Belangrijkste bevindingen:
- Het aantal ransomware-aanvallen dat door de Zscaler-cloud werd geblokkeerd, steeg met 146%. Dit is de grootste piek in drie jaar tijd.
- Het aantal afpersingen steeg met 70%.
- Het aantal data-exfiltraties steeg met 92%.
- De productiesector, technologiesector en gezondheidszorg waren het vaakst doelwit. De olie- en gassector kende een toename van 935% in het aantal aanvallen.
Amsterdam, 30 juli 2025 - Zscaler, leider in cloudbeveiliging, presenteert zijn jaarlijkse Zscaler ThreatLabz 2025 Ransomware Report. In het rapport worden jaarlijks nieuwe trends in het dreigingslandschap onderzocht. Het belicht onder meer de sectoren en regio’s die het vaakst doelwit zijn, noemt de meest actieve ransomwarebendes en -families, analyseert veranderende aanvalsmethoden en deelt bruikbare aanbevelingen om organisaties te helpen hun verdediging te versterken. De bevindingen van het rapport van dit jaar onderstrepen de noodzaak voor een uitgebreide Zero Trust Everywhere-strategie. Deze aanpak is essentieel om te voorkomen dat ransomware en andere kwaadaardige dreigingen zich lateraal verspreiden en gevoelige gebruikersgegevens, applicaties en informatie compromitteren.
De vraag naar data zorgt voor groeiend aantal ransomware-aanvallen
Het aantal ransomware-aanvallen neemt in een alarmerend tempo toe. Uit het onderzoek blijkt een stijging van 146% in het aantal geblokkeerde aanvallen in de Zscaler-cloud ten opzichte van het voorgaande jaar. Deze toename weerspiegelt een strategische verschuiving: ransomwaregroepen geven steeds meer de voorkeur aan afpersing boven encryptie. De onderzoekers ontdekten een toename van 92% in het totale volume aan geëxfiltreerde data door 10 grote ransomwaregroepen in het afgelopen jaar, van 123 TB naar 238 TB. Door deze nadruk op datadiefstal - en de dreiging van het lekken van de data - oefenen aanvallers meer druk uit op slachtoffers.
Bedrijven onder vuur
Cybercriminelen richten zich vooral op de productiesector (1.063 aanvallen), technologiesector (922) en de gezondheidszorg (672). Dit komt vooral omdat deze sectoren kwetsbaarder zijn voor operationele verstoringen, vanwege de gevoeligheid van hun data en het risico op reputatieschade en schendingen van regelgeving.
Maar de grootste stijging is te zien in de olie- en gassector, met een toename van meer dan 900% op jaarbasis. Deze toename komt waarschijnlijk door de toegenomen automatisering van systemen die kritieke infrastructuur beheren. Dit zijn bijvoorbeeld boorplatforms en pijpleidingen. Hierdoor is het aanvalsoppervlak van de sector enorm gegroeid. Daarnaast maken ze vaak nog gebruik van verouderde beveiligingspraktijken en -oplossingen.
De Verenigde Staten doelwit van de helft van alle ransomware-aanvallen
Gegevens van gelekte websites laten een duidelijk geografisch verschil zien: 50% van de aanvallen is gericht op de Verenigde Staten. Dat is aanzienlijk meer dan Canada (5%) en het Verenigd Koninkrijk (4%). Het aantal ransomware-aanvallen in de VS is meer dan verdubbeld tot 3.671. Dit is meer dan het aantal gemelde aanvallen in alle andere landen in de top 15 gecombineerd. Dit laat zien hoe cybercriminelen zich strategisch blijven richten op digitaal hoogwaardige economieën.
Ransomwaregroepen blijven zeer actief
Verschillende zeer actieve groepen domineren het ransomware-ecosysteem. RansomHub staat voorop met het hoogste aantal bekende slachtoffers: 833. Akira heeft 520 slachtoffers gemaakt. Dit heeft de groep vooral bereikt via talloze partners en initiële toegangsmakelaars. Clop, bekend om zijn focus op supply chain-aanvallen, volgt op de voet met 488 slachtoffers. De groep hanteert een effectieve strategie om kwetsbaarheden in veelgebruikte software van derden te misbruiken.
Zscaler ThreatLabz identificeerde het afgelopen jaar 23 nieuwe actieve ransomwarefamilies. Hiermee komt het aantal bekende ransomwaregroepen sinds de start van het onderzoek op 425. In een openbare GitHub-repository staan nu 1.018 ransomware-notities, waarvan 73 in het afgelopen jaar zijn toegevoegd.
“Ransomware-tactieken blijven zich ontwikkelen. De verschuiving van encryptie naar afpersing is daar een duidelijk voorbeeld van”, aldus Deepen Desai, EVP Cybersecurity bij Zscaler. “Daarnaast maakt GenAI steeds vaker deel uit van het handboek van ransomwarebendes. Als gevolg zien we meer gerichte en efficiënte aanvallen. Naarmate dreigingen toenemen, moeten beveiligingsmaatregelen gelijke tred houden. Met het Zscaler Zero Trust Exchange-platform kunnen organisaties hun aanvalsoppervlak verkleinen, initiële dreigingen identificeren en blokkeren, laterale verplaatsing voorkomen en data-exfiltratie stoppen om afpersing te voorkomen.”
Hoe Zscaler ransomware stopt met zero trust + AI
Ransomware floreert in omgevingen met gefragmenteerde beveiliging, beperkte zichtbaarheid, impliciet vertrouwen en verouderde architecturen. Het Zscaler Zero Trust Exchange-platform beperkt deze risico’s door traditionele, netwerkgerichte modellen te vervangen door een cloud-native, AI-gestuurde zero trust-architectuur. Het stopt ransomware in elke fase van de aanvalscyclus door:
- Het aanvalsoppervlak te minimaliseren
- Initiële inbreuken te voorkomen
- Laterale verplaatsingen te elimineren
- Data-exfiltratie te blokkeren
Aanvullende AI-gestuurde ransomware-beveiliging van Zscaler omvat:
- Breach-voorspelling
- Phishing- en C2-detectie
- Inline sandboxing
- Zero trust browser
- Segmentatie
- Dynamisch, risicogebaseerd beleid
- Datadetectie en -classificatie
- Data loss prevention (DLP)-maatregelen
Download hier het volledige ThreatLabz 2025 Ransomware Report.
Methodologie
Voor dit onderzoek is gebruikgemaakt van meerdere databronnen om ransomwaretrends te identificeren en te volgen. Het ThreatLabz-team verzamelde tussen april 2024 en april 2025 gegevens uit de Zscaler-beveiligingscloud en uit eigen analyse van ransomware-samples en aanvalsgegevens.
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange platform beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste in-line cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Jordy Loozekoot
E-mail:
jloozekoot@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
E-mail:
zscaler@whizpr.nl