2025 was wereldwijd een recordjaar voor ransomware-activiteiten. Het aantal aanvallen steeg met 50 procent ten opzichte van 2024, tot bijna achtduizend incidenten wereldwijd. ‘De topspelers veranderen, maar de dreiging neemt toe in plaats van af.’
Dat blijkt allemaal uit het Annual Threat Monitor Report van NCC Group, het moederbedrijf van Fox-IT. Vooral in februari en december waren er relatief veel incidenten.
Verder laat het onderzoek zien hoe aanvallers hun ransomware-campagnes hebben ontwikkeld tot aanvallen met grote impact die de bedrijfsvoering verstoren en gericht zijn op complexe wereldwijde toeleveringsketens en kritieke industrieën. En bevat deze vaststellingen.
1. Herschikking van cybercriminele landschap
De criminele groep Qilin kwam uit het onderzoek naar voren als meest actieve ransomware-groep in 2025, met 1.022 aanvallen (13 procent). De groep was onder andere verantwoordelijk voor de aanval op de Japanse biergigant Asahi.
Akira volgde met 755 aanvallen en CL0P met 517 aanvallen. Opvallend was de val van LockBit 3.0, voorheen de meest actieve groep, die uit de top 10 is gevallen na aanhoudende internationale acties door politie en justitie.
2. Size doesn’t matter
Ai-gestuurde tools, automatiseringsframeworks en gestandaardiseerde ransomwarekits hebben de drempels verlaagd, waardoor ook kleinere of minder technisch geavanceerde cybercriminelen hun activiteiten sneller kunnen opschalen.
De groep Scattered Spider, gelinkt aan spraakmakende aanvallen in het VK en de VS waaronder die op M&S, behoorde qua omvang niet tot de top tien, maar toonde aan dat een klein aantal strategisch uitgevoerde aanvallen onevenredig grote economische en reputatieschade kan veroorzaken.
3. Industriële sector zwaarst getroffen
De industriële sector werd in 2025 het vaakst slachtoffer van aanvallen. 2.190 aanvallen richtten zich op de industrie, een stijging van 54 procent ten opzichte van 2024. Aanvallen op grote fabrikanten en logistieke dienstverleners leidden ertoe dat operaties dagen of zelfs weken moesten worden stilgelegd.
Ook de retailsector werd hard getroffen. Cybercriminelen richten zich namelijk steeds vaker op organisaties waar operationele downtime direct leidt tot financiële druk, waardoor slachtoffers eerder geneigd zijn in te gaan op onderhandelingen over losgeld.
4. Noord-Amerika blijft koploper
Door de concentratie van grote ondernemingen en kritieke infrastructuur blijft Noord-Amerika een belangrijk doelwit voor ransomware-aanvallers. De meeste aanvallen vonden plaats op organisaties in Noord-Amerika (56 procent).
Europa eindigde op de tweede plaats met 22 procent van de geregistreerde aanvallen, gevolgd door Azië met 12 procent.
5. Bekende technieken, nieuwe schaal
Veel van de grote incidenten die werden waargenomen, waren gebaseerd op technieken die al jaren bestaan: diefstal van inloggegevens, social engineering en misbruik van toegangsgegevens. ‘Het verschil zat hem niet alleen in innovatie, maar ook in de omvang van de schade die deze bekende technieken nu konden aanrichten in complexe, onderling verbonden organisaties’, zegt Matt Hull, vp of cyber intelligence and response bij NCC Group.
Al is er ook wel weerwerk. In 2025 voerden politie en justitie over de hele wereld hun inspanningen tegen ransomware en cybercriminaliteit op. Groepen zoals Scattered Spider werden tijdelijk ontwricht toen autoriteiten honderden servers en domeinen ontmantelden en internationale arrestatiebevelen uitvaardigden.
Toch is de tendens duidelijk. ‘Met 7.874 ransomware-incidenten wereldwijd in één jaar zijn grote verstoringen ‘normaal’ aan het worden, benadrukt Hull. ‘De topspelers kunnen veranderen, maar de dreiging neemt toe in plaats van af.’
