RTV Noord-hack was ransomwareaanval, niet specifiek gericht op omroep

De hack op de Groningse omroep RTV Noord was een ransomwareaanval. Dat zegt de omroep zelf, die stelt willekeurig te zijn gekozen als doelwit. De omroep gaat niet betalen en zegt dat er mogelijk gevoelige data van werknemers is buitgemaakt.

De hackers hadden interne systemen versleuteld en data gestolen, schrijft RTV Noord. Ze dreigen ook die data te publiceren. "Als publieke organisatie wil de omroep geen geld betalen aan criminelen", schrijft de omroep. Er is mogelijk gevoelige informatie buitgemaakt, zoals namen of werk-e-mailadressen, die gebruikt zouden kunnen worden voor gerichte phishingaanvallen. Er is geen toegang geweest tot privéapparaten of persoonlijke accounts van werknemers, meldt de omroep.

RTV Noord is ook niet als journalistieke organisatie aangevallen, 'maar is slachtoffer geworden van een ransomwareaanvaller die wereldwijd willekeurige organisaties aanvalt'. "Ook staat vast dat de hack niet is veroorzaakt doordat een medewerker op een verdachte link heeft geklikt."

Het publiek heeft volgens de omroep nauwelijks hinder ondervonden van de hack, maar 'de interne impact is groot'. De omroep zegt op alternatieve systemen te werken en spreekt van een tijdrovende operatie. "De IT-afdeling werkt in fases met externe specialisten aan herstel van systemen en beveiliging. De verwachting is dat dit proces nog enige tijd duurt." De omroep werkt samen met andere omroepen, het ministerie van Onderwijs, Cultuur en Wetenschap, en het Nationaal Cyber Security Centre. De aanval vond vorige week donderdag plaats en zorgde ervoor dat er tijdelijk geen berichten geplaatst werden op de site van de omroep.

Door Hayte Hugo

Redacteur

Feedback • 14-11-2025 19:14
33 • submitter: lkeijmel

14-11-2025 • 19:14

33

Submitter: lkeijmel

Lees meer

OpenAI waarschuwt api-klanten voor phishing na inbraak bij analyticspartner
OpenAI waarschuwt api-klanten voor phishing na inbraak bij analyticspartner Nieuws van 27 november 2025
RTV Noord is gehackt, 'grote gevolgen voor uitzendingen en publicaties'
RTV Noord is gehackt, 'grote gevolgen voor uitzendingen en publicaties' Nieuws van 6 november 2025
Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker
Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker Nieuws van 5 november 2025
Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen
Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen Nieuws van 2 november 2025
Werknemers Albert Heijn-franchisenemer zijn getroffen door datalek - update
Werknemers Albert Heijn-franchisenemer zijn getroffen door datalek - update Nieuws van 23 oktober 2025
Ethische hackers kregen toegang tot paspoort Max Verstappen door bug bij FIA
Ethische hackers kregen toegang tot paspoort Max Verstappen door bug bij FIA Nieuws van 23 oktober 2025
'Jaguar-hack is schadelijkste cyberaanval in Britse geschiedenis'
'Jaguar-hack is schadelijkste cyberaanval in Britse geschiedenis' Nieuws van 22 oktober 2025
OM: pro-Russische hackgroep betaalde 17-jarige voor spioneren met wifisniffer
OM: pro-Russische hackgroep betaalde 17-jarige voor spioneren met wifisniffer Nieuws van 17 oktober 2025
Kledingbedrijf Mango meldt datalek van naam- en adresgegevens
Kledingbedrijf Mango meldt datalek van naam- en adresgegevens Nieuws van 16 oktober 2025
Website van het RIVM is weer grotendeels online na hack
Website van het RIVM is weer grotendeels online na hack Nieuws van 14 oktober 2025
RIVM haalt website offline na hack via webformulier - update
RIVM haalt website offline na hack via webformulier - update Nieuws van 14 oktober 2025
Meer producten en artikelen
Beveiliging en antivirus Hack Hackers omroep Ransomware

Reacties (33)

-Moderatie-faq
33
32
17
0
0
12
Wijzig sortering

Sorteer op:

Weergave:
SomerenV 14 november 2025 20:15
"Ook staat vast dat de hack niet is veroorzaakt doordat een medewerker op een verdachte link heeft geklikt."
Ik ben dan wel benieuwd hoe hackers dan wél op de interne systemen terecht zijn gekomen. Wellicht een medewerker die een verdwaalde USB-stick in een PC geplugd heeft?
Reageer
d5stick @SomerenV14 november 2025 20:17
Of SSH of RDP naar buiten open, het komt vaker voor dan je zal denken.
Reageer
Mushroomician @d5stick15 november 2025 03:26
Je bedoelt naar binnen open. Naar buiten = verbinding maken naar anderen toe. Naar buiten is geen extra risico, ofwel gelijkwaardig als https toestaan.

[Reactie gewijzigd door Mushroomician op 15 november 2025 03:29]

Reageer
NeOTheMaTriXM @Mushroomician15 november 2025 07:28
Ransomwave verstuurd de data van het bedrijfsnetwerk naar de aanvaller toe. Een goede firewall/proxy had dit tegen kunnen houden, als er regels waren geweest wat wel en wat niet naar buiten had mogen gaan.
Reageer
Mushroomician @NeOTheMaTriXM15 november 2025 08:39
De aanvaller kan ook SSH/RDP/whatever verbinding naar zijn eigen server verpakken in http(s) dus daar bereik je niets mee op firewall-niveau.
Zo lijkt het normaal webverkeer.

Maar ook een gewone, “echte” https upload is net zo effectief.

De meest effectieve middelen kunnen enkel op het endpoint niveau worden ingezet met een juiste inrichting, daar waar de actie gebeurd.

Firewalls worden al jaren overschat en hoewel ze nu nog als pleisterwerk de boel een beetje kunnen beschermen, gaan we naar een toekomst zonder (netwerk)firewalls. Endpoint-firewalls kunnen nog wel handig blijven als deze op process-niveau verkeer doorlaten of blokkeren.

[Reactie gewijzigd door Mushroomician op 15 november 2025 08:48]

Reageer
lenwar
@Mushroomician15 november 2025 09:45
Daar zijn ook mechanismen voor. Een firewall ziet prima het verschil tussen SSH en https dmv dpi. Ook is het bij bedrijfsnetwerken heel gebruikelijk om een MITM te hebben in een transparante proxy, en dat er op afroep TLS-certificaten worden gemaakt in naam van de betreffende domeinnaam.

https://github.com/InterceptSuite/InterceptSuite Dit is een open source tool die dit doet. Bedrijven zullen hier appliances voor hebben.
Reageer
Mushroomician @lenwar15 november 2025 18:07
Dan richt je dpi en een mitm in… veel succes. Als je een onderzoekslaboratorium runt met staatsgeheimen nog prima te doen mits de werkstations vast zitten aan dat netwerk en het gebruik ervan is afgebakend.

Bij een wat losser bedrijf waar men tijdens het werk ook even vakantie mag boeken, kan streamen, willekeurige websites bezoeken, is het niet realistisch. En dat is ook niet nodig met goede endpoint detectie (EDR)

De noodzaak is er niet meer om het op netwerk-niveau te doen. Zeker als de endpoints ook nomadisch zijn is de toegevoegde waarde nihil. De endpoint kan immers op andere netwerken verder gaan!

Zeker bij een media-bedrijf zoals hier, verwacht ik dat er users zijn die ssh en sftp en scp legitiem gebruiken.

[Reactie gewijzigd door Mushroomician op 16 november 2025 23:43]

Reageer
lenwar
@Mushroomician17 november 2025 11:19
Daar zijn gewoon appliances voor. En voor het geval. Ik bedoel dus niet dat 'alle pakketjes' worden ingezien. Gewoon de sessie-initialisatie.

Zscaler is een bekende die hiervoor gebruikt wordt.
Zelfs een applicatie als Adguard (dus de software die je op je desktop kunt installeren) doet het. (die kun je instellen dat al het https-verkeer door Adguard heen te leiden via een OS-driver. Die maakt dynamisch een TLS-certificaat aan voor de browser, enzovoorts.)
In de tijd van Windows 2000 had Microsoft de ISA-server. Die deed dit ook al. Het is echt niets nieuws.

Dus op dat punt wordt het ontsleutelt, en is het prima te zien of het http(s) of iets anders is.

Stel dat je als werkgever externe cloud-opslag wilt blokkeren. Dus Nextcloud-achtige applicaties. Als je die zou installeren op prive.domein.nl/niet-nextcloud dan kun je dat dus alleen maar blokkeren met dit soort mechanismen. Bij de sessie-initialisatie wordt de eerste pagina bekeken. Die herkent de Nextcloud-HTML en blokkeert het daarop.

De browser moet dus de dynamische TLS-certificaten 'vertrouwen' (dus de root certificate van de gebruikte applicatie moet in de browsers/proxy-client zitten.)
Reageer
Kabouterplop01 @SomerenV15 november 2025 08:45
of slecht gepatchte systemen... Ik ben benieuwd wat de toekomst hierin zijn algemeenheid in gaat brengen m.b.t. bijvoorbeeld NIS2.
Als uit zo'n onderzoek blijkt dat er willens en wetens door management risico's zijn geaccepteert, die eigenlijk niet geaccepteert hadden mogen worden dan zullen ze daar hoofdelijk aansprakelijk voor worden gesteld.
Nu moeten de IT specialisten het werk doen wat ze toen al eigenlijk hadden moeten doen, maar werden tegengehouden door management.

Je ziet dat heel vaak in ICT, nalatigheid bij kwetsbaarheden, niet patchen omdat er een afwegings procedure aan vast zit.
En dan huilen als er ergens door een loop van omstandigheden toch een breach is ontstaan.

Over het algemeen ontstaan breaches door een combinatie van ergens een configuratiefout op een endpoint of edgedevice, of door een kwetsbaarheid én een gebruiker die ergens op clickt.

@hieronder, je moest eens weten waar gebruikers allemaal naar toe connecten dus van binnen naar buiten... Naar buiten is een zeer groot extra risico en moet worden afgevangen met goede techniek en een strak beleid.
Reageer
Sandor_Clegane @Kabouterplop0115 november 2025 09:07
Wat een onzin, zeg dat even tegen de mensen die tegen Fortinet zero-days aanlopen.

Je gaat compleet voorbij aan het feit dat jij alles altijd goed moet doen om niet kwetsbaar te zijn en zij maar 1 keer succes hoeven te hebben om binnen te komen. Het is compleet asymmetrisch.

Lekker victim blaming ook.
Reageer
kodak
@Sandor_Clegane15 november 2025 15:24
Wat is er volgens jou onzin? Want @Kabouterplop01 stelt niet dat het 100% veilig moet zijn maar dat de nieuwe regels mogelijk strenger zijn wat betreft verantwoordelijkheid. Een bedrijf en bestuur is al jaren niet slechts slachtoffer als persoonlijke gegevens konden lekken.

Je manier van het over een 0-day hebben gaat niet in op de gebreken waarom die bestaan. Zoals door een gebrek aan eisen stellen door bedrijven en bestuurders aan wat men koopt. En het gebrek aan controle toepassen of het aan de eisen voldoet. De gevolgen van dit soort gebreken, zoals dat een crimineel toch toegang kreeg tot gegevens of deze versleutelde en kon downloaden, zijn wettelijk namelijk ook niet zomaar af te schuiven op afhankelijke anderen.
Reageer
Kabouterplop01 @Sandor_Clegane15 november 2025 20:59
Het was meer generiek, hoe een breach dikwijls ontstaat. ik vind victim blaming not done, dus als je dat zo leest moet ik even terug kijken waarom je dat vind.
Daarom is het juist zo moeilijk omdat het compleet asymmetrisch is.
Maar ik denk te zien wat jij bedoelt. Ik heb het over het management. die lui die overal mee wegkomen terwijl er specialisten op hun nagels zitten te bijten, omdat ze zaken aan het licht brengen, maar niet gehoord worden.
nee?
Reageer
Sandor_Clegane @Kabouterplop0116 november 2025 11:26
Zelfs als het het management is, maakt het nog steeds niet uit. Als we dit in de fysieke wereld zouden accepteren zou niks meer werken.
Reageer
Kabouterplop01 @Sandor_Clegane16 november 2025 13:56
Ik snap nog steeds je relaas niet; het is pure onwaarheid dat dat in 1x goed gaat
Er moet nl een heel proces aan voorafgaan.
requirements, Security by design, om zo min mogelijk over te laten aan het toeval. Daarbij worden soms risico's geaccepteerd en dat is waar ik het over heb; het onnodig accepteren van kwetsbaarheden waardoor een chain van kwetsbaarheden ontstaat. Die chain is zo sterk a;s de zwakste schakel.
En dat is wat er gemonitoord zou moeten worden; het restrisico in je aanvalspad
Reageer
naaitsab @SomerenV14 november 2025 21:27
De meeste ransomware clubs zitten in oost-Europa en Azië, die gaan geen USB-sticks rondsturen naar Nederland tenzij ze hele specifieke doelen aanvallen. De digitale ingangen zijn legio. Niet gepatchde routers, internet facing diensten zoals Citrix, VPN software met beveiligingslekken. Social engineering, zoals Clickfix en gecompromitteerde bestanden mailen. Om er een paar te noemen.

Wij hadden nog een kwetsbaarheden scanner op een WAN-ip aan staan, zoals we bij alle hebben. Deze waren we vergeten uit te zetten. Deze lijn was namelijk opgezegd en het WAN-ip onderhand bij een ander bedrijf actief geworden. Binnen een paar dagen kregen we een lading alerts binnen. Antieke SonicWall, internet facing Synology die flink achter liep in de updates met dus lekken en RDP stond open. Dat zijn "prachtige" doelen om aan te vallen. Met zo veel opties ga je niet lopen rommelen met USB-sticks met malware die door de meeste AV's wel tegengehouden worden al dan niet geblokkeerd zijn door het beveiligingsbeleid.
Reageer
HarmJan1990 @naaitsab14 november 2025 22:16
Wat voor scan is dat?
Reageer
Accretion @HarmJan199015 november 2025 06:57
Scan software die zoekt naar openstaande poorten en verouderde software die daar op draait.

Daar zijn genoeg varianten van te vinden, zoek maar "WAN vulnerability scan", geloof dat je ook een aantal gratis een paar keer kan proberen en misschien zijn d'r wel opensource versies.

Maar daarnaast kun je een vergelijkbare tool ook op het interne netwerk draaien.

[Reactie gewijzigd door Accretion op 15 november 2025 06:58]

Reageer
The Real Gunnar @SomerenV15 november 2025 08:04
Kwetsbaarheid in firewall, (nog) niet gepatchte software, het kan ieder bedrijf gebeuren. Ik zie het elke dag.
Reageer
drmacfaulty @Nijl15 november 2025 01:32
Ik werk bij een andere omroep in de IT en kan je ervan verzekeren dat het artikel wel degelijk klopt. Meer details kan (en zal) ik niet geven, aangezien dat ethisch niet verantwoord is. Het is al erg genoeg wat ze daar doormaken.

Ongefundeerde uitspraken en altijd het woordje klaar hebben (en denken beter te weten). Ik wordt er doodmoe van op het internet de laatste tijd… ALS JE HET NIET WEET, VRAAG HET DAN EERST BELEEFD OF HOUD JE MOND. Beetje internet etiquette mag je op Tweakers toch nog wel verwachten, vind ik.

[Reactie gewijzigd door drmacfaulty op 15 november 2025 01:47]

Reageer
Nijl @drmacfaulty15 november 2025 10:36
Over etiquette gesproken..
Reageer
William_H @Nijl14 november 2025 21:17
Ik blijf ook dit idee hebben, nadat deze info als reactie werd gegeven onder een eerder artikel. Een misconfiguratie is dan zeer aannemelijk.
Reageer
Accretion @William_H15 november 2025 06:51
Maar hoe bedoel je dit?

Misconfiguratie die resulteert in gehackt worden, is toch ook gehackt worden?

Lijkt me onwaarschijnlijk dat ze 'we zijn gehackt' roepen om te verdoezelen dat ze hun systemen in het nieuwe pand niet goed online krijgen.

[Reactie gewijzigd door Accretion op 15 november 2025 06:52]

Reageer
William_H @Accretion15 november 2025 13:07
Ik word weer lekker "gemeningmod", maar gelukkig vraag jij wel wat ik bedoel. Als je een firewall of interne servers verkeerd instelt na een verhuizing, wat goed mogelijk is, dan kun je gehackt worden. Als er per ongeluk poorten open staan die niet open moeten staan, is het heel aannemelijk dat er ingebroken wordt. Daar sloeg mijn reactie op.
Reageer
P_Tingen 14 november 2025 20:34
Het bedrijf waar ik werk heeft een pentest uit laten voeren. De man had minder dan een uur nodig om binnen te komen. Je bent echt véél kwetsbaarder dan je denkt

Kudos voor RTV Noord dat ze niet betalen. Het kwaad is immers al geschied. Betalen en dan hopen dat de criminelen zo aardig zijn om niks met je gegevens te doen is ronduit naief
Reageer
FrostyPeet 15 november 2025 08:29
Volgens mij is het probleem niet eens dat er iemand op een link klikt of op een "foute" website terecht komt.

Het probleem lijkt te zijn dat zichzelf onaantastbare mensen genadeloos en onophoudelijk overal aan de virtuele deuren rammelen. Bij de kleinste fout wordt er een automatische aanval opgezet. Het is ontnuchterend dat al die overheidsclubs en private sector dit niet kunnen stoppen.

Zelf meegemaakt, even een voip toestel testen of het bereikbaar was en binnen minuten een sipvicious aanval. Gewoon in een nietszeggend, totaal geen interessant doelwit.

Ik zie het ook bij de ham voip clubs. Gesloten pbx netwerk voor zendamateurs, zodat zendamateurs elkaar "intern" gratis kunnen bellen. Als ik zie wat die beheerder voor aanvallen op zijn server krijgt. Gewoon een hobby clubje.

Je kan ook niets meer "open" aan internet hangen voor je hobby (bijvoorbeeld een ClearNode). Die arme Raspberry PI zal dan worden gemarteld van buitenaf tot hij het opgeeft.

Het is heel erg. Nog erger is dat meesmuilende "sukkel" als reactie gevolgd door "Had je maar dit".

Niemand in Nederland zou het accepteren als willekeurige mensen elk huis van deur tot deur langslopen en aan ramen en deuren rammelen. Op internet mag dat allemaal wel.
Reageer
PCG2020 @FrostyPeet15 november 2025 09:38
(...) iemand in Nederland zou het accepteren als willekeurige mensen elk huis van deur tot deur langslopen en aan ramen en deuren rammelen. Op internet mag dat allemaal wel.
Op internet mag dat ook niet, alleen is daar veel minder makkelijk iets tegen te doen. Je kunt alleen zorgen dat je de beveiliging zo goed mogelijk op orde hebt en dan is er nog geen 100% garantie dat je niet gehackt kunt worden. Maak het een aanvaller zo moeilijk mogelijk.
Reageer
poktor @PCG202015 november 2025 12:30
Dit inderdaad. Ik heb een eigen mailserver draaien. Die wordt 24/7 aangevallen door gescripte bots uit korea en rusland. Gaat gewoon permanent jaren door. Het gebeurt allemaal automatisch. Bots speuren het internet af op zoek naar open poortjes en als ze "snoepgoed" zoals een mailserver vinden, blijven ze zonder ophouden proberen die te brute-forcen. Triest volk daar.
Reageer
aikebah @poktor15 november 2025 20:10
Dit inderdaad. Ik heb een eigen mailserver draaien. Die wordt 24/7 aangevallen door gescripte bots uit korea en rusland.
Die aso's doen het gewoon overal vandaan hoor. Je vergeet minstens nog Nederland, China, Amerika, Frankrijk, Duitsland, Engeland als bronlanden waar aanvallen vandaan komen,
Reageer
poktor @aikebah16 november 2025 17:59
Klopt ja. VPSje ergens huren voor een habbekrats, botjes erop en gaan.
Reageer
sassas @FrostyPeet15 november 2025 12:24
Dat gerammel is niet bijzonder. Je lichaam wordt de hele dag aangevallen door gespuis. Gelukkig heb je een immuunsysteem om te zorgen dat je niet wordt "versleuteld"

Het gerammel dient dus ook om software uiteindelijk beter bestand te maken.
Reageer
metalmania_666 15 november 2025 09:13
Géén enkel bedrijf is 100% veilig, alleen denken sommige Tweakers dat het bij hun wel zo is.

Het is net als met een huis. Hoeveel sloten je er ook op zet, welk alarm systeem je ook aan hebt.
Als ze perse bij jouw naar binnen willen komen, dan komen ze binnen. Zeker als het staats actoren zijn.

Wie weet is er gebruik gemaakt van een zero-day kwetsbaarheid.

Zolang het onderzoek nog loopt, kan je wel van alles roepen, maar wacht gewoon de uitkomst af.
Reageer
lenwar
@metalmania_66615 november 2025 09:52
Mijn bedrijf is natuurlijk de uitzondering ;)

Je hebt natuurlijk gelijk. Ieder bedrijf is hier mee bezig. De vraag is niet of je gepakt wordt, maar wanneer. Dat zou de houding moeten zijn.

Al zou je als je bedrijf niets/zo min mogelijk open hebben staan naar binnen, je patches altijd binnen een week installeert, al je beveiligingsnormen bijhoudt en al je personeel continu opleidt, dan kan het nog steeds een keer mis gaan.

Toch dat ene linkje aangeklikt, die zero-day, enz, enz.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq