Rok 2023 był ważnym rokiem dla grup zajmujących się oprogramowaniem ransomware, mimo iż organy ścigania na całym świecie w dalszym ciągu rozprawiały się z napastnikami.
Jednostka 42 Palo Alto Networks, firma zajmująca się analizą zagrożeń, odkryła 49-procentowy wzrost liczby ofiar zgłoszonych przez strony z wyciekami systemu ransomware, co daje łącznie prawie 4000 postów w tych witrynach od różnych grup zajmujących się oprogramowaniem ransomware. Jednostka 42 stwierdziła, iż wzrost ten wynika z ogromnego wpływu ataków wykorzystujących luki dnia zerowego, czyli luki w zabezpieczeniach, których programiści jeszcze nie zidentyfikowali. Wskazali na Włamanie do systemu MOVEit Transfer iż Rząd USA połączył się z gangiem ransomware CL0Pjako jeden przykład. Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury oszacowała, iż włamanie naraziło na szwank ponad 3000 organizacji w USA i 8000 na całym świecie.
Prawie połowa ofiar systemu ransomware zidentyfikowanych przez Unit 42 znajdowała się w USA, przy czym najbardziej dotknięte branże to produkcja, usługi profesjonalne i prawne oraz zaawansowane technologie.
Jednostka 42 zidentyfikowała w zeszłym roku 25 nowych witryn z wyciekami, które oferowały oprogramowanie ransomware jako usługę. Stwierdzono jednak, iż co najmniej pięć z nich zostało zamkniętych, ponieważ w drugiej połowie roku nie otrzymały nowych stanowisk. Według Unit 42, około dwa tuziny nowych witryn stanowiło 25 procent wszystkich postów związanych z oprogramowaniem ransomware w 2023 roku.
Mimo to znaczenie niektórych grup zajmujących się oprogramowaniem ransomware przyciągnęło także uwagę organów ścigania, co w kilku przypadkach zakończyło się sukcesem – stwierdził Unit 42. Grupa pochwaliła rolę organów ścigania w zakłócaniu działalności grup takich jak Hive i Ragnar Locker w 2023 r. Hive wyłudził okup w wysokości 100 milionów dolarów, według Departamentu Sprawiedliwości USAi spowodował poważne zakłócenia, w tym w szpitalu, który po ataku musiał przejść na tryb analogowy i nie mógł przyjmować nowych pacjentów. Ragnar Locker zaatakował infrastrukturę krytyczną, w tym portugalskiego przewoźnika narodowego i izraelski szpital, według europejskich organów ścigania.
Raport opiera się na ustaleniach Chainalytic, firmy zajmującej się danymi blockchain, która niedawno opublikowała swoje własny raport na temat trendów w zakresie przestępczości kryptograficznej. Chociaż na podstawie wstępnych ustaleń firma stwierdziła spadek całkowitej wartości nielegalnej działalności kryptograficznej w 2023 r., przychody z systemu ransomware wzrosły. Chainalytic sugeruje, iż „osoby atakujące oprogramowanie ransomware dostosowały się do usprawnień cyberbezpieczeństwa organizacji”.
