Sophos publiceerde vandaag zijn jaarlijkse ‘State of Ransomware Report’, waaruit blijkt dat in 76% van de ransomware-aanvallen tegen onderzochte organisaties, tegenstanders erin slaagden gegevens te versleutelen. Dit is het hoogste percentage gegevensversleuteling door ransomware sinds Sophos in 2020 begon met het uitbrengen van het rapport.
Uit het onderzoek blijkt ook dat wanneer organisaties losgeld betaalden om hun gegevens te ontsleutelen, zij uiteindelijk de herstelkosten verdubbelden, namelijk $ 750.000 tegenover $ 375.000 voor organisaties die back-ups gebruikten om gegevens terug te krijgen. Bovendien betekende het betalen van het losgeld meestal een langere hersteltijd: 45% van de organisaties die back-ups gebruikten, herstelden hun gegevens binnen een week, terwijl bij organisaties die het losgeld betaalden, maar 39% binnen een week de gegevens herstelden.
In totaal werd 66% van de onderzochte organisaties aangevallen door ransomware – hetzelfde percentage als vorig jaar. Dat wijst erop dat het aantal ransomware-aanvallen stabiel is gebleven, ondanks een vermeende vermindering van het aantal aanvallen.
“Het encryptiepercentage is na een tijdelijke dip tijdens de pandemie opnieuw zeer hoog, wat zeker zorgwekkend is. Ransomware-bendes hebben hun aanvalsmethoden verfijnd en hun aanvallen versneld, zodat verdedigers minder tijd hebben om hun malafide plannen te verstoren”, aldus Chester Wisniewski, Field CTO, Sophos.
“De kosten van incidenten stijgen aanzienlijk wanneer losgeld wordt betaald. De meeste slachtoffers zullen niet al hun bestanden kunnen herstellen door eenvoudigweg de encryptiesleutels te kopen; zij moeten ook back-ups opnieuw opbouwen en herstellen. Het losgeld betalen verrijkt niet alleen criminelen, maar vertraagt ook de reactie op incidenten en verhoogt de kosten in een situatie die al verschrikkelijk duur is.”
Bij het analyseren van de hoofdoorzaak van ransomware-aanvallen bleek de meest voorkomende oorzaak een misbruikte kwetsbaarheid te zijn in software van een toeleverancier (in 36% van de gevallen), gevolgd door gecompromitteerde inloggegevens (in 29% van de gevallen). Dat strookt met de recente bevindingen uit de praktijk in Sophos’ verslag Everything Everywhere All At Once: The 2023 Active Adversary Report for Business Leaders.
Andere belangrijke bevindingen van The State of Ransomware 2023 zijn de volgende:
- In 30% van de gevallen waarin gegevens werden versleuteld, werden ook gegevens gestolen, wat erop wijst dat die ‘double dip’-methode (data-encryptie en ‑exfiltratie) steeds gebruikelijker wordt.
- De onderwijssector meldde het hoogste niveau van ransomware-aanvallen: 79% van de ondervraagde organisaties in het hoger onderwijs en 80% van de ondervraagde organisaties in het lager onderwijs, meldden dat zij slachtoffer waren van ransomware.
- In het totaal betaalde 46% van de onderzochte organisaties waarvan de gegevens waren versleuteld het losgeld. Grotere organisaties waren veel meer geneigd om te betalen. Zo betaalde meer dan de helft van de bedrijven met een omzet van $ 500 miljoen of meer het losgeld. Het percentage was het hoogst bij bedrijven met een omzet van meer dan $ 5 miljard. Dat kan deels toe te schrijven zijn aan het feit dat het waarschijnlijker is dat grotere bedrijven een aparte cyberverzekering hebben die betalingen van losgeld dekt.
“Twee derde van de organisaties meldt dat ze voor het tweede jaar op rij slachtoffer zijn geworden van ransomware-criminelen en daarmee hebben we waarschijnlijk een plateau bereikt. De oplossing om dat cijfer naar beneden te krijgen is de opsporings- en reactietijd drastisch te verlagen. Human-led / Door mensen gedreven threat hunting is uiterst efficiënt om die criminelen te stoppen, maar waarschuwingen moeten worden onderzocht en criminelen moeten binnen enkele uren en dagen van uw systemen worden verwijderd, niet na weken en maanden. Ervaren analisten kunnen binnen enkele minuten de patronen van een actieve inbraak herkennen en onmiddellijk ingrijpen. Dat is waarschijnlijk het verschil tussen het derde van organisaties dat wel veilig is en de twee derde die niet veilig zijn. Organisaties moeten tegenwoordig 24 uur per dag alert zijn om zich doeltreffend te kunnen verdedigen”, aldus Wisniewski.
Sophos beveelt de volgende best practices aan als verdediging tegen ransomware en aanverwante cyberaanvallen:
1. Verdere versterking van verdedigingsschilden met:
- beveiligingstools die bescherming bieden tegen de meest voorkomende aanvalsvectoren, waaronder endpoint-bescherming met sterke anti-exploit-mogelijkheden om misbruik van kwetsbaarheden te voorkomen, en zero trust network access (ZTNA) om misbruik van gecompromitteerde inloggegevens tegen te gaan;
- adaptieve technologieën die automatisch reageren op aanvallen, waardoor tegenstanders worden verstoord en verdedigers tijd krijgen om te reageren;
- 24/7 detectie en onderzoek van en reactie op bedreigingen, intern of in samenwerking met een gespecialiseerde MDR-dienstverlener (Managed Detection and Response);
2. De voorbereiding op aanvallen optimaliseren, onder meer door regelmatig back-ups te maken, te oefenen met het herstellen van gegevens uit back-ups en een up-to-date plan bij te houden voor het reageren op incidenten.
3. Een goede beveiligingshygiëne in stand houden, bijvoorbeeld door configuraties van beveiligingstools regelmatig te herzien en tijdig te patchen.
Data voor The State of Ransomware 2023 werd verzameld in een zelfstandig, leveranciersonafhankelijk onderzoek bij 3.000 cybersecurity/IT-leiders, uitgevoerd tussen januari en maart 2023. De respondenten waren werkzaam in 14 landen in Noord- en Zuid-Amerika, EMEA en de regio Azië/Pacific. De onderzochte organisaties hadden tussen 100 en 5.000 werknemers, en de omzet varieerde van minder dan $ 10 miljoen tot meer dan $ 5 miljard.
Om meer te weten te komen over The State of Ransomware 2023, kunt u het volledige onderzoeksrapport lezen op Sophos.com.
