Τα κέρδη ransomware μειώνονται καθώς τα θύματα εισχωρούν, αρνούνται να πληρώσουν

Σε μια άλλη ένδειξη ότι η παλίρροια μπορεί τελικά να στρέφεται εναντίον των παραγόντων ransomware, οι πληρωμές λύτρων μειώθηκαν σημαντικά το 2022, καθώς περισσότερα θύματα αρνήθηκαν να πληρώσουν τους επιτιθέμενούς τους — για διάφορους λόγους.

Εάν συνεχιστεί η τάση, οι αναλυτές αναμένουν ότι οι φορείς ransomware θα αρχίσουν να απαιτούν μεγαλύτερα λύτρα από μεγαλύτερα θύματα για να προσπαθήσουν να αντισταθμίσουν τα μειωμένα έσοδα, ενώ επίσης θα ακολουθούν ολοένα και μικρότερους στόχους που είναι πιο πιθανό να πληρώσουν (αλλά που αντιπροσωπεύουν δυνητικά μικρότερες αποδόσεις).

Ένας συνδυασμός παραγόντων ασφάλειας

«Τα ευρήματά μας υποδηλώνουν ότι ένας συνδυασμός παραγόντων και βέλτιστων πρακτικών – όπως η ετοιμότητα για την ασφάλεια, οι κυρώσεις, τα αυστηρότερα ασφαλιστήρια συμβόλαια και η συνεχής εργασία των ερευνητών – είναι αποτελεσματικοί στον περιορισμό των πληρωμών», λέει η Jackie Koven, επικεφαλής της υπηρεσίας πληροφοριών για απειλές στον κυβερνοχώρο. Αλυσιδωτή ανάλυση.

Η Chainanalysis είπε ότι η έρευνά της έδειξε εισβολείς ransomware απέσπασε περίπου 456.8 εκατομμύρια δολάρια από θύματα το 2022, μείωση σχεδόν 40% από τα 765.6 εκατομμύρια δολάρια που είχαν αποσπάσει από τα θύματα το προηγούμενο έτος. Ο πραγματικός αριθμός είναι πιθανό να είναι πολύ υψηλότερος λαμβάνοντας υπόψη παράγοντες όπως η ανεπαρκής αναφορά από τα θύματα και η ελλιπής ορατότητα των διευθύνσεων ransomware, παραδέχθηκε η Chainanalysis. Ακόμα κι έτσι, δεν υπάρχει αμφιβολία ότι οι πληρωμές ransomware μειώθηκαν πέρυσι λόγω της αυξανόμενης απροθυμίας των θυμάτων να πληρώσουν τους εισβολείς τους, είπε η εταιρεία.

«Οι επιχειρήσεις που επενδύουν σε άμυνες κυβερνοασφάλειας και ετοιμότητα ransomware κάνουν τη διαφορά στο τοπίο των ransomware», λέει ο Koven. «Καθώς περισσότεροι οργανισμοί προετοιμάζονται, λιγότερες πρέπει να πληρώνουν λύτρα, αποθαρρύνοντας τελικά τους εγκληματίες του κυβερνοχώρου ransomware».

Άλλοι ερευνητές συμφωνούν. «Οι επιχειρήσεις που τείνουν περισσότερο να μην πληρώσουν είναι εκείνες που είναι καλά προετοιμασμένες για μια επίθεση ransomware», λέει στο Dark Reading ο Scott Scher, ανώτερος αναλυτής κυβερνο-πληροφοριών στο Intel471. «Οι οργανισμοί που τείνουν να έχουν καλύτερες δυνατότητες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων είναι σίγουρα καλύτερα προετοιμασμένοι όταν πρόκειται για την ανθεκτικότητα σε ένα περιστατικό ransomware και αυτό πολύ πιθανόν μειώνει την ανάγκη τους να πληρώσουν λύτρα».

Ένας άλλος παράγοντας, σύμφωνα με την Chainanalysis, είναι ότι η πληρωμή λύτρων έχει γίνει νομικά πιο επικίνδυνη για πολλούς οργανισμούς. Τα τελευταία χρόνια, η κυβέρνηση των ΗΠΑ έχει επιβάλει κυρώσεις σε πολλές οντότητες ransomware που δραστηριοποιούνται εκτός άλλων χωρών. 

Το 2020, για παράδειγμα, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) κατέστησε σαφές ότι οι οργανισμοί —ή όσοι εργάζονται για λογαριασμό τους— κινδυνεύουν να παραβιάσουν τους κανόνες των ΗΠΑ εάν κάνουν πληρωμές λύτρων σε οντότητες που περιλαμβάνονται στον κατάλογο κυρώσεων. Το αποτέλεσμα είναι ότι οι οργανισμοί γίνονται όλο και πιο διστακτικοί στο να πληρώνουν λύτρα «αν υπάρχει έστω και ένας υπαινιγμός σύνδεσης με μια υπό κυρώσεις οντότητα», είπε η Chainanalysis.

«Λόγω των προκλήσεων που αντιμετώπισαν οι παράγοντες απειλών για να εκβιάσουν μεγαλύτερες επιχειρήσεις, είναι πιθανό οι ομάδες ransomware να κοιτάζουν περισσότερο προς μικρότερους, ευκολότερους στόχους χωρίς ισχυρούς πόρους κυβερνοασφάλειας σε αντάλλαγμα για χαμηλότερες απαιτήσεις λύτρων», λέει ο Koven.

Πτωτικές πληρωμές λύτρων: Μια συνεχής τάση

Η Coveware δημοσίευσε επίσης μια έκθεση αυτή την εβδομάδα ότι ανέδειξε την ίδια πτωτική τάση μεταξύ εκείνων που καταβάλλουν λύτρα. Η εταιρεία είπε ότι τα στοιχεία της έδειξαν ότι μόλις το 41% ​​των θυμάτων ransomware το 2022 πλήρωσαν λύτρα, σε σύγκριση με το 50% το 2021, το 70% το 2020 και το 76% το 2019. Όπως το Chainanalysis, το Coveware απέδωσε επίσης έναν λόγο για την πτώση σε καλύτερη ετοιμότητα μεταξύ των οργανισμών για την αντιμετώπιση επιθέσεων ransomware. Συγκεκριμένα, επιθέσεις υψηλού προφίλ, όπως αυτή στον αγωγό Colonial Pipeline, ήταν πολύ αποτελεσματικές για να καταλύσουν νέες επιχειρηματικές επενδύσεις σε νέες δυνατότητες ασφάλειας και επιχειρηματικής συνέχειας.

Οι επιθέσεις που γίνονται λιγότερο προσοδοφόρες είναι ένας άλλος παράγοντας στο μείγμα, είπε ο Coveware. Προσπάθειες επιβολής του νόμου συνεχίσει να κάνει τις επιθέσεις ransomware πιο δαπανηρές. Και με λιγότερα θύματα πληρώνουν, οι συμμορίες βλέπουν λιγότερα συνολικά κέρδη, επομένως η μέση απόδοση ανά επίθεση είναι χαμηλότερη. Το τελικό αποτέλεσμα είναι ότι ένας μικρότερος αριθμός κυβερνοεγκληματιών είναι σε θέση να ζει από ransomware, είπε η Coverware.

Ο Bill Siegel, Διευθύνων Σύμβουλος και συνιδρυτής της Coveware, λέει ότι οι ασφαλιστικές εταιρείες έχουν επηρεάσει θετικά την προληπτική ασφάλεια της επιχείρησης και την ετοιμότητα αντιμετώπισης περιστατικών με θετικό τρόπο τα τελευταία χρόνια. Αφού οι εταιρείες κυβερνοασφάλισης υπέστησαν σημαντικές απώλειες το 2019 και το 2020, πολλές έχουν αυστηροποιήσει τους όρους αναδοχής και ανανέωσης και τώρα απαιτούν από τις ασφαλισμένες οντότητες να έχουν ελάχιστα πρότυπα όπως MFA, αντίγραφα ασφαλείας και εκπαίδευση αντιμετώπισης περιστατικών. 

Ταυτόχρονα, πιστεύει ότι οι ασφαλιστικές εταιρείες είχαν αμελητέα επιρροή στις αποφάσεις των επιχειρήσεων για το αν θα πληρώσουν ή όχι. «Είναι ατυχές, αλλά η κοινή λανθασμένη αντίληψη είναι ότι κατά κάποιο τρόπο οι ασφαλιστικές εταιρείες παίρνουν αυτή την απόφαση. Οι επηρεαζόμενες εταιρείες παίρνουν την απόφαση» και υποβάλλουν αξίωση μετά το συμβάν, λέει.

Λέγοντας «όχι» σε υπέρογκες απαιτήσεις ransomware

Ο Allan Liska, αναλυτής πληροφοριών στο Recorded Future, επισημαίνει τις υπερβολικές απαιτήσεις για λύτρα τα τελευταία δύο χρόνια ως ώθηση της αυξανόμενης επιφυλακτικότητας μεταξύ των θυμάτων να πληρώσουν. Για πολλούς οργανισμούς, μια ανάλυση κόστους-οφέλους συχνά δείχνει ότι η μη πληρωμή είναι η καλύτερη επιλογή, λέει. 

«Όταν οι απαιτήσεις για λύτρα ήταν πενταψήφιες ή χαμηλές, ορισμένοι οργανισμοί μπορεί να ήταν περισσότερο διατεθειμένοι να πληρώσουν, ακόμα κι αν δεν τους άρεσε η ιδέα», λέει. «Αλλά μια επταψήφια ή οκταψήφια απαίτηση λύτρων αλλάζει αυτή την ανάλυση και είναι συχνά φθηνότερο να αντιμετωπιστεί το κόστος ανάκτησης συν τυχόν αγωγές που μπορεί να προκύψουν από την επίθεση», λέει.

Οι συνέπειες για τη μη πληρωμή μπορεί να ποικίλλουν. Κυρίως, όταν οι φορείς απειλών δεν λαμβάνουν πληρωμή, τείνουν να διαρρεύσουν ή να πουλήσουν οποιαδήποτε δεδομένα ενδέχεται να είχαν διεισδύσει κατά τη διάρκεια της επίθεσης. Οι οργανισμοί-θύματα πρέπει επίσης να αντιμετωπίσουν δυνητικά μεγαλύτερους χρόνους διακοπής λειτουργίας λόγω των προσπαθειών ανάκτησης, των πιθανών δαπανών που αποδεσμεύονται για την αγορά νέων συστημάτων και άλλων δαπανών, λέει ο Scher της Intel471.

Για τους οργανισμούς που βρίσκονται στην πρώτη γραμμή της μάστιγας του ransomware, τα νέα για την αναφερόμενη μείωση των πληρωμών λύτρων είναι πιθανό να είναι ελάχιστα παρηγορητικά. Μόλις αυτή την εβδομάδα, ο Yum Brands, ο γονέας των Taco Bell, KFC και Pizza Hut, έπρεπε να κλείσει σχεδόν 300 εστιατόρια στο Ηνωμένο Βασίλειο για μια ημέρα μετά από επίθεση ransomware. Σε ένα άλλο περιστατικό, μια επίθεση ransomware στη νορβηγική εταιρεία λογισμικού διαχείρισης ναυτιλιακού στόλου DNV επηρέασε περίπου 1,000 πλοία που ανήκει σε περίπου 70 χειριστές.

Τα μειωμένα έσοδα ωθούν τις συμμορίες σε νέες κατευθύνσεις

Τέτοιες επιθέσεις συνεχίστηκαν αμείωτα μέχρι το 2022 και οι περισσότεροι αναμένουν μικρή ανάπαυλα από τους όγκους επιθέσεων το 2023. Η έρευνα της Chainanalysis, για παράδειγμα, έδειξε ότι παρά τη μείωση των εσόδων από ransomware, ο αριθμός των μοναδικών στελεχών ransomware που ανέπτυξαν οι χειριστές απειλών πέρυσι αυξήθηκε σε πάνω από 10,000 μόλις το πρώτο εξάμηνο του 2022.

Σε πολλές περιπτώσεις, μεμονωμένες ομάδες ανέπτυξαν πολλαπλά στελέχη ταυτόχρονα για να βελτιώσουν τις πιθανότητές τους να δημιουργήσουν έσοδα από αυτές τις επιθέσεις. Οι χειριστές ransomware συνέχισαν επίσης να κάνουν ποδήλατο σε διαφορετικά στελέχη πιο γρήγορα από ποτέ - το μέσο νέο στέλεχος ransomware ήταν ενεργό μόνο για 70 ημέρες - πιθανότατα σε μια προσπάθεια να περιορίσουν τη δραστηριότητά τους.

Υπάρχουν ενδείξεις ότι η πτώση των εσόδων από ransomware ασκεί πίεση στους χειριστές ransomware.

Η Coveware, για παράδειγμα, διαπίστωσε ότι οι μέσες πληρωμές λύτρων το τελευταίο τρίμηνο του 2022 αυξήθηκαν κατά 58% σε σχέση με το προηγούμενο τρίμηνο στα 408,644 δολάρια, ενώ η μέση πληρωμή εκτινάχθηκε στα ύψη 342% στα 185.972 δολάρια την ίδια περίοδο. Η εταιρεία απέδωσε την αύξηση σε προσπάθειες κυβερνοεπιθέσεων να αντισταθμίσουν τις ευρύτερες μειώσεις εσόδων κατά τη διάρκεια του έτους. 

«Καθώς η αναμενόμενη κερδοφορία μιας δεδομένης επίθεσης ransomware μειώνεται για τους εγκληματίες του κυβερνοχώρου, προσπάθησαν να αντισταθμίσουν προσαρμόζοντας τις δικές τους τακτικές», δήλωσε ο Coveware. «Οι φορείς απειλών κινούνται ελαφρώς προς τα πάνω στην αγορά για να προσπαθήσουν να δικαιολογήσουν μεγαλύτερες αρχικές απαιτήσεις με την ελπίδα ότι θα οδηγήσουν σε μεγάλες πληρωμές λύτρων, ακόμη και όταν το δικό τους ποσοστό επιτυχίας μειώνεται».

Ένα άλλο σημάδι είναι ότι πολλοί χειριστές ransomware άρχισαν να εκβιάζουν ξανά τα θύματα αφού απέσπασαν χρήματα από αυτά την πρώτη φορά, είπε ο Coveware. Ο εκβιασμός ήταν παραδοσιακά μια τακτική που προορίζεται για θύματα μικρών επιχειρήσεων. Όμως, το 2022, ομάδες που παραδοσιακά στόχευαν εταιρείες μεσαίου έως μεγάλου μεγέθους άρχισαν επίσης να χρησιμοποιούν την τακτική, πιθανότατα ως αποτέλεσμα οικονομικών πιέσεων, είπε ο Coveware.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay