Het aantal ransomware-aanvallen steeg in 2025 wereldwijd met 50 procent naar bijna 7.900 incidenten, blijkt uit het Annual Threat Intelligence Report van NCC Group, het moederbedrijf van Fox-IT. Qilin was de meest actieve groep en de industriële sector was het zwaarst getroffen. Er was wel een wisseling van de wacht: het voorheen almachtige LockBit 3.0 verdween uit de top tien.
In totaal detecteerde NCC Group 7.874 ransomware-aanvallen in 2025. Februari en december kenden de meeste incidenten, met respectievelijk 1.093 en 788 aanvallen. Q1 is traditioneel altijd een drukke ransomwareperiode ten opzichte van andere kwartalen, zoals nu andermaal blijkt. De piek in december verklaart NCC Group door bewust misbruik van de verminderde bezetting tijdens de feestdagen, ook een bekend fenomeen.
Nederland ontloopt de trend niet, met veelal dezelfde namen onder de meest terugkerende ransomware-families. Uit een eerder verschenen rapport van Project Melissa, een samenwerking tussen het NCSC, de politie en tien cybersecuritybedrijven, blijkt dat Akira, Qilin en PLAY ook in Nederland succesvol zijn. In 2025 werden 65 ransomware-incidenten in eigen land gemeld bij de politie, het werkelijke aantal ligt vermoedelijk aanzienlijk hoger.
Qilin aan kop, LockBit uit top tien
Qilin was in 2025 de meest actieve ransomware-groep met 1.022 aanvallen, goed voor 13 procent van het totaal. De groep werkt via een franchise-achtig Ransomware-as-a-Service-model: affiliates regelen de initiële toegang, terwijl de kernoperators de onderhandelingen en publicaties van de gelekte data beheren. Akira volgde op de tweede positie met 755 aanvallen, CL0P op de derde met 517.
Opvallend is de teloorgang van LockBit 3.0. De groep die jarenlang dominant was, viel volledig uit de top tien na aanhoudende internationale politieacties. Tegelijkertijd verlaagden AI-gestuurde tools en gestandaardiseerde ransomwarekits de drempel voor minder technisch onderlegde aanvallers. Scattered Spider, verantwoordelijk voor spraakmakende aanvallen op onder meer Marks & Spencer en Jaguar Land Rover, haalde de top tien op basis van volume niet, maar veroorzaakte wel onevenredig grote schade.
Industrie zwaarst getroffen, retail op twee
De industriële sector was het vaakst doelwit: 2.190 aanvallen, een stijging van 54 procent ten opzichte van 2024. De aanval op Jaguar Land Rover leidde tot een productiestilstand van ruim een maand en verlies van meer dan 890 miljoen dollar. Ransomwaregroepen richten zich daarbij steeds vaker op de onderliggende infrastructuur, zoals hypervisors, waarmee één aanval complete virtuele omgevingen kan platleggen.
De retailsector volgde op de tweede positie met 1.774 geregistreerde aanvallen. Het M&S-incident, waarbij de online verkoop meer dan zes weken stillag en de verwachte winstderving uitkwam op circa 300 miljoen pond, laat zien hoe ernstig de schade kan zijn. De meeste aanvallen vonden plaats in Noord-Amerika (56 procent), gevolgd door Europa met 22 procent. Azië zag het sterkste groeicijfer: een stijging van 59 procent tot 906 aanvallen.
Opsporingsdiensten intensiveren acties
Tegelijkertijd verhoogde de internationale rechtshandhaving de druk op ransomwaregroepen. Operation Endgame ontmantelde in mei 2025 circa 300 servers en 650 domeinen en legde beslag op 3,5 miljoen euro in cryptocurrency. Microsoft ontmantelde samen met Europol het Lumma Stealer-netwerk door meer dan 2.300 kwaadaardige domeinen over te nemen. Deze week volgde de ondergang van phishingdienst Tycoon 2FA.
“Met bijna 8.000 ransomware-aanvallen in één jaar kan je wel stellen dat verstoringen op deze schaal ‘normaal’ aan het worden zijn”, zegt Matt Hull, VP of Cyber Intelligence and Response bij NCC Group. “De topspelers kunnen veranderen, maar de dreiging neemt toe in plaats van af.”