Bij bijna alle ransomware-incidenten stelen aanvallers data
Bij nagenoeg alle (96%) ransomware-incidenten zijn afgelopen jaar data gestolen. Ook leggen aanvallers steeds meer prioriteit bij het wegsluizen van data, verbeteren van hun Business Email Compromise (BEC)-methoden en uitbuiten van bekende kwetsbaarheden om in te breken bij organisaties.
Het rapport baseert zich op inzichten uit incident response (IR)-zaken van Arctic Wolf, onderzoek naar dreigingsinformatie en telemetrie van het Arctic Wolf Aurora Platform. Daarnaast bevat het een diepgaande analyse van de tactieken, technieken en procedures die aanvallers gebruiken om traditionele beveiligingsmaatregelen te omzeilen. De gebruikte data is verzameld tussen 1 oktober 2023 en 30 september 2024. Het rapport geeft ook aanbevelingen voor organisaties die hun cyberweerbaarheid willen verbeteren.
Focus verschuift naar datadiefstal
Nu organisaties beter worden in het herstellen van een ransomware-aanval, richten cybercriminelen zich op het stelen van data om de druk op slachtoffers te vergroten. In bijna alle (96%) geanalyseerde ransomware-incidenten wordt data buitgemaakt.
Ransomware (44%), Business Email Compromise (BEC) (27%) en data-inbraken (24%) zijn samen verantwoordelijk voor 95% van alle incident response-zaken.
BEC blijft favoriete aanvalsmethode
BEC blijft groeien als favoriete methode van cybercriminelen, vooral in de financiële en verzekeringssector. Hier komt BEC in 53% van de IR-zaken voor en is het de enige sector waar deze aanvalstechniek vaker voorkomt dan ransomware.
In 76% van de gevallen waarin aanvallers systemen binnendringen, maken ze gebruik van slechts 10 specifieke kwetsbaarheden. Geen van deze kwetsbaarheden is een zero-day; de meeste hangen samen met remote access-tools en andere extern toegankelijke diensten. Dit benadrukt het belang van proactief patchmanagement.
Ransomware blijft veel schade veroorzaken
De mediane ransomware-kosten blijven op $600.000. Dit toont aan dat ransomware nog steeds een lucratieve business is voor cybercriminelen, ondanks strengere handhaving.
Het Arctic Wolf Incident Response-team helpt slachtoffers om losgeldeisen met 64% te verlagen. Van de klanten die gebruikmaken van de onderhandelingsdiensten van Arctic Wolf, hoeft 70% uiteindelijk geen losgeld te betalen.
Nederland staat in top vijf van meest getroffen landen
Uit het onderzoek blijkt verder dat vijf ransomware-groepen – Akira, LockBit 3.0, Black Suit, Fog en Play – samen verantwoordelijk zijn voor 42% van de ransomware-incidenten die Arctic Wolf onderzoekt. Drie van deze groepen – Black Suit, Fog en Play – zijn actief in Nederland, waarbij Nederland in de top vijf meest getroffen landen staat. Voor Black Suit staat ook België in de top vijf landen waar deze groep actief is.
“Uit het 2025 Arctic Wolf Threat Report blijkt dat cybercriminelen hun gedrag aan het veranderen zijn: het wegsluizen van data is de norm geworden en is niet meer een uitzondering. Aanvallers versleutelen niet langer alleen data met ransomware, ze stelen deze data eerst om de druk op hun slachtoffers te vergroten. De bevindingen uit het rapport kunnen organisaties helpen inzicht te krijgen in de risico’s waarmee ze vandaag de dag te maken krijgen en vormen de basis voor geavanceerde detectie- en responsestrategieën die zijn ingebed in het Arctic Wolf Aurora Platform om klanten veilig te houden”, zegt Kerri Shafer-Page, Vice President of Incident Response bij Arctic Wolf.
Meer informatie is beschikbaar in het volledige rapport, dat hier te vinden is.
Meer over Arctic Wolf
Over Wouter Hoeffnagel
