Wouter Hoeffnagel - 16 juli 2026

Gestolen identiteiten spelen rol bij acht op de tien ransomware-aanvallen

Identiteit is inmiddels de belangrijkste initiële toegangsvector is voor ransomware-aanvallen. Bij 79% van de incidenten verkrijgen aanvallers via gecompromitteerde identiteiten toegang tot een organisatie. Dit markeert een verschuiving in de werkwijze van cybercriminelen, die identiteit steeds vaker benutten als toegangspunt.

Gestolen identiteiten spelen rol bij acht op de tien ransomware-aanvallen image

Dit blijkt uit de zevende editie van het jaarlijkse State of Ransomware-rapport van Sophos, gebaseerd op onafhankelijk onderzoek onder IT- en cybersecurityleiders in 17 landen. Misbruikte kwetsbaarheden zijn voor het eerst in vier jaar niet langer de meest voorkomende hoofdoorzaak van ransomware-incidenten. In plaats daarvan vormen kwaadaardige e-mails (26%) en phishing (24%) nu de belangrijkste initiële aanvalsmethoden.

Misbruikte kwetsbaarheden blijven desondanks een aantrekkelijk doelwit. Van de ransomware-aanvallen die beginnen met het misbruiken van een kwetsbaarheid in een firewall, gaat 59% gepaard met een losgeldeis van 1 miljoen dollar of meer. Over alle ransomware-aanvallen ligt dat percentage op 48%.

Data in de helft van de gevallen versleuteld

Uit het rapport komt naar voren dat bij 56% van de organisaties die door ransomware werden getroffen, gegevens werden versleuteld. Daarmee komt een einde aan de dalende trend die de afgelopen twee jaar zichtbaar was. Bij 16% van de gevallen werden gegevens zowel gestolen als versleuteld. Wanneer gegevens werden versleuteld, betaalde 48% van de getroffen organisaties het losgeld. Het gemiddelde betalingspercentage over de afgelopen vier jaar komt hiermee uit op 50%.

Kleine organisaties blijken minder weerbaar: slechts 34% van de organisaties met 100 tot 250 medewerkers wist een aanval te stoppen voordat gegevens werden versleuteld of afpersing plaatsvond. Bij organisaties met 3.001 tot 5.000 medewerkers lag dat percentage op 46%. Daarnaast blijkt uit het onderzoek dat multifactorauthenticatie (MFA) alleen onvoldoende bescherming biedt: bij 97% van de incidenten waarbij gecompromitteerde inloggegevens de hoofdoorzaak waren, was MFA in enige vorm ingeschakeld.

Het Verenigd Koninkrijk noteerde met 2,5 miljoen dollar de hoogste mediane losgeldeis van alle onderzochte landen.

Herstelvermogen groeit

Hoewel cybercriminelen hun technieken blijven verfijnen, boeken organisaties vooruitgang in hun vermogen om te herstellen van ransomware-aanvallen. Toegenomen investeringen in back-upinfrastructuur lijken daaraan bij te dragen. Inmiddels herstelt meer dan de helft van de getroffen organisaties (55%) binnen een week van een ransomware-incident, terwijl 16% zelfs binnen een dag weer operationeel is.

Van de organisaties die ervoor kozen losgeld te betalen, wist 51% een lager bedrag af te spreken dan aanvankelijk werd geëist. Daarnaast is de mediane losgeldeis in de afgelopen twee jaar met 65% gedaald. Het aandeel organisaties dat uiteindelijk losgeld betaalt om versleutelde gegevens terug te krijgen, is gedaald naar 48%.

De gemiddelde herstelkosten zijn echter gestegen tot 1,7 miljoen dollar per incident.

Identiteit als kernonderdeel van beveiliging

Sophos adviseert organisaties om identiteit tot een kernonderdeel van de beveiliging te maken, te investeren in back-up en herstel, het beheer van kwetsbaarheden te versterken en de blootstelling van firewalls te beperken. Het onderzoek werd in het eerste kwartaal van 2026 uitgevoerd door Vanson Bourne in opdracht van Sophos, waarbij 2.158 IT- en cybersecuritybesluitvormers werden geïnterviewd. De respondenten waren afkomstig uit organisaties met 100 tot 5.000 medewerkers, verdeeld over 15 sectoren en 17 landen.

"Nu we zien dat ransomwarecriminelen experimenteren met AI, bestaat het risico dat zij hierdoor sneller waardevolle bedrijfsmiddelen kunnen stelen, deze kunnen gijzelen en dit op een veel grotere schaal kunnen doen dan voorheen mogelijk was", aldus Ross McKerchar, Chief Information Security Officer bij Sophos. "Die snelheid maakt het noodzakelijk om de meest misbruikte toegangsmethoden voortdurend, dag en nacht, te monitoren. Onze gegevens laten zien dat dit vooral gestolen en gecompromitteerde legitieme accounts zijn. Tegelijkertijd zal de verdere ontwikkeling van onbeveiligde open-weight AI-modellen aanvallers een steeds groter voordeel geven bij het opsporen en misbruiken van softwarekwetsbaarheden. Verdedigers kunnen daarom niet langer uitsluitend vertrouwen op het patchen van systemen om gelijke tred te houden. Het is essentieel om de externe blootstelling van systemen te beperken en te zorgen voor robuuste endpointbeveiliging."

"Organisaties hebben het afgelopen jaar hun weerbaarheid tegen ransomware aanzienlijk versterkt, en die investeringen werpen grotendeels hun vruchten af", zegt Ross McKerchar, Chief Information Security Officer bij Sophos. "Toch kost ransomware organisaties nog altijd miljoenen. Naarmate AI geavanceerder wordt, kunnen aanvallers veel sneller en goedkoper dan voorheen verkeerde configuraties in identiteitsbeheer en andere zwakke plekken binnen organisaties in kaart brengen. Organisaties kunnen niet langer vertrouwen op de complexiteit of ondoorzichtigheid van hun IT-omgeving om kwetsbaarheden verborgen te houden. Diezelfde technologie biedt verdedigers echter ook de kans om dergelijke zwakke plekken sneller op te sporen en te verhelpen, maar alleen als preventie, detectie en respons samenkomen in een geïntegreerde cybersecuritystrategie."

Clickhouse BN + BW Infinity 07-2026 BW + BN
Clickhouse BN + BW