2017 הייתה שנה בה איומי סייבר רבים התבררו כשונים לחלוטין ממה שנראו בהתחלה
מאת: מערכת Telecom News, 28.12.17, 17:53

תוכנות כופר התגלו כ-wiper, תוכנות עסקיות הפכו לנשק, שחקנים מתקדמים עשו שימוש בכלים פשוטים בעוד תוקפים ברמה נמוכה יותר השיגו לעצמם כלים מתוחכמים ביותר. סיכום 2017 עבור מומחי אבטחת מידע וסייבר לקראת אתגרי 2018.
 
סוף השנה היא הזדמנות טובה לספירת מלאי של אירועי הסייבר המרכזיים, שהתרחשו במהלך 12 החודשים האחרונים, לבחון את ההשפעה שהייתה לאירועים על ארגונים ועל אנשים פרטיים, ולשקול את המשמעות שלהם במסגרת האבולוציה הכללית של אופק האיומים. מעבדת קספרסקי מציגה את סיכום 2017.

במבט לאחור, הדבר  שבלט ביותר ב-2017 היה טשטוש הגבולות: בין סוגי איומים שונים ובין שחקנים שונים בזירה. דוגמה למגמה זו היא מתקפת ExPetr  מחודש יוני, שזכתה לכותרות. על פניו, היה נראה, שמדובר בעוד תוכנת כופר. אולם, הסתבר, שמדובר בהתקפת wiper הרסנית וממוקדת.

דוגמא נוספת היא ה-dumping, שביצעה קבוצת Shadow Brokers, שהעמידה כלי פריצה, שלכאורה פותחו ע"י ה-NSA, לרשות קבוצות עבריינים, שאלמלא הנדיבות הזאת, לא היו מגיעות לקוד מורכב כל כך.

בנוסף, גם נרשם שימוש בקמפיינים ממוקדים מתקדמים (APT) לא רק למטרות ריגול, אלא גם לגניבה - כאמצעי למימון פעילות APT. יהיה מעניין לראות כיצד המגמה הזו תתפתח לאורך 2018.

מגמות מרכזיות ל-2017:

אירועי הסייבר, שהגדירו את 2017, היו ללא ספק, התקפות הכופר של WannaCry, ExPetr  ו-BadRabbit, שהתפשטו במהירות מדהימה, וכעת משערים, שהן אחראיות ל-700,000 קורבנות ברחבי העולם. ExPetr היה ממוקד יותר, כשהוא תוקף באמצעות תוכנה עסקית נגועה עסקים, רבים מהם מותגים גלובליים ידועים. Maersk, חברת הובלות הקונטיינרים הגדולים בעולם, הצהירה על אובדן צפוי של בין 200 ל-300 מיליון דולרים כתוצאה "משיבוש עסקי משמעותי", שנגרם מההתקפה. פדקס/TNT הכריזה על הפסד רווחים המוערך ב-300 מיליון דולרים.
 
שחקני ריגול הסייבר הגדולים המשיכו לעשות את מה שהם עושים, אבל עם גישות חדשות וכלים קשים יותר לזיהוי. דווח על טווח רחב של קמפיינים, כולל Moonlight Maze, שיש לו חשיבות היסטורית וכנראה קשור ל-Turla ולקמפיין APT בשם WhiteBear הקשור ל-Turla. נחשף גם כלי הפריצה החדש ביותר של Lamberts, שחקן איום מתקדם, שניתן להשוות מבחינת מורכבות ל- Duqu, Equation,  Regin או ProjectSauron.

באוקטובר, מערכות מניעת הפריצה של החברה זיהו כלי לניצול פרצת יום אפס חדשה, שפעל בשטח כנגד לקוחות, ושחדר דרך מסמך של מיקרוסופט אופיס. ניתן לקשר בוודאות גבוהה את המתקפה הזו לשחקן שהחברה עוקבים אחריו תחת השם BlackOasis.
 
ב-2017 נראתה גם עלייה של התקפות, שנועדו להשמיד מידע במקום או לצד גניבת נתונים, לדוגמא במקרה של Shamoon 2.0  ו-StoneDrill. נחשפו גם שחקני איום, שהגיעו להצלחות, לעיתים לאורך שנים, באמצעות קמפיינים פשוטים וברמה נמוכה.
 
מתקפת EyePyramid באיטליה היא דוגמה טובה לכך. Microcoin היא דוגמא נוספת לדרך בה עברייני סייבר יכולים להגיע ליעד שלהם באמצעות כלים זולים ובחירה זהירה של המטרות.
 
ב-2017 נחשפנו להיקף בו שחקני איום מתקדמים מגוונים את ההכנסות שלהם באמצעות גניבה. דווח על BlueNoroff, קבוצת משנה של קבוצת Lazarus הידועה, שאחראית על ייצור של רווחים בלתי חוקיים. BlueNoroff תקפה גופים פיננסים, בתי קזינו, חברות, מפתחים של תוכנות למסחר פיננסי, ועסקים בתחום המטבע הקריפטוגרפי. אחד מהקמפיינים הבולטים של BlueNoroff היה התקפה על גופים פיננסים בפולין.
 
התקפות על מכשירי כספומט המשיכו לצמוח ב-2017. התוקפים פורצים לתשתיות של בנקים ומערכות תשלום באמצעות קוד זדוני מתוחכם ונטול קבצים, וכן ע"י שיטות מסורתיות יותר של הדבקת כיסוי על מצלמות במעגל סגור וקדיחת חורים. לאחרונה נחשפה התקפה ממוקדת חדשה על גופים פיננסים, בעיקר בנקים ברוסיה, אבל גם בנקים במלזיה וארמניה. התוקפים מאחורי הטרויאני הזה,  Silence, עשו שימוש בגישה דומה לזו של Carbanak.
 
התקפות על שרשרת האספקה הן "בורות ההשקיה" החדשים עבור עסקים. איום, שצמח ב-2017 ונצפה ב-ExPetr ו-ShadowPad. נראה, שימשיך בצמיחה ב-2018.
 
שנה אחרי ההבוטנט Mirai מ-2016, הבוטנט Hajime הצליח לפגוע ב-300 אלף מכשירים מרושתים. זה רק אחד מקמפיינים רבים הממוקדים במכשירים ומערכות מרושתות.
 
ב-2017 נצפו דליפות עצומות של נתונים, עם חשיפה של מיליוני רשומות. אלו כוללות את  Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance ו-Equifax. הדליפה באובר, שהתרחשה באוקטובר 2016 וחשפה נתונים של 57 מיליון לקוחות ונהגים, פורסמה לציבור רק בנובמבר 2017.
 
במהלך השנה גם השתנה האופק של קוד זדוני לנייד, כשאפליקציות טרויאניות לניידים גרמו לקורבנות להיות מוצפים בפרסום אגרסיבי, להיפגע מתוכנות כופר או להתמודד עם גניבת כספים דרך חיוב ב-SMS או WAP.
 
קוד זדוני לניידים מצליח היום יותר מתמיד להימנע מגילויו, לעקוף אמצעי אבטחה ולנצל שירותים חדשים. בדומה ל-2016, אפליקציות רבות כאלו כבר זמינות גם דרך מקורות מוכרים, כגון חנות האפליקציות של גוגל. טרויאנים מוצלחים במיוחד ב-2017 כוללים את Ztorg, Svpeng, Dvmap, Asacub  ו-Faketoken.

מסקנה

2017 הייתה השנה בה דברים רבים התבררו כשונים לחלוטין ממה שנראו בהתחלה. תוכנות כופר התגלו כ-wiper, תוכנות עסקיות הפכו לנשק, שחקנים מתקדמים עשו שימוש בכלים פשוטים בעוד תוקפים ברמה נמוכה יותר השיגו לעצמם כלים מתוחכמים ביותר. התנודות הללו באופק איומי הסייבר מייצרות אתגר גדול יותר למגנים בעולם הסייבר.

מידע נוסף אודות מגמות אלו ועצות כיצד להישאר מוגנים - כאן.