Злочинці забрали безглузді $1 мільярд у криптовалютних викупних виплатах у 2023 році, згідно з останніми данними з "Звіту про криптозлочинність 2024" від Chainalysis.
У звіті підкреслюється зростання високотехнологічних атак на видатні інституції та критичну інфраструктуру, при чому значні порушення у ланцюжку постачання сталися через широко використовуване програмне забезпечення передачі файлів MOVEit. Серед помітних жертв були такі відомі назви, як BBC та British Airways, що підкреслює далекосяжний вплив цих кібернападів.
Виплати винагороди за вимагання вірусів-викрадачів зростають у 2023 році незважаючи на спад попереднього року.
Збільшення виплат за вимаганнями відкупу в 2023 році є різким зворотом від спостеріганого зниження в 2022 році. Зниження активності вірусу вимагання відкупу у попередньому році було пов'язане з різними факторами, включаючи геополітичні події, такі як російсько-український конфлікт, який змістив фокус кіберзлочинців на політично мотивовані кібератаки.
Інфільтрація ФБР в Hive запобігла приблизно 130 мільйонам доларів викупу та значно змінила ситуацію з розповсюдженням рансомвіру у 2022 році. Статистичні моделі показують, що завдяки втручанню у Hive ФБР можливо було запобігти, принаймні, 210,4 мільйонам доларів виплати викупу протягом шести місяців інфільтрації.
Один з факторів, які сприяли відродженню рансомвару в 2023 році, був зростання частоти, масштабу та обсягу атак. Ці атаки здійснювалися різними суб'єктами, починаючи від окремих осіб та невеликих злочинних груп, до великих синдикатів.
Аналітична компанія Chainalysis, аналізуючи дані кібербезпекової фірми Recorded Future, задокументувала 538 нових варіантів вимагацького програмного забезпечення у 2023 році, що свідчить про динаміку кримінальних стратегій. Звіт розглядає групи вимагацького програмного забезпечення, такі як CL0P, які застосовують підхід "великого полювання" та використовують нові уразливості, щоб шантажувати великі виплати від фінансово міцних постраждалих, використовуючи витікання даних.
Групи рекетирів, такі як Phobos, використовують вигідну бізнес-модель під назвою Ransomware-as-a-Service (RaaS). Ця схема надає можливість злочинним співробітникам отримувати доступ до складного шкідливого програмного забезпечення для здійснення атак, а головні оператори одержують певний відсоток викупних винагород.
За даними Chainalysis, ця модель переважно спрямована на менші суб'єкти з меншими вимогами до викупу, розраховуючи на обсяг менших атак, щоб збільшити фінансовий прибуток.
Крім того, зловмисники, які використовують програми-вимагачі, вміють змінювати свою назву та створювати схожі напрями, щоб відокремитися від попередніх ідентифікацій, пов'язаних з санкціями та розслідуваннями правоохоронних органів. Chainalysis використовує аналіз блокчейну, щоб ілюструвати зв'язки виконання на блокчейні між гаманцями, пов'язаними з програмами-вимагачами.
Модель "Ransomware-as-a-Service" процвітає в умовах еволюції кіберзагроз.
Одним з важливих факторів, що спричинили високий вплив інцидентів з вимаганням викупу в 2023 році, була експлуатація уразливостей нульового дня. Ці атаки використовують вразливості безпеки в послугах, системах, продуктах або програмах компанії, перед тим як розробники можуть усунути їх.
Одним ілюстративним випадком цього було використанням групою CL0P програмного забезпечення передачі файлів MOVEit у 2023 році. MOVEit, широко використовуване в галузі ІТ і хмарних додатках, викрило дані сотень організацій та мільйонів користувачів. Ця кампанія просунула групу CL0P на передні ряди екосистеми, що обернулось понад 100 мільйонами доларів виплат викупу тільки в червні та липні 2023 року, що становить майже половину загальної вартості вимагання викупу.
Поширення атак з вимаганням виплати викупу було ще більше сприяно підйому посередників ініційного доступу (IAB), які продають доступ до мереж потенційних жертв зловмисникам з вимаганням виплати викупу. Chainalysis виявила зв'язок між коштами, які надходять на гаманці IAB, та зростанням виплат викупу за шифруванням даних, що свідчить про те, що моніторинг активності IAB може надати ранні показники можливого втручання та обмеження атак.
Рух коштів від викупу захопленої інформації надав можливість отримати відомості про методи та сервіси, якими користуються злочинці для прання надходжень. За результатами розслідування компанії, яка вивчає усі сплачені комісії, поєднання міжнародних банківських переказів та легко доступних платформ Ransomware-as-a-Service (RaaS) значно знизило технічний бар'єр для успішних атак.
Хоча централізовані біржі та міксери залишилися популярними, нові послуги, такі як мостики, митники та гральні сервіси, почали набирати популярності, можливо через перешкоди у бажаних методах відмивання та більш жорсткі політики AML/KYC.
Згідно з звітом, незважаючи на виклики, що створює розшифровувальний вірус, у 2023 році також були досягнуті значні перемоги у боротьбі з ним завдяки співпраці між міжнародними правоохоронними органами, постраждалими організаціями, фірмами кібербезпеки та розвідкою блокчейну.
Активна співпраця правоохоронних органів, на прикладі зламу Hive і припинення діяльності BlackCat, красномовно показала сильніший і твердий підхід до допомоги жертвам та виявлення кіберзлочинців.
