Całkowita kwota okupu uzyskanego przez cyberprzestępców w 2023 roku wyniosła ponad miliard dolarów – wynika z danych przytaczanych w raporcie „Ransomware Landscape H1/2024”, opublikowanym przez WithSecure. Analitycy firmy wskazują, że aktywność grup przestępczych w pierwszym kwartale 2024 roku spadła w porównaniu z drugą połową ubiegłego roku. Wzrosła jednak ich skuteczność, a głównym celem stały się małe i średnie firmy.
Chociaż istnieje niewiele czynników, które zmotywowałyby cyberprzestępców do odejścia ze swojej branży, na rynku ransomware zauważalne są pewne przetasowania. Raport WithSecure wskazuje, że w pierwszej połowie 2024 roku pojawiło się 31 nowych gangów ransomware, z czego 9 zaprzestało działalności już w drugim kwartale br., a kolejnych 13 prawdopodobnie niedługo pójdzie w ich ślady. Co więcej, niemal połowa z 67 grup przestępczych, które analitycy firmy zidentyfikowali i śledzili w 2023 roku, w drugim kwartale 2024 roku już nie funkcjonowała.
Sukcesy stróżów prawa i kulejące zaufanie
Na zmniejszenie aktywności cyberoszustów wpływ mogą mieć działania organów ścigania. W lutym 2024 roku brytyjska agencja ds. przestępczości zorganizowanej (National Crime Agency, NCA) wspólnie m.in. z FBI oraz Agencją UE ds. Współpracy Organów Ścigania (Europol) zablokowały działalność Lockbit – największej na świecie grupy ransomware. W ramach akcji przejęto portfele kryptowalut o wartości 120 milionów dolarów, odzyskano 1000 kluczy deszyfrujących, a także aresztowano dwóch hakerów powiązanych z gangiem, w tym jednego w Polsce.
– Sukcesy organów ścigania z pewnością mają wpływ na morale członków grup przestępczych i przyczyniają się do obniżenia wzajemnego zaufania między oszustami. Przykład tego mieliśmy okazję obserwować w kontekście niewypłacenia przez grupę ALPHV partnerom części okupu za atak przeprowadzony na firmę farmaceutyczną Change Healthcare w pierwszym kwartale 2024 roku – wskazuje Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa i VP w firmie WithSecure.
– Ten wzrost napięcia to dobra wiadomość dla organizacji zajmujących się przeciwdziałaniem atakom i obroną ofiar. Jeśli cyberprzestępcy nie ufają sobie nawzajem i przestają współpracować, to ochrona przed nimi jest łatwiejsza i bardziej skuteczna – dodaje ekspert.
Koszty okupu i ryzyko reinfekcji coraz większe
Mimo spadku aktywności grup hakerskich ich efektywność rośnie. W 2023 ofiary ransomware zapłaciły przestępcom łącznie ponad miliard dolarów. Jest to dwukrotny wzrost w porównaniu z 2022 rokiem. Jednocześnie z danych zebranych w raporcie WithSecure wynika, że średnia wysokość okupu w czwartym kwartale 2023 roku spadła o 33% w stosunku do kwartału poprzedniego. Może to sugerować, że choć pojedyncze stawki okupu były niższe, większa liczba ataków zakończyła się zapłatą. Na sukces cyberprzestępców wpływa także zjawisko reinfekcji. Niemal osiem na dziesięć (78%) podmiotów, które dokonały płatności, zostało zaatakowanych ponownie, często przez tę samą grupę przestępczą. Co więcej, w prawie czterech przypadkach na pięć przestępcy zażądali wyższego okupu niż za pierwszym razem.
Wielkość firmy traci na znaczeniu
Raport WithSecure wskazuje, że metoda „big-game-hunting” polegająca na atakowaniu możliwie największych biznesów przestaje być wiodącą taktyką cyberprzestępców. Coraz częściej na celownik grup ransomware trafiają mniejsze firmy. W pierwszej połowie 2024 roku ofiarą cyberataków padło 61% przedsiębiorstw zatrudniających poniżej 200 pracowników. To wzrost o 5,5 punktu proc. względem 2022 roku, kiedy firmy tej wielkości stanowiły połowę zaatakowanych podmiotów. Jednocześnie zmniejszył się odsetek firm w przedziale 1000-5000 pracowników, których dane wyciekły. W pierwszej połowie 2022 roku wynosił on 16,4%, natomiast dwa lata później w tym samym okresie spadł do 10,9%.
– Na wzmożone zainteresowanie przestępców mniejszymi firmami wpływa szereg czynników. Po pierwsze podmioty MŚP dysponują mniejszym budżetem na ochronę i często nie stać ich na zatrudnienie specjalistów ds. cyberbezpieczeństwa. W obliczu braku zabezpieczeń stają się łakomym kąskiem dla hakerów, zwłaszcza działających w pojedynkę, których kusi perspektywa relatywnie łatwego zarobku. Mniejsze firmy są również atakowane ze względu na ich rolę w łańcuchach dostaw – atak na małego dostawcę często jest furtką wykorzystywaną do tego, by dostać się do zasobów większych graczy – tłumaczy Leszek Tasiemski z WithSecure.