Meer dan de helft (58%) van de retailers die wordt getroffen door ransomware betaalt het losgeld

Hengelo, 4 november 2025 – Sophos, wereldwijd leider in innovatieve beveiligingsoplossingen voor het bestrijden van cyberaanvallen, presenteert zijn vijfde jaarlijkse State of Ransomware in Retail-rapport, een leveranciersonafhankelijk onderzoek onder IT- en cybersecuritymanagers uit 16 landen. Uit het rapport van dit jaar blijkt dat bijna de helft (46%) van de ransomware-incidenten in de retail te wijten was aan een onbekend beveiligingslek. Dit benadrukt de voortdurende uitdagingen rondom zichtbaarheid in het aanvalsoppervlak van retail. Van de organisaties waarvan de data was versleuteld, betaalde 58% het losgeld om hun data terug te krijgen – het op één na hoogste betalingspercentage in vijf jaar.

De belangrijke bevindingen uit het rapport

• 46% van de aanvallen begon met een onbekend beveiligingslek (belangrijkste operationele factor)
• 30% van de aanvallen maakte gebruik van bekende kwetsbaarheden (belangrijkste technische oorzaak, voor het derde jaar op rij)
• 58% van de slachtoffers met versleutelde data betaalde; 48% van de aanvallen resulteerde in versleuteling (het laagste percentage in vijf jaar)
• De mediaan van de losgeldeis verdubbelde tot $2 miljoen ten opzichte van 2024; de gemiddelde betaling steeg met 5% tot $1 miljoen

Wat Sophos ziet in retail
In het afgelopen jaar heeft Sophos X-Ops bijna 90 verschillende dreigingsgroepen waargenomen die zich via leak-sites op een of meer retailers richtten met ransomware of afpersing. De meest actieve groepen die Sophos heeft gevolgd op basis van incidentrespons en MDR-cases zijn Akira, Cl0p, Qilin, PLAY en Lynx. Na ransomware is accountcompromittering het op één na meest voorkomende incident bij retailers. En zoals vele sectoren is retail een consistent doelwit van Business Email Compromise (BEC)-groepen die betalingen willen omleiden – het op twee na meest voorkomende incident.

“Retailers wereldwijd hebben te maken met een complexer dreigingslandschap waar cybercriminelen constant op zoek zijn naar bestaande kwetsbaarheden, meestal in apparatuur voor externe toegang en internetnetwerken, om deze te misbruiken. Nu losgeldeisen nieuwe hoogtes bereiken, is het nog belangrijker om uitgebreide beveiligingsstrategieën te implementeren. Zonder deze strategieën lopen retailers het risico op voortdurende operationele verstoringen en blijvende reputatieschade, wat jaren kan duren voordat dit is hersteld. Gelukkig beginnen velen dit in te zien en ze reageren hierop door te investeren in hun cyberbeveiliging, waardoor ze aanvallen kunnen stoppen voordat ze escaleren zodat ze sneller herstellen”, zegt Chester Wisniewski, director, global field CISO, Sophos.

Beperkte interne expertise was de op één na meest voorkomende operationele oorzaak van compromittering (45%), gevolgd door hiaten in de beschermingsdekking (44%). Zonder de juiste vaardigheden en dekking is het lastig voor retailers om aanvallen te detecteren en neutraliseren.

Naast deze uitdagingen zijn er ook tekenen van vooruitgang. Het percentage aanvallen dat werd gestopt voordat de versleuteling plaatsvond, bereikte het hoogste niveau in vijf jaar. Dit impliceert dat retailorganisaties beter zijn geworden in het snel detecteren en neutraliseren van aanvallen. Het percentage dataversleuteling is op het laagste niveau in vijf jaar, waarbij slechts 48% van de aanvallen nu resulteert in dataversleuteling.

Hoewel de gemiddelde losgeldbetaling in retail is gestegen met 5% (van $950.000 in 2024 naar $1 miljoen in 2025), is de gemiddelde losgeldbetaling de helft van de gemiddelde losgeldeis. Dit suggereert dat retailorganisaties steeds beter bestand zijn tegen buitensporige losgeldeisen en dat ze mogelijk advies van experts inwinnen om ransomware-aanvallen het hoofd te bieden.

“Succesvolle beveiligingsprogramma’s richten zich op risicobeheer. Om die risico’s te beoordelen en beheren, moeten retailers inzicht hebben in de dreigingen, in hun assets en in hun beveiliging. Organisaties die sterk assetmanagement en patching combineren met Managed Detection and Response- en Managed Risk-diensten voorkomen meer en herstellen sneller. Hierdoor pakken ze cyberverdediging aan op een proactieve manier.”

Volgens het State of Ransomware in Retail 2025-rapport

• Dataversleuteling daalt, maar cybercriminelen passen zich aan: hoewel het percentage dataversleuteling op het laagste niveau is sinds vijf jaar, passen cybercriminelen zich aan, want de hoeveelheid retailers dat door afpersingsaanvallen werd getroffen is verdriedubbeld, van 2% in 2023 tot 6% in 2025.
• Percentage herstel door back-up daalt: 62% van de retailers die werden getroffen door aanvallen herstelden hun data met behulp van back-ups, het laagste percentage in vier jaar.
• Retailers weerstaan losgeldeisen: kijkend naar de eisen versus betalingen, zegt slechts 29% van de retailers dat hun betaling overeenkwam met de oorspronkelijke eis. 59% betaalde minder dan de oorspronkelijke eis en 11% betaalde meer.
• Herstelkosten dalen: de gemiddelde kosten om te herstellen van een ransomware-aanval (exclusief eventuele losgeldbetalingen) zijn het afgelopen jaar met 40% gedaald tot $1,65 miljoen. Dit is het laagste in drie jaar.
• Ransomware-aanvallen hebben directe gevolgen voor teams: bijna de helft (47%) van de IT/cybersecurity-teams in retail ervaart meer druk na dataversleuteling, terwijl in een kwart van de gevallen (26%) het managementteam als gevolg daarvan werd vervangen.

De verdediging versterken voor de lange termijn
Op basis van zijn ervaring met het beschermen van retailorganisaties wereldwijd raadt Sophos de volgende best practices aan om organisaties te helpen ransomware en andere cyberdreigingen vóór te blijven:

• Elimineer de onderliggende oorzaken: onderneem proactieve stappen om veelvoorkomende technische en operationele zwakke punten aan te pakken, zoals misbruikte kwetsbaarheden, die vaak het doelwit zijn van aanvallers. Oplossingen zoals Sophos Managed Risk kunnen organisaties helpen om hun blootstelling te beoordelen en risico’s in hun omgeving te verminderen.
• Verdedig elk endpoint: zorg ervoor dat alle endpoints, inclusief servers, worden beschermd met speciale anti-ransomwarebeveiliging om te voorkomen dat aanvallen zich verder kunnen ontwikkelen.
• Plan en bereid voor: zet een uitgebreid incident response-plan op en test dit regelmatig. Zorg voor betrouwbare back-ups en oefen regelmatig met het herstellen van data om downtime te minimaliseren als er een aanval heeft plaatsgevonden.
• Monitor 24/7: voortdurend inzicht is essentieel. Organisaties die geen interne resources hebben kunnen hun veerkracht versterken door samen te werken met een betrouwbare Managed Detection and Response (MDR)-leverancier voor 24/7 monitoring van dreigingen en expert response.

Methodologie
De resultaten uit het Data for the State of Ransomware in Retail 2025-rapport zijn afkomstig uit een leveranciersonafhankelijk onderzoek onder 361 IT- en cybersecuritymanagers in de retail in organisaties met 100-5.000 medewerkers uit 16 landen. Het werd uitgevoerd in de periode januari t/m maart 2025. Alle respondenten zijn in de afgelopen twaalf maanden getroffen door ransomware. Sophos zal gedurende het jaar aanvullende resultaten over deze sector delen.

Download hier het volledige State of Ransomware in Retail 2025-rapport.

Ontdek hoe MDR aanvallen zoals ransomware in realtime kan neutraliseren door te registreren voor het webinar: Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks.

Meer informatie over:

• Het gedrag en de technieken van aanvallers in het Sophos Active Adversary Report 2025
• Ransomwaregroepen die strijden om dominantie
• Ransomwaregroepen die e-mailbombardementen en vishing gebruiken om aanvallen uit te voeren
• Hoe Sophos met succes een MSP-aanval op de supply chain van de ransomwaregroep DragonForce heeft gestopt

Sophos X-Ops en zijn onderzoek naar dreigingen door je te abonneren op de Sophos X-Ops-blogs

---

Over Sophos
Sophos is een leider in cybersecurity en verdedigt wereldwijd 600.000 organisaties met een AI-gestuurd platform en door experts aangestuurde services. Sophos staat organisaties bij, ongeacht hun beveiligingsniveau, om cyberaanvallen nu en in de toekomst te bestrijden. De oplossingen combineren machine learning, automatisering en realtime threat intelligence met de menselijke expertise van Sophos X-Ops om geavanceerde, 24/7 monitoring, detectie en respons op bedreigingen te leveren. Sophos biedt toonaangevende Managed Detection and Response (MDR) naast een uitgebreid portfolio van cybersecuritytechnologieën, waaronder endpoint-, netwerk-, e-mail- en cloudbeveiliging, Extended Detection and Response (XDR), Identity Threat Detection and Response (ITDR) en next-gen SIEM. Samen met deskundige adviesdiensten helpen deze mogelijkheden organisaties om proactief risico's te verminderen en sneller te reageren, met de zichtbaarheid en schaalbaarheid die nodig zijn om de evoluerende bedreigingen voor te blijven.

Sophos betreedt de markt met een wereldwijd partnerecosysteem, waaronder Managed Service Providers (MSP's), Managed Security Service Providers (MSSP's), resellers en distributeurs, marktplaatsintegraties en cyberrisicopartners. Dit geeft organisaties de flexibiliteit om te kiezen voor betrouwbare relaties bij het beveiligen van hun bedrijf. Sophos heeft haar hoofdkantoor in Oxford, VK. Meer informatie is te vinden op www.sophos.com.

Voor meer informatie
Favorite Agency
Linda van Essen
sophos@favorite.agency