Securitybedrijf: significant minder ransomwareslachtoffers betalen losgeld

In het eerste kwartaal van 2024 betaalde minder dan een derde van de slachtoffers van ransomware losgeld. Dat blijkt uit cijfers van securitybedrijf Coveware. Vijf jaar geleden werd er in het eerste kwartaal nog in 85 procent van de gevallen losgeld betaald.

Ook het gemiddelde bedrag dat aan losgeld betaald werd, is significant gedaald. Coveware meldt een daling van 32 procent vergeleken met het laatste kwartaal van 2023. Gemiddeld werd er in het eerste kwartaal van dit jaar zo'n 382.000 dollar aan losgeld betaald. Het gemiddelde losgeldbedrag ligt alsnog fors hoger dan vijf jaar geleden. In 2019 werd er gemiddeld iets minder dan 13.000 dollar aan losgeld geëist.

Die daling wordt volgens het securitybedrijf onder meer veroorzaakt door onrust rondom RaaS, oftewel ransomware-as-a-service. Zo werden recent de websites van ransomwaregroeperingen LockBit en BlackCat in beslag genomen, maar RaaS-ontwikkelaars slaagden er volgens Coveware niet in de zorgen van gebruikers weg te nemen. Dat zou er toe hebben geleid dat criminelen de afgelopen maanden minder vaak ransomware hebben ingezet. Ook zijn bedrijven en organisaties steeds beter voorbereid op ransomwareaanvallen, waardoor ze minder vaak besluiten om losgeld te betalen.

Door Sabine Schults

Redacteur

Feedback • 22-04-2024 18:56
38 • submitter: wildhagen

22-04-2024 • 18:56

38

Submitter: wildhagen

Lees meer

FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware
FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware Nieuws van 6 juni 2024
'China hackte salarissysteem van Brits ministerie van Defensie'
'China hackte salarissysteem van Brits ministerie van Defensie' Nieuws van 7 mei 2024
'Datalek zorgbedrijf VS mogelijk gemaakt via gestolen Citrix-login'
'Datalek zorgbedrijf VS mogelijk gemaakt via gestolen Citrix-login' Nieuws van 2 mei 2024
Samenwerkingsverband Melissa voorkomt mogelijk duizenden ransomwareslachtoffers
Samenwerkingsverband Melissa voorkomt mogelijk duizenden ransomwareslachtoffers Nieuws van 25 april 2024
Hackersgroep plaatst gestolen data Belgische bierbrouwer Duvel Moortgat online
Hackersgroep plaatst gestolen data Belgische bierbrouwer Duvel Moortgat online Nieuws van 21 april 2024
LockBit start nieuwe site en dreigt overheden vaker aan te vallen
LockBit start nieuwe site en dreigt overheden vaker aan te vallen Nieuws van 26 februari 2024
Europol deelt nieuwe details over arrestaties, decryptietool en oprollen LockBit
Europol deelt nieuwe details over arrestaties, decryptietool en oprollen LockBit Nieuws van 21 februari 2024
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag Nieuws van 20 februari 2024
Europol rolt ransomwarebende op die voornamelijk grote bedrijven als doelwit had
Europol rolt ransomwarebende op die voornamelijk grote bedrijven als doelwit had Nieuws van 28 november 2023
Lockbit-ransomwaregroep beweert gevoelige data van Boeing te hebben gestolen
Lockbit-ransomwaregroep beweert gevoelige data van Boeing te hebben gestolen Nieuws van 29 oktober 2023
Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getroffen
Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getroffen Nieuws van 5 oktober 2023
KNVB betaalde losgeld aan criminelen om persoonsgegevens te beschermen - update
KNVB betaalde losgeld aan criminelen om persoonsgegevens te beschermen - update Nieuws van 12 september 2023
Alphv claimt achter Reddit-hack te zitten, eist terugdraaien api-veranderingen
Alphv claimt achter Reddit-hack te zitten, eist terugdraaien api-veranderingen Nieuws van 18 juni 2023
Meer producten en artikelen
Beveiliging en antivirus Hack Hackers Ransomware

Reacties (38)

-Moderatie-faq
38
38
19
1
0
16
Wijzig sortering
aliberto 22 april 2024 19:08
Als ik afgeperst wordt met een virus dan zou ik ervoor kiezen om Windows opnieuw te installeren, want ik ga misdaad niet belonen. Maar wanneer je deze keuze niet hebt als bedrijf zijnde dan sta je voor veel moeilijkere keuzes en je loopt het risico om bestaande klanten te verliezen wegens gebrek aan vertrouwen.
naaitsab @aliberto22 april 2024 21:09
Het is alleen op het moment veel meer aan de orde dat de criminelen de data kopiëren. Dat is minder snel te detecteren en kan je iemand kennelijk beter mee (blijven) chanteren. Zeker als het om gevoelige gegevens gaat. Versleutelen is vaak snel te detecteren met redelijk eenvoudige tools en met beter wordende backups (software maar ook beleid/inrichting) ook weer snel te herstellen.

De crux van dit hele geburen is echter dat als iedereen wereldwijd beslist om vanaf morgen geen cent meer te betalen dat deze hele "markt" direct wegvalt. Dus door niet te betalen help je ook om deze branche niet te laten groeien.
CivLord @naaitsab23 april 2024 07:16
Versleutelen is tegenwoordig juist steeds minder eenvoudig te detecteren en besmet ook de backups.

Het is niet een eenmalige hack waarbij onmiddelijk alle bestanden worden versleuteld en je een uur later een scherm met de losgeldeis op je monitor verschijnt. Bij een dergelijke aanval zijn de schrijfactiviteiten inderdaad eenvoudig te detecteren en kan een gisteren gemaakte backup alles oplossen.

Ransomware verschuilt zich tegenwoordig vaak als een soort 'driver' voor je bestandssysteem in al je systemen. Alle weggeschreven bestanden worden automatisch versleuteld en iedere keer dat je het bestand wilt lezen ongemerkt weer ontsleuteld. Dit geldt ook voor de backups die je maakt.
Na een bepaalde tijd, wat maanden kan zijn, wordt de sleutel waarmee je bestanden versleuteld en ontsleuteld worden gewist en is alles onleesbaar geworden. Inclusief alle in de tussentijd gemaakte backups.

Welk bedrijf kan blijven voortbestaan wanneer het maanden aan gegevens, administratie etc. kwijtraakt?
Dan moet je heel stevig in je schoenen staan wil je het je kunnen permiteren om niet te betalen.

Natuurlijk zijn er manieren om je ook tegen dit soort aanvallen te wapenen, maar die zijn duur en ingewikkeld. Een relatief eenvoudige manier om een dergelijke besmetting vroeg te detecteren is om al je backups te controleren op een systeem met een ander OS. Maar dan moet je wel de gegevensdragers direct aan kunnen spreken. Wanneeer je de backupserver waarop je met Windows backups maakt controleert met een Linux PC, dan kan nog steeds de server zelf geïnfecteerd zijn. Je moet dus echt de afzonderlijke schijven zelf direct uitkunnen lezen zonder een tussenliggend OS.
Horla @CivLord23 april 2024 10:36
Als het volledige systeemback-ups zijn, dan kan je je systemen uit de back-up toch gewoon terugzetten en alleszins je data bekijken want in de back-up zit wel nog de automatische ontsleuteling?
CivLord @Horla23 april 2024 11:58
Wanneer het wissen van de sleutels getriggert wordt door een bepaalde datum (of de afwezigheid van een activitiesignaal van een server via internet, of iets dergelijks), zal dat wissen opnieuw plaatsvinden zodra het systeem na de backup opnieuw geactiveerd wordt.
En wanneer enkel van de data een backup gemaakt wordt helpt dat sowieso niet.
ygeffens @aliberto22 april 2024 19:34
Stelling: De enige kopie van je familiefoto's van de laatste 30 jaar zijn versleuteld. Je hebt dus geen backup.
Betalen of niet ?

Geen paniek, ik heb offline backups. Maar wie dat niet heeft ...
jpsch @ygeffens22 april 2024 19:40
Niet betalen, mijn familie foto's zijn grotendeels weggegooid vanwege opruiming door mijn vader. Leven gaat gewoon verder.
Zeerob @ygeffens22 april 2024 19:50
Zeker niet betalen!
We hebben trouwens steeds meer foto's en video's. Maar hoe vaak worden oude foto's en video's nu echt bekeken?
Horatius @Zeerob22 april 2024 21:31
Ligt er denk ik heel erg aan wat voor fotos je neemt en wat je doet. Ik doe veel aan bergbeklimmen en om andere mensen enig beeld te geven wat ik doe gebruik ik mijn fotos regelmatig. Zelfde bij zweefvliegen en wat ik dan ook uitspook. Bij avontuur hoort beelden.

Maar ook bij festivals vind ik het toch altijd heel leuk om een kleine collectie te kunnen terug zien, stukje herinneringen. Gaat dan wel vooral om selfies en fotos van mensen.

Zelf heb ik erg weinig fotos van mijn jeugd en kindertijd, vind ik toch altijd jammer. Herinneringen zijn mijn veel waard en deels ook waarvoor ik dingen doe.
theduke1989 @Zeerob23 april 2024 08:30
Het punt is dat je ze hebt. Of je ze bekijkt of niet heeft daar niks mee te maken.

Want als je ze een keer wilt kijken wat dan? En je hebt ze niet meer? Of wil je duckface fotos wel bekijken die je met whatsapp hebt gemaakt en door gestuurd.

Familie bestanden hebben een waarde. Jouw duckface foto wat minder vermoed ik.
ManReadyForWar @ygeffens22 april 2024 23:56
Ik betaal uit principe niet, hoe belangrijk die documenten ook zijn. Ik gun ze het gewoon niet.
Martinspire @ygeffens23 april 2024 03:10
Vroeger verloor je die nog wel eens door een brand. Nu is het een internet brandje.
theduke1989 @Martinspire23 april 2024 08:51
3-2-1 backup hanteren.
.ik persoonlijk moet dit nog goed toepassen.

Heb een NAS, wil die eigenlijk dat die een snapshot maakt naar een andere nas buiten mijn netwerk om.. waarschijnlijk ga ik dat op werk laten staan. En dan nog een backup op een externe HDD. Dat doe ik nog wel elke dag.
JerX @theduke198923 april 2024 13:27
Zal je werk blij mee zijn 8)7
theduke1989 @JerX23 april 2024 13:40
Nja, zoveel kost het ze niet extra. En genoeg overschot hebben ze.
downtime @aliberto22 april 2024 19:28
Windows wel of niet installeren is niet het grootste probleem. Je documenten kwijt raken omdat ze versleuteld zijn is veel erger.
CPM @aliberto22 april 2024 22:38
En iemand anders zou kunnen vinden dat ze moeten betalen, puur om haar/zijn data te beschermen ook als de kans klein is dat dat zou gebeuren. Je zou als klant van zo'n bedrijf ook de vraag kunnen stellen: waarom betalen jullie het losgeld niet, puur om het feit dat je er dan alles aan gedaan hebt om mijn data te beschermen?
Of: jullie hebben niet betaald dus nu ligt mijn data op straat.
Lastige situaties.

[Reactie gewijzigd door CPM op 23 juli 2024 06:33]

Theone098 22 april 2024 19:11
De manier om van deze criminelen af te komen: niet betalen en een backup terugzetten.

En ja, een (veilige) backup maken en terugzetten is te doen maar kost wel wat nadenken en inspanning.

Als er niets meer te verdienen is, houdt het vanzelf op.

[Reactie gewijzigd door Theone098 op 23 juli 2024 06:33]

Frame164 @Theone09822 april 2024 19:30
Kan je het proces beschrijven hoe je een 100% perfecte backup kunt maken? Dus een backup waar de besmetting niet in zit en toch nog steeds recente data bevat.
lenwar
@Frame16422 april 2024 20:55
Er zijn allerlei strategieën voor.
Bekijk het zo. Stel dat jij een ransomware-aanval wil uitvoeren. Je wilt een afhankelijkheid van jouw dienst creëeren. Als je slachtoffer een goede back-up heeft, is dat vervelend voor jou. Ofwel. Het eerste wat jij zal doen is proberen het bestaande back-ups te compromitteren. Je zult dus proberen de back-ups te versleutelen zonder dat je slachtoffer dat merkt. Je zorgt ervoor dat de versleutelde back-ups gewoon toegankelijk zijn voor je slachtoffer, totdat jij op de knop hebt gedrukt wanneer je de ‘live-data’ aan het versleutelen bent.

Ofwel. Als je slachtoffer zich daartegen moet kunnen beschermen, zal hij dus bijvoorbeeld de back-ups ‘read-only’ moeten maken. (Een WORM-backup). Maar uiteraard is dat ‘slechts’ een van de zaken die je moet regelen om je enigszins te beschermen tegen de gevolgen van dit soort onzin.
Bor Coördinator Frontpage Admins / FP Powermod
@lenwar22 april 2024 21:06
Als je slachtoffer zich daartegen moet kunnen beschermen, zal hij dus bijvoorbeeld de back-ups ‘read-only’ moeten maken. (Een WORM-backup).
Waarbij je nog steeds de kans hebt dat de data die je backupped reeds gecompromitteerd is.
lenwar
@Bor22 april 2024 21:23
Dat is onwaarschijnlijk. Want dan kun je al niet werken. Je back-up is van je live-data. Mogelijk dat je inderdaad de malware ook hebt gebackupped, maar die kun je detecteren tijdens het restoren. (Want dan weet je dat ie er is).

Overigens is ‘je data’ over het algmeen ‘ergens anders’ dan je software. (Over het algemeen zijn je data-schrijven ergens anders dan je software schijven). Even heel versimpeld gezegd natuurlijk :)
CivLord @lenwar23 april 2024 07:28
Wat als de ransomware zich als een soort 'driver' in je OS verschuilt die alle schrijfacties versleuteld en alle leesacties ontsleuteld? Wanneer dan na maanden de sleutel gewist wordt, zijn alle je bestanden van de laatste maanden versleuteld en onleesbaar, inclusief de backups die je daarvan gemaakt hebt.
lenwar
@CivLord23 april 2024 08:55
Daar heb ik ook over nagedacht. Dat zou een gigantische performance-hit moeten geven. Dus afhankelijk van de applicatie ga je dat zeker detecteren.

Het zou overigens in principe zichtbaar moeten zijn in je back-up. Uiteraard een beetje afhankelijk van hoe je omgeving is ingericht natuurlijk.
Die versleutelingssleutel en ontsleutelingssleutel staan dan natuurlijk ook in je back-up, dus het is mogelijk niet de sterkste methode.

Als het echt een virtuele driver is, zou dat ook snel gedetecteerd worden omdat hij niet ondertekend is.
Indy81 @lenwar23 april 2024 10:11
Nee hoor, bedrijf waar ik heb meegemaakt dat ze gehackt waren, had de VMware images versleuteld, maar ze doen dat ding niet 100% versleutelen. Het is nog niet eens echt versleutelen, volgens mij gewoon een aantal bit reeksen flippen.
Gewoon een paar kB aan het begin, aan het eind, paar honderd keer tussenin, en je image is totaal niet meer te gebruiken, want je weet niet welke bits omgedraaid zijn en op welke positie. De encryptor/decryptor weet dat wel en heeft dat zo gedaan.
M'n baas had uiteindelijk de decryptie sleutel gekocht, in tijd van 2 minuten was alles hersteld.

Voor ons was het de keuze: 2 dagen downtime of 3 maanden downtime.
lenwar
@Indy8123 april 2024 10:28
Dat is ook weer een ding. Op die laag had ik het nog niet bekeken. Zo zie je maar hoeveel wegen er zijn. Op hoeveel lagen je moet afschermen. En iedere laag heeft een andere beschermingsstrategie.
Voor ons was het de keuze: 2 dagen downtime of 3 maanden downtime.
En afhankelijk van je bedrijfsvoering is dat inderdaad een makkelijke keus. Ik snap hem. We kunnen wel de moraalridder gaan uithangen, dat we crimineel gedrag niet moeten financieren, enzovoorts, maar ik snap wel dat het gebeurd. Het is of financieren of failliet en een zwik mensen zijn hun baan kwijt. (moet je je voorstellen dat je daardoor in de financiële problemen komt, omdat je (voormalige) werkgever slachtoffer is geworden van één of ander, terwijl hij het ook voor x-duizend euro had kunnen afkopen). Of moet je je voorstellen dat bijvoorbeeld een universiteit alle proefschriften kwijtraakt waar promovendi tijdenlang hard aan hebben gewerkt. (en dat die inhoud dus nergens anders dan bij de uni opgeslagen mag worden ivm gevoeligheid van de onderzoeken op dat moment.)

Maar goed. Er is in elk geval niets algemeens te zeggen over een soort generieke bescherming tegen iedere vorm van ransomwareaanvallen. Het is een paraplu-term voor een scala aan diverse aanvallen en afhankelijk van je infrastructuur heb je andere verdedigingsmaatregelen nodig.
CivLord @lenwar23 april 2024 10:29
Dan zou een VPN, waar alle data ook versleuteld en ontsleuteld wordt ook een gigantische performance-hit moeten geven. Ik heb daar zelf nog nooit iets van gemerkt.
lenwar
@CivLord23 april 2024 10:52
Afhankelijk van hoe I/O gebonden je applicatie is, gaat dat een gigantische hoeveelheid performance kosten. Als je inderdaad met 3 personen iedere 2 minuten 500MB wegschrijft merk je inderdaad niets, dan is het op z'n best meetbaar. Als je echter een datapoel hebt waar duizenden processen continu data uit aan het vissen zijn, destemeer.

N.B. Een VPN kost ook redelijk wat processorkracht. Echter: Jouw PC hoeft (normaal gezien) maar één keer te versleutelen (één tunnel), maar geloof maar dat de andere kant van die tunnel (waar al die VPN-tunnels samenkomen) echt hele flinke apparaten staan, met heel veel toegewijde processorkracht, met software die specifiek voor dat doeleinde is gemaakt. (en dan heb ik het dus over VPN-servers, waar bijvoorbeeld een paar duizend mensen op werken voor een bedrijf).

Moderne processoren (alles nieuwer dan 10-15 jaar oud) zijn in desktops gigantisch krachtig. Daarom hebben we het idee dat er weinig gebeurd en merken we het in de praktijk niet eens. Ook zijn zaken als TLS-accelleration in moderne processoren normaal, juist om dit te compenseren. Dat zijn dus specifieke onderdelen in een processor die TLS-versleuteling afhandelen voor de processor zelf.
https://www.intel.com/con...ickassist-technology.html

Ofwel. Het feit dat jij er niks van merkt, betekent dus dat jouw processor gigantisch krachtig is voor het takenpakket dat hij krijgt. (en onthoud ook dat de hoeveelheid data die over zo'n VPN heen gaat over het algemeen helemaal niet zo veel is)
En kijk maar is naar throughput vergelijkingen:
https://www.smarthomebegi...eguard-vpn-for-beginners/
Dat zijn serieuze verschillen. Als het geen CPU-kracht zou kosten zouden de verschillen marginaa zijn.
CivLord @lenwar23 april 2024 12:04
Maar zolang er geen erg schrijfintensieve processen bezig zijn merk je daar dus erg weinig van.
Bij een gemiddeld kantoor waar de mensen brieven en wat documentatie schrijven, facturen opmaken en administratie bijhouden, staan al die processors sowieso het merendeel van de tijd duimen te draaien.
Bij een bedrijf dat met grote beeld- of videobestanden werkt zal het eerder opvallen.
DijKR @Frame16422 april 2024 19:38
Je hebt zoiets als backup-strategieën.
Bor Coördinator Frontpage Admins / FP Powermod
@Theone09822 april 2024 19:13
Gezien er steeds vaker data wordt gestolen waarbij je wordt afgeperst met openbaring wanneer je niet betaalt heeft die strategie minder en minder nut. Puuur alleen encryptie als afpersmiddel zie je steeds minder vaak.

[Reactie gewijzigd door Bor op 23 juli 2024 06:33]

Theone098 @Bor22 april 2024 19:16
Je hebt gelijk, ook dat is voorbereiding waar een backup (slechts) een onderdeel van is.
lenwar
@Theone09822 april 2024 19:27
Een backup waarvan? Die heeft de ransomware club al voor je gemaakt ;). Je wordt gechanteerd met het uitlekken van die backup.

En al zou je niet betalen, dan verkopen ze de data aan andere criminelen. En dat kunnen ze ook doen als je het wel hebt betaald.
Je bent hoe dan ook het bokkie.
fwp 22 april 2024 19:14
Of het waar is of niet. Ik denk dat dit soort signalen goed zijn om de mindset (waar mogelijk) te verspreiden dat er niet betaald wordt voor dergelijke praktijken.
En ja, vast ook moeilijke keuzes te maken wanneer dit gebeurd, echter denk ik dat dit maar 1 remedie heeft.

[Reactie gewijzigd door fwp op 23 juli 2024 06:33]

Mitchell4you. 23 april 2024 00:28
maar als je ze niet betalen..worden de naw gegevens online gezet..
En dan mag je maar hopen..Dat de instantie je op de hoogte brengt.
En dat niemand je gegevens gebruikt voor criminele activiteiten (id diefstal/credit fraude)
Tevens waar komen deze cijfers vandaan?
wie zou vrijwillig melden dat ze betaald hebben?

Ps Ik ben te arm..om te betalen :)
Ik vind well knude dat ik via sites zoals HaveIbeenpawned en de politie (check je hack ) moet gebruiken om te achterhalen of mijn gegevens ergens online zijn.. :(
SkyStreaker 23 april 2024 07:45
Dingen die ik belangrijk vindt klap ik meteen op 2 clouddrives en een externe SSD, versleutel wat je wil. Dit win je niet.
FrostyPeet 23 april 2024 10:32
Bekijk het eens van de kant van de aanvaller. Als het voor hen "normaal" werk is (40 uur per week, 45 weken per jaar), lijkt 300K USD per bedrijf een aardig inkomen. Stel dat je een 6 man groep bent, 50K de neus. Dat is al een aardig jaarinkomen in sommige landen. Hebben ze "beet" bij twee bedrijven per jaar, zit je al aan 100K de neus. Daar kan je aardig wat tijd/energie in steken, ook al is er "niets" de rest van het jaar.

Kijk anders eens op die YT videos van bel scams gericht op de Amerikaanse markt. Je weet wel, die nep-microsoft. Het is ontluisterend hoe procesmatig die bedrijfsmatige aanpak is in bijvoorbeeld India. Op het eerste gezicht een normaal call center met tientallen mensen.

Het is nog net niet "Wilma I'm home" na een dag hard werken. De banaliteit van criminelen.
Indy81 23 april 2024 10:33
Wat ons heeft geholpen, is dat we bij puur toeval een 'honeypot' hadden gemaakt en dat de hackers niet verder hadden gekeken.
Wij zijn een paar jaar geleden gehacked, inclusief de boekhouding.
Ons hoofdkantoor zit in een klein dorpje waar nog nooit iemand van heeft gehoord. Maar een klein filiaal zit in Amsterdam. De hackers kennen natuurlijk wel Amsterdam, en ze hebben een excelletje gevonden met wat omzetcijfers van dat filiaal en de ransom daar op gebaseerd. Daardoor was de ransom 10x lager uitgevallen. M'n baas is dan ook nog type die dan met een zielig verhaal (boohoo corona), 75% korting wist af te dwingen. Dus ook al keuren we het niet goed, betalen was gewoon de betere optie voor het bedrijf.

Dit zet me wel aan het denken:
Is het niet een idee voor bedrijven om een echte honey pot te maken, gewoon een berg documenten met allemaal AI gegenereerde onzin personeelsbestanden, onzin kwartaal cijfers, makkelijk te vinden op verschillende plekken, zodat ze de verkeerde data hebben, en dreigen met allemaal onzin data uit te lekken?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq