Onderzoek Coveware by Veeam: social engineering en data-exfiltratie zorgen voor record in ransomware-betalingen

Piek in gerichte aanvallen onderstreept cruciale rol van dataresilience in het huidige ransomwarelandschap

Utrecht, 12 augustus 2025 – Coveware by Veeam, autoriteit op het gebied van ransomwarerespons en cyberafpersing, ziet een aanzienlijke toename van gerichte social engineeringaanvallen en losgeldbetalingen. Dat blijkt uit zijn Q2 2025 ransomwarerapport. Deze toename lijkt het gevolg van steeds geavanceerdere data-exfiltratietactieken.

“Het tweede kwartaal van 2025 markeert een keerpunt voor ransomware. Gerichte social engineering en data-exfiltratie zijn de dominante tactieken geworden”, aldus Bill Siegel, CEO van Coveware by Veeam. “Aanvallers zijn niet alleen uit op het compromitteren van back-ups, maar ook van mensen, processen en de reputatie van data. Organisaties moeten prioriteit geven aan het bewustzijn van medewerkers, identiteitscontroles verscherpen en data-exfiltratie beschouwen als een urgent risico, niet als een bijzaak.”

De belangrijkste bevindingen uit het onderzoek zijn:

• Social engineering blijft de grootste dreiging: Drie grote ransomwaregroepen – Scattered Spider, Silent Ransom en Shiny Hunters – domineerden in het afgelopen kwartaal. Elke groep maakt gebruik van zeer gerichte social engineering om organisaties in verschillende sectoren te plunderen. Deze groepen verruilen massale opportunistische aanvallen voor precisieaanvallen en gebruiken hierbij nieuwe imitatietactieken tegen helpdesks, medewerkers en externe dienstverleners.
• Losgeldbetalingen nemen toe: Zowel de gemiddelde als de mediane losgeldbetalingen stegen naar respectievelijk $1,13 miljoen (+104% ten opzichte van het eerste kwartaal van 2025) en $400.000 (+100% ten opzichte van het eerste kwartaal van 2025). Deze piek wordt toegeschreven aan grote organisaties die uitbetalen na incidenten met data-exfiltratie. Het totale percentage organisaties dat losgeld betaalt blijft stabiel met 26%.
• Gegevensdiefstal overtreft encryptie als primaire afpersingsmethode: Exfiltratie speelde een rol in 74% van alle gevallen. Veel campagnes geven nu prioriteit aan gegevensdiefstal boven traditionele systeemencryptie. Multi-afpersingstactieken en vertraagde dreigingen nemen ook toe, waardoor organisaties lang na de eerste inbreuk nog in het vizier blijven.
• Professionele dienstverlening, de gezondheidszorg en consumentendiensten worden het zwaarst getroffen: Professionele dienstverlening (19,7%), de gezondheidszorg (13,7%) en consumentendiensten (13,7%) vormen 64% van alle slachtoffers. In deze sectoren vinden aanvallers de ideale balans tussen potentiële schadevergoedingen en minder geavanceerde verdedigingsmechanismen.
• Aanvalstechnieken evolueren en de menselijke factor blijft belangrijkste kwetsbaarheid: Inbreuk op inloggegevens, phishing en misbruik van externe services blijven ‘initial access’ domineren. Aanvallers kunnen steeds vaker technische controles omzeilen via social engineering. Groepen maken regelmatig misbruik van kwetsbaarheden in veelgebruikte platformen (Ivanti, Fortinet, VMware). Verder neemt het aantal ‘lone wolf’-aanvallen door ervaren afpersers met behulp van generieke, merkloze toolskits toe.
• Nieuwkomers veranderen het ransomware-landschap: De belangrijkste ransomwaregroepen zijn Akira (19%), Qilin (13%) en Lone Wolf (9%). Silent Ransom en Shiny Hunters komen voor het eerst voor in de top vijf.

Coveware by Veeam heeft software en diensten ontwikkeld om slachtoffers te helpen met de reactie op en de afhandeling van ransomware-aanvallen. Deze diensten omvatten onder meer snelle forensische triage, onderhandelingen over losgeldbetalingen, crypto-afwikkeling en decryptieservices. Het ultieme doel is gegevensherstel. Door zijn ervaring met incidenten heeft Coveware by Veeam veel gegevens en inzichten verzameld over de patronen van dreigingsactoren en het dreigingslandschap. Deze waardevolle inzichten worden actief gedeeld met klanten om cyberrisico’s te verminderen, beveiliging te verbeteren en snel herstel te garanderen mocht een incident zich voordoen. Daarnaast zijn verschillende functionaliteiten van Coveware by Veeam geïntegreerd in Veeam-oplossingen, waardoor een nog bredere groep klanten kan profiteren van deze inzichten.

Het kwartaalrapport van Coveware by Veeam is gebaseerd op gegevens uit de eerste hand, inzichten van experts en analyses van ransomware- en cyberafpersingszaken. Het rapport maakt gebruik van real-time incidentrespons, eigen forensische tools (waaronder Recon Scanner) en uitgebreide documentatie over het gedrag van dreigingsactoren, aanvalsvectoren en onderhandelingsresultaten. Door casus-specifieke gegevens te verzamelen en te analyseren – in plaats van te vertrouwen op externe bronnen – kan Coveware by Veeam opkomende trends identificeren, tactieken, technieken en procedures (TTP’s) volgen en bruikbare, op ervaring gebaseerde informatie bieden over het snel veranderende ransomwarelandschap.

Lees in deze blogpost meer over het nieuwste rapport van Coveware by Veeam of bezoek de website.