דו"ח: אופק איומי הסייבר ל-2021 - 3 מגמות שארגונים צריכים להביא בחשבון
מאת:
מערכת Telecom News, 24.11.20, 14:58
כיצד תוכנות כופר וקצב שינוי מהיר בפעילות התוקפים, יעצבו את אופק האיומים ואת אבטחת המידע ב-2021? אתגרי הקורונה והעבודה מרחוק, התקפות על הענן, תוכנות כופר שלא נעלמות לשום מקום ואפידמיולוגיה שתסביר איך לכמת איומי סייבר בלתי נראים - המגמות שתעצבנה את אופק האיומים ב-2021.
סופוס, חברה לאבטחת מידע, פרסמה
דו"ח איומים של סופוס ל-2021 המציג כיצד תוכנות כופר וקצב שינוי מהיר בפעילות התוקפים, החל מרמת מתחילים וכלה במיומנים ובמנוסים ביותר, יעצבו את אופק האיומים ואת אבטחת המידע ב-2021. הדו"ח נכתב ע"י חוקרי האבטחה של
SophosLabs, וכן ציידי איומים, מומחי תגובה מהירה, מומחי
AI ואבטחת הענן של סופוס.
הדו"ח כולל 3 מגמות מרכזיות:
פערים הולכים וגדלים ביכולות ובמשאבים העומדים לרשות מפעילי תוכנות כופר ברמות שונות. בקצה הגבוה, המשפחות הגדולות של תוכנות הכופר תמשכנה להתפתח ולרענן את הטקטיקות, הטכניקות והתהליכים (
TTPs) כדי להפוך לחמקניות יותר, וכדי לפעול ברמת תחכום של מדינות.
משפחות אלו מופעלות כנגד ארגונים גדולים ומציגות דרישות כופר של מיליוני דולרים. ב 2020, משפחות אלו כללו את
Ryuk ו-
RagnarLocker. בקצה השני של הספקטרום, צפוי לראות גידול במספר ההתקפות ברמת הכניסה הנמוכה ביותר. התקפות אלו מתבססות על תוכנות כופר להשכרה המופעלות באמצעות תפריטים. תוכנות אלו, כגון
Dharma. מאפשרות לתוקפים לתקוף מטרות בהיקפים גדולים בתמורה לתשלום נמוך יותר.
מגמה נוספת בעולם תוכנות הכופר היא "סחיטה משנית". לצד הצפנת הנתונים, התוקפים גם גונבים ומאיימים לפרסם מידע רגיש או חסוי אם דרישותיהם לא תעננה. ב-2020, דיווחה החברה כי
Maze,
RagnarLocker,
Netwalker,
REvil ואחרות משתמשים בגישה זו.
איומים פשוטים, כגון קוד זדוני מסחרי, כולל טועני קוד (loaders) ובוטנטים, או ברוקרים אנושיים של גישה ראשונית, ידרשו תשומת לב משמעותית. איומים ברמה נמוכה כזאת עלולים להיתפס כרעש רקע, אבל הם תוכננו כדי להשיג דריסת רגל ראשונית אצל המטרה, לאסוף נתונים חיוניים, ולשתף את הנתונים חזרה עם רשת הפיקוד והשליטה כדי לקבל הוראות נוספות.
אם ישנם מפעילים אנושיים מאחורי סוגי האיומים האלה, הם יבצעו סקירה של כל מכונה שנפגעה, כדי לזהות את המיקום שלה ולאתר סימנים לכך, שמדובר במכונה בעלת ערך גבוה. לאחר מכן התוקפים ימכרו גישה אל המטרות בעלות הערך הגבוה ביותר למי שישלם את הסכום הגבוה ביותר עבורן. לדוגמא, ב-2020,
Ryuk השתמש ב-
Buer Loader כדי לפרוס את תוכנת הכופר שלו.
כל התוקפים בכל הרמות יאמצו בהדרגה את השימוש בכלים לגיטימיים וביעדי רשת מוכרים כדי להימנע מגילוי ומאמצעי האבטחה, וכדי לבלבל חוקרים ולמנוע ייחוס של התקפות. הניצול של כלים לגיטימיים מאפשר לתוקפים להישאר מתחת למכ"מ, בעודם מבצעים תנועה לרוחב הרשת עד שהם מוכנים לבצע את המתקפה המרכזית שלהם, כגון מתקפת כופר.
עבור תוקפים הפועלים בגיבוי מדינה, קיים יתרון נוסף של שימוש בכלים נפוצים, שנובע מהקושי לייחס אליהם את ההתקפה. ב-2020,
דיווחה החברה על טווח רחב של כלים שכיחים המשמשים במסגרת התקפות.
מגמות נוספות המופיעות בדו"ח האיומים:
- התקפות על שרתים: תקיפות של פלטפורמות שרתים הפועלות על סביבת חלונות ולינוקס ומינוף של הפלטפורמות האלו כדי לתקוף ארגונים מבפנים.
- ההשפעה של מגיפת COVID 19 על אבטחת IT, כמו, למשל, אתגרי האבטחה, שנוצרו כתוצאה מהגידול בעבודה מהבית על גבי רשתות פרטיות ותחת רמות שונות של אבטחה.
- אתגרי האבטחה של סביבות ענן: מחשוב ענן מספק מענה מוצלח לחלק גדול מדרישות האבטחה של ארגונים, אבל במקביל הוא גם מתמודד עם אתגרי אבטחה שונים מאלה של רשתות המחשוב המסורתיות.
- שירותים נפוצים כגון VPN ו-RDP ממשיכים להוות מוקד מרכזי להתקפות על הרשת ההיקפית. תוקפים גם משתמשים ב-RDP כדי לבצע תנועה רוחבית בתוך רשתות שנפרצו.
- אפליקציות תוכנה, שסומנו באופן מסורתי כ"בלתי רצויות", מכיוון שהן מייצרות עומס של פרסומות, משלבות כעת טקטיקות, שכמעט אינן נבדלות מאלו של קוד זדוני.
- הופעתו המחודשת והמפתיעה של באג ישן, VelvetSweatshop - מאפיין סיסמת ברירת מחדל עבור גרסאות מוקדמות של תוכנת אקסל - נמצא בשימוש כדי להסתיר במסמכים פקודות מקרו או תוכן זדוני אחר כדי להימנע מגילוי איומים מתקדם.
- הצורך להפעיל גישות מעולם האפידמילוגיה כדי לכמת איומי סייבר בלתי נראים, בלתי מזוהים ובלתי מוכרים, כדי לגשר על פערים בזיהוי, הערכת סיכונים והגדרת סדרי עדיפויות.
צ'סטר ווישנייבסקי, חוקר ראשי, סופוס: "המודל העסקי של תוכנות הכופר הוא דינמי ומורכב. במהלך 2020, זיהתה החברה מגמה ברורה של תוקפים המבדלים את עצמם מבחינת יכולות ומטרות. עם זאת, ראינו גם משפחות כופר המשתפות כלים טובים מסוגם, ויוצרות 'קרטלים' שיתופיים. חלקם, כגון מפעילי
Maze, אף נצפו כשהם אורזים תיקים ויוצאים לחופשה. אך חלק מהכלים והטכניקות שלהם חזרו לפני השטח בתחפושת של שחקן חדש,
Egregor.
אופק איומי הסייבר לא נותר ריק. אם איום אחד נעלם, איום אחר יתפוס את מקומו במהירות. מבחינות רבות, כמעט בלתי אפשרי לחזות להיכן תוכנות הכופר תפננה בשלב הבא, אבל המגמות, שמופיעות בדו"ח האיומים השנה צפויות להימשך גם ב-2021.
קוד זדוני מסחרי יכול להיתפס כסופת חול המייצרת רעש רקע וסותמת את מערכות ההתרעה של האבטחה. אך מהניתוח ברור, שעל צוותי אבטחה לקחת את ההתקפות האלו ברצינות, בגלל המקום שאליו הן יכולות להוביל. כל הדבקה יכולה להוביל להדבקה אחרת. צוותי אבטחה רבים יחושו, שברגע, שקוד זדוני נחסם או הוסר, והמכונה, שהותקפה, נוקתה, אזי האירוע נמנע.
ייתכן והם לא מודעים לכך, שההתקפה בוצעה, ככל הנראה, נגד יותר ממכונה אחת, ושקוד זדוני נפוץ כגון
Emotet ו-
Buer Loader יכולים להוביל גם ל-
Ryuk,
Netwalker והתקפות מתקדמות נוספות. זה משהו, שעלול לחמוק מצוות ה-
IT עד שתוכנת הכופר תופעל, סביר להניח באמצע הלילה או בסוף השבוע. התעלמות מהדבקות 'קטנות' עלולה להתברר כטעות משמעותית ויקרה מאוד.
הניצול של כלים וטכניקות יומיומיות כדי להסוות התקפה פעילה, בלט
בסקירת אופק האיומים שהחברה פרסמה במהלך 2020. טכניקה זו מאתגרת את שיטות האבטחה המסורתיות, מכיוון שפעילות של כלים מוכרים אינה מדליקה נורות אזהרה באופן אוטומטי. זה המקום בו נכנסים למשחק התחומים של ציד איומים אנושי ותגובה מנוהלת לאיומים הצומחים במהירות.
מומחים וחוקרים אנושיים, בהשוואה לתהליכים אוטומטיים, יודעים אחר אילו חריגות וסימנים קטנים יש לעקוב. לדוגמא, שימוש בכלי נפוץ אך בזמן או במקום שאינם נכונים. עבור ציידי איומים ומנהלי
IT מנוסים, שמשתמשים במאפייני זיהוי ותגובה לנקודות קצה (
EDR), הסימנים האלה הם כמו תיל ממעיד, שיכול להתריע בפני צוותי האבטחה על פולש אפשרי והתקפה היוצאת לדרך".