Nederlandse bedrijven die in 2024 slachtoffer waren van ransomware hebben vaker losgeld betaald aan cybercriminelen dan in 2023. De ict-sector kende in 2024 bovendien de meeste slachtoffers van gijzelsoftware. In 2023 was dat de sector industrie.
Dat blijkt uit het ‘Jaarbeeld Ransomware 2024‘, dat vandaag gepubliceerd is door Melissa, een samenwerkingsverband waarin Nationaal Cyber Security Centrum (NCSC), de politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven zitting hebben. De incidentinformatie uit het jaarbeeld is gebaseerd op data van het NCSC, de politie en negen beveiligingsbedrijven. Er is gekeken naar 121 unieke incidenten.
Van de Nederlandse bedrijven en organisaties die in 2024 slachtoffer waren van ransomware, is de ict-sector de meest getroffen sector; 24 procent van de aanvallen was op die branche gericht. De absolute toename van zestien naar 29 bedrijven binnen de ict-sector is bijna een verdubbeling ten opzichte van het jaar ervoor. De sectoren handel (20 procent ) en industrie (13 procent) staan nog steeds in de top drie door ransomware geplaagde sectoren. In 2023 waren de sectoren industrie (20 procent) en handel (17 procent) het vaakst slachtoffer waren van een ransomware-aanval.
Losgeld betalen
De bereidheid om over te gaan tot het betalen van losgeld is met elf procent gestegen ten opzichte van 2023. Uit het jaarbeeld komt naar voren dat 29 procent van de slachtoffers in 2024 losgeld betaald heeft aan de cybercriminelen. Volgens het Digital Trust Center (DTC) is die procentuele stijging mogelijk te verklaren door het kleiner aantal slachtoffers in 2024 ten opzichte van 2023. Waar het in 2023 ging om naar schatting 147 unieke incidenten, gaat het in 2024 om mogelijk 121 unieke incidenten. In absolute cijfers gaat het om tien betalende slachtoffers in 2023 en dertien betalende slachtoffers in 2024.
Het DTC adviseert om geen losgeld te betalen. ‘Betalen geeft geen garantie dat je je gegevens terugkrijgt of dat ze ongewijzigd zijn. Daarnaast loop je het risico opnieuw afgeperst te worden en steun je cybercriminelen. Slachtoffers die betalen, krijgen soms te maken met aanvullende eisen of worden later opnieuw getroffen.’
Account
In de meeste gevallen ging dit via een account take-over (38 procent). Hierbij neemt een aanvaller de volledige controle over een account. Dit gebeurt vaak via gestolen inloggegevens, zoals een geslaagde phishingaanval waarbij logingegevens buitgemaakt zijn of doordat een wachtwoord gekraakt of gelekt is. De aanvaller kan dan wachtwoorden wijzigen, financiële transacties uitvoeren en persoonlijke gegevens misbruiken. Bij een derde van alle ransomware-incidenten verkreeg de aanvaller toegang tot de organisatie door het misbruiken van beveiligingslekken en kwetsbaarheden.
Deze vormen van ongeoorloofde toegang zijn vaak te voorkomen, stelt DTC. Sterke, unieke wachtwoorden die zijn voorzien van multi-factorauthenticatie zijn simpele maatregelen die het moeilijker maken om een account over te nemen. Het op tijd installeren van updates helpt bij het dichten van beveiligingslekken.
Cactus zorgt voor veel slachtoffers
Ransomwaregroepering Cactus was in 2024 verantwoordelijk voor een aanzienlijke hoeveelheid slachtoffers in Nederland. Uit een gezamenlijke analyse binnen project Melissa bleek dat Cactus misbruik had gemaakt van een kwetsbaarheid in Qlik Sense Server. Het scannen op kwetsbare servers en het informeren van potentiële slachtoffers hielp de mogelijke impact in Nederland te verminderen. Het DTC heeft het afgelopen jaar bedrijven met een op het internet aangesloten Qlik Sense-server genotificeerd.
