Elke losgeld-betaling aan ransomware-criminelen subsidieert zeker negen nieuwe aanvallen

De kleine groep orga­ni­sa­ties die losgeld betalen aan ransom­ware-crimi­nelen (zo’n 16%) houdt niet alleen een criminele industrie in stand, maar zorgt er ook voor dat aanvallen op andere bedrijven worden uitge­voerd. Dit blijkt uit een nieuw rapport van Trend Micro.

De belang­rijkste bevin­dingen uit het onderzoek zijn:

• De 16% van de slacht­of­fers die ermee instemt losgeld te betalen, doet dat meestal snel en wordt over het algemeen gedwongen om meer te betalen nadat ze nogmaals gehackt worden
• Risico’s zijn niet overal hetzelfde – dit verschilt per regio, sector en bedrijfsgrootte
• Slacht­of­fers betalen in sommige sectoren en landen vaker dan anderen, wat betekent dat verge­lijk­bare bedrijven ook vaker een doelwit vormen
• Het betalen van losgeld resul­teert eigenlijk alleen in het opdrijven van de totale kosten van het incident, terwijl er weinig andere voordelen zijn
• Ransom­ware-aanvallen komen minder vaak voor in januari en de zomer­pe­riode juli-augustus. Dit is daarom een goed tijdstip voor orga­ni­sa­ties om hun infra­struc­tuur opnieuw op te bouwen en zich voor te bereiden op de toekomst
  

Jon Clay, VP of threat intel­li­gence bij Trend Micro: “Ransom­ware is nog altijd een grote dreiging voor orga­ni­sa­ties en overheden. Het blijft zich evolueren en daarom hebben we actuele, data-gedreven oplos­singen nodig om ransom­ware-gere­la­teerde risico’s in kaart te brengen. Dit onderzoek helpt IT-beslis­sers deze risico’s beter te begrijpen en het biedt beleids­ma­kers de infor­matie die zij nodig hebben om effec­tie­vere stra­te­gieën en regels te ontwikkelen.”

Afrikaanse organisaties betalen het vaakst losgeld, Europese het minst vaak

Uit het onderzoek blijkt dat orga­ni­sa­ties in Afrika het vaakst losgeld betalen na een ransom­ware-aanval (34,8%). Dit is bijna 20% hoger dan het wereld­wijde gemid­delde van 16%. Orga­ni­sa­ties in Europa betalen het minst vaak (11,1%). Deze cijfers laten zien dat de meeste orga­ni­sa­ties zich het gevaar van ransom­ware-aanvallen reali­seren en hier actie op onder­nomen hebben. Bij de meeste ransom­ware-aanvallen slaan crimi­nelen er dus niet in om het slacht­offer te laten betalen.

Elke losgeld-betaling subsidieert gemiddeld 9 nieuwe aanvallen

De hoogte van de losgeldsom wordt vaak gebaseerd op de inkomsten van het slacht­offer. Conti maakt bijvoor­beeld actief gebruik van websites die zakelijke infor­matie verstrekken, zoals Zoominfo en Rocket­reach, om hun poten­tiële slacht­offer te profi­leren en hun jaar­lijkse inkomen te schatten. Daarnaast willen ransom­ware-crimi­nelen natuur­lijk winst­ge­vend zijn en nieuwe aanvallen subsi­di­ëren. Door te betalen houden orga­ni­sa­ties dit systeem in stand. Gemiddeld subsi­di­eert één losgeld-betaling 9 nieuwe aanvallen.

Beter inzicht leidt tot betere risico-analyse

Verder brengt het rapport van Trend Micro stra­te­gi­sche, tactische, opera­ti­o­nele en tech­ni­sche drei­gings­in­for­matie van verschil­lende ransom­ware-groepen in kaart. Zo blijkt bijvoor­beeld dat uit de 120 geïden­ti­fi­ceerde CVE’s, 55 van Microsoft-producten waren, zoals Exchange Server en Windows. Daarnaast bevindt 93% van de slacht­of­fers van Conti en 67% van de slacht­of­fers van LockBit zich in Noord-Amerika en Europa. Deze infor­matie kan gebruikt worden om ransom­ware-groepen te verge­lijken, risico’s in te schatten en gedrag te modelleren.

De winst­ge­vend­heid van ransom­ware kan vermin­derd worden door prio­ri­teit te geven aan diep­gaande analyse van het ransom­ware-ecosys­teem en door wereld­wijde inspan­ningen te richten op het vermin­deren van het percen­tage betalende slacht­of­fers middels bijvoor­beeld wetgeving.

De inzichten uit dit onderzoek kunnen IT-beslis­sers helpen om de poten­tiële finan­ciële risico’s die ransom­ware veroor­zaakt beter te beoor­delen. Dit helpt:

• IT-leiders om grotere budgetten voor de bestrij­ding van ransom­ware te rechtvaardigen;
• rege­ringen om nauw­keu­riger te budget­teren voor herstel­dien­sten en wetshandhaving;
• verze­ke­raars om polissen nauw­keu­riger te prijzen;
• inter­na­ti­o­nale orga­ni­sa­ties om ransom­ware nauw­keu­riger te verge­lijken met andere risico’s.
  

Download het volledige rapport “What Decision Makers Need to Know About Ransom­ware Risk” hier. Dit rapport is gepro­du­ceerd door Trend Micro en Waratah​.io en past weten­schap­pe­lijke bena­de­ringen toe op infor­matie die is verzameld via netwerk- en host­ge­ba­seerde tele­me­trie, onder­grondse fora, bitcoin, finan­ciële trans­ac­ties en chatlogs – naast analyse van criminele bedrijfs­pro­cessen – om nieuwe trends en knel­punten van het ransom­ware-ecosys­teem te analyseren.