Bekende ransomware-families blijven Nederlandse organisaties teisteren

In dit artikel:

In 2025 registreerden Nederlandse instanties en incident‑responsebedrijven gezamenlijk een aanzienlijk aantal ransomware‑gevallen, waarbij het werkelijke aantal naar alle waarschijnlijkheid hoger ligt door onderdetectie en onderrapportage. Het Jaarbeeld Ransomware 2025 van project Melissa — een samenwerkingsverband van het NCSC, politie, Openbaar Ministerie, Cyberveilig Nederland en tien cybersecuritybedrijven — brengt sinds 2025 maandelijks informatie over aanvallen samen om inzicht te geven in frequentie en werkwijze.

Cijfers en overlap
Politieontving 65 meldingen; 40 incidenten werden door externe responsteams behandeld. Door beide datasets te combineren kwamen de deelnemers tot 92 vermoedelijk unieke incidenten, met 13 gevallen van overlap tussen aangifte en hulp door responders. Omdat veel slachtoffers geen compromis opmerken of geen aangifte doen, ligt het daadwerkelijke aantal aanvallen waarschijnlijk hoger.

Toegangswegen en aanvalstactieken
Accountovernames waren de belangrijkste ingang: 55 procent van de incidenten begon met gestolen of gekaapte inloggegevens, vaak verkregen via infostealers, phishing of Adversary‑in‑the‑Middle‑aanvallen. Misbruik van kwetsbaarheden was goed voor 30 procent; veel daarvan betroffen internet‑toegankelijke systemen en soms zelfs zero‑day‑exploits. In 42,5 procent van de gevallen combineerden aanvallers datadiefstal met versleuteling (double extortion), in 37,5 procent werd alleen data gestolen en in 15 procent alleen versleuteld.

Doelwitten en ransomwarefamilies
Handel en IT waren de meest getroffen sectoren (elk 18%), gevolgd door bouw en zorg (elk 12%); bijna de helft viel onder ‘overig’. Vijf families — Akira, Qilin, PLAY, INCransom en verschillende LockBit‑versies — waren verantwoordelijk voor meer dan de helft van de incidenten, terwijl in totaal 39 verschillende families werden waargenomen. Sommige groepen of hun tooling blijven lang actief, ook nadat autoriteiten optreden; Ransomhub verloor in 2025 duidelijk terrein.

Herstel, back‑ups en aangifte
72 procent van de slachtoffers beschikte over een bruikbare back‑up en 41 procent had een verzekering, maar herstel duurde vaak lang: 43 procent had meer dan drie dagen nodig en 15 procent meer dan een week. Slechts 33 procent deed aangifte bij de politie; het rapport benadrukt dat melden essentieel blijft, ook na betaling, omdat aangifte kan helpen bij herstel en opsporing.

Conclusie en aanbeveling
Project Melissa waarschuwt dat basismaatregelen onvoldoende worden opgefrist: grotere organisaties zijn vaker zichtbaar in datasets (ongeveer 40%), het MKB veel minder (10–15%), wat impliceert dat werkelijke aantallen ransomware‑incidenten 2–3 keer hoger zijn voor grotere organisaties en tot 10 keer hoger voor kleine bedrijven. De kernboodschap: versterk basishygiëne, verbeter detectie en rapporteer incidenten om effectiever op de dreiging te reageren.