Professionele onderhandelingen met cybercriminelen kunnen het gevraagde losgeld bij ransomware-aanvallen sterk verlagen. Dat blijkt uit incidentresponsdata in het Arctic Wolf 2026 Threat Report.
Onderhandelingen met ransomwaregroepen leiden gemiddeld tot een vermindering van 67 procent van het geëiste losgeld. Wanneer ook organisaties worden meegerekend die uiteindelijk niet betalen, loopt de financiële besparing op tot 94 procent van de oorspronkelijke eis. Dat blijkt uit gegevens van Arctic Wolf over behandelde incidentresponszaken.
Losgeld betalen?
Arctic Wolf adviseert organisaties om geen losgeld te betalen. De uiteindelijke beslissing ligt echter altijd bij het slachtoffer. Wanneer bedrijven toch tot betaling overgaan, kan professionele begeleiding volgens het rapport het uiteindelijke bedrag aanzienlijk beperken. Organisaties die zelf onderhandelen of zonder ondersteuning reageren, betalen volgens het onderzoek vaker een groter deel van de oorspronkelijke eis.
Er bestaan weinig officiële cijfers over ransomwarebetalingen. Veel organisaties maken dergelijke betalingen niet publiek. Onafhankelijke studies suggereren dat ongeveer 30 procent van de slachtoffers het volledige geëiste bedrag betaalt. Een Brits onderzoek toont daarnaast dat 18 tot 20 procent van de slachtoffers gemiddeld zelfs meer betaalt dan de oorspronkelijke eis, onder meer door kosten voor het aankopen en overdragen van cryptovaluta.
Recent werd een Antwerpse school en de Nederlandse provider Odido nog getroffen door een cyberaanval. Beide organisaties weigerden uiteindelijk losgeld te betalen.
Onderhandelingen vragen expertise
Volgens Arctic Wolf vraagt onderhandelen met ransomwaregroepen specifieke expertise. Analisten onderzoeken eerst welke groep achter de aanval zit. Daarbij kijken ze naar eerdere incidenten, de reputatie van de groep en de bereidheid om het geëiste bedrag te verlagen.
Ook juridische factoren spelen een rol. Als blijkt dat een aanval gelinkt is aan een gesanctioneerd regime of een terroristische organisatie, is betaling wettelijk verboden. In dergelijke gevallen stoppen de onderhandelingen en verschuift de focus volledig naar herstel van systemen.
Specialisten analyseren daarnaast of er daadwerkelijk gegevens zijn gestolen. In ongeveer 98 procent van de ransomware-aanvallen nemen aanvallers data mee. Slachtoffers betalen dan vaak niet voor het ontsleutelen van systemen, maar om te voorkomen dat gegevens openbaar worden gemaakt.
Extra risico’s bij ransomwaregroepen
Zelfs wanneer slachtoffers betalen, is er volgens Arctic Wolf geen garantie dat data daadwerkelijk worden verwijderd. In meerdere incidenten vonden onderzoekers gestolen gegevens terug die volgens slachtoffers al verwijderd hadden moeten zijn.
Daarnaast signaleren onderzoekers een trend waarbij sommige cybercriminele netwerken samenwerken met lokale georganiseerde misdaad. Daarbij kan fysieke druk worden uitgeoefend op medewerkers van slachtofferorganisaties om betaling af te dwingen. Deze ontwikkeling wordt door onderzoekers omschreven als “violent crime-as-a-service”.
Volgens Arctic Wolf blijven overheden en wetgevers organisaties adviseren om geen losgeld te betalen. Tegelijk stellen onderzoekers dat bedrijven voorbereid moeten zijn op het scenario waarin onderhandelingen toch plaatsvinden, om de impact van een aanval zoveel mogelijk te beperken.