ב-82% ממתקפות הכופרה ההאקרים העלימו נתוני טלמטריה, לכיסוי עקבות

ב-42% ממתקפות הכופרה, נתוני הטלמטריה היו חסרים. ב-82% מהמקרים, פושעי סייבר השביתו או מחקו את נתוני הטלמטריה כדי לכסות את עקבותיהם – מה שהביא לצמצום הנראות של המותקפים, ובהתאמה, לקיצור הזמן שבו הם יכלו להגיב למתקפות; כך עולה ממחקר חדש של סופוס (Sophos).

המחקר בחן כיצד קבוצות תקיפה מנהלות היום מתקפות כופרה זריזות, המתבצעות בתוך שעות ספורות. הדו"ח בדק 232 מקרי תגובה לאירועים (IR) שנאספו מינואר 2022 ועד מחצית 2023.

חוקרי האיומים מיחידת X-Ops של סופוס ניתחו סוג של מתקפת כופרה בשם "ריסוק ותפיסה" (Smash-and-grab ransomware). בצורת מתקפה חדשה זו התוקפים משתמשים בכלי LOLBins (ר"ת living-off-the-land binaries – ניצול תוכנות לגיטימיות כבסיס למתקפה) וכלים והתנהגויות אחרים, המאפשרים להם להשתלט על המשאבים הקריטיים של הקורבן.

המחקר מעלה, כי נתוני טלמטריה היו חסרים בכמעט 42% מהמתקפות, כי ההאקרים מחקו נתונים אלה כדי למנוע את חשיפתם. "פערים בטלמטריה מפחיתים את הנראות החיונית ברשתות ובמערכות של ארגונים, כי זמן השהייה של התוקף – משמע, הזמן שחולף מהגישה הראשונית ועד לזיהוי שלו – ממשיך להתקצר, מה שמקצר גם את הזמן העומד לרשות המגינים כדי להגיב ביעילות לאירוע".

החוקרים סיווגו מתקפות כופרה בנות זמן שהייה של פחות מחמישה ימים – כ"מתקפות מהירות". אלו היוו 38% מהמקרים שנחקרו.

חוקרי סופוס בחנו לעומק את שני הסוגים – מתקפות כופרה "מהירות" ו"איטיות" ולא מצאו שונות רבה בכלים, בטכניקות וב-LOLBins שהתוקפים פרסו. "מה שמרמז שצוותי התגובה אינם צריכים להמציא מחדש אסטרטגיות הגנה גם כשזמן השהייה קצר", נכתב, "עם זאת, עליהם להיות מודעים לכך, שהתקפות מהירות עלולות להוביל לפגיעה משמעותית יותר".

לדברי ג'ון שייר, מנהל טכנולוגיות ראשי בסופוס, "כאשר מגיבים לאיום פעיל, הזמן הוא עניין קריטי. משך הזמן בין זיהוי הגישה הראשונית לבין סיכול מלא של האיום צריך להיות קצר ככל האפשר. ככל שהתוקף מתקדם בשרשרת ההתקפה, כך, כאב הראש של צוותי התגובה לאירועים גדול יותר. טלמטריה חסרה רק מוסיפה זמן לתיקון שרוב הארגונים לא יכולים להרשות לעצמם". הוא הוסיף, כי "זו הסיבה שתיעוד מלא ומדויק הוא חיוני, אבל אנחנו רואים שלעיתים קרובות מדי לארגונים אין את הנתונים שהם צריכים".

לפי שייר, "פושעי סייבר מחדשים רק כשהם חייבים, ורק במידה שזה יביא אותם ליעד שלהם. תוקפים לא שואפים לשנות את מה שעובד, גם אם הם נעים מהר יותר מגישה לזיהוי. אלו חדשות טובות לארגונים, כי הם לא מחויבים לשנות באופן קיצוני את אסטרטגיית ההגנה שלהם גם כשהתוקפים מאיצים את לוחות הזמנים שלהם. אותן הגנות שמזהות התקפות מהירות – יחולו על כל המתקפות, בלא קשר למהירות".

"תהליך חילוץ המידע מתרחש ממש לפני הגילוי ולעתים קרובות זהו החלק היקר ביותר במתקפה", הסביר, "ראינו זאת בשתי מתקפות כופרה שבדקנו. לחברה אחת היה ניטור רציף עם MDR, והצלחנו לזהות ולעצור את המתקפה בתוך שעות. לחברה השנייה לא היה ניטור. הם לא הבחינו במתקפה כמה שבועות לאחר הגישה הראשונית. אז, התוקפים כבר הצליחו לחלץ 75 גיגה-בייט של מידע רגיש. חודש לאחר מכן, הם עדיין ניסו לחזור לעניינים כרגיל".

"המפתח הוא הגברת החיכוך במידת האפשר – אם אתה מקשה על עבודת התוקפים, אתה יכול להוסיף זמן יקר לתגובה, למתוח כל שלב בהתקפה", סיכם שייר. "במקרים של מתקפת כופרה, ככל שהניטור משמעותי יותר, כך ניתן לדחות את הזמן עד לחילוץ המידע על ידי התוקפים".