Ransomware-vinster minskar när offer gräver in sig, vägrar att betala

Som ett annat tecken på att tidvattnet äntligen kan vända sig mot lösenprogramsaktörer, minskade lösensummabetalningarna avsevärt 2022 eftersom fler offer vägrade att betala sina angripare – av olika anledningar.

Om trenden fortsätter förväntar sig analytiker att ransomware-aktörer kommer att börja kräva större lösensummor från större offer för att försöka kompensera för fallande intäkter, samtidigt som de i allt högre grad går efter mindre mål som är mer benägna att betala (men som representerar potentiellt mindre utdelningar).

En kombination av säkerhetsfaktorer

"Våra resultat tyder på att en kombination av faktorer och bästa praxis - såsom säkerhetsberedskap, sanktioner, strängare försäkringar och forskarnas fortsatta arbete - är effektiva för att stävja betalningar", säger Jackie Koven, chef för cyberhotsunderrättelsetjänst på Kedjeanalys.

Chainanalysis sa att dess forskning visade ransomware-angripare utpressade omkring 456.8 miljoner dollar från offer 2022, en minskning med nästan 40 % från de 765.6 miljoner dollar som de hade utvunnit från offren året innan. Det faktiska antalet kommer sannolikt att vara mycket högre med tanke på faktorer som underrapportering av offer och ofullständig synlighet över ransomware-adresser, medgav Chainanalysis. Trots det råder det ingen tvekan om att betalningarna av ransomware minskade förra året på grund av en ökande ovilja hos offren att betala sina angripare, sa företaget.

"Företagsorganisationer som investerar i cybersäkerhetsförsvar och beredskap för ransomware gör skillnad i ransomware-landskapet", säger Koven. "När fler organisationer är förberedda behöver färre betala lösensummor, vilket i slutändan avskräcker cyberbrottslingar med lösensumma."

Andra forskare håller med. "De företag som är mest benägna att inte betala är de som är väl förberedda för en ransomware-attack", säger Scott Scher, senior cyberintelligensanalytiker på Intel471, till Dark Reading. "Organisationer som tenderar att ha bättre datasäkerhets- och återställningsmöjligheter är definitivt bättre förberedda när det kommer till motståndskraft mot en ransomware-incident och detta minskar högst sannolikt deras behov av att betala lösen."

En annan faktor, enligt Chainanalysis, är att betala en lösensumma har blivit juridiskt mer riskfylld för många organisationer. Under de senaste åren har den amerikanska regeringen infört sanktioner mot många ransomware-enheter som är verksamma från andra länder. 

År 2020, till exempel, gjorde det amerikanska finansdepartementets kontor för kontroll av utländska tillgångar (OFAC) det klart att organisationer – eller de som arbetar på deras vägnar – riskerar att bryta mot USA:s regler om de betalar ut lösen till enheter på sanktionslistan. Resultatet är att organisationer har blivit alltmer tveksamma till att betala en lösensumma "om det ens finns en antydan om koppling till en sanktionerad enhet", sa Chainanalysis.

"På grund av de utmaningar som aktörer har haft när det gäller att utpressa större företag, är det möjligt att ransomware-grupper kan se mer mot mindre, enklare mål som saknar robusta cybersäkerhetsresurser i utbyte mot lägre krav på lösen", säger Koven.

Sjunkande lösensumma: En fortsatt trend

Coveware släppte också en rapport denna vecka som visade samma nedåtgående trend bland dem som betalar lösen. Företaget sa att deras data visade att bara 41 % av offren för lösenprogram 2022 betalade en lösensumma, jämfört med 50 % 2021, 70 % 2020 och 76 % 2019. Liksom Chainanalysis tillskrev Coveware också en orsak till nedgången till bättre organisationers beredskap att hantera ransomware-attacker. Specifikt var högprofilerade attacker som den på Colonial Pipeline mycket effektiva för att katalysera nya företagsinvesteringar i nya säkerhets- och affärskontinuitetsmöjligheter.

Attacker som blir mindre lukrativa är en annan faktor i mixen, sa Coveware. Brottsbekämpande insatser fortsätta att göra ransomware-attacker dyrare att genomföra. Och med färre offer betalar, gäng ser mindre totala vinster, så den genomsnittliga utdelningen per attack är lägre. Slutresultatet är att ett mindre antal cyberbrottslingar kan försörja sig på ransomware, sa Coverware.

Bill Siegel, VD och medgrundare av Coveware, säger att försäkringsbolag har påverkat proaktiv företagssäkerhet och beredskap för incidenthantering på ett positivt sätt de senaste åren. Efter att cyberförsäkringsföretag led avsevärda förluster under 2019 och 2020 har många skärpt sina villkor för teckning och förnyelse och kräver nu att försäkrade enheter har minimistandarder som MFA, säkerhetskopiering och incidenthanteringsutbildning. 

Samtidigt menar han att försäkringsbolagen har haft ett försumbart inflytande i företagens beslut om att betala eller inte. "Det är olyckligt, men den vanliga missuppfattningen är att försäkringsbolagen på något sätt fattar det här beslutet. Berörda företag fattar beslutet”, och lämnar in ett krav efter händelsen, säger han.

Att säga "Nej" till orimliga krav på Ransomware

Allan Liska, underrättelseanalytiker på Recorded Future, pekar på orimliga krav på lösen under de senaste två åren som driver den växande återhållsamheten bland offren att betala. För många organisationer indikerar en kostnads-nyttoanalys ofta att inte betala är det bättre alternativet, säger han. 

"När kraven på lösen var [i] fem eller låga sex siffror, kan vissa organisationer ha varit mer benägna att betala, även om de inte gillade idén", säger han. "Men ett sju- eller åttasiffrigt krav på lösen förändrar den analysen, och det är ofta billigare att hantera återvinningskostnader plus eventuella stämningar som kan härröra från attacken", säger han.

Konsekvenserna för utebliven betalning kan variera. Oftast, när hotaktörer inte får betalt, tenderar de att läcka eller sälja all data som de kan ha exfiltrerat under attacken. Offerorganisationer måste också brottas med potentiellt längre stilleståndstider på grund av återhämtningsinsatser, potentiella utgifter som frigörs för att köpa nya system och andra kostnader, säger Scher från Intel471.

För organisationer i frontlinjen av ransomware gissel, kommer nyheterna om den rapporterade nedgången i lösenutbetalningar sannolikt att vara till liten tröst. Bara den här veckan, Yum Brands, förälder till Taco Bell, KFC och Pizza Hut, var tvungen att stänga nästan 300 restauranger i Storbritannien i en dag efter en attack med ransomware. I en annan incident, en ransomware-attack på det norska mjukvaruföretaget DNV för sjöfartshantering påverkade cirka 1,000 XNUMX fartyg som tillhör ett 70-tal operatörer.

Sjunkande intäkter sporrar gäng i nya riktningar

Sådana attacker fortsatte med oförminskad styrka fram till 2022 och de flesta förväntar sig lite andrum från attackvolymerna under 2023 heller. Chainanalysis forskning, till exempel, visade att trots fallande intäkter från ransomware ökade antalet unika ransomware-stammar som hotoperatörer distribuerade förra året till över 10,000 2022 bara under första halvåret XNUMX.

I många fall använde enskilda grupper flera stammar samtidigt för att förbättra sina chanser att generera intäkter från dessa attacker. Ransomware-operatörer fortsatte också att cykla igenom olika stammar snabbare än någonsin tidigare - den genomsnittliga nya ransomware-stammen var aktiv bara i 70 dagar - troligen i ett försök att fördunkla deras aktivitet.

Det finns tecken på att fallande intäkter från ransomware sätter press på ransomware-operatörer.

Coveware, till exempel, fann att genomsnittliga lösenbetalningar under det sista kvartalet 2022 ökade med 58 % jämfört med föregående kvartal till 408,644 342 USD medan medianbetalningen skjutit i höjden med 185.972 % till XNUMX XNUMX USD under samma period. Företaget tillskrev ökningen till försök från cyberattackare att kompensera för bredare intäktsminskningar under året. 

"Eftersom den förväntade lönsamheten för en given ransomware-attack minskar för cyberbrottslingar, har de försökt kompensera genom att justera sin egen taktik," sa Coveware. "Hotaktörer rör sig något uppåt på marknaden för att försöka motivera större initiala krav i hopp om att de resulterar i stora lösensummor, även när deras egen framgångsfrekvens minskar."

Ett annat tecken är att många ransomware-operatörer började återutpressa offer efter att ha utvunnit pengar från dem första gången, sa Coveware. Återutpressning har traditionellt sett varit en taktik som är reserverad för offer för småföretag. Men 2022 började grupper som traditionellt har riktat in sig på medelstora till stora företag också använda taktiken, troligen som ett resultat av ekonomisk press, sa Coveware.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay