'Bedrijven betaalden in 2022 meer dan veertig procent minder ransomwarelosgeld'

Ransomwarebetalingen daalden in 2022 met meer dan veertig procent, zegt blockchainanalist Chainalysis. Het bedrijf vermoedt dat bedrijven veel minder snel betalen als ze slachtoffer van gijzelsoftware worden, maar zegt dat veel betalingen ook niet bekend zijn.

Chainalysis schrijft in een blogpost dat het aantal betalingen dat het bedrijf een significante daling in ransomwarebetalingen analyseerde. Chainalysis zag in dat jaar 457 miljoen dollar aan ransomwarebetalingen tegenover 766 miljoen dollar ervoor en 765 miljoen dollar het jaar daarvoor. Dat betekent dat het totale bedrag met iets meer dan 40 procent daalde. Wel verwijst Chainalysis naar een rapport dat pas in februari verschijnt. Details zijn daarom nog vaag.

Chainalysis

Chainalysis bestudeert onder andere de blockchaintransacties van grote ransomwarebendes en hun affiliatepartners. Dat zijn bijvoorbeeld bendes als Lockbit, Conti en Ragnar. Daaruit concluderen de analisten ook dat bepaalde groepen, waaronder Royal en BlackBasta, halverwege het jaar groter werden omdat de Conti-ransomware toen zou stoppen. Ook zou toen meespelen dat Conti openlijk publieke steun uitsprak voor de Russische invasie van Oekraïne. Vanaf dat moment zou het aantal betalingen aan Conti stevig zijn gedaald.

Volgens het analysebureau zou het dalende ransomwarebedrag niet te maken hebben met een daling in succesvolle aanvallen, maar met een kleinere bereidheid om te betalen. Daarvoor sprak het bureau met meerdere cybersecurityexperts die het beeld bevestigen dat het aantal aanvallen niet significant daalt. Dat gebeurt wel iets, maar die daling staat niet in verhouding met het mindere aantal ransomwarebetalingen.

Volgens experts die Chainalysis aanhaalt, heeft de daling onder andere te maken met sancties tegen Rusland. Daarvoor zouden er grotere risico's zijn voor bedrijven die criminelen betalen, omdat dat vaak Russen zijn. Ook zouden verzekeraars meespelen. Verzekeraars krijgen een groeiende rol in het bepalen wanneer ransomwarelosgeld wel of niet wordt betaald. Tegelijkertijd eisen die verzekeraars strengere beveiligingsmaatregelen voordat bedrijven een polis kunnen afsluiten.

Reacties (34)

Longtree 20 januari 2023 19:13

Het is heel simple, als ze nooit betalen stoppen ze vanzelf.
Ga jij werken zonder betaald te worden?

oef! @Longtree • 20 januari 2023 21:12

Zo simpel is het niet in de realiteit. Als je productielijn oid stil valt kan je dat snel heel veel geld gaan kosten. Het is altijd een afweging.

mr_evil08 @oef! • 21 januari 2023 08:38

En dan hebben deze bedrijven hun back-up niet op orde, gebeurd vaak, back-up,s worden nooit getest of het werkelijk erop staat.

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 00:35]

Sluuut @mr_evil08 • 21 januari 2023 12:14

Of de ransomware groep heeft 1+ jaar gewacht na infiltratie zodat de backup waardeloos is geworden.

nullbyte @Sluuut • 22 januari 2023 08:02

Da's geen backup. Een goede backup wordt periodiek gemaakt en is offline. Waarbij de periode relevant is in relatie tot een werkbaar herstel uiteraard.

Sluuut @nullbyte • 22 januari 2023 14:20

Eens, maar een offline backup kan ook al niet meer inzetbaar zijn door reeds geïmplementeerde backdoors die niet traceerbaar zijn.

Scriptkid @Sluuut • 21 januari 2023 18:06

Of je moet een stuk terug in de backup wat vaak net zo duur is als opnieuqed beginnen of duurder dus da. Kan je beter gewoon je reset uitvoeren.

ViPER_DMRT @mr_evil08 • 23 januari 2023 11:08

Never worked for a media hub, nope.

ETH0.1 @oef! • 21 januari 2023 00:11

de werkelijkheid is dat al heb je betaald dat er 3 scenario's mogelijk zijn

- Het werkt allemaal en je bent binnen de dag weer online
- de decryptiesleutel werkt maar is heel langzaam zijn en het je alsnog dagen (of langer) kost om alles te onsleutelen
- je betaald maar krijgt geen decryptiesleutel

Scriptkid @ETH0.1 • 21 januari 2023 18:05

Ook al werkt het weer. Dan moet je nog steeds een full rebuild uitvoeren of ga jij het risico accepteren van lateral movement of gaps die nog open staan voor de volgende groep of data leak door de zelfde groep die jouw data aan bojv china gaat verkopen

MrMonkE @oef! • 21 januari 2023 16:36

Of grote klant die wegvalt door een faillissement. Ben je soms zelf in maand of 2 al failliet.
(slecht, maar soms ontkom je door omstandigheden niet aan die situaties)

nullbyte @oef! • 22 januari 2023 08:04

Dan moet je zorgen voor een fatsoenlijke backup

ViPER_DMRT @nullbyte • 23 januari 2023 11:11

Leuk voor een fire and forget attack, maar als ze jou in het vizier voorzien van inside information, you're in for a hell of ride. AMC networks comes to mind. Wij kwamen aanzetten bij de aftermath, it was VERY well executed.

84hannes @Longtree • 20 januari 2023 19:32

Ja maar... ziekenhuizen, banen, faillissements...

Bovendien, als we die bendes goed betalen kunnen ze eerder met pensioen en houdt het vanzelf op.

mr_evil08 @84hannes • 21 januari 2023 08:37

En dan krijg je ipv 1 die met pensioen gaat ineens 4 voor terug.

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 00:35]

laptopleon @84hannes • 21 januari 2023 14:39

Ja, want dat zijn typisch mensen die tegen hun pensioen aan zitten.

‘Stop er nou mee Barry.’

‘Nog één keer een groot ziekenhuis oplichten, dan kunnen we met een camper door Europa gaan trekken.’

84hannes @laptopleon • 21 januari 2023 16:34

‘Nog één keer een groot ziekenhuis oplichten, dan kunnen we met een camper door Europa gaan trekken.’

$_/-\o_$

En toch zie je vaak dat 'kleine criminelen' (muilezels, inbrekers) het gewoon als een baan zien. Als ik het niet doe...

ViPER_DMRT @84hannes • 23 januari 2023 11:13

They'll yolo until they get busted.

Blokker_1999

Ransomware
Beveiliging en antivirus

@Longtree • 20 januari 2023 20:02

Dat is zeggen als dat niemand spam zou lezen, zouden we ook geen spam mails meer ontvangen. Zal ik je even de statistieken van wat spamfilters geven?

Er gaan er altijd zijn die zullen betalen om te kunnen overleven. En ik kan ze dat niet eens kwalijk nemen. Ik weet ook niet hoe ik zou reageren als ik in hun plaats was. Zolang je er zelf niet door getroffen wordt is het eenvoudig om principes te hebben.

Drm101 @Blokker_1999 • 20 januari 2023 21:10

Er staat iets belangrijks in je PM, als je dat even wilt lezen.. bedankt

Gunneh @Longtree • 21 januari 2023 17:58

ze werken ook vaker samen met bedrijven die specialeren in onderhandeling met ransomware groepen

Kees de slager kan geen 200k betalen, maar wel 5k bv

ViPER_DMRT @Gunneh • 23 januari 2023 11:14

ze werken ook vaker samen met bedrijven die specialeren in onderhandeling met ransomware groepen

Kees de slager kan geen 200k betalen, maar wel 5k bv

Marcel de slager in Zandvoort wel hoor

Tha Render_2 20 januari 2023 19:41

Uit eigen ervaringen kan ik stellen dat de uiteindelijke betaalde bedragen gewoon veel lager liggen omdat er meer onderhandeld wordt. Tegenwoordig kan je gewoon bellen/whatsappen naar de hacker(sgroep) en onderhandelen over de vraagprijs. In België hebben we experten die dat regelmatig doen en vaak 50% 'korting' bekomen op de vraagprijs.

Jim80 @Tha Render_2 • 20 januari 2023 23:11

Klopt, en het toppunt is dat hun "klantendienst" stukken beter is dan eender welk commerciëel NL of BE bedrijf.

ViPER_DMRT @Jim80 • 23 januari 2023 11:19

Het probleem dat is dat je vaak te maken hebt met een stel GUN-HO, shoot first ask questions later Spetznats team dat rustig 400 servers uit het datacentrum trekt onder het mom, WE GOT THE BADDIES.... En daar gaat je geld. Geintje koste een `navigatie` related fortune 500 toko 14mil euro.

TomONeill 20 januari 2023 19:02

Ik vind het wat kort door de bocht om te stellen dat 40% minder betaalt, als er 40% minder geld is overgemaakt. Misschien zijn die cryptolockers wel minder gaan vragen omdat ze zien dat er dan sneller wordt uitbetaald.

Maar goed, de details ontbreken dus nog, dus dat zal later wel bekend worden.

jpsch @TomONeill • 20 januari 2023 21:31

Waarde van de crypto munten is toch ook lager?

ViPER_DMRT @jpsch • 23 januari 2023 11:16

Waarde van de crypto munten is toch ook lager?

Je betaald gewoon de hoeveelheid BTC tot je aan hun bedrag voldoet.
Of dat 6 of 600 BTC is, swa.

jpsch @ViPER_DMRT • 23 januari 2023 12:03

Ja, en hoe is dat in het rapport berekend? Individuele dagkoersen? Of bitcoin x gemiddelde koers? Of eindkoers?

ViPER_DMRT @jpsch • 23 januari 2023 14:07

Vanaf het moment dat de ransomware met een popup komt even een api call doen naar een beurs ?

Result: 50000 USD = 2.18264935 BTC

You have 7 days to transfer 2.18264935 Bitcoins to .....
Als je echt aantoonbaar kan maken dat je een zzp'ertje bent met 6000 baby foto's dan kun je contact opnemen met hun `service desk` I shit you not. Krijg je gewoon een paar gasten uit India aan de lijn, die je moet overtuigen. Gasten zijn natuurlijk never/nooit niet gelinked, maar het gaf wel een human touch aan dit hele geheel.

ReZpie 20 januari 2023 19:54

Er zijn ook meerdere bedrijven die zich specialiseren in het onderhandelen met deze groepen.
Ik vermoed dat zij ook snel inzicht kunnen verschaffen in de kosten/baten analyse van zowel de aanvaller als slachtoff

edit; typo

ViPER_DMRT @ReZpie • 23 januari 2023 14:11

Heb er zo'n 12 mogen mee maken in de aftermath, om een Idee te geven, sumwhatsumwhatsony speelde letterlijk zo af....

When EGO's Colide

TweakerCarlo 20 januari 2023 19:57

Dus ik zoek een artikel op waar hier op tweakers gemeld werd dat een randsomeware bedrijf goodwill toont. De orginele tekst niet gevonden. Wel dit telegraaf artikel. Ik weet het nu echt niet meer. F dit soort berichten. Ik denk dat ik wederom stop met betalen. Stop met stagaires artikelen aub.
Zo veel niet onderbouwde nullen in een tekst!

Lies, damned lies, and statistics

[Reactie gewijzigd door TweakerCarlo op 23 juli 2024 00:35]

Chris4554 21 januari 2023 18:33

Ik had "Bedrijven betaalden in 2022 ruim veertig procent minder ransomwarelosgeld" als titel gedaan.

On topic: goed zo.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: