Top drie meest voorkomende ransomware goed voor bijna helft van de aanvallen
De ransomwaregroeperingen Akira, Qilin en RansomHub waren samen goed voor 47% van alle ransomware-aanvallen in 2025. Er is dan ook sprake van een duidelijke machtsconcentratie binnen het ransomware-ecosysteem ten opzichte met 2024, toen de toenmalige top drie (Akira, LockBit 3.0 en BlackSuit) gezamenlijk 30% van de incidenten veroorzaakten. De verschuiving illustreert niet alleen het succes van ransomware als schaalbaar verdienmodel voor cybercriminelen, maar ook de snelle veranderingen in machtsverhoudingen binnen het criminele landschap.
Dit melden onderzoekers van cybersecuritybedrijf Arctic Wolf. Ransomware bleef in 2025 de meest voorkomende vorm van cyberaanval, met een aandeel van 44% in alle door Arctic Wolf behandelde incidenten – een percentage dat gelijk bleef aan dat van 2024. De gevolgen voor getroffen organisaties blijven aanzienlijk, aangezien dergelijke aanvallen bijna altijd leiden tot directe operationele verstoringen en crisissituaties.
Akira blijft dominant, Qilin groeit het snelst
Van de geïdentificeerde daders bleken drie groepen het huidige dreigingslandschap te domineren. Akira behield voor het tweede jaar op rij de eerste positie en vergrootte zijn aandeel van 14,6% naar 18,3%. De groep valt op door snelle aanvallen, een stabiel affiliate-netwerk en een hoge operationele efficiëntie.
Qilin is de grootste stijger en veroorzaakte 16,9% van alle toegewezen aanvallen. Deze groei wordt toegeschreven aan actieve werving van affiliates en het opvullen van de leemte die ontstond na het verdwijnen van andere grote groepen.
RansomHub was verantwoordelijk voor 12,2% van de incidenten, maar zag zijn activiteit afnemen na een overname door DragonForce – een patroon dat vaker optreedt bij groepen die van naam of leiderschap wisselen.
Overige groepen met opvallende ontwikkelingen
Naast de topdrie waren ook andere groepen actief. FOG veroorzaakte 7,5% van de incidenten, met name door een piek in activiteit begin 2025. De latere afname suggereert een korte operationele levenscyclus of een tactische verschuiving.
PLAY liet een geleidelijke stijging zien naar 5,6%, wat wijst op een consistente maar beheerste groei. INC debuteerde in de lijst met 7,5% en onderscheidde zich door zijn snelle opkomst, mede dankzij aanpassingsvermogen en effectieve affiliate-werving.
“Internationale politieacties hebben het ransomware-landschap zichtbaar herschikt in 2025. Grote namen als LockBit, ALPHV BlackCat en BlackSuit zijn verdwenen, maar hun plaats wordt snel ingenomen door nieuwe groepen en rebrands. Aanvallen worden bovendien sneller en gerichter uitgevoerd. Het ransomware-landschap zal zich verder ontwikkelen tot een professioneel en schaalbaar verdienmodel. Voor organisaties betekent dit dat weerbaarheid belangrijker is dan ooit, ongeacht welke groep de aanval opeist”, zegt Christopher Fielder, Field CTO bij Arctic Wolf.
Meer over Arctic Wolf
Over Wouter Hoeffnagel
