I profitti del ransomware diminuiscono quando le vittime scavalcano, si rifiutano di pagare

In un altro segno che la marea potrebbe finalmente rivoltarsi contro gli attori del ransomware, i pagamenti del riscatto sono diminuiti notevolmente nel 2022 poiché un numero maggiore di vittime si è rifiutato di pagare i propri aggressori, per una serie di motivi.

Se la tendenza continua, gli analisti si aspettano che gli attori del ransomware inizieranno a chiedere riscatti maggiori alle vittime più grandi per cercare di compensare il calo delle entrate, perseguendo sempre più obiettivi più piccoli che hanno maggiori probabilità di pagare (ma che rappresentano guadagni potenzialmente minori).

Una combinazione di fattori di sicurezza

"I nostri risultati suggeriscono che una combinazione di fattori e best practice - come la preparazione alla sicurezza, sanzioni, polizze assicurative più rigorose e il lavoro continuo dei ricercatori - sono efficaci nel frenare i pagamenti", afferma Jackie Koven, responsabile dell'intelligence sulle minacce informatiche presso Analisi della catena.

Chainanalysis ha affermato che la sua ricerca ha mostrato aggressori ransomware ha estorto circa 456.8 milioni di dollari alle vittime nel 2022, in calo di quasi il 40% rispetto ai 765.6 milioni di dollari che avevano estorto alle vittime l'anno prima. È probabile che il numero effettivo sia molto più alto considerando fattori come la sottostima da parte delle vittime e la visibilità incompleta sugli indirizzi dei ransomware, ammette Chainanalysis. Anche così, non c'è dubbio che i pagamenti di ransomware siano diminuiti lo scorso anno a causa della crescente riluttanza delle vittime a pagare i loro aggressori, ha affermato la società.

"Le organizzazioni aziendali che investono nelle difese della sicurezza informatica e nella preparazione al ransomware stanno facendo la differenza nel panorama del ransomware", afferma Koven. "Man mano che più organizzazioni sono preparate, meno necessità di pagare riscatti, disincentivando in ultima analisi i criminali informatici ransomware".

Altri ricercatori sono d'accordo. "Le aziende più inclini a non pagare sono quelle ben preparate per un attacco ransomware", dice a Dark Reading Scott Scher, analista senior di cyber-intelligence presso Intel471. "Le organizzazioni che tendono ad avere migliori capacità di backup e ripristino dei dati sono decisamente meglio preparate quando si tratta di resilienza a un incidente ransomware e questo molto probabilmente riduce la loro necessità di pagare un riscatto".

Un altro fattore, secondo Chainanalysis, è che pagare un riscatto è diventato legalmente più rischioso per molte organizzazioni. Negli ultimi anni, il governo degli Stati Uniti ha imposto sanzioni a molte entità ransomware che operano al di fuori di altri paesi. 

Nel 2020, ad esempio, l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha chiarito che le organizzazioni - o coloro che lavorano per loro conto - rischiano di violare le regole statunitensi se effettuano pagamenti di riscatto alle entità nell'elenco delle sanzioni. Il risultato è che le organizzazioni sono diventate sempre più diffidenti nei confronti del pagamento di un riscatto "se c'è anche solo un accenno di connessione con un'entità sanzionata", ha affermato Chainanalysis.

"A causa delle sfide che gli attori delle minacce hanno avuto nell'estorcere alle imprese più grandi, è possibile che i gruppi di ransomware guardino più verso obiettivi più piccoli e facili privi di solide risorse di sicurezza informatica in cambio di richieste di riscatto inferiori", afferma Koven.

Diminuzione dei pagamenti del riscatto: una tendenza continua

Coveware ha anche pubblicato un rapporto questa settimana che evidenziato la stessa tendenza al ribasso tra coloro che pagano il riscatto. La società ha affermato che i suoi dati hanno mostrato che solo il 41% delle vittime di ransomware nel 2022 ha pagato un riscatto, rispetto al 50% nel 2021, al 70% nel 2020 e al 76% nel 2019. preparazione tra le organizzazioni per far fronte agli attacchi ransomware. In particolare, gli attacchi di alto profilo come quello su Colonial Pipeline sono stati molto efficaci nel catalizzare nuovi investimenti aziendali in nuove funzionalità di sicurezza e continuità aziendale.

Gli attacchi che diventano meno redditizi sono un altro fattore nel mix, ha affermato Coveware. Gli sforzi delle forze dell'ordine continuare a rendere gli attacchi ransomware più costosi da portare a termine. E con meno vittime che pagano, le bande registrano profitti complessivi inferiori, quindi il profitto medio per attacco è inferiore. Il risultato finale è che un numero minore di criminali informatici è in grado di guadagnarsi da vivere con il ransomware, ha affermato Coverware.

Bill Siegel, CEO e co-fondatore di Coveware, afferma che le compagnie assicurative hanno influenzato positivamente la sicurezza aziendale proattiva e la preparazione alla risposta agli incidenti negli ultimi anni. Dopo che le compagnie di assicurazione informatica hanno subito perdite sostanziali nel 2019 e nel 2020, molte hanno inasprito i termini di sottoscrizione e rinnovo e ora richiedono alle entità assicurate di avere standard minimi come MFA, backup e formazione sulla risposta agli incidenti. 

Allo stesso tempo, ritiene che le compagnie assicurative abbiano avuto un'influenza trascurabile nelle decisioni aziendali sull'opportunità o meno di pagare. “È un peccato, ma l'idea sbagliata comune è che in qualche modo le compagnie assicurative prendano questa decisione. Le aziende interessate prendono la decisione e presentano un reclamo dopo l'incidente, afferma.

Dire "no" alle esorbitanti richieste di ransomware

Allan Liska, analista di intelligence presso Recorded Future, indica le richieste di riscatto esorbitanti negli ultimi due anni come guida della crescente reticenza tra le vittime a pagare. Per molte organizzazioni, un'analisi costi-benefici spesso indica che non pagare è l'opzione migliore, afferma. 

"Quando le richieste di riscatto erano [nelle] cinque o sei cifre basse, alcune organizzazioni avrebbero potuto essere più inclini a pagare, anche se non gli piaceva l'idea", dice. "Ma una richiesta di riscatto a sette o otto cifre cambia questa analisi, e spesso è più economico affrontare i costi di recupero più eventuali azioni legali che potrebbero derivare dall'attacco", afferma.

Le conseguenze per il mancato pagamento possono variare. Per lo più, quando gli attori delle minacce non ricevono il pagamento, tendono a far trapelare o vendere tutti i dati che potrebbero aver esfiltrato durante l'attacco. Le organizzazioni vittime devono anche fare i conti con tempi di inattività potenzialmente più lunghi a causa degli sforzi di ripristino, delle potenziali spese rilasciate per l'acquisto di nuovi sistemi e altri costi, afferma Scher di Intel471.

Per le organizzazioni in prima linea nella piaga del ransomware, è probabile che la notizia del calo dei pagamenti di riscatto sia di scarsa consolazione. Proprio questa settimana, Yum Brands, capostipite di Taco Bell, KFC e Pizza Hut, ha dovuto chiudere quasi 300 ristoranti nel Regno Unito per un giorno dopo un attacco ransomware. In un altro incidente, un attacco ransomware alla società norvegese di software per la gestione della flotta marittima DNV colpito circa 1,000 navi appartenenti a circa 70 operatori.

I ricavi in ​​calo stimolano le bande in nuove direzioni

Tali attacchi sono continuati senza sosta fino al 2022 e la maggior parte si aspetta poca tregua dai volumi di attacchi anche nel 2023. La ricerca di Chainanalysis, ad esempio, ha mostrato che, nonostante il calo dei ricavi dei ransomware, il numero di ceppi unici di ransomware che gli operatori delle minacce hanno implementato lo scorso anno è salito a oltre 10,000 solo nella prima metà del 2022.

In molti casi, i singoli gruppi hanno implementato più ceppi contemporaneamente per aumentare le loro possibilità di generare entrate da questi attacchi. Gli operatori di ransomware hanno anche continuato a scorrere diversi ceppi più velocemente che mai: il nuovo ceppo di ransomware medio è rimasto attivo solo per 70 giorni, probabilmente nel tentativo di offuscare la loro attività.

Ci sono segnali che il calo dei ricavi del ransomware stia mettendo sotto pressione gli operatori di ransomware.

Coveware, ad esempio, ha rilevato che i pagamenti medi di riscatto nell'ultimo trimestre del 2022 sono aumentati del 58% rispetto al trimestre precedente a $ 408,644, mentre il pagamento medio è salito alle stelle del 342% a $ 185.972 nello stesso periodo. La società ha attribuito l'aumento ai tentativi degli aggressori informatici di compensare il più ampio calo delle entrate nel corso dell'anno. 

"Poiché la redditività prevista di un determinato attacco ransomware diminuisce per i criminali informatici, hanno tentato di compensare adattando le proprie tattiche", ha affermato Coveware. "Gli attori delle minacce si stanno spostando leggermente verso l'alto nel mercato per cercare di giustificare richieste iniziali più elevate nella speranza che si traducano in ingenti pagamenti di riscatto, anche se il loro tasso di successo diminuisce".

Un altro segno è che molti operatori di ransomware hanno iniziato a estorcere nuovamente le vittime dopo aver estratto loro denaro la prima volta, ha affermato Coveware. La ri-estorsione è stata tradizionalmente una tattica riservata alle vittime delle piccole imprese. Ma nel 2022, anche i gruppi che hanno tradizionalmente preso di mira le aziende di medie e grandi dimensioni hanno iniziato a utilizzare la tattica, probabilmente a causa delle pressioni finanziarie, ha affermato Coveware.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay