Co mówią specjaliści o śledzeniu ataków ransomware?

Organy ścigania, firmy specjalistyczne i inne zainteresowane strony wiedzą, że dynamika udanych ataków jest ogromna i że znacznie wzrosła w ciągu ostatnich pięciu lat. Niestety z powodu braku standaryzacji i zgłaszania historycznych ataków zmagamy się z ciągłymi próbami policzenia ofiar z każdego roku.

Ile tak naprawdę ich jest? „Krótka odpowiedź brzmi: nie wiemy” — powiedział Allan Liska, analityk ransomware z Recorded Future, podczas wydarzenia zorganizowanego 5 maja przez Institute for Security and Technology. „Uważamy, że ataki ransomware odrodziły się w 2023 roku po tym, jak nieco spadły w 2022 roku… Ale jeśli spojrzymy na strony z wymuszeniami oraz na publicznie zgłoszone ataki w pierwszym kwartale 2023 roku, wydaje się, że są one wyższe w porównaniu z tym, co widzieliśmy o tej porze w zeszłym roku”.

Oczekuje się, że pierwsza fala konkretnych raportów pojawi się, gdy podmioty infrastruktury krytycznej zaczną spełniać nowe obowiązkowe wymagania dotyczące zgłaszania incydentów cybernetycznych.

W międzyczasie eksperci ds. bezpieczeństwa, ustawodawcy i organy ścigania pracują z posiadanymi informacjami. Ponieważ wymuszenia cyfrowe w coraz większym stopniu stają się środkiem w dyskusjach politycznych dotyczących cyberbezpieczeństwa, podmioty śledzące w rządzie i sektorze prywatnym również stają się lepsze — i bardziej kreatywne — w gromadzeniu lub generowaniu własnych danych dotyczących ekosystemu oprogramowania ransomware i jego celów.

Prywatni specjaliści zbierają swoje własne dane

Na długo przed tym, jak o atakach ransomware zrobiło się głośno, prezydent Stanów Zjednoczonych, garstka prywatnych badaczy i firm zajmujących się bezpieczeństwem zauważyli luki w widoczności ofiar.

Duże przedsiębiorstwa świadczące usługi reagowania na incydenty dla organizacji dotkniętych cyberatakiem często dysponują bogactwem unikatowych lub niepublicznych danych dotyczących ransomware, których mogą użyć do analizy i ekstrapolacji trendów. Jedna z tych organizacji, Mandiant (kupiona przez Google), była w stanie wykorzystać te doświadczenia, aby stwierdzić, że udane ataki ransomware zmniejszyły się w porównaniu do 2022 roku.

Ustalenia Mandiant generalnie pokrywają się z danymi z innych źródeł, które zgłosiły podobny zastój w aktywności ransomware, ale przyczyny tego zastoju nie są jasne. Większość ekspertów twierdzi, że prawdopodobnie istnieje szereg przyczyniających się do tego czynników, w tym zwiększone atakowanie grup ransomware i zakłócanie ich pracy przez organy ścigania, wzrost liczby organizacji niechętnych do zapłacenia okupu oraz zmiana kierunku ataków przez grupy rosyjskie w związku z wojną na Ukrainie.

Istnieją jednak realne ograniczenia co do wniosków, do których Mandiant i inni mogą dojść na podstawie dostępnych danych, a statystyki wciąż pomijają liczne próby ataków ransomware, które ostatecznie się nie powiodły.

„To, co nie jest zgłaszane jako statystyka ataku ransomware, to wszystkie włamania, które mają miejsce, gdy cyberprzestępca nie ma możliwości kradzieży danych ani wdrożenia szyfrowania” — powiedział Charles Carmakal, dyrektor ds. technologii w firmie Mandiant. „Niezliczoną ilość razy byliśmy wzywani, firma zauważyła, że jej sieć została naruszona, a my jesteśmy w stanie szybko pomóc im powstrzymać incydent i wyeliminować cyberprzestępcę, więc takie incydenty nie są uwzględniane w statystykach ransomware”.

Inne firmy znalazły własne sposoby śledzenia różnych sektorów lub korzystania z różnorodnych źródeł informacji, aby uzyskać jaśniejszy obraz incydentów.

Brett Callow, analityk w Emsisoft, zbiera własne dane dotyczące ogólnokrajowych ataków ransomware na systemy szkolne i sektor edukacji, często poprzez połączenie raportów open source i indywidualnych badań. Według danych, które zebrał, w co najmniej 266 różnych okręgach szkolnych wystąpiły ataki ransomware, a ponad 3,3 miliona uczniów uczęszczało do szkół, które zostały dotknięte atakami od 2019 r. Obejmuje to 24 okręgi i 508 szkół w roku bieżącym.

Kolejny przykład to Recorded Future, które zatrudnia dwóch stażystów spędzających około 15 godzin tygodniowo na przeglądaniu lokalnych gazet i śledzeniu stacji informacyjnych, próbując znaleźć nowe doniesienia o cyberatakach na firmy lub rządy. Następnie przeprowadzają oni dalsze badania w celu ustalenia, czy ataki te są związane z oprogramowaniem ransomware.

Jak okup, to w kryptowalutach

Grupy ransomware tradycyjnie żądają zapłaty okupu w formie kryptowaluty ze względu na  anonimowość i brak jakichkolwiek regulacji prawnych.

Raport Chainalysis ze stycznia wykazał, że łączne środki wysłane na znane adresy ransomware na całym świecie spadły z 765,5 mln USD w 2021 r. do 456,8 mln USD w 2022 r., podczas gdy odsetek płatności wśród ofiar spadł prawie o połowę od 2019 r.

Odkrycia sugerują, że wiele organizacji może słuchać rad FBI i innych agencji rządowych, które nakłaniają ofiary ransomware, aby nie płaciły, ponieważ po prostu sfinansują w ten sposób kolejną rundę ataków. Możliwe również, że niektóre firmy są bardziej ostrożne w zgłaszaniu ataków, ponieważ wiele grup ransomware powiązanych z państwami narodowymi zostało umieszczonych na listach sankcji.

Praca Chainalysis, która ma kontrakty z FBI, Departamentem Skarbu i innymi agencjami w celu śledzenia płatności okupu, stała się kluczowym narzędziem, które rzuca światło na sposoby wykorzystywania przestrzeni kryptowalut przez hakerów i przestępców. Ich odkrycia pomagają również lepiej zrozumieć decydentom, jak regulować sektor, który w ostatnich latach coraz częściej staje się areną wykroczeń.