Прибуток від програм-вимагачів зменшується, оскільки жертви копаються та відмовляються платити

Іншою ознакою того, що хвиля, можливо, нарешті обернеться проти розповсюджувачів програм-вимагачів, виплати викупу суттєво зменшилися у 2022 році, оскільки все більше жертв відмовлялися платити своїм зловмисникам — з різних причин.

Якщо ця тенденція збережеться, аналітики очікують, що учасники програм-вимагачів почнуть вимагати більші викупи від більших жертв, щоб спробувати компенсувати падіння доходів, а також все частіше переслідуватимуть менші цілі, які, швидше за все, заплатять (але потенційно отримають менші виплати).

Комбінація факторів безпеки

«Наші висновки свідчать про те, що комбінація факторів і найкращих практик, таких як підготовленість до безпеки, санкції, більш суворі страхові поліси та постійна робота дослідників, є ефективними для стримування виплат», — каже Джекі Ковен, керівник відділу розвідки кіберзагроз у Ланцюговий аналіз.

Chainanalysis заявила, що її дослідження показали зловмисників-вимагачів виманив близько 456.8 мільйонів доларів у жертв у 2022 році, що майже на 40% менше порівняно з 765.6 мільйонами доларів, які вони витягли у жертв роком раніше. Справжнє число, ймовірно, буде набагато вищим, враховуючи такі фактори, як занижене повідомлення жертв і неповна видимість адрес програм-вимагачів, визнає Chainanalysis. Незважаючи на це, мало хто сумнівається в тому, що виплати програм-вимагачів знизилися минулого року через зростаюче небажання жертв платити своїм зловмисникам, заявили в компанії.

«Комерційні організації, які інвестують у захист кібербезпеки та готовність до програм-вимагачів, змінюють ландшафт програм-вимагачів», — каже Ковен. «Чим більше організацій готові, тим менше потребує сплати викупу, що зрештою перешкоджає стимулюванню кіберзлочинців програм-вимагачів».

Інші дослідники погоджуються. «Бізнеси, які найбільше схильні не платити, — це ті, які добре підготовлені до атаки програм-вимагачів», — розповідає Dark Reading Скотт Шер, старший аналітик з кіберрозвідки Intel471. «Організації, які, як правило, мають кращі можливості резервного копіювання та відновлення даних, безумовно, краще підготовлені, коли мова заходить про стійкість до інциденту програм-вимагачів, і це, швидше за все, зменшує їхню потребу платити викуп».

Іншим фактором, згідно з Chainanalysis, є те, що сплата викупу стала юридично більш ризикованою для багатьох організацій. Останніми роками уряд США наклав санкції на багато компаній-вимагачів, які працюють з інших країн. 

Наприклад, у 2020 році Управління контролю за іноземними активами Міністерства фінансів США (OFAC) чітко дало зрозуміти, що організації — або ті, хто працює від їх імені — ризикують порушити правила США, якщо вони сплатять викуп особам із санкційного списку. Результатом є те, що організації стають дедалі скромнішими щодо сплати викупу, «якщо є хоча б натяк на зв’язок із організацією, яка потрапила під санкції», – зазначає Chainanalysis.

«Через труднощі, з якими зіткнулися суб’єкти загрози під час вимагання великих підприємств, цілком можливо, що групи програм-вимагачів можуть більше звертатися до менших, легших цілей, які не мають надійних ресурсів кібербезпеки, в обмін на менші вимоги щодо викупу», — каже Ковен.

Зменшення виплат викупу: триваюча тенденція

Цього тижня компанія Coveware також опублікувала звіт про те підкреслив ту саму тенденцію до зниження серед тих, хто сплачує викуп. Згідно з даними компанії, лише 41% жертв програм-вимагачів у 2022 році заплатили викуп, порівняно з 50% у 2021 році, 70% у 2020 році та 76% у 2019 році. готовність організацій до боротьби з атаками програм-вимагачів. Зокрема, резонансні атаки, такі як атака на Colonial Pipeline, були дуже ефективними для каталізації нових інвестицій підприємства в нові можливості безпеки та безперервності бізнесу.

За словами Ковевера, напади стають менш прибутковими — це ще один фактор у цій суміші. Зусилля правоохоронних органів продовжувати робити атаки програм-вимагачів дорожчими. І с менше жертв платять, банди отримують менший загальний прибуток, тому середня виплата за атаку нижча. Кінцевим результатом є те, що менша кількість кіберзлочинців може заробляти на життя програмами-вимагачами, сказав Coverware.

Білл Сігел, генеральний директор і співзасновник Coveware, каже, що за останні роки страхові компанії позитивно вплинули на проактивну безпеку підприємства та готовність до реагування на інциденти. Після того, як кіберстрахові компанії зазнали значних збитків у 2019 і 2020 роках, багато з них посилили умови андеррайтингу та продовження договорів і тепер вимагають від застрахованих організацій відповідати мінімальним стандартам, таким як MFA, резервне копіювання та навчання реагування на інциденти. 

Водночас він вважає, що страхові компанії мали незначний вплив на рішення підприємств щодо того, платити чи ні. «На жаль, поширена помилкова думка, що страхові компанії якимось чином приймають таке рішення. Постраждалі компанії приймають рішення», і подають позов після інциденту, каже він.

Сказати «Ні» непомірним вимогам програм-вимагачів

Аллан Ліска, аналітик розвідки Recorded Future, вказує на непомірні вимоги викупу за останні два роки як причину зростаючої стриманості жертв платити. Для багатьох організацій аналіз витрат і вигод часто показує, що кращим варіантом є неплатіння, каже він. 

«Коли вимоги про викуп були п’ятизначними чи меншими шестизначними цифрами, деякі організації могли бути більш схильні платити, навіть якщо їм не подобалася ідея», — каже він. «Але семи- або восьмизначна сума викупу змінює цей аналіз, і часто дешевше мати справу з витратами на відшкодування плюс будь-якими судовими позовами, які можуть виникнути внаслідок атаки», — каже він.

Наслідки несплати можуть бути різними. Здебільшого, коли суб’єкти загрози не отримують грошей, вони, як правило, витікають або продають будь-які дані, які вони могли викрасти під час атаки. Організаціям, які постраждали, також доводиться стикатися з потенційно довшими простоями через зусилля з відновлення, потенційними витратами на придбання нових систем та іншими витратами, каже Шер з Intel471.

Для організацій, які перебувають на передовій боротьби з програмами-вимагачами, новина про зниження виплати викупу, ймовірно, буде мало втішною. Лише цього тижня Yum Brands, материнська компанія Taco Bell, KFC і Pizza Hut, довелося закрити майже 300 ресторанів у Великобританії протягом дня після атаки програм-вимагачів. Інший інцидент – атака програми-вимагача на норвезьку компанію з програмного забезпечення для управління морським флотом DNV зачепило близько 1,000 суден що належать приблизно 70 операторам.

Зниження доходів стимулює банди в нових напрямках

Такі атаки тривали безперервно протягом 2022 року, і більшість очікує невеликої перепочинку від обсягів атак у 2023 році. Дослідження Chainanalysis, наприклад, показали, що, незважаючи на падіння доходів від програм-вимагачів, кількість унікальних штамів програм-вимагачів, які оператори загроз розгорнули минулого року, лише в першій половині 10,000 року зросла до понад 2022 XNUMX.

У багатьох випадках окремі групи використовували кілька штамів одночасно, щоб підвищити свої шанси отримати дохід від цих атак. Оператори програм-вимагачів також продовжували переглядати різні штами швидше, ніж будь-коли раніше — середній новий штам програм-вимагачів був активним лише протягом 70 днів — ймовірно, намагаючись приховати свою діяльність.

Є ознаки того, що падіння доходів від програм-вимагачів створює тиск на операторів програм-вимагачів.

Coveware, наприклад, виявив, що середні виплати викупу в останньому кварталі 2022 року зросли на 58% порівняно з попереднім кварталом до 408,644 342 доларів США, тоді як середній розмір виплати різко зріс на 185.972% до XNUMX XNUMX доларів США за той самий період. Компанія пояснила це збільшення спробами кібератак компенсувати більш масштабне падіння доходу протягом року. 

«Оскільки очікувана прибутковість певної атаки програм-вимагачів знижується для кіберзлочинців, вони намагаються компенсувати це шляхом коригування власної тактики», — сказав Ковевер. «Актори загрози трохи просуваються на ринку, щоб спробувати виправдати більші початкові вимоги в надії, що вони призведуть до великих виплат викупу, навіть якщо їхній власний рівень успіху знижується».

Іншою ознакою є те, що багато операторів програм-вимагачів почали повторно вимагати жертв після того, як витягли з них гроші в перший раз, сказав Coveware. Повторне вимагання традиційно було тактикою, призначеною для жертв малого бізнесу. Але у 2022 році групи, які традиційно націлювалися на компанії середнього та великого розміру, також почали застосовувати таку тактику, ймовірно, через фінансовий тиск, сказав Ковевер.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay