Vandaag (12 mei), Internationale Anti-Ransomware Dag, heeft Kasperky een rapport gepubliceerd met een overzicht van ransomware-trends in 2025 en inzichten in het dreigingslandschap voor 2026. Volgens Kaspersky Security Network had Latijns-Amerika in 2025 het hoogste percentage organisaties met gedetecteerde ransomware-aanvallen (8,13%), gevolgd door Azië-Pacific (7,89%), Afrika (7,62%), het Midden-Oosten (7,27%), het Gemenebest van Onafhankelijke Staten (GOS, 5,91%) en Europa (3,82%).
Het rapport benadrukt de opkomst van afpersingsaanvallen zonder encryptie, het gebruik van post-kwantumcryptografie door ransomwaregroepen en het aanhoudende gebruik van Telegram-kanalen door cybercriminelen om gecompromitteerde datasets en inloggegevens te verspreiden.
Ondanks een lichte daling van het totale aantal organisaties dat in 2025 door ransomware werd aangevallen ten opzichte van 2024, blijven gebruikers een aanzienlijk risico lopen. Aanvallers industrialiseren hun activiteiten, automatiseren inbraakmethoden en richten zich steeds meer op het stelen en lekken van gevoelige gegevens in plaats van simpelweg systemen te versleutelen.
Telegramkanalen en darkwebforums fungeren voortdurend als platforms voor de verspreiding en verkoop van gecompromitteerde datasets en toegangsgegevens, waaronder die verkregen als gevolg van ransomwareaanvallen. Een belangrijk ondergronds forum, RAMP, dat ook fungeerde als platform waarop cybercriminelen hun ransomwarediensten adverteerden en updates over die diensten publiceerden, werd in januari 2026 door de autoriteiten in beslag genomen. Een ander ondergronds forum, LeakBase, waar kwaadwillenden gestolen en gecompromitteerde gegevens verspreidden, werd in maart 2026 in beslag genomen. Hoewel wetshandhavingsinstanties actief darkwebplatforms en ransomwaredatalekken sluiten, kunnen er in de loop der tijd vergelijkbare portalen verschijnen.
Een van de trends in 2025 is de aanhoudende opkomst van EDR-“killers” (endpoint detection and response) – tools die specifiek zijn ontworpen om endpointbeveiligingsoplossingen uit te schakelen voordat de malware zelf wordt uitgevoerd. EDR-killers zijn een standaardonderdeel van aanvallen geworden, wat betekent dat de inbraken doelbewuster en methodischer worden uitgevoerd.
Onderzoekers hebben ook de opkomst van ransomwarefamilies opgemerkt die gebruikmaken van post-kwantumcryptografiestandaarden – dit werd eerder al voorspeld door Kaspersky. Deze ontwikkeling duidt op een zorgwekkende verschuiving naar encryptiemethoden die bestand zouden kunnen zijn tegen toekomstige decryptiepogingen met behulp van kwantumcomputers.
De rol van Initial Access Brokers (IAB’s) – cybercriminele tussenpersonen die via ondergrondse fora en berichtenplatformen toegang tot reeds gecompromitteerde bedrijfssystemen verkopen – neemt toe. RDWeb-portalen (websites waarmee apparaten op afstand kunnen worden bestuurd) worden steeds vaker aangevallen, omdat ransomwaregroepen hun aanvallen industrialiseren via “Access-as-a-Service”-operaties. Hierdoor wordt de drempel voor het uitvoeren van ransomware-aanvallen steeds lager.
Actieve groepen
Onder de meest actieve ransomwaregroepen in 2025, gebaseerd op dataleksites, identificeerde Kaspersky Qilin als de dominante ransomware-as-a-service (RaaS)-aanbieder na de inbeslagname van de activiteiten door RansomHub. Clop stond op de tweede plaats als meest actieve groep, met Akira op de derde plaats.Het aandeel slachtoffers van elke ransomwaregroep volgens hun dataleksite (DLS), als percentage van alle gerapporteerde slachtoffers van alle groepen in 2025
Hoewel verschillende grote ransomwaregroepen in 2025 hun activiteiten staakten, duiken er nieuwe actoren op. Kijkend naar 2026 is Gentlemen een van de belangrijkste nieuwe ransomware-actoren vanwege de snelle groei van de groep, de gestructureerde werkwijze en de toenemende focus op data-gebaseerde afpersing. De groep kan aanvallers omvatten die voorheen verbonden waren aan andere grote ransomware-operaties. De Gentlemen illustreren een bredere verschuiving in het ransomware-ecosysteem, weg van chaotische, luidruchtige campagnes naar schaalbare, zakelijke afpersingsmodellen die zich primair richten op het stelen van gevoelige gegevens en het uitoefenen van reputatie- en regelgevingsdruk, in plaats van uitsluitend te vertrouwen op ontwrichtende bestandsversleuteling.
““Ransomware is uitgegroeid tot een zeer georganiseerd ecosysteem dat zich richt op het te gelde maken van gestolen gegevens, het uitschakelen van beveiligingssystemen en het schalen van aanvallen met een zakelijke efficiëntie. Kwaadwillenden passen zich snel aan, gebruiken legitieme tools als wapen, exploiteren infrastructuur voor toegang op afstand en nemen zelfs post-kwantumcryptografie jaren eerder in gebruik dan velen hadden verwacht. Het doel van Anti-Ransomware Day is om wereldwijd bewustzijn te creëren over de bedreigingen van ransomware en om best practices voor preventie en respons te promoten. We roepen alle gebruikers op om veilig te blijven, gelaagde beveiligingssystemen op te zetten, te investeren in back-ups en hun cybergeletterdheid te vergroten om aanvallen te kunnen afweren”, aldus Fabio Assolini, Lead Security Researcher bij Kaspersky GReAT.
Het volledige rapport staat hier: https://securelist.com/state-of-ransomware-in-2026/119761/
1
