De gemiddelde losgeldbetaling bedraagt 1 miljoen dollar, al onderhandelt meer dan de helft van de getroffen organisaties over een lager bedrag dan de oorspronkelijke eis.
Sophos publiceert zijn jaarlijkse State of Ransomware-rapport, waarin blijkt dat 46 procent van de ondervraagde organisaties losgeld betaalt om versleutelde data terug te krijgen. Dat is het op één na hoogste percentage in zes jaar tijd.
lees ook
‘Niet betalen bij ransomware? Makkelijker gezegd dan gedaan’
Toch betaalt 53 procent van de slachtoffers minder dan wat aanvallers oorspronkelijk eisten, vaak na onderhandelingen. De gemiddelde betaling bedroeg ongeveer 1 miljoen dollar.
Losgeldbedragen dalen
De gegevens zijn gebaseerd op een wereldwijd onderzoek onder 3.400 IT- en securityverantwoordelijken. Volgens Sophos is het gemiddelde losgeldbedrag in één jaar tijd met 50 procent gedaald. In 2024 lag dat nog op 2 miljoen dollar. Ook de gemiddelde losgeldeis zakte, met een daling van een derde.
De losgeldsom die aanvallers eisen, zijn grotendeels afhankelijk van de grootte van het slachtoffer. Voor grote bedrijven met een jaaromzet boven 1 miljard dollar lag de eis gemiddeld op meer dan 5 miljoen dollar. Kleine organisaties kregen eisen van gemiddeld 350.000 dollar of minder.
Organisaties blijken wel sneller te herstellen. Meer dan de helft herstelde binnen een week volledig van een aanval, tegenover 35 procent in 2024. Slechts 18 procent deed er langer dan een maand over. Ook de gemiddelde herstelkosten namen af: van 2,73 miljoen dollar in 2024 naar 1,53 miljoen in 2025.
Kwetsbaarheden blijven grootste toegangspoort
In 40 procent van de gevallen gebruikten aanvallers een bekende kwetsbaarheid die nog niet was gedicht. Het grootste struikelblok voor veel organisaties blijft onvoldoende zicht op het aanvalsoppervlak. Vooral een gebrek aan middelen en expertise speelt daarbij een rol. Bij grotere organisaties is gebrek aan kennis de voornaamste oorzaak. Kleinere bedrijven kampen vaker met een tekort aan capaciteit.
Opvallend (en eigenlijk ook onbegrijpelijk) is dat het gebruik van back-ups afneemt. Slechts 54 procent van de getroffen organisaties gebruikte back-ups voor herstel: het laagste cijfer in zes jaar. Verder blijkt dat nationale en lokale overheden gemiddeld het meeste losgeld betalen, met bedragen rond 2,5 miljoen dollar. Gezondheidsinstellingen betaalden met gemiddeld 150.000 dollar het minst.
Het rapport benadrukt het belang van structurele maatregelen zoals patchbeheer, back-upstrategie en monitoring. Organisaties die hiervoor onvoldoende interne capaciteit hebben, doen steeds vaker een beroep op MDR-diensten.