Conti ransomware: opkomst, val en wat het ons leert
Conti was tussen 2020 en 2022 een van de meest actieve en gevreesde ransomware-groepen ter wereld. Met honderden slachtoffers — van Amerikaanse ziekenhuizen tot Costa Rica's overheid — heeft de groep miljarden afgeperst. Hoewel Conti zelf in 2022 uit elkaar viel, gebruiken vrijwel alle huidige grote bendes nog steeds Conti's tactieken en code.
Hoe Conti werkte
Conti was een vroeg voorbeeld van georganiseerde ransomware-as-a-service: een centrale 'core' ontwikkelde de malware en infrastructuur, terwijl 'affiliates' (in feite freelance-criminelen) de daadwerkelijke aanvallen uitvoerden tegen een percentage van het losgeld. De groep was strak gestructureerd, betaalde salarissen en had zelfs een HR-afdeling.
Hun val: de Conti Leaks
Toen Conti zich publiekelijk schaarde achter de Russische invasie van Oekraïne in 2022, lekte een ontevreden Oekraïens lid de complete interne chats én broncode online. Die 'Conti Leaks' lieten zien hoe een moderne ransomware-organisatie van binnen werkt — en gaven de wereld een ongekend inkijkje in hun methodes.
De erfenis in 2026
De Conti-leden zijn niet verdwenen; ze verdeelden zich over nieuwe groepen zoals Black Basta, BlackCat, Akira en Royal. Hun tactieken zijn nog steeds dezelfde:
- Initiële toegang via phishing of gekochte credentials
- Cobalt Strike en Mimikatz voor laterale beweging
- Domeincontroller compromitteren binnen 24-48 uur
- Data exfiltreren naar Mega.nz of vergelijkbare diensten
- Backups vernietigen voor versleuteling start
De aanvalsmethodes van Conti zijn anno 2026 nog steeds de norm — alleen onder andere namen. De verdedigingsmaatregelen die toen werkten, werken nog steeds. Wij implementeren ze voor het Nederlandse MKB. Meer op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Ransomware-as-a-Service (RaaS): hoe criminelen 'software bedrijfjes' runnen
Ransomware is een industrie geworden. RaaS-groepen werken als startups, met affiliates, klantenservice en zelfs reviews. Hoe werkt dit en waarom maakt het de dreiging zo groot?
Lees meerLockBit: de beruchtste ransomware-groep ter wereld uitgelegd
LockBit was jarenlang de meest actieve ransomware-groep ter wereld. Hoe werkt deze groep, welke schade richten ze aan en wat betekent dit voor het Nederlandse MKB?
Lees meerIncident response plan: wat erin moet (sjabloon voor MKB)
Bij een aanval zoekt niemand naar een PDF met procedures. Een goed incident response plan bestaat uit korte, glasheldere stappen — en is van tevoren geoefend.
Lees meer