Voor hackers die computersystemen platleggen is elke aanval een afweging tussen moeite, winst en pakkans. Grote bedrijven lopen het meeste risico en preventieve maatregelen werken, blijkt uit promotieonderzoek van de Universiteit Twente.

Heeft u een bedrijf met meer dan 250 werknemers en heeft uw computersysteem geen herstelbare back-up? Dan loopt uw bedrijf een bovengemiddeld hoge kans om door een ransomware-aanval te worden getroffen. Bent u daarbij wél goed verzekerd tegen een aanval van deze ‘gijzelsoftware’, dan heeft u ook nog eens kans dat er extra veel losgeld wordt geëist.

Dat blijkt uit het onderzoek van promovendus Tom Meurs bij de afdelingen Computerwetenschappen en Sociale wetenschappen van de Universiteit Twente. Meurs analyseerde ransomware-aanvallen bij bedrijven in Nederland, de effectiviteit van politie-interventies en de besluitvormingsprocessen van de cybercriminelen. Op vrijdag 24 januari verdedigde hij zijn proefschrift.

Ransomware

Ransomware is een verzamelnaam voor computervirussen die gebruikmaken van zwakke plekken in een beveiligingssysteem. Zodra zo’n virus de computer is binnengedrongen gaat het bestanden versleutelen, die het computersysteem vervolgens op slot zetten voor de gebruiker. Alleen met een speciale code (de decryptor), voor een grote som geld aan te schaffen bij de cybercrimineel, kan deze gebruiker zijn computer weer ontgrendelen – al is nooit geheel zeker of er daarbij geen ransomware achterblijft die de boel een paar weken later opnieuw op slot zet. Bij zogeheten double-extortion gaat deze vorm van chantage nog een stap verder, en wordt gedreigd om bepaalde gegevens openbaar te maken via zogeheten leak pages.

Schade

Bedrijven met meer dan 250 werknemers, waar doorgaans het meest valt te halen,  lopen jaarlijks een kans van 1,3 procent om door een aanval met ransomware te worden getroffen, ontdekte Meurs. ‘En dat zijn dan alleen nog maar de grote bedrijven die direct slachtoffer worden’, zegt Meurs. ‘Als zo’n bedrijf toeleverancier is of ICT regelt van meerdere andere bedrijven, dan zijn zij ook indirect slachtoffer. Zo worden soms tientallen bedrijven slachtoffer van één aanval.’

Voor middelgrote bedrijven (met 51 tot 250 werknemers) is de kans op een ransomware-aanval 0,6 procent, voor kleine bedrijven 0,1 procent. In bijna een kwart van de gevallen wordt uiteindelijk losgeld betaald.  

De gemiddelde schade die bedrijven opliepen bleek mét double-extortion ruim 2 miljoen euro te zijn, en zonder double-extortion ruim een ton. De financiële impact is met name afhankelijk van de voorbereiding van het betreffende bedrijf op eventuele aanvallen. Een goede verzekering verhoogde het gemiddelde losgeldbedrag echter met een factor 2,7, omdat de criminelen weten dat de kosten worden gedekt.

Afweging

Criminelen maken de afweging om een ransomware-aanval in te zetten op basis van verwachte winstgevendheid, het risico om gepakt te worden, en de inspanning die nodig is om een succesvolle aanval uit te voeren, schrijft Meurs. De combinatie van snel verdiend geld en een lage pakkans maken deze vorm van criminaliteit aantrekkelijk.

Interventies

Intussen zit de politie niet stil. Interventies hebben zin: arrestaties, sancties, het neerhalen van leakpages, decryptors of het bevriezen van tegoeden zorgen in bijna de helft van de gevallen dat ransomware-groepen ermee stoppen. Hierbij lijkt elke aanpak ongeveer even effectief. Een strategie met diverse interventies en snelle acties werkt het best. 

Werkwijze

Meurs werkte samen met de politie, en kreeg toegang tot aangiftes van 525 ransomware-aanvallen in Nederland tussen 2019 en 2023. Daarnaast verzamelde hij gegevens van bedrijven die dit soort incidenten oplossen, en informatie van leakpages: de websites waar criminelen gestolen gegevens publiceren. Hierdoor kon hij uitzoeken hoe winstgevend deze aanvallen waren voor de criminelen, welke risico’s ze namen en hoeveel moeite ze deden om een aanval te doen slagen.

Voor wie meer wil weten, maakte hij een fraaie folder met een lange Nederlandse samenvatting van zijn proefschrift.

 

 Beeld: Depositphotos