Steeds meer double extortion ransomware

DEZE verschuiving zie je ook terug in recente incidenten zoals dIe aanval op Odido, waarbij klantdata werd buitgemaakt en misbruikt. Dit sluit aan bij bredere trends waarin data zelf het belangrijkste drukmiddel is geworden. In een dergelijk scenario is de 'dwell time' — de tijd dat een aanvaller onopgemerkt in het netwerk opereert — cruciaal voor het slagen van de exfiltratie.

Wat is double extortion ransomware precies?

Double extortion ransomware combineert twee aanvalstechnieken: het versleutelen van systemen én het stelen van data. Slachtoffers worden vervolgens onder druk gezet om dubbel te betalen: voor herstel én om publicatie van gegevens te voorkomen. Dit gebeurt vaak via speciale 'leak sites' op het dark web, waar aanvallers druk uitoefenen door telkens kleine hoeveelheden gevoelige data vrij te geven.

Deze aanpak is inmiddels de standaard geworden. In het Verizon Data Breach Investigations Report 2025 wordt ransomware expliciet gekoppeld aan bredere vormen van digitale afpersing, waarbij ook datadiefstal een centrale rol speelt.

Waarom back-ups niet meer genoeg zijn

Back-ups waren jarenlang de belangrijkste verdedigingsstrategie. Maar in een double extortion-scenario lossen ze slechts een deel van het probleem op.

Volgens analyses van het Verizon DBIR 2025 komt ransomware voor in een groot deel van de datalekken, en speelt data-exfiltratie daarin een steeds grotere rol.

Daarnaast blijkt uit het rapport dat ransomware en afpersingsaanvallen samen inmiddels het merendeel van de ernstige incidenten vormen.

Dat betekent concreet:
 

• Data is al gestolen vóór herstel
• Organisaties krijgen te maken met meldplicht (AVG/GDPR)
• Reputatieschade blijft bestaan
• Publicatie via leak sites blijft een risico

Omdat de vertrouwelijkheid van de data is geschonden, helpt een technisch herstel van de integriteit (via een back-up) niet tegen de dreiging van publicatie.

Hoe ransomware-aanvallen zijn geëvolueerd

De opkomst van double extortion hangt samen met de professionalisering van cybercrime.

Meer focus op datadiefstal

Volgens analyses van Palo Alto Unit 42 richten aanvallers zich steeds vaker expliciet op het buitmaken en misbruiken van data als afpersmiddel.

Hierbij maken aanvallers gebruik van 'Living off the Land'-technieken (LotL), waarbij legitieme systeemtools worden misbruikt om data weg te sluizen.

Ransomware als industrie

Ja, het as-a-Service-model werkt ook in de cybercriminaliteit. Ransomware is uitgegroeid tot een schaalbaar model, waarbij groepen opereren als dienstverleners met tooling en infrastructuur.

Meer en snellere aanvallen

Het DBIR laat zien dat ransomware inmiddels in bijna de helft van de datalekken voorkomt, wat de schaal en frequentie onderstreept.

Gezien deze dreiging is het implementeren van een strategie tegen double extortion ransomware geen luxe meer, maar een absolute noodzaak voor de bedrijfscontinuïteit.

Impact op IT-infrastructuur en securitystrategie

Door deze evolutie verandert de rol van IT-security fundamenteel.

Van preventie naar detectie en response

Organisaties moeten ervan uitgaan dat aanvallers binnenkomen en zich richten op snelle detectie en schadebeperking.

Data centraal in security

De focus verschuift van systemen naar data:
 

• Waar bevindt gevoelige data zich?
• Wie heeft toegang?
• Wat gebeurt er met die data?

Het inzetten van Data Loss Prevention (DLP) oplossingen is hierbij een kritieke aanvulling op traditionele endpoint-beveiliging.

Identity als zwakke plek

Gestolen credentials blijven een van de belangrijkste toegangspunten, zoals ook blijkt uit DBIR-data.

Wat moeten organisaties concreet doen?

De aanpak van double extortion ransomware vraagt om meer dan alleen technische maatregelen. Het draait om een samenhangende strategie waarin data, detectie en respons centraal staan.

Bescherm data als primair doelwit

In moderne ransomware-aanvallen is data het belangrijkste doelwit. Daarom moeten organisaties eerst inzicht krijgen in waar gevoelige informatie zich bevindt en hoe deze wordt gebruikt. Data-classificatie helpt om prioriteiten te stellen: niet alle data is even kritisch, maar klantgegevens, financiële informatie en intellectueel eigendom vereisen maximale bescherming. Het proactief monitoren op afwijkend gedrag is cruciaal om een aanval met double extortion ransomware in de kiem te smoren.

Encryptie speelt daarbij een belangrijke rol, zowel bij opslag als tijdens transport. Minstens zo belangrijk is het monitoren van datastromen. Door afwijkend gedrag – zoals grote hoeveelheden data die het netwerk verlaten – vroegtijdig te signaleren, kunnen organisaties ingrijpen voordat exfiltratie volledig heeft plaatsgevonden.

Investeer in detectie en zichtbaarheid

Preventie alleen is niet meer voldoende. Organisaties moeten ervan uitgaan dat aanvallers vroeg of laat binnenkomen. De vraag is dus niet óf, maar wanneer.

Daarom is het essentieel om te investeren in oplossingen die verdachte activiteiten snel detecteren. Denk aan EDR- en XDR-platformen die endpoints en netwerken continu monitoren, en SIEM-oplossingen die logs en gebeurtenissen centraal analyseren. Hoe sneller afwijkingen worden herkend, hoe kleiner de kans dat een aanval zich kan uitbreiden of data kan worden buitgemaakt. Een geïntegreerde aanpak verhoogt de weerbaarheid tegen de geraffineerde tactieken van double extortion ransomware aanzienlijk.

Maak back-ups weerbaar tegen aanvallers

Back-ups blijven een cruciaal onderdeel van de verdediging, maar moeten beter beschermd worden dan voorheen. Aanvallers richten zich namelijk steeds vaker ook op back-upsystemen om herstel onmogelijk te maken.

Immutable back-ups – die niet gewijzigd of verwijderd kunnen worden – bieden hier een oplossing. Door back-ups offline of gescheiden van het primaire netwerk op te slaan (air-gapped), wordt de kans kleiner dat ze tijdens een aanval worden gecompromitteerd. Zo blijft herstel mogelijk, zelfs in het worstcasescenario.

Richt incident response professioneel in

Een snelle en gestructureerde reactie bepaalt in grote mate de impact van een aanval. Toch ontbreekt het in veel organisaties nog aan een goed uitgewerkt incident response-plan.

Zo’n plan moet duidelijk vastleggen:
 

• wie verantwoordelijk is
• welke stappen worden genomen
• hoe communicatie intern en extern verloopt

Regelmatige oefeningen zijn daarbij essentieel. Alleen door scenario’s te testen, wordt duidelijk waar zwakke plekken zitten en hoe teams onder druk functioneren. Een effectieve respons op double extortion ransomware vereist ook een juridisch draaiboek voor de communicatie met toezichthouders en betrokkenen.

Beperk laterale beweging binnen het netwerk

Veel ransomware-aanvallen escaleren doordat aanvallers zich vrij door het netwerk kunnen bewegen. Door netwerksegmentatie en het toepassen van Zero Trust-principes kan die bewegingsvrijheid sterk worden beperkt.

In de praktijk betekent dit:
 

• het strikt hanteren van het Least Privilege-principe, waarbij toegang uitsluitend op basis van noodzaak wordt verleend;
• daarnaast een strikte scheiding tussen systemen en omgevingen (segmentatie);
• en extra verificatiestappen bij gevoelige acties cruciaal binnen een Zero Trust Architecture

Hierdoor blijft een aanval vaak beperkt tot een klein deel van de infrastructuur, in plaats van het hele netwerk plat te leggen.

Ransomware is een dataprobleem

Double extortion ransomware laat zien dat cyberaanvallen niet langer draaien om alleen systemen, maar om data als strategisch doelwit.

De aanval op Odido door Shinyhunters is daar een concreet voorbeeld van: zelfs zonder volledige systeemuitval kan de impact enorm zijn wanneer data wordt buitgemaakt.

De conclusie is helder: back-ups zijn noodzakelijk, maar absoluut niet meer voldoende.