Criminelen stelen steeds vaker gegevens bij ransomware-aanvallen en richten zich daarbij steeds vaker op kleinere organisaties die minder goed beveiligd zijn dan grote ondernemingen, meldt Google. In een analyse van het ransomwarelandschap in 2025 constateert het techbedrijf dat bij 77 procent van de onderzochte aanvallen sprake was van datadiefstal, een stijging ten opzichte van 57 procent in 2024.

Google signaleert daarnaast dat de winstgevendheid van ransomware-aanvallen onder druk staat. Hierdoor kiezen aanvallers vaker voor alternatieve tactieken, zoals het uitsluitend stelen van data zonder bestanden te versleutelen. Ook neemt het aantal aanvallen op kleinere organisaties toe, omdat grotere bedrijven moeilijker aan te vallen zijn, vaker weigeren losgeld te betalen en beter kunnen herstellen van incidenten. Deze conclusies baseert Google op de namen van getroffen bedrijven die criminelen op hun eigen dataleksites publiceren, waaruit een verschuiving richting kleinere organisaties blijkt.

Wat betreft de aanvalsmethoden stelt Google vast dat bij ongeveer een derde van de gevallen misbruik wordt gemaakt van kwetsbaarheden, vooral in vpn's en firewalls van leveranciers als Fortinet, SonicWall, Palo Alto Networks en Citrix. Daarnaast worden ook andere blootgestelde diensten zoals Veritas Backup Exec, Zoho ManageEngine, Microsoft SharePoint en SAP Netweaver geëxploiteerd. Aanvallers gebruiken daarnaast vaak gestolen inloggegevens en brute force-aanvallen om toegang te verkrijgen.

Google waarschuwt dat ransomware een van de grootste wereldwijde dreigingen blijft, maar dat de afgenomen winstgevendheid ertoe kan leiden dat aanvallers nieuwe manieren zoeken om inkomsten te genereren. Dit kan zich uiten in een toename van datadiefstal zonder versleuteling, agressievere afpersingstactieken of het opportunistisch inzetten van gehackte omgevingen, bijvoorbeeld voor het versturen van phishingberichten.