Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Insomnia Data Theft-bende luidt een nieuw tijdperk van cyberdreigingen in de zorg in: waarom perimeterbeveiliging niet langer voldoende is
Insomnia Data Theft-bende luidt een nieuw tijdperk van cyberdreigingen in de zorg in: waarom perimeterbeveiliging niet langer voldoende is

Insomnia Data Theft-bende luidt een nieuw tijdperk van cyberdreigingen in de zorg in: waarom perimeterbeveiliging niet langer voldoende is

by Patrick Spencer updated februari 25, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Uw firewall beschermt uw patiëntgegevens niet. Uw endpointdetectie vangt de indringer niet. Uw perimeterbeveiligingsstrategie is ontworpen voor een dreiging die niet meer bestaat.

Dat is de ongemakkelijke realiteit die wordt blootgelegd door Insomnia, een nieuwe cybercriminele operatie gericht op de Amerikaanse zorgsector. Sinds de eerste verschijning in oktober 2025 heeft de groep 18 vermeende slachtoffers op haar dataleksite geplaatst. Meer dan de helft is gelinkt aan de zorg — ziekenhuizen, klinieken, advocatenkantoren voor medische fouten en producenten van chirurgische apparatuur.

Insomnia versleutelt geen systemen en eist geen decryptiesleutel. Ze stelen gegevens — patiëntendossiers, rijbewijzen, belastingformulieren, gevoelige correspondentie — en bieden deze gratis aan voor download. Dit is grootschalige data-exfiltratie en het betekent een fundamentele verschuiving in hoe cybercriminelen de zorgsector aanvallen.

Vijf Belangrijke Inzichten

  1. Een Nieuwe Cybercriminele Bende Jaagt op Zorggegevens. Een datadiefstaloperatie genaamd Insomnia is opgedoken op het dark web met 18 opgeëiste slachtoffers. Meer dan de helft heeft directe banden met de zorg — zorgverleners, advocatenkantoren voor medische fouten en producenten van chirurgische apparatuur. Beveiligingsbedrijf Kela bevestigt dat geen van deze slachtoffers eerder op ransomware-leksites verscheen, wat suggereert dat Insomnia daadwerkelijk een nieuwe operatie is en geen rebranding.
  2. Aanvallers Stelen Gegevens, Ze Versleutelen Niet. Insomnia zet geen ransomware in. Ze stelen gevoelige gegevens — patiëntendossiers, belastingdocumenten, rijbewijzen — en dreigen met publieke openbaarmaking. Rapid7 beschrijft de groep als “geoptimaliseerd voor heimelijke datadiefstal in plaats van luide, verstorende ransomware-aanvallen.” Back-ups en disaster recovery-plannen zijn nutteloos tegen deze aanpak. Zodra de data uw netwerk verlaat, is de schade aangericht.
  3. Gestolen Inloggegevens Zijn de Voordeur. Insomnia krijgt toegang via gestolen inloggegevens die zijn verzameld door infostealer-malware en kwetsbaarheden in authenticatieomzeiling. De groep beweegt zich vervolgens lateraal met legitieme tools zoals Windows Server-updates. Endpointbescherming en firewalls zijn niet ontworpen om een aanvaller te stoppen die binnenkomt met een geldige gebruikersnaam en wachtwoord.
  4. Kleine en Middelgrote Zorgorganisaties Zijn de Primaire Doelen. De meeste zorgslachtoffers van Insomnia hebben een jaaromzet tussen de $5 miljoen en $57 miljoen en hebben tussen de 11 en 200 medewerkers. Dit zijn organisaties zonder een eigen beveiligingscentrum, enterprise threat detection of fulltime compliance-medewerkers. Beperkte beveiligingsvolwassenheid is de gemene deler.
  5. Ransomwarebetalingen Dalen — Dus Aanvallers Zetten In op Nieuwe Methoden. Uit een Sophos-enquête blijkt dat slechts 36% van de zorgslachtoffers in 2025 losgeld betaalde, tegenover 61% in 2022. De gemiddelde betalingen daalden van $1,47 miljoen naar $150.000. Aanvallers reageren door zich te richten op pure data-exfiltratie. Als organisaties niet betalen voor decryptie, is de volgende stap afpersing met de dreiging gestolen patiëntgegevens openbaar te maken.

Waarom de Zorg Steeds Weer in het Vizier Komt

De zorg is al lange tijd het favoriete doelwit van cybercriminelen. De sector beheert enorme hoeveelheden beschermde gezondheidsinformatie met hoge waarde op de zwarte markt, en historisch gezien waren zorgorganisaties bereid losgeld te betalen om de veiligheid van patiënten niet in gevaar te brengen.

Maar die rekensom verandert. Uit een Sophos-enquête blijkt dat slechts 36% van de zorgslachtoffers in 2025 betaalde — tegenover 61% in 2022. De gemiddelde uitbetalingen daalden van $1,47 miljoen naar $150.000. De zorg wordt een moeilijker doelwit voor cybercriminelen.

Aanvallers passen zich aan. Het model van Insomnia weerspiegelt deze verschuiving — in plaats van processen te verstoren met ransomware, steelt de groep gevoelige data en dreigt met publieke openbaarmaking. U kunt patiëntprivacy niet herstellen vanuit een back-up. Zodra PHI op een leksite staat, zijn de gevolgen onomkeerbaar.

U Vertrouwt erop dat Uw Organisatie Veilig is. Maar Kunt U het Bewijzen?

Lees nu

Hoe Insomnia Binnenkomt — en Waarom Traditionele Beveiliging Het Mist

Wat Insomnia onderscheidt van conventionele ransomwaregroepen is de operationele aanpak. Volgens Christiaan Beek, senior director threat intel en analytics bij Rapid7, is Insomnia gebouwd voor snelheid en onzichtbaarheid.

De groep krijgt toegang via gestolen inloggegevens, verzameld door infostealer-malware van ondergrondse marktplaatsen. Ze maken gebruik van kwetsbaarheden in authenticatieomzeiling om inlogbeveiliging te omzeilen. Eenmaal binnen beweegt Insomnia zich lateraal met geautoriseerde tools zoals Windows Server-updates, waardoor ze opgaan in normale beheerdersactiviteiten. Rapid7 omschrijft het model als gericht op “snelheid, lage zichtbaarheid en het maximaliseren van afpersingskracht via blootstelling van gevoelige data.”

Er zijn ook aanwijzingen dat Insomnia mogelijk functioneert als een broker of platform voor het gelde maken van gestolen data, mogelijk in samenwerking met andere criminele actoren die initiële netwerktoegang leveren.

Perimeterverdediging — firewalls, inbraakdetectiesystemen, endpointbeschermingsplatforms — zijn ontworpen om schadelijke software te stoppen en verdacht verkeer te signaleren. Insomnia levert geen malware. Ze loggen in met legitieme inloggegevens en gebruiken geautoriseerde tools. Er is geen schadelijke payload om te detecteren.

Kleine en Middelgrote Zorgverleners: Maximale Blootstelling, Minimale Verdediging

Het slachtofferschap van Insomnia laat een bewuste doelwitstrategie zien. De meeste zorgslachtoffers hebben een jaaromzet tussen $5 miljoen en $57 miljoen, met 11 tot 200 medewerkers. Dit zijn dermatologiepraktijken, regionale klinieken, gespecialiseerde chirurgische centra, facturatiebedrijven en de advocatenkantoren die hun medische fouten behandelen.

Deze organisaties kampen met een gevaarlijke kloof tussen dreigingsblootstelling en verdedigingsvermogen. Ze beheren dezelfde categorieën gevoelige patiëntgegevens als grote ziekenhuisnetwerken, maar missen de middelen om deze te beschermen. Een orthopedische praktijk met 50 medewerkers heeft geen beveiligingscentrum. Een advocatenkantoor voor medische fouten met $20 miljoen omzet draait geen enterprise-grade threat detection.

De tools waarop deze organisaties vertrouwen — basis endpointbescherming, standaard firewalls, consumentgerichte bestandsoverdracht en niet-versleutelde e-mail — zijn nooit ontworpen om datadiefstal op basis van inloggegevens te stoppen.

Beveiligingsbedrijf Kela heeft 68 zorgorganisaties gevolgd die in 2026 door cybercrimegroepen zijn aangevallen, waarvan 50 in de Verenigde Staten. Dit patroon weerspiegelt financieel gemotiveerde operaties die profiteren van beperkte beveiligingsvolwassenheid.

Waarom het Perimetermodel Dit Probleem Niet Kan Oplossen

Inloggegevens omzeilen de perimeter. Wanneer een aanvaller inlogt met geldige gestolen inloggegevens via een geautoriseerd toegangspunt, ziet de perimeter een legitieme verbinding. Er is niets te blokkeren.

Detectie vereist iets om te detecteren. Insomnia gebruikt Windows Server-updates en legitieme beheertools om zich door netwerken te bewegen. Deze handelingen weerspiegelen normale IT-operaties. Er is geen afwijkend signaal voor beveiligingstools om te signaleren.

Consumentgerichte bestandsoverdracht heeft geen governance. Zorgorganisaties die PHI verzenden via Dropbox, Google Drive of niet-versleutelde e-mail hebben geen zicht op wie die data benadert, wanneer of vanaf waar. Er zijn geen toegangscontroles buiten een gedeelde link en geen audittrail voor HIPAA-meldingen van datalekken.

Back-ups beschermen niet tegen datadiefstal. Robuuste back-ups en disaster recovery — de traditionele verdediging tegen ransomware — zijn niet relevant bij exfiltratie. U kunt versleutelde systemen herstellen. U kunt gestolen patiëntgegevens niet opnieuw afschermen.

Van Perimeterbeveiliging naar Data-Centrische Bescherming

Het stoppen van datadiefstal op basis van inloggegevens vereist een fundamenteel andere aanpak. In plaats van de netwerkgrens te verdedigen, moeten organisaties de toegang tot de data zelf beheersen — identiteit verifiëren, rechten beperken, inhoud versleutelen en elke interactie loggen.

Geauthenticeerde toegang tot elk bestand. Elke aanvraag om beschermde gezondheidsinformatie te bekijken, te downloaden of te delen moet vereiste identiteitsverificatie via multi-factor authentication bevatten. Alleen gestolen wachtwoorden geven geen toegang. Contextuele controles blokkeren toegang vanaf onverwachte locaties, onbekende apparaten of ongebruikelijke tijden.

Gecentraliseerd gegevensbeheer. Gevoelige data opgeslagen in een gehard, gemonitord archief — in plaats van verspreid over bestandsshares, e-mailinboxen en persoonlijke cloudaccounts — elimineert de wildgroei die aanvallers meerdere exfiltratiekanalen biedt.

Versleutelde communicatie. Beschermde gezondheidsinformatie die wordt verzonden via TLS 1.3 en FIPS 140-3 gevalideerde encryptie kan niet worden onderschept tijdens transport. Beveiligde kanalen voor e-mail, bestandsoverdracht en uitwisseling van data met derden elimineren de SMTP-kwetsbaarheid die PHI blootstelt aan onderschepping.

Uitgebreide audittrails. Elke toegang, download, deelactie en verzending wordt gelogd — wie, wat, wanneer, waar, hoe. Real-time waarschuwingen signaleren verdachte patronen zoals bulkdownloads. SIEM-integratie maakt correlatie met andere dreigingsindicatoren mogelijk. Forensisch onderzoek kan de aanvalstijdlijn reconstrueren en de exacte omvang van de inbreuk vaststellen.

Beveiligde uitwisseling met derden. Het uitgebreide ecosysteem van de zorg — verzekeraars, laboratoria, specialisten, facturatiebedrijven — zorgt voor datablootstelling bij elke overdracht. Geauthenticeerde, versleutelde kanalen met tijdsgebonden rechten voor externe gebruikers elimineren het risico dat een partnercompromis uw datalek wordt. Hier wordt risicobeheer door derden een operationele noodzaak in plaats van een compliance-vinkje.

Kiteworks: Data-Centrische Beveiliging voor de Zorg

Dit is het probleem dat het Kiteworks Private Data Network oplost.

Kiteworks probeert datadiefstal niet te stoppen aan de netwerkperimeter. Het beheerst de toegang tot de data zelf. Elke interactie met beschermde gezondheidsinformatie verloopt via één platform met consistente identiteitsverificatie, encryptie, toegangscontrole en audit logging.

Traditionele endpointbescherming kan een aanvaller met legitieme inloggegevens niet stoppen. Firewalls signaleren geen activiteiten die normale processen weerspiegelen. Consumentgerichte bestandsoverdracht mist HIPAA-conforme toegangscontrole en audittrails. Kiteworks centraliseert alle PHI-uitwisseling in een gecontroleerde omgeving waar alleen gestolen inloggegevens geen toegang bieden, elke interactie wordt gelogd en exfiltratiepogingen automatische respons activeren.

Voor CISO’s is het de zero-trust data protection-architectuur die diefstal op basis van inloggegevens voorkomt. Voor compliance officers is het de audittrail die naleving van de HIPAA Security Rule aantoont en melding van datalekken ondersteunt. Voor CFO’s van organisaties binnen het doelwitbereik van Insomnia is het enterprise-grade bescherming zonder een enterprise-budget — als het gemiddelde datalek in de zorg $10,93 miljoen kost, verdient preventie zichzelf terug.

Het Venster Sluit Zich

Insomnia is geen op zichzelf staand incident. Het is het nieuwste signaal in een duidelijke trend. Nu ransomwarebetalingen afnemen, schakelen cybercriminele groepen over op datadiefstal omdat gestolen gezondheidsgegevens blijvende hefboomwerking bieden. Nieuwe groepen zoals Qilin en Sinobi blijven zorgorganisaties met beperkte beveiligingsvolwassenheid aanvallen. Achtenzestig zorginstellingen zijn al in 2026 aangevallen en het is pas februari.

Zorgorganisaties die nu data-centrische beveiliging invoeren, sluiten het exfiltratiegat dat Insomnia en soortgelijke groepen uitbuiten. Zij beschermen patiëntprivacy, voldoen aan HIPAA-compliancevereisten en vermijden de gemiddelde kosten van $10,93 miljoen voor een datalek in de zorg. Organisaties die blijven vertrouwen op perimeterverdediging ontdekken hun kwetsbaarheid op dezelfde manier als de 18 slachtoffers van Insomnia.

Patiëntgegevens kunnen niet langer worden beschermd door alleen de netwerkperimeter te bewaken. De vraag is of uw organisatie haar data bij de bron beveiligt voordat de volgende aanval op basis van inloggegevens het gat vindt dat uw huidige tools nooit konden dichten.

Wilt u weten hoe Kiteworks kan helpen? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Insomnia is een cybercriminele operatie die voor het eerst op het dark web verscheen in oktober 2025 met 18 opgeëiste slachtoffers, waarvan meer dan de helft verbonden is aan de zorg. In tegenstelling tot traditionele ransomwaregroepen richt Insomnia zich op het stelen van gevoelige data in plaats van het versleutelen van systemen. De groep richt zich op de zorg omdat de sector waardevolle beschermde gezondheidsinformatie bezit en veel kleine en middelgrote zorgverleners beperkte beveiligingsvolwassenheid hebben.

Traditionele ransomware versleutelt bestanden en eist betaling voor een decryptiesleutel. Insomnia slaat encryptie volledig over en steelt in plaats daarvan gevoelige gegevens en dreigt met publieke openbaarmaking. Dit is belangrijk omdat back-up- en disaster recovery-strategieën — de conventionele verdediging tegen ransomware — niet relevant zijn bij data-exfiltratie. Zodra patiëntgegevens zijn gestolen en publiekelijk geplaatst, kan de schade niet worden teruggedraaid. De enige effectieve verdediging is voorkomen dat PHI de omgeving überhaupt verlaat.

Perimeterbeveiligingstools zijn ontworpen om schadelijke software en afwijkend netwerkverkeer te identificeren en blokkeren. Insomnia omzeilt deze verdediging door in te loggen met gestolen inloggegevens via geautoriseerde toegangspunten en zich lateraal te bewegen met legitieme tools zoals Windows Server-updates. Omdat de activiteiten normale processen weerspiegelen, is er geen schadelijke payload te detecteren en geen afwijkend signaal om te signaleren. Zero-trust data protection — identiteitsverificatie en toegangsbeperking op dataniveau — is de juiste tegenmaatregel.

Data-centrische beveiliging verschuift de bescherming van de netwerkperimeter naar de data zelf. Het beheert de toegang tot gevoelige bestanden via multi-factor authentication, granulaire rechten, encryptie en uitgebreide audit logging. Zelfs als een aanvaller gestolen inloggegevens bemachtigt, voorkomt MFA ongeautoriseerde toegang. Granulaire rechten beperken wat een enkel account kan bereiken. Audittrails detecteren ongebruikelijke toegangspatronen en ondersteunen forensisch onderzoek.

Kleine en middelgrote zorgorganisaties moeten drie maatregelen prioriteren: handhaaf multi-factor authentication op elk systeem dat PHI verwerkt, centraliseer gegevensuitwisseling in één gecontroleerd platform met ingebouwde toegangscontrole en audittrails, en elimineer consumentgerichte bestandsoverdracht en niet-versleutelde e-mail voor patiëntgegevens. Enterprise-grade bescherming is nu beschikbaar tegen MKB-prijzen — de gemiddelde kosten van $10,93 miljoen voor een datalek in de zorg wegen ruimschoots op tegen de investering.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Never Trust, Always Verify
  • Video Microsoft GCC High: Nadelen die Defensie-aannemers richting Slimmere Voordelen Sturen
  • Blog Post Hoe Beveilig je Geclassificeerde Data Zodra DSPM het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust Aanpak
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Data voor IT-Leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks