Promotie onderzoek ransomware in Nederland

Op 24 januari promoveerde Tom Meurs aan de Universiteit Twente op het onderwerp "Double-extortion ransomware: a study of cybercriminal profit effort and risk". Double extortion ransomware gaat om zowel het versleutelen van data als het stelen van de data. Als het slachtoffer het losgeld voor de versleuteling niet betaald wordt gedreigd om de data openbaar te maken. Tom werkt bij de Politie Oost-Nederland, en heeft in zijn onderzoek gegevens van Nederlandse ransomware aanvallen tussen 2019 en 2023 bestudeerd. De centrale onderzoeksvraag gaat over de drijfveren van cybercriminelen, hoe beïnvloedt double-extortion ransomware, de winst, inspanning en risico's voor aanvallers ?

Het onderzoek toont aan dat de besluitvorming van cybercriminelen het best te begrijpen is door hun winst, inspanning en risico's te analyseren. Dit inzicht helpt om ransomware beter te bestrijden en voor organisaties om zich er beter tegen te wapenen. Behalve de centrale onderzoeksvraag bevat het onderzoek een schat aan informatie over ransomware aanvallen in Nederland. Een greep uit de analyse: 

‍

• 60% van ransomware aanvallen op middelgrote en grote organisaties wordt niet gemeld. Dit percentage is nog hoger voor kleine organisaties. Met de meldplicht in NIS2, zal het aantal te rapporteren incidenten naar verwachting dus flink omhoog gaan;
• Grotere organisaties zijn vaker het doelwit, omdat zij in staat zijn om grotere losgeld sommen te betalen;
• Double extortion leidt tot grotere losgeld betalingen, en is daarmee dus lucratiever voor cybercriminelen (ondanks de grotere moeite vergeleken met reguliere ransomware);
• Aanvallen op NAS devices leveren doorgaands kleinere losgeld bedragen op, maar deze aanvallen zijn dan ook grotendeels geautomatiseerd. De cybercrimineel past z'n modus operandi aan: lagere opbrengsten en daarmee hoger volume en meer automatisering;
• Verder blijkt dat criminelen ook kunnen bluffen over de gestolen data, dit kost hen weinig additionele inspanning en kan wel meer losgeld opleveren (als het slachtoffer de claim niet kan verifiëren);
• Als laatste is aangetoond dat interventies door bijvoorbeeld de politie helpen, omdat dit de mogelijke opbrengst voor de criminelen nadelig beïnvloedt en de benodigde inspanning verhoogt.

Kans op een ransomware aanval

• Uit de cijfers blijkt dat grote bedrijven jaarlijks een kans van 1,3% hebben om slachtoffer te worden van ransomware (ongeveer 1 op de 75);
• Bij middelgrote bedrijven is dit 0,6% (ongeveer 1 op de 160).

Losgeld en schade

• De gemiddelde geleden (financiële) schade van een ransomware incident ligt boven de half miljoen (EUR 513.534);
• Er zijn grote verschillen per sector, omvang (omzet) van de organisatie en of een cyber verzekering aanwezig is;
• Als een cyber verzekering aanwezig is, betalen bedrijven tot 2,7 keer meer losgeld, omdat criminelen weten dat de verzekering de kosten dekt;
• Bedrijven met goede backup's konden de verliezen beperken;
• Het hebben van goede (herstelbare) backups, heeft het grootste effect op losgeld. Deze bedrijven zijn maar liefst 27 keer minder geneigd te betalen.

‍

"Hoe  groter de omzet van een bedrijf, hoe beter. Er zijn geen specifieke redenen om een bepaald bedrijf te kiezen. Als er een doelwit is, dan moet het worden aangepakt. Het maakt niet uit waar het doelwit zich bevindt, we vallen iedereen aan. Er is geen tijd of behoefte om een aanval op een specifiek doelwit voor te bereiden, omdat er altijd genoeg werk is. Onze doelwitten zijn bedrijven, kapitalisten." - opgenomen quote van een affiliate van ransomware groep Lockbit.

‍

Aanpak van ransomware

Het onderzoek richtte zich op de winst, inspanning en risico's van cybercriminelen. Ransomware is lucratief omdat er veel mee wordt verdiend en de pakkans laag is. Interventies door de politie, zoals arrestatie van daders, neerhalen van servers, bevriezen van crypto-assets en vrijgeven van decryptie-tools hebben een duidelijk effect. De winstgevendheid neemt af voor de cybercrimineel en de pakkans gaat omhoog.

Voor bedrijven is ongetwijfeld de beste aanpak om je digitale weerbaarheid te verhogen. Kun je herstellen van een aanval? In geval van Ransomware is dan vooral een herstelbare backup van essentieel belang. Ten eerste moeten de backup's met voldoende regelmaat gemaakt worden, maar er moet ook getest worden of de backup's binnen afzienbare tijd zijn terug te zetten, om de bedrijfsvoering weer op gang te helpen. Een cyber verzekering lijkt minder effectief, althans het effect dat het onderzoek laat zien is dat bijna 3 keer meer betaald wordt in geval van een verzekering. Dekking van gevolgschade (behalve losgeld betaling) is uiteraard ook van toepassing. Het lijkt me logisch dat cyber verzekeraars stricter gaan worden op bijvoorbeeld een herstelbare backup.

Dit onderzoek heeft waardevolle inzichten opgeleverd in de motieven van cyber criminelen en hoe de politie hier op in kan spelen. Met de NIS2 (cyberbeveiligingswet), welke in Q3 van dit jaar in werking treedt, zal voor zo'n 7000 tot 10.000 organisaties een meldplicht in werking treden. In de komende jaren krijgen we daarmee hopelijk nog veel meer inzicht in de cyberincidenten en hoe we ze kunnen beheersen. Tom Meurs heeft in zijn onderzoek al de nodige adviezen voor vervolgonderzoeken gedaan. Ik voorzie daarom mooie onderzoekskansen bij het NCSC, als centraal meldpunt voor NIS2 cyber incidenten.

‍

‍

‍