Os lucros do ransomware diminuem à medida que as vítimas atacam e se recusam a pagar

Em outro sinal de que a maré pode estar finalmente se voltando contra os agentes de ransomware, os pagamentos de resgate diminuíram substancialmente em 2022, pois mais vítimas se recusaram a pagar seus invasores – por vários motivos.

Se a tendência continuar, os analistas esperam que os agentes de ransomware comecem a exigir resgates maiores de vítimas maiores para tentar compensar a queda nas receitas, ao mesmo tempo em que buscam cada vez mais alvos menores com maior probabilidade de pagar (mas que representam pagamentos potencialmente menores).

Uma combinação de fatores de segurança

“Nossas descobertas sugerem que uma combinação de fatores e práticas recomendadas – como preparação de segurança, sanções, apólices de seguro mais rigorosas e o trabalho contínuo de pesquisadores – são eficazes para restringir os pagamentos”, diz Jackie Koven, chefe de inteligência de ameaças cibernéticas da Análise de cadeia.

A Chainanalysis disse que sua pesquisa mostrou que invasores de ransomware extorquiu cerca de US$ 456.8 milhões das vítimas em 2022, uma queda de quase 40% em relação aos US$ 765.6 milhões que extraíram das vítimas no ano anterior. É provável que o número real seja muito maior, considerando fatores como subnotificação de vítimas e visibilidade incompleta dos endereços de ransomware, admitiu Chainanalysis. Mesmo assim, há poucas dúvidas de que os pagamentos de ransomware caíram no ano passado devido a uma crescente relutância das vítimas em pagar seus invasores, disse a empresa.

“Organizações corporativas que investem em defesas de segurança cibernética e preparação para ransomware estão fazendo a diferença no cenário do ransomware”, diz Koven. “À medida que mais organizações estão preparadas, menos precisam pagar resgates, acabando por desincentivar os cibercriminosos de ransomware.”

Outros pesquisadores concordam. “As empresas que estão mais inclinadas a não pagar são aquelas que estão bem preparadas para um ataque de ransomware”, disse Scott Scher, analista sênior de inteligência cibernética da Intel471, à Dark Reading. “As organizações que tendem a ter melhores recursos de backup e recuperação de dados estão definitivamente mais bem preparadas quando se trata de resiliência a um incidente de ransomware e isso provavelmente diminui a necessidade de pagar resgate.”

Outro fator, de acordo com a Chainanalysis, é que pagar um resgate tornou-se legalmente mais arriscado para muitas organizações. Nos últimos anos, o governo dos EUA impôs sanções a muitas entidades de ransomware que operam fora de outros países. 

Em 2020, por exemplo, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA deixou claro que as organizações – ou aquelas que trabalham em seu nome – correm o risco de violar as regras dos EUA se fizerem pagamentos de resgate às entidades constantes da lista de sanções. O resultado é que as organizações estão cada vez mais desconfiadas de pagar um resgate “se houver um indício de conexão com uma entidade sancionada”, disse Chainanalysis.

“Devido aos desafios que os agentes de ameaças tiveram ao extorquir empresas maiores, é possível que os grupos de ransomware procurem alvos menores e mais fáceis, sem recursos robustos de segurança cibernética, em troca de demandas de resgate mais baixas”, diz Koven.

Pagamentos de resgate em declínio: uma tendência contínua

A Coveware também divulgou um relatório esta semana que destacou a mesma tendência de queda entre aqueles que fazem pagamentos de resgate. A empresa disse que seus dados mostraram que apenas 41% das vítimas de ransomware em 2022 pagaram resgate, em comparação com 50% em 2021, 70% em 2020 e 76% em 2019. Como a Chainanalysis, a Coveware também atribuiu um motivo para o declínio a melhores preparação entre as organizações para lidar com ataques de ransomware. Especificamente, ataques de alto perfil como o do Colonial Pipeline foram muito eficazes em catalisar novos investimentos corporativos em novos recursos de segurança e continuidade de negócios.

Ataques cada vez menos lucrativos são outro fator na mistura, disse Coveware. Esforços de aplicação da lei continuam a tornar os ataques de ransomware mais caros. E com menos vítimas pagando, as gangues estão obtendo menos lucro geral, então o retorno médio por ataque é menor. O resultado final é que um número menor de cibercriminosos consegue ganhar a vida com ransomware, disse Coverware.

Bill Siegel, CEO e cofundador da Coveware, diz que as seguradoras influenciaram a segurança empresarial proativa e a preparação para resposta a incidentes de maneira positiva nos últimos anos. Depois que as seguradoras cibernéticas sofreram perdas substanciais em 2019 e 2020, muitas restringiram seus termos de subscrição e renovação e agora exigem que as entidades seguradas tenham padrões mínimos como MFA, backups e treinamento de resposta a incidentes. 

Ao mesmo tempo, ele acredita que as seguradoras tiveram influência insignificante nas decisões das empresas sobre pagar ou não. “É lamentável, mas o equívoco comum é que, de alguma forma, as seguradoras tomam essa decisão. As empresas impactadas tomam a decisão”, e fazem uma reclamação após o incidente, diz ele.

Dizer “não” às demandas exorbitantes de ransomware

Allan Liska, analista de inteligência da Recorded Future, aponta os exorbitantes pedidos de resgate nos últimos dois anos como responsáveis ​​pela crescente reticência entre as vítimas em pagar. Para muitas organizações, uma análise de custo-benefício geralmente indica que não pagar é a melhor opção, diz ele. 

“Quando os pedidos de resgate estavam na casa dos cinco ou seis dígitos, algumas organizações podem ter ficado mais inclinadas a pagar, mesmo que não gostassem da ideia”, diz ele. “Mas uma demanda de resgate de sete ou oito dígitos muda essa análise, e muitas vezes é mais barato lidar com os custos de recuperação mais quaisquer ações judiciais que possam resultar do ataque”, diz ele.

As consequências do não pagamento podem variar. Principalmente, quando os agentes de ameaças não recebem pagamento, eles tendem a vazar ou vender quaisquer dados que possam ter exfiltrado durante o ataque. As organizações vítimas também precisam enfrentar tempos de inatividade potencialmente mais longos devido a esforços de recuperação, possíveis despesas liberadas para a compra de novos sistemas e outros custos, diz Scher da Intel471.

Para as organizações na linha de frente do flagelo do ransomware, as notícias do declínio relatado nos pagamentos de resgate provavelmente serão de pouco consolo. Ainda esta semana, a Yum Brands, controladora da Taco Bell, KFC e Pizza Hut, teve que fechar quase 300 restaurantes no Reino Unido por um dia após um ataque de ransomware. Em outro incidente, um ataque de ransomware à empresa norueguesa de software de gerenciamento de frota marítima DNV afetou cerca de 1,000 embarcações pertencentes a cerca de 70 operadoras.

Receitas em declínio estimulam gangues em novas direções

Esses ataques continuaram inabaláveis ​​até 2022 e a maioria espera pouca pausa nos volumes de ataques em 2023. A pesquisa da Chainanalysis, por exemplo, mostrou que, apesar da queda nas receitas de ransomware, o número de variedades únicas de ransomware que os operadores de ameaças implantaram no ano passado aumentou para mais de 10,000 apenas no primeiro semestre de 2022.

Em muitos casos, grupos individuais implantaram várias cepas ao mesmo tempo para melhorar suas chances de gerar receita com esses ataques. Os operadores de ransomware também continuaram passando por diferentes cepas mais rápido do que nunca – a média da nova cepa de ransomware ficou ativa por apenas 70 dias – provavelmente em um esforço para ofuscar sua atividade.

Há sinais de que a queda nas receitas de ransomware está pressionando os operadores de ransomware.

A Coveware, por exemplo, descobriu que os pagamentos médios de resgate no último trimestre de 2022 aumentaram 58% em relação ao trimestre anterior, para $ 408,644, enquanto o pagamento médio disparou 342%, para $ 185.972 no mesmo período. A empresa atribuiu o aumento às tentativas dos ciberataques de compensar as quedas de receita mais amplas ao longo do ano. 

“À medida que a lucratividade esperada de um determinado ataque de ransomware diminui para os cibercriminosos, eles tentam compensar ajustando suas próprias táticas”, disse Coveware. “Atores de ameaças estão subindo um pouco no mercado para tentar justificar demandas iniciais maiores na esperança de que resultem em grandes pagamentos de resgate, mesmo quando sua própria taxa de sucesso diminui.”

Outro sinal é que muitos operadores de ransomware começaram a reextorquir as vítimas depois de extrair dinheiro delas pela primeira vez, disse Coveware. A reextorsão tem sido tradicionalmente uma tática reservada para vítimas de pequenas empresas. Mas em 2022, grupos que tradicionalmente têm como alvo empresas de médio a grande porte começaram a empregar a tática também, provavelmente como resultado de pressões financeiras, disse Coveware.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay