Sophos publiceert zijn zesde jaarlijkse State of Ransomware-rapport, een onderzoek onder IT- en cybersecurity-managers in 17 landen dat de impact van ransomware-aanvallen op organisaties bestudeert. Uit het rapport van dit jaar bleek dat bijna 50% van de organisaties losgeld betaalden om hun data terug te krijgen – het op één na hoogste percentage losgeldbetalingen voor losgeldeisen in zes jaar.
Ondanks het hoge percentage organisaties die het losgeld betaalde, betaalde meer dan de helft – 53% – minder dan de oorspronkelijke eis. In 71% van de gevallen waarin de organisaties minder betaalden, deden ze dit door te onderhandelen – zelf of met hulp van een derde partij. Verder daalde de gemiddelde losgeldeis tussen 2024 en 2025 met een derde en de gemiddelde losgeldbetaling daalde met 50%. Dit laat zien dat organisaties succesvoller worden in het minimaliseren van de impact van ransomware.
De gemiddelde losgeldbetaling bedroeg een miljoen dollar, hoewel de oorspronkelijke eis aanzienlijk varieerde afhankelijk van de omvang en omzet van de organisatie. De gemiddelde losgeldeis voor organisaties met meer dan $1 miljard aan omzet was meer dan 5 miljoen dollar, terwijl organisaties met een omzet van $250 miljoen of minder gemiddeld losgeldeisen lager dan $350.000 kregen.
Voor het derde jaar op rij waren uitgebuite kwetsbaarheden de belangrijkste technische oorzaak van aanvallen. Volgens 40% van de ransomware-slachtoffers profiteerden aanvallers van een beveiligingslek waar de organisatie niet vanaf wist – dit benadrukt dat organisaties voortdurend moeite hebben om inzicht te krijgen in hun aanvalsoppervlak en het te beveiligen. 63% van de organisaties noemde problemen met resourcing als reden waarom ze het slachtoffer werden van een aanval, waarbij gebrek aan expertise de belangrijkste operationele oorzaak was voor organisaties met meer dan 3.000 medewerkers. Organisaties met 251–500 medewerkers noemden het gebrek aan mensen/capaciteit het vaakst.
“Voor veel organisaties is de kans op een ransomware-aanval simpelweg een onderdeel van zakendoen in 2025.” zegt Chester Wisniewski, director, field CISO, Sophos. “Het goede nieuws is dat veel bedrijven zich dankzij toegenomen bewustzijn bewapenen met middelen om de schade te beperken. Veel organisaties hebben ingezien dat ze hulp nodig hebben en zijn overgestapt op MDR-diensten (Managed Detection and Response) voor verdediging. Degenen die slachtoffer worden, vertrouwen op hun cyberverzekering en huren incidentresponders in die niet alleen de losgeldbetalingen kunnen verlagen, maar ook het herstel kunnen versnellen en zelfs lopende aanvallen kunnen stoppen.”
“Natuurlijk kan ransomware nog worden ‘genezen’ met proactieve beveiligingsstrategieën, zoals multifactorauthenticatie en patching, robuuste beveiligingsteams en, het belangrijkste, de aanvallers niet geven wat ze willen – geld”.
Andere belangrijke bevindingen van het State of Ransomware 2025-rapport zijn:
- Meer organisaties weten aanvallen te stoppen: 44% van de organisaties kon de ransomware-aanval stoppen voordat data werd versleuteld – zo hoog was dit percentage in de afgelopen 6 jaar nog niet eerder. Data-encryptie was ook nog niet eerder zo laag: bij slechts de helft van de organisaties werd hun data versleuteld.
- Het gebruik van back-ups neemt af: slechts 54% van de organisaties gebruikte back-ups om hun data te herstellen – het laagste percentage in zes jaar.
- Het bedrag aan losgeldbetalingen en de herstelkosten nemen af: de gemiddelde herstelkosten daalden van $2,73 miljoen in 2024 naar $1,53 miljoen in 2025. Hoewel losgeldbetalingen hoog zijn, daalden ze met 50% van $2 miljoen in 2024 naar $1 miljoen in 2025.
- Losgeldbetalingen verschillen per sector: nationale en lokale overheden betaalden gemiddeld het hoogste bedrag ($2,5 miljoen), terwijl organisaties in de gezondheidszorg het laagste bedrag ($150.000) betaalden.
- Organisaties herstellen sneller: meer dan de helft van de organisaties (53%) herstelde binnen een week volledig van een ransomware-aanval – vorig jaar was dat nog 35%. Slechts 18% had langer dan een maand nodig om te herstellen – een daling ten opzichte van 35% in 2024.
Best practices
- Sophos raadt de volgende best practices aan om je als organisatie te verdedigen tegen ransomware en andere cyberaanvallen:
- Onderneem stappen om veelvoorkomende technische en operationele oorzaken van aanvallen te elimineren, zoals uitgebuite kwetsbaarheden. Tools zoals Sophos Managed Risk helpen organisaties hun risicoprofiel in te zien en hun blootstelling te minimaliseren.
- Zorg ervoor dat alle endpoints (inclusief servers) goed beschermd zijn met speciale anti-ransomwarebescherming.
- Zorg voor een getest incident response-plan voor als het misgaat. Zorg voor goede back-ups en oefen regelmatig met het herstellen van data.
- Organisaties hebben 24 uur per dag bewaking en detectie nodig. Als ze hier intern niet de resources voor hebben, kunnen ze samenwerken met een vertrouwde MDR-aanbieder (Managed Detection and Response).
De data van het State of Ransomware 2025-rapport zijn afkomstig van een leverancier-onafhankelijk onderzoek onder 3.400 IT- en cybersecurity-managers, waarin werd gevraagd naar hun ervaringen van de afgelopen 12 maanden. De respondenten waren gevestigd in 17 landen in Noord- en Zuid-Amerika, EMEA en Azië-Pacific. De ondervraagde organisaties hadden tussen de 100 en 5.000 medewerkers en hun omzet varieerde van minder dan $10 miljoen tot meer dan $5 miljard.
Sophos zal in de loop van het jaar nog meer bevindingen publiceren.
