הכופרות והקורונה: מה צופן העתיד הקרוב?

מתקפות הכופר ממשיכות להשתולל ועולות הרבה כסף לארגונים. רק השבוע פורסם כי אוניברסיטת קליפורניה שילמה יותר ממיליון דולר להאקרים שדרשו ממנה את הכסף תמורת שחרור המידע שתפסו במתקפה שכזו.

סדרת מאמרים זו עוסקת במתקפות הללו. בחלק הראשון שלה דנו בשאלות כיצד נראית מפת הכופרות והאם מדובר באיום מרכזי. את החלק הזה אנחנו מקדישים לשאלה: מדוע היגיינת סייבר והגורם האנושי ממשיכים לשמש כדאגות העיקריות בנושא של תוכנות כופר?

ובכן, האמת העצובה היא שניתן להימנע ממרבית המתקפות. אלא שארגונים מתקשים לעדכן את ההתקנים שלהם כראוי, בין היתר כי יש לבחון אותם וזה עלול לקחת זמן, במיוחד כאשר מדובר בסביבות גדולות ומורכבות. פעמים רבות, למשתמשים יש הרשאות גישה למערכות הארגוניות כדי להקל על העומס ועלויות הניהול והתמיכה של צוות ה-IT, אך עניין זה מקשה על ביצוע של עדכונים אוטומטיים. בסביבות מובייל גדולות, קשה לגרום למשתמשים להתקין עדכונים עקב אזורים גאוגרפיים שונים. ויש עוד בעיות.

עניין שנראה כבעיה אבל אינו כזה הוא המודעות. הבעיה נעוצה בהתנהגות האנושית, ומודעות ופעולה הם שני דברים שונים מאוד. בנוסף למתקפות רחבות, שמתמקדות בכולם ללא הבחנה, מיילים נכתבים כדי להתמקד בסוגים ספציפיים של אנשים בארגון, בין אם ישירות או באמצעות טכניקה חדשה של שתילת מתקפות פישינג לתוך התכתבות פעילה, כדי להגביר את הסבירות להפעיל אותה. מתקפה מסוג זה ידועה כספייר פישינג ואם המטרה שלה היא מנהל בכיר, היא נקראת ווייל פישינג (Whale Phishing). אך ללא קשר לאדם שמהווה את המטרה, כולם בארגון נמצאים במצב פגיע כשמתקבל מייל שעוצב בקפידה, ואף אחד לא שם לב שמדובר במשהו חשוד.

עם זאת, כשאנחנו מדברים על הגורם האנושי, אנחנו לא מצביעים רק על אנשים תמימים, בכירים יותר או פחות, שמקליקים על לינקים או פותחים מסמכים זדוניים. מדובר גם על האנשים האמונים על האבטחה, שלא מבינים את האיומים הללו וכיצד לעצור אותם. טכנולוגיות איומים מתפתחות בדרך מהירה הרבה יותר משאנחנו יכולים להכיל, להבין וליישם, והמחסור במומחי אבטחה מיומנים ממשיך להחריף.

מה צפוי לנו מבחינת תוכנות כופר בהמשך השנה?

במהלך השנה נראה עלייה במתקפות כופר ממוקדות, שעולות לעסקים יותר מבחינה תפעולית ורגולטורית. מתקפות של נוזקה ותוכנות כופר הפכו למשהו אחר לגמרי, היות שהן מתוכננות במיוחד כדי להתמקד במערכות פנימיות מסוימות. גורם נוסף שתורם לעלייה במתקפות על עסקים וארגונים הוא הזמינות של הכופרה כשירות (RaaS – Ransomware as a Service), שזהו השלב הבא בהתפתחות של תוכנות הכופר.

יש גם סיכוי, או יותר נכון סיכון, שנראה מתקפה המונית נוספת, דוגמת WannaCry, מאחר שיש הרבה יותר נקודות תורפה דמויות תולעת (Wormable), כמו BlueKeep ו-SMBv3, שמכונה SMBGhost. זה רק עניין של זמן.

אנחנו גם רואים שינוי שנגרם כתוצאה מהקורונה: ההאקרים ממנפים את ההזדמנות סביב המגיפה ומוכיחים שהתפתחותן של תוכנות הכופר לא קשורה רק למתקפות ממוקדות. סוג זה של מתקפות, בעלות כיוונים רבים, הוא דבר שיותר קשה להתגונן מפניו.

עוד בעיות אבטחה וסייבר שנגרמות עקב המשבר הנוכחי הן השינויים בפרויקטים רבים והדחיפות מבחינת הזמנים, שהיו כורח המציאות לאור הסגר ושאר ההנחיות שחויבנו כולנו לעמוד בהן נוכח התפשטות הנגיף. זה כולל מעבר לסביבות ענן, גישה מרחוק והסתמכות רבה יותר על יישומים מבוססי רשת. אנשי ה-IT עובדים בימי הקורונה תחת לחץ רב יותר מאשר בעבר. בנוסף לכך, תעשיות אחרות, כמו הבריאות, הייצור והתעבורה, נמצאות תחת לחץ גדול לשמור על פעילות הרשתות שלהן. התוקפים מבינים שהתעשיות הללו יעדיפו לשלם כופר מאשר להתמודד עם זמן האטה או השבתה של הפעולות שלהן.

בכל זה, יש את העבודה מרחוק: אם ניתן לפגוע במכשיר של העובד המרוחק, הוא יכול להפוך לצינור המוביל בחזרה אל ליבת הרשת הארגונית, ובכך מאפשר את ההפצה של הנוזקה לעובדים מרוחקים נוספים. השיבוש העסקי שמגיע כתוצאה מכך יכול להיות יעיל באותה המידה כמו מתקפת כופרה שמתמקדת במערכות רשת פנימיות, במטרה להשבית את העסק. כך, היות שמוקדי התמיכה פועלים כעת מרחוק, מכשירים שהודבקו בתוכנת כופר או בווירוס עלולים להשבית את העובדים למשך ימים, בזמן שהם נשלחים לתיקון.

פושעי הסייבר מבינים שאנחנו נמצאים בתקופה של שינויים מהירים וכי הם יכולים בחסותה לגרום לשיבושים חמורים בארגונים. בעודם ממהרים להבטיח המשכיות עסקיות, ארגונים לא לוקחים מספיק בחשבון נתונים כמו פרוטוקולי אבטחת מידע, והפושעים מחפשים אחר ההזדמנות לנצל את פערי האבטחה הלא מכוונים שנוצרו כתוצאה מכך.

בחלק הבא ניתן 20 עצות כיצד ניתן להתגונן ממתקפות כופר.

הכותבים הינם חוקרים ב-FortiGuard, מעבדות המחקר של פורטינט.