'Betalen losgeld ransomware vaak enige optie om faillissement te voorkomen'
Bedrijven die slachtoffer worden van ransomware zijn vaak gedwongen om de verantwoordelijke criminelen losgeld te betalen, omdat ze anders failliet gaan. Dat stelt Tom Meurs, specialist cybercriminaliteit bij de politie, die meer dan vijfhonderd ransomware-incidenten onderzocht. Meurs publiceerde een jaar geleden onderzoek waaruit blijkt dat bedrijven met een cyberverzekering vaak meer losgeld betalen dan bedrijven zonder cyberverzekering. Het gemiddelde losgeldbedrag ligt 2,8 keer hoger.
Uit het onderzoek blijkt ook dat bedrijven met een goed ingericht back-upsysteem 27 keer minder vaak losgeld betalen. “Cybercriminelen die in het netwerk van een slachtoffer zitten, gaan bewust op zoek naar back-ups, en verwijderen die”, aldus Meurs tegenover het Digital Trust Center. “Alleen het hebben van back-ups is dus niet voldoende om je bestanden terug te halen. Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen."
De overheid adviseert bedrijven geen losgeld aan criminelen te betalen. Het onderzoek laat zien dat bedrijven in de praktijk vaak geen andere keuze hebben. "In grofweg vijf van de honderd gevallen waarin wordt betaald, hebben slachtoffers wel de mogelijkheid om op een andere manier te herstellen dan te betalen, maar kiezen ze er toch voor te betalen – bijvoorbeeld om sneller te herstellen of reputatieschade te voorkomen", merkt Meurs op. "In de overige 95 gevallen is er geen andere optie om te herstellen. In die gevallen is hun hele it-infrastructuur kapot en niet meer herstelbaar, waardoor het betalen van losgeld de enige optie is om een faillissement te voorkomen."
Reacties (25)
14-04-2025, 09:56 door
Anoniem
Dan hebben de bedrijven geluk dat het geen wiperware is. Blijkt toch dat er veel bedrijven totaal niet voorbereid zijn...
14-04-2025, 09:59 door
Anoniem
Misschien voortaan wat frequenter backups maken in plaats van achter de feiten aan te lopen?
14-04-2025, 10:06 door
Anoniem
Dan heb je toch wat verkeerd gedaan - single point of failure.
Het had je ook kunnen overkomen bij blikseminslag - blijkbaar. En daar kun je geen losgeld voor betalen.
Het had je ook kunnen overkomen bij blikseminslag - blijkbaar. En daar kun je geen losgeld voor betalen.
14-04-2025, 10:26 door
Anoniem
Dat bedrijven met een cyberverzekering sneller betalen snap ik wel, je bent er voor verzekerd. Daarmee kan ik wel inschatten dat deze verzekeringen duur zijn omdat er veel geld in 1 keer moet worden uitgekeerd.
Bedrijven moeten verplicht worden een goede back-up in te richten. Er word niet gesproken over hoeveel bedrijven er werkelijk betalen maar uit onderzoek project Melissa zouden er naar schatting 121 bedrijven zijn getroffen en ongeveer 30% hiervoor hebben betaald. dit maakt dat er 40 bedrijven zijn die vorig jaar losgeld hebben betaald. Meer dan een verdubbeling van het jaar er voor.
Regel gewoon een goede coldstorage oplossing, sneller teruggezet dan een cloudback-up en kan worden hersteld zonder verbindingen naar buiten.
Bedrijven moeten verplicht worden een goede back-up in te richten. Er word niet gesproken over hoeveel bedrijven er werkelijk betalen maar uit onderzoek project Melissa zouden er naar schatting 121 bedrijven zijn getroffen en ongeveer 30% hiervoor hebben betaald. dit maakt dat er 40 bedrijven zijn die vorig jaar losgeld hebben betaald. Meer dan een verdubbeling van het jaar er voor.
Regel gewoon een goede coldstorage oplossing, sneller teruggezet dan een cloudback-up en kan worden hersteld zonder verbindingen naar buiten.
14-04-2025, 10:30 door
Anoniem
Door Anoniem: Misschien voortaan wat frequenter backups maken in plaats van achter de feiten aan te lopen?
Tom Meurs Cybercriminelen die in het netwerk van een slachtoffer zitten, gaan bewust op zoek naar back-ups, en verwijderen die
Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
Online backups zijn waardeloos als ze makkelijk vernield kunnen worden.Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
14-04-2025, 10:34 door
Briolet
In de overige 95 gevallen is er geen andere optie om te herstellen. In die gevallen is hun hele IT-infrastructuur kapot en niet meer herstelbaar, waardoor het betalen van losgeld de enige optie is om een faillissement te voorkomen.
Ik vind het een dubieus onderzoek omdat er gesteld wordt dat een niet meer herstelbare IT infrastructuur overeenkomt met een faillissement. Er zijn genoeg voorbeelden die het tegendeel bewijzen.
14-04-2025, 10:36 door
Anoniem
Dit is gewoon een complex vraagstuk die vraag om een risicogerichte aanpak. Kijk alleen al naar een losgekoppelde back-up. Daarmee ben je er niet. Wat als de ransomware al een tijdje binnen is en gewoon netjes is gebackupped. Na de restore kan de ransomware gewoon weer zijn werk hervatten. Zelf maak ik hiervoor een veel uitgebreidere risicoanalyse.
14-04-2025, 11:16 door
Anoniem
Door Anoniem: Dit is gewoon een complex vraagstuk die vraag om een risicogerichte aanpak. Kijk alleen al naar een losgekoppelde back-up. Daarmee ben je er niet. Wat als de ransomware al een tijdje binnen is en gewoon netjes is gebackupped. Na de restore kan de ransomware gewoon weer zijn werk hervatten. Zelf maak ik hiervoor een veel uitgebreidere risicoanalyse.
Welke methode gebruik je hiervoor?
14-04-2025, 11:20 door
Anoniem
Ik ben wel benieuwd hoe dit wordt afgevangen door MSP's. Want veel bedrijven hebben inmiddels niet langer zelf hun IT onder beheer, maar laten dat doen door een MSP.
14-04-2025, 12:26 door
Anoniem
Door Anoniem:
Alles kan vernield worden, maar de kans dat ook een backup tegelijkertijd vernield wordt is verwaarloosbaar als men het een beetje veilig aanpakt.Door Anoniem: Misschien voortaan wat frequenter backups maken in plaats van achter de feiten aan te lopen?
Tom Meurs Cybercriminelen die in het netwerk van een slachtoffer zitten, gaan bewust op zoek naar back-ups, en verwijderen die
Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
Online backups zijn waardeloos als ze makkelijk vernield kunnen worden.Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
Daarom is het zo belangrijk ze offline te bewaren, of airgapped.
En anders online buiten het systeem om.
Daarvoor hebben ze personeel om daarvoor te zorgen.
Zo moeilijk is het echt niet.
Zodra bedrijven gaan betalen voor criminelen maken ze het probleem alleen maar erger, en niet alleen voor hen zelf.
Betalen aan criminelen door bedrijven moet gewoon verboden worden.
14-04-2025, 12:34 door
Anoniem
"Betalen losgeld ransomware vaak enige optie om faillissement te voorkomen"
Dat is echt onzin.
Dit noemen ze ook wel dweilen met de kraan open...
Hoe meer geld er naar black hats gaat, des te erger het probleem wordt opnde lange duur.
Voorkomen doe je door middel van goede beveiliging en backups, niet door betalingen aan tuig, integendeel.
Dat is echt onzin.
Dit noemen ze ook wel dweilen met de kraan open...
Hoe meer geld er naar black hats gaat, des te erger het probleem wordt opnde lange duur.
Voorkomen doe je door middel van goede beveiliging en backups, niet door betalingen aan tuig, integendeel.
14-04-2025, 12:42 door
Anoniem
Door Anoniem: Ik ben wel benieuwd hoe dit wordt afgevangen door MSP's. Want veel bedrijven hebben inmiddels niet langer zelf hun IT onder beheer, maar laten dat doen door een MSP.
Een MSP doet wat er afgesproken is in het Contract aka SLA. Als de klant geen backup vraagt, zal de MSP geen backup inrichten.
14-04-2025, 13:19 door
Anoniem
Op https://utwente.yuja.com/Library/search/WatchVideo/4538188 is een video te vinden met een uitleg van het onderzoek, de verdediging en de promotie van Tom Meurs.
14-04-2025, 13:27 door
Anoniem
Vaak worden bestanden al langer versleuteld voor de ransomware zich openbaard waardoor ook de backups versleuteld zijn en dus niet meer bruikbaar.
14-04-2025, 15:04 door
Anoniem
Door Anoniem:
Twee vragen:Door Anoniem: Ik ben wel benieuwd hoe dit wordt afgevangen door MSP's. Want veel bedrijven hebben inmiddels niet langer zelf hun IT onder beheer, maar laten dat doen door een MSP.
Een MSP doet wat er afgesproken is in het Contract aka SLA. Als de klant geen backup vraagt, zal de MSP geen backup inrichten.1. Hoe moet een kleine zelfstandige weten wat ransomware is?
2. Heeft een MSP dan geen zorgplicht?
14-04-2025, 15:16 door
-Peter-
Door Anoniem: Misschien voortaan wat frequenter backups maken in plaats van achter de feiten aan te lopen?
De frequentie maakt niet uit. Het kan er alleen eerder voor zorgen dat je oude backups moet overschrijven en dan...
Door Anoniem: Dit is gewoon een complex vraagstuk die vraag om een risicogerichte aanpak. Kijk alleen al naar een losgekoppelde back-up. Daarmee ben je er niet. Wat als de ransomware al een tijdje binnen is en gewoon netjes is gebackupped. Na de restore kan de ransomware gewoon weer zijn werk hervatten. Zelf maak ik hiervoor een veel uitgebreidere risicoanalyse.
Je moet ook niet zo maar je back-up terugzetten. Ransomware dringt zich het liefst diep binnen in je systeem cq. OS. Je moet dan ook niet je OS terugzetten. En bij voorkeur zelfs schone hardware gebruiken. Lukt dat niet, dan moet je in ieder geval zorgen voor een schoon, leeg systeem. Daar installeer je je OS op en vervolgens haal je je data terug. Eventuele software haal je ook liever niet terug van de back-up. Die installeer je opnieuw en dan haal je eventueel de configuratie van de back-up.
Door Anoniem: Vaak worden bestanden al langer versleuteld voor de ransomware zich openbaard waardoor ook de backups versleuteld zijn en dus niet meer bruikbaar.
Ja, vroeger zat ransomware graag wat langer in het systeem. Maar dan nog, als de criminele besloten om de aanval te starten, versleutelen ze het liefst zo veel mogelijk in zo kort mogelijke tijd. Tegenwoordig worden detecties ook sneller en slimmer. Als je te lang wacht, wordt je gedetecteerd en opgeruimd. Ik zie vaak dat ransomware binnen enkele minuten tot enkele uren na de initiele infectie actief worden.
Die "enkele uren" is meestal omdat het zo lang duurt om de data "veilig te stellen" voor extra afpersing. Soms zie je het ook als ze op een onbelangrijke werkplek terecht zijn gekomen en eerst proberen zich verder te verspreiden. Lukt dat, dan slaan ze gelijk hun slag, want dat verspreiden wordt ook steeds sneller gedetecteerd.
Peter
14-04-2025, 15:55 door
Anoniem
Door Anoniem:
Door Anoniem: Misschien voortaan wat frequenter backups maken in plaats van achter de feiten aan te lopen?
Tom Meurs Cybercriminelen die in het netwerk van een slachtoffer zitten, gaan bewust op zoek naar back-ups, en verwijderen die
Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
Online backups zijn waardeloos als ze makkelijk vernield kunnen worden.Het is belangrijk om back-ups te hebben die niet aangepast kunnen worden door onbevoegden in je netwerk. Offline back-ups zijn daar de meest eenvoudige oplossing voor, maar ik heb ook cloudoplossingen voorbij zien komen.
Totaal niet waar, ooit gehoord van immutable back-ups? En een goed ingerichte cloud back-up kan je als nog niet bij als je toegang heb tot de back-up server. Maar anno 2025 zijn er nog steeds een hele hoop bedrijven die alles maar te duur vinden en voor de goedkopere oplossingen gaan. Tja maar dan is het je eigen schuld als je alles kwijt ben na een ransomware.
Goeie IT beveiliging kost nou eenmaal een hoop geld
14-04-2025, 16:00 door
walmare
Het is helemaal niet erg dat deze bedrijven failliet gaan. Er zijn er toch veel te veel. Die arbeiders zijn ergens anders hard nodig. Decennia lang zijn ze al gewaarschuwd dat je geen consumenten software, die je bij elke Action laptop meekrijg, voor professioneel werk moet gebruiken. Lekker op de blaren zitten. Eigenlijk zou er een lijst moeten komen welke bedrijven zo onverantwoordelijk bezig zijn zodat wij een betere productaankoop kunnen doen.
14-04-2025, 16:46 door
Anoniem
Door Anoniem: Op https://utwente.yuja.com/Library/search/WatchVideo/4538188 is een video te vinden met een uitleg van het onderzoek, de verdediging en de promotie van Tom Meurs.
Bijzonder dat je je 4 jaar kan vermaken met onderzoek doen naar zo'n gigantische open deur.
14-04-2025, 19:24 door
Anoniem
Door Anoniem: Dat bedrijven met een cyberverzekering sneller betalen snap ik wel, je bent er voor verzekerd. Daarmee kan ik wel inschatten dat deze verzekeringen duur zijn omdat er veel geld in 1 keer moet worden uitgekeerd.
Uit het onderzoek van Meurs blijkt ook, dat criminelen hogere losgeldbedragen vragen aan bedrijven, die een cyberverzekering hebben. Daarvoor gaan ze eerst gericht op zoek of het geïnfiltreerde bedrijf een cyberverzekering heeft en hoe hoog de verzekerde bedragen zijn. De ransomware-branche gedraagt zich dus als een parasietensoort, die zorgvuldig in de gaten houdt of de "gastheer" de aanval overleeft (want dan kan er in de toekomst, bij nalatigheid door het bedrijf op het gebied van cybersecurity, weer gebruik van worden gemaakt).
14-04-2025, 19:35 door
Anoniem
Bijzonder dat cybersecurity als zo belangrijk wordt gezien voor groot en klein, maar dat er verrekte weinig wordt gedaan om dat te beslechten. Tenzij je er veel poen tegenaan smijt.
14-04-2025, 19:46 door
Anoniem
Door Anoniem: (..) Zodra bedrijven gaan betalen voor criminelen maken ze het probleem alleen maar erger, en niet alleen voor hen zelf.
Betalen aan criminelen door bedrijven moet gewoon verboden worden.
Verbieden heeft geen zin omdat een groot deel van de ransomware-aanvallen niet wordt gerapporteerd, vooral die op kleine bedrijven. Betalen aan criminelen door bedrijven moet gewoon verboden worden.
Die bedrijven handelen de zaak dus los van politie e.d. af.
"Onze analyse geeft aan dat ongeveer 60% van de ransomware-aanvallen op middelgrote en grote bedrijven niet wordt gerapporteerd, met een nog hogere onderrapportage voor kleine bedrijven."
(Dit geldt voor de periode van 2019 en 2022, in Nederland).
Uit:
https://tmeurs.github.io/papers/PhD_Dissertation_Meurs_jan25.pdf#page189 (Pag. xxvi, Samenvatting aan het begin van het proefschrift)
Jouw voorstel om betaling van losgeld aan criminelen te verbieden betekent ook dat er geen verzekeringen meer mogen worden aangeboden, die de schade van cybersecurity-aanvallen op bedrijven dekken.
Dat heeft nogal wat consequenties want dat begint te lijken op de benadering: brandverzekeringen zijn verboden want iedereen kan ervoor zorgen dat zijn huis niet in de fik vliegt.
14-04-2025, 20:34 door
Anoniem
Door Anoniem:
1. Hoe moet een kleine zelfstandige weten wat ransomware is?
2. Heeft een MSP dan geen zorgplicht?
1: Of je krijgt advies vanuit je MSP. Dat kun je opvolgen of niet. Maar uiteindelijk staat het in een overeenkomst, wat je afgesproken hebt.Door Anoniem:
Twee vragen:Door Anoniem: Ik ben wel benieuwd hoe dit wordt afgevangen door MSP's. Want veel bedrijven hebben inmiddels niet langer zelf hun IT onder beheer, maar laten dat doen door een MSP.
Een MSP doet wat er afgesproken is in het Contract aka SLA. Als de klant geen backup vraagt, zal de MSP geen backup inrichten.1. Hoe moet een kleine zelfstandige weten wat ransomware is?
2. Heeft een MSP dan geen zorgplicht?
2: Natuurlijk. Maar letten klanten op de kosten. De MSP zal zich hiervoor moeten indekken, en dit dus moeten vastleggen en bevestigen. Hij kan niet zomaar zijn eigen backups maken van data zonder toestemming van de klant. MSP kan adviseren, maar niet verplichten .
14-04-2025, 20:38 door
Tintin and Milou
Door walmare: Het is helemaal niet erg dat deze bedrijven failliet gaan. Er zijn er toch veel te veel. Die arbeiders zijn ergens anders hard nodig. Decennia lang zijn ze al gewaarschuwd dat je geen consumenten software, die je bij elke Action laptop meekrijg, voor professioneel werk moet gebruiken. Lekker op de blaren zitten. Eigenlijk zou er een lijst moeten komen welke bedrijven zo onverantwoordelijk bezig zijn zodat wij een betere productaankoop kunnen doen.
Gelukkig heb ik een professionele firewall draaienhttps://www.security.nl/posting/884101/%27Nederland+telt+honderdvijftig+gecompromitteerde+Fortinet-firewalls%27
Gisteren, 07:05 door
e.r.
Door Anoniem:Daarmee ben je er niet. Wat als de ransomware al een tijdje binnen is en gewoon netjes is gebackupped.
Is dat ooit een issue geweest..? Nog nooit een bericht van gezien.Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer Operationele Techniek (ISO)
Heb jij kennis van procesautomatisering en interesse in security en informatiebeveiliging? Solliciteer dan op de functie van (aankomend) Information Security Officer bij Hoogheemraadschap Hollands Noorder-kwartier in Heerhugowaard. Als ISO Opera-tionele techniek draag jij bij aan de veiligheid van onze informatie en systemen.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
