זוהתה תנועה של תוכנות כופר להתקפות ממוקדות נגד עסקים וארגונים
מאת:
מערכת Telecom News, 13.4.17, 19:19
זוהו 8 קבוצות של עברייני סייבר המעורבות בפיתוח והפצה של תוכנות כופר מצפינות, שמטרתן העיקרית היא פגיעה בעסקים וארגונים. מה מומלץ לעשות?
חוקרי מעבדת קספרסקי חשפו מגמה צומחת ומטרידה: יותר ויותר עברייני סייבר מפנים את תשומת הלב שלהם ממשתמשים פרטיים למתקפות כופר ממוקדות נגד עסקים. החוקרים זיהו לפחות 8 קבוצות של עברייני סייבר המעורבות בפיתוח והפצה של תוכנות כופר מצפינות, שמטרתן העיקרית היא פגיעה בארגונים פיננסים ברחבי העולם. הם נתקלו במקרים בהם דרישת התשלום הגיעה ליותר מחצי מיליון דולרים.
8 הקבוצות שזוהו כוללות את כותבי
PetrWrap, שתקפו ארגונים פיננסים ברחבי העולם, קבוצת
Mamba הידועה, ו-6 קבוצות נוספות, שאינן מוכרות וגם הן תוקפות משתמשים ארגוניים. כדאי לציין, ש-6 הקבוצות האלו היו מעורבות בעבר בעיקר בהתקפות על משתמשים פרטיים באמצעות מודלים של תוכנית אפילייט (שותפים).
כעת, מיקדו מחדש התוקפים את המאמצים שלהם ברשתות ארגוניות. הסיבה למגמה היא ברורה: עבריינים רואים בהתקפות כופר ממוקדות נגד עסקים אפיק רווחי יותר מאשר התקפות המוניות כנגד משתמשים פרטיים. מתקפת כופר מוצלחת נגד חברה יכולה בקלות לעצור את הפעילות העסקית לשעות או אפילו ימים, עם סבירות גבוהה לכך, שהארגון ישלם את הכופר.
באופן כללי, הטקטיקות, הטכניקות והתהליכים המשמשים את הקבוצות האלו הם די דומים. הם מדביקים את הארגון המותקף בקוד זדוני דרך שרתים פרוצים או דרך הודעות פישינג ממוקדות. לאחר מכן הם מתבצרים ברשת של הקורבן ומזהים את המשאבים החיוניים להצפנה. בשלב הבא הם דורשים כופר בתמורה לפיענוח הצפנה.
לצד הקווים הדומים ביניהן, לקבוצות יש מאפיינים דומים: לדוגמא, קבוצת
Mamba משתמשת בקוד זדוני מצפין מייצור עצמי, המבוסס על תוכנת הקוד הפתוח
DiskCryptor. ברגע שהתוקף משיג דריסת רגל ברשת, הוא מתקין את המצפין לרוחב הרשת תוך שימוש בכלים חוקיים לשליטה מרחוק. גישה זו הופכת את הפעולות לחשודות פחות בעיני אנשי האבטחה בארגון המותקף. החוקרים נתקלו במקרים בהם הכופר הגיע לסך של
ביטקוין (כ-1,000 דולרים בסוף מרץ 2017
( לשחרור כל נקודת קצה שהוצפנה.
דוגמא ייחודית נוספת של כלים המשמשים בהתקפות ממוקדות מגיעה מ-
PetrWrap. קבוצה זו תוקפת בעיקר חברות גדולות, שיש להן רכיבים רבים ברשת. העבריינים בוחרים בקפידה את המטרות למתקפות, שפעילות לאורך זמן רב:
PetrWrap הייתה פעילה ברשת מסוימת לאורך תקופה של עד 6 חודשים.
כדי להגן על ארגונים מפני מתקפות שכאלה, מומלץ לנקוט בצעדים הבאים:
- ביצוע גיבוי קבוע ומלא של הנתונים. כך, שניתן יהיה להשתמש בו כדי לאחזר קבצים מקוריים בעקבות פגיעה.
- שימוש בפתרון אבטחה עם טכנולוגיות זיהוי מבוססות התנהגות. טכנולוגיות אלו יכולות לאתר קוד זדוני, כולל תוכנות כופר, באמצעות בחינה של הדרך בה הוא פועל במערכת המותקפת. הדבר מאפשר ללכוד גם דוגמיות חדשות ובלתי מוכרות של תוכנות כופר.
- שימוש באתר No More Ransom ,(גם בעברית), יוזמה משותפת לגופים שונים כולל משטרת ישראל, כדי לסייע לקורבנות של תוכנות כופר לאחזר את המידע המוצפן שלהם ללא צורך לשלם לעבריינים.
- ביצוע סקירות בקרה של תוכנות, לא רק בנקודות קצה, אלא גם בכל המרכיבים והשרתים ברשת, ושמירה על עדכונים קבועים ותכופים.
- ביצוע הערכות אבטחה ברשת הבקרה (כגון ביקורת אבטחה, מבחני חדירה, ניתוח פערים) כדי לזהות ולחסום כל חור באבטחה. ביצוע סקירה של מדיניות אבטחה אצל ספקים חיצוניים ושותפים בעלי גישה ישירה לרשת השליטה.
- שימוש במודיעין חיצוני: מודיעין מספקים בעלי מוניטין יכול לסייע לארגונים לצפות התקפות עתידיות על החברה.
- הכשרה ואימון של עובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם לאיומים עדכניים.
- מתן הגנה בתוך ומחוץ לרשת ההיקפית. אסטרטגיה נכונה לאבטחה צריכה להקדיש משאבים מספיקים לזיהוי ותגובה להתקפות, כדי לחסום התקפה לפני שהיא מגיעה ליעדים חיוניים לארגון.
אנטון איבנוב, חוקר אבטחה בכיר, תוכנות כופר, מעבדת קספרסקי: "כולנו צריכים להיות מודעים לכך, שהאיום של מתקפות כופר ממוקדות על עסקים נמצא בצמיחה, כשהוא מייצר הפסדים כספיים ממשיים. המגמה מטרידה מכיוון ששחקני הכופר יוצאים למסע ציד אחר קורבנות חדשים ורווחיים יותר. קיימות בשטח מטרות אפשריות רבות לתוכנות הכופר, שתבאנה לתוצאות הרסניות אף יותר",