Professionele onderhandelaars kunnen losgeldbetalingen bij ransomware-aanvallen gemiddeld met 67% verlagen. Arctic Wolf claimt in het eigen bedrijfsrapport dat gestructureerde onderhandelingen significant verschil maken ten opzichte van zelfstandige afhandeling door slachtoffers. De keuze om losgeld te betalen blijft echter altijd bij de getroffen organisatie.
Arctic Wolf stelt in zijn 2026 Threat Report dat het bedrijf losgeldbetalingen bij ransomware-aanvallen met gemiddeld 67% heeft kunnen verlagen door professionele onderhandelingen. Inclusief klanten die uiteindelijk niet betaalden, beweert het bedrijf dat de totale besparingen oplopen tot 94% van de oorspronkelijke losgeldeisen.
Volgens het bedrijf adviseert het klanten om geen losgeld te betalen, maar blijft de beslissing bij de slachtofferorganisatie. Arctic Wolf benadrukt dat professionele begeleiding een significant verschil kan maken bij het verlagen van het uiteindelijke bedrag.
Meeste slachtoffers betalen volledig bedrag
Officiële industriewijde cijfers over ransomware-betalingen ontbreken, omdat veel slachtoffers niet bekendmaken of ze hebben betaald. Onafhankelijk onderzoek wijst volgens Arctic Wolf uit dat ongeveer 30% van de ransomware-slachtoffers het volledige losbedrag betaalt. Uit Brits onderzoek blijkt daarnaast dat 18% tot 20% van de slachtoffers gemiddeld 103% van het oorspronkelijke bedrag betaalde, inclusief extra kosten voor de aankoop en overdracht van cryptovaluta.
Volgens Arctic Wolf vereisen ransomware-onderhandelingen specifieke kennis over de aanvalsgroep, hun geschiedenis en bereidheid om eisen te verlagen. Het bedrijf onderzoekt eerst welke groep verantwoordelijk is voor de aanval. Bij verbanden met gesanctioneerde regimes of terroristische organisaties worden onderhandelingen stopgezet vanwege wettelijke verboden.
Data-diefstal in 98% van gevallen
Arctic Wolf stelt dat in 98% van de ransomware-gevallen data worden gestolen. Hierdoor betalen slachtoffers volgens het bedrijf niet zozeer voor het ontsleutelen van data, maar om te voorkomen dat informatie openbaar wordt gemaakt. Bij zwak bewijs voor gestolen data of als de data beperkte waarde heeft, wordt betalen volledig afgeraden.
Het bedrijf benadrukt dat verschillende ransomware-groepen verschillende onderhandelingsstrategieën vereisen. Sommige groepen weigeren kortingen, andere verlagen hun eisen met enkele procentpunten, en weer andere accepteren minder dan 10% van het oorspronkelijke bedrag.
Betrouwbaarheid cybercriminelen twijfelachtig
Arctic Wolf waarschuwt dat cybercriminelen niet altijd betrouwbaar zijn. Het bedrijf claimt meerdere incidenten te hebben behandeld waarbij bij het terughacken van aanvallers data werden aangetroffen die volgens slachtoffers al waren verwijderd. Ook als data niet direct worden gelekt, kunnen ze worden bewaard voor toekomstige afpersing.
Het bedrijf wijst op een zorgwekkende ontwikkeling waarbij sommige cybercriminele groepen, zoals ‘The Com’, samenwerken met lokale georganiseerde misdaad om fysieke druk uit te oefenen op personeel van slachtoffers. Onderzoekers beschrijven dit als ‘Violent crime-as-a-Service’.
Arctic Wolf stelt dat het onderhandelingen volledig intern uitvoert, waarbij onderhandelaars zich voordoen als interne vertegenwoordigers van de slachtofferorganisatie om optimale service te bieden en de impact van ransomware-aanvallen te beperken.
