In 2025 werden 65 ransomware-incidenten gemeld bij de politie, terwijl incident-response bedrijven bij 40 gevallen te hulp schoten. Accountovernames en kwetsbaarheden blijven de belangrijkste toegangsmethoden. Het werkelijke aantal incidenten ligt waarschijnlijk hoger omdat niet elke organisatie een compromis detecteert of meldt aan de instanties.

De cijfers komen uit het Jaarbeeld Ransomware 2025 van project Melissa, waarin het NCSC, de politie, het Openbaar Ministerie, Cyberveilig Nederland en tien cybersecuritybedrijven sinds 2025 maandelijks informatie over ransomware-incidenten uitwisselen. De samenwerking moet beter inzicht geven in hoe vaak en op welke manier organisaties in Nederland worden getroffen.

Door data van incident-response bedrijven te combineren met aangiftes schetst het rapport een beeld van 92 vermoedelijk unieke incidenten. Van die incidenten is 13 keer een overlap vastgesteld tussen politieaangiftes en meldingen bij incident-response bedrijven. Wel waarschuwt het rapport dat niet elk slachtoffer wordt bijgestaan of aangifte doet, waardoor het werkelijke aantal waarschijnlijk hoger ligt.

Toegang via gestolen accounts neemt toe

In 2025 vonden accountovernames vaker plaats dan in 2024. Zulke overnames ontstaan vaak door gestolen authenticatiegegevens. Infostealers, phishing en Adversary-in-the-Middle-aanvallen worden ingezet om de gegevens te bemachtigen die nodig zijn voor het overnemen van een account.

Van de initiële toegangsmethoden was 55 procent toe te schrijven aan accountovernames, terwijl 30 procent te maken had met misbruik van kwetsbaarheden. Bij veel incidenten waarbij een kwetsbaarheid werd misbruikt, betrof het een systeem dat direct vanaf het internet toegankelijk was. De inzet van zero-day kwetsbaarheden door cybercriminelen toont de capaciteiten die enkele aanvallers hebben.

Bij 42,5 procent van de incidenten werd zowel data versleuteld als gestolen voor dubbele afpersing. In 37,5 procent van de gevallen werd alleen data gestolen, terwijl bij 15 procent de data enkel versleuteld werd. De overige 5 procent is onbekend.

Handel blijft meest getroffen sector

De handelssector bleef in 2025 een favoriete doelwit met 18 procent van alle incidenten. Ook de IT-sector kreeg te maken met 18 procent van de aanvallen. Dat is een kleine daling vergeleken met 2024, toen deze sector 20 procent van de incidenten voor zijn rekening nam. De bouwnijverheid en gezondheids- en welzijnszorg noteerden elk 12 procent, terwijl 49 procent onder ‘overig’ valt.

De meest voorkomende ransomware-families waren Akira, Qilin, PLAY, INCransom en verschillende versies van LockBit. Meer dan de helft van de incidenten werd veroorzaakt door een van deze vijf families. In totaal observeerden de deelnemende partijen 39 unieke ransomware-families. Het is opvallend dat deze ransomware-families lang stand houden, zelfs nadat bendes zijn verzwakt door de autoriteiten. Het lijkt erop dat de software lang niet zoveel hoeft te veranderen om relevant te blijven als idealiter het geval zou zijn.

Ransomhub, dat in 2024 nog voor een groot deel van de incidenten verantwoordelijk was, bleek in 2025 wel aanzienlijk minder dominant. Criminelen kopiëren steeds vaker gegevens voor chantage voordat ze systemen bevriezen, omdat organisaties betere backups hebben geïmplementeerd.

Back-ups en verzekeringen geen panacee

Back-ups en verzekeringen voorkomen niet dat organisaties schade lijden, waarschuwen de autoriteiten in het rapport. Van de slachtoffers had 72 procent een bruikbare back-up beschikbaar, terwijl 41 procent verzekerd was. Toch had 43 procent van de incidenten een hersteltijd van meer dan drie dagen nodig, waarbij 15 procent pas na een week of later herstelde.

Slechts 33 procent van de slachtoffers deed aangifte bij de politie. Het rapport benadrukt dat aangifte cruciaal blijft, ook als criminelen al betaald zijn. Een aangifte kan ontbrekende informatie bevatten waarmee de politie systemen kan ontgrendelen en helpt bij het vinden van verdachten.

De basismaatregelen moeten daarom op orde zijn, luidt de voorspelbare doch terechte boodschap van de project Melissa-deelnemers. Het rapport wijst erop dat grote en middelgrote organisaties vanaf circa 50 fte in ongeveer 40 procent van de gevallen zichtbaar zijn in de bronnen, terwijl dit voor het MKB slechts 10-15 procent is. Dit suggereert dat het werkelijke aantal ransomware-aanvallen 2-3 keer hoger ligt voor grote en middelgrote bedrijven en tot 10 keer hoger voor kleine bedrijven.

