Rysktalande hotaktörer står för hela 69% av de totala intäkterna från ransomware-relaterad cyberbrottslighet, vilket innebär en summa på över 500 miljoner dollar under det senaste året. Detta framgår av en rapport från TRM Labs, ett företag specialiserat på blockchain-intelligens och kryptorelaterad penningtvätt.
Ransomware, en form av cyberbrott där angripare stjäl och krypterar data på ett system och sedan kräver en lösensumma för att återställa informationen, har blivit en växande inkomstkälla för ryska cyberkriminella. Enligt TRM Labs är det ryska cyberbrottssyndikatet ansvarigt för majoriteten av den olagligt förvärvade kryptovalutan genom ransomware-attacker.
Ryska gäng på toppen inom ransomware
Enligt TRM Labs är det framför allt ransomware-grupper som LockBit, Black Basta, ALPHV/BlackCat, Cl0p, PLAY och Akira som har drivit den största delen av ransomware-relaterad inkomst under 2023. Dessa grupper, som har ryska talare i spetsen, står för en dominerande del av den totala intäkten inom denna cyberbrottslighet.
Trots att myndighetsinsatser har lett till minskad aktivitet hos vissa grupper, såsom LockBit och ALPHV, har nya aktörer som RansomHub snabbt vuxit till att bli några av de mest aktiva inom ransomware-verksamhet.
Enligt TRM har LockBit och ALPHV samlat in minst 320 miljoner dollar genom ransomware-lösensummor under 2023, vilket innebär att den totala ryska ransomware-intäkten överstiger 500 miljoner dollar. Detta motsvarar mer än två tredjedelar av hela den globala ransomware-marknaden.
Kryptovalutans roll i cyberbrottsligheten
Ryssland har också en ledande roll inom den olagliga försäljningen av kryptovalutor, särskilt genom darknet-marknader. Rysktalande darknet-marknader står för hela 95% av alla transaktioner med olagliga varor och tjänster på den globala marknaden. Under 2023 hanterade de tre största ryska dark web-marknaderna transaktioner värda över 1,4 miljarder dollar, medan västerländska marknader endast hanterade cirka 100 miljoner dollar under samma period.
Dessa marknader säljer inte bara stulna data och ransomware-tjänster utan också andra illegala produkter, som vapen och hacking-verktyg. TRM rapporterar att en stor andel av de ryska marknaderna är involverade i penningtvätt, där Rysslandsbaserade Garantex står för 82% av den kryptovaluta som hanteras av sanktionerade enheter världen över. Garantex har tidigare sanktionerats av USA för att ha tvättat olagliga intäkter från den kända Hydra dark web-marknaden.
Geopolitikens påverkan på cyberbrottslighet
Rysslands politiska och ekonomiska isolering från västvärlden har haft en stor inverkan på cyberbrottsligheten i regionen. Bristen på samarbete med västerländska myndigheter har effektivt minskat riskerna för ryska cyberkriminella. Det innebär att de har ett större utrymme att agera utan rädsla för konsekvenser, vilket gör cyberbrott till en lönsam verksamhet.
TRM Labs pekar också på att den ryska inblandningen i cyberbrott till stor del kan tillskrivas historiska, regulatoriska och normativa faktorer, där ryska hackare söker sig till områden som erbjuder stora vinster och relativt liten risk.
Framtiden för ryska ransomware-grupper
Med det växande antalet ransomware-attacker som utförs av ryska grupper, både mot privatpersoner och företag, har det blivit allt viktigare att förstå de bakomliggande faktorerna som möjliggör denna utveckling. Dessa aktörer drar nytta av avancerad teknologi och en välorganiserad infrastruktur som gör det möjligt för dem att genomföra stora cyberbrott och generera enorma vinster.
Cybersäkerhetsexperter och myndigheter världen över fortsätter att arbeta med att bryta upp dessa nätverk och förhindra framtida attacker. Men i takt med att nya aktörer tar sig in på marknaden, kommer det att bli en utmaning att effektivt bekämpa ransomware och annan cyberbrottslighet.