Γιατί οι συμμορίες ransomware βγάζουν τόσα χρήματα;

By

Marizas Dimitris

On

Φεβ 17, 2024

Για πολλούς οργανισμούς

και τις νεοφυείς επιχειρήσεις, το 2023 ήταν μια δύσκολη οικονομικά χρονιά, με εταιρείες να αγωνίζονται να συγκεντρώσουν χρήματα και άλλες να κάνουν περικοπές για να επιβιώσουν. Από την άλλη πλευρά, οι συμμορίες ransomware και εκβιαστών είχαν ένα έτος-ρεκόρ σε κέρδη, αν υπάρχουν πρόσφατες αναφορές.

Δεν προκαλεί έκπληξη όταν κοιτάζεις την κατάσταση του τοπίου του ransomware. Πέρυσι είδαμε τους χάκερ να συνεχίζουν να εξελίσσουν τις τακτικές τους για να γίνουν πιο σκληροί και πιο ακραίοι στις προσπάθειες να πιέσουν τα θύματα να πληρώσουν τις ολοένα και πιο υπέρογκες απαιτήσεις τους για λύτρα. Αυτή η κλιμάκωση των τακτικών, μαζί με το γεγονός ότι οι κυβερνήσεις σταμάτησαν να απαγορεύουν τις πληρωμές λύτρων, οδήγησαν στο να γίνει το 2023 η πιο προσοδοφόρα χρονιά για τις συμμορίες ransomware.

Η επιχείρηση του εγκλήματος στον κυβερνοχώρο αξίας δισεκατομμυρίων δολαρίων

Σύμφωνα με

νέα δεδομένα από την startup crypto forensics Chainalysis

οι πληρωμές γνωστών ransomware σχεδόν διπλασιάστηκαν το 2023 για να ξεπεράσουν το όριο του 1 δισεκατομμυρίου δολαρίων, αποκαλώντας τη χρονιά «μεγάλη επισ

τροφή

για ransomware».

Αυτός είναι ο υψηλότερος αριθμός που έχει παρατηρηθεί ποτέ και σχεδόν το διπλάσιο του ποσού των γνωστών πληρωμών λύτρων που καταγράφηκαν το 2022. Αλλά η Chainalysis είπε ότι ο πραγματικός αριθμός είναι πιθανότατα πολύ υψηλότερος από τα 1,1 δισεκατομμύρια δολάρια σε πληρωμές λύτρων που έχει δει μέχρι στιγμής.

Ωστόσο, υπάρχει μια αναλαμπή από καλά νέα. Ενώ το 2023 ήταν γενικά μια χρονιά κρίσιμη για τις συμμορίες ransomware, άλλα

χάκερ-παρατηρητές παρατήρησαν πτώση στις πληρωμές

προς το τέλος του έτους.

Αυτή η

πτώση

είναι αποτέλεσμα της βελτιωμένης άμυνας στον κυβερνοχώρο και της ανθεκτικότητας, μαζί με το αυξανόμενο συναίσθημα ότι οι περισσότερες οργανώσεις-θύματα δεν

εμπ

ιστεύονται τους χάκερ να τηρήσουν τις υποσχέσεις τους ή να διαγράψουν τυχόν κλεμμένα δεδομένα, όπως ισχυρίζονται. «Αυτό οδήγησε σε καλύτερη καθοδήγηση προς τα θύματα και λιγότερες πληρωμές για άυλες διασφαλίσεις», σύμφωνα με

εταιρεία αποκατάστασης ransomware Coveware

.

Ρεκόρ λύτρων

Ενώ περισσότερα θύματα ransomware αρνούνται να καλύψουν τις τσέπες των χάκερ, οι συμμορίες ransomware αντισταθμίζουν αυτή τη μείωση των κερδών αυξάνοντας τον αριθμό των θυμάτων που στοχεύουν.

Πάρτε την καμπάνια MOVEit. Αυτό το τεράστιο hack είδε την παραγωγική συμμορία ransomware Clop που συνδέεται με τη Ρωσία να εκμεταλλεύεται μαζικά μια ευπάθεια που δεν είχε ξαναδεί στο ευρέως χρησιμοποιούμενο λογισμικό MOVEit Transfer για να κλέψει δεδομένα από τα συστήματα περισσότερων από 2.700 οργανώσεων θυμάτων. Πολλά από τα θύματα είναι γνωστό ότι πλήρωσαν την ομάδα hacking σε προσπάθειες να αποτραπεί η δημοσίευση ευαίσθητων δεδομένων.

Αν και είναι αδύνατο να γνωρίζουμε ακριβώς πόσα χρήματα απέφερε το μαζικό χακάρισμα για την ομάδα ransomware, η Chainalysis ανέφερε στην έκθεσή της ότι η καμπάνια MOVEit του Clop συγκέντρωσε πάνω από 100 εκατομμύρια δολάρια σε πληρωμές λύτρων και αντιπροσώπευε σχεδόν το ήμισυ της συνολικής αξίας ransomware που έλαβε τον Ιούνιο και τον Ιούλιο. 2023 κατά την κορύφωση αυτού του μαζικού hack.

Το

MOVEit δεν ήταν σε καμία περίπτωση η μόνη καμπάνια που κερδίζει χρήματα του 2023.

Τον Σεπτέμβριο, ο γίγαντας των καζίνο και της ψυχαγωγίας Caesars πλήρωσε περίπου 15 εκατομμύρια δολάρια σε χάκερ για να αποτρέψουν την αποκάλυψη δεδομένων πελατών που είχαν κλαπεί κατά τη διάρκεια μιας κυβερνοεπίθεσης τον Αύγουστο.

Αυτή η πληρωμή πολλών εκατομμυρίων δολαρίων ίσως δείχνει γιατί οι ηθοποιοί ransomware συνεχίζουν να κερδίζουν τόσα χρήματα: η επίθεση του Caesars μόλις έφτασε στην επικαιρότητα, ενώ μια επακόλουθη επίθεση στον κολοσσό των ξενοδοχείων MGM Resorts – η οποία μέχρι στιγμής έχει κοστίσει στην εταιρεία 100 εκατομμύρια δολάρια για να ανακτήσει – κυριάρχησε στα πρωτοσέλιδα για εβδομάδες. Η άρνηση της MGM να πληρώσει τα λύτρα οδήγησε στην απελευθέρωση από τους χάκερ ευαίσθητων δεδομένων πελατών της MGM, συμπεριλαμβανομένων ονομάτων, αριθμών κοινωνικής ασφάλισης και στοιχείων διαβατηρίου. Ο Caesars – εξωτερικά τουλάχιστον – φαινόταν σε μεγάλο βαθμό αλώβητος, ακόμα κι αν με τη δική του παραδοχή δεν μπορούσε να εγγυηθεί ότι η συμμορία ransomware θα διέγραφε τα κλεμμένα δεδομένα της εταιρείας.

Κλιμακούμενες απειλές

Για πολλούς οργανισμούς, όπως η Caesars, η πληρωμή της απαίτησης λύτρων φαίνεται ως η ευκολότερη επιλογή για να αποφευχθεί ένας εφιάλτης δημοσίων σχέσεων. Καθώς όμως τα χρήματα από τα λύτρα στερεύουν, οι συμμορίες ransomware και εκβιαστών αυξάνουν το ενδιαφέρον και καταφεύγουν σε κλιμακούμενες τακτικές και ακραίες απειλές.

Τον Δεκέμβριο, για παράδειγμα,

Χάκερ φέρεται να προσπάθησαν να πιέσουν ένα νοσοκομείο καρκίνου για να πληρώσει μια απαίτηση λύτρων

απειλώντας ότι θα «πατήσει» τους

ασθενείς

της. Τα περιστατικά Swatting βασίζονται σε κακόβουλους καλούντες που ισχυρίζονται ψευδώς μια ψεύτικη πραγματική απειλή για τη ζωή, προκαλώντας την απάντηση ένοπλων αστυνομικών.

Είδαμε επίσης τη διαβόητη συμμορία ransomware Alphv (γνωστή ως BlackCat) να οπλίζει τους νέους κανόνες αποκάλυψης παραβίασης δεδομένων της κυβέρνησης των ΗΠΑ κατά του MeridianLink, ενός από τα πολλά θύματα της συμμορίας. Η Alphv κατηγόρησε τη MeridianLink ότι φέρεται να απέτυχε να αποκαλύψει δημόσια αυτό που η συμμορία αποκάλεσε «σημαντική παραβίαση που διακυβεύει τα δεδομένα πελατών και τις επιχειρησιακές πληροφορίες», για την οποία η συμμορία ανέλαβε τα εύσημα.

Καμία απαγόρευση πληρωμής λύτρων

Ένας άλλος λόγος για τον οποίο το ransomware συνεχίζει να είναι επικερδές για τους χάκερ είναι ότι, αν και δεν ενημερώνεται, τίποτα δεν εμποδίζει τους οργανισμούς να πληρώσουν – εκτός, φυσικά, εάν έχουν επιβληθεί κυρώσεις στους χάκερ.

Η πληρωμή ή η μη πληρωμή των λύτρων είναι ένα αμφιλεγόμενο θέμα. Ο Remediator ransomware Coveware προτείνει ότι εάν επιβαλλόταν απαγόρευση πληρωμής λύτρων στις ΗΠΑ ή σε οποιαδήποτε άλλη χώρα με υψηλό βαθμό θυματοποίησης, οι εταιρείες πιθανότατα θα σταματούσαν να αναφέρουν αυτά τα περιστατικά στις αρχές, αντιστρέφοντας την προηγούμενη συνεργασία μεταξύ των θυμάτων και των υπηρεσιών επιβολής του νόμου. Η εταιρεία προβλέπει επίσης ότι μια απαγόρευση πληρωμών λύτρων θα οδηγήσει στη δημιουργία μιας μεγάλης παράνομης αγοράς για τη διευκόλυνση των πληρωμών ransomware.

Άλλοι, ωστόσο, πιστεύουν ότι μια γενική απαγόρευση είναι ο μόνος τρόπος για να διασφαλιστεί ότι οι χάκερ ransomware δεν θα μπορούν να συνεχίσουν να γεμίζουν τις τσέπες τους — τουλάχιστον βραχυπρόθεσμα.

Ο Allan Liska, αναλυτής πληροφοριών απειλών στο Recorded Future, έχει αντιταχθεί εδώ και καιρό στην απαγόρευση των πληρωμών λύτρων – αλλά τώρα πιστεύει ότι για όσο διάστημα οι πληρωμές λύτρων παραμένουν νόμιμες, οι εγκληματίες του κυβερνοχώρου θα κάνουν ό,τι χρειάζεται για να τις συλλέξουν.

«Έχω αντισταθεί στην ιδέα των γενικών απαγορεύσεων στις πληρωμές λύτρων για χρόνια, αλλά νομίζω ότι αυτό πρέπει να αλλάξει», δήλωσε η Liska στο TechCrunch. «Το ransomware χειροτερεύει, όχι μόνο στον αριθμό των επιθέσεων, αλλά και στον επιθετικό χαρακτήρα των επιθέσεων και των ομάδων πίσω από αυτές».

«Μια απαγόρευση πληρωμών λύτρων θα είναι επώδυνη και, εάν η ιστορία είναι οδηγός, πιθανότατα θα οδηγήσει σε βραχυπρόθεσμη αύξηση των επιθέσεων ransomware, αλλά φαίνεται ότι αυτή είναι η μόνη λύση που έχει πιθανότητες μακροπρόθεσμης επιτυχίας σε αυτό σημείο», είπε η Λίσκα.

Ενώ περισσότερα θύματα συνειδητοποιούν ότι η πληρωμή των χάκερ δεν μπορεί να εγγυηθεί την ασφάλεια των δεδομένων τους, είναι σαφές ότι αυτοί οι κυβερνοεγκληματίες με οικονομικά κίνητρα δεν εγκαταλείπουν τον πολυτελή τρόπο ζωής τους σύντομα. Μέχρι τότε, οι επιθέσεις ransomware θα παραμείνουν μια σημαντική άσκηση κερδοφορίας για τους χάκερ που βρίσκονται πίσω τους.

Διαβάστε περισσότερα στο TechCrunch:

VIA:

techcrunch.com

cybercrime

cybersecurity

extortion

ransomware

security

Εκβιασμός

κυβερνασφάλεια

κυβερνοέγκλημα