Cybercriminelen voeren meer ransomware-aanvallen uit dan ooit tevoren, maar vragen opvallend genoeg lagere losgeldbedragen. Dat blijkt uit nieuw onderzoek van cybersecuritybedrijf Arctic Wolf. Volgens de onderzoekers is dit geen teken dat cybercriminaliteit afneemt, maar juist een strategische aanpassing: lagere eisen vergroten de kans dat slachtoffers daadwerkelijk betalen.
Ransomware-aanvallen
Voor het eerst in vier jaar is de gemiddelde initiële losgeldeis bij ransomware-aanvallen gedaald. In 2025 lag deze gemiddeld op 414.000 dollar, bijna een halvering ten opzichte van eerdere jaren. Cybercriminelen lijken hun aanpak steeds professioneler af te stemmen op economische realiteit en psychologische druk bij slachtoffers.
De lagere bedragen betekenen echter niet dat de impact van ransomware kleiner wordt. Integendeel: ransomware bleef in 2025 de meest voorkomende vorm van cyberaanval en was goed voor 44 procent van alle incidenten die Arctic Wolf behandelde. Andere veelvoorkomende dreigingen waren Business Email Compromise (26 procent) en datalekken zonder directe ransomwarecomponent (22 procent), waarbij hackers ongeautoriseerd toegang kregen tot systemen of gegevens.
Losgeld
In totaal eisten cybercriminelen bij ransomware-incidenten waarbij Arctic Wolf betrokken was meer dan 302 miljoen dollar aan losgeld. Uiteindelijk werd daarvan circa 16,5 miljoen dollar daadwerkelijk betaald. Opvallend is dat organisaties in 77 procent van de gevallen besloten helemaal niet te betalen. Wanneer er wel onderhandelingen plaatsvonden, wist het incident response-team de eisen vaak drastisch te verlagen: gemiddeld werd 67 procent van het oorspronkelijke bedrag wegonderhandeld.
Alles bij elkaar ontvingen criminelen uiteindelijk slechts ongeveer vijf procent van het totaal geëiste losgeld. Dat betekent dat bijna 95 procent van de gevraagde bedragen nooit werd uitbetaald. Toch blijft ransomware aantrekkelijk voor cybercriminelen, mede doordat enkele zeer hoge betalingen wereldwijd nog steeds plaatsvinden en andere groepen inspireren om grote bedragen te blijven eisen.
Cyberverzekering
Volgens Christopher Fielder, Field CTO bij Arctic Wolf, worden losgeldeisen tegenwoordig zorgvuldig berekend. Criminelen analyseren onder meer de sector van het slachtoffer, de verwachte schade door stilstand van systemen en zelfs of een organisatie beschikt over een cyberverzekering. “Een losgeldeis wordt niet willekeurig opgesteld,” stelt hij. “Lagere eisen vergroten de kans op betaling, maar grote publieke betalingen houden tegelijkertijd de druk omhoog.”
Onderzoek
Het onderzoek benadrukt dat organisaties zich beter kunnen beschermen door basismaatregelen op orde te brengen. Multi-factor authentication, betrouwbare back-ups, tijdige software-updates en strikte toegangsrechten vormen volgens experts de eerste verdedigingslinie. Daarnaast zijn goed geoefende incident response-plannen en snelle detectie van verdachte activiteiten cruciaal om schade te beperken.
De cijfers tonen aan dat ransomware zich ontwikkelt tot een steeds efficiënter verdienmodel. Cybercriminelen vragen minder per aanval, maar slaan vaker toe — en daarmee blijft de totale dreiging voor organisaties wereldwijd onverminderd groot.