Zscaler: ransomware aanvallen stijgen met data afpersing en nieuwe tactieken

Volgens het onderzoek nam het aantal openbare afpersingszaken met 70% toe, gebaseerd op analyses van data leak sites. Het totale volume aan geëxfiltreerde data steeg met 92%. De sectoren productie, technologie en gezondheidszorg werden het meest getroffen. De olie- en gassector zag een opvallende toename van 935% in aanvallen, waarschijnlijk door de toenemende automatisering van kritieke infrastructuur en mogelijk verouderde beveiligingspraktijken.

Evolutie van aanvalstactieken

"Ransomwaretactieken blijven evolueren, met de groeiende verschuiving naar afpersing boven versleuteling als duidelijk voorbeeld", aldus Deepen Desai, EVP Cybersecurity bij Zscaler. "Generatieve AI wordt ook steeds vaker onderdeel van het playbook van ransomware-dreigingsactoren, wat meer gerichte en efficiënte aanvallen mogelijk maakt. Naarmate bedreigingen zich ontwikkelen, moeten beveiligingsmaatregelen gelijke tred houden. Het Zscaler Zero Trust Exchange™-platform stelt organisaties in staat hun aanvalsoppervlak te verkleinen, initiële inbraakbedreigingen te identificeren en te blokkeren, laterale beweging te voorkomen en data-exfiltratie te stoppen om afpersing te dwarsbomen voordat deze plaatsvindt."

De intensivering van ransomwareaanvallen weerspiegelt een strategische verschuiving: ransomwaregroepen geven steeds meer prioriteit aan afpersing boven versleuteling. Het rapport beschrijft een toename van 92% in het totale volume van geëxfiltreerde gegevens door 10 grote ransomwaregroepen in het afgelopen jaar, van 123 TB naar 238 TB. Deze nadruk op datadiefstal – en de dreiging van openbaarmaking – stelt aanvallers in staat meer druk uit te oefenen op slachtoffers, waardoor de impact van ransomware op organisaties wereldwijd wordt vergroot.

Kwetsbare sectoren en geografische concentratie

Cybercriminelen blijven zich richten op de gevoelige omgevingen van de productie (1.063 aanvallen), technologie (922) en gezondheidszorg (672) sectoren, waardoor deze het afgelopen jaar het vaakst werden getroffen door ransomware. Deze sectoren zijn bijzonder kwetsbaar vanwege het potentieel voor operationele verstoring, de gevoeligheid van gestolen gegevens en de bijbehorende risico's van reputatieschade en regelgevende gevolgen.

De Verenigde Staten is het primaire doelwit van ransomwareaanvallen, met 50% van alle slachtoffers die geregistreerd zijn op leak sites. Dit overtreft Canada (5%) en het Verenigd Koninkrijk (4%) aanzienlijk. Het aantal ransomwareaanvallen in de VS is meer dan verdubbeld tot 3.671, wat meer is dan het gecombineerde aantal aanvallen in alle andere landen in de top 15 van meest getroffen landen. Deze concentratie toont aan hoe dreigingsactoren strategisch gericht blijven op digitaal geconcentreerde, waardevolle economieën.

Leidende ransomwaregroepen en nieuwe bedreigingen

Verschillende zeer actieve groepen domineren het ransomware-ecosysteem, met RansomHub aan kop, dat het hoogste aantal openbaar genoemde slachtoffers opeist (833). Akira en Clop zijn beide gestegen in de ransomware-aanvalsranglijsten sinds vorig jaar. Akira, geassocieerd met 520 slachtoffers, heeft zijn bereik gestaag uitgebreid via talrijke affiliates en initiële toegangsmakelaars. Clop, bekend om zijn focus op supply chain-aanvallen, volgt met 488 slachtoffers en hanteert een effectieve strategie door kwetsbaarheden in veelgebruikte externe software uit te buiten.

Zscaler ThreatLabz identificeerde het afgelopen jaar 34 nieuw actieve ransomwarefamilies, wat het totale aantal getraceerde families op 425 brengt sinds het onderzoek begon. De openbare GitHub-repository van Zscaler bevat nu 1.018 ransomware-notities, waarvan er 73 in het afgelopen jaar zijn toegevoegd.

Het volledige ThreatLabz 2025 Ransomware Report is beschikbaar voor download.