Slachtoffers van ransomware-aanvallen betalen cybercriminelen steeds minder vaak voor het vrijgeven van de versleutelde of gestolen data. Dit stellen de onderzoekers van Coveware in een kwartaalrapport.
In het eerste kwartaal van 2024 betaalde 28 procent van de bedrijven die door ransomware waren getroffen de gevraagde losprijs, stellen de onderzoekers. In het laatste kwartaal van 2023 was dit nog 29 procent.
Bedrijven betalen steeds minder doordat ze zich meer tegen dit soort aanvallen beschermen. Ook zijn zij steeds meer in staat zelf hersteloperaties uit te voeren en zijn daardoor niet afhankelijk van een decryptiesleutel.
Bedrijven worden daarnaast steeds vaker juridisch gedwongen niet toe te geven aan ransomware-criminelen en niet te betalen. Onder meer de staat Florida in de VS verbiedt in te gaan op ransomware-aanvallen, evenals Australië.
Verder betalen bedrijven vaak niet omdat cyberciminelen zich toch niet aan de gemaakte afspraken houden. Bijvoorbeeld door na betaling de gestolen data tóch openbaar te maken of anderszins te verhandelen, ondanks de belofte dit niet te doen.
Gemiddelde losprijs daalt
De gemiddelde losprijs in het afgelopen eerste kwartaal lag op 382.000 dollar (358.000 euro). Dit was 32 procent minder dan in het voorgaande kwartaal. De mediaan lag echter wel 25 hoger met een bedrag van 250.000 dollar.
Dat de gemiddelde losprijs voor een ransomware daalt, komt volgens de onderzoekers van Coveware onder meer omdat criminelen inzien dat zij niet langer astronomische bedragen moeten vragen die bedrijven toch niet kunnen ophoesten. Daardoor stappen de criminelen nu vaker over naar het vragen van meer redelijke losgeldbedragen.
Ook zou de daling van de losgeldprijs het gevolg kunnen zijn dat er steeds minder ‘high value’-doelen zijn die bereid zijn zich te laten afpersen en daarom losgeld betalen, stelt het onderzoek.
De onderzoekers stellen wel dat ransomware nog steeds een groot gevaar is en dat in het afgelopen jaar nog meer dan 1,1 miljard dollar aan losgeld werd betaald.
Lees meer: Ransomwarebetalingen bereiken recordhoogte: meer dan 1 miljard euro
Ransomware-groepen en -aanvalsvectoren
Coveware keek ook naar de meest populaire uitvoerders van ransomware-aanvallen in het eerste kwartaal van dit jaar. Bovenaan staat de Akira-groep, gevolgd door Black Basta en LockBit 3.0 op een gedeelde tweede plaats. LockBit 3.0 heeft een flinke klap gekregen door acties van de FBI en andere veiligheidsautoriteiten.
De ransomwarebendes van Medusa, Phobos en AHV/BlackCat delen de derde plaats. Vooral die laatste bende heeft veel terrein verloren, onder meer door betaalgeschillen met affiliates en een exit-strategie.
Last, but not least keken de onderzoekers naar de meest voorkomende aanvalsvectoren. Remote access-kwetsbaarheden, zoals CVE-2023-20269, CVE-2023-4966, en CVE-2024-1708-9 waren de grootste oorzaak. Ook nieuwe aanvalsvectoren zijn licht in opkomst. Ransomware-aanvallen via phishing en softwarekwetsbaarheden daalden juist in het afgelopen kwartaal.
Lees ook: LockBit hapert onder druk van concurrenten en copycats