Organisaties die het slachtoffer worden van ransomware en een cyberverzekering hebben betalen niet vaker losgeld dan getroffen organisaties zonder een dergelijke verzekering. De afgelopen jaren is er geregeld kritiek geweest op verzekeringsmaatschappijen die het losgeld bij ransomware-aanvallen vergoeden. Slachtoffers zouden hierdoor eerder geneigd zijn te betalen en aanvallers zijn hogere bedragen gaan vragen, aldus critici, maar volgens onderzoekers van verschillende Britse universiteiten is hier geen bewijs voor.

Mede met geld van het Britse National Cyber Security Centre (NCSC) werd een twaalf maanden durend onderzoek uitgevoerd naar de rol die cyberverzekeringen spelen bij het betalen van losgeld aan ransomwaregroepen. De onderzoekers zeggen geen bewijs te. hebben gevonden waaruit blijkt dat organisaties met een verzekering eerder geneigd zijn te betalen dan organisaties zonder verzekering. Daarnaast geven de meeste verzekeraars geen advies over het wel of niet betalen van losgeld, en worden betalingen niet zonder enige 'due diligence' goedgekeurd.

Tegelijkertijd blijkt dat er geen sterk bewijs is dat verzekeraars, of de "ransomware response services" die ze bieden, voor "ransom discipline" zorgen. Het gaat dan om het stabiliseren van de hoogte van het gevraagde losgeld, dat slachtoffers een geïnformeerde keuze maken en ze niet de hoge bedragen betalen waardoor meer criminelen zich met ransomware gaan bezighouden. Dit moet uiteindelijk de winstgevendheid van het businessmodel van ransomwaregroepen verminderen.

De onderzoekers zijn niet voor een verbod op het betalen van losgeld of het verbieden van cyberverzekeringen die losgeld dekken. Ze pleiten wel voor "interventies" die voor betere "ransom discipline" zorgen, zodat minder slachtoffers betalen of lagere bedragen betalen. Om dit te realiseren moeten er meer mogelijkheden voor slachtoffers komen die niet tot een betaling leiden, aldus de onderzoekers.