Het betalen van Cybercriminelen verdubbelt de opruimkosten

Een nieuw uitgevoerd onderzoek ondersteund het vaak genegeerde advies aan organisaties om niet te betalen, wanneer een organisatie is getroffen door ransomware. Het onderzoek heeft uitgevonden dat het betalen van Cybercriminelen om hun systemen en bestanden weer beschikbaar te maken uiteindelijk meer geld kost voor organisaties, dan de data zelf te herstellen op de langere termijn.

Het onderzoek uitgevoerd door Vanson Bourne in opdracht van beveiligingsbedrijf Sophos, toont aan dat wanneer organisaties die slachtoffer zijn geworden van ransomware en weigeren te betalen, gemiddeld $730.000 kwijt zijn aan herstelkosten. In tegenstelling tot organisaties die wel overgaan tot het betalen van de Cybercriminelen, in totaal gemiddeld $1,4 miljoen kwijt zijn aan onder ander het betalen van de ‘ransom’. Dit is gepubliceerd in het rapport The State of Ransomware 2020.

“Het betalen van Cybercriminelen verdubbelt de opruimkosten,” hebben de onderzoekers in het rapport geschreven.

Andere redenen om niet te betalen

Wanneer Cybercriminelen worden betaald door organisaties via de ‘ransom’, geeft dit deze criminelen voldoende financiële middelen om andere acties voor te bereiden die ze in de toekomst willen uitvoeren en geeft ze meer redenen om nog meer ransomware-aanvallen uit te voeren op organisaties.

Ook kan dit andere Cybercriminelen inspireren om ook dezelfde soort ransomware-aanvallen uit te voeren, wanneer ze zien dat andere Cybercriminelen voldoende worden betaald voor hun inspanningen.

Organisaties besparen uiteindelijk geen geld aan het betalen van de Cybercriminelen om hun data terug te krijgen en deze Cybercriminelen zelf worden er wel beter van.

Daarnaast, wanneer voldoende organisaties de ‘ransom’ betalen van de Cybercriminelen, kan dit ook een reden zijn voor deze criminelen om de prijs van de ‘ransom’ te verhogen, aangezien ze dan kunnen denken dat organisaties toch wel betalen om hun data terug te krijgen.

Verder kan het ook voorkomen dat na betaling van de ‘ransom’, de Cybercriminelen niet leveren, aangezien ze hun geld al binnen hebben of dat ze eisen dat er meer wordt betaald.

Wie hebben meegedaan aan het onderzoek?

Vason Bourne heeft een poll gehouden onder 5.000 IT-managers uit 26 landen tussen januari en februari 2020, met als doel om meer inzichten te krijgen wat organisaties doen wanneer ze geraakt worden door een ransomware-aanval.

51% van de ondervraagden geeft aan dat hun organisatie een ransomware-aanval heeft gehad het afgelopen jaar, waarvan 73% van deze ondervraagden aangeeft dat hun data was geëncrypt door de aanval. Bij overige 27% van deze organisaties is het niet gelukt om de data te encrypten, omdat deze op tijd gestopt zijn. Het opvallende hieraan is dat 3% van deze 27% aangeeft dat er alsnog ‘ransom’ wordt geëist van deze organisaties.

Het rapport toont ook aan dat wanneer er een ‘ransom’ wordt betaald aan de Cybercriminelen dat het niet altijd een garantie is dat de data hersteld kan worden. Van alle ondervraagden die aangaven dat ze slachtoffer waren van een ransomware aanval heeft 26% aangegeven dat ze betaald hebben voor het herstellen van hun data.

In totaal hebben 94% van de ondervraagde organisaties die te maken hebben gehad met geëncrypte data, hun data terug kunnen krijgen. 56% van deze organisaties kreeg hun data terug via het gebruik van eigen back-ups in plaatst van het betalen van de ‘ransom’, wat 26% van de organisaties heeft gedaan. Daarnaast geven 12% van de organisaties aan hun data terug hebben kunnen krijgen op een andere manier. Verder is er 1% van de organisaties dat na het betalen van de ‘ransom’, hun data niet heeft kunnen herstellen.

Private sector wordt harder geraakt

Ransomware-aanvallen op de publieke sector, de sector waarvan wordt verwacht het zwaarst getroffen te worden, zijn op basis van het rapport in werkelijkheid minder als ransomware-aanvallen tegen de private sector.

Van de ondervraagde organisaties zijn 45% van de organisaties in de publieke sector geraakt door ransomware het afgelopen jaar. Dit was lager dan de andere sectoren die onderzocht zijn door de onderzoekers.

Volgens het rapport is de industrie die het meest is geraakt door ransomware-aanvallen het afgelopen jaar dat van Media, vrijetijd en amusement, waarvan 60% van de organisaties in deze industrie aangaven getroffen te zijn door ransomware.

Deze sector werd gevolgd door IT, technologie en telecom met 56%; energie, olie/gas en andere nutsbedrijven met 55%; bedrijven die niet vallen onder een van de aangegeven sectoren met 54% en bedrijfs en professionele diensten met 50%.

Data in de Cloud is kwetsbaarder voor Ransomware

Het rapport toont ook technologische en demografische trends aan om aan te geven wanneer een bedrijf eerder of juist niet wordt aangevallen via ransomware-aanvallen en hoe effectief deze organisaties om kunnen gaan met het mitigeren van deze aanvallen.

Er valt op dat data aanwezig in de Publieke Cloud kwetsbaarder is voor Ransomware, dan wanneer de data lokaal in het bedrijfsnetwerk van de organisaties aanwezig is. Van de 73% van de ondervraagden welke hebben aangegeven dat hun data was geëncrypt door een ransomware-aanval, hadden 6 van de 10 bedrijven in ieder geval een deel van de data in de Publieke Cloud staan.

Organisaties in sommige geografische regio’s toonden aan dat ze succesvoller waren in het stoppen van ransomware-aanvallen, voordat deze data konden encrypten. Boven aan deze lijst staat Turkije met het stoppen van 51% van de aanvallen, gevolgd door Spanje met 44%, Italië met 38% en Brazilië met 36%.

Onderaan deze lijst staan organisaties uit Japan, waarvan het maar 5% van de organisaties is gelukt om een ransomware-aanval te stoppen voordat de data werd geëncrypt, gevolgd door India en Zweden met 8%, Nigeria 11% en Australië, Maleisië, Frankrijk en Tsjechië met 17%.

Ondervraagde organisaties in Nederland zitten hier tussenin met 22% van de organisaties, welke het zijn gelukt om de ransomware-aanval op tijd te stoppen.

Redenen voor deze verschillen per land kan te maken hebben met verschillende niveaus van awareness van zowel hoeveel ransomware voorkomt en hoe groot de kans is dat de organisatie er door wordt getroffen, dit kan ervoor zorgen dat organisaties verschillende niveaus hebben van anti-ransomware specifieke verdedigingsmechanismen.

Gebruikte technieken

Ook is er gevraagd aan organisaties om aan te geven via welke ransomware techniek de aanvallen hebben plaatsgevonden. De meeste ransomware-aanvallen hebben plaatsgevonden via het downloaden van een bestand of email met een kwaadaardige link, waarbij het gaat om 29%, gevolgd door 21% via een remote aanval op een server, 16% via een email met een kwaadaardige bijlage, 9% voor zowel misconfiguraties van de Publieke Cloud, via het Remote Desktop Protocol (RDP) en via een leverancier die werkt met de organisatie en als laatste 7% via een USB of andere verwijderbare media apparaten. Een zeer klein aantal geeft zelfs aan niet te weten hoe ze zijn geïnfecteerd geraakt met ransomware.

Advies

Begin met de aanname dat uw organisaties vroeg of laat een keer getroffen kan worden door ransomware, want ransomware discrimineert niet iedere organisatie is een doelwit, ondanks grootte, sector of geografische locatie. Hou hier rekening mee met het plannen van uw Cybersecurity strategie.

Investeer in anti-ransomware technologie voor het stoppen van ongeautoriseerde encryptie. 24% van de ondervraagden van het onderzoek hebben aangegeven dat ze de ransomware-aanval hebben kunnen stoppen, voordat de data werd geëncrypt.

Bescherm de data van uw organisatie, waarbij het niet uitmaakt waar deze data zich bevindt. Bijna 6 van de 10 ransomware-aanvallen op organisaties, waarbij het is gelukt om de data te encrypten, hadden data in de Publieke Cloud. In uw Cybersecurity strategie zou u moeten opnemen hoe data beschermd moet worden in de Publieke Cloud, Private Cloud en het lokale bedrijfsnetwerk.

Zeer belangrijk is om regelmatig back-ups te maken en deze zowel op een andere locatie als offline te bewaren. 56% van de organisaties welke te maken hebben gehad met geëncrypte data door een ransomware-aanval hebben op deze manier hun data kunnen herstellen, zonder de ‘ransom’ te hoeven te betalen.

Het toepassen van een gelaagde verdediging. Cybercriminelen gebruiken een brede set aan technieken om je verdedigingsmechanismes te ontwijken, wanneer een techniek wordt tegengehouden zullen ze het proberen met andere technieken, totdat ze er één vinden die wel werkt. Daarom is het belangrijk om uw organisatie te beschermen tegen veel verschillende aanvalsfactoren.

Ook is het belangrijk om awareness te creëren bij je medewerkers, aangezien een groot aantal ransomware-aanvallen beginnen bij het downloaden van een bestand of een email met een kwaadaardige link en/of bijlage. Om dit te voorkomen is het aan te raden om uw medewerkers een security awareness programma te laten doorlopen, om zo te kans te verkleinen dat uw medewerkers op een kwaadaardige link klikken, een kwaadaardige bijlage openen of een kwaadaardig bestand downloaden. Voor meer informatie over het security awareness programma, bekijk deze pagina op onze website.

Als laatste willen wij meegeven dat we ook eerder een artikel hebben geschreven over ransomware, in dit geval het Meka virus. Waarbij we in dit artikel ook hebben aangegeven waarom het niet slim is om gelijk de ransom te betalen en worden er tips gegeven over het verwijderen van Meka van geïnfecteerde machines. Het artikel richt zich specifiek op het verwijderd van het Meka virus, daarom is er bij de site van HowToRemove.guide te vinden hoe andere ransomware soorten verwijderd kunnen worden. Wel is het aan te raden om contact op te nemen met een Security professional om uw organisatie te ondersteunen in het geval van een ransomware infectie.

Top 10 meest misbruikte kwetsbaarheden 2016 tot 2020
Medewerkers die binnenkort weggaan, zijn betrokken bij 60% van de insider incidenten

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

vijf × een =

Menu