ランサムウェアの利益は、被害者が侵入し、支払いを拒否するにつれて減少します

ランサムウェアの利益は、被害者が侵入し、支払いを拒否するにつれて減少します

タイムスタンプ:20年2023月4日18:XNUMX
被害者がPlatoBlockchain Data Intelligenceへの支払いを拒否したため、ランサムウェアの利益は減少。垂直検索。あい。

ランサムウェアのアクターに対する流れが最終的に変わりつつあることを示すもう 2022 つの兆候として、XNUMX 年には身代金の支払いが大幅に減少しました。これは、さまざまな理由で攻撃者への支払いを拒否する被害者が増えたためです。

この傾向が続く場合、アナリストは、ランサムウェアのアクターが、収益の減少を補うために、より大きな被害者に対してより大きな身代金を要求し始めると予想しています。

セキュリティ要素の組み合わせ

「私たちの調査結果は、セキュリティへの備え、制裁、より厳格な保険契約、研究者の継続的な取り組みなどの要因とベスト プラクティスの組み合わせが、支払いの抑制に効果的であることを示唆しています」と、連鎖分析。

Chainanalysis は、その調査でランサムウェア攻撃者が示されたと述べた 456.8 年に被害者から約 2022 億 XNUMX 万ドルを強要した、前年に被害者から引き出した40億765.6万ドルから約XNUMX%減少しました。 Chainanalysis は、被害者による過小報告やランサムウェア アドレスの不完全な可視性などの要因を考慮すると、実際の数ははるかに多い可能性が高いと認めています。 それでも、昨年のランサムウェアの支払いが減少したのは、被害者が攻撃者に支払いたがらない傾向が強まっているためであることに疑いの余地はありません、と同社は述べています。

「サイバーセキュリティの防御とランサムウェアへの備えに投資している企業組織は、ランサムウェアの状況に変化をもたらしています」とコーベン氏は言います。 「より多くの組織が準備を整えれば、身代金を支払う必要性が減り、最終的にはランサムウェアのサイバー犯罪者の意欲をそぐことになります。」

他の研究者も同意見です。 Intel471 のシニア サイバー インテリジェンス アナリストである Scott Scher 氏は、Dark Reading に次のように語っています。 「より優れたデータ バックアップおよびリカバリ機能を備えている傾向にある組織は、ランサムウェア インシデントに対するレジリエンスに関して、確実に備えが整っており、これにより身代金を支払う必要性が減少する可能性が非常に高くなります。」

Chainanalysis によると、もう XNUMX つの要因は、身代金を支払うことが多くの組織にとって法的に危険になっていることです。 近年、米国政府は、他国で活動している多くのランサムウェア エンティティに制裁を課しています。 

たとえば、2020 年に、米国財務省の外国資産管理局 (OFAC) は、組織、またはその代理として働いている組織が、 彼らが身代金を支払った場合、米国の規則に違反するリスクがあります 制裁リストのエンティティに。 その結果、組織は、「制裁対象のエンティティとのつながりの兆候さえあれば」、身代金を支払うことにますます慎重になっている、と Chainanalysis は述べています。

「脅威アクターが大企業を脅迫する際に直面した課題のため、ランサムウェア グループは、身代金の要求を低くする代わりに、堅牢なサイバーセキュリティ リソースに欠ける、より小規模で簡単な標的に目を向ける可能性があります」とコーベン氏は言います。

身代金の支払いの減少: 継続する傾向

Coveware は今週、次のようなレポートもリリースしました。 同じ下降トレンドを強調した 身代金の支払いを行っている人々の間で。 同社によると、そのデータによると、ランサムウェアの被害者のうち、41 年には 2022%、50 年には 2021%、70 年には 2020% だったのに対し、76 年には 2019% しか身代金を支払っていませんでした。ランサムウェア攻撃に対処するための組織間の準備。 具体的には、Colonial Pipeline に対する攻撃のような注目を集めた攻撃は、新しいセキュリティおよびビジネス継続性機能への企業の新たな投資を促進するのに非常に効果的でした。

Coveware 氏によると、攻撃の収益性が低下していることも、混合のもう XNUMX つの要因です。 法執行機関の取り組み ランサムウェア攻撃を成功させるには、引き続きコストがかかります。 そして 支払う被害者が少ない、ギャングは全体的な利益が少ないため、攻撃ごとの平均利益は低くなります。 その結果、少数のサイバー犯罪者がランサムウェアで生計を立てることができるようになる、と Coverware は述べています。

Coveware の CEO 兼共同設立者である Bill Siegel 氏は、近年、保険会社はプロアクティブなエンタープライズ セキュリティとインシデント対応の準備に積極的に影響を与えていると述べています。 サイバー保険会社が 2019 年と 2020 年に多額の損失を被った後、多くの保険会社は引受と更新の条件を厳しくし、現在では被保険者に MFA、バックアップ、インシデント対応トレーニングなどの最低基準を要求しています。 

同時に、彼は保険会社が保険料を支払うか否かに関する企業の意思決定にほとんど影響を与えていないと考えています。 「残念なことですが、よくある誤解は、保険会社が何らかの形でこの決定を下すというものです。 影響を受けた企業が決定を下し、インシデント後に請求を提出します、と彼は言います。

法外なランサムウェアの要求に「ノー」と言う

Recorded Future のインテリジェンス アナリストである Allan Liska 氏は、過去 XNUMX 年間の法外な身代金の要求が、被害者の間で支払いをためらう傾向を強めていると指摘しています。 多くの組織にとって、費用便益分析は、多くの場合、支払いをしない方が良い選択肢であることを示している、と彼は言います。 

「身代金の要求が XNUMX 桁か XNUMX 桁台前半だった場合、一部の組織は、考えが気に入らなかったとしても、支払う傾向が強かった可能性があります」と彼は言います。 「しかし、XNUMX 桁から XNUMX 桁の身代金が要求されると、その分析は変わります。多くの場合、復旧費用と、攻撃に起因する可能性のある訴訟に対処する方が安くなります」と彼は言います。

不払いの結果はさまざまです。 ほとんどの場合、脅威アクターが支払いを受け取らない場合、攻撃中に盗み出した可能性のあるデータを漏洩または販売する傾向があります。 Intel471 の Scher 氏によると、被害者の組織は、復旧作業、新しいシステムの購入にかかる潜在的な費用、およびその他の費用のために、ダウンタイムが長くなる可能性があることにも対処しなければなりません。

ランサムウェア被害の最前線に立つ組織にとって、報告された身代金の支払いの減少に関するニュースは、ほとんど慰めにはならないでしょう。 ちょうど今週、Taco Bell、KFC、Pizza Hut の親会社である Yum Brands は、 300近くのレストランを閉鎖しなければならなかった ランサムウェア攻撃に続く XNUMX 日間、英国で。 別のインシデントでは、ノルウェーの海上艦隊管理ソフトウェア会社 DNV に対するランサムウェア攻撃 約1,000隻の船舶に影響を与えた 約70のオペレーターに属しています。

収益の減少がギャングを新たな方向へと駆り立てる

このような攻撃は 2022 年まで衰えることなく続き、ほとんどの人は 2023 年も攻撃の量がほとんど止まることを期待していません。 たとえば、Chainanalysis の調査によると、ランサムウェアの収益が減少しているにもかかわらず、脅威オペレーターが昨年展開した独自のランサムウェア株の数は、10,000 年の前半だけで 2022 を超えました。

多くの場合、個々のグループが同時に複数の株を展開して、これらの攻撃から収益を上げる可能性を高めました。 また、ランサムウェア オペレーターは、これまでにない速さでさまざまな株を切り替え続けました。平均的な新しいランサムウェア株は、わずか 70 日間しか活動していませんでした。これは、おそらく彼らの活動を難読化するためでした。

ランサムウェアの収益の減少が、ランサムウェアのオペレーターに圧力をかけている兆候があります。

たとえば、Coveware は、2022 年の第 58 四半期の平均身代金支払い額が前四半期より 408,644% 急増して 342 ドルになり、支払いの中央値が同じ期間に 185.972% 急増して XNUMX ドルになったことを発見しました。 同社は、この増加は、サイバー攻撃者が年間を通じた幅広い収益の減少を埋め合わせようとしたためであると考えています。 

「特定のランサムウェア攻撃の期待される収益性がサイバー犯罪者にとって低下するにつれて、彼らは独自の戦術を調整することで補償しようとしています」と Coveware は述べています。 「脅威アクターは、自身の成功率が低下しても、多額の身代金の支払いにつながることを期待して、より大きな初期要求を正当化しようとして、市場をわずかに上昇させています。」

もう 2022 つの兆候は、多くのランサムウェア オペレーターが、最初に被害者から金銭を引き出した後、被害者を再び強要し始めたことです、と Coveware は述べています。 再恐喝は、伝統的に中小企業の被害者のための戦術でした。 しかし、XNUMX 年には、これまで中規模から大規模の企業を標的にしてきたグループも、おそらく財政的圧力の結果として、同様の戦術を採用し始めたと Coveware は述べています。

タイムスタンプ:

より多くの 暗い読書