Criminelen stelen steeds vaker gegevens bij ransomware-aanvallen en hebben het ook steeds vaker op kleinere organisaties voorzien die minder goed beveiligd zijn dan grote ondernemingen, aldus Google. Het techbedrijf heeft een analyse gepubliceerd over het ransomwarelandschap in 2025 waarin het verschillende trends zag. De eerste trend betreft het stelen van gegevens bij ransomware-aanvallen. Aanvallers dreigen gestolen data via hun eigen website openbaar te maken als aangevallen organisaties geen losgeld betalen.

Bij 77 procent van de onderzochte ransomware-aanvallen in 2025 was er sprake van datadiefstal, tegenover 57 procent een jaar eerder. Een andere trend die Google waarnam betreft de winstgevendheid van ransomware-aanvallen. Die staat volgens het techbedrijf onder druk, waardoor criminelen voor andere methodes en tactieken kiezen en er een nadruk kan komen te liggen op het alleen stelen van data en het niet meer versleutelen van bestanden.

Verder meldt Google een toename van het aantal aanvallen op kleinere organisaties, die de beveiliging minder goed op orde hebben dan grotere ondernemingen. Daarnaast zijn grotere organisaties lastiger aan te vallen, weigeren vaker losgeld te betalen en kunnen beter van een aanval herstellen, aldus Google. Het techbedrijf baseert zich op de namen van aangevallen bedrijven die criminelen op hun eigen dataleksites (DLS) noemen. Op basis van deze genoemde bedrijven blijkt een verschuiving richting kleinere organisaties.

Vpn's en firewalls

Google keek ook naar de manieren waarop ransomware-aanvallen plaatsvinden. Bij één derde van de onderzochte aanvallen waren de aanvallers binnengekomen door misbruik te maken van kwetsbaarheden, voornamelijk in vpn's en firewalls, zoals Fortinet, SonicWall, Palo Alto Networks en Citrix. Ook zag Google misbruik van andere blootgestelde services, waaronder Veritas Backup Exec, Zoho ManageEngine, Microsoft Sharepoint en SAP Netweaver. Verder blijkt dat aanvallers ook vaak gebruikmaken van gestolen inloggegevens en bruteforce-aanvallen.

"Hoewel we verwachten dat ransomware één van de grootste dreigingen wereldwijd blijft, kan de afgenomen winstgevendheid ervoor zorgen dat aanvallers andere manieren zoeken om inkomsten te genereren. Het kan gaan om een toename van aanvallen waarbij alleen data wordt gestolen, agressievere afpersingstactieken of het opportunistisch gebruik van gehackte omgevingen om extra geld te verdienen, bijvoorbeeld door phishingberichten te versturen", aldus Google.