Ransomware
AanvallenKwaadaardige software waarbij een slachtoffer afgeperst wordt, nadat zijn digitale systeem of de bestanden erop met een code op slot zijn gezet. De aanvaller biedt de code tegen betaling aan, zodat hij er weer bij kan. Maar zelfs dat is niet zeker. Ransomware is een samenvoeging van de woorden ransom (losgeld) en software. Tegenwoordig is de daadwerkelijke software maar een kleine stap in de totale aanval die plaatsvindt. Alle stappen samen vormen de Ransomware Killchain.
Ransomware is een vorm van malware die bestanden op computers en servers versleutelt. Na de versleuteling verschijnt een losgeldbericht, meestal met de eis om te betalen in cryptocurrency. Zonder de ontsleutelingssleutel zijn je bestanden ontoegankelijk.
In 2025 werden in Nederland 65 ransomware-incidenten bij de politie gemeld, bij 40 daarvan werd een gespecialiseerd incident response team ingeschakeld. Het werkelijke aantal ligt hoger, omdat niet elk slachtoffer aangifte doet. De totale gemelde financiele schade steeg naar 11,5 miljoen euro, tegenover 1,36 miljoen in 2024.
Moderne ransomware werkt volgens het Ransomware-as-a-Service model. Criminele groepen ontwikkelen de ransomware en verhuren die aan affiliates die de daadwerkelijke aanvallen uitvoeren. Volgens het NCSC Jaarbeeld Ransomware 2025 werden in het afgelopen jaar 39 unieke ransomware-families waargenomen in Nederland.
Hoe werkt een ransomware-aanval?
Een ransomware-aanval volgt een vast patroon, de zogenaamde ransomware killchain. Het begint met initiele toegang tot je netwerk. Volgens de politie en het NCSC zijn de twee belangrijkste methoden het misbruiken van kwetsbaarheden in software en het overnemen van accounts. In 2025 nam het aantal incidenten dat begon met account takeover toe ten opzichte van 2024.
Na de initiele toegang beweegt de aanvaller zich lateraal door je netwerk. Hij escaleert zijn rechten, schakelt beveiligingssoftware uit en brengt je infrastructuur in kaart. Dit kan dagen tot weken duren zonder dat je het merkt. Pas als de aanvaller voldoende controle heeft, activeert hij de versleuteling.
Bij dubbele afpersing steelt de aanvaller eerst gevoelige data voordat hij versleutelt. Betaal je niet? Dan dreigt hij de gestolen data te publiceren. Dit maakt de druk om te betalen groter, ook als je goede backups hebt. De politie waarschuwt dat gestolen persoonsgegevens bovendien worden hergebruikt voor andere criminele activiteiten.
Hoe herken je ransomware?
De duidelijkste signalen zijn bestanden die plotseling niet meer openen en een losgeldbericht op je scherm. Maar als je dat ziet, is het al te laat. Vroege detectie is cruciaal.
Let op deze waarschuwingssignalen:
- Ongebruikelijke CPU-belasting op servers, vooral buiten kantooruren
- Grote hoeveelheden bestanden die in korte tijd worden gewijzigd
- Beveiligingssoftware die plotseling wordt uitgeschakeld
- Onbekende accounts die verschijnen in Active Directory
- Verdachte uitgaande verbindingen naar onbekende IP-adressen
Een EDR-oplossing detecteert veel van deze signalen automatisch. Zonder continue monitoring mis je de aanval tot het te laat is. Overweeg een SOC as a Service als je geen eigen monitoringcapaciteit hebt.
Hoe bescherm je je tegen ransomware?
Effectieve bescherming combineert technische maatregelen met organisatorische voorbereiding. Het Cybersecuritybeeld Nederland 2025 benadrukt dat digitale basishygiene cruciaal blijft.
Technische maatregelen
- Implementeer netwerksegmentatie zodat een aanvaller niet je hele netwerk kan bereiken
- Zorg voor offline backups die niet vanaf het netwerk bereikbaar zijn (3-2-1 regel). Bekijk aanbieders op de Backup & Recovery pagina
- Gebruik endpoint protection met gedragsanalyse op alle werkstations en servers
- Patch kwetsbaarheden snel. Account takeover en kwetsbaarheden zijn de twee hoofdoorzaken van ransomware-incidenten in Nederland
- Dwing multifactor-authenticatie af op alle accounts
Organisatorische maatregelen
- Train medewerkers in het herkennen van phishing en spear phishing via een awareness training
- Stel een incident response plan op en test het minimaal jaarlijks
- Bepaal vooraf je standpunt over het betalen van losgeld
- Zorg dat je weet wie je belt als het misgaat: een gespecialiseerd incident response team
Naast deze directe maatregelen is het belangrijk om je leveranciers en partners te beoordelen op hun beveiligingsniveau. Ransomware-aanvallen via de supply chain komen steeds vaker voor. Een aanvaller compromitteert eerst een leverancier en gebruikt die toegang om jouw netwerk binnen te komen. Stel eisen aan de beveiliging van je leveranciers en leg deze vast in contracten en verwerkersovereenkomsten.
Tot slot: test je verdediging regelmatig. Een jaarlijkse penetratietest laat zien waar je kwetsbaarheden zitten. Een ransomware-simulatie test specifiek hoe je organisatie reageert op een ransomware-scenario, van detectie tot herstel. Zonder te testen weet je niet of je maatregelen in de praktijk werken.
Ransomware in Nederland
Nederland is een aantrekkelijk doelwit voor ransomware-groepen. Volgens het Jaarbeeld Ransomware 2025 van de politie werden 65 incidenten gemeld, maar het werkelijke aantal ligt aanzienlijk hoger. Niet elk slachtoffer doet aangifte of schakelt een incident response team in.
De totale gemelde schade steeg naar 11,5 miljoen euro in 2025, tegenover 1,36 miljoen in 2024. Deze stijging laat zien dat aanvallers zich richten op grotere organisaties en hogere losgeldbedragen eisen. In totaal werden 39 unieke ransomware-families waargenomen door het samenwerkingsverband Project Melissa, waarin de politie, het NCSC en cybersecuritybedrijven maandelijks informatie uitwisselen.
Het Cybersecuritybeeld Nederland 2025 beschrijft ransomware als een maatschappelijk probleem dat steeds vaker kritieke sectoren treft. Ziekenhuizen die geen patienten kunnen behandelen, bedrijven die wekenlang stilliggen en gestolen persoonsgegevens die worden hergebruikt voor andere criminele activiteiten. De impact per incident neemt toe, ook al fluctueert het absolute aantal.
Veelgestelde vragen over ransomware
Moet je losgeld betalen bij ransomware?
Het advies van de politie en het NCSC is om niet te betalen. Betalen financiert criminele organisaties en biedt geen garantie dat je bestanden terugkrijgt. In 2025 steeg het totaal betaalde losgeld in Nederland naar 1 miljoen euro. Investeer liever in goede backups en een incident response plan.
Wat kost een ransomware-aanval een bedrijf?
De totale gemelde schade in Nederland steeg in 2025 naar 11,5 miljoen euro, tegenover 1,36 miljoen in 2024. Per incident varieert de schade van tienduizenden tot miljoenen euro's, inclusief omzetverlies, herstelkosten en mogelijke boetes onder de AVG.
Hoe snel herstelt een organisatie van ransomware?
Zonder voorbereiding duurt volledig herstel gemiddeld drie tot vier weken. Met goede backups en een getest incident response plan breng je die tijd terug naar dagen. De eerste 24 uur zijn kritiek voor het beperken van de schade.
Valt ransomware onder de meldplicht?
Ja, als er persoonsgegevens zijn geraakt. Onder de AVG moet je een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Onder NIS2 geldt een aanvullende meldplicht bij het NCSC voor organisaties in essentiele en belangrijke sectoren.
Welke sectoren worden het meest getroffen?
Ransomware raakt steeds vaker gevoelige en kritieke sectoren. De politie noemt specifiek de zorg, waar ransomware ertoe kan leiden dat patienten niet meer behandeld kunnen worden. Het NCSC noemt ransomware een "maatschappelijk probleem" dat alle sectoren treft.
Bescherm je organisatie tegen ransomware. Vind de juiste aanbieder via Monitoring & Incident Response op IBgidsNL.