חטא על פשע: קמפיין פישינג "רוכב" על הכופרה של קסיה ומציע תיקון

האקרים החלו בימים האחרונים במתקפות פישינג נגד קורבנות, במסגרתן הם מציעים להם, לכאורה, עדכוני אבטחה עבור המוצר Kaseya VSA – התוכנה של קסיה, שנחשפה באחרונה למתקפות כופרה.

הודעות הדואר המתחזות מזהירות את הקורבנות כי עליהם "להתקין את העדכון של מיקרוסופט, כדי להגן מפני כופרות, ולעשות זאת בהקדם האפשרי. העדכון מתקן את הפגיעויות של קסיה".

את הקמפיין זיהו חוקרי מאלוור בייטס. לדבריהם, "נראה כי זו דוגמה קלאסית להתקפה אופורטוניסטית, אותה ביצעה קבוצת האקרים אחרת, לא זו שערכה את מתקפות הכופרה, והיא מנצלת, 'רוכבת' על המתקפה המקורית ועל החשיפה התקשורתית הרבה שהיא זכתה לה".

בפוסט שכתבו בבלוג החברה, החוקרים ציינו כי "קסיה היא שם גדול בעולם ה-MSP. בעת שהחברה מנסה להתאושש ממתקפת הכופרה שחוותה, זה הזמן וההזדמנות המושלמים לנצל ארגונים שממתינים בקוצר רוח לעדכון שיתקן את הפריצה אותה ניצלו ההאקרים של REvil. זה 'מתלבש' עם הרצון לחזור לעסקים במהירות האפשרית". החוקרים הזהירו שלא להוריד שום עדכון לכאורה, אם הוא לא הגיע ישירות מספקית השירות.

קבוצת ההאקרים הרוסית REvil, פגעה לפני כשבועיים במאות חברות ברחבי העולם. ההאקרים השביתו חלק ממערכות ה-IT של הקורבנות, ודרשו דמי כופר לשחרור נעילת המחשבים – 50 אלף דולרים מארגונים קטנים, וחמישה מיליון מארגונים גדולים. המתקפה אירעה בכמה מדינות, בהן ארה"ב, בריטניה, גרמניה, דרום אפריקה, קנדה וקולומביה. המתקפה בוצעה באמצעות חדירה לכלי לניהול מרחוק של רשתות של קסיה.

תקיפות במעגל שני 

לדברי לביא לזרוביץ', מנהל המחקר במעבדות סייברארק, "המתקפה ממחישה, שוב, עד כמה מתקפות על שרשרת האספקה של ארגון עלולות לחשוף את נכסי הארגון ואת לקוחות הארגון לתקיפות במעגל שני. דפוסי המתקפה על פתרון VSA של קסיה מזכירים את מתקפת Cloud Hopper, שבה השתלטות על נקודת קצה אחת, השפיעה על מאות חברות שהיה להן קשר עם ספקיות ענן שנפרצו. בתקיפה זו, בדומה לתקיפות מסוג זה בעבר, ביניהן גם זו על סולארווינדס (SolarWinds) ולקוחותיה, התוקפים מנצלים את האוטומציה והאמון, שמאפשרים לנוזקות להתפשט בלא בקרה במהירות לרוחב המעגל הראשון – לקוחות של הארגון הנתקף ומעגלים נוספים – הלקוחות של הלקוחות".

לביא לזרוביץ', מנהל המחקר במעבדות סייברארק. צילום: עזרא לוי

לזרוביץ' הוסיף כי "התוקפים מתמקדים בפריצה לתוכנה שזוכה לאמון המשתמשים והארגון, לתהליכים וקשרים אמינים. התמקדות בשירותים אלו מאפשרת לשחקנים זדוניים 'למנף' את האמון ואת ההרשאות והגישה המוענקות. לכן, קסיה המליצה על כיבוי השרתים עליהם פועל פתרון VSA, כיוון שאחד הדברים הראשונים שהתוקף עושה הוא לסגור את הגישה האדמיניסטרטיבית ל-VSA".

לזרוביץ' סיכם באומרו כי  "פיקוח והגנה על בעלי גישה פריבילגית חיוניים לזיהוי ולהפחתת הסיכון שבתנועת התוקפים לרוחב הארגון, ולביצוע ניצול נוסף של הרשת. במקרה של ספקיות שירותים מנוהלים (MSP), שליטה בהרשאות המנהל, פירושה שתוקפים יכולים להשיג שליטה נרחבת ומדהימה – ככל הנראה בקרב מאות לקוחות של אותו ספק. הרשאות פריבילגיות ממשיכות להיות 'נשק הבחירה' של התוקפים, ומשמשות כמעט בכל מתקפה ממוקדת גדולה".