In 90 procent van de ransomware-incidenten in 2025 maakten aanvallers misbruik van firewalls via niet-gepatchte kwetsbaarheden of gecompromitteerde accounts, blijkt uit onderzoek van Barracuda.
In 90 procent van de ransomware-incidenten in 2025 maakten aanvallers misbruik van firewalls, via een niet-gepatchte kwetsbaarheid of een kwetsbaar account, dat blijkt uit het Barracuda Managed XDR Global Threat Report. Bovendien tonen de cijfers aan dat er bij de snelst waargenomen aanval slechts drie uur zat tussen de initiële inbreuk en de versleuteling van gegevens. Bovendien duidt Barracuda op het blijvende risico van niet-gepatchte software: de meest voorkomende kwetsbaarheid dateert namelijk uit 2013.
Drie uur
Volgens het onderzoek verkrijgen aanvallers via kwetsbare firewalls toegang tot het netwerk. Ze gebruiken bestaande CVE’s of maken misbruik van accounts met verhoogde rechten. Eenmaal binnen proberen ze detectie te omzeilen en schadelijk verkeer te verbergen.
De snelste aanval die Barracuda registreerde, betrof Akira-ransomware. Tussen de eerste inbreuk en de effectieve versleuteling van data verstreken slechts drie uur. Bij dergelijke korte tijdsperiodes hebben verdedigers weinig tijd om aanvallen te detecteren en erop te reageren.
lees ook
De ware stand van ransomware in 2025: minder losgeld, maar blijvende impact
In 96 procent van de incidenten waarbij laterale beweging werd vastgesteld, volgde uiteindelijk een ransomware-aanval. Laterale beweging duidt op het moment waarop een aanvaller zich, na initiële toegang tot een endpoint, verder door het netwerk verspreidt. Volgens het rapport is dit een belangrijke indicator voor een nakende aanval.
Oude kwetsbaarheden
Een op de tien gedetecteerde kwetsbaarheden betrof een bekende exploit. De meest voorkomende kwetsbaarheid dateert uit 2013: CVE-2013-2566, een fout in een verouderd versleutelingsalgoritme dat nog aanwezig is in legacy-systemen en embedded toepassingen. Dat wijst volgens de onderzoekers op het blijvende risico van niet-gepatchte software.
lees ook
Firewalls in 90 procent van ransomware-incidenten misbruikt
Daarnaast hield 66 procent van de incidenten verband met de supply chain of een derde partij. Dat aandeel steeg tegenover 45 procent in 2024. Aanvallers misbruiken zwakke plekken in externe software om toegang te krijgen tot doelwitten.
Het rapport analyseert meer dan twee biljoen IT-events die in 2025 werden verzameld via de Managed XDR-dienst van het bedrijf. De dataset omvat bijna 600.000 security alerts en meer dan 300.000 beveiligde endpoints, firewalls, servers en cloudomgevingen.