Volgens een nieuw rapport van analysebedrijf Chainalysis daalden de fondsen die door ransomware-aanvallen werden ingezameld naar $ 456.8 miljoen in 2022, van een hoogtepunt van $ 765.6 miljoen in 2021.
Crypto-gerelateerde ransomware-aanvallen hebben de afgelopen 12 maanden een sterke daling van het slagingspercentage gekend.
Crypto-ransomware-activiteit
De onderstaande grafiek toont de stijging en daling van fondsen die zijn verkregen via ransomware-aanvallen in de afgelopen 6 jaar. Een dramatische toename was te zien in 2020 toen gestolen fondsen $ 765 miljoen bereikten, en in 2021 werden vergelijkbare bedragen gestolen door slechte acteurs.
Hoewel het Chainalysis-rapport erkende dat "de werkelijke totalen veel hoger zijn", aangezien het waarschijnlijk is dat er adressen zijn die eigendom zijn van ransomware-aanvallers die nog niet zijn geïdentificeerd, geeft de daling aan dat slachtoffers verstandig worden voor dergelijke aanvallen. Als gevolg hiervan legde Chainalysis een verklaring af die dit sentiment ondersteunde.
"[Ransomware-betalingen dalen] betekent niet dat er minder aanvallen zijn... Wij geloven dat een groot deel van de daling te wijten is aan het feit dat slachtofferorganisaties steeds vaker weigeren ransomware-aanvallers te betalen."
Ransomware-stammen exploderen
Hoewel de betalingen voor het verwijderen van ransomware drastisch zijn gedaald, explodeerde het aantal ransomware-soorten in 2022. Een soort is een type ransomware met veelvoorkomende varianten: Royal, Ragnar, Quantum, Play, Hive en Lockbit.
Fortinet, een toonaangevend hardware- en softwarebedrijf voor cyberbeveiliging, gerapporteerd meer dan 10,000 unieke soorten actief in 2022.
Stammen hebben een afnemende levensduur omdat slechte actoren aanvalsvectoren blijven variëren om het volume van gestolen geld te optimaliseren. In 2012 duurden de stammen bijvoorbeeld 3,907 dagen, terwijl in 2022 de gemiddelde duur slechts 70 dagen was. Als gevolg hiervan moeten cyberbeveiligingsoplossingen een toenemend aantal actieve spanningen in hun verdedigingsstrategie bijbenen.
Ransomware fondsen
Fondsen die via ransomware-aanvallen zijn verkregen, worden op verschillende manieren witgewassen. Het merendeel van de fondsen wordt nog steeds naar populaire gecentraliseerde beurzen gestuurd. P2P-uitwisselingen, een populaire oplossing voor ransomware-aanvallers in 2018, vormen nu echter een klein percentage van het totale volume.
Na gecentraliseerde uitwisselingen is een hardnekkige methode voor het witwassen van geld het gebruik van darknet-markten die in de onderstaande Chainalysis-grafiek als 'illegaal' worden aangemerkt. Ten slotte vormen het mixen van services het op een na belangrijkste onderdeel, waardoor aanvallers crypto kunnen 'wassen' met weinig hulp van wereldwijde autoriteiten.
On-chain data forensisch onderzoek
Chainalysis gebruikte on-chain-gegevens om "gelieerde" markten voor ransomware-software te identificeren, waarbij derden een "klein, vast deel van de opbrengst" ontvangen in een ransomware-as-a-service-model.
“We kunnen het zien als de gig-economie, maar dan voor ransomware. Een rideshare-bestuurder kan zijn Uber-, Lyft- en Oja-apps tegelijkertijd hebben geopend, waardoor de illusie ontstaat van drie afzonderlijke chauffeurs op de weg, maar in werkelijkheid is het allemaal dezelfde auto.
On-chain-gegevens hebben bedrijven zoals Chainalysis in staat gesteld om slechte actoren in de blockchain op te sporen en mogelijk de volgende aanvalsvector te identificeren. Zo werd Conti, een veel voorkomende ransomware-soort, in mei 2022 ontbonden. Toch hebben on-chain-gegevens onthuld dat portefeuilles die met Conti zijn verbonden, nu overgaan op andere soorten, zoals Royal, Quantum en Ragnar.
Ransomware-aanvallers "hergebruikte portefeuilles voor meerdere aanvallen die nominaal onder andere spanningen werden gelanceerd", waardoor traceringsactiviteit relatief elementair was.
Daling van ransomware-betalingen
Het aantal succesvolle ransomware-aanvallen daalde als gevolg van het toegenomen inzicht in het landschap, verbeterde beveiligingsmaatregelen en betere forensische capaciteiten op de keten. Als gevolg hiervan weigeren de slachtoffers de aanvallers te betalen, omdat velen gelinkt zijn aan door de OFAC gesanctioneerde partijen.
In 2019 weigerde slechts 24% van de slachtoffers te betalen, terwijl dat percentage in 2022 opliep tot 59%. Het betalen van een premie voor ransomware aan een partij op de OFAC-sanctielijst zou nu "juridisch riskanter" kunnen zijn. Allan Lisk, een inlichtingenanalist bij Recorded Future, vertelde Chainalysis;
"Met de dreiging van sancties in het verschiet, is er de extra dreiging van juridische gevolgen voor het betalen van [ransomware-aanvallers.]"
De gevolgen van het niet betalen van ransomware-eisen kunnen de slachtoffers vaak verwoesten, die vaak de toegang tot essentiële gegevens verliezen. Naarmate de illegale industrie echter minder financieel levensvatbaar wordt, is de hoop dat het aantal aanvallen ook daalt, waardoor het aantal slachtoffers afneemt.
Hoe dan ook, de rol van cryptocurrency bij ransomware-aanvallen is duidelijk. Het is een methode om elk jaar honderden miljoenen dollars aan crypto te stelen. Dat wil echter niet zeggen dat er niet meer verloren gaat aan traditionele financiële activa, waarvan er vele niet traceerbaar zijn via een blockchain.
Bron: https://cryptoslate.com/crypto-ransomware-payments-fall-40-in-2022/