Ransomware Rapport 2025: Veerkracht in een Door AI Aangedreven Bedreigingslandschap

Ransomware: De Grootste Cyberdreiging van Dit Decennium

Inleiding

Ransomware heeft zich bewezen als de grootste cyberdreiging van dit decennium. Het Akamai Ransomware-rapport 2025 onthult een steeds complexer scenario, waarbij de samensmelting van cybercriminaliteit, hacktivisme en kunstmatige intelligentie de tactieken van digitale afpersing opnieuw definieert.

In 2024 stegen de ransomware-aanvallen met 37% en vertegenwoordigden ze 44% van de wereldwijde datalekken, met bijzonder hoge pieken in de regio Azië-Pacific (51% van de incidenten) en een significante impact in Europa (27%) en Latijns-Amerika (29%).


De Rol van AI en LLM in de Nieuwe Ransomware

Groepen zoals FunkSec en Black Basta hebben generatieve kunstmatige intelligentie (GenAI) en taalmodellen (LLM) geïntegreerd om hun campagnes te verfijnen:

  • Automatische creatie van kwaadaardige code en varianten van ransomware.
  • Onderhandelingschatbots die direct met slachtoffers communiceren.
  • Hyperrealistische phishing en vishing die bedrijfsidentiteiten nabootsen.
  • Gebruik van opkomende tools zoals WormGPT of FraudGPT, die de mogelijkheid om geavanceerde aanvallen uit te voeren democratiseren zonder grote technische kennis.

De gevolgen zijn duidelijk: een toename in schaal, verfijning en frequentie van aanvallen.


Van Dubbele naar Verviervoudigde Afpersing

Het rapport beschrijft de evolutie van de tactieken van aanvallers:

  1. Eenvoudige afpersing: versleuteling van gegevens en losgeld eisen.
  2. Dubbele afpersing: bijkomende dreiging om de gestolen informatie te lekken.
  3. Drievoudige afpersing: druk op derden (werknemers, partners, klanten) of DDoS-aanvallen om betaling af te dwingen.
  4. Verviervoudige afpersing: gebruik van regelgevende normen tegen het slachtoffer, door vermeende inbreuken te melden bij officiële instanties.

Een sprekend voorbeeld is CL0P, dat in februari 2025 385 aanvallen in enkele weken claimde, een historisch record. Black Basta registreerde meer dan 120.000 aanvalspogingen in slechts één week, terwijl LockBit, ondanks politieoperaties tegen hen, zijn activiteit voortzet met continue heropkomsten en rebranding.


Het RaaS-ecosysteem: Ransomware als Dienst

Het RaaS-model (Ransomware-as-a-Service) heeft het landschap veranderd. Vandaag de dag kan elke acteur met beperkte kennis geavanceerde campagnes lanceren dankzij kant-en-klare kits.

Het ecosysteem omvat:

  • Ontwikkelaars, die de malware creëren en bijwerken.
  • Affiliates, verantwoordelijk voor het uitvoeren van de aanvallen en het onderhandelen van losgelden (zij houden tot 90% van de winst).
  • Toegangsmakelaars (IAB’s), die toegang verkopen tot kwetsbare bedrijfsnetwerken.

Dit model, vergelijkbaar met een legitieme software-industrie, heeft ransomware gedemocratiseerd en de reikwijdte ervan vergroot.


Hacktivisme en Ransomware: Een Vage Grens

Een opkomend fenomeen is de samensmelting tussen financiële cybercriminaliteit en ideologisch hacktivisme. Groepen zoals DragonForce, KillSec of CyberVolk gebruiken ransomware niet alleen voor economische winst, maar ook om politieke campagnes te financieren of overheden te destabiliseren.

Tegelijkertijd hebben collectieven zoals Head Mare, Twelve en NullBulge ransomware aangenomen als instrument voor politieke en sociale verstoring, waarbij zelfs gelekte versies van LockBit worden gebruikt om online gemeenschappen, AI-ontwikkelaars en gamingplatforms aan te vallen.


TrickBot: Een Oude Bekende die Blijft Strijden

Het rapport legt een sectie toe aan de TrickBot-malware, verbonden aan de groep Wizard Spider en actief sinds 2016.

  • Oorspronkelijk ontworpen als banktrojan, is het nu een modulaire platform dat wordt gebruikt als voorlopige vector in ransomwarecampagnes.
  • Het wordt geschat dat TrickBot heeft bijgedragen aan de afpersing van meer dan 724 miljoen dollar in cryptocurrencies.
  • Ondanks internationale operaties van Europol en Eurojust in 2025 (Endgame 2.0), blijft het zich regenereren.

Het Meest Getroffen Sectoren in 2025

Ransomware discrimineert niet, maar er zijn sectoren die bijzonder zwaar zijn getroffen:

  • Fabricage: meer dan 400 bedrijven getroffen in het eerste kwartaal van 2025, met gemiddelde herstelkosten van 1,7 miljoen dollar.
  • Gezondheidszorg: het gemiddeld losgeld bedraagt 860.000 dollar, met verliezen aan stilstand van 1,9 miljoen per dag.
  • Overheidsinstanties: aanvallen in de VS, Brazilië en Indonesië leidden tot stillegging van essentiële diensten en miljardenclaims.
  • Onderwijs: scholen en universiteiten met verouderde systemen zijn gemakkelijke doelwitten; er zijn losgelden geregistreerd tot 1,5 miljoen dollar.

Kosten en Operationele Continuïteit

De schade gaat veel verder dan alleen het betalen van het losgeld:

  • 21 dagen inactiviteit gemiddeld na een aanval.
  • Gemiddeld herstel in 2024: 2,73 miljoen dollar, exclusief losgelden.
  • Impact op reputatie, klantvertrouwen en naleving van regelgeving (bijv. GDPR, HIPAA).
  • Risico op definitieve sluiting voor bedrijven zonder solide continuïteitsplannen.

Hoe Veerkracht Te Verhogen

Het rapport stelt een mitigatiekader voor, gebaseerd op verschillende lagen:

  • Zero Trust-architectuur met microsegmentatie om laterale bewegingen te stoppen.
  • Veilige back-ups die regelmatig worden getest, geïsoleerd van het hoofdnetwerk.
  • Real-time detectie met verdedigende AI, in staat om de snelheid van aanvallers tegen te gaan.
  • Beveiliging van de perimeter en API’s, tegen zero-day kwetsbaarheden.
  • Continuïteitsplannen en cyberverzekeringen, steeds gebruikelijker: verwacht wordt dat de wereldwijde premies 23 miljard dollar zullen bereiken in 2026.

De centrale boodschap: een mentaliteit aannemen van “aanvallen verwachten”, oftewel er van uitgaan dat de aanval zal komen en de organisatie voorbereiden om snel te weerstaan en te herstellen.


Conclusie

Ransomware in 2025 is meer verfijnd, geïndustrialiseerd en gediversifieerd dan ooit tevoren. De opkomst van kunstmatige intelligentie heeft de instapdrempels verlaagd en de effectiviteit van aanvallen vermenigvuldigd. De enige levensvatbare reactie voor bedrijven, overheden en organisaties is om hun veerkracht te versterken, preventie te combineren met vroege detectie en te accepteren dat absolute verdediging niet langer bestaat.

De uitdaging is niet alleen om een aanval te voorkomen, maar om te overleven zonder dat het het einde van de organisatie betekent.


Veelgestelde Vragen (FAQ)

Wat is verviervoudige afpersing in ransomware?
Het is een tactiek waarbij, naast het versleutelen van gegevens, het stelen van informatie en het dreigen met DDoS, aanvallers druk uitoefenen op het slachtoffer door vermeende regelgevende inbreuken te melden (zoals GDPR of HIPAA) om de schade te vermenigvuldigen.

Welke groepen zijn het meest actief in 2025?
CL0P, LockBit, Black Basta, FunkSec en RansomHub staan bovenaan de lijst, maar ook hybride hacktivisten zoals DragonForce of KillSec vallen op.

Waarom spreken we van ransomware als dienst (RaaS)?
Omdat veel groepen hun ransomware-kits verkopen of huren op het dark web, waardoor affiliates zonder grote technische kennis kampagnes kunnen uitvoeren in ruil voor een deel van de opbrengsten.

Welke maatregelen helpen om een ransomware-aanval te weerstaan?
Het aannemen van Zero Trust, het toepassen van microsegmentatie, het onderhouden van geïsoleerde back-ups, het hebben van business continuity plannen en het gebruik van AI-gebaseerde detectieoplossingen zijn enkele van de meest aanbevolen maatregelen in het Akamai-rapport 2025.

Meer informatie is te vinden op Akamai.

Scroll naar boven