Ransomware aanvallen meer dan verdubbeld in Europa in 2020

20 september 2021
Ransomware aanvallen meer dan verdubbeld in Europa in 2020

In 2020 waren 80% van alle cyberclaims op het Europese vasteland het gevolg van kwaadaardige aanvallen. Aanvallen van ransomware zijn verdubbeld tussen 2016-2020.

Volgens een rapport dat vandaag is gepubliceerd door Marsh in samenwerking met Microsoft, het advocatenkantoor CMS en Kivu, een wereldwijd cyberbeveiligingsbedrijf, waren kwaadaardige cybergebeurtenissen verantwoordelijk voor 80% van de cyberclaims op het Europese vasteland vorig jaar tegen 70% in 2019.

De Ransomware-aanvallen waren goed voor 32% van de cyberclaims in 2020. Dat is meer dan het dubbele van wat in de periode 2016-2020 werd geregistreerd (14%). In totaal zijn de cyberverzekeringsclaims in continentaal Europa in 2020 met 8% gestegen.

Impact op de cyberverzekeringstarieven

Het rapport, The Changing Face of Cyber Claims 2021, analyseert de door Marsh beheerde cyberverzekeringsclaims op het vasteland van Europa van 2016-2020. Te midden van de toenemende frequentie en ernst van cyberaanvallen, stegen de tarieven voor cyberverzekeringen in het eerste kwartaal van 2021 met gemiddeld 39% voor alle sectoren binnen het klantenbestand van Marsh op het Europese vasteland, tegenover een stijging van 37% in het vierde kwartaal van 2020.

De meest getroffen sectoren zijn nog altijd sinds 2019 en in deze volgorde, de financiële instellingen, productiebedrijven, communicatie, media & technologie en de professionele diensten. Desondanks meldt Marsh dat dat het aantal meldingen in de top vier van sectoren in 2020 aanzienlijk is gestegen met driecijferige recordcijfers: productie (104%); communicatie, media & technologie (153%); en professionele diensten (200%).

Welke bedrijven worden het meest getroffen?

Hoewel de meerderheid van de Marsh klanten die cyberpolissen hebben afgesloten kleine en middelgrote bedrijven zijn (74%), zijn de meest getroffen klanten in termen van cyber meldingsfrequentie zeer grote bedrijven.

Dit kan volgens Marsh echter ook het gevolg zijn van het feit dat deze grote bedrijven vaker consistent notificeren ten gevolge van hun sterkere interne risicobeheerprocessen of IT-capaciteiten.

Wanneer men focust op kwaadaardige cybergebeurtenissen zijn het de productiebedrijven die de hoogste frequentie van cyberaanvallen kenden. Volgens Marsh is een mogelijke uitleg hiervoor de hoge kosten verbonden aan een bedrijfsonderbreking die de productiebedrijven zeer ontvankelijk maakt voor losgeld-eisen en hierdoor een aantrekkelijk doelwit zijn.

De evolutie in cybercriminaliteit

Cybercriminaliteit is een georganiseerde misdaad die opereert als een bedrijf en heeft net als elk ander bedrijf behoefte aan innovatie om winstgevend en succesvol te zijn. De focus is momenteel verlegd naar ransomware en phising.

Anne-Sophie Coppens, Cyber Practice Leader voor Marsh België, licht toe ”Onder cyberbeveiligingsprofessionals heerst de algemene opvatting dat "een crisis nooit verloren mag gaan". We moeten de verzamelde informatie beter benutten om de investeringsbehoeften te bepalen. Cybercriminelen gebruiken dezelfde filosofie, ze proberen hun beproefde tactieken en malware te combineren met de menselijke nieuwsgierigheid en behoefte aan actuele informatie. Zo maakten bijvoorbeeld cybercriminelen handig gebruik van het COVID-19 thema om de angst voor en de stroom aan informatie over de pandemie als sociaal lokaas te gebruiken. Naast deze menselijke zwakheden buiten de cybercriminelen ook de zwakke organisatorische verdedigingsmechanismen uit. Het is nu niet meer de vraag ‘of’ dan wel ‘wanneer’ een organisatie zal betrokken worden bij een cyberincident”

Waar gaat het losgeld naar toe?

KIVU traceerde de ransomware aanvallen van de Egregor ransomware groep en volgde de buit van de losgeldbetalingen. Door het afgeperste geld te volgen vanaf de initiële betalende bedrijfsorganisatie ontdekte KIVU dat er een voorafgaandelijk afgesproken winstverdeling was in functie van de hiërarchie onder de losgeld groepsleden. Filialen wassen het afgeperste geld wit via een aantal mechanismen, waaronder risicovolle uitwisselingen door verschillende landen en darknet marktplaatsen. Het grootste deel van de winst binnen darknet marktplaatsen wordt gestuurd naar Hydra, Ruslands meest prominente marktplaats voor illegale goederen en diensten.

De EU-GDPR en de 72 uur tijdklok

De gemiddelde ransomware-aanval treft regelmatig IT-systemen die gebruikt worden voor de verwerking van persoonlijke gegevens. Hierdoor vallen deze incidenten binnen het toepassingsgebied van de EU General Data Protection Regulation of GDPR. Deze bevat meldingsverplichtingen van niet langer dan 72 uur jegens niet alleen de toezicht houdende autoriteiten, maar eveneens de getroffen individuen wanneer het een kritische aanval is. Deze notificatie is in het algemeen de meest urgente te nemen actie door de getroffen bedrijven.

2020 toonde een significante toename van ransomware incidenten waarbij de aanvallers verder gingen dan de karakteristieke werkwijze van het versleutelen van gegevens. Dikwijls kwam er een dreigement om de gegevens publiekelijk te maken of deze te verkopen wanneer het slachtoffer van de aanval weigert te voldoen aan het losgeld .

Erik Jonkman, Cybersecurity Lawyer, CMS: “De aanhoudende opkomst van ransomware dwingt organisaties om een effectieve juridische reactie op cyberincidenten te implementeren en te erkennen dat juridisch risicobeheer veel verder gaat dan naleving van privacyregelgeving zoals de EU-GDPR. Ransomware-incidenten kunnen gemakkelijk leiden tot civiele geschillen tussen organisaties, vooral wanneer hun bedrijfsprocessen sterk met elkaar verweven zijn.”

Houd uw zakenpartners in de gaten

In netwerkeconomieën zijn organisaties en hun bedrijfsprocessen sterk met elkaar verbonden en geïntegreerd. Een verstoring van de IT infrastructuur van één organisatie kan gemakkelijk leiden tot ernstige effecten op de infrastructuur van verwante organisaties en ransomware-incidenten gaan zelden onopgemerkt voorbij aan klanten, leveranciers of andere zakenpartners. Elke organisatie moet daarom de nodige stappen ondernemen om rekening te houden met relevante derde partijen in elke fase van het beheer van het incident. Zo niet is er een verhoogd risico om de controle te verliezen over het verhaal met niet alleen reputatieschade tot gevolg maar ook verlies van zakelijke belang of zelfs juridische escalatie zoals een beëindiging van contract of civiele schadeclaims.

Anne-Sophie Coppens, besluit: “Het opstellen van noodplannen en -protocollen en het opzetten van incident response teams die snel kunnen worden ingezet om de crisis te beheersen, zijn van cruciaal belang. Hoewel betere cyberbeveiliging en -paraatheid de eerste verdedigingslinie vormen, kan een cyberverzekering helpen de ernst van een incident te beperken, bedrijven te ondersteunen tijdens de onderbreking en in het herstel, en de veerkracht te vergroten. Naast het risico rond ransomwareaanvallen, mag men niet vergeten dat een incident, veroorzaakt door een werknemer of een derde partij, zonder dat er een kwaadaardig opzet is, eveneens deel uitmaakt van het cyber risico en ook voor zware gevolgen kan zorgen.”

Bron: Marsh