Qilin en LockBit heer en meester in stabiele ransomware-markt
Het mondiale ransomware-landschap ondergaat een ingrijpende gedaanteverwisseling. Waar de markt vorig jaar nog versnipperd was door talloze kleine spelers, consolideert de macht zich nu razendsnel bij een selecte groep dominante bendes. Dat concludeert Check Point Software Technologies in zijn nieuwste ‘State of Ransomware’-rapport over het eerste kwartaal van 2026.
De cijfers liegen niet: in de eerste drie maanden van dit jaar werden 2.122 organisaties publiekelijk aan de schandpaal genageld op leak-sites. Hoewel dit volume vergelijkbaar is met vorig jaar, is de verdeling achter de aanvallen radicaal veranderd. Maar liefst 71% van alle slachtoffers is toe te schrijven aan de top 10 van ransomwaregroepen.
De terugkeer van de reuzen
De trend van fragmentatie lijkt hiermee definitief gekeerd. De markt wordt nu beheerst door een "oligopolie" van professionele cybercriminelen:
- Qilin: Voor het derde kwartaal op rij de absolute koploper met 338 slachtoffers.
- The Gentlemen: Een agressieve nieuwkomer die zijn activiteit verviervoudigde naar 166 slachtoffers.
- LockBit: Ondanks eerdere acties van opsporingsdiensten is de groep terug in de top met 163 slachtoffers.
Samen met de groep Akira zijn deze vier spelers verantwoordelijk voor 41% van de totale schade. Volgens Check Point is deze consolidatie het gevolg van natuurlijke selectie: kleinere groepen bezwijken onder druk van politie en justitie, terwijl de sterkste groepen de infrastructuur en het personeel van hun gevallen concurrenten overnemen.
Hoog niveau is het 'nieuwe normaal'
Het rapport waarschuwt bedrijfsleiders dat de dreiging niet langer in golven komt, maar een constant, hoog plateau heeft bereikt. Gemiddeld worden er meer dan 700 slachtoffers per maand gerapporteerd op meer dan 70 verschillende leak-sites. De lichte daling ten opzichte van de piek in 2025 is volgens de onderzoekers misleidend; destijds werd de data opgeblazen door één enkele massale campagne. Gecorrigeerd voor die afwijking is de activiteit juist toegenomen. "Ransomware wordt niet langer gedreven door kortstondige pieken, maar heeft zich gestabiliseerd op een aanhoudend hoog niveau," aldus de onderzoekers.
Gevolgen voor organisaties
De verschuiving naar minder, maar grotere spelers verandert de risicobalans voor bedrijven. Grotere ransomware-operaties zijn beter georganiseerd, beschikken over meer middelen en zijn technisch bekwamer. Hierdoor is de kans op een incident misschien iets kleiner dan in een versnipperde markt, maar de impact van een succesvolle aanval is vele malen groter. De focus voor verdedigers moet daarom verschuiven van puur reactief handelen naar preventie en het beheersen van toegangsrechten.
