Les fonds collectés par les attaques de ransomwares sont tombés à 456.8 millions de dollars en 2022 contre un sommet de 765.6 millions de dollars en 2021, selon un nouveau rapport de la société d'analyse Chainalysis.
Les attaques de rançongiciels liées à la cryptographie ont connu une forte baisse du taux de réussite au cours des 12 derniers mois.
Activité de crypto-ransomware
Le graphique ci-dessous montre la hausse et la baisse des fonds acquis par le biais d'attaques de ransomwares au cours des 6 dernières années. Une augmentation spectaculaire a été observée en 2020 alors que les fonds volés ont atteint 765 millions de dollars, et 2021 a vu des montants similaires volés par de mauvais acteurs.
Bien que le rapport Chainalysis reconnaisse que "les vrais totaux sont beaucoup plus élevés" car il est probable qu'il existe des adresses appartenant à des attaquants de ransomware qui n'ont pas encore été identifiées, la chute indique que les victimes deviennent conscientes de ces attaques. En conséquence, Chainalysis a fait une déclaration soutenant ce sentiment.
"[La chute des paiements de ransomware] ne signifie pas que les attaques sont en baisse... Nous pensons qu'une grande partie de la baisse est due au fait que les organisations de victimes refusent de plus en plus de payer les attaquants de ransomware."
Les souches de ransomware explosent
Bien que les paiements pour supprimer les ransomwares aient chuté de façon spectaculaire, le nombre de souches de ransomwares a explosé en 2022. Une souche est un type de ransomware avec des variantes courantes : Royal, Ragnar, Quantum, Play, Hive et Lockbit.
Fortinet, un leader du matériel et des logiciels de cybersécurité, rapporté plus de 10,000 2022 souches uniques actives tout au long de XNUMX.
Les souches ont une durée de vie décroissante car les acteurs malveillants continuent de faire varier les vecteurs d'attaque pour optimiser le volume des fonds volés. Par exemple, en 2012, les souches ont duré 3,907 2022 jours, alors qu'en 70, la durée moyenne n'était que de XNUMX jours. Par conséquent, les solutions de cybersécurité doivent faire face à un nombre croissant de contraintes actives dans leur stratégie de défense.
Fonds de rançongiciels
Les fonds acquis par le biais d'attaques de rançongiciels sont blanchis par plusieurs voies. La majorité des fonds sont toujours envoyés à des échanges centralisés populaires. Cependant, les échanges P2P, une solution populaire pour les attaquants de ransomware en 2018, ne représentent désormais qu'un infime pourcentage du volume global.
Après les échanges centralisés, une méthode persistante de blanchiment de fonds utilise les marchés darknet désignés comme « illicites » dans le tableau d'analyse de la chaîne ci-dessous. Enfin, les services de mixage constituent la deuxième partie la plus importante, permettant aux attaquants de "laver" la cryptographie avec peu de recours de la part des autorités mondiales.
Forensique des données en chaîne
Chainalysis a utilisé des données en chaîne pour identifier les marchés « affiliés » pour les logiciels de ransomware, dans lesquels les tiers reçoivent une « petite partie fixe du produit » dans un modèle de ransomware-as-a-service.
"Nous pouvons considérer cela comme l'économie des concerts, mais pour les ransomwares. Un chauffeur de covoiturage peut avoir ses applications Uber, Lyft et Oja ouvertes en même temps, créant l'illusion de trois chauffeurs distincts sur la route, mais en réalité, c'est la même voiture.
Les données en chaîne ont permis à des entreprises comme Chainalysis de retracer les mauvais acteurs à travers la blockchain et éventuellement d'identifier le prochain vecteur d'attaque. Par exemple, Conti, une souche de rançongiciel répandue, a été dissoute en mai 2022. Pourtant, les données en chaîne ont révélé que les portefeuilles connectés à Conti passent maintenant à d'autres souches telles que Royal, Quantum et Ragnar.
Les attaquants de ransomwares "ont réutilisé des portefeuilles pour de multiples attaques lancées nominalement sous d'autres contraintes", ce qui rend l'activité de traçage relativement élémentaire.
Baisse des paiements de rançongiciels
Le nombre d'attaques de ransomwares réussies a diminué en raison de la meilleure compréhension du paysage, de l'amélioration des mesures de sécurité et de meilleures capacités d'investigation en chaîne. En conséquence, les victimes refusent de payer les agresseurs, car beaucoup sont liés à des parties sanctionnées par l'OFAC.
En 2019, seulement 24 % des victimes ont refusé de payer, alors qu'en 2022, le pourcentage est passé à 59 %. Payer une prime de ransomware à une partie figurant sur la liste des sanctions de l'OFAC pourrait désormais être "juridiquement plus risqué". Allan Lisk, analyste du renseignement chez Recorded Future, a déclaré à Chainalysis ;
"Avec la menace de sanctions qui se profile, il y a la menace supplémentaire de conséquences juridiques pour payer [les attaquants de ransomware.]"
Les conséquences du non-paiement des demandes de ransomware peuvent souvent être dévastatrices pour les victimes, qui perdent souvent l'accès à des données essentielles. Cependant, à mesure que l'industrie illicite devient moins viable financièrement, l'espoir est que le nombre d'attaques diminue également, réduisant ainsi le nombre de victimes.
Quoi qu'il en soit, le rôle de la crypto-monnaie dans les attaques de ransomwares est clair. C'est une méthode pour voler des centaines de millions de dollars de crypto chaque année. Cependant, cela ne veut pas dire qu'il n'y a pas plus de perte pour les actifs financiers traditionnels, dont beaucoup ne sont pas traçables via une blockchain.
Source : https://cryptoslate.com/crypto-ransomware-payments-fall-40-in-2022/