דו"ח מפת האיומים 2022: מתקפות הכופר ממשיכות להיות הרסניות וחסרות רחמים
מאת מערכת Telecom News, 1.3.22, 18:01

חולשות Log4j מדגימות את מהירות הניצול הגבוהה עמה מתמודדים הארגונים. מערכת ההפעלה Linux הפכה למטרה פופולרית ביותר עבור התוקפים. כדי להגן על רשתות ויישומים, ארגונים מוכרחים ליישם פתרונות במודל גישת רשת Zero Trust

פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דו"ח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים, שנאסף במחצית השנייה של 2021, מראה עלייה באוטומציה ובמהירות המתקפות, מה שמעיד על אסטרטגיות מתקדמות ועיקשות יותר של פושעי הסייבר, שהובילו למתקפות בלתי צפויות והרסניות יותר. כ"כ, שטח התקיפה המתרחב המורכב מעובדים וצוותי IT היברידיים מהווה מוקד לניצול עבור התוקפים.

להלן ממצאי הדוח העיקריים:  

חולשות Log4j מדגימות את מהירות הניצול הגבוהה עמה מתמודדים הארגונים: חולשות ה-Log4j, שהופיעו בסוף 2021 מדגימות את מהירות הניצול הגוברת שלהן ע"י פושעי הסייבר. למרות שהחולשה הופיעה בשבוע השני של דצמבר, פעילותה  עלתה במהירות גבוהה דיה כדי להפוך אותה לאיתור ה-IPS (מערכת למניעת חדירות) השכיח ביותר של כל המחצית השנייה של 2021 וכל זאת, תוך פחות מחודש אחד.

בנוסף לכך, נפח הפעילות של Log4j היה גבוה כמעט פי 50 בהשוואה להתפרצות ה-ProxyLogon, שהופיעה מוקדם יותר ב-2021. המציאות היא, שלארגונים יש מעט מאוד זמן כדי להגיב או לעדכן את הרשתות והמערכות שלהם היום בהינתן המהירות, שבה פושעי הסייבר פועלים כדי למקסם הזדמנויות חדשות.

ארגונים זקוקים למערכות למניעת חדירות (IPS) מבוססות בינה מלאכותית ולמידת מכונה, אסטרטגיות ניהול עדכונים תוקפניות ונראות, שניתן להשיג באמצעות מודיעין איומים, כדי לתעדף את האיומים המתפשטים במהירות הגבוהה ביותר כדי להפחית את הסיכון הכולל.   

השוואה בין הנפח המצטבר של Log4j לחולשות קודמות בפרופיל גבוה:
פושעי הסייבר מתמקדים במהירות בגורמים חדשים לאורך שטח התקיפה: לחלק מהאיומים, ששומרים על פרופיל נמוך, יש את הפוטנציאל לגרום לבעיות גדולות בעתיד וכדאי לעקוב אחריהם. דוגמה לכך זו תוכנה זדונית חדשה, שתוכננה לנצל מערכות Linux, לעיתים קרובות בצורה של קבצים בינאריים הניתנים להרצה ולקישור (ELF).

מערכת ההפעלה Linux מריצה את מערכות ה-back-end של רשתות ופתרונות מבוססי-קונטיינרים עבור התקני IoT ויישומים קריטיים והופכת למטרה פופולרית יותר עבור התוקפים. למעשה, שיעור חתימות התוכנות הזדוניות של Linux ברבעון הרביעי היה גבוה פי 4 מאשר ברבעון הראשון של 2021 עם גרסת ELF של Muhstik, התוכנה הזדונית RedXOR ואפילו חולשת ה-Log4j, שמהוות דוגמאות לאיומים המתמקדים ב-Linux.

השכיחות של ELF ואיתור של תוכנות זדוניות נוספות של Linux הוכפלו במהלך 2021. צמיחה זו בגרסאות ובנפח מציעה כי תוכנות זדוניות של Linux תופסות חלק גדול יותר מהמאגר של פושעי הסייבר. לכן, יש לאבטח, לנטר ולנהל את מערכת ההפעלה Linux בדומה לכל נקודת קצה אחרת ברשת באמצעות הגנה, איתור ותגובה מתקדמים ואוטומטיים לנקודות קצה.

בנוסף לכך, יש לתעדף מדיניות אבטחה כדי לספק הגנה פעילה מפני איומים עבור מערכות העלולות להיות מושפעות ע"י איומים השומרים על פרופיל נמוך. 
 
מגמות הבוטנטים מעידות על התפתחות מתוחכמת יותר של שיטות תקיפה: מגמות האיומים מדגימות, שובטנטים מתפתחים כדי לאמץ טכניקות תקיפה חדשות ומפותחות יותר. במקום שהם יהיו עשויים מקשה אחת וממוקדים בעיקר במתקפות מניעת שירות (DDoS), הבוטנטים כעת הם כלי תקיפה רב-תכליתיים הממנפים מגוון של טכניקות תקיפה מתוחכמות יותר, כולל מתקפות כופר.

למשל, גורמי איום הכוללים מפעילי בוטנטים כמו Mirai, שילבו כלי ניצול עבור חולשת ה-Log4j בתוך ערכות התקיפה שלהם. כ"כ, אותרה פעילות בוטנטים, שקשורה לגרסה חדשה של התוכנה הזדונית RedXOR, שמתמקדת במערכות Linux לצורך חילוץ נתונים.

איתורים של בוטנטים המספקים גרסה של התוכנה הזדונית RedLine Stealer גם זינקו בתחילת אוקטובר 2021 ושינו את צורתם כדי למצוא מטרות חדשות תוך שימוש בקובץ בנושא ה-COVID.

כדי להגן על רשתות ויישומים, ארגונים מוכרחים ליישם פתרונות במודל גישת רשת Zero Trust לצורך אספקת הרשאות גישה מינימליות, במיוחד כדי לאבטח את נקודות הקצה של ה-IoT והתקנים הנכנסים לרשת. זאת, לצד יכולות איתור ותגובה אוטומטיות כדי לנטר התנהגות חריגה.  

מגמות התוכנות הזדוניות מראות, שפושעי הסייבר ממקסמים את כל מה שנמצא מרחוק: הערכה של שכיחות גרסאות התוכנות הזדוניות לפי אזורים חושפת עניין מתמשך מצד פושעי הסייבר במיקסום היבט העבודה והלימוד מרחוק. בפרט, נמצאה שכיחות של מגוון גרסאות של תוכנות זדוניות מבוססות דפדפן. מדובר לרוב בפיתיונות מסוג פישינג (phishing) או סקריפטים המחדירים קוד או מנתבים מחדש משתמשים לאתרים זדוניים.

האיתורים הספציפיים משתנים בין אזורים גלובליים, אך באופן כללי הם ממנפים 3 מנגנוני הפצה רחבים:

קבצי הרצה של Microsoft Office כמו Excel או Office,
קבצי PDF
סקריפטים של דפדפן כמו HTML ו-JavaScript.

טכניקות אלו ממשיכות לשמש כדרך פופולרית עבור פושעי הסייבר לנצל את רצון האנשים לקבל את החדשות העדכניות ביותר בנוגע למגפת הקורונה, פוליטיקה, ספורט ונושאים נוספים על סדר היום ואז, למצוא דרכי כניסה המובילות לרשתות הארגוניות.

כאשר העבודה והלימוד מרחוק הפכו למציאות שלנו, ישנן שכבות מעטות יותר של הגנה בין התוכנה הזדונית לקורבן הפוטנציאלי. ארגונים מוכרחים לנקוט בגישת "עבודה מכל מקום" בכל הנוגע לאבטחה שלהם באמצעות פריסת פתרונות המסוגלים לעקוב, לתת גישה ולהגן על משתמשים בכל מקום שבו הם נמצאים. הם זקוקים לאבטחת נקודות קצה (EDR).

שכיחות של גרסאות עדכניות של תוכנות זדוניות לפי אזורים במהלך המחצית השנייה של 2021:  
פעילות מתקפות הכופר עדיין גבוהה ואף יותר הרסנית: הנתונים של מעבדות FortiGuard חושפים, שרמות השיא של מתקפות הכופר לא שככו במהלך השנה האחרונה ובמקום זאת, התחכום, התוקפנות וההשפעה שלהן הולכים וגוברים.

הגורמים העוינים ממשיכים לתקוף ארגונים עם מגוון זנים חדשים ומוכרים של מתקפות כופר, שלעיתים משאירות שובל של הרס. מתקפות כופר ישנות מעודכנות ומשודרגות באופן פעיל, לעיתים כדי לכלול מתקפות כופר אשר מוחקות קבצים (Wiper), בעוד שמתקפות אחרות מתפתחות כדי לאמץ מודלים עסקיים מסוג מתקפת כופר כשירות (RaaS). מתקפות מסוג RaaS מאפשרות לגורמי איום רבים יותר למנף ולהפיץ את התוכנה הזדונית ללא הצורך ליצור את המתקפה בעצמם.

חוקרי מעבדות FortiGuard זיהו רמה גבוהה של פעילות זדונית המערבת זנים רבים של מתקפות כופר, כולל גרסאות חדשות של Phobos, Yanluowang ו-BlackMatter. אומנם, המפעילים של BlackMatter הצהירו, שלא יתקפו ארגונים במגזר הבריאות ומגזרי תשתיות קריטיות נוספים, אך עשו זאת בכל מקרה.
מתקפות הכופר הן עדיין המציאות עבור כל הארגונים בכל התעשיות והגדלים. לכן, ארגונים צריכים לנקוט בגישה יזומה הכוללת נראות, ניתוח, הגנה וטיפול בזמן אמת יחד עם פתרונות בגישת Zero Trust, סגמנטציה וגיבוי נתונים קבוע.
 
איתור שבועי של מתקפות כופר במהלך 18 החודשים האחרונים (יולי 2020 – דצמבר 2021):
הבנה עמוקה של טכניקות התקיפה יכולה לסייע לעצור את הפושעים מהר יותר: קיימת חשיבות לניתוח של מטרות התקיפה של הגורמים העוינים כדי להיערך בצורה טובה יותר עם הגנות נגד טכניקות התקיפה המשתנות במהירות. כדי לבחון את ההשפעות הזדוניות של מתקפות שונות, חוקרי מעבדות FortiGuard ניתחו את הפונקציונליות של תוכנות זדוניות, שאותרו על ידם באמצעות פיצוץ הדגימות שנאספו במהלך השנה.

התוצאה הייתה רשימה של טקטיקות, טכניקות ותהליכים (TTPs), שהתוכנה הזדונית הייתה משלימה במידה והמטענים הייעודיים של המתקפה היו יוצאים לפועל. מודיעין זה ברזולוציה גבוהה מראה, שעצירה של תוקף בשלב מוקדם חיונית יותר מתמיד ושע"י התמקדות בקומץ הטכניקות, שזוהו, הארגון יכול, במקרים מסוימים, להשבית ביעילות את שיטות התקיפה של התוכנה הזדונית.

לדוגמה, 3 הטכניקות המובילות עבור שלב "ההוצאה לפועל" מהוות 82% מהפעילות. 2 הטכניקות המובילות לקבלת דריסת רגל בשלב "ההתמדה" מייצגות קרוב ל-95% מהפונקציונליות שנצפתה.

למינוף של ניתוח זה יכולה להיות השפעה דרמטית על הדרך שבה ארגונים מתעדפים אסטרטגיות אבטחה כדי למקסם את ההגנה שלהם.    
 
שכיחות הטכניקות עבור טקטיקות נבחרות במהלך המחצית השנייה של 2021:
מגינים מפני פושעי סייבר מתוחכמים המתקדמים במהירות: ככל שהמתקפות ממשיכות להתפתח ברמת התחכום ומשתרעות על פני שטח התקיפה המלא במהירות גוברת, ארגונים זקוקים לפתרונות, שתוכננו כדי לעבוד יחד ולא בצורה מבודדת. אבטחה נגד טכניקות תקיפה מתפתחות תדרוש פתרונות חכמים יותר היודעים כיצד להשתמש במודיעין איומים בזמן אמת, לאתר דפוסים וטביעות אצבע של איומים, לתאם כמויות עצומות של נתונים כדי לזהות חריגות וליזום באופן אוטומטי תגובה מתואמת. מוצרים נקודתיים צריכים להיות מוחלפים עם פלטפורמת אבטחת סייבר רב-שכבתית המספקת ניהול מרכזי, אוטומציה ופתרונות משולבים שעובדים בתיאום. 

דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט: "תעשיית אבטחת הסייבר היא תעשייה דינמית המתקדמת במהירות, אך אירועי הסייבר האחרונים מראים מהירויות חסרות תקדים, שבהן פושעי הסייבר מפתחים ומוציאים לפועל מתקפות כיום.

טכניקות איומים חדשות ומתפתחות משתרעות על פני כל שרשרת ההרג, אך במיוחד בשלב החימוש, מה שמעיד על התפתחות של אסטרטגיית פשיעת סייבר מתקדמת ועיקשת יותר, שהיא יותר הרסנית ובלתי צפויה.

כדי להגן מפני ההיקף הרחב של האיומים, ארגונים צריכים ליישם אסטרטגיות מניעה, איתור ותגובה מבוססות בינה מלאכותית, בהתבסס על ארכיטקטורת אבטחת סייבר רב-שכבתית, מה שמאפשר התממשקות הדוקה יותר, אוטומציה מוגברת, יחד עם תגובה מהירה יותר, מתואמת ויעילה לאיומים ברחבי הרשת המורחבת".