Onderzoek NCC Group: 2025 was een recordjaar van ransomware wereldwijd

* Wereldwijd steeg het aantal ransomware-aanvallen in 2025 met 50% ten opzichte van het jaar daarvoor
* Qilin was de meest actieve cybercriminele groep, verantwoordelijk voor 13% van de aanvallen
* De industriële sector was in 2025 doelwit van 25% van de aanvallen
* De meeste aanvallen vonden plaats in Noord-Amerika (56%), gevolgd door Europa (22%)

Rijswijk, 5 maart 2026 – Uit het Annual Threat Monitor Report van NCC Group, het moederbedrijf van Fox-IT, blijkt dat 2025 wereldwijd een recordjaar was voor ransomware-activiteiten. Het aantal ransomware-aanvallen steeg met 50% ten opzichte van het jaar daarvoor, tot 7.874 incidenten wereldwijd. Vooral in februari en december waren er relatief veel incidenten. Verder laat het onderzoek zien hoe aanvallers hun ransomware-campagnes hebben ontwikkeld tot aanvallen met grote impact die de bedrijfsvoering verstoren en gericht zijn op complexe wereldwijde toeleveringsketens en kritieke industrieën.

Herschikking van cybercriminele groepen
Qilin, dat onder andere verantwoordelijk was voor de aanval op de Japanse biergigant Asahi, kwam uit het onderzoek naar voren als meest actieve ransomware-groep in 2025, met 1.022 aanvallen (13%). Akira volgde met 755 aanvallen en CL0P met 517 aanvallen.

Vergeleken met 2024 was er een grote verschuiving in cybercriminele groepen. Opvallend was dat LockBit 3.0, voorheen de meest actieve groep, uit de top 10 is gevallen na aanhoudende internationale acties door politie en justitie. Tegelijkertijd hebben AI-gestuurde tools, automatiseringsframeworks en gestandaardiseerde ransomwarekits de drempels om een aanval uit te voeren verlaagd, waardoor ook minder technisch geavanceerde cybercriminelen hun activiteiten sneller kunnen opschalen.

Ondanks de chaos die werd veroorzaakt door Scattered Spider, dat in verband wordt gebracht met de spraakmakende aanvallen in het Verenigd Koninkrijk en de VS, waaronder M&S, behoorde deze groep qua omvang niet tot de top 10. Dit bevestigt dat een klein aantal strategisch uitgevoerde aanvallen een onevenredig grote economische en reputatieschade kan veroorzaken.

Industriële sector het zwaarst getroffen
De industriële sector was in 2025 de sector die het vaakst het slachtoffer werd van aanvallen. 2.190 aanvallen richtten zich op de industrie, een stijging van 54% ten opzichte van 2024. Deze sector is afhankelijk van onderling verbonden wereldwijde toeleveringsketens waardoor één aanval grote operationele impact kan hebben. Hierdoor is de sector een belangrijk doelwit voor cybercriminelen die maximale verstoring willen veroorzaken. Aanvallen op grote fabrikanten en meerdere logistieke en industriële dienstverleners leidden ertoe dat operaties dagen of zelfs weken moesten worden stilgelegd.

Naast de industriële sector werd ook de retailsector hard getroffen door ransomware-aanvallen in 2025. De operationele onderlinge afhankelijkheid van de sector, in combinatie met waardevolle consumentengegevens, verklaart waarom ‘Consumer Discretionary’ in 2025 de op één na meest aangevallen sector was, met 1774 geregistreerde aanvallen.

Cybercriminelen richten zich steeds vaker op organisaties waar operationele downtime direct leidt tot financiële druk. Dit zorgt ervoor dat slachtofferorganisaties eerder zijn geneigd om in te gaan op onderhandelingen over losgeld en vergroot ook de kans op uiteindelijke betaling.

Meeste aanvallen vinden plaats in Noord-Amerika
De meeste aanvallen vonden plaats op organisaties in Noord-Amerika (56%). Europa eindigde op de tweede plaats, met 22% van de geregistreerde aanvallen, gevolgd door Azië met 12%. Door de concentratie van grote ondernemingen en kritieke infrastructuur blijft Noord-Amerika een belangrijk doelwit voor ransomware-aanvallers.

Acties van politie en justitie verhogen druk op cybercriminele groepen
In 2025 voerden politie en justitie over de hele wereld hun inspanningen tegen ransomware en cybercriminaliteit op. Hierbij richtten ze zich op de infrastructuur en affliates achter spraakmakende aanvallen. Groepen zoals Scattered Spider werden tijdelijk ontwricht toen autoriteiten honderden servers en domeinen ontmantelden en internationale arrestatiebevelen uitvaardigden.

“Risico’s ontstaan wanneer capaciteit en intentie samenkomen met kansen. Die dynamiek bepaalde vorig jaar het cyberlandschap: 2025 was een jaar van snel groeiende kansen. Veel van de grote incidenten die we hebben waargenomen, waren gebaseerd op technieken die al jaren bestaan: diefstal van inloggegevens, social engineering en misbruik van toegangsgegevens. Het verschil zat hem niet alleen in innovatie, maar ook in de omvang van de schade die deze bekende technieken nu konden aanrichten in complexe, onderling verbonden organisaties”, zegt Matt Hull, VP of Cyber Intelligence and Response bij NCC Group. “Met bijna 8.000 ransomware-aanvallen in één jaar kan je wel stellen dat verstoringen op deze schaal ‘normaal’ aan het worden zijn. De topspelers kunnen veranderen, maar de dreiging neemt toe in plaats van af. Organisaties die cyberweerbaarheid in 2026 als optioneel beschouwen, brengen zichzelf in ernstig operationeel en financieel gevaar.”

Het volledige rapport is hier te vinden: [LINK]

Over Fox-IT
Fox-IT, onderdeel van de wereldwijd opererende NCC Group, is een toonaangevend cybersecuritybedrijf. Vanuit Nederland helpt Fox-IT organisaties wereldwijd met het detecteren, analyseren en afweren van digitale dreigingen, en speelt het een sleutelrol in de bescherming van vitale infrastructuren. Meer over Fox-IT en onze aanpak is beschikbaar op www.fox-it.com

Over NCC Group
NCC Group is een wereldwijde cyberbeveiligingsspecialist die helpt bij het creëren van een veiligere digitale toekomst. Als wereldwijde experts op het gebied van cybersecurity en risicobeperking vertrouwen meer dan 14.000 klanten op NCC Group om hun meest kritieke bedrijfsmiddelen te beschermen tegen het steeds veranderende dreigingen. Dankzij de kennis, ervaring en investeringen in onderzoek en innovatie is het bedrijf in de beste positie om organisaties te helpen bij het beoordelen, ontwikkelen en beheren van hun cyberweerbaarheid.

Met ongeveer 2000 collega’s in 12 landen heeft NCC Group een aanzienlijke marktaanwezigheid in Noord-Amerika, Europa en het Verenigd Koninkrijk, en een snel groeiende aanwezigheid in Azië-Pacific, met kantoren in Australië, Japan en Singapore. Voor meer informatie: nccgroup.com.

Contact voor de media
Stark Narrative, Fox-IT PRdesk, e-mail: Foxit@starknarrative.com, telefoon 020 794 4735.

Indien u niet langer persberichten en andere persinformatie van Fox IT wenst te ontvangen, stuur dan een e-mail aan Foxit@starknarrative.com