As operações de ransomware estão se tornando menos lucrativas
À medida que o número de vítimas reais (e falsas) de gangues de ransomware continua a aumentar , o número de pagamentos de ransomware está caindo, juntamente com o pagamento médio de resgate .
As razões por detrás desta diminuição são muitas: aumento da resiliência cibernética das organizações (que inclui a existência de cópias de segurança recuperáveis ), a disponibilidade de desencriptadores criados por empresas de aplicação da lei e de segurança cibernética, ações mais frequentes de aplicação da lei, e assim por diante.
“Apesar do aumento nos ataques em 2023, os ataques de ransomware envolvendo pagamentos diminuíram 46%, de acordo com nossos dados”, afirma a empresa de análise de blockchain Chainalysis.
“Essencialmente, parece que embora a implantação de ransomware tenha se tornado mais fácil devido à profissionalização do submundo do crime e à redução das barreiras de entrada, talvez seja mais difícil lucrar com essas atividades.”
O efeito das remoções policiais
Enquanto esperamos que as autoridades internacionais revelem informações adicionais sobre as ações tomadas contra a gangue de ransomware LockBit, a Chainalysis descreveu outros efeitos das recentes vitórias das autoridades contra esse e outros grupos cibercriminosos.
Segundo eles, a interrupção do botnet Qakbot em 2023 teve um efeito de curta duração: a remoção afetou os vendedores desse malware específico, mas grupos de ransomware encontraram alternativas para entregar o ransomware aos alvos pretendidos.
A infiltração e interrupção do LockBit em 2024 e as revelações associadas escalonadas ao longo de vários dias “comprometeram a confiança fundamental dentro da comunidade LockBit, minando significativamente as operações do LockBit e deixando suas afiliadas em desordem”.
À medida que a retaliação continua, não há dúvida de que a operação do grupo foi consideravelmente afectada e que algumas das suas afiliadas desertaram . As revelações de hoje irão provavelmente sublinhar ainda mais o seu funcionamento.
A aquisição dos sites de vazamentos ALPHV/Blackcat pelas autoridades policiais em 2023 e a criação de uma ferramenta de descriptografia tiveram inicialmente um pequeno efeito nas operações do grupo. Ainda assim, pode ter tido algo a ver com a ostensiva dissolução do grupo no início deste ano, depois de terem enganado a afiliada responsável pelo hack da United Health/Change Healthcare na sua devida parte do resgate pago (22 milhões de dólares).
“A saída do BlackCat marca uma grande ruptura no ecossistema de pagamentos de ransomware, já que o grupo estava capturando mais de 30% de todos os pagamentos de ransomware antes do golpe de saída”, observaram os analistas da Chainalysis .
“As implicações de um golpe de saída não são um bom presságio para quaisquer iterações futuras do grupo. Este incidente manchou significativamente a reputação do grupo e, talvez de forma mais geral, plantou sementes de dúvida no modelo de negócios de ransomware como serviço”.
Esforços concertados para efeitos a longo prazo
Embora algumas das perturbações na aplicação da lei tenham tido um efeito inicial maior, outras poderão vir a ter um impacto maior a longo prazo.
As gangues de ransomware e suas afiliadas demonstraram persistência e adaptabilidade, mas as rachaduras no ecossistema estão começando a aparecer.
“A diminuição contínua nos pagamentos de resgate, apesar de um aumento relatado no número de ataques, reflete a crescente relutância das vítimas em cumprir as exigências dos cibercriminosos. As sanções e uma aversão mais ampla entre as organizações ao financiamento de atividades criminosas falam de um sentimento em evolução onde o pagamento de resgates é cada vez mais visto como inaceitável ou desnecessário ”, apontou a equipe da Chainalysis.
Esforços concertados e consistentes por parte de organizações do sector privado e das autoridades policiais são essenciais para minimizar a ameaça do ransomware.
“Ações que aumentam os riscos percebidos, a desconfiança e o tempo de inatividade operacional das afiliadas podem criar um impacto duradouro nas suas atividades”, acrescentou a empresa.
“Estratégias inovadoras de disrupção envolvendo uma abordagem de todo o governo visando todas as partes do ecossistema cibercriminoso – desde a infraestrutura, aos mecanismos de lavagem, até prisões, sanções e apreensões de ativos, juntamente com o uso de ferramentas de inteligência blockchain, são essenciais para compreender e neutralizar os mecanismos de adaptação das afiliadas.”
