Conflict Midden-Oosten drijft wereldwijde cyberrisico's op
Terwijl het fysieke conflict in het Midden-Oosten voortduurt, verschuift de strijd steeds heviger naar het digitale domein. Unit 42, de onderzoekstak van cybersecurity-gigant Palo Alto Networks, meldt een zorgwekkende escalatie. Ondanks een bijna volledige internet-blackout in Iran, zien onderzoekers een scherpe toename van destructieve ‘wiper’-aanvallen en grootschalige phishing-campagnes die misbruik maken van regionale geopolitieke spanningen.
In een geactualiseerd rapport van 26 maart 2026 schetst Unit 42 een beeld van een hybride oorlog die zich over de hele wereld verspreidt. Hoewel de internetconnectiviteit in Iran zelf tot tussen de 1% en 4% is gedaald — wat de coördinatie van staatshacks bemoeilijkt — nemen buitenlandse actoren en hacktivisten de fakkel over.
Wiper-aanvallen en 'Operatie Epic Fury'
Sinds de start van de gezamenlijke offensieven Operation Epic Fury (VS) en Operation Roaring Lion (Israël) op 28 februari, is de digitale vergelding vanuit pro-Iraanse hoek massaal. Unit 42 waarschuwt specifiek voor het verhoogde risico op wiper-aanvallen: malware die bedoeld is om data permanent te vernietigen in plaats van te versleutelen voor losgeld.
Iraanse actoren hebben een geschiedenis met dit type destructieve aanvallen die teruggaat tot 2012. Onderzoekers zien nu dat verschillende groeperingen, waaronder het beruchte Handala Hack en het FAD Team, claimen succesvol te zijn binnengedrongen in kritieke infrastructuur, variërend van Israëlische energiesystemen tot brandstofvoorzieningen in Jordanië.
Cybercriminaliteit vermomd als humanitaire hulp
Naast destructie is er sprake van een enorme golf aan financiële fraude. Unit 42 identificeerde ruim 7.300 phishing-URL's die direct gelinkt zijn aan het conflict. Cybercriminelen maken misbruik van de bereidheid van mensen om te helpen.
- Donatie-scams: Websites zoals
irandonation.orgentrumpvsirancoin.xyzvragen om cryptocurrency onder het mom van hulp aan getroffen families. - Merk-imitatie: In de Verenigde Arabische Emiraten en Saoedi-Arabië worden grote namen als Emirates Post, Aramco en nationale banken geïmiteerd om creditcardgegevens en bedrijfscredentials te stelen.
- Evolutie in tactiek: Aanvallers gebruiken 'top-level domain rotation' (het snel wisselen van extensies zoals .com naar .xyz) om detectie te omzeilen zodra een domein geblokkeerd wordt.
Hacktivisme en de 'Electronic Operations Room'
Een opvallende ontwikkeling is de vorming van de "Electronic Operations Room" op 28 februari. Dit collectief coördineert verschillende hacktivisten-teams zoals RipperSec en Cyb3rDrag0nzz. Hun doel: gesynchroniseerde DDoS-aanvallen en het lekken van gevoelige data om westerse bondgenoten onder druk te zetten.
Zelfs pro-Russische groepen mengen zich in de strijd. De groep Russian Legion claimde onlangs zelfs toegang te hebben verkregen tot de controlesystemen van de Israëlische Iron Dome, hoewel dergelijke claims door experts vaak met een korrel zout worden genomen vanwege hun propagandistische aard.
Advies voor organisaties: "Back-ups buiten het netwerk"
Unit 42 benadrukt dat organisaties, ook in de Benelux, alert moeten blijven. Het conflict beperkt zich niet tot de regio; toeleveranciers en partners van betrokken partijen zijn wereldwijd doelwit. "Gezien de confirmed inzet van wipers, raden we organisaties dringend aan hun back-up- en herstelprocedures te testen," aldus het rapport. "Zorg dat ten minste één kopie van kritieke data offline (air-gapped) wordt bewaard."
Daarnaast wordt geadviseerd om strikte 'out-of-band' verificatie toe te passen voor ongebruikelijke verzoeken en internet-facing infrastructuur onmiddellijk te patchen tegen bekende kwetsbaarheden.
