NCC Group Monthly Threat Pulse – overzicht mei 2026

Statelijke cyberaanvallers gebruiken ransomware steeds vaker als dekmantel

* In de maand mei 2026 werden wereldwijd 749 ransomware-aanvallen geregistreerd
* De industriële sector bleef het belangrijkste doelwit voor aanvallers, de sector was doelwit van 29% van alle aanvallen
* Qilin was verantwoordelijk voor 15% van alle ransomware-activiteit in mei
* Nieuwe ransomwaregroep ‘The Gentlemen’ was voor de tweede maand op rij de op één na meest actieve ransomwaregroep
* NCC Group waarschuwt dat de grens tussen statelijke en criminele cyberactiviteiten steeds verder vervaagt

Rijswijk, 25 juni 2026 – Uit het nieuwste Cyber Threat Intelligence Report van NCC Group, het moederbedrijf van Fox-IT, blijkt dat ransomware-activiteit in mei 2026 onverminderd hoog bleef. Wereldwijd registreerde NCC Group 749 ransomware-incidenten, vrijwel gelijk aan het aantal aanvallen in april (748).

De cijfers laten zien dat het verhoogde dreigingsniveau dat sinds begin 2026 zichtbaar is, aanhoudt. De industriële sector bleef met 29% van alle geregistreerde aanvallen het belangrijkste doelwit van cybercriminelen. Ook bleef Noord-Amerika wereldwijd de meest aangevallen regio.

Qilin behield zijn positie als meest actieve ransomwaregroep en was verantwoordelijk voor 15% van alle geregistreerde aanvallen in mei. Daarnaast bleef ook The Gentlemen opvallend actief. De relatief nieuwe groep was voor de tweede maand op rij de op één na meest actieve ransomwaregroep, wat erop wijst dat de groep zich steeds verder weet te vestigen binnen het ransomware-ecosysteem.

Statelijke actoren gebruiken steeds vaker tactieken van cybercriminelen
Uit het rapport blijkt dat er steeds meer aanwijzingen zijn dat statelijke actoren vaker gebruikmaken van tools, infrastructuur en operationele modellen die traditioneel worden geassocieerd met financieel gemotiveerde cybercriminaliteit. Daarmee proberen zij hun spionage- en inlichtingenoperaties te verhullen.

De analyse volgt op berichten waarin een verband wordt gelegd tussen een door Iran gesteunde MuddyWater-campagne en activiteiten die zijn vermomd als Chaos-ransomware. Onderzoekers constateerden dat de operatie gebruikmaakte van ransomware-branding, afpersingsberichten en communicatiekanalen met slachtoffers om de werkelijke doelstellingen van de campagne te verbergen en toeschrijving te bemoeilijken.

“Eerder konden organisaties een redelijk duidelijk onderscheid maken tussen ransomware-aanvallen die gericht waren op financieel gewin en statelijke operaties die strategische doelstellingen ondersteunen. Dat onderscheid wordt steeds moeilijker te maken”, zegt Matt Hull, VP of Cyber Intelligence and Response bij NCC Group.

“We zien een samensmelting van criminele en door staten gesteunde activiteiten. Aanvallers delen infrastructuur, maken gebruik van dezelfde tooling en opereren in sommige gevallen bewust achter bestaande ransomware-branding om toeschrijving te bemoeilijken en responsmaatregelen te vertragen.”

“Hierdoor ontstaat een complexer dreigingslandschap. Organisaties kunnen er niet langer van uitgaan dat een ransomware-incident uitsluitend financieel gemotiveerd is. Inzicht in het gedrag, de doelstellingen en de operationele context van een aanvaller wordt net zo belangrijk als het identificeren van de gebruikte malware of ransomwaregroep.”

Door toenemende geopolitieke spanningen zullen cyberactiviteiten verder toenemen
Volgens het rapport kunnen de toenemende strategische rivaliteit tussen China en de Verenigde Staten en de oplopende geopolitieke spanningen in de Indo-Pacific-regio leiden tot meer cyberspionage door statelijke actoren. Organisaties die actief zijn binnen kritieke infrastructuur, supply chains en strategisch belangrijke sectoren zullen waarschijnlijk aantrekkelijke doelwitten blijven voor spionage en langdurige netwerktoegang operaties.

Het onderzoek duidt ook de verdere ontwikkeling van AI-ondersteunde cybercriminaliteit. De analyse richt zich deze maand op Kitana, een door NCC Group geïdentificeerd adversary-in-the-middle-platform voor fraude. Volgens NCC Group laat Kitana zien hoe AI-ondersteunde ontwikkeling cybercriminelen helpt sneller geavanceerde aanvalstools te ontwikkelen, terwijl tegelijkertijd de drempel voor minder ervaren aanvallers wordt verlaagd.

Het volledige rapport is hier te vinden: Cyber Threat Intelligence Reports | NCC Group

Over Fox-IT
Fox-IT, onderdeel van de wereldwijd opererende NCC Group, is een toonaangevend cybersecuritybedrijf. Vanuit Nederland helpt Fox-IT organisaties wereldwijd met het detecteren, analyseren en afweren van digitale dreigingen, en speelt het een sleutelrol in de bescherming van vitale infrastructuren. Meer over Fox-IT en onze aanpak is beschikbaar op www.fox-it.com

Over NCC Group
NCC Group is een wereldwijde cyberbeveiligingsspecialist die helpt bij het creëren van een veiligere digitale toekomst. Als wereldwijde experts op het gebied van cybersecurity en risicobeperking vertrouwen meer dan 14.000 klanten op NCC Group om hun meest kritieke bedrijfsmiddelen te beschermen tegen het steeds veranderende dreigingen. Dankzij de kennis, ervaring en investeringen in onderzoek en innovatie is het bedrijf in de beste positie om organisaties te helpen bij het beoordelen, ontwikkelen en beheren van hun cyberweerbaarheid.

Met ongeveer 2000 collega’s in 12 landen heeft NCC Group een aanzienlijke marktaanwezigheid in Noord-Amerika, Europa en het Verenigd Koninkrijk, en een snel groeiende aanwezigheid in Azië-Pacific, met kantoren in Australië, Japan en Singapore. Voor meer informatie: nccgroup.com.