Home Nieuws Gijzelaars in de Kabels: Wat Ransomware Echt Doet met Je Netwerk (en Hoe Hackers Achter de Schermen Werken)
Nieuws 16 mei 2026 · admin

Gijzelaars in de Kabels: Wat Ransomware Echt Doet met Je Netwerk (en Hoe Hackers Achter de Schermen Werken)

Cybersecurity – HSSecure.nl

Stel je voor: je start je werkdag, opent je laptop en wilt aan de slag met die belangrijke presentatie of de administratie. Maar in plaats van je vertrouwde bureaublad, verschijnt er een felgekleurd, angstaanjagend scherm. Een klok tikt onbarmhartig af. Al je bestanden hebben plotseling een vreemde extensie gekregen en zijn onleesbaar. De boodschap is glashelder: “Al uw bestanden zijn versleuteld. Betaal 5.000 euro in Bitcoin, of u bent alles voorgoed kwijt.”

Je bent slachtoffer geworden van ransomware (gijzelsoftware).

Hoewel we de term bijna dagelijks in het nieuws horen, blijft het voor velen een abstract begrip. Wat gebeurt er nu écht diep binnen de aderen van je netwerk wanneer zo’n digitaal virus toeslaat? En hoe gaan de menselijke hackers achter de knoppen te werk? Dit is geen willekeurige computerfout; het is een strak geregisseerde, psychologische en technische aanval. In deze blog duiken we diep in de anatomie van een ransomware-aanval en kijken we mee over de schouder van de cybercrimineel.

Deel 1: De Reis van Ransomware – Wat Gebeurt er met Je Netwerk?

Ransomware is niet zomaar een bestandje dat per ongeluk opent en direct de computer blokkeert. Moderne gijzelsoftware gedraagt zich als een sluipmoordenaar. Het proces verloopt in verschillende, zorgvuldig geplande fasen binnen je netwerk.

Fase 1: De Infiltratie (De Voordeur Staat Open)

Voordat ransomware schade kan aanrichten, moet het binnenkomen. Hackers gebruiken hiervoor meestal drie populaire routes:

  • Phishingmails: Een medewerker klikt op een link of opent een bijlage (zoals een nep-factuur in PDF of Excel) die legitiem lijkt.
  • Openstaande RDP-poorten: Remote Desktop Protocol (RDP) wordt gebruikt om thuis te werken. Als deze poorten niet goed zijn beveiligd met sterke wachtwoorden of tweefactorauthenticatie (2FA), raden hackers het wachtwoord binnen enkele minuten.
  • Kwetsbaarheden in software: Beveiligingslekken in verouderde systemen, routers of VPN-software waarvoor nog geen updates zijn geïnstalleerd.

Fase 2: De Verkenning en ‘Lateral Movement’ (Rondkijken in de Schaduw)

Dit is de grootste misvatting: mensen denken dat ransomware direct toeslaat na het klikken op een link. In werkelijkheid blijft de malware vaak weken- of maandenlang onzichtbaar aanwezig. Dit noemen we de dwell time.

De malware (of de hacker zelf) gebruikt deze tijd om het netwerk in kaart te brengen. Ze zoeken naar:

  • Waar staan de belangrijkste servers en databases?
  • Wie zijn de netwerkbeheerders (en hoe kunnen we hun inloggegevens stelen)?
  • Cruciaal: Waar worden de back-ups bewaard?

Zodra de hackers beheerdersrechten (admin-rechten) hebben bemachtigd, verplaatsen ze zich zijdelings door het netwerk (lateral movement). Ze nestelen zich in zoveel mogelijk computers en servers tegelijk.

Fase 3: De Exfiltratie (De Stille Diefstal)

Moderne ransomware-benden doen tegenwoordig aan double extortion (dubbele afpersing). Voordat ze ook maar één bestand versleutelen, kopiëren en stelen ze al je gevoelige data. Denk aan klantgegevens, personeelsdossiers, intellectueel eigendom en financiële cijfers. Dit gebeurt op de achtergrond, vaak via versleutelde kanalen zodat de firewall het niet opmerkt als verdacht dataverkeer.

Fase 4: De Vernietiging van de Reddingslijnen

Voordat de aanval zichtbaar wordt, snijdt de ransomware je ontsnappingsroutes af. De malware zoekt doelbewust naar online back-ups, schaduwkopieën van Windows (Shadow Copies) en back-upservers in het netwerk. Deze worden gewist of eveneens versleuteld. Als je back-up live aan het netwerk gekoppeld staat, is de kans groot dat deze als eerste sneuvelt.

Fase 5: De Grote Gijzeling (De Versleuteling)

Pas wanneer de hacker de back-ups heeft vernietigd, de data heeft gestolen en controle heeft over nagenoeg elke server, activeert hij de ransomware. Dit gebeurt vaak in het weekend, tijdens feestdagen of diep in de nacht, wanneer er geen IT-beheerders aanwezig zijn om direct in te grijpen.

De ransomware gebruikt ijzersterke cryptografische algoritmen (zoals AES-256 en RSA-4096). Bestanden worden in een razend tempo omgezet in onleesbare computercode. Het netwerk raakt verlamd: databases stoppen met werken, software start niet meer op en printers spugen soms automatisch de losgeldbrief uit. Het netwerk is effectief veranderd in een digitale woestijn.

Deel 2: De Psychologie en Werkwijze van de Hacker

Wie zijn de mensen achter deze aanvallen? De tijd van de eenzame zolderkamerhacker in een zwarte hoodie is allang voorbij. Cybercriminaliteit is uitgegroeid tot een miljardenindustrie met professionele structuren die groter zijn dan menig legitiem softwarebedrijf.

Ransomware-as-a-Service (RaaS): De Criminele Franchise

Grote ransomware-benden (zoals LockBit, BlackCat of ALPHV) werken via een franchise-model genaamd Ransomware-as-a-Service (RaaS).

  1. De Ontwikkelaars: Dit zijn de top-programmeurs. Zij schrijven de complexe gijzelsoftware en onderhouden de servers waar het losgeld op binnenkomt. Zij houden zich breakdown-technisch buiten de daadwerkelijke hacks.
  2. De Affiliates (Wederverkopers): Dit zijn de ‘voetsoldaten’. Zij kopen of huren de ransomware van de ontwikkelaars. De affiliates doen het vuile werk: ze breken in bij jouw netwerker en rollen de software uit.
  3. De Winstverdeling: Wordt er losgeld betaald? Dan krijgt de affiliate meestal 70% tot 80% van de opbrengst, en gaat de resterende 20% naar de ontwikkelaars.

De Professionele Helpdesk van de Onderwereld

Wanneer je de losgeldbrief opent, word je via een speciale, anonieme browser (de Tor-browser / het Dark Web) naar een unieke chatpagina geleid. Wat je daar aantreft, is bizar professioneel. Je praat niet met een agressieve crimineel, maar met een beleefde ‘klantenservicemedewerker’.

Deel deze helpdeskmedewerkers van de hackersbende zijn getraind om rustig te blijven. Ze helpen je stap voor stap:

  • Ze leggen uit hoe je Bitcoin moet kopen.
  • Ze bieden aan om één of twee bestanden gratis te herstellen als ‘bewijs van goede wil’ (proof of decryption).
  • Ze geven ‘korting’ als je snel reageert of als je kunt aantonen dat je een non-profit organisatie bent.

Voor hen is het simpelweg een zakelijke transactie. Ze weten dat als ze de bestanden na betaling niet netjes teruggeven, toekomstige slachtoffers nooit meer zullen betalen. Hun ‘reputatie’ is hun verdienmodel.

De Tactiek van de Dubbele en Driedubbele Afpersing

Hackers weten dat bedrijven steeds betere back-ups maken. Daarom hebben ze hun chantage-tactieken geraffineerd:

  • Afpersing 1 (De Sleutel): Betaal om je netwerk te ontsleutelen.
  • Afpersing 2 (Het Datalek): Betaal extra, anders publiceren we alle gestolen klantgegevens en bedrijfsgeheimen op onze publieke ‘lek-website’. Dit leidt tot enorme AVG-boetes en imagoschade.
  • Afpersing 3 (De Klanten): Als het bedrijf nog steeds weigert te betalen, mailen of bellen de hackers rechtstreeks naar de klanten of leveranciers van het slachtoffer: “Wij hebben uw gegevens gestolen via bedrijf X. Zorg dat zij betalen, anders liggen uw privégegevens op straat.”

Deel 3: Waarom Gewone Antivirus Niet Meer Genoeg Is

Veel mensen wanen zich veilig omdat ze een antivirusprogramma hebben draaien. Hoewel dat een goede basis is, is traditionele antivirus hopeloos verouderd tegen moderne ransomware.

Traditionele antivirus werkt op basis van handtekeningen (signatures). Het herkent een virus pas als het virus al bekend is en op een zwarte lijst staat. Hackers veranderen de code van hun ransomware echter continu (polymorfe malware). Hierdoor herkent de traditionele scanner het bestand niet als schadelijk wanneer het binnenkomt.

Daarnaast maken hackers steeds vaker gebruik van Living off the Land (LotL) technieken. Hierbij gebruiken ze geen kwaadaardige software, maar misbruiken ze de legitieme beheertools die al standaard in Windows zitten (zoals PowerShell). Voor een antivirusscanner lijkt het alsof de eigen IT-beheerder een taak uitvoert, terwijl het in werkelijkheid een hacker is die het netwerk saboteert.

Deel 4: Hoe Bescherm Je Je Netwerk Tegen Dit Geweld?

Nu je weet hoe de vijand te werk gaat, kun je gerichte defensieve maatregelen nemen. Het doel is niet om 100% onfeilbaar te zijn (dat bestaat helaas niet), maar om het de hacker zo moeilijk en onantrekkelijk mogelijk te maken.

1. De 3-2-1-1-0 Back-up Regel

Een gewone back-up is niet meer voldoende. Hanteer de gouden standaard voor dataopslag:

  • Houd ten minste 3 kopieën van je data bij.
  • Bewaar deze op 2 verschillende soorten media (bijv. lokale server en cloud).
  • Sla 1 kopie op een externe, fysieke locatie op.
  • Zorg dat 1 kopie offline (immutable / air-gapped) is. Dit betekent dat de back-up onaanpasbaar is en fysiek losgekoppeld van het netwerk, zodat ransomware er nooit bij kan.
  • Zorg voor 0 fouten door je back-ups regelmatig te testen op herstelbaarheid.

2. Implementeer ‘Zero Trust’ en Netwerksegmentatie

Deel je netwerk op in compartimenten (segmentatie). Als een hacker binnenkomt op de computer van de receptioniste, mag die computer nooit rechtstreeks toegang hebben tot de hoofddatabase van de boekhouding. Bij Zero Trust wordt er intern binnen het netwerk standaard niemand vertrouwd; elke computer en gebruiker moet zich continu verifiëren.

3. Schakel Overal MFA In

Multi-Factor Authenticatie (MFA) of tweefactorauthenticatie is de krachtigste drempel tegen hackers. Zelfs als een hacker via een phishingmail je wachtwoord steelt, kan hij zonder de unieke code op je telefoon of authenticatie-app nog steeds niet inloggen op het netwerk.

4. Stap Over op EDR (Endpoint Detection & Response)

Vervang traditionele antivirus door EDR-software. EDR kijkt niet naar wat een bestand is, maar naar wat het doet (gedragsanalyse). Begint een computer plotseling duizenden bestanden per seconde in een vreemd formaat te herschrijven? Dan grijpt de EDR direct in, isoleert de computer van het netwerk en stopt het proces, nog voordat de ransomware de rest van de servers kan besmetten.

Conclusie: Kennis is de Beste Beveiliging

Ransomware is een destructief wapen, en de cybercriminelen die erachter zitten opereren als sluwe, winstgedreven ondernemers. Ze gijzelen niet alleen computers, maar leggen complete bedrijfsvoeringen, ziekenhuizen en infrastructuren plat door misbruik te maken van menselijke fouten en achterstallig IT-onderhoud.

Het goede nieuws? Hackers zoeken bijna altijd naar de weg van de minste weerstand. Door te begrijpen hoe ze infiltreren en hoe ze zich door je netwerk bewegen, kun je de digitale deuren stevig op slot draaien. Up-to-date systemen, een waterdichte offline back-up en een alert team dat phishingmails herkent, zijn je beste schild tegen deze onzichtbare dreiging.

Wees geen makkelijk doelwit; zorg dat jouw netwerk een onneembare vesting wordt.

Vond je deze informatie waardevol? Deel deze blog binnen je netwerk of organisatie om het cyberbewustzijn van je collega’s en relaties te vergroten!

← Phishing Herkennen: De Ultieme Gids om Niet in de Val te Lokken E-mailbeveiliging voor Bedrijven: Microsoft Spamfilter vs. SpamExperts →