Средства, собранные в результате атак вымогателей, упали до $456,8 млн в 2022 году с максимума в $765,6 млн в 2021 году, говорится в новом отчете аналитической компании Chainalysis.
За последние 12 месяцев процент успешных атак на программы-выкупы, связанные с криптовалютами, резко упал.
Активность криптопрограмм для выкупа
На графике ниже показан рост и падение объема средств, полученных в результате атак вымогателей, за последние 6 лет. Резкий рост наблюдался в 2020 году, когда объем похищенных средств достиг 765 миллионов долларов, а в 2021 году плохие игроки похитят аналогичные суммы.
Источник: Chainalysis
Хотя в отчете Chainalysis признается, что «истинные цифры гораздо выше», поскольку, скорее всего, существуют адреса, принадлежащие злоумышленникам ransomware, которые еще не идентифицированы, падение показывает, что жертвы становятся все более мудрыми по отношению к таким атакам. В результате компания Chainalysis сделала заявление, поддерживающее эти настроения.
«[Снижение платежей за выкуп] не означает, что атаки прекратились… Мы считаем, что в значительной степени снижение связано с тем, что организации-жертвы все чаще отказываются платить злоумышленникам за выкуп. «
Ранзомные программы взрываются
Несмотря на резкое снижение платежей за удаление выкупных программ, в 2022 году количество штаммов выкупных программ резко возросло. Штамм — это тип ransomware с распространенными вариантами: Royal, Ragnar, Quantum, Play, Hive и Lockbit.
Компания Fortinet, ведущий разработчик аппаратного и программного обеспечения для кибербезопасности, сообщила о более чем 10 000 уникальных штаммов, активных в течение 2022 года.
Срок жизни штаммов сокращается, поскольку злоумышленники продолжают изменять векторы атак, чтобы оптимизировать объем похищенных средств. Например, в 2012 году штаммы существовали 3 907 дней, а в 2022 году их средняя продолжительность составит всего 70 дней. В результате решения по кибербезопасности должны успевать за растущим числом активных штаммов в своей стратегии защиты.
Фонды выкупа
Средства, полученные в результате атак вымогателей, отмываются несколькими способами. Большинство средств по-прежнему направляется на популярные централизованные биржи. Однако P2P-биржи, ставшие популярным решением для злоумышленников в 2018 году, теперь составляют ничтожный процент от общего объема.
После централизованных бирж устойчивым методом отмывания средств является использование даркнет-рынков, обозначенных как «незаконные» на диаграмме Chainalysis ниже. Наконец, следующую по значимости долю составляют микширующие сервисы, позволяющие злоумышленникам «отмывать» криптовалюту, не обращаясь к мировым властям.
Источник: Chainalysis
Криминалистика цепных данных
Chainalysis использовал данные о цепочке для выявления «партнерских» рынков программного обеспечения для выкупа, на которых третьи лица получают «небольшую, фиксированную долю выручки» в модели выкупа как услуги
«Мы можем думать об этом как о гиг-экономике, но для вымогательского ПО. У водителя маршрутного такси могут быть одновременно открыты приложения Uber, Lyft и Oja, что создает иллюзию трех разных водителей на дороге — но на самом деле это все одна и та же машина. «
Данные о цепочке позволили таким компаниям, как Chainalysis, отследить плохих игроков в блокчейне и, возможно, определить следующий вектор атаки. Например, Conti, распространенный штамм ransomware, был ликвидирован в мае 2022 года. Тем не менее, данные на цепочке показали, что кошельки, подключенные к Conti, теперь переходят к другим штаммам, таким как Royal, Quantum и Ragnar.
Злоумышленники «повторно использовали кошельки для множества атак, запущенных номинально под другими штаммами», что делает отслеживание относительно элементарным.
Снижение платежей за вымогательство
Количество успешных атак на программы-выкупы снизилось благодаря более глубокому пониманию ландшафта, улучшенным мерам безопасности и более совершенным возможностям криминалистической экспертизы на цепи. В результате жертвы отказываются платить злоумышленникам, поскольку многие из них связаны с лицами, находящимися под санкциями OFAC.
В 2019 году только 24% жертв откажутся платить, тогда как в 2022 году этот показатель увеличится до 59%. Выплата вознаграждения за ransomware стороне, находящейся в санкционном списке OFAC, теперь может быть «юридически более рискованной». Аллан Лиск, аналитик компании Recorded Future, сообщил Chainalysis;
«С нависшей угрозой санкций появляется дополнительная угроза юридических последствий оплаты [злоумышленниками выкупа]»
Последствия неуплаты требований о выкупе часто могут опустошить жертв, которые часто теряют доступ к важным данным. Однако, поскольку незаконная индустрия становится менее финансово жизнеспособной, есть надежда, что количество атак также снизится, что уменьшит число жертв.
Как бы то ни было, роль криптовалюты в атаках на выкупное ПО очевидна. Это способ кражи криптовалюты на сотни миллионов долларов в год. Однако это не означает, что традиционные финансовые активы, многие из которых невозможно отследить через блокчейн, теряют больше.
