
У 2024 році жертви програм-вимагачів заплатили хакерам на 35% менше грошей, ніж у 2023-му. Це сталося завдяки активним діям правоохоронців, міжнародній співпраці та непохитній відмові компаній платити викуп. Однак кіберзлочинці швидко адаптувалися, і розробили нові штами шкідливого ПЗ.
Як змінюється екосистема програм-вимагачів, і чи справді жертви почали ефективніше протистояти атакам? Редакція видання Crypto News підготувала адаптований переклад дослідження від Chainanalysis про тренди серед програм-вимагачів та нові тактики кіберзлочинців.
Основні тенденції ринка кібершахрайства
Як зазначає Chainanalysis, у 2024 році ситуація з програмами-вимагачами сильно відрізняється від попередніх років. Зокрема, загальна сума виплат шахраям знизилася приблизно на 35%, порівняно з 2023-м. Водночас криптовалюта досі залишається основним способом отримання викупу.
Логічно, що жертви та правоохоронці активно протистоять шахрайським схемам. Це змушує зловмисників змінювати тактику у проведенні злочинів. Так з’явилися нові варіанти програм-вимагачів, створені на основі переробленого, викраденого або придбаного коду. Тепер програми-вимагачі діють дедалі агресивніше: переговори щодо викупу розпочинаються вже через кілька годин після шифрування даних. Як правило, атака йде з боку державних хакерів з Північної Кореї або операторів схем RaaS. Також цим можуть займатися незалежні зловмисники та групи, що крадуть дані, зокрема ті, хто атакував хмарного провайдера Snowflake.
Як змінилася активність програм-вимагачів
У 2024 році зловмисники, які використовують програми-вимагачі, отримали від жертв близько $813,5 млн. Це на 35% менше, ніж у рекордному 2023-му, коли сума сягала $1,25 млрд. Вперше з 2022 року прибутки кіберзлочинців помітно знизилися.
У своєму звіті про злочини за першу половину 2024 року, Chainanalisis пише, що зловмисники отримали від вимагання $459,8 млн. Це на 2,38% більше, ніж за той самий період 2023 року. Також у першому півріччі 2024 року було здійснено кілька дуже великих виплат, зокрема, рекордна виплата банді кіберзлочинців Dark Angels у розмірі $75 млн.
Попри те, що початок 2024-го демонстрував деяке зростання порівняно з 2023-м, очікувалося, що в кінці року показники злочинної активності перевищать 2023-й. Однак далі спостерігалося значне уповільнення активності. Такий тренд спостерігається вже декілька років. Дана тенденція вказує на загальне зменшення активності в криптозлочинах та інших сферах, що триває вже кілька років, але у 2024-му цей спад відчутніший.
Так, давайте детальне вивчимо 10 найпопулярніших програм-вимагачів за прибутками в першому півріччі 2024-го. Дані показують, що:
- Програма-вимагач Akira активізувала свою діяльність, націлившись на понад 250 об’єктів.
- LockBit – після втручання правоохоронних органів – знизив свої виплати на 79%.
- ALPHV/BlackCat, які були дуже прибутковими у 2023 році, припинили свою діяльність на початку 2024 року. Ці тенденції відображають зміни у діяльності цих груп.
Старший директор відділу реагування на інциденти компанії Coveware Ліззі Куксон зазначила:
«Ринок ніколи не повертався до попереднього статус-кво після краху LockBit і BlackCat/ALPHV. Ми спостерігали зростання кількості “акторів-одинаків”. Але ми не бачили, щоб якась група (групи) швидко поглинала свою частку ринку, як ми бачили після попередніх ліквідацій і закриття гучних компаній.
Поточна екосистема програм-вимагачів наповнена великою кількістю новачків. Вони, як правило, зосереджують зусилля на ринках малого та середнього розміру, які, у свою чергу, пов’язані зі скромнішими вимогами щодо викупу».
Дослідник загроз в eCrime Корсін Камішель додав, що зловмисники іноді перебільшують або публікують старі дані про жертв. Витоки часто включають помилкові претензії щодо великих компаній, хоча фактично це стосується лише їхніх маленьких дочірніх організацій.
Камішель також вказав на сайт «MEOW», який займається компрометацією вебсайтів і публікацією вкрадених даних. Експерт підкреслив: група LockBit намагалася підтримувати активність навіть після втручання правоохоронців, повторно публікуючи старі дані.
«Оператори LockBit грали в ігри, щоб удавати, що залишаються актуальними та активними після дії правоохоронних органів під назвою “Операція Кронос”. Адже вони знову опублікували багато старих претензій або повторили давні атаки, де деякі з них відбулися понад рік тому», – додав Камічел.
Дані про інциденти показують, що різниця між сумами, що запитували та сумами, що сплачували, – продовжує зростати. Так, у другому півріччі 2024 року ця різниця становила 53%. Звіти компаній, що займаються реагуванням на інциденти, показує – більшість клієнтів не платять взагалі.
Так, директор відділу реагування на інциденти в регіоні EMEA компанії Kivu Consulting Ден Сондерс коментує поточну ситуацію так:
«Згідно з нашими даними, близько 30% переговорів фактично призводять до виплат або до рішення жертви заплатити викуп. Як правило, ці рішення приймаються на основі передбачуваної цінності даних, які були скомпрометовані».
Загалом Куксон вважає, що завдяки покращенню кібергігієни та загальній стійкості жертви все частіше можуть протистояти вимогам і досліджувати різні варіанти відновлення після атаки. При цьому кінцеві суми платежу зазвичай коливаються від 150 до 250 тис. доларів, незалежно від початкових вимог.
Боротьба з програмами-вимагачами та відмиванням коштів
Розуміння методів відмивання грошей з програм-вимагачів допомагає правоохоронним органам краще реагувати на атаки, а також передбачати майбутні дії злочинців.
Дослідження показує, що у 2024 році спостерігається тенденція до зниження використання міксерів для відмивання коштів з програм-вимагачів. Це пояснюється впливом санкцій та дій правоохоронних органів, які націлилися на такі сервіси, як Chipmixer, Tornado Cash та Sinbad.
Замість міксерів, зловмисники почали використовувати перехресні ланцюгові мости, що дозволяють більш ефективно переміщати кошти, приховуючи їхні рухи. Проте централізовані біржі (CEX) залишаються основним інструментом для виведення коштів, із деяким збільшенням залежності від них у 2024 році.
Також помічена тенденція, що хакери тримають багато грошей у своїх електронних гаманцях. Цікаво, що злочинці, які раніше хотіли швидко отримати готівку, тепер не поспішають виводити гроші. Це відбувається тому, що вони стали обережнішими через активні дії поліції. А оскільки правоохоронці рішуче взялися за тих, хто відмиває гроші через програми-вимагачі, хакери просто не знають, як безпечно зберегти викрадені кошти.
Арешт Панєва та його вплив LockBit
У період з 2019 по 2024 рік росіянин з подвійним громадянством Ізраїлю та росії Ростислав Панєв зіграв вирішальну роль у підтримці LockBit. Його звинувачують у розробці кількох інструментів для групи, в тому числі, – тих, що дозволяли зловмисникам друкувати повідомлення про викуп з будь-якого принтера, підключеного до скомпрометованих систем. Як повідомляється, хакеру за це заплатили близько $230 тис. в біткойнах (BTC).
Хоча російські громадяни, серед яких є й адміністратор LockBit Дмитро Хорошев, вже підпали під санкції за участь у цих атаках, програми-вимагачі залишаються глобальною загрозою. Наразі Панєв перебуває в Ізраїлі, чекаючи на екстрадицію до США, де йому висунули обвинувачення в шахрайстві, кіберзлочинності та інших злочинах.
В цілому, арешт Панєва став серйозним ударом для LockBit. При цьому випадок підкреслив, що навіть через роки після злочинів блокчейн допомагає правоохоронним органам відстежувати незаконну діяльність. В результаті група розпалася, що змусило кримінальні групи діяти вже менш скоординовано. Так, у 2024 році ці події ознаменували перемоги у боротьби з кіберзлочинністю.
Крім російських кіберзлочинців, за останні кілька років під санкції від Міністерства Фінансів США потрапили й громадяни Ірану за участь в атаках програм-вимагачів. Ба більше, було виявлено, що афілійовані особи LockBit співпрацюють з іранськими групами програм-вимагачів і перераховують кошти на іранські криптобіржі.
Ребрендинг основних напрямків, запуск відгалужень
Від самого початку роботи програма-вимагач Akira успішно використовувала слабкі місця в системах безпеки. Особливо у великих компаніях, чим ПЗ сильно прославилось. В дослідженні від Chainanalysis зазначено: Akira – єдина з десяти найактивніших програм-вимагачів, яка посилила свою діяльність у другій половині 2024 року.
А вже у вересні 2024 року новий штам програм-вимагачів Fog вийшов на сцену і одразу продемонстрував здатність виявляти критичні вразливості, подібно до Akira. Суть в тому, що обидві групи в основному зосереджені на використанні вразливостей VPN. Це дозволяє їм отримувати несанкціонований доступ до мереж і, як наслідок, розгортати свою діяльність. Загалом і Akira, і Fog використовували однакові способи відмивання грошей, що відрізнялися від методів інших програм-вимагачів.
Також Chainanalysis знайшли зв’язок не тільки між Акірою і Fog, а й між програмами-вимагачами INC і Lynx. Вони схоже поводяться в мережі, а їхній код частково однаковий. Це показує, що кіберзлочинці постійно змінюють свої методи, щоб сховатися від поліції. Таким чином, кіберзлочинці постійно змінюють свої методи, щоб уникати посиленого контролю з боку правоохоронців.
Загроза знизилася, але збереглася
Отже, у 2024 році ситуація з програмами-вимагачами змінилася. Це сталося через роботу поліції, сильніший опір жертв і нові способи атак. Поліція разом з компаніями з кібербезпеки та спеціалістами з блокчейну змогла зупинити багато хакерських груп і зменшити їхні прибутки. Жертви частіше відмовлялися платити викуп, через що різниця між тим, що вимагали хакери, і тим, що вони отримували, – зростала.
Натомість хакери намагаються змінювати свої фінансові схеми через тиск правоохоронців. Також шахраям стає важче відмивати гроші, отримані від жертв. І щоб зберегти успіхи 2024 року, важливо продовжувати співпрацювати та впроваджувати нові заходи захисту.
