Bijna de helft (47%) van alle ransom­ware-aanvallen in 2025 kan worden toege­schreven aan slechts drie crimi­nele groepe­ringen: Akira, Qilin en RansomHub. Dat blijkt uit nieuw onder­zoek van cyber­se­cu­ri­ty­be­drijf Arctic Wolf. Het gaat om een opval­lende machts­con­cen­tratie binnen het ransom­ware-ecosys­teem ten opzichte van het jaar daarvoor, toen de drie dominante groepen Akira, LockBit 3.0 en Black­Suit samen verant­woor­de­lijk waren voor 30% van alle ransom­ware incidenten. Volgens de onder­zoe­kers van Arctic Wolf laat deze conso­li­datie en verschui­ving niet alleen zien dat ransom­ware een succesvol en schaal­baar business­model is voor cyber­cri­mi­nelen, maar ook dat machts­ver­hou­dingen binnen het cyber­cri­mi­nele ecosys­teem snel kunnen verschuiven.

Ransom­ware was ook in 2025 opnieuw de meest voorko­mende soort cyber­aanval, goed voor 44% van alle incidenten die Arctic Wolf behan­delde. Ten opzichte van het jaar daarvoor is dit percen­tage hetzelfde gebleven. De impact op organi­sa­ties blijft groot, omdat ransom­ware-aanvallen vrijwel altijd leiden tot acute opera­ti­o­nele versto­ring en crisissituaties.

Wie domineert het ransomware-landschap?

In gevallen waarin de daders met zeker­heid konden worden geïden­ti­fi­ceerd door Arctic Wolf domineren drie groepen het huidige dreigingslandschap:

• Akira is voor het tweede jaar op rij de meest actieve ransom­ware-groep en vergrootte zijn aandeel van 14,6% naar 18,3%. De groep onder­scheidt zich door snelle aanvallen, een stabiel affili­atie model en een hoge mate van opera­ti­o­nele volwassenheid.
• Qilin is de sterkste stijger in de lijst van ransom­ware-groepen en is inmid­dels verant­woor­de­lijk voor 16,9% van alle toege­wezen ransom­ware-aanvallen. De groei wordt toege­schreven aan actieve werving van affili­ates en het opvullen van het gat dat ontstond na het verdwijnen van andere grote groepen.
• RansomHub was verant­woor­de­lijk voor 12,2% van de incidenten, maar liet een duide­lijke daling zien in activi­teit nadat de groep was overge­nomen door Dragon­Force. Dit is een patroon dat vaker terug­komt bij ransom­ware-groepen die van naam of leider­schap veranderen.

Enkele andere noemens­waar­dige ransom­ware-groepen zijn:

• FOG dat 7,5% van de incidenten voor zijn rekening neemt, vooral door een sterke piek in activi­teit in het begin van 2025. De afname later in het jaar wijst mogelijk op een korte opera­ti­o­nele levens­cy­clus of een verschui­ving in tactiek.
• PLAY liet een meer gelei­de­lijke stijging zien naar 5,6%, wat duidt op consis­tente maar gecon­tro­leerde groei.
• INC debuteert in de lijst met 7,5% en valt op door zijn snelle opmars. Deze is groten­deels te danken aan zijn aanpas­sings­ver­mogen en zijn vermogen om affili­ates te werven.

“Inter­na­ti­o­nale politie­ac­ties hebben het ransom­ware-landschap zicht­baar herschikt in 2025. Grote namen als LockBit, ALPHV BlackCat en Black­Suit zijn verdwenen, maar hun plaats wordt snel ingenomen door nieuwe groepen en rebrands. Aanvallen worden boven­dien sneller en gerichter uitge­voerd. Het ransom­ware-landschap zal zich verder ontwik­kelen tot een profes­si­o­neel en schaal­baar verdien­model. Voor organi­sa­ties betekent dit dat weerbaar­heid belang­rijker is dan ooit, ongeacht welke groep de aanval opeist”, zegt Chris­topher Fielder, Field CTO bij Arctic Wolf.

Het volle­dige Arctic Wolf Threat Report 2026 vind je hier.