Ransomware-winsten nemen af ​​naarmate slachtoffers graven en weigeren te betalen

Een ander teken dat het tij eindelijk kan keren tegen ransomware-actoren, is dat de losgeldbetalingen in 2022 aanzienlijk zijn gedaald, omdat meer slachtoffers om verschillende redenen weigerden hun aanvallers te betalen.

Als de trend zich doorzet, verwachten analisten dat ransomware-actoren hogere losgelden zullen gaan eisen van grotere slachtoffers om te proberen de dalende inkomsten te compenseren, terwijl ze ook steeds vaker kleinere doelwitten zullen najagen die meer kans hebben om te betalen (maar die mogelijk kleinere uitbetalingen vertegenwoordigen).

Een combinatie van beveiligingsfactoren

"Onze bevindingen suggereren dat een combinatie van factoren en best practices - zoals paraatheid op het gebied van beveiliging, sancties, strengere verzekeringspolissen en het voortdurende werk van onderzoekers - effectief zijn in het terugdringen van betalingen", zegt Jackie Koven, hoofd van cyberdreigingsinformatie bij Ketenanalyse.

Chainanalyse zei dat haar onderzoek ransomware-aanvallers aan het licht bracht heeft in 456.8 ongeveer $ 2022 miljoen afgeperst van slachtoffers, een daling van bijna 40% ten opzichte van de $ 765.6 miljoen die ze het jaar ervoor van de slachtoffers hadden gewonnen. Het werkelijke aantal ligt waarschijnlijk veel hoger, rekening houdend met factoren als onderrapportage door slachtoffers en onvolledige zichtbaarheid van ransomware-adressen, gaf Chainanalyse toe. Toch lijdt het weinig twijfel dat de betalingen voor ransomware vorig jaar zijn gedaald vanwege een toenemende onwil van slachtoffers om hun aanvallers te betalen, aldus het bedrijf.

"Bedrijfsorganisaties die investeren in cyberbeveiliging en paraatheid bij ransomware maken een verschil in het ransomwarelandschap", zegt Koven. "Naarmate meer organisaties voorbereid zijn, hoeven er minder losgeld te worden betaald, waardoor ransomware-cybercriminelen uiteindelijk worden ontmoedigd."

Andere onderzoekers zijn het daarmee eens. "De bedrijven die het meest geneigd zijn om niet te betalen, zijn degenen die goed voorbereid zijn op een ransomware-aanval", zegt Scott Scher, senior cyber-intelligence-analist bij Intel471, tegen Dark Reading. "Organisaties die over het algemeen over betere mogelijkheden voor gegevensback-up en -herstel beschikken, zijn absoluut beter voorbereid als het gaat om veerkracht bij een ransomware-incident en dit vermindert hoogstwaarschijnlijk hun behoefte om losgeld te betalen."

Een andere factor is volgens Chainanalysis dat het betalen van losgeld voor veel organisaties juridisch riskanter is geworden. In de afgelopen jaren heeft de Amerikaanse regering sancties opgelegd aan veel ransomware-entiteiten die vanuit andere landen opereren. 

In 2020 maakte het Amerikaanse Department of the Treasury's Office of Foreign Assets Control (OFAC) bijvoorbeeld duidelijk dat organisaties — of degenen die namens hen werken — het risico lopen de Amerikaanse regels te overtreden als ze losgeld betalen aan entiteiten op de sanctielijst. Het resultaat is dat organisaties steeds wantrouwiger zijn geworden in het betalen van losgeld "als er ook maar een spoor is van een connectie met een gesanctioneerde entiteit", aldus Chainanalysis.

"Vanwege de uitdagingen die bedreigingsactoren hebben gehad bij het afpersen van grotere ondernemingen, is het mogelijk dat ransomware-groepen meer kijken naar kleinere, gemakkelijkere doelen die geen robuuste cyberbeveiligingsmiddelen hebben in ruil voor lagere losgeldeisen", zegt Koven.

Dalende losgeldbetalingen: een aanhoudende trend

Coveware bracht deze week ook een rapport uit dat benadrukten dezelfde neerwaartse trend onder degenen die losgeld betalen. Het bedrijf zei dat uit zijn gegevens bleek dat slechts 41% van de ransomware-slachtoffers in 2022 losgeld betaalde, vergeleken met 50% in 2021, 70% in 2020 en 76% in 2019. Net als Chainanalysis schreef Coveware ook een reden voor de daling toe aan betere paraatheid van organisaties om met ransomware-aanvallen om te gaan. Met name high-profile aanvallen zoals die op Colonial Pipeline waren zeer effectief in het katalyseren van nieuwe bedrijfsinvesteringen in nieuwe beveiligings- en bedrijfscontinuïteitsmogelijkheden.

Aanvallen die minder lucratief worden, is een andere factor in de mix, zei Coveware. Pogingen voor wetshandhaving blijven ransomware-aanvallen duurder maken om uit te voeren. En met minder slachtoffers betalen, zien bendes minder algemene winst, dus de gemiddelde uitbetaling per aanval is lager. Het eindresultaat is dat een kleiner aantal cybercriminelen kan leven van ransomware, aldus Coverware.

Bill Siegel, CEO en mede-oprichter van Coveware, zegt dat verzekeringsmaatschappijen de afgelopen jaren een positieve invloed hebben gehad op proactieve bedrijfsbeveiliging en incidentresponsparaatheid. Nadat cyberverzekeringsmaatschappijen in 2019 en 2020 aanzienlijke verliezen hebben geleden, hebben velen hun acceptatie- en verlengingsvoorwaarden aangescherpt en vereisen nu dat verzekerde entiteiten beschikken over minimumnormen zoals MFA, back-ups en incidentresponstraining. 

Tegelijkertijd is hij van mening dat verzekeringsmaatschappijen een verwaarloosbare invloed hebben gehad op de beslissingen van ondernemingen om al dan niet te betalen. “Het is jammer, maar de algemene misvatting is dat verzekeringsmaatschappijen op de een of andere manier deze beslissing nemen. Getroffen bedrijven nemen de beslissing', en dienen na het incident een claim in, zegt hij.

"Nee" zeggen tegen exorbitante eisen aan ransomware

Allan Liska, inlichtingenanalist bij Recorded Future, wijst op exorbitante losgeldeisen van de afgelopen twee jaar als drijvende kracht achter de groeiende terughoudendheid onder slachtoffers om te betalen. Voor veel organisaties geeft een kosten-batenanalyse vaak aan dat niet betalen de betere optie is, zegt hij. 

"Toen de losgeldeis vijf of zes cijfers bedroeg, waren sommige organisaties misschien meer geneigd om te betalen, ook als ze het idee niet leuk vonden", zegt hij. "Maar een losgeldeis van zeven of acht cijfers verandert die analyse, en het is vaak goedkoper om rekening te houden met herstelkosten plus eventuele rechtszaken die uit de aanval kunnen voortvloeien", zegt hij.

De gevolgen van wanbetaling kunnen variëren. Meestal, wanneer bedreigingsactoren geen betaling ontvangen, hebben ze de neiging om gegevens te lekken of te verkopen die ze mogelijk tijdens de aanval hebben geëxfiltreerd. Slachtofferorganisaties hebben ook te maken met mogelijk langere uitvaltijden als gevolg van herstelpogingen, mogelijke uitgaven voor de aanschaf van nieuwe systemen en andere kosten, zegt Scher van Intel471.

Voor organisaties in de frontlinie van de ransomware-plaag is het nieuws over de gerapporteerde afname van losgeldbetalingen waarschijnlijk weinig troost. Deze week heeft Yum Brands, de moedermaatschappij van Taco Bell, KFC en Pizza Hut, moest bijna 300 restaurants sluiten een dag in het VK na een ransomware-aanval. Bij een ander incident, een ransomware-aanval op het Noorse softwarebedrijf DNV voor het beheer van maritieme wagenparken trof zo'n 1,000 schepen die behoren tot ongeveer 70 operatoren.

Dalende inkomsten zetten bendes aan tot nieuwe richtingen

Dergelijke aanvallen gingen onverminderd door in 2022 en de meesten verwachten ook in 2023 weinig respijt van de aanvalsvolumes. Het onderzoek van Chainanalyse toonde bijvoorbeeld aan dat ondanks dalende ransomware-inkomsten, het aantal unieke ransomware-stammen dat bedreigingsoperators vorig jaar hebben ingezet, is gestegen tot meer dan 10,000 in de eerste helft van 2022.

In veel gevallen hebben individuele groepen meerdere stammen tegelijkertijd ingezet om hun kansen op het genereren van inkomsten uit deze aanvallen te vergroten. Ransomware-operators bleven ook sneller dan ooit tevoren verschillende stammen doorlopen - de gemiddelde nieuwe ransomware-stam was slechts 70 dagen actief - waarschijnlijk in een poging om hun activiteit te verdoezelen.

Er zijn tekenen dat dalende inkomsten uit ransomware de exploitanten van ransomware onder druk zetten.

Coveware ontdekte bijvoorbeeld dat de gemiddelde losgeldbetalingen in het laatste kwartaal van 2022 met 58% zijn gestegen ten opzichte van het voorgaande kwartaal tot $ 408,644, terwijl de mediane betaling in dezelfde periode met 342% omhoogschoot tot $ 185.972. Het bedrijf schreef de stijging toe aan pogingen van cyberaanvallers om bredere omzetdalingen gedurende het jaar te compenseren. 

"Omdat de verwachte winstgevendheid van een bepaalde ransomware-aanval voor cybercriminelen afneemt, hebben ze geprobeerd dit te compenseren door hun eigen tactieken aan te passen", aldus Coveware. "Dreigers bewegen zich iets hoger op de markt om grotere aanvankelijke eisen te rechtvaardigen in de hoop dat ze resulteren in grote losgeldbetalingen, zelfs als hun eigen slagingspercentage afneemt."

Een ander teken is dat veel ransomware-operators slachtoffers opnieuw begonnen af ​​te persen nadat ze de eerste keer geld van hen hadden afgepakt, zei Coveware. Opnieuw afpersen is van oudsher een tactiek die voorbehouden is aan slachtoffers van kleine bedrijven. Maar in 2022 begonnen groepen die zich traditioneel op middelgrote tot grote bedrijven richtten, deze tactiek ook toe te passen, waarschijnlijk als gevolg van financiële druk, zei Coveware.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay