"Veel bedrijven hebben eigenlijk geen keuze tussen betalen of niet betalen"

Elk jaar worden duizenden bedrijven, groot en klein, slachtoffer van ransomware. Om meer inzicht te krijgen in dit probleem heeft Tom Meurs, operationeel specialist cybercriminaliteit bij de politie, onderzoek gedaan naar ransomware in het mkb. Hij analyseerde voor zijn proefschrift meer dan 500 ransomware-incidenten die plaatsvonden tussen 2019 en 2023.

Wanneer betaalt een bedrijf losgeld?

Of een bedrijf losgeld betaalt, hangt sterk af van bepaalde factoren. Zo blijkt uit het onderzoek dat bedrijven met goed ingerichte back-up systemen 27 keer minder vaak losgeld betalen. “Cybercriminelen die in het netwerk van een slachtoffer zitten, gaan bewust op zoek naar back-ups, en verwijderen die. Alleen het hebben van back-ups is dus niet voldoende om je bestanden terug te halen. Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloud-oplossingen voorbij zien komen”, aldus Tom. 

Ook het hebben van een cyberverzekering is een bepalende factor voor het betalen van losgeld. Bedrijven die verzekerd zijn tegen cyberincidenten, blijken gemiddeld 2,8 keer meer losgeld te betalen. Dit suggereert dat cyberverzekeringen door criminelen worden ingecalculeerd bij de losgeldeisen, stelt Tom.

“Het lijkt erop dat in ieder geval een aantal cybercriminelen bewust probeert te achterhalen of een bedrijf verzekerd is. Zodra ze toegang hebben verkregen tot een systeem, gaan ze actief op zoek naar documenten met namen als ‘insurance’ of ‘policy’. Deze extra informatie geeft cybercriminelen een betere onderhandelingspositie, wat leidt tot hogere losgeldbetalingen. Als een bedrijf niet verzekerd is, of als er geen verzekeringsgegevens te vinden zijn, wordt de aanval wel afgemaakt, maar liggen de losgeldeisen lager."

In gevallen van tweevoudige afpersing is het gemiddeld betaalde losgeldbedrag zelfs 5,5 keer zo hoog. Bij tweevoudige afpersing versleutelen de cybercriminelen de bestanden niet alleen, maar dreigen deze ook openbaar te maken als het losgeld niet (op tijd) betaald wordt. Dit is extra gevaarlijk, omdat bedrijven, zelfs als ze de versleutelde data via een back-up kunnen herstellen, nog steeds het risico lopen dat gevoelige informatie wordt gedeeld.

Handel, bouw en ICT het vaakst getroffen

In de handelssector (waaronder retail en groothandel) vindt 32,6% van de aanvallen uit het onderzoek plaats, met een gemiddeld losgeldbedrag van €112.793.

In de bouwsector wordt 17,9% van de aanvallen geregistreerd, met een lager gemiddeld losgeldbedrag van €46.676. Hoewel de cijfers niet aantonen dat de bouwsector vaker betaalt, blijkt deze sector wel vaker het doelwit van aanvallen te zijn dan op basis van de grootte van de sector in de economie zou worden verwacht.

“Mijn vermoeden is dat cybercriminelen ervan uitgaan dat stilstand in deze sector leidt tot hoge kosten, wat de bouwsector een aantrekkelijk doelwit maakt. Dit blijkt echter niet uit mijn onderzoek, wellicht dat cybercriminelen dat verkeerd inschatten. Een andere mogelijkheid is bijvoorbeeld dat de beveiliging in de bouwsector minder goed op orde is, waardoor aanvallen makkelijker uit te voeren zijn, ondanks de lagere opbrengst. Zo lijkt uit CBS-data naar voren te komen dat de bouwsector ten opzichte van veel andere sectoren minder vaak multifactorauthenticatie gebruikt, wat ertoe leidt dat cybercriminelen makkelijker binnen kunnen komen”, licht Tom toe.

De ICT-sector is goed voor 14,7% van de slachtoffers en heeft met €268.039 het hoogste gemiddelde losgeldbedrag. "Vaak lees ik in chatberichten die cybercriminelen naar elkaar sturen, of op illegale marktplaatsen waar inloggegevens worden verkocht, dat er specifiek gezocht wordt naar bedrijven uit sectoren die veel betalen. Uit mijn onderzoek blijkt dat met name de ICT-sector hoge bedragen betaalt. Vaak leveren bedrijven uit deze sector de ICT voor veel andere bedrijven, waardoor met één aanval meerdere bedrijven slachtoffer zijn. Mogelijk ligt de betalingsbereidheid daarom hoger”, aldus Tom.

Betalen of niet betalen? 

De overheid adviseert om geen losgeld te betalen. Betalen geeft geen garantie dat je je gegevens terugkrijgt of dat ze ongewijzigd zijn. Daarnaast loop je het risico opnieuw afgeperst te worden en steun je cybercriminelen. Bij de politie wordt gezien dat het losgeld direct gebruikt wordt om inloggegevens van (nieuwe) slachtoffers te kopen. Ook krijgen slachtoffers die betalen soms te maken met aanvullende eisen of worden later opnieuw getroffen. Maar uit Toms onderzoek komt ook naar voren dat bedrijven vaak geen andere optie hebben. 

"Veel bedrijven hebben eigenlijk geen keuze tussen betalen of niet betalen. In grofweg 5 van de 100 gevallen waarin wordt betaald, hebben slachtoffers wel de mogelijkheid om op een andere manier te herstellen dan te betalen, maar kiezen ze er toch voor te betalen – bijvoorbeeld om sneller te herstellen of reputatieschade te voorkomen. In de overige 95 gevallen is er geen andere optie om te herstellen. In die gevallen is hun hele IT-infrastructuur kapot en niet meer herstelbaar, waardoor het betalen van losgeld de enige optie is om een faillissement te voorkomen."

Maatregelen tegen ransomware

Een combinatie van maatregelen, zoals regelmatige kleine interventies en een gevarieerde aanpak, is volgens Tom de beste manier om ransomware-groepen aan te pakken. "Door zowel de winstgevendheid te beperken als de risico’s en inspanning voor criminelen te verhogen, kunnen we ransomware minder aantrekkelijk maken en bedrijven beter beschermen." 

Tom concludeert: "Ransomware blijft een grote bedreiging voor het mkb, met name in de handel, bouw en ICT-sector. Politie-ingrepen kunnen ransomware-groeperingen ontwrichten, maar bedrijven moeten vooral zélf maatregelen nemen om de kans op een succesvolle aanval drastisch te verkleinen."