איך הכופרה Maze ניסתה לבצע מתקפה בשווי 15 מיליון $ ב-3 דרכים שונות במהלך התקפה יחידה
מאת:
מערכת Telecom News, 24.9.20, 14:10
דו"ח: הניסיון השלישי היה טריק משופר של Ragnar Locker. כיצד התפתחה ההתקפה של ?Maze
Maze היא אחת מתוכנות הכופר הידועות ביותר. היא פעילה מאז 2019, כאשר התפתחה מתוכנת הכופר
ChaCha, והיתה מהראשונות לשלב הצפנת נתונים יחד עם גניבת מידע.
סופוס, שעוסקת באבטחת מידע של הדור הבא, פרסמה דו"ח בשם "
Maze Attackers Adopt Ragnar Locker Virtual Machine Technique", שמראה כיצד התוקפים ניסו להפעיל מתקפת
Maze ב-3 דרכים שונות במהלך מתקפה יחידה, תוך שהם דורשים כופר בשווי של 15 מיליון דולרים. בניסיון השלישי, המפעילים של
Maze ניסו להסתמך על טכניקת שימוש במכונה וירטואלית (
VM) כדי להפיץ את תוכנת הכופר, טכניקה, ש-
Ragnar Locker הייתה חלוצה בהפעלתה, כפי שדווח ע"י החברה במאי 2020.
כיצד התפתחה ההתקפה של Maze
החקירה של החברה הראתה, שהתוקפים חדרו לרשת לפחות 6 ימים לפני הניסיון הראשון להפעלת המטען הנפיץ של תוכנת הכופר. במהלך זמן זה, התוקפים חקרו את הרשת, הפעילו כלים לגיטימיים לשימוש בסביבה הארגונית, יצרו קישורים, וחילצו נתונים אל שירות אחסון ענן, בעוד שהם נערכים להפעלת מרכיב תוכנת הכופר של ההתקפה.
בעת ההפעלה של מתקפת הכופר הראשונה, המפעילים דרשו מהקורבן כופר בשווי 15 מיליון דולרים. הקורבן לא שילם, וכאשר התוקפים הבינו, שההתקפה הראשונית נכשלה, הם הפעילו גל שני, שונה מעט מהראשון. הניסיון יורט ע"י כלי אבטחה, וצוות התגובה המנוהלת לאיומים (
MTR) של החברהטיפל במאמצי התגובה.
בניסיון השלישי, התוקפים השתמשו בגרסה מעודכנת של טכניקת
VM של
Ragnar Locker, הפעם, כשהם מריצים חלונות 7 במקום מכונה הוירטואלית של חלונות
XP בה השתמשו ב-
Rangar Locker, וכאשר הם תוקפים רק שרת קבצים אחד. ההתקפה והטכניקה של
Ragnar Locker זוהו מיידית ונחסמו.
פיטר מקנזי, מנהל צוות התגובה, סופוס: "שרשרת ההתקפה, שנחשפה ע"י צוות התגובה שלנו מציגה את הגמישות של תוקפים אנושיים, עם היכולת להחליף כלים ולעדכן אותם במהירות כדי לחזור לזירת הקרב לסיבוב התגוששות נוסף. השימוש בטכניקת המכונה הווירטואלית הרעשנית של
Ragnar Locker, עם טביעת הרגל המשמעותית והשימוש הגדול ב-
CPU, משקפים את התסכול הגובר מצד התוקפים לאחר ש
2- הניסיונות הראשונים שלהם להצפין נתונים נכשלו".
צעדים למניעת מתקפת סייבר
כדי למנוע מתקפות סייבר, ובמיוחד תוכנות כופר, מומלץ, שצוותי אבטחת מידע יצמצמו את מישור ההתקפה שלהם באמצעות מעבר למערכות אבטחה רב שכבתיות, מבוססות ענן, הכוללות טכנולוגיות
anti-ransomware, וכן יפעילו הדרכות עובדים עם הנחיות ממה צריך להיזהר, וישקלו הפעלה של שירות ציד איומים אנושי כדי לזהות רמזים לגבי התקפות פעילות שכבר יצאו לדרך. כל ארגון הוא מטרה. וכל דואר זבל או הודעת פישינג, פורט
RDP חשוף, נקודת גישה פגיעה או סיסמא שנגנבה, מספיקים כדי לשמש כנקודת פריצה עבור תוקפים.