Ransomware rapport van Check Point is helder: minder actieve spelers, meer impact

Check Point Software Technologies Ltd. (NASDAQ: CHKP), stelt in zijn ‘State of Ransomware-rapport’ vast dat de ransomware-activiteit in het eerste kwartaal van 2026 op een hoog niveau blijft. Daarmee wordt de trend van het afgelopen jaar voortgezet. Tegelijkertijd veranderde de structuur van het ransomware-ecosysteem ingrijpend.

Na twee jaar van toenemende fragmentatie consolideert de activiteit zich rond een kleiner aantal dominante groepen. Voor organisaties betekent deze verschuiving dat het aantal actieve spelers afneemt, maar dat de potentiële impact van individuele incidenten toeneemt.

In het eerste kwartaal van 2026 stonden 2.122 organisaties vermeld op websites met gelekte ransomwaregegevens, waarmee dit het op één na hoogste aantal in een eerste kwartaal ooit was. De top 10 van ransomwaregroepen was verantwoordelijk voor 71% van alle slachtoffers, waarmee het gefragmenteerde beeld dat gedurende een groot deel van 2025 te zien was, werd omgedraaid. Qilin bleef voor het derde kwartaal op rij de meest actieve ransomwaregroep, met 338 slachtoffers. The Gentlemen kwam naar voren als de opkomende groep, met een toename van de activiteit van 40 slachtoffers in het vierde kwartaal van 2025 tot 166 in het eerste kwartaal van 2026. LockBit bevestigde zijn comeback met 163 slachtoffers en keerde terug in de wereldwijde top.

Alles bij elkaar genomen laten deze cijfers zien dat het volume aan ransomware zich op een hoog niveau heeft gestabiliseerd, terwijl de operationele kracht zich concentreert in minder, maar des te capabelere handen.

Grote volumes zijn het nieuwe normaal
Check Point Research heeft in het eerste kwartaal van 2026 meer dan 70 actieve websites voor het lekken van ransomwaregegevens in kaart gebracht. Deze sites registreerden gemiddeld meer dan 700 slachtoffers per maand en minimale schommelingen tussen januari, februari en maart.

Op het eerste gezicht lijken de cijfers op jaarbasis op een lichte daling ten opzichte van het eerste kwartaal van 2025 te wijzen. Die vergelijking is echter misleidend. De cijfers van vorig jaar werden opgeblazen door één enkele grootschalige exploitatiecampagne. Wanneer die afwijking buiten beschouwing wordt gelaten, is de ransomware-activiteit jaar-op-jaar juist toegenomen.

De conclusie voor bedrijfsleiders is duidelijk. Ransomware wordt niet langer alleen gedreven door kortstondige pieken. In plaats daarvan heeft de activiteit zich gestabiliseerd op een aanhoudend hoog niveau met consistente groei, waardoor een risicovolle omgeving is ontstaan waar organisaties rekening mee moeten houden.

Van versnippering naar consolidatie
De belangrijkste verandering dit kwartaal is niet het aantal aanvallen, maar wie ze heeft uitgevoerd. In het derde kwartaal van 2025 waren de ransomware-activiteiten verdeeld over een recordaantal groepen. Tegen het eerste kwartaal van 2026 was het aantal actieve groepen gedaald.

Tegelijkertijd steeg het aandeel van de slachtoffers dat voor rekening kwam van de grootste spelers tot boven de 70%. Dit patroon is bekend. Druk van wetshandhavingsinstanties, verstoring van de infrastructuur en de concurrentie zorgen er vaak voor dat kleinere spelers uit de markt verdwijnen. Sterkere groepen overleven, nemen verdreven partners over en groeien.

In het eerste kwartaal van 2026 waren groepen als Qilin, Akira, The Gentlemen en LockBit samen verantwoordelijk voor 41% van alle slachtoffers, waarbij de top 10 van ransomwaregroepen 71% van alle slachtoffers voor hun rekening nam. Voor verdedigers verhoogt consolidatie de inzet. Grotere ransomwareoperaties zijn doorgaans beter georganiseerd, consistenter in hun operaties en veerkrachtiger bij verstoringen.

Samengevat wordt ransomware in 2026 gekenmerkt door concentratie, niet door omvang. Een kleiner aantal groepen is nu verantwoordelijk voor het merendeel van de aanvallen, en deze actoren zijn bekwamer, beschikken over meer middelen en zijn moeilijker te verstoren.
Voor organisaties verandert dit de risicobalans. Zo vinden er misschien minder incidenten plaats, maar elk incident kan wel grotere gevolgen hebben. Aanvallen zijn vaker herhaalbaar en gericht op het verkrijgen van toegangen. Daarom zijn preventie en beheersing nog belangrijker dan louter reactief handelen.