Profiturile ransomware-ului scad pe măsură ce victimele sapă, refuză să plătească

Într-un alt semn că valul s-ar putea întoarce în sfârșit împotriva actorilor de ransomware, plățile de răscumpărare au scăzut substanțial în 2022, deoarece mai multe victime au refuzat să-și plătească atacatorii - din mai multe motive.

Dacă tendința continuă, analiștii se așteaptă ca actorii de ransomware să înceapă să ceară răscumpărări mai mari de la victimele mai mari pentru a încerca să compenseze scăderea veniturilor, în timp ce urmăresc tot mai mult ținte mai mici care au șanse mai mari să plătească (dar care reprezintă câștiguri potențial mai mici).

O combinație de factori de securitate

„Descoperirile noastre sugerează că o combinație de factori și cele mai bune practici – cum ar fi pregătirea pentru securitate, sancțiuni, polițe de asigurare mai stricte și munca continuă a cercetătorilor – sunt eficiente în limitarea plăților”, spune Jackie Koven, șeful departamentului de informații privind amenințările cibernetice la Analiza în lanț.

Chainanalysis a spus că cercetările sale au arătat atacatori de ransomware a extorcat aproximativ 456.8 milioane de dolari de la victime în 2022, în scădere cu aproape 40% față de cei 765.6 milioane de dolari pe care i-au extras de la victime cu un an înainte. Numărul real va fi probabil mult mai mare luând în considerare factori precum subraportarea de către victime și vizibilitatea incompletă asupra adreselor de ransomware, a recunoscut Chainanalysis. Chiar și așa, nu există nicio îndoială că plățile pentru ransomware au scăzut anul trecut din cauza refuzului tot mai mare al victimelor de a-și plăti atacatorii, a spus compania.

„Organizațiile de întreprindere care investesc în apărarea securității cibernetice și pregătirea pentru ransomware fac diferența în peisajul ransomware”, spune Koven. „Pe măsură ce mai multe organizații sunt pregătite, mai puține trebuie să plătească răscumpărări, descurajând în cele din urmă infractorii cibernetici ransomware.”

Alți cercetători sunt de acord. „Afacerile care sunt cele mai înclinate să nu plătească sunt cele care sunt bine pregătite pentru un atac ransomware”, spune Scott Scher, analist senior cyber-intelligence la Intel471, pentru Dark Reading. „Organizațiile care tind să aibă capacități mai bune de backup și recuperare a datelor sunt cu siguranță mai bine pregătite atunci când vine vorba de rezistență la un incident ransomware, iar acest lucru foarte probabil le scade nevoia de a plăti răscumpărare.”

Un alt factor, potrivit Chainanalysis, este că plata unei răscumpări a devenit mai riscantă din punct de vedere legal pentru multe organizații. În ultimii ani, guvernul SUA a impus sancțiuni multor entități ransomware care operează din alte țări. 

În 2020, de exemplu, Biroul de Control al Activelor Străine (OFAC) al Departamentului Trezoreriei SUA a precizat că organizațiile – sau cei care lucrează în numele lor – riscă să încalce regulile SUA dacă fac plăți de răscumpărare către entităţile de pe lista sancţiunilor. Rezultatul este că organizațiile au devenit din ce în ce mai suspecte de a plăti o răscumpărare „dacă există măcar un indiciu de legătură cu o entitate sancționată”, a spus Chainanalysis.

„Din cauza provocărilor pe care actorii amenințări le-au avut în extorcarea întreprinderilor mai mari, este posibil ca grupurile de ransomware să caute mai mult către ținte mai mici, mai ușoare, lipsite de resurse solide de securitate cibernetică, în schimbul unor cereri de răscumpărare mai mici”, spune Koven.

Reducerea plăților de răscumpărare: o tendință continuă

Coveware a lansat, de asemenea, un raport în această săptămână că a evidențiat aceeași tendință descendentă dintre cei care fac plăți de răscumpărare. Compania a spus că datele sale arată că doar 41% dintre victimele ransomware-ului în 2022 au plătit o răscumpărare, comparativ cu 50% în 2021, 70% în 2020 și 76% în 2019. pregătirea organizațiilor pentru a face față atacurilor ransomware. Mai exact, atacurile de mare profil, precum cel de pe Colonial Pipeline, au fost foarte eficiente în catalizarea investițiilor noi ale întreprinderilor în noi capacități de securitate și continuitate a afacerii.

Atacurile care devin mai puțin profitabile este un alt factor în amestec, a spus Coveware. Eforturile de aplicare a legii continua să facă atacurile ransomware mai costisitoare de realizat. Si cu mai puține victime plătind, bandele înregistrează un profit total mai mic, astfel încât profitul mediu per atac este mai mic. Rezultatul final este că un număr mai mic de criminali cibernetici sunt capabili să trăiască din ransomware, a spus Coverware.

Bill Siegel, CEO și co-fondator al Coveware, spune că companiile de asigurări au influențat securitatea proactivă a întreprinderii și pregătirea pentru răspuns la incidente într-un mod pozitiv în ultimii ani. După ce firmele de asigurări cibernetice au suferit pierderi substanțiale în 2019 și 2020, multe și-au înăsprit termenii de subscriere și de reînnoire și acum solicită entităților asigurate să aibă standarde minime precum MFA, backup-uri și instruire pentru răspuns la incidente. 

În același timp, el consideră că companiile de asigurări au avut o influență neglijabilă în deciziile întreprinderii cu privire la plata sau nu. „Este regretabil, dar ideea greșită comună este că, cumva, companiile de asigurări iau această decizie. Companiile afectate iau decizia” și depun o reclamație după incident, spune el.

Spuneți „Nu” cerințelor exorbitante de ransomware

Allan Liska, analist de informații la Recorded Future, subliniază că cererile exorbitante de răscumpărare din ultimii doi ani au determinat reticența crescândă a victimelor de a plăti. Pentru multe organizații, o analiză cost-beneficiu indică adesea că nu plătiți este opțiunea mai bună, spune el. 

„Când cererile de răscumpărare erau [în] cinci sau șase cifre, unele organizații ar fi fost mai înclinate să plătească, chiar dacă nu le-a plăcut ideea”, spune el. „Dar o cerere de răscumpărare de șapte sau opt cifre schimbă această analiză și este adesea mai ieftin să faci față costurilor de recuperare plus orice procese care pot decurge din atac”, spune el.

Consecințele pentru neplată pot varia. De cele mai multe ori, atunci când actorii amenințărilor nu primesc plată, ei tind să scurgă sau să vândă orice date pe care le-ar fi putut exfiltra în timpul atacului. Organizațiile victime trebuie, de asemenea, să se confrunte cu perioade de nefuncționare potențial mai lungi din cauza eforturilor de recuperare, a potențialelor cheltuieli eliberate pentru achiziționarea de noi sisteme și a altor costuri, spune Scher de la Intel471.

Pentru organizațiile aflate în linia întâi a flagelului ransomware, vestea despre scăderea raportată a plăților de răscumpărare este probabil de puțină consolare. Chiar în această săptămână, Yum Brands, părintele Taco Bell, KFC și Pizza Hut, a trebuit să închidă aproape 300 de restaurante în Marea Britanie timp de o zi după un atac ransomware. Într-un alt incident, un atac ransomware asupra companiei norvegiene de software de gestionare a flotei maritime DNV a afectat aproximativ 1,000 de nave aparţinând a aproximativ 70 de operatori.

Veniturile în scădere stimulează bandele în direcții noi

Astfel de atacuri au continuat fără încetare până în 2022 și cei mai mulți se așteaptă la un răgaz redus de la volumul de atacuri și în 2023. Cercetarea Chainanalysis, de exemplu, a arătat că, în ciuda scăderii veniturilor din ransomware, numărul de tulpini unice de ransomware pe care operatorii de amenințări le-au implementat anul trecut a crescut la peste 10,000 doar în prima jumătate a anului 2022.

În multe cazuri, grupurile individuale au implementat mai multe tulpini în același timp pentru a-și îmbunătăți șansele de a genera venituri din aceste atacuri. Operatorii de ransomware au continuat, de asemenea, să parcurgă diferite tulpini mai repede decât oricând – tulpina medie nouă de ransomware a fost activă doar timp de 70 de zile – probabil într-un efort de a le ofusca activitatea.

Există semne că scăderea veniturilor din ransomware pune presiune asupra operatorilor de ransomware.

Coveware, de exemplu, a constatat că plățile medii de răscumpărare în ultimul trimestru al anului 2022 au crescut cu 58% față de trimestrul precedent, la 408,644 USD, în timp ce plata medie a crescut cu 342% la 185.972 USD în aceeași perioadă. Compania a atribuit creșterea încercărilor atacatorilor cibernetici de a compensa scăderile mai ample ale veniturilor de-a lungul anului. 

„Deoarece profitabilitatea așteptată a unui anumit atac ransomware scade pentru infractorii cibernetici, aceștia au încercat să compenseze ajustându-și propriile tactici”, a spus Coveware. „Actorii de amenințări se deplasează ușor în sus pe piață pentru a încerca să justifice cereri inițiale mai mari, în speranța că vor avea ca rezultat plăți mari de răscumpărare, chiar dacă propria lor rată de succes scade.”

Un alt semn este că mulți operatori de ransomware au început să reextorce victimele după ce au extras bani de la ele prima dată, a spus Coveware. Reextorcarea a fost în mod tradițional o tactică rezervată victimelor micilor afaceri. Dar în 2022, grupurile care au vizat în mod tradițional companiile mijlocii și mari au început să aplice și tactica, probabil ca urmare a presiunilor financiare, a spus Coveware.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay