ההאקרים מנצלים יותר פגיעויות – ובאופן מואץ

פושעי הסייבר מנצלים פגיעויות חדשות בתעשייה, ועושים זאת במהירות גבוהה יותר; התוקפים גם מנצלים פגיעויות בנות יותר מ-15 שנים – כך עולה מדו"ח האיומים החדש שמעבדות פורטינט (Fortinet) הנפיקו ופרסמו השבוע בכנס RSA בארה"ב.

לפי FortiGuard Labs, גוף מודיעין האיומים והמחקר של החברה, המתקפות החלו בממוצע 4.76 ימים לאחר שחולשות חדשות נחשפו בפומבי. המשמעות היא, שבמחצית השנייה של 2023 התוקפים הגבירו את המהירות שבה הם ניצלו פגיעויות חדשות שפורסמו – 43% מהר יותר מאשר במחצית הראשונה של 2023. "על היצרנים להקדיש תשומת לב לגילוי פנימי של פגיעויות ולפיתוח תיקון לפני שניתן יהיה לנצל את הפגיעות – משמע, לצמצם מקרים של פגיעויות 0-Day. יצרנים חייבים לחשוף באופן יזום ושקוף פגיעויות ללקוחות, כדי להגן על הנכסים שלהם לפני שפושעי הסייבר יוכלו לנצל פגיעויות N-day", כתבו החוקרים.

עוד ממצא מדאיג העולה מהדו"ח הוא, שחלק מפגיעויות ה-N-Day נותרו בלא תיקון במשך יותר מ-15 שנים: משמע, לא מדובר רק בפגיעויות חדשות שזוהו. הטלמטריה של ענקית האבטחה מצאה, כי 41% מהארגונים גילו פרצות, שנבעו מחולשות בנות פחות מחודש. כמעט כל ארגון, 98% מהם, זיהה פגיעויות N-Day שהיו קיימות לפחות חמש שנים.

לפי המחקר, פחות מ-9% מכל נקודות התורפה הידועות של נקודות הקצה הותקפו. החוקרים הסבירו כי במחצית השנייה של 2023, היו 0.7% מכלל החולשות שנצפו בנקודות הקצה תחת מתקפה, מה שחשף שטח תקיפה פעיל קטן בהרבה – שצוותי האבטחה יכולים להתמקד בו ולתעדף את מאמצי התיקון.

44% מכלל נוזקות הכופרה והמגבים (מוחקי נתונים, Wiper) כוונו למגזרי התעשייה. במחצית השניה של 2023, היקף הכופרות (שזוהו) ירד ב-70% בהשוואה למחצית הראשונה של השנה. ההאטה, הסבירו, "באה בשל מעבר של תוקפים מאסטרטגיית 'רסס והתפלל' המסורתית – לגישה ממוקדת יותר, המתמקדת בתעשיות האנרגיה, הבריאות, הייצור, התחבורה והלוגיסטיקה והרכב".

לפי המחקר, "הבוטנטים הראו עמידות מדהימה: נדרשו בממוצע 85 ימים עד שתקשורת השליטה והבקרה (C2) הופסקה לאחר הגילוי הראשון". תעבורת הבוטים נותרה יציבה במהלך השנה החולפת, אולם לצד הבוטנטים הבולטים של השנים האחרונות, כמו Gh0st, Mirai ו-ZeroAccess, שלושה בוטנטים חדשים הופיעו במחצית השנייה של 2023: AndroxGh0st, Prometei ו-DarkGate.

38 מתוך 143 קבוצות האיומים המתקדמים המתמידים (APT) היו פעילות במחצית השנייה של 2023. מתוכן, Lazarus Group, Kimusky, APT28, APT29, Andariel ו-OilRig היו הקבוצות הפעילות ביותר. "בהינתן האופי הממוקד והקמפיינים קצרי הימים יחסית של APT וקבוצות סייבר בחסות מדינות – בהשוואה לקמפיינים המתמשכים של פושעי סייבר, הרי שההתפתחות ונפח הפעילות בתחום זה הם משהו שיש לעקוב אחריהם על בסיס קבוע", ציינו החוקרים.

לגבי השיח של התוקפים בפורומים ברשת האפלה, המחקר העלה, כי שחקני האיום דנו בהתמקדות בארגונים בתעשיית הפיננסים בתדירות הגבוהה ביותר, ולאחריהם היו מגזרי השירותים העסקיים והחינוך. יותר מ-3,000 פריצות נתונים שותפו בפורומים בולטים ברשת האפלה, לצד 221 פגיעויות שנדונו ברשת האפלה, 237 פגיעויות שנדונו בערוצי טלגרם ויותר מ-850,000 פגיעויות פורסמו למכירה.

דרק מאנקי, אסטרטג אבטחה בכיר וסמנכ"ל מודיעין איומים גלובלי ב-FortiGuard Labs, אמר, כי "שחקני האיום מנצלים פגיעויות חדשות שנחשפו – ועושים זאת במהירות. הספקים חייבים להציג בדיקות אבטחה חזקות בכל שלבי מחזור החיים של פיתוח המוצר ולהקדיש את עצמם לשקיפות יסודית ואחראית בחשיפת הפגיעויות שלהם. עם יותר מ-26,447 פגיעויות בקרב יותר מ-2,000 ספקים בשנת 2023 שפורסמו על ידי NIST, חשוב מאוד כי גם הלקוחות ישמרו על משטר קפדני של ביצוע עדכונים כדי להפחית את הסיכון לניצול הפגיעות".