מחקר: מתקפות הכופרה מועצמות על ידי עובדי וכלכלת החלטורה

לפי מיקרוסופט, תחום מתקפות כופרה-כשירות, RaaS, הוא "מגיפה בזכות עצמה" ● התחום מופעל בעזרת כלים ושירותים המוצעים על ידי עובדי כלכלת החלטורה, מה שמקשה על זיהוי התוקפים ומניעת המתקפות

מקיימים יחסי גומלין מעצימים לרעה. כופרות כשירות וכלכלת הגיג. עיבוד ממחושב כאילוסטרציה.

לצד ההאצה, העקבית והמתמשכת, של מגמת מתקפות הכופרה התפתח לו תת-תחום: מתקפות כופרה-כשירות, RaaS. תחום זה, אותו מכנים חוקרי מיקרוסופט "מגיפה בזכות עצמה", מופעל באמצעות כלים ושירותים המוצעים על ידי עובדי כלכלת החלטורה (Gig Economy), מה שמקשה על זיהוי התוקפים מחד, ומקל על מימוש המתקפות בשל קלות ההפעלה שלהן, מאידך.

כלכלת החלטורה הוא מושג המתאר כלכלה בה החלק הארי של האוכלוסייה הוא עובדים זמניים, או פרילנסרים, אשר נשכרים במטרה לבצע עבודה זמנית ונקודתית. מבקרי התופעה מכנים אותה חלטורע. התחום, המוכר בשוק העבודה הלגיטימי, גלש גם לעולם הפשע המקוון. "קבלנים" לטווח קצר מסוג זה, כך הסבירו חוקרי מיקרוסופט בפוסט ארוך בבלוג החברה, "עוזרים להסיר את מחסום הכניסה של גורמי איום לתחום, בהעסקתם של 'עובדים זמניים' – כמי שמפעילים את שירותי וכלי התקיפה, וזאת בתמורה לחלק מהרווחים שמתקבלים ממסעות התקיפה".

"כלכלת הפשיעה בסייבר היא מערכת אקולוגית מחוברת, המתפתחת בלא הרף, של שחקני איום רבים – עם טכניקות, מטרות ומערכי כישורים שונים", נכתב בפוסט.

לדברי החוקרים של מיקרוסופט, "באותו אופן בו הכלכלה המסורתית שלנו עברה לכיוון של העסקת עובדי חלטורות, לצורך יעילות, כך פושעי סייבר לומדים שיש פחות עבודה ופחות סיכון בהשכרה או מכירה של הכלים שלהם – תמורת חלק מהרווחים, מאשר ביצוע המתקפות בעצמם. ה'תיעוש' הזה, של כלכלת פשעי הסייבר, הקל על התוקפים לבצע מבדקי חדירה עם כלים שהוכנו מראש, לצד הפעלה של כלים אחרים, כדי לבצע את המתקפות שלהם".

החוקרים הוסיפו כי מצב חדש יחסית זה גם מקשה על מומחי אבטחת מידע והגנת סייבר לזהות ולקשר בין המתקפות ובין קבוצות ההאקרים העוסקות בכך. לדבריהם, רבים מעובדי החלטורה נשכרים על ידי כמה קבוצות, או שהם נשכרים לתקופת זמן מוגבלת, או באופן חד פעמי.

כך, ציינו החוקרים, קבוצה אחת כזו, DEV-0193, הייתה, ככל הנראה, אחראית לפיתוח ולהפצת כמה כופרות, ביניהן Trickbot, Bazaloader ו-AnchorDNS, כמו גם תפעול והרצת קמפיינים של תקיפה בכופרה בסייבר של Ryuk, Conti ו-Diavol – כולם קמפיינים שבוצעו במתכונת של כופרה-כשירות.

לדברי החוקרים, "השימוש של חברי קבוצת DEV-0193 בכלכלת החלטורה לטובת מימוש פשיעת סייבר, פירושה שלעתים קרובות הם מוסיפים חברים ופרויקטים חדשים, ואף משתמשים בקבלנים כדי לבצע חלקים שונים של החדירות שלהם".

"מגוון כישורים רחב, יכולות מקצועיות, וצורות דיווח שונים בתכלית"

החוקרים הסבירו כי "כיוון שפעולות של תקיפה באמצעות נוזקות אחרות נסתיימו, או נקטעו מסיבות שונות, כולל בשל פעולות אכיפה משפטיות, חברי DEV-0193 שכרו מפתחים מהקבוצות הללו. הבולטות ביותר הן הרכישות של מפתחים מ-Emotet, Qakbot ו-IcedID".

לדברי חוקרי מיקרוסופט, "לקבוצות כופרה-כשירות רבות יש "מגוון כישורים רחב, יכולות מקצועיות, וצורות דיווח שונים בתכלית", כפי שהעידו ההאקרים שעבדו עם מפעילי Conti.

לדבריהם, "חלקם של ההאקרים מבצעים חדירות בקנה מידה קטן יחסית, עם כלי כופרה-כשירות, בעוד שאחרים מקדישים שבועות לפעולות התקיפה, תוך שימוש בטכניקות וכלים משלהם". בנוסף, ציינו, "חלקם נותנים עדיפות לתקיפה של ארגונים בעלי הכנסות גדולות, בעוד שאחרים מכוונים לאלה בהם יש נתונים רגישים, או לארגונים שהמותגים שלהם מוכרים וידועים".

"למרות זאת", כתבו, "אף שכמה מטכניקות הפעילות של ההאקרים הללו נפוצות עדיין, ישנן כמה דרכים שאמורות לעזור לארגונים למקד את מאמצי ההגנה שלהם".

החוקרים סיכמו בכותבם כי "התוקפים בדרך כלל מנצלים את הליקויים שקיימים במדיניות הרשאות הגישה שיש בארגונים רבים, או תצורות מדור קודם, או תצורות שגויות – כדי למצוא נקודות כניסה קלות דרכן ניתן לחדור למערכות הארגונים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים