剣 KENSAI
← Back to archive

🛡️ KENSAI Dagelijks Beveiligingsonderzoek

2026-03-26 — Donderdag
24-uurs dreigingsinformatie overzicht • Geautomatiseerd onderzoek door KENSAI
3
Datalekken
4
Kritieke Kwetsb.
3
Ransomware
3
Tool Releases
4
Dreigingspatronen

📡 RSAC 2026 is Live

RSA Conference 2026 is in volle gang — Dag 2 aankondigingen stromen binnen. Grote releases van leveranciers, nieuwe frameworks voor agentic AI-governance en bijgewerkte dreigingsrapporten van SentinelOne, PwC en SANS. Belangrijkste conclusie: AI versnelt zowel aanvallen als verdedigingstools.

🔓 Grote Datalekken

Werknemersgegevens HackerOne Blootgesteld bij Navia-inbreuk

HackerOne bevestigde dat persoonlijke informatie van honderden werknemers is gestolen bij een inbreuk op benefitprovider Navia. Gevoelige PII waaronder namen, adressen en uitkeringsgegevens werden geëxfiltreerd. De ironie dat werknemers van een bug bounty-platform worden getroffen door een inbreuk bij een derde partij onderstreept het risico van de toeleveringsketen.

Datalek Risico Derde Partijen Bron: SecurityWeek
KENSAI Take

Zelfs bedrijven die security voorop stellen, worden blootgesteld via hun leveranciersketen. NIS2 Artikel 21 vereist expliciet beoordelingen van de beveiliging van de toeleveringsketen. KENSAI's third-party risk scanning detecteert deze hiaten.

LeakBase-beheerder Gearresteerd in Rusland — 147K Gebruikers, Honderden Miljoenen Records

De Russische autoriteiten hebben de beheerder van het cybercrimeforum LeakBase gearresteerd in Taganrog. Het platform bevatte honderden miljoenen gestolen gebruikersaccounts, bankgegevens, gebruikersnamen, wachtwoorden en bedrijfsdocumenten. Meer dan 147.000 geregistreerde gebruikers konden deze gegevens kopen en verkopen sinds 2021.

Dark Web Rechtshandhaving Bron: The Hacker News

Nederlands Ministerie van Financiën Onderzoekt Cyberinbreuk

Het Nederlandse Ministerie van Financiën onderzoekt een cyberinbreuk op interne systemen. Details blijven beperkt, maar de inbreuk trof kritieke overheidsinfrastructuur. Tegelijkertijd onthulde Crunchyroll (anime-streaming) een hack waarbij klantenserviceticketgegevens werden gestolen, en meldde Kaplan (onderwijs) een datalek dat meer dan 230.000 personen treft.

Overheid EU Bron: The Record
KENSAI Take

Inbreuken bij EU-overheden versnellen de handhavingstijdlijn van NIS2. DACH-organisaties moeten dit beschouwen als een voorproefje van verscherpt regelgevend toezicht in 2026.

🚨 Kritieke Kwetsbaarheden

Citrix NetScaler — CitrixBleed3 op Komst

Citrix heeft met spoed twee kwetsbaarheden gepatcht in NetScaler ADC en NetScaler Gateway. Eén fout is "zeer vergelijkbaar" met de beruchte CitrixBleed- en CitrixBleed2-kwetsbaarheden die als zero-days werden misbruikt. Citrix dringt aan op onmiddellijke patching — verwacht PoC-exploits binnen enkele dagen.

Kritiek Citrix NetScaler Bron: BleepingComputer
KENSAI Take

CitrixBleed leidde tot enkele van de grootste datalekken van 2023-2024. Organisaties die NetScaler draaien moeten NU patchen. KENSAI's externe scan detecteert blootgestelde NetScaler-instanties en versie-fingerprints.

TP-Link Archer NX — Kritieke Authenticatie-bypass

TP-Link heeft een kritieke authenticatie-bypass-kwetsbaarheid gepatcht in de Archer NX-routerserie waarmee aanvallers de authenticatie volledig konden omzeilen en kwaadaardige firmware konden uploaden. Gezien het nieuwe FCC-verbod op in het buitenland gemaakte routers, vergroot dit de zorgen over de beveiliging van de toeleveringsketen van routers.

Kritiek Router / IoT Bron: BleepingComputer

PolyShell — Massale Exploitatie van Magento/Adobe Commerce

Actieve exploitatie van de "PolyShell"-kwetsbaarheid treft 56% van alle kwetsbare Magento Open Source- en Adobe Commerce-winkels. Aanvallers deployen web shells op grote schaal. E-commercebedrijven die Magento 2 draaien moeten onmiddellijk patchen of riskeren volledige sitecompromittering en diefstal van betalingsgegevens.

Actieve Exploitatie E-Commerce Bron: BleepingComputer

Apple iOS/macOS 26.4 — Beveiligingsupdates voor het Hele Ecosysteem

Apple heeft beveiligingspatches uitgebracht voor iOS, macOS en iPadOS, inclusief patches voor oudere apparaten (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Meerdere WebKit- en kernel-kwetsbaarheden zijn verholpen.

Hoog Apple Ecosysteem Bron: SecurityWeek

💀 Ransomware-aanvallen

Haven van Vigo (Spanje) — Maritieme Operaties Verstoord

Een ransomware-aanval dwong de Spaanse Haven van Vigo om systemen los te koppelen en over te schakelen op handmatig ladingbeheer. De aanval werd dinsdagochtend gedetecteerd, waarbij servers werden vergrendeld en losgeld werd geëist. De havenvoorzitter verklaarde: "We herstellen de verbindingen pas als er absolute garanties zijn." Geen groep heeft de verantwoordelijkheid opgeëist. Scheepsbewegingen gaan door, maar de logistieke coördinatie is verlamd.

Ransomware Kritieke Infrastructuur Bron: The Record
KENSAI Take

Aanvallen op havens nemen toe — Nagoya (2023), nu Vigo (2026). Onder NIS2 zijn havens "essentiële entiteiten" die verplicht incidenten moeten melden binnen 24 uur. EU-havenautoriteiten hebben continu beveiligingsmonitoring nodig.

Stryker (Medische Apparatuur) — Productielijnen Weer Operationeel na Malware-aanval

Fabrikant van medische apparatuur Stryker bevestigde de betrokkenheid van malware bij een recente cyberaanval die productielijnen stillegde. De operaties worden nu hervat. De aanval benadrukt de aanhoudende targeting van toeleveringsketens in de gezondheidszorg en medische productie.

Malware Gezondheidszorg Bron: The Record

Russische Ransomware-operators Veroordeeld in de VS

Ilya Angelov (TA551/Shathak) — 2 jaar + $100K boete voor het beheren van een botnet dat werd gebruikt in ransomware-campagnes (2017-2021). Aleksei Volkov — 81 maanden (6,75 jaar) voor zijn rol als access broker bij Yanluowang ransomware-aanvallen. Het Amerikaanse DoJ blijft Russische cybercriminelen vervolgen met extraterritoriale reikwijdte.

Rechtshandhaving Ransomware Bronnen: THN, SecurityWeek

🔧 Beveiligingstool Releases

Kali Linux 2026.1 — 8 Nieuwe Tools + BackTrack-modus

De eerste release van het jaar brengt 8 nieuwe beveiligingstools, een visuele thema-update en een nieuwe "BackTrack-modus" voor Kali-Undercover. Een vleugje nostalgie gecombineerd met praktische pentesting-updates.

Tool Release Penetration Testing Bron: BleepingComputer

GitHub — AI-gestuurde Codebeveiligingsscanning

GitHub breidt zijn Code Security-tool uit voorbij CodeQL met AI-gebaseerde kwetsbaarheidsdetectie. De nieuwe scanning dekt meer talen en frameworks, waardoor de drempel voor beveiligingsbewuste ontwikkeling wordt verlaagd. Dit brengt SAST dichter bij de reguliere ontwikkelaarsworkflows.

Tool Release SAST / DevSecOps Bron: BleepingComputer
KENSAI Take

AI-gestuurde SAST wordt standaard. KENSAI's concurrentievoordeel: het combineren van SAST met DAST, externe scanning en NIS2-compliance in één platform — niet alleen detectie op codeniveau.

Onit Security — $11M Opgehaald voor Exposure Management

Onit Security haalde $11M op voor de bouw van hun exposure management-platform. De investering is gericht op productontwikkeling en GTM-uitbreiding naar nieuwe sectoren. Dit signaleert aanhoudende VC-interesse in attack surface management ondanks marktconsolidatie.

Financiering Exposure Management Bron: SecurityWeek

⚡ Opkomende Dreigingspatronen

Escalatie Supply Chain-compromittering — TeamPCP Treft LiteLLM, Docker Hub, VS Code, PyPI

De dreigingsactor TeamPCP (achter de Trivy/KICS-compromitteringen) heeft nu backdoors geplaatst in LiteLLM-versies 1.82.7–1.82.8 via een CI/CD-pipelinecompromittering. De payload is een drietrapsaanval: credential harvesting (SSH-sleutels, cloud-credentials, K8s-secrets), lateral movement toolkit en persistente backdoor. Ze hebben ook Docker Hub, de VS Code-marketplace en NPM getroffen — en werken naar verluidt samen met Lapsus$.

Kritiek Supply Chain Bronnen: THN, SecurityWeek
KENSAI Take

Dit is de meest significante OSS supply chain-aanval van 2026 tot nu toe. CI/CD-pipelinecompromittering → paketvergiftiging op grote schaal. Organisaties moeten pakketintegriteit verifiëren en versies vastpinnen. SBOM-scanning is niet langer optioneel.

Device Code Phishing — 340+ Microsoft 365-organisaties Gecompromitteerd

Een massale device code phishing-campagne richt zich op M365-identiteiten bij meer dan 340 organisaties in de VS, Canada, Australië, Nieuw-Zeeland en Duitsland. Maakt gebruik van Cloudflare Workers + Railway PaaS voor credential harvesting. Misbruikt de OAuth device authorization-flow om tokens te stelen die wachtwoordresets overleven. Getroffen sectoren: bouw, gezondheidszorg, juridisch, overheid, financiële dienstverlening.

Actieve Campagne Identiteit / OAuth Bron: The Hacker News
KENSAI Take

Duitsland staat expliciet vermeld als doelland. DACH-organisaties die M365 gebruiken moeten onmiddellijk OAuth device code-beleid auditen. Conditional Access-beleid moet de device code-flow blokkeren waar deze niet nodig is.

GlassWorm — Solana Blockchain als C2 Dead Drop

De GlassWorm-campagne gebruikt nu Solana blockchain-memo's als dead drop-resolvers voor C2-communicatie. Implementeert een Chrome-extensie vermomd als Google Docs Offline, die toetsaanslagen registreert, cookies/sessies dumpt, screenshots maakt en 728+ crypto-wallets target. Verspreidt zich via vergiftigde pakketten op npm, PyPI, GitHub en de VS Code-marketplace.

Nieuwe Techniek Blockchain C2 Bron: The Hacker News

AI-agents als Aanvalsoppervlak — "De Kill Chain is Achterhaald"

Beveiligingsonderzoekers waarschuwen dat AI-agents met systeemtoegang een fundamenteel nieuw dreigingsmodel vormen. In tegenstelling tot traditionele kill chains waarbij aanvallers stap voor stap toegang moeten verdienen, hebben gecompromitteerde AI-agents al permissies, toegang en legitieme redenen om door systemen te navigeren. PwC en SANS bevestigen beide dat AI de snelheid en schaal van aanvallen versnelt, waarbij identiteitsdiefstal evolueert tot een "cybercriminele toeleveringsketen". Gestolen premium AI-accounts zijn nu populaire handelswaar op underground-markten.

AI-dreigingen Opkomend Bronnen: THN, SecurityWeek
KENSAI Take

SecurityWeek publiceerde een artikel over agentic AI-governance met verwijzing naar OpenClaw. Het AI-als-dreigingsoppervlak-narratief is KENSAI's contentkans — we moeten dit gesprek beheersen in de DACH-markt.

📋 Beleid & Regelgeving

FCC Verbiedt in het Buitenland Gemaakte Consumentenrouters

De FCC heeft alle nieuwe consumentenrouters die buiten de VS zijn geproduceerd verboden, met verwijzing naar risico's voor de nationale veiligheid. In lijn met de bepaling van het Witte Huis dat alle in het buitenland geproduceerde routers onaanvaardbare dreigingen vormen. Grote gevolgen voor TP-Link, Huawei en andere buitenlandse fabrikanten.

Regelgeving Amerikaans Beleid Bron: SecurityWeek

Waarnemend Hoofd CISA: Shutdown Vergroot Cyberrisico's en Veroorzaakt Vertrek

De waarnemend directeur van CISA waarschuwde dat de aanhoudende dynamiek van de overheidssluiting de cyberbeveiligingsrisico's vergroot en problemen met personeelsbehoud veroorzaakt. De cyberbeveiligingshouding van de Amerikaanse overheid blijft verslechteren naarmate ervaren personeel vertrekt.

CISA Beleid Bron: The Record

UK NCSC: "Vibe Coding" Kan Beveiligingsrisico's Toevoegen aan de SaaS-industrie

Het Britse National Cyber Security Centre waarschuwde dat de "vibe coding"-trend — het gebruik van AI om volledige applicaties te genereren — de SaaS-industrie kan hervormen en tegelijkertijd aanzienlijke beveiligingsrisico's introduceert. Door AI gegenereerde code mist vaak goede inputvalidatie, authenticatiecontroles en veilige standaardinstellingen.

AI-risico UK NCSC Bron: The Record