איך פועלות "משפחות הפשע" של כופרות?

בין שלל האיומים בסייבר, מתקפה אוטומטית ופעילה היא הגישה הנפוצה ביותר בקרב הכופרות המובילות, כך עולה ממחקר חדש של סופוס.

ענקית אבטחת הסייבר פרסמה מדריך אבטחה המסביר כיצד גרסאות שונות של כופרות תוקפות ופוגעות בקורבנות. המדריך מציג ניתוח מפורט של 11 המשפחות התוקפניות והנפוצות ביותר של כופרות, כולל Ryuk, BitPaymer ו-MegaCortex.

את המחקר ערכו חוקרי SophosLabs, והוא מציג כיצד כופרות מנסות לחלוף על פני בקרי האבטחה בלא שיבחינו בהן, כשהן מנצלות תהליכי מחשוב לגיטימיים ואמינים. לאחר מכן הן רותמות מערכות פנימיות כדי להצפין במהירות את מרב הקבצים ולנטרל תהליכים של גיבוי ואחזור, בטרם צוות האבטחה מספיק להגיב.

לגבי דרכי ההפצה של משפחות הכופרות המרכזיות, המחקר מעלה כי הן מופצות בדרך כלל בשלוש דרכים. הראשונה, כ-cryptoworm, אשר משכפל את עצמו במהירות למחשבים אחרים, לצורך יצירת מתקפה נרחבת ככל הניתן, כגון WannaCry; כ-כופרה כשירות (RaaS), הנמכרת ברשת האפלה כערכה להפצת נוזקה, כגון Sodinokibi; או באמצעות התקפות אוטומטיות פעילות (automated active adversary attack), במסגרתן תוקפים מפעילים באופן ידני את הכופרות, לאחר שביצעו סריקה אוטומטית של רשתות כדי לאתר מערכות עם הגנה חלשה. סוג זה של מתקפות, הוא הנפוץ ביותר בקרב המשפחות המובילות של הכופרות.

עוד טכניקות נמצאו ופורטו בדו"ח

טכניקה נוספת המצויינת בדו"ח היא כופרה עם חתימה קריפטוגרפית של תעודה דיגיטלית לגיטימית, שנרכשה או נגנבה. תעודה זו מסייעת לשכנע חלק מתוכנות האבטחה כי הקוד הוא אמין ואינו דורש ניתוח.

עוד מוזכרת טכניקה של הסלמה של הרשאות, באמצעות כלי פריצה מוכנים, כגון EternalBlue. הדבר מאפשר לתוקף להתקין תוכנות שליטה מרחוק (RTA) על מנת לצפות, לשנות או למחוק נתונים, ליצור חשבונות חדשים עם הרשאות מלאות, ולנטרל תוכנות אבטחה.

טכניקה נוספת המצויינת בדו"ח היא תנועה רוחבית וצייד ברשת אחר קבצים או שרתי גיבוי. הפעולה נעשית מתחת לרדאר, במטרה לייצר את אפקט הפגיעה הרחב ביותר במהלך מתקפת הכופרה. בתוך שעה, תוקפים יכולים ליצור קוד שיעתיק ויפעיל את הכופרה בנקודות הקצה ובשרתים, וכדי להאיץ עוד יותר את המתקפה, הכופרות יכולות לבצע תעדוף של נתונים הנמצאים בכוננים משותפים או מרוחקים, לתת עדיפות לקבצים קטנים, ולהריץ כמה תהליכי הצפנה במקביל.

עוד מציינים החוקרים את טכניקת המתקפות מרחוק. לעיתים קרובות שרתי הקבצים בעצמם אינם נפגעים מהכופרות. במקום זאת, האיום מופעל בדרך כלל על נקודת קצה אחת, או יותר, שנפרצו, ומשם הוא מנצל הרשאות משתמש בכדי לבצע תקיפה מרחוק. לעיתים הדבר מבוצע באמצעות פרוטוקול RDP  (ר"ת Remote Desktop Protocol) ולעיתים באמצעות תקיפה של פתרונות RMM, המשמשים ספקיות שירותים (MSP) כדי לנהל את תשתיות ה-IT של לקוחות ומשתמשי קצה.

הטכניקה האחרונה, לפי חוקרי סופוס, היא הצפנת ושינוי שם קבצים. ישנן כמה שיטות שונות להצפנת קבצים, כולל שימוש בכתיבה מחדש על גבי מסמך. אבל רוב המתקפות משלבות גם מחיקה של קובץ המקור ועותק הגיבוי, כדי לפגוע בניסיונות האחזור.

המדריך מסביר כיצד אלה, וכלים וטכניקות נוספים, משמשים את 11 משפחות הכופרות: WannaCry, GrandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix ו-Sodinokibi.

 "ליוצרים של הכופרות יש הבנה טובה מאוד לגבי הדרך בה תוכנות אבטחה פועלות, והם משנים את המתקפות שלהם בהתאם", אמר מארק לומן, מנהל הנדסת מזעור איומים בסופוס, ומחבר הדו"ח.

לומן המשיך והסביר כי "כל המאמצים נועדים כדי להימנע מזיהוי בעת שהנוזקה מצפינה קבצים רבים ככל הניתן. בכך האפשרות לאחזור נתונים הופכת לקשה, אם לא מבוטלת לחלוטין. במקרים מסוימים, החלק המרכזי של ההתקפה מתרחש בלילה, כאשר צוות ה-IT ישן בביתו. עד שהקורבן מזהה מה מתרחש, כבר מאוחר מדי. לכן, חיוני להחזיק בקרי אבטחה חזקים, ויכולות ניטור ותגובה, עבור כל נקודות הקצה, הרשתות והמערכות, ולהתקין עדכוני תוכנה בכל עת בה הם מופיעים".