden vervolgens nepwebsites die zich voordeden als echte platforms voor het downloaden van veilige software. Dit gebruik van kortstondige certificaten van een vertrouwde bron stelde malware en ransomware in staat om op legitieme software zoals AnyDesk, Teams, Putty en Webex te lijken, om zo beveiligingscontroles te omzeilen. Dit verhoogde de kans op uitvoering en succesvolle levering aanzienlijk.

Masada merkte op dat Microsoft de website van Fox Tempest in beslag heeft genomen, honderden virtuele machines offline heeft gehaald en de toegang tot een website die de onderliggende code hoste, heeft geblokkeerd. Hij zei dat Microsoft bewijs heeft verkregen waaruit blijkt dat cybercriminelen klaagden over de acties.

Microsoft noemde het systeem malware-signing-as-a-service (MSaaS) en gaf aan dat Fox Tempest een goed georganiseerde operatie was met afdelingen voor infrastructuurcreatie, klantrelaties en financiële transacties. Fox Tempest gebruikte Microsoft Artifact Signing om kortstondige, frauduleuze codeondertekeningscertificaten te creëren. De groep heeft meer dan duizend certificaten aangemaakt en honderden Azure-tenants en -abonnementen opgezet om haar activiteiten te ondersteunen. Microsoft heeft meer dan duizend aan Fox Tempest toegeschreven codeondertekeningscertificaten ingetrokken.

Beveiligingsfunctionarissen van Microsoft zagen ransomwareactoren de dienst gebruiken om malwarefamilies zoals Oyster, Lumma Stealer en Vidar te verspreiden. Hackers leverden de ondertekende malware via gekochte advertenties en links die eruitzagen als legitieme websites. Microsoft analyseerde cryptobetalingen die aantoonden dat Fox Tempest miljoenen dollars ontving van ransomware-affiliates. De hulpmiddelen werden gebruikt bij aanvallen gericht op diverse organisaties in de Verenigde Staten, China, Frankrijk en India. Het systeem, dat gebruikers duizenden dollars kostte, is volgens Masada een bewijs van de evolutie van het cybercriminele ecosysteem nu ontwrichtingsoperaties voortduren. Cybercriminelen vertrouwen nu op een reeks diensten waarmee ze aanvallen kunnen opschalen en beveiliging kunnen omzeilen. Hoewel cybercriminelen al lange tijd illegale codeondertekeningscertificaten verkochten, toonde Fox Tempest aan hoe deze activiteit nu op schaal als dienst wordt aangeboden.

Bron: Microsoft

De Oekraïense cyberpolitie heeft, in samenwerking met Amerikaanse wetshandhavers, een 18-jarige man uit Odesa geïdentificeerd. De man wordt verdacht van het beheren van een infostealer-malwareoperatie die gericht was op gebruikers van een online winkel in Californië. Volgens de Oekraïense politie gebruikte de dreigingsactor tussen 2024 en 2025 malware voor infostealer om apparaten van gebruikers te infecteren en zo browsersessies en inloggegevens van accounts te stelen.

Infostealers zijn een veelvoorkomend type malware dat gevoelige gegevens verzamelt, waaronder wachtwoorden, browsercookies, sessietokens, cryptowallets en betaalinformatie, van geïnfecteerde apparaten. Deze gegevens worden vervolgens naar cybercriminelen gestuurd voor accountdiefstal, fraude en wederverkoop. De aanvallen die aan de jonge hacker worden gekoppeld, troffen 28.000 klantaccounts. Hiervan werden 5.800 accounts door de cybercriminelen gebruikt om ongeautoriseerde aankopen te doen ter waarde van ongeveer 721.000 dollar. De malafide operatie veroorzaakte directe verliezen van 250.000 dollar, inclusief terugboekingen.

De politie verklaarde dat voor de uitvoering van het criminele plan "malware voor infostealer" werd gebruikt die heimelijk apparaten van gebruikers infecteerde, inloggegevens verzamelde en deze doorstuurde naar servers die onder controle stonden van de aanvallers. De gestolen informatie werd vervolgens verwerkt en verkocht via gespecialiseerde online bronnen en Telegram bots. De politie meldt verder dat de verdachte cryptocurrency-transacties uitvoerde met zijn medeplichtigen.

De term "sessiegegevens" in de aankondiging van de politie verwijst naar sessietokens. Deze tokens kunnen worden gebruikt om in te loggen op het account van een slachtoffer zonder dat inloggegevens nodig zijn, en in sommige gevallen zelfs controles voor multifactorauthenticatie (MFA) omzeilen. De 18-jarige verdachte beheerde de online infrastructuur die werd gebruikt voor het verwerken, verkopen en benutten van de gestolen sessiegegevens, wat volgens de politie duidt op een centrale rol in de operatie.

De politie heeft twee huiszoekingen uitgevoerd op de verblijfplaatsen van de verdachte. Daarbij werden mobiele telefoons, computerapparatuur, bankkaarten, elektronische opslagmedia en ander digitaal bewijs in beslag genomen dat zijn betrokkenheid bij de illegale operatie bevestigt. Het bewijsmateriaal omvat onder meer toegang tot middelen die werden gebruikt om gestolen gegevens te verkopen en gecompromitteerde accounts te beheren, logboeken van serveractiviteit en accounts op beurzen voor cryptocurrency. Op dit moment hebben de autoriteiten de verdachte geïdentificeerd, huiszoekingen verricht en apparaten en ander bewijsmateriaal in beslag genomen dat hem naar verluidt aan de operatie koppelt. De aankondiging vermeldt echter geen arrestatie, wat suggereert dat onderzoekers de zaak mogelijk nog verder opbouwen voordat ze hem formeel aanklagen.

Bron: Ukrainian Cyberpolice | Bron 2: cyberpolice.gov.ua

Microsoft heeft dinsdag bekendgemaakt dat het een grootschalige operatie, genaamd OpFauxSign, heeft ontmanteld die een dienst voor het signeren van malware (MSaaS) aanbood. Deze dienst misbruikte het Artifact Signing systeem van Microsoft om kwaadaardige code te verspreiden en ransomware en andere aanvallen uit te voeren, waarbij duizenden machines en netwerken wereldwijd werden gecompromitteerd.

De techgigant schrijft de activiteiten toe aan een dreigingsactor die zij Fox Tempest noemen. Deze actor bood de MSaaS-dienst aan om cybercriminelen in staat te stellen malware te vermommen als legitieme software. Fox Tempest is sinds mei 2025 actief. Als onderdeel van de verstoring heeft Microsoft de website signspace[.]cloud van Fox Tempest in beslag genomen, honderden virtuele machines die de operatie draaiden offline gehaald en de toegang geblokkeerd tot een website die de onderliggende code hostte.

Microsoft benadrukte dat de operatie de inzet van Rhysida-ransomware mogelijk maakte door dreigingsactoren zoals Vanilla Tempest, evenals andere malwarefamilies zoals Oyster, Lumma Stealer en Vidar. Dit illustreert de cruciale rol die Fox Tempest speelde binnen het cybercriminaliteit-ecosysteem. Daarnaast zijn er verbanden ontdekt tussen de dreigingsactor en affiliates die geassocieerd worden met verschillende prominente ransomwarestammen, waaronder INC, Qilin, BlackByte en Akira. De aanvallen van deze operaties waren gericht op sectoren zoals de gezondheidszorg, het onderwijs, overheidsinstanties en financiële diensten in de VS, Frankrijk, India en China.

Artifact Signing, voorheen bekend als Azure Trusted Signing, is de volledig beheerde, end-to-end ondertekeningsoplossing van Microsoft. Deze oplossing stelt ontwikkelaars in staat om eenvoudig applicaties te bouwen en te distribueren, terwijl wordt gewaarborgd dat de software legitiem is en niet is gewijzigd door onbevoegde partijen. Fox Tempest zou dit mechanisme hebben misbruikt om kortstondige, frauduleuze certificaten voor code-signing te genereren en deze te gebruiken om vertrouwde, gesigneerde malware te leveren en zo beveiligingscontroles te omzeilen. De certificaten waren slechts 72 uur geldig.

Om legitieme gesigneerde certificaten te verkrijgen via Artifact Signing, moet de aanvrager gedetailleerde identiteitsvalidatieprocessen doorlopen in overeenstemming met industriestandaard verifieerbare referenties. Dit wijst erop dat de dreigingsactor zeer waarschijnlijk gestolen identiteiten, gebaseerd in de Verenigde Staten en Canada, heeft gebruikt om zich voor te doen als een legitieme entiteit en de benodigde digitale referenties voor ondertekening te verkrijgen. De SignSpace-website was gebouwd op Artifact Signing en maakte beveiligde bestandsondertekening mogelijk via een adminpaneel en gebruikerspagina, waarbij gebruik werd gemaakt van Azure-abonnementen, certificaten en een gestructureerde database voor het beheer van gebruikers en bestanden.

De dienst stond betalende cybercriminele klanten toe om kwaadaardige bestanden te uploaden voor code-signing met behulp van frauduleus verkregen certificaten van Fox Tempest. Hierdoor konden malware en ransomware zich voordoen als legitieme software zoals AnyDesk, Microsoft Teams, PuTTY en Cisco Webex. De kosten voor de dienst varieerden tussen de $5.000 en $9.000. Vanaf februari 2026 zou de dreigingsactor zijn overgestapt op het aanbieden van vooraf geconfigureerde virtuele machines (VM's) die gehost werden op Cloudzy. Dit maakte het mogelijk om de benodigde artefacten rechtstreeks naar de door de aanvaller gecontroleerde infrastructuur te uploaden en in ruil daarvoor gesigneerde binaire bestanden te ontvangen.

Microsoft meldde dat Fox Tempest zijn werkwijze voortdurend heeft aangepast naarmate het bedrijf tegenmaatregelen nam, zoals het uitschakelen van frauduleuze accounts en het intrekken van de illegaal verkregen certificaten. De dreigingsactor heeft zelfs geprobeerd over te stappen naar een andere dienst voor code-signing. Uit rechtbankdocumenten blijkt dat Microsoft tussen februari en maart 2026 heeft samengewerkt met een "coöperatieve bron" om de dienst aan te schaffen en te testen.

Bron: Microsoft Security Blog | Bron 2: blogs.microsoft.com

20 mei 2026 | Arrestaties na publicatie van deepfake pornografie via AI

De Amerikaanse Federal Bureau of Investigation (FBI) en het Ministerie van Justitie (DOJ) hebben twee mannen gearresteerd op verdenking van het overtreden van de TAKE IT DOWN Act. Het betreft Cornelius Shannon (51) uit New Jersey en Arturo Hernandez (20) uit Texas. Deze wet, op 19 mei 2025 ondertekend door president Trump, verbiedt de niet-consensuele publicatie van deepfake pornografie die met behulp van kunstmatige intelligentie is gegenereerd.

Cornelius Shannon wordt ervan verdacht 360 albums met dergelijke beelden te hebben gepubliceerd, met circa 90 vrouwelijke slachtoffers. Deze beelden zijn miljoenen keren bekeken. Arturo Hernandez zou 113 albums hebben gecreëerd met beelden van ongeveer 50 slachtoffers. In zijn geval werden onschuldige foto's van niet-publieke personen omgezet in expliciet materiaal. Onder de slachtoffers bevonden zich actrices, zangers en politieke figuren.

Deze zaak markeert een van de eerste vervolgingen onder de nieuwe federale wet. Bij een eventuele veroordeling riskeren zowel Shannon als Hernandez een gevangenisstraf van maximaal twee jaar. De arrestaties onderstrepen de groeiende focus van wetshandhavingsinstanties op de aanpak van misbruik van kunstmatige intelligentie voor de creatie en verspreiding van schadelijke inhoud.

Bron: Cybercrimeinfo

21 mei 2026 | Eerste criminele VPN-dienst 1VPNS ontmanteld in internationale operatie Saffron

In een belangrijke internationale politieoperatie genaamd Operation Saffron is de criminele VPN-dienst 1VPNS (First VPN Service) ontmanteld. Deze operatie, die als een precedent wordt beschouwd voor de gerichte aanpak van criminele VPN-diensten, bracht autoriteiten uit maar liefst 27 landen samen. Tijdens de gecoördineerde actie werden 33 servers in beslag genomen, waarmee een cruciale infrastructuur voor cybercriminelen werd lamgelegd.

De VPN-dienst 1VPNS stond erom bekend dat het cybercriminelen in staat stelde hun identiteit en illegale activiteiten effectief te verhullen, waardoor opsporing aanzienlijk werd bemoeilijkt. De website van de dienst toont inmiddels een duidelijke inbeslagnamebanner met de tekst 'This Service Has Been Seized', wat de succesvolle disruptie bevestigt.

De Nederlandse Politie en het Nederlandse Openbaar Ministerie speelden een actieve rol in deze grootschalige operatie. Zij werkten nauw samen met internationale partners, waaronder de Franse Parquet de Paris, de Britse National Crime Agency (NCA), en autoriteiten uit Zwitserland en Luxemburg. De ontmanteling van 1VPNS is een belangrijke stap in de strijd tegen georganiseerde cybercriminaliteit en onderstreept de effectiviteit van internationale samenwerking bij het aanpakken van de digitale infrastructuur van criminelen.

Bron: Cybercrimeinfo

De recherche van politiezone Grens heeft een verdachte gearresteerd in het kader van een internationaal cybercrimedossier. De verdachte werd opgepakt op de luchthaven van Charleroi.

Het onderzoek draait om fraude via valse e-mails en vervalste facturen. Een bedrijf werd hierbij voor circa 1,5 miljoen euro opgelicht. Dankzij snel optreden van de recherche kon ongeveer 1,3 miljoen euro worden gerecupereerd. De uiteindelijke schade bedraagt nog ruim 250.000 euro.

Tijdens het verhoor bekende de verdachte zijn betrokkenheid. Hij werd voorgeleid bij de onderzoeksrechter en aangehouden. Het onderzoek loopt verder. Er worden internationale connecties onderzocht in de richting van Slowakije en het Verenigd Koninkrijk.

Bron: Noordernieuws.be