ניתוח פעילות תוכנת הכופר Conti מציג הסכנה של מתקפות הנשלטות ע"י גורם אנושי
מאת:
מערכת Telecom News, 2.3.21, 17:08
פורסמה סדרת תחקירים על תוכנת הכופר ב"סחיטה כפולה" Conti המפרטת כיצד התקפה של Conti מתפתחת לאורך 5 ימים, את המאפיינים הטכניים שלה ואת התנהגות התוקפים, ועצות למנהלי IT, חוקרי אבטחה ומקצועני אבטחה.
סופוס, שעוסקת באבטחת סייבר של הדור הבא, פרסמה סדרת תחקירים מקיפה אודות תוכנת הכופר
Conti. מדובר בתוכנת כופר ב"סחיטה כפולה" המופעלת ע"י גורם אנושי. התוקפים גונבים נתונים מיעדיהם לפני שהם מצפינים אותם, ואז מאיימים לחשוף את המידע הגנוב באתר "
Conti News" אם הארגון לא משלם את הכופר.
נכון להיום, מפרסם האתר נתונים, שנגנבו מלפחות 180 קורבנות. סופוס יצרה
פרופיל של הנפגעים על פי המידע שפורסם באתר.
המחקר הראשון "
A Coni Ransomware Attack Day-by-Day" מציג את רצף הזמן של מתקפת
Conti פעילה, מהפריצה הראשונית ועד החזרה לעבודה של ארגון המטרה, לצד פעילות צוות התגובה
Sophos Rapid Respons, שניטרל, הכיל וחקר את ההתקפה. הדו"ח כולל גם סממני תקיפה (
IoC), טקטיקות, טכניקות ותהליכים (
TTP) המסייעים למגינים לאתר התקפות
Conti עתידיות ולהתגונן מפניהן.
בצד הטכני, מציגים חוקרי
SophosLabs בדו"ח "
Conti Ransomware: Evasive by Nature" כיצד התוקפים מסוגלים לחסום ניתוח של תוכנת הכופר באמצעות פריסת אותות של
Cobalt Strike, תוכנה המשמשת לבחינת הגנות בארגון, על גבי המכונות המותקפות. לאחר מכן הם טוענים את הקוד ישירות אל תוך הזיכרון. כך, שהם אינם משאירים ממצאים, שהחוקרים יכולים לבחון.
פיטר מקינזי, מנהל צוות
Rapid Response בסופוס: "זו הייתה התקפה מהירה ובעלת פוטנציאל הרסני מאוד. גילינו, שהתוקפים הצליחו לפרוץ לרשת המטרה ולקבל גישה להרשאות מנהל דומיין תוך 16 דקות מרגע ניצול פירצה בפיירוול. תוך שעות, התוקפים הצליחו להפעיל את אותות
Cobalt Strike על השרתים, שהפכו לשדרה המרכזית למתקפת הכופר.
בהתקפות הנשלטות ע"י אנשים, התוקפים יכולים לבצע התאמות ולהגיב למצבים משתנים בזמן אמת. במקרה הזה, התוקפים השיגו במקביל גישה ל-2 שרתים. כך, שכאשר המותקפים זיהו ונטרלו את אחד מהם, הם האמינו, שהם הצליחו לעצור את ההתקפה בזמן, אך התוקפים פשוט החליפו שרת והמשיכו את ההתקפה באמצעות השרת החלופי.
יצירת תוכנית ב' היא גישה נפוצה בהתקפות בהפעלה אנושית. זו תזכורת לכך, שרק בגלל שפעילות חשודה מסויימת ברשת נעצרה, אין להסיק מכך, שההתקפה באמת הסתיימה.
לאחר חילוץ הנתונים, התוקפים הפעילו
Cobalt Strike בכמעט 300 מכשירים והפעילו את תוכנת הכופר. הצד המותקף נותר ללא אפשרויות, אלא לכבות תשתית חיונית, לעצור את הפעילות השוטפת ולפנות לסיוע כדי לאחזר מחשבים שנפגעו ולחזור לפעילות מלאה".
הדו"ח השלישי "
What to Expect When You’ve Been Hit with Conti Ransomware" מספק הנחיות למנהלי
IT המתמודדים עם הפגיעות של מתקפת
Conti. הדו"ח מפרט איך לפעול באופן מיידי, ולאחר מכן מספק צ'ק ליסט של 12 נקודות, שיסייעו למנהלי
IT לחקור את ההתקפה. הרשימה מסכמת את הפעולות, שתוקפי
Conti עלולים לבצע במהלך שהותם ברשת, וכן את ה-
TTP המרכזיים בהם הם צפויים להשתמש. כ"כ, כוללת הרשימה המלצות מעשיות.
מקינזי: "יש חברות, שאין להן גישה לצוות אבטחת
IT ייעודי, ולעיתים קרובות זה מנהל ה-
IT, שנמצא בקו ההתקפה הראשון של תוכנת הכופר. הם אלה המגיעים לעבודה בוקר אחד כדי לגלות, שהכל נעול ומוצאים את מכתב דרישת הכופר על המסך. לעיתים דרישות אלו מלוות בהודעות דואר אלקטרוני מאיימות או בשיחות".
טיפים למנהלי
IT ולצוות התגובה כדי לחצות את השעות הראשונות המאתגרות והמלחיצות, ולאחר מכן את הימים שלאחר המתקפה.
כבו פרוטוקולים לשליטה מרחוק הפונים לרשת (
RDP) כדי למנוע מהעבריינים גישה לרשת.
אם יש צורך בגישה ל-
RDP, עשו זאת מאחורי חיבור
VPN
השתמשו באבטחת מידע רב שכבתית כדי למנוע, להגן ולזהות מתקפות סייבר, כולל יכולות זיהוי ותגובה בנקודות קצה (
EDR) וצוותים לתגובה מנוהלת הצופים ברשת
24/7
היו מודעים ל-5 הסממנים המוקדמים לנוכחות תוקפים כדי לעצור מתקפות כופר.
צרו תוכנית תגובה יעילה לאירועים ועדכנו אותה על פי הצורך.
אם אתם חשים, שאין לכם את המשאבים או הכישורים כדי לעשות זאת, כדי לנטר איומים או להגיב לאירועים, שקלו לפנות למומחים חיצוניים.
