In het tweede kwartaal van 2025 is het wereldwijde aantal ransomware aanvallen explosief gestegen. Nieuwe cijfers laten zien dat niet alleen het aantal aanvallen blijft toenemen, maar ook de schaal, de impact en de technieken die cybercriminelen gebruiken. Daarbij worden niet alleen grote organisaties getroffen, ook kleinere instellingen in kwetsbare sectoren als zorg, retail en dienstverlening krijgen het zwaar te verduren. De dreiging blijft zich ontwikkelen en verplaatst zich steeds vaker buiten het zicht van het publiek.
Sterke stijging zichtbaar in publieke cijfers
Publiek gemelde ransomware incidenten zijn in het tweede kwartaal van 2025 met 63 procent gestegen vergeleken met hetzelfde kwartaal in 2024. In totaal werden 276 aanvallen openbaar gemaakt, het hoogste aantal sinds metingen begonnen. Elke maand van het kwartaal brak records, met juni als uitschieter, een stijging van 113 procent ten opzichte van een jaar eerder. De gezondheidszorg was het vaakst doelwit, met 52 aanvallen, gevolgd door overheidsinstellingen en de dienstensector. Samen zijn deze drie sectoren goed voor bijna de helft van alle bekende gevallen.
Een opvallende ontwikkeling is dat 95 procent van de aanvallen gepaard ging met het stelen van gevoelige data. Dit betekent dat ransomwaregroepen niet langer alleen systemen vergrendelen om losgeld te eisen, maar ook vertrouwelijke gegevens exfiltreren als extra drukmiddel. Hierdoor lopen organisaties meer risico op reputatieschade, juridische claims en langdurige gevolgen. Ransomware is daarmee een complexe combinatie van digitale gijzeling en datadiefstal geworden.
Verborgen ransomwarewereld blijft overheersen
Wat minder zichtbaar is maar minstens zo verontrustend, is het aantal aanvallen dat niet openbaar wordt gemaakt. In het tweede kwartaal van 2025 vonden naar schatting 1.446 niet gemelde ransomware incidenten plaats, een stijging van 19 procent ten opzichte van vorig jaar. Slechts 19 procent van alle ransomware aanvallen wordt daadwerkelijk publiek bekend, wat wijst op een enorme blinde vlek in het mondiale dreigingsbeeld. Organisaties kiezen er vaak voor om incidenten stil te houden, uit angst voor imagoschade of omdat ze zelf onderhandelen met de aanvallers.
In deze verborgen categorie waren de sectoren dienstverlening en industrie het vaakst doelwit. Informatie over datadiefstal in deze gevallen laat zien dat gemiddeld ruim 850 gigabyte per aanval werd buitgemaakt. De financiële eisen variëren sterk, maar bij een van de incidenten werd een bedrag van 4,5 miljoen dollar geëist. De aanval op het Keniaanse pensioenfonds NSSF maakte gebruik van vergeten toegangsgegevens en gebrekkige netwerksegmentatie. Deze casus benadrukt hoe fundamentele fouten in basisbeveiliging kunnen leiden tot grootschalige inbreuken.
Nieuwe tactieken, oude zwakke plekken
Ransomwaregroep Qilin was in het afgelopen kwartaal de meest actieve speler. De groep voerde 10 procent van alle publiek gemelde aanvallen uit en was betrokken bij 15 procent van de incidenten op darkweb leksites. Wat Qilin bijzonder maakt, is hun nieuwe werkwijze, zij schakelen juridische experts in om hun afpersing kracht bij te zetten. Deze ‘advocaten’ analyseren welke privacywetgeving is overtreden, welke boetes kunnen volgen en hoeveel reputatieschade dreigt, zodat de slachtoffers onder druk sneller zouden betalen.
Ook andere bekende groepen zoals Akira, Interlock en Play blijven actief. Daarbij valt op dat ransomware steeds professioneler georganiseerd is. Groepen maken gebruik van gestolen inloggegevens, sociale manipulatie, legitieme beheertools en zelfs AI om hun aanvallen te versnellen en geautomatiseerd uit te voeren. Zo werd DaVita, een Amerikaans zorgbedrijf, aangevallen waarbij naar verluidt 1,5 terabyte aan gegevens is buitgemaakt. De aanval zorgde voor ernstige verstoringen in de zorgverlening aan duizenden patiënten. In andere gevallen, zoals bij Kettering Health, leidde de aanval tot stilgelegde operaties en juridische procedures van patiënten die getroffen werden door vertraagde zorg.
Retailsector onder druk, ook in europa
Hoewel de retailsector niet de meeste aanvallen telde, kreeg het wel te maken met een opvallende stijging van 58 procent in gemelde incidenten ten opzichte van het eerste kwartaal. Vooral Britse winkels zoals Marks & Spencer, Coop en Harrods werden getroffen. De impact was groot, systemen voor voorraadsbeheer en bestellingen vielen uit, wat direct leidde tot lege schappen en forse economische schade. Sommige schattingen spreken van honderden miljoenen euro’s aan misgelopen omzet. Naast directe aanvallen op winkels werden ook toeleveranciers, zoals United Natural Foods en Peter Green Chilled, slachtoffer van ransomware, wat de ketenbrede gevolgen nog groter maakt.
De reden waarom retail een aantrekkelijk doelwit is, ligt voor de hand. Door de afhankelijkheid van realtime systemen, dunne marges en de druk om snel weer operationeel te zijn, is de kans op het betalen van losgeld relatief hoog. Daarnaast beschikken retailers over grote hoeveelheden klantgegevens en betaalinformatie, wat een extra stimulans vormt voor cybercriminelen. Een opvallende speler in dit segment is de groep Scattered Spider, die zich richt op grote internationale merken met behulp van geavanceerde phishingcampagnes en misbruik van beheertools. Merken als Dior, Adidas, Tiffany & Co. en Victoria’s Secret waren dit kwartaal het slachtoffer van dergelijke aanvallen.
Technologische versnelling vraagt om snellere respons
De opkomst van AI speelt een toenemende rol in de evolutie van ransomware. Zelfs kleinere groepen zoals FunkSec maken inmiddels gebruik van generatieve AI om overtuigende phishingmails te maken, malware te ontwikkelen en onderhandelingsteksten te automatiseren. AI zorgt er ook voor dat ransomware flexibeler wordt en moeilijker te detecteren is, bijvoorbeeld door gebruik te maken van polymorfe technieken die zich telkens aanpassen aan beveiligingssystemen.
Cybersecurity experts benadrukken dat de verdediging mee moet evolueren. Alleen AI gebruiken om AI te bestrijden is niet voldoende. Basismaatregelen zoals het snel patchen van kwetsbaarheden, het gebruik van multifactor authenticatie, segmentatie van netwerken en het beperken van toegang blijven essentieel. Tegelijkertijd is er behoefte aan betere detectietools, gedragsanalyse en bescherming tegen datadiefstal op endpoints. Zeker in sectoren met kritieke infrastructuur of ketenafhankelijkheid kan een korte verstoring leiden tot langdurige en kostbare schade.
Het rapport onderstreept ook dat de drempel om een geavanceerde aanval uit te voeren steeds lager wordt. Met de juiste tools kan een enkele aanvaller tegenwoordig hetzelfde bereiken als wat voorheen een heel team nodig had. Dit maakt het extra urgent voor organisaties om hun kennis, processen en technologieën op elkaar af te stemmen en structureel te investeren in cyberweerbaarheid.
Wat is?
- Wat is?: datadiefstal (data exfiltratie) - Doxware
Datadiefstal of data exfiltratie betekent dat cybercriminelen vertrouwelijke gegevens uit een systeem halen en meenemen, vaak om slachtoffers extra onder druk te zetten. - Wat is?: darkweb leksite
Een darkweb leksite is een verborgen website waar cybercriminelen gestolen gegevens publiceren als slachtoffers geen losgeld betalen. - Wat is?: polymorfe malware
Polymorfe malware is kwaadaardige software die steeds van vorm verandert om beveiligingssystemen te ontwijken en onopgemerkt te blijven. - Wat is?: endpoint
Een endpoint is elk apparaat dat verbonden is met een netwerk, zoals een laptop, smartphone of server. Het is vaak een ingangspunt voor aanvallen. - Wat is?: Zero Trust
Zero Trust is een beveiligingsmodel dat ervan uitgaat dat niemand – binnen of buiten het netwerk – automatisch te vertrouwen is. Elk toegangspoging moet worden gecontroleerd. - Wat is?: MITRE ATT&CK
MITRE ATT&CK is een openbaar raamwerk dat beschrijft hoe cybercriminelen te werk gaan. Het helpt organisaties bij het herkennen en verdedigen tegen aanvallen. - Wat is?: social engineering
Social engineering is een methode waarbij criminelen mensen misleiden om vertrouwelijke informatie te geven, zoals wachtwoorden of toegangscodes. - Wat is?: generatieve AI
Generatieve AI is kunstmatige intelligentie die zelf teksten, afbeeldingen of codes kan maken. Cybercriminelen gebruiken het om phishingmails of malware te genereren.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Reactie plaatsen
Reacties