Ransomware-aanvallen waar Nederlandse organisaties en bedrijven vorig jaar het slachtoffer van werden begonnen vaker met gehackte accounts dan een jaar eerder, zo melden de politie en het Nationaal Cyber Security Centrum (NCSC) in het Jaarbeeld Ransomware 2025. Aanvallers weten door middel van phishing of infostealer-malware toegang tot inloggegevens van deze accounts te krijgen. Vervolgens wordt de toegang gebruikt om andere systemen te compromitteren, data te stelen en daarna te versleutelen. Daarnaast wordt bij een aanzienlijk deel van de ransomware-aanvallen gebruikgemaakt van kwetsbaarheden.

De politie en het NCSC werken in een project genaamd Melissa samen met cybersecuritybedrijven om zo een beeld van de ransomware-incidenten in Nederland te krijgen. Vorig jaar werden 92 unieke incidenten geregistreerd. Van 65 incidenten werd aangifte bij de politie gedaan In 2024 ging het nog om 121 incidenten en 101 aangiften. De meeste ransomware-incidenten deden zich in 2025 voor bij bedrijven in de handel- en ict-sectoren. Het NCSC merkt op dat niet alle organisaties die slachtoffer worden van ransomware aangifte doen of door een cybersecuritybedrijf worden geholpen. "Het daadwerkelijke aantal incidenten ligt daarom waarschijnlijk hoger."

"In 2025 werd naast versleuteling van data, bij veel van de incidenten ook data gestolen voor (dubbele) afpersing. Met dubbele afpersing zetten criminelen het slachtoffer nog meer onder druk. Vaak wordt gedreigd de gestolen data te publiceren of te verkopen", aldus het Jaarbeeld Ransomware 2025. Als er naar de oorzaak wordt gekeken blijkt dat het merendeel van de aanvallen het gevolg is van gehackte accounts en kwetsbaarheden.

In 2024 begon 38 procent van de ransomware-aanvallen met een 'account take-over' en 33 procent door misbruik van kwetsbaarheden. Vorig jaar waren gehackte accounts voor 55 procent van de incidenten verantwoordelijk, gevolgd door kwetsbaarheden met 30 procent. Verder laat het Jaarbeeld zien dat bij 43 procent van de incidenten organisaties meer dan drie dagen nodig hadden om te herstellen. Bij vijftien procent duurde het herstel meer dan een week of langer. Daarnaast bleek dat 72 procent van de slachtoffers over een bruikbare back-up beschikte.

"De actualiteit laat zien dat de impact per incident vaak groter is en steeds vaker gevoelige en cruciale sectoren raakt. Ransomware is daarmee nadrukkelijk een maatschappelijk probleem. Juist daarom is intensieve samenwerking tussen publieke en private partijen en met internationale partners essentieel. Hoe completer ons beeld is, hoe sterker we staan in de strijd tegen cybercriminelen", aldus Matthijs Jaspers van het Team High Tech Crime van de politie.