Por grande parte do ano passado, a trilha de destruição e caos deixada pelos hackers de ransomware estava em plena exibição. Gangues de extorsão digital paralisaram centenas de farmácias e clínicas nos EUA através de seu ataque à Change Healthcare, exploraram vulnerabilidades de segurança nas contas de clientes do provedor de nuvem Snowflake para invadir uma série de alvos de alto perfil e extraíram um recorde de 75 milhões de dólares de uma única vítima.
No entanto, sob essas manchetes, os números contam uma história surpreendente: os pagamentos de ransomware na verdade caíram no geral em 2024—e na segunda metade do ano caíram mais precipitadamente do que em qualquer outro período de seis meses registrado.
A empresa de rastreamento de criptomoedas Chainalysis divulgou hoje uma parte de seu relatório anual sobre crimes focado em rastrear a indústria de ransomware, que descobriu que os pagamentos de extorsão das vítimas de ransomware totalizaram 814 milhões de dólares em 2024, uma queda de 35% em comparação com os recordes de 1,25 bilhão de dólares que os hackers extraíram das vítimas de ransomware no ano anterior. A análise dos pagamentos ao longo de 2024 mostra uma tendência ainda mais positiva: os hackers coletaram apenas 321 milhões de dólares de julho a dezembro, em comparação com 492 milhões de dólares no semestre anterior, a maior queda nos pagamentos entre dois períodos de seis meses que a Chainalysis já viu.
“A drástica reversão das tendências que estávamos vendo na primeira metade do ano para a segunda foi bastante surpreendente”, diz Jackie Burns Koven, que lidera a inteligência de ameaças cibernéticas na Chainalysis. Ela sugere que a queda é provavelmente devido a desmantelamentos e interrupções por parte da lei, alguns dos quais tiveram efeitos retardados que não eram imediatamente aparentes na primeira metade do ano, enquanto as vítimas de ransomware e a indústria de cibersegurança lidavam com ataques catastróficos.
“Não me entenda mal: Para todos que são defensores ou respondentes a incidentes, tem sido um ano,” diz Burns Koven. “Mas é notável que para os principais ataques que ocorreram no ano passado, esses grupos não existem mais ou estão se mantendo em baixa. Houve um forte sinal das autoridades de que se você cruzar a linha, haverá consequências.”
As autoridades dos EUA e do Reino Unido conseguiram duas interrupções significativas de grupos de ransomware importantes no início de 2024: Seis dias antes do Natal de 2023, o FBI anunciou que havia encontrado vulnerabilidades no software de criptografia usado pelo grupo conhecido como BlackCat ou AlphV, distribuindo chaves de descriptografia para as vítimas para frustrar as táticas de extorsão do grupo e desmantelando os sites da dark web que o grupo usava para emitir suas ameaças. Dois meses depois, em fevereiro de 2024, a Agência Nacional do Crime do Reino Unido realizou uma operação contra o notório grupo de ransomware Lockbit, sequestrando sua infraestrutura, confiscando suas carteiras de criptomoeda, desmantelando seus sites da dark web e até obtendo informações sobre seus membros e parceiros cibernéticos criminosos.
Inicialmente, no entanto, ambos os grupos pareciam se recuperar desses desmantelamentos. AlphV anunciou em fevereiro que havia invadido a Change Healthcare, desativando pagamentos em centenas de clínicas e farmácias dos EUA e extraindo 22 milhões de dólares da empresa pertencente à United Healthcare em um dos piores incidentes de ransomware relacionados à saúde na história. O Lockbit, também, parecia se recuperar dos golpes da NCA, lançando imediatamente um novo site na dark web onde continuou a extorquir vítimas antigas e novas.
Mas, na verdade, ambas as operações de aplicação da lei podem ter sido mais bem-sucedidas do que pareciam. AlphV, após receber seu resgate de 22 milhões de dólares da Change Healthcare, realizou um chamado “golpe de saída”, levando o dinheiro e desaparecendo em vez de compartilhá-lo com os parceiros hackers que haviam realizado a violação da Change. O Lockbit, também, caiu em grande parte do mapa nos meses que se seguiram ao desmantelamento da NCA, talvez devido à desconfiança do submundo cibernético em relação ao grupo e seu suposto líder, Dmitry Khoroshev, quando ficou claro que a NCA o havia identificado. Em maio de 2024, Khoroshev também foi sancionado pelo Tesouro dos EUA, tornando muito mais complicadas legalmente as vítimas do Lockbit pagarem um resgate ao grupo.
Enquanto o vácuo deixado por esses grandes jogadores no ecossistema de ransomware foi preenchido por grupos mais novos durante a segunda metade de 2024, muitos deles não tinham as habilidades ou experiência para atacar alvos tão grandes e bem defendidos quanto Lockbit e AlphV tinham, diz Burns Koven. O resultado, ela diz, foram pagamentos de resgate muito menores, muitas vezes na faixa de dezenas de milhares de dólares em vez de milhões ou dezenas de milhões.
“O talento deles não é tão robusto quanto o de seus predecessores,” diz Burns Koven sobre a nova geração de gangues de ransomware. “Estamos vendo a ressaca desses desmantelamentos por parte da lei, não apenas visando indivíduos e cepas de malware, mas também a infraestrutura e as ferramentas e serviços que haviam sido usados para perpetuar esses ataques.”
Na verdade, o ano passado viu mais incidentes de ransomware do que o ano anterior, diz Allan Liska, um analista de inteligência de ameaças focado em ransomware na empresa de segurança Recorded Future. A empresa contou 4.634 ataques em 2024 contra 4.400 em 2023. Mas os valores de resgate mais baixos recebidos por esses novos grupos de ransomware sugerem que eles podem ter favorecido a quantidade em vez da qualidade, diz ele. “O que estamos vendo em termos de pagamentos é um reflexo de novos atores de ameaça sendo atraídos pela quantidade de dinheiro que eles veem que pode ser feita em ransomware, tentando entrar no jogo e não sendo muito bons nisso,” diz Liska.
Além das principais ações de aplicação da lei no início de 2024, a Chainalysis atribui a queda nos pagamentos durante a segunda metade do ano a uma maior conscientização global sobre a ameaça do ransomware, levando a defesas e planos de resposta mais maduros dentro de governos e outras instituições. E Burns Koven acrescenta que a regulamentação de criptomoedas e as repressões das autoridades sobre a infraestrutura de lavagem de dinheiro, incluindo misturadores que ajudam criminosos a anonimizar e ocultar a origem de suas criptomoedas obtidas de forma ilícita, também corroeram as habilidades dos atores de ransomware de lidar com pagamentos sem conhecimento especializado.
Embora a queda nos pagamentos durante a segunda metade de 2024 seja significativa por ser a maior já registrada nos dados da Chainalysis, o número de ataques de ransomware e o volume de pagamentos flutuou e caiu antes. Notavelmente, os pesquisadores viram uma diminuição acentuada na atividade em 2022, um ano em que a Chainalysis colocou os pagamentos totais de ransomware em 655 milhões de dólares em comparação com 1,07 bilhão de dólares em 2021 e quase 1 bilhão de dólares em 2020. Mas enquanto governos e defensores estavam inicialmente encorajados de que seus esforços de dissuasão estavam funcionando, o ransomware ressurgiu como uma ameaça ainda mais grave em 2023, totalizando, segundo a contagem da Chainalysis, 1,25 bilhão de dólares em pagamentos naquele ano.
“Acho que oscilações são inevitáveis,” diz Brett Callow, diretor administrativo da FTI Consulting e pesquisador de ransomware de longa data. “Se os bandidos tiveram alguns trimestres brilhantes, uma queda seguirá, assim como se os bonzinhos tiveram alguns bons trimestres. É por isso que realmente precisamos analisar tendências ao longo de um período mais longo, porque aumentos e diminuições em períodos mais curtos não nos dizem muito.”
Além disso, os pesquisadores há muito alertam que é difícil obter números realmente confiáveis sobre o volume de ataques de ransomware e um total preciso de pagamentos a cada ano. Isso se deve em parte ao fato de os atacantes tentarem inflar seus registros e se parecerem mais eficazes e ameaçadores ao reivindicar violações de dados antigas como novos ataques ou simplesmente inventar ataques que não realizaram. E sempre é difícil obter números precisos sobre ransomware (sem mencionar fraudes digitais de forma mais ampla), porque o estigma e os requisitos regulatórios muitas vezes impedem as vítimas de se apresentarem. Isso torna a previsão de ransomware mais uma arte do que uma ciência.
“Minha impressão da segunda metade de 2024 é que se houve uma diminuição, também haverá um rebound,” diz Callow.
Os pesquisadores da Chainalysis deixam claro que a queda nos pagamentos em 2024 não é uma garantia de reduções futuras nos ataques de ransomware. Mas Burns Coven enfatiza que para os defensores que estão na linha de frente em resposta a incidentes, o ponto de dados é útil para fazer o caso de que o investimento sustentado na defesa contra ransomware vale a pena.
“Ainda estamos de pé nos destroços, certo? Não podemos sair dizendo a todos, tudo está ótimo, resolvemos o ransomware—eles continuam a atacar escolas, hospitais e infraestrutura crítica,” diz Burns Koven. Mas, acrescenta, “não acho que ninguém esteja necessariamente celebrando. Acho que é um sinal do que precisa ser continuado.”