Enisa: Meerderheid van ransomware-infecties wordt niet gemeld aan autoriteiten

De meeste ransomware-infecties op Europese bedrijven en instellingen worden niet gemeld aan de autoriteiten. Ook is niet bekend hoeveel slachtoffers besmet raken en of zij het losgeld betalen. Dat zou de aanpak van ransomware bemoeilijken.

Enisa, het agentschap voor cybersecurity van de Europese Unie, schrijft in een rapport dat het weinig inzicht heeft in slachtoffers van ransomware. Het bureau keek voor het onderzoek naar 623 incidenten in zowel de EU als het Verenigd Koninkrijk en de Verenigde Staten die het afgelopen jaar hebben plaatsgevonden. In totaal werd tien terabyte aan data gestolen. In 58 procent van de gevallen werden ook gegevens gestolen van medewerkers. Enisa gebruikte rapporten van bedrijven en overheden, media en blogposts en in sommige gevallen berichten op het dark web.

Een opvallende conclusie in het rapport is dat ENISA voor 94.2 procent van alle incidenten niet heeft kunnen vaststellen of het bedrijf het losgeld heeft betaald. In 37.88 procent van de gevallen werden later gegevens gedeeld op internet die tijdens de aanval waren gestolen. "Hieruit kunnen we concluderen dat 61.12 procent van alle bedrijven overeenstemming heeft bereikt met de aanvallers of een andere oplossing heeft gevonden", schrijven de onderzoekers. Bij ransomware-infecties is het de norm geworden dat aanvallers ook dreigen met het openbaar maken van gestolen gegevens, als extra drukmiddel op het slachtoffer. Dit gebeurt in de overgrote meerderheid van de gevallen.

De onderzoekers zeggen ook dat het aantal bestudeerde gevallen "slechts het topje van de ijsberg" is. In werkelijkheid zou het aantal ransomware-infecties veel hoger zijn. Volgens de onderzoekers is dit moeilijk vast te stellen omdat veel slachtoffers hun incidenten niet openbaar maken of niet aangeven bij de autoriteiten.

Dat maakt verder onderzoek naar ransomware ook lastig, zegt Enisa. In veel gevallen kunnen of willen de slachtoffers niet zeggen hoe de aanvallers binnenkwamen. In combinatie met het feit dat ransomware-betalingen vaak in het geheim worden gedaan, "helpt die aanpak niet bij het bestrijden van ransomware, integendeel", schrijven de onderzoekers.

ENisa pleit voor betere regels die vereisen dat cyberincidenten worden gemeld. Onder de Netwerk- en Informatiebeveiligingsrichtlijn of NIS2 wordt dit meer mogelijk. Dit is een Europese verordening die momenteel in de maak is en die bedrijven binnen bepaalde sectoren verplicht om cyberincidenten te melden.