Nedavno izvještaj Chainalysis-a o promjenama u ransomware landscape od 2023. do 2024. godine pokazuje obećavajući trend: sve više žrtava odbija platiti otkup.
Prema podacima ove firme za analizu blockchain-a, ukupni iznos isplaćenih otkup opao je za oko 35% u odnosu na prethodnu godinu. U 2023. godini žrtve su isplatile 1,25 milijardi dolara napadačima ransomware-a, grupama koje se bave krađom podataka i prevarama. U 2024. godini, taj iznos pao je na 813,55 miliona dolara.
Plaćanja ransomware-a vs žrtave sajtova za curenje podataka, 2024. (Izvor: ecrime.ch)
Manje i rjeđe isplate otkupa
Godina 2024. bila je obilježena velikim napadima. Hakeri su pristupili Snowflake računima mnogih organizacija i ukrali njihove podatke, a jedan od najvećih napada bio je usmjeren na services provider patologije Synnovis, što je negativno utjecalo na Nacionalnu zdravstvenu službu (NHS) u Engleskoj.
S pozitivne strane, law enforcement širom svijeta preduzeli su niz akcija koje su oslabile nekoliko ransomware grupa: uklonjena je infrastruktura LockBit-a, otkriven je lider LockBit-a i njegovi saradnici, optužen je jedan od developera LockBit-a, osuđeni su članovi NetWalker-a, optužen je administrator Phobos ransomware-a, uhapšen je osumnjičeni vođa Reveton grupe, kao i Ransom Cartel RaaS grupe. Takođe, ometena je operacija Radar/Dispossessor ransomware grupe, a sve to uslijedilo je nakon što je ALPHV/BlackCat grupa napustila scenu početkom 2024. godine.
Ove akcije su jedan od razloga opadanja globalnih iznosa koji su plaćeni kao otkup za ukradene ili šifrovane podatke.
„Tržište nikada nije vratilo prethodni status nakon pada LockBit-a i BlackCat/ALPHV-a“, komentarisala je Lizzie Cookson, viša direktorica za odgovor na incidente u Coveware.
„Vidjeli smo porast samostalnih napadača, ali nismo primijetili da je bilo koja grupa brzo preuzela njihov tržišni dio, kao što se to događalo nakon prethodnih visokoprofilnih rušenja i zatvaranja grupa. Trenutni ransomware ekosistem je ispunjen velikim brojem novajlija koje se fokusiraju na male i srednje tržište, što zauzvrat dovodi do skromnijih zahtjeva za otkupa.“
Još jedan razlog opadanja ukupnog iznosa isplaćenih otkupa u 2024. godini je poboljšana cyber higijena i sveukupna otpornost organizacija.
Ostali značajni trendovi
Među najistaknutijim grupama u 2024. godini bila je RansomHub, koja je očigledno usvojila mnoge bivše članove LockBit-a i ALPHV/BlackCat-a i nastavila s napadima na mnoge žrtve. Akira i Fog, koje se vjeruje da su povezane, još su dvije grupe koje su pokazale sposobnost da pogode veliki broj ciljeva.
Chainalysis takođe napominje da su ransomware operacije postale brže, s pregovorima koji često počinju unutar nekoliko sati od eksfiltracije podataka.
Međutim, vrijeme koje napadači provode na sistemu prije nego što zapravo implementiraju ransomware postalo je duže, što su otkrili incident ispitanika Cisco Talos-a. To bi moglo ukazivati na to da napadači nastoje proširiti svoj pristup, izbjegavati odbrambene mehanizme i/ili indefikovati podatke koji su im interesantni za eksfiltraciju.
„Talos IR je primijetio da su operateri koristili alate za daljinski pristup u 100 posto ransomware angažmana ovog kvartala, što je značajan porast u odnosu na prethodni kvartal, kada su ti alati korišteni u samo 13 posto ransomware ili pre-ransomware angažmana“, takođe su primijetili.
Nedavno je Rapid7 objavio izvještaj o ransomware landscape za 2024. godinu, pokazujući na još jedan trend: Hakeri sada zahtijevaju više isplata za oslobođenje ukradenih podataka, dijeleći ključeve za enkripciju, a u nekim slučajevima traže i da se ne pokreću DDoS napadi ili direktno kontaktiraju partneri i klijenti žrtve.
Zaključak
Ovi trendovi pokazuju da se ransomware ekosistem mijenja, a broj i iznos isplata otkupa opadaju. Iako i dalje postoje značajni izazovi, globalne akcije i poboljšana cyber higijena pomoći će u smanjenju uspjeha ransomware napada.
Izvor:Hekp Net Security
