Het ransomwarelandschap onderging aanzienlijke veranderingen in 2024, waarbij cryptocurrency een centrale rol blijft spelen bij afpersing. Het totale volume aan losgeldbetalingen daalde echter in een jaar met ongeveer 35%, als gevolg van toegenomen rechtshandhavingsacties, verbeterde internationale samenwerking en een toenemende weigering van slachtoffers om te betalen.
In reactie hierop veranderden veel aanvallers van tactiek, met nieuwe ransomware-stammen die voortkomen uit rebranded, gelekte of gekochte code, wat een meer adaptieve en flexibele bedreigingsomgeving weerspiegelt. Ransomware-operaties zijn ook sneller geworden, waarbij de onderhandelingen vaak binnen enkele uren na de exfiltratie van gegevens beginnen. Aanvallers variëren van nationale actoren tot ransomware-as-a-service (RaaS) operaties, eenzame operators en groepen die gegevens afpersen, zoals degenen die gegevens afpersen en stelen van Snowflake, een aanbieder van clouddiensten.
Ransomware-activiteit verschuift halverwege het jaar
In 2024 ontvingen ransomware-aanvallers ongeveer $ 813,55 miljoen aan betalingen van slachtoffers, een daling van 35% ten opzichte van het recordjaar 2023 van $ 1,25 miljard, en voor het eerst sinds 2022 daalden de inkomsten uit ransomware.
De waarde die door ransomware-aanvallers werd afgeperst tussen januari en juni 2024 wordt geraamd op $459,8 miljoen, ongeveer 2,38% hoger dan de waarde die werd afgeperst in dezelfde periode in 2023. De eerste helft van 2024 kende ook enkele uitzonderlijk grote betalingen, zoals de recordbrekende betaling van $75 miljoen aan Dark Angels.
Ondanks de kleine halfjaarlijkse toename verwachten de onderzoekers dat 2024 de totalen van 2023 zou overtreffen tegen het einde van het jaar. “Maar gelukkig vertraagde de betalingsactiviteit na juli 2024 met ongeveer 34,9%. Deze vertraging is vergelijkbaar met de halfjaarlijkse daling in losgeldbetalingen sinds 2021 en de algehele daling tijdens de tweede helft van 2024 in sommige soorten crypto-gerelateerde criminaliteit, zoals gestolen geld. Opvallend is dat de daling dit jaar meer uitgesproken is dan in de afgelopen drie jaar.
Datalekken melden meer slachtoffers in 2024 dan in enig jaar daarvoor. Niet alleen waren er meer vermeende slachtoffers, maar volgens Allan Liska, Threat Intelligence Analyst bij Recorded Future, waren er 56 nieuwe datalekken in 2024 – meer dan het dubbele van het aantal dat Recorded Future in 2023 identificeerde. Er zijn echter enkele kanttekeningen te plaatsen bij de informatie over datalekken en wat deze suggereert over het ecosysteem van ransomware.
Incident response gegevens laten zien dat de kloof tussen de gevraagde en betaalde bedragen blijft toenemen; in de tweede helft van 2024 was er een verschil van 53% tussen de twee factoren. Rapportage van bedrijven die reageren op incidenten suggereert dat een meerderheid van de klanten ervoor kiest om helemaal niet te betalen, wat betekent dat de werkelijke kloof groter is dan de onderstaande cijfers suggereren.
Dan Saunders, Director, Incident Response, EMEA bij Kivu Consulting,. “Volgens onze gegevens leidt ongeveer 30% van de onderhandelingen daadwerkelijk tot betalingen of besluiten de slachtoffers om het losgeld te betalen. Over het algemeen worden deze beslissingen genomen op basis van de gepercipieerde waarde van de gegevens die specifiek zijn gecompromitteerd,” verklaarde hij. Lizzie Cookson , Senior Dirctor of inident tresponse bij Coveware: merkte ook op dat, dankzij verbeterde cyberhygiëne en algemene veerkracht, slachtoffers steeds beter in staat zijn om eisen te weerstaan en meerdere opties te onderzoeken om te herstellen van een aanval. “Ze kunnen uiteindelijk besluiten dat een decoderingstool hun beste optie is en onderhandelen om de uiteindelijke betaling te verlagen, maar vaker komen ze erachter dat het herstellen vanaf recente back-ups de snellere en meer kosteneffectieve weg is”, voegde ze eraan toe. De uiteindelijke betalingsbedragen varieerden meestal tussen $150.000 en $250.000, ongeacht de aanvankelijke eisen.
The Chainalysis 2025 Crypto Crime Report
