Deze podcast is AI-gegeneerd. (Engels)
In de wereld van cybercriminaliteit is ransomware een van de grootste dreigingen voor zowel bedrijven als overheden. De afgelopen jaren heeft de ransomware-industrie zich steeds verder ontwikkeld, met nieuwe groepen die de leiding overnemen en de aanvallen complexer maken. Volgens een recent rapport van Searchlight Cyber is er in 2024 een significante toename van het aantal actieve ransomwaregroepen op het darkweb. Het rapport, getiteld Same Game, New Players: Ransomware in 2025, benadrukt dat de ransomwarebedreiging niet alleen is toegenomen, maar ook is veranderd. Dit artikel duikt dieper in de trends en veranderingen die in 2025 het ransomware-landschap zullen kenmerken.
Toename van ransomwaregroepen op het darkweb
In 2024 werden maar liefst 94 ransomwaregroepen geregistreerd, een stijging van 38% ten opzichte van 2023. Deze toename is vooral te danken aan de opkomst van nieuwe, kleinere ransomwaregroepen die zich sneller kunnen aanpassen en flexibeler zijn dan hun voorgangers. Er werden 49 nieuwe groepen geïdentificeerd, wat een belangrijke verschuiving markeert in de dynamiek van het ransomware-ecosysteem. De steeds grotere verscheidenheid aan spelers maakt het moeilijker voor beveiligingsteams om effectieve verdedigingsstrategieën te ontwikkelen.
Met een toenemend aantal ransomwaregroepen op het darkweb wordt het voor organisaties steeds moeilijker om zich voor te bereiden op de specifieke bedreigingen die ze kunnen tegenkomen. De groei van kleinere, minder bekende groepen zorgt voor een complexere aanvalssituatie, waarin meer variatie is in de gebruikte aanvalstechnieken en het type slachtoffers. Dit leidt tot een grotere onzekerheid over hoe beveiligingsteams hun verdedigingsmaatregelen het beste kunnen afstemmen op de specifieke bedreigingen waarmee ze te maken kunnen krijgen.
De structuur van ransomwaregroepen: Ransomware-as-a-Service
Een belangrijk element in de stijging van het aantal ransomwaregroepen is het gebruik van het Ransomware-as-a-Service (RaaS)-model. Dit model stelt andere cybercriminelen in staat om ransomware-aanvallen uit te voeren onder de vlag van een grotere groep. Het succes van groepen zoals RansomHub is deels te danken aan dit model, wat hen in staat stelt snel hun activiteiten uit te breiden zonder zelf de volledige technische infrastructuur en middelen te ontwikkelen. Door andere criminelen toegang te geven tot hun ransomware-tools en netwerken, kunnen deze groepen hun bereik aanzienlijk vergroten.
De verscheidenheid aan aanvalstechnieken die door de verschillende groepen wordt gebruikt, wordt mede mogelijk gemaakt door dit RaaS-model. Zo kan een kleinere groep bijvoorbeeld profiteren van de tools en ervaring van grotere, meer gevestigde groepen zonder zelf de expertise in huis te hebben. Dit model zorgt ervoor dat de dreiging van ransomware-aanvallen breder verspreid is en dat beveiligingsteams met een veel grotere verscheidenheid aan tactieken te maken hebben.
RansomHub vervangt LockBit als nummer één
Een van de meest opvallende bevindingen uit het rapport is de opkomst van RansomHub als de meest actieve ransomwaregroep van 2024. Deze groep heeft LockBit, lange tijd een van de grootste en bekendste ransomwaregroepen, van de eerste plaats verdrongen. De verschuiving is deels te danken aan de wetshandhavingsoperatie Cronos, die vorig jaar een verzwakking van LockBit veroorzaakte. De operatie leidde ertoe dat de hoeveelheid slachtoffers van LockBit in 2024 gehalveerd werd, waardoor de weg vrij kwam voor nieuwere groepen om de leiding over te nemen.
RansomHub heeft zich snel bewezen als een dominante speler door zijn Ransomware-as-a-Service (RaaS)-model. Dit model biedt andere cybercriminelen de mogelijkheid om ransomware-aanvallen uit te voeren onder de merknaam van de groep, waardoor de groep zelf zijn bereik vergroot en andere criminelen in staat stelt om ransomware-aanvallen uit te voeren met behulp van de tools en infrastructuur die RansomHub biedt. Dit model is bijzonder aantrekkelijk voor kleinere, opkomende groepen die niet de middelen hebben om volledig zelfstandig ransomware-aanvallen te ontwikkelen. Het stelt hen in staat om hun aanvallen sneller en effectiever uit te voeren, terwijl ze ook profiteren van de reputatie en het netwerk van een grotere, gevestigde groep.
De nieuwe top vijf van ransomwaregroepen
Het rapport identificeert de vijf meest prolifieke ransomwaregroepen van 2024. Naast RansomHub, die de lijst aanvoert, staan ook LockBit, Play, Akira en Hunters International in de top vijf. Opvallend is dat van deze vijf groepen slechts LockBit langer dan drie jaar actief is. De andere vier groepen, waaronder de razendsnelle RansomHub, zijn relatief nieuw, met RansomHub zelf pas in februari 2024 op het toneel verschenen. Deze snelle opkomst benadrukt de dynamiek in het ransomwarelandschap en de veranderende verdeling van macht tussen de verschillende groepen.
Naast RansomHub zijn Play en Akira twee andere nieuwe groepen die zich snel hebben gepositioneerd als grote spelers. Deze groepen richten zich zowel op grote bedrijven als op specifieke sectoren, waardoor ze een breed scala aan slachtoffers kunnen maken. Play richt zich bijvoorbeeld veel op de financiële sector, terwijl Akira zijn pijlen richt op de technologie-industrie. Deze gedifferentieerde benadering maakt het voor bedrijven nog belangrijker om hun specifieke risico's te begrijpen en maatregelen te nemen om zich tegen gerichte aanvallen te beschermen.
Hunters International is een andere interessante groep, die zich richt op high-value targets, zoals overheidsinstellingen en grote multinationals. Deze groep heeft een meer gedetailleerde en gerichte aanpak, waarbij ze gebruik maken van geavanceerde technieken en kwetsbaarheden die specifiek gericht zijn op de doelwitten. De focus op high-value targets maakt hun aanvallen bijzonder verwoestend voor de getroffen organisaties, aangezien de aanvallen vaak langdurige verstoringen veroorzaken en grote financiële schade opleveren.
De verschuiving van cybercriminelen: hoe groepsdynamiek verandert
Een belangrijke bevinding in het rapport is de complexiteit die ontstaat wanneer groepen zoals RansomHub, ondanks hun korte bestaan, al banden hebben met oudere en grotere ransomwaregroepen zoals Knight, BlackCat en LockBit. Deze verbindingen suggereren een geavanceerder niveau van samenwerking en uitwisseling van technieken tussen verschillende ransomwaregroepen. Dit biedt een verklaring voor de snelle groei van groepen zoals RansomHub, die in staat zijn om de middelen en ervaring van hun voorgangers te benutten.
Deze samenwerking tussen ransomwaregroepen vergroot de uitdaging voor bedrijven en overheden, die vaak geconfronteerd worden met aanvallen van verschillende bronnen die dezelfde technieken gebruiken. Door de onderlinge samenwerking wordt het voor beveiligingsteams moeilijker om de aanvalspatronen van afzonderlijke groepen te onderscheiden, wat de effectiviteit van traditionele verdedigingsmaatregelen ondermijnt. Dit betekent dat organisaties zich niet alleen moeten richten op het identificeren van specifieke groepen, maar ook moeten nadenken over de bredere aanvalstechnieken en -methoden die door verschillende groepen kunnen worden gebruikt.
Wat betekent dit voor de cyberveiligheid?
De bevindingen van het Searchlight Cyber-rapport benadrukken de noodzaak voor organisaties om proactief te blijven in hun cyberbeveiliging. Met een toenemende hoeveelheid ransomwaregroepen op het darkweb is het cruciaal voor bedrijven om hun cyberdreigingsanalyses voortdurend bij te werken. Het identificeren van de specifieke ransomwaregroepen waar ze het meeste risico van lopen, kan hen helpen om zich te beschermen tegen de meest waarschijnlijke aanvallen.
Daarnaast is het belangrijk dat organisaties gebruikmaken van threat intelligence om een beter inzicht te krijgen in de technieken en tactieken die door ransomwaregroepen worden toegepast. Door actief te monitoren welke groepen zich richten op welke sectoren en het gebruik van veelvoorkomende aanvalstechnieken, kunnen beveiligingsteams beter voorbereid zijn op potentiële aanvallen. Het implementeren van gedragsgebaseerde detectiesystemen kan daarbij helpen, zodat verdachte activiteiten sneller worden opgemerkt, ongeacht de groep die de aanval uitvoert.
Met de opkomst van RansomHub en de verschuiving van de macht binnen het ransomware-ecosysteem, is het voor bedrijven belangrijker dan ooit om een gedegen verdedigingsstrategie te ontwikkelen die niet alleen focust op bekende dreigingen, maar ook flexibel genoeg is om op te treden tegen nieuwe, onbekende groepen. Het aanpassen van verdedigingsmaatregelen aan de steeds veranderende dynamiek van ransomwaregroepen is essentieel om de effectiviteit van beveiligingsstrategieën te waarborgen.
Een steeds complexer landschap
Het ransomware-landschap in 2025 is onmiskenbaar complexer geworden. Met een recordaantal ransomwaregroepen, waarvan vele nieuw en moeilijk te voorspellen zijn, is het essentieel voor bedrijven om hun verdedigingsstrategieën aan te passen. De opkomst van nieuwe spelers, zoals RansomHub, en de veranderende groepsdynamiek bieden zowel uitdagingen als kansen voor cybercriminelen en verdedigers. Organisaties moeten zich bewust zijn van deze verschuivingen en hun cyberbeveiliging continu versterken om de groeiende dreigingen het hoofd te bieden.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt. Heb je advies of hulp nodig? Digiweerbaar.
Reactie plaatsen
Reacties