По данным блокчейн-аналитиков из компании Chainalysis, доходы от вымогательских атак упали с 765,6 млн долларов в 2021 году до 456,8 млн долларов в 2022 году. Эксперты объясняют это падение более чем на 40% множеством факторов, но основная причина проста: все больше жертв попросту отказываются платить хакерам.
Исследователи отмечают, что не могут знать обо всех кошельках, используемых киберпреступниками, но платежи однозначно демонстрируют значительное снижение по сравнению с пиком, пришедшимся на пандемию COVID-19.
Эти выводы подтверждают и исследователи из компании Coveware, которая помогает организациям реагировать на атаки программ-вымогателей. По их данным, процент компаний, заплативших выкуп в 2022 году, упал до 41% (по сравнению с 50% в 2021 году и 70% в 2020 году).
Исследователи Coveware связывают падение доходов злоумышленников с инвестициями компаний в безопасность и планирование реагирования на инциденты, улучшениями в работе правоохранительных органов, которые все чаще возвращают жертвам их средства и арестовывают преступников, а также с общим эффектом от уменьшения количества платежей, что вытесняет вымогателей с рынка.
При этом отмечается, что средние и медианные выкупы значительно выросли в последнем квартале 2022 года по сравнению с предыдущим кварталом. Средний размер компании-жертвы вымогателей тоже вырос, особенно во второй половине 2022 года.
Coveware предполагает, что это тоже следствие того, что злоумышленникам стали реже платить: атаки на более крупные компании обеспечивают хакерам возможность требовать более крупные выкупы.
«Однако это не означает, что сократилось количество атак. По крайней мере, не так сильно, как можно было бы предположить из-за резкого сокращения платежей. Вместо этого мы полагаем, что снижение прибылей в основном связано с тем, что организации-жертвы все чаще отказываются платить злоумышленникам-вымогателям», — гласит отчет Chainalysis.
Также исследователи отмечают, что в прошлом году хак-группа Conti, выступавшая лидером этого «рынка», распалась, после чего ее участники перешли в ряд других группировок. И хотя вымогательские атаки могут выглядеть как огромный «рынок» с тысячами участников, на самом деле это не слишком большая сфера, группу основных участников которой по-прежнему можно отслеживать.
«Мы снова и снова наблюдали, как многие аффилиаты осуществляют атаки для нескольких разных штаммов вымогателей. И хотя технически в течение 2022 года могли быть активны десятки видов вымогательского ПО, многие атаки, приписываемые этим вредоносам, вероятно, осуществлялись одними и теми же аффилированными лицами», — объясняют эксперты.
В пользу этой теории говорит и тот факт, что в 2022 году вымогательская малварь оставалась активной в среднем 70 дней, что намного меньше по сравнению со 153 днями в 2021 году и 265 днями в 2020 году. Исследователи связывают это с тем, что злоумышленники стремятся скрыть свою активность и работать быстрее, поскольку многие из них работают сразу с несколькими штаммами вредоносного ПО.
Кроме того, еще одним следствием происходящего стали изменения в схемах отмывания денег, которые используют вымогательские группировки. Из-за действий правоохранительных органов, которые все чаще закрывают криптовалютные обменники и миксер-сервисы, хакеры все чаще обращаются к неназванным крупным биржам для отмывания украденных средств. Так, по данным Chainalysis, теперь вымогатели отправляют на крупные биржи до 48,3% всех полученных средств.
«В основном средства вымогателей сосредоточены на нескольких оффшорных биржах. Но использование группами вымогателей крупных законных бирж для обналичивания выкупов предоставляет правоохранительным органам возможность работать с этими биржами для замораживания и конфискации средств. Сокращение использования маркетплейсов в даркнете для отмывания денег связано с закрытием в прошлом году крупнейшей торговой площадки даркнета Hydra», — рассказали аналитики.