Geld betalen aan ransomware criminelen is en blijft een omstreden zaak. De eisen van ransome komen immers maar op één ding neer, namelijk geld eisen met dreigementen. Meestal laten aanvallers al uw kostbare bestanden staan waar ze oorspronkelijk stonden, zodat u ze kunt zien en de indruk wordt gewekt dat u ze gewoon kunt openen wanneer u maar wilt… Maar bij een poging tot openen van het bestand bent u in de val gelopen.
Wie geconfronteerd wordt met afpersing of chantage kan een volgend bericht ontvangen: “We hebben een programma dat uw bestanden zal ontcijferen, en we hebben de decoderingssleutel die uniek is voor uw netwerk. We verkopen u deze voor wat wij een redelijke prijs vinden. Neem contact met ons op om te weten hoeveel u moet betalen.”
Dit klinkt behoorlijk dreigend en soms stelen de aanvallers zelf eerst een selectie van uw bestanden, meestal door uw gegevens te uploaden naar een versleutelde cloudback-up waarvan alleen zij de toegangscode hebben. Vervolgens voegen ze dit toe aan uw afpersingseisen, waarbij ze u waarschuwen dat als u probeert de versleutelde bestanden te herstellen, bijvoorbeeld door uw back-ups te gebruiken, zij de gestolen gegevens op een snode manier zullen gebruiken. Ze dreigen onder andere met het lekken van de informatie naar de toezichthouder voor gegevensbescherming of ze verkopen de gegevens aan andere misdadigers.
Veel ransomware bendes hebben eigen nieuwswebsites waar ze beweren ‘statusupdates’ te publiceren over bedrijven die weigerden te betalen, met als doel om toekomstige slachtoffers aan te moedigen om een deal te sluiten en het chantagegeld te betalen in plaats van blootstelling te riskeren. Daarnaast breken ransomware-criminele meestal niet meteen in op uw netwerk en versleutelen zij de bestanden niet direct. Ze kunnen dagen of zelfs weken bezig zijn met slechts rondneuzen voordat ze tot echte actie overgaan.
Het doel van de aanvallers is om uw vermogen om de schade zelf te herstellen te ruïneren en daarmee de kans te vergroten dat u vastzit aan een ‘deal’ met hen om uw bedrijf weer op de rit te krijgen. Echter gaat het niet alleen om de gegevens terug te krijgen en de bedrijfsactiviteiten weer op te starten. De veronderstelling is nog vaak dat de betaling van losgeld de gestolen gegevens kan beschermen. Dit is niet waar, de vooruitbetaling is namelijk in de meeste gevallen een lokmiddel om criminele partners aan te trekken die over gewenste vaardigheden beschikken, waaronder ervaring met het gebruik en misbruik van gangbare back-upprogramma’s. Zij kunnen hun actie dan gerichter voorbereiden zodat de werkelijke aanval succesvoller is.
Verschillende ransomware onderzoeken tonen aan dat het betalen van de oplichters u geen geld zal besparen. Naast het betalen van de chantage moeten er ook vrijwel altijd nog steeds herstelwerkzaamheden uitgevoerd worden. Sommige slachtoffers betaalden en kregen helemaal niets terug en zeer weinig slachtoffers slaagden erin alles te herstellen.
Betaling kan een mislukking zijn
Er zijn geen garanties dat de criminelen zullen helpen om alle gegevens terug te krijgen, zelfs niet als ze echt willen dat het proces werkt om als ‘reclame’ te dienen voor toekomstige slachtoffers. Zoals hierboven al genoemd, betalen sommige slachtoffers en krijgen ze helemaal niets terug en maar heel weinig slachtoffers die wel betalen krijgen uiteindelijk alles terug.
De helft van diegenen die betalen, verliezen sowieso ten minste één derde van hun gegevens.
Betaling verhoogt over het algemeen de totale kosten van herstel
De herstel tools zijn niet onmiddellijk en automatisch, dus u dient bij de chantagekosten de operationele kosten op te tellen die het daadwerkelijk inzetten en gebruiken van de tools. Die operationele kosten zullen waarschijnlijk minstens even hoog zijn als de kosten die u zou moeten maken om uw eigen back-ups te herstellen.
Conclusie: betalen is veelal geen goed idee, moet een laatste redmiddel zijn en dient soms alleen om een slechte zaak erger te maken. Wees voorbereid op een ransomware aanval en betaal niet meteen wanneer losgeld wordt geëist.