דו"ח מפת האיומים מחצית ראשונה 2021 חושף: זינוק של פי 10 במתקפות כופר
מאת: מערכתTelecom News , 30.8.21, 14:45

הכל על המטרות של מתקפות הכופר, על ניסיונות Malvertising ו-Scareware, על מגמות השימוש בבוטנטים, על הטכניקות המועדפות על פושעי הסייבר, ואיך משבשים את פשיעת הסייבר. שיתופי פעולה מתוזמנים בין גורמי אכיפת החוק, המגזר הציבורי והפרטי, יכולים לשמש כהזדמנות לשבש את מרחב הפעילות של פושעי הסייבר במחצית השנייה של 2021. 

פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דו"ח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים, שנאסף במחצית הראשונה של 2021 מראה עלייה משמעותית בנפח המתקפות המתוחכמות המתמקדות באנשים פרטיים, ארגונים ותשתיות קריטיות. שטח התקיפה המתרחב, שכולל את העובדים המרוחקים והתלמידים הנמצאים בתוך הרשת המסורתית ומחוצה לה, ממשיך להוות מטרה.

ממצאי הדו"ח העיקריים:  

המטרה של מתקפות הכופר היא לא רק כספית: לפי הנתונים של מעבדות FortiGuard, הפעילות הממוצעת של מתקפות הכופר בחודש יוני 2021 הייתה גבוהה פי 10 מאשר באותו פרק זמן בשנה שעברה. עובדה זו ממחישה את העלייה העקבית בפעילות לאורך שנה. מתקפות הכופר גרמו לנזק לשרשראות אספקה של ארגונים רבים,  במיוחד במגזרים בעלי חשיבות קריטית, והשפיעו על חיי היום-יום, הייצור והמסחר יותר מאשר אי פעם.

ארגונים במגזר התקשורת היו היעד המרכזי, כאשר אחריהם ברשימה היו המגזר הממשלתי, ספקי שירותי אבטחה מנוהלים, תעשיית הרכב והייצור. בנוסף, כמה ממפעילי מתקפות הכופר שינו את האסטרטגיה שלהם, שכללה קודם לכן מטענים ייעודיים המתמקדים בדוא"ל, להתמקדות בקבלת גישה לרשתות הארגוניות ומכירת פרטי הגישה, מה שמעיד אף יותר על ההתפתחות המתמשכת של פשיעת סייבר מסוג מתקפות כופר כשירות (RaaS).
 
שכיחות איתור מתקפות כופר לפי מגזרים במחצית הראשונה של 2021:
המסקנה העיקרית העולה מממצאי הדו"ח היא, שמתקפות כופר עדיין מהוות סכנה ברורה עבור כל סוגי הארגונים, ללא קשר לתעשייה, שהם פועלים בה או לגודל שלהם. ארגונים צריכים לנקוט בגישה יזומה באמצעות פתרונות הגנה, איתור ותגובה אוטומטיים לנקודות קצה בזמן אמת כדי לאבטח סביבות, בנוסף להשקעה באסטרטגיות של גישת zero-trust סגמנטציית רשת והצפנה.    

עלייה באיתור מתקפות כופר במהלך 12 החודשים האחרונים (יולי 20 - יוני 21):
ניסיונות Malvertising אותרו ב-1 מכל 4 ארגונים: לפי ממצאי הדו"ח, חלה עלייה בשכיחות של איתור תוכנות זדוניות מסוג malverstising (פרסומות מקוונות הכוללות בתוכן תוכנות זדוניות) וב-scareware (שימוש בטקטיקות הפחדה כדי לגרום למשתמשים לרכוש תוכנות שמכילות תוכנות זדוניות).

למעלה מ-1 מכל 4 ארגונים איתרו ניסיונות malverstising או scareware, כאשר משפחת ה-Cryxos נמצאת בראש הרשימה. חלק גדול מהתוכנות שאותרו שולבו לרוב עם פעילויות JavaScript דומות, שניתן להחשיבן כ-malverstising.

המציאות של העבודה ההיברידית, ללא ספק, עודדה מגמה זו כחלק מהטקטיקות של פושעי הסייבר לניצול המצב, כאשר המטרה שלהם היא לא רק להפחיד, אלא גם לסחוט. כדי להימנע מליפול בפח מטקטיקות של malvertising או scareware, חשוב לספק חינוך והדרכה למודעות לאבטחת סייבר.

מגמות השימוש בבוטנטים מעידות כי התוקפים מתמקדים בקצוות: מעקב אחר השכיחות של איתור בוטנטים מראה עלייה בפעילות שלהם. בתחילת השנה, 35% מהארגונים איתרו פעילות של בוטנטים מסוגים שונים ולאחר 6 חודשים, הנתון עמד על 51%. הטלטלה הגדולה בפעילות של TrickBot אחראית לעלייה הכללית בפעילות הבוטנטים במהלך חודש יוני. הבוטנט TrickBot הופיע במקור כסוס טרויאני, שהתמקד בתחום הבנקאות, אך מאז התפתח לערכת כלים מתוחכמת ובעלת שלבים רבים התומכת במגוון רחב של פעילויות בלתי חוקיות.

בוטנט ה-Mirai היה השכיח ביותר מבין כולם; הוא עקף את Gh0st בתחילת 2020 ומאז נמצא במקום הראשון. Mirai המשיך להוסיף נשקי סייבר חדשים לאוסף שלו, אך ככל הנראה, העליונות שלו נובעת גם הודות לפושעי סייבר המחפשים לנצל התקני IoT, שמשמשים אנשים העובדים או לומדים מהבית.

גם הפעילות של Gh0st ראויה לציון, כאשר מדובר בבוטנט של גישה מרחוק המאפשר לתוקפים לקבל שליטה מלאה על המערכת הנגועה, ללכוד תמונות ממצלמות רשת ומיקרופונים או להוריד קבצים. חלפה כבר למעלה משנה מאז המעבר לעבודה ולימודים מרחוק ופושעי הסייבר ממשיכים להתמקד בהרגלי היום-יום המתפתחים שלנו כדי לנצל זאת לטובתם. כדי להגן על רשתות ויישומים, ארגונים צריכים ליישם מודל של גישת zero-trust ולספק את הגישה המינימלית הדרושה למשתמשים וזאת כדי להגן על עצמם מפני התקני IoT ונקודות קצה הנכנסים לרשת.

שכיחות איתור בוטנטים במחצית הראשונה של 2021:
שיבוש הפעילות של פושעי הסייבר מביא לירידה באיומים: באבטחת סייבר, לא לכל פעולה יש השפעה מידית או מתמשכת, אך מספר אירועים ב-2021 מעידים על התפתחויות חיוביות כתוצאה מנקיטת פעולה לשיבוש. למשל, הפעילות של פושעי הסייבר. המפתח המקורי של ה-TrickBot הועמד לדין עקב מספר רב של אישומים בחודש יוני.

כ"כ, השבתת הפעילות המתואמת של Emotet, אחת מהתוכנות הזדוניות המשגשגות ביותר שנראו לאחרונה, יחד עם פעולות, שנועדו כדי להשבית את הפעילות של תוכנות הכופר Egregor, NetWalker ו-CI0p, מייצגים מומנטום משמעותי מצד  גורמי אבטחת הסייבר, שכוללים, בין היתר, ממשלות ורשויות אכיפת החוק, כדי לרסן את פשיעת הסייבר.

בנוסף לכך, חלק ממתקפות הכופר זכו לתשומת לב רבה, שהפחידה את התוקפים וגרמה להם להכריז על הפסקת הפעילות. לפי הנתונים של מעבדות FortiGuard, נרשמה האטה בפעילות איומים בעקבות ההשבתה של Emotet. אומנם, פעילות הקשורה לגרסאות של TrickBot ו-Ryuk המשיכה לאחר שבוטנט ה-Emotet הורד מהרשת, אך בנפח מופחת. אירועים אלה מסמלים הישגים חשובים במאבק בפשיעת סייבר וגם מהווים תזכורת לקושי למגר את איומי הסייבר ושרשראות האספקה של הפושעים באופן מידי.

התחמקות מאיתור והסלמת הרשאות - הטכניקות המועדפות על פושעי הסייבר: ממצאי הדו"ח חושפים מסקנות בעלות ערך בנוגע להתפתחויות הנוכחיות בטכניקות ההתקפה. החוקרים ניתחו את התוצאות הצפויות עבור פושעי הסייבר באמצעות המחשה של שימוש בתוכנות זדוניות. מתוצאות הניסוי עלה, שבמידה ופושעי הסייבר היו מוציאים לפועל את התוכנות הזדוניות, הם היו מנצלים פגמים במערכות או ביישומים לצורך קבלת גישה ללא צורך בהרשאות (Privilege Escalation), מתחמקים מאמצעי הגנה (Defensive Evasion), נעים מסביב למערכות פנימיות כדי לחלץ נתונים שנפגעו ועוד.

לדוגמה, 55% מפונקציונליות הסלמת ההרשאות שנצפתה מינפה את שיטת hooking המשמשת לשינוי ההתנהגות של מערכת הפעלה, תוכנה או קוד ו-40% ניצלה את שיטת process injection.

המסקנה העולה מהממצאים היא, שהתוקפים מתמקדים בטכניקות של התחמקות מאיתור והסלמת הרשאות. למרות שלא מדובר בטכניקות חדשות, צוותי האבטחה יהיו מסוגלים לספק אבטחה טובה יותר נגד מתקפות עתידיות אם יהיה ברשותם הידע לגביהן בזמן המתאים. גישות של פלטפורמה משולבת ומבוססת בינה מלאכותית, המונעת ע"י מודיעין איומים, שניתן לפעול לפיו, הן הכרחיות כדי להגן על כל הקצוות, לזהות ולתקן בזמן אמת את האיומים המשתנים שהארגונים מתמודדים עמם כיום.

שיתופי פעולה, הדרכה, מניעה, איתור ותגובה מבוססי בינה מלאכותית יסייעו לעצור את פשיעת הסייבר   
בזמן שהממשלה ורשויות אכיפת החוק נקטו בפעולות הקשורות להתמודדות עם פשיעת סייבר בעבר, האיומים, שנראו במחצית הראשונה של 2021 יכולים לשנות את חוקי המשחק העתידיים. כדי לעשות זאת, יש צורך בשיתוף פעולה עם ספקים בתעשייה, ארגוני מודיעין איומים וארגונים גלובליים נוספים כדי לשלב משאבים ומודיעין איומים בזמן אמת כדי להתמודד עם פושעי הסייבר.

כ"כ, יש צורך באיתור איומים אוטומטי ובינה מלאכותית כדי לאפשר לארגונים להתמודד עם מתקפות בזמן אמת ולמנוע מתקפות במהירות ובקנה מידה גדול לאורך כל הקצוות. בנוסף לכך, חשוב ליישם הדרכות מודעות לאבטחת סייבר למשתמשים  עבור כל אחד המהווה מטרה עבור התוקפים.

דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט: "אנו רואים עלייה במתקפות סייבר יעילות והרסניות המשפיעות על אלפי ארגונים בתקרית בודדת, מה שיוצר נקודת הטיה חשובה עבור המלחמה בפשיעת סייבר. כיום, יותר מתמיד, לכל אחד יש תפקיד חשוב בחיזוק שרשרת ההרג של המתקפות.

יש להתמקד בשיתופי פעולה בין גורמים שונים כדי לשבש את שרשראות האספקה של פושעי הסייבר, כאשר שיתוף נתונים יכול לאפשר תגובות יעילות יותר ולחזות בצורה טובה יותר את הטכניקות העתידיות לסיכול הפעולות של פושעי הסייבר. גם הדרכות מודעות מתמשכות לאבטחת סייבר, יחד עם טכנולוגיות מניעה, איתור ותגובות מבוססות בינה מלאכותית המשולבות לאורך נקודות קצה, רשתות והענן, כולן חיוניות למאבק בפשיעת הסייבר".