Ransomware in Nederland: 121+ incidenten in 2024, kill chain en operationeel runbook voor je organisatie

Het NCSC registreerde in 2024 minstens 121 ransomware-incidenten waarbij Nederlandse organisaties slachtoffer werden. Dat zijn de gevallen die publiekelijk traceerbaar zijn via lekpagina’s van ransomwaregroepen en officiële meldingen. Het werkelijke aantal ligt hoger, want de meeste incidenten worden niet gemeld en een deel wordt intern gecontainerd voordat encryptie plaatsvindt.

Ransomware is geen technisch niche-probleem. Het is een bedrijfscontinuïteitsrisico waarvoor iedere organisatie een operationeel antwoord klaar moet hebben — niet alleen een technisch plan, maar ook een herstelplan, een communicatieplan en geoefende procedures.

Wat de cijfers ons vertellen

Het CSBN 2024 schildert een helder beeld. Het MKB en lokale overheidsinstanties worden vaker getroffen dan vitale sector-organisaties, maar de publieke aandacht gaat naar de grote incidenten. Dat misattribueert het risico: ook een klein advocatenkantoor, een gemeente of een zorginstelling kan door ransomware worden platgelegd.

De typische initiële toegangsvectoren zijn stabiel over de jaren: phishing-e-mails, kwetsbare VPN- en RDP-diensten die niet tijdig zijn gepatcht, en gestolen inloggegevens die via initial access brokers worden doorverkocht op het darkweb. De dwell time — de tijd tussen het eerste compromis en de daadwerkelijke encryptie — bedraagt gemiddeld negen tot twaalf dagen. Dat is negen tot twaalf dagen waarin de aanvaller het netwerk in kaart brengt, rechten escaleert en data exfiltreert, voordat jij iets merkt.

De aanvalsketen stap voor stap

Een modern ransomware-incident volgt een gestructureerde keten. Elke fase heeft een eigen detectie- en preventievector.

De eerste fase is initiële toegang. De aanvaller komt binnen via een phishing-bericht, door misbruik van een kwetsbaarheid in een niet-gepatchte VPN of RDP-service, of door gebruik van gestolen inloggegevens. De preventieve reactie is e-mailfiltering met geavanceerde bedreigingsbescherming, MFA op alle externe toegang en een strak patchproces.

Dan volgt persistentie en verkenning. De aanvaller installeert een remote access tool of backdoor, escaleert zijn rechten en brengt het netwerk systematisch in kaart. Hiervoor gebruikt hij vaak bestaande Windows-tools als PowerShell, WMI en PsExec — de zogenoemde living-off-the-land aanpak die minder alarm triggert. Een goed geconfigureerde EDR-oplossing met gedragsdetectie kan hier alarm slaan op afwijkend gebruik van beheertaken.

In de derde fase worden inloggegevens verzameld. De aanvaller dumpt wachtwoorden uit het LSASS-geheugen of voert een kerberoasting-aanval uit om domeinadminrechten te verkrijgen. Credential Guard en de Protected Users security group zijn hier de twee meest effectieve technische tegenmaatregelen.

Daarna begint laterale beweging. De aanvaller verspreidt zich via SMB, RDP of remote management tools naar andere netwerksegmenten — inclusief de domeincontrollers en de backupsystemen. Netwerksegmentatie en strikte firewall-regels beperken deze beweging.

Fase vijf is data-exfiltratie voor dubbele afpersing. Bestanden, databases, e-mailarchief en klantdata worden gestolen en geüpload naar externe opslagdiensten of een eigen command-and-control-server. DLP-monitoring op grote uploadvolumes naar externe bestemmingen geeft hier de beste detectiekans.

De zesde en laatste fase is encryptie. De aanvaller versleutelt alle bereikbare bestanden inclusief gedeelde netwerk-schijven en — als ze niet offline zijn — ook de backups. Immutable en offline backups zijn de enige technische maatregel die recovery garandeert ná encryptie.

Identity, MFA en patchmanagement

Drie basiscontrols verdienen extra aandacht omdat ze samen de meeste ransomware-aanvallen op zou kunnen houden.

Identiteits- en toegangsbeheer draait om het principe van least privilege. Niemand werkt dagelijks met domeinadminrechten. Beheer en productie zijn gescheiden accounts. Actieve accounts worden minimaal per kwartaal gereviewed. Voor administratieve taken is just-in-time privileged access de juiste aanpak.

Multi-factor authenticatie is verplicht voor alles wat extern bereikbaar is: VPN, e-mail, RDP, beheerportalen. Voor privileged accounts is phishing-resistente MFA — FIDO2 of passkeys — de enige keuze die MFA-bypass-aanvallen zoals push bombing serieus tegengaat.

Patchmanagement is de meest onderschatte operationele discipline. Kritieke kwetsbaarheden (CVSS 9 of hoger) op extern bereikbare systemen moeten binnen 24 tot 48 uur worden gedicht. Dat vereist een intern proces dat buiten normale change-procedures om kan opereren. Wekelijks, of bij een actief geëxploiteerde kwetsbaarheid zelfs binnen uren.

Recovery-architectuur: backup is de vangnet

De 3-2-1-1-backupregel is de basis. Drie kopieën van de data, op twee verschillende opslagmedia, waarvan één off-site op een geografisch gescheiden locatie en één volledig offline of immutable — niet overschrijfbaar en niet verwijderbaar door het besturingssysteem of door ransomware.

Write Once Read Many (WORM) opslag is de technische uitwerking van immutable backups. De grote cloudaanbieders bieden dit als service aan. On-premises kan het via air-gapped tapebackups of dedicated backup-appliances met vergrendeld retentiebeleid.

Recovery Point Objective en Recovery Time Objective zijn geen operationele details maar bedrijfsbeslissingen. Hoeveel dataverlies is acceptabel? Hoe snel moeten systemen hersteld zijn? De antwoorden bepalen de backupfrequentie en de investeringen in herstelcapaciteit. Definieer beide per systeem op basis van de bedrijfsimpact van uitval.

Een kwartaallijkse hersteltest die niet wordt gedocumenteerd en niet wordt geëvalueerd, telt niet. Documenteer wie wat heeft hersteld, hoe lang het duurde, of de hersteldata integer was en of de RPO/RTO-doelstellingen zijn gehaald.

Metrics die ertoe doen

Mean Time to Detect is de tijd tussen het eerste compromis en de eerste detectie. Het doel voor high-severity events is minder dan 24 uur. Met een gemiddelde dwell time van 9-12 dagen is het duidelijk dat de meeste organisaties dit doel niet halen. EDR met gedragsdetectie en een actief bewaakt SIEM zijn de twee meest effectieve maatregelen om MTTD te verlagen.

Mean Time to Respond meet de tijd tussen detectie en containment. Voor ransomware — waarbij verspreiding naar domeincontrollers de installatiefase inluidt — is het doel minder dan vier uur. Dit vereist geoefende respons-procedures, niet procedures die worden gelezen op het moment dat het fout gaat.

Aanvullend: het percentage endpoints met een actieve en actuele EDR-agent zou 100% moeten zijn. Een systeem zonder EDR is een blinde vlek. Het percentage kritieke patches geïnstalleerd binnen de SLA-termijn is een directe indicator van de operationele rijpheid van het patchproces.

Standpunt

Ransomware-incidenten hebben iets onvermijdelijks in de rapportages die erover worden gepubliceerd. De toon is vaak fatalistisch: “het is niet een kwestie van of, maar wanneer.” Ik begrijp de gedachte achter deze formulering, maar ik vind haar gevaarlijk. Ze ontslaat organisaties van de verantwoordelijkheid om serieus te investeren in preventie.

121 bekende incidenten in één jaar is niet een statistiek van overmacht. Het is grotendeels een direct gevolg van niet geïmplementeerde basismaatregelen. MFA op VPN ontbreekt. RDP staat open op internet. Kritieke patches worden weken vertraagd door interne change-procedures. Beheerders werken dagelijks met domeinadminrechten. Backups staan gedeeld op het netwerk en zijn bij de encryptie direct meegenomen.

Ik werk bij CyberSecurity AD aan een platform waarvan beveiligd werken onderdeel is van de architectuur, niet een toege-voegde laag. Dat beginsel — security by design — is wat ik mis in de gesprekken over ransomware. De discussie gaat over tools en detectie, terwijl de fundamentele architectuurkeuzes de aanvalssurface bepalen.

Ons platform verwerkt juridische en forensische data in een omgeving die structureel is geïsoleerd van externe netwerken. Ransomware die via een gecompromitteerd dossier zou worden geactiveerd, heeft geen pad naar netwerkverspreiding, geen externe verbinding, geen toegang tot gedeelde schijven buiten de gecontroleerde omgeving. Dat is niet een claim over detectiecapabiliteit — het is een architectuurkeuze die de schade intrinsiek beperkt.

Voor organisaties die nu nadenken over ransomware-weerbaarheid: begin met de basismaatregelen. MFA overal, patches tijdig, least privilege serieus genomen, backups echt offline. Daarna de detectie. Daarna de oefening. In die volgorde.

De investeringen die daarvoor nodig zijn, zijn kleiner dan de kosten van één serieus incident. Dat is geen moralistische stelling — dat is wiskunde.

Bronnen

Domeincontext

Dit artikel behandelt ransomware, Nederland, NCSC, kill chain, incident response, backups, EDR, MTTD, MTTR, hardening binnen de domeinen van cyberbeveiliging, digitale forensiek en strafprocedureel recht in Nederland. Bestemd voor strafrechtadvocaten, compliance-professionals en forensisch onderzoekers.

P.W. Oldenburger

Oprichter, CyberSecurity AD

Over de auteur →

Bijgewerkt: 22 januari 2026

Lees ook

CyberSecurity AD · P.W. Oldenburger · Amsterdam