Redactie - 26 augustus 2025

Ransomware-aanvallen op Seabridge en Fluxys

De digitale wereld werd op 21 augustus 2025 geconfronteerd met verschillende significante cyberincidenten. Van ransomware-aanvallen op logistieke bedrijven tot kwetsbaarheden in software die snel moesten worden gepatcht, gisteren was een dag vol activiteiten. In dit overzicht worden de belangrijkste gebeurtenissen van de dag behandeld, ingedeeld in vier hoofdthema's: Slachtoffers van cyberaanvallen, Kwetsbaarheden in systemen, Dreigingen in cyberspace en Geopolitieke ontwikkelingen in cyberspace. Dit schrijf Peter Lahousse (foto) in deze blog.

Ransomware-aanvallen op Seabridge en Fluxys image

Seabridge en Fluxys getroffen door cyberaanvallen: de gevolgen voor België

Op 21 augustus 2025 werd het Belgische logistieke bedrijf Seabridge getroffen door een ransomwareaanval uitgevoerd door de Qilin-groep. Seabridge, dat zich richt op de import van groene koffie naar Europa en bekendstaat om zijn ecologische normen, werd zwaar verstoord door de aanval. De aanval vond plaats op 19 augustus 2025, maar werd pas later ontdekt. Hoewel de specifieke schade nog niet volledig bekend is, heeft de aanval aanzienlijke gevolgen voor de bedrijfsvoering van Seabridge.

Naast Seabridge werd de Belgische gasnetbeheerder Fluxys het doelwit van een DDoS-aanval door de hacker-groep Z-ALLIANCE. Deze aanval leidde tot tijdelijke onbereikbaarheid van de website van Fluxys, die verantwoordelijk is voor het transporteren van gas in België. DDoS-aanvallen zoals deze kunnen het functioneren van vitale infrastructuren verstoren door enorme hoeveelheden verkeer naar een website of netwerk te sturen, waardoor deze tijdelijk niet toegankelijk zijn.

Daarnaast werden verschillende Belgische gemeentelijke websites het doelwit van een DDoS-aanval door de hacker-groep NoName. De aanvallen richtten zich op de gemeenten Waimes, Burg-Reuland, Kelmis en de provincies Luik, Oost-Vlaanderen en Vlaams-Brabant. De websites van deze gemeenten waren tijdelijk niet bereikbaar, wat de toegang voor burgers tot belangrijke overheidsdiensten bemoeilijkte.

Zero-day kwetsbaarheid in Apple-software en kwetsbaarheden in Apache Tika en Directus: beveiligingswaarschuwing

Een van de belangrijkste meldingen van gisteren was de ontdekking van een kritieke zero-day kwetsbaarheid in Apple-software, aangeduid als CVE-2025-43300. De kwetsbaarheid, die betrekking heeft op het Image I/O-framework, werd in gerichte aanvallen misbruikt om geheugenbeschadiging of remote code execution te veroorzaken. Apple heeft spoedupdates uitgebracht voor iOS, iPadOS en macOS om deze kwetsbaarheid te verhelpen. Gebruikers van deze systemen wordt dringend aangeraden om de updates onmiddellijk te installeren om zich te beschermen tegen mogelijke aanvallen.

In een andere belangrijke ontdekking werd een ernstige kwetsbaarheid in Apache Tika, een veelgebruikte toolkit voor het extraheren van metadata uit documenten, aan het licht gebracht. Deze kwetsbaarheid, aangeduid als CVE-2025-54988, maakt gebruik van een techniek die bekendstaat als XXE-injectie (XML External Entity Injection). Dit stelt aanvallers in staat toegang te krijgen tot gevoelige gegevens via zorgvuldig gemanipuleerde PDF-bestanden. Bedrijven die Tika gebruiken voor documentverwerking, moeten onmiddellijk de nieuwste versie van de PDF-parser installeren om deze kwetsbaarheid te verhelpen.

Een andere kritiek kwetsbaarheid werd ontdekt in Directus, een platform voor het beheren van SQL-database-inhoud. De kwetsbaarheid (CVE-2025-55746) maakt het mogelijk voor aanvallers om bestanden te wijzigen of nieuwe bestanden toe te voegen zonder dat dit zichtbaar is voor de gebruiker. Dit kan ernstige gevolgen hebben voor de integriteit van bedrijfsgegevens. Organisaties in België en Nederland die gebruikmaken van Directus moeten snel de nieuwste versie van het platform installeren om zichzelf te beschermen tegen deze kwetsbaarheid.

Dreigingen in opkomst: SHAMOS-malware, ClickFix-aanvallen en ManualFinder Trojan vormen gevaar voor bedrijven

De dreiging van geavanceerde malware blijft toenemen, zoals blijkt uit de ontdekking van de SHAMOS-malwarecampagne. Deze campagne, gericht op macOS-gebruikers, verspreidt de SHAMOS-malware via valse helpwebsites die zich voordoen als legitieme ondersteuningsbronnen. Slachtoffers worden verleid om schadelijke opdrachten uit te voeren, waardoor de malware zich installeert en gevoelige gegevens, zoals wachtwoorden en cryptocurrency-walletbestanden, steelt. Aangezien de malwarecampagne wereldwijd actief is, kunnen ook gebruikers in België en Nederland getroffen worden.

Daarnaast was er een toename van social engineering-aanvallen, waaronder de ClickFix-aanvalstechniek. Bij deze techniek worden gebruikers misleid om schadelijke opdrachten uit te voeren op hun apparaten, zoals het invoeren van kwaadaardige commando's via de Windows Run-dialoog of PowerShell. Deze techniek kan leiden tot de installatie van infostealers of remote access tools op het slachtofferapparaat. Belgische en Nederlandse bedrijven moeten hun medewerkers bewust maken van deze dreiging en passende beveiligingsmaatregelen implementeren om zich tegen dergelijke aanvallen te beschermen.

Een andere zorgwekkende dreiging is de ManualFinder Trojan, die als een legitieme PDF-editor wordt vermomd. Deze malware bevat een zogenaamde EDR-killer, die endpoint-detectie- en responssoftware omzeilt. ManualFinder zet geïnfecteerde apparaten om in residentiële proxies en kan cryptomining en andere kwaadaardige activiteiten uitvoeren. De Trojan bevat ook functies zoals keyloggers en code-injectie, wat de dreiging van deze malware aanzienlijk vergroot. Bedrijven en gebruikers in België en Nederland moeten extra voorzichtig zijn bij het installeren van verdachte software.

Hackers en oplichters versterken cyberspanningen: Russische cyberaanvallen en nepbeloningen door Europol

Op geopolitiek vlak waren er enkele belangrijke incidenten die de spanningen in cyberspace verder aanwakkerden. De Russische hacker-groepen Killnet en Palach Pro zouden verantwoordelijk zijn voor het hacken van de Oekraïense Generaal Staf. De hackers zouden grote hoeveelheden gevoelige gegevens hebben gestolen, waaronder persoonlijke informatie van vermiste of overleden soldaten en informatie over buitenlandse wapenleveringen. Hoewel de Oekraïense regering de beweringen van de hackers ontkent, heeft dit incident veel aandacht getrokken vanwege de geopolitieke implicaties van de gelekte informatie.

Verder werd Europol geconfronteerd met een misleiding in cyberspace. Een Telegram-kanaal, @europolcti, had zich voorgedaan als een officieel kanaal van Europol en beweerde een beloning van $50.000 aan te bieden voor informatie over de Qilin-ransomwaregroep. Europol bevestigde echter dat deze informatie nep was. Het kanaal was opgezet door oplichters om onderzoekers en journalisten te misleiden. Dit incident benadrukt de groeiende dreiging van desinformatie in cyberspace en de noodzaak voor organisaties om waakzaam te blijven voor dergelijke manipulaties.

Afsluiting

De digitale dreigingen van gisteren benadrukken de noodzaak van voortdurende waakzaamheid in cyberspace. Van ransomware-aanvallen tot geavanceerde malwarecampagnes en de blootstelling van kritieke kwetsbaarheden, de risico’s voor bedrijven en consumenten blijven groot. Geopolitieke spanningen dragen ook bij aan de complexiteit van de dreigingen, aangezien statelijke actoren betrokken raken bij cyberaanvallen en informatieoorlogen. Het is van essentieel belang voor zowel organisaties als individuen om proactieve beveiligingsmaatregelen te nemen en op de hoogte te blijven van de laatste dreigingen.

Door: Peter Lahousse

Netsec banners BN + BW
Cybersecnl2025 18/08/2025 t/m 01/09/2025 BN + BW