I pagamenti per i ransomware sono diminuiti del 35% nel 2024 poiché sempre più vittime si rifiutano di pagare: Chainalysis

Secondo l'agenzia governativa statunitense per la sicurezza informatica (AFP), il business dei ransomware ha subito un duro colpo nel 2024, con pagamenti in calo del 35% su base annua.un nuovo rapportoda Chainalysis.

Sebbene il numero di attacchi ransomware sia aumentato nel 2024, le gang di ransomware hanno guadagnato meno, incassando 814 milioni di dollari rispetto alla cifra record di 1,25 miliardi di dollari del 2023. La società di analisi blockchain attribuisce il calo a una serie di fattori, tra cui un aumento delle azioni e delle sanzioni delle forze dell'ordine, nonché un crescente rifiuto da parte delle vittime di pagare i propri aggressori.

L'anno scorso, meno della metà di tutti gli attacchi ransomware registrati hanno portato a pagamenti da parte delle vittime. Jacqueline Burns Koven, responsabile dell'intelligence sulle minacce informatiche Chainalysis, ha dichiarato a CoinDesk che parte della tendenza al mancato pagamento può essere attribuita a una crescente sfiducia nel fatto che l'adempimento delle richieste degli aggressori comporterà effettivamente l'eliminazione dei dati rubati delle vittime dal possesso dell'aggressore.

Nel febbraio 2024, la compagnia assicurativa americana United Healthcare ha pagato un riscatto di 22 milioni di dollari alla gang russa di ransomware BlackCat dopo che ONE delle sue sussidiarie è stata violata e i dati dei pazienti sono stati esposti. Ma BlackCat è implosa poco dopo il pagamento del riscatto e i dati che United Healthcare aveva pagato per proteggere sono trapelati. Allo stesso modo, l'eliminazione di un'altra gang russa di ransomware, LockBit, da parte delle forze dell'ordine statunitensi e britanniche all'inizio del 2024 ha anche rivelato che il gruppo non ha effettivamente eliminato i dati delle vittime come promesso.

"Ciò che è emerso è che il pagamento di un riscatto non è garanzia di cancellazione dei dati", ha affermato Koven.

Koven ha aggiunto che, anche se le vittime del ransomware volessero pagare, spesso hanno le mani legatedalle sanzioni internazionali.

"C'è stata una serie di sanzioni contro diversi gruppi ransomware e per alcune entità, essere disposti a pagarli è al di fuori della soglia di rischio perché costituisce un rischio di sanzioni", ha affermato Koven.

Il rapporto di Chainalysis indica ONE altro motivo per i pagamenti ridotti nel 2024: le vittime stanno diventando più consapevoli. Lizzie Cookson, direttore senior della risposta agli incidenti presso Coveware, un'azienda di risposta agli incidenti ransomware, ha detto a Chainalysis che, grazie a una migliore igiene informatica, molte vittime sono ora più in grado di resistere alle richieste degli aggressori.

"Potrebbero alla fine determinare che uno strumento di decrittazione è la loro migliore opzione e negoziare per ridurre il pagamento finale, ma più spesso, scoprono che il ripristino da backup recenti è il percorso più rapido e conveniente", ha affermato Cookson nel rapporto.

Sfide al cash-out

Il rapporto di Chainalysis suggerisce anche che gli aggressori ransomware stanno anche lottando per riscuotere i loro guadagni illeciti. L'azienda ha riscontrato un "sostanziale calo" nell'uso dei Cripto mixer nel 2024, che il rapporto ha attribuito all'"impatto dirompente delle sanzioni e delle azioni delle forze dell'ordine, come quelle contro Chipmixer, Tornado Cash e Sinbad".

Secondo il rapporto, l'anno scorso un numero maggiore di autori di ransomware ha semplicemente conservato i propri fondi in portafogli personali.

"Curiosamente, gli operatori di ransomware, un gruppo motivato principalmente da ragioni finanziarie, si stanno astenendo dall'incassare più che mai", ha affermato. "Attribuiamo questo in gran parte alla maggiore cautela e incertezza in mezzo a ciò che è probabilmente percepito come azioni imprevedibili e decisive delle forze dell'ordine che prendono di mira individui e servizi che partecipano o facilitano il riciclaggio di ransomware, con conseguente insicurezza tra gli attori della minaccia su dove possono mettere in sicurezza i loro fondi".

In attesa

Nonostante l’impatto evidente della repressione delle forze dell’ordine contro le bande di ransomware dell’anno scorso, Koven ha sottolineato che è troppo presto per dire se la tendenza al ribasso è destinata a durare.

"Penso che sia prematuro festeggiare, perché ci sono tutti i fattori perché la situazione si inverta nel 2025 e perché riprendano quei grandi attacchi, la caccia grossa", ha detto Koven.

Puoi leggere il rapporto completoQui sul blog di Chainalysis.