WarLock eist Colt-cyberaanval op, 1 miljoen documenten te koop

In dit artikel:

Vorige week werd telecombedrijf Colt het slachtoffer van een grote cyberaanval. De aanspraak op de aanval komt van de hackersgroep WarLock; een account met de naam "cnkjasdfgd" zegt één miljoen documenten te koop te hebben gezet voor 200.000 dollar en heeft een steekproef van bestanden gepubliceerd. Die sample bevat volgens de advertentie salaris- en financiële gegevens, informatie over contracten en personeel, netwerkarchitectuur, de ontwikkelomgeving en e-mails — het gaat volgens berichten vooral om interne data.

Colt meldt dat de getroffen systemen intern zijn en dat klantgegevens op afgescheiden infrastructuur zouden zijn gebleven, maar het bedrijf onderzoekt de claim nog. Het is onduidelijk of er om losgeld gevraagd is of dat er betaald is. Voor klanten zijn diensten als het klantportaal, Colt Online en het Voice API-platform nog steeds offline; contact via e-mail of telefoon is wel mogelijk.

Onderzoekers wijzen naar een concreet aanvalspad: WarLock staat erom bekend kwetsbaarheden in Microsoft SharePoint te misbruiken. Een recent gepatchte ToolShell zero-day (CVE-2025-53770) vormt nog steeds een risico voor honderden SharePoint-servers; securityonderzoeker Kevin Beaumont zegt dat via die zwakke plek remote code execution mogelijk werd gemaakt. Dat sluit aan bij het patroon van eerdere WarLock-aanvallen.

Colt was in de eerste dagen terughoudend met details, bevestigde later dat het om een cyberincident ging en werkt sindsdien met externe specialisten aan herstel en forensisch onderzoek. Het bedrijf heeft de relevante autoriteiten geïnformeerd en benadrukt de prioriteit voor de veiligheid van klanten, medewerkers en bedrijfsvoering.

Kort samengevat: WarLock claimt verantwoordelijkheid en publiceerde bewijs van interne Colt-gegevens, de vermoedelijke exploit betreft een recent gepatchte SharePoint-kwetsbaarheid, en Colt voert herstelwerkzaamheden uit terwijl klantdiensten deels nog offline zijn.