נחשפה גרסה חדשה של תוכנת הכופר Snatch
מאת:
מערכת Telecom News, 11.12.19, 13:20
הדו"ח מפרט את השינויים בדרכי הפעולה של Snatch, כולל יכולת אתחול של המחשב למצב בטוח (Safe Mode). התוקפים מאחורי Snatch גייסו בפורומים של הרשת האפלה משתפי פעולה בעלי מיומנות בניצול שירותים כאלה לגישה מרחוק. מה ארגונים וגולשים צריכים לעשות?
סופוס, שעוסקת באבטחת סייבר של הדור הבא, פרסמה באמצעות
SophosLabs דו"ח מחקרי בשם "
תוכנת הכופר Snatch מאתחלת מחשבים אישיים למצב בטוח כדי לעקוף הגנות". הדו"ח מפרט את השינוי שחל בשיטות ההתקפה של תוכנת הכופר
Snatch, שנצפתה לראשונה בינואר 2018, כולל היכולת לאתחל מחשב למצב בטוח במהלך ההתקפה.
זאת, בניסיון לעקוף הגנות מבוססות התנהגות המסוגלות לזהות פעילות של תוכנות כופר. החברה מאמינה, שטכניקת ההתקפה החדשה אומצה ע"י עברייני הסייבר לצורך התחמקות מהגנות.
בהמשך למגמה, שצוינה
בדו"ח האיומים של סופוס ל-2020, העבריינים מאחורי
Snatch פועלים גם כדי לחלץ נתונים עוד לפני תחילת מתקפת הכופר.
סוג כזה של התנהגות כבר נצפה אצל קבוצות אחרות של תוכנות כופר, כולל
Bitpaymer. כתוצאה מהתנהגות זו, עסקים, שצריכים לעמוד בתקן
GDPR, בתקנת
California Consumer Privacy Act (שתכנס לתוקף בקרוב) וברגולציה אחרת, עלולים להיות מחויבים לדווח לרשויות החוק במקרה שנפלו קורבן ל-
Snatch.
Santch הוא דוגמא למתקפה פעילה אוטומטית, שמוזכרת גם היא בדו"ח האיומים ל-2020. ברגע שהתוקפים משיגים גישה לרשת באמצעות ניצול שירותים של גישה מרחוק, הם משתמשים בפריצת
hand-to-keyboard כדי לבצע תנועה רוחבית בארגון וכדי לגרום נזק.
כפי שמוסבר בדו"ח אודות
Snatch, התוקפים משיגים גישה ראשונית באמצעות שירותי גישה מרחוק ל-
IT, שאינם מאובטחים, כגון
Remote Desktop Protocol (
RDP).
הדו"ח גם מציג דוגמאות לכך, שהתוקפים מאחורי
Snatch גייסו בפורומים של
הרשת האפלה משתפי פעולה בעלי מיומנות בניצול שירותים כאלה לגישה מרחוק. בצילום המסך מוצגת שיחה, שהתנהלה ברוסית בפורום ברשת האפלה, במסגרתה נכתב "מחפש שותף אפילייט עם גישה ל-
RDP/VNC/TeamViewer\WebShell\SQLinj ברשתות ארגוניות, חנויות וחברות אחרות".
אז מה עושים?
- היו פרו-אקטיביים והפעילו צוותים לניטור איומים מסביב לשעון.
- הפעילו בנקודות הקצה למידת מכונה, מזעור התקפות פעיל (active adversary mitigations) וזיהוי התנהגות.
- היכן שניתן, זהו וכבו שירותי גישה מרחוק החשופים לאינטרנט הציבורי.
- אם נדרשת גישה מרחוק, השתמשו ב-VPN עם אימות רב-שלבי, בקרת סיסמאות ובקרת גישה מדויקת. זאת, בנוסף לניטור פעיל של הגישה מרחוק.
- כל השרתים בעלי גישה מרחוק הפתוחים לאינטרנט הציבורי צריכים לעבור עדכונים, להיות מוגנים באמצעות בקרי מנע (כגון תוכנת הגנה על נקודות קצה), ולהיות מנוטרים באופן פעיל אחר ניסיונות כניסה חריגות והתנהגות חריגה אחרת.
- על משתמשים הנכנסים לשירותי גישה מרחוק צריכות לחול הרשאות מגבילות עבור יתר הרשת הארגונית.
- מנהלים צריכים לאמץ אימות רב שלבי ולהשתמש בחשבון אדמין נפרד מהחשבון הרגיל שלהם.
- נטרו באופן פעיל פורטים פתוחים של RDP באזורי ה-IP הציבוריים.
וידיאו הסבר -
כאן