Sophos brengt zijn jaarlijkse onderzoeksrapport “State of Ransomware 2024” uit. Hieruit blijkt dat de gemiddelde losgeldbetaling het afgelopen jaar met 500% is gestegen. Organisaties die losgeld betaalden, gaven aan gemiddeld $2 miljoen betaald te hebben, wat in 2023 nog $400.000 was. Losgeld is echter slechts één deel van de kosten. Als losgeld buiten beschouwing wordt gelaten, blijkt uit het onderzoek dat de gemiddelde herstelkosten $2,73 miljoen bedragen, een stijging van bijna $1 miljoen sinds de $1,82 miljoen die Sophos in 2023 rapporteerde.
Ondanks de stijgende losgeldeisen laat het onderzoek van dit jaar een lichte daling zien in het aantal ransomware-aanvallen: 59% van de organisaties werd hierdoor getroffen, vergeleken met 66% in 2023. Hoewel de kans om te worden getroffen door ransomware toeneemt met de omzet, zijn zelfs de kleinste organisaties (met een omzet van minder dan $10 miljoen) nog steeds regelmatig het doelwit: iets minder dan de helft (47%) werd het afgelopen jaar getroffen door ransomware.
Uit het rapport van 2024 blijkt ook dat 63% van de losgeldeisen $1 miljoen of meer bedroeg, en 30% van de eisen meer dan $5 miljoen. Dit suggereert dat ransomware-exploitanten op zoek zijn naar enorme uitbetalingen. Helaas gelden deze verhoogde losgeldbedragen niet alleen voor de onderzochte organisaties met de hoogste inkomsten. Bijna de helft (46%) van de organisaties met een omzet van minder dan $50 miljoen ontving in het afgelopen jaar een losgeldeis bestaande uit zeven cijfers.
“We moeten niet verslappen vanwege de lichte daling in het aantal aanvallen. Ransomware-aanvallen zijn nog steeds de meest dominante dreiging en voeden de cybercrime-economie. Zonder ransomware zouden we niet dezelfde verscheidenheid aan en omvang van dreigingen en diensten zien, die deze aanvallen ondersteunen. De torenhoge kosten van ransomware-aanvallen verhullen het feit dat dit een misdaad met gelijke kansen is. Het ransomwarelandschap biedt elke cybercrimineel iets, ongeacht zijn vaardigheden. Sommige groepen richten zich op losgeld van miljoenen dollars en anderen nemen genoegen met lagere bedragen en maken dit goed in volume,” zegt John Shier, field CTO, Sophos.
Voor het tweede jaar op rij waren uitgebuite kwetsbaarheden de meest vastgestelde hoofdoorzaak van een aanval, waardoor 32% van de organisaties werd getroffen. Dit werd op de voet gevolgd door gecompromitteerde credentials (29%) en kwaadaardige e-mail (23%). Dit is in lijn met recente incident respons bevindingen uit het meest recente Active Adversary report van Sophos.
Slachtoffers waarbij de aanval begon met misbruikte kwetsbaarheden, meldden de ernstigste gevolgen voor hun organisatie: een hoger percentage gecompromitteerde back-ups (75%), gegevensversleuteling (67%) en de neiging om losgeld te betalen (71%). Deze gevolgen waren minder ernstig wanneer de aanval begon met gecompromitteerde credentials. De ondervraagde organisaties merkten ook een aanzienlijk grotere operationele en financiële impact vanwege aanvallen die begonnen met misbruikte kwetsbaarheden: een groter deel van de aangevallen organisaties had meer dan een maand nodig om te herstellen en de gemiddelde herstelkosten bedroegen $3,58 miljoen. Dit in vergelijking met $2,58 miljoen wanneer een aanval begon met gecompromitteerde credentials.
Andere opmerkelijke bevindingen uit het rapport zijn onder andere:
- Minder dan een kwart (24%) van de organisaties die het losgeld betalen, overhandigen het oorspronkelijk gevraagde bedrag en 44% van de respondenten geeft aan minder te betalen dan het oorspronkelijk gevraagde bedrag.
- De gemiddelde losgeldbetaling bedroeg 94% van het oorspronkelijk gevraagde losgeld.
- In meer dan vier vijfde van de gevallen (82%) kwam de financiering van het losgeld van meerdere bronnen. In totaal kwam 40% van de totale financiering van het losgeld van de organisaties zelf en 23% van verzekeringsmaatschappijen.
- Vierennegentig procent van de organisaties die het afgelopen jaar werden getroffen door ransomware, gaf aan dat de cybercriminelen hun back-ups probeerden te compromitteren tijdens de aanval, oplopend tot 99% bij zowel staats- als lokale overheden. In 57% van de gevallen waren de pogingen om de back-up te compromitteren succesvol.
- In 32% van de incidenten waarbij gegevens werden versleuteld, werden ook gegevens gestolen – een lichte stijging ten opzichte van de 30% van vorig jaar – waardoor aanvallers beter in staat waren om hun slachtoffers geld afhandig te maken.
“Risicobeheer is de kern van wat we doen als verdedigers. De twee meest voorkomende hoofdoorzaken van ransomware-aanvallen – uitgebuite kwetsbaarheden en gecompromitteerde credentials – zijn te voorkomen, maar toch raken ze nog te veel organisaties. Bedrijven moeten kritisch beoordelen in hoeverre ze blootgesteld worden aan deze hoofdoorzaken en ze onmiddellijk aanpakken. In een defensieve omgeving waar resources schaars zijn, is het tijd dat organisaties ook de aanvallers op kosten jagen. Alleen door de lat hoger te leggen om netwerken binnen te dringen, kunnen organisaties hopen dat ze hun defensieve uitgaven kunnen maximaliseren,” aldus Shier.
Sophos beveelt de volgende best practices aan voor het verdedigen van de organisatie tegen ransomware en andere cyberaanvallen:
- Begrijp uw risicoprofiel, met tools zoals Sophos Managed Risk die het externe aanvalsoppervlak van een organisatie kunnen beoordelen, de grootste risico’s kunnen prioriteren en op maat gemaakte richtlijnen voor herstel kunnen bieden.
- Implementeer endpointbescherming die een reeks van altijd veranderende ransomware technieken kan tegenhouden, zoals Sophos Intercept X.
- Versterk uw verdediging met 24-uurs detectie van dreigingen, onderzoek en respons – ofwel door een intern team of met ondersteuning van een Managed Detection and Response-provider.
- Bouw en onderhoud een incident respons plan, maak regelmatig back-ups en oefen met het herstellen van gegevens uit back-ups.
De gegevens voor het rapport State of Ransomware 2024 zijn afkomstig van een leveranciersagnostisch onderzoek onder 5.000 cyberbeveiligings-/IT-leiders, dat is uitgevoerd tussen januari en februari 2024. De respondenten waren gevestigd in 14 landen in Noord- en Zuid-Amerika, EMEA en Azië-Pacific. De ondervraagde organisaties hadden tussen de 100 en 5.000 werknemers en hun omzet varieerde van minder dan $10 miljoen tot meer dan $5 miljard.
Lees het State of Ransomware 2024 report voor wereldwijde bevindingen en gegevens per sector.