Arctic Wolf: consolidatie ransomware-landschap bevestigt groeiende professionaliteit van cybercriminelen

Amsterdam, 25 februari 2026 – Bijna de helft (47%) van alle ransomware-aanvallen in 2025 kan worden toegeschreven aan slechts drie criminele groeperingen: Akira, Qilin en RansomHub. Dat blijkt uit nieuw onderzoek van cybersecuritybedrijf Arctic Wolf. Het gaat om een opvallende machtsconcentratie binnen het ransomware-ecosysteem ten opzichte van het jaar daarvoor, toen de drie dominante groepen Akira, LockBit 3.0 en BlackSuit samen verantwoordelijk waren voor 30% van alle ransomware incidenten. Volgens de onderzoekers van Arctic Wolf laat deze consolidatie en verschuiving niet alleen zien dat ransomware een succesvol en schaalbaar business model is voor cybercriminelen, maar ook dat machtsverhoudingen binnen het cybercriminele ecosysteem snel kunnen verschuiven.

Ransomware was ook in 2025 opnieuw de meest voorkomende soort cyberaanval, goed voor 44% van alle incidenten die Arctic Wolf behandelde. Ten opzichte van het jaar daarvoor is dit percentage hetzelfde gebleven. De impact op organisaties blijft groot, omdat ransomware-aanvallen vrijwel altijd leiden tot acute operationele verstoring en crisissituaties.

Wie domineert het ransomware-landschap?
In gevallen waarin de daders met zekerheid konden worden geïdentificeerd door Arctic Wolf domineren drie groepen het huidige dreigingslandschap:
* Akira is voor het tweede jaar op rij de meest actieve ransomware-groep en vergrootte zijn aandeel van 14,6% naar 18,3%. De groep onderscheidt zich door snelle aanvallen, een stabiel affiliate model en een hoge mate van operationele volwassenheid.
* Qilin is de sterkste stijger in de lijst van ransomware-groepen en is inmiddels verantwoordelijk voor 16,9% van alle toegewezen ransomware-aanvallen. De groei wordt toegeschreven aan actieve werving van affiliates en het opvullen van het gat dat ontstond na het verdwijnen van andere grote groepen.
* RansomHub was verantwoordelijk voor 12,2% van de incidenten, maar liet een duidelijke daling zien in activiteit nadat de groep was overgenomen door DragonForce. Dit is een patroon dat vaker terugkomt bij ransomware-groepen die van naam of leiderschap veranderen.

Enkele andere noemenswaardige ransomware-groepen zijn:
* FOG dat 7,5% van de incidenten voor zijn rekening neemt, vooral door een sterke piek in activiteit in het begin van 2025. De afname later in het jaar wijst mogelijk op een korte operationele levenscyclus of een verschuiving in tactiek.
* PLAY liet een meer geleidelijke stijging zien naar 5,6%, wat duidt op consistente maar gecontroleerde groei.
* INC debuteert in de lijst met 7,5% en valt op door zijn snelle opmars. Deze is grotendeels te danken aan zijn aanpassingsvermogen en zijn vermogen om affiliates te werven.

“Internationale politieacties hebben het ransomware-landschap zichtbaar herschikt in 2025. Grote namen als LockBit, ALPHV BlackCat en BlackSuit zijn verdwenen, maar hun plaats wordt snel ingenomen door nieuwe groepen en rebrands. Aanvallen worden bovendien sneller en gerichter uitgevoerd. Het ransomware-landschap zal zich verder ontwikkelen tot een professioneel en schaalbaar verdienmodel. Voor organisaties betekent dit dat weerbaarheid belangrijker is dan ooit, ongeacht welke groep de aanval opeist”, zegt Christopher Fielder, Field CTO bij Arctic Wolf.

Over Arctic Wolf
Arctic Wolf is wereldwijd toonaangevend in security operations en helpt klanten bij het beheren van hun cyberrisico’s, met een cloud-native security operations platform. De Arctic Wolf Security Operations Cloud verwerkt en analyseert wekelijks meer dan 8 biljoen security events en maakt zo cyberverdediging op elke schaal mogelijk, met geavanceerde capaciteiten. Hiermee kunnen klanten van vrijwel elke grootte vertrouwen op hun securitymaatregelen, hun veerkracht en zijn ze goed voorbereid op cyberdreigingen. Met geautomatiseerde beschermings-, respons- en herstelmogelijkheden zorgt Arctic Wolf met één druk op de knop voor optimale security operations.

Voor meer informatie:
Stark Narrative, Arctic Wolf Persdesk, e-mail arcticwolf@starknarrative.com, telefoon 020 794 4735

© 2025 Arctic Wolf Networks, Inc., Alle rechten voorbehouden. Arctic Wolf, Arctic Wolf Platform, Arctic Wolf Managed Detection and Response, Arctic Wolf Managed Risk, Arctic Wolf Managed Cloud Monitoring, Arctic Wolf Managed Security Awareness en Arctic Wolf Concierge Security Team zijn handelsmerken of gedeponeerde handelsmerken van Arctic Wolf Networks, Inc. of Arctic Wolf Networks Canada, Inc. en eventuele dochterondernemingen in Canada, de Verenigde Staten, en/of andere landen.

Indien u niet langer persberichten en andere persinformatie van Arctic Wolf wenst te ontvangen, stuur dan een e-mail aan: Arcticwolf@starknarrative.com