Onderhandelen met cybercriminelen soms noodzakelijk om financiële schade te beperken

Uit nieuwe data over incident response-gevallen blijkt dat experts via gestructureerde onderhandelingen de financiële schade van cyberaanvallen aanzienlijk kunnen verlagen.

Amsterdam, 11 maart 2026 – Bij ransomware-onderhandelingen met cybercriminelen heeft Arctic Wolf losgeldbetalingen met gemiddeld 67% weten te verminderen. Inclusief klanten die niet over zijn gegaan tot betaling, lopen de totale besparingen op tot 94% van de oorspronkelijke losgeldeisen. Dat blijkt uit het Arctic Wolf 2026 Threat Report. Hoewel Arctic Wolf zijn klanten adviseert om geen losgeld te betalen aan cybercriminelen, blijft de keuze altijd bij de slachtofferorganisatie. In gevallen waarin slachtoffers zich gedwongen voelen om losgeld te betalen, kan professionele begeleiding een significant verschil maken om het uiteindelijke bedrag te verlagen ten opzichte van organisaties die proberen om zelfstandig een ransomware-incident af te handelen.

Er zijn geen officiële industriewijde cijfers over ransomware-betalingen, aangezien veel slachtoffers niet bekendmaken of ze hebben betaald en – indien ze dit hebben gedaan – hoe hoog het bedrag was. Toch wijst onafhankelijk onderzoek uit dat ongeveer 30% van de ransomware-slachtoffers het volledige losbedrag betaalt dat aanvallers eisen. Uit een Brits onderzoek bleek bovendien dat 18% tot 20% van de slachtoffers gemiddeld 103% van het oorspronkelijke losgeldbedrag betaalde. Dit omvat niet alleen het daadwerkelijke losgeldbedrag, maar ook de extra kosten voor de aankoop en overdracht van cryptovaluta.

Onderhandelen is een gespecialiseerde discipline

Ransomware-onderhandelingen kunnen niet zo maar worden geïmproviseerd. Ze vereisen informatie over de specifieke aanvalsgroep, de bijbehorende geschiedenis, de bereidheid om eisen te verlagen en de juridische status van de groep. De onderhandelaars van Arctic Wolf onderzoeken daarom eerst welke groep verantwoordelijk is voor de aanval. Als er verbanden met gesanctioneerde regimes of terroristische organisaties worden vastgesteld, worden slachtoffers geïnformeerd dat betaling wettelijk verboden is, volgens internationale regelgeving. In die gevallen worden de onderhandelingen stopgezet en verschuift de focus volledig naar herstel.

Indien onderhandelen wettelijk is toegestaan, beoordelen de specialisten of er daadwerkelijk data zijn gestolen en, zo ja, of deze data ook echt waarde hebben. In de meeste ransomware-gevallen stelen aanvallers data (98%), wat inhoudt dat slachtoffers niet per se betalen voor het ontsleutelen van hun data, maar om te voorkomen dat data openbaar worden gemaakt door de aanvallers. In de gevallen waarin het bewijs voor gestolen data zwak is of als de data beperkte waarde hebben, wordt betalen volledig afgeraden.

Indien er bevestiging is dat de data waardevol zijn, wordt de onderhandelingsstrategie doorslaggevend. Sommige ransomware-groepen weigeren kortingen, andere verlagen hun eisen misschien met slechts een paar procentpunten en weer andere nemen genoegen met minder dan 10% van het oorspronkelijke bedrag. Het is cruciaal om te weten welke groep de aanval heeft uitgevoerd en hoe ze te werk gaan om de uitkomst te kunnen beïnvloeden.

Voor slachtofferorganisaties die overwegen losgeld te betalen is het belangrijk om te beseffen dat cybercriminelen niet altijd even betrouwbaar zijn. Arctic Wolf heeft meerdere incidenten behandeld waarbij analisten bij het terughacken van aanvallers data aantroffen die volgens slachtoffers al waren verwijderd. Ook als data niet direct worden gelekt, kunnen ze worden bewaard. Dat vergroot het risico dat een aanvaller later terugkomt om opnieuw geld te eisen.

‘Violent crime-as-a-Service’

Het is bij het onderhandelen van levensbelang dat de identiteit van de onderhandelaars anoniem blijft. Sommige cybercriminele groepen, zoals ‘The Com’, werken samen met lokale georganiseerde misdaad om fysieke druk uit te oefenen op het personeel van de slachtoffers om de kans op betaling te verhogen. Deze ontwikkeling wordt door onderzoekers beschreven als ‘Violent crime-as-a-Service’.

“Bij Arctic Wolf sluiten wij ons aan bij de aanbevelingen van wetgevers en overheden: indien mogelijk zou losgeld niet betaald moeten worden. Toch ligt de uiteindelijke keus altijd bij de slachtofferorganisatie”, zegt Christopher Fielder, Field CTO bij Arctic Wolf. “In tegenstelling tot veel incidentresponsbedrijven die zich voornamelijk richten op technische beheersing en herstel, voert Arctic Wolf onderhandelingen volledig intern uit. De onderhandelaars van Arctic Wolf worden volledig geïntegreerd in de organisatie van het slachtoffer en communiceren met de daders alsof ze interne vertegenwoordigers zijn. Hiermee kunnen we onze klanten optimaal ten dienst zijn en hen helpen om de impact van een ransomware-aanval te beperken.”

Over Arctic Wolf

Arctic Wolf is wereldwijd toonaangevend in security operations en helpt klanten bij het beheren van hun cyberrisico’s, met een cloud-native security operations platform. De Arctic Wolf Security Operations Cloud verwerkt en analyseert wekelijks meer dan 8 biljoen security events en maakt zo cyberverdediging op elke schaal mogelijk, met geavanceerde capaciteiten. Hiermee kunnen klanten van vrijwel elke grootte vertrouwen op hun securitymaatregelen, hun veerkracht en zijn ze goed voorbereid op cyberdreigingen. Met geautomatiseerde beschermings-, respons- en herstelmogelijkheden zorgt Arctic Wolf met één druk op de knop voor optimale security operations.