דו"ח פורטינט Q1 2018: התפתחות נוזקות לכריית מטבעות קריפטוגרפיים

דו"ח מפת האיומים של פורטינט Q1 2018: התפתחות נוזקות לכריית מטבעות קריפטוגרפיים
מאת: מערכת Telecom News, 22.5.18, 22:58

השכיחות של נוזקות לכריית מטבעות וירטואליים - Cryptojacking הוכפלה ל-28%, כאשר 1 מכל 4 ארגונים נפגע מהתופעה. נראה, שחלק מפושעי הסייבר מעדיפים לחטוף מערכות ולהשתמש בהן לכריית מטבעות ולא לשם כופר. נמצאה מגמה מדאיגה של התקפות נגד טכנולוגיה תפעולית (OT).

פורטינט העוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דו"ח מפת האיומים של מעבדות FortiGuard, גוף המחקר הגלובלי שלה. המחקר מגלה, שפושעי סייבר משכללים את שיטות ההתקפה שלהם כדי להגדיל את שיעורי ההצלחה ולהדביק מערכות במהירות. בעוד שתוכנות כופר ממשיכות להשפיע על ארגונים בדרכים הרסניות, נראה, שחלק מפושעי הסייבר מעדיפים כיום לחטוף מערכות ולהשתמש בהן לכריית מטבעות קריפטוגרפיים ולא לשם כופר.

להלן ממצאי הדו"ח העיקריים:

התפתחות שיטות התקפה כדי להבטיח הצלחה מהירה ובסדרי גודל נרחבים: הנתונים מצביעים על כך, שפושעי סייבר משתפרים ונעשים מתוחכמים יותר בשימוש שלהם בתוכנות זדוניות ובמינוף נקודות תורפה חדשות מסוג zero-day כדי לתקוף במהירות ובקנה מידה נרחב. בעוד מספר הפרצות, שאותרו בכל חברה, ירד ב-13% ברבעון הראשון של 2018, מספר הפרצות הייחודיות, שאותרו, עלה ביותר מ-11%, כאשר 73% מהחברות חוו פרצה חמורה.
עלייה חדה במקרי חטיפה לשם כרייה (Cryptojacking): הנוזקות מתפתחות ונעשות קשות יותר למניעה ולאיתור. השכיחות של נוזקות לכריית מטבעות קריפטוגרפיים גדלה יותר מפי 2 מרבעון לרבעון, מ-13% ל-28%. בנוסף, חטיפה לשם כרייה הייתה נפוצה למדי במזרח התיכון, באמריקה הלטינית ובאפריקה.
ניתן לראות, שנוזקות לכריית מטבעות קריפטוגרפיים הן מגוונות באופן יוצא דופן יחסית לאיום חדש. פושעי סייבר יוצרים נוזקות ללא קבצים להזנת קוד נגוע בדפדפנים, דבר המקשה לאתר אותן. הכורים מתמקדים במספר מערכות הפעלה, כמו גם במטבעות קריפטוגרפיים שונים, כולל ביטקוין ומונרו. כמו כן, הם מבצעים כוונונים מדויקים ומאמצים טכניקות העברה והתפשטות הנלקחות מאיומים אחרים על סמך הצלחות וכישלונות עבר כדי לשפר את שיעור ההצלחה בעתיד.

מתקפות ממוקדות להשפעה מרבית: ההשפעה של נוזקות הרסניות נותרה גבוהה, במיוחד כאשר פושעים משלבים אותן עם התקפות ייעודיות. סוג זה של התקפות ממוקדות יותר כרוך באיסוף מידע מוקדם על הארגון לפני ההתקפה, דבר המסייע לפושעים להגדיל את שיעורי ההצלחה שלהם. לאחר מכן, ברגע שהם חדרו לרשת, התוקפים נעים לרוחב על פני הרשת לפני הפעלת החלק ההרסני ביותר של המתקפה המתוכננת. הנוזקה Olympic Destroyer ותוכנת הכופר SamSam מהוות דוגמאות להתקפות, שבהן פושעי סייבר שילבו התקפה ייעודית עם מטען הרסני להשפעה מרבית.

תוכנות הכופר ממשיכות להזיק: הצמיחה הן בהיקף והן בתחכום של תוכנות כופר ממשיכה להוות אתגר ביטחוני משמעותי עבור ארגונים. תוכנות כופר ממשיכות להתפתח, תוך מינוף ערוצי העברה ​​חדשים, כגון הנדסה חברתית וטכניקות חדשות, כגון התקפות בעלות מספר שלבים כדי להתחמק מאיתור ולחדור למערכות.

תוכנת הכופרGandCrab, שהופיעה בינואר 2018 היא ייחודית בהיותה תוכנת הכופר הראשונה הדורשת את המטבע הווירטואליDash  כתשלום. תוכנות הכופר BlackRuby ו-SamSam היוו גם הן איומים מרכזיים במהלך הרבעון הראשון של 2018.

וקטורים מרובים של תקיפה: למרות שההתקפות על הערוצים הצדדיים Meltdown ו-Spectre שלטו בכותרות במהלך הרבעון הראשון, חלק מן ההתקפות החשובות ביותר התמקדו במכשירים ניידים או פרצות מוכרות כגון טכנולוגיות נתבים, אינטרנט או רשת.

21% מהארגונים דיווחו על עלייה של 7% בנוזקות במכשירים ניידים, עובדה המדגימה, שמכשירי IoT ממשיכים להוות מטרות להתקפה. פושעי סייבר ממשיכים לזהות את הערך של ניצול פגיעויות ידועות שלא תוקנו, כמו גם נקודות תורפה מסוג zero-day, שהתגלו לאחרונה להגברת ההצלחות שלהם. מיקרוסופט המשיכה להוות את היעד הפופולרי ביותר לפרצות, כאשר במקום השני בכמות ההתקפות הכוללת נמצאים הנתבים. גם מערכות ניהול תוכן (CMS) וטכנולוגיות מוכוונות אינטרנט היוו יעדים נפוצים להתקפות.

היגיינת סייבר - יותר מאשר רק תיקון: מדידת משך הזמן שבו הבוטנט ממשיך בפעולת ההדבקה מבוססת על מספר הימים הרצופים, שבהם יש איתור של תקשורת רצופה. דבר זה מגלה, שהיגיינה יעילה כוללת יותר מאשר רק תיקון של טלאים ויש צורך גם בניקיון. נתוני הדו"ח מראים, ש-58.5% מהדבקות הבוטנטים מאותרות ועוברות ניקוי באותו יום. 17.6% מההדבקות נמשכות יומיים ברציפות, 7.3% נמשכות 3 ימים וכ-5% נמשכות יותר משבוע. לדוגמה, בוטנט ה-Andromeda חוסל ברבעון הרביעי של 2017, אך נתוני הרבעון הראשון מראים, שהוא בלט בכמותו ובשכיחותו.

התקפות נגד טכנולוגיה תפעולית (OT): בעוד התקפות OT מהוות אחוז קטן מכל נוף ההתקפות, עדיין מדובר במגמה מדאיגה. מגזר זה נעשה יותר ויותר מחובר לאינטרנט, עם השלכות פוטנציאליות חמורות על אבטחה. כיום, הרוב המכריע של פעילות ניצול הפרצות מכוון כנגד 2פרוטוקולי התקשורת הנפוצים ביותר בתעשייה, שנמצאים בפריסה נרחבת ולכן מותקפים בהתאם. הנתונים מראים, שניסיונות לפרוץ למערכות ICS באסיה נפוצים יותר מאשר ניסיונות לפרוץ למערכות ICS באזורים אחרים.

אלי פרנס, (בתמונה למעלה), סגן נשיא לאזור ישראל, יוון, קפריסין ומזרח אירופה בפורטינט: "דו"ח האיומים הנוכחי מחזק את המגמות, שנצפו ע"י מעבדות FortiGuard בסוף 2017. הדו"ח ממחיש, שההגנה הטובה ביותר נגד איומים מתוחכמים ואוטומטיים היא מארג אבטחה משולב, מקיף ואוטומטי. יש צורך במערכת הגנת אבטחה פרואקטיבית ובעלת מודעות גבוהה כדי לעמוד בקצב ההתקפות האוטומטיות מבוססות ה-AI של הדור הבא".  
פיל קוודה, CISO בפורטינט: "אנו מתמודדים עם התלכדות מטרידה של מגמות בתחום אבטחת הסייבר. גורמים בעלי כוונות זדון מפגינים את יעילותם וזריזותם ע"י ניצול שטח ההתקפה הדיגיטלי המתרחב, תוך שימוש באיומי zero-day חדשים ושיפור הנגישות של תוכנות זדוניות לשם פגיעה באחרים. בנוסף, צוותי IT ו-OT לרוב חסרים את המשאבים הדרושים כדי לשמור על חוזק והגנה ראויה של המערכות. למרבה המזל, הטמעה של מארג אבטחה, שמעניק עדיפות למהירות, אינטגרציה, ניתוח מתקדם וקבלת החלטות על בסיס סיכונים, יכולה לאפשר הגנה מקיפה במהירות ובקנה מידה גבוהים".  
הדו"ח המלא - כאן.