Исследования показывают, что в 2024 году выплаты за программы-вымогатели сократились на 35%

Платежи за вымогательство неожиданно резко упали в 2024 году, сократившись на 35% до примерно 813,55 млн долларов США, несмотря на то, что в 2023 году выплаты впервые превысили 1 млрд долларов США. По данным блокчейн-платформы Chainalysis, снижение было в основном обусловлено серией успешных операций правоохранительных органов и улучшением кибергигиены, что позволило большему количеству жертв отказаться от платежей.

Падение стало неожиданностью, учитывая тенденцию к росту, наблюдавшуюся в начале года. Фактически, в первой половине 2024 года злоумышленники, занимающиеся программами-вымогателями, вымогали на 2,38% больше по сравнению с тем же периодом 2023 года, что говорит о том, что платежи продолжат расти. Однако этот импульс был недолгим, поскольку платежная активность упала примерно на 34,9% во второй половине года.

По данным Chainalysis, Akira была единственной из 10 самых плодовитых группировок вымогателей первой половины 2024 года, которая увеличила свои усилия во второй половине. Кроме того, по мере того, как год шел, было сделано меньше исключительно крупных выплат по сравнению с рекордным платежом в размере 75 миллионов долларов Dark Angels в начале 2024 года.

Данные реагирования на инциденты также показали, что разрыв между суммами, требуемыми преступниками, и суммами, выплачиваемыми жертвами, увеличился до 53% во второй половине года. Аналитики Chainalysis связывают это с повышением устойчивости среди организаций, что позволило им изучить варианты восстановления, такие как использование инструмента дешифрования или восстановление из резервных копий, вместо того, чтобы платить выкупы.

СМ.: Как компании могут защитить себя от распространенных киберугроз?

Несмотря на общее снижение платежей за вымогательство, количество новых сайтов с утечкой данных удвоилось в 2024 году, согласно Recorded Future. Однако команда Chainalysis отметила, что многие организации имели свои данные в списке несколько раз, и группы вымогателей часто утверждали, что скомпрометировали многонациональные корпорации, когда на самом деле они взломали только один филиал.

Хакеры также могут преувеличивать или искажать масштаб скомпрометированных данных жертвы, иногда даже перепечатывая результаты старых атак. Эта тактика часто используется, чтобы оставаться актуальными или казаться активными после ареста правоохранительными органами — операция, которую преступники окрестили «Операция Cronos».

LockBit и ALPHV оставили заметный пробел

Печально известная группа вирусов-вымогателей LockBit, ответственная за самый распространенный тип вирусов-вымогателей, развернутых по всему миру в 2023 году, подверглась нападению со стороны правоохранительных органов в феврале 2024 года. Киберподразделение Национального агентства по борьбе с преступностью Великобритании, ФБР и международные партнеры отключили ее веб-сайт, который функционировал как крупная витрина для продажи программ-вымогателей как услуги.

Хотя LockBit возобновил операции по другому адресу Dark Web несколько дней спустя, выплаты группе сократились на 79% во второй половине года, согласно Chainalysis. Исследование Malwarebytes также показало, что хотя LockBit проводил больше индивидуальных атак, доля инцидентов с вымогателями, за которые он взял на себя ответственность, сократилась с 26% до 20%.

СМОТРИТЕ: Обзор новостей кибербезопасности 2024: 10 самых громких историй, которые доминировали в году

ALPHV, вторая по плодовитости группа вымогателей в 2023 году, также оставила вакансию после плохо проведенной кибератаки на Change Healthcare в феврале. Группа не выплатила аффилированному лицу свою долю выкупа в размере 22 миллионов долларов, что побудило аффилированное лицо разоблачить их. В ответ ALPHV организовала фальшивое задержание правоохранительными органами и прекратила свою деятельность.

Снижение использования миксеров и рост личных кошельков сигнализируют о влиянии правоохранительных органов

Помимо снижения выплат, Chainalysis выявила дополнительные доказательства того, что аресты правоохранительных органов в 2024 году были успешными. Использование сервисов микширования — инструментов, которые скрывают происхождение незаконной криптовалюты, смешивая ее с другими средствами — злоумышленниками-вымогателями сократилось в 2024 году.

Chainalysis связал эту тенденцию с санкциями и репрессиями правоохранительных органов в отношении таких миксеров, как Chipmixer, Tornado Cash и Sinbad. Вместо этого злоумышленники-вымогатели используют кросс-чейн-мосты, которые переводят криптовалюту между различными блокчейнами, чтобы облегчить себе выход из игры.

Более того, «значительные объемы» преступных средств теперь хранятся в личных кошельках, что позволяет предположить, что они воздерживаются от их обналичивания.

«Мы во многом объясняем это возросшей осторожностью и неопределенностью на фоне того, что, вероятно, воспринимается как непредсказуемые и решительные действия правоохранительных органов, направленные против отдельных лиц и служб, участвующих в отмывании денег с помощью программ-вымогателей или способствующих этому, что приводит к неуверенности среди злоумышленников в том, где они могут безопасно хранить свои средства», — заявила команда Chainalysis.

Злоумышленники, использующие программы-вымогатели, в ответ усиливают свои действия

Chainalysis предупредил, что группы вымогателей продолжают адаптироваться, несмотря на сбои в работе правоохранительных органов, и «из утекшего или купленного кода появляются новые штаммы вымогателей», чтобы избежать обнаружения. В отчете также подчеркивается, что атаки стали быстрее, и теперь переговоры начинаются в течение нескольких часов после утечки данных.

СМОТРИТЕ: Microsoft: атаки программ-вымогателей становятся все более опасными и сложными

Однако власти теперь осознают развивающуюся тактику и рассматривают более радикальные контрмеры. В прошлом месяце правительство Великобритании объявило, что может запретить выплаты за программы-вымогатели, чтобы сделать критически важные отрасли «непривлекательными целями для преступников».