Volgens een rapport dat vrijdag door de US Treasury is vrijgegeven, is meer dan $ 5 miljard aan bitcoin-transacties gekoppeld aan de top tien ransomware-varianten.
Het Financial Crimes Enforcement Network (FinCen) en het Office of Foreign Assets Control (OFAC) hebben twee rapporten uitgebracht die illustreren hoe lucratief cybercriminaliteit met betrekking tot ransomware is geworden voor de bendes achter hen. Delen van het rapport zijn gebaseerd op rapporten over verdachte activiteiten (SAR) die financiële dienstverleners bij de Amerikaanse overheid hebben ingediend.
FinCen zei dat de totale waarde van verdachte activiteit gerapporteerd in ransomware-gerelateerde SAR's gedurende de eerste zes maanden van 2021 $ 590 miljoen was, wat meer is dan de $ 416 miljoen gerapporteerd voor heel 2020.
“FinCEN-analyse van ransomware-gerelateerde SAR's die in de eerste helft van 2021 zijn ingediend, geeft aan dat ransomware een toenemende bedreiging vormt voor de Amerikaanse financiële sector, bedrijven en het publiek. Het aantal ransomware-gerelateerde SAR's dat maandelijks wordt ingediend, is snel gegroeid, met 635 ingediende SAR's en 458 transacties gemeld tussen 1 januari 2021 en 30 juni 2021, een stijging van 30 procent ten opzichte van het totaal van 487 SAR's die voor het hele kalenderjaar 2020 zijn ingediend”, aldus het rapport.
Door het analyseren van 177 unieke converteerbare virtuele valuta-portemonnee-adressen die werden gebruikt voor ransomware-gerelateerde betalingen in verband met de 10 meest gemelde ransomware-varianten in SAR's tijdens de beoordelingsperiode, vond het ministerie van Financiën ongeveer $ 5,2 miljard aan uitgaande bitcoin-transacties mogelijk gekoppeld aan ransomware-betalingen.
“Volgens gegevens die zijn gegenereerd uit ransomware-gerelateerde SAR's, was het gemiddelde totale maandelijkse verdachte bedrag aan ransomware-transacties $ 66,4 miljoen en het mediane gemiddelde was $ 45 miljoen. FinCEN identificeerde bitcoin als de meest voorkomende ransomware-gerelateerde betalingsmethode in gerapporteerde transacties,” de rapport voegt toe.
FinCen merkte op dat de cijfers in Amerikaanse dollars zijn gebaseerd op de waarde van bitcoin op het moment van de transactie en voegde eraan toe dat de dataset “bestond uit 2184 SAR's die $ 1,56 miljard aan verdachte activiteiten vertegenwoordigden die tussen 1 januari 2011 en 30 juni 2021.”
FinCen
Hoewel het rapport niet vermeldt welke ransomwarevarianten meer maakten dan andere, vermeldt het wel de meest gerapporteerde varianten, namelijk REvil/Sodinokibi, Conti, DarkSide, Avaddon en Phobos. FinCen zei in totaal 68 verschillende ransomwarevarianten te hebben gevonden.
Ransomware-expert en Allan Liska, lid van het computernoodhulpteam van Recorded Future, vertelde ZDNet dat het verrassend is dat Phobos in de top vijf staat.
“Phobos heeft de neiging om onder de radar te vallen en krijgt niet veel aandacht, het is duidelijk dat er meer focus op moet worden gelegd, zodat organisaties zich er beter tegen kunnen verdedigen,” zei Liska.
Hij voegde eraan toe dat het was interessant om te zien dat FinCen al sinds 2011 ransomware-transacties volgt, wat betekent dat ze veel meer ervaring hebben met het volgen van cryptocurrency-transacties dan ransomware-groepen beseffen.
“Ik denk dat we allemaal vermoedden dat ransomware-aanvallen dit jaar in opkomst waren, het is leuk om dit bevestigd te zien”, zei hij. “Eindelijk, in de eerste 6 maanden van het jaar identificeerde FinCEN 68 ransomwarevarianten die in SAR werden gepost. Nogmaals, ik denk niet dat de meeste mensen beseffen hoe divers het ransomware-ecosysteem is.”
De rapporten komen een dag nadat de Amerikaanse functionarissen en regeringen van meer dan 30 landen een tweedaagse top hadden afgerond, gericht op ransomware en hoe het kan worden gestopt. De landen beloofden verdere samenwerking en noemden specifiek de noodzaak om cryptocurrency-platforms verantwoordelijk te houden.
Gelijktijdig met de publicatie van het rapport, heeft FinCen verdere richtlijnen vrijgegeven waarin de virtuele valuta-industrie effectief wordt bedreigd met boetes als ze toestaan dat gesanctioneerde mensen of entiteiten hun platforms blijven gebruiken.
“De nalevingsvereisten van OFAC-sancties zijn van toepassing op de virtuele valuta-industrie op dezelfde manier als bij traditionele financiële instellingen, en er zijn civiel- en strafrechtelijke sancties voor het niet naleven', zei FinCen vrijdag.
Het FinCen-rapport merkte ook op dat ransomware-groepen in toenemende mate gebruikmaken van cryptocurrencies zoals Monero, die populair zijn onder mensen die anonimiteit zoeken en die portemonnees meer dan eens hebben vermeden.
Mixing-services worden ook veel gebruikt in de ransomware-industrie als een manier om tracking-experts te verstoren en gedecentraliseerde uitwisselingen worden gebruikt om ransomware-betalingen om te zetten in andere cryptocurrencies.
Het rapport vermeldt ook “chain hopping”, een praktijk die ransomware-actoren gebruiken om de ene munt minstens één keer in de andere te veranderen voordat het geld naar een andere dienst of platform wordt verplaatst.
“Deze praktijk stelt dreigingsactoren in staat om illegale BTC-opbrengsten om te zetten in een AEC zoals XMR op CVC-beurzen of -diensten. Bedreigingsactoren kunnen de geconverteerde fondsen vervolgens overboeken naar grote CVC-diensten en MSB's met lakse nalevingsprogramma's,” FinCen zei.
Ransomware: een uitvoerende gids voor een van de grootste bedreigingen op internet
Alles wat u moet weten over ransomware: hoe het begon, waarom het zo populair is, hoe u zich ertegen kunt beschermen en wat u moet doen als uw pc is geïnfecteerd.
Lees meer
Verwante onderwerpen:
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 