Ransomwareslachtoffers betalen fors meer losgeld
Het gemiddelde bedrag dat organisaties aan losgeld betalen is het afgelopen jaar met 500% gestegen. Organisaties die losgeld betaalden maakten gemiddeld 2 miljoen dollar over naar aanvallers. Dit bedrag lag in 2023 nog op 400.000 dollar. Losgeld is echter slechts één deel van de kosten. Als losgeld buiten beschouwing wordt gelaten bedragen de gemiddelde herstelkosten 2,73 miljoen dollar per aanval, ten opzichte van van 1,82 miljoen dollar in 2023.
Dit blijkt uit onderzoek van Sophos. Ondanks de stijgende losgeldeisen laat het onderzoek van dit jaar een lichte daling zien in het aantal ransomware-aanvallen: 59% van de organisaties werd hierdoor getroffen, vergeleken met 66% in 2023. Hoewel de kans dat een organisatie getroffen wordt door ransomware toeneemt naarmate de omzet stijgt, zijn zelfs de kleinste organisaties (met een omzet van minder dan $10 miljoen) nog steeds regelmatig het doelwit: iets minder dan de helft (47%) werd het afgelopen jaar getroffen door ransomware.
Steeds vaker miljoenen dollar geëist
63% van de losgeldeisen bedroegen 1 miljoen dollar of meer, en in 30% van de gevallen ging het om meer dan 5 miljoen dollar. Helaas gelden deze verhoogde losgeldbedragen niet alleen voor de onderzochte organisaties met de hoogste inkomsten. Bijna de helft (46%) van de organisaties met een omzet van minder dan 50 miljoen dollar ontving in het afgelopen jaar een losgeldeis bestaande uit zeven cijfers.
“We moeten niet verslappen vanwege de lichte daling in het aantal aanvallen. Ransomware-aanvallen zijn nog steeds de meest dominante dreiging en voeden de cybercrime-economie. Zonder ransomware zouden we niet dezelfde verscheidenheid aan en omvang van dreigingen en diensten zien, die deze aanvallen ondersteunen. De torenhoge kosten van ransomware-aanvallen verhullen het feit dat dit een misdaad met gelijke kansen is. Het ransomwarelandschap biedt elke cybercrimineel iets, ongeacht zijn vaardigheden. Sommige groepen richten zich op losgeld van miljoenen dollars en anderen nemen genoegen met lagere bedragen en maken dit goed in volume,” zegt John Shier, field CTO, Sophos.
Kwetsbaarheden blijven hoofdoorzaak
Voor het tweede jaar op rij waren uitgebuite kwetsbaarheden de meest vastgestelde hoofdoorzaak van een aanval, waardoor 32% van de organisaties werd getroffen. Dit werd op de voet gevolgd door gecompromitteerde credentials (29%) en kwaadaardige e-mail (23%). Dit is in lijn met recente incident respons bevindingen uit het meest recente Active Adversary report van Sophos.
Slachtoffers waarbij de aanval begon met misbruikte kwetsbaarheden, meldden de ernstigste gevolgen voor hun organisatie: een hoger percentage gecompromitteerde back-ups (75%), gegevensversleuteling (67%) en de neiging om losgeld te betalen (71%). Deze gevolgen waren minder ernstig wanneer de aanval begon met gecompromitteerde credentials. De ondervraagde organisaties merkten ook een aanzienlijk grotere operationele en financiële impact vanwege aanvallen die begonnen met misbruikte kwetsbaarheden: een groter deel van de aangevallen organisaties had meer dan een maand nodig om te herstellen en de gemiddelde herstelkosten bedroegen $3,58 miljoen. Dit in vergelijking met $2,58 miljoen wanneer een aanval begon met gecompromitteerde credentials.
Andere bevindingen uit het rapport zijn onder andere:
- Minder dan een kwart (24%) van de organisaties die het losgeld betaalden, overhandigden het oorspronkelijk gevraagde bedrag en 44% van de respondenten gaf aan minder te betalen dan het oorspronkelijk gevraagde bedrag.
- De gemiddelde losgeldbetaling bedroeg 94% van het oorspronkelijk gevraagde losgeld.
- In meer dan vier vijfde van de gevallen (82%) kwam de financiering van het losgeld van meerdere bronnen. In totaal kwam 40% van de totale financiering van het losgeld van de organisaties zelf en 23% van verzekeringsmaatschappijen.
- Vierennegentig procent van de organisaties die het afgelopen jaar werden getroffen door ransomware, gaf aan dat de cybercriminelen hun back-ups probeerden te compromitteren tijdens de aanval, oplopend tot 99% bij zowel staats- als lokale overheden. In 57% van de gevallen waren de pogingen om de back-up te compromitteren succesvol.
- In 32% van de incidenten waarbij gegevens werden versleuteld, werden ook gegevens gestolen – een lichte stijging ten opzichte van de 30% van vorig jaar – waardoor aanvallers beter in staat waren om hun slachtoffers geld afhandig te maken.
“Risicobeheer is de kern van wat we doen als verdedigers. De twee meest voorkomende hoofdoorzaken van ransomware-aanvallen – uitgebuite kwetsbaarheden en gecompromitteerde credentials – zijn te voorkomen, maar toch raken ze nog te veel organisaties. Bedrijven moeten kritisch beoordelen in hoeverre ze blootgesteld worden aan deze hoofdoorzaken en ze onmiddellijk aanpakken. In een defensieve omgeving waar resources schaars zijn, is het tijd dat organisaties ook de aanvallers op kosten jagen. Alleen door de lat hoger te leggen om netwerken binnen te dringen, kunnen organisaties hopen dat ze hun defensieve uitgaven kunnen maximaliseren,” aldus Shier.
Best practices
Sophos beveelt de volgende best practices aan voor het verdedigen van de organisatie tegen ransomware en andere cyberaanvallen:
- Begrijp uw risicoprofiel, met tools zoals Sophos Managed Risk die het externe aanvalsoppervlak van een organisatie kunnen beoordelen, de grootste risico's kunnen prioriteren en op maat gemaakte richtlijnen voor herstel kunnen bieden.
- Implementeer endpointbescherming die een reeks van altijd veranderende ransomware-technieken kan tegenhouden, zoals Sophos Intercept X.
- Versterk uw verdediging met 24-uurs detectie van dreigingen, onderzoek en respons – ofwel door een intern team of met ondersteuning van een Managed Detection and Response-provider.
- Bouw en onderhoud een incidentresponsplan, maak regelmatig back-ups en oefen met het herstellen van gegevens uit back-ups.
De gegevens voor het rapport State of Ransomware 2024 zijn afkomstig van een leveranciersagnostisch onderzoek onder 5.000 cyberbeveiligings-/IT-leiders, dat is uitgevoerd tussen januari en februari 2024. De respondenten waren gevestigd in 14 landen in Noord- en Zuid-Amerika, EMEA en Azië-Pacific. De ondervraagde organisaties hadden tussen de 100 en 5.000 werknemers en hun omzet varieerde van minder dan $10 miljoen tot meer dan $5 miljard.
Meer informatie is beschikbaar in het State of Ransomware 2024 report.