מגמה: שלוש קבוצות כופרה תקפו את אותו הקורבן בזו אחר זו

לפי סופוס, קבוצות הכופרה LockBit ,Hive ו-BlackCat הן "איום חדש, שהופך את מתקפות הכופרה לסיוט של ממש"

הכופרות לא הולכות לשום מקום.

שלוש קבוצות כופרה מוכרות – Hive ,LockBit ו-BlackCat – תקפו באחרונה את אותה הרשת בזו אחר זו. שתי המתקפות הראשונות התרחשו בהפרש של שעתיים זו מזו, בעוד שהשלישית אירעה שבועיים לאחריהן. כל קבוצת כופרה שלחה דרישה משלה לתשלום דמי כופר, וחלק מהקבצים הוצפנו שלוש פעמים – כך לפי מחקר חדש של סופוס.

בדו"ח, שנושא את הכותרת "ריבוי תוקפים: סכנה ברורה ומיידית", תיארו מומחי הסייבר של Sophos X-Ops מקרים נוספים שבהם אירעו מתקפות סייבר במקביל, או בסמיכות זו לזו, ובהן מתקפות להשתלת תוכנות לכריית מטבעות קריפטוגרפיים, סוסים טרויאניים שמאפשרים גישה מרחוק (RAT) ובוטים. לדבריהם, "אם עד כה התאפיינו מתקפות על אותה רשת שבהן היו מעורבים כמה תוקפים בהפרשים של שבועות וחודשים ארוכים ביניהן – המתקפות שחשפנו כעת התרחשו בהפרש של ימים או שבועות בודדים, ובאחד מהמקרים אפילו בו זמנית. בדרך כלל ניצלו התוקפים את אותה חולשת אבטחה כדי לתקוף שוב את אותה רשת".

החוקרים הוסיפו כי "בדרך כלל, קבוצות התקיפה מתחרות על משאבים, מה שמקשה על תרחיש של ריבוי מתקפות נגד אותה רשת. כך, לדוגמה, תוכנות לכריית מטבעות קריפטוגרפיים בדרך כלל מחסלות את המתחרים האחרים שפועלים באותה רשת, וכיום מפורסמת בפורומים של פושעי סייבר יכולתם של סוסים טרויאניים המאפשרים גישה מרחוק לחסל בוטים מתחרים כיתרון תחרותי". עם זאת, במתקפה, שבה היו מעורבות שלוש קבוצות הכופרה, לא רק שקבוצת BlackCat, שהייתה האחרונה לפרוץ לרשת, מחקה כל זכר לפעילותה, אלא שהיא גם מחקה כל זכר לפעילותן של שתי הקבוצות האחרות, LockBit ו-Hive. במקרה אחר, המערכת הודבקה בכופרת LockBit וכשלושה חודשים לאחר מכן ניצלה קבוצת Karakurt, שיש לה קשרים עם קבוצת הכופרה קונטי, את הדלת האחורית ששתלה קבוצת LockBit כדי לגנוב מידע רגיש ולדרוש תמורתו דמי כופר.

"אם ההתמודדות עם מתקפת כופרה לא הייתה קשה מספיק גם ככה, הרי שהמגמה החדשה מאיימת להפוך את מתקפות הכופרה לסיוט של ממש", אמר ג'ון שייר, יועץ אבטחה בכיר בסופוס. "ריבוי תוקפים על אותה רשת יוצר רמת מורכבות וקושי חדשים לגמרי בכל הנוגע להתאוששות יעילה ממתקפת כופר, ובפרט כאשר הקבצים הוצפנו שלוש פעמים. אף אחד לא חסין מפני האיום החדש הזה, ויכולות מניעה, זיהוי ותגובה למתקפת סייבר הופכות לחיוניות אפילו יותר עבור ארגונים מכל הגדלים וענפי המשק".

בניגוד למקרים אחרים: הקבוצות השונות לא עוינות זו את זו

"נדמה שאין עוינות בין קבוצות הכופרה השונות", ציין שייר. "למעשה, קבוצת הכופרה LockBit מצהירה במפורש שהיא לא אוסרת על פושעי סייבר המשתמשים בכופרה שלה לעבוד עם קבוצות כופרה מתחרות. אין לנו ראיות מוצקות לשיתופי פעולה רשמיים בין הקבוצות, אבל ייתכן שהגישה הפייסנית הזאת נעוצה בכך שהתוקפים מבינים שמספר המטרות בשוק הוא סופי, ושהתחרות על כל אחת מהן הולכת וגדלה. ייתכן שהם מאמינים שככל שהקורבנות ימצאו עצמם במצוקה גדולה יותר, כמו במקרה של ריבוי מתקפות על אותו ארגון, כך יגדלו הסיכויים שהם ישלמו את דמי הכופר. אפשרות נוספת היא שראשי הקבוצות האלה נמצאים בקשר ומסכמים ביניהם על שיתופי פעולה לתועלת הדדית, כמו חלוקת אחריות שבה קבוצה אחת אחראית על הצפנת המידע והשנייה על הוצאתו מחוץ לרשת. בשלב מסוים, יהיה על הקבוצות הללו להחליט האם להרחיב את שיתופי הפעולה או לאסור עליהם ולהפוך ליריבות. אלא שלעת עתה אין חוקים, וזירת הסייבר נותרת חשופה לריבוי מתקפות על אותם ארגונים ומערכות".

החוקרים ציינו שמרבית ההדבקות הראשונות המתוארות ניצלו חולשות אבטחה מוכרות, שלא תוקנו בזמן, ובהן Log4Shell ,ProxyLogon ו-ProxyShell, או ליקויים בהגדרת תצורת שרתי RDP, שהותירו אותם חשופים. ברוב המקרים שבהם היו מעורבים כמה תוקפים הארגונים שהותקפו לא הצליחו לתקן את חולשות האבטחה שהובילו למתקפה הראשונית, ונותרו חשופים למתקפות נוספות מצד פושעי סייבר אחרים. ב-2021 הבחינו חוקרי סופוס בפעם הראשונה במקרים שבהם נפל אותו ארגון קורבן למתקפות שונות, והזהירו שזאת עלולה להפוך למגמה חדשה.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים