Industrie- en bouwsector zwaarst getroffen door ransomware-afpersing
België telt voor het eerst in de geschiedenis meer geregistreerde ransomware-slachtoffers op het darkweb dan Nederland. Dit blijkt uit het vandaag gepubliceerde Cyber Dreigingsradar Jaarrapport 2026, opgesteld door Digiweerbaar.nl in nauwe samenwerking met Cybercrimeinfo. Hoewel de jaarlijkse groei van nieuwe slachtoffers in de Benelux afvlakt, blijft de absolute dreiging historisch hoog. In de publicatie is specifiek gekeken naar organisaties waarvan gestolen data door cybercriminelen op zogeheten leak sites op het darkweb is gepubliceerd.
België haalt Nederland in
De verschuiving in de Benelux is een van de meest opvallende conclusies uit het rapport. Op 1 mei 2026 telde België in totaal 249 geregistreerde organisaties op ransomware-leksites, tegenover 239 in Nederland.
België kende het afgelopen jaar (tussen mei 2025 en mei 2026) 40 nieuwe slachtoffers (+19,1 procent), terwijl er in Nederland in diezelfde periode 27 nieuwe slachtoffers bij kwamen (+12,7 procent). Hoewel het totale aandeel van Nederland en België in de wereldwijde cijfers licht daalde van 2,3 procent in 2024 naar 1,7 procent in 2026, bereikt het cumulatieve aantal slachtoffers in beide landen een nieuw historisch dieptepunt.
Wereldwijde stijging zet onverminderd door
Waar de groei in de Benelux procentueel gezien wat afvlakt, is er op wereldwijde schaal nog altijd sprake van een forse toename. De Cyber Dreigingsradar registreerde per 1 mei 2026 wereldwijd 28.446 getroffen organisaties. Dat zijn maar liefst 7.930 nieuwe slachtoffers in één jaar tijd: een stijging van 38,6 procent ten opzichte van mei 2025.
Aangezien organisaties soms pas maanden na een daadwerkelijke aanval op een leksite worden gepubliceerd, zijn de cijfers voor het meest recente meetjaar vermoedelijk nog een ondergrens.
Industrie en bouw doelwit nummer één; Qilin nieuwe koploper
De analyses van de ransomware-incidenten tussen 2020 en juli 2026 laten zien welke sectoren het zwaarst worden getroffen:
- Industrie & Bouw: Met 15 procent (69 incidenten) de absolute koploper.
- Handel & Retail en IT & Technologie: Beide goed voor 13 procent (elk 61 incidenten).
- Zakelijke & Financiële diensten: 9 procent (41 incidenten).
Opvallend is dat de sector Zorg & Gezondheid met slechts 3 procent (16 incidenten) in deze specifieke dataset relatief gespaard is gebleven.
Daarnaast is het criminele landschap sterk versnipperd met in totaal 102 actieve groepen. De beruchte ransomwaregroep LockBit domineert historisch gezien nog altijd de statistieken (met 82 slachtoffers sinds 2020), maar verloor na de internationale politieactie Operation Cronos in 2024 tijdelijk zijn leidende positie. In de periode 2025–2026 heeft de groep Qilin (16 slachtoffers) de rol van meest actieve dreiging in de regio overgenomen, op de voet gevolgd door de opkomende groep THE GENTLEMAN en een herrijzend LockBit (beide 11 slachtoffers).
Belang van actuele dreigingsinformatie
Ransomware-aanvallen zijn de afgelopen jaren sterk veranderd. Waar cybercriminelen zich voorheen vooral richtten op het onklaar maken en versleutelen van systemen, ligt de nadruk tegenwoordig bijna volledig op dubbele afpersing: het stelen en dreigen met het openbaar maken van privacygevoelige bedrijfs- en klantgegevens.
Omdat de gepresenteerde cijfers uitsluitend gaan over organisaties die daadwerkelijk op het darkweb zijn gepubliceerd, adviseren Digiweerbaar en Cybercrimeinfo om continu het dreigingslandschap te monitoren. Dit actieve risicobeheer helpt organisaties bovendien om te voldoen aan de strengere eisen van de Europese NIS2-richtlijn en de nieuwe Nederlandse Cyberbeveiligingswet