Chainalysis最新發(fā)布的關(guān)于2023年至2024年勒索軟件態(tài)勢(shì)變化的報(bào)告顯示了一個(gè)令人鼓舞的趨勢(shì)：越來(lái)越多的受害者拒絕支付贖金。

這家區(qū)塊鏈分析公司表示，贖金支付總額同比下降了約35%。2023年，受害者向勒索軟件攻擊者以及數(shù)據(jù)盜竊和勒索團(tuán)伙支付了12.5億美元，而到了2024年，這一數(shù)字降至8.1355億美元。

贖金支付減少且頻率降低

2024年發(fā)生了多起備受矚目的攻擊事件。黑客入侵了多家組織的Snowflake賬戶并竊取其數(shù)據(jù)，還對(duì)病理服務(wù)提供商Synnovis發(fā)起了破壞性勒索軟件攻擊，最終影響了英格蘭的國(guó)家醫(yī)療服務(wù)體系。

從積極的一面看，全球各地的執(zhí)法機(jī)構(gòu)采取了一系列行動(dòng)，重創(chuàng)了一些勒索軟件團(tuán)伙：摧毀了LockBit的基礎(chǔ)設(shè)施，揭露了LockBit頭目及其同伙的身份，起訴了一名LockBit開(kāi)發(fā)者，判處了NetWalker同伙的刑罰，指控了Phobos勒索軟件管理員，逮捕了疑似Reveton、Ransom Cartel RaaS組織的頭目，瓦解了Radar/Dispossessor勒索軟件團(tuán)伙，而在此之前，還破壞了ALPHV/Blackcat的泄露站點(diǎn)(隨后該團(tuán)伙在2024年初進(jìn)行了卷款跑路)。

這些行動(dòng)是全球支付被盜/加密數(shù)據(jù)贖金總額下降的原因之一。

“在LockBit和BlackCat/ALPHV崩潰后，市場(chǎng)從未恢復(fù)到以前的狀態(tài)。”Coveware事件響應(yīng)高級(jí)總監(jiān)Lizzie Cookson評(píng)論道。

“我們看到了獨(dú)立行動(dòng)者的增加，但我們沒(méi)有看到任何團(tuán)體迅速吸收他們的市場(chǎng)份額，就像我們之前在高調(diào)打擊和關(guān)閉后所看到的那樣。當(dāng)前的勒索軟件生態(tài)系統(tǒng)中充斥著大量新手，他們往往將精力集中在中小型市場(chǎng)，而這些市場(chǎng)又與相對(duì)適度的贖金要求相關(guān)聯(lián)。”

2024年支付的總贖金金額下降的另一個(gè)原因是網(wǎng)絡(luò)衛(wèi)生和整體韌性的改善。

其他顯著趨勢(shì)

2024年備受矚目的團(tuán)體之一是RansomHub，它顯然吸收了許多前LockBit和ALPHV/BlackCat的附屬成員，并繼續(xù)攻擊許多受害者，另外兩個(gè)被認(rèn)為有關(guān)聯(lián)的團(tuán)體Akira和Fog也展示出了攻擊大量目標(biāo)的能力。

Chainalysis還指出，勒索軟件操作變得更快，談判通常在數(shù)據(jù)外泄后幾小時(shí)內(nèi)就開(kāi)始。

但Cisco Talos事件響應(yīng)者發(fā)現(xiàn)，攻擊者在實(shí)際部署勒索軟件之前的潛伏時(shí)間變得更長(zhǎng)，這可能表明攻擊者正在試圖擴(kuò)大訪問(wèn)范圍、規(guī)避防御措施和/或識(shí)別感興趣的數(shù)據(jù)進(jìn)行外泄。

“Talos IR觀察到，本季度在所有勒索軟件事件中，運(yùn)營(yíng)商100%利用了遠(yuǎn)程訪問(wèn)工具，與上一季度相比顯著上升，上一季度這一比例僅為13%。”他們也指出。

幾周前，Rapid7發(fā)布了其2024年勒索軟件態(tài)勢(shì)報(bào)告，指出了另一個(gè)趨勢(shì)：威脅行為者要求多次付款以釋放被盜數(shù)據(jù)、共享加密密鑰，并且在某些情況下，要求不發(fā)動(dòng)DDoS攻擊或直接聯(lián)系受害者的合作伙伴和客戶。