De kleine groep organisaties die losgeld betalen na een ransomware-aanval (zo’n 16%) houdt niet alleen een criminele industrie in stand. Maar zorgt er ook voor dat criminelen aanvallen op andere bedrijven blijven uitgevoeren. Dit blijkt uit een rapport van Trend Micro.
De 16% van de slachtoffers die ermee instemt losgeld te betalen, doet dat meestal snel. Nadat de criminelen hen nogmaals hacken betalen ze doorgaans nog meer. Opvallend daarbij is, dat slachtoffers in sommige sectoren en landen vaker betalen dan anderen. Dit betekent dat vergelijkbare bedrijven ook vaker een doelwit vormen. Volgens de onderzoekers resulteert het betalen van losgeld resulteert eigenlijk alleen in het opdrijven van de totale kosten van het incident. Dit, terwijl er weinig andere voordelen zijn.
Een bijzonder gegevens is, dat ransomware-aanvallen minder vaak voorkomen in januari en de zomerperiode juli-augustus. Dit is daarom een goede periode voor organisaties om hun infrastructuur opnieuw op te bouwen. En zich voor te bereiden op de toekomst
Afrikaanse organisaties betalen het vaakst losgeld
Uit het onderzoek blijkt dat organisaties in Afrika het vaakst losgeld betalen na een ransomware-aanval (34,8%). Dit is bijna 20% hoger dan het wereldwijde gemiddelde van 16%. Organisaties in Europa betalen het minst vaak (11,1%). Deze cijfers laten zien dat de meeste organisaties zich het gevaar van ransomware-aanvallen realiseren en hier actie op ondernomen hebben. Bij de meeste ransomware-aanvallen slagen criminelen er dus niet in om het slachtoffer te laten betalen.
Elke losgeld-betaling subsidieert gemiddeld negen nieuwe aanvallen
Criminelen baseren de hoogte van de losgeldsom vaak op de inkomsten van het slachtoffer. Conti maakt bijvoorbeeld actief gebruik van websites die zakelijke informatie verstrekken, zoals Zoominfo en Rocketreach. Dit, om hun potentiële slachtoffer te profileren en hun jaarlijkse inkomen te schatten. Daarnaast willen ransomware-criminelen natuurlijk winstgevend zijn. En nieuwe aanvallen subsidiëren. Door te betalen houden organisaties dit systeem in stand. Gemiddeld subsidieert één losgeld-betaling 9 nieuwe aanvallen.
Beter inzicht leidt tot betere risico-analyse
Verder brengt het rapport strategische, tactische, operationele en technische dreigingsinformatie van verschillende ransomware-groepen in kaart. Zo blijkt bijvoorbeeld dat uit de 120 geïdentificeerde CVE’s, 55 van Microsoft-producten waren, zoals Exchange Server en Windows. Daarnaast bevindt 93% van de slachtoffers van Conti en 67% van de slachtoffers van LockBit zich in Noord-Amerika en Europa. Deze informatie kan men gebruiken om ransomware-groepen te vergelijken, risico’s in te schatten en gedrag te modelleren.
