Готовность платить шифровальщикам-вымогателям падает, но их расценки растут
Количество организаций, пострадавших от шифровальщиков и выплативших выкуп вымогателям, упало до рекордной отметки. По ряду причин этот показатель снижается с 2019 г. Но при этом аппетиты злоумышленников растут, как растут и медианные суммы требуемого выкупа.
Постоянное снижение и его обратная сторона
Атакованные шифровальщиками организации все реже и неохотнее платят вымогателям: по данным фирмы Coveware, в I квартале 2024 г. только 28% пострадавших компаний согласились платить. В IV квартале 2023 г. этот показатель был на 1% выше.
Статистика последних лет, собранная Coveware, указывает, что готовность компаний платить злоумышленникам постоянно снижается с 2019 г. У этого несколько причин. Во-первых, организации употребляют все более изощренные и эффективные защитные меры. Во-вторых, по всему миру нарастает «юридическое давление» на коммерческий сектор – новые законы и постановления, которые запрещают платить выкуп злоумышленникам.
Есть и третий фактор: операторы шифровальщиков слишком часто не выполняют свою часть «договора» с жертвами и, даже получив двойной выкуп – не только за расшифровку, но и за то, чтобы не публиковать украденные данные, – распространяют или перепродают их дальше.
Как следствие, мотивация платить злоумышленникам у жертв исчезает.
Однако есть и обратная сторона: по мере уменьшения количества согласных платить суммы требуемого выкупа наоборот растут. В 2023 г., по данным Chainalysis, общий размер выплат злоумышленникам со стороны жертв шифровальщиков достиг прежде небывалого показателя – $1,1 млрд. Операторы шифровальщиков не только стали временами требовать большие суммы, но и участили атаки.
Coveware, однако, утверждает, что средний поквартальный показатель выплат снизился в начале 2024 г. на 32% и теперь составляет $381 980, но медианный показатель вырос на 25% и составил $250 тыс.
Судя по предоставляемому графику, на IV квартал 2023 г. пришелся рекордный пик: средний размер выкупа заметно перешагнул отметку $750 тыс.
Резкий спад, наблюдаемый в I квартале, может быть также связан с тем, что злоумышленники стали требовать более скромные суммы, и успешным атакам подвергалось меньшее количество крупных компаний.
Откуда они лезут?
Что касается изначальных векторов атак в I квартале, то почти в половине случаев они остались неизвестными. И, как показывает график, жертвы все чаще не знают, каким образом их взломали.
На втором месте оказывается компрометация удаленного доступа, на третьем – вплотную смыкаются эксплуатация уязвимостей и фишинг. Наибольшей популярностью у злоумышленников пользуются уязвимости CVE-2023-20269 (затрагивает VPN-функции сетевых устройств Cisco), CVE-2023-4966 («баг» в разработках Citrix NetScaler) и CVE-2024-1708/1709 (уязвимости в ConnectWise ScreenConnect).
Кроме этого, по данным Coveware, растет давление на шифровальщиков со стороны правоохранительных органов. Разгром группировки LockBit со стороны ФБР сильно напугал других злоумышленников; некоторые поспешили закрыться вовсе. Операторы RaaS-группировки BlackCat/ALPHV и вовсе скрылись с деньгами своих партнеров, сделав вид, что их атаковали правоохранительные органы.
Как следствие, пишут эксперты Coveware, доверие к другим группам, предоставляющим шифровальщики в аренду (RaaS), оказалось подорвано, так что прежние их клиенты ушли на вольные хлеба – или бросили заниматься преступной деятельностью.
«Типичный киберпреступник – это не отягощенный моралью оппортунист, обладающий зачастую довольно поверхностными техническими познаниями и навыками и использующий чужие разработки для осуществления атак и получения заработка, – говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. – Очень редко, когда речь идет о серьезных уголовниках, обычно это довольно пугливый домосед, которого приводит в ужас сама мысль, что его со всей его анонимностью могут найти и арестовать. На многих таких любителей быстрых денег достаточно нагнать страха, чтобы они надолго попрятались».
Некоторые шифровальные группировки наоборот демонстрируют рост активности и прибыльности: на этой неделе ФБР сообщило, что, по его оценкам, шифровальщик Akira принес своим операторам не менее $42 млн. долларов, хотя количество жертв было сравнительно небольшим – 250 организаций.