Sophos presenteert zijn vijfde jaarlijkse State of Ransomware in Retail-rapport, een leveranciersonafhankelijk onderzoek onder IT- en cybersecuritymanagers uit 16 landen. Uit het rapport van dit jaar blijkt dat bijna de helft (46%) van de ransomware-incidenten in de retail te wijten was aan een onbekend beveiligingslek. Dit benadrukt de voortdurende uitdagingen rondom zichtbaarheid in het aanvalsoppervlak van retail. Van de organisaties waarvan de data was versleuteld, betaalde 58% het losgeld om hun data terug te krijgen – het op één na hoogste betalingspercentage in vijf jaar.
De belangrijke bevindingen uit het rapport
- 46% van de aanvallen begon met een onbekend beveiligingslek (belangrijkste operationele factor)
- 30% van de aanvallen maakte gebruik van bekende kwetsbaarheden (belangrijkste technische oorzaak, voor het derde jaar op rij)
- 58% van de slachtoffers met versleutelde data betaalde; 48% van de aanvallen resulteerde in versleuteling (het laagste percentage in vijf jaar)
- De mediaan van de losgeldeis verdubbelde tot $2 miljoen ten opzichte van 2024; de gemiddelde betaling steeg met 5% tot $1 miljoen
Wat Sophos ziet in retail
In het afgelopen jaar heeft Sophos X‑Ops bijna 90 verschillende dreigingsgroepen waargenomen die zich via leak-sites op een of meer detailhandelaren richtten met ransomware of afpersing. De meest actieve groepen die Sophos heeft gevolgd op basis van incidentrespons en MDR-cases zijn Akira, Cl0p, Qilin, PLAY en Lynx. Na ransomware is accountcompromittering het op één na meest voorkomende incident bij retailers. En zoals vele sectoren is retail een consistent doelwit van Business Email Compromise (BEC)-groepen die betalingen willen omleiden – het op twee na meest voorkomende incident.
“Retailers wereldwijd hebben te maken met een complexer dreigingslandschap waar cybercriminelen constant op zoek zijn naar bestaande kwetsbaarheden, meestal in apparatuur voor externe toegang en internetnetwerken, om deze te misbruiken. Nu losgeldeisen nieuwe hoogtes bereiken, is het nog belangrijker om uitgebreide beveiligingsstrategieën te implementeren. Zonder deze strategieën lopen retailers het risico op voortdurende operationele verstoringen en blijvende reputatieschade, wat jaren kan duren voordat dit is hersteld. Gelukkig beginnen velen dit in te zien en ze reageren hierop door te investeren in hun cyberbeveiliging, waardoor ze aanvallen kunnen stoppen voordat ze escaleren zodat ze sneller herstellen”, zegt Chester Wisniewski, director, global field CISO, Sophos.
Beperkte interne expertise was de op één na meest voorkomende operationele oorzaak van compromittering (45%), gevolgd door hiaten in de beschermingsdekking (44%). Zonder de juiste vaardigheden en dekking is het lastig voor retailers om aanvallen te detecteren en neutraliseren.
Naast deze uitdagingen zijn er ook tekenen van vooruitgang. Het percentage aanvallen dat werd gestopt voordat de versleuteling plaatsvond, bereikte het hoogste niveau in vijf jaar. Dit impliceert dat retailorganisaties beter in het snel detecteren en neutraliseren van aanvallen. Het dataversleuteling percentage is op het laagste niveau in vijf jaar, waarbij slechts 48% van de aanvallen nu resulteert in dataversleuteling.
Hoewel de gemiddelde losgeldbetaling in retail is gestegen met 5% (van $950.000 in 2024 naar $1 miljoen in 2025), is de gemiddelde losgeldbetaling de helft van de gemiddelde losgeldeis. Dit suggereert dat retailorganisaties steeds beter bestand zijn tegen buitensporige losgeldeisen en dat ze mogelijk advies van experts inwinnen om ransomware-aanvallen het hoofd te bieden.
“Succesvolle beveiligingsprogramma’s richten zich op risicobeheer. Om die risico’s te beoordelen en beheren, moeten retailers inzicht hebben in de dreigingen, in hun assets en in hun beveiliging. Organisaties die sterk assetmanagement en patching combineren met Managed Detection and Response- en managed risk-diensten voorkomen meer en herstellen sneller. Hierdoor pakken ze cyberverdediging aan op een proactieve manier.”
Volgens het State of Ransomware in Retail 2025-rapport:
- Dataversleuteling daalt, maar cybercriminelen passen zich aan: hoewel percentages van dataversleuteling op het laagste niveau zijn sinds vijf jaar, passen cybercriminelen zich aan, want de hoeveelheid retailers dat door afpersingsaanvallen werd getroffen is verdriedubbeld, van 2% in 2023 tot 6% in 2025.
- Back-up percentages dalen: 62% van de retailers die werden getroffen door aanvallen herstelden hun data met behulp van back-ups, het laagste percentage in vier jaar.
- Retailers weerstaan losgeldeisen: kijkend naar de eisen versus betalingen, zegt slechts 29% van de retailers dat hun betaling overeenkwam met de oorspronkelijke eis. 59% betaalde minder dan de oorspronkelijke eis en 11% betaalde meer.
- Herstelkosten dalen: de gemiddelde kosten om te herstellen van een ransomware-aanval (exclusief eventuele losgeldbetalingen) zijn het afgelopen jaar met 40% gedaald tot $1,65 miljoen. Dit is het laagste in drie jaar.
- Ransomware-aanvallen hebben een directe gevolgen voor teams: bijna de helft (47%) van de IT/cybersecurity-teams in retail ervaart meer druk na dataversleuteling, terwijl in een kwart van de gevallen (26%) het managementteam als gevolg daarvan werd vervangen.
De verdediging versterken voor de lange termijn
Op basis van zijn ervaring met het beschermen van retailorganisaties wereldwijd raadt Sophos de volgende best practices aan om organisaties te helpen ransomware en andere cyberdreigingen vóór te blijven:=
- Elimineer de onderliggende oorzaken: onderneem proactieve stappen om veelvoorkomende technische en operationele zwakke punten aan te pakken, zoals misbruikte kwetsbaarheden, die vaak het doelwit zijn van aanvallers. Oplossingen zoals Sophos Managed Risk kunnen organisaties helpen om hun blootstelling te beoordelen en risico’s in hun omgeving te verminderen.
- Verdedig elk endpoint: zorg ervoor dat alle endpoints, inclusief servers, worden beschermd met speciale anti-ransomware beveiliging om te voorkomen dat aanvallen zich verder kunnen ontwikkelen.
- Plan en bereidt voor: zet een uitgebreid incident response-plan op en test dit regelmatig. Zorg voor betrouwbare back-ups en oefen regelmatig met het herstellen van data om downtime te minimaliseren als er een aanval heeft plaatsgevonden.
- Monitor 24/7: voortdurend inzicht is essentieel. Organisaties die geen interne resources hebben kunnen hun veerkracht versterken door samen te werken met een betrouwbare Managed Detection and Response (MDR)-leverancier voor 24/7 monitoring van dreigingen en expert response.
