Lợi nhuận của ransomware giảm khi nạn nhân lao vào, từ chối trả tiền

Trong một dấu hiệu khác cho thấy làn sóng cuối cùng có thể đang chống lại những kẻ tấn công ransomware, các khoản thanh toán tiền chuộc đã giảm đáng kể vào năm 2022 do nhiều nạn nhân từ chối trả tiền cho những kẻ tấn công họ — vì nhiều lý do.

Nếu xu hướng này tiếp tục, các nhà phân tích cho rằng những kẻ tấn công ransomware sẽ bắt đầu đòi số tiền chuộc lớn hơn từ các nạn nhân lớn hơn để cố gắng bù đắp cho doanh thu giảm, đồng thời cũng ngày càng theo đuổi các mục tiêu nhỏ hơn có khả năng trả nhiều tiền hơn (nhưng có khả năng mang lại lợi nhuận nhỏ hơn).

Sự kết hợp của các yếu tố bảo mật

Jackie Koven, người đứng đầu bộ phận tình báo về mối đe dọa mạng tại cho biết: “Phát hiện của chúng tôi cho thấy rằng sự kết hợp giữa các yếu tố và các phương pháp hay nhất — chẳng hạn như chuẩn bị sẵn sàng về an ninh, các biện pháp trừng phạt, chính sách bảo hiểm nghiêm ngặt hơn và công việc liên tục của các nhà nghiên cứu — có hiệu quả trong việc hạn chế các khoản thanh toán”. phân tích chuỗi.

Chainanalysis cho biết nghiên cứu của họ cho thấy những kẻ tấn công ransomware đã tống tiền khoảng 456.8 triệu đô la từ các nạn nhân vào năm 2022, giảm gần 40% so với 765.6 triệu đô la mà họ đã trích từ các nạn nhân vào năm trước. Chainanalysis thừa nhận rằng con số thực tế có thể cao hơn nhiều khi xem xét các yếu tố như báo cáo không đầy đủ của nạn nhân và khả năng hiển thị không đầy đủ đối với các địa chỉ ransomware. Mặc dù vậy, có một chút nghi ngờ rằng các khoản thanh toán ransomware đã giảm vào năm ngoái do nạn nhân ngày càng không muốn trả tiền cho những kẻ tấn công họ, công ty cho biết.

Koven cho biết: “Các tổ chức doanh nghiệp đầu tư vào hệ thống phòng thủ an ninh mạng và chuẩn bị sẵn sàng cho phần mềm tống tiền đang tạo ra sự khác biệt trong bối cảnh phần mềm tống tiền. “Khi có nhiều tổ chức chuẩn bị sẵn sàng, thì nhu cầu trả tiền chuộc sẽ ít hơn, điều này cuối cùng sẽ làm nản lòng tội phạm mạng ransomware.”

Các nhà nghiên cứu khác đồng ý. Scott Scher, nhà phân tích tình báo mạng cấp cao tại Intel471, nói với Dark Reading: “Các doanh nghiệp có xu hướng không trả tiền nhiều nhất là những doanh nghiệp đã chuẩn bị tốt cho một cuộc tấn công bằng mã độc tống tiền. “Các tổ chức có xu hướng có khả năng sao lưu và phục hồi dữ liệu tốt hơn chắc chắn sẽ chuẩn bị tốt hơn khi đề cập đến khả năng phục hồi trước sự cố ransomware và điều này rất có thể làm giảm nhu cầu trả tiền chuộc của họ.”

Theo Chainanalysis, một yếu tố khác là việc trả tiền chuộc đã trở nên rủi ro hơn về mặt pháp lý đối với nhiều tổ chức. Trong những năm gần đây, chính phủ Hoa Kỳ đã áp dụng các biện pháp trừng phạt đối với nhiều tổ chức ransomware hoạt động bên ngoài các quốc gia khác. 

Chẳng hạn, vào năm 2020, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã nói rõ rằng các tổ chức — hoặc những người làm việc thay mặt họ — có nguy cơ vi phạm các quy tắc của Hoa Kỳ nếu họ thực hiện thanh toán tiền chuộc đối với các thực thể trong danh sách trừng phạt. Kết quả là các tổ chức ngày càng trở nên e dè trong việc trả tiền chuộc “nếu thậm chí có dấu hiệu liên quan đến một thực thể bị xử phạt,” Chainanalysis cho biết.

Koven cho biết: “Do những thách thức mà các tác nhân đe dọa gặp phải khi tống tiền các doanh nghiệp lớn hơn, có thể các nhóm ransomware có thể hướng tới các mục tiêu nhỏ hơn, dễ dàng hơn, thiếu tài nguyên an ninh mạng mạnh mẽ để đổi lấy yêu cầu tiền chuộc thấp hơn”.

Thanh toán tiền chuộc giảm dần: Xu hướng tiếp tục

Coveware cũng đã phát hành một báo cáo trong tuần này rằng nhấn mạnh cùng một xu hướng giảm trong số những người trả tiền chuộc. Công ty cho biết dữ liệu của họ cho thấy chỉ 41% nạn nhân của ransomware vào năm 2022 đã trả tiền chuộc, so với 50% vào năm 2021, 70% vào năm 2020 và 76% vào năm 2019. Giống như Chainanalysis, Coveware cũng cho rằng một lý do khiến sự sụt giảm trở nên tốt hơn sự chuẩn bị giữa các tổ chức để đối phó với các cuộc tấn công ransomware. Cụ thể, các cuộc tấn công nổi tiếng như cuộc tấn công vào Colonial Pipeline rất hiệu quả trong việc thúc đẩy các khoản đầu tư mới của doanh nghiệp vào các khả năng bảo mật và kinh doanh liên tục mới.

Coveware cho biết các cuộc tấn công trở nên ít sinh lợi hơn là một yếu tố khác. Nỗ lực thực thi pháp luật tiếp tục làm cho các cuộc tấn công ransomware trở nên tốn kém hơn. Và với ít nạn nhân trả tiền hơn, các băng đảng đang nhận được ít lợi nhuận tổng thể hơn, do đó, số tiền chi trả trung bình cho mỗi cuộc tấn công thấp hơn. Kết quả cuối cùng là một số lượng nhỏ tội phạm mạng có thể kiếm sống nhờ ransomware, Coverware cho biết.

Bill Siegel, Giám đốc điều hành và đồng sáng lập của Coveware, nói rằng các công ty bảo hiểm đã ảnh hưởng tích cực đến an ninh doanh nghiệp chủ động và chuẩn bị ứng phó sự cố theo hướng tích cực trong những năm gần đây. Sau khi các công ty bảo hiểm mạng chịu tổn thất đáng kể trong năm 2019 và 2020, nhiều công ty đã thắt chặt các điều khoản bảo lãnh và gia hạn, đồng thời yêu cầu các đơn vị được bảo hiểm phải có các tiêu chuẩn tối thiểu như MFA, sao lưu và đào tạo ứng phó sự cố. 

Đồng thời, ông cho rằng các công ty bảo hiểm có ảnh hưởng không đáng kể đến các quyết định của doanh nghiệp về việc có chi trả hay không. “Thật không may, nhưng quan niệm sai lầm phổ biến là bằng cách nào đó các công ty bảo hiểm đưa ra quyết định này. Ông nói, các công ty bị ảnh hưởng sẽ đưa ra quyết định,” và nộp đơn yêu cầu bồi thường sau vụ việc.

Nói “Không” với các yêu cầu tống tiền quá mức

Allan Liska, nhà phân tích tình báo tại Recorded Future, chỉ ra những yêu cầu đòi tiền chuộc quá cao trong hai năm qua khiến các nạn nhân ngày càng do dự trong việc trả tiền. Đối với nhiều tổ chức, phân tích lợi ích chi phí thường chỉ ra rằng không trả tiền là lựa chọn tốt hơn, ông nói. 

Ông nói: “Khi yêu cầu tiền chuộc ở mức thấp [trong] năm hoặc sáu con số, một số tổ chức có thể có xu hướng trả nhiều tiền hơn, ngay cả khi họ không thích ý tưởng đó. “Tuy nhiên, yêu cầu tiền chuộc lên tới bảy hoặc tám con số sẽ thay đổi phân tích đó và việc giải quyết chi phí khôi phục cộng với bất kỳ vụ kiện nào có thể xuất phát từ cuộc tấn công thường rẻ hơn,” ông nói.

Hậu quả của việc không thanh toán có thể khác nhau. Hầu hết, khi các tác nhân đe dọa không nhận được khoản thanh toán, họ có xu hướng rò rỉ hoặc bán bất kỳ dữ liệu nào mà họ có thể đã lấy được trong cuộc tấn công. Scher của Intel471 cho biết, các tổ chức nạn nhân cũng phải đối mặt với thời gian ngừng hoạt động có thể kéo dài hơn do các nỗ lực phục hồi, chi phí tiềm năng được phát hành để mua hệ thống mới và các chi phí khác.

Đối với các tổ chức ở tuyến đầu của tai họa ransomware, tin tức về việc giảm thanh toán tiền chuộc được báo cáo có thể là một niềm an ủi nhỏ. Chỉ trong tuần này, Yum Brands, công ty mẹ của Taco Bell, KFC và Pizza Hut, phải đóng cửa gần 300 nhà hàng ở Vương quốc Anh trong một ngày sau cuộc tấn công ransomware. Trong một sự cố khác, một cuộc tấn công ransomware vào công ty phần mềm quản lý hạm đội hàng hải Na Uy DNV khoảng 1,000 tàu bị ảnh hưởng thuộc về khoảng 70 nhà khai thác.

Doanh thu giảm Thúc đẩy các băng đảng theo hướng mới

Các cuộc tấn công như vậy tiếp tục không suy giảm cho đến năm 2022 và hầu hết đều mong đợi một chút thời gian nghỉ ngơi từ số lượng các cuộc tấn công vào năm 2023. Chẳng hạn, nghiên cứu của Chainanalysis cho thấy rằng mặc dù doanh thu của ransomware giảm, nhưng số lượng các chủng ransomware độc ​​nhất mà các nhà khai thác đe dọa triển khai vào năm ngoái đã tăng lên hơn 10,000 chỉ trong nửa đầu năm 2022.

Trong nhiều trường hợp, các nhóm riêng lẻ đã triển khai nhiều chủng loại cùng một lúc để cải thiện cơ hội tạo doanh thu từ các cuộc tấn công này. Những kẻ khai thác phần mềm tống tiền cũng tiếp tục luân chuyển qua các chủng khác nhau nhanh hơn bao giờ hết — trung bình một chủng ransomware mới chỉ hoạt động trong 70 ngày — có thể là một nỗ lực nhằm làm xáo trộn hoạt động của chúng.

Có những dấu hiệu cho thấy doanh thu ransomware giảm đang gây áp lực lên các nhà khai thác ransomware.

Ví dụ, Coveware nhận thấy rằng các khoản thanh toán tiền chuộc trung bình trong quý cuối cùng của năm 2022 đã tăng 58% so với quý trước lên 408,644 đô la trong khi khoản thanh toán trung bình tăng vọt 342% lên 185.972 đô la so với cùng kỳ. Công ty cho rằng sự gia tăng này là do những kẻ tấn công mạng cố gắng bù đắp cho sự sụt giảm doanh thu lớn hơn trong năm. 

Coveware cho biết: “Vì lợi nhuận dự kiến ​​của một cuộc tấn công ransomware nhất định giảm đối với tội phạm mạng, chúng đã cố gắng bù đắp bằng cách điều chỉnh các chiến thuật của riêng mình”. “Những kẻ đe dọa đang tiến lên một chút trên thị trường để thử và biện minh cho những yêu cầu ban đầu lớn hơn với hy vọng rằng chúng sẽ dẫn đến các khoản thanh toán tiền chuộc lớn, ngay cả khi tỷ lệ thành công của chính chúng giảm xuống.”

Coveware cho biết, một dấu hiệu khác là nhiều kẻ khai thác ransomware bắt đầu tống tiền nạn nhân sau khi moi tiền từ họ lần đầu tiên. Theo truyền thống, tống tiền lại là một chiến thuật dành riêng cho các nạn nhân là doanh nghiệp nhỏ. Nhưng vào năm 2022, các nhóm có truyền thống nhắm mục tiêu vào các công ty quy mô vừa và lớn cũng bắt đầu sử dụng chiến thuật này, có thể là do áp lực tài chính, Coveware cho biết.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay