קספרסקי: עברייני סייבר מתמקדים במתקפות כופר נגד עסקים

החוקרים זיהו לפחות שמונה קבוצות של עברייני סייבר המעורבות בפיתוח והפצה של תוכנות כופר מצפינות שמטרתן העיקרית היא פגיעה בארגונים פיננסים ברחבי העולם. מומחי המעבדה נתקלו במקרים בהם דרישת התשלום הגיעה ליותר מחצי מיליון דולר

חוקרי מעבדת קספרסקי חשפו מגמה צומחת ובה יותר ויותר עברייני סייבר מפנים את תשומת הלב ממשתמשים פרטיים למתקפות כופר ממוקדות נגד עסקים. החוקרים זיהו לפחות שמונה קבוצות של עברייני סייבר המעורבות בפיתוח והפצה של תוכנות כופר מצפינות שמטרתן העיקרית היא פגיעה בארגונים פיננסים ברחבי העולם. מומחי המעבדה נתקלו במקרים בהם דרישת התשלום הגיעה ליותר מחצי מיליון דולר.

שמונה הקבוצות שזוהו כוללות את כותבי PetrWrap, שתקפו ארגונים פיננסים ברחבי העולם, קבוצת Mamba הידועה ו-6 קבוצות נוספות שאינן מוכרות וגם הן תוקפות משתמשים ארגוניים. בקספרסקי מציינים, כי שש הקבוצות כאמור היו מעורבות בעבר בעיקר בהתקפות על משתמשים פרטיים באמצעות מודלים של תוכנית אפילייט (שותפים). כעת, מיקדו מחדש התוקפים את מאמצם ברשתות ארגוניות. על פי חוקרי המעבדה הסיבה למגמה היא ברורה – עבריינים רואים בהתקפות כופר ממוקדות נגד עסקים אפיק רווחי יותר מאשר התקפות המוניות נגד משתמשים פרטיים. מתקפת כופר מוצלחת נגד חברה יכולה בקלות לעצור את הפעילות העסקית לשעות או אפילו ימים, עם סבירות גבוהה לכך שהארגון ישלם את הכופר.

באופן כללי, הטקטיקות, הטכניקות והתהליכים המשמשים את הקבוצות האלה הם די דומים. הם מדביקים את הארגון המותקף בקוד זדוני דרך שרתים פרוצים או דרך הודעות פישינג ממוקדות. לאחר מכן הם מתבצרים ברשת של הקורבן ומזהים את המשאבים החיוניים להצפנה. בשלב הבא הם דורשים כופר בתמורה לפיענוח הצפנה.

לקבוצות יש מאפיינים דומים: קבוצת Mamba משתמשת בקוד זדוני מצפין מייצור עצמי, המבוסס על תוכנת הקוד הפתוח DiskCryptor. ברגע שהתוקף משיג דריסת רגל ברשת, הוא מתקין את המצפין לרוחב הרשת תוך שימוש בכלים חוקיים לשליטה מרחוק. גישה זו הופכת את הפעולות לחשודות פחות בעיני אנשי האבטחה בארגון המותקף. חוקרי מעבדת קספרסקי נתקלו במקרים בהם הכופר הגיע לסך של ביטקוין (כ-1,000 דולר בסוף מרץ 2017) לשחרור כל נקודת קצה שהוצפנה.

דוגמא ייחודית נוספת של כלים המשמשים בהתקפות ממוקדות מגיעה מ-PetrWrap. קבוצה זו תוקפת בעיקר חברות גדולות שיש להן רכיבים רבים ברשת. העבריינים בוחרים בקפידה את המטרות למתקפות שפעילות לאורך זמן רב: PetrWrap הייתה פעילה ברשת מסוימת לאורך תקופה של עד 6 חודשים.

אנטון איבנוב, חוקר אבטחה בכיר, תוכנות כופר, מעבדת קספרסקי: "כולנו צריכים להיות מודעים לכך שהאיום של מתקפות כופר ממוקדות על עסקים נמצא בצמיחה, כשהוא מייצר הפסדים כספיים ממשיים. המגמה מטרידה מכיוון ששחקני הכופר יוצאים למסע ציד אחר קורבנות חדשים ורווחיים יותר. קיימות בשטח מטרות אפשריות רבות לתוכנות הכופר שיביאו לתוצאות הרסניות אף יותר".

כדי להגן על ארגונים מפני המתקפות, מומחי מעבדת קספרסקי ממליצים על הצעדים הבאים:

* ביצוע גיבוי קבוע ומלא של הנתונים כך שניתן יהיה להשתמש בו כדי לאחזר קבצים מקוריים בעקבות פגיעה.

* שימוש בפתרון אבטחה עם טכנולוגיות זיהוי מבוססות התנהגות. טכנולוגיות אלה יכולות לאתר קוד זדוני, כולל תוכנות כופר, באמצעות בחינה של הדרך בה הוא פועל במערכת המותקפת. הדבר מאפשר ללכוד גם דוגמיות חדשות ובלתי מוכרות של תוכנות כופר.

* שימוש באתר No More Ransom, יוזמה משותפת לגופים שונים במטרה לסייע לקורבנות של תוכנות כופר לאחזר את המידע המוצפן שלהם ללא צורך לשלם לעבריינים.

* ביצוע סקירות בקרה של תוכנות, לא רק בנקודות קצה, אלא גם בכל המרכיבים והשרתים ברשת, ושמירה על עדכונים קבועים ותכופים.

* ביצוע הערכות אבטחה ברשת הבקרה (כגון ביקורת אבטחה, מבחני חדירה, ניתוח פערים) כדי לזהות ולחסום  כל חור באבטחה. ביצוע סקירה של מדיניות אבטחה אצל ספקים חיצוניים ושותפים בעלי גישה ישירה לרשת השליטה.

* שימוש במודיעין חיצוני: מודיעין מספקים בעלי מוניטין יכול לסייע לארגונים לצפות התקפות עתידיות על החברה.

* הכשרה ואימון של עובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם לאיומים עדכניים.

* מתן הגנה בתוך ומחוץ לרשת ההיקפית. אסטרטגיה נכונה לאבטחה צריכה להקדיש משאבים מספיקים לזיהוי ותגובה להתקפות, על מנת לחסום התקפה לפני שהיא מגיעה ליעדים חיוניים לארגון.

Be the first to comment

Leave a Reply