Doanh thu từ ransomware giảm 35% trong năm 2024

Theo công ty, đây là mức giảm hàng năm lớn nhất về doanh thu từ phần mềm tống tiền này trong ba năm qua.

Hoạt động của ransomware trong năm 2024

Mặc dù số lượng các cuộc tấn công tăng trong nửa đầu năm 2024 (trong đó, một nạn nhân được cho là đã trả 75 triệu đô la cho nhóm Dark Angels), các khoản thanh toán tiền chuộc giảm mạnh trong nửa cuối năm. Báo cáo ghi nhận sự suy giảm này là nhờ vào hành động pháp lý nghiêm ngặt hơn, hợp tác quốc tế chặt chẽ hơn và sự kháng cự mạnh mẽ từ phía các nạn nhân.

Ngoài ra, các cơ quan toàn cầu đang tăng cường chiến dịch trấn áp tội phạm mạng, nhằm vào các nền tảng tạo điều kiện cho giao dịch bất hợp pháp. Một ví dụ điển hình là Mỹ và các quốc gia đồng minh đã áp đặt biện pháp trừng phạt đối với sàn giao dịch Cryptex có trụ sở tại Nga vì đã tạo điều kiện cho hoạt động rửa tiền và tội phạm ransomware.

Một điều thú vị là mặc dù các vụ tấn công ransomware gia tăng, nhưng ít nạn nhân chọn trả tiền chuộc. Chỉ khoảng 30% các cuộc đàm phán nhận được tiền, với nhiều người thay vào đó chọn sử dụng công cụ giải mã hoặc khôi phục dữ liệu từ bản sao lưu.

Bên cạnh đó, báo cáo cũng nêu bật sự chênh lệch ngày càng lớn giữa số tiền mà kẻ tấn công yêu cầu và số tiền thực tế nạn nhân chi trả. Trong nửa cuối năm 2024, kẻ tấn công yêu cầu số tiền cao hơn rất nhiều so với những gì nạn nhân thực sự chuyển, với các khoản thanh toán thấp hơn 53%. Những người trả tiền đã gửi trung bình từ 150.000 đến 250.000 đô la, thấp hơn nhiều so với yêu cầu ban đầu.

Chiến thuật rửa tiền tinh vi hơn

Khi các khoản thanh toán ransomware giảm, kẻ tấn công đã điều chỉnh kỹ thuật rửa tiền. Theo truyền thống, các tác nhân ransomware thường sử dụng dịch vụ trộn tiền để che giấu dòng tiền, với các nền tảng này xử lý từ 10% đến 15% giao dịch bất hợp pháp.

Tuy nhiên, các cuộc trấn áp của cơ quan thực thi pháp luật đối với những dịch vụ như Tornado Cash, ChipMixer và Sinbad đã làm giảm mạnh mức độ sử dụng công cụ trộn tiền trong năm 2024.

Thay vào đó, các nhà điều hành ransomware đã chuyển sang sử dụng cầu nối cross-chain để chuyển tiền bí mật. Các sàn giao dịch tập trung (CEX) vẫn là kênh off-ramp* chính, chiếm 39% giao dịch liên quan đến ransomware – cao hơn mức trung bình 37% trong giai đoạn 2020 đến 2024.

Trong khi đó, một xu hướng bất ngờ đã xuất hiện khi phần lớn tiền chuộc vẫn được giữ trong ví cá nhân thay vì được rút ra. Sự thay đổi này cho thấy các tác nhân ransomware thận trọng hơn, có thể vì họ lo ngại hành động thực thi pháp luật không lường trước nhắm vào giao dịch bất hợp pháp.

Cuộc trấn áp của cơ quan thực thi pháp luật đối với các sàn giao dịch không yêu cầu xác minh danh tính (no-KYC) cũng ảnh hưởng đáng kể đến dòng tiền bất hợp pháp. Vào tháng 9/2024, các cơ quan chức năng của Đức đã đóng cửa 47 sàn giao dịch no-KYC bằng tiếng Nga, trong khi có các biện pháp trừng phạt nhắm vào Cryptex.

Ngay sau đó, dòng tiền liên quan đến ransomware chảy vào các nền tảng no-KYC giảm mạnh, củng cố hiệu quả của các hành động quản lý.

*Off-ramp là cơ chế hoặc dịch vụ cho phép người dùng chuyển đổi tiền điện tử thành tiền tệ truyền thống. Ví dụ, một off-ramp có thể là một dịch vụ cho phép người dùng bán tiền điện tử của họ để nhận được tiền tệ truyền thống vào tài khoản ngân hàng của họ.