Steeds meer double extortion ransomware

Steeds meer double extortion ransomware

Security
Achtergrond
Redactie WINMAG Pro

Odido deed het niet, maar veel organisaties geven ook wel toe: geld betalen voor gestolen data. Het aantal ransomware-aanvallen neemt toe, maar de aard van aanvallen is ingrijpend veranderd. Waar aanvallers voorheen vooral bestanden versleutelden en losgeld eisten, draait het nu steeds vaker om data-exfiltratie en chantage. Daarmee rukt een nieuwe vorm op: double extortion ransomware.

DEZE verschuiving zie je ook terug in recente incidenten zoals dIe aanval op Odido, waarbij klantdata werd buitgemaakt en misbruikt. Dit sluit aan bij bredere trends waarin data zelf het belangrijkste drukmiddel is geworden.

Wat is double extortion ransomware precies?

Double extortion ransomware combineert twee aanvalstechnieken: het versleutelen van systemen én het stelen van data. Slachtoffers worden vervolgens onder druk gezet om dubbel te betalen: voor herstel én om publicatie van gegevens te voorkomen.

Deze aanpak is inmiddels de standaard geworden. In het Verizon Data Breach Investigations Report 2025 wordt ransomware expliciet gekoppeld aan bredere vormen van digitale afpersing, waarbij ook datadiefstal een centrale rol speelt.

Waarom back-ups niet meer genoeg zijn

Back-ups waren jarenlang de belangrijkste verdedigingsstrategie. Maar in een double extortion-scenario lossen ze slechts een deel van het probleem op.

Volgens analyses van het Verizon DBIR 2025 komt ransomware voor in een groot deel van de datalekken, en speelt data-exfiltratie daarin een steeds grotere rol.

Daarnaast blijkt uit het rapport dat ransomware en afpersingsaanvallen samen inmiddels het merendeel van de ernstige incidenten vormen.

Dat betekent concreet:
 

  • Data is al gestolen vóór herstel
  • Organisaties krijgen te maken met meldplicht (AVG/GDPR)
  • Reputatieschade blijft bestaan
  • Publicatie via leak sites blijft een risico

Hoe ransomware-aanvallen zijn geëvolueerd

De opkomst van double extortion hangt samen met de professionalisering van cybercrime.

Meer focus op datadiefstal

Volgens analyses van Palo Alto Unit 42 richten aanvallers zich steeds vaker expliciet op het buitmaken en misbruiken van data als afpersmiddel .

Ransomware als industrie

Ja, het as-a-Service-model werkt ook in de cybercriminaliteit. Ransomware is uitgegroeid tot een schaalbaar model, waarbij groepen opereren als dienstverleners met tooling en infrastructuur.

Meer en snellere aanvallen

Het DBIR laat zien dat ransomware inmiddels in bijna de helft van de datalekken voorkomt, wat de schaal en frequentie onderstreept.

Impact op IT-infrastructuur en securitystrategie

Door deze evolutie verandert de rol van IT-security fundamenteel.

Van preventie naar detectie en response

Organisaties moeten ervan uitgaan dat aanvallers binnenkomen en zich richten op snelle detectie en schadebeperking.

Data centraal in security

De focus verschuift van systemen naar data:
 

  • Waar bevindt gevoelige data zich?
  • Wie heeft toegang?
  • Wat gebeurt er met die data?

Identity als zwakke plek

Gestolen credentials blijven een van de belangrijkste toegangspunten, zoals ook blijkt uit DBIR-data.

double extortion ransomware

Wat moeten organisaties concreet doen?

De aanpak van double extortion ransomware vraagt om meer dan alleen technische maatregelen. Het draait om een samenhangende strategie waarin data, detectie en respons centraal staan.

Bescherm data als primair doelwit

In moderne ransomware-aanvallen is data het belangrijkste doelwit. Daarom moeten organisaties eerst inzicht krijgen in waar gevoelige informatie zich bevindt en hoe deze wordt gebruikt. Data-classificatie helpt om prioriteiten te stellen: niet alle data is even kritisch, maar klantgegevens, financiële informatie en intellectueel eigendom vereisen maximale bescherming.

Encryptie speelt daarbij een belangrijke rol, zowel bij opslag als tijdens transport. Minstens zo belangrijk is het monitoren van datastromen. Door afwijkend gedrag – zoals grote hoeveelheden data die het netwerk verlaten – vroegtijdig te signaleren, kunnen organisaties ingrijpen voordat exfiltratie volledig heeft plaatsgevonden.

Investeer in detectie en zichtbaarheid

Preventie alleen is niet meer voldoende. Organisaties moeten ervan uitgaan dat aanvallers vroeg of laat binnenkomen. De vraag is dus niet óf, maar wanneer.

Daarom is het essentieel om te investeren in oplossingen die verdachte activiteiten snel detecteren. Denk aan EDR- en XDR-platformen die endpoints en netwerken continu monitoren, en SIEM-oplossingen die logs en gebeurtenissen centraal analyseren. Hoe sneller afwijkingen worden herkend, hoe kleiner de kans dat een aanval zich kan uitbreiden of data kan worden buitgemaakt.

Maak back-ups weerbaar tegen aanvallers

Back-ups blijven een cruciaal onderdeel van de verdediging, maar moeten beter beschermd worden dan voorheen. Aanvallers richten zich namelijk steeds vaker ook op back-upsystemen om herstel onmogelijk te maken.

Immutable back-ups – die niet gewijzigd of verwijderd kunnen worden – bieden hier een oplossing. Door back-ups offline of gescheiden van het primaire netwerk op te slaan (air-gapped), wordt de kans kleiner dat ze tijdens een aanval worden gecompromitteerd. Zo blijft herstel mogelijk, zelfs in het worstcasescenario.

Richt incident response professioneel in

Een snelle en gestructureerde reactie bepaalt in grote mate de impact van een aanval. Toch ontbreekt het in veel organisaties nog aan een goed uitgewerkt incident response-plan.

Zo’n plan moet duidelijk vastleggen:
 

  • wie verantwoordelijk is
  • welke stappen worden genomen
  • hoe communicatie intern en extern verloopt

Regelmatige oefeningen zijn daarbij essentieel. Alleen door scenario’s te testen, wordt duidelijk waar zwakke plekken zitten en hoe teams onder druk functioneren.

Beperk laterale beweging binnen het netwerk

Veel ransomware-aanvallen escaleren doordat aanvallers zich vrij door het netwerk kunnen bewegen. Door netwerksegmentatie en het toepassen van Zero Trust-principes kan die bewegingsvrijheid sterk worden beperkt.

In de praktijk betekent dit:
 

  • toegang alleen verlenen op basis van noodzaak (least privilege)
  • strikte scheiding tussen systemen en omgevingen
  • extra verificatie bij gevoelige acties

Hierdoor blijft een aanval vaak beperkt tot een klein deel van de infrastructuur, in plaats van het hele netwerk plat te leggen.

Ransomware is een dataprobleem

Double extortion ransomware laat zien dat cyberaanvallen niet langer draaien om alleen systemen, maar om data als strategisch doelwit.

De aanval op Odido is daar een concreet voorbeeld van: zelfs zonder volledige systeemuitval kan de impact enorm zijn wanneer data wordt buitgemaakt.

De conclusie is helder: back-ups zijn noodzakelijk, maar absoluut niet meer voldoende.

Lees meer

De evolutie van biometrische ontgrendeling
De evolutie van biometrische ontgrendeling
KnowBe4 breidt AI-suite uit met nieuwe agent om menselijk risico te meten
KnowBe4 breidt AI-suite uit met nieuwe agent om menselijk risico te meten
Equinix lanceert Distributed AI Hub om AI-infrastructuur van bedrijven te vereenvoudigen en beveiligen
Equinix lanceert Distributed AI Hub om AI-infrastructuur van bedrijven te vereenvoudigen en beveiligen
Belang van data ethiek en privacy in de digitale wereld
Belang van data ethiek en privacy in de digitale wereld
Wat is een API en waarom het onmisbaar is in IT
Wat is een API en waarom het onmisbaar is in IT
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie