מחקר: ההאקרים מגדילים פעילות – לא רק בגלל הקורונה

ההאקרים מנצלים את מגיפת הקורונה העולמית לטובתם, אבל ממשיכים "לתת גז" גם במתקפות שאינן קשורות לנגיף. מתקפות כופרה, וכאלה שמתמקדות בהתקני אינטרנט של הדברים ובטכנולוגיה תפעולית (OT) – כל אלה כלל לא פחתו, נהפוך הוא: הן התפתחו והפכו לממוקדות ומתוחכמות יותר במחצית הראשונה של השנה – כך על פי מחקר חדש של פורטינט.

דו"ח מפת האיומים הגלובלי החצי שנתי של מעבדות FortiGuard, גוף המחקר של החברה, מראה אמנם כי הקורונה הביאה לשינוי דרמטי, שבמסגרתו פושעי סייבר ושלוחי מדינות זרות ממנפים את המגיפה כהזדמנות להשיק מתקפות סייבר רבות ומגוונות ברחבי העולם, אולם הפצחנים לא התמקדו בה בהכרח. "ההסתגלות של התוקפים למצב החדש אפשרה גלי מתקפות המתמקדים בפחד ובחוסר הוודאות שנובעים מאירועי החודשים האחרונים, יחד עם הריבוי הפתאומי של עובדים מרוחקים, שנמצאים מחוץ לרשת הארגונית. כל אלה הרחיבו במהירות את שטח התקיפה הדיגיטלי", מסרו.

על פי החוקרים, "התוקפים כבר השתמשו בעבר בשיטות כמו הנדסה חברתית, אך במחצית הראשונה של 2020 הם עברו לשלב הבא. החל מהאקרים המעדיפים מתקפות פישינג מזדמנות ועד לפעילות עוינת של מדינות, פושעי הסייבר מצאו דרכים רבות לנצל את המגפה הגלובלית למטרתם האישית בקנה מידה גדול. הם עושים זאת במתקפות פישינג, התחזות דרך המייל העסקי, מתקפות מגובות מדינות ומתקפות כופרה. הפושעים מקסמו את טבעה הגלובלי של המגפה במשטח התקיפה הדיגיטלי, שהתרחב בן לילה".

עוד נכתב בדו"ח כי "העלייה העצומה במספר העובדים מרחוק יצרה היפוך דרמטי של הרשתות הארגוניות כמעט בן לילה, ופושעי הסייבר מיד החלו למנף את ההזדמנות הזאת. במחצית הראשונה של 2020, ניסיונות פגיעה בנתבים של צרכנים פרטיים והתקני IoT היו בראש הרשימה עבור מנועי IPS (מערכות למניעת חדירות). בנוסף, הבוטנטים Mirai ו-Gh0st היו השכיחים ביותר, והשתמשו בהם תוקפים שמתמקדים בנקודות תורפה ישנות וחדשות בהתקני IoT. פושעי הסייבר מחפשים להשיג טביעת רגל ברשת הארגונית באמצעות ניצול התקנים שבשימוש העובדים המרוחקים".

יעד פופולרי נוסף: הדפדפנים

חוקרי פורטינט ציינו כי המעבר לעבודה מרחוק היווה הזדמנות חסרת תקדים להאקרים להתמקד בעובדים מהבית, משום שרובם לא חושדים בדבר. "למשל", פירטו, "נוזקות המבוססות על אתרי אינטרנט שימשו במהלך מחצית השנה הראשונה למתקפות פישינג והונאות אחרות הרבה יותר ממתקפות מסורתיות אחרות המבוססות על דואר אלקטרוני. אוסף נוזקות שכוללות את כל הגרסאות של פיתיונות והונאות פישינג המבוססות על אתרי אינטרנט דורג במיקום הגבוה ביותר בינואר ופברואר 2020 ולא היה כלול בחמישייה הראשונה ביוני. זה מדגיש את הניסיון של ההאקרים למקד את המתקפות שלהם בזמן שבו היעד שלהם הכי פגיע – כשהוא גולש באינטרנט בביתו".

הם הדגישו כי "דפדפני אינטרנט, ולא רק התקנים, מהווים גם הם יעדים מרכזיים עבור פושעי הסייבר, כיום יותר מתמיד".

באילו תעשיות התמקדו הכופרות?

מתקפות הכופרה לא התמעטו, ואף עלו, בששת החודשים הראשונים של 2020, ציינו חוקרי פורטינט. "הודעות וקבצים מצורפים הקשורים לקורונה שימשו כדי לפתות את הקורבנות במספר מתקפות כופרה. כופרות אחרות התגלו כשהן משכתבות את האתחול בדיסק המקומי, המכיל את רצף הפקודות הנחוצות לאתחול מערכת (MBR) – לפני שהן מצפינות את הנתונים".

"כמו כן, חלה עלייה במתקפות כופרה שבהן התוקפים לא רק נעלו את הנתונים הארגוניים של הקורבן, אלא גם גנבו אותם והשתמשו באיום של הפצה רחבה שלהם כמינוף נוסף לסחיטת תשלום הכופר. באופן גלובלי, אין תעשייה שניצלה ממתקפות כופרה", כתבו החוקרים.

חמש התעשיות המותקפות ביותר בכופרות הן טלקום, ספקי שירותי אבטחה מנוהלים (MSSP) , חינוך, ממשל וטכנולוגיה. "העלייה של תוכנות הכופר הנמכרות כשירות (RaaS) וההתפתחות של גרסאות שונות מצביעות על כך שהן לא הולכות לשום מקום", הוסיפו.

החוקרים ציינו כי "ביוני השנה חל עשור להופעת סטוקסנט (התולעת שפגעה במתקני הגרעין בנתאנז שבאיראן, ויוחסה לישראל – י"ה). כיום, רשתות הטכנולוגיה התפעולית עדיין מהוות יעד עבור פושעי הסייבר. הכופרה Ekans מראה שהתוקפים ממשיכים להתקיף בכופרות שכוללות גם את הסביבות הללו. מסגרת העבודה לריגול Ramsay תוכננה לאסוף ולחלץ קבצים רגישים ברשתות מבוססות Air-gap או ברשתות מוגבלות מאוד. אמנם, שכיחות האיומים המתמקדים במערכות פיקוח, שליטה ואיסוף נתונים (SCADA) ובסוגים אחרים של מערכות בקרה תעשייתיות (ICS) נמוכה יותר מבחינת נפח מאשר איומים שמשפיעים על ה-IT, אך דבר זה לא מפחית את חשיבות המגמה".

עופר ישראלי, מנהל פעילות פורטינט ישראל, אמר כי "עם העלייה בקישוריות, במספר ההתקנים ובצורך המתמשך בעבודה מרחוק, שטח התקיפה הדיגיטלי ממשיך להתרחב. כשהרשת הארגונית מתרחבת לבתים הפרטיים של העובדים, התוקפים מחפשים אחר החוליה החלשה ביותר ואחר הזדמנויות תקיפה חדשות. ארגונים צריכים להתכונן על ידי נקיטת צעדים ממשיים כדי להגן על המשתמשים, ההתקנים והמידע שלהם, בדרכים דומות לאלה שבהן הם מגינים על הרשת הארגונית".