„Die Wiederherstellungsrate von 60 Prozent spiegelt mehrere technische und betriebliche Realitäten wider, die bei der Reaktion auf Vorfälle regelmäßig auftreten“, erklärt James John, Incident Response Supervisor bei der Cybersicherheitsfirma Bridewell, gegenüber CSO. „Erstens unterscheiden sich Ransomware-Betreiber erheblich in ihrer Raffinesse. Etablierte Gruppen wie LockBit oder ALPHV stellen in der Regel funktionierende Entschlüsselungsprogramme bereit, da sie einen ‚guten Ruf‘ zu wahren haben. Im Gegensatz dazu setzen kleinere Betreiber oft fehlerhafte Verschlüsselungsimplementierungen ein oder verschwinden nach der Zahlung einfach.“
Entschlüsselungsprogramme seien häufig langsam und unzuverlässig, fügt John hinzu. Solche Instruments könnten Fehler enthalten oder Dateien beschädigen oder unzugänglich machen. „Eine groß angelegte Entschlüsselung in Unternehmensumgebungen kann Wochen dauern und schlägt bei beschädigten Dateien oder komplexen Datenbanksystemen oft fehl“, so der Safety-Spezialist „Es gibt Fälle, in denen der Entschlüsselungsprozess selbst zusätzlich Daten beschädigt.“
Daryl Flack, Companion beim britischen Managed Safety Supplier Avella Safety, sieht das ähnlich: „Kriminelle verwenden oft fehlerhafte oder inkompatible Verschlüsselungs-Instruments. Vielen Unternehmen fehlt die Infrastruktur, um Daten sauber wiederherzustellen, insbesondere, wenn Backups lückenhaft sind oder Systeme noch kompromittiert sind“.
