דו"ח 2022: ב-2021 התארך זמן השהייה החציוני ברשת המותקפת בשיעור של 36%
מאת:
מערכת Telecom News, 8.6.22, 11:01
הדו"ח מסכם ממצאי מחקר של 144 מתקפות סייבר, שבוצעו ב-2021 על ארגונים בכל הגדלים. מטרתו היא לעזור לצוותי אבטחת הסייבר בארגונים להבין טוב באילו כלים ושיטות משתמשים התוקפים, כיצד לזהות פעילות זדונית ברשת הארגונית וכיצד להתגונן מפניה.
סופוס
(Sophos), חברת אבטחת מידע וסייבר, פרסמה את דו"ח
Active Adversary Playbook 2022 ובו פרטים על התנהגות התוקפים במרחב הסייבר כפי שנצפתה במהלך 2021 ע"י צוות התגובה המהירה של החברה.
הדו"ח מסכם את ממצאי המחקר של 144 מתקפות סייבר שבוצעו ב-2021 על ארגונים בכל הגדלים ומכל ענפי השוק ב-17 מדינות. ענפי המשק שנפגעו בשיעור הגבוה ביותר הם ענף הייצור (17%), ענף הקמעונאות (14%), ענף שירותי הבריאות (13%), ענף ההיי טק (9%), ענף הבנייה (8%) ומוסדות חינוך והשכלה גבוהה (6%).
מטרת הדו"ח היא לעזור לצוותי אבטחת הסייבר בארגונים להבין טוב באילו כלים ושיטות משתמשים התוקפים, כיצד לזהות פעילות זדונית ברשת הארגונית וכיצד להתגונן מפניה.
על פי הממצאים, ב-2021 התארך זמן השהייה החציוני ברשת המותקפת בשיעור של 36% מ־11 ימים ב-2020 ל־15 ימים ב-2021. כ"כ, חושף הדוח את השלכותיהן של חולשות האבטחה
ProxyShell בשרתי
Microsoft Exchange, שהחברה מאמינה, שנוצלו ע"י סוחרי גישה ראשונית (
Initial Access Brokers או בקיצור
IABs) לפריצה לרשתות ארגוניות ומכירת הגישה לעברייני סייבר אחרים לצורך ביצוע מתקפות משלהם.
עוד נמצא במחקר, שזמן השהייה ברשת המותקפת ארוך יותר בארגונים קטנים. זמן השהייה ברשת המותקפת של ארגונים המעסיקים עד ל־250 עובדים עומד על 51 ימים לערך, לעומת זמן שהייה של 20 ימים בארגונים המעסיקים 3,000 עד 5,000 עובדים.
ממצאים עיקריים נוספים של מחקר
Playbooks:
זמן השהייה החציוני ברשת הארגונית עד לגילוי החדירה היה ארוך יותר בארגונים קטנים וענפי שוק עם אמצעי אבטחת סייבר פחות מקיפים, וכן במקרים של חדירות "רדומות", שבהן אורבים התוקפים ברשת הארגונית מבלי לפתוח במתקפה, שתחשוף את דבר הפריצה לרשת כמו מתקפת כופר. זמן השהייה החציוני בארגונים שנפגעו ממתקפת כופרה עמד על 11 ימים. במקרים שבהם התוקפים פרצו לרשת הארגונית מבלי להוציא לפועל מתקפה משמעותית כמו מתקפת כופר (שיעור של 23% מהמקרים שנחקרו), עמד זמן השהייה החציוני על 34 ימים. זמני שהייה ארוכים יותר נצפו גם במוסדות חינוך והשכלה גבוהה ובארגונים קטנים המעסיקים עד ל־500 עובדים
זמני שהייה ארוכים יותר ברשת הארגונית ופרצות אבטחה, שלא תוקנו, חושפות את אותו ארגון ליותר ממתקפה אחת. חקירות של מתקפות סייבר חשפו מקרים, שבהם אותו ארגון הותקף ע"י כמה תוקפי סייבר במקביל, ובהם סוחרי גישה ראשונית, קבוצות כופרה וכורי מטבעות וירטואליים.
על רקע הירידה שנצפתה בשימוש בפרוטוקול RDP כווקטור תקיפה לצורך השגת גישה לרשת הארגונית מרחוק, נרשמה דווקא עלייה בשימוש בפרוטוקול לצורך תנועה רוחבית בתוך הרשת המותקפת. ב-2020, עמד שיעור השימוש בפרוטוקול
RDP כווקטור תקיפה להשגת גישה מרחוק על 32% ואילו ב-2021 ירד השיעור ל־13%. זאת מגמה חיובית המשקפת את המאמץ, שעשו ארגונים להקטנת שטח פני ההתקפה שלהם, אך מוקדם מדי כדי לחגוג מכיוון שבד בבד נרשמה עלייה בשימוש בפרוטוקול
RDP לצורך תנועה רוחבית בתוך הרשת המותקפת. על פי הממצאים של החברה, ב-2021 השתמשו התוקפים בפרוטוקול
RDP לתנועה רוחבית ברשת המותקפת בשיעור של 82% מהמקרים שנחקרו, עלייה בשיעור של 69% לעומת 2020.
פעילות משולבת של כלי תקיפה נפוצים היא דרך אמינה לזהות חדירות לרשת. חקירת מתקפות הסייבר העלתה, שב-2021 נצפה שימוש משולב בסקריפטים של
PowerShell וכלי אוטומציה נוספים ב־64% מהמתקפות; שילוב של
PowerShell ו־
Cobalt Strike נצפה ב־56% מהמתקפות ושילוב של
PowerShell ו־
PsExec נצפה ב־51% מהמתקפות. זיהוי הפעילות המשולבת הזאת יכול לשמש כסמן אזהרה אמין למתקפה ממשמשת ובאה או כעדות לקיומה של מתקפה פעילה.
שיעור של 50% ממתקפות הכופר כללו גם גניבת מידע, כשמרווח הזמן הממוצע בין גניבת המידע להתפרצות מתקפת הכופר עמד על 4.28 ימים. שיעור של 73% מהמקרים שלהם הגיבה סופוס ב-2021 היו מתקפת כופר. מתוכן, שיעור של 50% כללו גניבת מידע מארגונים. גניבת המידע היא בד"כ השלב האחרון של המתקפה לפני ביצוע מתקפת הכופר וממצאי המחקר מראים, שמרווח הזמן הממוצע בין גניבת המידע להתרפצות מתקפת הכופר עמד על 4.28 ימים, בעוד שמרווח הזמן החציוני עמד על 1.84 ימים
Conti הייתה תוכנת הכופר הנפוצה ביותר ב-2021 ושימשה לביצוע 18% ממתקפות הכופר. תוכנת הכופר
REvil שימשה באחת מכל 10 מתקפות כופר, ופעילות ערה נרשמה גם מצד
DarkSide - משפחת תוכנת כופר המוצעות במודל כופר־כשירות (
RaaS) והקבוצה האחראית על מתקפת הסייבר על חברת הנפט האמריקאית קולוניאל פייפליין (
Colonial Pipeline) - ותוכנת הכופר
Black KingDom, שזוהתה לראשונה במרץ 2021, זמן קצר לאחר גילוי חולשת האבטחה
ProxyLogon. המחקר זיהה 41 קבוצות תקיפה שונות, שהיו מעורבות ב־144 מתקפות הכופר שנחקרו. מתוכן, 28 הן קבוצות חדשות, שזוהו לראשונה ב-2021. לעומתן, 18 קבוצות, שהיו מעורבות במתקפות כופר ב-2020 נעלמו ממרחב הסייבר ב-2021.
ג'ון שייר, (בתמונה משמאל), יועץ אבטחה בכיר בסופוס: "עולם פשיעת הסייבר הופך למגוון מאוד והתפתחו בו התמחויות של ממש. סחר בגישה ראשונית (
IAB) הוא מודל עסקי חדש בתחום פשיעת הסייבר, שבו פורצים תוקפים לרשת ארגונית, אוספים מידע על הרשת המותקפת, משתילים בה דלת אחורית ואז מוכרים את הגישה לקבוצות העוסקות במתקפות כופרה.
מתקפות הסייבר הופכות למתוחכמות, ממוקדות ותכליתיות יותר. כלים ושיטות תקיפה חדשים צצים חדשות לבקרים וארגונים רבים מתקשים לעמוד בקצב. לכן, קיימת חשיבות רבה לכך, שצוותי אבטחת הסייבר יכירו את שרשרת המתקפה וסימני האזהרה בכל שלב שלה כדי שיוכלו לזהות מתקפות ולנטרלן מוקדם ככל האפשר.
מבחינת התוקפים, לארגונים גדולים יותר יש ערך גדול יותר ולכן הם ממקדים מאמץ בפריצה לרשת, השגת המטרה מהר ככל האפשר ואז נעלמים כלעומת שבאו. לארגונים קטנים יש ערך נמוך יותר בעיני התוקפים ולכן הם מרשים לעצמם לארוב להזדמנויות ברשת הארגונית במשך זמן ארוך יותר.
ייתכן גם שהסיבה לזמן השהייה הארוך יותר ברשתות של ארגונים קטנים נעוצה בכך, שהתוקפים האלה פחות מנוסים וזקוקים ליותר זמן כדי למצוא את דרכם ולתכנן את צעדיהם מרגע שהשיגו גישה לרשת. סיבה נוספת היא, שעל פי רוב לארגונים קטנים יותר יש פחות אמצעים לזיהוי מתקפות סייבר ומניעתן. כך, שהתוקפים יכולים לפעול ברשת זמן ארוך יותר באין מפריע.
על רקע חולשות האבטחה
ProxyLogon ו־
ProxyShell והתגברות פעילותם של סוחרי גישה ראשונית, אנו עדים ליותר מקרים, שבהם אותו ארגון מותקף ע"י כמה תוקפים שונים. בארגונים גדולים, מדרבנת התחרות הזאת את התוקפים לא לבזבז זמן ולהזדרז בהשגת המטרה לפני שמישהו מהמתחרים יקדים אותם.
סימני האזהרה שלהם צריכים להיות ערים ארגונים כוללים זיהוי פעילות בכלי לגטימי (כמו
PowerShell), פעילות משולבת של כמה כלים או כל פעילות אחרת במקום או שעה חריגים.
חשוב לדעת, שתיתכננה תקופות, שבהן לא תירשם פעילות חשודה רבה, או בכלל, אבל זה לא אומר שהרשת לא בסכנה. לדוגמה: סביר להניח, שהיקף ניצול חולשות האבטחה
ProxyLogon או
ProxyShell גדול הרבה יותר ממה שאנו יודעים, כי הפורצים השתמשו בהן להשתלת סקריפטים מסוג
Web Shell ודלתות אחוריות כדי להשיג גישה מתמשכת לרשת הארגונית וכי הפרצות האלו רדומות עכשיו בהמתנה להזדמנות או למכירתן לפושעי סייבר אחרים.
ארגונים צריכים להיות ערים לכל פעילות חשודה ברשת, ואם זוהתה כזאת - לחקור אותה ללא דיחוי. ארגונים צריכים להקפיד להתקין עדכונים לתיקון באגים וטלאי אבטחה, ובפרט בתוכנות הנמצאות בשימוש רחב בשוק, ולהקשיח את האבטחה של שירותי עבודה מרחוק. עד לסגירתן של ופרצות האבטחה והסרת כל האמצעים, ששתלו התוקפים כדי להשיג גישה מתמשכת מרחוק, נותרת הרשת הארגונית חשופה לאיומים נוספים ואלה, כנראה, לא יאחרו לבוא".