Wereldwijd brak het aantal ransomware-aanvallen in februari opnieuw records, met een stijging van maand-op-maand en jaar-op-jaar, volgens NCC Group’s ‘February Threat Pulse’. Februari bereikte een recordhoogte van 886 aanvallen, een stijging van 50% ten opzichte van januari 2025 (590) en een stijging van 119% ten opzichte van februari 2024 (403).
De dreigingsgroep Cl0p was de drijvende kracht achter de ransomware-activiteit in februari en was verantwoordelijk voor maar liefst 330 aanvallen, een stijging van 460% ten opzichte van januari (59). De cijfers van Cl0p waren ongewoon hoog als gevolg van de massale vrijgave van malwareslachtoffers na twee zero-day exploitaties in software voor bestandsoverdracht, Cleo. Naast de piek in de vrijgave van slachtoffers die in de voorgaande maanden werden gekraakt, kan Cl0p ook zijn eigen claim overdrijven om aandacht te trekken. Het aantal aanvallen van Cl0p moet dus zorgvuldig worden bekeken.Op de tweede plaats staat RansomHub met 87 aanvallen, gevolgd door Akira met 77 aanvallen en Play op de vierde plaats met 43 aanvallen.
Consumer Discretionary overtreft industrie als meest geviseerde sector
Met 278 aanvallen in februari, goed voor 31% van alle aanvallen, eiste de sector Consumer Discretionary, de bedrijfstakken voor niet essentiële goederen en diensten de toppositie op als meest bedreigde sector. Deze stijging heeft waarschijnlijk te maken met Cl0p en de Cleo-kwetsbaarheid, aangezien de software steeds meer wordt gebruikt door bedrijven in deze sector.De industrie daalde voor het eerst in 14 maanden naar de tweede plaats, sinds januari 2024, met 191 aanvallen. Ondanks de daling steeg het aantal aanvallen in deze sector van 149 in januari.
Noord-Amerika top doelwit, met meer dan de helft van alle aanvallen
Noord-Amerika bleef de regio met het meeste doelwit, goed voor 65% van alle aanvallen wereldwijd (574), aanzienlijk meer dan Europa, de volgende regio die het zwaarst werd getroffen met 18% van de aanvallen (159). Met aanhoudende geopolitieke spanningen en grote verstoringen van de cyberbeveiligingsnormen van het Department of Government Efficiency (DOGE) is het waarschijnlijk dat het aantal aanvallen in Noord-Amerika zal blijven toenemen.Azië nam de derde plaats in met 7% aanvallen (64), gevolgd door Zuid-Amerika met 5% van de aanvallen (42).
In december 2024 kondigde een vermeende beheerder van de groep echter de verwachte release van LockBit 4.0 in 2025 aan, wat mogelijk duidt op een poging om de groep nieuw leven in te blazen te midden van de aanhoudende aanvallen van wetshandhavers. Ondanks deze belofte heeft LockBit nog geen significante opleving van activiteiten gehad.
Wetshandhaving blijft sterk in 2025. Het neerhalen van 8Base in februari verstoorde de activiteiten van de groep, wat resulteerde in meerdere arrestaties en de inbeslagname van de infrastructuur. Door de toenemende wereldwijde coördinatie zijn deze inspanningen succesvoller en is het voor groepen veel moeilijker om aan justitie te ontkomen.
Matt Hull, Head of Threat Intelligence bij NCC Group, zegt:“Het aantal slachtoffers van ransomware bereikte recordhoogten in februari, een stijging van 50% ten opzichte van januari 2025, met Cl0p aan kop. In tegenstelling tot traditionele ransomware ging het bij Cl0p niet om het versleutelen van systemen, maar om het stelen van gegevens op grote schaal. Door gebruik te maken van ongepatchte kwetsbaarheden in veelgebruikte software voor bestandsoverdracht, zoals we zagen bij MoveIT en GoAnywhere, konden ze gevoelige informatie exfiltreren en zullen ze nu beginnen met het onder druk zetten van slachtoffers om te betalen.
“Deze verschuiving naar gegevensdiefstal en afpersing wordt de strategie voor ransomware groepen, waardoor ze meer organisaties kunnen aanvallen en hun invloed op slachtoffers kunnen maximaliseren. Ondertussen voert de wetshandhaving haar inspanningen op en recente aanvallen laten zien dat internationale samenwerking echt effect heeft. Maar terwijl aanvallers hun tactieken ontwikkelen, moeten verdedigers hetzelfde doen. Bedrijven moeten verder gaan dan reactieve maatregelen en een proactieve houding aannemen, door ervoor te zorgen dat kwetsbaarheden worden gepatcht, gegevens worden beschermd en incidentbestrijdingsplannen gereed zijn.”
Kijk hier voor het rapport: Access the report
