• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

Kyocera Document Solutions Europe, een bedrijf actief in de technologiesector, is recentelijk het slachtoffer geworden van een ransomware-aanval. De aanval werd ontdekt op 31 maart 2025 om 16:10, en werd uitgevoerd door de ransomware-groep Killsec. Het bedrijf is gevestigd in Europa, maar de specifieke locatie is niet bekendgemaakt. Kyocera is bekend om zijn innovatieve documentbeheeroplossingen en heeft wereldwijd klanten in verschillende industrieën. Deze aanval heeft de normale bedrijfsvoering verstoord, en de impact is momenteel nog in onderzoek. Het bedrijf werkt samen met de autoriteiten en cyberbeveiligingsexperts om de gevolgen van de aanval te beperken.

Screenshot

De hackersgroepen dna en grep hebben beweerd dat ze gevoelige gegevens hebben gelekt naar ICIT. De gelekte data bevat persoonlijke informatie, zoals ID, naam, e-mail, telefoonnummer, adres en meer. Dit is een alarmerend incident, aangezien het gevoelige gegevens betreft die makkelijk kunnen worden misbruikt voor identiteitsdiefstal of andere vormen van cybercriminaliteit. Het lekken van dergelijke informatie toont wederom de kwetsbaarheid van persoonlijke gegevens op het dark web en benadrukt de noodzaak voor verhoogde beveiligingsmaatregelen. Het is belangrijk om alert te blijven en voorzorgsmaatregelen te nemen om persoonlijke informatie te beschermen tegen misbruik door cybercriminelen.

Screenshot

Komec is een Belgisch bedrijf dat zich richt op betrouwbare producten en diensten, waarbij de nadruk ligt op eerlijkheid en betrouwbaarheid. Helaas is Komec recent slachtoffer geworden van een ransomware-aanval door de Qilin-groep. De aanval werd ontdekt op 7 april 2025 om 21:20. Op dit moment is het niet duidelijk in welke sector Komec actief is, aangezien deze informatie niet is gevonden. Ondanks de aanval blijft Komec zich inzetten voor zijn kernwaarden en het leveren van kwaliteitsproducten. Het is belangrijk dat bedrijven zoals Komec zich blijven wapenen tegen de steeds complexere dreigingen in de digitale wereld.

Screenshot

Thiekon Constructie BV, gevestigd in Rijen (Nederland), is een gerenommeerd bedrijf in de bouwsector met meer dan 40 jaar ervaring in staalconstructies en zinkcoating. Het bedrijf is het enige in Nederland met een eigen verzinkinstallatie, waarmee het staalbewerking in eigen huis kan uitvoeren. Thiekon Constructie is gespecialiseerd in het vervaardigen en monteren van stalen elementen, van kleine onderdelen tot complete constructies, en biedt op verzoek poedercoating aan. Deze geïntegreerde benadering maakt het mogelijk om staal, zink en schildertechnologieën binnen één bedrijf te combineren.

Op 8 april 2025 werd Thiekon Constructie getroffen door een ransomware-aanval uitgevoerd door de groep Incransom. De aanval werd om 10:03 uur ontdekt, wat het bedrijf voor een grote uitdaging stelde binnen de bouwsector.

Screenshot

Er is een belangrijke datalekmelding geplaatst over Adyen, een financieel dienstverlener uit Nederland. Een lid van BreachForums heeft informatie gedeeld over een datalek waarbij gegevens zijn gecompromitteerd. De gelekte data zou afkomstig zijn van een derde partij die in verband staat met Adyen. De impact van dit incident kan groot zijn, aangezien de gegevens mogelijk vertrouwelijke informatie bevatten die door de aanvallers kan worden misbruikt. Het lek werd op 9 april 2025 gemeld, en het wordt verder onderzocht. Deze zaak benadrukt de noodzaak voor bedrijven om extra waakzaam te zijn in hun samenwerking met externe organisaties, om te voorkomen dat gevoelige informatie via deze kanalen in verkeerde handen valt.

screenshot

Een groot datalek heeft verschillende ministeries in Den Haag getroffen, waaronder het ministerie van Binnenlandse Zaken (BZK), Economische Zaken (EZ) en Klimaat en Groene Groei (KGG). Het ministerie van BZK bevestigde het datalek en meldde dat er een ‘privacyprobleem’ is, waarbij de volledige aandacht naar de situatie uitgaat. Er is een datalekprocedure gestart, en ook de Autoriteit Persoonsgegevens is ingeschakeld. De omvang en de oorzaak van het datalek worden nog onderzocht. Het ministerie van EZ en KGG hebben bevestigd dat ook zij getroffen zijn, maar de impact op hun werk is nog onduidelijk. Naast de genoemde ministeries zouden ook andere ministeries betrokken zijn. De administratieve werkzaamheden zijn tijdelijk stilgelegd, terwijl het onderzoek doorgaat.

Bron

De Rijksoverheid heeft recent een datalek meegemaakt waarbij namen en functies van ambtenaren per ongeluk openbaar werden gemaakt. Dit gebeurde doordat deze gegevens niet uit documenten werden verwijderd voordat ze online werden geplaatst. Het betreft voornamelijk beslisnota's en Kamerstukken waarin de persoonlijke informatie zichtbaar bleef, terwijl deze dat niet had mogen zijn. Het datalek ontstond tijdens het uploaden van documenten op de Rijksoverheid-website. De oorzaak van de fout is nog onbekend, evenals de hoeveelheid gelekte gegevens. Het ministerie van Binnenlandse Zaken heeft inmiddels gemeld dat het incident is gemeld bij de Autoriteit Persoonsgegevens. De VVD en PVV hebben Kamervragen gesteld over het datalek en eisen opheldering. Het ministerie heeft drie weken de tijd om te reageren.

Bron

Recent heeft een datalek plaatsgevonden bij verschillende ministeries, veroorzaakt door een fout bij het omzetten van documenten naar een publicatieformat. Hierbij werd niet zorgvuldig omgegaan met de metadata, waardoor gegevens van ambtenaren per ongeluk werden gepubliceerd. De ministeries hebben het incident gemeld bij de Autoriteit Persoonsgegevens en het onderzoek naar de omvang is in volle gang. Voorlopige analyses tonen aan dat ongeveer 23 procent van de gepubliceerde documenten verkeerde metadata bevat. Er wordt onderzocht of het datalek verder gaat dan de platformen van de Rijksoverheid. Er zijn inmiddels maatregelen genomen om verdere publicatie van documenten met persoonsgegevens te voorkomen, zoals extra controles voor publicaties. De staatssecretaris betreurt dat het datalek via de media bekend werd, voordat de betrokkenen zelf geïnformeerd waren. Meer informatie over de afhandeling wordt voor de zomer verwacht.

Bron

Bij de overheid is recent een datalek ontdekt, waarbij de namen van ambtenaren via gepubliceerde documenten konden worden achterhaald. Dit gebeurde doordat de metadata in deze documenten niet goed waren afgeschermd. Alle ministeries zijn betrokken bij dit lek, dat werd ontdekt op open.overheid.nl, Rijksoverheid.nl en Overheid.nl. Metadata bevat informatie zoals de auteur van een document, die via speciale software toegankelijk is. In ongeveer 20% van de gevallen konden de namen van ambtenaren worden gekoppeld aan de documenten. Dit vormt vooral een risico bij gevoelige documenten, hoewel het lek zelf nog geen bedreigingen heeft veroorzaakt. Het onderzoek naar de omvang en de gevolgen van het lek is nog gaande, en 500.000 documenten zijn inmiddels gescand. Alle getroffen ministeries hebben melding gedaan bij de Autoriteit Persoonsgegevens en maatregelen genomen om verdere schade te beperken.

Bron

Er zijn meldingen van gegevens die mogelijk zijn gestolen van Wolters Kluwer en te koop worden aangeboden op het darkweb. Het gaat om gevoelige informatie die volgens de verkoper afkomstig is van een gegevensinbreuk bij het bedrijf. De aangeboden data omvat onder andere persoonlijke gegevens en mogelijk vertrouwelijke bedrijfsinformatie. Dit soort incidenten benadrukt het belang van proactieve maatregelen in cyberbeveiliging, zowel voor bedrijven als voor individuen. Het is nog niet bevestigd of de gegevens daadwerkelijk van Wolters Kluwer afkomstig zijn, maar dergelijke dreigingen kunnen ernstige gevolgen hebben voor de betrokkenen, zoals identiteitsdiefstal of andere vormen van misbruik. Het is essentieel om waakzaam te blijven en verdachte activiteiten tijdig te melden.

Screenshot

In april 2025 werd Wolterskluwer, een Nederlands bedrijf dat financiële software aanbiedt, getroffen door een cyberaanval. Ongeveer 2 miljoen rijen gebruikersinformatie werden geëxporteerd en te koop aangeboden. Het getroffen bedrijf heeft inmiddels contact opgenomen om de verkoop van de gegevens te stoppen, maar de data wordt tegen een prijs van 15.000 dollar per set aangeboden. De aanval werd uitgevoerd via een phishing-aanval met kwaadaardige bijlagen, een techniek die vaak wordt gebruikt om toegang te verkrijgen tot systemen. De aanvallers maakten gebruik van PowerShell om hun kwaadaardige activiteiten uit te voeren. Wolterskluwer, dat jaarlijks meer dan 5 miljard dollar omzet genereert en wereldwijd meer dan 21.000 medewerkers heeft, is momenteel bezig met het verhelpen van de schade.

On IT, een Belgisch bedrijf dat zich richt op digitale transformatie voor ondernemingen, is recent slachtoffer geworden van de TERMITE ransomware-aanval. De aanval heeft geleid tot de compromittering van ongeveer 760 GB aan gegevens, waaronder 1,5 miljoen bestanden van klanten. Het bedrijf biedt IT-diensten en wordt nu geconfronteerd met de gevolgen van een ernstig datalek. De TERMITE ransomware-groep heeft de gegevens gestolen en geëist dat het bedrijf betaalt om de bestanden terug te krijgen. Dit incident benadrukt de groeiende dreiging van ransomware-aanvallen die bedrijven wereldwijd treffen. Het is een waarschuwing voor bedrijven om hun beveiligingsmaatregelen te versterken en voorbereid te zijn op dergelijke aanvallen.

Screenshot

In Nederland zijn momenteel meer dan 150 Fortinet-firewalls gecompromitteerd, zo blijkt uit recent onderzoek van een internationale cybersecurityorganisatie. Wereldwijd gaat het om meer dan tienduizend geïnfecteerde systemen. De aanvallen maken gebruik van bekende kwetsbaarheden in FortiGate-firewalls waarvoor eerder al beveiligingsupdates zijn uitgebracht, maar die niet overal zijn geïnstalleerd. Na het verkrijgen van toegang maken aanvallers een zogeheten ‘symbolic link’ aan waarmee ze blijvend toegang houden tot gevoelige configuratiebestanden, zelfs na updates. Dit maakt het voor organisaties lastig om volledig van de indringer af te komen. Alleen gebruikers die de ssl vpn-functie niet geactiveerd hebben, lopen geen risico. Fortinet heeft een waarschuwing gepubliceerd waarin staat wat getroffen organisaties kunnen doen om de situatie te herstellen en verdere schade te beperken. In België zijn 131 geïnfecteerde firewalls vastgesteld.

Screenshot

Bij een recente wereldwijde scan zijn in België meer dan 130 Fortinet-firewalls aangetroffen die door aanvallers zijn gecompromitteerd. Het gaat om systemen die kwetsbaar zijn gebleven doordat bekende beveiligingslekken niet zijn gepatcht, ondanks dat Fortinet hier al eerder updates voor heeft uitgebracht. Aanvallers maken gebruik van een techniek waarbij ze een ‘symbolic link’ plaatsen tussen het gebruikers- en rootbestandssysteem van de firewall. Hierdoor behouden ze toegang tot belangrijke configuratiebestanden, zelfs na een beveiligingsupdate. Deze techniek is vooral effectief bij firewalls waarbij de ssl vpn-functie actief is. Systemen zonder deze functie lopen geen risico. Wereldwijd zijn meer dan tienduizend geïnfecteerde firewalls in kaart gebracht, waarvan 154 in Nederland. Fortinet heeft inmiddels richtlijnen gedeeld waarmee organisaties zich kunnen beschermen en de impact kunnen beperken.

Screenshot

Een reeks bekende financiële platforms zoals Bunq, Revolut, Stripe, CashApp, Vivid en andere is recent slachtoffer geworden van een grootschalig datalek. De getroffen organisaties opereren in de sectoren finance, banking en insurance en staan bekend om hun innovatieve digitale diensten. Bij de aanval zijn vermoedelijk gegevens buitgemaakt die nu te koop worden aangeboden op het darkweb. De herkomst van de aanval is nog onduidelijk, maar de omvang en combinatie van getroffen bedrijven wijzen op een gerichte actie.

Anoniem

De gemeentelijke administratie van Jemeppe-sur-Sambre is sinds maandagochtend volledig buiten werking door een zware cyberaanval. Medewerkers konden niet meer inloggen op hun systemen en ook e-mail en telefonie lagen plat. De daders eisen 700.000 euro losgeld. De burgemeester omschreef de situatie als een volledige stilstand van de diensten. De federale gerechtelijke politie, met name de Computer Crime Unit, werd meteen ingeschakeld. Zij bevestigden dat het om een gerichte cyberaanval gaat, maar konden nog geen toegang tot de digitale systemen of de telefonie herstellen. Het is nog onduidelijk of er data is buitgemaakt. De aanval legt pijnlijk bloot hoe kwetsbaar lokale besturen zijn voor digitale dreigingen en benadrukt de noodzaak van een sterk cyberweerbaarheidsbeleid binnen overheidsinstanties.

Bron

Update: De claim van INC Ransom betreft de Amerikaanse tak van de Delhaize-groep, gedateerd op 8 november 2024. In hoeverre deze claim momenteel nog actueel is, wordt scherp gemonitord.

Koninklijke Ahold Delhaize N.V., een toonaangevend bedrijf in de landbouw- en voedselproductiesector, is slachtoffer geworden van een ransomware-aanval door de groep Incransom. Ahold Delhaize bedient wekelijks 72 miljoen klanten in de Verenigde Staten, Europa en Indonesië, met een focus op het leveren van kwaliteitsvoedsel, waarde en innovatie. Op 16 april 2025 werd de aanval ontdekt, waarbij de criminelen 6TB aan gevoelige gegevens hebben buitgemaakt. Het bedrijf is actief in Nederland en andere internationale markten.

Screenshot

INC Ransom

​De ransomwaregroep 'INC Ransom' is actief sinds juli 2023 en heeft wereldwijd talloze organisaties getroffen, met name in de zorgsector. Hoewel de specifieke identiteit van de leden onbekend is, wijzen aanwijzingen op een Russische oorsprong van de groep.

Achtergrond en activiteiten

INC Ransom maakt gebruik van een 'double extortion' strategie, eerst wordt data gestolen en vervolgens versleuteld, waarna het openbaar wordt gemaakt op hun darkweb leksite als het slachtoffer niet betaalt. De groep heeft onder andere ziekenhuizen in het Verenigd Koninkrijk aangevallen, zoals NHS Dumfries and Galloway en Alder Hey Children's Hospital, waarbij gevoelige patiëntgegevens werden gestolen en openbaar gedeeld.

Mogelijke herkomst en connecties

Hoewel er geen direct bewijs is dat de Russische staat betrokken is, wordt aangenomen dat INC Ransom opereert vanuit Rusland of voormalige Sovjetstaten. De groep lijkt enige bescherming te genieten van de Russische autoriteiten, zolang hun activiteiten geen Russische belangen schaden. Er zijn ook aanwijzingen dat INC Ransom mogelijk samenwerkt met of onderdeel is van andere groepen zoals Qilin, wat wijst op een netwerk van cybercriminelen die onder verschillende namen opereren.

Hoewel de exacte identiteit van de leden van INC Ransom onbekend is, wijzen de gebruikte technieken, doelwitten en de vermoedelijke oorsprong op een goed georganiseerde groep cybercriminelen met mogelijk Russische banden.

Lees ook: INC Ransom, nieuwe dreiging voor Ahold Delhaize

Ahold Delhaize heeft bevestigd dat gegevens van medewerkers van Albert Heijn en Etos mogelijk zijn buitgemaakt tijdens een ransomware-aanval in november vorig jaar. Het betreft vooral personeel dat in april 2021 op de loonlijst stond. Het bedrijf benadrukt dat het onderzoek naar de omvang van het datalek nog gaande is. Er wordt geen bewijs gevonden dat klantgegevens of gegevens van medewerkers van bol.com of franchisenemers zijn gestolen. De hack werd toegeschreven aan de Russische hackersgroep INC Ransom, die eerder al verschillende organisaties, waaronder gezondheidsinstellingen, aanviel. Het incident heeft geleid tot verstoringen, vooral in de Verenigde Staten, waar systemen tijdelijk offline werden gehaald. Ahold Delhaize heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en waarschuwt medewerkers om alert te zijn op verdachte berichten.

Bron

Bij Fontys Hogeschool werden honderden bestanden lange tijd onbedoeld toegankelijk voor externe partijen. Het datalek betrof gevoelige informatie zoals medische gegevens van studenten, studieadviezen en interne e-mails van medewerkers. Het lek werd ontdekt toen iemand zich voor een cursus inschreef en toegang kreeg tot het interne netwerk van de hogeschool. Via dit netwerk konden documenten zoals pasfoto’s, privégegevens van studenten, en zelfs vertrouwelijke e-mails over examenverzoeken worden ingezien. Ook documenten die al jaren oud waren, waren nog zichtbaar. Na ontdekking werd Fontys ingelicht en heeft de hogeschool de toegang inmiddels afgesloten. Dit incident is niet het eerste datalek bij de instelling; eerder werden al persoonsgegevens van studenten en medewerkers blootgesteld. Fontys biedt haar excuses aan en heeft maatregelen genomen om herhaling te voorkomen, waaronder strengere controle op de publicatie van bestanden binnen hun netwerk.

Bron

Op donderdag werd een grootschalige cyberaanval gedetecteerd op het computersysteem van het Service Public de Wallonie (SPW). Om verdere schade te beperken, besloot de organisatie tijdelijk alle internetverbindingen te onderbreken. Hierdoor is het nog onduidelijk wanneer de diensten weer operationeel zullen zijn. Er wordt onderzocht welke gegevens mogelijk zijn gecompromitteerd, maar op dit moment zijn er geen aanwijzingen dat vertrouwelijke informatie is gestolen. De aanval wordt als complex beschouwd, maar er is geen verzoek om losgeld ontvangen. Het SPW werkt nauw samen met het Belgische Centrum voor Cybercriminaliteit om de situatie te beoordelen en de beveiliging te verbeteren. De gevolgen van de tijdelijke stopzetting van de dienstverlening zijn groot, en er worden maatregelen genomen om de communicatie met het publiek open te houden. Updates over de voortgang van het incident worden regelmatig gedeeld via de officiële kanalen.

Bron

Pharma Force, een bedrijf actief in de gezondheidszorgsector, is op 21 april 2025 getroffen door een ransomware-aanval van de cybercriminele groep Hunters. Het bedrijf is gevestigd in Nederland en levert farmaceutische diensten en producten binnen de zorgketen. De aanval werd ontdekt om 11:37 uur en blijkt gericht te zijn op het buitmaken van gevoelige gegevens. Volgens de eerste informatie is er data geëxfiltreerd maar niet versleuteld, wat wijst op een tactiek waarbij dreiging met datalekken gebruikt wordt als drukmiddel om losgeld te eisen. Aanvallen zoals deze tonen nogmaals het belang aan van digitale weerbaarheid binnen de zorgsector, waar gevoelige patiëntgegevens vaak het doelwit zijn van cybercriminelen. Het incident is in onderzoek en er wordt gekeken naar de aard en omvang van de gestolen informatie.

Screenshot

C-Mec is een Europees bedrijf dat op maat gemaakte oplossingen in metaal biedt voor nicheklanten. Met jarenlange expertise en creatieve samenwerking levert het bedrijf klantgerichte processen voor kwaliteitsproducten in kleine, middelgrote en grote series. Op 21 april 2025 werd C-Mec getroffen door een ransomware-aanval van de groep Ransomhouse. De aanval werd ontdekt op deze datum, maar volgens de informatie begon de aanval op 10 april 2025. De sector van het bedrijf is niet verder gespecificeerd, maar het richt zich op maatwerk en gespecialiseerde producties. Het bedrijf is actief in Europa.

Screenshot

Een dreigingsactor beweert een database van Albert Heijn te hebben buitgemaakt waarin gegevens van 135.000 klanten zijn opgenomen. De gestolen data bevat onder meer namen, adressen, e-mailadressen, telefoonnummers, geboortedata en bankrekeningnummers. Volgens de melding is deze informatie verzameld in april 2025. De gegevens worden aangeboden op het darkweb, waardoor betrokken klanten risico lopen op identiteitsfraude en andere vormen van cybercriminaliteit. Het is nog onduidelijk of de claims volledig bevestigd zijn, maar het incident benadrukt opnieuw hoe belangrijk het is om zorgvuldig om te gaan met persoonlijke gegevens en regelmatig waakzaam te zijn voor ongebruikelijke activiteiten rondom bankrekeningen en online accounts. Albert Heijn heeft nog geen officiële reactie gegeven op het incident.

Screenshot

Ushio Europe B.V., een toonaangevend bedrijf in de verlichtingsindustrie, is slachtoffer geworden van een ransomware-aanval door de bekende cybercriminele groep Conti. Het bedrijf, dat zich richt op het leveren van geavanceerde verlichtingsoplossingen voor verschillende sectoren, ontdekte de aanval op 30 april 2025. De aanval vond waarschijnlijk al plaats op 6 april 2025, maar werd pas later opgemerkt. Ushio Europe B.V. is gevestigd in Nederland en is actief in de technologische sector, met een focus op innovatieve producten voor verlichting en display-oplossingen. De aanval heeft ernstige gevolgen voor de bedrijfsvoering gehad, met een verstoring van interne systemen en gegevens.

Persbericht: Ushio Europe getroffen door cyberaanval

Ushio Europe B.V. heeft aangekondigd het slachtoffer te zijn van een cyberaanval. Als gevolg hiervan kunnen zij sinds 2 april geen e-mails verzenden of ontvangen, en kunnen zij niet garanderen dat berichten die sindsdien zijn verstuurd, zijn of zullen worden afgeleverd. Het bedrijf benadrukt echter dat klantgegevens veilig zijn en er geen bewijs is van een datalek. De aanval was gericht op het uitschakelen van systemen, niet op datadiefstal. Alle noodzakelijke maatregelen voor databeveiliging zijn getroffen en de relevante autoriteiten zijn geïnformeerd. Het IT-team werkt samen met externe beveiligingsexperts om de getroffen systemen te herstellen. Productie is niet beïnvloed, de voorraad wordt gewaarborgd en bestellingen worden nog steeds verwerkt. Alternatieve communicatiekanalen worden opgezet en het bedrijf zal de nieuwe contactgegevens via hun website en sociale media delen.

Bron

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

Cybercrimeinfo (ccinfo.nl) beschikt over diepgaande cyberdreigingsinformatie en actuele ransomwaregegevens. Vanuit deze informatie stellen wij dagelijks overzichtelijke rapportages samen. De rapportages bevatten actuele gegevens over onder meer datalekken, ransomware-incidenten, DDoS-aanvallen, defacements en andere digitale bedreigingen, inclusief onbewerkte schermafbeeldingen.

Wilt u dagelijks actuele inzichten ontvangen in cyberdreigingen en ransomwareontwikkelingen? Neem dan contact op met Digiweerbaar via het contactformulier. Wij informeren u graag over de mogelijkheden.

De hackersgroep NoName heeft verklaard meerdere websites van Nederlandse provincies te hebben aangevallen met een DDoS aanval. De getroffen provincies zijn Drenthe, Groningen, Noord-Brabant, Noord-Holland en Overijssel. Bij een DDoS aanval worden websites overspoeld met zoveel verkeer dat ze tijdelijk onbereikbaar kunnen worden. De motieven achter deze aanval zijn nog niet duidelijk, maar dergelijke acties worden vaak ingezet om onrust te veroorzaken of politieke statements te maken. Er is nog geen informatie bekend over langdurige schade of datalekken als gevolg van deze aanval. Overheden en betrokken partijen werken aan herstel en beveiligingsmaatregelen om de dienstverlening snel te herstellen en toekomstige aanvallen te voorkomen.

Direct naar dit nieuws

In het eerste kwartaal van 2025 is er een zorgwekkende stijging van DDoS-aanvallen (Distributed Denial of Service), waarbij het aantal aanvallen met 358% is toegenomen vergeleken met het voorgaande jaar. Deze aanvallen richten zich voornamelijk op de netwerk- en applicatielaag van bedrijven en kunnen grote schade veroorzaken door websites tijdelijk of permanent buiten gebruik te stellen. De aanvallen zijn steeds complexer en groter, met pieken tot wel 1 terabit per seconde. Cybercriminelen maken gebruik van verschillende technieken, zoals SYN-floods en amplificatie-aanvallen via protocollen als SSDP en CLDAP, die de effectiviteit van de aanvallen vergroten. Sectoren zoals de gokindustrie en telecom zijn vaak doelwit. Organisaties kunnen zich beschermen door altijd-aan bescherming te implementeren, netwerken continu te monitoren en snelle incidentresponsprocedures te ontwikkelen. Gezien de toenemende dreiging is het van cruciaal belang dat bedrijven hun verdedigingen blijven verbeteren om DDoS-aanvallen af te weren.

Lees ons gedetailleerde artikel hier verder

De groep NoName heeft beweerd verantwoordelijk te zijn voor DDoS-aanvallen op twee belangrijke websites in Nederland: de gemeentelijke sites van Utrecht en Den Haag. DDoS, oftewel Distributed Denial of Service, is een aanval die gericht is op het verstoren van de toegang tot websites door deze te overspoelen met verkeer, waardoor ze onbereikbaar worden voor reguliere gebruikers. Deze aanval is een voorbeeld van de toenemende dreigingen die overheden en bedrijven wereldwijd treffen. Dergelijke aanvallen kunnen aanzienlijke verstoringen veroorzaken in de dienstverlening en zijn vaak een teken van bredere cyberaanvallen of politieke motieven. De aangevallen gemeenten zullen waarschijnlijk hun IT-infrastructuur en beveiligingsmaatregelen evalueren om zich tegen verdere aanvallen te wapenen.

• Naar pagina

• Naar overzicht

• Naar overzicht

Een phishing-platform genaamd 'Lucid' heeft wereldwijd 169 doelwitten in 88 landen aangevallen met goed voorbereide berichten via iMessage (iOS) en RCS (Android). Het platform, beheerd door de Chinese cybercriminelen van de 'XinXin groep', wordt via een abonnementsmodel verkocht aan andere cybercriminelen, waardoor ze toegang krijgen tot phishingdomeinen, op maat gemaakte phishingwebsites en geavanceerde spammethoden. Lucid verstuurt dagelijks zo'n 100.000 smishing-berichten die gebruik maken van versleutelde communicatiekanalen om spamfilters te omzeilen. De berichten, vaak vermomd als meldingen over verzendingen of belastingaangiftes, leiden slachtoffers naar valse websites die persoonlijke en financiële gegevens stelen. Deze geavanceerde en grootschalige phishingcampagnes verlagen de drempel voor cybercriminaliteit en vergroten de kans op succes door de hoge kwaliteit van de aanvallen.

Bron

De Lazarus Group, voorheen gezien als één enkele geavanceerde persistente dreiging (APT), is geëvolueerd naar een netwerk van verschillende subgroepen. Deze subgroepen, zoals Diamond Sleet en Moonstone Sleet, gebruiken overlappende technieken, maar richten zich op verschillende doelen, zoals cryptocurrency-aanvallen of ransomware. Deze fragmentatie maakt het moeilijker om de activiteiten van de Lazarus-groep te attribueren. Elke subgroep heeft zijn eigen strategieën en doelen, wat het uitdagend maakt om uniforme verdedigingen te ontwikkelen. Het identificeren van deze subgroepen is van cruciaal belang voor het verstrekken van gerichte waarschuwingen en het ontwikkelen van effectieve tegenmaatregelen. De complexiteit van het toewijzen van verantwoordelijkheden groeit, vooral nu er ook taakgerichte groepen ontstaan die middelen delen. De evolutie van Lazarus benadrukt de noodzaak voor voortdurende innovatie in cyberbeveiliging om deze dynamische bedreigingen tegen te gaan.

Bron

The Shadowserver Foundation heeft melding gemaakt van actief misbruik van een kwetsbaarheid in CrushFTP, een softwaretool voor het opzetten van FTP-servers. De kwetsbaarheid stelt aanvallers in staat om ongeauthenticeerde toegang te krijgen tot de servers via een open HTTP- of HTTPS-poort. De zwakte is opgelost in de nieuwste versies van CrushFTP, namelijk versie 10.8.4+ en 11.3.1+. Ondanks de beschikbaarheid van updates worden er wereldwijd nog steeds meer dan duizend kwetsbare servers aangetroffen, waaronder vijftig in Nederland. Hackers maken momenteel gebruik van proof-of-concept exploitcode om misbruik van de kwetsbaarheid te maken. Het probleem heeft nog geen officieel CVE-nummer gekregen. Beheerders van getroffen servers wordt dringend aangeraden de software te updaten naar de laatste versie om verdere aanvallen te voorkomen.

Bron

GreyNoise heeft een significante stijging opgemerkt in de activiteit van login-scanners gericht op de Palo Alto Networks PAN-OS GlobalProtect-poorten. In de afgelopen 30 dagen hebben bijna 24.000 unieke IP-adressen geprobeerd toegang te krijgen tot deze poorten. Dit patroon wijst op een gecoördineerde poging om netwerkbeveiligingen te testen en kwetsbare systemen te identificeren, wat mogelijk een voorbode is van gerichte aanvallen. De activiteit begon op 17 maart 2025 en bereikte een piek van bijna 20.000 IP-adressen per dag. De meeste waargenomen activiteit werd geclassificeerd als verdacht, met een kleiner aantal als schadelijk. Dit kan duiden op een gepland proces voor het testen van netwerken, wat zou kunnen leiden tot exploitatie. Organisaties die gebruik maken van Palo Alto Networks-systemen wordt geadviseerd hun login-poorten te beveiligen en hun logs te controleren op tekenen van compromittering.

Bron

HijackLoader, een malware die al sinds 2023 actief is, heeft onlangs zijn tactieken voor het ontwijken van beveiligingssoftware verder ontwikkeld. De nieuwste versies bevatten modules die de oorsprong van functieaanroepen maskeren door middel van call stack spoofing, waarmee de malware moeilijker te detecteren is door endpoint-detectiesystemen. Daarnaast detecteert HijackLoader virtuele machines en analysemilieus, waardoor het zich beter kan verbergen tijdens inspecties. Een andere nieuwe module maakt gebruik van geplande taken om de persistentie van de malware te waarborgen. Deze continue updates tonen aan dat HijackLoader zich blijft aanpassen en zijn ontwijkingstechnieken verbetert, wat het voor beveiligingssystemen steeds moeilijker maakt om deze malware te identificeren en te neutraliseren.

Bron

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in Apache Tomcat-webservers. Deze kwetsbaarheid, bekend als CVE-2025-24813, werd op 10 februari verholpen met de release van Apache Tomcat 11.0.3, maar pas op 10 maart openbaar gemaakt. Als de Tomcat-installatie bepaalde instellingen heeft, zoals 'writes enabled for the default servlet' ingeschakeld, kan een aanvaller op afstand code uitvoeren. Kort na de bekendmaking van de kwetsbaarheid verscheen er al exploitcode online. Hoewel CISA geen details geeft over de aanvallen, heeft het Amerikaanse overheidsinstanties opgedragen om vóór 22 april de benodigde updates te installeren. De impact van deze kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.

Bron

In 2024 zijn via GitHub 39 miljoen 'secrets' gelekt, waaronder credentials, API-sleutels en tokens. Deze lekken stellen aanvallers in staat ongeautoriseerde toegang te verkrijgen tot systemen en data. GitHub benadrukt dat dergelijke lekken een van de meest voorkomende en te voorkomen oorzaken zijn van beveiligingsincidenten en datalekken. Veel van deze incidenten ontstaan doordat ontwikkelaars bewust secrets delen of openbaar maken, vaak uit gemak, zonder de risico's op lange termijn te overzien. Aanvallers kunnen zelfs 'low risk' secrets misbruiken om lateraal te bewegen naar waardevollere assets. Om dit tegen te gaan, introduceerde GitHub vorig jaar standaard 'push protection' voor publieke repositories. Recent heeft het platform aangekondigd dat organisaties gratis een 'point-in-time scan' kunnen uitvoeren om blootgestelde secrets op te sporen.

Bron 1, 2

Onderzoekers van de Acronis Threat Research Unit hebben een complexe malwareketen blootgelegd die begint met een schijnbaar onschuldige e-mailbijlage in de vorm van een RAR-bestand. Dit bestand, bedoeld om angst op te wekken met een Spaanse titel over beslaglegging, bevat een VBS-script dat een reeks geavanceerde stappen in gang zet. Deze stappen omvatten het aanmaken van batch- en PowerShell-scripts die uiteindelijk leiden tot het in het geheugen laden van malware zoals DCRat of Rhadamanthys. De scripts zijn zwaar versleuteld en maken gebruik van technieken zoals Base64-encoding en byte-voor-byte XOR-decodering. Opmerkelijk is dat de PowerShell-code citaten van Nietzsche bevat, vermoedelijk als afleiding. Door het gebruik van meerdere programmeertalen en lagen van obfuscatie is deze aanval moeilijk te detecteren, maar de complexiteit biedt ook aanknopingspunten om het proces te onderbreken. Multilayered beveiligingsoplossingen zijn essentieel om zulke bedreigingen effectief te stoppen.

Bron

Noord-Koreaanse IT-werknemers, vaak aangeduid als "IT-krijgers", breiden hun operaties uit naar Europa nadat ze in de VS onder toenemende druk kwamen te staan. Door zich online voor te doen als freelancers uit landen als Italië, Japan en de VS weten ze werk te bemachtigen bij Europese bedrijven in onder meer Duitsland, Portugal en het Verenigd Koninkrijk. Ze maken gebruik van vervalste identiteiten en betalen wordt vaak geregeld via cryptovaluta en diensten die de herkomst van het geld verbergen. Deze strategie levert miljoenen op voor het Noord-Koreaanse regime dat het gebruikt voor wapens. Daarnaast is er sprake van spionage en afpersing van voormalige werkgevers. Europese bedrijven zijn inmiddels gewaarschuwd dat het inhuren van deze werknemers kan leiden tot schending van sancties. De dreiging groeit vooral binnen sectoren als defensie en technologie, waar gevoelige informatie steeds vaker wordt buitgemaakt.

Bron

Aanvallers richten zich op Mac-gebruikers die op zoek zijn naar een baan in de cryptovalutasector. Ze benaderen slachtoffers via sociale media, waarbij een nep-recruiter beweert dat het slachtoffer geschikt is voor een vacature bij een bekend cryptobedrijf. Vervolgens wordt het slachtoffer doorverwezen naar een valse sollicitatiewebsite.

Op deze site wordt gevraagd een contactformulier in te vullen, vragen over cryptovaluta te beantwoorden en een introductievideo op te nemen. Tijdens het opnemen verschijnt een foutmelding die stelt dat de toegang tot de microfoon of camera is geblokkeerd. Om dit te verhelpen, wordt het slachtoffer geïnstrueerd een opgegeven curl-commando in de Terminal uit te voeren om zogenaamd 'FFMPEG-drivers voor macOS' te updaten.

In werkelijkheid downloadt dit commando een zip-bestand dat de 'FrostyFerret stealer' malware installeert. Deze malware toont een vals systeemvenster dat om het systeemwachtwoord vraagt, waarna het wachtwoord naar de aanvallers wordt gestuurd. Tevens wordt een backdoor geïnstalleerd, waardoor de aanvallers toegang krijgen tot de keychain en andere gevoelige informatie van de gebruiker.

Bron

Op duizenden namaak Android-smartphones is een nieuwe versie van de Triada-malware aangetroffen die al actief is zodra het toestel wordt opgestart. Vooral Russische gebruikers zijn slachtoffer, met minstens 2.600 bevestigde infecties in maart 2025. De besmette toestellen zijn goedkope imitaties van populaire modellen en worden online verkocht tegen aantrekkelijke prijzen. Triada nestelt zich diep in de systeemsoftware en is daardoor bijna onmogelijk te verwijderen zonder het besturingssysteem opnieuw te installeren. De malware steelt accounts van sociale media, onderschept berichten, vervangt cryptowalletadressen en voert andere kwaadaardige acties uit. Onderzoekers schatten dat er al minstens 270.000 dollar aan cryptovaluta is gestolen. Vermoedelijk raakt de malware via een supply chain-aanval in de toestellen en zelfs verkopers zijn zich daar mogelijk niet van bewust. Gebruikers wordt aangeraden alleen bij erkende distributeurs te kopen of bij twijfel een schone installatie van betrouwbare software uit te voeren.

Bron

Een gebruiker op BreachForums heeft op 31 maart 2025 een database gelekt met informatie over 10.000 Nederlandse klanten van Ledger, een bedrijf gespecialiseerd in beveiligingsoplossingen voor cryptocurrency. De gelekte gegevens omvatten voornaam, achternaam, e-mailadres, telefoonnummer en land van de betrokken personen. De bron van het lek is een Ledger-vestiging in Nederland en betreft actieve cryptohandelaren van 20 jaar en ouder. De gebruiker kondigde tevens aan in de toekomst meer databases met gegevens uit andere regio's te zullen delen. Ledger biedt hardware wallets en softwareoplossingen aan voor het veilig beheren en opslaan van digitale activa.

Een enorme datalek heeft mogelijk de gegevens van 2,87 miljard Twittergebruikers (tegenwoordig X genoemd) blootgelegd. De hack werd op 28 maart 2025 gemeld door een gebruiker op een hackersforum en zou zijn uitgevoerd door een ontevreden ex-medewerker tijdens massaontslagen. De gelekte informatie is gecombineerd met data uit een eerdere hack van januari 2023 en omvat gebruikersnamen, profielomschrijvingen, locatiegegevens, volgersaantallen, tweetstatistieken en meer. Hoewel de nieuwste dataset geen e-mailadressen bevat, zorgt de combinatie van beide lekken voor een uiterst gedetailleerd gebruikersprofiel. De bestanden zijn gestructureerd in CSV-formaat en lijken afkomstig van API-tools. Met een omvang van 400GB zou dit lek het op één na grootste datalek in de geschiedenis zijn. Het werkelijke aantal getroffen gebruikers roept vragen op, aangezien X slechts ongeveer 336 miljoen actieve gebruikers heeft. Vermoedelijk bevat de dataset ook verwijderde of inactieve accounts. X heeft tot nu toe geen officiële reactie gegeven. De gelekte gegevens vergroten het risico op gerichte phishing en identiteitsfraude.

Bron

Onderzoekers hebben een geavanceerde malwarecampagne ontdekt waarbij een nieuwe variant van KoiLoader wordt gebruikt om informatie te stelen. Deze variant maakt gebruik van PowerShell-scripts die verborgen zitten in Windows-snelkoppelingen en wordt verspreid via phishingmails die zich voordoen als bankcommunicatie. Zodra de gebruiker het kwaadaardige bestand opent, activeert dit een keten van scripts die detectie proberen te omzeilen en extra malware downloaden. De aanvallers maken gebruik van bekende kwetsbaarheden in Windows om hun code te verbergen en voeren taken uit via legitiem ogende processen zoals svchost.exe. KoiLoader levert uiteindelijk Koi Stealer, een programma dat wachtwoorden, cryptowallets en gevoelige documenten steelt. De communicatie met de server van de aanvallers verloopt versleuteld via HTTP POST-verzoeken. De aanvalsmethode toont aan dat cybercriminelen steeds vaker bestaande systeemtools en scripts gebruiken om beveiligingsmaatregelen te ontwijken. Experts raden aan om PowerShell en wscript te beperken en gedragsanalyse in beveiligingssoftware toe te passen.

Bron

Cybercriminelen maken gebruik van Microsoft Teams om via ogenschijnlijk legitieme berichten schadelijke software te verspreiden en langdurige toegang tot bedrijfsnetwerken te verkrijgen. Deze aanval begint met een PowerShell-commando dat rechtstreeks in een Teams-bericht wordt gestuurd en maakt gebruik van tools zoals Quick Assist en TeamViewer om de controle over systemen over te nemen. De hackers doen zich vaak voor als IT-medewerkers om vertrouwen te winnen. Een tweede fase van de aanval gebruikt een JavaScript-backdoor die via Node.js draait en een permanente verbinding opzet met de infrastructuur van de aanvallers. De aanvalsmethode is bijzonder geraffineerd doordat zij gebruikmaakt van gesigneerde legitieme bestanden in combinatie met schadelijke modules. Deze techniek maakt het lastig voor traditionele beveiligingssystemen om de aanval te detecteren. Organisaties worden aangeraden om ongebruikte externe toegangstools te blokkeren en medewerkers te trainen in het herkennen van digitale manipulatiepogingen via samenwerkingsplatformen.

Bron

Cybersecurityonderzoekers hebben een nieuwe golf van phishingaanvallen ontdekt die zich richten op belastingbetalers via hun mobiele apparaten. Deze campagne maakt gebruik van de stress rondom de belastingdeadline om mensen te misleiden tot het delen van gevoelige gegevens. Aanvallers sturen sms’jes met urgente waarschuwingen over belastingteruggaven of juridische dreigingen, vaak met links die lijken op legitieme IRS-webadressen. Deze leiden naar overtuigende nepwebsites die ontworpen zijn om persoonlijke informatie zoals burgerservicenummers en financiële gegevens te stelen. De aanvallen maken gebruik van technieken zoals domeinspoofing en geavanceerde visuele imitatie van officiële IRS-pagina’s. Ze passen zich aan elk mobiel apparaat aan en gebruiken verkorte links en misleidende HTTPS-certificaten om gebruikers te misleiden. Zodra informatie is ingevoerd, wordt deze direct doorgestuurd naar servers buiten het bereik van Amerikaanse autoriteiten. Gebruikers wordt aangeraden alleen via de officiële IRS-site te communiceren en alert te blijven op verdachte berichten.

Bron

Cybercriminelen richten zich in toenemende mate op kwetsbaarheden in veelgebruikte netwerkapparatuur en remote access tools van bedrijven zoals Ivanti, SonicWall, Zoho en F5. Sinds eind maart is een sterke toename van aanvallen waargenomen waarbij oude én recent ontdekte zwakke plekken worden misbruikt. Ivanti’s VPN-systemen zijn doelwit van code-injectie en buffer overflow, terwijl SonicWall kampt met een kritieke kwetsbaarheid waardoor aanvallers VPN-sessies kunnen kapen. Bij Zoho wordt misbruik gemaakt van onveilige API’s om toegang op rootniveau te verkrijgen en F5 BIG-IP systemen worden aangevallen via server-side request forgery om interne netwerken te doorzoeken. Ondanks beschikbare updates blijven veel organisaties kwetsbaar door trage patchprocessen. Aanvallers gebruiken geavanceerde technieken zoals fingerprinting van TLS-handshakes en combineren verschillende CVE’s om volledige controle over systemen te verkrijgen. Deze campagne benadrukt het belang van tijdig patchen en het inzetten van gedragsanalyses en segmentatie om verdere schade te voorkomen.

Bron

Onderzoekers hebben een geavanceerde aanvalsmethode ontdekt waarbij draadloze communicatiesignalen worden misbruikt om heimelijke achterdeurtjes in netwerken te creëren. Deze zogenaamde “Channel Triggered Backdoor Attack” gebruikt subtiele wijzigingen in draadloze signalen om verborgen communicatiepaden te openen waarmee aanvallers ongemerkt wachtwoorden en andere gevoelige gegevens kunnen stelen. De techniek werkt door specifieke patronen toe te voegen aan legitiem draadloos verkeer die kwaadaardige code op besmette apparaten activeren. Dit gebeurt via signalen die normaal als omgevingsruis worden gezien, waardoor traditionele beveiligingstools de aanval niet opmerken. Vooral netwerken die gebruik maken van wifi en Bluetooth, zoals die in kantoren, ziekenhuizen en onderwijsinstellingen, lopen risico. Het kwaadaardige signaal blijft onzichtbaar tot het wordt geactiveerd door een vooraf ingesteld kanaalpatroon. Beveiligingsexperts raden aan om netwerken continu te monitoren op afwijkende draadloze activiteit om deze bedreiging tijdig te kunnen herkennen en neutraliseren.

Bron

Webbrowsers gebruiken de CSS :visited pseudo-class om bezochte links anders te stylen, wat gebruikers helpt bij het navigeren. Echter, deze functie kan door kwaadwillenden worden misbruikt om de browsegeschiedenis van gebruikers te achterhalen. Aanvallers gebruiken JavaScript om de opmaakverschillen tussen bezochte en niet-bezochte links te detecteren en zo gevoelige informatie te verzamelen. Geavanceerde technieken, zoals timingaanvallen en pixelkleuraanvallen, maken het mogelijk om zelfs subtiele visuele verschillen te identificeren. Onderzoek toont aan dat 97-99% van de gebruikers unieke browsepatronen heeft, wat betekent dat dergelijke aanvallen persoonlijke gegevens zoals gezondheidsproblemen, financiële interesses en politieke voorkeuren kunnen onthullen. Als reactie hierop implementeren browserontwikkelaars nu een nieuwe methode genaamd 'partitionering', waarbij bezochte linkgeschiedenis wordt opgeslagen met behulp van een drievoudige sleutel: de link-URL, de top-level site en de frame-oorsprong. Dit zorgt ervoor dat een link alleen als bezocht wordt weergegeven als deze is bezocht vanuit dezelfde top-level site en frame-oorsprong, waardoor cross-site geschiedenislekken worden voorkomen. Gebruikers die bezorgd zijn over hun privacy wordt aangeraden om privé-browsingmodi te gebruiken en regelmatig hun browsegeschiedenis te wissen totdat deze beschermingsmaatregelen standaard zijn in alle browsers.

Bron

Outlaw is een hardnekkige Linux-malware die wereldwijd systemen infecteert, ondanks het gebruik van eenvoudige technieken. De malware maakt gebruik van SSH brute-force aanvallen om toegang te verkrijgen tot systemen met zwakke of standaard wachtwoorden. Eenmaal binnen, wordt een schadelijk bestand gedownload dat de infectie in meerdere stadia verspreidt. Wat Outlaw bijzonder effectief maakt, is zijn worm-achtige verspreiding, waarbij het na infectie op zoek gaat naar andere kwetsbare systemen in het netwerk om de aanval verder uit te breiden.

Daarnaast maakt de malware gebruik van cron jobs en manipuleert het SSH-sleutels om zijn persistentie te waarborgen. Dit betekent dat zelfs na herstarts of het beëindigen van de malware, de aanval door kan gaan. Beheerders kunnen hun systemen moeilijk herstellen, omdat de malware immutabele bestandsattributen toepast op de schadelijke bestanden. De aanvallers kunnen zo continu toegang behouden tot de geïnfecteerde systemen. Het detecteren van deze malware biedt mogelijkheden voor beveiligingsteams om verdachte SSH-pogingen, ongebruikelijke cron job-aanmaken en onbevoegde SSH-sleutels te monitoren.

Bron

De opkomst van Prince Ransomware markeert een verontrustende trend in de wereld van cyberdreigingen. Deze open source ransomware-builder is beschikbaar op GitHub en stelt zelfs mensen zonder diepgaande technische kennis in staat om functionerende ransomware te creëren. Door eenvoudig een configuratiebestand aan te passen kunnen gebruikers onder meer losgeldberichten en bestandsuitbreidingen personaliseren. Aanvallers combineren Prince Ransomware vaak met technieken om beveiliging te omzeilen en zich lateraal binnen netwerken te verplaatsen, wat leidt tot grootschalige verstoring. Een ernstig voorbeeld deed zich voor in Taiwan, waar een ziekenhuis meer dan 600 apparaten verloor aan een aanval via een geïnfecteerde USB-stick. De gebruikte encryptie is technisch geavanceerd en maakt gebruik van ChaCha20 in combinatie met ECIES, waardoor bestanden vrijwel onmogelijk te herstellen zijn zonder privésleutel. Door zijn toegankelijkheid en kracht vormt Prince Ransomware een serieus risico voor organisaties wereldwijd.

Bron

Een nieuwe en geraffineerde phishingaanval misbruikt QR-codes om inloggegevens van Microsoft 365-gebruikers te stelen. Aanvallers sturen overtuigende e-mails die afkomstig lijken van Microsoft of interne IT-afdelingen, met het verzoek om accounts te verifiëren of wachtwoorden te vernieuwen. In plaats van verdachte links bevatten deze e-mails QR-codes die gebruikers met hun mobiele apparaten moeten scannen. Dit omzeilt traditionele e-mailbeveiliging die normaliter op schadelijke links scant. Na het scannen worden slachtoffers doorgestuurd naar een nagemaakte inlogpagina die visueel nauwelijks te onderscheiden is van een echte Microsoft-pagina. Deze pagina’s maken gebruik van JavaScript om ingevoerde gegevens te valideren en door te sturen zonder dat de gebruiker merkt dat er iets mis is. Vooral de financiële en gezondheidssector zijn getroffen. Onderzoekers van Palo Alto Networks ontdekten dat deze campagne geavanceerde omleidingen en coderingstechnieken gebruikt om detectie te ontwijken en slachtoffers effectief te misleiden.

Bron

Antivirusbedrijf Kaspersky heeft vastgesteld dat er in Nederland Androidtelefoons circuleren die al vóór verkoop met malware zijn besmet. Het betreft vermoedelijk namaaktoestellen die via niet-geautoriseerde verkopers worden aangeboden. De Triada-malware is diep in de systeemfirmware geïntegreerd, opereert onopgemerkt en geeft aanvallers volledige controle over de apparaten.

Deze malware heeft toegang tot alle actieve processen en kan onder meer berichten stelen van chatapps en sociale media-accounts zoals Telegram, TikTok, Facebook en Instagram. Daarnaast is het in staat berichten te versturen en te verwijderen in apps zoals WhatsApp en Telegram.

Verder kan de malware cryptowallet-adressen vervangen tijdens transacties, links in browsers injecteren, sms-berichten onderscheppen en verwijderen, extra malware installeren en gebruikers aanmelden voor premium sms-diensten. Kaspersky heeft wereldwijd 2.600 slachtoffers geïdentificeerd, voornamelijk in Rusland, maar ook in Nederland, Duitsland, Brazilië, Kazachstan en Indonesië.

Volgens Kaspersky-analist Dmitry Kalinin duidt deze besmetting op firmwareniveau op een kwetsbaarheid in de toeleveringsketen. Aanvallers zouden al minstens 270.000 dollar aan gestolen cryptovaluta hebben verkregen. Kaspersky heeft niet gespecificeerd om welke Androidmodellen het gaat.

Bron

Amerikaanse autoriteiten, waaronder de FBI en NSA, hebben samen met cyberagentschappen uit Australië, Canada en Nieuw-Zeeland een waarschuwing afgegeven voor de 'fast flux'-techniek . Deze methode stelt aanvallers, zoals cybercriminelen en statelijke actoren, in staat detectie te omzeilen door snel de IP-adressen van domeinen in DNS-records te wijzigen. Hierdoor blijven malafide domeinen operationeel, zelfs na blokkering van individuele IP-adressen. Bij 'double flux' worden zowel de IP-adressen van de domeinnaam als die van de gebruikte DNS-servers aangepast. Beide technieken maken gebruik van gecompromitteerde hosts, vaak onderdeel van een botnet, wat het voor netwerkverdedigers bemoeilijkt om kwaadaardig verkeer te identificeren of te blokkeren. De diensten adviseren internetproviders een meerlaagse aanpak te hanteren voor het detecteren van fast flux, zoals het monitoren van domeinen die frequent van IP-adres veranderen en het ontwikkelen van detectiealgoritmes.

Bron

Een geavanceerde aanvalscampagne richt zich op Telegram-gebruikers, waarbij cybercriminelen standaard voicemailwachtwoorden misbruiken. Deze aanval maakt gebruik van de menselijke neiging om standaardinstellingen niet te wijzigen, zoals de gebruikelijke PIN’s van voicemailsystemen. In veel gevallen gebruiken aanvallers de voicemail om verificatiecodes van Telegram-afspraken af te luisteren. De techniek werkt door eerst in te loggen op het Telegram-account van een slachtoffer en vervolgens de optie voor spraakverificatie te kiezen. Als het slachtoffer niet opneemt, wordt de verificatiecode naar de voicemail gestuurd en kunnen de aanvallers toegang krijgen tot het account. In veel gevallen wordt het slachtoffer meteen van zijn apparaten uitgelogd, waardoor toegang verloren gaat. Experts raden aan om voicemailwachtwoorden te wijzigen en de twee-stapsverificatie van Telegram in te schakelen om zich tegen deze aanvallen te beschermen. De aanvallen komen voornamelijk uit Bangladesh en Indonesië en blijken gecoördineerd te zijn sinds de start van de oorlog in Israël.

Bron

Een nieuwe variant van de Triada-malware richt zich op Android-apparaten en heeft de mogelijkheid om uitgaande oproepen te onderscheppen en telefoonnummers te vervangen. Dit gebeurt op een manier die gebruikers meestal niet opmerken, waardoor legitieme telefoonnummers worden vervangen door frauduleuze nummers. Het doel hiervan is vaak om gebruikers naar premium-rate nummers te leiden of om gevoelige gesprekken af te luisteren. De malware wordt meestal geïnstalleerd via onbetrouwbare app-winkels en apps die onterecht veel machtigingen vereisen. Eenmaal geïnstalleerd, krijgt de malware toegang tot het telefoonsysteem van Android, waardoor het in staat is om de telefoonoproepen te manipuleren. Deze aanvallen hebben aanzienlijke financiële schade veroorzaakt, vooral door de frauduleuze kosten van premium-nummers, en lopen steeds verder uit naar andere regio's, zoals West-Europa en Noord-Amerika. Het is belangrijk dat gebruikers hun smartphones alleen van geautoriseerde verkopers aanschaffen en beveiligingsoplossingen gebruiken om dergelijke bedreigingen te detecteren.

Bron

De FBI heeft gewaarschuwd dat cybercriminelen nog steeds gebruikmaken van oude kwetsbaarheden in Citrix-systemen, evenals in firewalls van Palo Alto Networks en BIG-IP F5-apparaten, om ransomware-aanvallen uit te voeren. Deze aanvallen worden toegeschreven aan een groep hackers uit Iran die zich richt op diverse sectoren zoals onderwijs, financiën, zorg en overheidsinstellingen. De criminelen maken gebruik van kwetsbaarheden zoals CVE-2019-19781 en CVE-2022-1388 om toegang te verkrijgen tot netwerken. Na de initiële toegang installeren de aanvallers tools zoals AnyDesk en PowerShell Web Access om hun controle te behouden. De FBI, samen met CISA, adviseert organisaties om onmiddellijk de nodige beveiligingsupdates te installeren en verdachte IP-adressen en andere indicators of compromise te controleren.

Er is een nieuwe vorm van Android-spyware ontdekt die het voor slachtoffers moeilijk maakt om de kwaadaardige software van hun apparaten te verwijderen. Deze spyware vereist een wachtwoord om de-applicatie te de-installeren, wat een belangrijke hindernis vormt voor de slachtoffers die proberen hun apparaat terug onder controle te krijgen. De malware maakt gebruik van een "overlay"-functie van Android, waardoor een wachtwoordprompt verschijnt wanneer geprobeerd wordt de app via de instellingen te verwijderen. De app wordt vaak geïnstalleerd door iemand met fysieke toegang tot het apparaat en kennis van het toegangswachtwoord. Onderzoekers hebben echter een manier ontdekt om de spyware te verwijderen door het apparaat in de veilige modus op te starten, waar gebruikers de administratorrechten van de app kunnen deactiveren en de app vervolgens kunnen verwijderen. Deskundigen raden aan om Google Play Protect in te schakelen en aandacht te besteden aan ongebruikelijke apparaatgewoonten om dergelijke dreigingen te voorkomen.

Bron

De 'PoisonSeed'-phishingcampagne maakt gebruik van gehackte bedrijfsaccounts van e-mailmarketingplatforms zoals Mailchimp en SendGrid om e-mails te versturen met valse crypto-wallet seed phrases. Deze zinnen worden gepresenteerd als deel van een nep-update voor platforms zoals Coinbase, waarbij slachtoffers worden verleid hun crypto-cryptowallet te migreren naar een valse wallet die door de aanvallers wordt beheerd. De aanvallers stelen eerst inloggegevens van marketingaccounts en gebruiken deze om grote mailinglijsten te verzamelen. Vervolgens versturen ze phishing-e-mails die lijken te komen van vertrouwde bronnen. Gebruikers die de seed phrase invoeren, geven hun crypto-privésleutels prijs, waardoor aanvallers toegang krijgen tot de wallets en de digitale valuta kunnen stelen. Het advies is om e-mails met urgente verzoeken te negeren en altijd via de officiële kanalen in te loggen op een platform om te controleren of er echt acties nodig zijn.

Bron

Cybersecurity-onderzoekers hebben een geavanceerde aanval ontdekt waarbij cybercriminelen zich voordoen als recruitmentprofessionals om malware te verspreiden. De aanvallers gebruiken e-mails die lijken op legitieme jobaanbiedingen, maar bevatten schadelijke bestanden die verborgen zijn in projectbestanden via links naar platforms zoals BitBucket. De malware, genaamd BeaverTail, wordt geleverd in een JavaScript-configuratiebestand en bevat een downloader-component genaamd "car.dll". Na uitvoering steelt de malware gevoelige informatie, zoals inloggegevens voor webbrowsers en cryptocurrency-portefeuilles, en creëert een achterdeur voor langdurige toegang. Deze campagnes richten zich vaak op LinkedIn-gebruikers en maken gebruik van technieken zoals obfuscatie om detectie te voorkomen. Het is belangrijk om extreem voorzichtig te zijn bij het ontvangen van ongevraagde jobaanbiedingen, vooral wanneer deze gekoppeld zijn aan code-opslagplaatsen. Verifieer de legitimiteit van recruitment e-mails voordat je interactie aangaat met de bijgevoegde bestanden.

Bron

Een nieuwe cyberaanval, genaamd "KongTuke", maakt gebruik van schadelijke scripts op gehackte legitieme websites om onwetende gebruikers te treffen. Deze aanval begint met een script dat informatie verzamelt over het apparaat van het slachtoffer, zoals IP-adres en browsergegevens. Vervolgens worden gebruikers naar een valse CAPTCHA-pagina geleid, die niet bedoeld is om bots te detecteren, maar om het klembord van het slachtoffer over te nemen. Dit gebeurt via een techniek die "clipboard hijacking" of "pastejacking" wordt genoemd. De kwaadaardige code wordt via het klembord ingevoegd en vraagt de gebruiker om deze uit te voeren in een Windows Run-venster. Dit kan leiden tot de installatie van malware op het systeem. Cybersecurity-experts waarschuwen gebruikers om voorzichtig te zijn met CAPTCHA-pagina's die verzoeken om scripts in te voeren en adviseren het gebruik van antivirussoftware en regelmatige systeemupdates om zich te beschermen tegen deze dreiging.

Bron

Een recent ontdekte kwaadaardige Python-package genaamd ‘disgrasya’ is meer dan 34.000 keer gedownload via het open-sourceplatform PyPI. De tool werd gebruikt voor zogeheten ‘carding’, waarbij gestolen creditcards automatisch worden getest op geldigheid via legitieme WooCommerce-webshops die het CyberSource-betaalsysteem gebruiken. De software emuleert het gedrag van een normale klant, vult de winkelwagen met producten, steelt checkouttokens en stuurt de creditcardgegevens naar een server van de aanvaller. Daarmee wordt gecontroleerd of de kaart werkt, waarna deze bruikbaar is voor fraude of verkoop op het darkweb. De tool was openlijk kwaadaardig en probeerde niet eens legitiem te lijken. Volgens onderzoekers is deze methode moeilijk te detecteren omdat de activiteiten sterk lijken op normaal winkelgedrag. Aanbevolen maatregelen zijn onder meer het blokkeren van kleine betalingen, het inzetten van CAPTCHA en het monitoren van verdachte checkout-patronen.

Bron

Op het darkweb is een dreigingsactor opgedoken die beweert een methode te verkopen waarmee tweefactorauthenticatie (2FA) van Bitwarden omzeild kan worden. De techniek zou specifiek gericht zijn op gebruikers van de Europese Bitwarden-omgeving en wordt aangeboden voor 25.000 dollar per kopie. In totaal zouden er drie exemplaren beschikbaar zijn. Hoewel de genoemde link naar een foutmelding leidt en de echtheid van het aanbod niet te verifiëren is, is de melding zorgwekkend. Het wijst erop dat cybercriminelen actief proberen in te breken op accounts die extra beveiligd zijn met 2FA, wat normaal gesproken een belangrijke drempel vormt tegen ongeautoriseerde toegang. Gebruikers van Bitwarden wordt aangeraden extra alert te zijn, hun beveiligingsinstellingen te controleren en verdachte activiteiten onmiddellijk te melden. De situatie onderstreept opnieuw het belang van voortdurende monitoring van het darkweb op opkomende dreigingen.

Screenshot

Neptune RAT is een geavanceerd type malware dat actief Windows-gebruikers wereldwijd aanvalt. Deze Remote Access Trojan kan inloggegevens buitmaken uit meer dan 270 applicaties, waaronder webbrowsers, e-mailprogramma’s en wachtwoordmanagers. De verspreiding gebeurt via GitHub, Telegram en YouTube, vaak vermomd als legitieme software. Het schadelijke script wordt onopvallend uitgevoerd via PowerShell-commando’s, waardoor traditionele beveiliging vaak tekortschiet. Naast datadiefstal kan de malware ook ransomware inzetten, crypto-wallets manipuleren en real-time meekijken op het scherm van slachtoffers. Neptune RAT is moeilijk te detecteren door technieken als virtual machine-detectie en gebruik van Arabische tekens in de code. Voor blijvende aanwezigheid op een systeem maakt het gebruik van Windows-registerwijzigingen en geplande taken. De groep achter deze malware, vermoedelijk ‘Freemasonry’ of ‘Mason Team’, biedt zowel een gratis als betaalde versie aan. Gebruikers wordt aangeraden PowerShell voor standaardgebruikers uit te schakelen en geavanceerde endpoint-beveiliging toe te passen.

Bron

Cybercriminelen gebruiken momenteel misleidende technieken waarbij nep-CAPTCHAs en Cloudflare Turnstile ingezet worden om slachtoffers te infecteren met de LegionLoader-malware. De aanval begint wanneer gebruikers op zoek zijn naar PDF-documenten en via zoekresultaten terechtkomen op een pagina met een valse CAPTCHA. Na interactie worden ze doorgestuurd naar meerdere stappen, waaronder het toestaan van browsermeldingen en het downloaden van een schijnbaar onschuldig bestand. In werkelijkheid wordt er via een MSI-installatiebestand malware binnengesluisd.

De uiteindelijke payload is een kwaadaardige browserextensie die zich voordoet als “Save to Google Drive”, maar ontworpen is om gevoelige informatie te stelen. Deze extensie richt zich op populaire browsers zoals Chrome, Edge, Brave en Opera, en verzamelt gegevens zoals cookies, browsergeschiedenis en zelfs cryptotransacties. De aanval maakt gebruik van geavanceerde technieken zoals Process Hollowing en meerdere lagen van versluiering om detectie te ontwijken.

Bron

Uit nieuw onderzoek van SpyCloud blijkt dat maar liefst 66 procent van de malware-infecties plaatsvindt op apparaten waarop al endpointbeveiliging is geïnstalleerd. Ondanks de inzet van geavanceerde detectie via EDR en antivirus, weten moderne malwarevarianten deze toch vaak te omzeilen. Criminelen maken gebruik van technieken zoals polymorfe malware, geheugen-only aanvallen en het uitbuiten van zero-day kwetsbaarheden. Hierdoor ontstaan grote risico’s op onder meer ransomware en accountovernames. SpyCloud benadrukt het belang van een gelaagde beveiligingsaanpak en biedt aanvullende detectiemogelijkheden door data afkomstig van malwarelogboeken op het darkweb te analyseren. Door deze informatie snel terug te koppelen naar bestaande EDR-oplossingen kunnen geïnfecteerde apparaten sneller worden geïsoleerd en hersteld. Het rapport laat zien dat organisaties verder moeten kijken dan alleen apparaatbeveiliging, en ook inzicht moeten krijgen in wat hun huidige beveiligingsoplossingen mogelijk missen.

Bron

Een geavanceerde spionagegroep met de naam ToddyCat maakt misbruik van een kwetsbaarheid in de ESET Command line scanner om malware uit te voeren op geïnfecteerde systemen. Het lek zit in de manier waarop de scanner dll-bestanden laadt. In plaats van deze uit de veilige systeemmap te halen, worden ze uit de programmamap geladen. Hierdoor kunnen aanvallers een kwaadaardig dll-bestand inschakelen om verdere toegang te verkrijgen. De spionagegroep gebruikt deze techniek om een malafide tool te starten die via een kwetsbare Dell-driver detectie probeert te omzeilen. De tool manipuleert kernelstructuren die normaal gesproken systeemgebeurtenissen in de gaten houden. Het uiteindelijke doel van de aanval is het stelen van vertrouwelijke informatie. ESET heeft het lek op 4 april gedicht. Deze aanval onderstreept het belang van regelmatige updates en het monitoren van afwijkend gedrag binnen systemen.

Bron

Negen kwaadaardige extensies op de Visual Studio Code Marketplace van Microsoft zijn ontdekt die zich voordoen als legitieme ontwikkeltools. Bij installatie besmetten ze systemen met de XMRig cryptominer, die wordt gebruikt om Ethereum en Monero te minen. De extensies, die al meer dan 300.000 keer gedownload waren, bevatten een PowerShell-script dat schadelijke software installeert, zoals de cryptominer, en zichzelf camoufleert als legitieme software om detectie te vermijden. Het script schakelt beveiligingsmechanismen uit, zorgt ervoor dat de malware opnieuw wordt opgestart na het opstarten van het systeem en verhoogt de beheerdersrechten van de aanvaller. Microsoft is op de hoogte gesteld van de bedreiging en heeft de extensies verwijderd. Gebruikers die deze extensies hebben geïnstalleerd, wordt aangeraden om de extensies onmiddellijk te verwijderen en handmatig de malware van hun systeem te verwijderen.

Bron

Google heeft gewaarschuwd voor twee ernstige beveiligingslekken in de Androidkernel die via de USB-poort kunnen worden aangevallen. De kwetsbaarheden, CVE-2024-53150 en CVE-2024-53197, kunnen aanvallers toegang verschaffen tot persoonlijke gegevens en de rechten op een Androidtelefoon verhogen, mits ze fysieke toegang hebben tot het toestel. Deze kwetsbaarheden werden onlangs gebruikt door het bedrijf Cellebrite om vergrendelde telefoons te ontgrendelen. Naast deze twee kwetsbaarheden heeft Google ook vier andere lekken gepatcht die informatiebeveiliging kunnen bedreigen, waarvan er één kritiek is. Het betreft een lek in de Qualcomm-chip die lokaal misbruikt kan worden. Fabrikanten van Androidtoestellen zijn al ingelicht en hebben tijd gehad om updates te ontwikkelen, maar niet alle toestellen zullen direct de updates ontvangen. Het patchniveau van de aprilupdates heeft de datum 2025-04-01 of 2025-04-05.

Bron

Veel Nederlandse organisaties zijn kwetsbaar door een beveiligingslek in Ivanti-systemen, zoals Ivanti Connect Secure en Pulse Connect Secure. Dit lek maakt het mogelijk voor aanvallers om op afstand code uit te voeren en systemen te compromitteren. Het gaat om de kwetsbaarheid CVE-2025-22457, die een score van 9.0 kreeg op de schaal van 1 tot 10. Ivanti bracht op 11 februari een patch uit, maar systemen die vóór die tijd niet zijn gepatcht, blijven kwetsbaar. Vooral oudere versies van Pulse Connect Secure, die sinds eind 2024 geen updates meer ontvangen, zijn een risicofactor. De Amerikaanse overheid heeft organisaties geadviseerd om fabrieksreset uit te voeren op alle kwetsbare systemen. De Shadowserver Foundation heeft wereldwijd duizenden ongepatchte systemen geïdentificeerd, waarvan er 140 in Nederland staan. Aanvallers maken misbruik van de kwetsbaarheid om backdoors op vpn-servers te installeren.

Bron

Criminelen hebben wereldwijd via kwetsbare CrushFTP-servers gevoelige gegevens van bedrijven gestolen. De groep Kill Security heeft bekendgemaakt dat ze getroffen organisaties zullen benaderen om de "veiligheid van de gegevens" te bespreken, wat erop duidt dat losgeld eisen waarschijnlijk is. De kwetsbaarheid in CrushFTP, die sinds 31 maart actief wordt misbruikt, stelt aanvallers in staat om zonder authenticatie toegang te krijgen tot systemen. Dit gebeurt via een lek in de http- of https-poorten van de servers. Na toegang creëren de aanvallers een backdoor-account en installeren ze software zoals MeshCentral en AnyDesk om persistent toegang te behouden. Dit probleem heeft wereldwijd duizenden servers getroffen, met 27 kwetsbare servers in Nederland. Organisaties die gebruik maken van CrushFTP worden geadviseerd om snel beveiligingsupdates toe te passen.

Digitale videorecorders (DVR's) van het merk TVT, met name in Duitsland, het Verenigd Koninkrijk en de Verenigde Staten, zijn momenteel het doelwit van aanvallen. De aanvallers maken misbruik van een kwetsbaarheid die hen toegang geeft tot administratieve controle over de apparaten. Het gaat om de NVMS-9000, een recorder die wordt gebruikt voor beveiliging en surveillancesystemen. Deze kwetsbaarheid werd vorig jaar al gemeld, maar het is onduidelijk of er een patch beschikbaar is. De aanvallen zijn mogelijk afkomstig van een botnet dat op de Mirai-malware is gebaseerd. Ondanks eerdere beveiligingsmaatregelen blijven de apparaten kwetsbaar, vooral wanneer poorten open staan, waardoor gevoelige informatie zoals gebruikersnamen en wachtwoorden kan worden onderschept. Dit is niet de eerste keer dat deze apparaten doelwit zijn van aanvallen; ook in 2019 werden vergelijkbare kwetsbaarheden misbruikt.

Er is een datalek gemeld bij Discord, waarbij meer dan 348 miljoen openbare berichten zijn gestolen van ongeveer 1.000 servers wereldwijd. De gestolen data bevat onder andere gebruikers-ID's, gebruikersnamen en de inhoud van de berichten. Dit lek werd ontdekt door een lid van BreachForums, een platform waar cybercriminelen gegevens delen. Het lek heeft aanzienlijke zorgen veroorzaakt over de privacy van Discord-gebruikers, aangezien het een groot aantal servers wereldwijd betreft. De gecompromitteerde gegevens kunnen mogelijk worden misbruikt voor verschillende vormen van cybercriminaliteit. Gebruikers wordt geadviseerd om hun accounts goed te beveiligen, bijvoorbeeld door het gebruik van sterke wachtwoorden en twee-factor-authenticatie.

Cybercriminelen blijven het .scr-bestandsformaat voor schermbeveiligers misbruiken om kwaadaardige software te verspreiden. Deze bestanden, die zich voordoen als onschuldige systeembestanden, kunnen in phishingcampagnes worden ingezet. Een recent voorbeeld is een campagne waarbij aanvallers zich voordeden als een Taiwanees transportbedrijf om ModiLoader, een malwareloader op basis van Delphi, te verspreiden. Deze loader kan op zijn beurt andere schadelijke programma’s, zoals Remcos en Agent Tesla, downloaden. De aanvallers richtten zich op diverse sectoren, waaronder de maakindustrie en elektronica, in Japan, de VS, Taiwan en Zuidoost-Azië. De infectie begint vaak met een phishingmail die een RAR-archief bevat met een .scr-bestand dat de loader activeert. Het gebruik van geavanceerde technieken, zoals procesinjectie en anti-sandboxmaatregelen, maakt de malware moeilijker te detecteren. Organisaties wordt geadviseerd om de uitvoering van .scr-bestanden te blokkeren en e-mailbijlagen in een sandbox te controleren om aanvallen te voorkomen.

Bron

Hackers hebben een nieuwe techniek ontwikkeld waarbij ze .RDP-bestanden gebruiken om ongeautoriseerde verbindingen tot stand te brengen via Windows Remote Desktop Protocol (RDP). Dit gebeurde in een aanval gericht op Europese overheids- en militaire instellingen, waarbij vermoedelijk Russische actoren betrokken waren. De aanvallers versturen phishing-e-mails met .RDP-bestanden die, wanneer uitgevoerd, een RDP-verbinding opzetten van het slachtoffer naar een server die door de aanvaller wordt gecontroleerd, zonder dat de gebruikelijke waarschuwingen verschijnen. Deze methode stelt de aanvallers in staat om toegang te krijgen tot het bestandssysteem, het klembord en zelfs systeemvariabelen van het slachtoffer. De aanval maakt gebruik van de mogelijkheid om gegevens van de slachtoffercomputer naar de aanvallers te sturen en om zich voor te doen als een legitieme applicatie, wat het detecteren van de aanval bemoeilijkt. Organisaties worden geadviseerd om extra beveiligingsmaatregelen te nemen om deze dreiging te voorkomen.

Bron

Onderzoekers van PCAutomotive ontdekten een kwetsbaarheid in het infotainmentsysteem van de tweede generatie Nissan Leaf (2020 model), die aanvallers in staat stelt om op afstand essentiële voertuigfuncties over te nemen. De exploit maakt gebruik van een fout in de Bluetooth-verbinding, waardoor kwaadwillenden toegang krijgen tot het voertuig bij tijdelijke nabijheid, zoals bij parkeerterreinen. Na het verkrijgen van toegang kunnen ze via een embedded modem blijven communiceren met de auto, zelfs na herstarten. Ze kunnen deuren openen, ramen neerzetten, spiegels aanpassen en zelfs de stuurinrichting manipuleren. De kwetsbaarheid werd in augustus 2023 gemeld, maar updates voor eigenaars van de huidige modellen worden pas in het derde kwartaal van 2025 verwacht. De ontdekking benadrukt de risico's van legacy-systemen en onvoldoende beveiligde voertuignetwerken.

Bron

Google heeft onlangs phishingaanvallen gemeld waarbij Europese overheden en militaire organisaties het doelwit waren. Deze aanvallen, die in oktober vorig jaar plaatsvonden, maakten gebruik van .rdp-bestanden als e-mailbijlage. Wanneer slachtoffers het bestand openden, werd er verbinding gemaakt met het RDP-systeem van de aanvallers, die daardoor toegang kregen tot de gegevens op de aangevallen systemen. De aanvallers konden bestanden stelen, gegevens uit het klembord onderscheppen en omgevingsvariabelen uitlezen. Tevens werd gebruik gemaakt van een minder bekende functie binnen het Remote Desktop Protocol (RDP), genaamd RemoteApp, waarmee een malafide applicatie werd gepresenteerd alsof deze lokaal geïnstalleerd was. Google waarschuwt dat deze campagne waarschijnlijk gericht was op spionage en manipulatie van gebruikers.

Bron

Microsoft heeft een kwetsbaarheid ontdekt in het Windows Common Log Filesystem (CLFS), die door cybercriminelen wordt misbruikt voor ransomware-aanvallen. De kwetsbaarheid, aangeduid als CVE-2025-29824, kan ervoor zorgen dat aanvallers die al toegang hebben tot een systeem, volledige beheerdersrechten verkrijgen. Dit maakt het mogelijk om het systeem te compromitteren. De aanvallen richtten zich voornamelijk op bedrijven in de Verenigde Staten, Venezuela, Spanje en Saoedi-Arabië. Microsoft heeft op 8 april 2025 een beveiligingsupdate uitgebracht om het probleem te verhelpen. De exacte methode waarop aanvallers toegang tot de systemen kregen, is nog onbekend. Organisaties kunnen aan de hand van bepaalde indicatoren nagaan of ze getroffen zijn door deze aanvallen.

Bron

In 2024 werden bijna één miljoen WordPress-websites getroffen door malware. Dit blijkt uit het jaarlijkse rapport van het beveiligingsbedrijf Wordfence. De infecties betroffen vaak kwetsbare plug-ins, die via beveiligingslekken toegang gaven voor aanvallen. Deze malware probeert onder andere gebruikers te besmetten door valse browser-updates aan te bieden of bezoekers door te sturen naar gevaarlijke websites. De kwetsbaarheden in plug-ins waren vorig jaar opvallend veel, met meer dan achtduizend meldingen, waarvan er nog steeds tweeduizend zonder update zijn. Gelukkig zijn de meeste aanvallen via zwakke wachtwoorden afgenomen door de invoering van betere beveiliging, zoals tweefactorauthenticatie. WordPress-beheerders wordt geadviseerd om hun systemen en plug-ins up-to-date te houden en geen verouderde software meer te gebruiken om aanvallen te voorkomen.

Bron

Cyberagentschappen uit verschillende landen hebben een gezamenlijke waarschuwing uitgegeven over mobiele spyware, genaamd Moonshine en Badbazaar. Deze spyware richt zich op Android- en iOS-apparaten en maakt het mogelijk om gebruikers ongemerkt te bespioneren via hun microfoon, camera en locatiegegevens. Ook kunnen berichten, foto's en andere gegevens van het toestel worden ingezien. De spyware is vooral gericht tegen leden van Tibetaanse, Taiwanese en Oeigoerse gemeenschappen, evenals medewerkers van maatschappelijke organisaties. Autoriteiten adviseren gebruikers om telefoons niet te rooten of jailbreaken, aangezien ongepatchte kwetsbaarheden dan makkelijker kunnen worden misbruikt. Ze raden ook aan apps alleen uit officiële appstores te downloaden en telefoons up-to-date te houden. Gebruikers van Android wordt bovendien geadviseerd deel te nemen aan het Google Advanced Protection programma.

Bron

Er is een significante stijging van pogingen om kwetsbaarheden in TVT NVMS9000 digitale videorecorders (DVR's) te misbruiken. Op 3 april 2025 werden meer dan 2.500 unieke IP-adressen gedetecteerd die op zoek waren naar kwetsbare apparaten. De aanvallen maken gebruik van een informatielek, ontdekt in mei 2024, waarmee aanvallers beheerderswachtwoorden kunnen verkrijgen en ongeautoriseerde commando’s kunnen uitvoeren. Het lijkt erop dat de aanvallen verband houden met een Mirai-gebaseerd botnet, dat deze apparaten probeert te integreren in zijn netwerk. In de afgelopen maand registreerde het platform GreyNoise 6.600 verschillende IP’s die betrokken waren bij deze aanvallen. De meeste aanvallen komen uit Taiwan, Japan en Zuid-Korea, terwijl de doelwitten voornamelijk in de VS, het VK en Duitsland zijn gevestigd. Gebruikers van deze DVR's wordt geadviseerd om firmware-updates uit te voeren of de apparaten af te schermen van het openbare internet.

Bron

Cybercriminelen maken misbruik van het legitieme platform SourceForge om nep Microsoft Office-add-ins te verspreiden. Deze add-ins installeren malware op de systemen van slachtoffers, die zowel cryptocurrency kunnen minen als stelen. Het nepproject, genaamd "officepackage," lijkt op een legitieme ontwikkeltool voor Office-add-ins, maar bevat schadelijke bestanden. Wanneer gebruikers de tool downloaden, wordt er een ZIP-bestand met een installer gedownload dat een reeks schadelijke scripts en bestanden activeert. Deze malware bevat onder andere een cryptominer en een clipboard-hijacker die cryptocurrency-adressen vervangt met die van de aanvaller. De geïnfecteerde systemen sturen informatie naar de aanvallers via Telegram en kunnen nieuwe malware ontvangen. Het project werd snel verwijderd, maar gebruikers worden aangespoord om alleen software van vertrouwde bronnen te downloaden en alle bestanden te scannen met up-to-date antivirussoftware.

Bron

Phishing-aanvallers gebruiken een nieuwe techniek, genaamd 'Precision-Validated Phishing', waarbij valse inlogformulieren alleen worden weergegeven wanneer een gebruiker een specifiek doelwit-email invoert. In tegenstelling tot traditionele phishing, die massa-aanvallen uitvoert, controleert deze techniek in real-time of een ingevoerd e-mailadres op een lijst van vooraf geselecteerde slachtoffers staat. Wanneer een e-mailadres niet herkend wordt, wordt de gebruiker doorgestuurd naar een onschuldige website. Deze aanpak maakt traditionele phishinganalyse moeilijker, omdat beveiligingsexperts vaak foutieve e-mailadressen gebruiken om aanvallen te onderzoeken. Dit verlaagt de detectiecapaciteit van beveiligingssystemen en verlengt de levensduur van phishingcampagnes. De aanvallers gebruiken hiervoor externe e-mailverificatieservices of JavaScript om het ingevoerde e-mailadres te controleren. Dit heeft grote gevolgen voor de effectiviteit van de huidige phishingdetectie. Organisaties moeten nieuwe detectiestrategieën ontwikkelen die zich richten op gedragsanalyse en real-time dreigingsintelligentie om bij te blijven met deze evoluerende aanvalsmethode.

Bron

Op 7 april 2025 werd bekend dat de volledige CloudBelgium-database, inclusief gevoelige informatie zoals bankgegevens en IBAN-nummers, online is gelekt. Het betreft een aanzienlijke datalek waarbij vertrouwelijke klantinformatie in handen is gekomen van onbevoegden. Dit soort incidenten kan ernstige gevolgen hebben voor de getroffen organisaties en individuen, omdat de gestolen gegevens kunnen worden misbruikt voor financiële fraude of identiteitsdiefstal. Organisaties wordt geadviseerd snel maatregelen te nemen, zoals het controleren van beveiligingsprotocollen en het informeren van getroffen klanten. Het is belangrijk om te blijven monitoren voor mogelijke misbruik van de gegevens en preventieve stappen te nemen om verdere schade te voorkomen.

Fortinet heeft een belangrijke beveiligingspatch uitgebracht voor een kwetsbaarheid in zijn FortiSwitch-apparaten, die cybercriminelen in staat stelt om op afstand administratorwachtwoorden te veranderen. De kwetsbaarheid (CVE-2024-48887) werd ontdekt door een interne ontwikkelaar van FortiSwitch en heeft een ernstscore van 9,8 op 10. Aanvallers kunnen de kwetsbaarheid misbruiken zonder enige authenticatie of gebruikersinteractie, door een speciaal geprepareerde verzoek naar een kwetsbare endpoint te sturen. De kwetsbaarheid betreft meerdere versies van FortiSwitch, van versie 6.4.0 tot 7.6.0. Fortinet heeft updates beschikbaar gesteld voor de getroffen versies en raadt gebruikers aan deze zo snel mogelijk te installeren. Voor wie de updates niet onmiddellijk kan doorvoeren, biedt Fortinet een tijdelijke oplossing, zoals het uitschakelen van HTTP/HTTPS-toegang op de beheerdersinterfaces.

Bron

Hackers hebben gebruikgemaakt van Server-Side Request Forgery (SSRF) kwetsbaarheden op websites die gehost worden op AWS EC2-instanties. Deze kwetsbaarheden maakten het mogelijk om EC2-metadata op te vragen, waaronder Identity and Access Management (IAM)-referenties. Door deze referenties konden de aanvallers hun toegang verhogen en mogelijk gevoelige gegevens exfiltreren of verstoren, zoals gegevens in S3-buckets. De aanvallen vonden plaats tussen 13 en 25 maart 2025 en werden uitgevoerd door een enkele dreigingsactor. De aanvallers richtten zich op systemen die nog de oudere IMDSv1-metadata-service gebruikten, die minder bescherming biedt tegen SSRF-aanvallen. AWS heeft inmiddels IMDSv2 geïntroduceerd, dat extra beveiliging biedt door sessietokens te vereisen. De campagne benadrukt de risico’s van verouderde systemen en het belang van het toepassen van de nieuwste beveiligingsupdates.

Bron

Op 9 april 2025 werd er een ernstige kwetsbaarheid in Google Chrome ontdekt die misbruikt kan worden voor Remote Code Execution (RCE). Deze exploit maakt het mogelijk voor aanvallers om volledige controle te krijgen over een systeem via een simpel gekopieerd bestand of een geïnfecteerde website. Het risico van deze kwetsbaarheid wordt als hoog ingeschat, omdat het relatief eenvoudig is om de exploit te gebruiken. Gebruikers van Chrome worden aangespoord om hun browsers direct bij te werken om zich tegen deze dreiging te beschermen. De exploit wordt momenteel actief gedeeld op verschillende cybercriminaliteitforums, wat de noodzaak voor snelle actie benadrukt. Organisaties wordt aangeraden om hun netwerkbeveiliging te versterken en gebruikers te waarschuwen voor het openen van verdachte links of het downloaden van onbekende bestanden. Deze kwetsbaarheid toont opnieuw aan hoe belangrijk het is om software regelmatig bij te werken om te voorkomen dat kwaadwillenden misbruik maken van beveiligingslekken.

Een groep Chinese cybercriminelen, bekend als de "Smishing Triad", heeft zich recent gericht op klanten van internationale financiële instellingen. Voorheen imiteerden ze tolbedrijven en koeriersdiensten om betaalinformatie te stelen, maar nu gebruiken ze geavanceerde phishingtechnieken om klanten van onder andere Citigroup, PayPal en Visa te targeten. De groep verstuurt iMessages of RCS-berichten, waarbij ze misleidende links sturen naar nep-websites die lijken op die van officiële instellingen. Wanneer slachtoffers hun betalingsgegevens invoeren, proberen de criminelen de informatie in digitale portemonnees van Apple of Google op te slaan. Deze gestolen gegevens worden vervolgens vaak via massaal gekloonde telefoons verkocht, die worden gebruikt voor fraude en e-commerce. De Smishing Triad heeft hun netwerk enorm uitgebreid, met duizenden phishing-domeinen actief in tientallen landen, wat de uitdaging voor cyberbeveiliging vergroot.

Bron

Op het darkweb is een verkoop van IBAN callcenter-leads uit Nederland gesignaleerd. De gegevens worden aangeboden op het platform BreachForums, waar cybercriminelen regelmatig gevoelige informatie verhandelen. De verkoper, die zich "daisy" noemt en sinds juni 2023 actief is, biedt deze gegevens aan, wat mogelijk kan leiden tot misbruik of fraude. Het gaat hierbij om specifieke klantinformatie die via callcenters is verzameld, en de verkoop van dergelijke data kan grote risico’s met zich meebrengen voor de getroffen individuen en organisaties. Dit incident is onderdeel van een breder probleem van datalekken en cybercriminaliteit op het darkweb, waar regelmatig privé-informatie wordt verhandeld. Het is van belang voor zowel bedrijven als individuen om waakzaam te blijven en maatregelen te nemen tegen dergelijke bedreigingen.

Op 9 april 2025 werd bekend dat er toegang is verkregen tot logs van tientallen zonne-energiecentrales. De betrokken apparatuur betreft het model Solor log, en de gegevens zijn beschikbaar op een onveilige server. Deze kwetsbaarheid kan ernstige risico's voor de betrokken centrales met zich meebrengen, doordat gevoelige informatie zoals systemen en bedrijfsvoering blootgesteld wordt. Er zijn specifieke toegangspunten en wachtwoorden gedeeld die toegang verschaffen tot deze logs. Dit incident benadrukt de risico's van onvoldoende beveiliging bij industriële systemen, wat de noodzaak van strengere beveiligingsmaatregelen voor vitale infrastructuren onderstreept.

Op 10 april 2025 werd er een databestand met maar liefst 800.000 Belgische accounts te koop aangeboden op het darkweb. Het bestand, dat wordt aangeduid als een "good combolist", bevat zowel e-mailadressen als bijbehorende wachtwoorden, wat het een waardevolle bron maakt voor cybercriminelen. Dergelijke gegevens worden vaak gebruikt voor phishing-aanvallen, identiteitsdiefstal of verdere cybercriminaliteit. Het is belangrijk dat bedrijven en individuen zich bewust zijn van deze dreiging en maatregelen nemen om hun gegevens te beschermen, zoals het gebruik van sterke wachtwoorden en twee-factor-authenticatie. Het lek benadrukt opnieuw de risico’s van onveilige gegevensopslag en de noodzaak voor bedrijven om hun cyberbeveiliging constant te evalueren en te verbeteren.

Kort na de bekendmaking van een kwetsbaarheid in de OttoKit WordPress-plug-in, die eerder bekend was als SureTriggers, werd deze al misbruikt om websites aan te vallen. OttoKit is een platform voor automatisering dat wordt gebruikt door tienduizenden WordPress-websites. De kwetsbaarheid maakt het mogelijk voor aanvallers om via een 'authentication bypass' ongeautoriseerd een admin-account aan te maken. Dit gebeurt doordat de plug-in een HTTP-header onvoldoende controleert, waardoor aanvallers toegang krijgen zonder geldige inloggegevens. Hoewel de plug-in alleen kwetsbaar is als deze nog niet geconfigureerd is met een API-sleutel, zijn er binnen enkele uren na de ontdekking al aanvallen geregistreerd. Er is een update beschikbaar voor de plug-in en beheerders worden dringend verzocht deze te installeren om verdere schade te voorkomen.

Bron

Onderzoekers hebben onlangs 35 verdachte browserextensies ontdekt in de Chrome Web Store, die samen meer dan 4 miljoen installaties hadden. Deze extensies waren "unlisted", wat betekent dat ze niet via zoekmachines te vinden waren, maar alleen toegankelijk waren via specifieke URL's. De extensies vroegen om uitgebreide toestemmingen, zoals toegang tot webverkeer, cookies en browsertabs. Ook konden ze scripts uitvoeren. Volgens de onderzoekers verzamelen de extensies informatie over de bezochte websites van gebruikers. De extensies claimden functionaliteiten op het gebied van beveiliging en zoekopdrachten, maar door de verdachte activiteiten werd het onderzoek bij Google gemeld, zodat de extensies uit de store konden worden verwijderd. Gebruikers wordt geadviseerd om de extensies te verwijderen om mogelijke privacyrisico's te vermijden.

Bron 1, 2

Fortinet heeft een waarschuwing uitgegeven voor een nieuwe aanvalstechniek die gericht is op FortiGate-firewalls. Aanvallers maken gebruik van kwetsbaarheden die eerder werden gedicht met beveiligingsupdates in 2022, 2023 en 2024. Na het verkrijgen van toegang tot de firewall, creëren de aanvallers een 'symbolic link' die de user- en rootbestanden van het systeem met elkaar verbindt. Deze link blijft bestaan na een update, waardoor de aanvaller read-only toegang behoudt tot belangrijke bestanden, waaronder de configuratiebestanden van de firewall. Dit risico is alleen relevant voor systemen waar de SSL VPN-functie is ingeschakeld. Fortinet heeft inmiddels maatregelen genomen door handtekeningen uit te rollen om dergelijke aanvallen te detecteren en de symbolic links te verwijderen. Klanten die de SSL VPN niet gebruiken, lopen geen gevaar.

Bron

Fortinet heeft een waarschuwing uitgegeven over een geavanceerde techniek die cybercriminelen gebruiken om toegang te behouden tot eerder gehackte FortiGate VPN-apparaten, zelfs nadat kwetsbaarheden zijn gepatcht. Deze methode maakt gebruik van symbolische links die tijdens eerdere aanvallen zijn achtergelaten in de map voor taalbestanden van de SSL-VPN. Daardoor behouden aanvallers via de webinterface een read-only toegang tot het systeem. Hoewel de originele kwetsbaarheden (zoals CVE-2022-42475) zijn verholpen, blijven deze links bestaan en ontsnappen ze aan detectie. Sinds begin 2023 zouden al grootschalige aanvallen hebben plaatsgevonden waarbij deze techniek werd gebruikt. Fortinet adviseert klanten dringend hun systemen te updaten, configuraties te controleren en verdachte wijzigingen te onderzoeken. Ook wordt geadviseerd om eventueel gecompromitteerde apparaten te isoleren en alle toegangsgegevens opnieuw in te stellen om verdere schade te voorkomen.

Bron

Lees ook: Vraag van de week: Wat is fileless malware en hoe werkt het?

Door de opkomst van generatieve AI in programmeertools is een nieuw type softwareketenaanval ontstaan, genaamd “slopsquatting”. Hierbij maken aanvallers misbruik van het feit dat AI-modellen soms niet-bestaande pakketten verzinnen bij het genereren van code. Deze foutieve pakketnamen worden vervolgens door kwaadwillenden aangemaakt met kwaadaardige inhoud. Uit onderzoek blijkt dat in ongeveer 20 procent van de AI-gegenereerde codevoorbeelden pakketten worden genoemd die niet bestaan. Hoewel commerciële modellen zoals ChatGPT minder vaak deze fouten maken, zijn de hallucinerende pakketnamen vaak herhaalbaar en lijken ze overtuigend echt, wat het voor aanvallers makkelijker maakt om slachtoffers te misleiden. Volgens onderzoekers is de enige manier om dit risico te beperken, het handmatig controleren van pakketnamen en het gebruik van veilige technieken zoals dependency scanners en hashverificatie. Daarnaast helpt het om AI-modellen met een lagere "temperatuur" in te zetten om foutieve output te verminderen.

Bron

Het phishing-as-a-service platform Tycoon2FA heeft nieuwe functies gekregen waarmee het nog beter in staat is om Microsoft 365-accounts te misleiden en beveiligingsmaatregelen te omzeilen. De kit gebruikt nu onzichtbare Unicode-tekens in JavaScript om kwaadaardige code te verbergen en past een zelfgehoste CAPTCHA toe om detectie door reputatiesystemen te voorkomen. Ook bevat het scripts die automatisch onderzoekstools blokkeren. Wanneer verdachte activiteit wordt gedetecteerd, krijgt het slachtoffer een afleidingspagina of legitieme website te zien. Daarnaast is er een sterke toename van phishingaanvallen met SVG-bestanden vastgesteld, waarbij afbeeldingen vermomd zijn als voicemailberichten of cloudlogo’s. Deze SVG’s bevatten verborgen JavaScript dat gebruikers naar valse inlogpagina’s leidt. Door deze technieken te combineren wordt het steeds moeilijker om deze aanvallen vroegtijdig te herkennen en te stoppen. Het is daarom belangrijk om e-mailbijlagen kritisch te bekijken en phishingbestendige authenticatie, zoals FIDO-2, te gebruiken.

Bron

Onderzoekers hebben een kwaadaardige versie van WhatsApp ontdekt die vooraf geïnstalleerd staat op bepaalde goedkope Androidtelefoons. Deze app blijkt in werkelijkheid clipper-malware te zijn, ontworpen om cryptovaluta te stelen. Wanneer gebruikers een walletadres kopiëren, vervangt de malware het gekopieerde adres in het clipboard met dat van de aanvaller, waardoor het geld bij de cybercrimineel terechtkomt. De malware speurt ook naar afbeeldingen op het toestel, in de hoop screenshots van seed phrases te vinden, waarmee toegang tot crypto wallets mogelijk is. In totaal zou via deze methode al meer dan 1,7 miljoen dollar zijn buitgemaakt. De toestellen worden verkocht als bekende merken, maar blijken in werkelijkheid gemodificeerde en goedkopere modellen te zijn. Gebruikers wordt aangeraden voorzichtig te zijn met goedkope smartphones waarvan de specificaties niet kloppen met de prijs, en geen gevoelige informatie of screenshots van wachtwoorden en seed phrases onversleuteld op hun telefoon op te slaan.

Bron

Op een bekend darkwebforum is een nog onbekende kwetsbaarheid (zero-day) aangeboden waarmee Fortinet FortiGate-firewalls volledig overgenomen kunnen worden zonder inloggegevens. De exploit maakt misbruik van een lek in FortiOS en biedt aanvallers volledige configuratietoegang en de mogelijkheid tot remote code execution. Uit gelekte configuratiebestanden blijkt dat aanvallers onder andere toegang kunnen krijgen tot beheerdersaccounts, lokale gebruikersgegevens en 2FA-instellingen. Deze informatie kan worden gebruikt om beveiligingsmaatregelen te omzeilen en verdere aanvallen uit te voeren.

Fortinet wordt vaker getroffen door ernstige kwetsbaarheden, waaronder eerdere gevallen van authentication bypass. Ondanks waarschuwingen en patches blijft een groot aantal firewalls wereldwijd kwetsbaar, onder andere doordat updates vaak te laat worden geïnstalleerd. Het incident benadrukt de noodzaak voor organisaties om hun firewalls actief te beveiligen, firmware tijdig te updaten en beheerinterfaces goed af te schermen tegen onbevoegde toegang.

Bron

Een nieuwe vorm van malware genaamd ResolverRAT wordt wereldwijd ingezet tegen organisaties in de farmaceutische en gezondheidszorgsector. Deze Remote Access Trojan (RAT) verspreidt zich via phishingmails die zich voordoen als meldingen over auteursrechten of juridische kwesties, aangepast aan de taal van het doelwit. Een legitiem ogend bestand wordt gebruikt om de malware onopvallend in het geheugen van het systeem te injecteren. ResolverRAT draait volledig in geheugen, maakt geen verdachte API-aanroepen en omzeilt zo traditionele detectiemethoden. De malware is complex opgebouwd, ontwijkt analyse en blijft actief door zich op meerdere plekken in het Windows-register en bestandssysteem te nestelen. Daarnaast kan het grote hoeveelheden data in kleine stukjes versturen, waardoor het minder snel wordt opgemerkt door beveiligingssystemen. Aanvallen zijn al waargenomen in onder andere Italië, Tsjechië, India en Indonesië, wat wijst op een wereldwijde inzet en mogelijke uitbreiding naar andere landen.

Bron

Het aantal aanvallen met zogeheten infostealers neemt sterk toe. In 2024 zijn er al meer dan 33.000 meldingen gedaan van deze malware die op slinkse wijze wachtwoorden en privégegevens buitmaakt. Infostealers besmetten apparaten vaak via phishingmails of illegale downloads, waarbij slachtoffers zich van geen kwaad bewust zijn. De gestolen data komt vervolgens terecht op het darkweb en op versleutelde chatdiensten, waar andere criminelen ze inzetten voor identiteitsfraude, het plunderen van bankrekeningen of het overnemen van accounts zoals bij webshops en WhatsApp. Vooral jongeren die onbewust software of spelletjes installeren, vormen een risico voor gezinsapparaten. De dreiging is al jaren groeiende, maar experts zien nu dat het aandeel van infostealers in het totale aantal cyberaanvallen steeds groter wordt. Vaak merken slachtoffers de besmetting pas op als het te laat is, bijvoorbeeld als ze niet meer kunnen inloggen bij een dienst.

Bron

Later meer hierover in een artikel op ccinfo

Begin januari is BPO-dienstverlener Conduent getroffen door een cyberaanval waarbij klantgegevens zijn buitgemaakt. Het bedrijf, dat diensten levert zoals klantcontact en HR-oplossingen in 24 landen waaronder Nederland, merkte op 13 januari een verstoring in de bedrijfsvoering. Onderzoek wees uit dat een aanvaller toegang had tot delen van het netwerk en daarbij gegevens van een beperkt aantal klanten heeft gestolen. Later werd duidelijk dat de gestolen data persoonlijke informatie bevat van een aanzienlijk aantal eindgebruikers van die klanten. Hoe de aanvaller toegang kreeg en om hoeveel personen het precies gaat is niet bekendgemaakt. Wel stelt het bedrijf dat de systemen binnen enkele dagen hersteld waren. De impact is daarmee nog onduidelijk, maar het voorval onderstreept opnieuw hoe belangrijk het is dat bedrijven hun digitale weerbaarheid op orde hebben en transparant communiceren bij incidenten.

Bron

De door Rusland gesteunde spionagegroep Midnight Blizzard, ook bekend als APT29 of Cozy Bear, voert sinds januari 2025 een gerichte phishingcampagne uit tegen diplomatieke instellingen in Europa. Slachtoffers ontvangen een e-mail die afkomstig lijkt van een ministerie van Buitenlandse Zaken, met een uitnodiging voor een wijnproeverij. Wanneer aan specifieke voorwaarden is voldaan, wordt een ZIP-bestand gedownload met daarin de nieuwe malware 'GrapeLoader'. Deze wordt op een slimme manier ingeladen via een legitiem PowerPoint-bestand. GrapeLoader verzamelt systeeminformatie en legt contact met een commandoserver, waarna de geavanceerde backdoor 'WineLoader' wordt geladen. Deze laatste wordt als geïnfecteerd VMware Tools-bestand ingezet en voert verdere spionage uit. De malware opereert volledig in het geheugen, wat detectie bemoeilijkt. Deze campagne laat zien dat APT29 zijn tactieken blijft verfijnen en dat verhoogde waakzaamheid en gelaagde beveiliging essentieel zijn om zulke dreigingen te stoppen.

Bron

Sinds eind 2024 zien beveiligingsexperts dat criminelen steeds vaker Node.js gebruiken om malware en andere schadelijke software te verspreiden. Node.js, normaal gesproken een vertrouwde omgeving voor ontwikkelaars, wordt misbruikt om aanvallen te verhullen als legitieme toepassingen. Een recente campagne maakt gebruik van misleidende advertenties over cryptoplatformen om slachtoffers een geïnfecteerde installatiebestanden te laten downloaden. Dit bestand installeert kwaadaardige scripts, verzamelt systeeminformatie en stuurt die naar een command-and-controlserver. Daarbij worden technieken ingezet om detectie door antivirussoftware te omzeilen. Ook wordt inline JavaScript via Node.js ingezet om direct vanuit de opdrachtregel kwaadaardige code uit te voeren. Deze werkwijze maakt het lastig voor traditionele beveiligingsmaatregelen om de aanval tijdig te stoppen. Organisaties doen er goed aan om het gebruik van Node.js actief te monitoren, medewerkers te waarschuwen voor malvertising en PowerShell-logs grondig te analyseren.

Bron

Onderzoekers hebben een kwaadaardige npm-package ontdekt die zich voordoet als een integratie met het betaalplatform Advcash. Deze package bevat een verborgen backdoor die pas actief wordt bij een succesvolle betaling. Op dat moment opent de code een reverse shell naar een externe server, waarmee een aanvaller volledige toegang krijgt tot het systeem van het slachtoffer. Opvallend is dat de package overtuigend is opgebouwd, met functies voor betaling, validatie en hashing die doen vermoeden dat het om een legitieme module gaat. Door de malafide code slim te verstoppen in de zogeheten url_success callback, lijkt alles normaal te verlopen voor de gebruiker. Deze methode is lastig te detecteren, omdat de aanval pas tijdens runtime plaatsvindt. Het incident benadrukt hoe belangrijk het is om open source modules grondig te controleren voordat ze in productieomgevingen worden gebruikt, zeker wanneer het gaat om betalingsverkeer en gevoelige data.

Bron

Een geavanceerde spionagesoftware genaamd PasivRobber richt zich op macOS-systemen en is ontdekt door beveiligingsonderzoekers. De malware bestaat uit meerdere componenten die samenwerken om gegevens te verzamelen van populaire communicatieapps zoals WeChat en QQ. Ook worden webbrowsergegevens, e-mails en cloudwachtwoorden buitgemaakt. De infectie begint met een nep-systeemproces dat via een zogenaamde LaunchDaemon automatisch opstart bij het aanzetten van de computer. Vervolgens installeren aanvullende modules zich stiekem, waarbij slimme technieken worden gebruikt om detectie te omzeilen. Er zijn in totaal 28 plugins ontdekt die uiteenlopende soorten data stelen. De malware lijkt afkomstig uit China en specifiek gericht op Chinese gebruikers. De betrokken infrastructuur zou te linken zijn aan een bedrijf dat eerder in verband is gebracht met surveillance voor de Chinese overheid. Gebruikers wordt aangeraden hun systemen up-to-date te houden en alert te zijn op verdachte processen en netwerkverkeer.

Bron

In 2024 blokkeerde Google 5,1 miljard advertenties en schorste meer dan 39,2 miljoen adverteerders vanwege misbruik van zijn platform voor oplichting. De toename van AI-gegenereerde content, waaronder deepfake-video's die beroemdheden en publieke figuren imiteren voor scams, leidde tot strengere maatregelen. In reactie hierop heeft Google zijn Misrepresentation-beleid aangepast en een speciaal team van experts opgericht om deze oplichters aan te pakken. Dit leidde tot de permanente schorsing van meer dan 700.000 adverteerdersaccounts, wat resulteerde in een 90% afname van dit soort advertenties in 2024. Daarnaast blokkeerde Google advertenties in verschillende categorieën, zoals financiële diensten, gokken, volwassen inhoud en gezondheidszorg. AI speelde ook een rol bij het sneller identificeren en voorkomen van nieuwe bedreigingen. Google blijft werken aan verbeterde methoden om dergelijke oplichters te bestrijden.

Bron

Meer dan 16.000 internet-exposed Fortinet apparaten zijn gecompromitteerd door een nieuwe symlink backdoor, die de aanvallers in staat stelt om alleen-lezen toegang te krijgen tot gevoelige bestanden op eerder gecompromitteerde apparaten. Deze ontdekking werd gedaan door de Shadowserver Foundation, die aanvankelijk 14.000 apparaten rapporteerde, maar inmiddels 16.620 gecompromitteerde apparaten heeft vastgesteld. De aanvallers gebruikten geen nieuwe kwetsbaarheden, maar maakten gebruik van eerder ontdekte kwetsbaarheden in FortiOS, die in 2023 en 2024 werden misbruikt. Ze creëerden symbolische koppelingen in de taalbestandenmap om zo persistent toegang te behouden tot de root-bestandssystemen van de apparaten, zelfs nadat de kwetsbaarheden waren gepatcht. Fortinet heeft inmiddels een update uitgebracht om deze backdoor te detecteren en te verwijderen. Organisaties die getroffen zijn, worden geadviseerd om alle wachtwoorden te resetten en de aanbevolen stappen te volgen.

Bron

De kwetsbaarheid CVE-2025-24054, die NTLM-hashes kan lekken via een speciaal gemaakte .library-ms file, wordt sinds 19 maart 2025 actief misbruikt. Aanvallers kunnen deze kwetsbaarheid gebruiken om NTLM-hashes of gebruikerswachtwoorden te achterhalen, wat kan leiden tot systeemcompromissies. Microsoft bracht op 11 maart 2025 een patch uit, maar de kwetsbaarheid werd al snel door cybercriminelen gebruikt, vooral in aanvallen gericht op instellingen in Polen en Roemenië. In deze campagnes werden malspam-e-mails verstuurd met een Dropbox-link naar een gecomprimeerd bestand dat meerdere kwetsbaarheden, waaronder CVE-2025-24054, uitbuitte. Deze aanvallen kunnen eenvoudig worden geactiveerd door minimale gebruikersinteractie, zoals het navigeren naar een map met het kwaadwillige bestand. Het lekken van NTLM-hashes kan worden misbruikt voor brute-force aanvallen of relay-aanvallen, vooral wanneer de gestolen gegevens behoren tot een bevoorrechte gebruiker.

Bron

Het Amerikaanse cyberagentschap CISA heeft Oracle-klanten gewaarschuwd na een mogelijk datalek waarbij aanvallers toegang kregen tot systemen van Oracle. CISA adviseert klanten om wachtwoorden van getroffen gebruikers onmiddellijk te resetten, broncode en configuratiebestanden te controleren op hardcoded of embedded credentials, en logs te controleren op verdachte activiteiten. Dit advies volgt op de melding dat verouderde servers van Oracle gecompromitteerd waren, wat leidde tot de diefstal van belangrijke inloggegevens, zoals gebruikersnamen, wachtwoorden en encryptiesleutels. Om verdere schade te voorkomen, wordt ook aanbevolen om multifactorauthenticatie in te stellen en phishing te voorkomen. Het advies is bedoeld om de veiligheid van bedrijfsomgevingen te waarborgen en verdere risico's te minimaliseren.

Bron

De politie heeft documenten die de afgelopen veertien jaar werden gepubliceerd onder de Wet open overheid (Woo) offline gehaald wegens een datalek. Het ging om documenten die privé-informatie bevatten, zoals namen van politiemedewerkers. Het probleem werd ontdekt in december 2024, toen bleek dat documenten onvoldoende waren gelakt. Hoewel de documenten visueel gelakt leken, konden gebruikers via Word de verborgen informatie in de metadata inzien. De documenten betroffen onder andere rapporten over snelheidsmetingen en flitscamera’s, waarin soms persoonlijke gegevens stonden. Na een controle werden de documenten weer geplaatst, maar doordat er opnieuw gevoelige informatie werd aangetroffen, zijn alle documenten uit voorzorg offline gehaald. De politie heeft het incident gemeld bij de Autoriteit Persoonsgegevens en werkt aan het volledig corrigeren van de documenten voordat ze opnieuw online komen.

Bron

SonicWall heeft gewaarschuwd voor het misbruik van een vier jaar oud beveiligingslek in de SMA 100-gateways. Dit apparaat wordt vaak gebruikt voor toegang op afstand tot netwerken en cloudomgevingen. De kwetsbaarheid, bekend als CVE-2021-20035, stelt aanvallers in staat om via geauthenticeerde toegang willekeurige commando's uit te voeren, wat kan leiden tot het draaien van kwaadaardige code. SonicWall bracht in september 2021 een beveiligingsupdate uit, maar waarschuwde nu dat de kwetsbaarheid actief wordt misbruikt. Ook het Amerikaanse CISA bevestigde de aanvallen, hoewel details over de schade of omvang niet zijn vrijgegeven. Organisaties die SMA 100-gateways gebruiken, wordt aangeraden de update te installeren om zich te beschermen tegen mogelijke aanvallen.

Bron

Sinds januari 2025 wordt een beveiligingslek in SonicWall Secure Mobile Access (SMA) apparaten actief misbruikt. Dit lek (CVE-2021-20035) betreft de SMA 200, 210, 400, 410 en 500v modellen en werd oorspronkelijk in 2021 gepatcht. De kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren door onjuiste neutralisatie van speciale elementen in de SMA100-beheerinterface. Aanvallers kunnen hierbij commando’s injecteren en code uitvoeren met minimale privileges. Het probleem werd voor het eerst in januari 2025 ontdekt en heeft sindsdien geleid tot aanvallen waarbij gebruik werd gemaakt van een onveilige standaardwachtwoordinstelling voor een beheerdersaccount. SonicWall heeft het beveiligingsadvies geüpdatet en benadrukt dat organisaties hun apparaten moeten patchen en aanvullende beveiligingsmaatregelen zoals multi-factor authenticatie moeten implementeren om aanvallen te voorkomen.

Bron

De Interlock ransomware-groep heeft zijn aanvallen uitgebreid door middel van ClickFix-aanvallen, waarbij ze zich voordoen als IT-tools om bedrijfsnetwerken binnen te dringen en versleutelingsmalware te installeren. In een typisch ClickFix-aanval wordt het slachtoffer misleid om gevaarlijke PowerShell-opdrachten uit te voeren, zogenaamd om een fout te verhelpen of zichzelf te verifiëren. Dit resulteert in de installatie van malware, zoals de Interlock RAT, die later kan worden gebruikt om data te stelen en ransomware te verspreiden. Interlock begon deze techniek in januari 2025 te gebruiken en richtte zich onder andere op gebruikers van populaire IT-software. Het einddoel is vaak het exfiltreren van gegevens en het eisen van hoge betalingen in ruil voor decryptie van bestanden. Deze aanvallen zijn een groeiende trend, ook in andere ransomware-aanvallen.

Bron

De MysterySnail RAT, een backdoor die eerder in 2021 werd ontdekt, is recent opnieuw opgedoken. Het wordt toegeschreven aan de IronHusky APT-groep, die vooral gericht is op overheidsorganisaties in Mongolië en Rusland. De infectie werd gedetecteerd via een kwaadaardige MMC-script dat zich voordeed als een document van de Mongoolse Nationale Grondorganisatie. Het script downloadde en installeerde een schadelijke payload, die gebruik maakte van een legitiem bestand om zich te verbergen. De nieuwe versie van MysterySnail RAT is modulaire van opzet en maakt gebruik van meerdere DLL-bestanden voor het uitvoeren van commando's zoals bestandbeheer, procesbeheer en netwerkverbindingen. Bovendien werd een lichtere variant, MysteryMonoSnail, waargenomen, die via WebSocket communiceerde in plaats van HTTP. Dit toont aan dat oude malwarefamilies, ondanks jaren van inactiviteit, opnieuw actief kunnen worden, wat het belang van voortdurende detectie en monitoring onderstreept.

Bron

Een ernstige kwetsbaarheid in Erlang/OTP SSH, aangeduid als CVE-2025-32433, maakt het mogelijk voor aanvallers om op afstand code uit te voeren zonder authenticatie. De fout zit in de manier waarop het SSH-protocol omgaat met berichten vóór inlogpogingen. Hoewel er inmiddels beveiligingsupdates beschikbaar zijn, draaien veel systemen in telecom en databases nog op kwetsbare versies. Onderzoekers van onder meer Ruhr Universiteit Bochum ontdekten het probleem, en inmiddels zijn er werkende exploits openbaar gedeeld via platforms zoals GitHub en Pastebin. Cybercriminelen zullen deze snel oppakken, wat de dreiging voor kritieke infrastructuur vergroot. Vooral telecombedrijven lopen risico, aangezien deze sector vaak doelwit is van statelijke actoren. Shodan-scans tonen aan dat ruim 600.000 systemen mogelijk kwetsbaar zijn, voornamelijk CouchDB-installaties. Beveiligingsexperts raden aan om zo snel mogelijk te patchen om misbruik te voorkomen.

Anoniem

Een nieuw malwareplatform genaamd SuperCard X richt zich op Android-gebruikers en maakt gebruik van NFC-relayaanvallen om gestolen betaalkaartgegevens in te zetten voor contactloze betalingen en geldopnames. De aanvallen beginnen vaak met een nepbericht van de bank via SMS of WhatsApp, gevolgd door een telefoontje van een oplichter die zich voordoet als bankmedewerker. Slachtoffers worden overtuigd om een kwaadaardige app te installeren en hun betaalkaart tegen hun telefoon te houden. Hierdoor leest de malware de chipgegevens uit en stuurt die door naar criminelen. Zij gebruiken deze data met een tweede app om de kaart te emuleren en daarmee aankopen of opnames te doen. Omdat de transacties klein zijn en er geen opvallende toestemmingen worden gevraagd, blijven ze vaak onder de radar van antivirussoftware. SuperCard X toont een technisch geavanceerde aanpak en wordt actief verspreid via Telegram, waarbij criminelen maatwerkversies kunnen kopen.

Bron

Op het darkweb zijn geverifieerde accounts van meerdere grote fintechbedrijven opgedoken, waaronder Bunq, Revolut, Stripe, CashApp, Binance en Vivid. Deze accounts worden verhandeld via een bekende marktplaats en behoren tot organisaties binnen de financiële sector. De impact van deze datalekken is potentieel groot, aangezien geverifieerde accounts vaak extra beveiligingslagen doorstaan hebben en daardoor aantrekkelijker zijn voor cybercriminelen. Het gaat hier om platforms die wereldwijd miljoenen gebruikers bedienen met digitale betaal- en bankdiensten. De precieze omvang van het datalek en hoe de gegevens zijn buitgemaakt is nog onduidelijk, maar het feit dat deze informatie wordt aangeboden, wijst op een ernstige inbreuk op de digitale veiligheid van deze platforms. Organisaties en gebruikers wordt geadviseerd extra alert te zijn op verdachte activiteiten op hun accounts.

Phishers misbruiken een zwakte in Googles OAuth en DKIM om beveiligingsmeldingen te sturen die eruitzien als echte berichten van no reply@google.com. De aanvallers registreren eerst een eigen domein en maken daarop het adres me@ aan. Vervolgens creëren zij een OAuth app waarvan de naam de volledige phishingboodschap bevat. Wanneer zij hun app toegang geven, verstuurt Google automatisch een beveiligingsmelding naar het me adres. Die melding wordt doorgestuurd naar slachtoffers, komt met een geldige DKIM handtekening binnen en belandt tussen legitieme waarschuwingen in Gmail. In het bericht staat een link naar een supportportaal op sites.google.com, een bijna perfecte kopie van de echte inlogpagina, bedoeld om Google inloggegevens te verzamelen. In maart paste men dezelfde methode toe op PayPal berichten. Google erkent inmiddels het risico en werkt aan een oplossing, maar tot die tijd blijft extra waakzaamheid noodzakelijk.

Bron

Phishingcampagnes evolueren snel en criminelen voegen nu afbeeldingen in svg‑formaat toe om beveiligingsmaatregelen te omzeilen. Omdat svg op xml is gebaseerd kunnen html en javascript eenvoudig worden ingebed, waardoor een ogenschuldig plaatje verandert in een volledige webpagina. In de onderzochte emails wordt het bestand als afbeelding herkend maar na openen blijkt het een html‑pagina die de gebruiker via een verborgen link naar een valse Google Voice site leidt. Een andere variant gebruikt ingebedde javascript om automatisch een browservenster met een nagemaakte Microsoft‑inlogpagina te openen. Telemetrische gegevens tonen dat deze methode in het eerste kwartaal van 2025 al 2825 keer is gedetecteerd en dat in de eerste helft van april nog eens 1324 soortgelijke berichten zijn onderschept, wat op een sterke groei wijst. Hoewel de techniek nu relatief eenvoudig is laat zij zien hoe flexibel svg is als container voor schadelijke code, waardoor gerichte aanvallen in de toekomst waarschijnlijk toenemen. citeturn4view0

Bron

Een grootschalige advertentiefraude-operatie genaamd Scallywag heeft jarenlang geld verdiend via piraterij- en verkortingssites met behulp van speciaal gemaakte WordPress-plugins. Deze frauduleuze plugins, zoals Soralink en Droplink, werden ingezet om tot wel 1,4 miljard valse advertentieaanvragen per dag te genereren. Bezoekers die via verkorte links op piratensites klikken, belanden op tussenpagina’s vol advertenties, waarmee de fraudeurs inkomsten genereren. Deze tussenstops zijn vermomd als legitieme WordPress-websites, compleet met CAPTCHAs en timers om controle te omzeilen. De fraude werd ontdekt door het beveiligingsbedrijf HUMAN, dat het netwerk wist te verstoren en het verkeer met 95% terugdrong. Toch blijven de betrokken cybercriminelen proberen terug te komen via nieuwe domeinen en technieken. Ondanks het succes van de verstoring blijft het risico bestaan dat vergelijkbare fraudemodellen opduiken, gezien de lage instapdrempel en het verdienmodel dat deze plugins bieden.

Bron

Lumma Stealer is een geavanceerde informatie-stealer die sinds 2022 actief is en zich via het Malware-as-a-Service-model verspreidt. Cybercriminelen gebruiken nep-CAPTCHA-pagina's om slachtoffers te misleiden. Deze pagina's lijken legitiem, maar instrueren gebruikers om een PowerShell-commando uit te voeren dat malware downloadt.

Na activatie verzamelt Lumma Stealer gevoelige gegevens zoals browserwachtwoorden, cookies en cryptowallet-informatie. De malware maakt gebruik van legitieme Windows-tools zoals BitLocker To Go om detectie te vermijden. De gestolen gegevens worden vervolgens naar servers van de aanvallers gestuurd.

Deze aanvalsmethode benadrukt het belang van waakzaamheid bij het uitvoeren van onbekende commando's en het klikken op verdachte links. Gebruikers wordt geadviseerd om alleen software van betrouwbare bronnen te downloaden en regelmatig hun systemen te controleren op ongeautoriseerde activiteiten.

Bron

Adyen, een betalingsverwerker, werd op maandagavond getroffen door meerdere ddos-aanvallen die de verwerking van betalingen voor klanten verstoorden. De aanvallen begonnen rond 19.00 uur en beïnvloedden de prestaties van diensten in Europa, met foutmeldingen en vertragingen voor klanten die via EU-servers probeerden te verbinden. Zo’n veertig minuten later werd het probleem tijdelijk opgelost, maar een tweede aanval volgde om 20.30 uur. Deze richtte zich niet alleen op de betalingen, maar ook op andere diensten zoals de klantenportal en API’s. Een derde aanval om 21.30 uur leidde tot het uitschakelen van bepaalde betalingssystemen. Het probleem werd uiteindelijk om 03.30 uur de volgende ochtend opgelost, waarna Adyen bevestigde dat de situatie volledig was hersteld.

Bron

Criminelen maken misbruik van de Zoom remote control functie om cryptovaluta te stelen en malware te installeren. Ze benaderen slachtoffers via privéberichten op sociale media of e-mail, waarbij ze zich voordoen als podcast-hosts of durfinvesteerders. Na een uitnodiging voor een Zoom-gesprek vragen ze om toestemming voor remote control, een functie waarmee iemand op afstand toegang krijgt tot de computer van het slachtoffer. Wanneer de aanvallers hun naam wijzigen naar 'Zoom', lijkt de melding een normale verzoek van het platform. Als het slachtoffer toestemming geeft, kunnen de criminelen malware installeren en cryptovaluta of andere gegevens stelen. Deze aanvallen zijn gevaarlijk doordat ze moeilijk te herkennen zijn, aangezien de Zoom-meldingen visueel lijken op legitieme verzoeken. Gebruikers kunnen hierdoor onbewust hun systeem blootstellen aan schade.

Bron

In een recent onderzoek werd een geavanceerde multi-stage aanval gedetecteerd waarbij gebruik werd gemaakt van een Cloudflare tunnel infrastructuur om meerdere RAT's (remote access trojans) te verspreiden. Deze infrastructuur, die sinds begin 2024 actief is, werd ingezet door verschillende cybercriminelen om kwaadaardige bestanden te hosten en te verspreiden. De aanval begint vaak met een phishing-e-mail die een schadelijk bestand bevat. Bij opening van dit bestand worden meerdere executie-stappen ondernomen, waaronder het gebruik van LNK-bestanden die via een HTA-script de infectie verder verspreiden. Deze aanvalstechnieken zijn ontworpen om detectie te omzeilen door middel van geavanceerde obfuscatie en het gebruik van legitieme systemen zoals PowerShell. De aanval eindigt met een succesvolle verbinding naar de command-and-control server van de RAT. Detectiemethoden, zoals het monitoren van verdachte bestandswijzigingen en netwerkverkeer, zijn cruciaal om deze complexe aanval te herkennen en af te weren.

Bron

In april 2025 ontdekten onderzoekers een geavanceerde backdoor die gericht was op Russische organisaties, voornamelijk in de overheid, financiën en industrie. Deze backdoor misleidde gebruikers door zich voor te doen als een update voor de ViPNet-netwerksoftware, die wordt gebruikt voor veilige verbindingen. De aanvallers verspreidden de backdoor via LZH-archieven die bestanden bevatten zoals een legitiem uitvoerbaar bestand en een klein kwaadaardig bestand dat als loader fungeerde. Het kwaadwillende bestand laadde de backdoor in het geheugen, waardoor aanvallers toegang kregen tot de geïnfecteerde systemen. De backdoor stelde hen in staat om bestanden te stelen en aanvullende malware te downloaden. Dit incident benadrukt het belang van meervoudige lagen van beveiliging tegen geavanceerde cyberaanvallen, die vaak op onverwachte manieren plaatsvinden. Organisaties wordt aangeraden beveiligingsmaatregelen te implementeren om zich tegen dergelijke aanvallen te beschermen.

Bron

Een backdoor is ontdekt in de officiële NPM package van XRP Ledger, die door duizenden applicaties en websites wordt gebruikt. Deze backdoor was in staat om private keys te stelen, waarmee cryptovaluta van gebruikers werd ontvreemd. De besmette versie van de package was te vinden in versienummers 4.2.1 tot 4.2.4. Het aanvallen van deze populaire software werd mogelijk via vijf malafide packages die aanvallers hadden gepubliceerd op de NPM registry, het grootste softwarearchief voor JavaScript. Gebruikers worden aangespoord om snel te upgraden naar versie 4.2.5, waarin de kwetsbaarheid is verholpen. De XRP Ledger Foundation heeft bevestigd dat de nieuwe versie veilig is, maar details over hoe de aanvallers toegang kregen, zijn nog niet bekend. Deze aanval vormt een ernstige bedreiging voor het cryptovaluta-ecosysteem door de grote verspreiding van de besmette package.

Bron

Een nieuwe proof-of-concept aanval, genaamd "Cookie-Bite", maakt gebruik van een Chrome-extensie om sessiecookies van Azure Entra ID te stelen en zo multi-factor authenticatie (MFA) te omzeilen. Deze aanval richt zich op cookies die sessie-informatie bevatten van Microsoft 365, Outlook en Teams. De aanval wordt uitgevoerd door een kwaadaardige extensie die cookies zoals ESTAUTH en ESTSAUTHPERSISTENT uit de browser leest. Zodra een cookie is gestolen, kunnen aanvallers deze in hun eigen browser injecteren, wat hen toegang geeft tot de clouddiensten van de slachtoffer, inclusief e-mail en chatberichten. Deze aanval kan ook worden aangepast voor andere diensten zoals Google en AWS. Het is belangrijk om alleen goedgekeurde extensies te gebruiken en om beveiligingsmaatregelen zoals IP-beperkingen en strikte toegangscontrole in te stellen om dergelijke aanvallen te voorkomen.

Bron

De aanbevolen JavaScript-bibliotheek van Ripple, genaamd "xrpl.js", werd onlangs gehackt. Kwaadwillige code werd toegevoegd aan versies 2.14.2, 4.2.1, 4.2.2, 4.2.3 en 4.2.4 van de bibliotheek, die naar een server van de aanvallers stuurde en zo private sleutels en zaadwoorden van XRP-wallets kon stelen. Deze versies zijn inmiddels verwijderd, en een veilige versie 4.2.5 is beschikbaar voor gebruikers om onmiddellijk te upgraden. De kwetsbaarheid werd ontdekt na 452 downloads van de besmette versies, en de code werd toegevoegd via een ontwikkelaarsaccount dat waarschijnlijk gecompromitteerd was. Gebruikers die de getroffen versies hebben geïnstalleerd, wordt geadviseerd om hun privé-sleutels onmiddellijk te roteren en beveiligingsmaatregelen te treffen om verlies van fondsen te voorkomen. Dit soort aanvallen, gericht op het stelen van cryptosleutels, is een veelvoorkomende dreiging voor crypto-gebruikers.

Bron

Kubernetes en containeromgevingen vormen een groeiend doelwit voor cybercriminelen vanwege hun dynamische aard, wat het voor beveiligingsteams moeilijk maakt om afwijkingen tijdens runtime op te merken. Aanvallers maken vaak gebruik van ongeconfigureerde werkloadidentiteiten of kwetsbare cloudaccounts om toegang te krijgen tot containeromgevingen. Er zijn verschillende aanvalsmethoden zoals misconfiguraties van containers, kwetsbare software- en applicaties, of ongeautoriseerd netwerkverkeer. Het beveiligen van deze omgevingen vereist een uitgebreide benadering, inclusief het controleren van containerimages, het waarborgen van veilige toegang tot API's en het monitoren van verdachte activiteiten. Best practices omvatten het gebruik van sterke authenticatie, het beperken van netwerktoegang, en het veiligstellen van code en containers voordat deze worden gedeployed. Microsoft biedt tools zoals Defender for Cloud die organisaties helpen om kwetsbaarheden in hun containeromgevingen op te sporen en te verhelpen, en beveiliging te waarborgen van ontwikkeling tot runtime.

Bron

Carrefour Mobile heeft 64.000 van zijn klanten via sms gewaarschuwd voor een datalek, waarbij persoonlijke gegevens zoals paspoort- en identiteitskaartnummers zijn gestolen. De getroffen gegevens omvatten gebruikersnamen, wachtwoorden, e-mailadressen, telefoonnummers, volledige namen, geboortedata, adressen en technische identificatiedata. Het datalek is bevestigd en de gestolen gegevens werden op internet aangetroffen. Het incident lijkt samen te hangen met de identificatieplicht voor het aanschaffen van simkaarten in België. Carrefour Mobile onderzoekt momenteel de oorzaak en de omvang van het lek. Als voorzorgsmaatregel werd de website tijdelijk offline gehaald, waardoor klanten hun wachtwoord niet konden wijzigen. Zodra de site weer beschikbaar is, moeten klanten hun wachtwoord opnieuw instellen.

Bron

De AIVD meldt in haar Jaarverslag 2024 dat smartphones, clouddiensten en routers steeds vaker doelwit zijn van cyberaanvallen. Met de opkomst van offensieve cyberprogramma's door verschillende landen worden kwetsbaarheden in apparaten en netwerken vaker misbruikt. Vooral mobiele apparaten en toegangspunten zoals routers zijn risicogebieden, omdat deze vaak niet goed gemonitord worden. De inlichtingendienst benadrukt dat veel van de kwetsbaarheden al langer bekend zijn, maar dat organisaties vaak te weinig doen om deze te verhelpen, waardoor aanvallers gemakkelijk toegang kunnen krijgen. De situatie wordt verergerd doordat geavanceerde spyware nu commercieel beschikbaar is, waardoor aanvallen steeds eenvoudiger worden.

Later meer hierover in een artikel op ccinfo

Een nieuwe phishingaanval richt zich op hotelpersoneel via valse Booking.com-e-mails. De e-mails lijken afkomstig van Booking.com en beweren dat een gast persoonlijke bezittingen heeft achtergelaten, waarna de ontvanger wordt aangespoord om op een link te klikken. Deze link leidt naar een vervalste website die een CAPTCHA-pagina toont. Na het aanvinken van de CAPTCHA wordt het slachtoffer gevraagd een reeks commando's uit te voeren via de Windows "Uitvoeren" dialoog, wat de installatie van de AsyncRAT-malware mogelijk maakt. Deze malware geeft aanvallers volledige toegang tot het geïnfecteerde systeem, inclusief het stelen van gegevens en het installeren van extra schadelijke software. Het is belangrijk dat hotels geen links openen of opdrachten uitvoeren die afkomstig zijn van ongevraagde e-mails en verdachte berichten onmiddellijk melden bij Booking.com.

Bron

Een lek in de monitoringsoftware WorkComposer heeft 21 miljoen screenshots van werknemers blootgelegd. Deze software maakt om de 20 seconden een screenshot van de schermen van werknemers om hun productiviteit te controleren. De screenshots, die gevoelige informatie zoals wachtwoorden en vertrouwelijke e-mails bevatten, werden zonder beveiliging opgeslagen, waardoor ze toegankelijk waren voor iedereen die de juiste URL kende. Het lek was al een tijdje bekend bij de makers van de software, maar het is onduidelijk wie er eerder van op de hoogte was en hoe lang het lek al bestond. WorkComposer wordt voornamelijk gebruikt door bedrijven buiten Europa, waar de regels rondom privacy en werknemerscontrole minder streng zijn dan in Europa. In Nederland mag dergelijke software alleen onder strenge voorwaarden gebruikt worden, mits de privacy van werknemers voldoende wordt gewaarborgd.

Bron

Cybercriminelen maken gebruik van een nieuwe phishingkit, SessionShark, die in staat is om multi-factor authenticatie (MFA) te omzeilen en zo inloggegevens voor Office 365 te stelen. Deze kit steelt zogenaamde sessietokens, die gebruikers ingelogd houden zonder dat ze telkens hun wachtwoord hoeven in te voeren. Door deze tokens te stelen, kunnen aanvallers inloggen op een account, zelfs wanneer MFA actief is. SessionShark werkt via nep-inlogpagina's die gebruikers misleiden, en het gebruikt een Telegram-bot om de gestolen gegevens in realtime door te sturen naar de aanvaller. Het gereedschap is te koop op clandestiene cybercrime-netwerken, waarbij het wordt gepromoot als 'educatief', maar in werkelijkheid bedoeld om cybercriminelen te helpen. Experts waarschuwen gebruikers om extra voorzichtig te zijn met online inloggen, zelfs bij het gebruik van MFA.

Bron

Russische cybercriminelen maken misbruik van legitieme OAuth 2.0-authenticatieworkflows om Microsoft 365-accounts over te nemen, voornamelijk van medewerkers van organisaties die verband houden met Oekraïne en mensenrechten. Ze doen zich voor als Europese ambtenaren en benaderen slachtoffers via berichtenplatforms zoals WhatsApp en Signal. Het doel is om slachtoffers via phishinglinks of een autorisatiecode toegang te geven tot hun Microsoft 365-accounts. Eenmaal binnen, proberen de aanvallers ook toegang te krijgen tot e-mail en andere gevoelige informatie. Volexity, een cybersecuritybedrijf, volgt deze aanvallen sinds begin maart. De aanvallers gebruiken sociale manipulatie om slachtoffers te misleiden, bijvoorbeeld door hen te overtuigen 2FA-codes goed te keuren voor een zogenaamde SharePoint-toegang. Aanbevolen maatregelen zijn onder andere het instellen van meldingen voor verdachte logins en het beperken van toegang tot goedgekeurde apparaten.

Bron

De FBI heeft een waarschuwing afgegeven voor malafide zoekadvertenties die zich voordoen als officiële websites van bedrijven en overheidsinstanties. Deze advertenties lijken op legitieme websites waar gebruikers bijvoorbeeld hun salarisgegevens of werkloosheidsuitkeringen kunnen aanpassen. In werkelijkheid leiden ze naar phishingwebsites die inloggegevens stelen. Als een account is beschermd met tweefactorauthenticatie, proberen de aanvallers de vereiste code te verkrijgen via social engineering om toegang te krijgen tot het account en bijvoorbeeld bankgegevens te veranderen of frauduleuze aanvragen te doen. De FBI adviseert gebruikers voorzichtig te zijn met zoekadvertenties, de juiste url direct in de adresbalk in te voeren en een adblocker te gebruiken. Bovendien wordt gebruikers met tweefactorauthenticatie geadviseerd alert te zijn op pogingen tot social engineering om de codes te bemachtigen.

Bron

Aanvallers maken grootschalig misbruik van twee kritieke kwetsbaarheden in Craft CMS en het achterliggende Yii framework. Deze beveiligingslekken, aangeduid als CVE-2024-58136 en CVE-2025-32432, maken het mogelijk om servers op afstand over te nemen. Ondanks dat er inmiddels updates beschikbaar zijn, vonden aanvallen al plaats voordat de patches waren uitgebracht. Bij een aanval op 10 februari werd via een van de kwetsbaarheden een webserver gecompromitteerd en verschillende PHP-bestanden geüpload. De impact van CVE-2025-32432 wordt als zeer ernstig beoordeeld met een maximale score van 10.0. Craft CMS en Yii brachten respectievelijk op 10 en 9 april updates uit, waarna Craft CMS klanten via e-mail waarschuwde. Orange Cyberdefense schat dat ongeveer 13.000 installaties kwetsbaar zijn, waarvan driehonderd mogelijk al zijn overgenomen. De kwetsbaarheden worden inmiddels breed misbruikt.

Bron

Een grootschalige phishingcampagne richt zich op WooCommerce-beheerders door hen te misleiden met een valse beveiligingswaarschuwing. De slachtoffers krijgen het dringende advies om een zogenaamde kritieke update te installeren, die in werkelijkheid een schadelijke plugin bevat. Deze plugin creëert een verborgen beheerdersaccount, installeert webshells en houdt permanente toegang tot de website. De campagne is ontdekt door onderzoekers van Patchstack en lijkt een vervolg te zijn op een soortgelijke aanval uit 2023. De phishingmails maken gebruik van een homografische aanval waarbij een vals domein dat sterk lijkt op het officiële WooCommerce-adres wordt ingezet. Na installatie probeert de malware elke minuut een nieuw beheerdersaccount aan te maken en extra kwaadaardige code binnen te halen. De aanvallers kunnen hiermee volledige controle over de website krijgen, bezoekers omleiden naar malafide sites, gegevens stelen of zelfs ransomware inzetten. Websitebeheerders wordt aangeraden extra alert te zijn op verdachte accounts, onbekende cronjobs en ongebruikelijke netwerkaanvragen.

Bron

De ransomwaregroep DragonForce heeft zijn werkwijze aangepast en presenteert zichzelf nu als een “ransomwarekartel”. In plaats van de traditionele aanpak waarin affiliates afhankelijk zijn van een centrale infrastructuur, biedt DragonForce een witlabelmodel aan. Hierbij kunnen andere groepen gebruikmaken van hun encryptiesoftware en platforms voor onderhandelingen en datadiefstal, maar onder hun eigen merknaam. In ruil daarvoor vraagt DragonForce 20 procent van de ontvangen losgeldbetalingen. De groep claimt daarbij regels te hanteren en zegt bijvoorbeeld geen aanvallen op bepaalde zorginstellingen te tolereren. Met deze flexibele aanpak probeert DragonForce minder technisch onderlegde cybercriminelen aan te trekken en hun netwerk uit te breiden. Hierdoor verwachten ze grotere winsten te behalen. Onder andere de nieuwe groep RansomBay heeft zich al aangesloten bij dit model.

Bron

Uit onderzoek van Mandiant blijkt dat kwetsbaarheden in vpn-software in 2024 het vaakst zijn misbruikt door cybercriminelen. De helft van de onderzochte incidenten begon via beveiligingslekken of gestolen inloggegevens. Vooral kwetsbaarheden in GlobalProtect van Palo Alto Networks, Connect Secure VPN van Ivanti en FortiClient EMS van Fortinet werden vaak uitgebuit, soms nog voordat beveiligingsupdates beschikbaar waren. Deze aanvallen waren vaak afkomstig van groepen die zich bezighouden met cyberspionage. Verder nam het misbruik van gestolen credentials toe, terwijl phishing afnam. Het onderzoek benadrukt het belang van sterke wachtwoordhygiëne en multifactorauthenticatie. Gemiddeld duurt het elf dagen voordat een aanval wordt ontdekt, en in 57 procent van de gevallen werd de inbraak pas opgemerkt nadat een externe partij het slachtoffer had gewaarschuwd. Opvallend is dat AI nauwelijks een rol speelt bij deze aanvallen, ondanks de hype hierover. Aanvallers kiezen liever voor eenvoudige en effectieve methoden.

Bron

Onderzoekers van de Graz University of Technology hebben een nieuwe aanvalstechniek ontdekt, genaamd ChoiceJacking, die de beveiliging tegen JuiceJacking omzeilt. JuiceJacking was een bekende dreiging waarbij malafide opladers smartphones besmetten met malware. In plaats van alleen het opladen van een apparaat, kon een kwaadwillende oplader nu ook toegang krijgen tot gegevens op de telefoon. Bij de nieuwe aanval, ChoiceJacking, kan de oplader zich voordoen als een gewone oplader en via het manipuleren van de gebruikersinvoer een dataverbinding starten zonder de toestemming van de gebruiker. Dit maakt het mogelijk om bestanden van de telefoon te stelen, zelfs als het toestel vergrendeld is. Fabrikanten zoals Apple, Google en Android-telefoonmakers zijn op de hoogte gesteld van het probleem en werken aan oplossingen om de dreiging te verhelpen.

Bron

Meer dan 1.200 SAP NetWeaver-servers, die via internet toegankelijk zijn, zijn kwetsbaar voor een ernstig misbruikte beveiligingsfout. Deze fout maakt het mogelijk voor aanvallers om zonder authenticatie bestanden naar de servers te uploaden, waardoor ze volledige controle kunnen overnemen. De kwetsbaarheid, genaamd CVE-2025-31324, bevindt zich in de Metadata Uploader van SAP NetWeaver Visual Composer. De aanvallers gebruiken deze kwetsbaarheid om schadelijke bestanden, zoals webshells, te installeren op de getroffen systemen. Ondanks dat SAP een tijdelijke oplossing en een beveiligingsupdate heeft uitgerold, blijven de servers een doelwit. Onderzoekers hebben vastgesteld dat de meeste getroffen servers zich in de VS bevinden, gevolgd door andere landen zoals India en Duitsland. Organisaties wordt geadviseerd de nieuwste beveiligingsupdate te installeren of, als dat niet mogelijk is, de toegang tot bepaalde delen van de servers te beperken.

In Nederland 13 en Belgie 6

Bron

Broadcom en het Amerikaanse cyberagentschap CISA hebben een waarschuwing uitgegeven voor een kwetsbaarheid in Brocade Fabric OS, een besturingssysteem voor Fibre Channel-switches en directors, voornamelijk gebruikt in datacenters en storage area-netwerken. De kwetsbaarheid, aangeduid als CVE-2025-1976, stelt aanvallers in staat om willekeurige code uit te voeren met rootrechten als ze beschikken over adminrechten op het systeem. Dit kan leiden tot het uitvoeren van ongeautoriseerde commando's of het aanpassen van het besturingssysteem. De ernst van het lek is beoordeeld met een score van 8.6, wat het tot een kritiek beveiligingsprobleem maakt. Een beveiligingsupdate is inmiddels beschikbaar gesteld om het lek te verhelpen. De kwetsbaarheid wordt actief misbruikt, hoewel er verder geen details over de aanvallen zijn gedeeld.

Bron

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft meldingen ontvangen van actief misbruik van een kwetsbaarheid in de webserver van Commvault-software. Deze kwetsbaarheid (CVE-2025-3928) stelt aanvallers in staat om op afstand code uit te voeren op een kwetsbaar systeem, zoals het installeren van een webshell. Dit geeft de aanvaller blijvende toegang en mogelijkheden voor verdere aanvallen. De impact van de kwetsbaarheid is hoog, met een score van 8.7 op een schaal van 10, mede door het feit dat aanvallers eerst inloggegevens nodig hebben. Commvault heeft inmiddels updates uitgebracht om het probleem te verhelpen. Het CISA heeft Amerikaanse overheidsinstanties geïnstrueerd om deze updates vóór 17 mei te installeren om verdere schade te voorkomen.

Bron

In 2024 werden 75 zero-day kwetsbaarheden geëxploiteerd, waarvan meer dan 50% werd gebruikt voor spyware-aanvallen, zo meldt Google’s Threat Intelligence Group (GTIG). Dit is een afname ten opzichte van 97 zero-days in 2023, maar een stijging ten opzichte van 63 in 2022. Het merendeel van deze aanvallen werd toegeschreven aan cyberespionagegroepen, waaronder door overheden gesteunde groeperingen en commerciële surveillancebedrijven. Zero-day aanvallen werden vaak gericht op eindgebruikersplatformen, zoals webbrowsers en mobiele apparaten, maar ook op zakelijke producten, met name beveiligings- en netwerksoftware. Het aantal aanvallen op Windows-systemen bleef hoog, terwijl exploits gericht op mobiele apparaten afnamen. De trends laten een gestage toename van zero-day misbruik zien, hoewel de inspanningen van grote leveranciers om kwetsbaarheden te verhelpen effect beginnen te sorteren. Dit maakt het duidelijk dat de dreigingen blijven evolueren en dat bedrijven hun beveiligingsmaatregelen moeten blijven versterken.

Bron

Er zijn beveiligingslekken ontdekt in Apple’s AirPlay-protocol en de AirPlay Software Development Kit (SDK), die apparaten van Apple en derden kwetsbaar maken voor verschillende aanvallen, waaronder remote code execution (RCE). Deze kwetsbaarheden kunnen via zero-click en one-click aanvallen, man-in-the-middle (MITM) aanvallen en denial of service (DoS) aanvallen worden uitgebuit. Ze stellen aanvallers in staat om zonder gebruikersinteractie toegang te krijgen tot gevoelige gegevens, lokale bestanden te lezen en zelfs toegang te krijgen tot andere apparaten op hetzelfde netwerk. Apple heeft op 31 maart beveiligingsupdates uitgebracht voor iPhones, iPads, Macs en andere Apple-apparaten. De aanvallen kunnen zich verspreiden via draadloze netwerken en peer-to-peer verbindingen. Gebruikers wordt aangeraden hun apparaten onmiddellijk bij te werken, en AirPlay alleen toegang te geven via vertrouwde apparaten.

Bron

Cybercriminelen hebben hun activiteiten vergroot door internetbreed te scannen naar Git-configuratiebestanden die gevoelige gegevens zoals toegangstokens en API-sleutels kunnen bevatten. Tussen 20 en 21 april 2025 werd een plotselinge stijging van deze scans waargenomen, met bijna 4.800 unieke IP-adressen die dagelijks deelnamen aan deze massale zoekacties. Git-configuraties bevatten vaak accountgegevens en tokens die toegang kunnen bieden tot cloudservices en code-opslagplaatsen. Deze bestanden worden soms per ongeluk openbaar gedeeld door ontwikkelaars die hun webapplicaties niet goed configureren. Dergelijke aanvallen kunnen ernstige gevolgen hebben, zoals diefstal van vertrouwelijke gegevens en toegang tot interne systemen. Er wordt aangeraden om .git/ mappen te blokkeren voor openbaar gebruik, webservers correct in te stellen en verdachte toegangspogingen in serverlogboeken te monitoren. Wanneer er ongeautoriseerde toegang is, moeten gestolen inloggegevens onmiddellijk worden gewijzigd.

Bron

Cybercriminelen maken misbruik van kwetsbaarheden in verouderde Ivanti Connect Secure systemen, die vaak door organisaties worden gebruikt voor veilige VPN-toegang. Wanneer deze systemen het End-of-Life (EOL)-stadium bereiken, ontvangen ze geen beveiligingsupdates meer, waardoor ze kwetsbaar worden voor aanvallen. Een van de meest zorgwekkende kwetsbaarheden betreft een remote code execution (RCE)-fout die aanvallers in staat stelt om op afstand volledige controle over een systeem over te nemen. Deze kwetsbaarheid wordt steeds vaker door cybercriminelen geëxploiteerd, wat leidt tot diefstal van gegevens of overname van systemen. Organisaties die nog steeds verouderde versies van Ivanti Connect Secure gebruiken, worden dringend geadviseerd om deze systemen snel te vervangen of te patchen. Daarnaast wordt aanbevolen om netwerken te monitoren op verdachte activiteiten en cyberincidenten te rapporteren om verdere schade te voorkomen.

Bron

Op de Patch Tuesday van april 2025 heeft Microsoft 134 kwetsbaarheden verholpen, waarvan er één actief werd uitgebuit door cybercriminelen. De update betreft vooral kritieke kwetsbaarheden voor Remote Code Execution, die misbruikt kunnen worden voor aanvallen van op afstand. Onder de fixen zit ook de zero-day kwetsbaarheid CVE-2025-29824, die lokaal misbruikt kan worden om systeemrechten op een apparaat te verkrijgen. Deze kwetsbaarheid werd eerder al door de RansomEXX ransomware-groep gebruikt. De updates zijn inmiddels beschikbaar voor Windows 11 en Windows Server, maar voor Windows 10 zullen ze later volgen. Verder bevat de update ook patches voor andere kwetsbaarheden die invloed kunnen hebben op programma’s zoals Microsoft Office, Windows Bluetooth en de Remote Desktop Services. Het is raadzaam om de updates zo snel mogelijk te installeren om het systeem te beschermen tegen potentieel misbruik van deze kwetsbaarheden.

Meer info

Een ernstige kwetsbaarheid in de back-upsoftware van Commvault (CVE-2025-34028) stelt aanvallers in staat om op afstand kwetsbare servers over te nemen via een kwaadaardig zip-bestand. Het beveiligingslek heeft een score van 10.0 op een schaal van 1 tot 10, wat de ernst benadrukt. De kwetsbaarheid werd ontdekt door securitybedrijf watchTowr, die aantoonde dat een HTTP-verzoek naar de server ervoor kan zorgen dat een zip-bestand met schadelijke jsp-bestanden wordt gedownload en uitgepakt op een plek waar de aanvaller volledige controle krijgt. Commvault werd op 7 april op de kwetsbaarheid gewezen en bracht op 10 april een beveiligingsupdate uit. Organisaties wordt dringend aangeraden om naar de nieuwste versie van de software te updaten om het risico te verkleinen.

Bron

Een ernstige kwetsbaarheid in Synology DiskStation Manager (DSM) is ontdekt, die het mogelijk maakt voor aanvallers om bestanden zonder de juiste machtigingen te lezen. Deze kwetsbaarheid heeft te maken met een ontbrekende autorisatie in de Syncope-component, die verantwoordelijk is voor identiteits- en toegangsbeheer binnen DSM. Door deze kwetsbaarheid kunnen gevoelige gegevens worden blootgesteld, wat kan leiden tot identiteitsdiefstal of bedrijfsbedrog. De kwetsbaarheid heeft de CVE-2025-1021-nummer en heeft een hoog risico op het schenden van de vertrouwelijkheid van gegevens. Het wordt dringend aangeraden om kwetsbare apparaten snel te patchen na grondig testen. Organisaties wordt ook geadviseerd om hun monitoringcapaciteiten te verhogen om verdachte activiteiten snel te detecteren. Het patchen voorkomt toekomstige aanvallen, maar biedt geen bescherming tegen eerdere compromitteringen.

Bron

Een ernstige kwetsbaarheid (CVE-2025-31324) is ontdekt in SAP NetWeaver Visual Composer, specifiek in de Metadata Uploader-component. Het probleem ontstaat door het ontbreken van autorisatiecontrole, waardoor onbevoegde aanvallers bestanden kunnen uploaden en schadelijke code kunnen uitvoeren. Als deze kwetsbaarheid wordt misbruikt, kan dit leiden tot een volledige compromittering van het systeem, met ernstige gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen. De aanbevolen actie is om de laatste patch van SAP direct toe te passen en de toegang tot de Metadata Uploader te beperken totdat de patch is geïnstalleerd. Het is ook van belang om te zorgen dat alleen geauthenticeerde gebruikers de mogelijkheid hebben om bestanden te uploaden.

Bron

Twee kwetsbaarheden in Craft CMS zijn gecombineerd gebruikt in zero-day aanvallen om servers te compromitteren en gegevens te stelen. Onderzoekers van Orange Cyberdefense ontdekten dat aanvallers eerst een kwetsbaarheid in Craft CMS misbruikten om kwaadaardige data op te slaan in een PHP-sessie. Daarna gebruikten ze een kwetsbaarheid in het onderliggende Yii framework om deze sessiecode uit te voeren, waarmee ze een PHP-bestandsbeheerder op de server installeerden. Dit gaf hen toegang om verdere achterdeuren te plaatsen en data te exfiltreren. De kwetsbaarheden, CVE-2025-32432 en CVE-2024-58136, zijn inmiddels verholpen door updates in zowel Craft CMS als het Yii framework. Beheerders van Craft CMS wordt geadviseerd hun beveiligingssleutel en andere credentials te vernieuwen en gebruikers te dwingen hun wachtwoorden te resetten om mogelijke schade te beperken.

Bron

• Naar pagina

• Naar pagina

• Naar pagina

• Naar overzicht

• Naar overzicht

Hoewel cybercriminaliteit toeneemt, maakt slechts 5% van de kleine ondernemers zich zorgen over een cyberaanval. Dit is opvallend, want nepfacturen, valse bestellingen en ICT-storingen komen steeds vaker voor. Veel ondernemers hebben al te maken gehad met zulke incidenten, maar nemen desondanks nauwelijks voorzorgsmaatregelen. Deskundigen wijzen op een groot gebrek aan bewustzijn en digitale weerbaarheid binnen het kleinbedrijf. Ook blijkt dat veel ondernemers denken dat cybercriminelen alleen op grote bedrijven mikken, terwijl juist de kleinere vaak een makkelijker doelwit zijn. De gevolgen van een aanval kunnen ernstig zijn, zoals langdurige bedrijfsonderbrekingen of reputatieschade. Er is dan ook dringend behoefte aan betere voorlichting en ondersteuning om deze ondernemers digitaal weerbaarder te maken, maar voorlopig lijkt het besef nog ver weg.

Bron

EvilCorp is een Russische cybercriminele organisatie onder leiding van Maksim Yakubets, bekend om grootschalige financiële cyberaanvallen en het ontwikkelen van ransomware zoals BitPaymer en WastedLocker. Ondanks internationale sancties sinds 2019 blijft EvilCorp actief door samen te werken met andere ransomwaregroepen. RansomHub, voorheen bekend als Cyclops en Knight, is een Ransomware-as-a-Service (RaaS) operatie, actief sinds februari 2024 en gerund door Russisch sprekende cybercriminelen. Veel voormalige leden van ontbonden RaaS-groepen zoals ALPHV/BlackCat en LockBit hebben zich bij RansomHub aangesloten, waardoor het een van de meest verspreide ransomwarefamilies is geworden.

Er zijn aanwijzingen dat EvilCorp en RansomHub samenwerken. Microsoft meldde in juli 2024 dat RansomHub werd ingezet door EvilCorp na initiële toegang via de SocGholish-malware, ook bekend als FakeUpdates. Daarnaast rapporteerde GuidePoint in januari 2025 over een nieuwe Python backdoor, geleverd door SocGholish en gebruikt door een RansomHub-affiliate, wat wijst op een connectie met EvilCorp-gerelateerde malware. Google onthulde vervolgens dat EvilCorp, onder de naam UNC2165, diverse tools en malwarefamilies gebruikt om RansomHub te verspreiden, waaronder de Python backdoor VIPERTUNNEL.

De samenwerking tussen EvilCorp en RansomHub kan leiden tot verhoogde aandacht van wetshandhavingsinstanties en mogelijk nieuwe sancties voor RansomHub. Dit vergroot het risico voor slachtoffers die losgeld betalen, aangezien zij onbedoeld sancties kunnen schenden en juridische gevolgen kunnen ondervinden.

Bron

De Hellcat-groep, voorheen bekend als ICA Group, verwierf in korte tijd beruchtheid door gerichte cyberaanvallen op grote bedrijven. Onderzoek van KELA onthult de ware identiteiten van twee kernleden: Rey en Pryx. Rey begon zijn activiteiten als Hikki-Chan op BreachForums, waar hij bekend werd met dubieuze datalekken en haatzaaiende online posts. Zijn echte naam zou Saif zijn, een jongeman uit Amman, Jordanië. Hij maakte gebruik van platforms als Telegram en X, en werd uiteindelijk leider van Hellcat. Pryx daarentegen begon solo met datalekken en ontwikkelde geavanceerde malware, waaronder een server-side stealer. Zijn identiteit lijkt te linken aan een persoon uit de Verenigde Arabische Emiraten, bekend onder de naam Adem, die eveneens banden heeft met andere cybercriminelen. Ironisch genoeg werden beide hackers zelf slachtoffer van infostealers, waarmee cruciale informatie over hun ware identiteit werd blootgelegd. KELA’s analyse toont hoe cybercriminelen soms struikelen over hun eigen wapens.

Bron

Hackers maken gebruik van legitieme Cloudflare-diensten voor verfijnde phishingcampagnes. Deze aanvallen, die in 2025 zijn opgemerkt, gebruiken Cloudflare Workers en Pages om kwaadaardige inhoud te hosten. Hierdoor kunnen ze de traditionele beveiligingsfilters omzeilen, aangezien Cloudflare wordt vertrouwd door de meeste systemen. De aanvallen richten zich vooral op financiële instellingen en technologiebedrijven. De slachtoffers ontvangen e-mails met links naar zogenaamd authentieke inlogpagina's, die echter Cloudflare-gehoste phishingpagina’s zijn met geldige SSL-certificaten. De criminelen repliceren legitieme inlogschermen om de slachtoffers te misleiden. Onderzoek toont aan dat deze aanvallen waarschijnlijk afkomstig zijn van goed georganiseerde groepen die bekend zijn met cloudserviceconfiguraties. Cloudflare wordt vaak niet geblokkeerd door beveiligingssoftware, waardoor de aanvallen ongehinderd kunnen doorgaan. De kosten van datalekken door deze aanvallen kunnen oplopen tot miljoenen dollars per incident. De aanvallers gebruiken geavanceerde JavaScript-code die de inloggegevens van slachtoffers onderschept en naar hun eigen servers stuurt.

Bron

Hunters International, een cybercriminelen-groep die oorspronkelijk werkte met ransomware als dienst (RaaS), heeft zijn activiteiten herzien. Na een aangekondigde stopzetting in november 2024 vanwege afnemende winstgevendheid en toegenomen overheidscontrole, heeft de groep op 1 januari 2025 de naam veranderd naar "World Leaks". De focus is nu verschoven naar datadiefstal en afpersing zonder het gebruik van ransomware. In plaats van bestanden te versleutelen, gebruiken ze een zelfontwikkeld hulpmiddel voor het extraheren van data. Het nieuwe systeem maakt het eenvoudiger om gegevens te stelen en af te persen zonder de risico’s van versleuteling. Deze operatie heeft al geleid tot aanvallen op grote organisaties wereldwijd, waaronder Tata Technologies en de Amerikaanse marine. Het is duidelijk dat de groep een prominente speler is in de wereld van cybercriminaliteit, met schade die kan oplopen tot miljoenen dollars.

Bron

Een experiment heeft aangetoond hoe een vervalst paspoort, gegenereerd met ChatGPT-4o, met succes een digitale identiteitverificatie doorstond. Borys Musielak, een technologie-ondernemer, creëerde het vervalste document in enkele minuten en deelde het op LinkedIn. Het paspoort leek vrijwel identiek aan een echt exemplaar, wat de betrouwbaarheid van traditionele KYC-procedures (Know Your Customer) in twijfel trok. Dit toont aan hoe snel en gemakkelijk vervalsingen nu kunnen worden gemaakt met behulp van generatieve AI, wat bestaande identiteitsverificatiesystemen kwetsbaar maakt voor aanvallen. Hoewel het vervalste paspoort waarschijnlijk geen stand zou houden bij een grondige controle, volstond het om basis KYC-procedures van sommige financiële platforms te omzeilen. Experts adviseren daarom de bredere implementatie van technologieën voor verificatie op hardware-niveau, zoals elektronische identiteitsdocumenten (eID).

Bron

Europcar Mobility Group, een internationale autoverhuurder, werd recent het doelwit van een hack die toegang kreeg tot hun GitLab-repositories. De aanvaller stal niet alleen de broncode van hun Android- en iOS-applicaties, maar ook persoonlijke gegevens van tot 200.000 klanten. Het gaat om gegevens zoals namen en e-mailadressen van gebruikers van de merken Goldcar en Ubeeqo. De hacker dreigde de gestolen 37GB aan data, waaronder backups en details van de interne systemen van Europcar, openbaar te maken. Gelukkig zijn er geen bankgegevens, wachtwoorden of andere gevoelige informatie blootgesteld. Europcar is momenteel bezig met het informeren van de getroffen klanten en heeft de relevante autoriteiten ingelicht. De oorzaak van de hack is nog onbekend, maar het gebruik van gestolen inloggegevens wordt als een mogelijke oorzaak beschouwd.

Bron

De Amerikaanse overheid heeft een dringend advies uitgebracht aan organisaties die gebruikmaken van Ivanti-systemen, zoals Connect Secure en Pulse Connect Secure, om een fabrieksreset uit te voeren. Aanleiding is een actief misbruikt beveiligingslek (CVE-2025-22457) waarmee ongeauthenticeerde aanvallers op afstand systemen kunnen overnemen. De kwetsbaarheid krijgt een hoge ernstscore van 9.0. Vooral systemen die niet zijn bijgewerkt met de juiste beveiligingspatch van 28 februari 2025 lopen risico. Zelfs als er geen sporen van een aanval zijn gevonden, wordt geadviseerd om voorzorgsmaatregelen te nemen door systemen volledig opnieuw in te stellen. In geval van daadwerkelijke compromittering moeten ook alle wachtwoorden, certificaten en sleutels worden vervangen. Voor hybride omgevingen geldt dat tokens voor cloud-accounts ongeldig gemaakt moeten worden en domeinwachtwoorden dubbel gereset. Deze maatregelen zijn bedoeld om verdere verspreiding of dieperliggende schade te voorkomen.

Bron

Een apotheker van het University of Maryland Medical Center in de Verenigde Staten wordt verdacht van het heimelijk installeren van keyloggers op ruim vierhonderd ziekenhuiscomputers. Hiermee zou hij jarenlang inloggegevens van collega’s hebben buitgemaakt om toegang te krijgen tot privéaccounts, waarin onder andere gevoelige foto's werden opgeslagen. Ook wist hij op afstand in te breken op beveiligingscamera’s in de woningen van slachtoffers en in het ziekenhuis zelf, waarbij hij signalen die het gebruik van de camera aangeven wist te omzeilen. Volgens de aanklacht was de beveiliging binnen het ziekenhuis onvoldoende, waardoor de verdachte ongehinderd zijn gang kon gaan. Slachtoffers kwamen pas op de hoogte van het misbruik na een waarschuwing van de FBI. Het ziekenhuis zegt inmiddels mee te werken aan het onderzoek en hoopt dat de verdachte verantwoordelijk zal worden gehouden voor zijn daden.

Bron

Het Nationaal Cyber Security Centrum en het Digital Trust Center hebben vijf vernieuwde basisprincipes gepresenteerd om bedrijven en organisaties te helpen hun digitale weerbaarheid te vergroten. Deze principes zijn gebaseerd op de Nederlandse Cybersecuritystrategie en combineren inzichten van meerdere instanties. Ze richten zich op het in kaart brengen van risico’s, het bevorderen van veilig gedrag, het beschermen van systemen en data, het beheren van toegang en het voorbereiden op incidenten. Het doel is om organisaties, ongeacht grootte of sector, concrete handvatten te bieden om hun cyberveiligheid te verbeteren. De principes benadrukken het belang van bewustwording onder medewerkers en het beperken van het aanvalsoppervlak via maatregelen zoals segmentatie van netwerken en goed patchbeheer. Door praktisch toepasbare richtlijnen te bieden, willen NCSC en DTC digitale veiligheid toegankelijk maken voor het hele bedrijfsleven.

Bron

De beruchte Everest-ransomwaregroep, gelinkt aan Rusland, is dit weekend zelf gehackt. Hun darkweb-leksite, normaal gebruikt om gestolen data te publiceren en slachtoffers onder druk te zetten, werd overgenomen en beklad met de boodschap “Don’t do crime, CRIME IS BAD xoxo from Prague.” Of de aanvallers ook toegang kregen tot gevoelige data is nog onduidelijk, maar de actie laat zien dat zelfs geavanceerde cybercriminelen kwetsbaar zijn. Everest is sinds 2020 actief en bekend van aanvallen op onder andere NASA en de Braziliaanse overheid. De groep gebruikt geavanceerde tools en technieken om netwerken binnen te dringen en verkoopt inmiddels ook toegang aan andere criminelen. De aanval op hun infrastructuur komt op een moment dat steeds meer organisaties weigeren losgeld te betalen en dat opsporingsdiensten meer succes boeken tegen ransomwaregroepen. Toch verwachten experts dat Everest zich snel kan herstellen of onder een nieuwe naam verdergaat.

Bron

Europol heeft in een recent rapport gewaarschuwd dat criminelen steeds vaker in staat zijn om biometrische beveiligingssystemen te omzeilen en te misbruiken. Dit kan bijvoorbeeld door het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten, of door het afspelen van opgenomen beelden. Ook technieken zoals het dragen van 3D-maskers en deep fakes worden genoemd als manieren om biometrische systemen te misleiden. Europol benadrukt het belang voor opsporingsdiensten om op de hoogte te zijn van deze kwetsbaarheden. Door actief deel te nemen aan initiatieven voor de ontwikkeling en standaardisatie van biometrische technologieën, kunnen autoriteiten betere richtlijnen en systemen ontwikkelen om misbruik te voorkomen. Het rapport benadrukt dat het cruciaal is om deze kwetsbaarheden tijdig te herkennen en de ontwikkeling van nieuwe misleidingsmethoden te anticiperen.

Later meer hierover in een artikel op ccinfo

De politie in Amsterdam waarschuwt voor een toenemend aantal kaarten met verdachte QR-codes die in brievenbussen worden gevonden. Deze codes kunnen gebruikers naar onveilige websites leiden of zelfs naar oplichtingssites. De politie adviseert mensen om nooit zomaar een QR-code van een onbekende afzender te scannen en altijd de URL te controleren op verdachte tekens. Daarnaast wordt aangeraden om op je onderbuikgevoel te vertrouwen als iets te mooi lijkt om waar te zijn. Dit volgt op eerdere waarschuwingen over malafide QR-codes, bijvoorbeeld bij parkeerautomaten. Het is belangrijk om voorzichtig te zijn bij het scannen van QR-codes, aangezien kwaadwillende actoren steeds vaker deze methode gebruiken voor phishing of andere vormen van cybercriminaliteit.

Bron

Oracle heeft bevestigd dat een hacker gebruikersgegevens heeft gestolen van verouderde servers, maar ontkent dat de Oracle Cloud zelf is gehackt. Volgens het bedrijf werden alleen gegevens van "twee verouderde servers" gelekt, die niet betrokken waren bij de Oracle Cloud-infrastructuur. De gestolen inloggegevens waren geëncrypteerd of gehasht, waardoor de hacker geen toegang kreeg tot klantomgevingen of gegevens. Oracle benadrukte dat er geen schending was van hun clouddiensten en dat klantdata niet werd gestolen of ingezien. De hack betreft een legacy-systeem dat sinds 2017 niet meer actief is voor klanten. Eerder beweerde een hacker dat hij 6 miljoen records van Oracle had gestolen en op het dark web verkocht, maar Oracle bleef volhouden dat deze gegevens niet uit hun Cloud komen. Dit incident heeft geen invloed gehad op de werking van de Oracle Cloud.

Bron

Sensata Technologies, een wereldwijde leverancier van industriële sensoren, is slachtoffer geworden van een ransomware-aanval, waarbij meerdere systemen zijn versleuteld. Dit heeft geleid tot het offline halen van het netwerk, wat de bedrijfsvoering ernstig verstoort. De aanvaller heeft onder andere toegang gekregen tot en mogelijk bestanden gestolen van het netwerk. Het herstel van de getroffen systemen is inmiddels gestart, maar het bedrijf kan nog niet aangeven wanneer alles volledig hersteld zal zijn. Sensata, dat actief is in vijftien landen, inclusief Nederland, verwacht dat de aanval geen significante impact zal hebben op de financiële resultaten of dagelijkse operaties. Het incident blijft onder onderzoek, en de exacte oorzaken zijn nog niet bekend. Sensata heeft wereldwijd 18.000 medewerkers en genereerde vorig jaar een omzet van 3,6 miljard dollar.

Bron

In Nederland zijn elf mensen slachtoffer geworden van de beruchte spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO. Deze software, die officieel bedoeld is voor inlichtingen- en veiligheidsdiensten, kan onder andere toegang krijgen tot berichten, camera’s, microfoons en locatiegegevens van slachtoffers. De lijst van slachtoffers werd ingediend bij een rechtszaak in de Verenigde Staten, waaruit blijkt dat Nederland na Spanje het land is met de meeste slachtoffers in Europa. De identiteit van de bespioneerden en de daders blijft onduidelijk, en het is niet bekend of de aanvallen van buitenlandse origine zijn. Pegasus is internationaal bekritiseerd vanwege het gebruik tegen journalisten, activisten en politici, wat in diverse landen voor opschudding heeft gezorgd. Nederland heeft de software in 2022 ingezet voor het hacken van de telefoon van een verdachte, Ridouan Taghi.

Bron

In november vorig jaar werd de Fourlis Group, de exclusieve franchisenemer van IKEA in Griekenland, Cyprus en Bulgarije, getroffen door een ransomware-aanval. De aanval vond plaats twee dagen voor Black Friday en veroorzaakte verstoringen in de bevoorrading van winkels en e-commerce operaties in de drie landen. Het bedrijf betaalde geen losgeld, maar het herstel van de getroffen systemen duurde tot vorige maand. In totaal liep de Fourlis Group door de aanval een verlies van twintig miljoen euro op, waarvan vijftien miljoen euro in het vierde kwartaal van 2024 en vijf miljoen euro in het eerste kwartaal van 2025. Hoe de aanvallers toegang kregen tot de systemen is niet bekendgemaakt. Er werd echter geen persoonlijk klantengegevens gestolen tijdens de aanval.

Bron

Het aantal meldingen van telefonische oplichting is in Nederland in korte tijd verdrievoudigd. In de eerste maanden van 2025 ontving de Fraudehelpdesk bijna tienduizend meldingen van verdachte telefoontjes. Vooral helpdeskfraude, waarbij oplichters zich voordoen als medewerkers van banken of techbedrijven, is populair. De schade per slachtoffer kan oplopen tot tienduizenden euro’s. Deze vorm van fraude is voor criminelen aantrekkelijker geworden door nieuwe technologieën. Met behulp van kunstmatige intelligentie kunnen stemmen geloofwaardig worden nagebootst en scripts razendsnel worden geschreven. Dat verlaagt de drempel om professioneel en overtuigend over te komen. Volgens experts maken criminelen er handig gebruik van dat veel van deze tools gratis beschikbaar zijn. De telecomsector pleit voor meer mogelijkheden om verdachte telefoongegevens te kunnen delen met banken, maar wetgeving belemmert dit nog. Intussen blijven consumenten het slachtoffer van deze steeds geavanceerdere oplichtingstechnieken.

Bron

Cybercriminelen richten zich steeds doelgerichter op bedrijven die veel betalen, met name diegenen die een cyberverzekering hebben. Bedrijven met zo'n verzekering betalen gemiddeld 2,8 keer meer losgeld dan bedrijven zonder. Het onderzoek van Tom Meurs toont aan dat criminelen bewust zoeken naar documenten met termen als ‘insurance’ of ‘policy’ om hogere losgeldbedragen te eisen. Daarnaast wordt aangetoond dat bedrijven met goed beveiligde back-ups veel minder vaak losgeld hoeven te betalen, aangezien criminelen vaak proberen back-ups te verwijderen. Sectoren zoals de handel, bouw en ICT zijn het vaakst doelwit, waarbij de ICT-sector de hoogste losgeldbetalingen kent. Het advies is om zelf maatregelen te treffen, zoals het gebruiken van offline back-ups en het inschakelen van multifactorauthenticatie om de kans op een succesvolle aanval te verkleinen. Bedrijven wordt ook geadviseerd geen losgeld te betalen, omdat dit de kans op herhaalde aanvallen vergroot.

Bron

Veel bedrijven die slachtoffer worden van ransomware hebben geen andere keuze dan het gevraagde losgeld te betalen, anders dreigt een faillissement. Dat blijkt uit onderzoek van de politie naar meer dan vijfhonderd incidenten. In 95 van de 100 gevallen is herstel zonder betaling niet mogelijk omdat de hele IT-infrastructuur kapot is. Bedrijven met een cyberverzekering blijken gemiddeld 2,8 keer meer losgeld te betalen dan bedrijven zonder verzekering. Ook blijkt dat organisaties met goed beveiligde back-ups 27 keer minder vaak betalen. Toch zijn back-ups alleen niet genoeg, omdat aanvallers bewust op zoek gaan naar deze gegevens en ze verwijderen. Offline back-ups of goed afgeschermde cloudoplossingen bieden meer bescherming. Hoewel de overheid adviseert om geen losgeld te betalen, blijkt dat in de praktijk vaak onvermijdelijk, bijvoorbeeld om sneller te kunnen herstellen of reputatieschade te beperken. De situatie onderstreept het belang van een goede back-upstrategie en preventieve beveiligingsmaatregelen.

Bron

De Amerikaanse zorgverlener DaVita, gespecialiseerd in nierzorg, is getroffen door een ransomware-aanval. Het incident werd op zaterdag ontdekt waarna het bedrijf snel maatregelen nam door getroffen systemen te isoleren. De aanval heeft impact op de dienstverlening, maar het is nog onduidelijk hoe ernstig de verstoring precies is en hoe lang deze zal duren. DaVita levert dialyse aan zo'n 250.000 patiënten wereldwijd via drieduizend centra, waarvan de meeste in de Verenigde Staten staan. Er wordt momenteel gewerkt aan herstel met hulp van externe experts. Of er persoonsgegevens zijn buitgemaakt of hoe de aanvallers binnen zijn gekomen is nog niet bekendgemaakt. Het onderzoek naar de aanval en de impact ervan loopt nog. Het incident onderstreept opnieuw de kwetsbaarheid van de zorgsector voor cyberaanvallen, waarbij verstoring van kritieke zorgprocessen ernstige gevolgen kan hebben voor patiënten.

Bron

Autoverhuurbedrijf Hertz is getroffen door een datalek waarbij klantgegevens van de merken Hertz, Thrifty en Dollar zijn buitgemaakt. De aanval werd uitgevoerd via een zero-day kwetsbaarheid in het Cleo platform, dat gebruikt wordt voor bestandsoverdracht. De inbraak vond plaats in oktober en december 2024 en werd in februari 2025 bevestigd. De gestolen gegevens variëren per persoon en kunnen onder meer namen, geboortedata, contact- en betaalgegevens, rijbewijsinformatie en zelfs sofi- of paspoortnummers bevatten. Ook gegevens in verband met letselschade en arbeidsongeschiktheidsclaims zijn mogelijk betrokken. Hoewel Hertz geen bewijs heeft gevonden van misbruik, is een deel van de data inmiddels opgedoken op een afpersingssite van de Clop-ransomwaregroep. Klanten krijgen twee jaar lang gratis identiteitsbewaking aangeboden. Clop claimt in totaal gegevens van 66 bedrijven te hebben gestolen via deze kwetsbaarheid.

Bron

Uit onderzoek van het CBS blijkt dat in 2024 meer Nederlanders slachtoffer zijn geworden van online criminaliteit dan het jaar ervoor. Het percentage steeg van 14,8 procent in 2022 naar 15,7 procent. De meest voorkomende vorm van online misdaad is aankoopfraude, waarbij mensen betaalden voor producten of diensten die nooit geleverd werden. Dit overkwam 7,2 procent van de ondervraagden. Ook online bedreiging en intimidatie, zoals pesten en shamesexting, kwamen regelmatig voor, net als hacken van accounts of apparaten. Opvallend is dat het aantal gevallen van hacken juist iets is gedaald naar 3,9 procent. Slechts een klein deel van de slachtoffers meldt het incident bij de politie, en nog minder doet daadwerkelijk aangifte. Veel mensen geven aan dat ze er niet aan gedacht hebben of het niet belangrijk genoeg vonden. Het onderzoek onderstreept dat bewustwording en meldingsbereidheid rondom online criminaliteit nog steeds aandacht nodig hebben.

Bron

Later meer hierover in een artikel op ccinfo

In 2024 heeft Bunq tien miljoen euro uitgekeerd aan klanten die slachtoffer zijn geworden van phishing en bankhelpdeskfraude. Dit is een forse toename ten opzichte van het jaar ervoor, toen het nog om ruim twee ton ging. Aanleiding voor deze stijging is onder andere de aanpassing van het coulancebeleid door de bank. Bunq benadrukt dat klanten met een wettelijk recht op compensatie altijd worden vergoed, maar ook in andere gevallen wordt per situatie beoordeeld of extra coulance gepast is. De bank maakt inmiddels geen onderscheid meer tussen phishing en spoofing en erkent haar verantwoordelijkheid bij fraude via bankhelpdesks. Tegelijkertijd uit Bunq zorgen over het gedrag van klanten, waarbij social engineering en grove nalatigheid vaak een rol spelen. Om schade te beperken zijn er nieuwe maatregelen genomen om gebruikers beter te beschermen tegen deze vormen van oplichting.

Bron

In Silicon Valley hebben hackers de controle over voetgangerslichten overgenomen en gebruiken ze deze om president Donald Trump, Elon Musk en Mark Zuckerberg op humoristische wijze te bespotten. In plaats van de gebruikelijke instructies bij stoplichten, zoals "wachten" of "lopen", werden opnames afgespeeld met stemmen die leken op die van Musk, Trump en Zuckerberg. Zo werd een stem geïmiteerd die voorbijgangers een Tesla Cybertruck aanbood als ze zijn vriend wilden worden, en een andere die "Echte mensen noemen me The Zuck" zei. Ook waren er grappige boodschappen van Trump en Musk, die veel gedeeld werden op social media. De video's zijn inmiddels verwijderd, maar de identiteit van de hackers is nog onbekend.

Bron

Het beruchte forum 4chan is tijdelijk offline gehaald na een grootschalige hack. De aanval is opgeëist door leden van Soyjak.party, die beweren al meer dan een jaar toegang te hebben tot de systemen. Ze publiceerden screenshots van beheerderspanelen en persoonlijke gegevens van medewerkers, waaronder e-mailadressen van beheerders en moderators. Ook zou de broncode van de site zijn gelekt. Volgens berichten draaide 4chan op sterk verouderde software uit 2016, wat mogelijk de kwetsbaarheid vergrootte. Tijdens de aanval had de hacker toegang tot gevoelige beheertools waarmee gebruikersinformatie ingezien kon worden, zoals IP-adressen en locatiegegevens. In een poging de schade te beperken zijn de servers offline gehaald, maar er zijn aanwijzingen dat deze volledig gecompromitteerd zijn. Het incident benadrukt opnieuw het risico van achterstallig onderhoud en verouderde software in kritieke IT-infrastructuren.

Bron

De Amerikaanse overheidsfinanciering voor de CVE- en CWE-programma’s, cruciaal voor wereldwijde cybersecurity, is per 16 april 2025 verlopen. Deze programma’s worden beheerd door MITRE en zijn essentieel voor het standaardiseren en delen van informatie over kwetsbaarheden. Zonder deze financiering dreigt een verstoring van de internationale samenwerking bij incidentrespons en kwetsbaarheidsbeheer. Volgens MITRE kan het stopzetten leiden tot problemen bij beveiligingstools, nationale databases en coördinatie van kritieke infrastructuren. Experts uit de sector waarschuwen voor ernstige gevolgen, waaronder het wegvallen van een gezamenlijke taal voor het melden en aanpakken van cyberdreigingen. Hoewel er vanuit de overheid wordt gewerkt aan een oplossing, is het risico op een tijdelijke onderbreking van de diensten reëel. Dit kan de digitale weerbaarheid wereldwijd onder druk zetten op een moment waarop cyberdreigingen blijven toenemen.

Bron

De Amerikaanse overheid heeft de financiering voor het belangrijke Common Vulnerabilities and Exposures (CVE) programma met 11 maanden verlengd. Dit voorkomt een dreigende onderbreking van deze cruciale dienst die wereldwijd wordt gebruikt voor het melden en classificeren van kwetsbaarheden in software. De verlenging kwam net op tijd, aangezien de financiering op 16 april zou aflopen. MITRE, de organisatie die het CVE-programma beheert, waarschuwde eerder dat een onderbreking grote gevolgen zou hebben voor onder meer kwetsbaarheidsdatabases, beveiligingstools en incidentrespons. Tegelijkertijd werd ook een nieuwe non-profitorganisatie aangekondigd, de CVE Foundation, die het voortbestaan van het programma op lange termijn moet waarborgen en de afhankelijkheid van de Amerikaanse overheid moet verminderen. Deze stap moet zorgen voor een meer onafhankelijke en duurzame structuur voor het wereldwijde beheer van kwetsbaarheden.

Bron

Op woensdagmiddag 16 april 2025 had Spotify te maken met een wereldwijde storing die veel gebruikersproblemen veroorzaakte. In Nederland meldden gebruikers onder andere dat ze waren uitgelogd, ongewenst reclame hoorden op hun premiumaccount of dat de app niet goed werkte. Ook de webversie van de dienst was voor sommige gebruikers niet bereikbaar. De storing resulteerde in een piek van bijna 17.000 meldingen op allestoringen.nl. Spotify heeft inmiddels bevestigd dat de problemen zijn opgelost, maar de oorzaak van de storing blijft onbekend. Gedownloade muziek bleef toegankelijk, maar het afspelen van andere content en de toegang tot de ondersteuningssite waren voor sommige gebruikers tijdelijk niet mogelijk.

Bron

De Amerikaanse Cloud Act kan de Amerikaanse autoriteiten mogelijk toegang geven tot de betalingsgegevens van CCV, een Nederlandse betalingsverwerker, na de overname door het Amerikaanse bedrijf Fiserver. Minister Heinen van Financiën gaf aan dat de kans klein is dat de VS daadwerkelijk toegang zal krijgen, maar het is theoretisch mogelijk. CCV verwerkt betalingen voor ongeveer 600.000 bedrijven in Nederland, België en Duitsland. Ondanks dat CCV zelf niet in de VS is gevestigd, zou het bedrijf onder de Cloud Act kunnen vallen door de overname. De minister benadrukte dat de risico's volgens analyses van het Nationaal Cyber Security Centrum (NCSC) relatief laag zijn. Het risico op toegang tot betaalgegevens door buitenlandse overheden kan echter de privacy en het vertrouwen van klanten schaden, wat tot bezorgdheid leidt, zelfs als de kans op daadwerkelijke toegang klein wordt ingeschat.

Bron

De Tweede Kamer heeft onlangs een motie aangenomen om de regering met spoed onderzoek te laten uitvoeren naar de beveiliging van vitale infrastructuur in Nederland. Deze motie kwam na zorgen over de mogelijke risico's van 'slimme' voertuigen, zoals elektrische auto's, op het gebied van spionage en sabotage. CDA-Kamerlid Boswijk, die de motie indiende, verwees naar het verbod van de VS op Russische en Chinese hardware in voertuigen vanwege nationale veiligheidszorgen. Minister Madlener van Infrastructuur en Waterstaat beschouwde de motie echter als overbodig, omdat er al onderzoek loopt naar dit onderwerp. Hij gaf aan dat het niet haalbaar is om voor de zomer resultaten te presenteren, maar dat er eind dit jaar meer informatie beschikbaar zal zijn over de voortgang. De motie werd met uitzondering van de PVV door de meeste partijen ondersteund.

Bron

In een periode van drie maanden hebben Japanse brokers meer dan 1450 frauduleuze aandelentransacties geregistreerd, waarbij de waarde van de verhandelde aandelen 586 miljoen euro bedraagt. De aanvallers verkrijgen de inloggegevens van klanten via phishing-aanvallen, waarna ze aandelen verkopen en met het geld Chinese aandelen kopen. De aandelen blijven vervolgens op de accounts van de gedupeerden staan. De Japanse beurstoezichthouder FSA heeft klanten van brokers geadviseerd om geen links in e-mails of sms-berichten te openen, zelfs niet als de afzender vertrouwd lijkt. Ook wordt het gebruik van multifactorauthenticatie (MFA) aangeraden, evenals het openen van websites via bookmarks om phishing te voorkomen. De FSA waarschuwt voor de toenemende risico's van phishing en benadrukt het belang van veilige online gewoontes.

Bron

De Amerikaanse toezichthouder FTC heeft gerapporteerd dat slachtoffers van sms-fraude in 2024 voor maar liefst 470 miljoen dollar zijn bestolen. Dit is een aanzienlijke stijging ten opzichte van de 86 miljoen dollar schade in 2020. Sms-fraude begint vaak met een valse melding, zoals een bericht over een pakketbezorging, dat leidt naar een link naar malware of een phishing-site. Andere veel voorkomende vormen van fraude zijn waarschuwingen van banken of nep-vacatures. Het aantal meldingen bij de FTC steeg van 231.000 in 2023 naar 247.000 in 2024. Vooral berichten over bezorgproblemen met pakketten kwamen het vaakst voor, gevolgd door valse vacatures en bankwaarschuwingen. De FTC raadt aan om geen links in onverwachte sms-berichten te openen, om zo schade te voorkomen.

Bron

Defensie lanceert na de zomer een wervingscampagne om het aantal cyberreservisten uit te breiden. De commandant van de cyberreservisteneenheid geeft aan dat de meeste inzet in avonden en weekenden plaatsvindt wat combineren met werk en gezin uitdagend maakt maar volgens zijn ervaring haalbaar is. De belangstelling voor digitale verdediging groeit al langer. Vorig jaar verklaarde toenmalig minister Ollongren dat het reservistenbestand snel inzetbaar moet zijn en dat meer juridische ruimte nodig is zodat Defensie adequaat kan reageren op cyberdreigingen. Destijds telde de organisatie 110 cyberreservisten en streefde zij naar minstens 150. Concrete aantallen worden nu niet gedeeld uit operationele overwegingen maar de nieuwe cyberstrategie die komende zomer verschijnt zal een doelstelling bevatten. Voor de versnelling zoekt Defensie ook samenwerking met private partijen zodat expertise uit het bedrijfsleven beschikbaar komt en de weerbaarheid van Nederland op digitaal gebied versterkt wordt. 

Bron

SNS Bank, ASN Bank en RegioBank ondervinden momenteel een storing, waardoor klanten niet kunnen inloggen op hun apps of online bankieren. De problemen begonnen rond 10:00 uur, en volgens meldingen op Allestoringen.nl hebben duizenden klanten, voornamelijk van SNS Bank, last van de storing. Ook ASN Bank werd getroffen, met ongeveer 2.400 klachten. De oorzaak van de storing is nog niet bekend. SNS Bank bevestigde via sociale media dat er inderdaad sprake is van een storing en werkt aan een oplossing. De banken zijn nog niet bereikbaar voor verdere commentaar.

Bron

Marks & Spencer (M&S) heeft bevestigd dat het bedrijf de afgelopen dagen te maken heeft gehad met een cyberaanval die de bedrijfsvoering beïnvloedde, inclusief de Click and Collect-diensten. M&S werkt samen met cybersecurity-experts om de situatie te onderzoeken en op te lossen. Hoewel de fysieke winkels en de website normaal functioneren, veroorzaken de problemen vertragingen in bestellingen, waarbij klanten worden gevraagd te wachten op een e-mail voor het ophalen van hun bestelling. M&S heeft geen details gegeven over de aard van de aanval, maar heeft wel aangegeven de relevante autoriteiten op de hoogte te hebben gesteld. Het bedrijf verontschuldigt zich voor het ongemak en doet er alles aan om de reguliere dienstverlening snel te hervatten.

Bron

De Rijksinspectie Digitale Infrastructuur (RDI) meldt dat Nederlandse DNS-providers dagelijks worden geconfronteerd met DDoS-aanvallen. Deze aanvallen zijn gericht op de cruciale rol die DNS-diensten spelen in het omzetten van webadressen naar servers, waardoor internetgebruikers snel websites kunnen bezoeken. Volgens de RDI zijn DNS-diensten aangemerkt als 'essentiële diensten' binnen de digitale infrastructuur, wat hen een belangrijke functie geeft in het internetverkeer. Enkele grotere providers hebben maatregelen genomen door DNS Anycast te implementeren, wat helpt om de aanvallen beter te weerstaan door DNS-verzoeken over meerdere servers te verdelen. De uitbreiding van het toezicht op DNS-providers is in lijn met de invoering van de NIS2-richtlijn en de Cyberbeveiligingswet, wat het belang van deze diensten benadrukt voor de digitale veiligheid.

Bron

SK Telecom, de grootste telecomprovider van Zuid-Korea, heeft gemeld dat klantgegevens met betrekking tot simkaarten zijn gestolen door een malware-aanval. De diefstal werd ontdekt op 19 april en had betrekking op sim-gerelateerde informatie. Het exacte bereik en de omvang van de aanval worden momenteel onderzocht. SK Telecom heeft de geïnfecteerde systemen geïsoleerd en de malware verwijderd. Hoewel er op dit moment geen aanwijzingen zijn dat de gestolen gegevens zijn misbruikt, heeft de provider extra beveiligingsmaatregelen aangekondigd, waaronder striktere controles op illegale simkaart-aanpassingen. Ook kunnen klanten gebruikmaken van een gratis 'simkaart-beschermingsdienst'. Het ministerie van ICT in Zuid-Korea is begonnen met een onderzoek naar de aanval.

Bron

Minister Bruins van Onderwijs heeft aangekondigd dat de Cyberbeveiligingswet (Cbw) ook van toepassing zal zijn op het hoger onderwijs. Deze wet is de Nederlandse vertaling van de Europese NIS2-richtlijn en heeft als doel de cyberweerbaarheid van onderwijsinstellingen te verbeteren. Met de wet worden hbo- en wo-instellingen verplicht om passende maatregelen te treffen voor de beveiliging van netwerken en informatiesystemen. Daarnaast geldt er een meldplicht bij significante incidenten, evenals een registratieplicht en extern toezicht. Het recht op bijstand van een Computer Incident Response Team (CSIRT) bij dreigingen en incidenten wordt ook geregeld. De wet wordt gefaseerd ingevoerd, zodat instellingen zich kunnen voorbereiden. Hoewel mbo-instellingen niet onder de wet vallen, benadrukt de minister de noodzaak om ook hun cyberweerbaarheid verder te versterken.

Bron

Europol heeft ouders gewaarschuwd extra alert te zijn wanneer hun kinderen versleutelde chatapps gebruiken, zoals bijvoorbeeld WhatsApp of Signal. Volgens de Europese opsporingsdienst kunnen dergelijke apps, in combinatie met privacyinstellingen, anonieme groepen en kanalen creëren die vaak door criminelen worden gebruikt voor illegale activiteiten. Deze versleuteling maakt het moeilijker voor autoriteiten om communicatie te monitoren, aangezien berichten zichzelf kunnen vernietigen of gespreksgeschiedenissen kunnen worden gewist. Europol adviseert ouders om na te gaan waarom hun kinderen versleutelde apps gebruiken en wat ze mogelijk te verbergen hebben. Dit advies komt naar aanleiding van de oprichting van een internationale taskforce die zich richt op het bestrijden van gewelddadige misdrijven waarbij jongeren betrokken zijn. Hoewel versleuteling privacy waarborgt, wordt het door Europol als een risico gezien in het kader van georganiseerde misdaad.

Bron

De eigenaar van een belwinkel in Vaals is veroordeeld tot drie maanden gevangenisstraf omdat hij criminelen hielp bij simswapping waarmee ze cryptovaluta ter waarde van honderdduizend euro buitmaakten. Hij gaf bewust zijn inloggegevens voor het T Mobile dealerportaal prijs via een voor hem gemaakte phishingsite en verschafte toegang tot de systemen TAS en KMT en lege simkaarten. Daarmee konden de daders telefoonnummers van acht slachtoffers naar hun eigen simkaarten overzetten en vervolgens multifactorauthenticatie onderscheppen wachtwoorden wijzigen en cryptowallets leeghalen.

De groep bestond uit vijf personen. Twee hoofdverdachten gebruikten eerder gelekte klantenbestanden van hardware fabrikant Ledger om Nederlandse cryptobezitters te selecteren. Een medewerker van een T Mobile shop in Heerlen installeerde op verzoek AnyDesk op bedrijfscomputers waardoor gegevens uit Salesforce werden gekopieerd en extra blanke simkaarten werden geregeld. Volgens de rechter misbruikte de belwinkeleigenaar zijn exclusieve toegang tot klantdata en telecominfrastructuur voor persoonlijk financieel gewin wat zwaar meewoog in het vonnis.

Bron

De politie heeft recentelijk veertien personen aangehouden op verdenking van opruiing tot terrorisme via sociale media. Onder de verdachten bevinden zich ook minderjarigen, waarvan de jongste pas 14 jaar oud is. De verdachten zouden via platforms zoals TikTok geprobeerd hebben anderen aan te zetten tot terroristische activiteiten. De arrestaties vonden op verschillende locaties in Nederland plaats. Het Openbaar Ministerie heeft ervoor gekozen om geen verdere details over de identiteit van de verdachten te delen, vooral vanwege de jonge leeftijd van sommige betrokkenen. De aanhoudingen maken deel uit van een groter onderzoek naar terrorisme in Nederland, waarbij verschillende eenheden van de politie betrokken waren, waaronder de Eenheid Landelijke Opsporing en Interventies. Dit onderzoek wordt gecoördineerd door het Landelijk Parket.

Bron

Sinds oktober 2024 onderzoekt een speciaal rechercheteam uit het district Leiden-Bollenstreek gevallen van bankhelpdeskfraude. Deze vorm van oplichting, waarbij criminelen zich voordoen als bankmedewerkers om slachtoffers geld te laten overmaken naar oplichters, heeft een grote impact op de slachtoffers. Tot nu toe zijn 30 zaken onderzocht, en vijf verdachten zijn al aangehouden. Het team richt zich niet alleen op de individuele oplichters, maar ook op de grotere netwerken achter deze misdaden. Vaak betreft het jongeren die, voor een relatief laag bedrag, betrokken raken bij dergelijke criminaliteit. Er is al veel samenwerking met andere politie-eenheden, aangezien bankhelpdeskfraude een mobiele misdaad is die over verschillende regio's verspreid is. Het team hoopt op meer aanhoudingen, aangezien het aantal meldingen van slachtoffers afneemt en mensen alerter worden op deze oplichtingstechniek.

Bron

In 2024 heeft cybercrime wereldwijd voor meer dan 16 miljard dollar schade veroorzaakt, volgens cijfers van de FBI. De grootste verliezen werden veroorzaakt door investeringsfraude, business e-mail compromise (BEC) en helpdeskfraude, met schadebedragen van respectievelijk 6,5 miljard en 2,7 miljard dollar. Ransomware was goed voor 12,4 miljoen dollar schade, maar de werkelijke kosten, zoals misgelopen omzet en herstelkosten, werden niet meegerekend. De FBI ontving in totaal bijna 860.000 meldingen, waarvan 256.000 meldingen van financiële schade. Het aantal klachten over phishing was het hoogst, met 193.000 meldingen. Daarnaast werd er 9,3 miljard dollar verloren door crypto-gerelateerde fraude, die vaak betrekking had op investeringen en helpdeskfraude met cryptovaluta. De FBI benadrukt de impact van deze vormen van cybercrime op zowel individuen als bedrijven wereldwijd.

Bron

Team Cybercrime Limburg heeft een 33-jarige man zonder vaste woon- of verblijfplaats in Spanje aangehouden voor zijn betrokkenheid bij een telefonische helpdeskfraude. Het onderzoek, dat begon in september vorig jaar, richtte zich op een slachtoffer dat werd opgelicht door iemand die zich voordeed als medewerker van de Nationale Postcode Loterij. De oplichter verleidde het slachtoffer om software te installeren waarmee hij toegang kreeg tot haar computer en bankrekening. De verdachte werd in Spanje gearresteerd en er werden meerdere doorzoekingen uitgevoerd in Nederland, waar laptops en telefoons in beslag werden genomen. Het onderzoek loopt nog, en het is niet bekend hoeveel slachtoffers er zijn of wat de totale schade is. De politie waarschuwt voor dergelijke oplichting en adviseert om nooit programma's te installeren op verzoek van onbekenden.

Bron

• Naar pagina

Het phishinglandschap verandert snel, vooral door de opkomst van AI en polymorfe aanvallen. Cybercriminelen gebruiken AI om campagnes te personaliseren en moeilijk detecteerbare aanvallen te lanceren die via traditionele beveiligingssystemen ontsnappen. Ransomware-aanvallen stijgen opnieuw, vaak verpakt in phishing-e-mails met geavanceerde obfuscatietechnieken die de detectie bemoeilijken. Ook wordt de wervingsindustrie doelwit, waarbij cybercriminelen zich voordoen als sollicitanten om toegang te krijgen tot systemen. De trend wijst op een groeiend aantal aanvallen die via legitieme platforms worden verstuurd, waardoor traditionele e-mailbeveiligingssystemen vaak niet genoeg bescherming bieden. Bedrijven moeten nieuwe detectiemethoden en training implementeren om zich te beschermen tegen deze geavanceerde dreigingen.

Download

In 2024, Google made significant strides in improving the safety of its advertising ecosystem by enhancing enforcement mechanisms, particularly through artificial intelligence (AI). The use of advanced Large Language Models (LLMs) allowed for quicker identification and removal of harmful ads while helping to prevent fraudsters from entering the platform. Google blocked or removed over 5.1 billion bad ads, and suspended 39.2 million accounts, the majority of which were caught before they could show any ads. The company also tackled emerging scams, including public figure impersonation, by using AI to detect and stop such practices. Through these efforts, Google continues to improve the safety of its ad network globally, safeguarding both users and legitimate advertisers.

Download

Ransomware blijft de grootste dreiging voor kleine en middelgrote bedrijven, ondanks een lichte daling van het aantal gevallen in 2024. Het gebruik van verouderde netwerkapparaten zoals firewalls en VPN's speelt een belangrijke rol in de aanvallen. Deze apparaten, vaak slecht geconfigureerd of verouderd, bieden gemakkelijke toegang voor cybercriminelen. Cybercriminelen passen ook nieuwe technieken toe, zoals MFA-phishing en “quishing”, waarbij QR-codes worden gebruikt om slachtoffers naar valse inlogpagina's te leiden. Daarnaast neemt de dreiging van malware via malvertising en SEO-poisoning toe. De verschuiving naar "remote ransomware", waarbij malware via netwerken verspreid wordt zonder direct op de doelapparaten te draaien, is een groeiende trend. Organisaties worden aangespoord om betere beveiligingsmaatregelen te nemen, zoals het bijwerken van apparaten en het gebruik van passkeys in plaats van wachtwoorden.

Download

In 2024 ontving het FBI Internet Crime Complaint Center (IC3) meer dan 859.000 meldingen van cybercriminaliteit, wat resulteerde in een verlies van 16,6 miljard dollar. De meeste verliezen kwamen voort uit fraude, met ransomware als de grootste dreiging voor kritieke infrastructuur, met een stijging van 9% in meldingen ten opzichte van 2023. Senioren waren de grootste slachtoffers. In 2024 lanceerde IC3 verschillende samenwerkingsinitiatieven, zoals Operation Level Up, om slachtoffers van cryptocurrency-investeringsfraude te waarschuwen en te ondersteunen. Het IC3 speelde een cruciale rol in het opsporen van cybercriminelen en het herstellen van gestolen geld door middel van asset recovery-initiatieven.

Download

Fortinet blijft zich inzetten voor duurzaamheid, met nadruk op cybersecurity als fundament voor de maatschappij. In 2024 ondertekende het bedrijf de "Secure by Design"-pledge en versterkte het zijn inspanningen op het gebied van klimaatverandering, met goedkeuring van zijn CO2-reductiedoelen door de Science Based Targets initiative. Het bedrijf werkt samen met openbare en private sectoren wereldwijd om cybercriminaliteit te bestrijden, waarbij 1.000 cybercriminelen werden gearresteerd. Daarnaast investeert Fortinet in het sluiten van de cybersecurity skills gap door wereldwijd mensen op te leiden en zich in te zetten voor een inclusieve werkplek.

Download

• Naar pagina

Europese overheden en bedrijven vertrouwen massaal op Amerikaanse cloudomgevingen zoals Microsoft en Google. Dit biedt gemak, maar brengt ook grote risico’s met zich mee. Van juridische onzekerheden rondom privacywetgeving tot de dreiging van cyberaanvallen: de afhankelijkheid van buitenlandse techgiganten zet de digitale soevereiniteit onder druk. Wat betekent dit voor de veiligheid van onze gegevens en kritieke infrastructuur? En welke alternatieven zijn er om deze risico’s te beperken?

Lees verder

De opkomst van quantumcomputing dreigt de fundamenten van huidige beveiligingssystemen, zoals wachtwoordbeheer, te ondermijnen. De kracht van quantumcomputers maakt traditionele encryptiemethoden kwetsbaar, maar wat betekent dit voor de tools die we dagelijks gebruiken? In dit artikel onderzoeken we de impact van quantum computing op wachtwoordbeheer en of MindYourPass een toekomstbestendige oplossing biedt. Ontdek hoe de nieuwste technologieën de digitale veiligheid kunnen versterken in een wereld die snel verandert.

Lees verder

NIS2 is een belangrijke Europese richtlijn die de digitale veiligheid van bedrijven versterkt. Hoewel het vooral gericht is op grote organisaties in kritieke sectoren, raakt het ook kleinere bedrijven die deel uitmaken van toeleveringsketens. In dit artikel ontdek je waarom NIS2 ook voor jouw bedrijf relevant is en welke stappen je kunt nemen om compliant te worden. Mis niet de kans om te leren hoe je je organisatie kunt beschermen tegen de steeds toenemende cyberdreigingen.

Lees verder

Pentesten zijn essentieel om kwetsbaarheden in systemen te ontdekken voor cybercriminelen dat doen. Leer waarom deze tests cruciaal zijn voor de cybersecurity van bedrijven.

Lees verder

Waarom cyberaanvallen en datalekken openbaar maken? Lees waarom transparantie over cyberdreigingen cruciaal is voor bedrijven en slachtoffers, en hoe je je kunt beschermen.

Lees verder

• Naar pagina