דו"ח מפת האיומים: מספר תוכנות הכופר הוכפל במחצית הראשונה של 2022
מאת
: מערכת Telecom News, 4.9.22, 14:23
עוד חושף הדו"ח, שהמלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות ,ששימשו במתקפות נגד ממשלות, צבא וארגונים פרטיים.
פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, פרסמה את ממצאי
דו"ח מפת האיומים הגלובלי החצי-שנתי של FortiGuard Labs, גוף המחקר של החברה. הדו"ח מתבסס על המודיעין השיתופי של
FortiGuard Labs, שנלקח ממערך החיישנים הרחב של החברה, שאוספים מיליארדים של אירועי אבטחה, שנצפו ברחבי העולם במהלך המחצית הראשונה של 2022.
הדו"ח של משתמש במודל העבודה של
MITRE ATT&CK לסיווג השיטות והטכניקות של פושעי הסייבר, שכוללות
סיור,
פיתוח משאבים ו
גישה ראשונית – כדי לתאר באילו דרכים גורמי האיום מתמקדים בנקודות תורפה, בונים תשתית זדונית ומנצלים את המטרות שלהם. כ"כ הדו"ח מתייחס לנקודות מבט גלובליות ואזוריות ולמגמות איומים המשפיעות על ה-
IT וה-
OT.
להלן ממצאי הדוח העיקריים:
גידול במספר גרסאות תוכנות הכופר מעיד על התפתחות מרחב הפעילות של הפושעים: תוכנות הכופר עדיין מהוות את האיום המרכזי ופושעי הסייבר ממשיכים להשקיע משאבים משמעותיים בטכניקות התקפה חדשות. במחצית הראשונה של 2022, החוקרים איתרו מספר כולל של 10,666 גרסאות של תוכנות כופר, בהשוואה ל-5,400 ב-6 החודשים שקדמו להם. מדובר בצמיחה של קרוב ל-100% בגרסאות של תוכנות כופר בתקופה של חצי שנה.
הכופרה-כשירות (
RaaS) צוברת פופולריות
ברשת האפלה וממשיכה לתדלק תעשייה של פושעים, שמאלצים ארגונים לשקול הסדרים של תשלום כופר כדי להתגונן מפני מתקפות כופר, ארגונים בכל גודל ובכל תעשייה צריכים לנקוט בגישה יזומה, הכוללת נראות בזמן אמת, הגנה, מניעה יחד עם גישת רשת
zero-trust (
ZTNA) ופתרון איתור ותגובה מתקדם לנקודות קצה (
EDR).
היקף שבועי של תוכנות כופר ב-12 החודשים האחרונים:
מגמות הניצול מראות, כי שרשתות ה-OT ונקודות הקצה הם יעדים מפתים: ההתכנסות הדיגיטלית של ה-
IT וה-
OT ונקודות הקצה מאפשרת לעבודה מכל מקום (
WFA) להמשיך להוות את הגורם המרכזי של מתקפות, כאשר הגורמים העוינים ממשיכים להתמקד בשטח התקיפה הגדל. ניצול רב של נקודות תורפה בנקודות הקצה מערב משתמשים לא מורשים המקבלים גישה למערכת עם המטרה של תנועה רוחבית כדי להיכנס לעומק הרשתות הארגוניות. דוגמאות לכך ניתן לראות עבור נקודת תורפה מסוג
spoofing בנפח גבוה ונקודת תורפה מסוג ביצוע קוד מרחוק (
RCE).
כ"כ, ניתוח נקודות התורפה של נקודות הקצה לפי האיתור והנפח שלהן חושף את הדרך הנחושה של פושעי הסייבר, שמנסים לקבל גישה באמצעות מקסום נקודות תורפה ישנות וחדשות. בנוסף לכך, כאשר מתבוננים במגמות נקודות התורפה של ה-
OT, רואים שגם מגזר זה סובל. ניתן לראות, שטווח רחב של התקנים ופלטפורמות נוצלו ע"י הפושעים, מה שמדגים את המציאות של אבטחת הסייבר בכל הנוגע להתכנסות מוגברת של ה-
IT וה-
OT והיעדים של הפושעים, שגורמים לשיבושים.
טכנולוגיית נקודות קצה מתקדמת יכולה לסייע למנוע ולתקן ביעילות התקנים שנפגעו בשלב מוקדם במתקפה. בנוסף לכך, ניתן להשתמש בשירות הגנה דיגיטלי מפני סיכונים (
DRPS) כדי לבצע הערכות איומים חיצוניים, לאתר ולתקן בעיות אבטחה ולסייע לקבל תובנות קונטקסטואליות בנוגע לאיומים נוכחיים ועתידיים.
מגמות איום הרסניות ממשיכות עם התרחבות תוכנות המחיקה: מגמות של תוכנת המחיקה הזדונית (
Wiper) חושפות התפתחות מטרידה של טכניקות מתקפה יותר הרסניות ומתוחכמות, שמתבצעות באמצעות תוכנה זדונית השמידה נתונים ע"י מחיקתם.
המלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות על דיסק בקרב גורמי איום המתמקדים בעיקר בתשתית קריטית. החוקרים זיהו לפחות 7 גרסאות חדשות משמעותיות של תוכנות מחיקה במחצית הראשונה של 2022, ששימשו במגוון מתקפות נגד ממשלות, צבא וארגונים פרטיים. מדובר במספר משמעותי היות והוא קרוב למספר גרסאות תוכנות המחיקה, שאותרו באופן פומבי מאז 2012.
בנוסף לכך, תוכנות המחיקה לא נותרו במיקום גאוגרפי אחד, אלא אותרו ב-24 מדינות מלבד אוקראינה. כדי למזער את ההשפעה של תוכנות מחיקה, ניתן להיעזר בפתרון איתור ותגובות רשת (
NDR) בעל בינה מלאכותית עם יכולת לימוד עצמי כדי לאתר חדירות בצורה טובה יותר. כ"כ, יש לאחסן גיבויים מחוץ לאתר ובאופן לא מקוון.
מדינות, שאיתרו תוכנות מחיקה (
Wiper) הקשורות למלחמה בין רוסיה ואוקראינה:
התחמקות מאמצעי הגנה עודנה טכניקת התקיפה המובילה ברחבי העולם: בחינה של אסטרטגיות הפושעים חושפת תובנות אודות הדרך, שבה מתפתחות הטכניקות ושיטות המתקפה. החוקרים ניתחו את הפונקציונליות של התוכנות הזדוניות, שהתגלו במהלך המחצית הראשונה של 2022 כדי לעקוב אחר הגישות השכיחות ביותר ומצאו, שבין 8 הטכניקות והשיטות המובילות הממוקדות בנקודות הקצה, התחמקות מאמצעי הגנה (
Defense Evasion) הייתה הטכניקה המיושמת ביותר ע"י מפתחי התוכנות הזדוניות. היות והסתרת הכוונות הזדוניות זה אחד הדברים החשובים ביותר עבור הפושעים, הם מנסים להתחמק מאמצעי ההגנה ע"י מיסוך וניסיון להחביא פקודות באמצעות שימוש בהסמכה אמיתית כדי לבצע תהליך מהימן ולהוציא לפועל את הכוונה הזדונית שלהם.
הטכניקה השנייה הפופולרית ביותר הייתה
Process Injection, כאשר הפושעים פועלים כדי להזריק קוד למרחב הכתובת של תהליך אחר כדי להתחמק מאמצעי הגנה ולשפר את יכולת ההתגנבות שלהם. ארגונים יהיו מסוגלים להתגונן בצורה יעילה יותר נגד הכלים המקיפים של הפושעים אם יהיו חמושים במודיעין זה, שניתן לפעול לפיו. פלטפורמות אבטחת סייבר משולבות בעלות בינה מלאכותית ולמידת מכונה עם יכולות איתור ותגובה מתקדמות, המופעלות ע"י מודיעין איומים, שניתן לפעול לפיו, חשובות כדי להגן על כל הקצוות של הרשתות ההיברידיות.
השיטות והטכניקות המובילות של התוכנות הזדוניות בנקודות הקצה:
אבטחה מבוססת בינה מלאכותית על פני שטח התקיפה המורחב
כאשר ארגונים מקבלים הבנה עמוקה יותר של המטרות והטכניקות המשמשות את הפושעים באמצעות מודיעין איומים, שניתן לפעול פיו, הם יכולים להיערך טוב יותר עם אמצעי הגנה כדי להסתגל ולהגיב באופן יזום לטכניקות התקיפה המשתנות במהירות. תובנות איומים הן קריטיות כדי לסייע לתעדף מדיניות תיקון להגנה טובה יותר על הסביבות. גם מודעות והדרכה לאבטחת סייבר הן חשובות ככל שנוף האיומים משתנה כדי שהעובדים והצוותים יהיו מעודכנים בכל החידושים בנושא.
ארגונים זקוקים לפעולות אבטחה, שיכולות לתפקד במהירות של מכונה כדי לעמוד בקצב הנפח, התחכום ושיעור איומי הסייבר כיום. אסטרטגיות מניעה, איתור ותגובה המופעלות על בינה מלאכותית ולמידת מכונה המבוססות על ארכיטקטורת אבטחת סייבר רב-שכבתית מאפשרות אינטגרציה הדוקה יותר, אוטומציה מוגברת ותגובה מהירה, מתואמת ויעילה יותר לאיומים ברשת המורחבת.
דרק מאנקי,
אסטרטג אבטחה בכיר וסמנכ"ל שיתופי פעולה גלובליים ב-
FortiGuard Labs, פורטינט
: "פושעי הסייבר מקדמים את האסטרטגיות שלהם כדי לסכל הגנות ולהגדיל את רשתות השותפים הפליליים שלהם. הם משתמשים באסטרטגיות ביצוע תוקפניות כמו סחיטה או מחיקת נתונים, לצד התמקדות בטכניקות סיור לפני המתקפה כדי להבטיח לעצמם החזר על השקעה. כדי להיאבק במתקפות מתקדמות ומתוחכמות, ארגונים זקוקים לפתרונות אבטחה משולבים, שיכולים להשתמש במודיעין איומים בזמן אמת, לאתר דפוסי איום ולתאם בין כמויות עצומות של נתונים כדי לאתר חריגות וליזום באופן אוטומטי תגובה מתואמת ברשתות ההיברידיות".