De Grootste Cyberaanvallen van Februari 2026
De cyberdreiging evolueert sneller dan ooit. De vraag is niet of je organisatie wordt aangevallen, maar wanneer je het merkt.
Sommige aanvallen hoor je pas weken later. Deze keer duurde het drie jaar.
Eind februari 2026 ontdekte Cisco Talos dat hackers sinds 2023 actief een kritieke kwetsbaarheid in hun SD-WAN-systemen exploiteerden. Drie jaar. Terwijl organisaties rustig dachten dat hun netwerk beveiligd was, zaten aanvallers al die tijd al binnen. Het Amerikaanse ministerie van Homeland Security reageerde meteen met een noodrichtlijn: alle federale systemen moesten binnen 48 uur worden gepatcht.
Dit is de nieuwe realiteit. Cyberaanvallen worden niet alleen frequenter, ze blijven ook langer onopgemerkt. En februari 2026 laat zien hoe breed het spectrum aan dreigingen geworden is.
De Cisco-Aanval: Drie Jaar Onzichtbaar
De kwetsbaarheid, aangeduid als CVE-2026-20127, had het hoogst mogelijke ernstcijfer: 10.0. Door een fout in de authenticatiemechanisme van Cisco Catalyst SD-WAN konden aanvallers zich voordoen als legitieme apparaten op het netwerk. Ze voegden zogenaamde "rogue peers" toe die vervolgens volledige toegang kregen tot de netwerkconfiguratie.
Wat deze aanval bijzonder maakt, is de volharding. De aanvallers downgradeden systemen naar oudere softwareversies om een extra kwetsbaarheid te exploiteren, kregen root-toegang, en zetten daarna de originele firmware terug. Zo lieten ze minimale sporen achter. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt dat deze tactiek steeds vaker voorkomt.
38 Miljoen Klanten Bij ManoMano Getroffen
Terwijl Cisco de infrastructuur aanviel, werd een ander type doelwit geraakt: de klantendatabase van ManoMano, de Franse doe-het-zelf marktplaats. Via een gecompromitteerde externe klantenserviceprovider kregen hackers toegang tot namen, e-mailadressen, telefoonnummers en volledige klantenservicecorrespondentie van 38 miljoen gebruikers.
Het is een klassiek voorbeeld van supply chain aanvallen. Je beveiliging kan nog zo goed zijn, maar als een partner of leverancier lekt, ben je alsnog kwetsbaar. ManoMano benadrukt dat wachtwoorden niet zijn gestolen, maar voor cybercriminelen zijn e-mailadressen en telefoonnummers al voldoende voor gerichte phishingcampagnes.
Meer dan 900 FreePBX-servers Geïnfecteerd
Ook telefoonsystemen waren ditmaal een geliefd doelwit. De Shadowserver Foundation rapporteerde dat meer dan 900 Sangoma FreePBX-instances wereldwijd zijn gecompromitteerd via een command injection-kwetsbaarheid. Van deze systemen staan er 401 in de Verenigde Staten, maar ook Duitsland (40), Canada (43) en Frankrijk (36) zijn zwaar getroffen.
De aanvallers installeerden web shells die hen volledige controle gaven over de systemen. Voor organisaties die FreePBX gebruiken voor hun telefonie-infrastructuur betekent dit niet alleen een beveiligingsrisico, maar ook potentiële bedrijfsdisruptie.
De Menselijke Factor Blijft de Zwakste Schakel
Naast deze technische aanvallen waren er ook ontwikkelingen op het gebied van cybercriminaliteit. Een Europol-operatie leidde tot 30 arrestaties van leden van "The Com", een online collectief dat zich richtte op kinderen en tieners. Tegelijkertijd zien we dat staatsactoren actiever worden. Noord-Koreaanse hackers van APT37 ontwikkelden nieuwe malware specifiek gericht op het doorbreken van air-gapped netwerken via verwisselbare opslagmedia.
En dan is er nog het bizarre incident waarbij de Zuid-Koreaanse belastingdienst per ongeluk de herstelzin van een inbeslaggenomen cryptocurrency wallet publiceerde in een persbericht. Resultaat: hackers stalen binnen mum van tijd 4,8 miljoen dollar aan crypto.
Wat Kun Je Nu Doen?
Deze golf aan aanvallen toont verschillende patronen die elke organisatie serieus moet nemen:
Controleer je externe toegang. De Cisco-aanval werd mogelijk gemaakt omdat managementinterfaces blootgesteld waren aan het internet. SD-WAN beheer moet altijd achter een firewall en VPN zitten.
Monitor je supply chain. Vraag je leveranciers en partners expliciet om hun beveiligingsmaatregelen. Een datalek bij een derde partij is nog steeds jouw reputatie die schade oploopt.
Houd patches bij. FreePBX had een patch beschikbaar, maar honderden organisaties hadden deze nog niet geïmplementeerd. Automatische updates en een strikt patchbeleid zijn niet langer optioneel.
Log analyse is essentieel. De Cisco-aanvallers werden uiteindelijk ontdekt door anomalieën in authenticatielogs. Zonder centrale logverzameling en analyse mis je deze signalen.
De Toekomst: AI als Nieuw Aanvalsvector
Een opmerkelijke trend uit de onderzoeken van deze maand is de opkomst van AI als aanvalsvector. Malware die Gemini AI misbruikt om zichzelf te verbergen, kwetsbaarheden in OpenClaw die websites toegang geven tot lokale AI-agents, en aanvallers die Claude-queries gebruiken om AI-modellen te kopiëren. De integratie van AI in onze werkomgevingen creëert nieuwe aanvalsoppervlakken die we nog maar net beginnen te begrijpen.
De cyberdreiging evolueert sneller dan ooit. De vraag is niet of je organisatie wordt aangevallen, maar wanneer je het merkt. En dat verschil kan drie jaar zijn.