Op Anti-Ransomware Day is er goed nieuws voor cyberbeveiligers

In dit artikel:

Kaspersky’s jaarrapport over ransomware laat een dubbel beeld zien: minder organisaties worden slachtoffer, maar de dreiging wordt technologisch en commercieel geavanceerder. In 2025 daalde het aandeel getroffene in alle regio’s, en geen enkele groep behaalde meer dan 10,98 procent van de ‘markt’ — een teken dat de ooit dominante collectieven (denk aan LockBit, Conti) versplinterd zijn. Tegelijkertijd melden andere bronnen, zoals NCC Group, juist een hoog aantal incidenten (7.900 in 2025, waarvan Qilin 1.022 zou veroorzaken), wat suggereert dat een kleinere groep organisaties herhaaldelijk doelwit is.

Nieuwe verdienmodellen en tactieken
Cybercriminelen schakelen massaal over op alternatieve businessmodellen. Inloggegevens en toegang tot netwerken worden als zelfstandige handelswaar verhandeld: initial access brokers professionaliseren Access-as-a-Service. Daardoor is het compromitteren en verkopen van accounts op zichzelf lucratief, los van het daadwerkelijk inzetten van ransomware.

Aanvallers ontwikkelen ook technischere trucs om detectie en analyse te omzeilen. Voorbeelden die Kaspersky noemt:
- EDR-killers en gerichte, methodische inbraken om endpoint-beveiliging uit te schakelen.
- BYOVD (“Bring Your Own Vulnerable Driver”): aanvallers installeren of behouden kwetsbare drivers om exploits mogelijk te maken — mitigatie vereist strakker driverbeheer.
- Fragmentatie van tooling: malware wordt modularer en soms minder vatbaar voor ontleding.

Afpersing zonder versleuteling en dalende losgeldpercentages
Het percentage organisaties dat losgeld betaalt daalde naar circa 28 procent. Als reactie proberen aanvallers steeds vaker te chanteren zonder bestanden te versleutelen: het dreigement om gevoelige data openbaar te maken volstaat vaak al om betalingen af te dwingen.

Technologische verfijning: memory safety, Rust en post-quantum
Malware-auteurs investeren in robuustere, minder kwetsbare code. Er is een trend richting memory-safe talen (zoals Rust) om fouten en analyse gemakkelijker te voorkomen. Ook duiken voorbeelden op van ransomware die post-quantumbestendige cryptografie toepast; Kaspersky noemt de PE32-familie met ML-KEM-implementaties. Zulke technieken bemoeilijken onderzoek en herstel.

Kernconclusies en implicaties voor verdedigers
Het goede nieuws is dat minder organisaties officieel slachtoffer lijken te zijn — mogelijk omdat het lastiger is geworden ransomware betrouwbaar te installeren. Het slechte nieuws: aanvallen zijn gerichter, malware is moeilijker te analyseren, en de markt voor toegang en identiteiten is gegroeid. Organisaties moeten hun beleid voor driverbeheer aanscherpen, privileged account security verbeteren, bedreigingen op de markt voor inloggegevens monitoren en zich voorbereiden op complexere, langere incidentresponsen. Kortom: de kwantiteit van slachtoffers daalt, maar de kwaliteit en businessmodellen van aanvallers vergen voortdurende verbeteringen in verdediging.