Wat zijn de werkelijke kosten van een ransomware aanval?

De totale financiële strop van dergelijke criminele activiteiten is vele malen groter als je ook de indirecte kosten meeneemt. SentinelOne zet de zes factoren die de totale kosten van ransomware-aanvallen bepalen op een rij.

1. Directe kosten: het losgeld

Natuurlijk is het losgeldbedrag het meest zichtbaar en het eerste waar we aan denken. Maar het is niet de enige factor. En zelfs niet altijd de belangrijkste in de totale ransomware schadepost. In het derde kwartaal van 2019 groeide het gemiddelde losgeldbedrag met 13 procent naar 38.000 euro vergeleken met 33.500 euro in het tweede kwartaal.

Ryuk ransomware is grotendeels verantwoordelijk voor deze massale toename aan ransomware losgeld. Deze malware operators eisten gemiddeld 265.000 euro voor het vrijgeven van systemen. Ter vergelijking: andere criminele bendes vroegen gemiddeld 9.200 dollar.

2. Indirecte kosten: gedwongen downtime

Indirecte kosten zijn de kosten van operationele versoringen die veroorzaakt worden door een ransomware aanval. Dergelijke verstoringen kosten bedrijven vaak vijf tot tien keer meer dan de directe kosten van een aanval.

Het precies berekenen van de werkelijke kosten van downtime is vaak lastig, omdat een onderbreking uiteenlopende effecten kan hebben bij bedrijven. Downtime kostte in het MKB in de VS in 2019 naar schatting gemiddeld 130.000 euro, een stijging van meer dan 200 procent ten opzichte van het gemiddelde van 43.200 euro in het jaar daarvoor. Dat bedrag is ruim 20 keer hoger dan het gemiddelde bedrag dat hackers van het MKB als losgeld eisen (5.500 euro).

In de publieke sector is 42 procent van de organisaties de afgelopen 12 maanden slachtoffer geweest van een ransomware incident. En daarvan heeft 73 procent een downtime van twee of meer dagen moeten ervaren. In het bedrijfsleven was volgens een studie van het Ponemon Institute de downtime in het derde kwartaal van 2019 gemiddeld ruim 12 dagen. De totale kosten worden op 683.700 euro geraamd.

3. Indirecte kosten: reputatieverlies

De ransomware aanvallen van vandaag de dag zijn niet anders dan de sluwe cyberaanvallen van voorheen: zeer destructief en zeer zichtbaar. Slachtoffers hebben geen andere keuze dan aan de buitenwereld bekend te maken dat het cybercriminelen gelukt is de organisatie binnen te dringen.

Dergelijke publicatie resulteert veelal in ophef en afkeuring bij klanten, investeerders en andere stakeholders. De data is in veel gevallen relatief snel te herstellen, maar dat is veel minder het geval met het publieke vertrouwen, vooral wanneer de openbaarmaking niet tijdig en op een transparante manier wordt gedaan. Dit kan negatieve gevolgen hebben voor het behoud van klanten, acquisitie van toekomstige klandizie en zelfs de beurswaarde van een bedrijf.

4. Indirecte kosten: aansprakelijkheid

Ransomware aanvallen kunnen voor zeer ontevreden klanten zorgen. Die ontevreden klanten kunnen juridische stappen zetten om compensatie te eisen. Dit is wat er gebeurde in de Amerikaanse staat Alabama bij het bedrijf DCH Health Systems na een ransomware aanval op Alabama Ziekenhuizen in december 2019. Na de aanval hebben patiënten een schadeclaim ingediend tegen het bedrijf wegens privacy schending, nalatigheid en oponthoud van medische zorg.

5. Indirecte kosten: bijkomende schade

Zoals bij iedere type cyberinfectie moeten slachtoffers voorbereid zijn op een hele reeks mogelijke gevolgen, inclusief schade die niet direct het resultaat is van de aanval zelf. Zo vertelt Brian Krebs, werden bij een bedrijf dat in eerste instantie werd geïnfecteerd met Ryuk ransomware, de identiteitsbewijzen van medewerkers van het bedrijf gestolen en vervolgens voor allerlei soorten malafide activiteiten gebruikt, gedeeltelijk door de inzet van een andere beruchte malware, Emotet.

6. Indirecte kosten: dataverlies

Helaas is het betalen van het losgeld geen garantie op het veilig terughalen van de versleutelde data. Onlangs is ontdekt dat het mechanisme voor dataherstel dat gebruikt wordt door Ryuk een defect heeft, waardoor het herstel van bepaalde bestandtypes onvolledig is. De data gaat hierbij dan alsnog verloren, terwijl het gevraagde losgeld wel degelijk betaald werd.

Van andere gevallen is bekend dat hackers er soms gewoon vandoor gaan met het losgeld en niet eens de moeite nemen om de decoderingssleutels vrij te geven. Dan is er én een flinke kostenpost én is data voor altijd verloren.