מחקר: יותר כופרות מופנות נגד ארגונים

מגמה צומחת ומטרידה: יותר ויותר האקרים מפנים את מתקפות הכופרות שלהם ממשתמשים פרטיים למתקפות ממוקדות נגד עסקים, כך עולה ממחקר חדש של קספרסקי (Kspersky Lab).

החוקרים זיהו לפחות שמונה קבוצות של עברייני סייבר המעורבות בפיתוח ובהפצה של כופרות מצפינות, שמטרתן העיקרית היא פגיעה בארגונים פיננסים ברחבי העולם. החוקרים נתקלו במקרים בהם דרישת התשלום לכופר הגיעה ליותר מחצי מיליון דולרים.

שמונה הקבוצות שזוהו כוללות את כותבי PetrWrap, אשר תקפו ארגונים פיננסים ברחבי העולם, קבוצת Mamba
שפרצה למערכת ה-IT של הרכבת העירונית של סן פרנסיסקו, ה-SFMTA (ר"ת San Francisco Municipal Transportation Agency), שהפכה בנובמבר האחרון את הנסיעות לחופשיות לאחר שהשיגו שליטה על מערכות הנסיעה הממוחשבות, באמצעות מתקפת כופרה, ושש קבוצות נוספות שאינן מוכרות וגם הן תוקפות משתמשים ארגוניים.

צילום: יח"צ

שש הקבוצות האלו היו מעורבות בעבר בעיקר בהתקפות על משתמשים פרטיים באמצעות מודלים של תוכנית אפילייט (שותפים). כעת, מיקדו מחדש התוקפים את המאמצים שלהם ברשתות ארגוניות.

על פי חוקרי קספרסקי הסיבה למגמה היא ברורה – ההאקרים רואים במתקפות כופר ממוקדות כנגד עסקים אפיק רווחי יותר מאשר התקפות המוניות כנגד משתמשים פרטיים. מתקפת כופרה מוצלחת כנגד חברה יכולה בקלות לעצור את הפעילות העסקית לשעות או אפילו ימים, עם סבירות גבוהה לכך שהארגון ישלם את הכופר.

על פי החוקרים, הטקטיקות, הטכניקות והתהליכים המשמשים את הקבוצות האלו די דומים: ההאקרים מדביקים את הארגון המותקף בנוזקה דרך שרתים פרוצים, או דרך הודעות פישינג ממוקדות. לאחר מכן הם מתבצרים ברשת הקורבן ומזהים את המשאבים החיוניים להצפנה. אז הם דורשים כופר בתמורה לפיענוח הצפנה.

צילום: יח"צ

לקבוצות יש מאפיינים דומים: לדוגמה, קבוצת Mamba משתמשת בקוד זדוני מצפין מייצור עצמי, המבוסס על תוכנת הקוד הפתוח DiskCryptor. ברגע שהתוקף משיג דריסת רגל ברשת, הוא מתקין את המצפין לרוחב הרשת תוך שימוש בכלים חוקיים לשליטה מרחוק. גישה זו הופכת את הפעולות לפחות חשודות בעיני אנשי האבטחה בארגון המותקף.

חוקרי קספרסקי נתקלו במקרים בהם הכופר הגיע לסך של ביטקוין (כ-1,000 דולר, נכון לסוף מרץ) לשחרור כל נקודת קצה שהוצפנה.

קבוצת PetrWrap תוקפת בעיקר חברות גדולות, שיש להן רכיבים רבים ברשת. העבריינים בוחרים בקפידה את המטרות למתקפות שפעילות לאורך זמן רב: כך, PetrWrap הייתה פעילה ברשת מסוימת למשך חצי שנה.

"האיום של מתקפות כופרה ממוקדות על עסקים נמצא בצמיחה, כשהוא מייצר הפסדים כספיים ממשיים. המגמה מטרידה כיוון שההאקרים יוצאים למסע ציד אחר קורבנות חדשים ורווחיים יותר. קיימות מטרות אפשריות רבות לתוכנות הכופר שיביאו לתוצאות הרסניות אף יותר", אמר אנטון איבנוב, חוקר אבטחה בכיר לתחום, קספרסקי.