Het aantal slachtoffers dat losgeld betaalt na een ransomware-aanval is vorig jaar gedaald tot een historisch dieptepunt van 28 procent. Dat blijkt uit nieuw onderzoek van blockchain-analysebedrijf Chainalysis. Tegelijkertijd nam het aantal geclaimde ransomware-aanvallen met ongeveer 50 procent toe ten opzichte van een jaar eerder. De paradox is duidelijk: minder slachtoffers betalen, maar de dreiging groeit onverminderd door.
Volgens Chainalysis is de dalende betalingsbereidheid geen incidentele ontwikkeling. Al vier jaar op rij zien onderzoekers een afname van het percentage slachtoffers dat overgaat tot betaling. In 2022 lag dat percentage nog op 78,9 procent. In 2024 was het al gedaald naar 62,8 procent. Nu is dus een nieuw dieptepunt bereikt.
Ransomware-aanvallen
Toch betekent dit niet dat de ransomware-economie instort. De totale geregistreerde betalingen op de blockchain bedragen in 2025 tot nu toe circa 820 miljoen dollar. Chainalysis verwacht dat dit bedrag uiteindelijk richting of zelfs boven de 900 miljoen dollar zal uitkomen, zodra meer transacties worden toegeschreven aan bekende incidenten.
Losgeldbetaling
Opvallend is dat de mediane losgeldbetaling juist sterk is gestegen: van 12.738 dollar in 2024 naar 59.556 dollar in 2025, een stijging van 368 procent. Dat suggereert dat organisaties die wél betalen, bereid zijn hogere bedragen neer te leggen in de hoop dat gestolen data wordt verwijderd en niet verder wordt doorverkocht of gepubliceerd.
Fragmentatie en professionalisering
Volgens de onderzoekers wordt de ransomware-markt beïnvloed door meerdere factoren: verbeterde incidentrespons bij bedrijven, strengere regelgeving, internationale opsporingsacties en toenemende fragmentatie van criminele groepen. In 2025 waren er maar liefst 85 actieve afpersingsgroepen actief, aanzienlijk meer dan in voorgaande jaren, toen enkele grote Ransomware-as-a-Service-platforms de markt domineerden.
Jaguar Land Rover
Enkele spraakmakende incidenten illustreren de impact. De aanval op Jaguar Land Rover zou naar schatting 2,5 miljard dollar schade hebben veroorzaakt. Ook de hack bij Marks & Spencer en het datalek bij zorgverlener DaVita Inc., waarbij 2,7 miljoen patiëntgegevens werden blootgesteld, onderstrepen de maatschappelijke gevolgen.
Rol van toegangsmakelaars
Een belangrijke schakel in het ecosysteem zijn zogeheten Initial Access Brokers (IAB’s). Deze hackers verkopen toegang tot gehackte netwerken aan ransomwaregroepen. In 2025 genereerden zij naar schatting veertien miljoen dollar omzet. Hoewel dat slechts 1,7 procent van de totale ransomware-inkomsten vertegenwoordigt, blijkt uit analyses dat pieken in IAB-activiteiten vaak ongeveer 30 dagen later worden gevolgd door een toename van ransomware-aanvallen.
Opvallend is dat de gemiddelde prijs voor netwerktoegang sterk is gedaald: van circa 1.427 dollar begin 2023 naar 439 dollar in het eerste kwartaal van 2026. Automatisering, AI-ondersteunde tools en een overvloed aan gestolen inloggegevens spelen daarbij een rol.
Aanpassing in plaats van afname
De conclusie van Chainalysis is dat ransomware zich niet terugtrekt, maar zich aanpast. Minder slachtoffers betalen, maar aanvallers richten zich agressiever op grotere doelen en verhogen hun eisen. De Verenigde Staten blijven het meest getroffen land, gevolgd door Canada, Duitsland en het Verenigd Koninkrijk.
Ransomware lijkt daarmee minder afhankelijk van massale betalingen en meer gericht op hogere opbrengsten per incident. De dreiging is dus niet kleiner geworden, maar verandert van vorm.