Uit het nieuwste Cyber Threat Intelligence Report van NCC Group, het moederbedrijf van Fox-IT, blijkt dat ransomware-activiteit in april 2026 op een hoog niveau bleef, ondanks een lichte daling ten opzichte van maart. Wereldwijd registreerde NCC Group in april 748 ransomware-incidenten, een afname van 7% op maandbasis. Tegelijkertijd ligt het algemene dreigingsniveau in 2026 nog altijd hoger dan gedurende het grootste deel van 2025, wat volgens NCC Group wijst op de verdere professionalisering van het ransomware-as-a-service (RaaS)-ecosysteem.
De industriële sector bleef met 28% van alle geregistreerde aanvallen het belangrijkste doelwit van cybercriminelen. Ook bleef Noord-Amerika de zwaarst getroffen regio wereldwijd.
Nieuwe ransomwaregroepen versnellen professionalisering van aanvallen
Qilin was opnieuw de meest actieve ransomwaregroep en was verantwoordelijk voor 14% van alle waargenomen aanvallen in april. Daarnaast viel vooral de snelle opkomst van The Gentlemen op, met inmiddels 10% van alle ransomware-activiteit. Volgens NCC Group onderstreept deze opkomst hoe snel het ransomwarelandschap zich blijft ontwikkelen.
Uit de analyse blijkt dat The Gentlemen zich in korte tijd heeft ontwikkeld tot een zeer operationele ransomware-as-a-service-groep. De groep maakt gebruik van geavanceerde tooling en proxy-infrastructuur om aanvallen sneller uit te voeren en detectie te ontwijken. Affiliates van de groep zetten bovendien steeds vaker malware van SystemBC-group in om verborgen verbindingen op te zetten, detectie te omzeilen en zich snel lateraal door bedrijfsomgevingen te bewegen.
“De opkomst van groepen zoals The Gentlemen laat zien hoe cybercriminelen gedeelde tooling, verborgen infrastructuren en gestandaardiseerde aanvalsmethoden combineren om aanvallen op grote schaal uit te voeren. Technieken zoals verborgen tunneling en snelle uitrol binnen volledige domeinomgevingen verkleinen het tijdsvenster waarin organisaties aanvallen kunnen detecteren en stoppen voordat encryptie plaatsvindt”, zegt Matt Hull, VP of Cyber Intelligence and Response bij NCC Group.
AI-gestuurde cyberdreigingen blijven zich ontwikkelen
Het rapport wijst daarnaast op de groeiende discussie binnen de cybersecuritysector over AI-ondersteunde cyberaanvallen, naar aanleiding van de introductie van Claude Mythos door Anthropic. Dit geavanceerde AI-model zou zelfstandig kwetsbaarheden kunnen identificeren en exploit chains kunnen ontwikkelen.
Volgens NCC Group is het nog onduidelijk wat de daadwerkelijke impact hiervan in de praktijk zal zijn, onder meer vanwege beperkte toegang tot het model, gecontroleerde testomgevingen en vragen over de operationele inzetbaarheid op grote schaal.
Hull zegt: “Ontwikkelingen rond AI-modellen zoals Claude Mythos suggereren dat AI-ondersteunde detectie en misbruik van kwetsbaarheden de tijdlijn van aanvallers in de toekomst verder kunnen verkorten. Tegelijkertijd moet de sector voorzichtig zijn blijven met het overschatten van de huidige mogelijkheden, zeker wanneer tests alleen binnen gecontroleerde omgevingen plaatsvinden.
“Organisaties kunnen in ieder geval niet langer uitsluitend vertrouwen op reactieve securitymaatregelen. Continu inzicht in het aanvalsoppervlak, sterke identity controls en snelle detectie van verdacht gedrag worden steeds belangrijker om cyberrisico’s te beperken.”
Geopolitieke spanningen blijven cyberactiviteit aanjagen
Het rapport signaleert verder op verschillende geopolitieke ontwikkelingen die de komende maanden waarschijnlijk invloed zullen hebben op cyberactiviteit. NCC Group noemt onder meer de aangescherpte Chinese regelgeving rond supply chain security en het strategische belang van NASA’s Artemis-programma.
Volgens NCC Group vergroten deze ontwikkelingen de kans op meer door staten gesteunde cyberactiviteiten, gericht op spionage, supply chain-aanvallen en het verzamelen van inlichtingen bij internationale organisaties.
Het volledige rapport is hier te vinden.