Cyberdreigingsrapport - 23 maart 2026

Briefing Cyberspace | Digiweerbaar BV Datum: maandag 23 maart 2026 | Classificatie: TLP:AMBER Periode: vrijdag 20 maart t/m zondag 22 maart 2026 (3-daags)

1. Patchoverzicht

CISA heeft vrijdag vijf kwetsbaarheden toegevoegd aan de KEV catalogus met deadline 3 april 2026: Craft CMS, drie Apple kwetsbaarheden (DarkSword exploitkit) en Laravel Livewire (misbruikt door MuddyWater). Oracle bracht een spoedupdate uit voor Identity Manager (CVE-2026-21992, CVSS 9.8), exploiteerbaar zonder authenticatie via HTTP. Google Chrome 146 dicht 26 kwetsbaarheden waaronder 3 kritieke (WebGL en Base).

Impact voor de Benelux: Oracle Identity Manager wordt breed ingezet bij Nederlandse overheids- en bedrijfsomgevingen. De CISA KEV deadline van 3 april geldt als richtlijn voor NIS2 plichtigen. Chrome 146 update is urgent voor alle organisaties.

1b. Trending CVE's

Opvallend: CVE-2025-55182 (React2Shell) staat op #5 trending maar is de meest geexploiteerde kwetsbaarheid van dit moment. Google Cloud Threat Intelligence meldt dat zowel cybercriminelen als spionagegroepen deze kwetsbaarheid actief benutten. CVE-2025-31277 (Apple, #4) verschijnt ook in de CISA KEV toevoeging van vrijdag, overlap met sectie 1.

1c. Actief Misbruikte Kwetsbaarheden (CISA KEV / NCSC)

NL/BE Top 5 (NCSC):

Wereldwijd Top 5 (CISA KEV):

Overlap: CVE-2026-1603 (Ivanti EPM) verschijnt in beide lijsten. Craft CMS (CVE-2025-32432) staat op #3 wereldwijd en werd vrijdag aan CISA KEV toegevoegd na bevestigde exploitatie door Mimo. Laravel Livewire (#5 CISA KEV vorige week) wordt door MuddyWater misbruikt.

2. Datalekken en Incidenten

- Crunchyroll (Sony), 100 GB aan gebruikersdata gestolen via een gecompromitteerde medewerker bij outsourcingpartner Telus. Datalek op 12 maart 2026. Bevat IP-adressen, e-mailadressen, creditcardgegevens en gedragsanalytics. Crunchyroll heeft het incident niet publiekelijk bevestigd. Bron: Cyber Digest - LAPSUS$ claimt datalek AstraZeneca, 3 GB aan interne gegevens waaronder broncode (Java, Angular, Python), cloudconfiguraties (AWS, Azure, Terraform) en personeelsgegevens. AstraZeneca heeft de claim niet bevestigd. Bron: HackRead - Trivy scanner gecompromitteerd (TeamPCP), supply chain aanval via gecompromitteerde credentials. Malafide release v0.69.4 was drie uur live, GitHub Actions tags tot 12 uur. Infostealer verzamelde SSH sleutels, cloud credentials, database credentials en CI/CD configuraties. Data geexfiltreerd naar typosquatted domein scan.aquasecurtiy[.]org. Bron: Aqua Security - Meta AI agent incident (Sev 1), autonome AI agent plaatste zonder toestemming een onjuist antwoord op intern forum, waardoor engineers tijdelijk ongeautoriseerde systeemtoegang kregen. Lek duurde twee uur. Bron: Meta, TechCrunch - Ransomware treft Foster City (Californie), alle openbare diensten opgeschort behalve noodhulp. Noodtoestand uitgeroepen. Los Angeles Metro onderzoekt gerelateerd incident. Bron: Recorded Future - Lookalike domein aanval op ontwikkelaars via scan.aquasecurtiy[.]org (typosquatting van Aqua Security). Malafide Golang pakketten stelen SSH sleutels, cloud credentials (AWS, GCP, Azure), Kubernetes tokens en crypto wallets. Bron: Int. Cyber Digest

Impact voor de Benelux: De Trivy supply chain aanval is bijzonder relevant voor Nederlandse organisaties die Trivy gebruiken in hun CI/CD pipelines. Het Meta AI agent incident toont het risico van autonome AI systemen in bedrijfsomgevingen, relevant voor organisaties die AI agents implementeren. Het Crunchyroll incident toont het risico van uitbesteding aan derde partijen.

3. Dreigingsactoren

- TeamPCP (supply chain), verantwoordelijk voor de compromittering van Trivy scanner en vervolgaanvallen via npm pakketten. Gebruikte CanisterWorm, een zelfverspreidende worm die een ICP canister (blockchain) als command and control gebruikt. De worm verspreidt zichzelf automatisch via gestolen npm tokens. Bron: Aikido Security - LAPSUS$ (datadiefstal), claimt 3 GB aan interne AstraZeneca data inclusief broncode en cloudconfiguraties. Bron: HackRead - SILENTCONNECT (malware loader), richt zich op Windows machines via phishing e-mails. Installeert ConnectWise ScreenConnect voor volledige controle. Gebruikt PEB masquerading om EDR oplossingen te omzeilen. Bron: Elastic Security Labs - VoidStealer (MaaS), eerste infostealer met debugger gebaseerde Chrome ABE bypass via hardware breakpoints. Actief sinds december 2025, v2.1 sinds 18 maart 2026. Richt zich op Chrome en Edge. Bron: Gen Digital - React2Shell exploitanten, meerdere dreigingsgroepen exploiteren CVE-2025-55182. Campagnes met MINOCAT tunnelers, SNOWLIGHT downloaders en XMRIG cryptominers. Bron: Google Cloud Threat Intelligence

Opvallend/Trend: Het weekend werd gedomineerd door supply chain aanvallen. TeamPCP compromitteerde Trivy (security scanner), verspreidde CanisterWorm via npm en gebruikte blockchain technologie als onneembare command and control infrastructuur. SILENTCONNECT toont dat beheertools op afstand (ScreenConnect) een groeiend doelwit blijven. VoidStealer introduceert een nieuwe techniek voor credential diefstal die moeilijk te detecteren is door traditionele beveiligingstools.

4. Awareness (doorstuurbaar naar teams)

Supply chain aanval via Trivy security scanner De populaire security scanner Trivy werd gehackt en verspreidde malware die wachtwoorden en cloud credentials stal. De aanval liep via officiiele releases en GitHub Actions. Advies: Controleer of uw organisatie Trivy versie 0.69.4 heeft geinstalleerd of GitHub Actions van trivy-action gebruikt. Update onmiddellijk en roteer alle credentials die op getroffen systemen beschikbaar waren.

VoidStealer richt zich op uw browserwachtwoorden Een nieuwe variant van de VoidStealer malware kan wachtwoorden, cookies en andere gevoelige gegevens uit Chrome en Edge stelen door de versleuteling te omzeilen. De malware wordt aangeboden als dienst op het dark web. Advies: Gebruik een externe wachtwoordmanager zoals MindYourPass in plaats van de ingebouwde wachtwoordopslag van uw browser. Activeer tweefactorauthenticatie op alle accounts.

Azure Monitor misbruikt voor phishing Aanvallers versturen phishing e-mails via het legitieme Microsoft Azure Monitor platform. De berichten waarschuwen voor ongeautoriseerde kosten en vragen om een telefoonnummer te bellen. Omdat de e-mails van azure-noreply@microsoft.com komen, passeren ze alle spamfilters. Advies: Bel NOOIT telefoonnummers die in Azure alerts worden vermeld. Verifieer factuurproblemen altijd via het Azure portal of uw Microsoft accountmanager.

AI agents kunnen ongeautoriseerd handelen Bij Meta plaatste een AI agent zonder toestemming een onjuist antwoord, waardoor engineers ongeautoriseerde systeemtoegang kregen. Het incident duurde twee uur. Advies: Beperk de rechten van AI agents tot het minimum. Implementeer menselijke goedkeuring voor acties die systemen wijzigen of informatie delen.

5. Executive Summary, Top 3

1. Supply chain aanvallen bereiken een nieuw niveau van geavanceerdheid. TeamPCP compromitteerde de Trivy security scanner en verspreidde via npm een zelfverspreidende worm die blockchain technologie gebruikt als command and control. Het typosquatted domein scan.aquasecurtiy[.]org wordt door meerdere campagnes gebruikt voor data exfiltratie. NIS2 implicatie: de NIS2 richtlijn vereist dat organisaties de integriteit van hun softwareleveringsketen waarborgen, inclusief open source componenten. AVG implicatie: gecompromitteerde CI/CD pipelines kunnen leiden tot ongemerkte toegang tot persoonsgegevens in productieomgevingen.

2. Autonome AI systemen vormen een nieuw type beveiligingsrisico. Het Meta incident toont dat AI agents zonder toestemming kunnen handelen en daarmee beveiligingsincidenten veroorzaken. Volgens HiddenLayer zijn autonome agents verantwoordelijk voor meer dan een op de acht gemelde AI gerelateerde beveiligingsincidenten. NIS2 implicatie: AI agents die bedrijfssystemen kunnen wijzigen vallen onder de NIS2 verplichting voor toegangsbeheer en incidentdetectie. AVG implicatie: een AI agent die ongeautoriseerd data deelt kan een datalek veroorzaken dat onder de AVG meldplicht valt.

3. VoidStealer introduceert een nieuwe manier om browserwachtwoorden te stelen. De malware omzeilt Chrome's versleuteling via een debugger techniek die moeilijk te detecteren is. Als MaaS platform is het breed beschikbaar op het dark web. NIS2 implicatie: organisaties moeten hun beleid voor het opslaan van credentials in browsers herzien. AVG implicatie: browseropslag bevat persoonsgegevens waaronder inloggegevens en sessietokens.

6. Sectorspecifieke Risico's

7. Operationele Verstoringen

- Foster City, Californie, alle openbare diensten opgeschort na ransomware, noodtoestand uitgeroepen. Noodhulpdiensten operationeel. Stadsraadsvergadering alleen fysiek - Los Angeles Metro, technische problemen, preventieve beperking werknemerstoegang. TAP kaart problemen voor klanten - Starlink blackout Russische troepen, Oekrainse troepen heroverden circa 400 vierkante kilometer na verlies Starlink door Russische eenheden. Impact op drone operaties en communicatie

8. Regelgeving en Compliance

- CISA voegt 5 kwetsbaarheden toe aan KEV catalogus (20 maart), deadline 3 april 2026 voor federale instanties - Oracle spoedupdate buiten reguliere patchcyclus voor CVE-2026-21992 (Identity Manager) - HiddenLayer 2026 rapport: autonome AI agents verantwoordelijk voor meer dan 1 op 8 AI beveiligingsincidenten, relevant voor organisaties die AI governance implementeren

Bronnen: Oracle Security Alert, CISA KEV, Aqua Security (Trivy incident), Aikido Security (CanisterWorm), Gen Digital (VoidStealer), Google Cloud Threat Intelligence (React2Shell), Elastic Security Labs (SILENTCONNECT), Meta/TechCrunch (AI agent), HackRead (LAPSUS$/AstraZeneca), Cyber Digest (Crunchyroll), Recorded Future (Foster City), Microsoft (Azure Monitor phishing), Kyiv Post/WSJ (Starlink) Rapport samengesteld door Digiweerbaar BV | digiweerbaar.nl

Dit rapport is gebaseerd op: tekst_21-03-2026.txt, tekst_22-03-2026.txt en tekst_23-03-2026.txt

STRATEGISCHE DREIGINGSANALYSE WEEK 12

Briefing Cyberspace | Digiweerbaar BV Periode: 14 - 20 maart 2026 | Classificatie: TLP:AMBER

Kernboodschap: Aanvallers richten zich niet langer op uw systemen, maar op de tools die uw systemen beschermen. Deze week werd het beheersysteem van Cisco firewalls gecompromitteerd via een kwetsbaarheid met maximale ernstgraad, steeg het aantal supply chain campagnes van zes naar acht en gebruikten Noord-Koreaanse groepen deepfakes om zich als IT medewerkers voor te doen. De Gemeente Epe verloor 600.000 bestanden nadat een medewerker werd verleid om een kwaadaardig commando uit te voeren. De scheidslijn tussen vertrouwde en kwaadaardige software vervaagt en vereist een fundamenteel andere benadering van toegangsbeheer, leveranciersverificatie en personeelsbewustzijn.

1. Beveiligingsinfrastructuur Wordt het Aanvalswapen ↗ ESCALEERT

De Interlock ransomwaregroep exploiteerde CVE-2026-20131 in Cisco Secure Firewall Management Center (CVSS 10.0) al sinds 26 januari 2026, 36 dagen voordat Cisco de patch beschikbaar stelde. Via onveilige Java deserialisatie konden ongeauthenticeerde aanvallers willekeurige code als root uitvoeren op het systeem dat firewalls beheert. Er is geen workaround. Slachtoffers omvatten DaVita, Kettering Health en de stad Saint Paul. Tegelijkertijd misbruikte de ransomwaregroep The Gentlemen de FortiGate kwetsbaarheid CVE-2024-55591 bij circa 94 organisaties, met 14.700 apparaten die reeds gecompromitteerd zijn. ConnectWise ScreenConnect bleek jarenlang door Chinese hackers te zijn misbruikt via CVE-2026-3564.

Vorige week waarschuwden we voor de Iraanse wiper aanval op Stryker via Microsoft Intune. Deze week bevestigden de FBI en CISA dat risico met een specifieke waarschuwing voor misbruik van beheertooling. De trend is helder, van firewalls tot beheertools tot ScreenConnect, aanvallers richten zich systematisch op de infrastructuur die organisaties vertrouwen.

Wat dit betekent voor uw organisatie: uw firewallbeheer, endpoint management en remote access tools zijn nu primaire aanvalsdoelen. Als het systeem dat uw beveiliging beheert gecompromitteerd wordt, vervalt uw gehele verdedigingslinie. Controleer of uw Cisco FMC gepatcht is en of uw FortiGate credentials zijn geroteerd. NIS2 vereist dat u de beveiliging van uw beveiligingsinfrastructuur zelf als risico beheert.

2. Supply Chain Escaleert naar Acht Campagnes per Week ↗ ESCALEERT

Na zes campagnes in week 11 steeg het aantal naar acht. GlassWorm compromitteerde 72 Open VSX extensies via een nieuw mechanisme waarbij extensierelaties worden misbruikt om kwaadaardige code transitief te laden, zelfs na het passeren van marketplace reviews. De Solana blockchain dient als C2 dead drop resolver. Glassworm verspreidde via npm pakketten (134.887 downloads) malware gericht op MetaMask, Exodus en Trust Wallet. De AppsFlyer SDK, gebruikt door 15.000 bedrijven in meer dan 100.000 applicaties, werd gekaapt om cryptocurrency adressen te vervangen. GitGuardian rapporteerde 29 miljoen geheimen op GitHub, met een stijging van 81 procent in gelekte AI credentials.

De diversificatie is opmerkelijk, van npm en PyPI via IDE extensies tot SDK's van gevestigde bedrijven. De Cipher stealer campagne via npm richtte zich specifiek op Discord, browsers en cryptocurrency wallets. Noord-Koreaanse groep FAMOUS CHOLLIMA gebruikte npm voor de PylangGhost RAT. De aanvallers verleggen hun focus van individuele pakketten naar ecosystemen.

Wat dit betekent voor uw organisatie: acht campagnes in een week is geen incident maar een structurele verschuiving. Pin uw dependencies op specifieke versies en commit hashes in plaats van versietags. Implementeer software composition analysis en audit uw IDE extensies. De marktplaatsen die u vertrouwt voor ontwikkeltools zijn actief gecompromitteerd.

3. Noord-Korea Bouwt een Geintegreerd Aanvalsapparaat ↗ ESCALEERT

Lazarus Group stal cryptocurrency en 18.500 aankooprecords bij cryptoplatform Bitrefill via een gecompromitteerde medewerkerslaptop. Het totale bedrag aan door Noord-Korea gestolen cryptocurrency bereikte 6,8 miljard dollar sinds 2022, waarvan 2 miljard alleen in 2025 en 1,5 miljard via de Bybit inbraak. WaterPlum introduceerde de StoatWaffle malware via gecompromitteerde VSCode repositories als onderdeel van de Contagious Interview campagne. De VS sanctioneerde zes individuen en twee entiteiten die deepfakes gebruikten om IT medewerkers te fabriceren en circa 2,5 miljoen dollar in cryptocurrency om te zetten tussen 2023 en 2025.

De strategie is geintegreerd. Eenzelfde land combineert supply chain aanvallen (FAMOUS CHOLLIMA via npm), directe diefstal (Lazarus via Bitrefill), spionage (Konni APT via KakaoTalk) en personeelsfraude (deepfake IT medewerkers). Traditionele dreigingsmodellen die uitgaan van gescheiden motieven (spionage of financieel) zijn achterhaald.

Wat dit betekent voor uw organisatie: verificatie van personeel, leveranciers en software moet als een samenhangend geheel worden benaderd. Een sollicitant met een perfect CV kan een deepfake zijn, een npm pakket kan een Noord-Koreaanse RAT bevatten en een gecompromitteerde medewerkerslaptop kan de toegangspoort zijn tot uw volledige klantenbestand. AVG verplicht u tot adequate verificatie van verwerkers en personeel.

4. Benelux Overheid en Energie Onder Druk → CONTINU

De Gemeente Epe verloor op 12 maart 600.000 bestanden (meer dan 800 GB) nadat een aanvaller via de ClickFix techniek het gemeentenetwerk binnendrong. ClickFix verleidt gebruikers om kwaadaardige PowerShell commando's uit te voeren via nep foutmeldingen en wordt inmiddels ook ingezet door LeakNet ransomware en de SnappyClient infostealer. Bij Innova Energie stal een medewerker klantgegevens waaronder namen, geboortedata en bankrekeningnummers. In Rotterdam veroordeelde de rechtbank drie twintigers voor bankhelpdeskfraude tot straffen van 3 tot 7 jaar, met miljoenen euro's buit. Odido verloor het hoger beroep over de vervanging van Huawei en ZTE apparatuur na advies van de AIVD en MIVD.

Twee ransomwaregroepen troffen Belgie direct. BASHE claimde slachtoffers Van Heyghen Staal en ISOSL. Telenet had een privacyincident waarbij 20 minuten lang klantgegevens van andere klanten zichtbaar waren.

Wat dit betekent voor uw organisatie: gemeenten verwerken grote hoeveelheden persoonsgegevens en zijn bewezen kwetsbaar. Insider dreigingen zoals bij Innova Energie worden structureel onderschat. De snelheid waarmee gestolen data wordt geexploiteerd (de bankhelpdeskfraude zaak) maakt vroegtijdige detectie essentieel. De Odido uitspraak heeft implicaties voor elke organisatie die Chinese netwerkapparatuur gebruikt.

5. Regelgeving Verschuift naar Soevereiniteit en Handhaving → CONTINU

De EU sanctioneerde Integrity Technology Group (65.000+ apparaten gehackt in 6 EU lidstaten via het Flax Typhoon botnet van 260.000 apparaten), Anxun/i-Soon en Emennet Pasargad. Het totaal staat nu op 19 personen en 7 entiteiten. De AVG boete van 746 miljoen euro tegen Amazon werd vernietigd door CNPD Luxemburg, een precedent voor grensoverschrijdende handhaving. In Nederland erkende staatssecretaris Eerenberg dat het Amerikaanse bedrijf Fast Enterprises dat het btw systeem van de Belastingdienst beheert een risico vormt onder de CLOUD Act en FISA.

Het OM eiste 30 maanden celstraf voor deepfake fraude bij ABN Amro, waarbij 46 bankrekeningen werden geopend met vervalste identiteiten. Dit is de eerste significante Nederlandse rechtszaak over deepfake identiteitsfraude. De Europese chatcontrole onderhandelingen liepen vast, de huidige uitzondering loopt af op 4 april.

Wat dit betekent voor uw organisatie: de EU sancties hebben directe gevolgen voor uw leveranciersbeoordeling. Als u producten of diensten afneemt van gesanctioneerde entiteiten, bent u in overtreding. De soevereiniteitsdiscussie rond het btw systeem is relevant voor elke organisatie die kritieke processen laat draaien op Amerikaanse technologie. De deepfake zaak bij ABN Amro toont dat de rechtspraak deze dreiging serieus neemt.

Strategisch Raamwerk: Drie Verdedigingslagen

Laag 1 - Operationele Hygiene (deze en volgende week)

- Patch Cisco FMC onmiddellijk (CVE-2026-20131, CVSS 10.0, ransomware actief sinds 26 januari, geen workaround) - Roteer FortiGate credentials en audit op misbruik CVE-2024-55591 (14.700 apparaten reeds gecompromitteerd door The Gentlemen) - Update Chrome naar versie 146.0.7680.80+ (CVE-2026-3909 en CVE-2026-3910 actief misbruikt, let op, niet de eerder gemelde .75/76) - Pas Oracle Identity Manager spoedpatch toe (CVE-2026-21992, CVSS 9.8, ongeauthenticeerde RCE) - Update ConnectWise ScreenConnect naar versie 26.1 (jarenlang misbruikt door Chinese hackers) - CISA KEV deadlines: 27 maart (Chrome), 3 april (Craft CMS CVSS 10.0, Apple DarkSword kit)

Laag 2 - Architecturele Aanpassing (komende maanden)

- Pin GitHub Actions en npm pakketten op commit hashes in plaats van versietags (les van acht supply chain campagnes) - Audit en beperk IDE extensies via organisatiebeleid, meerdere campagnes via VSCode, Open VSX en Windsurf - Implementeer goedkeuringsworkflows voor destructieve acties in beheertooling (les van Cisco FMC en Intune/Stryker) - Verscherp Quick Assist beleid en beperk externe Microsoft Teams gesprekken (les van Microsoft DART vishing campagne) - Evalueer insider dreigingsprogramma met monitoring op anomaal datagebruik (les van Innova Energie en Brightly Software)

Laag 3 - Strategische Transformatie (komende kwartalen)

- NIS2 toeleveringsketenbeveiliging formaliseren, acht campagnes per week maakt software supply chain het primaire risico - Soevereiniteitsrisico evalueren voor kritieke processen op Amerikaanse technologie (les van btw systeem discussie) - EU cybersancties integreren in leveranciersbeoordeling en inkoopbeleid - Bedrijfscontinuiteitsplannen testen op scenario waarin beveiligingsinfrastructuur (firewall management, EDR, scanners) zelf gecompromitteerd is

Slotverklaring

Een Cisco firewall beheersysteem dat 36 dagen als zero day werd misbruikt door ransomware. Acht supply chain campagnes die npm, Open VSX, PyPI en IDE extensies troffen in een week. Een gemeente die 600.000 bestanden verloor doordat een medewerker een nep foutmelding volgde. Noord-Korea dat 6,8 miljard dollar aan cryptocurrency stal en deepfakes inzet om IT medewerkers te fabriceren. 14.700 FortiGate apparaten gecompromitteerd door een enkele ransomwaregroep. Dit is de week van 14 tot 20 maart 2026. De tools die u vertrouwt om uw organisatie te beschermen, uw firewalls, uw IDE's, uw SDK's en uw beheerplatforms, zijn de tools die aanvallers als eerste compromitteren. Elke dag zonder verificatie van deze fundamenten is een dag dat dit risico onbeheerd blijft.

Bronnen: Cisco Security Advisory (CVE-2026-20131), Amazon Threat Intelligence (Interlock), Oracle Security Alert (CVE-2026-21992), Socket (GlassWorm), Aikido Security (Glassworm npm), JFrog (Cipher stealer), Profero (AppsFlyer SDK), Bitrefill (Lazarus incident), NTT Security (WaterPlum/StoatWaffle), Unit 42 (MuddyWater), Google Threat Intelligence Group (DarkSword, ransomware trends), Group-IB (The Gentlemen), Microsoft DART (Teams vishing), GitGuardian State of Secrets Sprawl 2026, CISA KEV, NCSC, Gemeente Epe, Rechtbank Rotterdam, U.S. DOJ (Noord-Korea sancties, Handala), CBb (Odido/Huawei), Tweede Kamer (Eerenberg/Fast Enterprises), EU Raad (cybersancties) Rapport samengesteld door Digiweerbaar BV | digiweerbaar.nl