סופוס: מתקפות הכופרה כאן כדי להישאר – הן יצמחו ויהיו חמורות יותר

קיימים פערים הולכים וגדלים ביכולות ובמשאבים העומדים לרשות מפעילי הכופרות. בקצה הגבוה, המשפחות הגדולות של הכופרות ימשיכו להתפתח ולרענן את הטקטיקות, הטכניקות והתהליכים (TTPs) כדי להפוך לחמקניות יותר, ולפעול ברמת תחכום של מדינות, מול ארגונים גדולים ודרישות כופר של מיליוני דולרים. בצד השני, יחול השנה גידול במספר המתקפות ברמת הכניסה הנמוכה ביותר. מתקפות אלה מתבססות על כופרות להשכרה המופעלות באמצעות תפריטים; כך לפי התחזית ל-2021 של חוקרי סופוס (SophosLabs).

צ'סטר ווישנייבסקי, חוקר ראשי בסופוס. צילום: יח"צ

"המודל העסקי של הכופרות הוא דינמי ומורכב", אמר צ'סטר ווישנייבסקי, חוקר ראשי בסופוס. "ראינו גם משפחות כופרה שמשתפות כלים טובים מסוגם, ויוצרות 'קרטלים' שיתופיים'".

"איומים פשוטים, כגון נוזקה מסחרית, כולל טועני קוד (loaders) ובוטנטים, או ברוקרים אנושיים של גישה ראשונית, ידרשו תשומת לב משמעותית, ציינו החוקרים. "איומים ברמה נמוכה שכזאת עלולים להיתפש כרעש רקע, אבל הם תוכננו להשיג דריסת רגל ראשונית אצל המטרה, לאסוף נתונים חיוניים, ולשתף את הנתונים חזרה עם רשת הפיקוד והשליטה לקבלת הוראות נוספות. לאחר שההאקרים איתרו את המכונה בעלת הערך הגבוה, הם ימכרו גישה למטרות בעלות הערך הגבוה ביותר", ציינו. ווישנייבסקי סיכם כי "כל הדבקה עלולה להוביל להדבקה אחרת. צוותי אבטחה רבים יחשבו שחסמו את האיום, אולם ייתכן שהם לא מודעים לכך שההתקפה בוצעה נגד יותר ממכונה אחת, ותופעל בלילה או בסוף השבוע. התעלמות מהדבקות 'קטנות' עלולה להתברר כטעות משמעותית ויקרה מאוד".

עלייה במתקפות המייל בתקופת הקורונה. גרף: סופוס

גידול באיומים על רקע הפצת חיסוני הקורונה

"בתי חולים לא נראים היום כפי שנראו לפני עשור. אז זה היה מוסד אנלוגי. היום יש בו בין 15 ל-20 מכשירים מרושתים בכל חדר, מחיישנים למעקב אחר מדדים חיוניים, דרך משאבות אינפוזיה ועד למערכות בניין אוטומטיות. כדי לשפר את יכולת הטיפול בזרם החולים הגדל עקב התפשטות המגיפה, הוסיפו השנה בתי החולים מאות מכשירים מרושתים חדשים, חלקם בבתי חולים מאולתרים ובאתרי בדיקות, שתרמו גם הם את תרומתם לגידול בסך המכשירים והאנשים שעובדים על רשת בית החולים", כתבו חוקרי פורסקאוט (Forescout). "בדומה לנגיף המקנן בגוף חולי הקורונה, רבים מהמכשירים המתווספים לרשת מכילים חולשות במערכי ה-TCP/IP שלהם. מדובר ברכיבי תוכנה בסיסיים המשמשים לתקשורת, הנמצאים בכל מכשיר מרושת. בעוד שחולשה מסוימת במכשיר בודד תשפיע רק עליו, החולשות במערך TCP/IP עלולות להשפיע על מיליוני מכשירים של ספקים ויצרנים שונים".

פגיעת סייבר בשרשרת האספקה. חיסוני קורונה. צילום אילוסטרציה: BigStock

"השנה", מעריכים בפורסקאוט, "ינוצל אחד מהמכשירים האלה למתקפה על בתי חולים, מה שימנע מרופאים לספק טיפול מציל חיים או לגשת למידע רגיש של מטופל. אם ב-2020 זוהתה החולשה באחד מהרכיבים של מערך TCP/IP, בגילויים כגון Ripple20 או אמנזיה 33, אזיי 2021 תהיה השנה בה החולשה הזו תנוצל. הסיכון להתקפה ימשיך לצמוח ככל שיותר מכשירים יתווספו לרשת, וככל שבתי חולים ימהרו למנף טכנולוגיות לניטור, אוטומציה והגברת התפוקה, כדי לטפל בעומס הגדל. היכולת לשמור על היגיינת סייבר טובה ועדכון של מכשירי IoT ו-OT הופכת לקשה יותר ואף לבלתי אפשרית".

"ארגוני בריאות אינם היחידים שניצבים אל מול האיומים הללו. מאות ואלפי מכשירים שנכנסו לבתי חולים ב-2020 מיוצרים ומסופקים על ידי ארגונים הניצבים בפני אותם סיכונים בדיוק, והם חיוניים באותה מידה כמעט, כי הם מספקים לבתי החולים מזון, ציוד רפואי ותרופות. מתקפת סייבר עלולה לפגוע – וכבר עתה פוגעת – בשרשרת האספקה, בעיקר בארגונים המסתמכים יותר ויותר על אוטומציה כדי לצמצם מעורבות אנושית בתהליך". לדברי חוקרי פורסקאוט, "האפקט עלול להיות מורגש במיוחד עם הגעתם של חיסונים לקורונה, הדורשים שרשרת אספקה רפואית מורכבת, מהייצור ועד ההפצה. מרכזי הייצור והמפעלים כבר פועלים סביב לעולם כדי לענות על הביקוש לחיסונים, והתשתית החיונית וטכנולוגיות IIoT (האינטרנט התעשייתי של הדברים) יידרשו להגנות מסיביות מפני מתקפות סייבר".

החוקרים של פורסקאוט סיכמו באומרם כי "מכשירי IoT ביתיים, כמו מכונת קפה ומצלמת רשת, חשופים לאותם אתגרים של שרשרת אספקה עימם מתמודד המכשור הרפואי בבית החולים, אך עם פחות קישורים לרשת. ב-2021 ינוצל אחד מהמכשירים הביתיים האלה על ידי תוקפים, כדי לגשת לרשת הארגונית, ולגרום נזק משמעותי לארגון. כשגבולות המשרד מתרחבים ומקיפים גם את המשרד הביתי, נראה יותר תוקפים מנצלים מכשירים צרכניים חלשים – כצעד ראשון להתקפות על ארגונים".

לחלק א' בסדרה