Tag genAI

Rapporten en trends in AI en criminaliteit 2024-2025          

jjoerlemans

In de afgelopen twee jaar zijn diverse rapporten verschenen van Europol (iOCTA (2024, 2025), SOCTA 2025, AI and Policing), de Politie (over AI en fraude), samen met het Openbaar Ministerie (eerste jaarbeeld), de UNODC (rapport), de AIVD (over AI en cybersecurity), het NCSC NL (o.a. het Cybersecuritybeeld Nederland 2025) en NCSC UK (onderdeel van GHCQ) over de invloed van AI op (cyber)criminaliteit en cybersecurity.

Het valt mij in de rapporten op dat op basis van incidenten soms grote conclusies worden getrokken. Toch is het belangrijk om de gesignaleerde trends op een rij te zetten. In deze blog vat ik daarom een aantal van die ontwikkelingen samen. De vijf trends heb ik zelf geselecteerd. Na het lezen heb ik voor deze tekst gebruik gemaakt van Copilot Researcher en Notebook LM. Een automatisch gegenereerde podcast is hieronder te beluisteren.

1.    Verlagen van drempels voor criminaliteit en de versterking van cyberaanvallen

Criminelen zetten AI in om cyberaanvallen sneller, groter en effectiever te maken. Het Britse National Cyber Security Centre (NCSC), onderdeel van GCHQ, waarschuwde in 2024 dat AI de omvang en impact van cyberaanvallen vrijwel zeker zal vergroten in de nabije toekomst. Dit komt doordat AI de benodigde technische kennis verlaagt en aanvallen automatiseert. Zie ook de tabel op The near-term impact of AI on the cyber threat – NCSC.GOV.UK.

Door generatieve AI kunnen ook onervaren of minder technisch onderlegde daders geavanceerde aanvallen uitvoeren. AI-modellen genereren bijvoorbeeld phishing-teksten en malwarecode waardoor de drempel voor nieuwe cybercriminelen daalt. Fraude en kindermisbruik worden vaak expliciet genoemd als domeinen die “bijzonder waarschijnlijk” door AI-gebruik zullen intensiveren. Europol signaleerde al in 2020 dat AI kan worden ingezet voor slimme wachtwoordkrakers, CAPTCHA-bots en gerichte social-engineeringaanvallen. Deze voorspellingen zien we nu werkelijkheid worden, met steeds geavanceerdere phishingaanvallen en door AI gegenereerde malware.

Daarnaast ontstaan illegale diensten waarbij cybercriminelen generatieve AI als betaalde dienst aanbieden. Volgens NCSC UK, de Organised Crime Agency (NCA) en Europol ontwikkelen kwaadwillenden eigen AI-tools en verkopen zij ‘GenAI-as-a-service’. Deze trend sluit aan bij de eerder gesignaleerde “vermarkting” van cybercrime-tools (zoals ransomware-as-a-service) in Europol-rapporten. Ook het UNODC-rapport uit 2024 signaleert dit fenomeen voor fraude en oplichting.

De beschikbaarheid van dergelijke tools, ook in kwaadaardige varianten op het dark web zonder ‘guardrails’, verlaagt de drempel voor cyberactoren zonder diepgaande technische vaardigheden. Criminelen gebruiken LLM’s om scripts te ontwikkelen voor phishingmails of websites voor gegevensdiefstal. Het groeiende ‘phishing-as-a-service’-aanbod weerspiegelt de automatisering van deze aanvalsvector.

2.    Georganiseerde criminaliteit en AI

Veel van bovenstaande ontwikkelingen komen samen in de georganiseerde misdaad. Het SOCTA-rapport 2025 stelt dat criminelen AI als “onderdeel van hun gereedschapskist” beginnen te gebruiken. Klassieke activiteiten zoals drugshandel convergeren met cybercriminaliteit. Grote criminele groepen investeren in online fraude en datadiefstal naast hun traditionele handel. Zie eerder ook deze samenvatting van het SOCTA-rapport

Europol signaleert ook vermenging met statelijke actoren. Criminele netwerken kunnen gegevens stelen voor staten door in te breken in beveiligde systemen. Deze informatie kan worden gebruikt voor spionage, economische voordelen of chantage. Daarnaast spelen deze netwerken een sleutelrol in desinformatiecampagnes, waarbij nepaccounts, trollen en gemanipuleerde nieuwscontent worden ingezet om democratische instellingen te ondermijnen.

Criminele organisaties misbruiken corruptie om vervolging te vermijden, onder meer door het omkopen van politie en justitie. Digitale trends versterken dit fenomeen: corrupte contacten worden online geworven, betalingen verlopen via cryptovaluta, en personen met toegang tot digitale systemen zijn belangrijke doelwitten. Netwerken gebruiken versleutelde communicatieplatforms zoals EncroChat en Sky ECC, maar ook reguliere apps om te rekruteren, handelen en betalingen te regelen.

Geweld wordt steeds vaker als dienst aangeboden (‘violence-as-a-service’), gefaciliteerd door online platforms en versleutelde communicatie. Jongeren worden actief gerekruteerd voor cyberaanvallen, drugshandel en als geldezel, vaak via sociale media en met verleidelijke tactieken zoals gamificatie. Technologie speelt ook een rol in traditionele misdrijven: online werving voor mensenhandel, wapensmokkel en illegale streamingdiensten. AI en 3D-printing vergroten de toegang tot vuurwapens en maken productie van vervalste medicijnen mogelijk. Digitale piraterij en online verkoop van illegale geneesmiddelen blijven groeien, ondersteund door anonimiserings- en cryptotechnieken.

Ook de UNODC signaleert hoe online gokken, grootschalige oplichting en witwassen van cryptocurrencies samenkomen in één ecosysteem, aangejaagd door AI-tools. Dit leidt tot een “criminele dienstverleningseconomie”, waarin phishingkits, valse documenten en AI-gegenereerde propaganda worden verhandeld. De VN noemt Zuidoost-Azië een proeftuin voor AI-gedreven criminaliteit. Scam-centra rekruteren jonge mensen onder valse voorwendselen en dwingen hen om samen met AI-systemen slachtoffers op te lichten. AI automatiseert een groot deel van het werk, terwijl mensen geloofwaardige interacties onderhouden.

Ook de AIVD constateerde in 2024 (‘Versterkte dreigingen in een wereld vol kunstmatige intelligentie’ .pdf) dat AI door iedereen kan worden gebruikt voor het maken van malware en phishingberichten, wat de dreiging door niet-statelijke actoren vergroot. Het SOCTA-rapport noemt ook hoe criminele organisaties door staten worden ingezet voor sabotage van kritieke infrastructuur, informatiediefstal en cyberaanvallen. Een van de belangrijkste manieren waarop zij bijdragen, is via ransomware-aanvallen op kritieke infrastructuur, bedrijven en overheidsinstanties. Deze aanvallen genereren niet alleen financiële inkomsten – vaak via cryptovaluta – maar dienen ook om tegenstanders te ontwrichten door essentiële diensten lam te leggen, chaos te creëren en het vertrouwen van het publiek te ondermijnen.

Een concreet voorbeeld is de cyberaanval op de Nationale Politie in september 2024 door de waarschijnlijk staatsgesteunde Russische groep LAUNDRY BEAR (zie deze advisory report .pdf).

LAUNDRY BEAR richt zich, net als andere Russische cyberdreigingsactoren, voornamelijk op landen die lid zijn van de EU of NAVO. De groep valt vooral organisaties aan die relevant zijn voor de Russische oorlogsinspanningen in Oekraïne, zoals defensieministeries, krijgsmachtonderdelen, defensiebedrijven en EU-instellingen. Ook ministeries van Buitenlandse Zaken en andere overheidsorganisaties behoren tot de doelwitten. Naast Europa zijn er aanvallen waargenomen in Oost- en Centraal-Azië. In 2024 voerde LAUNDRY BEAR aanvallen uit op defensiecontractanten, luchtvaartbedrijven en hightech ondernemingen, waarschijnlijk om gevoelige informatie te verkrijgen over wapenproductie en leveringen aan Oekraïne. De groep lijkt kennis te hebben van militaire productieprocessen en probeert technologieën te bemachtigen die door sancties moeilijk toegankelijk zijn.

Naast militaire en overheidsdoelen richt LAUNDRY BEAR zich ook op civiele organisaties en commerciële bedrijven, vooral in de IT- en digitale dienstensector. Deze netwerken bieden vaak indirecte toegang tot overheidsinformatie, waardoor ze aantrekkelijk zijn voor spionage. Verder zijn aanvallen vastgesteld op NGO’s, politieke partijen, media, onderwijsinstellingen en kritieke infrastructuur, vrijwel zeker met spionagedoeleinden. In vergelijking met andere Russische actoren heeft LAUNDRY BEAR een hoge succesgraad. De meest getroffen sectoren zijn: overheidsorganisaties, defensie en defensiecontractanten, IT- en digitale diensten, sociale en culturele organisaties, onderwijs en kritieke infrastructuur.

3.    AI in fraude en oplichting

Criminelen misbruiken deepfakevideo’s, -audio en -afbeeldingen om vertrouwen te winnen of druk uit te oefenen. Europol waarschuwde in 2022 dat deepfakes een “standaardtool voor georganiseerde misdaad” dreigen te worden. Voorbeelden zijn CEO-fraude (waarbij een vervalste stem of video van een leidinggevende ondergeschikten instrueert geld over te maken), vervalsing van bewijs en productie van niet-consensueel seksueel materiaal.

LLM’s versnellen aanvalsvoorbereiding door automatisch grote hoeveelheden informatie over doelwitten te verzamelen. Ze genereren foutloze phishingmails in meerdere talen en imiteren schrijfstijlen, wat spearphishing veel geloofwaardiger maakt.

Een concrete toepassing is het creëren van synthetische identiteiten met AI. Criminelen gebruiken AI-gegenereerde gezichten en stemmen om zich voor te doen als betrouwbare derden – bijvoorbeeld als helpdeskmedewerker, bankmedewerker of bekende van het slachtoffer. Voice cloning (het klonen van stemmen) is dermate geavanceerd dat in enkele gevallen in 2023–2024 bedrijfsmedewerkers zijn opgelicht door een telefoontje dat klonk als hun directeur, waarin om een spoedoverboeking werd gevraagd. Uit het UNODC-rapport blijkt ook dat ze geloofwaardige valse identiteitsdocumenten of profielfoto’s genereren om verificaties te omzeilen. Dit omvat bijvoorbeeld AI-gedreven ‘identity masking’, waarbij online profileren automatisch worden gerouleerd, deepfake-video’s worden gebruikt tijdens illegale transacties, of het foppen van biometrische toegangscontroles.

Dankzij AI kunnen fraudeurs hun aanpak beter afstemmen op hun doelwitten. Tools kunnen enorme datasets doorzoeken (OSINT) en patronen herkennen om bijvoorbeeld overtuigende persoonlijke babbels of op maat gemaakte phishing-mails te genereren. De Nederlandse politie verwacht dat social engineering-aanvallen de komende jaren verder verfijnd en grootschaliger worden door AI. In het Fenomeenbeeld Online Fraude 2024 wordt expliciet vermeld dat de trend van steeds gerichtere benadering van slachtoffers “vermoedelijk zal versnellen onder invloed van kunstmatige intelligentie”.

Uit een andere analyse van het United Nations Office on Drugs and Crime (UNODC 2024) blijkt dat criminele fraudenetwerken in Zuidoost-Azië op grote schaal AI inzetten om slachtoffers wereldwijd te bereiken. De onderzoekers zagen een stijging van meer dan 600% van deepfake-content op criminele fora in de eerste helft van 2024 vergeleken met eerdere periodes. Zij combineren bijvoorbeeld gescripte chatbots met deepfake-profielen om geloofwaardige gesprekken te voeren in meerdere talen.

4.    AI en seksuele uitbuiting

Een van de meest verontrustende ontwikkelingen sinds 2023 is het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen (ook wel: materiaal van seksueel misbruik van kinderen (CSAM).

Sinds 2023 neemt het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen sterk toe. Politie en opsporingsinstanties zien een duidelijke stijging van AI-gegenereerde afbeeldingen en video’s van kindermisbruik. In Nederland meldde de politie in 2024 dat dit materiaal “steeds vaker opduikt” in onderzoeken. Rechercheurs besteden veel tijd aan het vaststellen of een afbeelding echt is of door AI is gemaakt, wat capaciteit wegneemt van het bestrijden van daadwerkelijk misbruik.

Europol bevestigt deze trend in het iOCTA-rapport 2024: volledig synthetische of door AI gemanipuleerde CSAM vormt een opkomende dreiging.

iOCTA rapport van 2024 op Europees niveau: volledig synthetische of door AI gemanipuleerde CSAM komt steeds vaker voor. ‘Operation Cumberland’ illustreert dit: wereldwijd werden ~270 kopers geïdentificeerd en diverse arrestaties verricht. De Nederlandse politie voerde met vier geïdentificeerde kopers waarschuwingsgesprekken om herhaling te voorkomen.

Nederlandse en internationale politiediensten maken daarbij geen onderscheid in echte of met AI gegenereerde CSAM.  Dit is niet alleen omdat de impact (normalisering van misbruikfantasieën) ernstig is, maar ook omdat voor de training van zulke AI vaak echte misbruikbeelden worden gebruikt.

5.    Prompt injection attacks

De NCSC UK legt uit dat ‘prompt injection’ een relatief nieuwe kwetsbaarheid is in generatieve AI-toepassingen (ontstaan in 2022). Het treedt op wanneer ontwikkelaars eigen instructies combineren met onbetrouwbare inhoud in één prompt en aannemen dat er een duidelijke scheiding bestaat tussen ‘wat de app vraagt’ en externe data.

In werkelijkheid maken LLM’s geen onderscheid tussen data en instructies; ze voorspellen simpelweg het volgende token. Hierdoor kan een aanvaller via indirecte prompt injection – bijvoorbeeld door verborgen tekst in een CV – het model ongewenste acties laten uitvoeren. Dit maakt prompt injection fundamenteel anders dan klassieke kwetsbaarheden zoals SQL-injectie, waarbij mitigaties zoals parameterized queries effectief zijn.

De NCSC adviseert om prompt injection niet te zien als code-injectie, maar als exploitatie van een ‘inherently confusable deputy’. Ontwikkelaars moeten systemen zo ontwerpen dat ze geen privileges blindelings doorgeven aan LLM’s. Dit betekent: toegang tot gevoelige tools beperken, deterministische beveiligingslagen toepassen en invoer, uitvoer en mislukte API-calls monitoren. Volledige preventie lijkt onhaalbaar, maar het verkleinen van kans en impact is essentieel. Zonder maatregelen dreigt prompt injection dezelfde golf van incidenten te veroorzaken als SQL-injectie in het verleden.

Cybersecuritybeeld Nederland 2025

jjoerlemans

Bron: infographic gegenereerd met Notebook LM op basis van de samenvatting

Op 26 november 2025 is het Cybersecuritybeeld Nederland 2025 (CSBN 2025 .pdf) gepubliceerd. Deze blog bevat een samenvatting van het rapport, waarbij gebruik is gemaakt van Notebook LM.

Het CSBN 2025 is uitgebracht onder de titel “Riskante mix in een onvoorspelbare wereld”. Dit wordt in het rapport meteen aan het begin als volgt verduidelijkt door erop te wijzen dat er Nederland meerdere organisaties doelwit waren van de Chinese statelijke actor Salt Typhoon, de Russische actor Laundry Bear een cyberaanval uitvoer op de Nationale Politie, Noord-Koreaanse hackers digitale valuta buitmaakten bij (onder andere) Nederlandse organisaties en werd Nederland voor het eerst slachtoffer werd van cybersabotage door een Russische staatsgesteunde groepering.

Alhoewel incidenten in Nederland niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie, aldus het CSBN.

De toon is gezet!

Voorbeelden van nationale cybersecurity-incidenten

Ik bespreek eerst de cyberaanvallen op de Politie en het OM uit p. 18-23 van het rapport. Daarbij valt op dat er nog steeds relatief weinig informatie wordt gegeven. Daarom heb ik dat zelf maar antwoorden op Kamervragen erbij gezocht.

Had het CSBN de cybersecurity-incidenten bij de Politie en het OM niet centraal moeten zetten in plaats van aanvallen op de telecomsector? En waarom zijn er geen Kamervragen gesteld over het bericht over cybersabotage in Nederland? De begeleidende Kamerbrief bij het rapport bevat met name een opsomming van geplande wet- en regelgeving (deels ter implementatie van EU richtlijnen).

Politie

Eind september 2024 werd de politie slachtoffer van een hack waarbij contactgegevens van politiemedewerkers zijn buitgemaakt. Hierbij verkregen hackers toegang tot de gegevens van alle politiemedewerkers via de global address list en in sommige gevallen werden ook privégegevens buitgemaakt.

In antwoord op Kamervragen over het bericht “Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar” gaf de Minister van Justitie en Veiligheid aan de politie over de hack werd geïnformeerd door de inlichtingen- en veiligheidsdiensten. Daarop werden maatregelen getroffen, die zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.

In mei 2025 maakten de inlichtingendiensten bekend dat de Russische groep ‘Laundry Bear’ verantwoordelijk was voor de aanval. Naast de aanval op de Nationale Politie werden wereldwijd ook andere organisaties door deze groep aangevallen, waaronder in Nederland.

Openbaar Ministerie

Op donderdag 17 juli 2025 ontkoppelde het Openbaar Ministerie de systemen van het internet naar aanleiding van een waarschuwing over kwetsbaarheden in Citrix NetScaler. Hierdoor moest het OM overstappen op noodprocedures om werkzaamheden voort te zetten. In het CSBN staat dit wat eufemistisch vermeld: “Dit zorgde voor hinder in de strafrechtketen, waarbij in sommige zaken ook direct vertraging ontstond.”

In het rapport is alleen te lezen dat “onbevoegden” toegang hebben verkregen tot de Citrix NetScaler-systemen van het OM. Er is tot op heden niet vastgesteld dat er gegevens zijn gemanipuleerd of weggehaald. Vreemd is ook dat er staat: “Ook bij de Dienst Justitiële Inrichtingen vond onderzoek plaats naar aanleiding van misbruik van de kwetsbaarheden”, zonder nadere toelichting. Het NCSC stelde dat meerdere kritieke Nederlandse organisaties succesvol zijn aangevallen via een van de Citrix-kwetsbaarheden en dat één van de kwetsbaarheden al ruim voor publieke bekendmaking werd misbruikt.

In een Kamerbrief uit augustus 2025 staat concreter dat “in de periode dat het OM geheel offline was er geen enkele informatie gedigitaliseerd (en soms geautomatiseerd) van en naar het OM worden gestuurd. Het OM en partners in en rondom de strafrechtketen hebben werkprocessen vastgesteld om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren”. In deze brief staat ook dat erbij DJI en andere organisatie naar aanleiding van nader ondezoek ‘geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen’. In de brief staan ook andere belangrijke nevengevolgen beschreven. Het ontbreken van informatie vanuit het OM voor de Justitiële Informatiedienst (Justid) ten behoeve van het Justitiële Documentatie Systeem (JDS) wordt bijvoorbeeld als “prangend knelpunt” benoemd. Het JDS is het officiële register waarin wordt bijgehouden wie op welk moment werd verdacht van een strafbaar feit en de afloop daarvan (sepot, vrijspraak of veroordeling). Het ontbreken van actuele gegevens van het OM in het JDS heeft tot gevolg dat partners in en rondom de strafrechtketen, burgers, gemeenten en lidstaten geen actuele informatie vanuit het OM ontvangen. Het OM en partners hebben werkafspraken gemaakt om de risico’s hiervan te mitigeren, maar deze risico’s zijn (nog) niet geheel uitgesloten. 

Begin augustus sloot het OM systemen stapsgewijs weer aan op het internet. In november 2025 berichtte de Minister van Justitie en Veiligheid (eindelijk) dat er ‘inmiddels een eerste technisch en forensisch onderzoek uitgevoerd. Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader strafrechtelijk onderzoek gedaan. Over het lopende strafrechtelijke onderzoek kan ik geen mededelingen doen. Er zijn maatregelen genomen om risico’s zoals hernieuwd misbruik van systemen en het risico op datamanipulatie te mitigeren. Inmiddels is het OM weer online.’ Ook wordt er een onafhankelijke commissie ingesteld die de ICT-inbraak onderzoekt, waarbij expliciet gekeken wordt hoe toekomstige beveiligingsincidenten voorkomen kunnen worden.

Hack Clinical Diagnostics (Eurofins):

Nadat Bevolkingsonderzoek Nederland melding maakte van een datalek, maakte Clinical Diagnostics (Eurofins) in augustus 2025 bekend dat gevoelige patiëntgegevens zijn gestolen van zorgverleners die onderzoek hebben laten uitvoeren bij het laboratorium. Dit gebeurde tijdens een ransomware-aanval in juli.

De organisatie Bevolkingsonderzoek Nederland informeerde 941.000 personen dat hun data mogelijk is buitgemaakt. Het datalek reikt echter verder dan deze organisatie: ook gegevens van onderzoeken voor andere zorginstellingen, zoals ziekenhuizen en huisartsen, zijn getroffen. Cybercriminelen claimden 300 GB aan data te hebben gestolen, waarvan een deel online verscheen. Uit een analyse van RTL Nieuws bleek dat het gaat om namen, adressen, geboortedata, burgerservicenummers en informatie over onderzoeksuitslagen. Ook adviezen naar aanleiding van onderzoeken zijn buitgemaakt. Onder de gegevens bevinden zich ook data van politici, gedetineerden, tbs’ers en vrouwen in blijf-van-mijn-lijfhuizen.

De hackersgroep eiste losgeld en dreigde de gestolen gegevens te publiceren. Later volgde een tweede eis, met de dreiging om alle data openbaar te maken omdat afspraken niet zouden zijn nagekomen, maar deze eis werd later ingetrokken. Clinical Diagnostics zou in eerste instantie losgeld hebben betaald om verdere datalekken te voorkomen, maar het bedrag is onbekend. In een Kamerbrief van 1 september 2025 is meer te lezen over de hack. Het advies voor de mensen die een brief van Bevolkingsonderzoek Nederland hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn inmiddels beide een onderzoek gestart.

Op 19 november 2025 verscheen een antwoord op Kamervragen van staatssecretaris Tielen. In de brief staat dat het Openbaar Ministerie onderzoek doet naar de hack. Ook zijn lab inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan een ‘scanningsdienst’ van Z-CERT, waarmee continu gemonitord wordt op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.

De MIVD stelde vast dat Nederland in 2024 voor het eerst slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit. Dit werd op 22 april 2025 bekend (zie bijv. dit bericht op Nu.nl) gemaakt, maar ik heb daarover geen Kamervragen kunnen vinden.

De MIVD waarschuwde in mei 2025 voor een spionagecampagne van APT28 (waarschijnlijk Russische staatshackers), gericht tegen Oekraïne en NAVO-landen. De Nederlandse krijgsmacht, ministeries en het bedrijfsleven zijn direct en indirect doelwit geweest van deze cyberspionagepogingen.

Ransomware

In 2024 hebben het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven maandelijks informatie over ransomware-incidenten uitgewisseld in het kader van project ‘Melissa’. Uit die gegevens blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland zijn geweest. Van deze incidenten zijn 76 bekend via aangiften en 20 via incident response bedrijven.

Uit een analyse van de ransomware-aanvallen in 2024 blijkt dat cybercriminelen geen nieuwe technieken gebruiken om ransomware in te zetten.

In 2024 ontving de Autoriteit Persoonsgegevens 1.430 unieke datalekmeldingen van cyberaanvallen, waarvan er 853 zijn onderzocht. Van de onderzochte aanvallen ging het in 112 gevallen (13 procent) om ransomware. Bij minimaal 53 procent van die ransomware-aanvallen werden gegevens gestolen.

Voorbeelden van internationale cybersecurity-incidenten

Hieronder geef ik enkele voorbeelden van aanvallen uit het buitenland, zoals beschreven in het rapport (p. 23-26).

In oktober 2024 zijn Europese overheden en militaire organisaties doelwit geweest van phishingaanvallen die door Google worden toegeschreven aan een aan Rusland gelieerde actor, aangeduid als UNC5837. De campagne maakte gebruik van ondertekende .rdp-bestandsbijlagen om Remote Desktop Protocol (RDP)-verbindingen tot stand te brengen vanaf de computers van de slachtoffers.

In 2024 werd bekend dat Chinese hackers van de groep Salt Typhoon minimaal een jaar lang toegang hebben gehad tot de netwerken van diverse telecomproviders. Volgens Amerikaanse autoriteiten zou het om meerdere Amerikaanse telecombedrijven gaan, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies. De hackers zouden zo bij gespreksgegevens van prominente politici zijn gekomen. CISA en de FBI hebben bevestigd dat de hackers toegang hebben gehad tot privécommunicatie van een ‘gelimiteerd aantal’ mensen. Daarnaast stellen media op basis van anonieme bronnen dat de hackers toegang hebben gehad tot het afluisterplatform van de Amerikaanse overheid en verzoekgegevens van wetshandhavingsinstanties en telefoongesprekken van klanten gestolen. De campagne zou mogelijk al 1 tot 2 jaar lopen. Er is niet met zekerheid vastgesteld of de hackers uit het systeem zijn verwijderd.

Eind december 2024 heeft Denemarken gemeld dat pro-Russische hackers een Deens waterzuiveringsbedrijf hebben aangevallen, waardoor klanten enkele uren zonder water zaten. Een van de pijpleidingen is gebarsten door een verhoogde waterdruk.

In januari 2025 werd bekend dat na een hack bij Gravy Analytics (een commerciële datahandelaar) locatiegegevens van mogelijk miljoenen mensen zijn gelekt. Online claimde iemand bij de inbraak een dataset van 17TB aan data te hebben gestolen. In de dataset zouden locatiegegevens van gebruikers van honderden populaire apps (zoals Candy Crush, FlightRadar, Grindr en Tinder) verzameld zijn. De hacker dreigde de data openbaar te maken als het bedrijf het gevraagde losgeld niet zou betalen.

In februari 2025 meldde het Canadese Centrum voor Cybersecurity dat er bij meerdere Canadese telecommunicatiebedrijven activiteit van kwaadwillenden is geweest, specifiek van de Chinese cyberactor Salt Typhoon. De Canadese overheid meldde dat de systemen zijn gecompromitteerd via een bekende Cisco-kwetsbaarheid. Om welke telecommunicatiebedrijven het precies gaat, werd niet gespecificeerd.

In maart 2025 is bij een hack op de cryptobeurs Bybit bijna 1,5 miljard dollar aan digitale munten gestolen. Dit maakt het de grootste cryptodiefstal ooit. De aanval is door verschillende onderzoekers en de Amerikaanse autoriteiten toegeschreven aan Noord-Koreaanse hackers. Experts van verschillende bedrijven stelden al snel dat de Lazarus-hackers minstens 300 miljoen dollar wit hebben weten te wassen.

In april 2025 heeft de Waalse overheid zichzelf losgekoppeld van het internet nadat ze een grootschalige “gesofisticeerde en gerichte inbraak” hadden vastgesteld in het IT-systeem. De aanvaller, een onbekende partij, zou zich hebben gericht op een kwetsbare plek in de systemen van de Waalse overheid. Om te voorkomen dat de aanval tot (verdere) impact zou leiden, is besloten om de systemen los te koppelen van het internet, waardoor meerdere administratieve diensten offline waren.

Pro-Russische hackers zitten volgens de Noorse autoriteiten waarschijnlijk achter de vermoedelijke sabotage bij een dam in het Noorse Bremanger. Bij die sabotage-aanval werd de waterstroom beïnvloed. De hackers kregen toegang tot een digitaal systeem dat op afstand een van de kleppen van de dam bestuurt en openden deze om de waterstroom te vergroten. De klep stond ongeveer vier uur open en in totaal liepen er miljoenen liters water weg, maar dit vormde geen gevaar voor de omgeving.

Op 23 juli 2025 waren de mobiele 4G- en 5G-netwerken van Luxemburg meer dan drie uur onbereikbaar. Grote delen van de bevolking konden de hulpdiensten niet bellen omdat het 2G-noodsysteem overbelast raakte. Ook internettoegang en elektronisch bankieren waren niet mogelijk. Volgens overheidsverklaringen aan het parlement werd de uitval veroorzaakt door een cyberaanval. Deze aanval zou opzettelijk verstorend zijn geweest en niet een poging om het telecomnetwerk te compromitteren.

Verwevenheid tussen staten en georganiseerde criminaliteit

Het CSBN stelt dat statelijke actoren cyberaanvallen inzetten om hun politieke, militaire en/of economische doelen te bereiken. Door een offensief cyberprogramma op te zetten, kunnen statelijke actoren (heimelijk) hun belangen behartigen zonder de juridische drempel van gewapend conflict te overschrijden. Ten aanzien van pro-Russische hacktivisten zien de MIVD en AIVD dat vanaf eind 2023 de risicobereidheid van deze groeperingen toeneemt bij het ontplooien van offensieve cybercapaciteiten tegen westerse landen. Alle door hen onderzochte pro-Russische hacktivistische groeperingen worden in zekere mate gesteund door de Russische overheid.

Voor China geldt dat er een nauwe verwevenheid bestaat tussen inlichtingen- en veiligheidsdiensten, kennisinstellingen en bedrijven. Chinese bedrijven leveren bijvoorbeeld aanvalsinfrastructuur of malware, en kennisinstellingen doen onderzoek naar kwetsbaarheden in edge devices. Hierdoor zijn Chinese actoren structureel succesvol in het hacken van onder meer westerse overheden en bedrijven.

In de afgelopen rapportageperiode werd voor het eerst bekend dat een middelgroot beursgenoteerd Chinees bedrijf direct betrokken is geweest bij het uitvoeren van cyberoperaties. Voorheen waren weliswaar diverse andere Chinese bedrijven geïdentificeerd die zelf offensieve cyberoperaties uitvoeren, maar daarbij ging het om frontorganisaties van Chinese inlichtingen- en veiligheidsdiensten of relatief kleine en obscure bedrijven.

Noord-Korea is een voorbeeld van een statelijke actor die technieken en aanvallen inzet die normaliter worden geassocieerd met niet-statelijke actoren. Alhoewel een gedeelte van Noord-Koreaanse cyberaanvallen gericht is op spionage, is een groot deel ook gericht op financieel gewin. Een financieel motief wordt over het algemeen geassocieerd met criminele cyberactoren, waarbij de cryptosector een geliefd doelwit is.

In de afgelopen rapportageperiode is gebleken dat zowel Rusland als China voorbereidingshandelingen voor digitale sabotage hebben ondernomen. Deze handelingen hebben tot op heden geen ontwrichtende impact gehad in Nederland.

De MIVD stelt dat Rusland inmiddels een grotere risicobereidheid toont, die zich manifesteert via meer brutale, agressieve of provocatieve activiteiten in zowel het fysieke als het cyberdomein.

Infographic dreigingen CSBN 2025

Met Notebook LM is deze infographic gegeneerd over de dreigingen uit het CSBN 2025 ten aanzien van Nederland en omringende landen.

De originele tabel met de verwevenheid tussen statelijke en niet-statelijke actoren staat hieronder:

Bron: CSBN 2025, p. 31.

Bijzondere aandacht voor de Telecomsector

Hieronder volgen enkele interessante passages uit het CSBN ten aanzien van de telecomsector (p. 35-37).

De grootschalige en vergaande cybercampagne in de Verenigde Staten laat zien dat de dreiging richting de telecomsector reëel is. Ook een aantal kleine Nederlandse internet service- en hosting providers was doelwit van Salt Typhoon. Volgens de AIVD en de MIVD is toegang verkregen tot routers van deze aanbieders, maar dat de aanvallers voor zover bekend niet verder zijn doorgedrongen in de interne netwerken. Een mogelijke verklaring daarvoor is dat de Nederlandse doelwitten niet dezelfde mate van aandacht kregen van de hackers. De FBI heeft aangegeven dat Salt Typhoon meer dan 200 bedrijven in 80 landen heeft aangevallen.

Het CSBN nuanceert dat de situatie in de VS niet één-op-één te vertalen is naar de situatie in Nederland. De infrastructuur van de telecomsector in de VS is, in tegenstelling tot veel Europese landen en zeker tot Nederland, verouderd en bestaat volgens de voorzitter van de Senaatscommissie van inlichtingen uit een “brei van aan elkaar geplakte netwerken”. Maar hoewel de Nederlandse situatie niet overeenkomt met die in de VS, kennen ook vitale sectoren in Nederland risico’s door een grote afhankelijkheid van buitenlandse leveranciers en een toenemende complexiteit van de infrastructuur.

Voor zowel criminele als statelijke actoren is de telecomsector onder andere interessant omdat de sector enorme hoeveelheden persoonsgegevens verwerkt, waaronder gespreksgegevens, locatiegegevens, klantgegevens en internetverkeer. Toegang tot deze gegevens kan door statelijke actoren misbruikt worden om personen te volgen, te monitoren en te beïnvloeden, zoals leden van diasporagemeenschappen, activisten of dissidenten. De sector is ook interessant voor statelijke actoren vanwege de opties voor spionage. Hacks op telecommunicatieproviders behoren volgens de AIVD tot de meest waardevolle inlichtingenposities voor hen.

Door spionage kan data worden verworven en kennis worden opgedaan over de infrastructuur, wat enerzijds een spionagedoel kan dienen, maar anderzijds ook gebruikt kan worden als verkenning van de netwerken. Een dergelijke verkenning kan onderdeel zijn van (voorbereidingshandelingen voor latere) sabotage. Voorbereidingshandelingen stellen actoren in staat om sabotageacties met weinig tot geen waarschuwing uit te voeren.

Voor cybercriminelen zijn vooral de grote hoeveelheden persoonsgegevens die in de sector worden verwerkt interessant. Deze gegevens kunnen gestolen en doorverkocht worden, of gebruikt (als opstap) voor een toekomstige aanval. Zoals voor alle vitale sectoren geldt, is de telecomsector een aantrekkelijk doelwit voor cybercriminelen omdat continuïteit van groot belang is.

Verschillen tussen het CSBN 2025 en voorgaande rapporten

Met Notebook LM zijn de verschillen met voorgaande rapporten nagegaan. Ik heb daaruit drie geselecteerd (de analyse ten aanzien van specifiek de telecomsector is ook nieuw en hierboven te lezen).

1. Eerste waargenomen cybersabotage door statelijke actoren

Het CSBN 2025 onderscheidt zich nadrukkelijk door de constatering van de eerste succesvolle moedwillige cybersabotage op Nederlands grondgebied door een statelijke actor.

  • CSBN 2025: De MIVD bevestigde dat Nederland in 2024 slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit.
  • Voorgaande jaren (bijv. CSBN 2021/2022): in eerdere rapporten was sabotage door statelijke actoren vooral een risico of een waargenomen activiteit in het buitenland. Zo vermeldde het CSBN 2021 expliciet dat gerichte aanvallen op vitale processen nog niet in Nederland waren waargenomen, hoewel ze wel elders voorkwamen. In CSBN 2022 werd gesproken over Nederland als doelwit van voorbereidingshandelingen voor sabotage. Het constateren van daadwerkelijke, succesvolle en opzettelijke sabotage binnen Nederland is een fundamentele en serieuze verschuiving.

2. Formele opname en duiding van Generatieve AI

Hoofdstuk 5 beschrijft dat generatieve AI de bestaande dreigingen voor digitale veiligheid versterkt en gaat in op hoe Large Language Models (LLM’s) zowel offensief als defensief kunnen worden ingezet.

  • Voorgaande jaren: hoewel eerdere rapporten wel melding maakten van nieuwe technologische invloeden (zoals kwantumtechnologie in CSBN 2023), was een concrete en uitgewerkte analyse van de bedreiging door Generatieve AI/LLM’s nog niet zo prominent aanwezig. Het CSBN 2023 vermeldde kort een NCSC-publicatie (maart 2023) over de risico’s van ChatGPT, maar de formalisering tot een strategisch hoofdstuk in 2025 benadrukt de verhoogde urgentie en invloed van deze technologie.

3. Directe benoeming van het langdurige falen van de rijksoverheid

Het CSBN 2025 geeft een bijzonder scherpe en expliciete kritiek op de langdurige ontoereikendheid van cybersecuritymaatregelen binnen de Rijksoverheid.

  • CSBN 2025: het rapport stelt dat maatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn en niet voldoen aan de zelf voorgeschreven informatiebeveiligingsrichtlijnen. Dit leidt tot een vals gevoel van veiligheid en maakt het onmogelijk om te concluderen dat overheidsorganisaties niet gecompromitteerd zijn.
  • Voorgaande jaren: hoewel eerdere rapporten ook kritisch waren over de Rijksoverheid (bijv. CSBN 2019 en CSBN 2020 over onvoldoende weerbaarheid en het niet op orde hebben van beveiliging), toonde CSBN 2022 nog een lichte opgaande lijn in de informatiebeveiliging, ondanks overblijvende tekortkomingen. De nadruk in CSBN 2025 op de langdurige ontoereikendheid en de daaruit voortvloeiende onzekerheid over de integriteit van de systemen is een zware waarschuwing.

iOCTA report 2025

jjoerlemans

On 11 June 2025, Europol published its new Internet Organised Crime Threat Assessment report, titled ‘Steal, deal, and repeat’ (.pdf).

A central theme of the report is the pervasive threat of data theft. For example, ‘access credentials’ (login details) to personal accounts are highly valuable because they provide direct access to mailboxes, social media accounts, online shops, financial services, and even information systems used by public administrations. The data can be used to compromise the wider network (called ‘lateral movement’ in computer systems), malware distribution, identity theft, impersonation of victims, and the dissemination of malicious content appearing to originate from trusted sources.

Data as a means to commit cybercrime

Criminals involved in online fraud schemes leverage personal information to profile targets, increasing their chances of success or gaining unauthorized access to accounts. This includes details such as age, interests, location, email addresses, dates of birth, phone numbers, and credit card data. This information allows criminals to craft more convincing and manipulative fraud narratives.

Similarly, child sex exploitation perpetrators collect personal information to tailor their communication with the victims and use it as leverage for sexual and financial extortion. This can encompass victims’ interests, personal connections, home and school addresses, and details about family and friends. The collection of such data also facilitates “doxxing”—the public exposure and shaming of victims by publishing private information online—which can lead to further victimization, cyberbullying, and the re-victimization of children.

Criminals also use stolen personal data to create fake identities for purposes such as applying for subsidies, loans, or credit cards, and committing other financial frauds. Business Email Compromise (BEC) attacks, where criminals impersonate company executives or employees, are also prevalent, tricking others into transferring funds or revealing sensitive information.

Data as a commodity

Information is stolen and converted into a commodity to be further exploited by other criminal actors in their operations. It is then marketed on various criminal platforms, including specialised marketplaces, underground forums, and dedicated channels within end-to-end encrypted (E2EE) communication apps.

Europol identifies several common commodities:

  • Unanalysed infostealer logs and breached data dumps (leaked or stolen data), which may contain personal data, user credentials for various services, browser artefacts and other sensitive information;
  • Unanalysed or verified credit card dumps (usually gathered by digital skimming), as well as the bulk sale of verified card details;
  • Initial access offers, ranging from credentials for remote services and accounts (e.g. RDP, VPN, firewalls, network devices and cloud environments) to established backdoor access to corporate systems and networks;
  • Account login credentials for various web services, including email and social media accounts, online shopping environments and adult content sites;
  • Criminal services, including subscriptions to phishing-kits, infostealers, exploit kits, droppers, spoofing services and malicious Large Language Models (LLMs);
  • Anti-detection solutions, such as VPNs, bulletproof hosting (BPH), residential proxies, money laundering services, operational security (OpSec) manuals, etc

Manuals, guidelines, and tutorials—including individual coaching sessions focused on OpSec and online fraud schemes—are widely available at low cost, often bundled with other products or services.

Infostealers are used to steal login credentials and collect application tokens and session cookies, enabling access to websites and applications as an authenticated user. They also gather information about the user’s device, operating system, settings, and browser data, allowing criminals to mimic a legitimate user’s digital fingerprint. This enables them to bypass some security features during account takeovers by configuring virtual machines to resemble genuine users.

Example: Take down of ‘Lumma’

As part of “Operation Endgame,” Europol partnered with Microsoft in 2025 to dismantle the infrastructure behind ‘Lumma’. Lumma enabled cybercriminals to collect sensitive data from compromised devices on a massive scale, harvesting stolen credentials, financial data, and personal information for sale through a dedicated marketplace. Its widespread use made it a central tool for identity theft and fraud globally.

On 16 March 2025, Microsoft identified over 394.000 Windows computers globally infected by the Lumma malware. More than 1300 domains seized by or transferred to Microsoft, including 300 domains actioned by law enforcement with the support of Europol, will be redirected to Microsoft sinkholes. 

Source: Disrupting Lumma Stealer: Microsoft leads global action against favored cybercrime tool – Microsoft On the Issues

It had the following functionalities according the (more) technical report:

  • Browser credentials and cookies: Lumma Stealer extracts saved passwords, session cookies, and autofill data from Chromium (including Edge), Mozilla, and Gecko-based browsers.
  • Cryptocurrency wallets and extensions: Lumma Stealer actively searches for wallet files, browser extensions, and local keys associated with wallets like MetaMask, Electrum, and Exodus.
  • Various applications: Lumma Stealer targets data from various virtual private networks (VPNs) (.ovpn), email clients, FTP clients, and Telegram applications.  
  • User documents: Lumma Stealer harvests files found on the user profiles and other common directories, especially those with .pdf, .docx, or .rtf extensions.
  • System metadata: Lumma Stealer collects host telemetry such as CPU information, OS version, system locale, and installed applications for tailoring future exploits or profiling victims.

Lumma Stealer used a robust C2 infrastructure, using a combination of hardcoded tier 1 C2s that are regularly updated and reordered, and fallback C2s hosted as Steam profiles and Telegram channels that also point to the tier 1 C2s. The Telegram C2, if available, is always checked first, while the Steam C2 is checked only when all the hardcoded C2s are not active. To further hide the real C2 servers, all the C2 servers are hidden behind the Cloudflare proxy

Techniques to acquire personal data

The “ClickFix” technique is gaining popularity among cybercriminals. Users encounter fake error or CAPTCHA messages while browsing, tricking them into copying and running malicious content on their devices. These pop-ups prompt users to click buttons labelled ‘Fix It’ or ‘I am not a robot,’ which then either copies a malicious PowerShell script or provides instructions for manual malware execution.

Vishing—the use of fraudulent phone calls—is facilitated by spoofing services, allowing criminals to impersonate trusted entities and increase the effectiveness of social engineering attacks. This technique is frequently used for fraud and gaining initial system access. Increasingly, vishers persuade victims to download malicious payloads, enter credentials on phishing websites, or install Remote Access Tools (RATs) or Remote Monitoring and Management (RMM) tools. Fraudsters impersonating IT solution providers are using this approach to gain access to bank accounts. Initial Access Brokers (IABs) and ransomware operators are also adopting vishing tactics to obtain VPN and user account credentials.

Use of LLM’s and generative AI

LLM’s and genAI can improve phishing techniques. enhance phishing techniques by enabling the creation of highly targeted messages incorporating local language and cultural nuances, significantly increasing click-through rates. CSE perpetrators use LLMs to personalize communications, making them more convincing and facilitating impersonation for information gathering. This makes it harder for victims to recognize manipulation. The automation provided by LLMs allows offenders to scale their grooming operations, targeting multiple victims in various languages simultaneously.

Criminals are also using voice deepfakes to enhance the credibility of spear-phishing campaigns used in BEC and CEO fraud. Generative AI can be exploited to create fake social media profiles for social engineering purposes.

As discussed above, genAI can also be exploited to generate fake social media profiles using a range of social engineering applications. For further information, refer to this Europol podcast featuring a shocking example of AI use in an online child sexual abuse case involving “Kidflix”, which contained approximately 72.000 videos and nearly two million users.

Who are they?

employ the methods previously mentioned, alongside more sophisticated techniques that enable them to compromise valuable targets. These include digital service providers (through supply-chain attacks), international corporations, and government entities; this can involve identifying and creating zero-day exploits, as well as conducting complex, targeted social engineering operations. Such actors typically do not publicise their capabilities but instead monetise their exploits by collaborating directly with cybercrime groups (for example, ransomware groups) or other hybrid threat actors. This means that valuable assets – such as zero-day exploits and access to high-value targets like large international corporations, IT supply chains, and critical infrastructure – are traded privately, often in exchange for a percentage of the buyer’s earnings.

The criminal actors who target financial data and payment system access are the primary customers of services offering phishing kits and digital skimmers. The URLs of these fraudulent webpages are disseminated through phishing campaigns and web-skimmers inserted into misconfigured or unpatched websites – techniques similar to those used by data and access brokers. Stolen account information or payment card details are frequently sold via dedicated online platforms specialising in these commodities.

The final category of actors includes child sexual exploitation and certain fraud perpetrators (such as those involved in romance scams), who do not seek to commodify the personal data they gather from their victims but instead exploit it as an integral part of their criminal processes. Rather than trading data, they use it directly to access accounts or coerce their victims. However, not all CSE offenders operate alone; doxxing channels on end-to-end encrypted (E2EE) applications have been identified, demonstrating a collaborative effort to amplify their coercive power. Within these environments, criminal actors cooperate by sharing personal data gathered on targets, intensifying the pressure imposed on victims subjected to multiple, simultaneous extortion attempts.

Market places and information brokers

Marketplaces and information brokers operate as platforms for selling stolen identities, access credentials, web shells, and financial information. Access credentials, for example, may be sold in bulk without verification of their validity or value. As an example, check out this report by TrendMicro about Russian Market.

alidated credentials and listings from IABs – advertising the systems they have compromised – are typically accompanied by details of the affected entities and sometimes auctioned to the highest bidder. Prices vary considerably depending on factors such as the compromised entity’s sector, size, revenue, geographical location, access type, level, persistence, and exclusivity. High-revenue companies in Europe and North America are particularly sought after.

Forums dedicated to breached data – such as BreachForums (article by Bleepingcomputer) – serve as advertising spaces, while negotiations and transactions increasingly take place on dedicated channels within commercial end-to-end encrypted (E2EE) communication platforms. These listings not only advertise available commodities but also help build the seller’s reputation within the ecosystem; compromising more prominent and valuable targets enhances standing in the community. Consequently, many data brokers tend to exaggerate the classification or value of their assets, which may in reality be fake or based on outdated leaks, used to attract attention.

Example: ‘Cracked’ and ‘Nulled’

On January 2025, the cybercrime forums ‘Cracked.io’ and ‘Nulled.to’ were taken down. German authorities led the operation, plus law enforcement from eight other countries, and they were supported by Europol.

Source: Law enforcement takes down two largest cybercrime forums in the world – The platforms combined had over 10 million users worldwide | Europol

The two platforms, Cracked and Nulled, had more than 10 million users in total. They were key marketplaces for stolen data, including personal data, and cybercrime tools and infrastructure, which were offered as-a-service to individuals with more limited technical skills to carry out cyber-attacks. The two forums also offered AI-based tools and scripts that could automatically scan for security vulnerabilities and optimise attacks.

Cracked.io had over four million users and listed more than 28 million posts advertising cybercrime tools and stolen information, generating approximately USD 4 million in revenue. One product advertised on Cracked offered users access to ‘billions of leaked websites’, allowing them to search for stolen login credentials.

Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects.