Betalen van losgeld zorgt voor verdubbeling van kosten bij ransomware

Het betalen van losgeld voor een ransomware-aanval verdubbelt bijna de kosten voor een herstel na een aanval. Van alle sectoren wordt de publieke sector het minst getroffen door ransomware.

Dit blijkt uit het rapport The State of Ransomware 2020 van Sophos. Aan het onderzoek namen 5.000 IT-beslissers in organisaties in 26 landen in Europa, Amerika, Azië-Pacific en Centraal-Azië, het Midden-Oosten en Afrika deel. Meer dan de helft (51%) van de organisaties heeft de afgelopen twaalf maanden een aanzienlijke ransomware-aanval ervaren; in 2017 was dit nog 54%. Data werden in bijna driekwart (73%) van de aanvallen versleuteld.

Meer dan een kwart betaalde losgeld

De gemiddelde kosten om de impact van een dergelijke aanval aan te pakken – inclusief bedrijfsonderbreking, verloren bestellingen, operationele kosten en losgeld – bedroegen meer dan €675.000. Deze gemiddelde kosten stegen tot 1,3 miljoen euro, bijna twee keer zoveel bij organisaties die losgeld betaalden. Meer dan een kwart (27%) van de door ransomware getroffen organisaties gaf toe het losgeld te hebben betaald.

Op wereldwijd niveau kregen de categorieën media, ontspanning en entertainment de grootste klappen: 60% van de respondenten geeft aan getroffen te zijn door ransomware-aanvallen. De publieke sector werd het minst getroffen; slechts 45% van de ondervraagde organisaties gaf aan slachtoffer te zijn geweest van een aanval.

Downtime voorkomen

“Organisaties voelen mogelijk grote druk en betalen hierdoor losgeld om zo schadelijke ‘downtime’ te voorkomen”, zegt Chester Wisniewski, principal research scientist Sophos. “Op het eerste gezicht lijkt het betalen van losgeld een effectieve manier om data terug te krijgen, maar dit is een illusie. Uit onze bevindingen blijkt dat betalen voor tijd en kosten weinig uitmaakt voor de moeite die men erin moet steken om gegevens terug te krijgen. Dit kan zijn omdat het onwaarschijnlijk is dat één enkele decoderingssleutel alles is wat nodig is om volledig te herstellen. Aanvallers kunnen verschillende sleutels hebben. Het gebruik hiervan kan een complexe en tijdrovende aangelegenheid zijn.”

Meer dan de helft (56%) van de ondervraagde IT-managers kon de data van back-ups herstellen zonder losgeld te betalen. Slechts bij 1% leidde het betalen van losgeld niet tot herstel van gegevens. Dit cijfer steeg tot 5% voor overheidsorganisaties. In feite slaagde 13% van de ondervraagde overheidsorganisaties er nooit in om hun versleutelde gegevens te herstellen, vergeleken met 6% in het algemeen.

Ook in Nederland veel slachtoffers

Aan het onderzoek The State of Ransomware 2020 namen 200 Nederlandse bedrijven deel: 55% van de ondervraagden heeft hierbij aangegeven in het afgelopen jaar slachtoffer te zijn geworden van een ransomware-aanval. Van deze groep was 22% in staat een aanval af te slaan voordat data kon worden versleuteld. Hetzelfde percentage (22%) van wie de data werd versleuteld, ging over tot het betalen van losgeld. In Nederland bedroegen de gemiddelde herstelkosten zo’n €770.000.

Als laatste werd er aan de Nederlandse ondervraagden gevraagd of zij verzekerd zijn tegen cybersecurity: 76% gaf in het onderzoek aan dat dit het geval is. Van deze groep heeft 64% ook een verzekering tegen ransomware.

Gedrag van aanvallers beter begrijpen

In een tweede rapport, Maze Ransomware: Victorting Extenders Victims for 1 Year and Counting, zetten onderzoekers van SophosLabs de tools, technieken en procedures uiteen waarin data-encryptie wordt gecombineerd met informatiediefstal en de dreiging van het openbaar maken van data. Deze aanpak die volgens Sophos-onderzoekers ook is gebruikt door andere ransomwarefamilies (zoals LockBit) is bedoeld om de druk op slachtoffers om losgeld te betalen, te vergroten. Het nieuwe Sophos-rapport helpt beveiligingsprofessionals het veranderende gedrag van aanvallers van ransomware beter te begrijpen, erop te anticiperen en hun organisaties te beschermen.

"Een effectief back-upsysteem waarmee organisaties versleutelde data kunnen herstellen zonder de aanvallers te betalen, is bedrijfskritisch. Er zijn echter nog andere belangrijke zaken om bedrijven resistent te maken tegen ransomware", voegt Wisniewski eraan toe. "Geavanceerde tegenstanders zoals de operators achter de Maze-ransomware coderen niet alleen bestanden, ze stelen gegevens voor mogelijke blootstelling of afpersingsdoeleinden. Sommige aanvallers proberen ook back-ups te verwijderen of te saboteren om het voor slachtoffers moeilijker te maken data te herstellen en de druk op hen te verhogen. Het offline bewaren van back-ups is de manier om deze kwaadaardige manoeuvres aan te pakken. Ook het gebruik van multi-layered beveiligingsoplossingen behoort tot de oplossingen.”