In het eerste kwartaal van 2026 stonden 2.122 organisaties vermeld op ransomware-leksites, het op één na hoogste aantal voor een eerste kwartaal ooit. Tegelijkertijd daalde het aantal actieve ransomwaregroepen terwijl de grootste spelers een groter deel van de aanvallen voor hun rekening namen. Dat blijkt uit het State of Ransomware-rapport van Check Point Software Technologies.
Check Point Research bracht in het eerste kwartaal van 2026 meer dan 70 actieve leksites in kaart. Die sites registreerden gemiddeld meer dan 700 slachtoffers per maand, met minimale schommelingen tussen januari, februari en maart. Volgens Check Point wijst een vergelijking met het eerste kwartaal van 2025 op het eerste gezicht op een lichte daling, maar die vergelijking is volgens het bedrijf misleidend: de cijfers van vorig jaar werden vertekend door één grootschalige exploitatiecampagne. Gecorrigeerd voor die uitschieter is de activiteit jaar-op-jaar juist toegenomen.
Concentratie aan de top
De top 10 van ransomwaregroepen was in het eerste kwartaal van 2026 verantwoordelijk voor 71% van alle slachtoffers. Daarmee keerde het gefragmenteerde beeld dat gedurende een groot deel van 2025 zichtbaar was, zich om. Qilin bleef voor het derde kwartaal op rij de meest actieve groep met 338 slachtoffers. The Gentlemen groeide van 40 slachtoffers in het vierde kwartaal van 2025 naar 166 in het eerste kwartaal van 2026. LockBit keerde terug in de wereldwijde top met 163 slachtoffers. Samen waren Qilin, Akira, The Gentlemen en LockBit verantwoordelijk voor 41% van alle geregistreerde slachtoffers.
Van versnippering naar consolidatie
In het derde kwartaal van 2025 was het aantal actieve ransomwaregroepen nog op een recordhoogte. Sindsdien daalde dat aantal. Check Point geeft aan dat druk van rechtshandhavingsinstanties, infrastructuurverstoringen en onderlinge concurrentie er doorgaans voor zorgen dat kleinere spelers verdwijnen, terwijl sterkere groepen verdreven partners absorberen en groeien.
Volgens het rapport zijn grotere ransomwareoperaties doorgaans beter georganiseerd, consistenter in hun werkwijze en veerkrachtiger bij verstoringen. Check Point stelt dat ransomware in 2026 daarmee wordt gekenmerkt door concentratie en niet door schaalvergroting: minder groepen nemen een steeds groter deel van de aanvallen voor hun rekening.
Gevolgen voor risicobeheer
Check Point geeft aan dat de risicobalans voor organisaties verschuift. Het bedrijf verwacht dat er mogelijk minder incidenten plaatsvinden, maar dat elk incident grotere gevolgen kan hebben. Aanvallen zijn vaker herhaalbaar en gericht op het verkrijgen van toegangen. Daardoor worden preventie en beheersing volgens Check Point belangrijker dan een puur reactieve aanpak.
