Bijna de helft van alle ransomware-aanvallen in 2025 is toe te schrijven aan drie criminele groeperingen. Dat blijkt uit onderzoek van Arctic Wolf. De machtsconcentratie binnen het ransomware-ecosysteem is daarmee groter dan een jaar eerder.
Volgens het cybersecuritybedrijf kan 47 procent van alle ransomware-aanvallen in 2025 worden toegeschreven aan Akira, Qilin en RansomHub. In 2024 waren de drie dominante groepen, Akira, LockBit 3.0 en BlackSuit, samen goed voor 30 procent van de incidenten. Het bedrijf stelt dat deze verschuiving wijst op een verdere consolidatie binnen het ransomware-landschap en op snel veranderende machtsverhoudingen tussen criminele netwerken.
Ransomware was in 2025 opnieuw de meest voorkomende vorm van cyberaanval, met 44 procent van alle door het bedrijf behandelde incidenten. Dat aandeel is gelijk gebleven ten opzichte van een jaar eerder. De aanvallen leiden volgens het bedrijf vaak tot acute operationele verstoringen en crisissituaties.
In de gevallen waarin de daders met zekerheid konden worden geïdentificeerd, nam Akira voor het tweede jaar op rij de grootste positie in. Het aandeel van deze groep steeg van 14,6 naar 18,3 procent. Qilin groeide naar 16,9 procent van de toegewezen ransomware-aanvallen en geldt als de sterkste stijger. Die groei hangt samen met actieve werving van affiliates en het wegvallen van andere grote spelers.
RansomHub was verantwoordelijk voor 12,2 procent van de incidenten. De activiteit van deze groep nam af na een overname door DragonForce. Volgens het onderzoek is dit een patroon dat vaker voorkomt bij groepen die van naam of leiderschap veranderen.
Andere groepen die in 2025 opvielen zijn FOG, goed voor 7,5 procent van de incidenten, met een sterke piek aan het begin van het jaar, en PLAY, dat groeide naar 5,6 procent. INC debuteerde met een aandeel van 7,5 procent en kende een snelle opmars, wat volgens het bedrijf samenhangt met aanpassingsvermogen en het aantrekken van affiliates.
Het bedrijf meldt dat internationale politieacties het landschap in 2025 zichtbaar hebben gewijzigd. Groepen als LockBit, ALPHV BlackCat en BlackSuit verdwenen, terwijl nieuwe namen en rebrands hun plaats innamen. Volgens het bedrijf worden aanvallen bovendien sneller en gerichter uitgevoerd.
