קיצור משך התקיפה של הכופרה Ryuk מציב אתגר לארגון המגן

נכון למועד פרסום שורות אלה, Ryuk היא הכופרה הבולטת ביותר במרחב הסייבר. הפוגען הופיע באוגוסט 2018, ומאז הצליח לצבור מוניטין ככופרה בעלת נתח השוק הנרחב ביותר. קבוצת התקיפה שמאחורי Ryuk הרוויחה כ-150 מיליון דולר, מהם כ-61 מיליון בארצות הברית בלבד. הקבוצה תוקפת בעיקר חברות גדולות, עקב ההבנה שהחזר ההשקעה בהן גבוה. בחודשים האחרונים, כמה תקיפות של Ryuk הצליחו להצפין את רשת היעד בתוך כמה שעות בלבד מרגע תחילת ההתקפה – פעילות שעד אז ארכה לפחות יממה.

מניעת מתקפת כופרה לאחר שהצליחה לחדור חלק משכבות ההגנה של הארגון היא אתגר משמעותי. עקב ההשלכות המיידיות של סוג תקיפה זה, למערכי המניעה, ההכלה וההתאוששות יש חשיבות מכרעת. יחד עם זאת, יכולת הגילוי, שהיא גם ככה נמוכה, הופכת כמעט ללא רלוונטית כשמשך התקיפה עומד על כמה שעות בלבד.

כמה דוגמאות

ב-8 באוקטובר, האקרים שתקפו באמצעות כופרת Ryuk הצליחו, בתוך 29 שעות בלבד, לממש הצפנה רחבה ברשת של אחד מיעדיהם. בפרק זמן זה הם ביצעו מתקפת פישינג נגד עובד חברה, השיגו אחיזה ראשונית באמצעות הפוגען Bazar Loader, השיגו הרשאות גבוהות וביצעו הצפנה רחבה של הרשת. זמן קצר לאחר מכן, חברי הקבוצה הצליחו לקצר עוד יותר את משך התקיפה, באמצעות ניצול חולשה ב-Windows, המכונה זירו-לוגון, לזמן שיא של חמש שעות בלבד. פגיעות זו, המדורגת בדירוג המקסימלי 10 באתר של ניסט לדירוג חולשות, מאפשרת לתוקף לא מאושר ברשת הארגונית לפנות לשרת ראשי בארגון, באמצעות פרוטוקול MS-NRPC, ולקבל הרשאות אדמין.

ב-5 בנובמבר, תקיפה נוספת של אנשי Ryuk נמשכה כבר כשעתיים בלבד. מתווה התקיפה באותה הפעם היה משולב, וכלל הפעלה של הפוגען Bazar Loader לצד ניצול חולשת זירו-לוגון. התוקפים נעו רוחבית בשרת, תוך ניצול כלים קיימים של Windows, דוגמת תוכנת AdFind ושימוש בפרוטוקולים SMB ו-RDP של הרצת שירותים מרחוק. לאחר השגת הרשאות אדמין, ההאקרים הרחיבו את האחיזה ברשת הארגונית. כך, הם השיגו נגישות גם לשרתי הגיבוי, שרתי הקבצים ושרתי הפצת התוכנה. לטובת הרצת הכופרה בכל רחבי הרשת הארגונית, התוקפים הקימו חיבורים מרחוק בין השרתים והדומיינים.

צילום אילוסטרציה: BigStock

למה המתקפה הייתה כל כך קצרה?

מדוע, אם כך, משך התקיפה צומצם בצורה כה ניכרת, עד לכמה שעות בודדות? ברצוננו להציע מספר הסברים לתופעה, אולם אין ביכולתנו להכריע ביניהם:

• האצה מכוונת ונקודתית של שלבי התקיפה, הן נוכח החשיפה הצפויה של חולשת זירו-לוגון, ובעקבותיה נקיטת צעדים רוחבית על ידי ארגונים רבים במשק, והן מתוך רצון לצמצם למינימום ההכרחי את הזמן שיש לארגון להגיב לתקיפה (ובכך להדוף אותה ולמנוע את היכולת של קבוצת ההאקרים לקבל כסף מהארגון).
• תחילת מגמה מצד מערכי הכופרות המרכזיים במרחב הסייבר. למשל, תקיפה דומה, שנמשכה כשעה בלבד, על ידי פוגען NetWalker באוגוסט האחרון – ייתכן בעקבות שדרוג משמעותי של מערכי התקיפה.
• צירוף מקרים נסיבתי של ניצול הצלחה מרבי, על רקע מערכי אבטחה חלשים של היעדים.

כיצד ניתן להתגונן טוב יותר נגד Ryuk?

יש כמה צעדים שניתן לעשות על מנת לחזק את ההגנה הארגונית מפני הכופרה:

• לוודא התקנת עדכונים לכלל מערכות ההפעלה והחומרה בארגון, בהתאם להמלצות היצרנים ופרסומי גופי המחקר הרלוונטיים.
• לוודא ששרתי ניהול הדומיין לא נגישים מרשת האינטרנט בכלל, ובפרט בפורטים 135 או 445. אם מסיבות עסקיות נדרשת גישה מסוג זה, מומלץ לבצעה באמצעות פתרונות מאובטחים של גישה מרחוק.
• לחסום תקשורת SMB (פורטים 135 ו-445) בין תחנות הקצה לבין עצמן.
• להקפיד על סגמנטציה, על בסיס שלוש סביבות שונות, תוך מניעת תקשורת RDP ביניהן: תחנות קצה, שרתים ושרתי אותנטיקציה.
• לבסס תוכנית להגברת מודעות העובדים בארגון על בסיס תרחישי תקיפה עדכניים (ע"ע מתווי הפישינג של Ryuk).

צעדים אלה יכולים להביא את הארגון למוכנות טובה יותר מפני Ryuk, ולמנוע נזקים כספיים ואחרים.

רמון הדר הוא יועץ אבטחת מידע באלביט, בעל ותק של כעשור כמנהל אבטחת מידע. אופיר איתן הוא מומחה למודיעין סייבר, כיום עובד במחלקת הסייבר של בנק ההשקעות של NatWest Group בארצות הברית.