Cyberaanvallen 2025 waren opnieuw buitengewoon geraffineerd en wijdverspreid. Van verwoestende ransomware-aanvallen die complete toeleveringsketens stillegden tot datadiefstalcampagnes die miljoenen persoonsgegevens blootlegden, dit jaar benadrukte dat digitale dreigingen blijven escaleren. Overheden en bedrijven wereldwijd – inclusief Nederland – kregen te maken met indringers variërend van geavanceerde statelijke actoren tot opportunistische cybercriminelen. In dit overzicht belichten we de meest opvallende cyberincidenten van 2025. We bespreken wat er is gebeurd, wie erachter zaten, welke technieken werden gebruikt en niet onbelangrijk – welke lessen organisaties hieruit kunnen trekken om hun weerbaarheid te vergroten.

Belangrijkste cyberaanvallen 2025 en hun impact

Datalek bij Bevolkingsonderzoek Nederland (juli 2025)

Daders: Cybercriminelen (afpersingsmotief; dadergroep onbekend)
Techniek: Inbraak bij extern lab (Clinical Diagnostics) en datadiefstal
Impact: Persoonsgegevens van 485.000 deelnemers gestolen; gevoelige medische data gelekt. Aanvallers publiceerden tijdelijk een deel van de gegevens op het dark web om losgeld af te dwingen.

Begin juli werd bekend dat hackers hadden ingebroken bij Clinical Diagnostics, een laboratorium dat in opdracht van Bevolkingsonderzoek Nederland screenings uitvoert (o.a. bevolkingsonderzoek baarmoederhalskanker). Daarbij wisten zij persoonsgegevens van ruim 485.000 vrouwen buit te maken, waaronder namen, adressen, geboortedata en mogelijk ook BSN-nummers en medische testresultaten. Later onderzoek toonde aan dat de inbreuk nóg omvangrijker was dan gedacht: ook data van andere medische tests (huid-, urine-, en bloedonderzoek) uit de periode 2022-2025 bleek te zijn gestolen. In totaal claimden de criminelen ongeveer 300 GB aan gevoelige gegevens te bezitten, waarvan circa 100 MB (gegevens van 53.000 patiënten) daadwerkelijk online verscheen op een forum.

De daders zetten het laboratorium onder druk met deze publicatie – zij eisten naar verluidt ruim 1 miljoen euro losgeld om verdere datalekken te voorkomen. Het incident veroorzaakte grote onrust onder de getroffen vrouwen. Bevolkingsonderzoek Nederland bood excuses aan en startte samen met het Ministerie van VWS een onafhankelijk onderzoek naar de oorzaak en scope van de hack. De Autoriteit Persoonsgegevens en Inspectie Gezondheidszorg en Jeugd werden ingeschakeld en het laboratorium werd tijdelijk uitgesloten van nieuwe onderzoeken. Dit datalek illustreert hoe kwetsbaar de zorgketen kan zijn: een aanval bij een externe partner kan direct de privacy van honderdduizenden burgers raken.

Lessen voor bedrijven: – Toeleveranciers beoordelen op security: Controleer streng de beveiligingsmaatregelen van externe dienstverleners die toegang hebben tot gevoelige data. Maak duidelijke afspraken over bescherming van persoonsgegevens en incidentmeldingen. – Encryptie en segmentatie: Sla gevoelige gegevens versleuteld op en segmenteer databases, zodat een inbraak niet direct alle informatie prijsgeeft. – Snelle communicatie bij datalekken: Kom bij een incident meteen transparant naar buiten en informeer betrokkenen tijdig. Vertraging in melding (zoals in dit geval gebeurde) kan niet alleen boetes opleveren, maar ook het vertrouwen ernstig schaden. – Voorbereiding op afpersing: Stel een crisisplan op voor het geval van datagijzeling. Bepaal vooraf of en hoe u op losgeldeisen zou reageren, en oefen communicatie om reputatieschade te beperken.

Cyberaanval op Jaguar Land Rover (augustus 2025)

Daders: Hackerscollectief “Scattered Lapsus$ Hunters” (vermoedelijke combinatie van bekende groepen)
Techniek: Social engineering (vishing), gestolen inloggegevens en vermoedelijk ransomware
Impact: Wereldwijde productiestop van ~5 weken; geschat £1,9 miljard schade; >5.000 toeleveranciers geraakt.

Eind augustus werd autofabrikant Jaguar Land Rover (JLR) getroffen door een grootschalige cyberaanval met desastreuze gevolgen. Uit voorzorg legde JLR al zijn IT-systemen plat en stopte de productie in alle fabrieken (VK, Slowakije, Brazilië, India) om verdere schade te beperken. Dit leidde tot een ongekende stilstand: vijf weken lang rolden er geen auto’s van de band, wat JLR naar eigen zeggen £50 miljoen per week aan omzet kostte. Over de hele periode wordt de economische schade voor het bedrijf en zijn ketenpartners geschat op £1,9 miljard – daarmee geldt dit incident als de meest kostbare cyberaanval in de Britse geschiedenis. Ook de bredere economie ondervond impact: de Britse kwartaalgroei zakte merkbaar doordat toeleveranciers betaling en productie zagen vertragen. Meer dan 5.000 bedrijven in JLR’s toeleveringsketen kregen te maken met verstoringen en cashflowproblemen.

Een hackersgroep genaamd Scattered Lapsus$ Hunters claimde verantwoordelijkheid en deelde bewijs van hun toegang tot interne JLR-systemen op sociale media. Uit forensisch onderzoek blijkt dat de aanvallers waarschijnlijk via social engineering binnendrongen: werknemers werden telefonisch of via chat opgelicht om hun inloggegevens af te geven. Met gestolen credentials (soms zelfs admin-rechten) konden de indringers zich bewegen door zwak gesegmenteerde netwerken en uiteindelijk kritieke systemen saboteren. JLR hield lange tijd vol dat er geen klantgegevens waren buitgemaakt, maar moest dit later rectificeren: er was wel degelijk data gestolen, waaronder mogelijk beperkte klantinformatie.

Deze aanval toont pijnlijk aan hoe één succesvolle phishing-actie kan leiden tot een kettingreactie in een hyperverbonden bedrijf. De wereldwijde productieketen kwam tot stilstand doordat IT- en OT-systemen onvoldoende van elkaar gescheiden waren. Bovendien bleken basismaatregelen te ontbreken: verouderde inloggegevens werkten nog, multi-factor authenticatie (MFA) was niet overal vereist en er waren onvoldoende anomaliedetecties waardoor honderden gigabytes aan data ongemerkt konden worden geëxfiltreerd.

Lessen voor bedrijven: – Verplicht sterke authenticatie: Implementeer MFA op alle (remote) toegang en voer beleid om zwakke of oude wachtwoorden regelmatig te wijzigen. Gestolen accounts mogen geen vrijbrief zijn om het hele netwerk binnen te lopen. – Netwerksegmentatie: Scheid productienetwerken, kantoren-IT en gevoelige databanken strikt. Een compromittering in één domein mag niet het hele bedrijf lamleggen. – Monitoring en detectie: Houd uitgebreide auditlogs bij en monitor actief op ongebruikelijke activiteiten (bv. een account dat ineens enorme datavolumes uitleest of inlogt vanaf vreemd IP). Snelle detectie kan grootschalige sabotage voorkomen. – Employee awareness: Train medewerkers om vishing- en phishing-aanvallen te herkennen en meldingen van IT-support altijd te verifiëren. Eén menselijke fout kan, zoals hier, miljoenenverlies betekenen.

Cyberaanval op het Openbaar Ministerie (juli 2025)

Daders: Waarschijnlijk een geavanceerde aanvaller (mogelijke statelijke actor, niet publiek bevestigd)
Techniek: Misbruik van zero-day kwetsbaarheid in Citrix NetScaler (VPN-software)
Impact: OM koppelde landelijk alle systemen los van internet; wekenlang verminderde bereikbaarheid en vertraging in rechtszaken.

In de zomer van 2025 werd het Nederlandse Openbaar Ministerie (OM) opgeschrikt door een ernstige cyberaanval. In juli ontdekten IT-specialisten een poging tot inbraak via een kritieke kwetsbaarheid in Citrix NetScaler – software voor externe netwerktoegang. Het Nationaal Cyber Security Centrum had kort daarvoor gewaarschuwd dat deze onbekende fout actief werd uitgebuit; het vermoeden was dat aanvallers mogelijk al maanden ongemerkt toegang zochten tot overheidsnetwerken.

Uit angst dat hackers zich reeds genesteld hadden in de systemen, besloot het OM op 17 juli abrupt tot een radicale maatregel: alle interne systemen werden geïsoleerd van het internet. Van de ene op de andere dag konden medewerkers niet meer op afstand inloggen, geen e-mails verzenden of digitale dossiers openen. Deze “digitale lockdown” was preventief bedoeld om te voorkomen dat aanvallers bij vertrouwelijke strafdossiers, bewijsstukken of persoonsgegevens konden. De maatregel had echter enorme operationele gevolgen. Communicatie met ketenpartners (politie, advocatuur, rechtspraak) moest terugvallen op telefoon, fax en koerier. Lopende onderzoeken en rechtszaken liepen vertraging op, omdat digitale toegang tot stukken ontbrak. Advocaten klaagden dat er geen goed crisisplan klaar lag en wezen op risico’s voor verdachten (bijv. termijnen voorlopige hechtenis die dreigden te verstrijken).

Pas begin augustus kon het OM stap voor stap systemen weer online brengen, te beginnen met e-mail (zij het met beperkingen). Het duurde weken om alle functies veilig te herstellen, en in die periode ontstonden flinke achterstanden en verhoogde werkdruk binnen de strafrechtsketen. Maanden later waren de naweeën nog voelbaar. Er is een onafhankelijk onderzoek ingesteld naar hoe deze aanval kon plaatsvinden ondanks eerdere Citrix-problemen (een soortgelijke Citrix-kwetsbaarheid leidde begin 2020 al tot crises bij Nederlandse overheidsdiensten).

Lessen voor bedrijven: – Patchbeleid voor kritieke systemen: Zorg voor een razendsnelle patchcyclus, vooral voor veelgebruikte remote access systemen als VPN’s en Citrix-gateways. Bekende kwetsbaarheden hierin vormen een geliefd doelwit voor aanvallers. – Continuïteitsplanning: Houd rekening met een scenario waarin je IT-omgeving (deels) offline moet. Ontwikkel noodprocedures voor essentiële processen – hoe blijf je operationeel zonder e-mail of dossiertoegang? Het OM moest ad-hoc terugvallen op fax en post; een goede voorbereiding had de chaos kunnen beperken. – Zero trust en monitoring: Beperk de toegang tot interne netwerken strikt, zelfs voor systemen achter een VPN. Monitor verkeer vanuit externe toegangspoorten op ongebruikelijke patronen die kunnen wijzen op binnendringers, zodat je indringers voor kunt zijn in plaats van achteraf moeten loskoppelen. – Crisiscommunicatie en samenwerking: Betrek ketenpartners (klanten, leveranciers, overheden) in je incidentrespons. Transparantie over een aanval – binnen de veilige grenzen – zorgt voor begrip en ondersteuning bij ingrijpende maatregelen.

Geïntegreerde aanval op Salesforce-klanten (augustus 2025)

Daders: Hackersgroep ShinyHunters (alias “Scattered Lapsus$ Hunters” in media)
Techniek: Social engineering (vishing, phishing) gericht op third-party CRM-integraties; misbruik OAuth-apps
Impact: Data van tientallen grote organisaties gestolen (gezamenlijk >1 miljard klantrecords blootgelegd), waaronder gegevens van Google, KLM, Adidas e.v.a.

Een van de meest omvangrijke datadiefstal-campagnes van 2025 trof niet één enkel bedrijf, maar een hele reeks ondernemingen via hun gebruik van Salesforce-cloudservices. In plaats van Salesforce zelf te hacken, richtten aanvallers zich op de zwakste schakel: de integraties en gebruikers van Salesforce bij klantorganisaties. Onder leiding van de beruchte groep ShinyHunters benaderden zij medewerkers van diverse bedrijven, zich voordoend als behulpzame IT-support van Salesforce. Via geraffineerde telefoon-phishing (voice phishing of “vishing”) en nep e-mails wisten ze werknemers te misleiden tot het installeren van malafide plug-ins of het goedkeuren van frauduleuze OAuth-applicaties.

Een bekend voorbeeld betrof een Google-medewerker die door een nep-IT’er werd overtuigd een “belangrijke update” voor een Salesforce-app te autoriseren. In werkelijkheid gaf hij de hackers daarmee toegang tot een Salesforce-database met adverteerderscontacten. Zo konden de aanvallers de data exporteren zonder direct in te breken op Google’s eigen systemen. En Google was slechts één van de velen: ook o.a. Cloudflare, Cisco, LinkedIn, Workday, Verizon, Adidas, Chanel en zelfs kredietbureau TransUnion meldden in de zomer van 2025 dat ze slachtoffer waren van deze gecoördineerde aanval. Bij TransUnion werden bijvoorbeeld de persoonlijke gegevens van 4,4 miljoen mensen buitgemaakt via een kwetsbaar supportplatform gekoppeld aan Salesforce. In andere gevallen ging het om honderdduizenden klantcontacten of CRM-records per organisatie. Gezamenlijk wordt dit beschouwd als een van de grootste data-inbreuken ooit, met naar schatting meer dan een miljard unieke klantrecords getroffen.

Opvallend is dat de kern van het Salesforce-platform intact bleef – het waren third-party tools en menselijke fouten die de deur openzetten. De campagne toonde aan dat zelfs als je eigen infrastructuur goed beveiligd is, een geïntegreerde applicatie of onoplettende medewerker de achilleshiel kan vormen. De aanvallen hadden naast directe datadiefstal ook indirecte gevolgen: de gestolen contactinformatie werd later gebruikt voor gerichte phishing en oplichting van klanten van deze bedrijven. De reputatieschade was aanzienlijk, en gedupeerden moesten omvangrijke notificatie- en herstelacties uitvoeren.

Lessen voor bedrijven: – Bescherm je integraties: Behandel API-sleutels, OAuth-apps en externe plug-ins met dezelfde veiligheidszin als je hoofdplatform. Geef derde partijen of integraties alleen minimale toegangsrechten (principle of least privilege) en herzie periodiek welke apps toegang hebben tot gevoelige data. – Alert op social engineering: Train personeel om nooit zomaar in te gaan op telefonische of e-mailverzoeken om software te installeren of toegang te verlenen, zelfs niet als deze van “IT” of een leverancier afkomstig lijken. Vertrouw maar verifieer: controleer via een terugbelnummer of interne IT of het verzoek legitiem is. – Monitoring van data-activiteiten: Houd bij hoe en wanneer grote hoeveelheden klantdata worden geraadpleegd of gedownload. Stel alarmen in voor ongebruikelijke export-acties, zelfs als deze via geldige accounts verlopen. – Incidentrespons voor supply chain-aanvallen: Ontwikkel een plan voor als een toeleverancier of integratie misbruikt wordt. Dit vraagt om nauwe coördinatie met die partners en wellicht gezamenlijke communicatie naar klanten (zoals KLM en Air France deden bij hun datalek). Transparantie en snelheid van informeren zijn cruciaal om vertrouwen te behouden.

“Shai-Hulud” worm op NPM (september 2025)

Daders: Onbekend (mogelijk georganiseerde cybercriminelen gericht op supply chain)
Techniek: Supply-chain aanval op open-source: overname package accounts en zelf-replicerende malware in NPM-modules
Impact: Honderden populaire softwarepakketten besmet; >10.000 ontwikkelaars getroffen; grootschalige diefstal van credentials.

In september werd de open-source softwaregemeenschap opgeschrikt door een wormachtig virus dat zich razendsnel door het ecosysteem van NPM (Node Package Manager) verspreidde. Deze malware, later gedoopt als “Shai-Hulud”, wist in eerste instantie beheerdersaccounts van veelgebruikte NPM-pakketten te compromitteren. Vervolgens injecteerden de aanvallers onopgemerkt kwaadaardige code in de updates van deze legitieme pakketten. Ontwikkelaars wereldwijd die nietsvermoedend de nieuwste versie van hun vertrouwde dependencies binnenhaalden, installeerden daarmee de besmetting op hun eigen systemen.

Wat Shai-Hulud bijzonder (en gevaarlijk) maakte, was het zelf-replicerende karakter van de aanval. Zodra een geïnfecteerd pakket werd geïnstalleerd in een ontwikkelomgeving, ging de malware aan de slag om nieuwe doelwitten te zoeken. Het stal automatisch ontwikkelaarstokens, inloggegevens en cloud-credentials op de getroffen machine, en gebruikte die om nog meer NPM-pakketten van die ontwikkelaar te backdooren. Dit proces vereiste geen menselijk ingrijpen; de worm verspreidde zich autonoom als een lopend vuurtje door de softwareketen. Eén enkele compromittering kon zo in korte tijd tientallen tot honderden andere projecten besmetten.

De gevolgen waren enorm: in korte tijd werden honderden populaire NPM-modules aangetast, waaronder pakketten met miljoenen downloads per week. Uit analyses bleek dat ten minste 500+ GitHub-accounts waren misbruikt, behorend tot ruim 150 organisaties. Ontwikkelomgevingen en CI/CD-pipelines van zeker tienduizend developers kwamen hierdoor in gevaar. De worm had als payload een uitgebreide credential-stealer: hij zocht op geïnfecteerde systemen naar sleutels, wachtwoorden en secrets voor clouddiensten (AWS, Azure, GCP) en ontwikkelplatforms. Deze werden geëxfiltreerd naar door de aanvaller beheerde locaties, waarmee potentiële backdoors bij tal van bedrijven ontstonden.

Het Shai-Hulud incident liet zien hoe kwetsbaar de moderne software supply chain is wanneer kwaadwillenden het vertrouwen in open-source componenten ondermijnen. GitHub en NPM kwamen direct met noodmaatregelen: zo werd afdwingen van 2FA voor populaire package maintainers versneld ingevoerd en werden getroffen packages uit de registry verwijderd of gepatcht. Toch is de schade lastig te kwantificeren mogelijk hebben sommige bedrijven nog lange tijd onopgemerkt achterdeurtjes gehad via geïnfecteerde afhankelijkheden.

Lessen voor bedrijven: – Supply chain security: Behandel softwareafhankelijkheden als potentiële risico’s. Implementeer tools voor automatische kwetsbaarheidsscans en integrity checks van packages (bijv. via hashes of verificate servers) voordat ze in productie worden genomen. – 2FA en key hygiene: Als u zelf maintainer bent van open-source projecten of intern packages deelt, forceer dan tweefactorauthenticatie op accounts en maak gebruik van hardware keys waar mogelijk. Beperk de verspreiding van tokens en draai credentials regelmatig om, zodat gelekte tokens niet langdurig bruikbaar zijn. – Isolatie van build-omgevingen: Houd ontwikkel- en CI-omgevingen gescheiden van productie. Gebruik minimale privileges voor build-servers. Mocht een buildserver besmet raken, dan kan de schade zo niet direct overslaan naar live omgevingen of brede accountcompromittatie. – Incidentrespons bij supply chain aanvallen: Wees voorbereid om snel te reageren als blijkt dat een externe component die u gebruikt gecompromitteerd is. Dit kan inhouden: alerteren van ontwikkelteams, roteren van alle secrets (aannemende dat deze als gestolen beschouwd moeten worden) en het herbuilden van applicaties met schone dependencies.

Ransomware-aanval op Marks & Spencer (april 2025)

Daders: Groep Scattered Spider (vermoedelijk jonge hackergroep bekend van o.a. MGM-aanval)
Techniek: Ransomware (DragonForce malware) via IT-leverancier; datadiefstal en versleuteling van systemen
Impact: Wekenlange verstoring online verkoop; \~£300 miljoen verwachte winstdaling; reputatieschade bij miljoenen klanten.

Britse retailketen Marks & Spencer (M&S) – bekend van zijn warenhuizen en webshop – werd rond Pasen 2025 slachtoffer van een grote ransomware-aanval. De hackersgroep Scattered Spider infiltreerde vermoedelijk via een kwetsbaarheid bij een externe IT-partner (genoemd wordt een link met Tata Consultancy Services) en gebruikte de DragonForce-ransomware om virtuele servers van M&S te versleutelen. Tegelijkertijd wisten de aanvallers klantgegevens buit te maken uit de systemen, waarmee ze extra pressiemiddelen hadden. De aanval legde cruciale digitale infrastructuur lam: online bestellingen en logistieke processen van M&S raakten zwaar verstoord, juist tijdens een belangrijke verkoopperiode.

M&S moest verschillende diensten tijdelijk offline halen om de infectie in te dammen. Klanten konden dagenlang niet normaal online winkelen en interne communicatie lag plat. Pas na weken van herstelwerkzaamheden kon het bedrijf zijn systemen volledig opschonen en herstarten. In mei waarschuwde M&S dat deze cyberaanval een forse financiële aderlating zou betekenen: de verwachte operationele winst zou naar schatting £300 miljoen lager uitvallen dan gepland. De reputatie kreeg eveneens een knauw, al bleek uit onderzoek dat er geen betaalgegevens of wachtwoorden waren buitgemaakt. Vooral e-mailadressen en ordergegevens waren gestolen, wat desondanks phishingrisico’s meebracht voor klanten.

Deze case maakt duidelijk dat ook de retailsector – met zijn afhankelijkheid van e-commerce en externe IT-dienstverleners – hoog op het lijstje van ransomwaregroepen staat. In het VK vormde de aanval op M&S zelfs het startsein van wat sommige media de “Retail Cyber Siege” noemden, aangezien kort erna meerdere grote retailmerken door soortgelijke aanvallen werden getroffen. M&S werkte nauw samen met de Britse autoriteiten (NCSC) en andere retailers om indicatoren van de aanval te delen. Er is geen bevestiging of losgeld is betaald, maar gezien de exfiltratie van data is de kans groot dat de groep geprobeerd heeft M&S af te persen om publicatie te voorkomen.

Lessen voor bedrijven: – Ketenbeveiliging: Controleer of uw leveranciers en outsourcers dezelfde hoge security-standaarden hanteren. Een lek bij een IT-partner kan directe gevolgen hebben (zoals hier vermoedelijk het geval was). Leg contractueel vast dat zij snelle melding doen van incidenten en patches tijdig toepassen. – Segmentatie van kritieke systemen: Houd uw webshop, voorraadbeheersysteem, betalingsplatform en andere kernsystemen zoveel mogelijk gescheiden. Ransomware kan zich razendsnel verspreiden in een plat netwerk. Segmentatie en streng toegangsbeheer kunnen de impact beperken tot een deel van de omgeving. – Regelmatige offsite-backups: Zorg voor versleutelde, offline back-ups van systemen en data. Test deze ook regelmatig. In een geval als M&S kan een snelle restore van schone backups het verschil maken tussen dagen of weken uitval. – Financiële weerbaarheid en communicatie: Besef dat een cyberaanval een aanzienlijke financiële impact kan hebben. Stel de Raad van Bestuur en investeerders proactief op de hoogte van mogelijke effecten. Transparantie naar klanten over welke data wel/niet gestolen is (zoals M&S deed over betaalgegevens) helpt om paniek en wantrouwen te verminderen.

Ransomware-aanval op DaVita (april 2025)

Daders: Cybercriminelen (mogelijk ransomwaregroep ALPHV/BlackCat – eerder actief in de zorg)
Techniek: Ransomware-aanval op netwerk van zorgaanbieder; versleuteling + data-exfiltratie
Impact: Dialyseklinieken moesten noodprocedures activeren; persoonlijke gegevens van 2,7 miljoen patiënten gestolen.

De Amerikaanse zorgsector werd in 2025 wederom hard geraakt door cybercriminaliteit. In april werd DaVita, een van de grootste aanbieders van nierdialyse ter wereld, slachtoffer van een ransomware-aanval. De aanval wist delen van DaVita’s netwerk te versleutelen en verstoorde bepaalde ondersteunende operaties, al bleef de kritieke patiëntenzorg uiteindelijk doorgaan met noodmaatregelen. DaVita beheert bijna 3.000 dialyseklinieken; elke storing kan direct gevolgen hebben voor kwetsbare patiënten die meerdere keren per week afhankelijk zijn van deze behandeling.

Uit latere melding bij het Amerikaanse ministerie van Gezondheid bleek de schaal van het datalek enorm: ongeveer 2,7 miljoen personen werden getroffen. Onder de gestolen informatie bevonden zich medische dossiers en persoonlijke gegevens van huidige én voormalige patiënten. De aanvallers hadden zich toegang verschaft tot een centraal lab-database, waarin gevoelige informatie zoals testresultaten en patiënten-IDs waren opgeslagen. DaVita heeft alle betrokkenen geïnformeerd en biedt hen gratis identiteits- en kredietbewaking aan als bescherming tegen misbruik.

Operatie-operational gezien was de aanval een wake-up call. Hoewel DaVita benadrukte dat levensreddende behandelingen ononderbroken zijn doorgegaan dankzij de inzet van noodstroomvoorzieningen en handmatige processen, bracht de cyberaanval wel een tijdelijke ontwrichting teweeg. Planningssystemen en interne communicatie werden aangetast, waardoor personeel terugviel op papieren administratie. Financieel noteerde DaVita in Q2 circa $13,5 miljoen aan extra kosten in verband met de aanval (o.a. voor herstel en beveiliging). Deze case benadrukt de dubbele dreiging van moderne ransomware: niet alleen IT-uitval, maar ook datalekken die tot langdurige vertrouwensschade kunnen leiden.

Lessen voor bedrijven: – Zorgcontinuïteit bij IT-uitval: Vooral in de zorg is het van levensbelang om noodplannen te hebben. Oefen scenario’s waarin digitale systemen wegvallen – hoe worden behandelingen voortgezet, hoe communiceren we, hoe registreren we handmatig? DaVita’s ervaring laat zien dat voorbereiding het verschil kan maken tussen chaos en beheersbare noodmodus. – Netwerkhygiëne en detectie: Segmenteer medische apparaten, lab-systemen en administratieve netwerken. Voer strenge toegangscontroles door (zero trust). Implementeer bovendien 24/7 monitoring op ongebruikelijke activiteiten, zodat een aanval in een vroeg stadium opgemerkt en geïsoleerd kan worden. – Versleuteling van patiëntdata: Bescherm gevoelige medische databases met sterke encryptie en beperkte toegangsrechten. Zo verklein je de kans dat gestolen data direct leesbaar en misbruikbaar is voor aanvallers. – ‘Double extortion’ bewustzijn: Begrijp dat ransomwaregroepen tegenwoordig bijna altijd ook data stelen. Wees voorbereid op het scenario dat patiëntgegevens op straat kunnen belanden. Dit betekent klaarstaan met transparante communicatie naar gedupeerden en support (zoals ID-bescherming) om verdere schade te beperken. – Leer van incidenten: Evalueer na een aanval grondig wat er misging. DaVita zal ongetwijfeld zijn zwakste schakels (bijv. een oud systeem of een phishing-mail) identificeren en structureel aanpakken. Deze lessons learned moeten worden vertaald in actie zodat de geschiedenis zich niet herhaalt.

Ransomware-aanval op Ingram Micro (juli 2025)

Daders: SafePay ransomwaregroep (niet RaaS, eigen opererend collectief)
Techniek: Malware-infectie gevolgd door versleuteling; preventief offline halen van systemen
Impact: Wereldwijd bijna een week verstoring in IT-distributie; ordersystemen plat; downstream effect op duizenden resellers.

Op 4 juli merkten klanten van IT-distributeur Ingram Micro dat de bestelsystemen onbereikbaar waren. Al snel werd duidelijk dat Ingram Micro – een van ’s werelds grootste distributeurs van elektronica en IT-producten – was getroffen door een cyberaanval. Het bedrijf bevestigde een dag later dat het ging om een ransomware-aanval, waarna zij uit voorzorg hun belangrijkste systemen offline haalden. Hierdoor konden resellers en fabrikanten meerdere dagen geen bestellingen plaatsen of voorraadinformatie verkrijgen via de normale kanalen.

De operatie van Ingram Micro in verschillende regio’s lag deels stil terwijl IT-teams koortsachtig werkten aan herstel. Na bijna een week meldde het bedrijf op 10 juli dat alle wereldwijde businessoperaties weer waren hersteld. In die periode moesten veel resellers noodgedwongen overstappen op noodprocedures of alternatieve leveranciers om aan productleveringen te komen. De aanval had dus een kettingeffect in de hele supply chain van elektronica: winkels wachtten langer op hun bestellingen en eindklanten mogelijk op hun apparatuur.

Volgens cyberbeveiligingsonderzoekers was de dadergroep SafePay verantwoordelijk. SafePay hanteert een opvallend model: in tegenstelling tot de meeste gangs maakt het geen gebruik van Ransomware-as-a-Service, maar voert het zelfstandig operaties uit. Dit maakt hen minder voorspelbaar en volgens experts lastig te verdedigen, omdat indicatoren van eerdere RaaS-groepen niet één-op-één toepassen. SafePay eiste naar verluidt losgeld, maar Ingram Micro heeft niet publiekelijk aangegeven of er betaald is. Bijkomend gunstig was dat er vooralsnog geen aanwijzingen zijn dat klant- of leveranciersdata is buitgemaakt; de aanval leek primair gericht op verstoring en afpersing.

Lessen voor bedrijven: – Continuïteit in de keten: Als spil in een toeleveringsketen moet je voorbereid zijn op uitval. Overweeg redundante systemen of alternatieve orderkanalen die kunnen worden ingezet wanneer de primaire systemen offline zijn. Communiceer ook tijdig met klanten over de situatie en verwachte hersteltijd. – Segmenteer kritieke diensten: Ingram Micro’s hele bestelsysteem ging plat, wat suggereert dat de ransomware zich breed kon verspreiden. Door bijvoorbeeld regionale systemen of functionele domeinen gescheiden te houden, kan een aanval lokaal geïsoleerd blijven in plaats van wereldwijde impact te hebben. – Wees op de hoogte van nieuwe dreigingen: Volg threat intelligence over opkomende groepen als SafePay en hun modus operandi. Wat nieuw is vandaag (geen RaaS-model, eigen tools) kan morgen gemeengoed zijn. Pas waar nodig je verdedigingsstrategie hierop aan. – Samenwerking met autoriteiten: Betrek bij een grote aanval direct cybersecurity-experts en wetshandhavers. Zij kunnen helpen bij het forensisch onderzoek, eventueel assisteren met decryptietools of advies geven over het wel/niet betalen van losgeld. Bovendien draagt melding bij aan een beter beeld van dreigingen in de sector, waar iedereen van kan leren.

Chinese spionage bij telecomproviders (januari 2025)

Daders: Statelijke hackers gelieerd aan China (APT-groep “Salt Typhoon”, ook bekend als Operator Panda)
Techniek: Langdurige infiltratie in telecom-netwerken via ongepatchte netwerkapparatuur (hard- en software-exploits)
Impact: Meerdere grote telecombedrijven (o.a. Verizon, AT&T) maandenlang gecompromitteerd; omschreven als ergste telecomhack ooit in de VS; mogelijk afluisteren van overheidscommunicatie.

Al in 2024 waren geruchten dat Chinese cyberspionnen diep in de systemen van westerse telecomproviders zaten. Begin 2025 kwam de omvang hiervan aan het licht. Onderzoekers en overheidsinstanties onthulden dat de Chinese APT-groep Salt Typhoon op grote schaal is binnengedrongen bij toonaangevende Amerikaanse telco’s. Naast eerder bekende doelwitten (Verizon en AT&T) bleken ook bedrijven als Charter Communications, Windstream en Consolidated Communications getroffen te zijn. Sommige compromitteringen liepen al maanden of langer, waarbij de aanvallers vrijwel ongehinderd data konden inzien.

Deze aanvallen hadden een puur espionagedoel: Salt Typhoon zocht naar inzicht in telecomverkeer, met name van overheidsinstanties en hooggeplaatste personen. Volgens de Amerikaanse toezichthouder FCC wisten de Chinese staats-hackers “zich onopgemerkt te bewegen in enkele van de best beveiligde netwerken ter wereld”. Ze maakten daarbij gretig gebruik van zwakke plekken in de infrastructuur: unmanaged devices (zoals routers, switches en IoT-apparaten) die slecht werden gemonitord en gepatcht. Via zulke routes konden zij zich een weg banen naar de kern van de netwerken.

Het incident werd door een senator bestempeld als de grootste telecomhack in de Amerikaanse geschiedenis. De gevolgen lieten zich raden: niet alleen bedrijfsgeheimen van de telco’s zelf liepen gevaar, maar ook telefoongesprekken en berichten van miljoenen klanten (waaronder overheidsfunctionarissen) konden onderschept zijn. In reactie vaardigde de FCC een noodbevel uit aan alle telecombedrijven om per direct hun cybersecurity te verscherpen. Denk aan versneld patchen van netwerkapparatuur, strengere authenticatie voor beheerders en betere logging. Dit spionageoffensief illustreert de trend dat statelijke actoren in 2025 hun focus verlegden naar moeilijk zichtbare doelen: in plaats van “traditionele” IT-systemen werden netwerkcomponenten en IoT-apparaten, vaak zonder antivirus of monitoring, het aanvalsterrein.

Lessen voor bedrijven: – Volledige netwerkzichtbaarheid: Zorg dat je weet wat er allemaal op je netwerk draait, inclusief randapparatuur. Shadow IT en ongebeheerste devices vormen blinde vlekken die APT’s graag benutten. Implementeer netwerkdetectie-oplossingen die ook ongebruikelijk verkeer op switches/routers oppikken. – Patch ook je hardware: Beveiligingsupdates zijn niet alleen voor servers. Update firmware van routers, VPN-appliances, firewalls etc. direct zodra kritieke kwetsbaarheden bekend worden. Overweeg automatische notificaties of onderhoudscontracten die je attenderen op patches voor netwerkapparatuur. – Segmentatie & encryptie: Isoleer kritieke communicatiekanalen (bijv. verkeer van bestuurders of gevoelige klanten) zoveel mogelijk binnen aparte segmenten met end-to-end encryptie. Zelfs als een buitenlands actor in het algemene netwerk zit, wordt het dan lastiger om bij de echt vertrouwelijke data te komen. – Samenwerking met overheid: Deel verdachte observaties (zoals ongebruikelijke datastromen of loginpogingen) met sectorcollega’s en CERTs. In het geval van de telecomaanval leidde informatie-uitwisseling tot het ontdekken van de volle reikwijdte. Publieke en private samenwerking is essentieel bij het bestrijden van statelijke dreigingen.

Ransomware-aanval op NASCAR (april 2025)

Daders: Medusa ransomwaregroep (cybercriminelen, vermoedelijk vanuit Oost-Europa)
Techniek: Inbraak in bedrijfsnetwerk, datadiefstal (~1 TB), losgeldeis; versleuteling van servers
Impact: Persoonlijke gegevens van fans en werknemers (incl. SSN’s) gestolen; $4 miljoen losgeld geëist; imagoschade in sportwereld.

• Zelfs de wereld van de autosport bleef in 2025 niet gespaard van cybercrime. In april werd NASCAR, de organisator van de populaire stockcar-races in de VS, getroffen door een aanval van de Medusa-ransomwaregroep. De criminelen wisten zich tussen 31 maart en 3 april toegang te verschaffen tot de interne systemen van NASCAR en stalen ongeveer 1 terabyte aan data voordat ze deze versleutelden. Al snel eisten zij $4 miljoen losgeld in ruil voor het niet publiceren van de buitgemaakte gegevens.
• De gestolen informatie bleek uiterst gevoelig. Er zaten uitgebreide persoonsgegevens in van zowel NASCAR-fans als medewerkers, waaronder namen, e-mailadressen en zelfs sociale zekerheidsnummers (SSN’s). Dit soort data is een goudmijn voor identiteitsfraude en phishing. Het incident was des te pijnlijker omdat de organisatie pas in juni ontdekte wat er was gebeurd – bijna twee maanden na de daadwerkelijke hack, die in het raceweekend begin april plaatsvond. NASCAR kwam uiteindelijk publiekelijk met de erkenning van de aanval en stuurde gedupeerde fans en werknemers een notificatie. Ook kregen zij gratis diensten aangeboden voor kredietmonitoring en identiteitsbescherming, gezien het risico op misbruik van hun gegevens.
• Het is niet bekendgemaakt of NASCAR bereid was (of is) het losgeld te betalen; veel experts raden dit af omdat het geen garantie biedt (en zelfs nieuwe aanvallen kan uitlokken). In elk geval heeft Medusa gedreigd de data uit te lekken als er niet betaald wordt. Tot op heden zijn er geen grote NASCAR-datadumps verschenen, wat kan duiden op onderhandelingen achter de schermen of effectieve maatregelen om verspreiding te voorkomen. Dit incident toont dat ook entertainment- en sportorganisaties volop doelwit zijn: zij beschikken over enorme fan-databases en merken met waardevolle reputaties, wat afpersers in de kaart speelt.
• Lessen voor bedrijven: – Dataminimalisatie: Vraag jezelf af of je écht alle verzamelde klantdata nodig hebt en zo ja, hoe lang deze bewaard moet blijven. Gevoelige gegevens zoals BSN/SSN’s van fans zijn een aantrekkelijk doelwit. Beperk opslag van zulke data tot het hoogstnoodzakelijke, of anonimiseer ze na gebruik om de “buit” voor hackers zo klein mogelijk te maken. – Breachesnelheid detecteren: Twee maanden onopgemerkt gecompromitteerd zijn is onacceptabel lang. Investeer in intrusion detection en threat hunting. Stel bijvoorbeeld een 24/7 Security Operations Center (SOC) in, of maak gebruik van managed detectie-diensten die verdachte activiteiten real-time signaleren. – Responsplan met PR-component: Bij organisaties met een groot publiek (fans, klanten) is reputatiemanagement een integraal onderdeel van incidentrespons. Bereid statements en FAQ’s voor zodat je snel, open en duidelijk kunt communiceren als er een lek is, om geruchten en paniek te temperen. – Customer support na een lek: Overweeg proactief diensten aan te bieden aan getroffen personen, zoals NASCAR deed met identiteitsbeschermingsservices. Dit laat zien dat je de impact op individuen serieus neemt en helpt vervolgschade te beperken. Het is tegenwoordig bijna standaard na grote datalekken en kan juridisch en relationeel veel goedmaken.

Doei 2025!

2025 was wederom een jaar waarin cyberaanvallen geen sector ongemoeid lieten. Van gezondheidszorg tot automotive, van retail tot overheid –geen enkele organisatie bleek immuun. We zien dat aanvallers steeds gevarieerder te werk gaan: statelijke hackers richten zich op onopgemerkte zwaktes diep in netwerken, terwijl cybercriminelen creatieve social-engineering trucs toepassen en dubbele afpersing tot standaard verheffen. De gemene deler is de immense impact: financiële verliezen, stilgelegde operaties, vertrouwensbreuken bij klanten en in sommige gevallen zelfs nationale veiligheid die in het geding komt.

De belangrijkste les uit 2025 is dan ook duidelijk: cybersecurity moet topprioriteit zijn op elk niveau van de organisatie. Bestuurders realiseren zich meer dan ooit dat een cyberincident een businessrisico is dat de continuïteit en winstgevendheid direct kan raken. Technische maatregelen zoals sterke authenticatie, segmentatie en patchmanagement vormen de basis. Maar net zo belangrijk zijn mens en proces van regelmatige awareness-training voor medewerkers tot gedegen incidentresponsplannen die klaar liggen in de la.

Bij Rootsec helpen we organisaties om weerbaarder te worden tegen deze steeds complexere dreigingen. Of het nu gaat om het uitvoeren van een grondige pentest, het opzetten van 24/7 monitoring, of het trainen van uw team met realistische crisisoefeningen – ons ervaren team staat voor u klaar. Wilt u leren van de lessen uit 2025 en uw cybersecurity naar een hoger niveau tillen? Neem dan contact met ons op. Samen zorgen we ervoor dat uw organisatie beter bestand is tegen de volgende grote cyberdreiging, wat 2026 ook mag brengen.