De fragmentatie van ransomware bereikt een breekpunt terwijl LockBit terugkeert

Cyberbeveiliging
De fragmentatie van ransomware bereikt een breekpunt terwijl LockBit terugkeert

Belangrijkste afhaalrestaurants:

  • 85 actieve ransomware- en afpersingsgroepen waargenomen in het derde kwartaal van 2025 en weerspiegelt het meest gedecentraliseerde ransomware-ecosysteem tot nu toe.
  • 1.590 slachtoffers bekendgemaakt verspreid over 85 leklocaties, met een hoge, aanhoudende activiteit ondanks druk van wetshandhavingsinstanties.
  • 14 nieuwe ransomware-merken dit kwartaal gelanceerd, wat bewijst hoe snel affiliates zich herstellen na verwijderingen.
  • De terugkeer van LockBit met versie 5.0 duidt op een mogelijke recentralisatie na maanden van fragmentatie.

In het derde kwartaal van 2025 boekte Check Point Research cijfers een recordaantal van 85 actieve ransomware- en afpersingsgroepende hoogste ooit waargenomen. Wat ooit een geconcentreerde markt was, gedomineerd door enkele ransomware-as-a-service (RaaS)-giganten, is opgesplitst in tientallen kleinere, kortstondige activiteiten.

Deze proliferatie van leklocaties vertegenwoordigt een fundamentele structurele verschuiving. Dezelfde handhavings- en marktdruk die grote RaaS-groepen ontwrichtte, heeft een golf van opportunistische, gedecentraliseerde actoren aangewakkerd, waarvan er vele worden geleid door voormalige filialen die nu onafhankelijk opereren.

Lees het volledige Ransomwarerapport van het derde kwartaal van 2025

Een record van 85 actieve groepen

Op meer dan 85 gecontroleerde leksites publiceerden ransomware-exploitanten:

  • 1.592 nieuwe slachtoffers in het derde kwartaal van 2025.
  • Gemiddeld 535 meldingen per maand.
  • Een grote machtsverschuiving: de top tien groepen waren goed voor slechts 56% van de slachtoffers, tegen 71% eerder dit jaar.

Kleinere actoren posten nu elk minder dan tien slachtoffers, wat een weerspiegeling is van een toename van onafhankelijke operaties buiten de traditionele RaaS-hiërarchieën. Velen zijn voortgekomen uit de ineenstorting van RansomHub, 8Base en BianLian. Alleen al in het derde kwartaal begonnen veertien nieuwe groepen met publiceren, wat het totaal voor 2025 op 45 brengt.

Fragmentatie op dit niveau tast de voorspelbaarheid aan, eens het voordeel van cybersecurityprofessionals. Toen grote RaaS-merken domineerden, konden beveiligingsteams het gedrag van partners en het hergebruik van infrastructuur volgen. Nu maken tientallen kortstondige leksites de toeschrijving vluchtig en op reputatie gebaseerde informatie veel minder betrouwbaar.

Lees het volledige Ransomwarerapport van het derde kwartaal van 2025.

De beperkte impact van wetshandhaving

Verschillende spraakmakende verwijderingen dit jaar, gericht op groepen als RansomHub en 8Base, hebben het volume ransomware niet noemenswaardig verminderd. Partners die door deze operaties ontheemd raken, migreren eenvoudigweg of veranderen van merk.

Het probleem is structureel. Wetshandhavingsinspanningen ontmantelen doorgaans de infrastructuur of nemen domeinen in beslag, en niet de aangesloten bedrijven die aanvallen uitvoeren. Wanneer een platform valt, verspreiden deze operators zich binnen enkele dagen en hergroeperen ze zich. Het resultaat is een breder, veerkrachtiger ecosysteem dat meer een afspiegeling is van gedecentraliseerde financiële of open source-gemeenschappen dan van een traditionele criminele hiërarchie.

Deze verspreiding ondermijnt ook de geloofwaardigheid van de ransomware-markt. Kleinere, kortstondige bemanningen hebben geen prikkel om losgeldovereenkomsten na te komen of decoderingssleutels te verstrekken. De betalingspercentages, geschat op slechts 25 tot 40 procent, blijven dalen omdat slachtoffers het vertrouwen in de beloften van de aanvaller verliezen.

LockBit’s terugkeer en hercentralisatie

In september 2025 markeerde LockBit 5.0 de terugkeer van een van de meest duurzame merken op het gebied van cybercriminaliteit.

De beheerder ervan, LockBitSupp, had maandenlang een comeback geplaagd na de uitschakeling in 2024 onder Operatie Cronos. De nieuwe versie levert:

  • Bijgewerkte Windows-, Linux- en ESXi-varianten.
  • Snellere codering en verbeterde ontduiking.
  • Unieke onderhandelingsportalen per slachtoffer.

In de eerste maand werden minstens een dozijn slachtoffers getroffen. De campagne getuigt van hernieuwd vertrouwen van de affiliates en technische volwassenheid.

Voor aanvallers brengt deelname aan een herkenbaar merk als LockBit iets met zich mee dat kleinere teams niet kunnen bieden: reputatie. Slachtoffers zullen eerder betalen als ze denken dat ze daadwerkelijk decoderingssleutels zullen ontvangen, vertrouwen erop dat grote RaaS-programma’s zorgvuldig worden onderhouden.

Als LockBit erin slaagt aangesloten bedrijven aan te trekken die op zoek zijn naar structuur en geloofwaardigheid, zou het een aanzienlijk deel van de ransomware-economie kunnen recentraliseren. Centralisatie heeft een dubbel effect. Het maakt het volgen eenvoudiger, maar vergroot de potentiële schaal van gecoördineerde aanvallen.

DragonForce en de prestaties van macht

Drakenkracht illustreert een andere overlevingsstrategie: zichtbaarheid door branding. In september claimde de groep publiekelijk coalities met zowel LockBit als Qilin op ondergrondse fora. Er is geen gedeelde infrastructuur geverifieerd en de allianties lijken meer symbolisch dan operationeel.

Toch benadrukken deze stappen de evolutie van ransomware naar zakelijke marketing. DragonForce promoot zichzelf met:

  • Aankondigingen van partnerpartnerschappen.
  • Data-auditdiensten om gestolen gegevens te analyseren en de hefboomwerking van afpersing te verbeteren.
  • Public relations gericht op het uitstralen van kracht en betrouwbaarheid.

De boodschap van de groep weerspiegelt een competitieve markt waar imago en geloofwaardigheid net zo waardevol zijn als de snelheid van versleuteling.

Geografische en industriële trends

De mondiale doelstellingen in het derde kwartaal van 2025 weerspiegelden grotendeels de voorgaande kwartalen, maar met duidelijke regionale en sectorale verschuivingen.

  • De Verenigde Staten waren verantwoordelijk voor ongeveer de helft van alle gemelde slachtoffers en blijven het belangrijkste doelwit voor financieel gemotiveerde actoren.
  • Zuid-Korea kwam voor het eerst in de mondiale top tien terecht, vrijwel geheel dankzij Qilins gerichte campagne tegen financiële bedrijven.
  • Europa bleef zeer actief, waarbij Duitsland en het Verenigd Koninkrijk aanhoudende druk van Safepay en INC Ransom ondervonden.

Lees het volledige Ransomwarerapport van het derde kwartaal van 2025

Aan de industriële kant:

  • Productie En zakelijke dienstverlening elk vertegenwoordigde ongeveer 10 procent van de geregistreerde gevallen.
  • Gezondheidszorg bleef stabiel op 8 procent, hoewel sommige groepen zoals Play de sector vermijden om de controle te verminderen.

Deze verschuivingen laten zien hoe ransomware zich meer laat leiden door bedrijfslogica dan door ideologie. Actoren streven naar sectoren en regio’s met hoogwaardige data en een lage tolerantie voor downtime.

De weg vooruit

Het derde kwartaal van 2025 bevestigt de structurele veerkracht van ransomware. Handhaving en marktdruk onderdrukken niet langer het totale volume; ze hervormen simpelweg het landschap. Elke verwijdering verspreidt acteurs die snel weer opduiken onder nieuwe namen of zich aansluiten bij opkomende collectieven.

De terugkeer van LockBit voegt nog een extra laag complexiteit toe, waardoor de vraag rijst of ransomware een nieuwe consolidatiecyclus ingaat. Als LockBit de dominantie herstelt, kan het enige voorspelbaarheid herstellen, maar ook grootschalige, gecoördineerde campagnes opnieuw mogelijk maken die kleinere teams niet kunnen uitvoeren.

Voor cybersecurityprofessionals is de conclusie duidelijk. Het volgen van merken is niet langer voldoende. Analisten moeten monitoren mobiliteit van partners, infrastructuur overlappenEn economische prikkels – de onderliggende krachten die ransomware in stand houden, zelfs als de gezichten fragmenteren.

🔗 Lees het volledige Ransomwarerapport over het derde kwartaal van 2025 →

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 Pro XL versus Google Pixel 9a

Apple verlaagt de kosten voor ontwikkelaars van mini-apps

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]