Bijna de helft (47%) van alle ransomware-aanvallen in 2025 kan worden toegeschreven aan slechts drie criminele groeperingen: Akira, Qilin en RansomHub. Dat blijkt uit nieuw onderzoek van cybersecuritybedrijf Arctic Wolf. Het gaat om een opvallende machtsconcentratie binnen het ransomware-ecosysteem ten opzichte van het jaar daarvoor, toen de drie dominante groepen Akira, LockBit 3.0 en BlackSuit samen verantwoordelijk waren voor 30% van alle ransomware incidenten. Volgens de onderzoekers van Arctic Wolf laat deze consolidatie en verschuiving niet alleen zien dat ransomware een succesvol en schaalbaar businessmodel is voor cybercriminelen, maar ook dat machtsverhoudingen binnen het cybercriminele ecosysteem snel kunnen verschuiven.
Ransomware was ook in 2025 opnieuw de meest voorkomende soort cyberaanval, goed voor 44% van alle incidenten die Arctic Wolf behandelde. Ten opzichte van het jaar daarvoor is dit percentage hetzelfde gebleven. De impact op organisaties blijft groot, omdat ransomware-aanvallen vrijwel altijd leiden tot acute operationele verstoring en crisissituaties.
Wie domineert het ransomware-landschap?
In gevallen waarin de daders met zekerheid konden worden geïdentificeerd door Arctic Wolf domineren drie groepen het huidige dreigingslandschap:
- Akira is voor het tweede jaar op rij de meest actieve ransomware-groep en vergrootte zijn aandeel van 14,6% naar 18,3%. De groep onderscheidt zich door snelle aanvallen, een stabiel affiliatie model en een hoge mate van operationele volwassenheid.
- Qilin is de sterkste stijger in de lijst van ransomware-groepen en is inmiddels verantwoordelijk voor 16,9% van alle toegewezen ransomware-aanvallen. De groei wordt toegeschreven aan actieve werving van affiliates en het opvullen van het gat dat ontstond na het verdwijnen van andere grote groepen.
- RansomHub was verantwoordelijk voor 12,2% van de incidenten, maar liet een duidelijke daling zien in activiteit nadat de groep was overgenomen door DragonForce. Dit is een patroon dat vaker terugkomt bij ransomware-groepen die van naam of leiderschap veranderen.
Enkele andere noemenswaardige ransomware-groepen zijn:
- FOG dat 7,5% van de incidenten voor zijn rekening neemt, vooral door een sterke piek in activiteit in het begin van 2025. De afname later in het jaar wijst mogelijk op een korte operationele levenscyclus of een verschuiving in tactiek.
- PLAY liet een meer geleidelijke stijging zien naar 5,6%, wat duidt op consistente maar gecontroleerde groei.
- INC debuteert in de lijst met 7,5% en valt op door zijn snelle opmars. Deze is grotendeels te danken aan zijn aanpassingsvermogen en zijn vermogen om affiliates te werven.
“Internationale politieacties hebben het ransomware-landschap zichtbaar herschikt in 2025. Grote namen als LockBit, ALPHV BlackCat en BlackSuit zijn verdwenen, maar hun plaats wordt snel ingenomen door nieuwe groepen en rebrands. Aanvallen worden bovendien sneller en gerichter uitgevoerd. Het ransomware-landschap zal zich verder ontwikkelen tot een professioneel en schaalbaar verdienmodel. Voor organisaties betekent dit dat weerbaarheid belangrijker is dan ooit, ongeacht welke groep de aanval opeist”, zegt Christopher Fielder, Field CTO bij Arctic Wolf.
Het volledige Arctic Wolf Threat Report 2026 vind je hier.
