דו"ח האיומים ל-2022: חור שחור של תוכנות כופר המושך אליו איומי סייבר אחרים
מאת:
מערכת Telecom News, 9.11.21, 17:03
הדו"ח מזהה מגמות בשירותי תוכנות כופר, קוד זדוני מסחרי, כלי תקיפה, כורי קריפטו ואיומים נוספים ומספק נקודת ממבט ייחודית ורב ממדית על איומי האבטחה והמגמות, שיעסיקו ארגונים ועסקים ב-2022.
סופוס, שעוסקת באבטחת הדור הבא, פרסמה את
דו"ח האיומים ל-2022. הדו"ח מראה כיצד כוח המשיכה של תוכנות הכופר מייצר חור שחור, שמושך אליו איומי סייבר אחרים, ויוצר מערכת אספקה מחוברת ומאסיבית לאספקת תוכנות כופר עם השלכות משמעותיות על אבטחת המידע. הדו"ח, שנכתב ע"י חוקרי האבטחה של
SophosLabs, צוות ציידי האיומים, צוות תגובה מהירה וצוות ה-
AI של החברה, מספק נקודת ממבט ייחודית ורב מימדית על איומי האבטחה והמגמות, שיעסיקו ארגונים ב-2022.
דו"ח האיומים של ל-2022 מנתח את המגמות המרכזיות הבאות:
במהלך השנה הקרובה, אופק תוכנות הכופר יהפוך למודולרי ואחיד יותר. "מומחים" בתוכנות כופר יציעו מרכיבים שונים של התקפות "כשירות", ויספקו דרך סדורה, עם כלים וטכניקות, שתאפשר לקבוצות שונות של תוקפים להוציא לפועל התקפות דומות מאוד.
על פי חוקרי סופוס, התקפות, שפותחו ע"י קבוצות נפרדות של תוכנות כופר, התחלפו לאורך השנים בהיצע מתרחב של תוכנות כופר כשירות (
RaaS). מפתחים, שמתמחים בתוכנות כופר, מעדיפים כעת להתמקד בהשכרת קוד זדוני ותשתיות לשותפים חיצוניים. חלק מההתקפות המוכרות ביותר במהלך השנה כללו
RaaS, כולל התקפות כנגד
Colonial Pipeline בארה"ב ע"י שותף של
DarkSide. שותף של תוכנת הכופר
Conti הדליף את מדריך ההטמעה, שסופק לו, כשהוא חושף כלים וטכניקות, שהתוקפים יכולים להפעיל כדי לבצע מתקפת כופר.
ברגע שברשותם נמצא הקוד הזדוני, שהם צריכים, שותפי ה-
RaaS ומפעילי תוכנות כופר אחרים יכולים לפנות למוכרים של "גישה ראשונית" (
Initial Access Brokers), כדי לאתר ולתקוף קורבנות פוטנציאליים. דרך פעולה זו מביאה עימה את המגמה השניה הגדולה שהחברה צופה.
איומי סייבר ותיקים ימשיכו לבצע התאמות כדי להפיץ ולהחדיר תוכנות כופר.
אלה כוללים
Loaders,
droppers ותוכנות זדוניות נפוצות אחרות. הם גם כוללים
Initial Access Brokers המופעלים ע"י אנשים, דואר זבל ותוכנות פרסום זדוני. ב-2021, החברה דיווחה על
Gootloader, שהפעיל מתקפה היברידית חדשנית, ששילבה קמפיינים המוניים לצד סינון מדויק למיקוד חבילות קוד זדוני בהתאם למטרה.
השימוש בדרכים מרובות לסחיטה כדי ליצור לחץ על הקורבנות לתשלום כופר צפוי להמשיך ולצמוח מבחינת היקף ועוצמה. ב-2021, צוות התגובה של החברה קטלג 10 סוגים שונים של טקטיקות לחץ, החל מגניבת מידע וחשיפתו, דרך שיחות טלפון מאיימות, התקפות מניעת שירות (
DDoS) ועוד.
מטבעות קריפטוגרפיים ימשיכו לשמש דלק לפשיעת סייבר כגון תוכנות כופר והפעלת כורים זדוניים של מטבעות קריפטוגרפיים.
החברה צופה, שהמגמה תמשיך עד שמטבעות הקריפטו הגלובליים יזכו לרגולציה משופרת. במהלך 2021, חוקרי החברה חשפו כורי מטבעות כגון
Lemon Duck, ו-
MrbMiner המוכר פחות, שניצלו גישה, שהתאפשרה בזכות פגיעויות חדשות, וחדרו גם למטרות, שכבר נפרצו ע"י מפעילי תוכנות כופר, כדי להתקין כורי מטבעות.
מגמות נוספות שנותחו ע"י החברה:
לאחר שנחשפו פגיעויות
ProxyLogon ו-
ProxyShell (ותוקנו) ב-2021, המהירות בה נוצלו ע"י תוקפים גורמת לחברה לצפות ניסיונות רבים לניצול של כלי ניהול
IT ושירותים החשופים לרשת, גם מצד תוקפים מיומנים וגם מצד עבריינים מהשורה.
החברה גם מצפה, שעברייני סייבר יגבירו את הניצול של כלי סימולציה, כגון
Cobalt Strike Beacongs,
mimikatz ו-
PowerSploit. המגינים צריכים לבדוק כל התראה הקשורה לניצול של כלים מוכרים או שילוב של כלים, בדיוק כפי שהם בוחנים זיהוי זדוני, מאחר ושדבר יכול להצביע על נוכחות של פורץ ברשת.
ב-2021, חוקרי החברה פירטו מספר איומים חדשים על מערכות לינוקס והם צופים לראות עניין הולך וגובר במערכות מבוססות לינוקס במהלך 2022, גם בענן, ברשת ובשרתים וירטואליים.
איומים על ניידים והונאות של הנדסה חברתית, כולל
Flubot ו-
Joker, צפויים להמשיך ולהתפשט כדי לתקוף גם אנשים פרטיים וגם ארגונים.
היישום של בינה מלאכותית באבטחת סייבר ימשיך להאיץ, בעוד מודלים עוצמתיים של לימוד מכונה מוכיחים את הערך שלהם בזיהוי איומים ותיעדוף התראות. במקביל, עם זאת, התוקפים צפויים להגביר את השימוש שלהם ב-
AI בשנים הקרובות, מהפעלת
AI בקמפיינים של דיסאינפורמציה וזיוף פרופילים במדיה החברתית ועד ליצירת תוכן למתקפת "בורות השקיה" (
watering hole), הודעות פישינג, ווידאו
Deepfake.
צ'סטר ווישנייבסקי, מדען מחקר ראשי בסופוס: "תוכנות הכופר משגשגות בזכות היכולת שלהן לבצע התאמות ולחדש. לדוגמא, בעוד היצע של
RaaS אינו דבר חדש, בשנים קודמות התרומה המרכזית שלו הייתה בעיקר הנגשה של תוכנות הכופר לתוקפים בעלי מיומנות ומימון פחותים. הדברים השתנו, וב-2021, מפתחי
RaaS משקיעים זמן ואנרגיה ביצירת קוד מתוחכם ובמציאת דרכים טובות יותר לחלץ תשלום גבוה מקורבנות, חברות ביטוח וגורמים האחראים על ניהול משא ומתן.
הם כעת מעדיפים להעביר לאחרים משימות של מציאת קורבנות, התקנה והפעלת קוד זדוני, והלבנה של מטבעות הקריפטו שהתקבלו. הדבר משבש את אופק איומי הסייבר, כאשר איומים נפוצים, כגון
loaders,
droppers ו-
Initial Access Brokers, שהיו בסביבה ויצרו שיבושים הרבה לפני עליית תוכנות הכופר, נשאבים כעת אל 'החור השחור' של תוכנות הכופר.
כבר לא מספיק, שארגון יניח, שהוא מוגן רק באמצעות כלים לניטור אבטחה, ויניח, שהם מזהים קוד זדוני. שילובים מסוימים של זיהוי או אפילו התראות הם המקבילה הווירטואלית של פורץ, שישבור צנצנת פרחים בעודו מטפס דרך החלון האחורי. המגינים חייבים לחקור התראות, אפילו כאלו שנחשבו בעבר ללא משמעותיות, מאחר שהן הפכו לנקודת גישה להשתלטות על הרשת כולה".