Uit onderzoek van Check Point Research blijkt dat de totale kosten van een ransomeware-aanval zeven keer hoger zijn dan het betaalde losgeld. Het blijkt dat ransomware-groepen duidelijke basisregels hebben voor succesvolle onderhandelingen met slachtoffers, wat van invloed is op het onderhandelingsproces en de dynamiek.
Het onderzoek van Check Point levert meer inzichten op in de processen rondom een ramsomeware-aanval en de gevolgen daarvan. Zij doet dit op basis van een analyse van datalekken van de Conti group en verschillende datasets met betrekking tot ransomwareslachtoffers. De analyse was gericht op het onderzoeken van beide kanten van een dergelijke aanval, zowel vanuit het perspectief van de slachtoffers als van de cybercriminelen. Onderzoekers analyseerden twee datasets. De eerste was de cyberincidentendatabase van Kovrr, die actuele informatie bevat over cybergebeurtenissen en hun financiële impact. De tweede dataset bestond uit datalekken van de Conti groep.
Losgeld is slechts een klein onderdeel van de kosten van een ransomware-aanval. CPR schat dat de totale kosten van een aanval voor een slachtoffer 7 keer hoger zijn dan het losgeld betaald aan de cybercriminelen. Het bedrag loopt op door kosten voor respons- en herstel, monitoring en juridische kosten. De vraagsom is afhankelijk van de jaarlijkse inkomsten van het slachtoffer en varieert van 0,7% tot 5% van de jaarlijkse inkomsten. Hoe hoger de jaarlijkse inkomsten van het slachtoffer, hoe lager het percentage van de inkomsten dat zal worden geëist, aangezien dat percentage een hogere getalswaarde in dollars vertegenwoordigt. De duur van een ransomware-aanval daalde in 2021 aanzienlijk, van 15 dagen naar 9 dagen. CPR ziet ook dat ransomware-groepen duidelijke basisregels hebben voor succesvolle onderhandelingen met slachtoffers, wat van invloed is op het onderhandelingsproces en de dynamiek:
- Nauwkeurige schatting van de financiële positie van het slachtoffer
- Kwaliteit van bemachtigde gegevens van het slachtoffer
- De reputatie van de ransomware-groep
- Bestaan van een cyberverzekering
- De aanpak en de belangen van onderhandelaars van slachtoffers
“Dit onderzoek geeft een diepgaand inzicht in zowel het perspectief van de aanvallers als de slachtoffers van een ransomware-aanval. Opvallend is dat het betaalde losgeld geen hoofdrol speelt in het ransomware-ecosysteem. Zowel bij cybercriminelen als slachtoffers spelen veel andere financiële aspecten en overwegingen rond een aanval. Het is opmerkelijk hoe ransomware-bendes alarmerend veel lijken op legitieme organisaties met duidelijke managementstructuren en HR-beleid. De verfijning van deze ransomware-groepen strekt zich uit tot het nauwkeurig bepalen van slachtoffers en de hoogte van een losgeldbedrag, evenals de onderhandelingstechnieken die ze gebruiken om maximale financiële winst te behalen. Niets is toeval, alles is gedefinieerd en gepland volgens factoren die we hebben beschreven”, zegt Zahier Madhar, Security Engineer Expert bij Check Point Software in Nederland. “Organisaties worden zich gelukkig bewuster van de dreiging van ransomware en stellen duidelijke reactie- en mitigatieplannen op. De duur van ransomware-aanvallen neemt daardoor af. Cybercriminelen zullen echter altijd hun spel verbeteren en nieuwe manieren vinden om schade aan te richten. Onze boodschap aan het publiek is dat het vooraf opbouwen van een goede cyberafweer en met name een goed gedefinieerd reactieplan op ransomware-aanvallen, organisaties veel geld kan besparen.”