Wouter Hoeffnagel - 23 september 2024

Gemiddelde losgeldbetaling onderwijsinstellingen loopt in de miljoenen

Organisaties in het lager onderwijs betalen gemiddeld 6,6 miljoen dollar losgeld na ransomware. In het hoger onderwijs ligt dit bedrag op 4,4 miljoen dollar. Dit blijkt uit een jaarlijkse sectorrondvraag van Sophos. 55 procent van de respondenten uit het lager onderwijs en 67 procent van hun collega’s uit het hoger onderwijs meldt dat hun organisatie meer heeft betaald dan aanvankelijk geëist werd.

Gemiddelde losgeldbetaling onderwijsinstellingen loopt in de miljoenen image

Ransomware-aanvallen drukken zeker hun stempel, aangezien slechts 30% van de slachtoffers in zowel lager als hoger onderwijs in staat was om binnen één week of sneller te herstellen. Vorig jaar was dat nog 33% in het lager en 40% in het hoger onderwijs. Die vertraagde herstelperiode heeft wellicht te maken met het feit dat onderwijsinstellingen met beperkte teams en middelen moeten werken. Daardoor hebben ze het lastiger om dit proces te coördineren.

Veel druk

“Helaas zijn scholen, universiteiten en andere onderwijsinstellingen als doelwit verantwoording verschuldigd aan gemeenten, gemeenschappen en de studenten zelf. Dat zorgt inherent voor veel druk wanneer ze door ransomware worden getroffen en gedestabiliseerd. Onderwijsinstellingen voelen zich verantwoordelijk om open te blijven en hun diensten aan gemeenschappen te blijven leveren. Die twee factoren zijn zeker drijfveren voor slachtoffers om te betalen”, zegt Chester Wisniewski, Director, Field CTO, bij Sophos.

“We weten ook dat ransomware-aanvallers de lat hoger leggen om betaling te forceren. Zo vormt het compromitteren van de back-ups van hun slachtoffers een vast onderdeel van een aanval met ransomware. Wanneer duidelijk is dat gegevens zonder decoderingssleutel niet kunnen worden hersteld, zitten ze in een sterke positie om de losgeldeisen te verhogen.”

Back-ups vaak doelwit

Maar liefst 95% van de respondenten geeft aan dat cybercriminelen hun back-ups hebben proberen te compromitteren. Bij 71% is dat effectief gelukt. Het percentage is het op één na hoogste van alle sectoren. Gecompromitteerde back-ups doen de rekening om te herstellen aanzienlijk stijgen, waardoor de eindafrekening vijf keer hoger uitkomt in het lager onderwijs, en vier keer hoger in het hoger onderwijs.

Ondanks alle moeilijkheden die ransomware met zich meebrengt, is het aantal aanvallen in het afgelopen jaar toch afgenomen: 63% van de organisaties in het lager onderwijs en 66% van de instellingen in het hoger onderwijs kregen te maken met een ransomware-aanval. Een jaar eerder bedroegen die percentages nog 80% en 79%. Tegelijkertijd is het percentage versleutelde data wel licht gestegen: 85% van de aanvallen in het lager onderwijs en 77% van de aanvallen in het hoger onderwijs resulteerde in versleuteling van gegevens. Dat is een lichte stijging ten opzichte van het rapport uit 2023 – met respectievelijk 81% en 73%. Helaas blijft het niet bij het versleutelen van de data, cybercriminelen stelen de gegevens ook om nog meer geld uit de aanval te slaan. Zo stelt 22% van de respondenten uit het lager en 18% van de participanten uit het hoger onderwijs dat hun versleutelde gegevens ook gestolen zijn.

Uit het onderzoek blijkt dat misbruikte kwetsbaarheden de grootste oorzaak zijn van de aanvallen in het onderwijs. In 44% van de ransomware-aanvallen in het lager onderwijs en 42% in het hoger onderwijs was dit de manier waarop cybercriminelen een weg naar het netwerk vonden.

Gelaagde securityaanpak

Sophos meldt op basis van het onderzoek dat scholen en andere onderwijsorganisaties voordeel kunnen halen uit een gelaagde securityaanpak. Die omvat het scannen van kwetsbaarheden en begeleiding bij het prioriteren van patching om het aanvalsoppervlak te verkleinen, het beveiligen van endpoints met anti-ransomware functionaliteiten die aanvallen automatisch detecteren en stoppen, en 24/7 detectie- en responsdiensten (MDR) onder leiding van mensen om complexe, door mensen gestuurde aanvallen te neutraliseren. Idealiter door gebruik te maken van telemetrie van back-upoplossingen om aanvallers te detecteren en stoppen voor ze schade aanrichten.

“Hoewel we positieve vooruitgang zien in de strijd tegen ransomware binnen de onderwijssector, is het zorgwekkend dat het aandeel van de aanvallen met dataversleuteling jaar na jaar toeneemt. Dit toont dat onderwijsinstanties moeten blijven werken om hun weerbaarheid tegen ransomware te verbeteren. Met overbelaste resources en beperkte budgetten moeten ze zich focussen op de controles die de meeste impact hebben. Met een mediane recoverykost van drie miljoen dollar in het onderwijs is het duidelijk dat sterke oplossingen voor preventie en bescherming de algemene financiële impact van cyberaanvallen op onderwijsinstellingen aanzienlijk kunnen verminderen”, zegt Wisniewski.

Veel samenwerking met wetshandhavers en overheden

Het rapport van Sophos bevat dit jaar nieuwe onderzoeksgebieden. Zo geeft het inzicht in de rol van wetshandhaving bij het herstellen van ransomware voor onderwijsaanbieders. 99% van de organisaties in het lager onderwijs en 98% van hun tegenhangers in het hoger werken samen met wetshandhavers of officiële overheidsinstanties na een ransomware-aanval. Daardoor profiteert 64% van de instellingen uit het lager en 66% van de organisaties uit het hoger onderwijs van advies omtrent het behandelen van de aanval. 61% van de instellingen kreeg hulp en ondersteuning bij het onderzoeken van de aanval, terwijl 49% (lager onderwijs) en 48% (hoger onderwijs) bij de regelgevers aanklopten om hun versleutelde gegevens te recupereren.

De gegevens uit het State of Ransomware in Education 2024-rapport zijn afkomstig van een vendor-agnostische studie bij 600 cybersecurity/IT-leiders die actief zijn in de onderwijssector. De survey is uitgevoerd in januari en februari 2024. De respondenten bevinden zich in 14 landen verspreid over Noord- en Zuid-Amerika, EMEA en Azië-Pacific. De deelnemers vertegenwoordigen organisaties met 100 tot 5.000 medewerkers. Het rapport is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW