תחזית איומי הסייבר ל-2023: פריחת שוק פשיעת הסייבר כשירות (RaaS)
מאת: מערכת Telecom News, 18.11.22, 18:00
 
נכון לנובמבר 2022, התרחב מודל פשיעת הסייבר כשירות וכיום אפשר לקנות כמעט כל יכולת ומרכיב של מתקפת הסייבר. זירות הסחר ברשת האפלה שינו את פניהן. מתקפות כופרה ממשיכות להיות אחד מאיומי הסייבר הגדולים ביותר על ארגונים ועסקים. צפויה והתגברות הביקוש לפרטי הזדהות גנובים.
 
סופוס (Sophos), שעוסקת באבטחת מידע וסייבר כשירות, פרסמה את תחזית איומי הסייבר ל-2023. סקירת איומי הסייבר של סופוס ל-2023 מבוססת על עבודת המחקר של צוות מומחי הסייבר Sophos X-Ops, יחידה חדשה המאגדת את מומחיות הסייבר המוכחת של 3 מחלקות בחברה (ophosLabs, Sophos SecOps ו-Sophos AI). בצוות Sophos X-Ops חברים יותר מ־500 מומחי אבטחת סייבר מכל רחבי העולם ותכליתו לספק ניתוח מקיף ומלא של מרחב איומי הסייבר, שהולך והופך למורכב יותר.
 
הסקירה מתארת את פריחת מודל פשיעת סייבר כשירות (RaaS), שמאפשר גם לתוקפים לא מיומנים ובעלי יכולות טכנולוגיות מוגבלות לקבל גישה לכלי תקיפה מתקדמים, ושלנוכח המשך הפיכת מתקפות הכופרה למתוחכמות יותר ועליית הביקוש לפרטי הזדהות גנובים, מתקפות הכופרה ממשיכות להיות אחד האיומים העיקריים על ארגונים.

זירות סחר של פשיעת סייבר כמו ג'נסיס (Genesis) מאפשרות זה מכבר לקנות נוזקות ושירותים לצורך הפצתן (במודל 'נוזקה כשירות'), וכן מסדי נתונים המכילים שמות משתמש וסיסמאות גנובים ומידע אישי רגיש נוסף. הצלחתן של מתקפות הכופרה בעשור האחרון הובילה לאימוצו של מודל הכופרה כשירות, שמאפשר גם לתוקפים בעלי משאבים כלכליים ויכולות טכנולוגיות מוגבלים לקבל גישה לכלי תקיפה ולהוציא לפועל מתקפות כופרה ללא מאמץ. נכון לנובמבר 2022, התרחב מודל פשיעת הסייבר כשירות וכיום אפשר לקנות כמעט כל יכולת ומרכיב של מתקפת הסייבר: מהדבקה הראשונית של מערכת היעד ועד לדרכים להסוות את הפעילות הזדונית כדי להתחמק מגילוי ע"י אמצעי אבטחת הסייבר המסורתיים.
 
על רקע התגברות הביקוש למודל פשיעת הסייבר כשירות, גם זירות הסחר ברשת האפלה שינו את פניהן והחלו לפעול כמו ענף שוק לגיטימי. המוכרים לא מסתפקים רק בפרסום כלי ושירותי תקיפה, אלא גם מנסים לגייס לשורותיהם תוקפים בעלי יכולות מאוד מסוימות. חלק מזירות הסחר הקימו מדור דרושים ייעודי ומעסיקים צוותי גיוס, בעוד שמחפשי העבודה מפרסמים קורות חיים המבליטים ומדגישים את היכולות והכישורים שלהם בתחום פשיעת הסייבר.
 
על אף התרחבות שוק פשיעת הסייבר, ממשיכות מתקפות הסייבר להיות רווחיות מאוד ואחד האיומים הגדולים ביותר על ארגונים. לראייה, בשנה האחרונה עברו ספקי כופרה כשירות להתמקד גם במערכות הפעלה נוספות מלבד Windows והחלו לאמץ שפות תכנות חדשות כמו Rust ו־Go כדי להתחמק מגילוי ע"י אמצעי אבטחת הסייבר המסורתיים. חלק מקבוצות הכופרה, ובראשן Lockbit 3.0, החלו להשתמש בתמהיל כלי תקיפה ופיתחו מתקפות כופרה חדשות ומתוחכמות יותר המגדילות את הסיכוי, שהקורבנות ייכנעו ויישלמו את דמי הכופר.
 
התרחבות שוק פשיעת הסייבר כשירות לא תרמה רק לעלייה בשכיחותן של מתקפות הכופרה, אלא הובילה גם להתגברות הביקוש לפרטי הזדהות גנובים. על רקע המעבר של ארגונים לענן, אפשר לנצל אמצעי הזדהות מסוימים, ובראשם קובצי Cookie, כדי לקבל גישה לרשת הארגון ואפילו לעקוף מנגנוני אימות רב־גורמי. גניבת פרטי הזדהות ממשיכה להיות אחת מהדרכים הקלות ביותר עבור פושעי סייבר מתחילים לבסס דריסת רגל בזירות הסחר של פושעי הסייבר ולהתחיל לבנות לעצמם מוניטין בקהילת פשיעת הסייבר.
 
כ"כ, מציינת החברה את המגמות הבאות:

• המלחמה באוקראינה טלטלה את מרחב איומי הסייבר העולמי. זמן קצר לאחר פלישת רוסיה לאוקראינה, נרשמה עלייה חדה בהונאות פיננסיות לצד פילוג שנוצר בקרב פושעי סייבר, ובעיקר בין קבוצות כופרה, על רקע הזדהות חבריהן עם רוסיה או אוקראינה.
• פושעי סייבר ממשיכים לנצל תוכנות לגיטימיות (LOLBins) כבסיס לסוגים שונים של מתקפות סייבר, כולל מתקפות כופרה. בחלק מהמקרים, השתמשו התוקפים במנהלי התקן לגיטימיים אך לא מאובטחים כדי להוציא לפועל מתקפות 'Bring your own driver' בניסיון להשבית אמצעי אבטחת סייבר וכך להתחמק מגילוי.
• מכשירים ניידים עומדים במרכזן של מתקפות סייבר חדשות. לצד המשך השימוש באפליקציות מזויפות כדי להערים על המשתמשים להשתיל במכשיר שלהם קוד זדוני, תוכנות ריגול או נוזקות בנקאיות, יש עלייה בהונאות סייבר חדשות כמו 'Pig butchering' (בתרגום חופשי לעברית: כצאן לטבח) והאיום הזה הוא כבר לא מקור דאגה רק למשתמשי אנדרואיד אלא מסכן גם את משתמשי iOS.
• תרסקותו של מונרו ( Monero), אחד מהמטבעות המבוזרים הנפוצים ביותר בשימושם של פושעי סייבר, הובילה לירידה במספר המתקפות לכריית מטבעות קריפטוגרפים, שהיו בין מתקפות הסייבר הנפוצות ביותר. עם זאת, כריית מטבעות קריפטוגרפיים ממשיכה להתפשט דרך הדבקת מחשבים עם מערכות ההפעלה Windows ולינוקס ליצירת בוטנטים.

 
שון גלאגר, חוקר איומים בכיר בסופוס."לא מדובר עוד רק במכירת ערכות כופרה, דיוג או הונאה בסיסיות. פושעי סייבר בעלי יכולות טכנולוגיות מתקדמות החלו למכור לכל דורש כלים ויכולות שהיו פעם נחלתם הבלעדית של תוקפי הסייבר המתוחכמים ביותר בעולם. לדוגמה, בשנה האחרונה חלה צמיחת מודל 'OPSEC כשירות', שבמסגרתו מציעים המוכרים לסייע לתוקפים להסוות את פעילותה של תוכנת Cobalt Strike במערכת היעד, וכן בהצעות ל'סריקה כשירות', שבמסגרתו מקבלים הקונים גישה לכלים מסחריים לגיטימיים כמו Metasploit, שדרכם הם יכולים לאתר חולשות אבטחה, שאותן יוכלו לנצל.
 
למסחור פשיעת הסייבר השלכות מרחיקות לכת על מרחב איומי הסייבר והוא מתמרץ גם תוקפים לא מיומנים החסרים את היכולות הטכנולוגיות להוציא לפועל מתקפות כאלו בכוחות עצמם לנסות את מזלם.
 
היקפן של מתקפות הכופרה הראשונות היה מוגבל למדי משום שהן בוצעו ע"י קבוצות תקיפה, שחבריהן היו אחראיים לכל היבטי המתקפה מתחילתה ועד סופה. ברגע שמתקפות הכופרה התבררו כרווחיות מאוד, פנו התוקפים לחפש דרכים חדשות, שבאמצעותן יוכלו לייעל את המתקפות ולהוציא יותר מהן לפועל. לשם כך, הם התחילו להוציא חלק משלבי המתקפה למיקור חוץ וכך יצרו את מודל הכופרה כשירות. פושעי סייבר מתחומים אחרים ראו כי טוב, והחלו לפעול בדרך דומה.
 
כשמדברים על התחכום ההולך וגדל של פושעי הסייבר, מתכוונים בראש ובראשונה לקבוצות הכופרה. לדוגמה, קבוצת Lockbit 3.0 מציעה כיום תמריצים כספיים במסגרת תוכניות Bug bounty למוצאי באגים בכלי התקיפה שלה ונעזרת במשוב מקהילת פשיעת הסייבר כדי לשפר אותם בעוד שקבוצות אחרות החלו לגבות דמי מינוי חודשיים תמורת גישה למסדי נתונים המכילים מידע שדלף או מעמידות למכירה מסדי נתונים המכילים מידע אישי רגיש לכל המרבה במחיר. מתקפות הכופרה הפכו לעסק לכל דבר".