קבוצות הכופרה Hive, LockBit ו-BlackCat תקפו את אותה רשת בזו אחר זו
מאת: מערכת Telecom News, 10.8.22, 9:28

הארגונים, שנפלו קורבן למתקפות הכופרה האלו, קיבלו 3 דרישות נפרדות לתשלום דמי כופר בתמורה לשחרור המידע שהוצפן 3 פעמים שונות.

סופוס (Sophos), חברת אבטחת מידע וסייבר, פרסמה דו"ח איומים פעילים בשם "Multiple Attackers: A Clear and Present Danger (ריבוי־תוקפים: סכנה ברורה ומיידית)," שנכתב ע"י צוות מומחי הסייבר Sophos X-Ops בסופוס ובמסגרתו דווח, ש-3 קבוצות כופרה מוכרות – Hive, LockBit ו-BlackCat - תקפו את אותה רשת בזו אחר זו. 2 המתקפות הראשונות התרחשו בהפרש של שעתיים זו מזו, בעוד שהשלישית אירעה שבועיים לאחריהן. כל קבוצת כופרה שלחה דרישה משלה לתשלום דמי כופר, וחלק מהקבצים הוצפנו 3 פעמים.

בדו"ח מתוארים מקרים נוספים, שבהם אירעו מתקפות סייבר במקביל או בסמיכות זו לזו, ובהן מתקפות להשתלת תוכנות לכריית מטבעות מבוזרים (קריפטוגרפים), סוסים טרויאנים המאפשרים גישה מרחוק (RAT) ובוטים. אם עד כה התאפיינו מתקפות על אותה רשת, שבהן היו מעורבים כמה תוקפים בהפרשים של שבועות וחודשים ארוכים ביניהן, המתקפות, שנחשפות עכשיו בדו"ח, התרחשו בהפרש של ימים או שבועות בודדים, ובאחד המקרים אפילו בו־זמנית, כשבד"כ ניצלו התוקפים את אותה חולשת אבטחה כדי לתקוף שוב את אותה רשת.

בד"כ, קבוצות התקיפה מתחרות על משאבים, מה שמקשה על תרחיש של ריבוי־מתקפות כנגד אותה רשת. כך לדוגמה: תוכנות לכריית מטבעות מבוזרים (קריפטוגרפים) בד"כ מחסלות את המתחרים האחרים הפועלים באותה רשת, וכיום מפורסמת בפורומים של פושעי סייבר יכולתם של סוסים טרויאנים המאפשרים גישה מרחוק (RAT) לחסל בוטים מתחרים כיתרון תחרותי.

עם זאת, במתקפה, שבה היו מעורבות 3 קבוצות הכופרה, לא רק שקבוצת BlackCat, האחרונה לפרוץ לרשת, מחקה כל  זכר לפעילותה, אלא שהיא גם מחקה כל זכר לפעילותן של קבוצות LockBit ו־Hive. במקרה אחר, המערכת הודבקה בכופרת LockBit וכ-3 חודשים לאחר מכן ניצלה קבוצת Karakurt, שלה קשרים עם קבוצת הכופרה Conti, את הדלת האחורית, ששתלה קבוצת LockBit, כדי לגנוב מידע רגיש ולדרוש תמורתו דמי כופר.

מרבית ההדבקות הראשונות המתוארות בדו"ח של סופוס ניצלו חולשות אבטחה מוכרות שלא תוקנו בזמן, ובהן Log4Shell, ProxyLogon ו-ProxyShell או ליקויים בהגדרת תצורת שרתי RDP, שהותירה אותם חשופים. ברוב המקרים, שבהם היו מעורבים כמה תוקפים, לא הצליחו הארגונים לתקן את חולשות האבטחה, שהובילו למתקפה הראשונית ונותרו חשופים למתקפות נוספות מצד פושעי סייבר אחרים.

פושעי הסייבר השתמשו באותם ליקויים בהגדרת תצורת שרתי ה־RDP וביישומי גישה מרחוק כמו RDWeb או AnyDesk כדי להוציא לפועל מתקפות נוספות כנגד אותה רשת. רשימות של שרתי RDP ו־VPN חשופים הן אחת מהסחורות המבוקשות ביותר ברשת האפלה.

ג'ון שייר, (בתמונה משמאל), יועץ אבטחה בכיר בסופוס: "אם ההתמודדות עם מתקפת כופרה לא הייתה קשה מספיק גם ככה, הרי שאיום חדש מאיים להפוך את מתקפות הכופרה לסיוט של ממש.  ריבוי-תוקפים על אותה רשת יוצר רמת מורכבות וקושי חדשים לגמרי בכל הנוגע להתאוששות יעילה ממתקפת כופר, ובפרט כאשר הקבצים הוצפנו 3 פעמים. אף אחד לא חסין מפני האיום החדש הזה, ויכולות מניעה, זיהוי ותגובה למתקפת סייבר הופכות לחיוניות אפילו יותר עבור ארגונים מכל הגדלים וענפי המשק.

בגדול, נדמה שאין עוינות בין קבוצות הכופרה השונות. למעשה, בדו"ח נחשף, שקבוצת הכופרה LockBit מצהירה במפורש, שהיא לא אוסרת על פושעי סייבר המשתמשים בתוכנת הכופרה שלה לעבוד עם קבוצות כופרה מתחרות. אין לנו ראיות מוצקות לשיתופי פעולה רשמיים בין הקבוצות, אבל ייתכן שהגישה הפייסנית הזאת נעוצה בכך, שהתוקפים מבינים, שמספר המטרות בשוק הוא סופי ושהתחרות על כל אחת מהן הולכת וגדלה.

ייתכן שהם מאמינים, שככל שהקורבנות ימצאו עצמם במצוקה גדולה יותר, כמו במקרה של ריבוי-מתקפות על אותו ארגון, כך יגדלו הסיכויים, שהם ישלמו את דמי הכופר.

אפשרות נוספת היא, שראשי הקבוצות האלו נמצאים בקשר ומסכמים ביניהם על שיתופי פעולה לתועלת הדדית, כמו חלוקת אחריות, שבה קבוצה אחת אחראית על הצפנת המידע והשנייה על הוצאתו מחוץ לרשת. בשלב מסוים, יהיה על הקבוצות האלו להחליט האם להרחיב את שיתופי הפעולה או לאסור עליהם ולהפוך ליריבות, אבל לעת עתה אין חוקים וזירת הסייבר נותרת חשופה לריבוי-מתקפות על אותם ארגונים ומערכות".