לא רק AI: האוטומציה מאפשרת לתוקפים לנצל גם כופרות ו-SaaS

מחסומי הכניסה למתקפות מתוחכמות ממשיכים לרדת ומאפשרים לגורמי איומים חדשים להופיע ולתקוף. עלייתן של ערכות פישינג כמו FlowerStorm ו-Mamba2FA, המאפשרות דיוג וניצול לרעה של אמון המשתמשים על ידי חיקוי שירותים לגיטימיים – כדי לעקוף אימות רב-גורמי (MFA), ממחישה מגמה זו. בשילוב עם פגיעה בחשבון של תוכנה כשירות (SaaS), טכניקות אלו מהוות חלק ניכר מפעילות פושעי הסייבר במחצית הראשונה של השנה, כך לפי חוקרי דארקטרייס (Darktrace).

חברת האבטחה הנפיקה את הדו"ח החצי שנתי שלה והציגה אותו בכנס Black Hat USA, שהסתיים בסוף השבוע.

"שחקני האיומים מאמצים יותר ויותר בינה מלאכותית ומגוונים את הטכניקות והכלים שלהם לטובת התקפות מתפתחות", ציינו החוקרים, "הבחנו במגוון רחב של טקטיקות בתקופה זו, המשמשות סוגים שונים של שחקני איומים, כולל איומים מתמשכים מתקדמים (APTs), נוזקות כשירות (MaaS) וקבוצות כופרה כשירות (RaaS)".

"שחקני האיומים מפתחים בלא הרף את הטקטיקות, הטכניקות והנהלים שלהם (TTPs), ומציבים אתגר מתמשך להקשחת הגנה יעילה. יותר ויותר, שחקני איומים רבים מאמצים בינה מלאכותית, במיוחד מודלים של שפה גדולה (LLMs) בפעילותם כדי לשפר את ההיקף, התחכום והיעילות של ההתקפות שלהם".

לפי המחקר, "הפונקציונליות המתפתחת של נוזקות, כגון LameHug – שדווחה באחרונה על ידי CERT-UA, המשתמשת ב-LLM בקוד פתוח, מדגימה זאת".

עוד נכתב, כי "שחקני איומים מיישמים בינה מלאכותית על התקפות דואר אלקטרוני: LLMs מהווים הזדמנות ברורה לתוקפים לנצל את הבינה המלאכותית וליצור הודעות דוא"ל דיוג יעילות במהירות. הנפח הגבוה של הודעות דוא"ל דיוג ושינויים בולטים בטקטיקה – יכולים להיות מוסברים על ידי שחקני איומים המאמצים כלים חדשים, כגון LLMs". גם הודעות דוא"ל דיוג מבוססות קוד QR נותרו בארגז הכלים של הרעים, בשיעור דומה לתקופה המקבילה אשתקד.

"חל שינוי, לכיוון תחכום מוגבר בהודעות דוא"ל פישינג", ציינו, "עם עלייה משנה לשנה בשיעור הודעות דוא"ל הדיוג המכילות נפח טקסט גבוה או מטענים זדוניים רב-שלביים. הגידול עשוי להצביע עיל כך, ששחקני האיומים ממנפים LLMs כדי ליצור הודעות דוא"ל דיוג עם טקסט גדול, אך אמין, בצורה קלה ויעילה", הסבירו.

אישורים נותרו החוליה החלשה

נושא מרכזי במקרים מרובים של מתקפות כופרה, ציינו החוקרים, "היה של שחקני איומים שניצלו לרעה אישורים שנפגעו כדי לקבל כניסה ראשונית לרשתות באמצעות גישה לא מורשית לטכנולוגיה הפונה לאינטרנט, כגון שרתי RDP ו-VPN".

מתקפות כופרה הממוקדות ב-SaaS נמצאו במגמת עלייה, נכתב, "הצפנת הקבצים בסביבות SaaS – מדגימה מגמה מתמשכת של שחקני כופרות, המכוונים לפלטפורמות אלו ברשתות מסורתיות. הסיבה: החזר גבוה יותר על ההשקעה. חשבונות SaaS לרוב מוגנים פחות ממערכות מסורתיות בגלל כניסה יחידה (SSO). בנוסף, הן מארחות לעתים קרובות נתונים רגישים, כולל מיילים, רשומות פיננסיות, פרטי לקוחות ופרטי תצורת רשת. לכן חשוב הצורך בפרקטיקות ניהול זהויות חזקות וניטור מתמשך".

מתקפות כופרה כשירות, RaaS, נכתב, "מוסיפות מורכבות ומהירות למתקפות סייבר. סוג זה של מתקפות שלט בנוף האיומים, כאשר קבוצות כמו Qilin, RansomHub ו-Lynx הופיעו כולן כמה פעמים. זיהוי מתקפות כופרה לפני שלב ההצפנה נותר אתגר משמעותי, במיוחד כאשר יש שותפים שונים המשתמשים בטכניקות שונות לכניסה ראשונית ולשלבים מוקדמים יותר של ההתקפה. כך, ניתוח שערכנו על עכביש מפוזר, Scattered Spider, מדגיש את האתגר של הקשחת ההגנות נגד טכניקות כה שונות".

עוד מגמה היא ניצול פגיעויות שנמשך – למרות התיקונים הזמינים. "זיהינו כנופיות כופרה המנצלות פגיעויות וחשיפות נפוצות ידועות (CVEs), כולל השימוש של קבוצת הכופרה מדוזה בפגיעויות בחודש מרץ – למרות שהתיקונים היו זמינים בינואר".

"לצד איומים חדשים ומתפתחים, כלים שנצפו בעבר ופחות מתוחכמים, כגון תולעים, סוסים טרויאניים לגישה מרחוק (RATs) וגונבי מידע – המשיכו להופיע ולפגוע", נכתב.

"ככל שאיומי הסייבר מתפתחים, התוקפים רותמים יותר ויותר בינה מלאכותית כדי ליצור התקפות דוא"ל משכנעות ביותר, ולהפוך קמפיינים של דיוג לאוטומטיים בקנה מידה ובמהירות חסרי תקדים. זה, יחד עם ניצול מהיר של נקודות תורפה והתחכום ההולך וגובר של כנופיות כופרות, הפועלות כארגוני פשע לכל דבר, הופך את נוף האיומים של ימינו לדינמי ומסוכן יותר מאי פעם", סיכמו, "מגני סייבר משתפים פעולה כדי להילחם באיומים אלה – אבל חלקם ימשיכו לצוץ. כלי אבטחה מסורתיים המסתמכים על כללים סטטיים או זיהוי מבוסס חתימה מתקשים לעמוד בקצב האיומים המהירים הללו. לכן, כלי זיהוי מבוססי אנומליה אינם עוד אופציונליים – הם חיוניים. השקעה בזיהוי מבוסס אנומליה היא קריטית כדי להקדים את התוקפים שפועלים כעת עם אוטומציה, מודיעין ותיאום גלובלי".