Sophos heeft een nieuw sectoraal onderzoeksrapport uitgebracht, “The State of Ransomware in Education 2023”, waaruit blijkt dat het onderwijs in 2022 het hoogste percentage ransomware-aanvallen rapporteerde. In het afgelopen jaar meldde 79% van de ondervraagde organisaties in het hoger onderwijs getroffen te zijn door ransomware, terwijl 80% van de ondervraagde organisaties in het lager onderwijs het doelwit waren – een stijging ten opzichte van respectievelijk 64% en 56% in 2021.
Daarnaast rapporteerde de sector een van de hoogste betalingspercentages voor losgeld: meer dan de helft (56%) van de hogere onderwijsorganisaties en bijna de helft (47%) van de lagere onderwijsorganisaties betaalde het losgeld. Het betalen van losgeld verhoogde echter de herstelkosten aanzienlijk voor zowel de hogere als de lagere onderwijsorganisaties. De herstelkosten (exclusief betaald losgeld) voor hogere onderwijsorganisaties die losgeld betaalden, bedroegen 1,2 miljoen euro bij het betalen van losgeld versus 900.000 euro bij het gebruik van back-ups. Voor lagere onderwijsorganisaties bedroegen de gemiddelde herstelkosten 2 miljoen euro bij het betalen van losgeld versus 1,26 miljoen euro bij het niet betalen.
Het betalen van losgeld verlengde ook de hersteltijd voor slachtoffers. Voor organisaties in het hoger onderwijs herstelde 79% van degenen die back-ups gebruikten binnen een maand, terwijl slechts 63% van degenen die het losgeld betaalden binnen hetzelfde tijdsbestek herstelden. Bij lagere onderwijsinstellingen herstelde 63% van degenen die back-ups gebruikten binnen een maand, tegenover slechts 59% van degenen die losgeld betaalden.
“Ondanks de meeste scholen niet rijk zijn aan cash geld, zijn het zeer zichtbare doelen met een onmiddellijke grootschalige impact in hun gemeenschappen. De druk om de deuren open te houden en te reageren op oproepen van ouders om ‘iets te doen’ leidt waarschijnlijk tot druk om het probleem zo snel mogelijk op te lossen zonder rekening te houden met de kosten. Helaas ondersteunen de gegevens niet dat het betalen van losgeld deze aanvallen sneller oplost, maar het is waarschijnlijk wel een factor in de selectie van slachtoffers voor de criminelen,” aldus Chester Wisniewski, Field CTO, Sophos.
Voor de onderwijssector waren de hoofdoorzaken van ransomware-aanvallen vergelijkbaar met die van in alle sectoren, maar er was een aanzienlijk groter aantal ransomware-aanvallen waarbij vertrouwde gegevens in gevaar kwamen voor zowel hogere als lagere onderwijsorganisaties (respectievelijk 37% en 36% versus 29% voor het sectorgemiddelde).
Andere belangrijke bevindingen uit het rapport zijn:
- Exploits en aangetaste referenties zijn verantwoordelijk voor meer dan driekwart (77%) van de ransomware-aanvallen op organisaties in het hoger onderwijs; deze hoofdoorzaken zijn verantwoordelijk voor meer dan tweederde (65%) van de aanvallen op organisaties in het lager onderwijs.
- Het coderingspercentage bleef ongeveer gelijk voor organisaties in het hoger onderwijs (74% in 2021 versus 73% in 2022), maar steeg het afgelopen jaar van 72% naar 81% voor organisaties in het lager onderwijs.
- Hoger onderwijsinstellingen maken minder gebruik van back-ups dan het sectorgemiddelde (63% versus 70%). Dit is het op twee na laagste percentage van het gebruik van back-ups in alle sectoren. Lagere onderwijsinstellingen maakten daarentegen iets vaker gebruik van back-ups dan het wereldwijde gemiddelde (73%).
Misbruik van gestolen referenties is in alle sectoren gebruikelijk voor ransomware-criminelen, maar het gebrek aan adoptie van multifactor authenticatie (MFA) technologie in de onderwijssector maakt dat ze nog meer risico lopen op deze compromitteringsmethode. Er zijn meer overheidsinitiatieven en wetgevingen om het onderwijs te dwingen MFA te gebruiken, waarvan de grootste impact de Amerikaanse wetgeving is. Daarom is het tijd voor scholen van alle groottes om MFA te gebruiken voor faculteit, personeel en studenten. Het geeft het goede voorbeeld en is een eenvoudige manier om te voorkomen dat veel van deze aanvallen binnenkomen,” aldus Wisniewski.
Sophos raadt de volgende best practices aan om te helpen bij de verdediging tegen ransomware en andere cyberaanvallen:
Versterk defensieve schilden met:
- Beveiligingstools die bescherming bieden tegen de meest voorkomende aanvalsvectoren, waaronder endpointbescherming met sterke anti-exploit mogelijkheden om misbruik van kwetsbaarheden te voorkomen en Zero Trust Network Access (ZTNA) om misbruik van aangetaste referenties tegen te gaan.
- Adaptieve technologieën die automatisch reageren op aanvallen, waardoor tegenstanders worden verstoord en verdedigers tijd krijgen om te reageren
- 24/7 detectie van bedreigingen, onderzoek en respons, intern of door een gespecialiseerde MDR-aanbieder (Managed Detection and Response).
- Optimaliseer de voorbereiding op aanvallen, waaronder het maken van regelmatige back-ups, het oefenen met het herstellen van gegevens van back-ups en het bijhouden van een actueel incidentbestrijdingsplan
- Zorg voor een goede beveiligingshygiëne, waaronder tijdige patching en regelmatige herziening van configuraties van beveiligingstools
Voor het onderzoek State of Ransomware 2023 werden 3.000 IT/cybersecurity leiders ondervraagd in organisaties met tussen de 100 en 5.000 werknemers, waaronder 400 uit de onderwijssector, verspreid over 14 landen in Noord- en Zuid-Amerika, EMEA en Azië-Pacific. Hieronder bevinden zich 200 uit het lager onderwijs (tot 18 jaar) en 200 uit het hoger onderwijs (boven 18 jaar) en zowel aanbieders van openbaar als particulier onderwijs.