Op Anti-Ransomware Day is er goed nieuws voor cyberbeveiligers

Een verrassend positieve ontwikkeling: ransomware takelt ietsje af. Het aandeel van organisaties dat getroffen wordt door deze hardnekkige cyberdreiging is in alle regio’s gedaald. Maar net toen we klaar waren om de champagneflessen te ontkurken, brengt Kaspersky ons met de neus op de harde realiteit. Uit hun jaarverslag over ransomware-dreigingen blijkt dat aanvallers overgaan op meer geavanceerde tactieken, toegang verkopen en zich als geheel opsplitsen.

Nog niet zo lang geleden konden we het aantal grote ransomwaregroepen op één hand tellen. Maar terwijl Conti, LockBit, Akira of anderen soms goed waren voor een derde van alle dergelijke aanvallen, heeft geen enkele groep in 2025 een “marktaandeel” van meer dan 10,98 procent bereikt. Opvallend is dat veel beruchte groepen, zoals ShinyHunters of Scattered Spider, de krantenkoppen hebben gehaald zonder ransomware in te zetten. Het lijkt erop dat cybercriminelen en staatsactoren tot de conclusie zijn gekomen dat veel slachtoffers al betalen om persoonlijke data en bedrijfsgegevens privé te houden, zonder ooit de toegang ertoe te verliezen.

Alternatieve bedrijfsmodellen komen tot wasdom

Met de daling van het aantal slachtoffers van ransomware zou een vergelijkbare daling van het aantal aanvallen te verwachten zijn. Eerder onderzoek toonde echter aan dat 2025 opnieuw een recordjaar was. NCC Group telde 7.900 incidenten, waarvan 1.022 werden veroorzaakt door Qilin. Als we de data combineren en ervan uitgaan dat beide onderzoeken representatief zijn, kunnen we niet anders stellen dan dat een kleinere groep organisaties vaker wordt getroffen. Kaspersky wijst nu op een andere dimensie, met nieuwe tactieken die aan het arsenaal van aanvallers zijn toegevoegd.

Een van die opkomende tools is de EDR-killer. “Opzettelijke en methodische inbraken” nemen dus toe, merkt Kaspersky op. Andere ontwijkingstactieken zijn onder meer BYOVD, of “Bring Your Own Vulnerable Driver”, waarbij aanvallers systemen patchen tot een uitbuitbare toestand. Dit kan worden tegengegaan door strenger beleid rond driverbeheer, waardoor het compromitteren van accounts met hoge privileges waardevoller is dan ooit.

Over het compromitteren van accounts gesproken: de al langer ontdekte trend dat cybercriminelen steeds vaker inloggegevens verkopen, zet zich voort. Access-as-a-Service wordt “geïndustrialiseerd” door initial access brokers, aldus Kaspersky. Met andere woorden: inloggegevens en de bijbehorende waardevolle rechten zijn op zich al de moeite waard om op grote schaal te verzamelen, waarbij het dark web verkopers van dergelijke informatie in contact brengt met cybercriminelen die bereid zijn deze te misbruiken.

Afpersing wordt eveneens complexer. Nu het aantal losgeldbetalingen is gedaald tot 28 procent, proberen aanvallers in 2026 bedrijven af te persen zonder enige versleuteling. Zoals hierboven opgemerkt, kan de motivatie om gegevens om diverse redenen voor het publiek verborgen te houden, voldoende zijn om een slachtoffer te overtuigen om te betalen.

Meer geavanceerde malware

Een andere ontwikkeling draait om de technische onderbouwing van de malware zelf. Cyberaanvallers lijken gefragmenteerd, ook al is de groep individuele hackers misschien niet zo veel veranderd sinds de dagen van de geconsolideerde dominantie van LockBit en anderen. Het geheim van het succes van sommige van deze collectieven is hun methodologie, gefaciliteerd door hun software.

We merkten met enige amusementswaarde op dat de drang naar memory safety blijkbaar zo alomtegenwoordig wordt dat zelfs malware-‘beoefenaars’ fervente gebruikers van Rust worden. We noemen deze verbazing niet omdat het onderwerp een lachertje is, helemaal niet, maar omdat het dat de onaangename software in ieder geval zelf geen kwetsbaarheden zal hebben. Malware-uitvinders willen net zo goed niet dat hun software wordt gecompromitteerd als legitieme partijen.

Naast het bereiken van memory safety bereiden nieuwe ransomwaregroepen zich zelfs voor op een post-quantum computing-realiteit. Quantumresistente ransomware werd vorig jaar door Kaspersky voorspeld, en deze voorspelling lijkt uit te komen (hoewel we ons moeten afvragen: in hoeverre zijn dergelijke suggesties zelfvervullend?). In ieder geval wordt de PE32-ransomwarefamilie genoemd als in overeenstemming met de ML-KEM-standaard, een versleutelingsmethode waarvan wordt beweerd dat deze post-quantum-ready is. Deze methode is grondig onderzocht en heeft geleid tot felle verdedigingen door de voorstanders ervan. Gezien de grotere sleutel- en cijfertekstgroottes is deze methode misschien niet geschikt voor lichtgewicht toepassingen, maar voor ransomware lijkt het prima te werken. Het extra beveiligingsniveau geeft aanvallers een voorsprong op onderzoekers die hun malware willen ontrafelen.

Conclusie: kijk naar de positieve kanten

We moeten benadrukken dat het bericht over een dalende trend in het aantal slachtoffers van ransomware bemoedigend is, los van de complexere nuance die volgt. Dit kan niet simpelweg worden afgedaan met de ietwat cynische opmerking dat er andere, misschien wel veel ergere aanvallen plaatsvinden. Cybercriminelen gebruiken methoden meestal totdat ze moeten veranderen, en de enige manier om de daling van het aantal slachtoffers van ransomware in een negatief daglicht te stellen, is door te suggereren dat datalekken al schadelijk genoeg zijn gebleken dat ransomware niet meer nodig is. Daar gaan we niet direct vanuit. De positieve conclusie, die we helaas niet op directe gegevens kunnen baseren, is wellicht dat het moeilijker is geworden om ransomware op systemen te installeren.

Hoe dan ook, meer gerichte aanvallen, malware die beter bestand is tegen onderzoek en een hoger aantal aanvallen wijzen erop dat er nog veel werk te doen is voor cyberverdedigers. Misschien zullen de hierboven genoemde tactieken duidelijk maken hoe ze het leven van hun tegenstanders net iets moeilijker kunnen maken.