Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing

Uit het jaarlijkse Arctic Wolf Threat Report blijkt onder andere dat bij nagenoeg alle (96%) ransomware-incidenten data worden gestolen. De bevindingen van dit jaar onderstrepen dat cybercriminelen hun methoden aanpassen om sterkere securitymaatregelen te omzeilen. Hierbij prioriteren cybercriminelen het wegsluizen van data, verbeteren ze hun Business Email Compromise (BEC)-methoden en maken ze gebruik van bekende kwetsbaarheden om in te breken bij organisaties over de hele wereld.

Het rapport is gebaseerd op inzichten uit de incident response (IR) cases van Arctic Wolf, onderzoek naar informatie over dreigingen en telemetrie van het Arctic Wolf Aurora Platform, aangevuld met een diepgaande analyse van de tactieken, technieken en procedures die aanvallers gebruiken om traditionele securitymaatregelen te omzeilen. De gebruikte data is verzameld tussen 1 oktober 2023 en 30 september 2024. Het rapport biedt tevens nuttige aanbevelingen voor organisaties die hun cyberveerkracht willen verbeteren.

De belangrijkste bevindingen uit het 2025 Arctic Wolf Threat Report zijn:

• Eerst stelen, dan afpersen: nu organisaties steeds beter worden in het herstellen van een ransomware-aanval, wenden cybercriminelen zich tot het wegsluizen van data om de druk op slachtoffers te vergroten. In bijna alle (96%) geanalyseerde ransomware-incidenten werd data gestolen.
• De drie belangrijkste vormen van cybercrime: ransomware (44%), BEC (27%) en data-inbraak (24%) zijn goed voor 95% van alle incident response gevallen.
• Aanvallers gaan voor het grote geld: BEC blijft groeien als favoriete tactiek van cybercriminelen, met name in de financiële en verzekeringssector, waar deze methode goed was voor ruim de helft (53%) van de IR-gevallen. Dit zijn de enige sector waar BEC vaker voorkwam dan ransomware.
• Patchen of betalen: in driekwart (76%) van de gevallen waarbij werd ingebroken op de systemen van slachtoffers, maakten aanvallers gebruik van slechts 10 specifieke kwetsbaarheden. Geen van deze kwetsbaarheden betrof een zero-day en de meeste waren gekoppeld aan remote access tools en andere extern toegankelijke diensten. Dit toont het belang van proactief patchmanagement aan. 
• De mediaan van de ransomware-kosten blijft $600.000: dat de losgeldeisen zo hoog blijven, toont aan dat ransomware een lucratieve business blijft voor cybercriminelen, ondanks verscherpte handhaving.
• Het Arctic Wolf Incident Response team hielp slachtoffers de totale losgeldeisen met 64% te verlagen. 70% van de klanten die werden geholpen door de onderhandelingsdiensten van Arctic Wolf, hoefde helemaal geen losgeld te betalen.

Uit het onderzoek blijkt verder dat vijf verschillende ransomware-groepen – Akira, LockBit 3.0, Black Suit, Fog en Play – verantwoordelijk waren voor 42% van de door Arctic Wolf onderzochte ransomware incidenten. Bij drie van deze groepen – Black Suit, Fog en Play – staat Nederland genoemd in de top 5 landen waar deze actief zijn, waarbij ook België genoemd staat in de top 5 landen bij Black Suit.

“Uit het 2025 Arctic Wolf Threat Report blijkt dat cybercriminelen hun gedrag aan het veranderen zijn: het wegsluizen van data is de norm geworden en is niet meer een uitzondering. Aanvallers versleutelen niet langer alleen data met ransomware, ze stelen deze data eerst om de druk op hun slachtoffers te vergroten. De bevindingen uit het rapport kunnen organisaties helpen inzicht te krijgen in de risico’s waarmee ze vandaag de dag te maken krijgen en vormen de basis voor geavanceerde detectie- en responsestrategieën die zijn ingebed in het Arctic Wolf Aurora Platform om klanten veilig te houden”, zegt Kerri Shafer-Page, Vice President of Incident Response bij Arctic Wolf.

Meer informatie: Kijk voor meer informatie of om het volledige rapport te downloaden op: https://cybersecurity.arcticwolf.com/2025-Threat-Report-v1.html.