Ransomware in retail: waarom 58% toch betaalt
Ransomware in retail: waarom 58% toch betaalt

Ransomware in retail: waarom 58% toch betaalt

Security
Software
Praktijk
Redactie WINMAG Pro

Ransomware in retail blijft een hardnekkig operationeel risico. De mediaan van de losgeldeis is verdubbeld naar $2 miljoen, terwijl 58% van de slachtoffers met versleutelde data tóch betaalt. Tegelijk staat het versleutelingspercentage op een vijfjarig dieptepunt (48%) en dalen de herstelkosten. De rode draad: zicht op het aanvalsoppervlak en basishygiëne blijft achter – precies daar waar aanvallers binnenkomen. In de praktijk verschuift het speelveld van ‘alleen encryptie’ naar een mix van encryptie én exfiltratie, met meer druk op besluitvorming. Dit artikel zet de cijfers, oorzaken en maatregelen op een rij, met focus op wat voor retailorganisaties nu wél werkt tegen ransomware in retail. 

Het speelveld in cijfers (2025) 

De cijfers vertellen een verschuivend verhaal. Retail wordt minder vaak volledig ‘op slot’ gezet, maar het spel verlegt zich naar druk via datalekken en reputatie – deze stijging in retail is in lijn met de toename van ransomware-aanvalspogingen in andere sectoren. Tegelijk stijgen de eisen sneller dan de feitelijke betalingen, terwijl herstel gemiddeld sneller en goedkoper wordt – mits zicht, patching en basisbeveiliging op orde zijn. Zie de hoofdlijnen hieronder; ze plaatsen de latere aanbevelingen in context:
 

  • Technische hoofdoorzaak (3e jaar op rij): misbruikte kwetsbaarheden (30%). 
  • Operationeel #1-probleem: onbekende security gaps (46%), gevolgd door gebrek aan expertise (45%) en lacunes in bescherming (44%). 
  • Datagevolg: 48% van de aanvallen leidt tot versleuteling (laagste in 5 jaar). 
  • Exfiltratie: bij 29% van de encryptiegevallen is ook data buitgemaakt. 
  • Herstel: 98% herstelt uiteindelijk; back-ups ingezet in 62% (laagste in 4 jaar). 
  • Eisen vs. betalingen: mediaan eis $2M, mediaan betaling $1M (+5% j/j); 29% betaalt exact de eis, 59% minder, 11% meer. 
  • Businessimpact: herstelkosten dalen 40% naar $1,65M; 51% is binnen een week hersteld.

Kort gezegd: de aanvalsdruk verschuift van ‘alleen encryptie’ naar ‘encryptie + exfiltratie’, terwijl de verdedigingskant vooral wint waar zichtbaarheid en responssnelheid verbeteren. 

Datakaart 

Om snel te zien waar de pijn én de vooruitgang zit, bundelen we de kerncijfers in één blik. Lees deze kaart als dashboard met drie blokken: oorzaken → data-uitkomsten → financiële druk & herstel. We tonen ze in deze volgorde van boven naar beneden.

Datakaart – ransomware in retail in 8 cijfers
 

  • 46% onbekende security gaps
  • 30% exploited vulnerabilities
  • 48% encryptie-uitkomst
  • 29% exfiltratie
  • $2M mediaan losgeldeis
  • 58% betaalt
  • 62% herstel via back-ups
  • $1,65M herstelkosten

 Tip voor de lezer: gebruik deze acht waarden als ‘snelle sanity check’ op je eigen posture – zie met name de combinatie onbekende lekken (46%) ↔ patchprioriteit en de dalende rol van back-ups (62%) bij herstel.

Voor een breder overzicht van digitale dreigingen in 2025 kun je terecht bij Cyberdreigingen in 2025: wat ondernemers moeten weten.

Waar gaat het mis? 

Achter de meeste retailincidenten zitten twee lagen tegelijk: een technisch venster én een operationele lacune. Kwetsbaarheden blijven het primaire technische toegangspunt. Publiek bereikbare systemen en appliances (VPN, RMM, remote access) vormen nog steeds het eerste breekijzer. Daarnaast verschuift het toegangspatroon: gecompromitteerde accounts (26%) en phishing (23%) winnen terrein. De kern is bekend, maar vaak incompleet geborgd: patching, identity, e-mail en streng beheerde externe toegang. 

Operationeel rapporteren organisaties zelden één oorzaak; het gaat om stapeling. Zonder actueel asset-overzicht blijven prioriteiten diffuus en blijven ‘unknown gaps’ bestaan. Bovenaan staat gebrek aan zicht op zwakke plekken (46%). Dat wordt verergerd door skills/capacity-tekorten (45%) en gaten in beschermingsdekking (44%). Die combinatie vertraagt discovery, prioritering en mitigatie precies op de plekken waar het tempo het hoogst moet liggen. 

Wat gebeurt er met de data? 

De datafase is steeds vaker het echte drukmiddel. Dataversleuteling neemt af (48%), maar criminelen compenseren met data-exfiltratie (29% bij encryptie-cases). Daardoor ontstaat druk om te betalen, zelfs als herstel mogelijk lijkt. Tegelijk wordt minder vaak op back-ups gesteund (62%), wat wijst op praktische drempels tijdens herstel: autorisaties, afhankelijkheden tussen systemen, integriteitschecks en – vooral – te weinig geoefende restores. Zonder aantoonbaar, getest herstelpad wordt de ‘betaalreflex’ groter. Wie geen aantoonbare RTO/RPO kan laten zien, voelt in de praktijk sneller druk om te zwichten. 

Waarom betaalt 58% alsnog? 

Betaalgedrag is zelden technisch; het is organisatorisch en tijdkritisch. De mediaan van de eis ($2M) en de betaling ($1M) loopt uiteen, wat duidt op assertievere crisisaanpak en onderhandelingen. Toch betaalt een meerderheid nog steeds. Oorzaken: downtime-druk, onzekerheid over exfiltratie/datalek, contractuele verplichtingen richting klanten/leveranciers en twijfel over herstelsnelheid. Pre-gearrangeerde governance maakt hier het verschil: besliscriteria, rollen en communicatielijnen die vóór een crisis zijn vastgelegd, plus drempelwaarden voor besluitvorming (wie mag wat accorderen, wanneer, onder welke voorwaarden).

Welke rol een cyberverzekering speelt in incidentkosten, voorwaarden rond losgeld en eisen aan je securityniveau, bespreken we in Nut en noodzaak van cyberverzekeringen: het onderzoeken waard.

Mini-tabel: eisen vs. betalingen (retail 2025):

Afbeelding van tabel bij ransomware in retail

Impact op teams en bestuur

Ransomware is niet alleen technologie, maar ook organisatiekunde. Besluitvorming en communicatie onder tijdsdruk bepalen de schade in de eerste 24-72 uur. Na versleuteling ervaart 47% van de retail-IT/securityteams meer druk vanuit leiderschap; in 26% van de gevallen volgt vervanging van teamleiding. Dat vraagt om een geoefend incidentrespons-proces, duidelijke bevoegdheden en psychologische veiligheid in het crisisteam. Leg vast wie spreekt (CIO/CISO/PR/juridisch) en wie handelt (IR/SOC) – en oefen dat ritme. Oefenen is hier geen nice-to-have maar randvoorwaarde. 

Wie zit achter de ransomware in retail?

De namen verschillen per golf, maar de tactieken zijn opvallend consistent. Het afgelopen jaar zijn bijna 90 verschillende groepen in beeld die retailers viseren via leak-sites (ransomware of pure afpersing). Namen die veel terugkomen: Akira, Cl0p, Qilin, PLAY en Lynx. Naast ransomware blijven accountcompromittering en Business Email Compromise (BEC) prominent. De gemene deler: identity en financieel procesbeheer blijven aantrekkelijke doelwitten, net als alles wat vanaf internet bereikbaar is.

Waarom juist mkb- en retailorganisaties zo’n aantrekkelijk doelwit zijn, lichten we uitgebreider toe in Waarom hackers steeds vaker MKB-bedrijven aanvallen en hoe jij je verdedigt.

Van reactief naar proactief: 8 maatregelen die werken tegen ransomware in retail

Deze set is direct gelinkt aan de pijnpunten uit de cijfers (unknown gaps 46%, misbruikte kwetsbaarheden 30%, identity & herstel) en blijft vendor-agnostisch en technisch concreet. 

1) Continu inzicht in je aanvalsoppervlak (EASM/ASM)

 Breng alle internet-exposed assets in kaart (inclusief shadow IT, RMM, remote access, webapps en third-party integraties). Koppel eigenaarschap en herstel-SLA’s aan risicoklassen (bijv. ‘critical internet-exposed’: 24-72 uur). Daarmee pak je de unknown gaps (46%) direct aan. 

2) Patching & hardening met risicoprioritering

 Begin bij extern bereikbare, actief misbruikte kwetsbaarheden. Automatiseer waar kan; documenteer uitzonderingen met compensatoire controls (WAF, network ACL, feature toggles). Dit adresseert de #1 technische oorzaak (30%). 

3) Identity-first security

 Verplicht MFA (liefst phishing-resistant) voor beheerders en remote toegang, minimaliseer lokale adminrechten, pas Just-in-Time/Just-Enough toe en monitor op aanmeldingsanomalieën. Zo verminder je het risico op compromised credentials (26%). 

4) E-mailbeveiliging & meetbare awareness

 Combineer geavanceerde filtering/sandboxing met DMARC/DKIM/SPF-beleid. Koppel awareness-training aan KPI’s (report-rate, time-to-remediate) om het aandeel phishing (23%) als initiële vector terug te dringen.

Concrete trainingen en programma’s om de digitale weerbaarheid in het MKB te verhogen, bespreken we uitgebreider in Zo verhoog je de cyberweerbaarheid van je MKB.

5) Netwerktoegang en remote tooling op dieet

 Sluit of isoleer RDP extern, segmenteer beheerkanalen, koppel remote tooling (RMM/IT-support) aan MFA en allowlists, en log beheerhandelingen centraal. Minimaliseer het aantal paden waarlangs privilege-escalatie kan plaatsvinden. 

6) 24/7 detectie en respons organiseren

 Dreigingen pieken buiten kantoortijd; EDR/MDR of een volwassen SOC-functie is noodzakelijk om laterale beweging en exfiltratie buiten kantoortijden te zien en te stoppen. Leg ‘authority to act’, containment-richtlijnen en escalaties trék klaar – inclusief afstemming met legal en communicatie.

Wie binnen je organisatie de rol van eerste cyberhulpverlener op zich neemt en hoe je die rol inricht, werken we uit in De CHV’er: versterk je digitale weerbaarheid.

7) Back-ups die tegenpressie aankunnen

 Immutabel/offline, versleuteld en gesegmenteerd, mét regelmatige hersteltests tot applicatieniveau. Doel: aantoonbare RTO/RPO, zodat je minder snel betaalt als de druk oploopt. De daling van herstel via back-ups naar 62% onderstreept dat veel omgevingen hier nog kwetsbaar zijn. 

8) Incidentrespons oefenen met realistische scenario’s

 Simuleer encryptie met en zonder exfiltratie, supply-chain-impact en klantcommunicatie. Leg vooraf vast wanneer je wel/geen onderhandelingen start, wat je publiek kunt maken en hoe je richting toezichthouders rapporteert. Dit verkort de hersteltijd (51% binnen een week) en drukt de herstelkosten (gemiddeld $1,65M, −40% j/j).

Wil je de mens- en proceskant van zo’n scenario verder uitwerken? In Voorbereiding op een cyberaanval: van alert naar actie vertalen we tabletop-oefeningen en crisisrollen naar de praktijk.

Conclusie

De cijfers laten twee bewegingen zien op het gebied van ransomware in retail: verdediging werkt beter (minder encryptie, snellere en goedkopere recovery), maar criminelen vragen meer en drukken harder. De strategische keuze is daarom ‘verifiëren & herstellen’ boven ‘discussie over losgeld’. De uitweg is geen silver bullet, maar consequent organiseren: continu zicht op je aanvalsoppervlak, risicogestuurde patching en hardening, identity- en e-mailbeveiliging op niveau, 24/7 detectie en een geoefend herstel- en besluitvormingsproces. Wie dat op orde heeft, betaalt minder snel en herstelt sneller – ook als de eisen blijven stijgen.

Voor organisaties die (straks) onder NIS2 vallen, wordt ketenbeveiliging bovendien een harde verplichting in plaats van een best effort. Wat dat concreet betekent voor leveranciers, IT-partners en rapportage, werken we uit in Wat betekent ketenbeveiliging voor NIS2?

Methodologie

Het onderzoek van ransomware in retail is gebaseerd op The State of Ransomware in Retail 2025: onafhankelijk, vendor-agnostisch onderzoek van Sophos onder 361 IT- en securityleiders in 16 landen (jan-mrt 2025). Bedragen in USD. 

Lees meer

Scattered Spider ontwricht bedrijven; wie zijn het?
Scattered Spider ontwricht bedrijven; wie zijn het?
Online criminaliteit treft 2,4 miljoen Nederlanders
Online criminaliteit treft 2,4 miljoen Nederlanders
Digitale transformatie: AI agents als motor van bedrijfsautomatisering
Digitale transformatie: AI agents als motor van bedrijfsautomatisering
E-coaching in de praktijk: de voor- en nadelen
E-coaching in de praktijk: de voor- en nadelen
Overheid zet rem op externe inhuur: vraag daalt in derde kwartaal met 25 procent
Overheid zet rem op externe inhuur: vraag daalt in derde kwartaal met 25 procent
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie