Zyski z oprogramowania ransomware spadają, gdy ofiary okopują się i odmawiają zapłaty

Kolejną oznaką tego, że fala może wreszcie odwrócić się przeciwko hakerom ransomware, jest fakt, że płatności okupu znacznie spadły w 2022 r., ponieważ więcej ofiar odmówiło zapłaty atakującym — z różnych powodów.

Jeśli trend się utrzyma, analitycy spodziewają się, że cyberprzestępcy zaczną żądać wyższych okupów od większych ofiar, aby spróbować zrekompensować spadające dochody, jednocześnie coraz częściej atakując mniejsze cele, które z większym prawdopodobieństwem zapłacą (ale które reprezentują potencjalnie mniejsze zyski).

Kombinacja czynników bezpieczeństwa

„Nasze odkrycia sugerują, że połączenie czynników i najlepszych praktyk — takich jak gotowość do zapewnienia bezpieczeństwa, sankcje, bardziej rygorystyczne polisy ubezpieczeniowe i ciągła praca badaczy — skutecznie ogranicza płatności” — mówi Jackie Koven, szef wywiadu ds. cyberzagrożeń w Analiza łańcuchowa.

Chainanalysis powiedział, że jego badania wykazały atakujących ransomware wyłudził od ofiar około 456.8 mln dolarów w 2022 r, o prawie 40% mniej niż 765.6 miliona dolarów, które wyciągnęli od ofiar rok wcześniej. Rzeczywista liczba może być znacznie wyższa, biorąc pod uwagę takie czynniki, jak niedostateczne zgłaszanie przez ofiary i niepełna widoczność adresów ransomware, przyznała Chainanalysis. Mimo to nie ma wątpliwości, że płatności za oprogramowanie ransomware spadły w zeszłym roku z powodu rosnącej niechęci ofiar do płacenia atakującym, podała firma.

„Organizacje korporacyjne inwestujące w zabezpieczenia cybernetyczne i gotowość na ataki ransomware mają wpływ na krajobraz oprogramowania ransomware” — mówi Koven. „Ponieważ coraz więcej organizacji jest przygotowanych, mniej musi płacić okup, co ostatecznie zniechęca cyberprzestępców ransomware”.

Inni badacze zgadzają się. „Firmy, które są najbardziej skłonne nie płacić, to te, które są dobrze przygotowane na atak ransomware” — mówi Dark Reading Scott Scher, starszy analityk ds. cyberwywiadu w firmie Intel471. „Organizacje, które zwykle mają lepsze możliwości tworzenia kopii zapasowych i odzyskiwania danych, są zdecydowanie lepiej przygotowane, jeśli chodzi o odporność na incydent związany z oprogramowaniem ransomware, co z dużym prawdopodobieństwem zmniejsza potrzebę płacenia okupu”.

Kolejnym czynnikiem, według Chainanalysis, jest to, że zapłacenie okupu stało się prawnie bardziej ryzykowne dla wielu organizacji. W ostatnich latach rząd Stanów Zjednoczonych nałożył sankcje na wiele podmiotów ransomware działających poza granicami kraju. 

Na przykład w 2020 r. Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu Stanów Zjednoczonych wyjaśniło, że organizacje — lub osoby działające w ich imieniu — ryzykują naruszenie przepisów USA, jeśli zapłacą okup podmiotom znajdującym się na liście sankcyjnej. W rezultacie organizacje stają się coraz bardziej nieufne wobec płacenia okupu, „jeśli istnieje choćby cień powiązania z podmiotem objętym sankcjami”, powiedział Chainanalysis.

„Ze względu na wyzwania, z jakimi borykają się cyberprzestępcy podczas wyłudzania większych przedsiębiorstw, możliwe jest, że grupy ransomware będą bardziej skupiać się na mniejszych, łatwiejszych celach, którym brakuje solidnych zasobów cyberbezpieczeństwa w zamian za niższe żądania okupu” — mówi Koven.

Spadające płatności okupu: utrzymujący się trend

Coveware opublikowało również raport w tym tygodniu, że zaznaczył ten sam trend spadkowy wśród tych, którzy płacą okup. Firma twierdzi, że jej dane pokazują, że zaledwie 41% ofiar oprogramowania ransomware w 2022 r. zapłaciło okup, w porównaniu z 50% w 2021 r., 70% w 2020 r. i 76% w 2019 r. gotowości organizacji do radzenia sobie z atakami ransomware. W szczególności głośne ataki, takie jak ten na Colonial Pipeline, były bardzo skuteczne w katalizowaniu nowych inwestycji przedsiębiorstw w nowe funkcje bezpieczeństwa i ciągłości biznesowej.

Ataki, które stają się mniej lukratywne, to kolejny czynnik w mieszance, powiedział Coveware. Wysiłki organów ścigania nadal zwiększać koszty ataków ransomware. I z mniej ofiar płaci, gangi odnotowują mniejsze ogólne zyski, więc średnia wypłata za atak jest niższa. Końcowym rezultatem jest to, że mniejsza liczba cyberprzestępców jest w stanie utrzymać się z oprogramowania ransomware, powiedział Coverware.

Bill Siegel, dyrektor generalny i współzałożyciel Coveware, mówi, że firmy ubezpieczeniowe w ostatnich latach pozytywnie wpłynęły na proaktywne bezpieczeństwo przedsiębiorstwa i gotowość do reagowania na incydenty. Po tym, jak firmy zajmujące się cyberubezpieczeniami poniosły znaczne straty w 2019 i 2020 r., wiele z nich zaostrzyło warunki ubezpieczenia i odnowienia, a teraz wymaga od ubezpieczonych minimalnych standardów, takich jak MFA, tworzenie kopii zapasowych i szkolenie w zakresie reagowania na incydenty. 

Jednocześnie uważa, że ​​zakłady ubezpieczeń miały znikomy wpływ na decyzje przedsiębiorstwa o tym, czy płacić, czy nie. „To niefortunne, ale powszechnym nieporozumieniem jest to, że w jakiś sposób firmy ubezpieczeniowe podejmują taką decyzję. Firmy, których to dotyczy, podejmują decyzję” i składają wniosek po incydencie, mówi.

Mówimy „nie” wygórowanym żądaniom ransomware

Allan Liska, analityk wywiadu w Recorded Future, wskazuje, że wygórowane żądania okupu w ciągu ostatnich dwóch lat napędzają rosnącą niechęć ofiar do płacenia. W przypadku wielu organizacji analiza kosztów i korzyści często wskazuje, że niepłacenie jest lepszą opcją, mówi. 

„Kiedy żądania okupu były pięcio- lub sześciocyfrowe, niektóre organizacje mogły być bardziej skłonne do płacenia, nawet jeśli pomysł im się nie podobał” — mówi. „Jednak siedmio- lub ośmiocyfrowe żądanie okupu zmienia tę analizę i często tańsze jest radzenie sobie z kosztami odzyskiwania oraz wszelkimi procesami sądowymi, które mogą wynikać z ataku” – mówi.

Konsekwencje braku zapłaty mogą być różne. Przeważnie, gdy cyberprzestępcy nie otrzymują zapłaty, mają tendencję do wycieku lub sprzedaży wszelkich danych, które mogli wydobyć podczas ataku. Organizacje będące ofiarami muszą również zmagać się z potencjalnie dłuższymi przestojami spowodowanymi działaniami naprawczymi, potencjalnymi wydatkami związanymi z zakupem nowych systemów i innymi kosztami, mówi Scher z firmy Intel471.

Dla organizacji znajdujących się na pierwszej linii frontu plagi oprogramowania ransomware wiadomość o odnotowanym spadku liczby płatności okupu prawdopodobnie nie będzie pocieszeniem. Tylko w tym tygodniu Yum Brands, rodzic Taco Bell, KFC i Pizza Hut, musiał zamknąć prawie 300 restauracji w Wielkiej Brytanii przez jeden dzień po ataku ransomware. W innym incydencie atak ransomware na norweską firmę DNV zajmującą się oprogramowaniem do zarządzania flotą morską dotknęło około 1,000 statków należących do około 70 operatorów.

Spadające przychody pobudzają gangi w nowych kierunkach

Takie ataki trwały nieprzerwanie do 2022 r., a większość spodziewa się niewielkiego wytchnienia po liczbie ataków również w 2023 r. Na przykład badanie Chainanalysis wykazało, że pomimo spadku przychodów z oprogramowania ransomware, liczba unikalnych szczepów oprogramowania ransomware, które operatorzy wdrożyli w zeszłym roku, wzrosła do ponad 10,000 2022 tylko w pierwszej połowie XNUMX r.

W wielu przypadkach poszczególne grupy wdrażały jednocześnie wiele szczepów, aby zwiększyć swoje szanse na generowanie przychodów z tych ataków. Operatorzy oprogramowania ransomware przechodzili również przez różne odmiany szybciej niż kiedykolwiek wcześniej — przeciętny nowy rodzaj oprogramowania ransomware był aktywny zaledwie przez 70 dni — prawdopodobnie w celu zaciemnienia ich aktywności.

Istnieją oznaki, że spadające przychody z oprogramowania ransomware wywierają presję na operatorów oprogramowania ransomware.

Na przykład firma Coveware odkryła, że ​​średnie płatności okupu w ostatnim kwartale 2022 r. wzrosły o 58% w porównaniu z poprzednim kwartałem do 408,644 342 USD, podczas gdy mediana płatności wzrosła o 185.972% do XNUMX XNUMX USD w tym samym okresie. Firma przypisała wzrost próbom cyberataków, aby zrekompensować szersze spadki przychodów w ciągu roku. 

„Ponieważ oczekiwana rentowność danego ataku ransomware spada dla cyberprzestępców, próbują to zrekompensować, dostosowując własną taktykę” — powiedział Coveware. „Aktorzy zagrożeń przesuwają się nieznacznie w górę rynku, aby spróbować uzasadnić większe początkowe żądania w nadziei, że zaowocują dużymi okupami, nawet jeśli ich własny wskaźnik sukcesu spada”.

Kolejną oznaką jest to, że wielu operatorów oprogramowania ransomware zaczęło ponownie wyłudzać ofiary po wydobyciu od nich pieniędzy po raz pierwszy, powiedział Coveware. Ponowne wymuszenie było tradycyjnie taktyką zarezerwowaną dla ofiar małych firm. Ale w 2022 roku grupy, które tradycyjnie atakowały średnie i duże firmy, również zaczęły stosować tę taktykę, prawdopodobnie w wyniku presji finansowej, powiedział Coveware.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay