Hoewel Arctic Wolf organisaties adviseert om geen losgeld te betalen na een ransomware-aanval, blijft de uiteindelijke beslissing bij het getroffen bedrijf. In situaties waarin organisaties toch overwegen om tot betaling over te gaan, kan professionele begeleiding volgens het rapport een groot verschil maken in de uiteindelijke financiële impact.

Exacte cijfers over ransomware-betalingen blijven moeilijk vast te stellen omdat veel slachtoffers dergelijke incidenten niet publiek maken. Toch wijst onafhankelijk onderzoek erop dat ongeveer 30% van de getroffen organisaties het volledige losgeldbedrag betaalt dat cyber-criminelen eisen. In sommige gevallen loopt het bedrag zelfs hoger op. Een Britse studie stelde vast dat 18% tot 20% van de slachtoffers uiteindelijk gemiddeld 103% van het oorspronkelijke losgeldbedrag betaalde, onder meer door bijkomende kosten voor de aankoop en overdracht van crypto-valuta.

Onderhandelen met ransomware-groepen is volgens de onderzoekers een gespecialiseerde discipline. De eerste stap bestaat erin de groep achter de aanval te identificeren en te analyseren hoe die doorgaans opereert. Daarbij wordt ook nagegaan of de betrokken cyber-criminelen gelinkt zijn aan gesanctioneerde regimes of terroristische organisaties. In dat geval is betaling volgens internationale regelgeving verboden en wordt de focus volledig verlegd naar herstelmaatregelen.

Wanneer onderhandelingen juridisch wel mogelijk zijn, analyseren specialisten of er effectief data zijn gestolen en welke waarde die hebben. In de meeste ransomware-aanvallen worden data buitgemaakt. Volgens het rapport gebeurt dat in ongeveer 98% van de gevallen. Slachtoffers betalen dan niet enkel om hun systemen te ontgrendelen, maar vooral om te voorkomen dat gevoelige gegevens publiek worden gemaakt.

De uiteindelijke onderhandelingsstrategie hangt sterk af van de ransomware-groep. Sommige groepen weigeren elke vorm van korting terwijl andere bereid zijn hun eisen aanzienlijk te verlagen. In bepaalde gevallen nemen aanvallers zelfs genoegen met minder dan tien procent van het oorspronkelijke bedrag. Inzicht in de werkwijze en reputatie van de betrokken groep kan daarom een belangrijke rol spelen in het beperken van de schade.

Tegelijk waarschuwen experts dat cyber-criminelen niet altijd betrouwbaar zijn. In verschillende incidenten troffen onderzoekers data aan die volgens de slachtoffers al verwijderd zouden zijn. Dat betekent dat gestolen gegevens ook na betaling kunnen blijven circuleren of later opnieuw kunnen worden gebruikt om bijkomende afpersing te proberen.

Bijkomende evolutie is dat sommige cyber-criminele netwerken samen werken met georganiseerde misdaad om fysieke druk uit te oefenen op werknemers van getroffen organisaties. Deze praktijk wordt door onderzoekers omschreven als “Violent Crime-as-a-Service”.

Volgens Arctic Wolf onderstreept dit alles het belang van een gestructureerde aanpak bij ransomware-incidenten. Professionele incidentrespons, gecombineerd met gespecialiseerde onderhandelingstechnieken, kan organisaties helpen om de impact van cyber-aanvallen te beperken en tegelijk strategische keuzes te maken in een vaak complexe en tijdsgevoelige situatie.

Het volledige Arctic Wolf Threat Report 2026 vind je hier.