Estima-se que a gangue de ransomware Clop arrecade entre $75-100 milhões extorquindo vítimas de sua campanha massiva de roubo de dados MOVEit.
Em um novo relatório divulgado hoje, o Coveware explica que o número de vítimas pagando resgates caiu para uma baixa recorde de 34%, levando as quadrilhas de ransomware a mudar suas estratégias para tornar seus ataques mais lucrativos.
O Coveware explica que diferentes ataques de extorsão têm custos de oportunidade variados refletidos pelo esforço e investimentos necessários para conduzir um ataque em comparação com a demanda de resgate esperada.
A relação entre o impacto em uma vítima e os custos do ator da ameaça (tempo, esforço e investimento) para conduzir o ataque é representada no gráfico abaixo.
O eixo vertical representa o impacto na vítima, enquanto o eixo horizontal ilustra os custos do ator da ameaça.
O gráfico mostra que os ataques de extorsão com a menor complexidade e automação têm o menor impacto nas vítimas e custo para os atacantes.
Isso é refletido nas demandas de resgate, com ataques de engenharia social (também conhecidos como ataques fantasma), ataques com resgates DB e ataques de criptografia NAS, como Qlocker, geralmente têm demandas de resgate baixas devido à automação e falta de complexidade nos ataques.
Para ataques como esses, as demandas de resgate normalmente variam entre algumas centenas a milhares de dólares, com os atores da ameaça esperando que um grande volume de pagamentos compense os baixos preços do resgate.
No entanto, ataques mais complicados e demorados com impacto mais significativo geram demandas de resgate muito maiores, geralmente na casa dos milhões.
Em 27 de maio, a gangue de ransomware Clop começou ataques em larga escala para roubo de dados explorando uma vulnerabilidade de zero dia na plataforma MOVEit Transfer.
Esses ataques têm impacto esperado em centenas de empresas em todo o mundo, com muitas já tendo alertado seus clientes afetados nos últimos dois meses.
No entanto, o Coveware diz que ataques de extorsão que focam apenas no roubo de dados diminuíram os pagamentos ao longo do tempo, com as vítimas preferindo revelar os ataques e emitir notificações de violação de dados do que pagar aos atores da ameaça.
"Os ataques de DXF somente não causam perturbações nos negócios como o impacto da criptografia, mas podem causar danos à marca e criar obrigações de notificação", explica o relatório do Coveware.
"A probabilidade de um resgate ser pago é inferior a 50%, mas o ($) de uma demanda de resgate em ataques apenas de DXF é relativamente alto."
Coveware diz que a Clop mudou sua estratégia de extorsão pedindo demandas de resgate muito mais significativas do que as já vistas em ataques de exfiltração de dados, na esperança de que alguns pagamentos grandes superem a queda geral.
De acordo com a estimativa do Coveware, apenas algumas vítimas do roubo de dados do MOVEit provavelmente vão pagar.
No entanto, a Clop ainda deve acumular uma impressionante soma de $75-100 milhões apenas com esses pagamentos, dadas as demandas de resgate substanciais.
"É provável que o grupo Clop ganhe de $75 a $100 milhões de dólares apenas com a campanha MOVEit, com essa soma vindo de um pequeno grupo de vítimas que sucumbiu a pagamentos muito altos", explica o Coveware.
"Esta é uma soma de dinheiro perigosamente alta para um grupo relativamente pequeno possuir."
O CEO do Coveware, Bill Siegel, disse ao BleepingComputer que o sucesso do Clop nestes ataques é significativamente maior do que os ataques de roubo de dados recentes do GoAnywhere, onde os atores da ameaça apenas violaram 130 vítimas e receberam apenas alguns resgates.
Siegel acredita que os ataques de roubo de dados da Clop de 2021 à Accellion FTA foram bem-sucedidos porque as vítimas não estavam tão bem informadas sobre os prós e contras de pagar para evitar o vazamento de dados.
Além disso, houve muito mais atenção da mídia para violações individuais em 2021, com a mídia agora se tornando insensível a esses tipos de ataques.
"Hoje, as vítimas estão muito melhor informadas sobre os prós e contras dessas situações (com os contras superando claramente os prós na maioria das situações)", disse Siegel ao BleepingComputer.
"Então, enquanto Accellion foi um grande sucesso financeiro, já que uma porcentagem maior de vítimas pagou de um grupo relativamente pequeno de vítimas, o GoAnywhere parece ter sido quase um fracasso total de outro pequeno grupo de vítimas."
"O MOVEit teve pelo menos 10 vezes mais vítimas diretas do que ambos esses ataques, então a CloP conseguiu focar apenas nas maiores e mais propensas a considerar o pagamento, mesmo com mais de 90% das vítimas nem sequer se preocupando em negociar, que dirá pagar."
Além da mudança nas táticas de ataques de roubo de dados, Coveware também viu uma mudança quando se trata de ataques de criptografia de ransomware.
O Coveware diz que houve uma redução dramática nas operações do Ransomware-as-a-Service visando pequenas empresas, pois receber pagamentos de resgate tornou-se muito mais desafiador.
Como resultado, operações menores de ransomware como Dharma e Phobos viram uma diminuição de quase 37% nos ataques em 2023.
Em vez disso, Coveware observou uma mudança entre mais afiliados desses grupos, à medida que eles transitam para a nova operação de ransomware 8base, que usa o criptografador Phobos para atacar empresas em ataques em maior escala.
Um relatório recente da VMware vinculou o 8base ao RansomHouse, uma operação de ransomware conhecida por visar organizações maiores e permitir que os afiliados exijam resgates maiores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...