Средствата, събрани от атаки с рансъмуер, са намалели до 456,8 млн. долара през 2022 г. от високите 765,6 млн. долара през 2021 г., според нов доклад на аналитичната компания Chainalysis.
През последните 12 месеца се наблюдава рязък спад в успеваемостта на свързаните с криптовалути атаки с цел откуп.
Активност на криптографския ransomware
Графиката по-долу показва нарастването и намаляването на средствата, придобити чрез атаки с рансъмуер, през последните 6 години. Драматично увеличение се наблюдава през 2020 г., когато откраднатите средства достигат 765 млн. долара, а през 2021 г. се наблюдават подобни суми, откраднати от лошите актьори.
Източник: Chainalysis
Въпреки че в доклада на Chainalysis се признава, че „истинската обща сума е много по-висока“, тъй като е вероятно да има адреси, притежавани от нападатели на ransomware, които все още не са идентифицирани, спадът показва, че жертвите стават все по-разумни за подобни атаки. В резултат на това Chainalysis направи изявление в подкрепа на това мнение.
„[Спадът на плащанията за откуп] не означава, че атаките са намалели… Смятаме, че голяма част от спада се дължи на това, че организациите на жертвите все по-често отказват да плащат на нападателите на откуп. „
Рансъмуерните щамове се разрастват
Въпреки че плащанията за премахване на рансъмуер са намалели драстично, броят на щамовете на рансъмуер е експлодирал през 2022 г. Щамът е вид рансъмуер с общи варианти: Royal, Ragnar, Quantum, Play, Hive и Lockbit.
Fortinet, водеща компания за хардуер и софтуер за киберсигурност, съобщава за над 10 000 уникални щама, активни през 2022 г.
Щамовете имат намаляваща продължителност на живот, тъй като лошите актьори продължават да разнообразяват векторите на атака, за да оптимизират обема на откраднатите средства. Например през 2012 г. щамовете са продължили 3 907 дни, докато през 2022 г. средната продължителност е едва 70 дни. В резултат на това решенията за киберсигурност трябва да се справят с нарастващия брой активни щамове в своята стратегия за защита.
Фондове за рансъмуер
Финансите, придобити чрез атаки с рансъмуер, се изпират по няколко начина. По-голямата част от средствата все още се изпращат на популярни централизирани борси. Въпреки това P2P борсите, популярно решение за атакуващите с ransomware през 2018 г., вече съставляват малък процент от общия обем.
След централизираните борси устойчив метод за изпиране на средства е използването на даркнет пазари, обозначени като „незаконни“ в графиката на Chainalysis по-долу. И накрая, услугите за смесване съставляват следващата най-значителна част, позволявайки на нападателите да „изпират“ криптовалути с малко средства за защита от страна на глобалните органи.
Източник: Chainalysis
Финансова криминалистика на данни във веригата
Chainalysis използва данни от веригата, за да идентифицира „партньорски“ пазари за софтуер за изнудване, при които трети страни получават „малка, фиксирана част от приходите“ в модел на изнудване като услуга.
„Можем да мислим за това като за икономика на концертите, но за откупващия софтуер. Шофьорът на автомобил за споделено пътуване може да има едновременно отворени приложения за Uber, Lyft и Oja, което създава илюзията за трима отделни шофьори на пътя – но в действителност това е един и същи автомобил. „
Данните от веригата позволяват на компании като Chainalysis да проследяват лошите участници в блокчейн и евентуално да идентифицират следващия вектор на атака. Например Conti, широко разпространен щам на рансъмуер, беше разсечен през май 2022 г. И все пак, данните от on-chain разкриха, че портфейлите, свързани с Conti, сега преминават към други щамове като Royal, Quantum и Ragnar.
Нападателите на рансъмуер „използват повторно портфейли за множество атаки, стартирани номинално под други щамове“, което прави проследяването на дейността относително елементарно.
Спад в плащанията на откупи
Броят на успешните атаки с рансъмуер е намалял поради по-доброто разбиране на обстановката, подобрените мерки за сигурност и по-добрите възможности за съдебна експертиза на веригата. В резултат на това жертвите отказват да плащат на нападателите, тъй като много от тях са свързани със страни, санкционирани от OFAC.
През 2019 г. само 24% от жертвите са отказали да платят, докато през 2022 г. този процент се е увеличил до 59%. Плащането на възнаграждение за рансъмуер на страна от списъка със санкции на OFAC сега може да бъде „правно по-рисковано“. Алън Лиск, анализатор на разузнаването в Recorded Future, заяви пред Chainalysis;
„С надигащата се заплаха от санкции се добавя и заплахата от правни последици за плащане на [атакуващите с ransomware]. „
Последствията от неплащането на искания откуп често могат да опустошат жертвите, които често губят достъп до важни данни. Въпреки това, тъй като незаконната индустрия става все по-малко финансово жизнеспособна, надеждата е, че броят на атаките също ще намалее, като по този начин ще се намали и броят на жертвите.
Независимо от това, ролята на криптовалутата в атаките с откуп е ясна. Това е метод за кражба на криптовалути на стойност стотици милиони долари всяка година. Това обаче не означава, че няма повече загуби от традиционните финансови активи, много от които не могат да бъдат проследени чрез блокчейн.
