Les bénéfices des ransomwares diminuent alors que les victimes creusent et refusent de payer

Dans un autre signe que le vent pourrait enfin tourner contre les acteurs du ransomware, les paiements de rançon ont considérablement diminué en 2022, car davantage de victimes ont refusé de payer leurs agresseurs – pour diverses raisons.

Si la tendance se poursuit, les analystes s'attendent à ce que les acteurs des rançongiciels commencent à exiger des rançons plus importantes de la part des victimes plus importantes pour essayer de compenser la baisse des revenus, tout en s'attaquant de plus en plus à des cibles plus petites qui sont plus susceptibles de payer (mais qui représentent des gains potentiellement plus faibles).

Une combinaison de facteurs de sécurité

"Nos résultats suggèrent qu'une combinaison de facteurs et de meilleures pratiques - telles que la préparation à la sécurité, les sanctions, des polices d'assurance plus strictes et le travail continu des chercheurs - sont efficaces pour limiter les paiements", déclare Jackie Koven, responsable du renseignement sur les cybermenaces chez Analyse en chaîne.

Chainanalysis a déclaré que ses recherches ont montré des attaquants de ransomware extorqué quelque 456.8 millions de dollars aux victimes en 2022, en baisse de près de 40% par rapport aux 765.6 millions de dollars qu'ils avaient extraits des victimes l'année précédente. Le nombre réel est susceptible d'être beaucoup plus élevé compte tenu de facteurs tels que la sous-déclaration par les victimes et la visibilité incomplète des adresses de rançongiciels, a concédé Chainanalysis. Même ainsi, il ne fait aucun doute que les paiements de rançongiciels ont baissé l'année dernière en raison d'une réticence croissante des victimes à payer leurs agresseurs, a déclaré la société.

"Les entreprises qui investissent dans les défenses de la cybersécurité et la préparation aux ransomwares font une différence dans le paysage des ransomwares", déclare Koven. "Plus les organisations sont préparées, moins elles ont besoin de payer des rançons, ce qui décourage finalement les cybercriminels de rançongiciels."

D'autres chercheurs sont d'accord. "Les entreprises les plus enclines à ne pas payer sont celles qui sont bien préparées à une attaque de ransomware", a déclaré Scott Scher, analyste senior en cyber-intelligence chez Intel471, à Dark Reading. "Les organisations qui ont tendance à avoir de meilleures capacités de sauvegarde et de récupération des données sont certainement mieux préparées en ce qui concerne la résilience à un incident de ransomware et cela réduit très probablement leur besoin de payer une rançon."

Un autre facteur, selon Chainanalysis, est que le paiement d'une rançon est devenu juridiquement plus risqué pour de nombreuses organisations. Ces dernières années, le gouvernement américain a imposé des sanctions à de nombreuses entités de rançongiciels opérant à partir d'autres pays. 

En 2020, par exemple, l'Office of Foreign Assets Control (OFAC) du département américain du Trésor a clairement indiqué que les organisations - ou celles qui travaillent en leur nom - risquent d'enfreindre les règles américaines s'ils versent une rançon aux entités figurant sur la liste des sanctions. Le résultat est que les organisations sont devenues de plus en plus réticentes à payer une rançon "s'il y a même un soupçon de connexion à une entité sanctionnée", a déclaré Chainanalysis.

"En raison des difficultés rencontrées par les acteurs de la menace pour extorquer de grandes entreprises, il est possible que les groupes de rançongiciels se tournent davantage vers des cibles plus petites et plus faciles dépourvues de ressources de cybersécurité robustes en échange de demandes de rançon moins élevées", déclare Koven.

Baisse des paiements de rançon : une tendance continue

Coveware a également publié un rapport cette semaine qui a mis en évidence la même tendance à la baisse parmi ceux qui versent des rançons. La société a déclaré que ses données montraient que seulement 41 % des victimes de rançongiciels en 2022 avaient payé une rançon, contre 50 % en 2021, 70 % en 2020 et 76 % en 2019. Comme Chainanalysis, Coveware a également attribué une raison de la baisse à une meilleure préparation des organisations à faire face aux attaques de ransomwares. Plus précisément, des attaques très médiatisées comme celle sur Colonial Pipeline ont été très efficaces pour catalyser de nouveaux investissements d'entreprise dans de nouvelles capacités de sécurité et de continuité des activités.

Les attaques devenant moins lucratives sont un autre facteur dans le mélange, a déclaré Coveware. Efforts d'application de la loi continuent de rendre les attaques de rançongiciels plus coûteuses à réaliser. Et avec moins de victimes qui paient, les gangs voient moins de profit global, de sorte que le gain moyen par attaque est plus faible. Le résultat final est qu'un plus petit nombre de cybercriminels sont capables de gagner leur vie grâce aux rançongiciels, a déclaré Coverware.

Bill Siegel, PDG et co-fondateur de Coveware, déclare que les compagnies d'assurance ont influencé positivement la sécurité proactive des entreprises et la préparation aux interventions en cas d'incident ces dernières années. Après que les sociétés de cyber-assurance ont subi des pertes substantielles en 2019 et 2020, beaucoup ont resserré leurs conditions de souscription et de renouvellement et exigent désormais que les entités assurées aient des normes minimales telles que l'AMF, les sauvegardes et la formation à la réponse aux incidents. 

Dans le même temps, il pense que les compagnies d'assurance ont eu une influence négligeable sur les décisions d'entreprise de payer ou non. "C'est malheureux, mais l'idée fausse courante est que les compagnies d'assurance prennent cette décision d'une manière ou d'une autre. Les entreprises touchées prennent la décision », et déposent une réclamation après l'incident, dit-il.

Dire "non" aux demandes exorbitantes de ransomwares

Allan Liska, analyste du renseignement chez Recorded Future, souligne que les demandes de rançon exorbitantes au cours des deux dernières années sont à l'origine de la réticence croissante des victimes à payer. Pour de nombreuses organisations, une analyse coûts-avantages indique souvent que ne pas payer est la meilleure option, dit-il. 

"Lorsque les demandes de rançon étaient [dans les] cinq ou six chiffres, certaines organisations auraient peut-être été plus enclines à payer, même si elles n'aimaient pas l'idée", dit-il. "Mais une demande de rançon à sept ou huit chiffres change cette analyse, et il est souvent moins cher de faire face aux coûts de récupération plus les poursuites qui pourraient découler de l'attaque", dit-il.

Les conséquences en cas de non-paiement peuvent varier. Généralement, lorsque les acteurs de la menace ne reçoivent pas de paiement, ils ont tendance à divulguer ou à vendre les données qu'ils ont pu exfiltrer lors de l'attaque. Les organisations de victimes doivent également faire face à des temps d'arrêt potentiellement plus longs en raison des efforts de récupération, des dépenses potentielles dégagées pour l'achat de nouveaux systèmes et d'autres coûts, explique Scher d'Intel471.

Pour les organisations en première ligne contre le fléau des rançongiciels, la nouvelle de la baisse signalée des paiements de rançon ne sera probablement qu'une faible consolation. Cette semaine, Yum Brands, la société mère de Taco Bell, KFC et Pizza Hut, a dû fermer près de 300 restaurants au Royaume-Uni pendant une journée suite à une attaque de ransomware. Dans un autre incident, une attaque de ransomware contre la société norvégienne de logiciels de gestion de flotte maritime DNV touché quelque 1,000 XNUMX navires appartenant à environ 70 opérateurs.

La baisse des revenus stimule les gangs dans de nouvelles directions

Ces attaques se sont poursuivies sans relâche jusqu'en 2022 et la plupart s'attendent à peu de répit des volumes d'attaques en 2023 non plus. Les recherches de Chainanalysis, par exemple, ont montré que malgré la baisse des revenus des ransomwares, le nombre de souches de ransomwares uniques que les opérateurs de menaces ont déployées l'année dernière a grimpé à plus de 10,000 2022 au cours du premier semestre XNUMX seulement.

Dans de nombreux cas, des groupes individuels ont déployé plusieurs souches en même temps pour améliorer leurs chances de générer des revenus à partir de ces attaques. Les opérateurs de ransomware ont également continué à parcourir différentes souches plus rapidement que jamais auparavant - la nouvelle souche moyenne de ransomware n'était active que pendant 70 jours - probablement dans le but d'obscurcir leur activité.

Certains signes indiquent que la baisse des revenus des ransomwares exerce une pression sur les opérateurs de ransomwares.

Coveware, par exemple, a constaté que les paiements de rançon moyens au cours du dernier trimestre de 2022 ont bondi de 58 % par rapport au trimestre précédent pour atteindre 408,644 342 $, tandis que le paiement médian a grimpé en flèche de 185.972 % pour atteindre XNUMX $ au cours de la même période. La société a attribué cette augmentation aux tentatives des cyberattaquants de compenser les baisses de revenus plus importantes tout au long de l'année. 

"Alors que la rentabilité attendue d'une attaque de ransomware donnée diminue pour les cybercriminels, ils ont tenté de compenser en ajustant leurs propres tactiques", a déclaré Coveware. "Les acteurs de la menace montent légèrement sur le marché pour essayer de justifier des demandes initiales plus importantes dans l'espoir qu'elles se traduisent par des paiements de rançon importants, même si leur propre taux de réussite diminue."

Un autre signe est que de nombreux opérateurs de rançongiciels ont commencé à extorquer des victimes après leur avoir extorqué de l'argent la première fois, a déclaré Coveware. La ré-extorsion est traditionnellement une tactique réservée aux petites entreprises victimes. Mais en 2022, des groupes qui ciblaient traditionnellement les moyennes et grandes entreprises ont également commencé à utiliser cette tactique, probablement en raison de pressions financières, a déclaré Coveware.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay