Ransomwaregroep The Gentlemen claimt verantwoordelijk te zijn voor de aanval op het Instituut voor de Nederlandse Taal (INT). Het INT haalde vorige week meerdere taalwebsites offline na een hack en deed melding van de aanval bij de Autoriteit Persoonsgegevens. Onderzoek naar de aanval loopt nog, maar hoe de aanvallers binnenkwamen is inmiddels bekend.

Welke methode de aanvallers gebruikten om binnen te komen, deelt het INT niet. Wel laat het weten dat het onderzoek dat binnen enkele dagen wordt afgerond, deze binnenkomstmethode inmiddels heeft achterhaald.

“Het INT heeft back-ups en is bezig de systemen weer op te bouwen. Het is op dit moment nog onduidelijk wanneer de websites en services weer online komen. Zodra we meer informatie hebben zullen we die delen via de beschikbare kanalen.”

Via hun eigen website claimen de criminelen dit jaar al meer dan driehonderd organisaties en bedrijven te hebben getroffen.

Wie is The Gentlemen?

The Gentlemen is een relatief nieuwe maar opvallend actieve ransomwaregroep. Volgens FortiGuard Labs van Fortinet dook de groep medio 2025 op en richt ze zich op meer dan tweehonderd organisaties in meer dan vijftig landen en twintig sectoren, waaronder energie, overheid en zorg. De groep werkt als Ransomware-as-a-Service (RaaS), waarbij aangesloten criminelen een aandeel van circa negentig procent van het losgeld ontvangen.

Naast het versleutelen van systemen steelt de groep ook data en dreigt die openbaar te maken, een tactiek die bekendstaat als dubbele afpersing. Cybersecuritybedrijven wijzen erop dat The Gentlemen bekende kwetsbaarheden misbruikt in onder andere Fortinet FortiOS, React Server Components, Erlang/OTP en Windows, en tevens bruteforce-aanvallen uitvoert op FortiGate VPN-apparaten.

NCSC waarschuwde al voor Fortinet-risico’s

Het is niet de eerste keer dat Fortinet-kwetsbaarheden in verband worden gebracht met ransomware-aanvallen in Nederland. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde eerder al voor een toename van ransomware-aanvallen via kwetsbaarheden in FortiOS en FortiProxy. Daarbij werd misbruik gemaakt van kritieke authentication bypass-lekken die aanvallers super-adminrechten gaven. Volgens cybersecurityonderzoekers richt The Gentlemen zich specifiek op internet-exposed edge-apparaten van Fortinet en Cisco als initieel toegangspunt tot bedrijfsnetwerken.