נוזקה כ-שירות: מלכת האיומים על ארגונים

מתקפות שכללו שימוש בנוזקות כשירות, MaaS (ר"ת Malware-as-a-Service), היוו את האיום הגדול ביותר על ארגונים במחצית השנייה של 2023, כך לפי דו"ח חדש של דארקטרייס (Darktrace).

לפי מחברי הדו"ח, "השימוש בנוזקה כשירות צמח, כי כך ניתן לנצל את יכולות החדירה וההרס של הנוזקות באופנים רבים, למשל באמצעות סוסים טרויאניים הפועלים בגישה מרחוק (RAT), או בשילוב עם נוזקות שגונבות מידע, גם לטובת ריגול". 

חוקרי החברה ערכו לנוזקות ניתוח וזיהוי באמצעות הנדסה הפוכה, וציינו כי "זני הנוזקות מפותחים על ידי הרעים בהדרגה, עם שתי פונקציות לכל הפחות, כך שניתן להפעיל את יכולות הנזק שלהן במקביל, עם יותר כלי פריצה הקיימים בשוק". לדבריהם, "כלים זדוניים אלה מסוכנים במיוחד לארגונים, בשל יכולתם לאסוף נתונים ותעודות – בלא לסנן קבצים, מה שמקשה על הזיהוי שלהם".

החוקרים ציינו גם כי דוגמה בולטת למגמה החדשה היא ViperSoftX, נוזקה לגניבת מידע מרחוק, המתמקדת במטבעות קריפטוגרפיים. ViperSoftX זוהתה בראשונה ב-2020, אך זנים חדשים שלה, שזוהו ב-2022 ו-2023 – כוללים טכניקות ויכולות התחמקות מזיהוי – מתוחכמות יותר. דוגמה נוספת, ציינו, היא הכופרה Black Basta.

גם היא מוצעת כשירות (RaaS). כופרה. צילום: אילוסטרציה. ShutterStock

כופרה כשירות ונוזקה כשירות – ימשיכו לצמוח ב-2024 

כלי הנוזקה כשירות, MaaS הנפוצים ביותר – לפי החוקרים, הם: כלים המעמיסים נוזקות – 77%, נוזקות לכריית קריפטו – 52%, רשתות בוט 39%, נוזקות לגניבת מידע 36%, ורשתות בוט הפועלות במסווה מרוחק (Proxy botnets) – עם נתון של 15%.

לפי החוקרים, "פירוק קבוצת הכופרות Hive על ידי רשויות אכיפת החוק בינואר 2023 הוביל להתרבות מוגברת של שוק הכופרות, ביניהן, ScamClub, שחקן איום פוגעני בעולם הפרסום, שמפיץ התרעות מזויפות על וירוסים לאתרי חדשות בולטים, ו-AsyncRAT, שניסתה לתקוף עובדים בארגוני  תשתית בארה"ב בחודשים האחרונים".

לפי דארקטרייס, "שחקנים נוספים של כופרות ישתמשו בטקטיקות סחיטה כפולה ומשולשת השנה, תוך ניצול הזמינות הגוברת של נוזקות רב-תפקודיות".

החברה צופה כי "הפעילות של ההאקרים בעולמות הכופרה כשירות והנוזקה כשירות ימשיכו לצמוח ב-2024, מה שיוריד עוד יותר את מחסום הכניסה של פושעי סייבר לתחום".

עוד צויין בדו"ח כי "התוקפים החלו להשתמש בבינה מלאכותית במסעות הדיוג שלהם: צפינו בשחקני איומים משתמשים בגישות חדשניות, נוספות, כדי לעקוף את ההגנות של ארגונים".

"הגישות הללו", ציינו, "כללו מתקפות דוא"ל יעילות יותר ויותר, כמו פישינג". כך, לדוגמה, 65% מהודעות הדיוג שנצפו על ידי החוקרים בשנה שעברה, עקפו בהצלחה את בדיקות האימות מבוססות דומיין (DMARC), ו-58% מההודעות הללו עברו דרך כל שכבות האבטחה הקיימות בארגונים שהותקפו.

"תוקפים רבים ממנפים כלי בינה מלאכותית יוצרת כדי ליצור מסעות דיוג משכנעים יותר, וגם כדי להפוך את הפעילות ההתקפית הזו לאוטומטית", נכתב.

האנה מארי דארלי, מנהלת מחקר האיומים ב-דארקטרייס, סיכמה באומרה כי "לאורך 2023, ראינו התפתחות והתפתחות משמעותית של איומי נוזקות וכופרות, כמו גם צפינו בשינוי של הטקטיקות והטכניקות של התוקפים. זה נובע מחדשנות בתעשיית הטק בכללותה, כולל העלייה בשימוש בבינה מלאכותית יוצרת. ברקע כל זה, הרוחב, ההיקף והמורכבות של האיומים העומדים בפני ארגונים – גדלו באופן משמעותי".