Η βιομηχανία ransomware αυξήθηκε το 2023 καθώς σημείωσε μια ανησυχητική αύξηση 55,5% στα θύματα παγκοσμίως, φτάνοντας τα 5.070. Αλλά το 2024 αρχίζει να δείχνει μια πολύ διαφορετική εικόνα. Ενώ οι αριθμοί εκτοξεύτηκαν στα ύψη το 4ο τρίμηνο του 2023 με 1309 περιπτώσεις, το πρώτο τρίμηνο του 2024, η βιομηχανία ransomware μειώθηκε σε 1.048 περιπτώσεις. Πρόκειται για μείωση 22% στις επιθέσεις ransomware σε σύγκριση με το 4ο τρίμηνο του 2023.
Μπορεί να υπάρχουν διάφοροι λόγοι για αυτή τη σημαντική πτώση.
Λόγος 1: Η παρέμβαση επιβολής του νόμου#
Πρώτον, οι αρχές επιβολής του νόμου ανέβασαν το 2024 με ενέργειες τόσο κατά του LockBit όσο και του ALPHV.
Οι συλλήψεις LockBit#
Τον Φεβρουάριο, μια διεθνής επιχείρηση με το όνομα «Operation Cronos» κατέληξε στη σύλληψη τουλάχιστον τριών συνεργατών του διαβόητου συνδικάτου ransomware LockBit στην Πολωνία και την Ουκρανία.
Οι αρχές επιβολής του νόμου από πολλές χώρες συνεργάστηκαν για την κατάργηση της υποδομής του LockBit. Αυτό περιλάμβανε την κατάσχεση των dark web domain τους και την απόκτηση πρόσβασης στα συστήματα υποστήριξης τους. Οι αρχές κατέσχεσαν λογαριασμούς κρυπτονομισμάτων και έλαβαν κλειδιά αποκρυπτογράφησης για να βοηθήσουν τα θύματα να ανακτήσουν δεδομένα. Χρησιμοποίησαν επίσης τον ιστότοπο της Lockbit για να δημοσιεύσουν εσωτερικά δεδομένα σχετικά με την ίδια την ομάδα.
Η αστυνομία του κυβερνοχώρου της Ουκρανίας αποκάλυψε ότι είχε συλλάβει ένα δίδυμο “πατέρας και γιος” που φέρεται να συνδέεται με τη LockBit, οι δραστηριότητες των οποίων φέρεται να επηρέασαν άτομα, επιχειρήσεις, κυβερνητικές οντότητες και ιδρύματα υγειονομικής περίθαλψης στη Γαλλία.
Κατά τη διάρκεια ερευνών στις κατοικίες των υπόπτων στο Ternopil της Ουκρανίας, οι αρχές επιβολής του νόμου κατέσχεσαν κινητά τηλέφωνα και εξοπλισμό υπολογιστών για τα οποία υπάρχουν υποψίες ότι χρησιμοποιήθηκαν σε κυβερνοεπιθέσεις.
Στην Πολωνία, οι αρχές συνέλαβαν ένα 38χρονο άτομο στη Βαρσοβία, που θεωρείται ύποπτο ότι σχετίζεται με το LockBit. Προσήχθη στον εισαγγελέα και του απαγγέλθηκαν ποινικά αδικήματα.
Ωστόσο, το LockBit επανεμφανίστηκε μέσα σε μια εβδομάδα, υπογραμμίζοντας τις συνεχιζόμενες προκλήσεις της καταπολέμησης του εγκλήματος στον κυβερνοχώρο.
Λίγο μετά η ομάδα συνέχισε την παγκόσμια επίθεση εναντίον οργανισμών, διατηρώντας τη θέση της ως κυρίαρχης δύναμης στον τομέα των λειτουργιών ransomware. Αυτή η ανθεκτικότητα υπογραμμίζει την τρομερή ισχύ και τις δυνατότητες του ομίλου, καθώς και τα ισχυρά μέτρα ασφαλείας που περιβάλλουν τις δραστηριότητές του, τα οποία διασφαλίζουν τη συνεχή βιωσιμότητά του και το πιθανώς πολλά υποσχόμενο μέλλον του, όπως αποδεικνύεται από τις τριμηνιαίες τάσεις των τελευταίων ετών.
Ο αντίκτυπος της κατάργησης του ALPHV
Σε ένα σημαντικό πλήγμα στη βιομηχανία ransomware, το FBI ανακοίνωσε στις 19 Δεκεμβρίου 2023, ότι διέκοψε την λειτουργία της ομάδας ransomware ALPHV/BlackCat. Αυτό το takedown ακολούθησε μια πενθήμερη διακοπή της dark web υποδομής της ομάδας, η οποία ξεκίνησε στις 8 Δεκεμβρίου. Το FBI κατέλαβε τον έλεγχο ενός από τα κύρια site της ομάδας ALPHV, αντικαθιστώντας το με το έμβλημα της υπογραφής τους. Αυτή η ενέργεια, μαζί με την ανάπτυξη ενός εργαλείου αποκρυπτογράφησης για να βοηθήσει τα θύματα, αντιπροσωπεύει μια σημαντική νίκη για την επιβολή του νόμου στον αγώνα κατά του ransomware.
Το 1ο τρίμηνο του 2024, η ALPHV βρισκόταν πίσω από 51 επιθέσεις ransomware, μια σημαντική πτώση από τις 109 επιθέσεις το 4ο τρίμηνο του 2023. Αν και η ομάδα εξακολουθεί να είναι ενεργή το 2024, η κατάργηση του FBI είχε σαφώς σημαντικό αντίκτυπο.
Λόγος 2: Η μείωση στις πληρωμές των λύτρων#
Η μείωση στις πληρωμές λύτρων θα μπορούσε επίσης να ωθήσει τις ομάδες ransomware να “σταματήσουν” και να αναζητήσουν εναλλακτικές πηγές εισοδήματος.
Το τελευταίο τρίμηνο του 2023, το ποσοστό των θυμάτων ransomware που συμμορφώθηκαν με τις απαιτήσεις για λύτρα μειώθηκε στο ιστορικό χαμηλό του 29%, σύμφωνα με στοιχεία από την εταιρεία διαπραγμάτευσης ransomware Coveware.
Η Coveware αποδίδει αυτή τη συνεχή πτώση σε αρκετούς παράγοντες, συμπεριλαμβανομένης της ενισχυμένης ετοιμότητας μεταξύ των οργανισμών, του σκεπτικισμού ως προς τις διαβεβαιώσεις των εγκληματιών του κυβερνοχώρου να μην αποκαλύπτουν κλοπιμαία δεδομένα και νομικούς περιορισμούς σε περιοχές όπου απαγορεύονται οι πληρωμές λύτρων.
Όχι μόνο έχει μειωθεί ο αριθμός των θυμάτων ransomware που πραγματοποιούν πληρωμές, αλλά έχει επίσης σημειωθεί αξιοσημείωτη μείωση στη χρηματική αξία τέτοιων πληρωμών.
Η Coveware σημειώνει ότι το 4ο τρίμηνο του 2023, η μέση πληρωμή λύτρων ανήλθε σε 568.705 $, σημειώνοντας μείωση 33% σε σχέση με το προηγούμενο τρίμηνο, με τη μέση πληρωμή λύτρων να ανέρχεται στα 200.000 $.
Νέες ομάδες που αναδύονται#
Παρά την πτώση σε έναν αριθμό επιθέσεων από το τέταρτο τρίμηνο του 2023 έως το πρώτο τρίμηνο του 2024 και παρά τη χαμηλότερη κερδοφορία, πολλές νέες ομάδες ransomware εμφανίστηκαν το 1ο τρίμηνο. Οι νέες ομάδες περιλαμβάνουν:
- RansomHub –αναγνωρίζοντας τον εαυτό της ως μια παγκόσμια ομάδα hacking με κίνητρο κυρίως το οικονομικό κέρδος.
- Trisec – η οποία αποκλίνει ανοιχτά από τις συμβατικές ομάδες ransomware ευθυγραμμιζόμενη ανοιχτά με ένα έθνος-κράτος.
- Slug – που αναλαμβάνουν την ευθύνη για διείσδυση και στόχευση της AerCap
- Mydata- με έναν ιστότοπο διαρροής δεδομένων που κατονομάζει αρκετές εξέχουσες εταιρείες, όπως ο Όμιλος Accolade, οι βιομηχανίες Gadot Biochemical και άλλες.
Η Cyberint αναμένει ότι αρκετές από αυτές τις νεότερες ομάδες θα ενισχύσουν τις δυνατότητές τους και θα αναδειχθούν ως κυρίαρχοι παίκτες στον κλάδο, μαζί με ομάδες βετεράνων όπως οι LockBit 3.0, Cl0p και BlackBasta.
Διαβάστε την Έκθεση Ransomware 2023 της Cyberint για περισσότερες αναδυόμενες ομάδες, τις κορυφαίες βιομηχανίες και χώρες που στοχεύουν, μια ανάλυση των 3 κορυφαίων ομάδων ransomware που δραστηριοποιούνται το 1ο τρίμηνο του 2024, αξιοσημείωτες τάσεις και περιστατικά του 2024 και πολλά άλλα.
Πηγή πληροφοριών: thehackernews.com
