דו"ח מפת האיומים למחצית 2020: מהן 5 התעשיות המותקפות ביותר בתוכנות כופר?
מאת: מערכת Telecom News, 30.8.20, 14:20

הדו"ח מראה את השינוי הדרמטי, שבו פושעי סייבר ומדינות זרות ממנפים את מגפת הקורונה הגלובלית בתור הזדמנות להשיק מתקפות סייבר רבות ומגוונות ברחבי העולם. פושעי הסייבר מתמקדים בעובדים מרחוק כדי לקבל גישה לרשתות ארגוניות ולנתונים קריטיים.

פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דו"ח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים אשר נאסף ע"י מעבדות FortiGuard במחצית הראשונה של 2020 מראה את השינוי הדרמטי, שבו פושעי סייבר ומדינות זרות ממנפים את מגפת הקורונה הגלובלית בתור הזדמנות להשיק מתקפות סייבר רבות ומגוונות ברחבי העולם.

ההסתגלות של התוקפים למצב החדש אפשרה גלי מתקפות אשר מתמקדים בפחד ובחוסר הוודאות הנובעים מהאירועים של החודשים האחרונים, יחד עם הריבוי הפתאומי של עובדים מרוחקים הנמצאים מחוץ לרשת הארגונית, שהרחיבה במהירות את שטח התקיפה הדיגיטלי.

אומנם, מגמות איומים רבות, שנחשפו בדו"ח, היו קשורות למגפת הקורונה, איומים מסוימים עדיין היו בעלי מניעים, שאינם קשורים למגפה. למשל, מתקפות של תוכנות כופר, מתקפות המתמקדות בהתקני האינטרנט של הדברים (IoT) ובטכנולוגיה תפעולית (OT) כלל לא פחתו, אלא התפתחו והפכו לממוקדות ומתוחכמות יותר.  

מרבית האיומים המופיעים בדו"ח אותרו בכל רחבי העולם ולאורך מרבית התעשיות, כאשר ניתן לראות הבדלים מסוימים בין אזורים גיאוגרפיים או תעשיות שונות. בדומה למגפת הקורונה, ייתכן, שאיום כלשהו החל את פעולתו באזור אחד, אך בסופו של דבר, התפשט כמעט לכל מקום, כאשר המשמעות היא, שרוב הארגונים היו יכולים להתמודד עם האיום כבר ברמה המקומית. ההבדלים בשיעורי ההדבקה באזורים השונים התבססו על גורמים כמו מדיניות, שיטות אבטחה ותגובה לאיומים.
להלן ממצאי הדו"ח העיקריים:  
מנצלים את ההזדמנות בעקבות אירועים גלובליים: התוקפים כבר השתמשו בעבר בשיטות כמו הנדסה חברתית, אך במחצית הראשונה של 2020 הם עברו לשלב הבא. החל מהאקרים המעדיפים מתקפות פישינג (Phishing) מזדמנות ועד לפעילות עוינת של מדינות, פושעי הסייבר מצאו דרכים רבות לנצל את המגפה הגלובלית למטרתם האישית בקנה מידה גדול.

דבר זה כולל מתקפות פישינג והתחזות דרך הדואר האלקטרוני העסקי, מתקפות המגובות ע"י מדינות ומתקפות מבוססות תוכנות כופר. הפושעים עבדו כדי למקסם את טבעה הגלובלי של המגפה, שהשפיעה על כל בני האדם ברחבי העולם, בשילוב עם שטח התקיפה הדיגיטלי, שהתרחב בן לילה. מגמות אלו ואחרות מדגימות באיזו מהירות התוקפים יכולים לפעול כדי לנצל התפתחויות משמעותיות בעלות השפעה חברתית רחבה ברמה הגלובלית.    

הרשת הארגונית הופכת לאישית יותר: העלייה העצומה במספר העובדים מרחוק יצרה היפוך דרמטי של הרשתות הארגוניות כמעט בן לילה, כאשר פושעי הסייבר החלו מיד למנף את ההזדמנות הזאת. במחצית הראשונה של 2020, ניסיונות פגיעה בנתבים של צרכנים פרטיים והתקני IoT היו בראש הרשימה עבור מנועי IPS (מערכת למניעת חדירות).

בנוסף לכך, הבוטנטים Mirai ו-Gh0st התגלו כבוטנטים השכיחים ביותר, שהיו בשימוש של תוקפים המתמקדים בנקודות תורפה ישנות וחדשות בהתקני IoT. מגמות אלו מדגימות כיצד מרחב ההתקפה התרחב עד לרשת הביתית, כאשר פושעי הסייבר מחפשים להשיג טביעת רגל ברשת הארגונית באמצעות ניצול התקנים הנמצאים בשימוש של העובדים המרוחקים כדי להתחבר באמצעותם לרשת הארגונית שלהם.   

הדפדפנים מהווים יעד: עבור התוקפים, המעבר לעבודה מרחוק היווה הזדמנות חסרת תקדים להתמקד באנשים העובדים מהבית ולא חושדים בדבר במגוון דרכים שונות. למשל, תוכנות זדוניות, שמבוססות על אתרי אינטרנט, שימשו לצורך מתקפות פישינג והונאות אחרות הרבה יותר מאשר מתקפות מסורתיות אחרות המבוססות על דואר אלקטרוני במהלך חצי השנה האחרונה.

יותר מכך, אוסף של תוכנות זדוניות הכולל את כל הגרסאות של פיתיונות והונאות פישינג המבוססות על אתרי אינטרנט דורג במיקום הגבוה ביותר עבור תוכנות זדוניות בינואר ופברואר 2020 ולא היה כלולה בחמישייה הראשונה בחודש יוני. נתון זה מדגיש את הניסיון של פושעי הסייבר למקד את המתקפות שלהם בזמן שבו היעד שלהם הוא הכי פגיע - כאשר הוא גולש באינטרנט בביתו. דפדפני אינטרנט, ולא רק התקנים, מהווים גם הם יעדים מרכזיים עבור פושעי הסייבר היום יותר מתמיד, כאשר הפושעים ממשיכים להתמקד בעובדים המרוחקים.

תוכנות הכופר לא בורחות לשום מקום: איומים ידועים היטב כמו תוכנות כופר לא התמעטו במהלך חצי השנה האחרונה. הודעות וקבצים מצורפים הקשורים למגפת הקורונה שימשו כדי לפתות את הקורבנות במספר מתקפות תוכנות כופר שונות. תוכנות כופר אחרות התגלו כאשר הן משכתבות את סקטור האתחול בדיסק המקומי המכיל את רצף הפקודות הנחוצות לאתחול מערכת (MBR) לפני שהן מצפינות את הנתונים.

בנוסף לכך, הייתה עלייה במתקפות של תוכנות כופר, שבהן התוקפים לא רק נעלו את הנתונים הארגוניים של הקורבן, אלא גם גנבו אותם והשתמשו באיום של הפצה רחבה של הנתונים כמינוף נוסף כדי לנסות לסחוט תשלום כופר. מגמה זו מדגישה בצורה משמעותית את הסיכונים של הארגון לאבד מידע בעל ערך או נתונים רגישים אחרים במתקפות תוכנות כופר עתידיות.

באופן גלובלי, אף תעשייה לא ניצלה מפעילות של תוכנות כופר והנתונים מראים, ש-5 התעשיות המותקפות ביותר בתוכנות כופר הן טלקום, ספקי שירותי אבטחה מנוהלים (MSSP), חינוך, ממשל וטכנולוגיה. העלייה של תוכנות הכופר הנמכרות כשירות (RaaS) וההתפתחות של גרסאות שונות מצביעות על כך, שתוכנות הכופר לא הולכות לשום מקום.   
 
איומי ה-OT שהתפתחו לאחר Stuxnet: חודש יוני סימן עשור להופעתו של Stuxnet, שהיה כלי עזר בהתפתחות איומי אבטחה בתחום הטכנולוגיה התפעולית. כיום  רשתות OT עדיין מהוות יעד עבור פושעי הסייבר. תוכנת הכופר EKANS מראה, שהתוקפים ממשיכים להרחיב את ההתמקדות על מתקפות של תוכנות כופר. כך, שתכלולנה גם סביבות OT.

כ"כ, מסגרת העבודה, שנועדה לריגול Ramsay, שתוכננה כדי לאסוף ולחלץ קבצים רגישים ברשתות מבוססות air-gap או רשתות מוגבלות מאוד, היא דוגמה לסוג של איום המחפש דרכים חדשות, שבהן יוכל לחדור לרשתות אלו. השכיחות של איומים המתמקדים במערכות פיקוח, שליטה ואיסוף נתונים (SCADA) ובסוגים אחרים של מערכות בקרה תעשייתיות (ICS) נמוך יותר מבחינת נפח מאשר איומים המשפיעים על ה-IT, אך דבר זה לא מפחית את החשיבות של מגמה זו. 

מיפוי מגמות הניצול: סקירה של ה-CVE List (פגיעויות וחשיפות נפוצות) מראה, שמספר נקודות התורפה המפורסמות, שנוספו לרשימה, עלה במהלך השנים האחרונות, מה שהצית דיון בנוגע לתיעדוף של העדכונים. גם אם 2020 נראית כשנה, שהולכת לשבור את מספר נקודות התורפה הידועות במהלך שנה אחת, לנקודות תורפה אלו יש גם את שיעור הניצול הנמוך ביותר, שתועד במהלך 20 שנות ההיסטוריה של ה-CVE List.

בינתיים, נקודות תורפה מ-2018 היו בעלות שכיחות הניצול הגבוהה ביותר עם 65%, כאשר מעל לרבע מהארגונים תיעדו ניסיונות לנצל CVE בנות 15 שנה. עבור פושעי הסייבר, פיתוח פגיעויות בקנה מידה גדול והפצתן באמצעות כלי פריצה לגיטימיים וזדוניים ממשיכים לקחת זמן.   

עופר ישראלי, מנהל פעילות פורטינט ישראל: "עם העלייה בקישוריות, מספר ההתקנים והצורך המתמשך בעבודה מרחוק, שטח התקיפה הדיגיטלי ממשיך להתרחב. כאשר היקף הרשת הארגונית מתרחב לבתים הפרטיים של העובדים, התוקפים מחפשים אחר החוליה החלשה ביותר ואחר הזדמנויות תקיפה חדשות. ארגונים צריכים להתכונן ע"י נקיטת צעדים ממשיים כדי להגן על המשתמשים, ההתקנים והמידע שלהם בדרכים דומות לאלו שבהן הם מגינים על הרשת הארגונית.

ארגוני מודיעין וחקר איומים יכולים לסייע לספק תובנות עמוקות על התפתחות מפת האיומים, יחד עם ניתוח מעמיק של השיטות וגורמי התקיפה כדי לסייע להרחיב את הידע של הארגונים אודות איומי סייבר. מעולם לא היה צורך גדול יותר כמו היום בפתרונות מאובטחים, שנועדו לאפשר לעובדים מרחוק לקבל גישה מאובטחת למשאבים קריטיים, תוך התאמה כדי לעמוד בדרישות של כל כוח העבודה. רק פלטפורמת אבטחת סייבר, שתוכננה כדי לספק נראות והגנה מקיפות לאורך כל שטח התקיפה הדיגיטלי,ובכלל זה סביבות רשת, יישומים, multi-cloud ומובייל, מסוגלת לאבטח את הרשתות המתפתחות במהירות של ימינו".

דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט: "ב-6 החודשים הראשונים של 2020 היינו עדים למפת איומי סייבר חסרת תקדים. קנה המידה הדרמטי וההתפתחות המהירה של שיטות התקפה מדגימים את הזריזות, שבה הפושעים משנים את האסטרטגיות שלהם כדי למקסם את האירועים הנוכחיים לתועלתם האישית.

מעולם לא הייתה תמונה ברורה יותר מאשר היום באשר לצורך של הארגונים להתאים את אסטרטגיות ההגנה שלהם כדי להתחשב בצורה מלאה בהיקף הרשת המתרחב מהרשת הארגונית אל בתי העובדים. ארגונים מוכרחים לנקוט באמצעים כדי להגן על העובדים המרוחקים שלהם ולסייע להם לאבטח את ההתקנים והרשתות הביתיות שלהם לטווח הארוך. כ"כ, יש צורך לשקול לאמץ את אותה האסטרטגיה עבור וירוסים במרחב הווירטואלי, שאותו אנו מאמצים בעולם האמיתי - ריחוק חברתי בעולם הסייבר משמעו לזהות את הסיכונים ולשמור מהם מרחק".