Het aantal ransomware-aanvallen steeg in de eerste helft van 2026 met 20 procent naar 5.275 incidenten. Twee rivaliserende groepen, Qilin en The Gentlemen, jagen de cijfers op. Tegelijk maken aanvallers steeds vaker gebruik van AI. Dat blijkt uit onderzoek van NordStellar en het SANS Institute.
In het tweede kwartaal alleen telde beveiligingsbedrijf NordStellar 2.581 aanvallen. Dat is een lichte daling van 4 procent ten opzichte van de eerste drie maanden, maar reden tot opluchting is er niet. Volgens de onderzoekers stabiliseert het aantal aanvallen zich rond een nieuw, hoog niveau.
“De lichte daling in aanvallen zou geen teken moeten zijn om nu al te ontspannen”, aldus NordStellar-expert Vakaris Noreika. Hij spreekt van een alarmerende nieuwe basislijn van ongeveer 2.500 aanvallen per kwartaal.
Qilin tegen The Gentlemen
Achter die aantallen schuilt een machtsstrijd tussen twee ransomware-groepen. Qilin is al sinds 2022 actief en groeide uit tot een van de grootste spelers ter wereld. De Russischtalige groep trof onder meer zorgorganisatie Synnovis en de Cleveland Municipal Court. Ook was Qilin volgens de meest actieve groep van 2025, met 1.022 aanvallen ofwel zo’n 13 procent van alle bekende incidenten.
The Gentlemen ontstond na een afsplitsing in 2025 door voormalige Qilin-leden. De groep breidde sneller uit dan enige andere bekende hackersbende en trof organisaties in meer dan 66 landen en 20 sectoren. In het tweede kwartaal claimde The Gentlemen 284 aanvallen, net iets minder dan de 299 van Qilin, maar wel 39 procent meer dan een jaar eerder.
Vooral kleine en middelgrote bedrijven kregen het zwaar te verduren, goed voor ruim 60 procent van alle aanvallen. Bij grote bedrijven met een omzet van minstens een miljard dollar steeg het aantal aanvallen juist met 74 procent, van 23 naar 40. Dat Nederlandse organisaties niet buiten schot blijven, bleek al eerder toen bekende ransomware-families hier bleven toeslaan.
Ander nieuws; Betalen aan criminelen of niet: het duivelse dilemma
AI werkt twee kanten op
NordStellar gaat niet in op de gebruikte methoden. Een apart rapport van het SANS Institute doet dat wel. Daaruit blijkt dat 78 procent van de organisaties het afgelopen jaar te maken kreeg met bevestigde of vermoedelijke AI-aanvallen. Verdedigers zetten de technologie ook zelf in. Het aandeel securityteams dat AI gebruikt steeg van 50 procent in 2025 naar 78 procent nu.
Zo’n 63 procent van de teams meldt serieuze tekortkomingen in hoe AI dreigingen detecteert of erop reageert. Dat is bijna 20 procent meer dan een jaar eerder. Volgens SANS is de aanvalskant intussen wel sneller, want AI-aanvallen bewegen tot 47 keer sneller dan door mensen bestuurde varianten.
Eerder deze maand documenteerde cloudbeveiliger Sysdig de eerste ransomware-campagne die volledig door een LLM werd aangestuurd. De campagne, genaamd JadePuffer, brak sneller in dan mensen dat konden. In een geval kostte het de tool slechts 31 seconden om van een mislukte login naar een werkende exploit te komen.