Industrialfairs News

Nieuws

De onrustwekkende rage… Raas

Digitaliseren
26/06/2025

Auteur: Karl D’haveloose

 

 

 

 

CISO, CTO, COO, CIO of welke C u ook mag zijn en hoe performant uw productie ook mag zijn, Raas kan u straks als eindverantwoordelijke wel even van uw stoel blazen. We gaan in op de toenemende Ransomware-as-a-Serviceplatformen, die steeds performanter en zelfs door minder geskillde hackers snel adopteerbaar zijn. Zie het als een franchisemodel van de hoofdhacker en zijn franchisehackers, die een tegen franchisekost meehacken.

 

Voor wie geen 4 minuten leestijd heeft hier de compacte samenvatting:

  • Ransomware-as-a-service heeft cybercriminaliteit gedemocratiseerd, waardoor het ecosysteem van cybercriminelen enorm is uitgebreid.
  • AI geeft cybercriminelen nog meer mogelijkheden met tools, die geavanceerde phishingberichten, deepfakes en kwaadaardige codes genereren.
  • De menselijke factor blijft de belangrijkste verdedigingslinie tegen cyberdreigingen. Het opleiden en trainen van medewerkers is net zo cruciaal als technologie.

 

Cybercriminaliteit is al lang een zorg voor bedrijven, overheden en particulieren. Maar de afgelopen jaren heeft een dramatische verschuiving het dreigingslandschap veranderd: ransomware is geëvolueerd van een tool voor opportunistische hackers naar een schaalbaar bedrijfsmodel.

 

Ransomware-as-a-Service (RaaS) is niet alleen een trend, het is een fundamentele herziening van hoe cybercriminaliteit werkt. Het dwingt organisaties om opnieuw na te denken over wat het betekent om veilig te zijn in het digitale tijdperk. In wezen is RaaS een duistere spiegel van het legitieme Software-as-a-Service (SaaS)-model. Net zoals SaaS-providers platforms aanbieden voor productiviteit, communicatie of gegevensopslag, bieden RaaS-groepen toolkits voor afpersing. Met weinig technische expertise kan iedereen met kwaadwillige bedoelingen en internettoegang nu kant-en-klare ransomwarepakketten huren of kopen, compleet met stapsgewijze instructies, klantenondersteuning en winstdelingsmodellen.

 

Deze 'democratisering' van cybercriminaliteit heeft geïsoleerde incidenten veranderd in een bedreiging op industriële schaal. Volgens het Chainalysis Crypto Crime Report 2025 hebben ransomware-actoren in 2024 meer dan 813 miljoen dollar afgeperst, zelfs al zijn de totale betalingen met 35% gedaald, ten opzichte van het record van het voorgaande jaar. Die daling verhult een diepere zorg: het aantal aanvallen neemt toe. Vorig jaar zijn er meer dan 56 nieuwe ransomware-leaksites bijgekomen, een verdubbeling ten opzichte van 2023, wat wijst op een snel groeiend ecosysteem van cybercriminelen.

 

Hoewel de daling van de uitbetalingen wijst op sterkere verdedigingsmechanismen en een grotere weigering om te betalen, is de dreiging nog lang niet voorbij. RaaS-groepen evolueren snel: ze veranderen van naam, fragmenteren en breiden zich uit via wereldwijde affiliate-netwerken. Veel organisaties, vooral kleine en middelgrote, onderschatten nog steeds hoe snel dit model groeit.

 

Een keerpunt in cybercriminaliteit

Ransomware is zeker niet nieuw, het bestaat al tientallen jaren. Het model dat RaaS aandrijft, begon in het begin van de jaren 2010 serieus aan populariteit te winnen. Pas rond 2022 begon de dreiging echter snel te escaleren. Als gevolg van geopolitieke instabiliteit, met name de Russische invasie van Oekraïne, werden ransomwaregroepen agressiever en gerichter, waarbij ze hun focus verlegden van individuen naar hele organisaties en kritieke infrastructuur.

 

Deze verschuiving veranderde het risicoprofiel fundamenteel. RaaS-aanvallen richtten zich nu op kernsystemen, zoals hypervisors, ERP-platformen en gevirtualiseerde omgevingen, technologieën die ten grondslag liggen aan hele organisaties. Dit betekende dat aanvallers in plaats van één machine of afdeling te versleutelen, een hele onderneming in één gecoördineerde aanval konden platleggen.

 

 

Anatomie van een RaaS-aanval

Als we begrijpen hoe een typische RaaS-operatie verloopt, wordt duidelijk waarom deze zo effectief is:

  • Ontwikkelaars maken een ransomware-toolkit, inclusief tools voor versleuteling, verduistering en communicatie.
  • Affiliates kopen of nemen een licientie op de kit, vaak via privéforums of dark web-marktplaatsen.
  • De eerste toegang wordt verkregen via phishing, niet-gepatchte kwetsbaarheden of gelekte inloggegevens.
  • Malware wordt ingezet, waardoor bestanden worden vergrendeld en losgeld eisen worden getoond, meestal te betalen in cryptovaluta.
  • De winst wordt verdeeld, waarbij een deel teruggaat naar de RaaS-ontwikkelaar en de rest naar de affiliate.

Sommige groepen voeren de druk op door gegevens te stelen en te dreigen deze openbaar te maken als het losgeld niet wordt betaald, een tactiek die bekend staat als dubbele afpersing.

 

Cybercrime 4.0

Een van de meest verontrustende aspecten van RaaS is hoe effectief het de structuur van legitieme bedrijven nabootst. Een typische RaaS-operatie omvat ontwikkelaars die de malware bouwen, affiliates die deze verspreiden, makelaars die toegang tot kwetsbare netwerken verkopen, onderhandelaars die de losgeld eisen afhandelen en zelfs callcenters om de ‘klantrelaties’ met slachtoffers te beheren. Sommige operaties maken zelfs gebruik van witwassers om losgeldbetalingen in cryptovaluta te verwerken.

 

Deze groepen opereren met verrassende professionaliteit en bieden regelmatige updates, bugfixes, functieverbeteringen en gedetailleerde dashboards voor het volgen van infecties en betalingen. De verdienmodellen variëren: sommige vragen een vast licentiebedrag, terwijl andere een percentage van het succesvolle losgeld vragen. De schaalbaarheid en verfijning van deze operaties hebben ertoe bijgedragen dat ransomware is uitgegroeid tot een miljardenindustrie.

 

AI en automatisering: de volgende grens

Hoewel RaaS de drempel voor cybercriminaliteit al heeft verlaagd, zorgt de integratie van kunstmatige intelligentie ervoor dat de dreiging nog groter wordt. AI wordt gebruikt om phishingcampagnes te automatiseren, hyperrealistische lokmiddelen te creëren en kwetsbaarheden in realtime te identificeren. Deepfake-technologie en door AI gegenereerde spraak- of videoboodschappen maken social engineering-aanvallen moeilijker te detecteren en gemakkelijker uit te voeren.

 

Deze tools verhogen de effectiviteit en frequentie van aanvallen aanzienlijk. Cybercriminelen hoeven niet langer wekenlang handmatig een netwerk te onderzoeken. Ze kunnen geautomatiseerde bots inzetten om te scannen op zwakke punten, ongepatchte systemen te exploiteren en grootschalige ransomwarecampagnes te lanceren. Deze versnelling dwingt verdedigers tot een voortdurende achtervolging.

 

De meest voorkomende inbraakpunten

Ondanks de technologische vooruitgang vertrouwen aanvallers nog steeds op een aantal beproefde toegangspunten, waarvan er vele in alle sectoren nog steeds niet zijn opgelost:

 

 

  • Phishing en social engineering: nog steeds het belangrijkste toegangspunt voor ransomware, vooral wanneer deze wordt versterkt met door AI gegenereerde e-mails, deepfake-stemmen of valse websites die aanvallen moeilijker te detecteren maken.
  • Niet-gepatchte software: verouderde systemen met bekende kwetsbaarheden blijven een makkelijke prooi voor aanvallers, die mislukte updates misbruiken.
  • Zwakke of gestolen inloggegevens: wachtwoorden die zijn verkregen via phishing of brute-force-aanvallen zijn zeer effectief, vooral wanneer er geen multi-factorauthenticatie (MFA) is geïmplementeerd.
  • Tools voor externe toegang: VPN's, RDP en cloudapps zijn veelvoorkomende doelwitten. Zonder de juiste beveiligingsmaatregelen kunnen ze directe toegang tot kritieke systemen bieden.

Deze zwakke plekken zijn niet nieuw, maar de snelheid en automatisering waarmee aanvallers ze uitbuiten zijn dat wel.

 

Risicovolle doelwitten

Bepaalde sectoren zijn kwetsbaarder dan andere. Organisaties in de gezondheidszorg, financiële dienstverlening en kritieke infrastructuur lopen een verhoogd risico vanwege de mogelijke gevolgen van downtime, streng toezicht door regelgevende instanties en de gevoeligheid van de gegevens die ze verwerken. De belangen zijn het grootst wanneer bedrijfsactiviteiten geen verstoring kunnen verdragen, waardoor deze sectoren eerder geneigd zijn om snel losgeld te betalen, wat aanvallers nog meer stimuleert.

 

Ook cloud-first-organisaties, omgevingen voor werken op afstand en bedrijven die afhankelijk zijn van virtualisatie zijn bijzonder kwetsbaar. Het compromitteren van een hypervisor kan bijvoorbeeld een cascade-effect hebben op een heel digitaal ecosysteem, waardoor elk afhankelijk systeem binnen enkele minuten wordt getroffen.

 

Eentje om het af te leren

De aanval op CDK Global, een softwareleverancier voor autodealers, is een ontnuchterend voorbeeld van RaaS in de praktijk. CDK Global werd het slachtoffer van een cyberaanval, die het Integrated Client Enterprise Solutions (ICES)-platform verstoorde.

 

 

Het Integrated Client Enterprise Solutions (ICES)-platform van het bedrijf, dat centraal staat in de activiteiten van autodealers, werd offline gehaald, waardoor de verkoop, service en backofficefuncties in het hele land werden verstoord. In hun haast om de systemen te herstellen, slaagde CDK er niet in om de aanvallers volledig te verwijderen, wat resulteerde in een tweede golf van aanvallen: een kostbare fout die het belang onderstreept van een grondige incidentrespons en het volledig beveiligen van systemen, voordat de activiteiten worden hervat.

 

De gevolgen waren ingrijpend: gederfde inkomsten, aangetast vertrouwen, operationele vertragingen en torenhoge cyberverzekeringskosten. Helaas komt dit scenario steeds vaker voor.

 

Goede voorlichting blijft de beste defense

Hoewel technologie een cruciale rol speelt bij de verdediging, blijft het menselijke element de zwakste schakel. Door medewerkers niet alleen jaarlijks maar ook consequent te trainen, kan het succespercentage van phishing- en social engineering-aanvallen drastisch worden verminderd. Iedereen in de organisatie, van beginnende medewerkers tot leidinggevenden, moet de risico's begrijpen en verdacht gedrag herkennen. Cyberbeveiliging is niet alleen het domein van IT-afdelingen. Het is een gedeelde verantwoordelijkheid. Je kan dus maar beter beginnen met een Ransomwarebewuste organisatie op te bouwen.

 

Er is geen wondermiddel tegen RaaS, maar een gelaagde verdedigingsstrategie verbetert de weerbaarheid aanzienlijk:

  • Offline back-ups: cloudback-ups zijn nu een doelwit; offline of air-gapped back-ups zijn essentieel.
  • Multi-factorauthenticatie: moet verplicht zijn voor alle systemen, vooral voor externe toegang.
  • Geavanceerde endpointdetectie en -respons (EDR): real-time monitoring en gedragsanalyse kunnen bedreigingen vroegtijdig opsporen.
  • Routinematige penetratietests en beveiligingsaudits: identificeer kwetsbaarheden voordat aanvallers dat doen.
  • Incidentresponsplanning: ontwikkel en test uw plan regelmatig. Het slechtste moment om het te testen is tijdens een echte aanval.
  • Training van medewerkers: houd deze relevant, boeiend en continu.

Organisaties in risicovolle sectorennof organisaties met hoge eisen op het gebied van gegevensgevoeligheid of uptime, moeten ook ransomware-weerbaarheidsbeoordelingen overwegen. Deze kunnen blinde vlekken identificeren en teams voorbereiden om effectief te reageren onder druk.

 

De call 4 action

RaaS vormt een duidelijk en actueel gevaar voor de moderne onderneming. Het industrialiseert cybercriminaliteit, verlaagt de toegangsdrempels en maakt aanvallen met grote impact frequenter en toegankelijker. De integratie van AI en de evolutie van cybercriminaliteit op basis van abonnementen versterken de dreiging alleen maar.

 

Maar met bewustzijn, waakzaamheid en een commitment aan de basisprincipes van cyberbeveiliging kunnen organisaties de impact van deze aanvallen afzwakken. Het gesprek over RaaS moet verschuiven van angst naar proactieve voorbereiding. Voorlichting en het niet stilzwijgen van het probleem vormt de sterkste eerste verdedigingslinie.

 

De bedreigingen evolueren misschien, maar onze verdedigingsmechanismen kunnen dat ook. Wie meer over dit topic wil ontdekken, rept zich op 9 oktober naar ABISS2025 in Kortrijk en op 30 oktober naar Breda.

beschrijving beschrijving beschrijving beschrijving

Gerelateerd nieuws

Digitaliseren
Industrie 4.0 doorvoeren op een historische productievloer? Tricky but feasible!
22/05/2025

Lees meer
Digitaliseren
AI: Is het een ‘build’ of een ‘buy’ (The AI Tech Sandwich)
24/04/2025

Lees meer
Digitaliseren
Industriële Metaverse: het speelveld voor remote maintenance
20/03/2025

Lees meer
Digitaliseren
Let’s talk about hyperautomation (HA) voor jouw fabriek
20/02/2025

Lees meer

Deze website gebruikt cookies om u een betere ervaring te bieden terwijl u deze site bezoekt. Meer info over cookies