Op 2 mei 2025, precies om 8:00 uur 's ochtends, viel de website van het Nederlandse reisbedrijf Corendon stil. Tijdens een georganiseerde DDoS-attack werd het online boekingsysteem volledig uitgeschakeld — een ongehoorde onderbreking voor een bedrijf dat dagelijks zo’n 7.200 reserveringen verwerkt. Slechts een paar uur later volgde Arriva, de grote Nederlandse vervoerder van treinen en bussen. De aanvallen kwamen niet uit het niets. De hackergroep NoName, die zich openlijk als pro-Russisch positioneert, had dagen eerder een duidelijke boodschap uitgevaardigd: "time to visit the Netherlands again" en "remind you how the help of the Kyiv regime ends". Het was geen gewone cyberstoring. Het was een politieke daad — en Nederland was het doelwit.
Waarom juist Corendon en Arriva?
De keuze van de doelen was geen toeval. NoName volgde een systematisch, alfabetisch patroon. Eerst waren de Nederlandse provincies aan de beurt: Gelderland, Utrecht, Noord-Brabant — allen aangevallen in de weken voor 2 mei. Nu was het de beurt aan bedrijven met een naam die begint met een C en een A. Corendon, als reisbedrijf, en Arriva, als openbaar vervoerder, vallen onder de categorie "essentiële infrastructuur" volgens de Nederlandse wetgeving. Beide bedrijven zijn kritiek voor de dagelijkse mobiliteit van duizenden Nederlanders. En dat is precies wat de hackers wilden benadrukken: dat de oorlog in Oekraïne ook hier zijn prijs eist — niet op het slagveld, maar in de woonkamer, op het perron, bij het boeken van een vakantie.
Het verhaal achter de aanvallen
De aanval op Corendon begon precies om 8:00 uur. De website werd overspoeld met verkeer, een klassieke DDoS-aanval waarbij duizenden gekompromitteerde apparaten tegelijkertijd verzoeken sturen naar de server — tot die instort. Geen gegevens gestolen, geen malware geïnstalleerd. Alleen: geen boeken meer. Passagiers konden niet meer check-in, maar de vluchten en accommodaties liepen gewoon door. De operaties waren intact, alleen de digitale toegang was weg. Bij Arriva was het iets minder dramatisch: de website raakte gedeeltelijk ontoegankelijk, maar ticketkopen en dienstregelingen bleven gedeeltelijk functioneren. Wat Arriva wist, was dat hun naam stond op een lijst. Een lijst die rondging onder cybersecurity-teams. Een lijst met Nederlandse bedrijven, in alfabetische volgorde. Arriva was op nummer twee. Wat volgde, was voorspelbaar.
De verbinding met Oekraïne-hulp
De boodschap van NoName was duidelijk: "remind you how the help of the Kyiv regime ends". Dat betekent: wij herinneren jullie aan de gevolgen van jullie steun aan Oekraïne. En die steun is enorm. Sinds februari 2022 heeft Nederland meer dan 1,7 miljard euro aan militaire hulp en 650 miljoen euro aan humanitaire steun verstrekt — een van de grootste bijdragen in de EU. Op 15 april 2025, slechts drie weken voor de aanvallen, leverde Nederland zelfs 18 Caesar-howitzers aan Oekraïne. De hackers reageerden niet op een diplomatieke uitspraak. Ze reageerden op daadwerkelijke wapens. En ze kozen hun slachtoffers met precision: bedrijven die de Nederlandse samenleving aansturen — en die dus symbolisch staan voor wat Nederland in de wereld doet.
Wie is NoName?
Geen leiders, geen gezichten, geen officiële website. NoName is een losse, maar goed georganiseerde hackercollectief met duidelijke pro-Russische sympathieën. Ze werken niet voor het Russische leger, maar hun tactieken, hun taal, hun timing — alles wijst op nauwe verbindingen met Russische militaire inlichtingendiensten zoals de GRU. Ze hebben al eerder DDoS-aanvallen uitgevoerd op Europese bedrijven die Oekraïne ondersteunden. Volgens de databank van Konbriefing.com zijn er tussen januari en april 2025 al 47 soortgelijke aanvallen geweest op bedrijven in Duitsland, België en Frankrijk. Nederland was tot nu toe relatief beschermd. Tot 2 mei.
Wat betekent dit voor Nederland?
De aanvallen zijn geen isolated incidenten. Ze zijn het begin van een nieuw stadium in de cyberoorlog. De Nederlandse Nationale Cyber Security Centre (NCSC) registreerde tussen 2022 en 2024 al 1.842 cyberincidenten met verband met Rusland. Nu zijn het geen overheden meer die worden aangevallen — maar burgers. De man die zijn treinticket wil kopen. De vrouw die haar vakantie wil boeken. De ondernemer die zijn reisbureau niet kan openen. De impact is psychologisch: je voelt je niet meer veilig, zelfs als je niet de oorlog voert. En dat is precies het doel.
Wat komt er nu?
De volgende doelen zijn al voorzien. Volgens de alfabetische volgorde komt nu de B. Booking.com. Boskalis. Buma/Stemra. Elk bedrijf met een naam die begint met B is nu een potentiële target. Cybersecurity-bedrijf Fox-IT waarschuwt al: "De aanvalsfrequentie stijgt tijdens sleutelmomenten in de Oekraïne-hulp." Dat betekent: als Nederland opnieuw een wapenleverantie aankondigt — bijvoorbeeld vliegtuigen, raketten, of duizenden granaten — dan kan er weer een aanval volgen. De hackers zijn niet uitgeput. Ze zijn in een permanente staat van wacht. En ze wachten op het volgende alfabetische doel.
Waarom is dit geen gewone hackerattack?
Want het is geen geldstelen. Geen data-lek. Geen ransomware. Dit is oorlog in digitale vorm — en het is georganiseerd, gericht en politiek gemotiveerd. Het is een vorm van cyber-terreur, bedoeld om de samenleving te verontrusten, niet te vernietigen. Het is een boodschap: "Jullie steunen Oekraïne? Dan betekent dat dat jullie thuis ook niet veilig zijn." En dat is nieuw. Tot nu toe waren overheden het doel. Nu zijn het de gewone burgers — via hun dagelijkse diensten.
Frequently Asked Questions
Hoeveel Nederlandse bedrijven zijn al getroffen door NoName?
Tot nu toe zijn minstens 12 Nederlandse provincies en twee grote bedrijven — Corendon en Arriva — getroffen door NoName’s DDoS-aanvallen sinds maart 2025. De aanvallen volgen een alfabetisch patroon, waarbij eerst overheden (Gelderland, Utrecht) en nu bedrijven (C en A) worden aangevallen. Experts verwachten dat minstens 20-30 bedrijven met een naam beginnend met B, C en D nog in het vizier staan.
Hebben de hackers gegevens gestolen?
Nee. Alle aanvallen waren zuiver DDoS-aanvallen: ze wilden diensten uitschakelen, geen gegevens stelen. Corendon en Arriva bevestigden dat er geen datalekken zijn geweest, geen klantgegevens zijn gecompromitteerd. Dit maakt de aanvallen psychologisch en symbolisch, niet financieel. Het doel is niet geld, maar angst.
Waarom is de Nederlandse overheid niet sneller opgetreden?
De NCSC waarschuwt al maanden voor deze aanvalsvorm, maar DDoS-aanvallen zijn moeilijk te voorkomen. Ze komen van duizenden geïnfecteerde apparaten wereldwijd — vaak zonder wetenschap van de eigenaar. De overheid kan niet elke website beschermen, vooral niet van particuliere bedrijven. Wel kan ze adviseren: gebruik CDN’s, verhoog de capaciteit, en houd een reactieplan klaar. Corendon en Arriva deden dat — maar de schaal van de aanval was ongekend.
Wat kunnen burgers zelf doen?
Niets. De aanvallen richten zich op de achterkant van de systemen, niet op de gebruiker. Maar burgers kunnen wel bewust zijn: als je een website niet bereikbaar is, betekent dat niet dat je account is gehackt. Het is een technische storing, geen persoonlijke dreiging. Het belangrijkste is: geen paniek. En geen geruchten verspreiden — want dat is wat de hackers willen: chaos.
Zijn er al arrestaties gedaan?
Nee. NoName werkt via een netwerk van wereldwijd verspreide bots, vaak op basis van gekraakte IoT-apparaten. Er is geen enkel bekend lid of locatie. De groep is ontworpen om onvindbaar te zijn. Internationale politie, waaronder Europol, volgt de activiteiten, maar een arrestatie lijkt op dit moment onmogelijk. Het is een oorlog zonder vijand — en daarmee een van de moeilijkste vormen van cyberveiligheid.
Wat gebeurt er als Booking.com wordt aangevallen?
Als Booking.com wordt aangevallen, zou dat een enorme impact hebben: duizenden Nederlandse vakantieboekingen zouden plotseling onmogelijk zijn. Het zou ook een politieke boodschap zijn: de economie van toerisme, een belangrijke sector voor Nederland, is nu een oorlogsdoelwit. De overheid zou dan waarschijnlijk een noodsituatie uitroepen en samenwerken met de EU om een snelle technische reactie op te zetten — maar de schade aan het vertrouwen van de consument zou lang aanhouden.
