Het is een van de belangrijkste inschattingen die een gedupeerde organisatie moet maken als haar systemen gehackt zijn via ransomware: stel dat we losgeld betalen, zijn de hackers dan wel te vertrouwen? Een rapport van Unit 42, de onderzoekstak van cybersecuritybedrijf Palo Alto, geeft enkele indicaties.

Het cijfer: Minstens 1 op de 5 (20,6 procent) ransomware-criminelen houdt zijn woord niet nadat het losgeld is betaald, zo blijkt uit het onderzoek. Unit 42 analyseerde meer dan 1.200 cyberincidenten over de laatste 2,5 jaar.

Maar: In zeker twee op de drie gevallen leidde het betalen van losgeld betalen wél tot het einde van de cyberaanval en bij nog eens 3,9 procent van de betalingen hielden de hackers zich gedeeltelijk aan de deal. Anders gesteld: er is dus ruim 70 procent kans dat alles min of meer achter de rug is, eens de hackers hun losgeld hebben ontvangen.

👉 “In het algemeen is het beter om geen losgeld te betalen. Cybercriminelen worden zo alleen maar rijker en krijgen een vrijgeleide om nog meer slachtoffers te maken”, schrijven de onderzoekers. “Maar in sommige uitzonderlijke omstandigheden hebben organisaties weinig andere keuze dan te betalen.”

Losgeld

Een stap verder: Als de aangevallen organisatie beslist heeft te betalen, komt vraag twee: hoeveel? Volgens Unit 42 wordt bij een doorsnee ransomware-aanval een bedrag van 695.000 dollar geëist, maar wordt er in zo’n doorsneegeval uiteindelijk slechts 237.500 dollar betaald. Er is in de meeste gevallen dus onderhandelingsmarge.

• De onderzoekers van Unit 42 zien een correlatie tussen de lengte van de onderhandelingen en het afdingen op het geëiste bedrag: hoe langer een organisatie kan wachten met betalen, hoe beter de deal die ze krijgt. “We hebben organisaties gezien die op de eerste dag van de onderhandelingen besloten om losgeld te betalen en we hebben organisaties gezien die pas na 35 dagen betaalden.”
• De onderhandelingstijd hangt uiteraard af van de mate waarin de ransomware de dagelijkse activiteiten beïnvloedt. Organisaties zonder bruikbare back-ups staan met hun rug tegen de muur. De andere organisaties hebben meer hefbomen in de onderhandelingsgesprekken. Unit 42: “Bedreigingsactoren kunnen bijvoorbeeld oorspronkelijk een deadline van 72 uur stellen om te betalen voordat ze hun dreigement tot afpersing dreiging, maar deze onderhandelingen duren in de meeste gevallen wel 11 dagen.”