Veel ransomwareslachtoffers blijken beter te worden in afdingen met hackers, Veel van die slachtoffers betalen daardoor stuken minder dan de eerste eis.
Dat zegt Sophos in de jaarlijkse State of Ransomware-rapportage. Het aantal ransomwareslachtoffers dat losgeld betaalt groeit volgens dat rapport naar het op een na hoogste percentage betalingen in zes jaar tijd. Meer dan de helft (53%) betaalde echter minder dan de oorspronkelijke vraag.
In bijna driekwart (71%) van deze gevallen werd met de hackers onderhandeld, hetzij via de eigen onderhandelingen van de slachtoffers, hetzij met hulp van een derde partij. Slachtoffers reageren dus pragmatischer en herstellen daardoor ook sneller, zo blijkt.
Intussen neemt het bewustzijn rond gijzelsoftware toe, blijkt uit het rapport. Veel bedrijven dekken zich in met betere software. Vaak huren ze ook een incidentresponder in die iets kan doen aan de hoogte van het losgeld, maar ook het herstel kunnen versnellen of aanvallen helemaal stoppen. De mediane losgeldeis daalde tussen 2024 en 2025 met een derde en de daadwerkelijke betaling daalde met de helft. Het gemiddelde losgeld was ongeveer een miljoen dollar. Dit was de helft van het bedrag van het jaar ervoor.
Ransomwareslachtoffers betalen soms ook meer
Wel is het zo dat 28% van de ransomwareslachtoffers juist meer betaalde dan het oorspronkelijke losgeld. In dat soort gevallen stelden hackers vaak aanvullende eisen. Volgens Sophos gebeurde dat vaak omdat aanvallers zich realiseerden dat ze om meer konden vragen of omdat ze gefrustreerd raakten. Andere oorzaken waren gebrek aan back-ups of bedrijven die niet snel genoeg betalen.
Losgeldbetalingen varieerden per branche. De staat en de lokale overheid betaalden gemiddeld $ 2.5 miljoen, de gezondheidszorg het laagste bedrag met $ 150,000. De initiële losgeldeisen varieerden ook flink, afhankelijk van de grootte en omzet van de organisatie. De gemiddelde vraag naar losgeld voor bedrijven met een omzet van meer dan een miljard dollar was bijvoorbeeld vijf miljoen, terwijl bedrijven met een omzet van 250 miljoen dollar of minder lagere bedragen werden geëist: vaak minder dan 350,000 dollar.
Voor het derde jaar op rij waren de belangrijkste technische hoofdoorzaak van aanvallen uitgebuite kwetsbaarheden. Zeker veertig procent van de ransomwareslachtoffers zei dat tegenstanders misbruik maakten van een beveiligingslek waarvan ze zich niet bewust waren.
Personeelsproblemen vaak een van de oorzaken
Bijna twee derde (63%) van de organisaties die slachtoffer werd van ransomware gaf de schuld aan personeelsproblemen als belangrijke reden voor dit soort aanvallen. Gebrek aan expertise werd dan ook vaak genoemd als de belangrijkste oorzaak voor dit soort aanvallen. Dat was vooral zo bij organisaties met meer dan 3.000 mensen. Een gebrek aan mensen of capaciteit werd het vaakst genoemd door organisaties met tussen de 251 en 500 werknemers.
Het goede nieuws is dat 44% van de bedrijven in staat was om de ransomware-aanval te stoppen voordat de gegevens waren versleuteld: het hoogste punt in zes jaar. Gegevensversleuteling stond op het laagste punt in zes jaar, waarbij slechts de helft van de bedrijven hun gegevens versleutelde.
Slechts 54% van de ransomwareslachtoffers gebruikte back-ups om hun gegevens te herstellen. Dit was het laagste percentage in zes jaar. De gemiddelde kosten van herstel daalde echter van $ 2.73 miljoen in 2024 tot $ 1.53 miljoen in 2025.
Bedrijven herstellen dus zich steeds sneller, volgens het Sophos-rapport. Meer dan de helft (53%) herstelde in een week tijd volledig van een ransomware-aanval. Vorig jaar was dat 35%. Ondertussen had slechts 18% meer dan een maand nodig om te herstellen, tegen 34% in 2024.
Tip:
- Voorbereiding op langdurige ICT-verstoringen: een cruciale overheidstaak