Bedrijven betalen steeds minder ransomware … maar doen het nog altijd

Gepubliceerd op 2023-06-14 door William Visterin

Bedrijven zijn minder bereid om te betalen als zij door een ransomware-aanval worden getroffen. Toch zijn er nog altijd veel die het wel doen, waardoor het hele betaalmodel rond ransomware erg destructief blijkt voor andere bedrijven.

Dit artikel verscheen oorspronkelijk in SAI Update 13, het digitaal magazine van SAI. Leden van SAI kunnen het magazine integraal lezen.

Wat maakt ransomware-aanvallen zo gevaarlijk?

Ransomware blijft een groot gevaar. Onafhankelijke bronnen bevestigen dat. Zo constateert beveiligingsbedrijf Kroll een heropleving van ransomwareaanvallen in het laatste kwartaal van 2022, terwijl de European Union Agency for Cybersecurity (Enisa) ransomware heeft geclassificeerd als de grootste cyberdreiging voor organisaties.
Ransomwareaanvallen worden zo zorgvuldig voorbereid en uitgevoerd dat het voor het slachtoffer onmogelijk is om de omvang van de aanval te begrijpen of tijdig te reageren. “Cybercriminelen doen er vaak weken of maanden over om de netwerken van een bedrijf te infiltreren en langzaam grote aantallen bestanden en bestandssystemen te versleutelen of te beschadigen, waarbij ze onopgemerkt blijven en daarna pas hun eis stellen”, zegt Arjo De Bruin, solutions architect, Benelux & Nordics bij Nasuni.

Wat zijn de technologische trends?

Cyberbeveiligingsbedrijf Fortinet identificeerde meer dan tienduizend nieuwe varianten in de eerste helft van 2022. Tegelijk is ransomware de laatste jaren zeer schaalbaar geworden qua slachtoffers, schade en opbrengsten. “Cybercriminelen boekten veel succes met Ransomware as a Service (RaaS). Daarom zullen er steeds meer aanvalstechnieken in de vorm van een dienst te koop worden aangeboden via het darkweb”, zegt Patrick Commers, business development manager cybersecurity mesh & sase bij Fortinet België. “Dertig procent van alle cyberaanvallen gebeurt vandaag in Europa”, kadert hij. “Voor ransomware ligt het aandeel nog hoger en de oorlog tussen Rusland en Oekraïne is daar niet vreemd aan. Circa veertig procent van de ransomwarecampagnes loopt in Europa.”

Hoeveel organisaties betalen het losgeld?

Ransomwarecriminelen doen deze aanvallen niet voor hun plezier. Ze willen er geld uit slaan, maar lukt dat ook? De percentages lopen uiteen, maar algemeen is de consensus dat een minderheid betaalt. Uit een recent rapport van Trend Micro blijkt dat 16 procent van de slachtoffers ermee instemt om losgeld te betalen. Ze doen dat meestal snel en worden vervolgens vaak gedwongen om meer te betalen nadat ze nogmaals gehackt worden.

Uit het onderzoek blijkt dat organisaties in Afrika het vaakst losgeld betalen na een ransomwareaanval (34,8 procent). Dit is bijna 20 procent hoger dan het wereldwijde gemiddelde van 16 procent. Organisaties in Europa betalen het minst vaak (11,1 procent). “Deze cijfers laten zien dat de meeste organisaties zich het gevaar van ransomwareaanvallen realiseren en hier actie op ondernomen hebben”, aldus stelt Jon Clay, vice president threat intelligence bij Trend Micro. “Bij de meeste ransomwareaanvallen slagen criminelen er dus niet in om het slachtoffer te laten betalen.”

Hoeveel losgeld betalen ze?

De hoogte van de losgeldsom wordt vaak gebaseerd op de inkomsten van het slachtoffer. Conti maakt bijvoorbeeld actief gebruik van websites die zakelijke informatie verstrekken, zoals Zoominfo en Rocketreach, om hun potentiële slachtoffer te profileren en hun jaarlijkse inkomen te schatten. Conti ransomware is een door mensen bediende double extortion ransomware die informatie steelt voor het lekken en de gegevens versleutelt zodat gebruikers er niet bij kunnen. Het is geclassificeerd als Ransomware as a Service (RaaS).

Daarnaast willen ransomwarecriminelen natuurlijk winstgevend zijn en nieuwe aanvallen subsidiëren. Door te betalen houden organisaties dit systeem in stand. Gemiddeld subsidieert één losgeldbetaling negen nieuwe aanvallen.
Uit onderzoek van Palo Alto Networks blijkt dat ransomware gangsters gemiddeld 650.000 dollar losgeld vragen. Bedrijven wereldwijd betalen echter veel minder dan waar de hackers op hopen, gemiddeld 350.000 dollar. “Dit toont aan dat onderhandelen ook effectief iets uitmaakt”, klinkt het bij UNIT 42, de onderzoekstak van Palo Alto.
En dan zijn er nog de recovery-kosten. Volgens onderzoek naar ransomwareaanvallen uit 2022 van Sophos hebben organisaties in België en Nederland globaal zeer hoge recovery-kosten bij ransomwareaanvallen (respectievelijk gemiddeld 4,75 en 2,71 miljoen euro), ruim boven het wereldwijde gemiddelde van 1,85 miljoen.

Speelt het type ransomware een rol?

Dat is inderdaad het geval. Dit wordt het best geïllustreerd door ransomwaredistributies LockBit en Conti, die een betalingspercentage van 16 procent losgeld bereiken, waarschijnlijk omdat deze ransomwaregroepen werken met een zeer gericht bedrijfsmodel. Dit is aanzienlijk hoger dan groepen die een meer op volume gebaseerd model hebben, zoals DeadBolt, waarvan het betalingspercentage een piek van 8 procent bereikte. Daarnaast bevindt 93 procent van de slachtoffers van Conti en 67 procent van de slachtoffers van LockBit

Is er een timing voor ransomwareaanvallen?

Ransomwareaanvallen komen met periodes. Ze komen minder vaak voor in januari en de zomerperiode juli-augustus. “Dit is daarom een goed tijdstip voor organisaties om hun infrastructuur opnieuw op te bouwen en zich voor te bereiden op de toekomst. Want ransomware blijft een grote dreiging voor organisaties en overheden”, stelt Jon Clay van Trend Micro.

Betalen we ook minder losgeld?

Dat blijkt wel het geval. Er zijn minder organisaties bereid om te betalen als ze door een ransomwareaanval worden getroffen en in totaal is er minder betaald, blijkt dan weer uit onderzoek van Chainalysis. In vergelijking met 2021 is er in 2022 40 procent minder betaald. Werd in 2021 nog ongeveer 706 miljoen euro (766 miljoen dollar) neergeteld, dan was dit in het afgelopen jaar nog maar 421 miljoen euro (457 miljoen dollar).

Hoewel de onderzoekers van Chainalysis constateren dat het aantal ransomwareaanvallen nog niet afneemt, zijn bedrijven wellicht minder bereid om te betalen voor het ontsleutelen van hun getroffen omgevingen. Een belangrijke reden voor dit minder willen betalen, kunnen de toenemende juridische risico’s voor zulke betalingen zijn. Deze betalingen vinden vaak met cryptocurrency plaats. De Amerikaanse overheid legt echter steeds vaker sancties op aan cryptobedrijven die illegale praktijken, zoals het witwassen van ransomwarebetalingen, mogelijk maken.

Waarom niet betalen?

Betalen is niet zonder risico. Wanneer bedrijven toch proberen om hun betalingen aan de hackers te voldoen, dan riskeren ze juridische maatregelen. Een andere reden die de onderzoekers geven, is dat verzekeraars steeds strikter worden over hoe en wanneer zij uitkeren. Deze regels maken het vaak onmogelijk om bij ransomwareaanvallen te betalen. Bedrijven wegen steeds vaker deze gevolgen af tegen het nut van een betaling.

Arjo De Bruin somt als solutions architect enkele redenen op waarom bedrijven nooit het losgeld van een crimineel zouden moeten betalen. “Er is geen garantie dat je door het betalen van het losgeld je data terugkrijgt. Bovendien kan het criminelen aanmoedigen om opnieuw aan te vallen”, klinkt het. “Door te betalen, financier je in feite hun activiteiten. Na sancties tegen bepaalde bendes kunnen organisaties die op deze manier losgeld betalen zelfs juridisch worden vervolgd”, aldus De Bruin.

Daarnaast is er natuurlijk ook de kwestie van het herstel, vaak de hoofdreden waarom bedrijven het gevraagde (of onderhandelde) bedrag neertellen: ze zijn van oordeel dat herstel en opstart veel vlotter en sneller gaat door te betalen. “Maar slimme bedrijven kunnen dankzij recente technologische ontwikkelingen nu snel herstellen van ransomware zonder te betalen. Om je te beschermen tegen ransomware sla je onveranderlijke versies van al je bestanden op, met name in de cloud. Dit stelt IT-teams in staat om alleen de getroffen bestanden en mappen te identificeren en herstellen.”

Waarom betalen bedrijven dan nog wel?

Het antwoord op de vraag waarom organisaties nog altijd losgeld betalen na een ransomwareaanval is vaak omdat ze niet anders kunnen, of dat denken. Ook speelt uitstelgedrag en de gedachte dat het ‘iemand anders wel zal overkomen’ aanvallers in de kaart. “Zo blijkt dat veel slachtoffers van succesvolle afpersing-Trojans niet altijd voldoen aan de best practices. Ook al is het niet altijd een bewuste keuze om deze security-aanbevelingen te negeren”, zegt Marc Lueck, CISO EMEA bij Zscaler, aan het vakblad Computable.
Vaak zijn de betrokkenen zich bewust van het gevaar, maar hebben ze andere prioriteiten of beveiligen ze alleen kritieke assets. “Omdat deze organisaties zich realiseren dat ze niet alle mogelijke defensieve maatregelen hebben genomen, maken ze vaak de pijnlijke beslissing om het losgeld te betalen.”

Daarnaast vertrouwen veel organisaties nog altijd op ouderwetse oplossingen om de problemen van morgen tegemoet te treden. “Tegelijkertijd gebruiken aanvallers state-of-the-art-technologie en automation om kwetsbaarheden in netwerken te detecteren. Soms is alleen het endpoint beveiligd, worden firewalls geüpgraded, worden ’VPN’s uitgebreid of wordt aanvullende technologie aangekocht om het netwerk te beveiligen. Dit lost echter alleen oppervlakkige problemen op, zonder de oorzaak hiervan aan te pakken.”

Hoe kan het beter?

Om verandering te bewerkstelligen, helpt het volgens Marc Lueck om je ervan bewust te zijn dat een aanvaller slechts één keer succesvol hoeft te zijn om een ransomwareaanval te lanceren, terwijl aan de andere kant een organisatie alle aanvallen moet kunnen afslaan.
Dat honderd procent bescherming niet haalbaar is, betekent niet dat bestuurders hun kop in het zand moeten steken. “Zero-trust biedt precies zo’n framework. Het is niet zomaar een nieuwe technologische feature, maar een compleet andere aanpak die het aanvalsoppervlak verkleint”, oppert Lueck. “Organisaties moeten het tij keren door de kans op een succesvolle ransomwareaanval te beperken, onder meer door laterale bewegingen in het netwerk te voorkomen”, stelt hij. “Je moet het kwaadwilligen zo lastig mogelijk maken om kritieke assets te versleutelen, zodat zij hun interesse verliezen en zich gaan richten op gemakkelijkere slachtoffers. En dat zijn dus diegene die nog altijd een uitgebreid aanvalsoppervlak bieden.”