Secondo un nuovo rapporto della società di analisi Chainalysis, i fondi raccolti dagli attacchi ransomware sono scesi a 456,8 milioni di dollari nel 2022, rispetto al massimo di 765,6 milioni di dollari del 2021.
Gli attacchi ransomware legati alla crittografia hanno registrato un forte calo del tasso di successo negli ultimi 12 mesi.
Attività di ransomware crittografico
Il grafico sottostante mostra l’aumento e il calo dei fondi acquisiti tramite attacchi ransomware negli ultimi 6 anni. Nel 2020 si è registrato un forte aumento dei fondi rubati, che hanno raggiunto i 765 milioni di dollari, mentre nel 2021 i malintenzionati hanno rubato somme simili.
Fonte: Chainalysis
Sebbene il rapporto di Chainalysis riconosca che “il totale reale è molto più alto”, in quanto è probabile che vi siano indirizzi di proprietà degli aggressori di ransomware che non sono ancora stati identificati, il calo indica che le vittime stanno diventando consapevoli di tali attacchi. Di conseguenza, Chainalysis ha rilasciato una dichiarazione a sostegno di questo sentimento.
“[Il calo dei pagamenti dei ransomware] non significa che gli attacchi siano diminuiti… Crediamo che gran parte del calo sia dovuto al fatto che le organizzazioni vittime si rifiutano sempre più di pagare gli aggressori di ransomware “
I ceppi di ransomware esplodono
Anche se i pagamenti per rimuovere i ransomware sono diminuiti drasticamente, il numero di ceppi di ransomware è esploso nel 2022. Un ceppo è un tipo di ransomware con varianti comuni: Royal, Ragnar, Quantum, Play, Hive e Lockbit.
Fortinet, azienda leader nel settore dell’hardware e del software per la sicurezza informatica, ha segnalato oltre 10.000 ceppi unici attivi nel 2022.
I ceppi hanno una durata di vita decrescente, poiché i malintenzionati continuano a variare i vettori di attacco per ottimizzare il volume dei fondi rubati. Ad esempio, nel 2012 i ceppi sono durati 3.907 giorni, mentre nel 2022 la durata media sarà di soli 70 giorni. Di conseguenza, le soluzioni di cybersecurity devono tenere il passo con un numero crescente di ceppi attivi nella loro strategia di difesa.
Fondi per il ransomware
I fondi acquisiti attraverso gli attacchi ransomware vengono riciclati attraverso diverse vie. La maggior parte dei fondi viene ancora inviata alle famose borse centralizzate. Tuttavia, gli scambi P2P, una soluzione popolare per gli attaccanti di ransomware nel 2018, costituiscono ora una percentuale minima del volume complessivo.
Dopo gli scambi centralizzati, un metodo persistente di riciclaggio dei fondi è l’utilizzo di mercati darknet designati come “illeciti” nel grafico Chainalysis qui sotto. Infine, i servizi di miscelazione costituiscono la porzione successiva più significativa, consentendo agli aggressori di “lavare” le criptovalute con scarso ricorso da parte delle autorità globali.
Fonte: Chainalysis
On-chain data forensics
Chainalysis ha utilizzato i dati on-chain per identificare i mercati “affiliati” per il software ransomware, in cui le terze parti ricevono una “piccola parte fissa dei proventi” in un modello di ransomware-as-a-service.
“Possiamo considerarla come la gig economy, ma per il ransomware. Un autista di rideshare può avere le app di Uber, Lyft e Oja aperte contemporaneamente, creando l’illusione di tre autisti distinti sulla strada, ma in realtà si tratta della stessa auto “
I dati sulla catena hanno permesso ad aziende come Chainalysis di rintracciare i cattivi attori attraverso la blockchain ed eventualmente identificare il prossimo vettore di attacco. Ad esempio, Conti, un ceppo di ransomware molto diffuso, è stato eliminato nel maggio 2022. Tuttavia, i dati sulla catena hanno rivelato che i portafogli collegati a Conti si stanno spostando su altri ceppi come Royal, Quantum e Ragnar.
Gli aggressori di ransomware “hanno riutilizzato i portafogli per più attacchi lanciati nominalmente sotto altri ceppi”, rendendo l’attività di tracciamento relativamente elementare.
Declino dei pagamenti di ransomware
Il numero di attacchi ransomware andati a buon fine è diminuito grazie alla maggiore conoscenza del panorama, al miglioramento delle misure di sicurezza e alle migliori capacità forensi sulla catena. Di conseguenza, le vittime si rifiutano di pagare gli aggressori, poiché molti di essi sono collegati a soggetti sottoposti a sanzioni OFAC.
Nel 2019 solo il 24% delle vittime si è rifiutato di pagare, mentre nel 2022 la percentuale è salita al 59%. Pagare una taglia per un ransomware a una parte dell’elenco delle sanzioni OFAC potrebbe ora essere “legalmente più rischioso”. Allan Lisk, analista di intelligence presso Recorded Future, ha dichiarato a Chainalysis;
“Con la minaccia di sanzioni incombente, si aggiunge la minaccia di conseguenze legali per il pagamento [degli attaccanti di ransomware]”.
Le conseguenze del mancato pagamento delle richieste di ransomware possono spesso devastare le vittime, che spesso perdono l’accesso a dati essenziali. Tuttavia, man mano che l’industria illecita diventa meno redditizia, la speranza è che anche il numero di attacchi diminuisca, riducendo così il numero di vittime.Ad ogni modo, il ruolo delle criptovalute negli attacchi ransomware è chiaro. È un metodo per rubare centinaia di milioni di dollari di criptovalute ogni anno. Tuttavia, questo non vuol dire che non si perdano altri beni finanziari tradizionali, molti dei quali non sono tracciabili attraverso una blockchain.
