Ransomware bij bedrijven

Wat ransomware in 2026 anders maakt dan vroeger

Ransomware is allang niet meer alleen “bestanden versleutelen en losgeld vragen”. Het verdienmodel is professioneler geworden. Veel groepen werken als een bedrijf: met helpdesks, “partners”, onderhandelaars en een duidelijke werkwijze. Daarnaast is er een verschuiving richting dubbele afpersing: eerst data stelen, daarna versleutelen, en vervolgens dreigen met publicatie als er niet betaald wordt. Dat maakt de druk op bedrijven groter, ook als je back-ups goed geregeld zijn.

De dreiging is bovendien breed. Volgens Verizon’s DBIR (2025) is ransomware een component in een groot deel van de datalekken en treft het kleine organisaties disproportioneel. In de “SMB snapshot” van het DBIR 2025 wordt genoemd dat bij kleine organisaties ransomware een component is in 88% van de onderzochte breaches. 

Waarom het risico groter kan zijn dan inbraak of brand

Een vergelijking met fysieke risico’s helpt vaak om de urgentie te voelen zonder te overdrijven. Bij brand en inbraak zijn we gewend aan maatregelen: een alarm, brandblussers, een verzekering, een sleutelbeheer. Bij ransomware ontbreekt die routine nog te vaak.

• Impact op continuïteit: bij ransomware ligt vaak alles stil: mail, planning, boekhouding, orderverwerking, productie, klantcommunicatie.
• Meervoudige schade: je betaalt niet alleen IT-herstel, maar ook downtime, productiviteitsverlies, noodprocedures, reputatieschade en soms juridische kosten.
• Bereik: vrijwel elk bedrijf is digitaal verbonden. Dat maakt de “aanvalsoppervlakte” structureel groter dan bij fysieke toegang.

Ter context: Stichting Salvage, dat namens verzekeraars hulp coördineert bij brand- en waterschade, rapporteerde 5.773 meldingen in 2024 en noemt een stijging van meldingen bij bedrijfsbranden opvallend. Dat zijn serieuze aantallen, maar ransomware raakt organisaties óók op dagen dat er geen rook te zien is. En het werkt op afstand, schaalbaar en vaak geautomatiseerd.

Wat kost ransomware echt?

De meeste ondernemers denken bij kosten aan “losgeld”. In werkelijkheid zit het grootste deel in herstel en stilstand. Sophos rapporteert in “The State of Ransomware 2025” dat de gemiddelde herstelkosten (exclusief eventuele losgeldbetaling) uitkomen op ongeveer $1,53 miljoen, en dat een groter deel van organisaties binnen een week herstelt dan het jaar ervoor. 

Sophos noemt daarnaast in de samenvatting van de 2025-rapportage ook een gemiddelde ransom payment van circa $1,0 miljoen.  Dat is een gemiddelde en niet elke organisatie betaalt, maar het laat zien hoe hoog de druk kan oplopen als aanvallers denken dat ze bij jouw bedrijf “ruimte” hebben.

Belangrijk: cijfers verschillen per sector, omvang en regio. Maar het patroon is stabiel: ransomware is zelden “een IT-probleem”, het is een bedrijfsrisico.

Hoe komen ransomware-aanvallers binnen? De 7 belangrijkste routes

Ransomware begint bijna nooit met “magie”. Het begint met een ingang. Hieronder staan de routes die we in de praktijk en in onderzoeken het vaakst terugzien. Zie dit als een menukaart van risico’s: hoe meer open deuren, hoe groter de kans dat iemand er eentje gebruikt.

1) Misbruikte kwetsbaarheden in software (exploited vulnerabilities)

Dit is een van de meest voorkomende oorzaken. Denk aan een kwetsbaarheid in VPN-software, remote management tooling, serversoftware of een verouderde appliance. Als een lek publiek bekend is en er is geen patch toegepast, dan is de kans groot dat geautomatiseerde scanners jouw omgeving vinden.

In de Sophos-rapportage wordt “exploited vulnerabilities” expliciet genoemd als belangrijkste root cause. 

Wat helpt echt: strak patchmanagement, inventarisatie van systemen, en het beperken van publieke blootstelling (geen onnodige poorten open, managementinterfaces niet publiek).

2) Gestolen of hergebruikte wachtwoorden (credential stuffing)

Wachtwoorden lekken overal: via datadumps, via phishing, via malware op een thuiscomputer. Als medewerkers hetzelfde wachtwoord op meerdere plekken gebruiken, is het vaak een kwestie van tijd. Dit wordt extra gevaarlijk als MFA ontbreekt of zwak is ingesteld.

Wat helpt echt: MFA op alle accounts (zeker mail en admin), password manager, en het blokkeren van risicovolle inlogpogingen met conditional access.

3) Phishing die wél werkt omdat de mail “echt” lijkt

Phishing is niet altijd een knullige mail met spelfouten. Tegenwoordig zijn phishingmails vaak contextueel: gebaseerd op echte leveranciers, lopende facturen of een “spoed”-verzoek van een directielid. Eén klik is soms genoeg om een sessie over te nemen of malware te starten.

Wat helpt echt: awareness (met herhaling), technische mailbeveiliging (SPF/DKIM/DMARC, filtering), en vooral: duidelijke procedures voor betaalverzoeken en accountwijzigingen.

4) Externe toegang die “tijdelijk” was, maar nooit is weggehaald

Een oude RDP-regel, een vergeten remote tool, een account van een ex-medewerker, een test-omgeving die online staat. Dit soort restjes zijn goud voor aanvallers, omdat ze vaak buiten standaard beheer vallen.

Wat helpt echt: periodieke toegangsreview, offboarding-proces, MFA, en logging/monitoring op externe toegang.

5) Leveranciers en keten: je wordt geraakt via iemand anders

Soms is jouw bedrijf niet het doelwit, maar een schakel. Een leverancier met toegang tot jouw omgeving kan gecompromitteerd raken. Of een updatekanaal van software wordt misbruikt. Dit is extra relevant voor organisaties met meerdere IT-partners of branche-specifieke software.

Wat helpt echt: least privilege voor leveranciers, aparte accounts, segmentatie, en afspraken over security-eisen (ook contractueel).

6) Laterale beweging: van één device naar “de rest”

Ransomware-aanvallers willen zelden op één laptop blijven. Ze zoeken domeinrechten, admin accounts, shares en back-upservers. De echte schade ontstaat wanneer ze zich door het netwerk verplaatsen.

Wat helpt echt: netwerksegmentatie (VLANs), scheiding van admin accounts, hardening van AD, en het blokkeren van “admin from everywhere”.

7) Back-ups die er wel zijn, maar niet bruikbaar

Dit is pijnlijk vaak de reden dat bedrijven toch betalen: back-ups zijn niet getest, staan online (dus worden mee versleuteld), of de hersteltijd blijkt veel te lang. “We maken een back-up” is geen strategie. “We kunnen herstellen” wel.

Wat helpt echt: 3-2-1 back-upstrategie, offline/immutable back-ups, en periodieke restore-tests (incl. kritieke systemen).

Waarom antivirus alleen niet genoeg is

Antivirus is nuttig, maar ransomware-aanvallen gaan steeds vaker via legitieme tools, misbruikte accounts en “living off the land”-technieken. Dat betekent dat aanvallers minder malware hoeven te droppen om toch ver te komen.

ENISA beschrijft in de Threat Landscape 2025 dat ransomware hoog op de lijst staat van prominente dreigingen en dat aanvallers hun technieken blijven ontwikkelen, waaronder het uitschakelen van security tooling en het misbruiken van legitieme drivers en tools. 

De les: verdediging moet gelaagd zijn. Denk in lagen: identiteit, endpoint, mail, netwerk, back-up, monitoring en processen.

De realiteit in 2025: meer aanvallen, andere economie

Een veelgestelde vraag is: “wordt het erger?” Het korte antwoord: de druk blijft hoog, maar het betalingsgedrag verandert. Analyses op basis van blockchain-intelligence laten zien dat ransomware-incidenten kunnen toenemen terwijl totale extortion revenue en het percentage betalers daalt. Een voorbeeld hiervan is berichtgeving over Chainalysis-data: ransomware-extortion revenue rond $820 miljoen in 2025 en een lager percentage slachtoffers dat betaalt. 

Wat betekent dit praktisch? Dat aanvallers nóg selectiever worden in doelwitten en nóg harder drukken op organisaties die kwetsbaar ogen. Bedrijven zonder goede back-ups, zonder MFA of zonder zicht op hun eigen omgeving, zijn dan sneller “rendabel”.

De 10 maatregelen die de meeste ransomware-ellende voorkomen

Als je maar één onderdeel uit dit artikel meeneemt, laat het dan dit zijn: je hoeft niet perfect te zijn, maar je moet de basis op orde hebben. Dit zijn maatregelen die bewezen verschil maken.

1. MFA overal (mail, VPN, beheer, cloud, externe tools) en extra streng voor admin accounts.
2. Patchmanagement met duidelijke afspraken en controle op “vergeten” systemen. 
3. Back-ups volgens 3-2-1, liefst met immutable of offline component en restore-tests.
4. Beperkte adminrechten en scheiding tussen normale accounts en beheeraccounts.
5. Mailbeveiliging (filtering, DMARC/SPF/DKIM) en procedures voor betalingen en wijzigingen.
6. Endpointbeveiliging met moderne detectie (EDR) en centraal beheer.
7. Netwerksegmentatie zodat één besmet device niet meteen het hele netwerk pakt.
8. Logging en monitoring op verdachte inlogpogingen, privilege escalations en data-exfiltratie.
9. Leveranciersbeheer met least privilege, aparte accounts en regelmatige review.
10. Incidentplan: wie doet wat, welke nummers bel je, wat is je herstelvolgorde.

Een simpele risicotest: hoe aantrekkelijk ben je voor ransomware?

Beantwoord deze vijf vragen eerlijk. Elke “nee” is een concreet verbeterpunt.

• Is MFA verplicht op alle accounts, inclusief admins en externe toegang?
• Weet je precies welke systemen publiek bereikbaar zijn (en waarom)?
• Heb je de afgelopen 90 dagen een restore-test gedaan van kritieke data of systemen?
• Kun je binnen 24 uur zien of er massaal mislukte inlogpogingen zijn?
• Zijn accounts van ex-medewerkers binnen 24 uur volledig afgesloten, inclusief cloud en apps?

Als je hier twijfelt: dat is normaal. Maar het is ook een signaal. Ransomware wint vaak niet door “superhackers”, maar doordat basiszaken blijven liggen.

Wat Process 2 IT hierin kan betekenen

Bij Process 2 IT bekijken we ransomware niet als losse techniek, maar als continuïteitsrisico. Dat betekent dat we niet alleen kijken naar tools, maar ook naar inrichting, rechten, back-ups, en herstelbaarheid. Geen dikke rapporten voor de la, maar een plan dat je kunt uitvoeren.

• Quickscan van je grootste openstaande risico’s (identiteit, patching, back-ups, externe toegang).
• Concrete verbeterstappen met prioriteit: wat levert het meeste risicoreductie op per uur werk.
• Herstelplan: wat doe je als het wél gebeurt, inclusief communicatie en stappenvolgorde.

Wil je sparren of je organisatie kwetsbaar is? Bel ons op 010 52 49 133 of neem contact op via de website.

Samenvatting

Ransomware is een groter risico dan veel bedrijven denken, omdat het je hele bedrijfsvoering kan stilzetten en omdat de route naar binnen vaak begint bij basiszaken: kwetsbaarheden, zwakke accounts, phishing en back-ups die niet herstelbaar blijken. Het goede nieuws: met een set gerichte maatregelen kun je het risico drastisch verlagen. Begin bij MFA, patchmanagement en herstelbare back-ups. Daarna bouw je verder met segmentatie, monitoring en strak rechtenbeheer.

Bronnen

• Sophos. (2025, 24 juni). The State of Ransomware 2025. 
• Sophos. (2025). The State of Ransomware 2025 (samenvattingspagina).
• Verizon. (2025). Data Breach Investigations Report 2025 (SMB snapshot). 
• ENISA. (2025). ENISA Threat Landscape 2025. 
• Verbond van Verzekeraars. (2025, 6 februari). Stichting Salvage krijgt 5.773 meldingen in 2024. 
• TechRadar. (2026). Berichtgeving op basis van Chainalysis-onderzoek naar ransomware-extortion in 2025.