Активните кибер-престъпници с рансъмуер профил често работят за няколко бизнеса“(графика:

Активните кибер-престъпници с рансъмуер профил постоянно работят за няколко „ бизнеса “
(графика: CC0 Public Domain)

Рансъмуер бандите се трансформират непрекъснато и то доста бързо. Тяхната интензивност се разраства и вероятно 2023 година ще приключи с най-вече жертви на този вид кибер-тормоз. Криптирането към този момент не е изключително настоящо – изнудването е доста по-ефективно средство за изцеждане на пари от пострадалите.

Регистрираните жертви на кибер изнудване са се нараснали с 46% през 2023 година, съгласно отчета Security Navigator 2024 на Orange Cyberdefense, оповестен предходната седмица. Анализаторите на закани в Orange приписват това доста нарастване на активността на бандата Clop. Според различен разбор – този на Cisco под заглавие „ Cisco Talos Year in Review “ – Clop е третата най-активна рансъмуер група, виновна за 8,2% от общия брой изявления, направени в уеб сайтове за приключване на данни. Лидерът обаче е LockBit (25,3% от публикациите), следвана от ALPHV (10,7%).
Динамични промени в пейзажа
Пейзажът в света на кибер-престъпността, изключително в частта рансъмуер, се мени бързо като пролетно време. Рансъмуер бандите постоянно се сливат или се преименуват в опит да объркат правоприлагащите органи и откривателите, които ги наблюдават, споделя отчетът на Cisco. Активните кибер-престъпници с рансъмуер профил постоянно работят за няколко „ бизнеса “ от вида „ рансъмуер като услуга “.
още по темата
Множество приключвания на рансъмуер код – това е другият фактор, повлиял на пейзажа на този тип закани. Тези приключвания разрешиха на повече хора (дори такива с малко механически познания) да стартират свои лични изнудвачески действия.

Като удостоверение на наклонността за огромна динамичност през 2023 година екипът на Orange е наблюдавал разнообразни групи за изнудване, в това число 31 новодошли, които в никакъв случай не са били виждани по-рано, и 23, които са работили през 2022 година Същевременно са изчезнали 25 други банди.

Приблизително половината от бандите за киберизнудване имат „ живот “ от към шест месеца. Малко над 20% оцеляват от 7 до 12 месеца и единствено 10% надвишават една година. Анализаторите на Orange си изясняват това с обстоятелството, че „ групите се разпадат и еволюират в други “ А това на собствен ред акцентира провокациите, пред които са изправени правоприлагащите органи и екипите по ИТ сигурност.
Всички са на прицел
Големите предприятия са по-голямата част от жертвите на офанзиви за изнудване, съгласно индикаторите на Orange. Големият бизнес съставлява 40% от жертвите, спрямо 23% измежду междинните организации и 25% измежду дребните предприятия.

От позиция на географско систематизиране най-големият брой жертви са налице в англоговорящите страни: над 50% в Съединени американски щати, 6% в Обединеното кралство и 2% в Канада. Orange следи доста нарастване на размера на офанзиви (на годишна база) в Индия (до 97%), Океания (до 73%) и Африка (до 70%).

„ Докато следим скок в броя на огромните предприятия, наранени от кибер-изнудване [40%], дребните и междинни предприятия дружно съставляват съвсем половината от всички жертви [48%] “, споделят анализаторите на Orange.
Най-атакувани промишлености
Доколкото има данни за броя на жертвите по промишлености, най-атакуваният бранш, съгласно наблюденията на Cisco Talos през 2023 година, е секторът на опазването на здравето. Това не е изненадващо, защото организациите в този бранш постоянно страдат от недофинансирани бюджети за киберсигурност и висока сензитивност към сривовете. Освен това тези организации са забавни цели, тъй като имат доста деликатна, сензитивна здравна информация.

Другите най-атакувани браншове са държавните администрации, производството, хотелиерството и ресторантьорството, образованието.
Повече изнудване, по-малко криптиране
Друга забележителна наклонност в пейзажа на рансъмуер заканите е, че от ден на ден сътрудници на кибер-бандитите в този момент минават към модел за изнудване посредством кражба на данни, вместо към нормалния модел на криптиране, съгласно отчета на Cisco. При тези офанзиви кибер-престъпниците не разполагат с логаритъм за шифриране на данните на жертвата. Вместо това те крадат поверителна информация на организациите, а след това желаят откуп.

Подобренията във опциите за разкриване на рансъмуер от системите за разпознaване на подозрително държание в крайните точки и реагиране (EDR и XDR) може би е една от аргументите за промяната на тактиката и прекъсването на внедряването на рансъмуер у целевите системи. Cisco Talos също подозира, че нападателните преследвания от страна на американските и интернационалните правоприлагащи органи против участниците в рансъмуер може да са друга причина за смяната.