הוריקן בסייבר: זינוק של פי 10 במתקפות כופרה

עלייה משמעותית בנפח המתקפות המתוחכמות – המתמקדות באנשים פרטיים, ארגונים ותשתיות קריטיות. כמו כן, משטח התקיפה, שכולל עובדים מרוחקים ותלמידים, התרחב וממשיך להוות מטרה אטרקטיבית. ממצאים אלה הם חלק מדו"ח האיומים החצי שנתי של מעבדות FortiGuard – גוף המחקר של פורטינט, שפורסם באחרונה.

על פי החוקרים, היקף מתקפות הכופרה ביוני האחרון היה גבוה פי 10 מאשר באותו מועד בשנה שעברה. לדבריהם, "מתקפות הכופרה גרמו לנזק לשרשראות אספקה של ארגונים רבים – במיוחד במגזרים קריטיים – והשפיעו על חיי היום יום, הייצור והמסחר יותר מאי פעם". ארגוני התקשורת היו היעד המרכזי של המתקפות האלה, ואחריהם ברשימה המגזר הממשלתי, ספקי שירותי האבטחה המנוהלים, ותעשיות הרכב והייצור. בנוסף, כמה ממפעילי הכופרות שינו את האסטרטגיה שלהם מהתמקדות במיילים להתמקדות בקבלת גישה לרשתות הארגוניות ומכירת פרטי הגישה. "מגמה זו", ציינו חוקרי פורטינט, "מעידה יותר מכל על ההתפתחות המתמשכת של כופרה כשירות (RaaS)".

עלייה באיתור מתקפות כופר במחצית הראשונה של 2021. מקור: פורטינט

"מתקפות כופרה עדיין מהוות סכנה ברורה עבור כל סוגי הארגונים, ללא קשר לגודלם או לתעשייה שהם פועלים בה", נכתב בדו"ח. בפורטינט קוראים לארגונים "לנקוט בגישה יזומה באמצעות פתרונות הגנה, איתור ותגובה אוטומטיים לנקודות קצה בזמן אמת, כדי לאבטח סביבות, בנוסף להשקעה באסטרטגיות אמון רשת (Zero trust), פילוח רשת והצפנה".

"פרסום" זדוני

בדו"ח מצוין שבין יולי 2020 ליולי השנה היו ניסיונות Malvertising (פרסום, או יותר נכון "פרסום", שמכיל נוזקה) באחד מכל ארבעה ארגונים. עוד בהיקף דומה, של 1:4, היה שימוש ב-Scareware – טקטיקות הפחדה כדי לגרום למשתמשים לרכוש תוכנות שמכילות נוזקות. מבין אותן נוזקות, משפחת Cryxos נמצאת בראש הרשימה. "המציאות של העבודה ההיברידית עודדה, ללא ספק, מגמה זו, כחלק מניצול המצב על ידי פושעי הסייבר: מטרתם לא רק להפחיד, אלא גם לסחוט. כדי להימנע מליפול בפח, חשוב לספק חינוך והדרכה למודעות לאבטחת סייבר".

גם בשימוש בבוטנטים חלה עלייה, המעידה כי התוקפים מתמקדים בקצוות: בתחילת השנה, 35% מהארגונים איתרו פעילות של בוטנטים, ולאחר שישה חודשים, הנתון עמד על 51%. לפי חוקרי פורטינט, "הטלטלה הגדולה בפעילות של TrickBot אחראית לעלייה הכללית בפעילות הבוטנטים במהלך יוני". TrickBot הוא בוטנט שהופיע במקור כסוס טרויאני, שהתמקד בתחום הבנקאות, אך מאז התפתח לערכת כלים מתוחכמת ובעלת שלבים רבים, שתומכת במגוון רחב של פעילויות בלתי חוקיות.

שכיחות איתור בוטנטים במחצית הראשונה של 2021. מקור: פורטינט

הבוטנט Mirai היה השכיח ביותר: הוא עקף את Gh0st בתחילת 2020 ומאז לא יורד מהמקום הראשון. Mirai המשיך להוסיף נשקי סייבר חדשים לאוסף שלו, וככל הנראה, העליונות שלו נובעת גם הודות לפושעי סייבר, שמחפשים לנצל התקני אינטרנט של הדברים שמשמשים אנשים שעובדים או לומדים מהבית. Gh0st הוא בוטנט שמאפשר לתוקפים לקבל שליטה מלאה מרחוק על המערכת הנגועה, ללכוד תמונות ממצלמות רשת ומיקרופונים, או להוריד קבצים. "חלפה כבר יותר משנה מאז המעבר לעבודה ולימודים מרחוק, ופושעי הסייבר ממשיכים להתמקד בהרגלי היום יום המתפתחים שלנו כדי לנצל זאת לטובתם", ציינו החוקרים.

לפעמים, המלחמה ברעים צולחת

יש למטבע הזה צד שני – של אלה שפועלים לשבש את הפעילות של פושעי הסייבר, מה שלדברי חוקרי פורטינט מביא לירידה באיומים. כמה אירועי סייבר מעידים על התפתחויות חיוביות כתוצאה מנקיטת פעולות לשיבוש. כך, המפתח של TrickBot הועמד לדין במספר רב של אישומים ביוני. כמו כן, הושבתה הפעילות המתואמת של Emotet – אחת הנוזקות המשגשגות ביותר שנראו באחרונה. זאת, יחד עם פעולות שנועדו להשבית את הפעילות של הכופרות Egregor ,NetWalker ו-CI0p. "כל הפעולות האלה מייצגות מומנטום משמעותי מצד גורמי אבטחת הסייבר, בין היתר ממשלות ורשויות אכיפת החוק, כדי לרסן את פשיעת הסייבר", נככתב.

"בנוסף", ציינו בפורטינט, "חלק ממתקפות הכופרה זכו לתשומת לב רבה, שהפחידה את התוקפים וגרמה להם להכריז על הפסקת הפעילות". לפי החוקרים, התחמקות מאיתור והסלמת הרשאות הן הטכניקות המועדפות על פושעי הסייבר. "אף על פי שלא מדובר בטכניקות חדשות, צוותי האבטחה יהיו מסוגלים לספק אבטחה טובה יותר נגד מתקפות עתידיות אם יהיה ברשותם הידע לגביהן בזמן המתאים. גישות של פלטפורמה משולבת ומבוססת בינה מלאכותית, שמונעת על ידי מודיעין איומים שניתן לפעול לפיו, הן הכרחיות כדי להגן על כל הקצוות, לזהות ולתקן בזמן אמת את האיומים המשתנים שהארגונים מתמודדים עימם".