על פי דו"ח הסייבר האחרון של Travelers, עברו קבוצות כופרה ממתקפות רוחב המוניות המנצלות פגיעויות אבטחה לשיטות 'אמינות וניתנות לשכפול' כדי להשיג גישה לרשתות המחשוב של הקורבנות. טקטיקות אלו כוללות מיקוד באישורי גישה (שמות משתמשים וסיסמאות) חלשים, חשבונות VPN וכן, חשבונות משתמשים שאינם מוגנים על ידי אימות רב-גורמי (MFA). חוקרי הסייבר ציינו כי תפיסה זו התחזקה במחצית השנייה של 2023 והתפשטה באופן נרחב בקרב מפעילי כופרה וברוקרי גישה ראשונית (Initial Aaccess Brokers – IAB) לאורך 2024.
הדו"ח הציג ספר הדרכה לכופרה שנכתב על ידי IAB והודלף בקיץ 2023, שהדגיש את השינוי הזה. ספר ההדרכה יעץ שבמקום להתמקד בגילוי פגיעות של יום אפס, על מפעילי כופרה לפרוס כלים כדי לחפש שמות משתמש ברירת מחדל כמו 'admin' או 'test' ולנסות שילובים של סיסמאות נפוצות על מנת לחשוף אישורי גישה חלשים.
יש לציין כי לא הייתה פגיעות אחת שהובילה לניצול נרחב על ידי כופרה בשנת 2024. זהו הבדל ניכר משנת 2023, שבה חלק ניכר מפעילות מפעילי כופרות יוחס לניצול של מוצרי תוכנה נפוצים, כמו תוכנת העברת הקבצים MOVEit ו- GoAnywhere. מספר קבוצות כופרה התנפלו על פגיעויות כאלו כדי להפיל כמה שיותר קורבנות בפרק זמן קצר.
ג'ייסון רבהולץ – סגן נשיא וקצין סיכוני סייבר בחברת הביטוח Travelers, הגיב: "בהתבסס על התצפיות שלנו, ברור שטכניקות התקפה בסיסיות עדיין יעילות ביותר עבור קבוצות כופרה." הוא הוסיף: "הקבוצות הללו היו במתקפה, בחיפוש יזום אחר קורבנות וזכו להצלחה משמעותית. חיוני שעסקים יישמו בקרות אבטחה מוכחות כמו MFA, כדי להקשות על גורמים זדוניים לבצע מתקפות סייבר על הארגון שלהם."
הדו"ח מצא שפעילות כופרה הגיעה לרמות שיא ברבעון הרביעי של 2024, עם 1663 קורבנות חדשים שפורסמו באתרי הדלפות מידע. הדבר מייצג עלייה של 32% בהשוואה לרבעון השלישי של 2024, כאשר הרבעון הרביעי מייצג את הרמה הגבוהה ביותר של פעילות כופרה שנרשמה בכל רבעון בודד והאפיל על הרבעון השלישי של 2023. בנובמבר נרשם המספר הגבוה ביותר של נפגעי כופרה ברבעון – 629. לאחר מכן, בדצמבר נרשמה ירידה יחסית ל- 516. חוקרי הסייבר טוענים כי הדפוס הזה מתיישב עם מגמות היסטוריות של פעילות מוגברת בעונת החגים המוקדמת ואחריה, ירידה לקראת השנה החדשה.
במהלך שנת 2024, נצפו 5243 נפגעי תוכנות כופר שפורסמו באתרי הדלפת מידע – עלייה של 15% מ- 4548 התקריות שתועדו ב- 2023. הדו"ח גם ציין עלייה של 67% בקבוצות כופרה חדשות שנוצרו ב- 2024 בהשוואה ל- 2023, עם 55 קבוצות חדשות שנצפו בשנה שעברה. הדבר מצביע על התפשטות מהירה של שחקנים קטנים וזריזים יותר באקוסיסטם של הכופרה, ככל הנראה בעקבות השבתת מפעילי מובילים כמו LockBit ו- Clop. קבוצת הכופרה RansomHub ייצגה את המספר הגבוה ביותר של מתקפות כופרה ברבעון הרביעי של 2024 עם 238, המהווים 14% מכלל מתקפות הכופרה. אחרי RansomHub נמצאות Akira ו- Play, שהוציאו בהתאמה 133 ו- 95 מתקפות כופרה.
