Veel retailers die worden getroffen door ransomware betalen het losgeld

De belangrijke bevindingen uit het rapport

• 46% van de aanvallen begon met een onbekend beveiligingslek (belangrijkste operationele factor)
• 30% van de aanvallen maakte gebruik van bekende kwetsbaarheden (belangrijkste technische oorzaak, voor het derde jaar op rij)
• 58% van de slachtoffers met versleutelde data betaalde; 48% van de aanvallen resulteerde in versleuteling (het laagste percentage in vijf jaar)
• De mediaan van de losgeldeis verdubbelde tot $2 miljoen ten opzichte van 2024; de gemiddelde betaling steeg met 5% tot $1 miljoen

Wat Sophos ziet in retail

In het afgelopen jaar heeft Sophos X-Ops bijna 90 verschillende dreigingsgroepen waargenomen die zich via leak-sites op een of meer retailers richtten met ransomware of afpersing. De meest actieve groepen die Sophos heeft gevolgd op basis van incidentrespons en MDR-cases zijn Akira, Cl0p, Qilin, PLAY en Lynx. Na ransomware is accountcompromittering het op één na meest voorkomende incident bij retailers. En zoals vele sectoren is retail een consistent doelwit van Business Email Compromise (BEC)-groepen die betalingen willen omleiden – het op twee na meest voorkomende incident.

“Retailers wereldwijd hebben te maken met een complexer dreigingslandschap waar cybercriminelen constant op zoek zijn naar bestaande kwetsbaarheden, meestal in apparatuur voor externe toegang en internetnetwerken, om deze te misbruiken. Nu losgeldeisen nieuwe hoogtes bereiken, is het nog belangrijker om uitgebreide beveiligingsstrategieën te implementeren. Zonder deze strategieën lopen retailers het risico op voortdurende operationele verstoringen en blijvende reputatieschade, wat jaren kan duren voordat dit is hersteld. Gelukkig beginnen velen dit in te zien en ze reageren hierop door te investeren in hun cyberbeveiliging, waardoor ze aanvallen kunnen stoppen voordat ze escaleren zodat ze sneller herstellen”, zegt Chester Wisniewski, director, global field CISO, Sophos.

Beperkte interne expertise was de op één na meest voorkomende operationele oorzaak van compromittering (45%), gevolgd door hiaten in de beschermingsdekking (44%). Zonder de juiste vaardigheden en dekking is het lastig voor retailers om aanvallen te detecteren en neutraliseren.

Naast deze uitdagingen zijn er ook tekenen van vooruitgang. Het percentage aanvallen dat werd gestopt voordat de versleuteling plaatsvond, bereikte het hoogste niveau in vijf jaar. Dit impliceert dat retailorganisaties beter zijn geworden in het snel detecteren en neutraliseren van aanvallen. Het percentage dataversleuteling is op het laagste niveau in vijf jaar, waarbij slechts 48% van de aanvallen nu resulteert in dataversleuteling.

Hoewel de gemiddelde losgeldbetaling in retail is gestegen met 5% (van $950.000 in 2024 naar $1 miljoen in 2025), is de gemiddelde losgeldbetaling de helft van de gemiddelde losgeldeis. Dit suggereert dat retailorganisaties steeds beter bestand zijn tegen buitensporige losgeldeisen en dat ze mogelijk advies van experts inwinnen om ransomware-aanvallen het hoofd te bieden.

“Succesvolle beveiligingsprogramma’s richten zich op risicobeheer. Om die risico’s te beoordelen en beheren, moeten retailers inzicht hebben in de dreigingen, in hun assets en in hun beveiliging. Organisaties die sterk assetmanagement en patching combineren met Managed Detection and Response- en Managed Risk-diensten voorkomen meer en herstellen sneller. Hierdoor pakken ze cyberverdediging aan op een proactieve manier.”

Volgens het State of Ransomware in Retail 2025-rapport

• Dataversleuteling daalt, maar cybercriminelen passen zich aan: hoewel het percentage dataversleuteling op het laagste niveau is sinds vijf jaar, passen cybercriminelen zich aan, want de hoeveelheid retailers dat door afpersingsaanvallen werd getroffen is verdriedubbeld, van 2% in 2023 tot 6% in 2025.
• Percentage herstel door back-up daalt: 62% van de retailers die werden getroffen door aanvallen herstelden hun data met behulp van back-ups, het laagste percentage in vier jaar.
• Retailers weerstaan losgeldeisen: kijkend naar de eisen versus betalingen, zegt slechts 29% van de retailers dat hun betaling overeenkwam met de oorspronkelijke eis. 59% betaalde minder dan de oorspronkelijke eis en 11% betaalde meer.
• Herstelkosten dalen: de gemiddelde kosten om te herstellen van een ransomware-aanval (exclusief eventuele losgeldbetalingen) zijn het afgelopen jaar met 40% gedaald tot $1,65 miljoen. Dit is het laagste in drie jaar.
• Ransomware-aanvallen hebben directe gevolgen voor teams: bijna de helft (47%) van de IT/cybersecurity-teams in retail ervaart meer druk na dataversleuteling, terwijl in een kwart van de gevallen (26%) het managementteam als gevolg daarvan werd vervangen.

De verdediging versterken voor de lange termijn

Op basis van zijn ervaring met het beschermen van retailorganisaties wereldwijd raadt Sophos de volgende best practices aan om organisaties te helpen ransomware en andere cyberdreigingen vóór te blijven:

• Elimineer de onderliggende oorzaken: onderneem proactieve stappen om veelvoorkomende technische en operationele zwakke punten aan te pakken, zoals misbruikte kwetsbaarheden, die vaak het doelwit zijn van aanvallers. Oplossingen zoals Sophos Managed Risk kunnen organisaties helpen om hun blootstelling te beoordelen en risico’s in hun omgeving te verminderen.
• Verdedig elk endpoint: zorg ervoor dat alle endpoints, inclusief servers, worden beschermd met speciale anti-ransomwarebeveiliging om te voorkomen dat aanvallen zich verder kunnen ontwikkelen.
• Plan en bereid voor: zet een uitgebreid incident response-plan op en test dit regelmatig. Zorg voor betrouwbare back-ups en oefen regelmatig met het herstellen van data om downtime te minimaliseren als er een aanval heeft plaatsgevonden.
• Monitor 24/7: voortdurend inzicht is essentieel. Organisaties die geen interne resources hebben kunnen hun veerkracht versterken door samen te werken met een betrouwbare Managed Detection and Response (MDR)-leverancier voor 24/7 monitoring van dreigingen en expert response.

Methodologie

De resultaten uit het Data for the State of Ransomware in Retail 2025-rapport zijn afkomstig uit een leveranciersonafhankelijk onderzoek onder 361 IT- en cybersecuritymanagers in de retail in organisaties met 100-5.000 medewerkers uit 16 landen. Het werd uitgevoerd in de periode januari t/m maart 2025. Alle respondenten zijn in de afgelopen twaalf maanden getroffen door ransomware. Sophos zal gedurende het jaar aanvullende resultaten over deze sector delen.

Download hier het volledige State of Ransomware in Retail 2025-rapport.

Ontdek hoe MDR aanvallen zoals ransomware in realtime kan neutraliseren door te registreren voor het webinar: Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks.