Il numero di vittime di ransomware che pagano il riscatto è sceso a livelli record, secondo un recente rapporto di Coveware.
Basandosi su migliaia di casi indagati da gennaio a marzo, Coveware ha rilevato che solo il 28% delle vittime ha pagato il riscatto in quel periodo, il che rappresenta un calo dal 29% nel quarto trimestre del 2023 e un calo rispetto alla media del 37% delle vittime che hanno pagato in tutto il 2023.
Questa tendenza al ribasso è attribuita alla capacità di “imprese di tutte le dimensioni” di resistere agli attacchi di crittografia e ripristinare le proprie operazioni senza la necessità di una chiave di decrittazione fornita dal criminale informatico.
Il rapporto di Coveware ha anche evidenziato una diminuzione delle vittime che pagano esclusivamente per una promessa di eliminazione dei dati rubati, scendendo al 23% nel primo trimestre di quest’anno, rispetto al 26% del trimestre precedente. Gli esperti hanno sempre sconsigliato alle vittime di pagare per questo tipo di promesse intangibili, poiché non c’è alcuna prova che i criminali abbiano mai mantenuto la parola.
Nonostante il calo del numero di vittime che pagano, i gruppi di ransomware hanno comunque registrato profitti record di almeno 1 miliardo di dollari nel 2023, secondo Chainalysis. Tuttavia, il rapporto di Coveware suggerisce che non solo il numero di vittime che pagano sta diminuendo, ma anche che molte di esse stanno accettando di pagare meno.
Quando le vittime hanno scelto di pagare un riscatto nel primo trimestre di quest’anno, il pagamento medio è stato di 381.980 dollari, in calo del 32% rispetto al trimestre precedente. Tuttavia, il pagamento mediano è aumentato del 25% a 250.000 dollari. Coveware ha attribuito queste tendenze al minor numero di vittime che sceglie di pagare e agli attaccanti che optano per richieste di riscatto iniziali più basse, con l’obiettivo di raggiungere un accordo con le vittime.
Gruppi di Ransomware che sceglievano di truffare i propri affiliati
Nonostante i loro profitti record, non tutto è andato liscio per i gruppi di ransomware. Prima del recente intervento dell’NCA contro LockBit, che ha incluso l’acquisizione di informazioni su centinaia di affiliati, il FBI e altre forze dell’ordine hanno interrotto BlackCat, noto anche come Alphv, a dicembre. Sebbene nessuno dei due gruppi sia apparso permanentemente disabilitato, gli esperti di sicurezza hanno elogiato le interruzioni per aver minato la reputazione dei gruppi, erodere la fiducia, amplificare la stanchezza e abbassare il morale.
Entrambi i gruppi hanno reagito all’impatto sulle loro operazioni commerciali non con il tentativo di rafforzare la fiducia con gli affiliati, ma con il tentativo di “truffarli”, come descritto da Coveware. Questo non è il primo caso in cui gli operatori hanno trattenuto una parte maggiore del riscatto per se stessi a spese degli affiliati (vedere: Il Gruppo Ransomware REvil Travisisce i propri Affiliati).
Una sfida per gli affiliati è che continuano a essere bruciati. Il leader di LockBit, “LockBitSupp”, è stato bandito a gennaio dai due forum russi di cybercrime più noti, XSS e Exploit, dopo essere stato accusato di aver eseguito un attacco senza dare all’intermediario di accesso iniziale la sua parte dei profitti.
BlackCat ha anche bruciato i propri partner commerciali. Gli affiliati di lingua inglese del gruppo hanno riferito che l’attacco di febbraio su Change Healthcare, parte di Optum-owned UnitedHealth Group, ha portato al pagamento di un riscatto di 22 milioni di dollari. Gli affiliati dovrebbero ricevere il 70%-80% di qualsiasi riscatto pagato. Tuttavia, hanno affermato che la leadership di BlackCat ha trattenuto l’intero importo, fingendo di essere stati permanentemente interrotti dalle forze dell’ordine, come parte di una truffa ai danni degli affiliati.
Queste azioni hanno scatenato una “diaspora di massa” di affiliati di ransomware, che ora devono considerare la loro prossima mossa. “Gli affiliati sono il sangue vitale delle operazioni RaaS, e dopo queste interruzioni abbiamo già osservato gruppi RaaS più piccoli che tentano di reclutare affiliati scontenti o dislocati”, ha affermato Drew Schmitt, che guida il team di ricerca e intelligence di GuidePoint Security.
Alcuni affiliati potrebbero scegliere di abbandonare la vita da criminali informatici o di unirsi a gruppi che non li hanno ancora truffati. Tuttavia, Coveware prevede che un numero crescente di affiliati di ransomware sceglierà di sviluppare le proprie operazioni di crittografia, utilizzando strumenti open source e servizi di basso costo.
Suggerimenti, soluzioni e best practice
Per ridurre il rischio di diventare una vittima di ransomware, è fondamentale adottare misure di sicurezza proattive, tra cui:
- Mantenere aggiornati i sistemi e i software: I criminali informatici sfruttano spesso vulnerabilità note per accedere alle reti. Assicurati che i tuoi sistemi e software siano aggiornati con le patch più recenti.
- Implementare la crittografia dei dati: La crittografia dei dati può aiutare a proteggere le informazioni sensibili in caso di violazione.
- Educare il personale: I dipendenti possono essere il punto debole più vulnerabile della sicurezza informatica. Assicurati che siano informati sui rischi e sulle best practice per mantenere la sicurezza.
- Monitorare attivamente la rete: Un monitoraggio attivo della rete può aiutare a rilevare e prevenire gli attacchi prima che causino danni.
- Avere un piano di risposta agli incidenti: Un piano di risposta agli incidenti può aiutare a gestire e contenere gli attacchi di ransomware in modo efficace.
- Non pagare il riscatto: Pagare il riscatto non garantisce il ripristino dei dati e può incoraggiare ulteriori attacchi.
Implementando queste misure di sicurezza e adottando un atteggiamento proattivo nei confronti della sicurezza informatica, puoi ridurre il rischio di diventare una vittima di ransomware e proteggere la tua attività e i tuoi dati.
Fonte: https://www.databreachtoday.com/blogs/ransomware-victims-who-pay-ransom-drops-to-record-low-p-3614
