Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

תוכנת כופר כשירות: הפנים החדשות של פשע סייבר מתועש

שתף
שני חיצים מונחים מעל קו ומצביעים זה כלפי זה בנתיב שונה

 המודל העסקי החדש ביותר של פשע סייבר, מתקפות שמופעלות על-ידי בני אדם, פשעים מעודדים של יכולת אימות.

תוכנת כופר, אחד מאיומי הסייבר העקשנים והמתפשטים ביותר, ממשיכה להתפתח והצורה העדכנית ביותר שלה מציגה סכנה חדשה לארגונים ברחבי העולם. ההתפתחות של תוכנת כופר לא קשורה להתקדמויות חדשות בטכנולוגיה. במקום זאת, היא קשורה במודל עסקי חדש: תוכנת כופר כשירות (RaaS).

תוכנת כופר כשירות (RaaS) היא סידור בין אופרטור, שמפתח אשומר על הכלים להפעלת פעולות סחיטה, ולשותף עסקי שפורס את תוכן המנה של תוכנת הכופר. כאשר השותף העסקי מבצע מתקפות תוכנת כופר וסחיטה בהצלחה, שני הצדדים מרוויחים.

מודל ה- RaaS מוריד את מחסום הכניסה לתוקפים שייתכן שאין להם את המיומנות או את האמצעים הטכניים לפיתוח כלים משלהם, אך הם יכולים לנהל בדיקת חדירה מוכנה מראש וכלי מנהל מערכת לביצוע מתקפות. פושעים אלה ברמה נמוכה יכולים גם פשוט לקנות גישה לרשת מקבוצת פושעים מתוחכמת יותר שכבר יצרה הפרה היקפית.

על אף ששותפי RaaS משתמשים בתוכני מנה של תוכנת כופר שמסופקים על-ידי אופרטורים מתוחכמים יותר, הם אינם חלק מאותה ”כנופיית” תוכנת כופר. במקום זאת, הארגונים המובחנים שלהם פועלים בכלכלת פושע סייבר הכללית.

קידום היכולות של פושעי סייבר והגדלת כלכלת פושע הסייבר הכללית

המודל של תוכנת כופר כשירות הקל על מיקוד ותיעוש מהירים של ההישגים האפשריים של פושעים פחות מיומנים. בעבר, ייתכן שפושעים פחות מתוחכמים אלה השתמש במצרך של תוכנה זדונית שהם בנו או רכשו כדי לבצע מתקפות שההיקף שלהן מוגבל, אבל עכשיו הם יכולים לקבל את כל מה שנחוץ להם - החל מגישה לרשתות ועד תוכני מנה של תוכנת כופר - מאופרטורים של RaaS (בתמורה למחיר, כמובן). תוכניות RaaS רבות ממשיכות לכלול חבילה של הצעות לתמיכה בסחיטה, כולל אירוח דליפת אתר ושילוב לתוך הערות כופר, וכן משא ומתן על פיענוח, לחץ על ביצוע תשלום ושירותי ביצוע עסקאות במטבע קריפטו.

משמעות הדבר היא שההשפעה של תוכנת כופר מוצלחת ומתקפת סחיטה נותרת זהה ללא קשר למיומנויות התוקף.

גילוי וחקירה של פגיעויות רשת... בתמורה למחיר

דרך אחת שבה אופרטורים של RaaS מספקים ערך לשותפים העסקיים שלהם היא על-ידי מתן גישה לרשתות שנחשפו לסכנה. ברוקרים של גישה סורקים את האינטרנט לאיתור מערכות פגיעות, שהם יכולים לחשוף לסכנה ולשמור למען רווח עתידי.

כדי להצליח, תוקפים צריכים פרטי כניסה. פרטי כניסה שנחשפו לסכנה הם עד כדי כך חשובים למתקפות אלה שכאשר פושעי סייבר מוכרים גישה לרשת, במקרים רבים, המחיר כולל חשבון מנהל מערכת מובטח.

הפעולות שהפושעים מבצעים עם הגישה שלהם לאחר שהשיגו אותה, יכולות להשתנות עד מאוד בהתאם לקבוצות ולתוכני המנה או לגורמי המוטיבציה שלהם. אי לכך, משך הזמן בין הגישה הראשונית לפריסת מקלדת ממשית יכול לנוע בטווח של החל מדקות ועד לימים או יותר, אך כאשר הנסיבות מתירות, הנזק יכול להיגרם במהירות מוגזמת. למעשה, נצפה שמשך הזמן מהגישה הראשונית ועד לכופר במלואו (כולל העברה מברוקר גישה לשותף RaaS) אורך פחות משעה.

שמירת הכלכלה בתנועה - שיטות גישה עקשניות וחמקניות

ברגע שתוקפים משיגים גישה לרשת, הם מתעבים את הרעיון שעליהם לעזוב - אפילו לאחר איסוף הכופר שלהם. למעשה, ייתכן שתשלום הכופר לא יפחית את הסיכון לרשת מושפעת וככל הנראה יפעל אך ורק לטובת הכספים של פושעי הסייבר, שימשיכו לנסות להפוך מתקפות למקור רווח באמצעות תוכני מנה שונים של תוכנה זדונית או תוכנת כופר עד שהם יגורשו.

משמעות ההעברה שנתגלתה בין תוקפים שונים כמעברים בהתרחשות כלכלת פושעי הסייבר היא שקבוצות פעילות מרובות עשויות להתמיד בסביבה באמצעות שיטות שונות שנפרדות מהכלים שמשמשים במתקפת תוכנת כופר. לדוגמה, ניתן להשיג גישה ראשונית על-ידי הפניות טרויאניות בבנקאות לפריסת Cobalt Strike, אך השותף העסקי של RaaS שרכש את הגישה עשוי לבחור להשתמש בכלי גישה מרוחק כגון TeamViewer כדי להפעיל את הקמפיין שלו.

השימוש בכלים לגיטימיים ובהגדרות כדי להתמיד בהטמעות של תוכנה זדונית מגוונת כגון Cobalt Strike הוא טכניקה פופולרית בקרב תוקפי תוכנת כופר כדי להימנע מזיהוי ולהמשיך להתגורר ברשת למשך זמן רב יותר.

טכניקה פופולרית אחרת של תוקפים היא ליצור חשבון משתמש חדש בדלת האחורית, בין אם באופן מקומי או ב- Active Directory, שניתן בשלב הבא להוסיף אותו לכלי גישה מרחוק כגון רשת וירטואלית פרטית (VPN) או שולחן עבודה מרוחק. תוקפי תוכנת כופר נצפו גם עורכים את ההגדרות במערכות כדי לאפשר שולחן עבודה מרוחק, להקטין את אבטחת הפרוטוקול ולהוסיף משתמשים חדשים לקבוצת משתמשים בשולחן עבודה מרוחק.

דיאגרמת זרימה שמסבירה כיצד מתקפות RaaS מתוכננות ומוטמעות

התמודדות עם היריבים הפולשניים והערמומיים ביותר בעולם

אחת מהאיכויות של RaaS שהופכת את האיום לכה מדאיג היא האופן שבו היא מסתמכת על תוקפים אנושיים שיכולים לקבל החלטות מיודעות ומחושבות ולשנות דפוסי מתקפה שמבוססים על מה שהם מוצאים ברשתות שאליהן הם מגיעים, ובכך מבטיחים עמידה במטרות שלהם.

Microsoft טבעה את המונח תוכנת כופר שמופעלת על-ידי בני אדם כדי להגדיר את קטגוריה זו של מתקפות כגון שרשרת של פעילויות שמגיעות לשיא בתוכן מנה של תוכנת כופר, לא כקבוצה של תוכני מנה של תוכנה זדונית שייחסמו.

בעוד שרוב הקמפיינים של גישה ראשונית מסתמכים על איסוף זדוני של מידע אוטומטי, ברגע שהמתקפה עוברת לשלה המתקפה הידנית, התוקפים ישתמשו בידע ובמיומנות שלהם כדי לנסות להביס את מוצרי האבטחה בסביבה.

תוקפים המשתמשים בתוכנת כופר מונעים מרווחים קלים, כך שהוספה על העלות שלהם באמצעות הקשחת האבטחה היא המפתח בהפרעה לכלכלת פשעי הסייבר. המשמעות של קבלת החלטות אנושית זו היא שאפילו אם מוצרי אבטחה מזהים שלבי מתקפה ספציפיים, התוקפים בעצמם לא מגורשים באופן מלא; הם מנסים להמשיך אם הם לא נחסמים על-ידי בקרת אבטחה. במקרים רבים, אם כלי או תוכן מנה מזוהה ונחסם על-ידי מוצר אנטי-וירוס, התוקפים פשוט תוספים כלי אחר או משנים את תוכן המנה שלהם.

תוקפים גם מודעים לזמני התגובה של מרכז תפעול אבטחה המידע (SOC) וליכולות ולמגבלות של כלי זיהוי. עד שהמתקפה מגיע לשלב של מחיקת גיבויים או הטלת צל על עותקים, היא נמצאת במרחק של דקות מפריסת תוכנת כופר. היריב ככל הנראה כבר ביצע פעולות מזיקות כגון חילוץ של נתונים. ידע זה חשוב ביותר למרכזי SOC שמגיבים לתוכנת כופר: חקירת זיהויים כגון Cobalt Strike לפני שלב הפריסת של תוכנת הכופר וביצוע פעולות תיקון מהירות ונהלים של תגובה לתקריות (IR), הם קריטיים להכלה של יריב אנושי.

הקשחת האבטחה כנגד איומים תוך הימנעות מתשישות התראה

אסטרטגיית אבטחה עמידה נגד יריבים אנושיים נחושים, חייבת לכלול מטרות זיהוי וצמצום. לא די בהסתמכות על זיהוי לבדו בגלל 1) שחלק מאירועי החדירה אינם ניתנים לזיהוי באופן מיוחד (הם נראים כמו פעולות תמימות רבות), וגם 2) נדיר שמתקפות תוכנת כופר זוכות להתעלמות עקב תשישות התראה שנגרמת על-ידי התראות מוצר אבטחה רבות נפרדות.

מאחר שלתוקפים יש דרכים רבות לחמוק ולהשבית מוצרי אבטחה וכן הם מסוגלים לחקות התנהגות בלתי מזיקה של מנהל מערכת כדי להשתלב עד כמה שניתן, צוותי אבטחת IT ומרכזי תפעול אבטחת מידע (SOCs) צריכים לגבות את מאמצי הזיהוי שלהם באמצעות אמצעי הקשחת האבטחה.

תוקפים המשתמשים בתוכנת כופר מונעים מרווחים קלים, כך שהוספה על העלות שלהם באמצעות הקשחת האבטחה היא המפתח בהפרעה לכלכלת פשעי הסייבר.

להלן כמה צעדים שארגונים יכולים לנקוט בהם כדי להגן על עצמם:

 

  • בניית היגיינה של פרטי כניסה: פיתוח חלוקה לוגית של רשת למקטעים על סמך הרשאות שניתן ליישם לצד חלוקת רשת למקטעים להגבלה של תנועה לרוחב.
  • ביקורת של חשיפת פרטי כניסה: עריכת ביקורת של חשיפת פרטי כניסה היא חיונית למניעת מתקפות תוכנת כופר ופשע סייבר באופן כללי. צוותי אבטחת IT ומרכזי SOC יכולים לפעול יחד כדי לצמצם את הרשאות הניהול ולהבין את המידה שבה פרטי הכניסה נחשפו.
  • חיזוק הענן: עם ההתקדמות של התוקפים למשאבי הענן, חשוב לאבטחת את המשאבים והזהויות בענן בדומה לחשבונות מקומיים. צוותי אבטחה צריכים להתמקד בחיזוק התשתית של אבטחת זהויות, לאכוף אימות רב-גורמי (MFA) בכל החשבונות ולהתייחס למנהלי ענן/מנהלי דיירים באותה רמה של אבטחה והיגיינת פרטי כניסה כמו מנהלי תחומים.
  • סגירת 'שטחים מתים' באבטחה: ארגונים חייבים לוודא שכלי האבטחה שלהם פועלים בתצורה אופטימלית ולבצע סריקות רשת קבועות כדי להבטיח שמוצר ההגנה מגן על כל המערכות.
  • צמצום שטח התקיפה: חשוב לקבוע כללים לצמצום שטח התקיפה כדי למנוע טכניקות תקיפה נפוצות המשמשות במתקפות של תוכנת כופר. במתקפות שנצפו ממספר קבוצות הקשורות לפעילות תוכנת כופר, ארגונים עם כללים מוגדרים בבירור הצליחו להתמודד עם המתקפות בשלבים ההתחלתיים שלהן תוך מניעה של מתקפות ידניות.
  • הערכת ההיקף: ארגונים חייבים לזהות ולאבטח מערכות היקפיות שייתכן שתוקפים ישתמשו בהן כדי לגשת לרשת. ניתן להשתמש בממשקי סקירה ציבוריים, כגון, כדי להרחיב נתונים.
  • הקשחת הנכסים שפונים לאינטרנט: תוקפי תוכנת כופר וברוקרים של גישה משתמשים בפגיעויות שלא תוקנו, בין אם הן כבר נחשבו או באפס ימים, במיוחד בשלב הגישה הראשונית. הם גם מאמצים פגיעויות חדשות במהירות. כדי להמשיך ולצמצם את החשיפה, ארגונים יכולים להשתמש ביכולות ניהול איומים ופגיעויות במוצרי זיהוי ותגובה בנקודות קצה כדי לגלות, לתעדף ולתקן פגיעויות וקביעת תצורה שגויה.
  • הכנה לשחזור: ההגנה הטובה ביותר מפני תוכנת כופר צריכה לכלול תוכניות להתאוששות מהירה במקרה של מתקפה. התאוששות מהירה תעלה פחות מתשלום כופר, לכן הקפד לבצע גיבויים באופן קבוע למערכות הקריטיות שלך והגן על גיבויים אלה מפני מחיקה והצפנה מכוונות. אם ניתן, אחסן נתונים באחסון מקוון שלא משתנה או באופן לא מקוון מלא או מחוץ לאתר.
  • המשך הגנה מפני מתקפות תוכנות כופר: האיום רב-ההיבטים של גלגלת תוכנת הכופר החדשה והאופי החמקמק של מתקפות תוכנת כופר שמופעלות על-ידי בני אדם, דורשים מארגונים לאמץ גישה מקיפה לאבטחה.

השלבים שתיארנו לעיל עוזרים להגן מפני דפוסי מתקפה נפוצים ויועילו רבות במניעת מתקפות של תוכנת כופר. כדי להמשיך ולהקשיח את ההגנה מפני תוכנת כופר מסורתית וכזו שמופעלת על-ידי בני אדם ומפני איומים אחרים, השתמש בכלי אבטחה שיכולים לספק ניראות עמוקה חוצת תחומים ויכולות חקירה מאוחדות.

לקבלת סקירה נוספת שלמה של תוכנת כופר עם עצות ושיטות עבודה מומלצות למניעה, זיהוי ותיקון, ראה הגן על הארגון שלך מפני תוכנת כופר, ולמידע מעמיק אף יותר לגבי תוכנת כופר שמופעלת על-ידי בני אדם, קרא את המאמר של חוקרת האבטחה הבכירה ג’סיקה פיין תוכנת כופר כשירות: הבנת כלכלת המופעים של פשע סייבר ועיצד להגן על עצמך.

מאמרים קשורים

'אותות סייבר' מהדורה 2: כלכלת סחיטה

האזן למומחים מובילים דנים בהתפתחות תוכנות הכופר כשירות. קבל מידע על הכלים, הטקטיקות והמטרות המועדפות על פושעי הסייבר, החל מתוכנות ותוכני מנה ועד לסוכני גישה ושותפיהם, וקבל הדרכה להגנה על הארגון.
למידע נוסף

פרופיל מומחה: ניק קאר

ניק קאר, ראש צוות מודיעין של פשע סייבר במרכז בינת האיומים של Microsoft, דן לגבי מגמות תוכנת כופר, מסביר מה Microsoft עושה כדי להגן על לקוחות מפני תוכנת כופר, ומתאם מה ארגונים יכולים לעשות אם הם הודבקו על-ידי תוכנה שכזו.
למידע נוסף

הגן על הארגון שלך מפני תוכנות כופר

קבל הצצה לשחקני פשיעה שפועלים במסגרת כלכלת תוכנת כופר מחתרתית. אנו נעזור לך להבין את המוטיבציה והמנגנונים של מתקפות תוכנת כופר ונספק לך שיטת עבודה מומלצת לצורך הגנה וכן לגיבוי ושחזור.
למידע נוסף