In september werd MGM Resorts geconfronteerd met een verwoestende ransomware-aanval die de activiteiten verstoorde in verschillende van zijn gerenommeerde casinohotels in Las Vegas, waaronder het Bellagio, Mandalay Bay en het Cosmopolitan. Gasten moesten lang wachten voor ze konden inchecken omdat elektronische betalingen, gokautomaten, geldautomaten en systemen voor betaald parkeren werden lamgelegd. Bovendien plunderden de hackers een aanzienlijke hoeveelheid persoonlijke klanteninformatie van de servers van MGM.
MGM ging niet in op de losgeldeis, hoewel het exacte bedrag niet bekend is gemaakt. Het is echter waarschijnlijk minder dan de $100 miljoen winstderving die werd gemeld in een reglementair dossier in de nasleep van de cyberaanval.
Terwijl de MGM cyberaanval wekenlang de krantenkoppen domineerde, kreeg een eerdere aanval op Caesars Entertainment nauwelijks media-aandacht. Dit kwam doordat Caesars ervoor koos om de hackers te betalen om te voorkomen dat de gestolen gegevens openbaar werden gemaakt, in de hoop het incident discreet op te lossen.
Caesars is niet de enige die dergelijke beslissingen neemt. Volgens een onderzoek van Splunk onder beveiligingsleiders gaf 83% van de organisaties toe losgeld te betalen na een ransomware-aanval, waarbij meer dan de helft minstens $100.000 betaalde via cyberverzekeringen of kanalen van derden.
Het betalen van losgeld lijkt, vooral voor grote organisaties met aanzienlijke financiële middelen, vaak de handigste en meest kosteneffectieve manier om de netwerkfunctionaliteit te herstellen en gestolen gegevens terug te krijgen. Er is echter geen garantie dat betalen zorgt voor een veilige terugkeer van gegevens, of dat alle kopieën zijn verwijderd. Gegevens die door cybercriminelen zijn gestolen, blijven gecompromitteerd, of er nu losgeld wordt betaald of niet, en het is onverstandig om op het woord van criminelen te vertrouwen als het gaat om het verwijderen van gegevens.
De inbreuk bij Caesars mag dan wel uit de krantenkoppen zijn gebleven, maar de aansprakelijkheid van het bedrijf bleef in wezen hetzelfde. Caesars moest aan toezichthouders toegeven dat het losgeld had betaald aan de hackers die een kopie van de database van het loyaliteitsprogramma hadden gestolen, inclusief de rijbewijzen en sofinummers van een aanzienlijk aantal leden. Zelfs toen kon Caesars niet garanderen dat de hackers hun deel van de overeenkomst nakwamen door de gegevens die ze hadden gestolen te verwijderen.
Het betalen van losgeld van een hacker brengt ook een technisch risico met zich mee. Volgens een onderzoek van Cybereason kreeg 80% van de ransomware-slachtoffers die het losgeld betaalden te maken met daaropvolgende ransomware-aanvallen, waarbij 68% van de getroffen organisaties meldde dat de tweede aanval binnen een maand plaatsvond, vaak met een hogere losgeldeis.
Dit gebeurt omdat wanneer een organisatie losgeld betaalt, dit een onmiddellijk probleem oplost, maar ook aangeeft dat men bereid is om aanzienlijke bedragen te betalen om een crisis op te lossen. Volgens MK Palmore, een voormalig FBI-agent en directeur in Google Cloud’s Office of the CISO, blijven de aanvallen doorgaan omdat er een financiële prikkel is voor de tegenstander. Het afsnijden van de beloning zou de frequentie van de aanvallen kunnen verminderen.
Het betalen van losgeld is niet illegaal, maar de FBI heeft bedrijven consequent geadviseerd om niet te betalen, omdat het ransomware-groepen aanmoedigt om zich op nieuwe slachtoffers te richten.
Niettemin kunnen organisaties juridische en strafrechtelijke gevolgen ondervinden als ze een door de Amerikaanse overheid gesanctioneerde ransomwarebende blijken te betalen. Het Amerikaanse Ministerie van Financiën heeft gewaarschuwd dat het betalen van losgeld aan gesanctioneerde hacking- en ransomware-groepen in strijd kan zijn met de Amerikaanse sanctiewetgeving, wat mogelijk kan leiden tot strafrechtelijke vervolging.
Hoewel het betalen van losgeld op de korte termijn de gemakkelijkste en meest kosteneffectieve optie lijkt, zal dit op de lange termijn waarschijnlijk leiden tot hogere kosten voor de organisatie.