Uit de State of Ransomware 2022 van cybersecuritybedrijf Sophos blijkt dat 66 procent van de ondervraagde organisaties in 2021 werd getroffen door ransomware. Een jaar eerder was dat nog 37 procent. Het gemiddelde losgeld dat werd betaald is in 2021 bijna vervijfvoudigd tot 812.360 dollar.

Er zijn in 2021 ook drie keer zoveel organisaties die minstens 1 miljoen dollar betaalden in vergelijking met 2020. 46 procent van de organisaties waarvan de gegevens waren versleuteld, betaalde het losgeld om hun gegevens terug te krijgen, zelfs als ze andere middelen hadden om gegevens te herstellen, zoals back-ups.
Het rapport geeft een overzicht van de impact van ransomware op 5.600 middelgrote organisaties in 31 landen in Europa, Noord- en Zuid-Amerika, Azië, het Midden-Oosten en Afrika, waarbij 965 organisaties details van ransomware-betalingen deelden.

Betalen is risicovolle optie
“Naast de toenemende betalingen laat het onderzoek zien dat ook het aantal slachtoffers dat betaalt blijft toenemen, zelfs wanneer ze waarschijnlijk andere opties tot hun beschikking hebben”, zegt Chester Wisniewski, hoofdonderzoeker bij Sophos. “Hier kunnen verschillende redenen voor zijn zoals onvolledige back-ups of om te voorkomen dat gestolen gegevens op een openbare website verschijnen. Daarbij is er in de nasleep van een ransomware-aanval vaak intense druk om zo snel mogelijk weer aan het werk te gaan. Het herstellen van versleutelde gegevens met behulp van back-ups kan een moeilijk en tijdrovend proces zijn. Dan is het verleidelijk om te denken dat het betalen van losgeld voor een decryptiesleutel een snellere optie is, terwijl het eigenlijk een meer risicovolle optie is. Organisaties weten namelijk niet precies wat de aanvallers hebben gedaan, zoals het toevoegen van backdoors of het kopiëren van wachtwoorden. Als organisaties de herstelde gegevens niet grondig opschonen, blijven ze zitten met potentieel besmet materiaal in hun netwerk en mogelijk een herhaalde cyberaanval.”

Er wordt vaker en meer betaald
Een belangrijke bevinding van het wereldwijde onderzoek State of Ransomware 2022 is onder meer dat de losgeldbetalingen hoger zijn geworden. In 2021 gaf 11 procent van de organisaties aan een losgeld te hebben betaald van 1 miljoen dollar of meer, tegenover 4 procent in 2020, terwijl het percentage organisaties dat minder dan 10.000 dollar betaalde juist daalde van 34 procent in 2020 naar 21 procent in 2021. Ook is vastgesteld dat meer slachtoffers losgeld betalen. In 2021 betaalde 46 procent van de organisaties waarvan gegevens versleuteld waren bij een ransomware-aanval het losgeld. 26 procent van de organisaties die in 2021 versleutelde gegevens konden herstellen met behulp van back-ups, betaalde ook losgeld.

Immense impact
De impact van een ransomware-aanval kan immens zijn – In 2021 bedroegen de gemiddelde kosten om te herstellen van de meest recente ransomware-aanval 1,4 miljoen dollar. Het duurde gemiddeld een maand om de schade te herstellen. 90 procent van de organisaties zei dat de aanval invloed heeft gehad op hun vermogen om te functioneren en 86 procent van de slachtoffers in de particuliere sector zei dat ze zaken en/of inkomsten hebben verloren als gevolg van de aanval.
Veel organisaties vertrouwen op een cyberverzekering om hen te helpen herstellen van een ransomware-aanval. 83 procent van de middelgrote organisaties had een cyberverzekering die hen dekte in het geval van een ransomware-aanval en in 98 procent van de gevallen betaalde de verzekeraar de gemaakte kosten (waarbij 40 procent in totaal de betaling van het losgeld dekte). 94 procent van degenen met een cyberverzekering zegt dat hun ervaring met het afsluiten ervan in de afgelopen 12 maanden is veranderd. Er zijn hogere eisen voor cyberbeveiligingsmaatregelen, complexere of duurdere polissen en minder organisaties die verzekeringsbescherming bieden.

Ransomware as a service
“De bevindingen suggereren dat we mogelijk een piek hebben bereikt in de evolutionaire reis van ransomware, waarbij de hebzucht van aanvallers naar steeds hogere losgeldbetalingen botst met een verharding van de cyberverzekeringsmarkt, omdat verzekeraars steeds meer proberen hun ransomware-risico en blootstelling te verminderen”, aldus Wisniewski. “In de afgelopen jaren is het voor cybercriminelen steeds makkelijker geworden om ransomware in te zetten, nu bijna alles as-a-service beschikbaar is. Ten tweede hebben veel cyberverzekeraars een breed scala aan herstelkosten van ransomware gedekt, waaronder het losgeld, wat waarschijnlijk heeft bijgedragen aan steeds hogere eisen voor losgeld. De resultaten wijzen er echter op dat cyberverzekeringen strenger worden en dat slachtoffers van ransomware in de toekomst wellicht minder bereid of in staat zullen zijn om torenhoge losgelden te betalen. Jammer genoeg zal dit waarschijnlijk niet het algemene risico van een ransomware-aanval verminderen. Ransomware-aanvallen zijn niet zo arbeidsintensief als sommige andere cyberaanvallen op maat, dus elk rendement is de moeite waard en cybercriminelen zullen achter het laaghangende fruit aan blijven gaan.”

Verdediging
Om bedrijven te helpen zich te verdedigen tegen ransomware en andere cyberaanvallen, raadt Sophos een aantal best practices aan. Het begint met het installeren en onderhouden van hoogwaardige verdedigingsmiddelen op alle punten in de omgeving van de organisatie. De beveiligingscontroles dienen regelmatig geëvalueerd te worden. Ook dient ervoor gezorgd te worden dat ze blijven voldoen aan de behoeften van de organisatie. Beheerders wordt aangeraden om proactief op zoek te gaan naar bedreigingen om tegenstanders te identificeren en te stoppen voordat ze hun aanval kunnen uitvoeren. Als het team niet over de tijd of vaardigheden beschikt om dit intern te doen, is het advies om dit uit te besteden aan een Managed Detection and Response (MDR)-specialist. De IT-omgeving dient versterkt te worden door te zoeken naar belangrijke beveiligingsgaten en deze te dichten. Dit zijn bijvoorbeeld ongepatchte apparaten, onbeschermde machines en open RDP-poorten. Extended Detection and Response (XDR)-oplossingen zijn ideaal voor dit doel. De organisatie dient te weten wat te doen als zich een cyberincident voordoet en dit plan up-to-date te houden. Tot slot: maak back-ups en oefen met het herstellen daarvan, zodat de organisatie zo snel mogelijk weer aan de slag kan, met minimale verstoring.