2025 was een nieuw recordjaar voor ransomware

In dit artikel:

In 2025 nam het aantal ransomware-aanvallen wereldwijd met ongeveer 50% toe tot 7.874 incidenten, meldt het Annual Threat Intelligence Report van NCC Group (Fox-IT). De piekmaanden waren februari (1.093 aanvallen) en december (788), waarbij Q1 traditioneel drukker is en kwaadwillenden in december profiteren van lagere bezetting tijdens de feestdagen. Nederland volgt de wereldwijde trend: politierapporten telden 65 meldingen in 2025, maar het werkelijke aantal ligt naar verwachting veel hoger.

Qilin was het meest actief met 1.022 aanvallen (13% van het totaal), gevolgd door Akira (755) en CL0P (517). Qilin opereert via een Ransomware-as-a-Service-model: affiliates verzorgen de eerste toegang, terwijl de centrale groep de publicatie van gelekte data en de onderhandelingen regelt. De ooit dominante LockBit 3.0 verdween uit de top tien na internationale politieacties. Tegelijkertijd verlagen AI-gestuurde hulpmiddelen en standaardkits de technische drempel voor nieuwe aanvallers. Scattered Spider veroorzaakte ondanks relatief weinig incidenten grote schade bij bekende slachtoffers zoals Marks & Spencer en Jaguar Land Rover.

Sectoren: de industrie werd het zwaarst getroffen met 2.190 aanvallen (plus 54% ten opzichte van 2024), onder meer met verstorende aanvallen op productielijnen; retail stond op plek twee met 1.774 incidenten. Regionaal kwam 56% van de aanvallen uit Noord-Amerika, 22% uit Europa en kende Azië de sterkste stijging (+59% naar 906 aanvallen).

Tegelijkertijd namen opsporingsdiensten hun acties op: Operation Endgame neutraliseerde honderden servers en domeinen en verbeurde zo’n €3,5 miljoen aan crypto; Microsoft en Europol ontmantelden het Lumma Stealer-netwerk. “Met bijna 8.000 ransomware-aanvallen in één jaar kun je wel stellen dat verstoringen op deze schaal ‘normaal’ aan het worden zijn,” aldus Matt Hull van NCC Group.