Minder ransomwareaanvallen, maar dreiging blijft

woensdag, 12 november 2025 (10:56) - Dutch IT Channel

In dit artikel:

In het derde kwartaal van 2025 zag Talos, de dreigingsinlichtingenafdeling van Cisco, het aandeel ransomware teruglopen van ongeveer 50% naar circa 20% van alle geregistreerde cyberaanvallen. Dat betekent niet dat de dreiging verdwenen is: ransomware blijft een belangrijke zorg, met zowel nieuwe varianten als actieve, bekende groepen. Talos ontdekte drie nieuwe families — Warlock, Babuk en Kraken — terwijl groepen als Qilin en LockBit doorgingen met aanvallen; Qilin nam het aantal incidenten sterk toe en vormt naar verwachting tot eind 2025 een groot risico. In één geval leidde een inbraak binnen twee dagen al tot een ransomware-uitbraak.

Een opvallende aanval werd toegeschreven aan Storm-2603 (vermoedelijk vanuit China), waarbij aanvallers het legitieme onderzoekstool Velociraptor inzetten om gegevens te verzamelen, activiteiten te volgen en toegang te behouden. Verder begon meer dan 60% van de incidenten dit kwartaal met misbruik van publiek toegankelijke applicaties — een sterke stijging ten opzichte van minder dan 10% eerder — grotendeels door exploitatie van nieuwe kwetsbaarheden in lokale Microsoft SharePoint-servers via de ToolShell-aanvalsketen.

De ToolShell-golf laat zien hoe snel aanvallers zero-days benutten: de eerste exploit vond plaats een dag vóór Microsofts waarschuwing en de meeste incidenten volgden binnen tien dagen. Slecht gesegmenteerde netwerken maakte snelle verspreiding mogelijk; in een voorbeeld leidde een ToolShell-inbraak enkele weken later tot ransomware. Circa 15% van de incidenten betrof niet-gepatchte infrastructuur.

Voor het eerst sinds Talos' analyses in 2021 waren overheidsorganisaties — vooral lokale overheden met vaak verouderde systemen en krappe budgetten — het meest getroffen. Bijna een derde van de incidenten betrof het omzeilen of misbruiken van multi-factor authenticatie (bijv. via “MFA bombing”), wat benadrukt dat MFA alleen niet voldoende is zonder monitoring en strikte instellingen.

Talos raadt organisaties aan snel patches door te voeren, netwerken goed te segmenteren, rigoureus MFA-beleid te voeren en uitgebreide logging in te zetten om weerbaarheid tegen zulke aanvallen te vergroten.