Ransomware: van incident naar faillissement

Bedrijven die failliet gingen

Eigenlijk is 2017 het jaar dat Wannacry met een besmetting wereldwijd in 150 landen het digitale gijzelingstijdperk inluidde. Dat eiste sindsdien duizenden slachtoffers waarvan nog steeds velen het verlies van hun digitale data zelfs niet overleefden. Een greep uit de enkele recente voorbeelden:

• Einhaus Group (Duitsland, 2023), ondanks betaling van €200.000 losgeld leidde de aanval tot langdurige stilstand, verlies van klantgegevens en het einde van het bedrijf.
• Fasana (Duitsland, 2024), dagverlies aan bestellingen: €250.000. Het servettenbedrijf met 240 medewerkers ging insolvent.
• Petersen Health Care (VS, 2024), de aanval leidde tot dataverlies en betalingsproblemen, wat uiteindelijk een faillissement veroorzaakte.
• Stoli Group (VS, 2024), faillissement na ransomware-aanval en politieke complicaties.
• KNP Logistics (VK), het 158 jaar oude logistieke bedrijf ging failliet door één zwak wachtwoord, bijna 700 banen gingen verloren.

Deze gevallen laten zien dat ransomware geen “IT-probleem” is, maar een strategisch risico dat de levensvatbaarheid van een bedrijf kan bedreigen. Het is niet langer een kwestie van “als” je slachtoffer wordt, maar “wanneer” en vooral “in welke mate”. En heb je een tijdelijke fall-back georganiseerd?

Bekende ransomware en schadegevallen

Niet elk getroffen bedrijf gaat gelukkig failliet, maar de financiële impact en vooral de merkschade kan enorm zijn:

• Merck (2017, NotPetya) – >$1 miljard directe schade, interessante verzekeringszaak.
• Maersk (2017, NotPetya) – directe kosten $250–300 miljoen, vooral opstartkosten.
• Kaseya (2021) – aanvankelijke losgeldvraag $70 miljoen; honderden bedrijven getroffen.
• Colonial Pipeline (2021) – losgeld $4,4 miljoen; bredere impact en merkschade veel groter.
• CNA Financial (2021) – losgeld ~$40 miljoen; bijkomende herstelkosten groot.
• JBS Foods (2021) – losgeld ~$11 miljoen; productie-onderbrekingen en marktimpact.
• Change Healthcare (2023/2024) – losgeld ~$22 miljoen; operationele en reputatieschade.
• The City of Baltimore (2019) – directe kosten >$19 miljoen, mooi verslag is hier.
• Jaguar Land Rover (2025) – productie-uitval in fabrieken, miljoenen aan potentiële inkomsten verloren, einde nog niet in zicht.

Deze gevallen maken duidelijk dat ransomware enorme schade kan veroorzaken, zelfs bij grote, gezonde bedrijven van wie je mag verwachten dat ze hun IT-omgeving professioneel hebben beveiligd.

Het onzichtbare gat: weinig inzicht in de aanval

Wat vaak onderschat wordt, is dat organisaties achteraf vaak niet precies weten hoe een aanval exact is verlopen omdat logging- en monitor-data ook (vaak als eerste) is encrypt of vernietigd. Herstelmaatregelen kunnen daardoor vaak niet gericht worden uitgevoerd: het onbekende “gat” of de verborgen zwakte wordt niet definitief verholpen. De zwarte doos ontbreekt.

Bovendien helpt het anderen in de markt niet als deze potentiële zwakheden daardoor niet kunnen worden gedeeld. Terwijl de luchtvaartindustrie van de vele ongelukken systematisch leert – zwarte dozen in elk vliegtuig zijn verplicht om luchtwaardigheid te verkrijgen – blijft cybersecurity een soort prijsjacht voor aanvallers, waarbij kennisoverdracht achterwege blijft.

Elke succesvolle aanval laat daarnaast een omgeving achter die kwetsbaar blijft, niet alleen voor het getroffen bedrijf, maar ook voor alle ketenpartners en leveranciers.

Digitale defensie op een lemen vloer

In de plotseling woelige tijden van oorlog blijkt onze digitale defensie op een lemen vloer te zijn gebouwd. Cloud-diensten hebben dit risico versterkt: door de vele ketens van uitbestede digitale dienstverlening wordt de zwakste schakel aangevallen en ligt al snel de hele keten stil.

Het recente voorbeeld bij Heathrow en andere luchthavens toont dit: het gaat niet om grote Amerikaanse cloudproviders, maar om talloze andere Europese spelers in lange ketens van digitale diensten. Bij Collins Aerospace, een Engels bedrijf, werden de check-in- en bagagesystemen verstoord, waardoor duizenden reizigers direct werden geraakt.

Zelfs simpele offline fallback-mogelijkheden worden vaak vergeten, terwijl die soms eenvoudig en ook nog eens handmatig zouden kunnen zijn.

Simpele fallback als cruciale buffer

Tijdens één van mijn reizen in het midden van de VS maakte ik mee dat een retailer – die de kwetsbaarheid van de bovengrondse stroomkabels kende – tijdens zo’n elektriciteitsstoring simpelweg een ouderwetse mechanisch kasregister en rollers voor creditcard salesslips op tafel zetten. En de handmatige deuren naast de automatische deuren openden. Stroomuitval leidt daar niet tot serieuze omzetdaling, omdat er een offline fallback is.

Bij ons is die fysieke offline fallback vrijwel verdwenen. Met een bankkaart of creditcard op je telefoon kun je echt geen salesslip meer ondertekenen. Zodra systemen uitvallen, ligt de keten volledig stil. De kwetsbaarheid wordt groter, terwijl de fallback-mogelijkheden steeds kleiner worden.

De digitale oorlog is nog maar net begonnen

De cijfers liegen er niet om: in het eerste halfjaar van 2025 steeg het aantal ransomware-aanvallen met 124% ten opzichte van dezelfde periode in 2024. Wat vroeger een incidenteel probleem leek, ontwikkelt zich tot een structurele bedreigingvoor bedrijven wereldwijd.

Tegelijkertijd zien we de opkomst van Ransomware-as-a-Service (RaaS). Met dit model kunnen zelfs technisch minder ervaren criminelen ransomware “huren” en aanvallen uitvoeren, terwijl de originele ontwikkelaars een deel van het losgeld innen. Dit maakt de dreiging groter, sneller en moeilijker te bestrijden.

De digitale oorlog is dus nog maar net begonnen. Terwijl traditionele defensiesystemen vaak op een lemen vloer staan, ketens van cloud- en outsourcingdiensten groeien en fallback-mogelijkheden afnemen, wordt elk incident steeds destructiever. Voor bedrijven geldt: stilstand door een aanval is niet langer een tijdelijk ongemak, maar een existentiële dreiging.

Door: Hans Timmerman (foto)