Возврат программ-вымогателей: флаги Chainalysis фиксируют выплаты в размере $ 1 млрд в 2023 году
Преступники совершили кражи с помощью программ-вымогателей в криптовалюте на сумму 1 млрд долларов в 2023 году, поскольку изощренным атакам подверглись известные учреждения и инфраструктура.
Согласно последней выдержке из “Отчета о криптопреступлениях” Chainalysis за 2024 год, посвященного программам-вымогателям, произошли значительные атаки на цепочки поставок с использованием повсеместного программного обеспечения для передачи файлов MOVEit, которые затронули такие известные компании, как BBC и British Airwaves.
Фактором, способствовавшим возрождению программ-вымогателей в 2023 году, стало увеличение “частоты, масштабов и объема атак”. Атаки осуществляли различные субъекты, от отдельных лиц и небольших преступных групп до крупных синдикатов.
Ежегодные выплаты выкупов достигли нового рекордного уровня в 2023 году, превысив 1 млрд долларов. Источник: Chainalysis
Chainalysis приводит данные и аналитику компании по кибербезопасности Recorded Future, которая сообщила о 538 новых вариантах программ-вымогателей в 2023 году. В отчете также представлены визуализации различных видов программ-вымогателей по размеру и частоте платежей, иллюстрирующие разнообразие преступных стратегий.
В отчете отмечается, что группы программ-вымогателей, такие как CL0P, продемонстрировали стратегию “охоты на крупную дичь”, которая проводила меньше атак по сравнению с другими разновидностями программ-вымогателей, но собирала более крупные выплаты с каждой атакой:
“Cl0p использовал уязвимости нулевого дня, которые позволили ему массово вымогать у многих крупных жертв с глубокими карманами, что побудило операторов штамма использовать стратегию эксфильтрации данных, а не шифрования”.
Между тем, группы программ-вымогателей, такие как Phobos, по сути, используют модель «вымогательство как услуга» (RaaS), которая позволяет аффилированным лицам преступников получать доступ к вредоносному ПО для проведения атак. Затем основные операторы получают часть средств от выкупа.
Визуализация штаммов программ-вымогателей по среднему размеру платежей и частоте их проведения. Источник: Chainalysis
Chainalysis описывает эту модель как обычно нацеленную на более мелкие организации с меньшими требованиями выкупа, делая ставку на большое количество более мелких атак, служащих мультипликатором силы для извлечения средств.
Злоумышленники-вымогатели также часто проводят ребрендинг и создают дублирующие штаммы, чтобы дистанцироваться от ранее выявленных штаммов, связанных с санкциями и расследованиями. Chainalysis использует анализ блокчейна, чтобы показать сетевые связи между кошельками разных штаммов программ-вымогателей.
Уязвимости нулевого дня также внесли значительный вклад в массовые инциденты с программами-вымогателями в 2023 году. Эти атаки обычно нацелены на пробелы в безопасности сервиса, системы, продукта или приложения компании, прежде чем разработчики смогут создать и распространить исправление.
Эксплойт CL0P программного обеспечения для передачи файлов MOVEit в 2023 году был ярким примером, учитывая, что его продукт используется различными ИТ-и облачными приложениями и раскрыл данные сотен организаций и миллионов пользователей.
Кампания позволила CL0P стать самым заметным штаммом программ-вымогателей в экосистеме. В июне и июле 2023 года штамм собрал более 100 млн долларов в виде выкупов, что составляет 44,8% от стоимости программы-вымогателя.
В 2023 году для отмывания большей доли средств, похищенных в результате атак программ-вымогателей, использовались перекрестные сети, мгновенные обменники, микшеры и подпольные биржи.
Различные способы, которые преступники используют для отмывания платежей с помощью программ-вымогателей в криптовалюте. Источник: Chainalysis
Chainalysis также затрагивает эволюционирующий характер движения украденных средств в результате атак программ-вымогателей. Исторически сложилось так, что централизованные биржи и микшеры получали большую часть средств программ-вымогателей для отмывания.
