Прибыль от программ-вымогателей снижается, поскольку жертвы копаются и отказываются платить

Еще одним признаком того, что ситуация, возможно, наконец-то повернулась против злоумышленников-вымогателей, стало существенное снижение выплат выкупа в 2022 году, поскольку все больше жертв отказывались платить злоумышленникам по разным причинам.

Если эта тенденция сохранится, аналитики ожидают, что субъекты программ-вымогателей начнут требовать более крупных выкупов от более крупных жертв, чтобы попытаться компенсировать падение доходов, а также все чаще будут преследовать более мелкие цели, которые с большей вероятностью заплатят (но которые представляют собой потенциально меньшие выплаты).

Сочетание факторов безопасности

«Наши результаты показывают, что сочетание факторов и лучших практик, таких как готовность к безопасности, санкции, более строгие страховые полисы и непрерывная работа исследователей, эффективно сдерживают платежи», — говорит Джеки Ковен, глава отдела разведки киберугроз в Цепной анализ.

Chainanalysis заявила, что ее исследование выявило атакующих программ-вымогателей. вымогал около 456.8 млн долларов у жертв в 2022 году, что почти на 40% меньше, чем 765.6 млн долларов, которые они получили от жертв годом ранее. Фактическое число, вероятно, будет намного выше, учитывая такие факторы, как занижение сведений жертвами и неполная видимость адресов программ-вымогателей, признал Chainanalysis. Тем не менее, нет никаких сомнений в том, что платежи программ-вымогателей в прошлом году снизились из-за растущего нежелания жертв платить злоумышленникам, заявила компания.

«Корпоративные организации, инвестирующие в средства защиты от кибербезопасности и готовность к программам-вымогателям, меняют ситуацию с программами-вымогателями», — говорит Ковен. «По мере того, как все больше организаций готовятся, меньше нужно платить выкупы, что в конечном итоге снижает стимулы для киберпреступников-вымогателей».

Другие исследователи соглашаются. «Более всего склонны не платить компании, которые хорошо подготовлены к атаке программ-вымогателей, — говорит Скотт Шер, старший аналитик киберразведки в Intel471, Dark Reading. «Организации, которые, как правило, имеют лучшие возможности резервного копирования и восстановления данных, определенно лучше подготовлены, когда речь идет об устойчивости к инцидентам с программами-вымогателями, и это, скорее всего, снизит их потребность платить выкуп».

Еще один фактор, согласно Chainanalysis, заключается в том, что выплата выкупа стала более рискованной с юридической точки зрения для многих организаций. В последние годы правительство США ввело санкции в отношении многих организаций, занимающихся вымогательством, действующих за пределами других стран. 

Например, в 2020 году Управление по контролю за иностранными активами Министерства финансов США (OFAC) ясно дало понять, что организации — или те, кто работает от их имени — рискуют нарушить правила США, если они будут платить выкуп лицам из санкционного списка. В результате организации стали все более подозрительно платить выкуп, «если есть хотя бы намек на связь с объектом, находящимся под санкциями», отмечает Chainanalysis.

«Из-за проблем, с которыми злоумышленники столкнулись при вымогательстве денег у крупных предприятий, вполне возможно, что группы вымогателей будут больше ориентироваться на более мелкие и простые цели, не имеющие надежных ресурсов кибербезопасности, в обмен на более низкие требования выкупа», — говорит Ковен.

Снижение выплат выкупа: сохраняющаяся тенденция

Coveware также выпустила отчет на этой неделе, в котором отмечен тот же нисходящий тренд среди тех, кто платит выкуп. Компания заявила, что ее данные показали, что только 41% жертв программ-вымогателей в 2022 году заплатили выкуп по сравнению с 50% в 2021 году, 70% в 2020 году и 76% в 2019 году. готовность организаций противостоять атакам программ-вымогателей. В частности, громкие атаки, такие как атака на Colonial Pipeline, были очень эффективным катализатором новых инвестиций предприятия в новые возможности безопасности и обеспечения непрерывности бизнеса.

По словам Коувера, атаки становятся менее прибыльными. Усилия правоохранительных органов продолжают делать атаки программ-вымогателей более дорогостоящими. И с меньше жертв платят, банды получают меньшую общую прибыль, поэтому средняя выплата за атаку ниже. Конечным результатом является то, что меньшее число киберпреступников может зарабатывать на жизнь программами-вымогателями, отмечает Coverware.

Билл Сигел, генеральный директор и соучредитель Coveware, говорит, что в последние годы страховые компании положительно повлияли на проактивную корпоративную безопасность и готовность к реагированию на инциденты. После того, как фирмы по киберстрахованию понесли значительные убытки в 2019 и 2020 годах, многие ужесточили условия андеррайтинга и продления и теперь требуют от застрахованных лиц соблюдения минимальных стандартов, таких как MFA, резервное копирование и обучение реагированию на инциденты. 

В то же время он считает, что страховые компании имеют незначительное влияние на решения предприятий о том, платить или нет. «К сожалению, распространено заблуждение, что страховые компании каким-то образом принимают это решение. Пострадавшие компании принимают решение», — говорит он, и подают иск после инцидента.

Сказать «нет» непомерным требованиям программ-вымогателей

Аллан Лиска, аналитик разведки в Recorded Future, указывает на непомерные требования выкупа за последние два года, которые привели к растущему нежеланию жертв платить. Он говорит, что для многих организаций анализ затрат и выгод часто показывает, что лучше не платить. 

«Когда требования о выкупе исчислялись пяти- или шестизначными цифрами, некоторые организации могли быть более склонны платить, даже если им не нравилась эта идея», — говорит он. «Но требование семи- или восьмизначного выкупа меняет этот анализ, и часто дешевле иметь дело с затратами на восстановление плюс любые судебные иски, которые могут быть связаны с атакой», — говорит он.

Последствия неуплаты могут быть разными. В основном, когда злоумышленники не получают оплаты, они, как правило, сливают или продают любые данные, которые они могли получить во время атаки. По словам Шера из Intel471, пострадавшим организациям также приходится иметь дело с потенциально более длительными простоями из-за усилий по восстановлению, потенциальными расходами на покупку новых систем и другими затратами.

Для организаций, находящихся на переднем крае борьбы с программами-вымогателями, новости о снижении выплат выкупа, вероятно, мало утешат. Буквально на этой неделе Yum Brands, материнская компания Taco Bell, KFC и Pizza Hut, пришлось закрыть около 300 ресторанов в Великобритании в течение дня после атаки программы-вымогателя. В другом инциденте атака программы-вымогателя на норвежскую компанию DNV, занимающуюся разработкой программного обеспечения для управления морским флотом. пострадало около 1,000 судов принадлежащих примерно 70 операторам.

Снижение доходов подталкивает банды к новым направлениям

Такие атаки не ослабевали до 2022 года, и большинство из них ожидают небольшой передышки от объемов атак и в 2023 году. Например, исследование Chainanalysis показало, что, несмотря на падение доходов от программ-вымогателей, количество уникальных штаммов программ-вымогателей, развернутых операторами угроз в прошлом году, только в первой половине 10,000 года превысило 2022 XNUMX.

Во многих случаях отдельные группы одновременно развертывали несколько штаммов, чтобы повысить свои шансы на получение дохода от этих атак. Операторы программ-вымогателей также продолжали переключаться между различными штаммами быстрее, чем когда-либо прежде — в среднем новый штамм программ-вымогателей был активен всего 70 дней — вероятно, в попытке скрыть свою активность.

Есть признаки того, что падение доходов от программ-вымогателей оказывает давление на операторов программ-вымогателей.

Coveware, например, обнаружил, что средние выплаты выкупа в последнем квартале 2022 года выросли на 58% по сравнению с предыдущим кварталом до 408,644 342 долларов, а медианный платеж за тот же период вырос на 185.972% до XNUMX XNUMX долларов. Компания объяснила этот рост попытками кибератак компенсировать более широкое снижение доходов в течение года. 

«Поскольку ожидаемая прибыльность данной атаки программ-вымогателей снижается для киберпреступников, они пытаются компенсировать это, корректируя свою собственную тактику», — сказал Коувер. «Субъекты угроз немного продвигаются вверх по рынку, чтобы попытаться оправдать более высокие первоначальные требования в надежде, что они приведут к большим выплатам выкупа, даже если их собственный показатель успеха снижается».

По словам Коувера, еще одним признаком является то, что многие операторы программ-вымогателей начали повторно вымогать деньги у жертв после того, как в первый раз получили от них деньги. Повторное вымогательство традиционно было тактикой, предназначенной для жертв малого бизнеса. Но в 2022 году группы, которые традиционно нацеливались на компании среднего и крупного размера, также начали использовать эту тактику, вероятно, из-за финансового давления, сказал Коувер.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay