Cyberoorlog nieuws 2025 februari

Google's Threat Intelligence Group heeft vastgesteld dat verschillende landen, waaronder Noord-Korea, China, en Iran, AI-tools zoals Gemini gebruiken voor malafide doeleinden. Volgens het rapport zijn deze technologieën ingezet voor onder andere cyberaanvallen en phishing. De meest actieve speler is Iran, waar 75% van de gerapporteerde kwaadaardige activiteiten vandaan komt, met groepen als APT42 die gericht zijn op het creëren van phishinginhoud. Chinese groepen zijn ook actief, met focus op onderzoek naar Amerikaanse instellingen, terwijl Noord-Koreanen de technologie gebruiken om kwetsbare doelwitten en vacatures bij Westerse bedrijven te identificeren. Hoewel generatieve AI momenteel niet wordt ingezet voor de meest geavanceerde cyberaanvallen, biedt het wel nieuwe mogelijkheden voor schadelijke activiteiten. Google heeft ook aanwijzingen dat in Rusland het gebruik van dergelijke AI-tools achterblijft bij andere landen.

Later meer hierover in een artikel op ccinfo

De Europese Unie heeft op 27 januari 2025 sancties opgelegd aan drie Russische agenten die betrokken waren bij cyberaanvallen op Estland in 2020. De hackers, Nikolay Korchagin, Vitaly Shevchenko en Yuriy Denisov, zijn lid van Unit-29155, een militaire eenheid van de Russische inlichtingendienst GRU. Hun tegoeden zijn bevroren en ze mogen niet reizen of financiële steun ontvangen van Europese personen of organisaties.

De aanvallen waren gericht op de Estse ministeries van Economische Zaken, Sociale Zaken en Buitenlandse Zaken. Hackers wisten toegang te krijgen tot vertrouwelijke gegevens, waaronder handelsgeheimen en medische dossiers.

In september 2024 publiceerden de VS, Canada, Australië en Nieuw-Zeeland een gezamenlijk onderzoek naar Unit-29155, dat zou opereren onder namen als "Cadet Blizzard" en "Ember Bear". De VS looft tot 10 miljoen dollar uit voor informatie over de leden van deze groep.

Bron

In de afgelopen dagen zijn Kosovo, Albanië en Noord-Macedonië het doelwit geweest van grootschalige cyberaanvallen. Volgens expert Fabian Zhilla waren deze aanvallen niet alleen gericht op Albanië, maar ook op Kosovo, waar een digitaal overheidsplatform werd aangevallen. De aanvallen zouden gecoördineerd zijn door Iran en mogelijk ondersteund door Russische geheime diensten.

In Albanië richtten hackers zich op het TIMS-systeem, een cruciaal platform voor grenscontrole. In Noord-Macedonië werd de website van het ministerie van Onderwijs en Wetenschappen gehackt, waarbij een boodschap van een Grieks hackersteam werd achtergelaten. Kosovaarse overheidsinstellingen werden eveneens aangevallen, maar de autoriteiten wisten te voorkomen dat de aanvallers toegang kregen tot kritieke systemen.

De cyberaanvallen benadrukken de toenemende dreiging voor de Balkanlanden en de mogelijke geopolitieke motieven achter deze digitale sabotage.

Bron

De Noord-Koreaanse hackersgroep APT37 (ook bekend als ScarCruft of Reaper) gebruikt groepschatplatforms om kwaadaardige LNK-bestanden te verspreiden. Deze bestanden, vaak verstopt in ZIP-archieven, worden vermomd als legitieme documenten om slachtoffers te misleiden. Eenmaal geopend activeren ze een PowerShell-script dat een infectieketen start, met als einddoel de installatie van de geavanceerde malware RokRAT.

Deze malware stelt de aanvallers in staat om gegevens te stelen, screenshots te maken en systemen op afstand te besturen. APT37 maakt hierbij gebruik van social engineering-technieken, zoals het nabootsen van vertrouwde contacten en het aanbieden van geopolitieke documenten.

Om je hiertegen te beschermen, is het belangrijk om waakzaam te zijn met onbekende bestanden, bestandsextensies zichtbaar te maken en geavanceerde beveiligingsoplossingen zoals endpoint detection and response (EDR) te implementeren. Dit helpt bij het herkennen en blokkeren van verdachte activiteiten.

Bron

Russische hackers worden ervan verdacht de persoonlijke e-mailaccount van de Britse premier Keir Starmer te hebben gehackt, nog voordat hij zijn ambt aantrad. Volgens een nieuw boek werd Starmer in 2022, toen hij oppositieleider was, geïnformeerd dat zijn account mogelijk was gecompromitteerd door een geavanceerde aanval gelinkt aan het Kremlin. Na de hack werd hij gedwongen zijn e-mailadres te wijzigen en extra beveiligingsmaatregelen, zoals tweefactorauthenticatie, te activeren.

De aanval vond plaats in een periode waarin meerdere Britse functionarissen het doelwit waren van een door Rusland gesteunde hackersgroep. In reactie hierop heeft de Britse regering eind 2023 de Russische ambassadeur op het matje geroepen en Moskou beschuldigd van een aanhoudende cybercampagne tegen democratische instellingen. Vooralsnog is er geen bewijs dat Starmer’s gehackte e-mails zijn gepubliceerd, maar experts waarschuwen voor mogelijke blootstelling van gevoelige informatie.

Bron

De Kazachse regering gaat een audit uitvoeren naar aanleiding van een cyberaanval op het ministerie van Buitenlandse Zaken. De aanval, die vermoedelijk al sinds 2023 gaande is, wordt mogelijk gelinkt aan een door Rusland gesteunde hackersgroep, UAC-0063. Dit collectief zou banden hebben met APT28, ook bekend als Fancy Bear.

Onderzoekers ontdekten dat de hackers gebruikmaakten van schadelijke software, zoals CherrySpy en Hatvibe, om diplomatieke gegevens te stelen. Ze verspreidden malware via officiële documenten die vermoedelijk afkomstig waren van het ministerie zelf. Hoe deze documenten in handen van de hackers kwamen, is nog onduidelijk.

De Kazachse autoriteiten erkenden de aanval pas publiekelijk na een rapport van een Frans cybersecuritybedrijf. Hoewel er sterke aanwijzingen zijn voor Russische betrokkenheid, stellen de autoriteiten dat het te vroeg is om definitieve conclusies te trekken. Verdere acties volgen op basis van de auditresultaten.

Bron

Een kwetsbaarheid in 7-Zip stelt aanvallers in staat de Windows-beveiligingsfunctie "Mark of the Web" (MoTW) te omzeilen. Russische hackers hebben deze zero-day exploit sinds september 2024 gebruikt in aanvallen op Oekraïense overheidsinstanties en bedrijven.

De MoTW-functie waarschuwt gebruikers wanneer een bestand uit een onbetrouwbare bron afkomstig is. Door deze beveiliging te omzeilen, kunnen schadelijke bestanden zonder waarschuwing worden uitgevoerd. De aanvallers verspreidden hun malware via phishingmails met dubbel gearchiveerde bestanden, waardoor de MoTW-vlag niet werd overgenomen. Dit stelde hen in staat de SmokeLoader-malware ongemerkt op systemen te installeren.

7-Zip heeft de kwetsbaarheid op 30 november 2024 verholpen met versie 24.09. Omdat 7-Zip geen automatische updates biedt, wordt gebruikers aangeraden handmatig de nieuwste versie te installeren om risico’s te vermijden.

Bron

Een Chinese hackersgroep, bekend als Evasive Panda (of DaggerFly), maakt gebruik van een nieuwe SSH-backdoor om netwerkapparaten te infiltreren en langdurige toegang te behouden. De malware, genaamd ELF/Sshdinjector.A!tr, wordt geïnjecteerd in het SSH-daemonproces en stelt aanvallers in staat om commando's uit te voeren, gegevens te stelen en systemen op afstand te controleren.

Onderzoekers ontdekten dat de malware meerdere componenten bevat, waaronder een kwaadaardige SSH-bibliotheek die fungeert als de hoofdbackdoor. Deze kan systeeminformatie verzamelen, gebruikersgegevens uitlezen en zelfs een externe shell openen voor volledige controle.

Hoe de aanvallers de apparaten in eerste instantie compromitteren, is nog onduidelijk. De hackersgroep is al sinds 2012 actief en staat bekend om cyberaanvallen, waaronder supply chain-aanvallen en spionagecampagnes. Beveiligingsbedrijven hebben inmiddels detectiemechanismen ontwikkeld om deze dreiging te bestrijden.

Bron, 1, 2, 3

De Lazarus APT-groep, die gelinkt wordt aan Noord-Korea, heeft een nieuwe aanvalscampagne opgezet waarbij een cross-platform JavaScript stealer wordt ingezet om crypto wallets te targeten. De criminelen lokken slachtoffers met valse LinkedIn-vacatures in de crypto- en reissectoren, waarbij ze op zoek zijn naar persoonlijke gegevens zoals cv’s en GitHub-profielen. Vervolgens sturen ze een nep-project met verborgen kwaadaardige code, die het slachtoffer moet uitvoeren. De malware, die draait op Windows, MacOS en Linux, zoekt naar crypto-gerelateerde browserextensies en steelt inloggegevens en andere gevoelige informatie. De aanvallers gebruiken verschillende technieken, waaronder keylogging, het monitoren van het klembord en het stelen van crypto-walletdata. Deze campagne is typerend voor Lazarus, die bekendstaat om het gericht exfiltreren van gevoelige gegevens, ook binnen sectoren zoals defensie en luchtvaart.

Bron

WhatsApp-gebruikers met een Nederlands telefoonnummer zijn recentelijk aangevallen met Paragon-spyware, meldde WhatsApp. De spyware, vergelijkbaar met de bekende Pegasus-software, stelt aanvallers in staat om volledige controle over de telefoon van slachtoffers te verkrijgen en gevoelige informatie te stelen. De aanval richtte zich op gebruikers in verschillende Europese landen, waaronder Nederland, België, en Duitsland. Onlangs kregen slachtoffers, waaronder een Italiaanse journalist en een Libische activist, meldingen van WhatsApp dat ze het doelwit waren van de aanval. De aanval werd uitgevoerd via een malafide pdf-bestand. WhatsApp heeft eerder beveiligingslekken in de app verholpen, maar het is nog onbekend of de recente aanvallen succesvol waren. De Paragon-spyware wordt volgens berichten verkocht aan de Amerikaanse overheid en andere bondgenoten van de VS. De Italiaanse autoriteiten onderzoeken de zaak verder.

Bron

Steven Maijoor, directeur van De Nederlandsche Bank, waarschuwt voor de groeiende dreiging van digitale oorlogsvoering die het financiële systeem kan verstoren. Cyberaanvallen, zoals die door Russische en Chinese actoren, kunnen de telecom- en financiële sectoren zwaar treffen. Maijoor benadrukt de kwetsbaarheid van de financiële sector, die afhankelijk is van externe ICT-dienstverleners. Een verstoring bij een van deze partijen kan grote gevolgen hebben voor de hele sector.

Volgens Maijoor moet de Europese regelgeving, zoals de DORA (European Digital Operational Resilience Act), bijdragen aan een betere bescherming van kritieke infrastructuur. De Europese toezichthouders zullen de grootste ICT-aanbieders, zoals Google en Microsoft, onder streng toezicht plaatsen. Daarnaast wordt er gepleit voor meer samenwerking en informatie-uitwisseling tussen overheden, financiële instellingen en andere vitale sectoren om de digitale weerbaarheid te versterken.

Bron

De Noord-Koreaanse APT-groep Kimsuky heeft een nieuwe manier ontdekt om browsergegevens te stelen via spear-phishingaanvallen. Hierbij wordt malware, genaamd forceCopy, afgeleverd via phishing-e-mails die een Windows-snelkoppelingsbestand (LNK) bevatten. Dit bestand lijkt op een Microsoft Office- of PDF-document. Wanneer het bestand wordt geopend, wordt PowerShell of mshta.exe uitgevoerd, wat leidt tot het downloaden van schadelijke payloads. Het doel van deze aanvallen is het stelen van inloggegevens die zijn opgeslagen in webbrowserconfiguraties. Daarnaast gebruikt Kimsuky proxy-malware en een aangepaste versie van RDP Wrapper voor het inrichten van persistente toegang tot geïnfecteerde systemen. Dit toont een verschuiving in hun tactieken, aangezien ze voorheen meer op maat gemaakte backdoors gebruikten. De groep wordt geassocieerd met het Reconnaissance General Bureau van Noord-Korea, dat sinds 2012 actief is in cyberaanvallen.

Bron

Volgens de Oekraïense politie gebruikt de Russische inlichtingendienst berichtenapps en online forums om Oekraïense burgers te rekruteren voor terroristische aanvallen. Vooral jongeren, werklozen en mensen met een antisociale levensstijl zijn doelwitten. Hen worden snelle financiële beloningen beloofd, maar in werkelijkheid worden zij vaak na hun missie gedood of gevangengezet door Rusland.

Sinds begin 2025 zijn er in Oekraïne negen terroristische aanslagen geregistreerd, gericht op politie, militaire wervingscentra en veiligheidsdiensten. Het doel van deze aanvallen is destabilisatie en het ondermijnen van het vertrouwen in de Oekraïense defensie.

Hoewel de politie niet heeft bevestigd welke apps Rusland gebruikt, is bekend dat Telegram wordt ingezet voor desinformatiecampagnes en spionage. Eerder ontdekte de Oekraïense veiligheidsdienst dat Russische agenten ook tieners rekruteerden voor spionageactiviteiten onder het mom van ‘quest games’.

Bron

Hewlett Packard Enterprise (HPE) heeft medewerkers op de hoogte gebracht van een datalek waarbij persoonlijke gegevens zijn gestolen door Russische staatshackers. De aanval vond plaats in mei 2023 en betrof het e-mailplatform Office 365. Volgens HPE zijn onder andere rijbewijsgegevens, creditcardnummers en sociale zekerheidsnummers buitgemaakt.

De hackersgroep achter de aanval, bekend als Cozy Bear of Midnight Blizzard, wordt gelinkt aan de Russische inlichtingendienst SVR en was eerder verantwoordelijk voor de SolarWinds-hack in 2020. Naast het e-mailsysteem van HPE wisten de aanvallers ook toegang te krijgen tot de SharePoint-server van het bedrijf.

Het datalek werd op 29 januari 2025 openbaar gemaakt in een melding aan de Amerikaanse beurswaakhond SEC. HPE blijft de zaak onderzoeken en waarschuwt getroffen medewerkers volgens de wettelijke richtlijnen.

Bron

Een nieuwe Russische cybercriminele groepering, genaamd "Sector 16", heeft zich recent gericht op olie- en gasfaciliteiten in de Verenigde Staten. Dit werd op 31 januari 2025 bekendgemaakt door cybersecuritybedrijf Cyble. Sector 16 werkt samen met Z-Pentest, een andere groep die westerse kritieke infrastructuur aanvalt, met een focus op de water- en energiesector.

De groep heeft de verantwoordelijkheid opgeëist voor twee cyberaanvallen. De eerste, samen met Z-Pentest, trof een oliefaciliteit in Texas, waarbij het SCADA-systeem werd gehackt. Ze publiceerden een video waarin de controlepanelen van de faciliteit te zien waren. Later voerde Sector 16 zelfstandig een aanval uit op een andere Amerikaanse olie- en gasinstallatie en deelde opnieuw bewijs van hun toegang tot operationele systemen.

Hoewel deze aanvallen geen directe operationele verstoringen veroorzaakten, tonen ze de capaciteiten van de hackers en vormen ze een dreiging voor de stabiliteit van kritieke infrastructuur.

Bron

De Russische cybercrimineel Piotr Levachov, alias "Severa," wordt ervan beschuldigd met de FBI te hebben samengewerkt. Levachov, een berucht figuur in de Russische cyberwereld, werd in 2017 in Spanje gearresteerd en een jaar later uitgeleverd aan de Verenigde Staten. Daar werd hij veroordeeld, maar kwam hij al in 2022 vrij.

Volgens Russische media zou hij zich vervolgens opnieuw hebben aangemeld op een cybercriminelenforum onder de naam “Bratva” en informatie hebben verzameld over andere hackers. Hij zou ruim honderd keer met de FBI hebben gesproken en maandelijks $6.000 hebben ontvangen voor zijn medewerking. Ook zou hij hebben geholpen bij het identificeren van voormalige cybercriminelen en het ontmantelen van een Telegram-kanaal voor gestolen wachtwoorden. Levachov ontkent de beschuldigingen en beweert een "Russisch patriot" te zijn.

Bron

De Russische militaire cyberespionagegroep Sandworm richt zich op Windows-gebruikers in Oekraïne met trojaanse Microsoft Key Management Service (KMS)-activatoren en valse Windows-updates. De aanvallen, die waarschijnlijk eind 2023 zijn begonnen, maken gebruik van malware die gegevens steelt, waaronder toetsenbordslagen, browsercookies, opgeslagen wachtwoorden en systeeminformatie. Zodra de nep-KMS-tool is geïnstalleerd, wordt Windows Defender uitgeschakeld en wordt de malwareloader gedownload, die de DcRAT (DarkCrystal RAT) remote access trojan (RAT) op het apparaat zet.

De aanvallen maken gebruik van piraterij van software in Oekraïne, waarbij veel organisaties onbetrouwbare bronnen gebruiken. Dit biedt cybercriminelen een ideale kans om malware te verspreiden. De uiteindelijke doelstelling van de aanvallen is grootschalige spionage en gegevensdiefstal, wat een bedreiging vormt voor de nationale veiligheid en kritieke infrastructuur van Oekraïne.

Bron

De Noord-Koreaanse hackgroep Emerald Sleet, ook wel bekend als Kimsuky, heeft een nieuwe aanvalstechniek ontdekt waarbij slachtoffers via sociale engineering worden misleid om PowerShell als beheerder uit te voeren. Het doel is om apparaten te compromitteren en gevoelige gegevens te stelen. De aanvallers doen zich voor als Zuid-Koreaanse overheidsfunctionarissen en proberen het vertrouwen van hun doelwitten te winnen. Ze sturen spear-phishing e-mails met PDF-bijlagen en valse registratie-instructies. Slachtoffers worden aangespoord om PowerShell te openen en schadelijke code in te voeren. Deze code installeert een browsergebaseerde tool voor externe desktoptoegang en zorgt voor ongeautoriseerde toegang tot het systeem van het slachtoffer. Emerald Sleet richt zich voornamelijk op individuen die werken in internationale betrekkingen en op organisaties die betrokken zijn bij Noord-Oost Azië. Microsoft adviseert het gebruik van geavanceerde anti-phishingmaatregelen en gebruikersbewustwording om dergelijke aanvallen te voorkomen.

Bron

Staten die in conflict zijn met de VS, zoals Rusland, China, Iran en Noord-Korea, maken steeds vaker gebruik van cybercriminelen en hun malware om hun doelen te bereiken. Een Google-rapport wijst vooral naar Rusland, dat sinds de invasie van Oekraïne cybercriminelen inzet voor spionage en andere cyberaanvallen. Cybercriminelen bieden goedkopere en moeilijker te traceren middelen dan de staat zelf kan ontwikkelen. Zo maken Russische hackers gebruik van tools zoals Radthief en Warzone, die oorspronkelijk door cybercriminelen werden verspreid. Ook andere landen, zoals Iran, tonen een vergelijkbare trend. De samenwerking tussen staten en cybercriminelen maakt het steeds moeilijker om de grenzen tussen statelijke aanvallen en criminaliteit te onderscheiden, wat de nationale veiligheid van landen wereldwijd bedreigt. Cybercriminaliteit wordt steeds meer gezien als een ernstige bedreiging voor de nationale veiligheid.

Bron

De "BadPilot-campagne" is een grootschalige cyberaanval uitgevoerd door een subgroep van de Russische groep Seashell Blizzard. Sinds 2021 richt deze subgroep zich op kwetsbare internetinfrastructuren wereldwijd, met als doel langdurige toegang te verkrijgen tot doelwitten in verschillende sectoren, waaronder energie, olie en gas, telecom en overheden. De aanvallen gebruiken bestaande kwetsbaarheden in software, zoals ConnectWise en Fortinet, om zich toegang te verschaffen en later bewegingen binnen netwerken uit te voeren. Deze cyberoperaties, die aanvankelijk gericht waren op Oekraïne en Oost-Europa, breidden zich in 2023 en 2024 uit naar de Verenigde Staten, het VK en andere westerse landen. Ondanks de gebruikelijke technieken, zoals het misbruiken van openstaande kwetsbaarheden, kan de subgroep strategisch gerichte aanvallen uitvoeren wanneer een waardevol doelwit wordt gevonden. Dit geeft Rusland mogelijkheden voor tactische en geopolitieke acties.

Bron

Een nieuwe tactiek van de Noord-Koreaanse hacker-groep Kimsuky, ook bekend als 'Emerald Sleet' of 'Velvet Chollima', maakt gebruik van social engineering om slachtoffers te misleiden. Door middel van valse foutmeldingen worden slachtoffers aangezet om PowerShell-commando's als beheerder uit te voeren, wat hen blootstelt aan malware. Deze methode is geïnspireerd door de veelgebruikte ClickFix-aanvallen. Nadat het slachtoffer het kwaadaardige commando uitvoert, wordt een browsergebaseerde remote desktop tool geïnstalleerd, waarmee de aanvallers volledige toegang krijgen tot het apparaat. Microsoft meldt dat deze aanvallen zich sinds januari 2025 richten op individuen binnen internationale organisaties, overheidsinstanties en media, verspreid over Noord-Amerika, Zuid-Amerika, Europa en Oost-Azië. Gebruikers wordt aangeraden uiterst voorzichtig te zijn met ongewenste verzoeken om code uit te voeren, vooral wanneer beheerdersrechten vereist zijn.

Bron

Een dreigingsactor beweert gegevens van Lifecell Oekraïne, een belangrijke telecomprovider in Oekraïne, te hebben gelekt. De gegevens zouden onder meer klantinformatie bevatten, zoals telefoonnummers en persoonlijke gegevens. Deze bewering werd gepost op een populaire darkweb-marktplaats. Hoewel het nog niet bevestigd is of het om een legitiem lek gaat, heeft de beweerde dreigingsactor screenshots van de gegevens gedeeld om de claim te ondersteunen. Lifecell heeft nog geen officiële verklaring uitgebracht over de zaak. Dit incident onderstreept wederom de kwetsbaarheid van bedrijven, vooral in conflictgebieden, voor cyberaanvallen. Het is belangrijk dat zowel bedrijven als consumenten zich bewust blijven van de risico’s van datalekken en zich beschermen tegen dergelijke bedreigingen.

Een nieuwe spionagesoftware, genaamd FINALDRAFT, is ontdekt die de Microsoft Graph API misbruikt om ongezien commando's uit te voeren via e-mailconcepten. De malware, die is geschreven in C++, maakt gebruik van het Outlook-e-mailsysteem voor communicatie tussen de aanvallers en de geïnfecteerde systemen. Dit maakt het moeilijk om de activiteit op te sporen. FINALDRAFT is in staat om op afstand meerdere modules te laden en heeft geavanceerde functies zoals het uitvoeren van PowerShell-commando's zonder dat de standaard PowerShell-binaire wordt aangeroepen, wat helpt bij het ontwijken van beveiligingsmaatregelen. De malware werd gebruikt in een spionagecampagne die gericht was op het ministerie van Buitenlandse Zaken van een Zuid-Amerikaans land, maar ook andere doelen in Azië werden getroffen. Er is ook een Linux-versie van de malware die dezelfde functies uitvoert. De campagne wordt gezien als goed georganiseerd, met lange operationele tijdlijnen, wat wijst op een gerichte spionage-aanval.

Bron

Een hacker die dreigde van 13.30 uur tot 16.30 uur de elektriciteit in heel België uit te schakelen, heeft zijn dreiging ingetrokken. De man, die zich ReDaTtAcK noemde, had eerder aangekondigd in te breken bij Electrabel om het elektriciteitsnet plat te leggen. Hij gaf aan dat hij zijn beslissing had heroverwogen na te horen welke gevolgen zijn actie zou hebben. Daarnaast dreigde de hacker ook het telefoonsysteem van België te verstoren. Als bewijs voor zijn vaardigheden overhandigde hij een lijst met zogenaamd geheime gsm-nummers aan Belgacom, maar die werd als onbelangrijk afgedaan, aangezien de nummers al publiek toegankelijk waren via het systeem van AdValvas. Belgacom liet weten dat er een klacht was ingediend, maar dat het merendeel van de dreigingen waarschijnlijk gebaseerd was op bluf.

Bron

Een cyberaanvaller uit China, bekend als "Emperor Dragonfly", heeft een toolset gebruikt die eerder werd geassocieerd met spionage-activiteiten in een recente ransomware-aanval. Deze aanvaller, die vaak in verband wordt gebracht met cybercriminaliteit, richtte zich op een Aziatisch softwarebedrijf en eiste een losgeld van 2 miljoen dollar. Onderzoekers van Symantec ontdekten in late 2024 dat de gebruikte tools typisch geassocieerd worden met staatsgesponsorde cyberoperaties. De aanval begon met een infiltratie via kwetsbaarheden in Palo Alto PAN-OS en maakte gebruik van de Korplug backdoor, gevolgd door de inzet van RA World ransomware. Dit wijst op een mogelijke overlap tussen cyberespionage en financieel gemotiveerde cybercriminaliteit, waarbij staatsactoren mogelijk ook ransomware-aanvallen uitvoeren voor eigen financieel gewin. Symantec heeft indicatoren van compromittering gedeeld om bedrijven te helpen deze aanvallen tijdig te detecteren.

Bron

Een nieuwe phishingcampagne, geleid door de dreigingsactor Storm-2372, richt zich sinds augustus 2024 op overheidsinstellingen, NGO’s en diverse industrieën wereldwijd, zoals de technologie-, gezondheids- en energiesector. De groep maakt gebruik van een techniek genaamd "apparaatcode-phishing". Hierbij worden slachtoffers misleid om in te loggen op apps via een valse uitnodiging voor een Microsoft Teams-vergadering. Door deze valse inlogpagina in te vullen, krijgt de aanvaller toegang tot de inlogtokens van de gebruiker, waarmee hij toegang krijgt tot het slachtofferaccount en de gegevens. Storm-2372, vermoedelijk met banden met de Russische staat, richt zich op organisaties in Europa, Noord-Amerika, Afrika en het Midden-Oosten. Microsoft raadt aan om apparaatcode-authenticatie te blokkeren waar mogelijk en gebruikers te waarschuwen voor dit soort phishing-aanvallen.

Bron

Noord-Koreaanse IT-werknemers infiltreren internationale bedrijven door op afstand te werken onder valse identiteiten. Deze tactiek, die de internationale sancties schendt, vormt een ernstig cybersecurityrisico, met onder andere diefstal van gegevens en het installeren van backdoors in systemen. Via nepbedrijven en geavanceerde malware weten deze operatives toegang te krijgen tot kritieke infrastructuren, vooral in sectoren zoals cryptocurrency en softwareontwikkeling. Ze gebruiken malware zoals BeaverTail, InvisibleFerret en OtterCookie om gevoelige informatie te stelen en systemen te compromitteren. Dit gebeurt vaak via sollicitaties voor technische functies, waarbij schadelijke bestanden worden verspreid onder de dekmantel van legitieme uitdagingen. Organisaties moeten strikte identiteitsverificatieprocessen en beveiligingsmaatregelen implementeren, zoals video-interviews en het monitoren van interne dreigingen, om deze aanvallen te voorkomen. De groei van remote werk maakt het steeds moeilijker om deze dreigingen te detecteren, wat samenwerking tussen overheden en bedrijven vereist voor een effectievere verdediging.

Bron

Tijdens de München Veiligheidsconferentie bekritiseerde Kaupo Rosin, hoofd van de Estse Buitenlandse Inlichtingendienst, het gebruik van de term “hybride dreigingen” voor Russische sabotage en subversieve acties. Volgens Rosin bagatelliseert deze term de ernst van de situatie: “Het zijn echte aanvallen, inclusief cyberaanvallen en moordcomplotten. In sommige gevallen kun je zelfs spreken van door de staat gesteund terrorisme.”

Estland, al jaren een doelwit van Russische inmenging, heeft zijn wetgeving aangescherpt om spionage en sabotage hard aan te pakken. Zo kunnen veroordeelden voor relatief kleine acties, zoals het inslaan van een autoruit in opdracht van de Russische militaire inlichtingendienst (GRU), al een gevangenisstraf van meerdere jaren krijgen. Rosin benadrukt dat een harde aanpak noodzakelijk is: “Rusland is in oorlog met ons, maar niet iedereen beseft dat. Zwakte werkt alleen maar als een provocatie.”

Bron

De Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft aangegeven dat de AIVD geen juridische basis heeft voor structurele publiek-private samenwerkingen op het gebied van cyberbeveiliging. In een brief aan de Tweede Kamer werd gesteld dat het delen van gegevens tussen de diensten en private bedrijven, zoals technische informatie over aanvallen of malware, risicovol is. De samenwerking tussen de diensten en bedrijven is volgens de CTIVD onrechtmatig, omdat er onvoldoende waarborgen zijn voor het gebruik van de gegevens door private partijen. Minister Uitermark van Binnenlandse Zaken betwistte dit en gaf aan dat de informatie-uitwisseling plaatsvindt met het doel de digitale weerbaarheid te versterken. Er worden beleidsregels opgesteld en de Wiv 2017 wordt herzien om duidelijkheid te geven over publiek-private samenwerkingen in het cyberdomein.

Bron

De risicoanalyse van de AIVD over de verhuizing van een deel van het SIDN-domeinregistratiesysteem naar de cloud van Amazon wordt niet openbaar gemaakt. Minister Uitermark van Binnenlandse Zaken stelt dat de analyse als staatsgeheim is geclassificeerd en daarom niet met de Tweede Kamer kan worden gedeeld.

SIDN, de beheerder van .nl-domeinnamen, besloot vanwege infrastructuurproblemen een deel van het systeem naar de cloud te verplaatsen. Dit leidde tot zorgen, waarna de AIVD een risicoanalyse uitvoerde. Op basis van de bevindingen mocht SIDN onder strikte voorwaarden verhuizen, met als eis dat de database voor de .nl-zonefile bij een Nederlandse cloudprovider blijft.

De minister overweegt een minder geheime versie van de risicoanalyse vrij te geven en een vertrouwelijke briefing voor de Tweede Kamer te organiseren. Toch roept de geheimhouding kritiek op over de transparantie van het besluit.

Bron

Russische kranten lachen Europa uit na de scherpe opmerkingen van de Amerikaanse vicepresident JD Vance tijdens de veiligheidsconferentie in München. In zijn speech beschuldigde hij Europese leiders van zwakte, wat door de Russische media werd geprezen als een "psychologische schok" voor het Europese Westen. De kranten beschrijven het als een breuk in de Euro-Atlantische solidariteit, waarbij Europa nu een ondergeschikte rol moet spelen in onderhandelingen tussen de VS en Rusland. Dit komt voort uit het feit dat Europa niet uitgenodigd werd voor de vredesgesprekken over Oekraïne. De situatie wordt door Russische media beschreven als een "koude douche" voor de Europese elites, die nu de voorwaarden van Amerika en Rusland moeten accepteren zonder zelf mee te mogen onderhandelen.

Bron

De Chinese APT-groep "Mustang Panda" maakt gebruik van de Microsoft Application Virtualization Injector (MAVInject.exe) om kwaadaardige payloads in legitieme Windows-processen te injecteren en zo antivirussoftware te omzeilen. Deze techniek werd ontdekt door Trend Micro en heeft sinds 2022 meer dan 200 slachtoffers getroffen, voornamelijk overheidsinstellingen in de Azië-Pacific regio. De aanvallen worden doorgaans uitgevoerd via spear-phishing-e-mails die afkomstig lijken van overheidsinstanties of andere betrouwbare organisaties.

De MAVInject.exe wordt misbruikt om malware in het systeemproces "waitfor.exe" in te voeren, wat het moeilijk maakt voor antivirussoftware om het te detecteren, omdat dit proces als betrouwbaar wordt beschouwd. De malware biedt aanvallers een omgekeerde shell, waarmee ze op afstand commando's kunnen uitvoeren en bestanden kunnen manipuleren. ESET betwist echter de bevindingen van Trend Micro, aangezien hun technologie al bescherming biedt tegen deze aanvallen.

Bron

Er is melding gemaakt van een datalek bij het Russische spoorwegportaal my.rzd.ru, waarbij gevoelige persoonlijke en werkgerelateerde gegevens van werknemers zijn blootgesteld. De gehackte gegevens bevatten naar verluidt 570.000 records in JSON-formaat, met daarin onder andere volledige namen, e-mailadressen, functietitels en verlofgegevens van spoorwegmedewerkers. Het bestand heeft een grootte van 753 MB wanneer uitgepakt en 35 MB in gecomprimeerde vorm. De informatie werd gedeeld op een darkweb-forum door een dreigingsactor die beweert verantwoordelijk te zijn voor de inbraak. Dit incident benadrukt de kwetsbaarheid van overheidsplatforms en de ernst van datalekken die medewerkers en organisaties wereldwijd kunnen treffen.

Screenshot

Russische cybercriminelen gebruiken phishingcampagnes om de "Gekoppelde apparaten"-functie van de berichtenapp Signal te misbruiken. Ze verleiden slachtoffers om kwaadaardige QR-codes te scannen, waardoor hun Signal-account wordt gekoppeld aan een apparaat van de aanvaller. Hierdoor kunnen gesprekken in het geheim worden gevolgd zonder het toestel van het slachtoffer volledig over te nemen.

Volgens Google Threat Intelligence Group (GTIG) pasten de aanvallers deze methode aan per doelwit. In bredere aanvallen deden ze zich voor als legitieme Signal-groepuitnodigingen, terwijl gerichte aanvallen zich specifiek richtten op militaire en diplomatieke doelen. Het Russische hackerscollectief Sandworm gebruikte deze tactiek zelfs op mobiele apparaten die op het slagveld waren buitgemaakt.

Gebruikers worden geadviseerd hun Signal-app up-to-date te houden, regelmatig gekoppelde apparaten te controleren en voorzichtig te zijn met QR-codes. Ook wordt het inschakelen van tweefactorauthenticatie aangeraden om misbruik te voorkomen.

Bron

De Duitse verkiezingen zijn het doelwit van een georganiseerde desinformatiecampagne vanuit Rusland, zo blijkt uit onderzoek van Deutsche Welle. Cyberexperts signaleren een breed opgezette strategie waarbij nepnieuws, gemanipuleerde beelden en valse documenten worden verspreid om invloed uit te oefenen op de publieke opinie.

Een voorbeeld is een gerucht over CDU-kandidaat Friedrich Merz, waarin wordt beweerd dat hij in 2017 een zelfmoordpoging zou hebben gedaan. Dit bericht werd in tien dagen tijd 5,4 miljoen keer bekeken. Volgens deskundigen wordt er bewust twijfel gezaaid over politieke leiders, terwijl bepaalde partijen, zoals Alternative für Deutschland (AfD), juist positief worden neergezet.

De impact van deze campagnes is nog niet volledig te overzien, maar ze vormen een serieuze bedreiging voor de democratie. Experts waarschuwen dat dit digitale aanvallen zijn die verder gaan dan alleen het verspreiden van onrust en pleiten voor stevige maatregelen tegen dergelijke inmenging.

Bron

De pro-Oekraïense hackersgroep Cyber Alliance heeft de verantwoordelijkheid opgeëist voor een cyberaanval op CarMoney, een Russische microfinancieringsmaatschappij die naar verluidt gelinkt is aan de ex-vrouw van Vladimir Poetin. CarMoney bevestigde eerder deze week een cyberincident, waardoor het bedrijf al zijn systemen moest stilleggen. De aanvallers verstuurden massaal berichten naar klanten waarin werd beweerd dat CarMoney zou sluiten, schulden zou kwijtschelden en de opbrengsten zou doneren aan goede doelen.

De hackers beweren dat ze "terabytes aan data" buitmaakten, waaronder informatie over Russische militairen en inlichtingenofficieren. CarMoney ontkent dat er persoonlijke gegevens zijn gelekt, maar klanten melden nog steeds problemen met betalingen en accounttoegang.

Cyber Alliance voert al jaren digitale aanvallen uit op Russische doelwitten. Dit incident volgt op eerdere cyberaanvallen op Russische bedrijven en infrastructuur sinds de invasie van Oekraïne.

Bron

De Verenigde Staten raken steeds verder achter op hun tegenstanders in cyberspace, waarschuwde voormalig NSA- en Cyber Command-directeur Paul Nakasone. Tijdens een toespraak benadrukte hij dat vijandige staten hun cybercapaciteiten blijven uitbreiden, terwijl de VS moeite heeft om netwerken en infrastructuur adequaat te beveiligen. Hij wees op recente Chinese hacks van Amerikaanse telecombedrijven en een toename van ransomware-aanvallen als bewijs van deze kwetsbaarheid.

Nakasone waarschuwde ook voor de groeiende impact van cyberaanvallen, die in de toekomst fysieke schade kunnen veroorzaken. Hij benadrukte het belang van kunstmatige intelligentie in cyberoorlogsvoering en pleitte voor een agressievere cyberstrategie. Daarnaast onderstreepte hij de noodzaak om meer cyberexperts aan te trekken, aangezien de overheid talent verliest door recente beleidswijzigingen. Volgens Nakasone moet de VS zich proactiever opstellen om cyberdreigingen het hoofd te bieden.

Bron

Drie jaar na de Russische invasie van Oekraïne versterkt Europol zijn inspanningen om gesanctioneerde tegoeden op te sporen. Dit gebeurt onder Operatie OSCAR, een initiatief dat sinds april 2022 financiële onderzoeken naar bezittingen van gesanctioneerde personen en organisaties ondersteunt. In totaal werken 44 partners, waaronder Eurojust en Frontex, samen om de handhaving van EU-sancties te verbeteren en financiële criminaliteit te bestrijden.

Tot nu toe heeft Europol meer dan 300 operationele bijdragen ontvangen in ruim 90 onderzoeken. Het European Financial and Economic Crime Centre (EFECC) coördineert deze inspanningen en analyseert gegevens uit verschillende bronnen. Met een recent aangescherpt EU-wetgevingskader rond sanctieovertredingen, richt Europol een speciale eenheid op binnen het EFECC om illegale geldstromen beter te traceren en gesanctioneerde bezittingen efficiënter in beslag te nemen.

Bron

Het Russische Nationaal Coördinatiecentrum voor Computerincidenten (NKTsKI) waarschuwt organisaties in de krediet- en financiële sector voor een cyberaanval op LANIT, een toonaangevende Russische IT-dienstverlener. De aanval vond plaats op 21 februari 2025 en trof onder meer LLC LANTER en LLC LAN ATMservice, beide onderdeel van de LANIT Group.

Deze bedrijven leveren software en technologie voor banken en geldautomaten. Als reactie op de aanval adviseert NKTsKI getroffen organisaties om wachtwoorden en toegangsgegevens onmiddellijk te wijzigen en de monitoring van mogelijke dreigingen op te schroeven. Hoe de aanvallers toegang kregen en welke gegevens mogelijk zijn buitgemaakt, is nog onduidelijk.

De aanval wijst op een bredere kwetsbaarheid in de Russische financiële sector en vergroot het risico op verstoring van essentiële diensten. Russische banken zijn de afgelopen maanden vaker doelwit geweest van cyberaanvallen, mogelijk door Oekraïense hackers.

Bron

Maandag werden schermen in het Amerikaanse ministerie van Volkshuisvesting en Stedelijke Ontwikkeling (HUD) gekaapt om een deepfake-video van voormalig president Trump en Elon Musk te tonen. De video, die eerder op sociale media circuleerde, werd plotseling op de monitors afgespeeld met de tekst: "Long live the real king." Medewerkers probeerden het incident te verhelpen door de schermen uit te schakelen, en een onderzoek is gestart naar hoe de beelden verspreid konden worden.

Het incident komt te midden van controverses rond het federale personeelsbeleid, waarbij medewerkers recent een e-mail kregen met de eis om wekelijkse prestaties te rapporteren, op straffe van ontslag. De Amerikaanse overheid onderzoekt de rechtmatigheid hiervan. Ondertussen worden onder het 'DOGE'-initiatief, geleid door Musk, bezuinigingen doorgevoerd op overheidsinstanties, wat tot onrust leidt binnen verschillende federale diensten.

Bron

Onderzoekers hebben vastgesteld dat de Noord-Koreaanse hackersgroep Lazarus verantwoordelijk is voor de diefstal van $1,5 miljard bij de cryptobeurs Bybit. De aanval werd uitgevoerd via een gecompromitteerde ontwikkelaarscomputer van Safe{Wallet}, een multisig-walletplatform. Door schadelijke JavaScript-code in de infrastructuur van Safe{Wallet} te injecteren, konden de hackers toegang krijgen tot een Bybit-account en een frauduleuze transactie voorstellen.

Binnen enkele minuten na de aanval werd de kwaadaardige code uit de systemen van Safe{Wallet} verwijderd. De hackers onderschepten een geplande overdracht van fondsen en verplaatsten de cryptovaluta naar hun eigen wallet. Dit maakt het de grootste crypto-hack in de geschiedenis. Bybit heeft inmiddels zijn reserves hersteld en extra beveiligingsmaatregelen genomen.

Het onderzoek heeft bevestigd dat de aanval verband houdt met eerdere crypto-hacks door de Lazarus-groep, die al miljarden dollars heeft buitgemaakt om het Noord-Koreaanse regime te financieren. Gebruikers wordt geadviseerd extra voorzichtig te zijn bij transacties.

Bron

Het Belgische federaal parket onderzoekt of Chinese hackers hebben ingebroken bij de Staatsveiligheid (VSSE). De aanvallers zouden tussen 2021 en mei 2023 toegang hebben gekregen tot de externe e-mailserver van de dienst, waarbij ongeveer 10% van alle e-mails is onderschept. Dit betrof communicatie met overheidsinstanties, justitie en politie.

Ook interne HR-gegevens van personeel en sollicitanten zijn mogelijk gelekt, wat zorgen oproept over identiteitsfraude. De aanval lijkt verband te houden met een kwetsbaarheid in de Barracuda Email Security Gateway, die eerder wereldwijd door Chinese hackers is misbruikt.

Hoewel er geen aanwijzingen zijn dat de gestolen data op het darkweb is verschenen, blijft de VSSE de situatie nauwlettend monitoren. De Chinese ambassade ontkent elke betrokkenheid en spreekt van ongefundeerde beschuldigingen. Het gerechtelijk onderzoek loopt sinds november 2023, maar definitieve conclusies zijn nog niet getrokken.

Bron

De hacktivistische groep Keymous+ heeft een nieuwe operatie aangekondigd onder de naam ‘Hack For Humanity V2’. Deze cyberaanvalscampagne zou op 28 februari van start gaan. Keymous+ heeft enkele bekende cybercriminelen en hacktivisten uitgenodigd om zich bij de operatie aan te sluiten, waaronder Mr. Hamza, Alixsec, NoName057 en Dark Storm.

Hoewel de exacte doelwitten en motieven van de actie nog niet volledig bekend zijn, lijkt de operatie te worden gepresenteerd als een vorm van ‘hacktivisme’. Dit type cyberaanval wordt vaak gerechtvaardigd als een strijd tegen onrecht of ter ondersteuning van een ideologische zaak.

Met deze aankondiging waarschuwen experts voor een mogelijke toename van cyberdreigingen in de komende dagen. Bedrijven en overheden worden aangeraden alert te zijn en passende beveiligingsmaatregelen te nemen om mogelijke aanvallen te voorkomen.

Screenshot

Oekraïense autoriteiten waarschuwen voor een nieuwe cyberaanval waarbij hackers zich richten op notarissen om toegang te krijgen tot staatsregisters. De groep, geïdentificeerd als UAC-0173, verspreidt sinds januari phishingmails die afkomstig lijken van het Ministerie van Justitie. Dit zou kunnen samenhangen met een eerdere aanval in december, waarbij vermoedelijke Russische militaire hackers overheidsregisters in Kyiv wisten te compromitteren.

De hackers maken gebruik van DarkCrystal, een Russische malware die goedkoop op ondergrondse fora wordt verkocht. Hiermee kunnen ze systemen overnemen, informatie stelen en verdere aanvallen uitvoeren. Daarnaast gebruiken ze tools om beveiligingscontroles te omzeilen en inloggegevens te onderscheppen.

CERT-UA heeft geïnfecteerde computers in zes regio’s geïdentificeerd en in sommige gevallen verdere schade weten te voorkomen. De aanvallen lijken te worden uitgevoerd in opdracht van een onbekende partij, mogelijk met financiële motieven.

Bron