מחקר: הכופרות הפכו ליותר מתוחכמות מתמיד

על פי Sophos, ההאקרים מצליחים להשיג גישה, ומעלים את רמת הפריבילגיות שלהם עד שהם הופכים לאדמיניסטרטור ● מה שהופך את ההתקפות הממוקדות למאיימות הוא שהתוקפים הם בעלי יכולות אלתור

אופס... התקפת כופרה. צילום אילוסטרציה: BigStock

באחרונה נדמה שהדיווחים על כופרות נמוגו מהכותרות, אבל דו"ח חדש שערכה Sophos קובע, כי בפועל – האיומים הללו מתגברים בהתמדה.

"קורבנות רבים של כופרות אינם מדווחים על כך לרשויות, דבר שגורם להיראות כאילו מגמת הכופרות נמצאת בירידה," אמר פיטר מקנזי, מנהל הסלמת נוזקות גלובלי, Sophos. "אנחנו אומרים שההפך הוא הנכון. הכופרות הופכות ליותר מתוחכמות, יותר ממוקדות ויותר הרסניות לאנשים בהם הן פוגעות".

על פי חברת אבטחת המידע הבריטית, כופרות ממוקדות יכולות לסחוט מאדם אחד יותר כסף מאשר כל כופרות WannaCry יחד. הדו"ח של Sophos בחן לעומק כמה מתקפות שאירעו באחרונה: SamSam, BitPlayer ו-Dharma. "מתקפות כופרה אלו מתמקדות בארגונים בודדים, ובאופן טיפוסי הן מנטרלות את כל השרתים שלהם, או הן את השרתים והן את נקודות הקצה. כך, ביסודו של דבר, הן לוקחות ככל שניתן מאותו ארגון – מבלי להתפשט בכל העולם", אמר מקינזי.

המספרים מדברים בעד עצמם: מאז 2015, כופרת SamSam גנבה יותר משישה מיליון דולרים ו-BitPaymer גנבה מיליון דולרים בחודש אחד בלבד. מקינזי אמר כי "הקורבנות שנמצאים בסיכון גבוה, הם אלה שמשאירים את הארגונים שלהם פגיעים, עם סיסמאות חלשות".

פרוטוקול הטלאה קפדני – קריטי

על פי חברת האבטחה, בהתקפה ממוקדת אופיינית, האקרים נוקטים בשיטה מובנית דומה. הם משיגים גישה דרך סיסמת RDP (ר"ת Remote Desktop protocol) ומעלים את רמת הפריבילגיות (מידת הגישה להרשאות) שלהם, עד שהם הופכים לאדמיניסטרטור. זאת, תוך שימוש בזכויות הגישה, על מנת להתגבר על תוכנת אבטחת המידע. כך, הם מתפשטים ומריצים כופרה שמצפינה את הקבצים של הקורבן. הם משאירים מכתב שדורש תשלום, ולאחר מכן מחכים שהקורבן ייצור עימם קשר דרך אימייל, או דרך הרשת האפלה.

אבל, בעוד שכל ההתקפות דומות זו לזו, Sophos מדווחת כי הדבר שהופך את ההתקפות הממוקדות לכה מאיימות הוא העובדה כי התוקפים הם בעלי יכולות אלתור.

"כתיבת כופרה שאינה ניתנת לזיהוי על ידי תוכנת אבטחת מידע אינה משימה פשוטה, אז לעיתים קרובות התוקפים יחפשו דרכים לעקוף זאת, על ידי ניצול פגיעויות במערכת ההפעלה, שמאפשרות להם להרחיב את רמת הפריבילגיות שלהם", נכתב בדו"ח.

מקנזי אומר כי יצרני הפתרונות צריכים לפעול כיועצים אמינים ללקוחותיהם. לדבריו, "פרוטוקול הטלאה קפדני של פרצות אבטחה למערכות ההפעלה והיישומים שרצים עליהן הוא קריטי. אבל, למקרה הגרוע ביותר שבו לקוח מותקף, ודאו שיש לכם גיבוי מחוץ לאתר ו/או גיבוי לא מקוון. מילת המפתח היא Offline. בהתקפות מסוג זה הרעים נכנסו לתוך הרשת שלכם ומשתמשים בחשבונות האדמין של הדומיין. אלה הם אותם חשבונות שאתם משתמשים בהם על מנת לגשת לגיבויים שלכם. אז, אם הם יכולים לגשת לגיבוי – הם יצפינו או ישתמשו בו. אתם צריכים לשמור עליהם במקום שבו אין גישה לתוקפים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים