През 2023 г. секторът на ransomware рязко нарасна, тъй като броят на жертвите в световен мащаб се увеличи с 55,5% и достигна зашеметяващите 5070. Но 2024 г. започва да показва съвсем различна картина. Докато през четвъртото тримесечие на 2023 г. броят на жертвите рязко се покачва с 1309 случая, през първото тримесечие на 2024 г. броят на жертвите в индустрията на ransomware намалява до 1048 случая. Това е 22% намаление на атаките с рансъмуер в сравнение с четвъртото тримесечие на 2023 г.
Фигура 1: Жертви на тримесечие
Възможно е да има няколко причини за този значителен спад.
На първо място, правоприлагащите органи са повишили нивото през 2024 г. с действия срещу LockBit и ALPHV.
През февруари международна операция, наречена „Операция Кронос“, завърши с арестуването на поне трима сътрудници на скандалния синдикат LockBit в Полша и Украйна.
Правоприлагащите органи от няколко държави си сътрудничат, за да унищожат инфраструктурата на LockBit. Това включваше изземване на техните домейни в тъмната мрежа и получаване на достъп до техните бекенд системи. Властите иззеха сметки за криптовалута и получиха ключове за декриптиране, за да помогнат на жертвите да възстановят данните си. Те използваха и собствения уебсайт на Lockbit, за да публикуват вътрешни данни за самата група.
Украинската киберполиция разкри, че е задържала дуо „баща и син“, за което се твърди, че е свързано с Lockbit, чиито дейности предполагаемо са засегнали физически лица, предприятия, правителствени структури и здравни заведения във Франция.
По време на претърсването на жилищата на заподозрените в Тернопол, Украйна, правоприлагащите органи са иззели мобилни телефони и компютърно оборудване, за които се предполага, че са били използвани за кибератаки.
В Полша властите арестуваха 38-годишно лице във Варшава, заподозряно, че е свързано с LockBit. Той е изправен пред прокуратурата и му е повдигнато обвинение в криминални престъпления.
Въпреки това LockBit се появи отново в рамките на една седмица, което подчертава продължаващите предизвикателства в борбата с киберпрестъпността.
Те публикуваха изявление на адрес Tox.
„ФБР уе$%#ли сървъра през PHP, резервните сървъри без PHP не тронуты“
„ФБР е фу$%#дирало сървъри, използващи PHP, резервните сървъри без PHP не са засегнати“
Малко след това групата продължи глобалната си атака срещу организациите, запазвайки позицията си на доминираща сила в сферата на операциите с рансъмуер. Тази устойчивост подчертава огромната мощ и възможности на групата, както и солидните мерки за сигурност около нейните операции, които гарантират нейната постоянна жизнеспособност и потенциално обещаващо бъдеще, както се вижда от тримесечните тенденции през последните години.
Като сериозен удар по индустрията на ransomware, на 19 декември 2023 г. ФБР обяви, че е разбило групата за ransomware ALPHV/BlackCat. Премахването е последвано от петдневно прекъсване на инфраструктурата на групата в тъмната мрежа, което започна на 8 декември. ФБР иззе контрола върху един от основните сайтове на ALPHV, като го замени с подписания от тях банер. Това действие, заедно с разработването на инструмент за дешифриране в помощ на жертвите, представлява значителна победа за правоприлагащите органи в борбата срещу рансъмуера.
През първото тримесечие на 2024 г. ALPHV стоят зад 51 атаки с рансъмуер, което е значителен спад спрямо 109-те атаки през четвъртото тримесечие на 2023 г. Въпреки че групата все още е активна през 2024 г., свалянето от ФБР очевидно е оказало значително въздействие.
Намаляването на плащанията на откупи може също така да е подтикнало групите, занимаващи се с рансъмуер, да се оттеглят и да потърсят алтернативни източници на доходи.
През последното тримесечие на 2023 г. делът на жертвите на рансъмуер, които са изпълнили исканията за откуп, е спаднал до исторически най-ниското ниво от 29%, според данни на фирмата за преговори за рансъмуер Coveware.
Coveware обяснява този постоянен спад с няколко фактора, сред които повишената готовност на организациите, скептицизмът към уверенията на киберпрестъпниците да не разкриват заграбените данни и правните ограничения в региони, където плащанията на откупи са забранени.
Намалял е не само броят на жертвите на рансъмуер, които извършват плащания, но и паричната стойност на тези плащания.
Coveware отбелязва, че през четвъртото тримесечие на 2023 г. средното плащане на откуп е възлизало на 568 705 щатски долара, което е с 33% по-малко в сравнение с предходното тримесечие, а медианното плащане на откуп е било 200 000 щатски долара.
Въпреки спада в броя на атаките от 4-тото тримесечие на 2023 г. до 1-тото тримесечие на 2024 г. и въпреки по-ниската рентабилност, през 1-тото тримесечие се появиха много нови групи за откуп. Новите групи включват:
Cyberint очаква няколко от тези по-нови групи да увеличат възможностите си и да се превърнат в доминиращи играчи в индустрията, наред с ветерани като LockBit 3.0, Cl0p и BlackBasta.
Прочетете Доклада на Cyberint за рансъмуера за 2023 г., за да научите повече за нововъзникващите групи, за водещите целеви индустрии и държави, за разбивка на трите водещи групи рансъмуер, активни през първото тримесечие на 2024 г., за забележителни тенденции и инциденти през 2024 г. и др.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.