カリフォルニア大学サンディエゴ校やニューヨーク大学、さらにブロックチェーン分野のリサーチ企業、Chainalysisらが被害の実態を報告した。
ランサムウェアといえば直近で話題になったのはWannaCryやNotPetyaだが、その被害額はそれぞれ14万ドル、1万ドルとわずかなものだった。グーグルの研究チームのLuca Invernizziは「彼らの目的は身代金ウイルスで儲けることではなかった。別の目的で彼らはウイルスをバラまいていた」と述べた。
資料によると身代金ウイルスの被害額は2016年の第1四半期に、世界で10万ドルだったが、短期間で250万ドルまで急上昇を遂げた。現在、最大の勢力を誇る身代金ウイルスは「Cerber」と呼ばれるもので、これまで690万ドルを稼いだ。Cerberは月間で20万ドル以上の被害額をコンスタントに生み出している。
また、この分野でこれまで最大の被害をもたらしたのは「Locky」と呼ばれるウイルスで、累計で780万ドルの被害を生んだ。Lockyは史上初の月間の被害額が100万ドルを突破した身代金ウイルスとして知られている。
ニューヨーク大学助教授のDamon McCoyによると、これらのウイルスはNecurs等のボットネット経由で拡散中という。IBMの調査によるとNecursは600万台に及ぶPCに被害をもたらし、金融機関に最大の被害をもたらしたマルウェアのDridexの発信元だという。
Lockyの攻撃の増加はシスコの研究機関Talosによっても今年4月に確認されており、そこにもNecursの関連が指摘されている。
さらに、これらの攻撃の背後には、ロシアのサイバー犯罪者らが居ると見られている。グーグルは各大学の研究機関と共同で、34チームの犯罪集団の調査を実施。30万以上のウイルスを調査し、ブロックチェーンを通じたビットコインのトランザクションの追跡を行った。その結果、2014年から現在まで身代金ウイルスは世界で2500万ドル(約28億円)以上の被害を生んだことを突き止めた。
ただし、この金額は支払われた身代金の金額のみであり、実際の被害額はこれをはるかに上回ると考えられる。また、95%の身代金のやりとりはロシアに本拠を置くビットコインプラットフォームのBTC-Eで決済されており、ロシアの犯罪者の関連を裏づける結果となった。
グーグルのInvernizziは「今後は専門知識がなくても簡単にランサムウェアを使った攻撃を仕掛けられるRaaS(サービスとしてのランサムウェア)型の被害が拡大していく」と述べている。インターネットの地下空間で、プロの犯罪者集団らが勢力を増している。