Hengelo, 16 juli 2026 –
Sophos, een wereldwijde marktleider op het gebied van cyberbeveiliging, publiceert de zevende editie van het jaarlijkse
State of Ransomware-rapport. Dit onafhankelijke onderzoek onder IT- en cybersecurityleiders in 17 landen brengt de impact van ransomware op organisaties in kaart en onderzoekt hoe goed zij zijn voorbereid om dergelijke aanvallen te voorkomen en erop te reageren. Uit het onderzoek blijkt dat identiteit inmiddels de belangrijkste initiële toegangsvector (Initial Access Vector, IAV) is. Bij bijna vier op de vijf ransomware-aanvallen (79%) verkrijgen aanvallers via gecompromitteerde identiteiten toegang tot een organisatie.
Deze ontwikkeling wijst op een verschuiving in de werkwijze van cybercriminelen, die identiteit steeds vaker benutten als toegangspunt voor ransomware-aanvallen. Daarnaast zijn misbruikte kwetsbaarheden voor het eerst in vier jaar niet langer de meest voorkomende hoofdoorzaak van ransomware-incidenten. In plaats daarvan vormen kwaadaardige e-mails (26%) en phishing (24%) nu de belangrijkste initiële aanvalsmethoden.
Misbruikte kwetsbaarheden blijven desondanks een aantrekkelijk doelwit voor aanvallers. Van de ransomware-aanvallen die beginnen met het misbruiken van een kwetsbaarheid in een firewall gaat 59% gepaard met een losgeldeis van 1 miljoen dollar of meer. Over alle ransomware-aanvallen ligt dat percentage op 48%.
"Nu we zien dat ransomwarecriminelen experimenteren met AI, bestaat het risico dat zij hierdoor sneller waardevolle bedrijfsmiddelen kunnen stelen, deze kunnen gijzelen en dit op een veel grotere schaal kunnen doen dan voorheen mogelijk was", aldus Ross McKerchar, Chief Information Security Officer bij Sophos. "Die snelheid maakt het noodzakelijk om de meest misbruikte toegangsmethoden voortdurend, dag en nacht, te monitoren. Onze gegevens laten zien dat dit vooral gestolen en gecompromitteerde legitieme accounts zijn. Tegelijkertijd zal de verdere ontwikkeling van onbeveiligde open-weight AI-modellen aanvallers een steeds groter voordeel geven bij het opsporen en misbruiken van softwarekwetsbaarheden. Verdedigers kunnen daarom niet langer uitsluitend vertrouwen op het patchen van systemen om gelijke tred te houden. Het is essentieel om de externe blootstelling van systemen te beperken en te zorgen voor robuuste endpointbeveiliging."
Uit het rapport blijkt verder dat bij 56% van de organisaties die door ransomware werden getroffen gegevens werden versleuteld. Daarmee komt een einde aan de dalende trend die de afgelopen twee jaar zichtbaar was.
Andere belangrijke bevindingen uit het onderzoek zijn:
- Identiteit speelt een centrale rol:Twee derde (67%) van de slachtoffers gaf aan dat het ransomware-incident ook de ernstigste identiteitsaanval was waarmee de organisatie ooit te maken kreeg. Dit onderstreept de belangrijke rol van identiteitscompromittering bij ransomware-aanvallen.
- Meer succesvolle versleuteling:Bij 56% van de ransomware-aanvallen slaagden aanvallers erin gegevens te versleutelen. In 16% van de gevallen werden gegevens zowel gestolen als versleuteld. Dat is een stijging ten opzichte van 50% in 2025, maar nog altijd lager dan de piek van 75% in 2023.
- De helft betaalt losgeld:Wanneer gegevens werden versleuteld, betaalde 48% van de getroffen organisaties het losgeld. Daarmee komt het gemiddelde betalingspercentage over de afgelopen vier jaar uit op 50%.
- Kleine organisaties zijn minder weerbaar:Slechts 34% van de organisaties met 100 tot 250 medewerkers wist een aanval te stoppen voordat gegevens werden versleuteld of voordat afpersing plaatsvond. Bij organisaties met 3.001 tot 5.000 medewerkers lag dat percentage op 46%.
- MFA alleen is niet voldoende:Bij 97% van de incidenten waarbij gecompromitteerde inloggegevens de hoofdoorzaak waren, was in enige vorm multifactorauthenticatie (MFA) ingeschakeld. Dit laat zien dat MFA alleen onvoldoende bescherming biedt en dat aanvullende beveiligingsmaatregelen noodzakelijk zijn.
- Hoogste mediane losgeldeis:Het Verenigd Koninkrijk noteerde met 2,5 miljoen dollar de hoogste mediane losgeldeis van alle onderzochte landen.
Hoewel cybercriminelen hun technieken blijven verfijnen, boeken organisaties vooruitgang in hun vermogen om te herstellen van ransomware-aanvallen. Toegenomen investeringen in back-upinfrastructuur lijken daaraan bij te dragen. Inmiddels herstelt meer dan de helft van de getroffen organisaties (55%) binnen een week van een ransomware-incident, terwijl 16% zelfs binnen een dag weer operationeel is.
Ook blijken organisaties steeds succesvoller te onderhandelen met ransomwaregroepen. Van de organisaties die ervoor kozen losgeld te betalen, wist 51% een lager bedrag af te spreken dan aanvankelijk werd geëist. Daarnaast is de mediane losgeldeis in de afgelopen twee jaar met 65% gedaald. Het aandeel organisaties dat uiteindelijk losgeld betaalt om versleutelde gegevens terug te krijgen, is gedaald naar 48%: het op één na laagste percentage sinds het onderzoek wordt uitgevoerd. Alleen in 2023 lag dit aandeel lager (46%).
Hoewel deze ontwikkelingen de financiële opbrengsten voor ransomwaregroepen onder druk zetten, blijven de gevolgen van een aanval aanzienlijk. De gemiddelde herstelkosten zijn gestegen tot 1,7 miljoen dollar per incident.
"Organisaties hebben het afgelopen jaar hun weerbaarheid tegen ransomware aanzienlijk versterkt, en die investeringen werpen grotendeels hun vruchten af", zegt Ross McKerchar, Chief Information Security Officer bij Sophos. "Toch kost ransomware organisaties nog altijd miljoenen. Naarmate AI geavanceerder wordt, kunnen aanvallers veel sneller en goedkoper dan voorheen verkeerde configuraties in identiteitsbeheer en andere zwakke plekken binnen organisaties in kaart brengen. Organisaties kunnen niet langer vertrouwen op de complexiteit of ondoorzichtigheid van hun IT-omgeving om kwetsbaarheden verborgen te houden. Diezelfde technologie biedt verdedigers echter ook de kans om dergelijke zwakke plekken sneller op te sporen en te verhelpen, maar alleen als preventie, detectie en respons samenkomen in een geïntegreerde cybersecuritystrategie."
Sophos adviseert organisaties de volgende maatregelen om hun cyberweerbaarheid te versterken en een geïntegreerde beveiligingsstrategie te realiseren waarin technologie, mensen en processen elkaar aanvullen:
- Maak identiteit tot een kernonderdeel van de beveiliging.Geef prioriteit aan Identity Threat Detection and Response (ITDR), verplicht phishingbestendige multifactorauthenticatie (MFA) voor alle toegangspunten en controleer regelmatig zowel menselijke als niet-menselijke identiteiten.
- Investeer in back-up en herstel.Test back-ups regelmatig, sla ze offline of in onveranderlijke (immutable) opslag op en neem herstelprocedures op in een gedocumenteerd incidentresponsplan dat ook onder hoge druk uitvoerbaar is.
- Versterk het beheer van kwetsbaarheden.Hanteer een strikt patchbeleid, geef prioriteit aan systemen die rechtstreeks vanaf internet bereikbaar zijn en onderzoek hoe AI-ondersteunde tools het opsporen en verhelpen van kwetsbaarheden kunnen versnellen.
- Beperk de blootstelling van firewalls.Minimaliseer internettoegankelijke beheerdersinterfaces en gebruikersportalen, zorg dat firewalls snel – bij voorkeur geautomatiseerd – worden bijgewerkt en benut firewalltelemetrie in combinatie met XDR- en MDR-oplossingen om ransomware-aanvallen vroegtijdig te detecteren, voordat de ransomware wordt uitgevoerd.
Dit onderzoek werd in het eerste kwartaal van 2026 door Vanson Bourne uitgevoerd in opdracht van Sophos. Hiervoor werden 2.158 IT- en cybersecuritybesluitvormers geïnterviewd van organisaties die in de voorgaande twaalf maanden met een ransomware-aanval te maken hadden gehad. De respondenten waren afkomstig uit organisaties met 100 tot 5.000 medewerkers, verdeeld over 15 sectoren en 17 landen: de Verenigde Staten, Brazilië, Chili, Colombia, Mexico, het Verenigd Koninkrijk, Frankrijk, Duitsland, Italië, Spanje, Zwitserland, Australië, India, Japan, Singapore, Zuid-Afrika en de Verenigde Arabische Emiraten.
Download het volledige rapport ‘State of Ransomware 2026’ op
Sophos.com.
Over Sophos
Sophos is een wereldwijde leider op het gebied van cybersecurity en beschermt meer dan 625.000 organisaties wereldwijd met het meest complete AI-native verdedigingsplatform in de sector: één geïntegreerde architectuur waarin alle beveiligingscomponenten naadloos samenwerken. Dankzij agentic AI en de expertise van toonaangevende securityspecialisten detecteert, onderzoekt en neutraliseert Sophos dreigingen voordat ze de bedrijfsvoering kunnen verstoren. In samenwerking met een wereldwijd ecosysteem van managed service providers, resellers en technologiepartners verrijkt Sophos zijn dreigingsinformatie met inzichten uit elke aanval en iedere beveiligde omgeving. Zo wordt de beveiliging van elke klant steeds sterker. Het hoofdkantoor van Sophos is gevestigd in Oxford, Verenigd Koninkrijk. Meer informatie is te vinden op
www.sophos.com.
Voor meer informatie
Favorite Agency
Linda van Essen
sophos@favorite.agency