ה-FBI: יותר מ-50 ארגוני תשתיות קריטיות בארה"ב הותקפו בכופרה מתחילת השנה

ה-FBI הנפיק שלשום (ב') התראה, שלפיה לפחות 52 ארגוני תשתיות קריטיות נפרצו על ידי קבוצת הכופרות Ragnar Locker מאז ינואר השנה.

בהתראה, כללה הבולשת הפדרלית פרטים טכנולוגיים על הפריצות וציינה, כי הארגונים שהותקפו היו מעשרה מגזרי משק שונים, לרבות אנרגיה, שירותים פיננסיים, ממשלה ו-IT. הבולשת לא פירטה מי הם הגופים הספציפיים שנפרצו, או כמה דמי כופר – אם בכלל – הצליחה כנופיית הכופרה לסחוט מהארגונים שנפגעו. עם זאת, יעד אחד שנפגע הוא Capcom  – מפתחת משחקי וידיאו יפנית. המתקפה עליה פגעה בכמעט חצי מיליון משתמשים.

קבוצת Ragnar Locker מוכרת לחוקרי הבולשת מאז אפריל 2020. מאז, היא השפיעה על הטכניקות של כנופיות כופרה אחרות, כמוMaze . חברי הקבוצה הצטרפו ל"קרטל הכופרות", עם LockBit, Conti, SunCrypt ו-Maze.

האיום על ארגוני תשתית קריטיים, במיוחד מכופרות, הלך וגדל בשנים האחרונות. מתקפות בפרופיל גבוה, כמו זו שחוותה קולוניאל פייפליין, הוכיחו כי ארגוני תשתיות קריטיות אינם יכולים להרשות לעצמם השבתה של המערכות, ולכן – יש סיכוי גבוה יותר שהם יסכימו להיסחט וישלמו את דמי הכופר, למרות הסיכון הכרוך במעשה.

ביוני 2020 זיהו חוקרי סופוס (Sophos) שיטת פעולה חדשה של כופרה, שלוקחת את החמקנות לרמה חדשה: הפעלה של מכונה וירטואלית חדשה בכל מכשיר מודבק, כדי להסתיר את פעילותה ולהתחמק מתוכנות אבטחה.

בהתקפה שזוהתה על ידי החוקרים, Ragnar Loacker הופעלה בתוך מכונה וירטואלית מסוג Oracle VirtualBox Windows XP. המטען של הנוזקה היה תוכנת התקנה בגודל 122 מגה-בייט, שהכילה אימג' וירטואלי בגודל 282 מגה-בייט – וכל זאת כדי להסתיר קובץ כופרה בגודל של 49 קילו-בייט בלבד. חוקרי סופוס הסבירו, כי "הגורמים שמאחורי Ragnar Locker ידועים בגניבה של נתונים מרשתות לפני הפעלת הכופרה, על מנת לגרום לקורבנות לשלם".

בהתקפות קודמות, קבוצת Ragnar Loacker ניצלה פרצות של ספקי שירותים, או התקפות על פרוטוקול הגישה מרחוק של Windows (RDP) – כדי להשיג גישה לרשתות המטרה. לאחר שהשיגו גישה ברמת אדמין אל הדומיין, וחילצו ממנו את הנתונים, הם השתמשו בכלים מובנים במערכת חלונות, כגון Powershell ו-Windows Group Policy Objects) GPO) – כדי לבצע תנועה רוחבית ברשת אל מכשירים ושרתים נוספים מבוססי Windows.

לאור הסיכון המוגבר שמציגות הכופרות, כמו גם העלייה בהיקף אירועי הסייבר ברקע הפלישה של רוסיה לאוקראינה, שלוש חברות הגנת סייבר – קראודסטרייק (CrowdStrike), קלאודפלייר (Cloudflare) ופינג (Ping Identity) – השיקו השבוע שירות אבטחת סייבר חדש וחינמי לארגוני תשתיות קריטיות.