Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Cyberafpersing: Risico's & Preventiegids
Cybersecurity 101/Threat Intelligence/Cyberafpersing

Cyberafpersing: Risico's & Preventiegids

Cyberafpersing combineert ransomware-versleuteling, dreigingen met datadiefstal en DDoS-aanvallen. Ontdek hoe het autonome platform van SentinelOne meerfasige afpersingscampagnes stopt.

CS-101_Threat_Intel.svg
Inhoud
Wat is cyberafpersing?
Impact van cyberafpersing op organisaties
Cyberafpersing versus ransomware
Kerncomponenten van cyberafpersing
Belangrijke indicatoren van een cyberafpersingspoging
Typen cyberafpersing
Hoe werkt cyberafpersing?
Hoe cyberafpersingspogingen detecteren
Hoe cyberafpersing voorkomen
Stappen voor incidentrespons bij cyberafpersing
Uitdagingen en beperkingen bij verdediging tegen cyberafpersing
Veelgemaakte fouten bij cyberafpersing
Best practices voor cyberafpersing
Voorbeelden uit de praktijk van cyberafpersingsincidenten
Verdedig tegen cyberafpersing met SentinelOne
Belangrijkste punten

Gerelateerde Artikelen

  • Hoe IP-spoofing voorkomen?
  • Wat is fileless malware? Hoe kunt u deze detecteren en voorkomen?
  • Wat is een Advanced Persistent Threat (APT)?
  • Wat is spear phishing? Soorten en voorbeelden
Auteur: SentinelOne | Recensent: Dianna Marks
Bijgewerkt: March 27, 2026

Wat is cyberafpersing?

Bij cyberafpersingsaanvallen compromitteren criminelen uw systemen, stelen ze uw gegevens of verstoren ze uw bedrijfsvoering, waarna ze betaling in cryptovaluta eisen om de aanval te stoppen of openbaarmaking van gegevens te voorkomen. Volgens het FBI Internet Crime Complaint Center-rapport 2024, uitgebracht op 24 april 2025, steeg het aantal afpersingsklachten tot 12.618 incidenten in 2024, een toename van 134% ten opzichte van de 5.396 klachten in 2023.

Moderne cyberafpersing richt zich gelijktijdig op uw omzet, operationele continuïteit en naleving van regelgeving via data-afpersing en versleutelingdreigingen. Volgens de Financial Trend Analysis van FinCEN hebben ransomwaregroepen meer dan $2,1 miljard afgeperst tussen 2022 en 2024, waarbij de sectoren productie, financiële dienstverlening en gezondheidszorg het vaakst doelwit waren.

Cyber Extortion - Featured Image | SentinelOne

Impact van cyberafpersing op organisaties

Cyberafpersing veroorzaakt kettingreacties binnen uw organisatie. De financiële impact reikt veel verder dan alleen de losgeldeisen. De aanval op Change Healthcare in 2024 resulteerde in miljarden dollars aan kosten voor incidentrespons, systeemherstel, meldingen aan toezichthouders en bedrijfsstilstand.

Operationele verstoring vergroot de financiële schade. Toen Synnovis, een NHS-pathologieleverancier, in juni 2024 slachtoffer werd van een ransomware-aanval, moesten ziekenhuizen in Londen meer dan 1.100 geplande operaties en 2.000 poliklinische afspraken uitstellen. Bloedtransfusies, kankerbehandelingen en keizersneden werden vertraagd doordat de patiëntenzorg direct werd geraakt. Reputatieschade blijft bestaan lang nadat systemen zijn hersteld, en boetes voor datalekken zorgen voor extra financiële druk, vooral in de gezondheidszorg en financiële sector.

Om te begrijpen waarom deze aanvallen zulke verstrekkende gevolgen hebben, is het belangrijk om cyberafpersing te onderscheiden van eenvoudige ransomware-aanvallen.

Cyberafpersing versus ransomware

Ransomware versleutelt uw bestanden en eist betaling voor de decryptiesleutels. Cyberafpersing omvat ransomware, maar voegt meerdere drukmiddelen toe om betaling af te dwingen, zelfs als u back-ups heeft.

Traditionele ransomware is een enkele transactie: betalen om te ontsleutelen. Met offline back-ups kunt u herstellen zonder te betalen. Aanvallers zagen deze beperking en pasten hun tactieken aan. Moderne cyberafpersing combineert versleuteling met datadiefstal, dreiging met openbare publicatie, DDoS-aanvallen tijdens onderhandelingen en direct contact met uw klanten of partners. Elke extra tactiek elimineert een mogelijke hersteloptie. Zelfs met perfecte back-ups loopt u risico op gegevenslekken als u niet betaalt.

Cyberafpersing kent ook langere aanvalslijnen. Ransomware kan binnen seconden worden uitgevoerd. Cyberafpersingscampagnes vergen dagen of weken van verkenning, diefstal van inloggegevens, laterale beweging en data-exfiltratie vóór de uiteindelijke versleuteling. Deze langere tijdlijn biedt meerdere momenten om de aanval te detecteren en te stoppen, maar alleen als uw beveiligingsarchitectuur aanvallersgedrag in deze fasen kan herkennen.

De kerncomponenten van moderne cyberafpersingscampagnes laten zien hoe deze tactieken samenwerken om de druk te maximaliseren.

Kerncomponenten van cyberafpersing

Moderne cyberafpersing combineert meerdere aanvalsmethoden die uw organisatie gelijktijdig treffen, waaronder ransomware-versleuteling, datadiefstal met dreiging tot publicatie en DDoS-aanvallen.

  1. Ransomware-versleuteling vergrendelt uw productiesystemen en datalocaties totdat u betaalt voor de decryptiesleutel. Aanvallers richten zich eerst op uw back-upinfrastructuur: volgens CISA's analyse van ransomwarecampagnes maken aanvallers specifiek misbruik van kwetsbaarheden in back-upsoftware zoals CVE-2023-27532 in Veeam, vaak lang nadat patches beschikbaar zijn.
  2. Data-afpersing houdt in dat aanvallers uw gevoelige gegevens exfiltreren vóór versleuteling, waarna ze dreigen gestolen informatie te publiceren of direct contact op te nemen met getroffen klanten. Volgens CISA en FBI's gezamenlijke waarschuwing over Medusa-ransomware is deze dubbele afpersingsstrategie standaardpraktijk geworden.
  3. DDoS-gebaseerde verstoring via distributed denial of service-aanvallen overbelast uw netwerkinfrastructuur terwijl aanvallers ransomware uitrollen en dreigen met datalekken. Deze drievoudige afpersingsaanpak richt zich gelijktijdig op uw operatie, uw data en uw ketenpartners.

Deze componenten werken samen in een voorspelbare volgorde. Het herkennen van waarschuwingssignalen van een afpersingscampagne helpt u te reageren vóórdat versleuteling wordt uitgerold.

Belangrijke indicatoren van een cyberafpersingspoging

Cyberafpersingscampagnes laten sporen na tijdens de verkennings- en voorbereidingsfase. CISA's waarschuwing over Play-ransomware documenteert dat aanvallers tools als AdFind gebruiken om domeincontrollers en bevoorrechte accounts te inventariseren. Let op plotselinge pieken in AD-queries vanaf werkstations die normaal geen beheertaken uitvoeren.

Voor exfiltratie consolideren aanvallers gestolen bestanden in gecomprimeerde archieven. Monitor processen die duizenden bestanden openen, ongebruikelijke archiefaanmaak en onverwachte verbindingen met cloudopslagdiensten. Volgens CISA's ransomware-richtlijnen gebruiken aanvallers Rclone, Rsync, webgebaseerde opslagdiensten en FTP/SFTP voor data-exfiltratie.

Ook schakelen aanvallers beveiligingstools uit vóórdat ze ransomware uitrollen. Waarschuw bij manipulatie van beveiligingsagents, verwijdering van volume shadow copies en aanpassingen aan back-upservices.

Deze indicatoren verschijnen tijdens langere aanvalslijnen die door FBI-onderzoeken zijn vastgelegd. Aanvallers combineren ze in oplopende configuraties, afhankelijk van het type afpersingscampagne.

Typen cyberafpersing

Cyberafpersingscampagnes vallen in drie categorieën, afhankelijk van het aantal drukmiddelen dat aanvallers inzetten. Elke evolutie voegt extra druk toe, waardoor betaling waarschijnlijker wordt, zelfs als slachtoffers sterke back-up- en herstelmogelijkheden hebben.

  1. Enkele afpersing vertrouwt uitsluitend op ransomware-versleuteling. Aanvallers versleutelen uw systemen en eisen betaling voor de decryptiesleutels. Met offline back-ups kunt u herstellen zonder te betalen.
  2. Dubbele afpersing voegt datadiefstal toe aan versleuteling. Aanvallers exfiltreren gevoelige data vóór versleuteling en dreigen gestolen informatie te publiceren als u niet betaalt. Zelfs met herstel via back-ups loopt u risico op boetes en reputatieschade door datalekken.
  3. Drievoudige afpersing voegt DDoS-aanvallen en ketendruk toe aan dubbele afpersing. Aanvallers overbelasten uw netwerk tijdens onderhandelingen en nemen contact op met uw klanten, partners of investeerders om de druk te verhogen.

De evolutie naar gelaagde campagnes laat zien dat aanvallers leren dat herstel via back-ups versleuteling alleen ondermijnt. Inzicht in de aanvalslijn toont waar u deze campagnes kunt onderbreken.

Hoe werkt cyberafpersing?

Cyberafpersingsaanvallen volgen een meerstapsproces: initiële toegang, privilege-escalatie, laterale beweging, data-exfiltratie en uitrol van versleuteling. CISA- en FBI-onderzoeken tonen aan dat dreigingsactoren dagen tot weken besteden aan verkenning vóór versleuteling, waardoor u meerdere kansen heeft om verdachte activiteiten te detecteren.

  • Initiële toegang via misbruikte kwetsbaarheden: Aanvallers krijgen toegang via softwarekwetsbaarheden die u niet heeft gepatcht. CISA Advisory AA25-163A documenteert ransomware-actoren die misbruik maken van ongepatchte SimpleHelp Remote Monitoring and Management-software. Volgens CISA's Cybersecurity Advisory over Interlock-ransomware hebben dreigingsactoren initiële toegang verkregen via drive-by downloads van gecompromitteerde legitieme websites.
  • Toegang tot inloggegevens en verkenning: Aanvallers stelen beheerdersreferenties via credential dumping-tools. Volgens CISA Advisory AA23-278A maken kwaadwillenden regelmatig misbruik van standaardwachtwoorden voor VPN-toegang en beheer van back-upsystemen. CISA's waarschuwing over Play-ransomware documenteert het gebruik van AdFind door aanvallers om uw volledige domeinstructuur in kaart te brengen vóór versleuteling.
  • Laterale beweging en data-exfiltratie: Aanvallers gebruiken tools als PsExec om lateraal te bewegen via Server Message Block (SMB)-communicatie. CISA's StopRansomware Guide merkt op dat de meeste organisaties Windows-systemen niet configureren om Kerberos-gebaseerde IPsec voor laterale SMB-communicatie te vereisen. Dreigingsactoren besteden dagen tot weken aan het exfiltreren van gevoelige data vóórdat ransomware wordt uitgerold.
  • Cross-platform versleuteling: De FBI zag Interlock-ransomware encryptors uitrollen voor zowel Windows- als Linux-besturingssystemen. Bij uitvoering richt de versleuteling zich gelijktijdig op uw productieomgeving, virtuele infrastructuur en back-upsystemen.

Het meerstapskarakter van deze aanvallen creëert verdedigingsmomenten, maar benutting daarvan vereist beveiligingsplatforms die aanvallersgedrag in vroege fasen kunnen detecteren.

Hoe cyberafpersingspogingen detecteren

Het detecteren van cyberafpersingscampagnes vereist monitoring van aanvallersgedrag over meerdere aanvalsstadia. Puntoplossingen die alleen waarschuwen bij malware-uitvoering missen de weken aan activiteit die aan versleuteling voorafgaan.

Verkenningsactiviteit

Beveiligingsplatforms moeten Active Directory-queryactiviteit correleren met de processen die deze queries genereren. Let op:

  • AdFind of vergelijkbare tools die domeincontrollers bevragen vanaf werkstations die nooit beheertaken uitvoeren
  • Inventarisatie van bevoorrechte accounts, groepslidmaatschappen en vertrouwensrelaties
  • Portscans of netwerkinventarisatie vanaf interne systemen
  • Queries gericht op back-upinfrastructuur en opslag

Indicatoren van laterale beweging

Volg authenticatiepatronen die afwijken van normaal gedrag:

  • Serviceaccounts die systemen benaderen die ze nooit eerder hebben gebruikt
  • Beheertools (PsExec, WMI, PowerShell remoting) die worden uitgevoerd vanuit niet-standaardmappen
  • Remote Desktop-verbindingen vanaf ongebruikelijke bronsystemen
  • Pass-the-hash- of pass-the-ticket-authenticatieafwijkingen

Data-staging en exfiltratie

Configureer beveiligingstools om te waarschuwen bij data-aggregatie:

  • Processen die in korte tijd honderden bestanden in meerdere mappen openen
  • Aanmaken van archieven (ZIP, RAR, 7z) in tijdelijke mappen of niet-standaardlocaties
  • Uitgaande verbindingen naar cloudopslag (Mega, Dropbox, Google Drive) vanaf servers
  • Grote datatransfers buiten kantooruren of naar onbekende externe IP-adressen
  • Rclone-, Rsync- of FTP/SFTP-activiteit vanaf systemen die deze tools normaal niet gebruiken

Pogingen tot ontwijking van verdediging

Waarschuw direct bij manipulatie van beveiligingstools:

  • Endpoint-beveiligingsagent gestopt of verwijderd
  • Verwijdering van volume shadow copies (vssadmin delete shadows)
  • Aanpassingen aan back-upservices of geplande taken
  • Windows Defender-uitsluitingen die programmatisch worden toegevoegd

Gedragsanalyse is essentieel omdat aanvallers legitieme tools gebruiken in plaats van maatwerkmalware. Beveiligingsplatforms die individuele indicatoren samenvoegen tot een tijdlijn tonen het volledige aanvalspad in plaats van losse gebeurtenissen.

Vroege detectie van afpersingspogingen geeft u tijd om preventieve maatregelen te nemen voor elke fase van de aanvalsketen.

Hoe cyberafpersing voorkomen

Preventiestrategieën moeten elke fase van de cyberafpersingsketen adresseren. Richt u op specifieke maatregelen die de voortgang van aanvallers van initiële toegang tot versleuteling verstoren.

Blokkeer initiële toegang

  • Patch systemen met internettoegang binnen 48 uur na bekendmaking van kritieke kwetsbaarheden, met prioriteit voor VPN-apparaten, firewalls, remote access-tools en e-mailgateways
  • Schakel onnodige remote access-protocollen (RDP, SSH) uit op systemen die deze niet nodig hebben
  • Implementeer applicatiewhitelisting op servers om ongeautoriseerde uitvoerbare bestanden te blokkeren
  • Gebruik e-mailfiltering die gevaarlijke bijlagen verwijdert en URL's scant

Elimineer zwakke plekken in inloggegevens

Volgens CISA Advisory AA23-278A blijven standaardwachtwoorden een van de meest misbruikte misconfiguraties.

  • Inventariseer alle systemen en controleer of standaardwachtwoorden zijn gewijzigd, vooral op back-upsystemen, VPN-gateways en beheerdersportalen
  • Vereis MFA op VPN-toegang, beheerdersportalen, clouddiensten en e-mail. De Change Healthcare-inbreuk maakte misbruik van een enkel account zonder MFA, wat uiteindelijk ongeveer 190 miljoen personen trof.
  • Implementeer privileged access management (PAM) voor beheerdersaccounts
  • Handhaaf wachtwoorden van minimaal 15 tekens voor serviceaccounts

Beperk laterale beweging

  • Segmenteer uw netwerk op basis van functie en datagevoeligheid
  • CISA's StopRansomware Guide adviseert Windows-systemen te configureren voor Kerberos-gebaseerde IPsec bij laterale SMB-communicatie
  • Schakel LLMNR, NetBIOS en WPAD uit om onderschepping van inloggegevens te voorkomen
  • Beperk het gebruik van lokale beheerdersaccounts op werkstations

Bescherm back-upinfrastructuur

  • Beheer offline, versleutelde back-ups die geïsoleerd zijn van netwerkverbindingen
  • Sla back-upreferenties apart op van productie-Active Directory
  • Test ransomwareherstel elk kwartaal om herstelbaarheid te verifiëren
  • Implementeer onveranderbare back-upopslag die verwijdering of wijziging voorkomt

Zelfs met sterke preventie kunnen incidenten optreden. Een duidelijk responsplan bepaalt of u een aanval snel indamt of langdurige operationele verstoring ondervindt.

Stappen voor incidentrespons bij cyberafpersing

Wanneer u een cyberafpersingsaanval ontdekt, bepaalt uw reactie in de eerste uren of aanvallers hun doel bereiken. Volg deze stappen op basis van CISA's ransomware-checklist:

  1. Isoleer getroffen systemen direct. Koppel gecompromitteerde systemen los van het netwerk, maar laat ze aan staan. Netwerkisolatie voorkomt laterale beweging en verdere versleuteling. Systemen aan laten staan behoudt vluchtige geheugeninformatie voor forensisch onderzoek.
  2. Activeer uw responsteam. Neem gelijktijdig contact op met uw IT-afdeling, managed security service provider, cyberverzekeraar en afdelingsleiders. Wacht niet met het inschakelen van hulp tot het onderzoek is afgerond.
  3. Bepaal de omvang van de compromittering. Breng in kaart welke systemen zijn versleuteld, welke accounts zijn gecompromitteerd en of data is geëxfiltreerd. Analyseer uitgaand netwerkverkeer op grote datatransfers naar cloudopslagdiensten.
  4. Bewaar forensisch bewijs. Maak images van getroffen systemen vóór herstelmaatregelen om politieonderzoek en verzekeringsclaims te ondersteunen. Documenteer de aanvalslijn, losgeldeisen en communicatie met aanvallers.
  5. Schakel federale hulp in. Volgens de CISA StopRansomware Guide omvat federale ondersteuning technische assistentie, identificatie van andere risicovolle entiteiten en advies over herstelmiddelen. Meld incidenten bij het FBI IC3 en CISA.
  6. Voer herstelprocedures uit. Herstel systemen vanaf bekende schone back-ups na verificatie van de integriteit. Bouw gecompromitteerde systemen opnieuw op in plaats van alleen malware te verwijderen. Wijzig alle mogelijk blootgestelde inloggegevens.

Zelfs met effectieve incidentrespons blijven organisaties geconfronteerd met aanhoudende uitdagingen bij het verdedigen tegen cyberafpersingscampagnes.

Uitdagingen en beperkingen bij verdediging tegen cyberafpersing

Traditionele beveiligingsarchitecturen hebben moeite met de structurele uitdagingen van cyberafpersing. Organisaties slagen er herhaaldelijk niet in om beveiligingspatches toe te passen op kritieke infrastructuur, vooral back-up- en herstelomgevingen. Aanvallers richten zich specifiek op back-upsystemen vóórdat ze productiedata versleutelen, waardoor herstelopties verdwijnen.

CISA's waarschuwing over Play-ransomware documenteert systematisch misbruik van Active Directory-misconfiguraties. Aanvallers gebruiken AdFind voor verkenning, PsExec voor laterale beweging en Cobalt Strike voor persistente command & control-communicatie. Uw beveiligingssystemen hebben ook moeite om dreigingen te detecteren tijdens langere aanvalslijnen, omdat Play-ransomware-operators malware voor elke aanval opnieuw compileren om identificatie te bemoeilijken.

Het aanpakken van deze uitdagingen vereist het vermijden van veelgemaakte fouten die succesvolle afpersingscampagnes mogelijk maken.

Veelgemaakte fouten bij cyberafpersing

  • Uitstellen van indamingsmaatregelen: U ontdekt verdachte activiteit maar stelt isolatie uit tijdens het onderzoek, waardoor ransomware zich lateraal kan verspreiden. CISA's ransomware-checklist benadrukt dat u getroffen systemen direct moet isoleren en aan moet laten voor forensisch onderzoek.
  • Niet monitoren van data-exfiltratie: Uw beveiligingstools waarschuwen bij malware-uitvoering maar missen weken aan voorafgaande data-exfiltratie. Volgens CISA's ransomware-responsrichtlijnen moet u monitoren op Rclone, Rsync, webgebaseerde opslagdiensten en FTP/SFTP. Geavanceerde beveiligingsplatforms detecteren exfiltratietools op basis van gedrag: processen die duizenden bestanden openen, data comprimeren en uitgaande verbindingen met cloudopslag initiëren.
  • Gebruik van standaardwachtwoorden op kritieke systemen: Volgens CISA Advisory AA23-278A blijven standaardwachtwoorden een van de meest misbruikte misconfiguraties, vooral op back-upsystemen, VPN-gateways en beheerdersportalen.

Deze fouten zijn te voorkomen. Overheidsinstanties bieden specifieke richtlijnen die elk door aanvallers uitgebuit kwetsbaarheid direct adresseren.

Best practices voor cyberafpersing

Overheidsinstanties bieden specifieke richtlijnen voor preventie en respons bij cyberafpersing:

  • Implementeer universeel multi-factor authenticatie. De gezamenlijke CISA/FBI/NSA StopRansomware Guide verplicht MFA voor alle diensten, met name webmail, VPN en toegang tot kritieke systemen.
  • Configureer Kerberos-IPsec voor SMB-communicatie. CISA's StopRansomware Guide adviseert Kerberos-gebaseerde IPsec voor laterale SMB-communicatie om te voorkomen dat aanvallers systemen buiten uw Active Directory-domein benaderen.
  • Beheer offline versleutelde back-ups. De gezamenlijke CISA/FBI/NSA-richtlijn schrijft voor dat back-ups geïsoleerd van het netwerk en versleuteld moeten zijn.
  • Monitor op data-exfiltratietools. Volgens CISA's ransomware-richtlijnen moet u monitoren op Rclone, Rsync, webgebaseerde opslagdiensten en FTP/SFTP.
  • Ontdek onbeheerde apparaten. Gebruik continue asset discovery om onbeheerde apparaten en shadow IT te vinden die standaardwachtwoorden kunnen bevatten.
  • Schakel proactief federale hulp in. Federale ondersteuning omvat technische assistentie, identificatie van andere risicovolle entiteiten en advies over herstelmiddelen.

Het volgen van deze best practices versterkt uw basisverdediging. Recente incidenten tonen aan wat er gebeurt als organisaties deze niet implementeren.

Voorbeelden uit de praktijk van cyberafpersingsincidenten

Recente cyberafpersingscampagnes tonen aan hoe aanvallers meerdere tactieken combineren om de druk op slachtoffers te maximaliseren.

  1. Change Healthcare (februari 2024): De BlackCat (ALPHV)-groep infiltreerde Change Healthcare door misbruik te maken van een enkel account zonder MFA. Aanvallers exfiltreerden gevoelige data en rolden ransomware uit die elektronische betalingen en medische declaratieverwerking landelijk stillegde. Volgens het HHS Office for Civil Rights breach portal trof het datalek ongeveer 190 miljoen personen, waarmee het het grootste datalek in de Amerikaanse zorggeschiedenis is. Het incident toont aan hoe één zwakke plek in inloggegevens kan leiden tot landelijke operationele verstoring.
  2. Synnovis-NHS (juni 2024): De Qilin-ransomwaregroep viel Synnovis, een NHS-pathologieleverancier, aan, waardoor Londense ziekenhuizen meer dan duizend geplande operaties en duizenden poliklinische afspraken moesten uitstellen. Bloedtransfusies, testresultaten en kankerbehandelingen werden vertraagd. Aanvallers stalen gevoelige data en eisten betaling, en publiceerden gestolen gegevens toen onderhandelingen mislukten. De aanval toont aan hoe compromittering van derden direct invloed heeft op kritieke zorgverlening.
  3. Snowflake-klantendatalekken (mei 2024): Hackers maakten misbruik van gecompromitteerde inloggegevens om toegang te krijgen tot het Snowflake cloud data platform, met gevolgen voor meer dan 100 klanten, waaronder grote bedrijven. Aanvallers exfiltreerden grote hoeveelheden klantdata en pasten afpersingstactieken toe, waarbij ze losgeld eisten van getroffen bedrijven om publicatie van data te voorkomen. Het incident benadrukt ketenrisico's wanneer aanvallers gedeelde infrastructuurproviders aanvallen.
  4. Blue Yonder (november 2024): De Termite-ransomwaregroep richtte zich op Blue Yonder, een grote leverancier van supply chain-software, en verstoorde diensten voor duizenden zakelijke klanten. Termite paste dubbele afpersing toe door systemen te versleutelen en te dreigen gestolen data te lekken. De aanval toont aan hoe ketencompromittering impact heeft op meerdere organisaties tegelijk.

Deze incidenten delen gemeenschappelijke kenmerken: langdurige aanwezigheid van aanvallers vóór versleuteling, misbruik van zwakke inloggegevens of ongepatchte kwetsbaarheden en gelaagde drukmiddelen. Organisaties met beveiligingsplatforms die verkenning detecteren en aanvalssignalen correleren, kunnen deze campagnes onderbreken vóórdat versleuteling plaatsvindt.

Verdedig tegen cyberafpersing met SentinelOne

De stijging van 134% in afpersingsklachten bevestigt dat dreigingsactoren zijn overgestapt op meerstapsaanvallen. De verlengde aanvalsketen betekent dat u meerdere kansen heeft om aanvallen te stoppen vóórdat losgeldeisen worden gesteld. Het Singularity Platform van SentinelOne adresseert elke aanvalsfase met mogelijkheden die de afpersingsketen onderbreken vóórdat versleuteling begint.

Singularity XDR detecteert verkenningspatronen door AdFind-queries op domeincontrollers te correleren, bovenliggende processen die inventarisatietools starten en externe IP-adressen die resultaten ontvangen. Purple AI versnelt onderzoek door natuurlijke taalqueries te accepteren zoals "toon alle systemen die dit gecompromitteerde account de afgelopen 72 uur heeft benaderd". Purple AI verkort de onderzoekstijd tot 80%, waardoor uw team data-exfiltratie kan stoppen vóórdat versleuteling wordt uitgerold.

Storyline reconstrueert volledige aanvalsketens door procesuitvoeringen, bestandswijzigingen en netwerkverbindingen te correleren tot één tijdlijn. In MITRE ATT&CK-evaluaties genereerde het Singularity Platform 88% minder meldingen dan concurrenten: slechts 12 meldingen tegenover 178.000 van andere platforms.

Ranger biedt continue asset discovery om onbeheerde apparaten en shadow IT te vinden die standaardwachtwoorden kunnen bevatten. Volgens CISA Advisory AA23-278A maken kwaadwillenden regelmatig misbruik van standaardwachtwoorden op VPN-gateways en beheerdersportalen.

Plan een SentinelOne-demo om deze mogelijkheden in uw omgeving te ervaren.

Belangrijkste punten

Cyberafpersing is geëvolueerd van eenvoudige ransomware naar meerstapsaanvallen met datadiefstal, DDoS-aanvallen en ketengerichte aanvallen. De FBI documenteerde een stijging van 134% in afpersingsklachten in 2024, waarbij aanvallers dagen tot weken in netwerken aanwezig zijn vóórdat versleuteling wordt uitgerold. Deze langere tijdlijn biedt meerdere verdedigingsmomenten om aanvallen te stoppen tijdens verkenning, diefstal van inloggegevens of data-exfiltratie.

Verdedigen tegen deze campagnes vereist een verschuiving van het detecteren van malware bij versleuteling naar het herkennen van aanvallersgedrag dagen eerder. Singularity XDR correleert verkenningspatronen, Purple AI versnelt onderzoek met natuurlijke taalqueries, Storyline reconstrueert volledige aanvalsketens en Ranger ontdekt onbeheerde assets vóórdat aanvallers ze misbruiken.

Veelgestelde vragen

Cyberafpersing is een categorie cybercriminaliteit waarbij aanvallers systemen compromitteren of data stelen en vervolgens betaling eisen om schade te voorkomen. In tegenstelling tot eenvoudige diefstal omvat cyberafpersing voortdurende dreigingen: betalen of geconfronteerd worden met versleuteling, publicatie van data of operationele verstoring. 

Verdediging hiertegen vereist mogelijkheden op het gebied van preventie, identificatie en respons.

Cyberafpersers selecteren doelwitten op basis van omzet, betalingsvermogen, gevoeligheid van data, status als kritieke infrastructuur en cyberverzekering dekking. De meest aangevallen sectoren zijn productie, financiële dienstverlening en gezondheidszorg. 

Aanvallers richten zich ook op organisaties met operationele urgentie, waaronder ziekenhuizen die patiëntenzorg niet kunnen uitstellen en fabrikanten met just-in-time productieschema's.

Cyberafpersingsaanvallen maken misbruik van specifieke beveiligingslekken. Volgens het CISA-advies over cybermisconfiguraties maken aanvallers gebruik van niet-gepatchte kwetsbaarheden en misbruiken zij standaardreferenties voor VPN en administratieve toegang. 

Effectieve cybersecurityprogramma's pakken deze aanvalsvectoren aan door middel van agressief patchbeheer, referentiebeheer en beveiligingsmonitoring.

Traditionele ransomware versleutelt data en eist betaling voor decryptiesleutels. Moderne cyberafpersing voegt meerdere drukmiddelen toe: datadiefstal met dreiging tot publicatie, DDoS-aanvallen tijdens onderhandelingen en aanvallen op de toeleveringsketen. Elke extra tactiek vergroot de druk op het slachtoffer om te betalen.

CISA raadt expliciet af om losgeld te betalen omdat betaling geen garantie biedt op decryptie of dat aanvallers gestolen data niet vrijgeven. 

Veel betalende slachtoffers kregen te maken met herhaalde aanvallen of onvolledige decryptie. Richt middelen in plaats daarvan op herstel via back-ups en forensisch onderzoek.

FBI-onderzoeken tonen aan dat geavanceerde dreigingsactoren dagen tot weken in netwerken aanwezig zijn voordat ransomware wordt ingezet. CISA's Play ransomware-analyse laat zien dat aanvallers Active Directory-verkenning uitvoeren, back-upinfrastructuur in kaart brengen en data exfiltreren gedurende langere periodes vóór versleuteling.

Kritieke sectoren zoals productie, gezondheidszorg, energie, transport en financiële dienstverlening worden onevenredig vaak getroffen. 

Aanvallers selecteren doelwitten op basis van omzet, betalingscapaciteit, gevoeligheid van data, status als kritieke infrastructuur en cyberverzekeringsdekking.

De ransomware-checklist van CISA schrijft voor dat u direct getroffen systemen van het netwerk isoleert terwijl ze ingeschakeld blijven om forensisch bewijs te behouden. Neem gelijktijdig contact op met uw IT-afdeling, managed security service provider, cyberverzekeraar en afdelingsleiders.

Ontdek Meer Over Threat Intelligence

Wat is cyberdreigingsinformatie?Threat Intelligence

Wat is cyberdreigingsinformatie?

Cyber Threat Intelligence (CTI) helpt organisaties bij het voorspellen, begrijpen en afweren van cyberdreigingen, waardoor proactieve bescherming mogelijk wordt en de impact van aanvallen wordt verminderd. Ontdek hoe CTI de cyberbeveiliging verbetert.

Lees Meer
Wat is een botnet in cyberbeveiliging?Threat Intelligence

Wat is een botnet in cyberbeveiliging?

Botnets zijn netwerken van gecompromitteerde apparaten die voor kwaadaardige doeleinden worden gebruikt. Ontdek hoe ze werken en verken strategieën om je ertegen te verdedigen.

Lees Meer
Wat is Threat Hunting?Threat Intelligence

Wat is Threat Hunting?

Threat hunting identificeert proactief beveiligingsrisico's. Leer effectieve strategieën voor het uitvoeren van threat hunting in uw organisatie.

Lees Meer
Wat is Business Email Compromise (BEC)?Threat Intelligence

Wat is Business Email Compromise (BEC)?

Business Email Compromise (BEC) richt zich op organisaties via misleidende e-mails. Leer hoe u deze kostbare aanvallen kunt herkennen en voorkomen.

Lees Meer
Klaar om uw beveiligingsactiviteiten te revolutioneren?

Klaar om uw beveiligingsactiviteiten te revolutioneren?

Ontdek hoe SentinelOne AI SIEM uw SOC kan transformeren in een autonome krachtcentrale. Neem vandaag nog contact met ons op voor een persoonlijke demo en zie de toekomst van beveiliging in actie.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch