← Terug naar blog
Security briefing5 min read2026-05-04

Security briefing, 4 mei 2026: cPanel-ransomware, Instructure-datalek, Telegram Mini App-scams en Microsoft Defender-certificatenchaos

Het lelijke patroon vanochtend is trust onder druk: hostingpanels, onderwijsplatforms, chat-native apps en endpoint-bescherming werden allemaal hefboompunten zodra het bekende pad voor het veilige pad werd aangezien.


Kort: Patch cPanel snel, behandel Instructure-gerelateerde data als mogelijk blootgesteld, vertrouw geen Telegram Mini Apps die om stortingen of APK-installaties vragen, en controleer Defender-certificaathygiëne als je Windows-fleet op 3 mei meldingen kreeg.


1. cPanel ging razendsnel van kritieke bug naar echte Linux-ransomware

CVE-2026-41940 in cPanel en WHM wordt al massaal misbruikt. Volgens BleepingComputer zijn minstens 44.000 cPanel-IP’s gecompromitteerd in lopende aanvallen, waarna indringers snel de Go-gebaseerde Linux-ransomware "Sorry" uitrolden die .sorry aan versleutelde bestanden toevoegt.


2. Instructure is nu een echte onderwijsbreuk, geen losse incidentmelding meer

Instructure bevestigde dat gebruikersdata is gestolen in de cyberaanval die vrijdag werd gemeld. Volgens het bedrijf gaat het om namen, e-mailadressen, studentnummers en berichten tussen gebruikers bij getroffen instellingen. Wachtwoorden, geboortedata, overheids-ID’s en financiële gegevens zijn voorlopig niet gevonden, maar de blast radius kan alsnog enorm zijn als ShinyHunters ook maar deels gelijk heeft.


3. Telegram Mini Apps worden gebruikt als scam-UX en Android-malwarekanaal

Onderzoekers van CTM360 zeggen dat de FEMITBOT-operatie Telegram-bots plus Mini Apps gebruikt om merken na te doen, nepbalansen te tonen, slachtoffers tot stortingen te dwingen en soms Android-APK’s te pushen die op legitieme apps lijken. De truc werkt omdat de phishingflow binnen Telegram blijft en daardoor normaal aanvoelt.


4. Defender-false positives maakten betrouwbare DigiCert-roots tot uitvalrisico

Een Defender-signature-update markeerde legitieme DigiCert-rootcertificaten foutief als Trojan:Win32/Cerdigent.A!dha en verwijderde ze op sommige systemen uit de Windows trust store. Microsoft zegt dat het probleem is opgelost vanaf Security Intelligence 1.449.430.0, maar dit soort verdedigingsfouten breekt stilletjes trust chains terwijl teams spoken najagen.


Wat securityteams vandaag moeten doen

  1. Patch eerst cPanel en WHM als er nog een blootgesteld hostingpanel ongepatcht is.
  2. Beoordeel of je instelling, klanten of leveranciers afhankelijk zijn van Instructure of Canvas en bereid communicatie nu al voor.
  3. Stuur een gebruikerswaarschuwing over Telegram-investeringsscams en blokkeer gesideloadede APK-routes waar mogelijk.
  4. Audit Windows-endpoints op Defender-certificaat-false positives voordat gebroken trust chains grotere storingen veroorzaken.

Bronnen


Kortom: De gedeelde foutmodus van vandaag is misplaatste trust in vertrouwde infrastructuur. Aanvallers misbruiken die bij cPanel en Telegram, en defenders struikelden erover bij certificaatafhandeling. Teams die aannames het snelst verifiëren, lopen de minste schade op.

Vind blootgestelde trustpaden vóór aanvallers of gebroken tooling dat doen

KENSAI helpt teams riskante internet-facing panels, SaaS-afhankelijkheden, phishing-oppervlakken en trust-chain-blind spots in kaart te brengen voordat het echte incidenten worden.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team