Arctic Wolf: 'Onderhandelen met cybercriminelen soms noodzakelijk'
Bij ransomware-onderhandelingen met cybercriminelen heeft beveiligingsbedrijf Arctic Wolf losgeldbetalingen gemiddeld met 67% weten te verlagen. Als ook organisaties die uiteindelijk niet betaalden worden meegerekend, bedragen de totale besparingen 94% ten opzichte van de oorspronkelijke eisen. Het bedrijf benadrukt dat het klanten afraadt losgeld te betalen, maar dat de uiteindelijke beslissing bij de getroffen organisatie ligt. Wanneer slachtoffers toch kiezen voor betaling, kan professionele ondersteuning het bedrag aanzienlijk verlagen in vergelijking met organisaties die zelfstandig onderhandelen.
Dit blijkt uit het Arctic Wolf 2026 Threat Report, gebaseerd op analyses van ransomware-incidenten wereldwijd. Er bestaan geen officiële, branchebrede cijfers over ransomware-betalingen, omdat veel slachtoffers niet openbaar maken of ze hebben betaald – en zo ja, welk bedrag. Uit onafhankelijk onderzoek komt naar voren dat ongeveer 30% van de getroffen organisaties het volledige losgeldbedrag voldoet. Een Brits onderzoek toonde bovendien aan dat 18% tot 20% van de slachtoffers gemiddeld 103% van het oorspronkelijke bedrag betaalde, inclusief kosten voor de aankoop en overdracht van cryptovaluta.
Onderhandelen vereist specialistische kennis
Ransomware-onderhandelingen zijn geen improvisatie: ze vragen om gedetailleerde informatie over de aanvalsgroep, hun geschiedenis, bereidheid om eisen te verlagen en juridische status. Onderhandelaars van Arctic Wolf identificeren eerst welke groep verantwoordelijk is. Als er banden blijken met gesanctioneerde regimes of terroristische organisaties, wordt het slachtoffer geïnformeerd dat betaling volgens internationale wetgeving verboden is. In dergelijke gevallen stopt het onderhandelingsproces en richt de focus zich op herstel.
Wanneer onderhandelen wel is toegestaan, beoordelen specialisten of er daadwerkelijk data zijn gestolen en of deze waardevol zijn. In 98% van de ransomwaregevallen stelen aanvallers data, waardoor slachtoffers vaak betalen om publicatie te voorkomen – niet om data te ontsleutelen. Bij zwak bewijs of beperkte waarde van de data wordt betalen afgeraden.
De onderhandelingsstrategie hangt af van de groep: sommige weigeren kortingen, anderen verlagen hun eisen met enkele procenten, en weer anderen accepteren minder dan 10% van het oorspronkelijke bedrag. Kennis over de aanvallers is cruciaal om de uitkomst te beïnvloeden.
Risico’s en nieuwe dreigingen
Cybercriminelen zijn niet altijd betrouwbaar. Arctic Wolf signaleerde incidenten waarbij analisten bij het terughacken van aanvallers data aantroffen die slachtoffers dachten te hebben verwijderd. Zelfs als data niet direct worden gelekt, kunnen ze worden bewaard voor latere afpersing.
Een nieuwe dreiging is Violent crime-as-a-Service, waarbij groepen als The Com samenwerken met lokale georganiseerde misdaad om fysieke druk uit te oefenen op medewerkers van slachtoffers. Anonimiteit van onderhandelaars is hierbij essentieel.
“Bij Arctic Wolf sluiten wij ons aan bij de aanbevelingen van wetgevers en overheden: indien mogelijk zou losgeld niet betaald moeten worden. Toch ligt de uiteindelijke keus altijd bij de slachtofferorganisatie”, zegt Christopher Fielder, Field CTO bij Arctic Wolf. “In tegenstelling tot veel incidentresponsbedrijven die zich voornamelijk richten op technische beheersing en herstel, voert Arctic Wolf onderhandelingen volledig intern uit. De onderhandelaars van Arctic Wolf worden volledig geïntegreerd in de organisatie van het slachtoffer en communiceren met de daders alsof ze interne vertegenwoordigers zijn. Hiermee kunnen we onze klanten optimaal ten dienst zijn en hen helpen om de impact van een ransomware-aanval te beperken.”
Meer over Arctic Wolf
Over Wouter Hoeffnagel
