Las víctimas del ransomware se niegan a pagar y reducen las ganancias de los atacantes

Dos nuevos estudios sugieren que el ransomware ya no es tan lucrativo a escala empresarial como solía ser. Las ganancias para las billeteras de los atacantes y el porcentaje de víctimas que pagan cayeron drásticamente en 2022, según dos informes separados.

Chainalysis, una firma de análisis de blockchain que ha trabajado con varias agencias gubernamentales y de aplicación de la ley, sugiere en una publicación de blog que, según los pagos a direcciones de criptomonedas que ha identificado como conectadas a ataques de ransomware, los pagos a los atacantes cayeron de $ 766 millones en 2021 a $ 457 millones el año pasado. La firma señala que los datos de su billetera no proporcionan un estudio exhaustivo del ransomware; tuvo que revisar su total de 2021 al alza de $602 para este informe. Pero los datos de Chainalysis sugieren que los pagos, si no los ataques, han disminuido desde su pico pandémico.

La publicación de Chainalysis también muestra a los atacantes cambiando entre cepas de malware más rápidamente, y los atacantes más conocidos mantienen sus fondos en los principales intercambios de criptomonedas en lugar de los destinos ilícitos y de mezcla de fondos que eran más populares en los tiempos de auge del ransomware. Esto podría parecer una señal de un mercado maduro con un costo de entrada más alto. Pero hay más que la economía típica, sugiere Chainalysis.

Los atacantes más pequeños a menudo cambian entre diferentes proveedores de ransomware como servicio (RaaS) y realizan varios tipos de pruebas A/B en los objetivos. Y las cepas específicas de malware traen diferentes factores de riesgo a las negociaciones de rescate. Cuando se descubrió que Conti, una importante variedad de ransomware, se coordinaba con el Kremlin y el Servicio Federal de Seguridad (FSB) de Rusia, las víctimas tenían otra razón, las sanciones gubernamentales, para no pagar. CD Projekt Red, creador de los juegos Ciberpunk 2077 y El Brujofue uno de los reductos notables.

Los líderes de Conti se separaron y terminaron trabajando dentro de otros grupos de ransomware, señala Chainalysis. Entonces, si bien el ransomware puede parecer un mercado enorme con miles de participantes, sigue siendo un grupo pequeño y rastreable de actores principales que se pueden monitorear.

Empresa de análisis de ciberseguridad Coveware está viendo tendencias similaresinformando que las víctimas que pagan cayeron del 85 por ciento en el primer trimestre de 2019 al 37 por ciento en el cuarto trimestre de 2022. La firma atribuye esto a inversiones en seguridad y planificación de respuesta, mejoras en la aplicación de la ley recuperando fondos y arrestando a los actores, y los efectos combinados de menos pagos empujando atacantes ransomware fuera del mercado.

La mayor parte de eso se alinea con el informe de Chainalysis, pero Coveware tiene algunas estadísticas sorprendentes. Los pagos de rescate promedio y mediano aumentaron considerablemente en el último trimestre de 2022 con respecto al trimestre anterior. El tamaño medio de una víctima de ransomware también aumentó, con un pico particular a niveles récord en la última mitad de 2022. Coveware sugiere que este es otro resultado de la restricción de pago de los atacantes. Dirigirse a empresas más grandes permite una mayor demanda inicial, y más empresas intentan volver a extorsionar a las víctimas, algo que anteriormente solo practicaban las empresas más pequeñas que apuntan a empresas más pequeñas. “Los grupos RaaS se preocupan menos que sus predecesores por mantener su reputación”, explica la publicación de Coveware. “Los actores de ransomware están ante todo impulsados ​​por la economía, y cuando la economía es lo suficientemente grave, se rebajarán a niveles de engaño y duplicidad para recuperar sus pérdidas”.

Se pueden encontrar más datos, gráficos y ejemplos en las publicaciones del blog de Cadenaanálisis y cubiertoscomo visto por primera vez por Dark Reading.