2022 foi um ano importante na luta contra ransomware. Atacantes conseguiram extorquir ao menos US $ 456,8 milhões, mas isso representa uma queda de US $ 200 milhões em relação a 2021.
Como sempre, temos que advertir que o total é muito maior, pois há endereços cripto controlados por golpistas que ainda precisam ser identificados na blockchain e incorporados aos nossos dados. Quando publicamos o relatório do ano anterior, por exemplo, havíamos identificado apenas US $ 602 milhões em pagamentos de ransomware em 2021. Ainda assim, a queda significativa nos pagamentos a esse tipo de golpe é clara.
Entretanto, isso não significa que o número de ataques diminuiu, pelo menos não tanto quanto a queda drástica nos pagamentos poderia sugerir. Em vez disso, acreditamos que muito da queda se deve a organizações de vítimas cada vez mais se recusando a pagar pelos resgates.
Dimensionando o ecossistema de ransomware
A maioria das cepas de ransomware funciona no modelo ransomware-como-um-serviço (RaaS, na sigla em inglês), no qual os desenvolvedores de uma cepa permitem que outros cibercriminosos, conhecidos como afiliados, usem o malware do administrador para praticar ataques em troca de uma parcela pequena e fixa da receita.
Entretanto, nós temos percebido ao longo do tempo que muitos dos afiliados praticam ataques com diversas cepas diferentes. Então, muito embora dezenas de cepas de ransomware tenham sido ativos ao longo de 2022, muitos dos ataques atribuídos a elas provavelmente foram praticados pelos mesmos afiliados.
Podemos enxergar isso como a economia de trabalho alternativo, só que para ransomware. Um motorista de aplicativo pode ter os aplicativos Uber, Lyft e Oja abertos ao mesmo tempo, criando a ilusão de que há três motoristas diferentes na rua — porém, na realidade, trata-se do mesmo carro.
No gráfico do Chainalysis Reactor abaixo, vemos um afiliado cuja carteira recebeu elevadas quantias a partir das cepas de ransomware Dharma, Conti e BlackCat em diferentes momentos, o que significa que o afiliado praticou ataques a partir dessas três cepas.
A Conti é um caso particularmente interessante para observar que não apenas afiliados, mas administradores também assumem outras formas e mudam de cepa. Ela foi uma cepa de ransomware bastante utilizada durante alguns anos, tendo conseguido levantar mais dinheiro do que qualquer outra variante em 2021.
Porém, em fevereiro de 2022, imediatamente após a invasão da Ucrânia por parte da Rússia, o time Conti publicamente anunciou seu apoio ao governo de Vladimir Putin. Pouco tempo depois, mensagens internas da organização vazaram, indicando conexões entre a organização cibercriminosa e o Serviço Federal de Segurança da Rússia (FSB).
Por tais motivos, muitas vítimas e empresas especializadas em ransomware decidiram que pagar os resgates do Conti era muito arriscado, pois o FSB é uma entidade sancionada apesar de a Conti em si não ser. A Conti reagiu anunciando seu encerramento em maio, mas boa parte da equipe da organização se dividiu em grupos menores e continuou suas atividades. O fim da organização fez com que vários afiliados conduzissem ataques para outras cepas, cujas vítimas eram mais propensas a pagar.
Mas não foram apenas os afiliados do Conti que mudaram de bandeira. Dados onchain mostram que administradores centrais também começaram a trabalhar com e lançar outras cepas, incluindo o líder do grupo de ransomware, de pseudônimo Stern. O gráfico do Reactor abaixo mostra que Stern transacionou com endereços conectados a cepas como Quantum, Karakurt, Diavol e Royal em 2022, após a queda da Conti.
O destaque: vítimas de ransomware estão pagando menos frequentemente
A partir dos dados disponíveis atualmente, nós estimamos que a receita total de ransomware em 2022 caiu para pelo menos US $456,8 milhões, muito menos que os US $ 765,6 milhões de 2021 — uma enorme queda de 40,3%. Entretanto, as evidências sugerem que isso se deu por conta da tendência crescente de as vítimas não pagarem os golpistas, em vez de uma queda no número de ataques. Conversamos com alguns experts em ransomware para entender mais.
Bill Siegel, da Coveware, nos forneceu estatísticas sobre a probabilidade de uma vítima de ransomware pagar o resgate a partir do comportamento dos clientes de sua empresa ao longo dos últimos 4 anos:
A tendência é altamente encorajadora — desde 2019, as taxas de pagamento às vítimas caíram de 76% para apenas 41%. Mas o que exatamente explica essa mudança? Um grande fator é que pagar resgates tem se tornado legalmente arriscado, especialmente após um aviso da OFAC em setembro de 2021 sobre a possibilidade de violação a sanções ao pagar resgates.
“Com a ameaça de sanções crescendo, há esse risco adicional de consequências legais por pagar [resgates de ransomware]”, disse Alan Liska, conhecido no Twitter como “Sommelier de Ransomware“. Bill Siegel concorda, adicionando que sua empresa se recusa a pagar resgates caso haja uma chance até mesmo remota de conexão com entidades sancionadas.
Outro grande fator é o panorama das empresas de seguro cibernético, que normalmente são aquelas que ressarcem vítimas de ransomware. “[A indústria de] seguro cibernético realmente deu uma passo à frente para diminuir não apenas a quem eles oferecem seguro, mas também para quais fins os pagamentos podem ser utilizados, então eles estão muito menos inclinados a permitir que seus clientes utilizem pagamentos de seguro para pagar resgates”, disse Liska.
Michael Phillips, da empresa de seguro cibernético Resilience, compartilhou dessa impressão no seu comentário. “Hoje em dia, as empresas precisam cumprir medidas rigorosas de cibersegurança e backup para obterem seguros que cubram ransomware. Esses requisitos se provaram úteis em permitir que as empresas se recuperem de ataques ao invés de pagar resgates”, disse Philips.
Traduzido e adaptado da Chainalysis
Leia também: