Ransomware ondergaat een enorme transformatie. Tussen april 2024 en april 2025 blokkeerde de cloudinfrastructuur van Zscaler bijna elf miljoen ransomwarepogingen. Dit komt neer op een stijging van circa 146 procent ten opzichte van het voorgaande jaar en is de grootste hoeveelheid sinds we dit bijhouden. Deze transformatie draait echter niet alleen om hoeveelheid, het gaat vooral om personalisatie.

Wat begon als opportunistische aanvallen die gebruikmaakten van brute kracht om systemen te infiltreren en te versleutelen, zijn nu gerichte campagnes met data-afpersing en psychologische druk. Hierbij gaan cybercriminelen verder dan alleen encryptie; ze gebruiken de gestolen data als wapen en maken gebruik van generatieve ai om aanvallen met ongekende snelheid en precisie op te schalen.

Exfiltreren

In plaats van slachtoffers de toegang tot hun systemen te verhinderen, richten cybercriminelen zich nu vooral op het exfiltreren van gevoelige informatie en dreigen ze om het publiekelijk naar buiten te brengen. Deze tactiek speelt in op de angst voor ernstige reputatieschade, non-compliance en het verlies van intellectueel eigendom. Dit zet veel organisaties ertoe aan om toch losgeld te betalen, ongeacht de toegankelijkheid van hun systemen.

Deze verandering wordt vooral gedreven door de opkomst van generatieve ai. Verkenning, phishing en de ontwikkeling van malware is met deze technologie efficiënt te automatiseren. De huidige ransomwarecampagnes zijn dan ook zeer gepersonaliseerd, maken vaak gebruik van imitatie en richten zich op gebruikers met bevoorrechte toegang om de impact te maximaliseren. Breed, opportunistisch spammen heeft plaatsgemaakt voor gepersonaliseerde, op maat gemaakte inbraken waardoor grote laterale bewegingen binnen het netwerk van het slachtoffer mogelijk zijn. Om dit soort aanvallen tegen te gaan moeten it-teams ai-gestuurde verdedigingsstrategieën gebruiken en ai met ai bestrijden.

Doelwitten

Naast de verandering in ransomwaretactieken, is er ook een verandering in doelwitten. Het afgelopen jaar is het aantal ransomware-aanvallen sterk toegenomen in sectoren waar verstoring, datagevoeligheid en regelgeving een grote rol spelen. Met name de gezondheidszorg is een aantrekkelijk doelwit vanwege de enorme hoeveelheid protected health information (PHI). Deze sector heeft het afgelopen jaar maar liefst 725 inbreuken gezien en 275 miljoen blootgestelde dossiers. Ook technologie en productie waren erg vaak het aanvalsobject, vooral vanwege hun datarijke omgevingen en onderlinge operationele afhankelijkheid.

Een andere sector die vaak wordt geplaagd, is de olie- en gassector. In deze sector is een toename zichtbaar van 935 procent in ransomware-anvallen. Dit komt vooral door de toegenomen automatisering en kwetsbare industriële controlesystemen, waardoor zelfs eenvoudige aanvallen zeer effectief zijn. Ook het aantal aanvallen op de landbouwsector neemt toe (+677%). De oorzaak hiervan is de snelle ontwikkeling van gedigitaliseerde landbouw, van slimme tractoren tot iot-sensoren. Deze digitalisering gaat sneller dan de cybersecurity-paraatheid van landbouworganisaties.

Verouderde beveiliging

Het probleem in deze gevallen is niet per se de digitale transformatie zelf, maar de verouderde beveiligingsarchitectuur. Ondanks de toenemende verfijning van ransomware, vertrouwen veel sectoren nog steeds op verouderde beveiligingsarchitecturen zoals vpn’s, firewalls en point solutions zoals anti-malware. Deze oplossingen zijn niet ontworpen om moderne dreigingen tegen te gaan. Daarnaast creëren gefragmenteerde systemen blinde vlekken in versleuteld verkeer, een beperkt zicht op dreigingen en inconsistente beleidshandhaving. Erger nog, ze verlenen vaak te veel toegang, waardoor aanvallers zich lateraal door netwerken kunnen bewegen zodra ze binnen zijn.

Deze versturen we 3-4x per jaar.