NCC Group Monthly Threat Pulse – overzicht december 2025

Uit het meest recente Cyber Threat Intelligence Report van NCC Group, het moederbedrijf van Fox-IT, blijkt dat cybercriminaliteit een steeds meer georganiseerde industrie wordt, waarbij Ransomware-as-a-Service (RaaS)-bendes gestructureerde ‘affiliate models’ hanteren en actief insiders en cybersecurityprofessionals rekruteren om te helpen bij hun aanvallen.

Deze verschuiving vindt plaats te midden van een stijging van 13% in ransomware-activiteit in december 2025, vergeleken met de maand ervoor. Het is opnieuw een bewijs van toenemende professionalisering in het hele ransomware-ecosysteem.

RaaS-bendes zien werknemers, zzp’ers en partners steeds vaker als toegangspoort tot organisaties. Door insiders te rekruteren, krijgen cybercriminelen toegang tot inloggegevens, systemen en interne processen, waardoor ze cybersecuritymaatregelen kunnen omzeilen. Medewerkers met uitgebreide toegangsrechten, met name in IT- en technische functies, zijn populaire doelwitten, aangezien één gecompromitteerd account van deze functionarissen toegang geeft tot grote delen van de digitale omgeving.

Uit het rapport van NCC Group blijkt dat sterke financiële prikkels een belangrijke motivatie zijn die aanvallers hanteren bij het rekruteren van insiders. Ransomwaregroepen bieden hoge commissies en beloven anonimiteit om medewerkers over te halen. Een goed voorbeeld van dit model werd gemeld in september 2025, toen de Medusa-ransomwarebende een medewerker van de BBC probeerde te rekruteren, door 15% van een toekomstige ransomwarebetaling te bieden in ruil voor toegang tot interne systemen. Toen dit mislukte, werd het aanbod verhoogt tot 25%. Dit laat zien dat aanvallers de strategische waarde van insiders inzien en dat ze bereid zijn hiervoor te betalen.

Matt Hull, Vice President of Cyber Intelligence and Response bij NCC Group, zegt: “Het aanvallen van bekende organisaties zoals de BBC is zowel financieel aantrekkelijk als commercieel strategisch. Zelfs een beperkt succes tegen een bekend merk kan de bekendheid en geloofwaardigheid vergroten voor de ransomwarebende, waardoor groepen toekomstige partners kunnen aantrekken. Goed gefinancierde groepen zoals Medusa en Qilin kunnen het zich veroorloven om financiële prikkels te gebruiken om insiders aan te trekken; kleinere bendes hebben vaak niet de middelen om hiermee te concurreren.

Voor organisaties verschuift de focus hierdoor van puur technische securitymaatregelen naar human risk management. Programma’s voor insider threat, goed beheer van toegangsrechten en robuuste offboardingsprocessen zijn cruciaal om het risico te verkleinen dat werknemers deel gaan uitmaken van de ransomware-supply chain.”

Uit het rapport blijkt verder dat niet alleen medewerkers worden gerekruteerd voor ransomware-operaties. In december 2025 pleitten twee cybersecurityprofessionals schuldig aan samenwerking met BlackCat/ALPHV en gaven ze toe betrokken te zijn bij een reeks ransomware-aanvallen op vijf organisaties in de VS, waaronder bedrijven in de zorg en maakindustrie.

Deze zaak wordt beschouwd als een van de eerste gedocumenteerde voorbeelden van cybersecurityprofessionals die hun technische expertise, sectorkennis en operationele inzicht in cybersecurityprocessen gebruikten om RaaS-activiteiten rechtstreeks te ondersteunen. Financiële prikkels waren waarschijnlijk een belangrijke drijfveer, naast andere factoren zoals de stijgende kosten van het levensonderhoud in de VS en ontevredenheid over loon.

Hull vervolgt: “Ransomware is uitgegroeid tot een georganiseerd bedrijfsmodel. Deze groepen denken nu in termen van werving, prikkels, schaalgrootte en groei, in plaats van alleen maar aanvallen. Wat opvalt, is dat de tactieken niet nieuw zijn. Vertrouwen, misleiding, social engineering en financiële druk hebben altijd al gewerkt, ze worden nu alleen op nieuwe manieren georganiseerd en opgeschaald. Het rekruteren van cybersecurityprofessionals laat zien hoe ver dit gaat: ransomwaregroepen maken gebruik van expertise, toegang en het vertrouwen van mensen om te opereren als een gestructureerde criminele onderneming.”

Ransomware-activiteit december in het kort:
* Het aantal ransomware-aanvallen steeg in december 2025 voor de vierde maand op rij gestaag met 13% tot een totaal van 784 aanvallen. Deze stijging komt overeen met de jaarlijkse seizoensgebonden stijging, aangezien RaaS-bendes zich tijdens de feestdagen richten op bedrijven met een tekort aan personeel.
* De industrie was in december de meest getroffen sector, met 29% van de ransomware-aanvallen, gevolgd door ‘Consumer Discretionary’, waaronder autofabrikanten, retail en leisure met 22% en de IT-sector met 10%.
* Qilin was verantwoordelijk voor 22% van alle aanvallen in december, met 12% meer aanvallen dan de eerstvolgende ransomwarebende, Akira.
* Van alle aanvallen in december 2025 vond de helft van de aanvallen plaats in Noord-Amerika, gevolgd door Europa waar een kwart van de aanvallen plaatsvond.

Over Fox-IT
Fox-IT, onderdeel van de wereldwijd opererende NCC Group, is een toonaangevend cybersecuritybedrijf. Vanuit Nederland helpt Fox-IT organisaties wereldwijd met het detecteren, analyseren en afweren van digitale dreigingen, en speelt het een sleutelrol in de bescherming van vitale infrastructuren. Meer over Fox-IT en onze aanpak is beschikbaar op www.fox-it.com

Over NCC Group
NCC Group is een wereldwijde cyberbeveiligingsspecialist die helpt bij het creëren van een veiligere digitale toekomst. Als wereldwijde experts op het gebied van cybersecurity en risicobeperking vertrouwen meer dan 14.000 klanten op NCC Group om hun meest kritieke bedrijfsmiddelen te beschermen tegen het steeds veranderende dreigingen. Dankzij de kennis, ervaring en investeringen in onderzoek en innovatie is het bedrijf in de beste positie om organisaties te helpen bij het beoordelen, ontwikkelen en beheren van hun cyberweerbaarheid.

Met ongeveer 2000 collega’s in 12 landen heeft NCC Group een aanzienlijke marktaanwezigheid in Noord-Amerika, Europa en het Verenigd Koninkrijk, en een snel groeiende aanwezigheid in Azië-Pacific, met kantoren in Australië, Japan en Singapore. Voor meer informatie: nccgroup.com.

Contact voor de media
Stark Narrative, Fox-IT PRdesk, e-mail: Foxit@starknarrative.com, telefoon 020 794 4735.

Indien u niet langer persberichten en andere persinformatie van Fox IT wenst te ontvangen, stuur dan een e-mail aan Foxit@starknarrative.com