Ransomware- en pre-ransomware-activiteiten waren in het vierde kwartaal van 2025 goed voor 13 procent van de incidenten die Cisco Talos Incident Response analyseerde. Dat is een verdere daling ten opzichte van eerdere kwartalen. Misbruik van publiek toegankelijke applicaties bleef de meest gebruikte toegangsmethode, gevolgd door phishing.
Uit de kwartaalanalyse van Cisco Talos Incident Response, over de periode oktober tot en met december 2025, blijkt dat ransomware-incidenten afnamen tot 13 procent van de onderzochte cases. Qilin was daarbij de dominante ransomwarevariant. Nieuwe ransomwarefamilies werden in deze periode niet vastgesteld. DragonForce dook na meer dan een jaar weer op.
Het misbruik van kwetsbaarheden in publiek toegankelijke applicaties was betrokken bij bijna 40 procent van de incidentresponscases. Daarmee bleef deze methode de belangrijkste initiële toegangsvector. In meerdere gevallen werden systemen kort na publieke bekendmaking van kwetsbaarheden gecompromitteerd. Aanvallers maakten onder meer gebruik van kwetsbaarheden in Oracle E-Business Suite, aangeduid als CVE-2025-61882, en React2Shell, aangeduid als CVE-2025-55182. Daarbij werden malware-implants ingezet die in verband worden gebracht met APT-groepen.
Volgens Cisco laat dit zien dat aanvallers snel inspelen op nieuw gepubliceerde kwetsbaarheden. Het bedrijf wijst op het belang van tijdige patching en mitigerende maatregelen om blootstelling van internettoegankelijke systemen te beperken.
Phishing was betrokken bij 32 procent van de incidenten, een stijging ten opzichte van 23 procent in het voorgaande kwartaal. Talos signaleerde dat campagnes geavanceerder werden, waarbij gecompromitteerde accounts en gekaapte domeinen werden gebruikt om geloofwaardige berichten te verspreiden, bijvoorbeeld rond werkgerelateerde trainingen. Na initiële toegang verstuurden aanvallers verdere phishingmails, zowel intern als extern.
Daarnaast constateerde Talos dat cybercriminelen vaker gebruikmaken van Remote Monitoring and Management-tools. Omdat deze tools ook legitiem worden ingezet, kan dit de detectie bemoeilijken. De analyse laat zien dat, ondanks de daling van ransomware-incidenten, het misbruik van kwetsbaarheden in publieke applicaties en phishing belangrijke risico’s blijven vormen in het dreigingslandschap.
