In 90% van de ransomware-incidenten in 2025 werd misbruik gemaakt van firewalls. Dat blijkt uit het nieuwste Managed XDR Global Threat Report van Barracuda. Aanvallers benutten vooral niet-gepatchte software en kwetsbare accounts. In het snelste waargenomen incident zat slechts drie uur tussen inbraak en versleuteling.
Uit het rapport van Barracuda Networks komt naar voren dat firewalls een centrale rol spelen in recente ransomware-aanvallen. In negen van de tien onderzochte incidenten maakten aanvallers misbruik van een kwetsbaarheid of een zwak account op de firewall. Daarmee kregen zij toegang tot het netwerk en wisten zij beveiligingsmaatregelen te omzeilen, waarna schadelijk verkeer buiten beeld bleef.
De kortste aanvalstijd werd gemeten bij een incident met Akira-ransomware. Tussen de initiële inbraak en de versleuteling van data zat drie uur. Zulke korte doorlooptijden verkleinen de reactietijd aanzienlijk en passen binnen een bredere ontwikkeling waarin ransomwaregroepen hun processen verregaand automatiseren.
Ook laterale bewegingen blijken een sterke indicator. In 96% van de incidenten waarbij aanvallers zich binnen het netwerk verplaatsten, volgde uiteindelijk een ransomware-aanval. Zodra een aanvaller toegang heeft tot een onbeschermd endpoint, wordt actief gezocht naar andere systemen om de impact te vergroten. Het moment van laterale beweging markeert daarmee vaak de overgang van verkenning naar uitvoering.
Supply chain-aanvallen en derde partijen spelen eveneens een grotere rol. 66% van de incidenten had betrekking op third party software of een externe ketenpartner, tegenover 45% in 2024. Aanvallers benutten kwetsbaarheden in externe componenten om beveiligingslagen te omzeilen en hun bereik te vergroten. Die verschuiving sluit aan bij een bredere trend waarin indirecte toegangsroutes aantrekkelijker worden dan frontale aanvallen.
Opvallend is dat een op de tien gedetecteerde kwetsbaarheden een bekende exploit betrof. De meest aangetroffen kwetsbaarheid dateert uit 2013, CVE-2013-2566. Deze fout zit in een verouderd versleutelingsalgoritme dat nog voorkomt in legacy servers, embedded devices en applicaties. Dat juist oudere kwetsbaarheden blijven opduiken, laat zien dat patchmanagement en uitfasering van legacy-systemen nog altijd aandacht vragen.
Daarnaast signaleren de onderzoekers misbruik van legitieme IT-tools, waaronder remote access software, en het gebruik van onbeveiligde devices. Verouderde versleuteling en uitgeschakelde endpoint security vergroten het risico verder. Afwijkend inloggedrag en misbruik van privileged accounts gelden volgens het rapport als terugkerende waarschuwingssignalen.
De bevindingen zijn gebaseerd op de Managed XDR-dataset van Barracuda, met meer dan twee biljoen IT-events uit 2025, bijna 600.000 security alerts en meer dan 300.000 beveiligde endpoints, firewalls, servers en cloudassets. Het rapport schetst daarmee een beeld van een dreigingslandschap waarin bestaande kwetsbaarheden, ketenafhankelijkheid en snelheid van uitvoering samenkomen.
