Chainalysis最新发布的关于2023年至2024年勒索软件态势变化的报告显示了一个令人鼓舞的趋势:越来越多的受害者拒绝支付赎金。
这家区块链分析公司表示,赎金支付总额同比下降了约35%。2023年,受害者向勒索软件攻击者以及数据盗窃和勒索团伙支付了12.5亿美元,而到了2024年,这一数字降至8.1355亿美元。
赎金支付减少且频率降低
2024年发生了多起备受瞩目的攻击事件。黑客入侵了多家组织的Snowflake账户并窃取其数据,还对病理服务提供商Synnovis发起了破坏性勒索软件攻击,最终影响了英格兰的国家医疗服务体系。
从积极的一面看,全球各地的执法机构采取了一系列行动,重创了一些勒索软件团伙:摧毁了LockBit的基础设施,揭露了LockBit头目及其同伙的身份,起诉了一名LockBit开发者,判处了NetWalker同伙的刑罚,指控了Phobos勒索软件管理员,逮捕了疑似Reveton、Ransom Cartel RaaS组织的头目,瓦解了Radar/Dispossessor勒索软件团伙,而在此之前,还破坏了ALPHV/Blackcat的泄露站点(随后该团伙在2024年初进行了卷款跑路)。
这些行动是全球支付被盗/加密数据赎金总额下降的原因之一。
“在LockBit和BlackCat/ALPHV崩溃后,市场从未恢复到以前的状态。”Coveware事件响应高级总监Lizzie Cookson评论道。
“我们看到了独立行动者的增加,但我们没有看到任何团体迅速吸收他们的市场份额,就像我们之前在高调打击和关闭后所看到的那样。当前的勒索软件生态系统中充斥着大量新手,他们往往将精力集中在中小型市场,而这些市场又与相对适度的赎金要求相关联。”
2024年支付的总赎金金额下降的另一个原因是网络卫生和整体韧性的改善。
其他显著趋势
2024年备受瞩目的团体之一是RansomHub,它显然吸收了许多前LockBit和ALPHV/BlackCat的附属成员,并继续攻击许多受害者,另外两个被认为有关联的团体Akira和Fog也展示出了攻击大量目标的能力。
Chainalysis还指出,勒索软件操作变得更快,谈判通常在数据外泄后几小时内就开始。
但Cisco Talos事件响应者发现,攻击者在实际部署勒索软件之前的潜伏时间变得更长,这可能表明攻击者正在试图扩大访问范围、规避防御措施和/或识别感兴趣的数据进行外泄。
“Talos IR观察到,本季度在所有勒索软件事件中,运营商100%利用了远程访问工具,与上一季度相比显著上升,上一季度这一比例仅为13%。”他们也指出。
几周前,Rapid7发布了其2024年勒索软件态势报告,指出了另一个趋势:威胁行为者要求多次付款以释放被盗数据、共享加密密钥,并且在某些情况下,要求不发动DDoS攻击或直接联系受害者的合作伙伴和客户。
