דו"ח של יבמ: מתרחב השימוש ברשת האפלה ככלי לדרישות כופר עבור שחרור נתונים הננעלים בידי פורצים

חטיבת האבטחה של יבמ מפרסמת את דוח איומי האבטחה לרבעון השלישי של השנה, המצביע על סכנה גוברת למתקפות סייבר המגיעות מהרשת האפלה (Dark Web), באמצעות שימוש ברשתות Tor ובטקטיקות אחרות הכוללות דרישות כופר. הרשת האפלה מאגדת פושעים וארגונים המבצעים פעילות זדונית ופלילית, באמצעות תקשורת מוצפנת המתנהלת בין עמית לעמית (peer-to-peer). היא אינה ממופה על ידי מנועי חיפוש ולפיכך אינה נגישה למשתמשים רגילים.

רשת תור – – TORThe Onion Router, מאפשרת תקשורת ישירה אל תוך הרשת האפלה, וניהול תקשורת אנונימית באמצעות דילוג בין מספר גדול של כתובות IP. בעוד שטכנולוגיה זו משרתת גם גופים שאינם בעלי כוונת זדון, דוגמת מערכות ממשלתיות, עתונאים וכוחות משטרה, מסייע אופיים הייחודי של צמתי תקשורת תור גם למשתמשים המבקשים להסוות את פעילותם ברשת, למטרות זדוניות. מאז ראשית השנה, נרשמו בארה"ב בלבד יותר מ- 150,000 אירועים זדוניים, שהתבססו על תור.

תור מילא תפקיד מרכזי בגידול בהיקף המתקפות הכוללות דרישת כופר. תוקפי מערכות משתמשים כיום בטכנולוגיות הצפנה מתקדמות על מנת להצפין מרחוק נתונים על גבי המחשב המותקף ודורשים תשלום כופר עבור הכלי הנדרש לפיענוח ההצפנה, כך שניתן יהיה לעשות שימוש מחדש בנתונים אלה. מערכות "שירותי גביית כופר", הזמינות כיום ברשת האפלה, מאפשרות לפושעים לגבות מדי שנה מיליוני דולרים, בעזרת ערכת כלים ייעודית הזמינה לשימושם וניתנת להורדה מן הרשת. בעזרת אתרי תור הזמינים לשירותם, יכולים תוקפים לגבות את דמי הכופר מהקרבנות, מבלי להיחשף בעצמם.

למרות קיומן של טכנולוגיות רבות למניעה ואבטחה, ממשיך עולם הפריצות לצורכי כופר להתפתח. באביב השנה נרשמה בארה"ב מתקפה רחבת היקף של פריצות מערכות לצורך דרישת כופר. בשורת מקרים, חשפו מומחי האבטחה של יבמ שימוש באתרי תור, על מנת לגבות מהקורבנות דמי כופר, ששולמו בביטקוין.

אנשי צוות מודיעין האבטחה X-Force של יבמ מתריעים, כי ארגונים עלולים להפסיד מאות אלפי דולרים ואף מיליונים רבים, בשל השבתת מערכות והחמצת הזדמנויות עסקיות במקרים של מתקפות כופר. בנוסף, אם מתגלה צומת תור ברשת הארגונית, עלול הארגון להיות חשוף לתביעות בהיקפים משמעותיים, במקרה ובוצעה מתקפה באמצעות צומת זו.

תור מציג הצדקה נוספת להעמקת המודעות הארגונית, בכל הנוגע לאפשרות בה עלולים עובדים לנהל בחשאי צמתי תור ברשת הארגונית. צמתים אלה מהווים מקור אפשרי למגוון רחב של מתקפות, לרבות הזרקת קוד SQL, סריקה אחר נקודות תורפה, ומתקפות מבוזרות למניעת שירות, DDoS.

מומחי האבטחה של יבמ ממליצים לנקוט בצעדים על מנת לבלום תקשורת תור ולצמצם את מימדי המתקפות. אמצעי בלימה כאלה כוללים תפעול חומות אש (firewall), טכנולוגיות מניעת חדירה וזיהוי ניסיונות חדירה לרשת, IDS/IPS המצביעות על מתקפות, ויישום מדיניות כלל-ארגונית למניעת הקמת ממסרי תור או צמתי גישה דומים לו, המקשרים בין הרשת הארגונית ובין הרשת האפלה.

דילוג לתוכן