Uit onderzoek van Barracuda blijkt dat in 90% van de ransomware-incidenten in 2025 misbruik werd gemaakt van firewalls, via niet-gepatchte software of een kwetsbaar account. Een andere opmerkelijke bevinding is dat er bij snelst werkende ransomware-aanval slechts drie uur zaten tussen de initiële inbreuk en het versleutelen van gegevens. Deze en andere bevindingen worden gedetailleerd beschreven in het Barracuda Managed XDR Global Threat Report, dat laat zien met methoden aanvallers hanteren en welke securitygaten systemen in gevaar brengen.
De data laten zien dat aanvallers misbruik maken van legitieme IT-tools – zoals remote access software – en gebruikmaken van onbeveiligde devices. Daarnaast onderstrepen de data de risico’s van verouderde versleutelingsmethoden en uitgeschakelde endpoint security. Ook wijzen ze op de waarschuwingssignalen van afwijkend inloggedrag of privileged access.
Belangrijkste bevindingen:
- In negen op de tien ransomware-incidenten werd misbruik gemaakt van firewalls, via een CVE of een kwetsbaar account. Aanvallers kunnen zo toegang en controle verkrijgen over het netwerk en de security omzeilen, waardoor schadelijk netwerkerkeer en activiteiten verborgenblijven.
- Het snelste ransomware-incident dat werd waargenomen betrof Akira-ransomware, waarbij er slechts drie uur zat tussen de initiële inbreuk en de versleuteling van gegevens. Met dit soort korte timelines hebben verdedigers maar weinig tijd om aanvallen te detecteren en erop te reageren.
- Een op de tien gedetecteerde kwetsbaarheden betrof een bekende exploit. Aanvallers maken actief gebruik van softwarebugs, vaak in de supply chain. Het belang van het identificeren en aanpakken van niet-gepatchte software kan niet genoeg worden benadrukt.
- De meest gedetecteerde kwetsbaarheid dateert uit 2013. CVE-2013–2566 betreft een fout in een verouderd versleutelingsalgoritme dat te vinden is in legacy systemen, zoals oude servers of embedded devices of applicaties.
- In 96% van de incidenten waarbij laterale bewegingen plaatsvonden, vond uiteindelijk een ransomware-aanval plaats. Laterale bewegingen markeren het moment waarop aanvallers die ongemerkt toegang hebben tot een onbeschermd endpoint, op zoek gaan naar andere systemen om een aanval uit te voeren. Dit is de belangrijkste indicator van een op handen zijnde ransomware-aanval.
- 66% van de incidenten had betrekking op de supply chain of een derde partij (een stijging ten opzichte van 45% in 2024). Aanvallers maken misbruik van zwakke plekken in third party software om verdedigingsmechanismen te omzeilen en zo hun bereik te vergroten.
Het rapport biedt tevens advies over praktische maatregelen die organisaties en managed service providers kunnen nemen om dit soort risico’s aan te pakken en deze te beperken.
“Organisaties en hun securityteams – vooral als dat ‘team’ uit één IT-professional bestaat – staan voor een enorme uitdaging. Met beperkte middelen en gefragmenteerde securitytools moeten ze identiteiten, assets en data beschermen tegen een steeds veranderend dreigingslandschap en tegen aanvallen die zich binnen enkele uren kunnen ontvouwen”, zegt Merium Khalid, Director, SOC Offensive Security bij Barracuda.
“Wat doelwitten kwetsbaar maakt, is vaak eenvoudig over het hoofd te zien: een enkel kwetsbaar device, een account dat niet is uitgeschakeld toen iemand vertrok bij de organisatie, een inactieve applicatie die niet is bijgewerkt of een verkeerd geconfigureerde securityfeature. Aanvallers hoeven er maar één te vinden om succesvol te zijn. Een geïntegreerde, door AI-gestuurde en autonome securityoplossing, waarbij het beheer en de ondersteuning worden verzorgd door experts, kan het verschil maken.”
De bevindingen zijn gebaseerd op de Barracuda Managed XDR dataset, die meer dan twee biljoen IT-events bevat die in 2025 zijn verzameld, waaronder bijna 600.000 security alerts en meer dan 300.000 beveiligde endpoints, firewalls, servers, cloudassets en meer.
Het volledige rapport is hier te downloaden: https://www.barracuda.com/reports/managed-xdr-global-threat-report.
