Orange Cyberdefense: steeds meer organisaties herhaaldelijk slachtoffer van cyberafpersing

Steeds meer organisaties worden herhaaldelijk het doelwit van cyberafpersing, waarbij gestolen data keer op keer worden misbruikt door verschillende dreigingsactoren. Dat is een van de verontrustende trends die naar voren komt in het jaarlijkse onderzoeksrapport van Orange Cyberdefense, genaamd Security Navigator 2025.

Uit het rapport blijkt niet alleen dat slachtoffers steeds vaker opnieuw worden getroffen, maar ook dat cybercriminelen zich opvallend snel aanpassen aan nieuwe omstandigheden. Na grote handhavingsacties ontstaan vaak direct nieuwe lekwebsites, zoals blijkt uit de detectie van 19 nieuwe platforms in het afgelopen jaar.

Opvallende conclusies
Dit zijn de belangrijkste trends en bevindingen over cyberafpersing:

• Kleine bedrijven blijven kwetsbaar
Kleine bedrijven worden steeds vaker het doelwit van cybercriminelen. In 2024 steeg het aantal slachtoffers met 53% ten opzichte van het jaar ervoor. Deze bedrijven hebben vaak beperkte middelen om in cybersecurity te investeren, waardoor ze extra kwetsbaar zijn voor geautomatiseerde aanvallen.

Maar deze dreiging beperkt zich niet tot hen alleen: kleine bedrijven zijn vaak onderdeel van de toeleveringsketen van grotere organisaties. Wanneer zij worden getroffen door ransomware of datadiefstal, kan dit leiden tot grootschalige beveiligingsincidenten bij hun zakelijke partners. Een ketenbrede cybersecuritystrategie is dan ook belangrijk.

• Effecten van wetshandhaving
Operaties zoals Cronos, waarbij Europol het beruchte LockBit hard heeft geraakt, laten zien dat wetshandhaving effectief kan zijn. Toch blijven criminelen snel schakelen. Nieuwe spelers zoals Ransomhub en Akira hebben hun plaats ingenomen en hun activiteiten fors uitgebreid.

Deze opkomst van nieuwe actoren laat zien hoe veerkrachtig het criminele ecosysteem is, benadrukken de onderzoekers. Het biedt volgens de onderzoekers echter ook een kans: als wetshandhaving in staat is deze opkomende groepen in een vroeg stadium te identificeren en aan te pakken, kan de schade beperkt blijven.

• Verschuivingen in hackersgroeperingen
Enkele opvallende verschuivingen in het ransomware-landschap: Cl0p verloor flink aan activiteit met 377 minder slachtoffers, terwijl ALPHV (BlackCat) volledig verdween na een mislukte actie van wetshandhavers. Tegelijkertijd maakten groepen zoals Ransomhub en Akira een sterke opkomst met respectievelijk 287 en 215 incidenten. Ook Play (359 incidenten), Hunters, BianLian en Medusa laten zien dat nieuwe en hernieuwde dreigingen terrein winnen.

• Double extortion: gestolen data als chantagemiddel
Cybercriminelen zetten steeds vaker de tactiek van double extortion in, waarbij ze niet alleen losgeld eisen om versleutelde systemen te ontgrendelen, maar ook dreigen gestolen gegevens openbaar te maken als het slachtoffer niet betaalt. Volgens het Security Navigator 2025-rapport is deze tactiek inmiddels de norm geworden bij cyberafpersing en wordt deze breed toegepast door ransomwaregroepen zoals LockBit, ALPHV (BlackCat) en Cl0p.

Deze aanpak vergroot de druk op organisaties, omdat het financiële risico wordt gecombineerd met reputatieschade en mogelijke juridische consequenties. Vooral bedrijven in sectoren met gevoelige klant- of bedrijfsinformatie, zoals gezondheidszorg, financiële dienstverlening en productie, lopen een verhoogd risico.

• Psychologische druk op slachtoffers neemt toe
Naast de directe financiële gevolgen nemen ook de tactieken van dreigingsactoren in intensiteit toe. Groepen publiceren steeds vaker gevoelige informatie om de druk op slachtoffers op te voeren. Denk hierbij aan interne e-mails en persoonlijke gegevens van medewerkers.

Daarnaast worden gestolen data regelmatig gedeeld of doorverkocht aan andere dreigingsactoren, wat leidt tot herhaald slachtofferschap. Dit betekent dat personen of organisaties meerdere keren het doelwit worden, met een cumulatieve impact op hun financiële middelen, reputatie en interne processen. Deze tactieken creëren niet alleen financiële schade, maar brengen ook reputatierisico’s en psychologische stress met zich mee. Organisaties moeten daarop zijn voorbereid en slachtoffers goede ondersteuning bieden.

• Internationale reikwijdte neemt toe
In 2024 werden bedrijven in 116 landen slachtoffer van cyberafpersing, een stijging van 8% ten opzichte van 2023. Noord-Amerika en Europa blijven de zwaarst getroffen regio’s, met de VS, Duitsland, Italië, Spanje en Nederland als koplopers.

Wat opvalt, is de snelle toename van cyberincidenten in kleinere landen en opkomende markten, zoals Nepal en Cuba. Volgens onderzoekers ligt de oorzaak vooral bij zwakke cyberbeveiliging en beperkte middelen in deze regio’s. Het rapport benadrukt dat, zonder verbeteringen in de digitale infrastructuur, cybercriminelen deze zwakke plekken blijven exploiteren.

Oproep tot samenwerking en preventie
“De bestrijding van cyberafpersing gaat verder dan alleen het oppakken van criminelen of het offline halen van hun lekwebsites. De opkomst van maar liefst 19 nieuwe actoren in het afgelopen jaar laat zien hoe flexibel en veerkrachtig deze netwerken zijn”, constateert Jort Kollerie, Strategic Advisor bij Orange Cyberdefense. “Zodra één groep wordt ontmanteld, staat een andere klaar om het stokje over te nemen, vaak met nog geavanceerdere technieken.”

Volgens hem is alleen een gezamenlijke aanpak effectief. “Investeer proactief in kennisdeling, preventieve technologieën en internationale samenwerking. Alleen door collectieve actie kunnen we voorkomen dat cyberafpersing nog verder escaleert.”