Searchlight Cyber heeft zijn nieuwste ransomwarerapport gepubliceerd, gebaseerd op informatie van het dark web, met een uitgebreide analyse van het ransomware-ecosysteem gedurende 2025. Het rapport, getiteld “Ransomware’s Record Year: Tracking a Volatile Landscape in H2 2025”, onthult dat ransomwaregroepen in 2025 een recordaantal van 7.458 slachtoffers hebben geregistreerd op dark web-leksites, een aanzienlijke stijging van 30% ten opzichte van 2024.
Deze jaarlijkse gegevens tonen een aanhoudende en groeiende dreiging aan, ondanks een marginale daling van 0,24% in het aantal slachtoffers in de tweede helft van het jaar ten opzichte van de eerste helft. Onderzoekers van Searchlight registreerden ook een recordaantal van 93 actieve ransomwaregroepen in de tweede helft van het jaar, waarbij 2025 het hoogste aantal gloednieuwe groepen op het dark web liet zien
Het onderzoek bracht ook het volgende aan het licht:
- Een complexer en gefragmenteerder landschap: In 2025 waren er in totaal 124 actieve groepen, meer dan in elk voorgaand jaar. Er werden 73 nieuwe ransomwaregroepen geïdentificeerd in 2025, waarvan 38 alleen al in de tweede helft van het jaar.
- De toenemende snelheid waarmee slachtoffers vallen: Op jaarbasis verdubbelde de groei van het aantal slachtoffers meer dan, van een stijging van 12% in 2024 naar 30% in 2025.
- vDe opkomst van Qilin: Qilin domineerde het landschap als de meest actieve groep, met een duizelingwekkende stijging van 420% op jaarbasis in het aantal slachtoffers.
- De opkomst van ‘supergroepen’: Het rapport beschrijft de vorming van spraakmakende samenwerkingsverbanden, zoals Scattered Lapsus$ Hunters, waarbij cybercriminelen gespecialiseerde talenten bundelen om hun activiteiten op te schalen.
- AI als katalysator: Kunstmatige intelligentie verlaagt de drempel voor nieuwe groepen, waardoor ze de ontwikkeling van malware kunnen automatiseren en hypergepersonaliseerde social engineering kunnen uitvoeren
Luke Donovan, Head of Threat Intelligence bij Searchlight Cyber: “2025 was een recordjaar voor ransomware, gedreven door een geprofessionaliseerd ecosysteem dat ondanks de toegenomen druk van de wereldwijde wetshandhaving nog steeds verwoestend effectief is. Hoewel we in de tweede helft van het jaar een lichte daling van het aantal slachtoffers zagen, mag dit niet als een overwinning worden beschouwd. Het landschap blijft fragmenteren; grote, monolithische syndicaten vallen uiteen in kleinere, wendbare cellen, en met een recordaantal actieve groepen is het ‘dreigingslandschap complexer en moeilijker te volgen dan ooit tevoren’.”
Veranderende tactieken en topspelers
Het rapport schetst een verschuivende ranglijst voor de vijf meest actieve ransomwaregroepen op basis van het aantal slachtoffers in de tweede helft van 2025:
- Qilin (697 slachtoffers)
- Akira (384 slachtoffers)
- IncRansom (213 slachtoffers)
- Sinobi (180 slachtoffers)
- Play (164 slachtoffers)
Qilin klom in de tweede helft van het jaar naar de top, van de derde plaats, met een piek in het aantal slachtoffers in oktober en december na een aangekondigde coalitie met de groepen Dragonforce en LockBit. Ondertussen hebben nieuwkomers zoals Sinobi binnen enkele maanden na hun debuut de top bereikt, gebruikmakend van een gedisciplineerde Ransomware-as-a-Service (RaaS)-structuur.
De analyse van Searchlight benadrukt dat ‘Shadow Exposure’ in software van derden een kritieke kwetsbaarheid blijft. Kwaadwillenden maken steeds vaker misbruik van kwetsbaarheden in softwareleveringsketens, sneller dan patchcycli kunnen bijbenen.
Het rapport benadrukt de noodzaak van Preventieve benaderingen om zich te verdedigen tegen ransomware, met gedetailleerde methoden om het Initial Access Broker (IAB)-ecosysteem te bestrijden en gevoelige gegevens in ransomware-lekbestanden van derden te identificeren voordat een aanval wordt uitgevoerd.
Luke Donovan: “In het risicovolle ransomware-spel van 2026 is de enige manier om echt te winnen ervoor te zorgen dat je überhaupt geen doelwit bent. Offensieve rechtshandhavingsoperaties zijn essentieel, maar onze gegevens tonen aan dat ze niet de enige oplossing kunnen zijn. Organisaties moeten een preventieve strategie hanteren, waarbij ze de zichtbaarheid behouden en risico’s beperken om bedreigingen te neutraliseren voordat ze escaleren tot volwaardige aanvallen.”
