Het verloop van ransomware | Don't Go to the Police

^{Cyberafpersing}

Wat is ransomware?

Het verloop van een cyberaanval

Een ransomwareaanval maakt gebruik van kwaadaardige software die digitale systemen en bestanden versleutelt. Het doel? Het getroffen bedrijf afpersen: pas na betaling van losgeld, bij voorkeur in cryptocurrency, krijgt het slachtoffer de sleutel om alles te ontgrendelen. Dit overkwam Coaxis in 2023, het Franse bedrijf dat centraal staat in de documentaire Don’t Go to the Police en een internationaal onderzoek.

Ontdek de drijfveren, werkwijzen en profielen van deze cybercriminele groepen die zich volledig hebben gespecialiseerd in digitale afpersing.

19.000 bedrijven

getroffen door cyber-afpersing tussen 2020 en 2025.

44,5 % stijging

in ransomware-aanvallen in deze periode.

89 actieve groepen

wereldwijd gespecialiseerd in cyber-afpersing.

^{Bron: Security Navigator Business Leaders 2026.}

De stappen

van een ransomware-aanval

FASE 1Verkenning en dataverzameling

FASE 2Eerste inbraak

FASE 3Escalatie

FASE 4Uitrol van de ransomware

FASE 5De losgeld melding

Fase: Verkenning (Recon)

Dataverzameling

Bij een gerichte aanval zoeken cybercriminelen naar openbare informatie om waardevolle data te verzamelen, zoals IPadressen en namen van medewerkers. Daarnaast scannen ze netwerken om kwetsbaarheden op te sporen: verouderde besturingssystemen, oude softwareversies, open poorten, onbeveiligde diensten of zwakke wachtwoorden. Soms zetten ze gerichte phishing in, of doen ze zich telefonisch voor als iemand anders om die eerste toegang te verkrijgen.

Een andere werkwijze is de zogeheten Spray and Pray-methode. Hierbij worden grootschalige, geautomatiseerde phishingcampagnes verstuurd, met e-mails die kwaadaardige links of geïnfecteerde bijlagen bevatten. In deze benadering draait het niet om gericht aanvallen, maar om volume en automatisering, in de hoop dat één of meer slachtoffers toch in de val trappen.

Fase: Initiële inbraak

Pas op voor het Trojaanse paard

Of het nu gebeurt via een phishingmail, het misbruiken van kwetsbaarheden of met gelekte inloggegevens op het dark web: de aanvaller heeft een manier gevonden om binnen te komen. Zijn eerste doel is simpel: toegang krijgen en die zo lang mogelijk behouden. Daarvoor probeert de aanvaller zijn controle stap voor stap uit te breiden, zodat hij onopgemerkt in het systeem kan blijven.

Fase: Escalatie

Admin rechten verkrijgen

Om zijn controle uit te breiden en maximale schade te kunnen aanrichten in het gecompromitteerde systeem, heeft de aanvaller administratorrechten nodig. Dit proces heet privilege escalation en wordt mogelijk gemaakt door onvoldoende toegangscontroles, zwakke wachtwoorden of configuratiefouten. Door zich te richten op Active Directory (AD), de kern waar accounts, rechten en authenticatie worden beheerd, kan de aanvaller cruciale informatie bemachtigen om adminaccounts over te nemen.

Via lateral movement probeert hij vervolgens ook andere systemen, servers en bedrijfsmiddelen binnen de organisatie te infecteren, op weg naar strategische doelen.

Fase: Uitrol van de ransomware

Ransomware wordt geactiveerd

Zodra de aanvaller toegang heeft verkregen en behouden tot het bedrijfsnetwerk, kan hij de malware activeren en uitrollen. De ransomware versleutelt één of meerdere strategische digitale bedrijfsmiddelen, waardoor deze ‘op slot’ gaan en onbruikbaar worden. Deze versleuteling legt het getroffen bedrijf volledig plat.

Fase: Losgeldmelding

"Don’t go to the police" ?

Op de schermen van de getroffen organisatie verschijnt een melding met de losgeld-eis. Vaak gaat het om een aanzienlijk bedrag — zeker voor mkb-organisaties — dat moet worden betaald in ruil voor een sleutel om het systeem te ontgrendelen. In het specifieke geval van Coaxis bevatte de boodschap de waarschuwing: “Don’t go to the police”.

Het is pure afpersing. Ingaan op de eis biedt bovendien geen enkele garantie dat de organisatie weer de controle terugkrijgt of dat het netwerk veilig wordt hersteld. Het advies is dan ook om de aanval direct te melden bij de autoriteiten en cybersecurity-experts in te schakelen om de oorzaak te vinden, de aanval te isoleren en de schade te beperken.

Fase 1 / 5

De meervoudige impact

van een ransomware-aanval

Een ransomwareaanval kan een dominoeffect hebben op de getroffen organisatie. Het raakt de operatie, het vertrouwen van klanten, partners en het ecosysteem, met reputatieschade als gevolg.

^{Operationele impact}

^{3 weken:}

is de gemiddelde uitvaltijd na een ransomwareaanval.

^{De verstoring van één of meerdere strategische digitale systemen heeft een directe impact op de productiviteit. Systemen zijn niet beschikbaar. Klantverzoeken kunnen niet meer worden afgehandeld. Teams moeten werken in een best-effort-modus, met alle beperkingen van dien.}

^{Supply-chain-impact}

^{19.000 :}

bedrijven zijn gecompromitteerd in vijf jaar tijd.

^{Twee derde daarvan is mkb. Cybercriminelen richten zich steeds vaker op de keten om zo het hele ecosysteem van een organisatie te ontregelen. Dit veroorzaakt leveringsvertragingen en verlies van vertrouwen bij partners.}

^{Financiële impact}

^{20 tot 30 miljard dollar:}

zijn de geschatte wereldwijde kosten van cyberafpersing per jaar.

^{De financiële schade bestaat uit losgeldeisen, omzetverlies door bedrijfsstilstand, het vertrek van klanten, kosten voor herstel en crisismanagement, en eventuele boetes van toezichthouders.}

^{Reputatie impact}

^{60 %:}

van de klanten verliest het vertrouwen na een ransomwareaanval.

^{Naast de directe schade is er ook de bredere reputatie impact: verlies van klantvertrouwen en partnerrelaties, gebrekkige crisiscommunicatie en mediaberichtgeving die een negatieve indruk achterlaat. Zelfs als een organisatie technisch herstelt, kan reputatieschade op de lange termijn zwaarder wegen.}

^{Juridische impact}

^{72 uur:}

is het tijdsvenster waarbinnen het incident moet worden gemeld.

^{Bedrijven moeten elk datalek melden bij de bevoegde autoriteiten en hun klanten informeren wanneer gevoelige gegevens zijn gelekt. Bij nalatigheid kan het bedrijf aansprakelijk worden gesteld en moet het vaak aanvullende compliance-maatregelen treffen na een ransomware-aanval.}

^{Menselijke impact}

^{Crisismanagement bij cyberafpersing, technisch, commercieel, juridisch en reputatiegericht, legt enorme druk op de schouders van medewerkers, vooral de IT teams. Die druk wordt nog groter wanneer de aanval gepaard gaat met het lekken van persoonsgegevens.}

“We zien een toenemende industrialisatie van ransomware-aanvallen”.

— Micode, Content creator - “Micode” and “Underscore_” Youtube channels.

“We moeten onszelf proactiever beschermen. Het op peil houden van digitale hygiëne is essentieel. Als mensen niet goed zijn opgeleid en zich onvoldoende bewust zijn van cyberrisico’s, ontstaan daar de grootste kwetsbaarheden”.

— Hugues Foulon, Orange Cyberdefense CEO, Orange Executive Director.

“Ze opereren op een manier die doet denken aan de maffia, en juist dat jaagt mensen de meeste schrik aan. Deze cybercriminelen zijn niet uit op mensen zelf; ze zijn uit op hun geld”.

— Frédéric Zink, Cyber with Telco Business Unit Director, Orange Cyberdefense.

“Het goede nieuws is dat we back-ups hadden die los stonden van het netwerk, waar de aanvallers geen toegang toe hadden. Dankzij dit cruciale hulpmiddel kon Coaxis, na aanzienlijk herstelwerk, weer overeind krabbelen”.

— Rodrigue Le Bayon, Orange Cyberdefense Executive.

"En als we het losgeld betalen, lost dat onze problemen dan echt op? We hebben besloten niet toe te geven en onze volledige infrastructuur vanaf de basis opnieuw op te bouwen".

— Joseph Veigas, Coaxis CEO.

^{Een ransomware-aanval voorkomen}

Hoe anticipeer je

op cyberafpersing?

In de meeste gevallen begint een cyberaanval met een menselijke fout. Maar het kan ook ontstaan door slecht beveiligde toegang, verouderde software of rechten die nooit zijn ingetrokken…

Onze aanbevelingen:

Train medewerkers in het herkennen van phishingtechnieken en identiteitsfraude.
Breng kwetsbaarheden in kaart: voer een eerste audit uit om zwakke plekken te identificeren en de juiste technische en organisatorische maatregelen te nemen.
Voer periodieke audits uit om het beveiligingsniveau blijvend te monitoren.
Zorg dat jouw organisatie voldoet aan de relevante cybersecurity-regelgeving (NIS2, CRA, DORA, MiCA, enz.).
Stel een cybersecuritybeleid op voor leveranciers om risico’s in de keten te beperken.
Rust je organisatie uit met effectieve beschermingsoplossingen, zoals EDR, XDR of MDR.
Implementeer ook detectie- en responsoplossingen, zoals een Micro-SOC of Global SOC — afhankelijk van of je een mkb-organisatie of een grotere onderneming bent.

^{Hoe ga je om met een ransomware-aanval}

Wat is het plan

als het toch gebeurt?

Als je slachtoffer wordt van cyberafpersing, adviseren we om direct een aantal stappen te nemen om de crisis te beheersen, de schade te beperken en de situatie zo snel mogelijk te herstellen.

^{De eerste 24 uur}

^{Grip krijgen}

Identificeer en isoleer geïnfecteerde systemen om verdere verspreiding te voorkomen.

^{Binnen 72 uur}

^{Meld de aanval}

Meld de aanval binnen 72 uur bij de bevoegde autoriteiten.

^{Dag 1 tot dag 7}

^Communiceer

Informeer klanten en partners wanneer gevoelige data betrokken is.
Beheer zowel interne als externe communicatie om vertrouwensverlies te beperken. Zorg voor duidelijke en transparante informatie.

^{Dag 7 tot dag 30}

^Herstel

Onderneem herstelacties om systemen te herstellen, via back-ups of volledige wederopbouw.
Breng de oorzaak en het pad van de aanval in kaart. Zodra de kwetsbaarheden duidelijk zijn, investeer in de nodige technische en organisatorische maatregelen om de cybersecurity te versterken.

Dit is een waargebeurd verhaal

dat elk bedrijf had kunnen overkomen…

Krijg een exclusief kijkje achter de schermen van hoe een organisatie een ransomware-aanval heeft doorgemaakt en daarop heeft gereageerd.

Bekijk de film nu

^{Orange Cyberdefense is de toonaangevende cybersecuritydienstverlener in Europa. Met meer dan 30 jaar expertise binnen de Orange groep leveren we end-to-end cybersecuritydiensten: van managed services tot consultancy en IT integratie, oplossingen waarop organisaties kunnen vertrouwen.}

Bezoek onze website