English version: scroll down

Ransomware is geen IT-probleem meer; het is een existentiële dreiging voor organisaties wereldwijd. Wat ooit incidentele aanvallen waren, zijn nu structurele, grootschalige risico’s die organisaties letterlijk kunnen verlammen. Terwijl de digitale wereld steeds complexer wordt, blijkt cybersecurity bij veel bedrijven en organisaties deels op een lemen vloer te staan – en het ergste moet nog komen.

Bedrijven die failliet gingen

Eigenlijk is 2017 het jaar dat Wannacry met een besmetting wereledwijd in 150 landen het digitale gijzelingstijdperk inluidde. Dat eiste sindsdien duizenden slachtoffers waarvan nog steeds velen het verlies van hun digitale data zelfs niet overleefden. Een greep uit de enkele recente voorbeelden:

• Einhaus Group (Duitsland, 2023), ondanks betaling van €200.000 losgeld leidde de aanval tot langdurige stilstand, verlies van klantgegevens en het einde van het bedrijf.
• Fasana (Duitsland, 2024), dagverlies aan bestellingen: €250.000. Het servettenbedrijf met 240 medewerkers ging insolvent.
• Petersen Health Care (VS, 2024), de aanval leidde tot dataverlies en betalingsproblemen, wat uiteindelijk een faillissement veroorzaakte.
• Stoli Group (VS, 2024), faillissement na ransomware-aanval en politieke complicaties.
• KNP Logistics (VK), het 158 jaar oude logistieke bedrijf ging failliet door één zwak wachtwoord, bijna 700 banen gingen verloren.

Deze gevallen laten zien dat ransomware geen “IT-probleem” is, maar een strategisch risico dat de levensvatbaarheid van een bedrijf kan bedreigen. Het is niet langer een kwestie van “als” je slachtoffer wordt, maar “wanneer” en vooral “in welke mate”. En heb je een tijdelijke fall-back georganiseerd?

Bekende ransomware en schadegevallen

Niet elk getroffen bedrijf gaat gelukkig failliet, maar de financiële impact en vooral de merkschade kan enorm zijn:

• Merck (2017, NotPetya) – >$1 miljard directe schade, interessante verzekeringszaak. 
• Maersk (2017, NotPetya) – directe kosten $250–300 miljoen, vooral opstartkosten.
• Kaseya (2021) – aanvankelijke losgeldvraag $70 miljoen; honderden bedrijven getroffen.
• Colonial Pipeline (2021) – losgeld $4,4 miljoen; bredere impact en merkschade veel groter.
• CNA Financial (2021) – losgeld ~$40 miljoen; bijkomende herstelkosten groot.
• JBS Foods (2021) – losgeld ~$11 miljoen; productie-onderbrekingen en marktimpact.
• Change Healthcare (2023/2024) – losgeld ~$22 miljoen; operationele en reputatieschade.
• The City of Baltimore (2019) – directe kosten >$19 miljoen, mooi verslag is hier.
• Jaguar Land Rover (2025) – productie-uitval in fabrieken, miljoenen aan potentiële inkomsten verloren, einde nog niet in zicht.

Deze gevallen maken duidelijk dat ransomware enorme schade kan veroorzaken, zelfs bij grote, gezonde bedrijven van wie je mag verwachten dat ze hun IT-omgeving professioneel hebben beveiligd.

Het onzichtbare gat: weinig inzicht in de aanval

Wat vaak onderschat wordt, is dat organisaties achteraf vaak niet precies weten hoe een aanval exact is verlopen omdat logging- en monitor-data ook (vaak als eerste) is encrypt of vernietigd. Herstelmaatregelen kunnen daardoor vaak niet gericht worden uitgevoerd: het onbekende “gat” of de verborgen zwakte wordt niet definitief verholpen. De zwarte doos ontbreekt. 

Bovendien helpt het anderen in de markt niet als deze potentiële zwakheden daardoor niet kunnen worden gedeeld. Terwijl de luchtvaartindustrie van de vele ongelukken systematisch leert – zwarte dozen in elk vliegtuig zijn verplicht om luchtwaardigheid te verkrijgen – blijft cybersecurity een soort prijsjacht voor aanvallers, waarbij kennisoverdracht achterwege blijft.

Elke succesvolle aanval laat daarnaast een omgeving achter die kwetsbaar blijft, niet alleen voor het getroffen bedrijf, maar ook voor alle ketenpartners en leveranciers.

Digitale defensie op een lemen vloer

In de plotseling woelige tijden van oorlog blijkt onze digitale defensie op een lemen vloer te zijn gebouwd. Cloud-diensten hebben dit risico versterkt: door de vele ketens van uitbestede digitale dienstverlening wordt de zwakste schakel aangevallen en ligt al snel de hele keten stil.

Het recente voorbeeld bij Heathrow en andere luchthavens toont dit: het gaat niet om grote Amerikaanse cloudproviders, maar om talloze andere Europese spelers in lange ketens van digitale diensten. Bij Collins Aerospace, een Engels bedrijf, werden de check-in- en bagagesystemen verstoord, waardoor duizenden reizigers direct werden geraakt.

Zelfs simpele offline fallback-mogelijkheden worden vaak vergeten, terwijl die soms eenvoudig en ook nog eens handmatig zouden kunnen zijn.

Simpele fallback als cruciale buffer

Tijdens één van mijn reizen in het midden van de VS maakte ik mee dat een retailer – die de kwetsbaarheid van de bovengrondse stroomkabels kende – tijdens zo’n elektriciteitsstoring simpelweg een ouderwetse mechanisch kasregister en rollers voor creditcard salesslips op tafel zetten. En de handmatige deuren naast de automatische deuren openden. Stroomuitval leidt daar niet tot serieuze omzetdaling, omdat er een offline fallback is.

Bij ons is die fysieke offline fallback vrijwel verdwenen. Met een bankkaart of creditcard op je telefoon kun je echt geen salesslip meer ondertekenen. Zodra systemen uitvallen, ligt de keten volledig stil. De kwetsbaarheid wordt groter, terwijl de fallback-mogelijkheden steeds kleiner worden.

De digitale oorlog is nog maar net begonnen

De cijfers liegen er niet om: in het eerste halfjaar van 2025 steeg het aantal ransomware-aanvallen met 124% ten opzichte van dezelfde periode in 2024. Wat vroeger een incidenteel probleem leek, ontwikkelt zich tot een structurele bedreigingvoor bedrijven wereldwijd.

Tegelijkertijd zien we de opkomst van Ransomware-as-a-Service (RaaS). Met dit model kunnen zelfs technisch minder ervaren criminelen ransomware “huren” en aanvallen uitvoeren, terwijl de originele ontwikkelaars een deel van het losgeld innen. Dit maakt de dreiging groter, sneller en moeilijker te bestrijden.

De digitale oorlog is dus nog maar net begonnen. Terwijl traditionele defensiesystemen vaak op een lemen vloer staan, ketens van cloud- en outsourcingdiensten groeien en fallback-mogelijkheden afnemen, wordt elk incident steeds destructiever. Voor bedrijven geldt: stilstand door een aanval is niet langer een tijdelijk ongemak, maar een existentiële dreiging.

Photo by Michael Geiger on Unsplash

—————————   Translated by ChatGPT  ——————————

Ransomware: From Incident to Bankruptcy

Ransomware is no longer just an IT problem; it has become an existential threat to businesses worldwide. What used to be isolated incidents are now structural, large-scale risks that can literally paralyze organizations. As the digital world grows more complex, it turns out that cybersecurity in many companies and organizations is built on a clay floor – and the worst is yet to come.

Companies that went bankrupt

2017 is really the year when WannaCry signaled the start of the digital hostage era, spreading to 150 countries and leaving thousands of victims behind – many of whom never recovered their data. Since then, the number of casualties has only grown.

• Einhaus Group (Germany, 2023) – Despite paying €200,000 in ransom, the attack caused prolonged downtime, loss of customer data, and ultimately the company’s demise.
• Fasana (Germany, 2024) – A one-day order loss of €250,000 proved fatal; the 240-employee napkin manufacturer went insolvent.
• Petersen Health Care (US, 2024) – Data loss and payment disruptions pushed one of the largest nursing home operators into bankruptcy.
• Stoli Group (US, 2024) – Filed for bankruptcy after a ransomware attack combined with political complications.
• KNP Logistics (UK) – The 158-year-old logistics firm collapsed after one weak password opened the door to ransomware, costing nearly 700 jobs.

These cases show that ransomware is not just an “IT problem” but a strategic risk that can threaten a company’s very survival. It’s no longer a question of if you will be hit, but when – and most importantly, how severely.

Notorious ransomware and damage cases

Not every victim goes bankrupt, but the financial and reputational damage can still be devastating:

• NotPetya (2017) – ~US$10 billion in global damages. Companies like Maersk, Merck, and FedEx reported hundreds of millions each, totaling billions worldwide.
• WannaCry (2017) – >300,000 computers across ~150 countries infected; damages estimated in the hundreds of millions up to ~$4 billion.
• Merck (2017, NotPetya) – >$1 billion in direct losses, leading to a landmark insurance case.
• Maersk (2017, NotPetya) – $250–300 million in direct costs, mainly restart efforts.
• Kaseya (2021) – Initial ransom demand of $70 million; hundreds of downstream businesses affected.
• Colonial Pipeline (2021) – Paid $4.4 million in ransom; broader economic and reputational impact was far greater.
• CNA Financial (2021) – ~$40 million ransom paid; recovery costs added substantially.
• JBS Foods (2021) – ~$11 million ransom; significant production and supply chain disruption.
• Change Healthcare (2023/2024) – ~$22 million ransom paid; operational and reputational fallout was severe.
• City of Baltimore (2019) – >$19 million in recovery costs after refusing to pay ransom.
• Jaguar Land Rover (2025) – Ongoing factory shutdowns with millions in lost potential revenue.

These cases illustrate how ransomware can cause crippling losses, even at large, healthy companies you would expect to have strong IT defenses.

The invisible gap: little insight into the attack

One often-overlooked fact is that organizations frequently do not know exactly how the attack unfolded. Critical monitoring and logging data is often encrypted or destroyed early on. As a result, recovery measures are rarely targeted – the hidden “gap” or weakness is never fully closed.

And it doesn’t help the wider market either: without insight, companies cannot share lessons learned. Contrast this with the aviation industry, which systematically learns from every accident – black boxes are mandatory to obtain airworthiness. Cybersecurity, by comparison, remains a shooting gallery for attackers, with little collective knowledge transfer.

Every successful attack leaves behind an environment that remains vulnerable – not only for the company itself but also for its partners and suppliers.

Digital defense on a clay floor

In today’s turbulent times of war, our digital defense turns out to be built on clay. Cloud services have amplified the risks: chains of outsourced digital services mean that if the weakest link is attacked, the entire chain collapses.

The recent disruptions at Heathrow and other airports make this painfully clear. It wasn’t the big American hyperscalers that failed, but an English supplier – Collins Aerospace – whose systems outage disrupted check-in and baggage systems, directly impacting thousands of passengers.

Even simple offline fallback options are often overlooked, even when they could be both easy and manual.

Simple fallback as a crucial buffer

During one of my trips in the Midwest US, I witnessed a retailer – well aware of the vulnerability of above-ground power lines – respond to a blackout by putting old-fashioned mechanical cash registers and credit card rollers on the counter. Manual doors were opened next to the automatic ones. The outage did not lead to significant sales loss, because fallback procedures were in place.

In our digital economy, that fallback has all but disappeared. With a bank card or credit card stored on your phone, you can’t exactly sign a paper sales slip anymore. When systems fail, the entire chain grinds to a halt. Vulnerability rises, while fallback options shrink.

The digital war has only just begun

The numbers don’t lie: in the first half of 2025, ransomware attacks surged 124% compared to the same period in 2024. What once seemed like isolated incidents has evolved into a structural threat to companies worldwide.

At the same time, we see the rise of Ransomware-as-a-Service (RaaS). This model enables even low-skilled criminals to “rent” ransomware tools and launch attacks, while the developers take a cut of the ransom. The result: more attacks, faster, and harder to defend against.

The digital war has only just begun. With defenses built on clay, fragile service chains, and vanishing fallback mechanisms, each incident becomes more destructive. For companies, downtime caused by ransomware is no longer a temporary inconvenience, but an existential threat.