® 
Ransomware-as-a-Service (RaaS)
Definitie
Ransomware-as-a-Service is een crimineel bedrijfsmodel waarbij ransomware-ontwikkelaars hun malware verhuren aan andere cybercriminelen (affiliates). Het heeft geleid tot een explosieve groei van ransomware-aanvallen.
Ransomware-as-a-Service (RaaS) is een crimineel bedrijfsmodel waarbij ransomware-ontwikkelaars hun malware, infrastructuur en ondersteunende diensten verhuren aan andere cybercriminelen (affiliates) die de daadwerkelijke aanvallen uitvoeren. RaaS heeft ransomware gedemocratiseerd: ook aanvallers zonder technische kennis kunnen nu verwoestende aanvallen uitvoeren.
Hoe werkt RaaS?
Het RaaS-model werkt als een criminele franchise. De ontwikkelaar (operator) levert de ransomware-software, het encryptie/decryptie-platform, de C2-infrastructuur, onderhandelingsportalen voor slachtoffers en soms zelfs een helpdesk. De affiliate voert de aanval uit: het binnendringen van het netwerk, laterale beweging, data-exfiltratie en het deployen van de ransomware. De opbrengst wordt verdeeld: typisch 70-80% voor de affiliate en 20-30% voor de operator. Sommige RaaS-platforms bieden een vast abonnement, andere werken op commissiebasis.
Bekende RaaS-groepen
LockBit was tot de takedown in 2024 de meest actieve RaaS-operatie, verantwoordelijk voor duizenden aanvallen wereldwijd. BlackCat (ALPHV) introduceerde innovaties zoals cross-platform ransomware en een doorzoekbare leak site. Cl0p specialiseerde zich in het exploiteren van zero-day-kwetsbaarheden in file transfer-software. Royal en Akira richten zich op middelgrote organisaties.
Double en triple extortion
Moderne RaaS-operaties gebruiken meervoudige afpersing. Double extortion combineert versleuteling met datadiefstal en publicatiedreiging. Triple extortion voegt DDoS-aanvallen of het benaderen van klanten/partners van het slachtoffer toe als extra drukmiddel.
Impact voor organisaties
RaaS heeft de drempel voor ransomware-aanvallen drastisch verlaagd. Het totale aantal ransomware-aanvallen groeit jaarlijks. De gemiddelde losgeldeis bedraagt honderdduizenden tot miljoenen euros. NIS2 verplicht organisaties tot adequate bescherming en meldplicht bij ransomware-incidenten.
Bescherming
Implementeer gelaagde bescherming: EDR/XDR, netwerksegmentatie, offline back-ups, MFA en patchbeheer. Bereid een incident response-plan voor met specifieke ransomware-procedures. Overweeg een incident response retainer.
Hoe DEFION helpt
DEFION biedt 24/7 incident response voor ransomware-aanvallen via een DFIR-retainer. MDR detecteert ransomware-activiteit voordat versleuteling plaatsvindt. Tabletop exercises bereiden teams voor op ransomware-scenarios.