מעבדת קספרסקי – סיכום 2017

0

סוף השנה היא הזדמנות טובה לספירת מלאי של אירועי הסייבר המרכזיים שהתרחשו במהלך 12 החודשים האחרונים – לבחון את ההשפעה שהייתה לאירועים על ארגונים ועל אנשים פרטיים, ולשקול את המשמעות שלהם במסגרת האבולוציה הכללית של אופק האיומים.

במבט לאחור, הדבר שבלט ביותר ב-2017 היה טשטוש הגבולות: בין סוגי איומים שונים ובין שחקנים שונים בזירה. דוגמה למגמה זו היא מתקפת ExPetr מחודש יוני שזכתה לכותרות. על פניו, היה נראה כי מדובר בעוד תוכנת כופר, אבל הסתבר שמדובר בהתקפת wiper הרסנית וממוקדת. דוגמא נוספת היא ה- dumpingשביצעה קבוצת Shadow Brokers – אשר העמידה כלי פריצה, שלכאורה פותחו על ידי ה- NSA, לרשות קבוצות עבריינים שאלמלא הנדיבות הזאת, לא היו מגיעות לקוד מורכב כל כך. בנוסף, גם נרשם שימוש בקמפיינים ממוקדים מתקדמים (APT) לא רק למטרות ריגול, אלא גם לגניבה – כאמצעי למימון פעילות APT. יהיה מעניין לראות כיצד המגמה הזו מתפתחת לאורך 2018.

מגמות מרכזיות ל- 2017
• אירועי הסייבר שהגדירו את 2017, היו ללא ספק, התקפות הכופר של WannaCry, ExPetr ו-BadRabbit, אשר התפשטו במהירות מדהימה, וכעת משערים כי הן אחראיות ל- 700,000 קורבנות ברחבי העולם. ExPetr היה ממוקד יותר, כשהוא תוקף באמצעות תוכנה עסקית נגועה עסקים, רבים מהם מותגים גלובליים ידועים. Maersk, חברת הובלות הקונטיינרים הגדולים בעולם, הצהירה על אובדן צפוי של בין 200 ל-300 דולר מיליון כתוצאה "משיבוש עסקי משמעותי" שנגרם מההתקפה. פדקס/TNT הכריזה על הפסד רווחים המוערך ב-300 דולר.

• שחקני ריגול הסייבר הגדולים המשיכו לעשות את מה שהם עושים, אבל עם גישות חדשות וכלים קשים יותר לזיהוי. דיווחנו על טווח רחב של קמפיינים, כולל Moonlight Maze, שיש לו חשיבות היסטורית וכנראה קשור ל- Turla ולקמפיין APT בשם WhiteBearהקשור ל- Turla. חשפנו גם את כלי הפריצה החדש ביותר של Lamberts, שחקן איום מתקדם שניתן להשוות מבחינת מורכבות ל- Duqu, Equation, Reginאו ProjectSauron.
באוקטובר, מערכות מניעת הפריצה שלנו זיהו כלי לניצול פירצת יום אפס חדשה שפעל בשטח כנגד לקוחות, ואשר חדר דרך מסמך של מיקרוסופט אופיס. אנו יכולים לקשר בוודאות גבוהה את המתקפה הזו לשחקן שאנו עוקבים אחריו תחת השם BlackOasis. למידע מפורט יותר אודות פעילות APT במהלך 2017, אפשר לצפות בוובינר שלנו בנושא.

• ב- 2017 הבחנו גם בעלייתן של התקפות שנועדו להשמיד מידע – במקום או לצד גניבת נתונים, לדוגמא במקרה של Shamoon 2.0 ו- StoneDrill. חשפנו גם שחקני איום שהגיעו להצלחות, לעיתים לאורך שנים, באמצעות קמפיינים פשוטים וברמה נמוכה. מתקפת EyePyramid באיטליה היא דוגמה טובה לכך. Microcoin היא דוגמא נוספת לדרך בה עברייני סייבר יכולים להגיע ליעד שלהם באמצעות כלים זולים ובחירה זהירה של המטרות.

• ב- 2017 נחשפנו גם להיקף בו שחקני איום מתקדמים מגוונים את ההכנסות שלהם באמצעות גניבה. דיווחנו על BlueNoroff, קבוצת משנה של קבוצת Lazarus הידועה, אשר אחראית על ייצור של רווחים בלתי חוקיים. BlueNoroff תקפה גופים פיננסים, בתי קזינו, חברות, מפתחים של תוכנות למסחר פיננסי, ועסקים בתחום המטבע הקריפטוגרפי. אחד מהקמפיינים הבולטים של BlueNoroff היה התקפה על גופים פיננסים בפולין.

• התקפות על מכשירי כספומט המשיכו לצמוח ב-2017. התוקפים פורצים לתשתיות של בנקים ומערכות תשלום באמצעות קוד זדוני מתוחכם ונטול קבצים, וכן על ידי שיטות מסורתיות יותר של הדבקת כיסוי על מצלמות במעגל סגור וקדיחת חורים. לאחרונה חשפנו התקפה ממוקדת חדשה על גופים פיננסים – בעיקר בנקים ברוסיה, אבל גם בנקים במלזיה וארמניה. התוקפים מאחורי הטרויאני הזה, Silence, עשו שימוש בגישה דומה לזו של Carbanak.

• התקפות על שרשרת האספקה הן "בורות ההשקיה" החדשים עבור עסקים. איום שצמח ב-2017 ונצפה ב-ExPetr ו-ShadowPad. נראה כי ימשיך בצמיחה ב- 2018.

• שנה אחרי ההבוטנט Mirai מ- 2016, הבוטנט Hajime הצליח לפגוע ב- 300 אלף מכשירים מרושתים – זהו רק אחד מקמפיינים רבים הממוקדים במכשירים ומערכות מרושתות.

• ב-2017 נצפו דליפות עצומות של נתונים, עם חשיפה של מיליוני רשומות– אלה כוללות את Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance ו- Equifax. הדליפה באובר, שהתרחשה באוקטובר 2016 וחשפה נתונים של 57 מיליון לקוחות ונהגים, פורסמה לציבור רק בנובמבר 2017.

• במהלך השנה גם השתנה האופק של קוד זדוני לנייד, כשאפליקציות טרויאניות לניידים גרמו לקורבנות להיות מוצפים בפרסום אגרסיבי, להיפגע מתוכנות כופר או להתמודד עם גניבת כספים דרך חיוב ב-SMS או WAP. קוד זדוני לניידים מצליח היום יותר מתמיד להימנע מגילויו, לעקוף אמצעי אבטחה ולנצל שירותים חדשים. בדומה ל- 2016, אפליקציות רבות שכאלה כבר זמינות גם דרך מקורות מוכרים, כגון חנות האפליקציות של גוגל. טרויאנים מוצלחים במיוחד ב-2017 כוללים את Ztorg, Svpeng, Dvmap, Asacub ו- Faketoken.
מסקנה
2017 הייתה השנה בה דברים רבים התבררו כשונים לחלוטין ממה שנראו בהתחלה. תוכנות כופר התגלו כ- wiper, תוכנות עסקיות הפכו לנשק, שחקנים מתקדמים עשו שימוש בכלים פשוטים בעוד תוקפים ברמה נמוכה יותר השיגו לעצמם כלים מתוחכמים ביותר. התנודות הללו באופק איומי הסייבר מייצרות אתגר גדול יותר למגנים בעולם הסייבר.

למידע נוסף אודות מגמות אלה ועצות לגבי כיצד להישאר מוגנים, קראו את הסקירה השנתית המלאה ל-2017.


שתף

אודות מחבר

Menachem Marom

שינוי גודל גופנים
ניגודיות