גידול עולמי במתקפות סייבר ממניעים פיננסיים

חלה עלייה בפעילות איומי סייבר ממניעים פיננסיים ברחבי העולם: 55% מקבוצות האיומים ב-2024 פעלו בשל רווח כספי – נתון המשקף עלייה מ-52% ב-2023 ומ-48% ב-2022. לעומת זאת, 8% מהקבוצות הונעו על ידי ריגול – ירידה קלה מ-10% בשנה הקודמת. נתונים אלה פורסמו באחרונה על ידי מנדיאנט, גוף חקר האיומים של גוגל.

דו"ח M-Trends השנתי ה-16 של מנדיאנט מתבסס על 450 אלף שעות חקירה שהיא ביצעה במהלך השנה החולפת. לפי הדו"ח, קבוצות האקרים המזוהות עם איראן, או הפועלות בשליחותה ובגיבוי שלה, הגבירו את פעילותן ב-2024, במיוחד נגד גופים בישראל. הן השתמשו בטקטיקות מגוונות כדי להגביר את הצלחת החדירה לקורבנות שלהן.

המחקר מעלה כי ניצול ישיר של פרצה, חולשה או פגם נותר וקטור ההדבקה הראשוני הנפוץ ביותר זו השנה החמישית ברציפות, ומהווה 33% מהתקריות ב-2024. אישורים גנובים היוו 16% מהתקריות – מה שהופך את דרך התקיפה הזו לאמצעי הגישה הראשוני השני בשכיחותו, והוא הגיע לנתח זה בפעם הראשונה. מתקפות פישינג באמצעות מייל היוו 14%, מציאת פרצות – 9%, וניצול פרצות קודמות – 8%.

אין שינוי בזהות התעשיות החביבות על ההאקרים

זהות התעשיות שהיו על הכוונת של הרעים לא השתנתה בשנה החולפת: ארגונים פיננסיים היוו 17.4% מהמתקפות, ואחריהם שירותים עסקיים ומקצועיים עם 11.1%, ארגוני היי-טק עם 10.6%, יחידות ממשלה עם 9.5% וגופי בריאות עם 9.3%.

תחום שהחוקרים סימנו כטעון שיפור הוא היכולת של ארגונים לזהות ולאתר אירועי סייבר. ב-2024, יותר ממחצית – 57% – מהפריצות זוהו בפעם הראשונה על ידי גופים חיצוניים לקורבנות, כגון רשויות אכיפת חוק וחברות אבטחת סייבר. אלה היוו 43% מכלל ההתראות. הרעים עצמם היו אלה שהודיעו לקורבנות כי הם נפרצו ב-14% מהמקרים – לעתים קרובות באמצעות הודעות דרישה לתשלום דמי כופר בעקבות מתקפות כופרה. רק 43% מהפריצות זוהו באופן פנימי. זמן השהייה החציוני של הרעים במערכות ה-IT של הארגון – משמע, התקופה שבין הפגיעה הראשונית לזיהוי – עלה ל-11 ימים, בהשוואה ל-10 ימים ב-2023. זמן השהייה היה ארוך יותר כאשר הפרות דווחו על ידי ישויות חיצוניות (26 ימים) וקצר יותר כאשר ההאקרים הודיעו לארגונים ישירות (חמישה ימים).

עלייה בשימוש בנוזקות לגניבת מידע

עוד צוין בדו"ח כי חלה עלייה בשימוש בנוזקות לגניבת מידע, כאשר תוקפים פורסים יותר ויותר כלים אלה כדי לאסוף אישורים המשמשים לאחר מכן לגישה ראשונית. "נוזקות לגניבת מידע מהוות מקור לדאגה במשך שנים רבות, ובאחרונה חלה התעוררות מחודשת בשימוש בכלים כאלה", כתבו חוקרי מנדיאנט.

אישורים גנובים מהווים כעת וקטור הדבקה משמעותי, המשקף את הפופולריות שלהם בקרב תוקפים. בנוסף, התגלו פערים במהלך הגירת מערכות של ארגונים אל הענן. עוד עולה מהדו"ח שקבוצות איומי סייבר מתמקדות יותר ויותר במאגרי נתונים לא מאובטחים, כיוון ש-"היגיינת אבטחה לקויה ממשיכה להשאיר ארגונים בסיכון". לכן, גם מאגרי נתונים לא מאובטחים זוהו כנקודות ניצול נפוצות. "התוקפים מתמקדים בסביבות פגיעות אלה, כדי להשיג אישורים ומידע רגיש אחר", ציינו החוקרים.

מה עוד?

לפי הדו"ח, "קבוצות תקיפה מתקדמות ועקביות, במיוחד כאלה שמגיעות מסין, פורסות מערכות מותאמות אישית של נוזקות, מנצלות נקודות תורפה של יום אפס, ממנפות רשתות פרוקסי שדומות לבוטנטים, ומתמקדות במכשירי קצה ופלטפורמות חסרות זיהוי ותגובה מסורתיים של נקודות קצה. שחקני האיום משתמשים גם ב-'ערפול מותאם אישית', כדי לשמור על נוכחותם בלא יכולת לזהות אותם, ולעשות זאת למשך פרקי זמן ארוכים יותר בתוך מערכות הקורבן".

החוקרים ציינו כי "התוקפים מתמקדים במתקפות שלהם במאגרים שיושבים בענן, של אישורי גישה וניהול מערכות גישה ובקרה מרכזיות. זאת, לצד עלייה בניסיונות לנצל טכנולוגיות ווב 3, כולל מטבעות קריפטוגרפיים ופלטפורמות בלוקצ'יין. זאת, לטובת גניבה, הלבנת הון ומימון פעילות בלתי חוקית".

"קיים צורך מתמשך בשיפור הנראות"

אחד ממומחי האבטחה שערכו את הדו"ח ציין כי "שחקני האיום ממשיכים להסתגל ולחדש, וכך גם ההגנות שלנו. כאשר פרצות מהוות שיעור גבוה מכלל וקטורי ההדבקה הראשוניים ברור שתוקפים ממוקדים כמו קרן לייזר בניצול פגיעויות – והם עושים זאת בהיקף גדול. במקביל, כמעט 70% מהפרצות זוהו על ידי גורמים חיצוניים – מה שמדגיש את הצורך המתמשך בשיפור הנראות הפנימית ויכולות התגובה".

לסיכום הוא אמר כי "ככל שאיומים שמונעים ממניעים פיננסיים הופכים מתוחכמים יותר, החוסן הקולקטיבי שלנו תלוי במודיעין איומים פרו-אקטיבי, זיהוי מהיר יותר והתמקדות בלתי פוסקת בסגירת פערי אבטחה – לפני שהיריבים יוכלו לנצל אותם".