Os fundos coletados por ataques de ransomware caíram para US$ 456,8 milhões em 2022, de US$ 765,6 milhões em 2021, de acordo com um novo relatório da empresa de análise Chainalysis.
Os ataques de ransomware relacionados a cripto tiveram uma queda acentuada na taxa de sucesso nos últimos 12 meses.
Atividade de ransomware de criptografia
O gráfico abaixo mostra a ascensão e queda dos fundos adquiridos por meio de ataques de ransomware nos últimos 6 anos. Um aumento dramático foi visto em 2020, quando os fundos roubados atingiram $ 765 milhões, com 2021 vendo quantias semelhantes roubadas por maus atores.
Embora o relatório da Chainalysis reconheça que “os totais verdadeiros são muito maiores”, pois é provável que existam endereços pertencentes a invasores de ransomware que ainda não foram identificados, a queda indica que as vítimas estão se tornando conscientes de tais ataques. Como resultado, a Chainalysis fez uma declaração apoiando esse sentimento.
“[Ransomware payments falling] não significa que os ataques diminuíram… Acreditamos que grande parte do declínio se deve ao fato de as organizações de vítimas se recusarem cada vez mais a pagar aos invasores de ransomware.”
Variedades de ransomware explodem
Embora os pagamentos para remover o ransomware tenham caído drasticamente, o número de variedades de ransomware explodiu em 2022. Uma variedade é um tipo de ransomware com variantes comuns: Royal, Ragnar, Quantum, Play, Hive e Lockbit.
A Fortinet, empresa líder em hardware e software de segurança cibernética, relatado mais de 10.000 cepas únicas ativas ao longo de 2022.
As cepas têm uma vida útil decrescente, pois os malfeitores continuam a variar os vetores de ataque para otimizar o volume de fundos roubados. Por exemplo, em 2012, as cepas duraram 3.907 dias, enquanto em 2022 a duração média foi de apenas 70 dias. Como resultado, as soluções de segurança cibernética devem acompanhar um número crescente de tensões ativas em sua estratégia de defesa.
Fundos de ransomware
Os fundos adquiridos por meio de ataques de ransomware são lavados por várias vias. A maioria dos fundos ainda é enviada para trocas centralizadas populares. No entanto, as trocas P2P, uma solução popular para invasores de ransomware em 2018, agora representam uma pequena porcentagem do volume geral.
Depois de trocas centralizadas, um método persistente de lavagem de fundos é usar mercados darknet designados como ‘ilícitos’ no gráfico Chainalysis abaixo. Por fim, os serviços de mistura compõem a próxima parte mais significativa, permitindo que os invasores ‘lavem’ a criptografia com poucos recursos das autoridades globais.
Forense de dados na cadeia
A Chainalysis usou dados on-chain para identificar mercados “afiliados” para software ransomware, por meio dos quais terceiros recebem uma “pequena parte fixa dos lucros” em um modelo de ransomware como serviço.
“Podemos pensar nisso como a economia gig, mas para ransomware. Um motorista de carona compartilhada pode ter seus aplicativos Uber, Lyft e Oja abertos ao mesmo tempo, criando a ilusão de três motoristas separados na estrada – mas, na realidade, é tudo o mesmo carro.”
Os dados on-chain permitiram que empresas como a Chainalysis rastreiem atores mal-intencionados em todo o blockchain e possivelmente identifiquem o próximo vetor de ataque. Por exemplo, Conti, uma variedade de ransomware predominante, foi dissolvida em maio de 2022. No entanto, dados na cadeia revelaram que as carteiras conectadas ao Conti agora estão migrando para outras variedades, como Royal, Quantum e Ragnar.
Os invasores de ransomware “reutilizaram carteiras para vários ataques lançados nominalmente sob outras tensões”, tornando a atividade de rastreamento relativamente elementar.
Declínio nos pagamentos de ransomware
O número de ataques de ransomware bem-sucedidos caiu devido ao aumento da compreensão do cenário, medidas de segurança aprimoradas e melhores recursos forenses na cadeia. Como resultado, as vítimas se recusam a pagar aos invasores, já que muitos estão vinculados a partes sancionadas pela OFAC.
Em 2019, apenas 24% das vítimas se recusaram a pagar, ao passo que, em 2022, o percentual aumentou para 59%. Pagar uma recompensa de ransomware a uma parte na lista de sanções da OFAC agora pode ser “legalmente mais arriscado”. Allan Lisk, analista de inteligência da Recorded Future, disse a Chainalysis;
“Com a ameaça de sanções se aproximando, há a ameaça adicional de consequências legais por pagar [ransomware attackers.]”
As consequências de não pagar as demandas do ransomware geralmente podem devastar as vítimas, que muitas vezes perdem o acesso a dados essenciais. No entanto, à medida que a indústria ilícita se torna menos viável financeiramente, a esperança é que o número de ataques também caia, reduzindo assim o número de vítimas.
Independentemente disso, o papel da criptomoeda em ataques de ransomware é claro. É um método para roubar centenas de milhões de dólares em criptomoedas a cada ano. No entanto, isso não quer dizer que não haja mais perdas para ativos financeiros tradicionais, muitos dos quais não são rastreáveis por meio de um blockchain.
