De kleine groep organisaties die losgeld betalen aan ransomware-criminelen (zo’n 16%) houdt niet alleen een criminele industrie in stand, maar zorgt er ook voor dat aanvallen op andere bedrijven worden uitgevoerd. Dit blijkt uit een nieuw rapport van Trend Micro.
De belangrijkste bevindingen uit het onderzoek zijn:
- De 16% van de slachtoffers die ermee instemt losgeld te betalen, doet dat meestal snel en wordt over het algemeen gedwongen om meer te betalen nadat ze nogmaals gehackt worden
- Risico’s zijn niet overal hetzelfde – dit verschilt per regio, sector en bedrijfsgrootte
- Slachtoffers betalen in sommige sectoren en landen vaker dan anderen, wat betekent dat vergelijkbare bedrijven ook vaker een doelwit vormen
- Het betalen van losgeld resulteert eigenlijk alleen in het opdrijven van de totale kosten van het incident, terwijl er weinig andere voordelen zijn
- Ransomware-aanvallen komen minder vaak voor in januari en de zomerperiode juli-augustus. Dit is daarom een goed tijdstip voor organisaties om hun infrastructuur opnieuw op te bouwen en zich voor te bereiden op de toekomst
Jon Clay, VP of threat intelligence bij Trend Micro: “Ransomware is nog altijd een grote dreiging voor organisaties en overheden. Het blijft zich evolueren en daarom hebben we actuele, data-gedreven oplossingen nodig om ransomware-gerelateerde risico’s in kaart te brengen. Dit onderzoek helpt IT-beslissers deze risico’s beter te begrijpen en het biedt beleidsmakers de informatie die zij nodig hebben om effectievere strategieën en regels te ontwikkelen.”
Afrikaanse organisaties betalen het vaakst losgeld, Europese het minst vaak
Uit het onderzoek blijkt dat organisaties in Afrika het vaakst losgeld betalen na een ransomware-aanval (34,8%). Dit is bijna 20% hoger dan het wereldwijde gemiddelde van 16%. Organisaties in Europa betalen het minst vaak (11,1%). Deze cijfers laten zien dat de meeste organisaties zich het gevaar van ransomware-aanvallen realiseren en hier actie op ondernomen hebben. Bij de meeste ransomware-aanvallen slaan criminelen er dus niet in om het slachtoffer te laten betalen.
Elke losgeld-betaling subsidieert gemiddeld 9 nieuwe aanvallen
De hoogte van de losgeldsom wordt vaak gebaseerd op de inkomsten van het slachtoffer. Conti maakt bijvoorbeeld actief gebruik van websites die zakelijke informatie verstrekken, zoals Zoominfo en Rocketreach, om hun potentiële slachtoffer te profileren en hun jaarlijkse inkomen te schatten. Daarnaast willen ransomware-criminelen natuurlijk winstgevend zijn en nieuwe aanvallen subsidiëren. Door te betalen houden organisaties dit systeem in stand. Gemiddeld subsidieert één losgeld-betaling 9 nieuwe aanvallen.
Beter inzicht leidt tot betere risico-analyse
Verder brengt het rapport van Trend Micro strategische, tactische, operationele en technische dreigingsinformatie van verschillende ransomware-groepen in kaart. Zo blijkt bijvoorbeeld dat uit de 120 geïdentificeerde CVE’s, 55 van Microsoft-producten waren, zoals Exchange Server en Windows. Daarnaast bevindt 93% van de slachtoffers van Conti en 67% van de slachtoffers van LockBit zich in Noord-Amerika en Europa. Deze informatie kan gebruikt worden om ransomware-groepen te vergelijken, risico’s in te schatten en gedrag te modelleren.
De winstgevendheid van ransomware kan verminderd worden door prioriteit te geven aan diepgaande analyse van het ransomware-ecosysteem en door wereldwijde inspanningen te richten op het verminderen van het percentage betalende slachtoffers middels bijvoorbeeld wetgeving.
De inzichten uit dit onderzoek kunnen IT-beslissers helpen om de potentiële financiële risico’s die ransomware veroorzaakt beter te beoordelen. Dit helpt:
- IT-leiders om grotere budgetten voor de bestrijding van ransomware te rechtvaardigen;
- regeringen om nauwkeuriger te budgetteren voor hersteldiensten en wetshandhaving;
- verzekeraars om polissen nauwkeuriger te prijzen;
- internationale organisaties om ransomware nauwkeuriger te vergelijken met andere risico’s.
Download het volledige rapport “What Decision Makers Need to Know About Ransomware Risk” hier. Dit rapport is geproduceerd door Trend Micro en Waratah.io en past wetenschappelijke benaderingen toe op informatie die is verzameld via netwerk- en hostgebaseerde telemetrie, ondergrondse fora, bitcoin, financiële transacties en chatlogs – naast analyse van criminele bedrijfsprocessen – om nieuwe trends en knelpunten van het ransomware-ecosysteem te analyseren.