Check Point Research (CPR) deelt nieuwe inzichten in de ransomware-economie op basis van een analyse van datalekken van de Conti group en verschillende datasets met betrekking tot ransomwareslachtoffers. Het onderzoek levert meer inzichten op in de processen rondom een ransomware-aanval en de gevolgen daarvan.
De analyse van CPR was gericht op het onderzoeken van beide kanten van een ransomware-aanval, zowel vanuit perspectief van slachtoffers als cybercriminelen. De onderzoekers analyseerden daarom twee datasets. De eerste dataset was de cyberincidentendatabase van Kovrr, die actuele informatie bevat over cybergebeurtenissen en hun financiële impact. De tweede dataset bestond uit datalekken van de Conti-groep.
Belangrijkste bevindingen Losgeld is slechts een klein onderdeel van de kosten van een ransomware-aanval. CPR schat dat de totale kosten van een aanval voor een slachtoffer zeven keer hoger zijn dan het losgeld betaald aan de cybercriminelen. Het bedrag loopt op door kosten voor respons- en herstel, monitoring en juridische kosten. De vraagsom is afhankelijk van de jaarlijkse inkomsten van het slachtoffer en varieert van 0,7 tot 5 procent van de jaarlijkse inkomsten. Hoe hoger de jaarlijkse inkomsten van het slachtoffer, hoe lager het percentage van de inkomsten dat zal worden geëist, aangezien dat percentage een hogere getalswaarde in dollars vertegenwoordigt. De duur van een ransomware-aanval daalde in 2021 aanzienlijk, van 15 dagen naar 9 dagen. CPR ziet ook dat ransomware-groepen duidelijke basisregels hebben voor succesvolle onderhandelingen met slachtoffers, wat van invloed is op het onderhandelingsproces en de dynamiek. Ze maken een nauwkeurige schatting van de financiële positie van het slachtoffer, van de kwaliteit (gevoeligheid) van bemachtigde gegevens van het slachtoffer, de reputatie van de ransomware-groep, het hebben van een cyberverzekering en de aanpak en belangen van onderhandelaars van slachtoffers.
Bendes lijken op legitieme organisaties “Dit onderzoek geeft een diepgaand inzicht in zowel het perspectief van de aanvallers als de slachtoffers van een ransomware-aanval. Opvallend is dat het betaalde losgeld geen hoofdrol speelt in het ransomware-ecosysteem. Zowel bij cybercriminelen als slachtoffers spelen veel andere financiële aspecten en overwegingen rond een aanval. Het is opmerkelijk hoe ransomware-bendes alarmerend veel lijken op legitieme organisaties met duidelijke managementstructuren en HR-beleid. De verfijning van deze ransomware-groepen strekt zich uit tot het nauwkeurig bepalen van slachtoffers en de hoogte van een losgeldbedrag, evenals de onderhandelingstechnieken die ze gebruiken om maximale financiële winst te behalen. Niets is toeval, alles is gedefinieerd en gepland volgens factoren die we hebben beschreven”, zegt Zahier Madhar, Security Engineer Expert bij Check Point Software in Nederland. “Organisaties worden zich gelukkig bewuster van de dreiging van ransomware en stellen duidelijke reactie- en mitigatieplannen op. De duur van ransomware-aanvallen neemt daardoor af. Cybercriminelen zullen echter altijd hun spel verbeteren en nieuwe manieren vinden om schade aan te richten. Onze boodschap aan het publiek is dat het vooraf opbouwen van een goede cyberafweer en met name een goed gedefinieerd reactieplan op ransomware-aanvallen, organisaties veel geld kan besparen.”
Ransomware in cijfers Over het eerste kwartaal van 2022 deelt CPR de volgende cijfers: In Europa is het wekelijkse gemiddelde van getroffen organisaties 1 op 68, een stijging van 16 procent op jaarbasis (1 op 80 organisaties in Q1 2021). In Nederland werden wekelijks gemiddeld 82 organisaties getroffen. Onderzoekers van CPR meldden in maart dat Emotet momenteel de meest populaire malware is en 10 procent van de organisaties in Nederland treft. Emotet is een geavanceerde, zichzelf verspreidende en modulaire trojan die meerdere methoden gebruikt voor het handhaven van persistentie en ontwijkingstechnieken om detectie te voorkomen. Sinds de terugkeer in november vorig jaar en het recente nieuws dat Trickbot is stopgezet, heeft Emotet zijn positie als de meest voorkomende malware versterkt. Dit werd onlangs nog verder verstevigd doordat agressieve phishing e-mailcampagnes met het paasthema het botnet hebben verspreid.
Het volledige onderzoek met onder andere meer details over het onderhandelingsproces is te lezen in dit blog.
Deel dit artikel via:
Dagelijks nieuws over beveiliging
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duur
Beschrijving
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
