מחקר: כך פושעי הסייבר מנסים להתחמק מגילוי

לפי הדו''ח של פורטינט, מתקפות הכופרה עוברות ממתקפות מפוזרות – לכאלו המתמקדות בארגונים בעלי היכולת לשלם את דמי הכופר

עופר ישראלי, מנהל פעילות פורטינט ישראל. צילום: יח"צ

פושעי הסייבר ממשיכים לחפש אחר הזדמנויות התקפה חדשות, לאורך כל שטח התקיפה הדיגיטלי. הם ממנפים טכניקות התחמקות ומניעת ניתוח פעולותיהם, בעודם הופכים למתוחכמים יותר בניסיונות התקיפה שלהם; כך עולה מדו"ח האיומים הרבעוני של מעבדות פורטיגארד, גוף המחקר הגלובלי של פורטינט.

מהדו"ח עולה כי ההאקרים פועלים כל העת כדי להפוך את טכניקות ההתחמקות למתוחכמות יותר וקשות יותר לאיתור. למשל, חוקרי פורטינט גילו באחרונה קמפיין ספאם שמשתמש במייל פישינג עם מסמך אקסל מצורף, שמריץ סדרת הוראות זדוניות לאחר פתיחת הקובץ. מתקפה זו נועדה להשבית כלי אבטחה, להוציא לפועל פקודות בצורה שרירותית, לגרום לבעיות זיכרון ולוודא שהיא פועלת רק על מערכות מארץ הלאום של המותקפים, במקרה זה, יפניות.

דוגמה נוספת היא גרסה של הסוס הטרויאני הבנקאי Dridex, שמשנה את שמות הקבצים ומבלגנת אותם בכל פעם שהמשתמש מתחבר ובכך הופכת את גילוי הנוזקה למורכב ביותר על מערכות מארחות נגועות.

מתקפות ארוכות טווח – מתחת לרדאר

לפי הדו"ח, ישנן מתקפות מתחת לרדאר המכוונות לטווח ארוך. כך, נוזקת Zegost, האוספת מידע וגונבת אותו, היא הבסיס לקמפיין פישינג ממוקד. אך בשונה מנוזקות אחרות, Zegost בנויה בתצורה מיוחדת, שמטרתה להחביא אותה מעיני כל, כשיש לה את היכולת לנקות יומני אירועים (לוגים). כמו כן, לנוזקה הייתה פקודה ששמרה את תכונת איסוף המידע במצב של קיפאון עד ל-14 בפברואר 2019, והחלה בפעולתה לאחר תאריך זה. ההאקרים שמאחורי הנוזקה מנצלים מאגר של נקודות תורפה כדי לוודא שהם מבססים ומשמרים את הקשר לקורבנות המיועדים שלהם, ובכך שותלים איום לטווח ארוך בהשוואה לנוזקות דומות אחרות. 

הכופרות, כך נכתב, עוברות למתקפות ממוקדות יותר: התקפות על ערים ברחבי העולם, ממשלות מקומיות ומערכות חינוך משמשות כתזכורת כי הכופרות לא נעלמות, אלא ממשיכות להוות איום משמעותי עבור ארגונים רבים – גם כיום. הן מתרחקות משיטות של התקפות מפוזרות בנפח גבוה, ועוברות למתקפות שמתמקדות בארגונים בעלי היכולת, או התמריץ, לשלם דמי כופר. במקרים מסוימים, ההאקרים עורכים סיורים נרחבים אצל יעד התקיפה שלהם, לפני פריסת הכופרה על מערכות שנבחרו בקפידה. זאת, במטרה למקסם את הזדמנויות הרווח שלהם.

כך, הכופרה RobbinHood תוכננה לתקוף את תשתית הרשת הארגונית והיא מסוגלת לנטרל את שירותי Windows שמונעים הצפנת נתונים, ולנתקם מכוננים משותפים. כך, כופרה חדשה בשם Sodinokibi – פונקציונלית, היא לא שונה מאוד מרוב הכופרות, אך וקטור התקיפה שלה מטריד. הוא מנצל נקודת תורפה חדשה יותר, המאפשרת הוצאה לפועל של קוד בצורה שרירותית, בלא הצורך באינטראקציה של המשתמש. זאת בשונה מכופרות אחרות, שנשלחות דרך מיילים של פישינג.

כופרה. אילוסטרציה: BigStock

כופרה. אילוסטרציה: BigStock

הזדמנויות תקיפה חדשות

משטח התקיפה הדיגיטלי, מציינים החוקרים, ממשיך להתרחב: הוא מתחיל במדפסת הביתית ומגיע עד לתשתיות הקריטיות. בעבר, מערכות חכמות ביתיות, או המיועדות לעסקים קטנים, משכו תשומת לב פחותה יותר אצל ההאקרים – לעומת המערכות התעשייתיות. כיום, המצב משתנה, בשל פעילות מוגברת המתמקדת במכשירי בקרה של מערכות סביבתיות, מצלמות אבטחה ומערכות בטיחות. חתימה הקשורה לפתרונות ניהול הבניין נמצאה פעילה ב-1% מהארגונים, וזהו עוד נתון גבוה יותר מאשר יש ברוב מערכות בקרה תעשייתיות, ICS, או SCADA.

לדברי עופר ישראלי, מנהל פעילות פורטינט ישראל, "הגנת הארגון מפני התקפות של פושעי הסייבר דורשת אבטחה מקיפה, משולבת ואוטומטית. מודיעין איומים דינמי, יזום וזמין בזמן אמת, יכול לסייע לזהות מגמות המצביעות על התפתחות שיטות המתקפה שמתמקדות בשטח התקיפה הדיגיטלי. כך ניתן לתת דגש לעדיפות של היגיינת הסייבר בארגון. הערך והיכולת לנקוט בפעולה בעקבות מודיעין איומים יקטנו משמעותית אם הם לא יהיו בני פעולה בזמן אמת בכל התקן אבטחה. נדרשת הגנה עבור סביבת הרשת כולה, החל מה-IoT, דרך הקצה וליבת הרשת וכלה בסביבה מרובת עננים. צוותי ה-IT צריכים לתעדף את יסודות האבטחה הבסיסיים כדי למצב את הארגונים בעמדה טובה יותר לנהל ולמנוע סיכוני סייבר".

 

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. רובי

    הרגע כתבתי את תגובותי. ואני נדהם אך יש לכם חוצפה.לשלוח הודעה שאני כבר כתבתי את זה. גילוי נאות. מעולם לא הגבתי ומעולם לא נגעתי בנושא זה או כול מה שקשור לתחום העיסוק של פשעי סייבר .אתם פוחדים לספר לכולם את האווירה המיוחדת שקיימות בשוק החופשי של מידע על הכול פרוץ בתוך מעגל קסמים של הרשתות הגדולות והכול זמין ולא מוגן

  2. רובי

    אתם לא נעים בכיוון הנכון וכול מה שהרגע הם נותנים לכם בתמצית את צורת החשיבה והפעילות שלהם. האקרים בשיטות מסורתיות מרדימים את המוח של אנשי המקצוע בתחום אבטחת מידע ורשתות תקשורת. ובו זמנית הם משתלבים היטב במערכות הפעלה ומוצרי אבטחה זאת התקדמות משמעותית בפעילות של פשעי מחשב או סייבר . מעולם לא הגבתי .

אירועים קרובים