В 2023 году индустрия программ-вымогателей резко возросла, поскольку число жертв по всему миру увеличилось на 55,5%, достигнув ошеломляющих 5070 человек. Но 2024 год начинается с совершенно иной картины. В то время как в 4 квартале 2023 года их число резко возросло до 1309 случаев, в 1 квартале 2024 года число вымогателей сократилось до 1048 случаев. Количество атак программ-вымогателей снизилось на 22% по сравнению с 4 кварталом 2023 года.
Рисунок 1: Количество жертв в квартал
Для такого значительного снижения может быть несколько причин.
Правоохранительные органы из нескольких стран сотрудничали, чтобы отключить инфраструктуру LockBit. Это включало захват их доменов в темной сети и получение доступа к их серверным системам. Власти наложили арест на криптовалютные счета и получили ключи дешифрования, чтобы помочь жертвам восстановить данные. Они также использовали собственный веб-сайт Lockbit для публикации внутренних данных о самой группе.
Украинская киберполиция сообщила, что они задержали дуэт "отца и сына", предположительно связанных с LockBit, деятельность которых якобы повлияла на частных лиц, предприятия, государственные структуры и учреждения здравоохранения во Франции.
Во время обысков по месту жительства подозреваемых в Тернополе, Украина, правоохранительные органы изъяли мобильные телефоны и компьютерное оборудование, которые, предположительно, использовались в кибератаках.
В Польше власти арестовали 38-летнего жителя Варшавы, подозреваемого в связи с LockBit. Он предстал перед прокуратурой и был обвинен в уголовных преступлениях.
Однако через неделю LockBit появился вновь, подчеркнув текущие проблемы борьбы с киберпреступностью.
Они опубликовали заявление о токсичности.
"ФБР сделали сервера через PHP, резервные сервера без PHP не тронуты"
"ФБР запускает серверы, использующие PHP, резервные серверы без PHP не трогаются"
Вскоре после этого группа продолжила свое глобальное наступление на организации, сохраняя свои позиции доминирующей силы в сфере операций с программами-вымогателями. Такая устойчивость подчеркивает огромную мощь и возможности группы, а также надежные меры безопасности, окружающие ее деятельность, что обеспечивает ее постоянную жизнеспособность и потенциально многообещающее будущее, о чем свидетельствуют квартальные тенденции последних лет.
Влияние удаления ALPHV.
Нанеся серьезный удар по индустрии программ-вымогателей, 19 декабря 2023 года ФБР объявило, что они уничтожили группу программ-вымогателей ALPHV / BlackCat. Этот демонтаж последовал за пятидневным отключением инфраструктуры dark web группы, которое началось 8 декабря. ФБР захватило контроль над одним из основных сайтов ALPHV, заменив его своим фирменным баннером. Эта акция, наряду с разработкой инструмента дешифрования для помощи жертвам, представляет собой значительную победу правоохранительных органов в борьбе с программами-вымогателями.
В Первом квартале 2024 года ALPHV стояли за 51 атакой программ-вымогателей, что значительно меньше по сравнению со 109 атаками в четвертом квартале 2023 года. Хотя группа все еще активна в 2024 году, ликвидация ФБР явно оказала значительное влияние.
В последнем квартале 2023 года доля жертв программ-вымогателей, выполнивших требования о выкупе, упала до исторического минимума в 29%, согласно данным компании-разработчика программ-вымогателей Coveware.
Coveware объясняет это продолжающееся снижение несколькими факторами, включая повышенную готовность организаций, скептицизм по отношению к заверениям киберпреступников о неразглашении украденных данных и юридические ограничения в регионах, где запрещены выплаты выкупа.
Произошло не только сокращение числа жертв программ-вымогателей, осуществляющих платежи, но и заметное снижение денежной стоимости таких платежей.
Coveware отмечает, что в 4 квартале 2023 года средняя сумма выкупа составила 568 705 долларов, что на 33% меньше, чем в предыдущем квартале, при этом средняя сумма выкупа составила 200 000 долларов.
Прочитайте отчет Cyberint о программах-вымогателях за 2023 год, чтобы узнать о новых группах, о наиболее целевых отраслях и странах, о 3 крупнейших группах программ-вымогателей, активных в первом квартале 2024 года, о заметных тенденциях и инцидентах 2024 года и о многом другом.
Рисунок 1: Количество жертв в квартал
Для такого значительного снижения может быть несколько причин.
Причина 1: Вмешательство правоохранительных органов
Во-первых, правоохранительные органы повысили ставки в 2024 году, приняв меры как против LockBit, так и против ALPHV.Аресты LockBit
В феврале международная операция под названием "Operation Cronos" завершилась арестом по меньшей мере трех сообщников печально известного синдиката программ-вымогателей LockBit в Польше и Украине.Правоохранительные органы из нескольких стран сотрудничали, чтобы отключить инфраструктуру LockBit. Это включало захват их доменов в темной сети и получение доступа к их серверным системам. Власти наложили арест на криптовалютные счета и получили ключи дешифрования, чтобы помочь жертвам восстановить данные. Они также использовали собственный веб-сайт Lockbit для публикации внутренних данных о самой группе.
Украинская киберполиция сообщила, что они задержали дуэт "отца и сына", предположительно связанных с LockBit, деятельность которых якобы повлияла на частных лиц, предприятия, государственные структуры и учреждения здравоохранения во Франции.
Во время обысков по месту жительства подозреваемых в Тернополе, Украина, правоохранительные органы изъяли мобильные телефоны и компьютерное оборудование, которые, предположительно, использовались в кибератаках.
В Польше власти арестовали 38-летнего жителя Варшавы, подозреваемого в связи с LockBit. Он предстал перед прокуратурой и был обвинен в уголовных преступлениях.
Однако через неделю LockBit появился вновь, подчеркнув текущие проблемы борьбы с киберпреступностью.
Они опубликовали заявление о токсичности.
"ФБР сделали сервера через PHP, резервные сервера без PHP не тронуты"
"ФБР запускает серверы, использующие PHP, резервные серверы без PHP не трогаются"
Вскоре после этого группа продолжила свое глобальное наступление на организации, сохраняя свои позиции доминирующей силы в сфере операций с программами-вымогателями. Такая устойчивость подчеркивает огромную мощь и возможности группы, а также надежные меры безопасности, окружающие ее деятельность, что обеспечивает ее постоянную жизнеспособность и потенциально многообещающее будущее, о чем свидетельствуют квартальные тенденции последних лет.
Влияние удаления ALPHV.
Нанеся серьезный удар по индустрии программ-вымогателей, 19 декабря 2023 года ФБР объявило, что они уничтожили группу программ-вымогателей ALPHV / BlackCat. Этот демонтаж последовал за пятидневным отключением инфраструктуры dark web группы, которое началось 8 декабря. ФБР захватило контроль над одним из основных сайтов ALPHV, заменив его своим фирменным баннером. Эта акция, наряду с разработкой инструмента дешифрования для помощи жертвам, представляет собой значительную победу правоохранительных органов в борьбе с программами-вымогателями.
В Первом квартале 2024 года ALPHV стояли за 51 атакой программ-вымогателей, что значительно меньше по сравнению со 109 атаками в четвертом квартале 2023 года. Хотя группа все еще активна в 2024 году, ликвидация ФБР явно оказала значительное влияние.
Причина 2: снижение выплат выкупа
Снижение выплат выкупа также может побудить группы программ-вымогателей уйти на пенсию и искать альтернативные источники дохода.В последнем квартале 2023 года доля жертв программ-вымогателей, выполнивших требования о выкупе, упала до исторического минимума в 29%, согласно данным компании-разработчика программ-вымогателей Coveware.
Coveware объясняет это продолжающееся снижение несколькими факторами, включая повышенную готовность организаций, скептицизм по отношению к заверениям киберпреступников о неразглашении украденных данных и юридические ограничения в регионах, где запрещены выплаты выкупа.
Произошло не только сокращение числа жертв программ-вымогателей, осуществляющих платежи, но и заметное снижение денежной стоимости таких платежей.
Coveware отмечает, что в 4 квартале 2023 года средняя сумма выкупа составила 568 705 долларов, что на 33% меньше, чем в предыдущем квартале, при этом средняя сумма выкупа составила 200 000 долларов.
Новые группы появляются, но еще не покрывают снижение
Несмотря на снижение числа атак с четвертого квартала 2023 года по первый квартал 2024 года и несмотря на более низкую прибыльность, в первом квартале появилось много новых групп программ-вымогателей. К новым группам относятся:- RansomHub – идентифицирует себя как глобальную команду хакеров, в первую очередь мотивированную финансовой выгодой.
- Trisec – воз открыто расходится с обычными группами программ-вымогателей, открыто присоединяясь к национальному государству.
- Slug – кто берет на себя ответственность за проникновение в AerCap и нацеливание на него
- Mydata - на сайте утечки данных названы несколько известных компаний, в том числе Accolade Group, Gadot Biochemical industries и другие.
Прочитайте отчет Cyberint о программах-вымогателях за 2023 год, чтобы узнать о новых группах, о наиболее целевых отраслях и странах, о 3 крупнейших группах программ-вымогателей, активных в первом квартале 2024 года, о заметных тенденциях и инцидентах 2024 года и о многом другом.
