Het eerste kwartaal van 2025 heeft alle ransomware-records verbroken, met meer slachtoffers op data-leksites dan ooit tevoren. De Clop-groep domineerde februari, voornamelijk doordat het een kwetsbaarheid in Cleo managed file transfer-oplossingen misbruikte.
Dat blijkt uit ReliaQuest’s Threat Spotlight-rapport voor Q1 2025. De bevindingen zijn alarmerend. Ransomware-groepen verbreken nog altijd records en verfijnen hun tactieken. Organisaties kunnen deze ontwikkelingen nauwelijks bijbenen. Dat blijkt uit een stijging van 23 procent in ransomware-activiteit vergeleken met het laatste kwartaal van 2024.
Clop zet de toon
Onder de cybercrimegroepen is de Clop-groep tegenwoordig toonaangevend, net als dat LockBit en Conti dat eerder waren. Conti is overigens al langer actief en was een prominente dreiging in 2023. Nu blijkt er sprake van een heropleving. Na slechts 26 slachtoffers in heel 2024, wist de groep namelijk in februari 2025 alleen al 389 organisaties te treffen. Dat stelt een toename van 1.400 procent voor. Clop was verantwoordelijk voor 35 procent van alle slachtoffers die in februari op data-leksites werden genoemd.
Deze golf van aanvallen kwam door de exploitatie van zero-day kwetsbaarheden (CVE-2024-50623 en CVE-2024-55956) in Cleo managed file transfer-oplossingen. Deze aanvalsstrategie is overigens al bekend en werd al in december toegepast voor de Cleo-aanvallen die Clop destijds uitvoerde.
Ook WK Kellogg, bekend van Kellogg’s ontbijtgranen, werd slachtoffer van de aanvalsgolf die tot begin dit jaar doorging. Zoals eerder gemeld, lekten persoonlijke gegevens van medewerkers nadat Clop toegang kreeg tot de Cleo-servers die het bedrijf gebruikte voor bestandsoverdracht.
Retail onder vuur, Europa voelt de hitte
Hoewel de productie- en professionele dienstverlening traditioneel de belangrijkste doelwitten voor ransomware zijn, was de opkomst van de retailsector als slachtoffer opvallend, aldus ReliaQuest. De Clop-campagne was verantwoordelijk voor 46 procent van alle retailbedrijven die op data-leksites verschenen, waardoor deze sector opsteeg van de zesde naar de vierde plaats vergeleken met Q4 2024.
De reden hiervoor is dat veel retailbedrijven Cleo gebruiken voor e-commercetransacties, orderbeheer en leverancierscoördinatie. De impact is ernstig: financiële verliezen, herstelkosten, boetes, reputatieschade en geschaad vertrouwen van klanten en partners. Wanneer het Cleo-stof is neergedaald, verwachten experts dat aanvallers zich weer zullen richten op hun traditionele doelwitten. Het is dus een teken van opportunistische acties, waarbij de eenvoudigste doelwitten het massaal te verduren krijgen.
Naast Clop zag het kwartaal ook een forse toename in activiteit van de Medusa-groep (stijging van 35 procent) en FunkSec. Deze laatste groep gebruikt AI om malware te ontwikkelen en noemde 152 slachtoffers dit kwartaal, tegenover 82 in het vorige kwartaal. Wellicht dat we in de komende jaren deze partijen het stokje zien overnemen van Clop, mocht laatstgenoemde bijvoorbeeld door ingrijpen van de politie of interne strubbelingen ten onder gaan. Het zou niet de eerste keer zijn.
Black Basta’s interne communicatie gelekt
Dat ransomwaregroepen feilbaar zijn, blijkt andermaal. Een interessante ontwikkeling in februari 2025 was bijvoorbeeld het lekken van interne chatlogboeken van de Black Basta-groep. Analyse van ReliaQuest onthulde connecties tussen deze groep en berichten op cybercriminele forums, die aantonen hoe de groep gebruikmaakt van ondergrondse marktplaatsen om tools, exploits en diensten te verwerven. Dergelijke marktplaatsen zijn er genoeg, al worden ze meermaals uit de lucht gehaald.
Deze professionalisering van ransomware-groepen is een zorgwekkende trend, maar dus tevens bekend. Dit blijft echter een rappe ontwikkeling. Volgens recent onderzoek huren sommige cybercriminelen zelfs pentesters in om hun ransomware te testen op kwetsbaarheden voordat ze deze inzetten. Dit toont aan hoe ransomware steeds meer een bedrijfsmodel wordt met professionele ontwikkelingsmethodes.
Wat kunnen organisaties doen?
Het rapport benadrukt het belang van proactief security-management. Organisaties worden aangeraden om ransomware-oefeningen te houden met realistische aanvalsimulaties, regelmatig back-ups te maken met immutable storage en toegang van externe partijen tot gevoelige systemen te controleren en beperken.
Het verdienmodel van aanvallers blijft hoe dan ook overeind. Zo is bekend dat 61 procent van de getroffen organisaties losgeld betaalt na een ransomware-aanval. De gemiddelde kosten van cyber-incidenten voor organisaties bedragen ongeveer 4,9 miljoen euro, waardoor preventie essentieel is.
Vooruitzichten voor 2025
Voor de rest van 2025 verwacht ReliaQuest dat ransomware-groepen zich zullen opsplitsen in kleinere, flexibele entiteiten om opsporingen te ontwijken. Dit patroon is al zichtbaar bij groepen zoals Eldorado, die zich herbranden als BlackLock en later als Mamona R.I.P.
Daarnaast zou de geopolitieke situatie, met een veranderende houding van natiestaten tot elkaar (zie de reactie op president Trumps tariefmuren en zijn minder harde houding tegenover Rusland), het ransomware-landschap kunnen hervormen. Historisch gezien hebben gespannen relaties cybercriminelen in Rusland in staat gesteld te opereren met stilzwijgende goedkeuring van de overheid.
Wat duidelijk is: organisaties moeten zich voorbereiden op een toekomst waarin ransomware opportuun te werk blijft gaan, maar professionaliseert. Voor de retailsector is de wake-up call door de Cleo-aanvallen al geweest.