Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Ransomware-as-a-Service

Aanvallen

Een dienst waarbij cybercriminelen ransomware aanbieden als een comerciele dienst, waardoor ook minder technische criminelen ransomware aanvallen kunnen uitvoeren.

Ransomware-as-a-Service, afgekort RaaS, is een cybercrimineel businessmodel waarbij de ontwikkelaars van ransomware hun kwaadaardige software en ondersteunende infrastructuur beschikbaar stellen aan andere criminelen, zogenaamde affiliates. In ruil daarvoor ontvangen de ontwikkelaars een percentage van het losgeld dat de affiliates binnenhalen, doorgaans tussen de 20 en 40 procent. Het model is gebaseerd op dezelfde principes als legitieme Software-as-a-Service: de aanbieder levert het product, de infrastructuur en de technische support, terwijl de affiliate zich richt op het daadwerkelijk uitvoeren van aanvallen.

RaaS heeft de drempel voor het uitvoeren van ransomware-aanvallen drastisch verlaagd. Waar vroeger technische expertise nodig was om ransomware te ontwikkelen en te verspreiden, kan nu elke crimineel met basiskennis een ransomware-campagne opzetten via een RaaS-platform. In 2025 steeg het aantal publiekelijk gemelde ransomware-aanvallen met 47 procent tot meer dan 7.200 incidenten, grotendeels gedreven door de groei van het RaaS-ecosysteem. Qilin werd in 2025 de meest actieve RaaS-groep met 1.066 aanvallen, een stijging van 408 procent ten opzichte van 2024. In het eerste kwartaal van 2026 werden al acht nieuwe RaaS-programma’s geidentificeerd die actief affiliates werven.

Hoe werkt Ransomware-as-a-Service?

Een RaaS-operatie functioneert als een goed georganiseerde onderneming met duidelijke rolverdeling. De operators, ook wel de core team of developers genoemd, ontwikkelen de ransomware, bouwen de command-and-control infrastructuur, onderhouden het betalingsportaal voor slachtoffers en bieden technische ondersteuning aan affiliates. Sommige RaaS-platforms bieden zelfs een helpdesk voor slachtoffers die moeite hebben met het betalen van het losgeld in cryptocurrency.

Affiliates schrijven zich in bij een RaaS-platform via dark web forums of Telegram-kanalen. Ze krijgen toegang tot een dashboard waarop ze hun campagnes kunnen beheren, slachtoffers kunnen monitoren en betalingen kunnen volgen. De affiliate is verantwoordelijk voor de initial access: het binnendringen van het netwerk van het slachtoffer. Dit gebeurt vaak via phishing-mails, het exploiteren van kwetsbaarheden in publiek toegankelijke systemen of het kopen van gestolen credentials op de dark web.

Na het verkrijgen van toegang beweegt de affiliate lateraal door het netwerk, escaleert privileges, identificeert kritieke systemen en exfiltreert data voordat de encryptie wordt geactiveerd. De gestolen data worden gebruikt als extra drukmiddel: als het slachtoffer niet betaalt, dreigt de groep de data te publiceren op hun leak site. Dit wordt double extortion genoemd en is inmiddels standaardpraktijk bij de meeste RaaS-operaties. Sommige groepen voegen daar DDoS-aanvallen of het benaderen van klanten van het slachtoffer aan toe, wat triple en quadruple extortion heet.

Hoe herken je Ransomware-as-a-Service?

Het herkennen van een RaaS-aanval verschilt niet fundamenteel van het herkennen van andere ransomware-aanvallen, maar er zijn specifieke indicatoren die wijzen op een georganiseerde RaaS-operatie. Ransomware-notities die verwijzen naar een specifiek merk, zoals LockBit, BlackCat of Qilin, duiden op een RaaS-operatie. Deze groepen hebben herkenbare encryptie-extensies, betaalportalen en communicatiemethoden.

Op netwerkniveau kun je verdachte activiteiten detecteren die voorafgaan aan de encryptie. Intrusion detection systemen kunnen signalen oppikken van laterale bewegingen, privilege escalatie en data-exfiltratie. Ongebruikelijke volumes aan uitgaand verkeer, vooral naar onbekende bestemmingen, kunnen wijzen op het exfiltreren van data. Het uitschakelen van endpoint detection tools en het verwijderen van shadow copies zijn typische stappen die RaaS-affiliates uitvoeren vlak voor de encryptie.

De gemiddelde totale kosten van een ransomware-aanval, inclusief downtime, herstel en reputatieschade, liggen tussen de 1,8 en 5 miljoen dollar per incident. In het eerste kwartaal van 2026 bleef Noord-Amerika het zwaarst getroffen met 81 procent van alle aanvallen, waarbij de productiesector met 29 procent het meest geviseerd werd. De verwachting is dat het aantal ransomware-incidenten in 2026 de 12.000 zal overschrijden.

Hoe bescherm je je tegen Ransomware-as-a-Service?

Bescherming tegen RaaS-aanvallen vereist een gelaagde verdedigingsstrategie. Begin met de basis: zorg dat alle systemen up-to-date zijn met de nieuwste beveiligingspatches, implementeer multi-factor authenticatie op alle externe toegangspunten en beperk het gebruik van Remote Desktop Protocol (RDP). RDP is een van de meest gebruikte ingangsvectoren voor RaaS-affiliates.

Implementeer een robuuste backup-strategie volgens het 3-2-1 principe: drie kopieen van je data, op twee verschillende mediatypen, waarvan een offsite of offline. Test regelmatig of je backups daadwerkelijk werkend zijn en hoe lang een volledig herstel duurt. RaaS-groepen richten zich steeds vaker ook op backupsystemen, dus zorg dat minimaal een kopie niet vanuit het netwerk bereikbaar is.

Netwerksegmentatie beperkt de laterale bewegingsmogelijkheden van een aanvaller aanzienlijk. Als een affiliate een enkel systeem compromitteert, voorkomt goede segmentatie dat ze het volledige netwerk kunnen versleutelen. Combineer dit met een zero trust architectuur waarbij elke toegangspoging wordt geverifieerd, ongeacht de locatie van de gebruiker. Een incident response plan dat specifiek ransomware-scenario’s adresseert, inclusief de vraag of je wel of niet betaalt, moet klaarliggen voordat een aanval plaatsvindt.

Naast technische maatregelen is het trainen van medewerkers essentieel in de verdediging tegen RaaS. De meeste RaaS-aanvallen beginnen met een menselijke handeling: het openen van een kwaadaardige bijlage, het invoeren van credentials op een nep-website of het goedkeuren van een frauduleuze MFA-prompt. Beveiligingsbewustzijn trainingen en regelmatige phishing-simulaties verlagen het risico op succesvolle social engineering aanzienlijk. Cyberverzekeringspolissen bieden een financieel vangnet, maar verwacht niet dat een verzekering alle schade dekt. Verzekeraars stellen steeds strengere eisen aan het beveiligingsniveau van organisaties voordat ze een polis verstrekken.

De samenwerking tussen opsporingsdiensten en de private sector heeft de afgelopen jaren geleid tot succesvolle ontmantelingen van RaaS-platforms. Operaties zoals de takedown van Hive in 2023 en acties tegen LockBit in 2024 tonen aan dat zelfs de grootste RaaS-operaties kwetsbaar zijn voor gecoordineerde rechtshandhaving. Desondanks vullen nieuwe groepen snel het vacuuum op, waardoor de dreiging van RaaS voorlopig niet zal afnemen. Organisaties moeten daarom continu investeren in hun verdediging en ervan uitgaan dat het een kwestie van wanneer is, niet of ze worden aangevallen.

Veelgestelde vragen over Ransomware-as-a-Service

Hoeveel kost het om een RaaS-aanval uit te voeren?

RaaS-platforms hanteren verschillende prijsmodellen. Sommige bieden abonnementen vanaf enkele honderden dollars per maand, andere werken puur op commissiebasis waarbij de affiliate 60 tot 80 procent van het losgeld ontvangt. De lage instapdrempel maakt RaaS toegankelijk voor criminelen zonder technische expertise.

Welke RaaS-groepen zijn het meest actief in 2025-2026?

Qilin was in 2025 de meest actieve groep met meer dan duizend aanvallen. Andere prominente RaaS-operaties zijn RansomHub, Play, Akira en BlackBasta. Het landschap verschuift snel doordat groepen worden ontmanteld door opsporingsdiensten en nieuwe spelers opkomen.

Moet je losgeld betalen bij een RaaS-aanval?

Het NCSC en opsporingsdiensten adviseren om niet te betalen. Betaling financiert het criminele ecosysteem en biedt geen garantie op herstel van je data. Investeer liever in goede backups, incident response en preventieve maatregelen. Als je overweegt te betalen, schakel dan juridische en forensische experts in.

Hoe worden RaaS-groepen opgespoord?

Opsporingsdiensten wereldwijd werken samen om RaaS-groepen te ontmantelen. Methoden omvatten het infiltreren van dark web forums, het traceren van cryptocurrency-betalingen, internationale samenwerkingsverbanden en het in beslag nemen van command-and-control infrastructuur. Meerdere grote RaaS-operaties zijn in 2024-2025 ontmanteld.

Zijn Nederlandse bedrijven specifiek doelwit van RaaS?

Nederlandse bedrijven worden regelmatig getroffen door RaaS-aanvallen, vooral in de productie, logistiek en financiele sector. De relatieve welvaart van Nederlandse organisaties maakt ze aantrekkelijke doelwitten. Het NCSC monitort actief dreigingen en publiceert advisories over actieve ransomware-campagnes.

Bescherm je organisatie tegen ransomware. Vergelijk Incident Response aanbieders op IBgidsNL.