De door ransomware-aanvallen opgehaalde gelden dalen van een hoogtepunt van 765,6 miljoen dollar in 2021 naar 456,8 miljoen dollar in 2022, volgens een nieuw rapport van analysebedrijf Chainalysis.
Crypto-gerelateerde ransomware-aanvallen hebben de afgelopen 12 maanden een sterke daling van het succespercentage gezien.
Crypto-ransomware-activiteit
De onderstaande grafiek toont de stijging en daling van de middelen die de afgelopen 6 jaar via ransomware-aanvallen zijn verworven. Een dramatische stijging werd gezien in 2020 toen de gestolen fondsen $ 765 miljoen bereikten, en in 2021 worden vergelijkbare bedragen gestolen door slechte actoren.
Bron: Chainalysis
Het Chainalysis rapport erkende dat “de ware totalen veel hoger zijn” omdat het waarschijnlijk is dat er adressen zijn die eigendom zijn van ransomware-aanvallers die nog niet zijn geïdentificeerd, maar de daling geeft aan dat slachtoffers wijs worden uit dergelijke aanvallen. Als gevolg daarvan heeft Chainalysis een verklaring afgelegd die dit sentiment ondersteunt.
“[Dalende betalingen voor ransomware] betekent niet dat de aanvallen afnemen… Wij geloven dat een groot deel van de daling te wijten is aan het feit dat organisaties steeds vaker weigeren om ransomware-aanvallers te betalen.”
Ransomware-stammen exploderen
Hoewel de betalingen om ransomware te verwijderen drastisch zijn gedaald, is het aantal ransomware-stammen in 2022 geëxplodeerd. Een strain is een type ransomware met veel voorkomende varianten: Royal, Ragnar, Quantum, Play, Hive en Lockbit.
Fortinet, een toonaangevend cybersecurity hardware- en softwarebedrijf, meldde meer dan 10.000 unieke stammen die in 2022 actief waren.
Strains hebben een afnemende levensduur omdat kwaadwillenden de aanvalsvectoren blijven variëren om het volume van de gestolen middelen te optimaliseren. In 2012 duurden stammen bijvoorbeeld 3.907 dagen, terwijl de gemiddelde duur in 2022 slechts 70 dagen bedroeg. Als gevolg hiervan moeten cyberbeveiligingsoplossingen in hun verdedigingsstrategie een toenemend aantal actieve stammen bijhouden.
Ransomware fondsen
De via ransomware-aanvallen verkregen fondsen worden via verschillende wegen witgewassen. De meeste fondsen worden nog steeds naar populaire gecentraliseerde beurzen gestuurd. P2P-beurzen, een populaire oplossing voor ransomware-aanvallers in 2018, vormen nu echter een klein percentage van het totale volume.
Na gecentraliseerde uitwisselingen is een hardnekkige methode voor het witwassen van fondsen het gebruik van darknet-markten die in de onderstaande grafiek van Chainalysis als ‘illegaal’ worden aangeduid. Tot slot vormen mengdiensten het volgende belangrijke deel, waarmee aanvallers crypto kunnen “wassen” zonder dat de wereldwijde autoriteiten daar iets tegen kunnen doen.
Bron: Chainalysis
On-chain data forensics
Chainalysis gebruikte on-chain data om “affiliate” markten voor ransomware software te identificeren waarbij derden een “klein, vast deel van de opbrengst” ontvangen in een ransomware-as-a-service model.
We kunnen het zien als de gig economy, maar dan voor ransomware. Een rideshare chauffeur kan zijn Uber, Lyft, en Oja apps tegelijk open hebben staan, waardoor de illusie ontstaat van drie verschillende chauffeurs op de weg – maar in werkelijkheid is het allemaal dezelfde auto.”
On-chain gegevens hebben bedrijven als Chainalysis in staat gesteld om slechte actoren over de blockchain te traceren en mogelijk de volgende aanvalsvector te identificeren. Conti bijvoorbeeld, een veelvoorkomende ransomware-stam, werd in mei 2022 opgeheven. Toch blijkt uit gegevens op de ketting dat wallets die met Conti verbonden zijn, nu overgaan op andere stammen zoals Royal, Quantum en Ragnar.
Ransomware-aanvallers “hergebruikten wallets voor meerdere aanvallen die nominaal onder andere stammen werden gelanceerd”, waardoor het traceren van activiteiten relatief elementair is.
Daling in betalingen voor ransomware
Het aantal succesvolle ransomware-aanvallen daalde door het toegenomen inzicht in het landschap, verbeterde beveiligingsmaatregelen en betere forensische mogelijkheden in de keten. Als gevolg daarvan weigeren slachtoffers aanvallers te betalen, omdat veel van hen verbonden zijn met OFAC-gesanctioneerde partijen.
In 2019 weigerde slechts 24% van de slachtoffers te betalen, terwijl dat percentage in 2022 is gestegen tot 59%. Het betalen van een ransomware bounty aan een partij op de OFAC-sanctielijst zou nu “juridisch riskanter” kunnen zijn. Allan Lisk, een inlichtingenanalist bij Recorded Future, vertelde Chainalysis;
“Met de dreiging van sancties is er de extra dreiging van juridische consequenties voor het betalen van [ransomware-aanvallers.]”
De gevolgen van het niet betalen van ransomware-eisen kunnen vaak verwoestend zijn voor de slachtoffers, die vaak de toegang tot essentiële gegevens verliezen. Naarmate de illegale industrie echter minder financieel levensvatbaar wordt, is de hoop dat het aantal aanvallen ook afneemt, waardoor het aantal slachtoffers afneemt.
Hoe dan ook, de rol van cryptocurrency in ransomware-aanvallen is duidelijk. Het is een methode om jaarlijks voor honderden miljoenen dollars aan crypto te stelen. Dat wil echter niet zeggen dat er niet meer verloren gaat aan traditionele financiële activa, waarvan vele niet traceerbaar zijn via een blockchain.
