מעבדת קספרסקי מזהה תנועה של תוכנות כופר להתקפות ממוקדות נגד עסקים

0

חוקרי מעבדת קספרסקי חשפו מגמה צומחת ומטרידה: יותר ויותר עברייני סייבר מפנים את תשומת הלב שלהם ממשתמשים פרטיים למתקפות כופר ממוקדות נגד עסקים. החוקרים זיהו לפחות שמונה קבוצות של עברייני סייבר המעורבות בפיתוח והפצה של תוכנות כופר מצפינות שמטרתן העיקרית היא פגיעה בארגונים פיננסים ברחבי העולם. מומחי מעבדת קספרסקי נתקלו במקרים בהם דרישת התשלום הגיעה ליותר מחצי מיליון דולר.
שמונה הקבוצות שזוהו כוללות את כותבי PetrWrap, אשר תקפו ארגונים פיננסים ברחבי העולם, קבוצת Mamba הידועה, ו-6 קבוצות נוספות שאינן מוכרות וגם הן תוקפות משתמשים ארגוניים. כדאי לציין כי שש הקבוצות האלה היו מעורבות בעבר בעיקר בהתקפות על משתמשים פרטיים באמצעות מודלים של תוכנית אפילייט (שותפים). כעת, מיקדו מחדש התוקפים את המאמצים שלהם ברשתות ארגוניות. על פי חוקרי מעבדת קספרסקי הסיבה למגמה היא ברורה – עבריינים רואים בהתקפות כופר ממוקדות כנגד עסקים אפיק רווחי יותר מאשר התקפות המוניות כנגד משתמשים פרטיים. מתקפת כופר מוצלחת כנגד חברה יכולה בקלות לעצור את הפעילות העסקית לשעות או אפילו ימים, עם סבירות גבוהה לכך שהארגון ישלם את הכופר.
באופן כללי, הטקטיקות, הטכניקות והתהליכים המשמשים את הקבוצות האלה הם די דומים. הם מדביקים את הארגון המותקף בקוד זדוני דרך שרתים פרוצים או דרך הודעות פישינג ממוקדות. לאחר מכן הם מתבצרים ברשת של הקורבן ומזהים את המשאבים החיוניים להצפנה. בשלב הבא הם דורשים כופר בתמורה לפיענוח הצפנה.
לצד הקווים הדומים ביניהן, לקבוצות יש מאפיינים דומים: לדוגמא, קבוצת Mamba משתמשת בקוד זדוני מצפין מייצור עצמי, המבוסס על תוכנת הקוד הפתוח DiskCryptor. ברגע שהתוקף משיג דריסת רגל ברשת, הוא מתקין את המצפין לרוחב הרשת תוך שימוש בכלים חוקיים לשליטה מרחוק. גישה זו הופכת את הפעולות לחשודות פחות בעיני אנשי האבטחה בארגון המותקף. חוקרי מעבדת קספרסקי נתקלו במקרים בהם הכופר הגיע לסך של ביטקוין (כ- 1,000 דולר בסוף מרץ 2017( לשחרור כל נקודת קצה שהוצפנה.
דוגמא ייחודית נוספת של כלים המשמשים בהתקפות ממוקדות מגיעה מ- PetrWrap. קבוצה זו תוקפת בעיקר חברות גדולות שיש להן רכיבים רבים ברשת. העבריינים בוחרים בקפידה את המטרות למתקפות אשר פעילות לאורך זמן רב: PetrWrap הייתה פעילה ברשת מסוימת לאורך תקופה של עד 6 חודשים.
"כולנו צריכים להיות מודעים לכך שהאיום של מתקפות כופר ממוקדות על עסקים נמצא בצמיחה, כשהוא מייצר הפסדים כספיים ממשיים. המגמה מטרידה מכיוון ששחקני הכופר יוצאים למסע ציד אחר קורבנות חדשים ורווחיים יותר. קיימות בשטח מטרות אפשריות רבות לתוכנות הכופר שיביאו לתוצאות הרסניות אף יותר", אמר אנטון איבנוב, חוקר אבטחה בכיר, תוכנות כופר, מעבדת קספרסקי.

כדי להגן על ארגונים מפני מתקפות שכאלה, מומחי מעבדת קספרסקי מייעצים על הצעדים הבאים:

• ביצוע גיבוי קבוע ומלא של הנתונים כך שניתן יהיה להשתמש בו כדי לאחזר קבצים מקוריים בעקבות פגיעה.
• שימוש בפתרון אבטחה עם טכנולוגיות זיהוי מבוססות התנהגות. טכנולוגיות אלה יכולות לאתר קוד זדוני, כולל תוכנות כופר, באמצעות בחינה של הדרך בה הוא פועל במערכת המותקפת. הדבר מאפשר ללכוד גם דוגמיות חדשות ובלתי מוכרות של תוכנות כופר.
• שימוש באתר No More Ransom , יוזמה משותפת לגופים שונים במטרה לסייע לקורבנות של תוכנות כופר לאחזר את המידע המוצפן שלהם ללא צורך לשלם לעבריינים.
• ביצוע סקירות בקרה של תוכנות, לא רק בנקודות קצה, אלא גם בכל המרכיבים והשרתים ברשת, ושמירה על עדכונים קבועים ותכופים.
• ביצוע הערכות אבטחה ברשת הבקרה (כגון ביקורת אבטחה, מבחני חדירה, ניתוח פערים) כדי לזהות ולחסום כל חור באבטחה. ביצוע סקירה של מדיניות אבטחה אצל ספקים חיצוניים ושותפים בעלי גישה ישירה לרשת השליטה.
• שימוש במודיעין חיצוני: מודיעין מספקים בעלי מוניטין יכול לסייע לארגונים לצפות התקפות עתידיות על החברה.
• הכשרה ואימון של עובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם לאיומים עדכניים.
• מתן הגנה בתוך ומחוץ לרשת ההיקפית. אסטרטגיה נכונה לאבטחה צריכה להקדיש משאבים מספיקים לזיהוי ותגובה להתקפות, על מנת לחסום התקפה לפני שהיא מגיעה ליעדים חיוניים לארגון.

כדי ללמוד יותר אודות מתקפות כופר ממוקדות – Securelist.com

כלי פיצוח ומידע על כופרות אפשר למצוא באתר – NoRansom.kaspersky.com


שתף

אודות מחבר

Menachem Marom