צפה בתקציר הדיגיטלי 'אותות סייבר' שבו Vasu Jakkal, CVP באבטחה של Microsoft, מראיין מומחים מובילים בינת איומים לגבי כלכלת תוכנת הכופר וכיצד ארגונים יכולים להגן על עצמם.
בדומה לתעשיות רבות שעברו לעובדים זמניים כדי להתייעל, פושעי הסייבר משכירים או מוכרים את כלי תוכנת הכופר שלהם תמורת חלק מהרווח במקום לבצע את המתקפות בעצמם.
RaaS מנמיכה את רף הכניסה ומטשטשת את הזהות של התוקפים שמאחורי תוכנת הכופר. בחלק מהתוכנות יש מעל 50 'שותפים', כך הם מכנים את המשתמשים בשירות שלהם, עם כלים, סודות מקצוע ויעדים שונים. בדיוק כפי שכל אחד שיש לו מכונית יכול לנהוג עבור שירות של נסיעות משותפות, כל אחד שיש לו מחשב נישא וכרטיס אשראי ומוכן לחפש ב- Dark Web כלי בדיקת חדירה או תוכנה זדונית מוכנה לשימוש יכול להצטרף לכלכלה זו.
התיעוש הזה של פשע סייבר יצר תפקידים מיוחדים, כמו סוכני גישה שמוכרים גישה לרשתות. לעתים קרובות, חשיפה אחת לסכנה מערבת פושעי סייבר רבים בשלבים שונים של הפלישה.
לא קשה למצוא ערכות RaaS ב- Dark Web ומפרסמים אותן בדומה לפרסום של סחורות באינטרנט.
ערכת RaaS עשויה לכלול שירות לקוחות, מבצעי חבילה, ביקורות של משתמשים, פורומים ותכונות נוספות. פושעי סייבר יכולים לשלם מחיר קבוע עבור ערכת RaaS, וקבוצות אחרות שמוכרות RaaS במודל שותפים יכולים לקחת אחוז מהרווחים.
מתקפות של תוכנת כופר כוללות החלטות שמבוססות על תצורות של רשתות ומשתנות מקורבן לקורבן, אפילו אם תוכן המנה של תוכנת הכופר זהה. תוכנת הכופר מסיימת מתקפה שיכולה לכלול חילוץ נתונים והשפעות אחרות. בגלל האופי המחובר של כלכלת פושעי הסייבר, חדירות שאינן ניראות קשורות זו לזו יכולות להסתמך אחת על השנייה. תוכנה זדונית לגניבת מידע שגונבת סיסמאות וקובצי Cookie מקבלת יחס פחות מחמיר, אבל פושעי הסייבר מוכרים את הסיסמאות האלה כדי לאפשר מתקפות אחרות.
המתקפות האלה פועלות לפי תבנית של גישה ראשונית דרך זיהום בתוכנה זדונית או ניצול לרעה של פגיעות ולאחר מכל גניבת אישורים כדי למנף הרשאות ולנוע לרוחב. התיעוש מאפשר הוצאה לפועל של מתקפות תוכנת כופר רבות השפעה ופוריות על-ידי תוקפים שאינם מתוחכמים או בעלי מיומנויות מתקדמות. מאז הסגירה של Conti הבחנו בתזוזה בנוף תוכנת הכופר. חלק מהשותפים עם פריסה של Conti עברו לתכני מנה מאקוסיסטמות RaaS מבוססות כמו LockBit ו- Hive, ואחרים פורסים בו זמנית תכני מנה מאקוסיסטמות RaaS מרובות.
שירותי RaaS חדשים כמו QuantumLocker ו- Black Basta ממלאים את החלל שנוצר עם הסגירה של Conti. מכיוון שרוב הכיסוי של תוכנת כופר מתמקד בתוכני מנה במקום מבצעי פעולה, מעבר זה של תוכני מנה עשוי לבלבל ממשלות, גורמי אכיפת חוק, תקשורת, חוקרי אבטחה וצוותי הגנה לגבי הגורמים שמאחורי המתקפות.
דיווח על תוכנת כופר עשוי להיראות כבעיית קנה מידה שאינה נגמרת, אבל למעשה יש קבוצה מוגבלת של גורמים המשתמשים בקבוצת הטכניקות.
המטרה של תוכנת כופר היא לסחוט תשלום מקורבן. רוב תוכניות RaaS הנוכחיות גם מדליפות את הנתונים שנגנבו, מה שמכונה 'סחיטה כפולה'. מכיוון שהשבתה גורמת לתגובה חריפה והממשלות מחזקות את הפעילות להשבתת מפעילי תוכנת כופר, חלק מהקבוצות מוותרות על תוכנת הכופר ופועלות לסחיטת נתונים.
שתי קבוצות המתמקדות בסחיטה הן DEV-0537 (המכונה גל LAPSUS$) ו- DEV-0390 (שותפה לשעבר של Conti). החדירות של DEV-0390 מתחילות בתוכנה זדונית אך משתמשות בכלים לגיטימיים כדי לחלץ נתונים ולסחוט תשלום. הן פורסות כלי בדיקת חדירה כמו Cobalt Strike, Brute Ratel C4 וכלי העזר הלגיטימי Atera לשליטה מרחוק כדי לגשת לקורבן. DEV-0390 תנצל את ההרשאות באמצעות גניבת פרטי כניסה, איתור של נתונים רגישים (לעתים קרובות בשרתי קבצים וגיבוי ארגוניים) ושליחת הנתונים לאתר שיתוף קבצים בענן באמצעות כלי עזר לגיבוי קבצים.
DEV-0537 משתמשת באסטרטגיה ובשיטה שונות מאוד. הגישה הראשונית מתקבלת באמצעות רכישה של פרטי כניסה ברשת המחתרתית או מעובדים בארגונים המהווים מטרה.
חובה להבין את האופן המחובר של זהויות ומערכות יחסים של אמון באקוסיסטמות טכנולוגיה מודרניות. פושעי הסייבר מתמקדים בטלקומוניקציה, טכנולוגיה, שירותי IT ובחברות תמיכה כדי למנף את הגישה מארגון אחד לקבלת כניסה לרשתות של שותפים או ספקים. מתקפות של סחיטה בלבד מדגימות שצוותי ההגנה על רשתות חייבים להתבונן מעבר לתוכנת כופר בשלב הסופי ולעקוב מקרוב על חילוץ נתונים ועל תנועה לרוחב.
אם גורם איום מתכנן לסחוט ארגון כדי לא לחשוף את הנתונים שלו לציבור, תוכן מנה של תוכנת כופר הוא החלק המשמעותי ביותר – ובעל הערך המועט ביותר – באסטרטגיית התקיפה. בסופו של דבר, המפעיל יבחר מה ברצונו לפרוס, ותוכנת כופר לא תמיד תביא את הקופה הגדולה שבה מעוניין כל גורם איום.
בעוד שתוכנת כופר או סחיטה כפולה עשויות להיתפס כתוצאה בלתי נמנעת של מתקפה על-ידי תוקף מתוחכם, תוכנת כופר היא אסון שניתן למנוע. העובדה שהתוקפים מסתמכים על נקודות תורפה באבטחה פירושה שהשקעות בהיגיינת סייבר תורמות המון.
הניראות הייחודית של Microsoft מעניקה לנו הצצה על פעילות גורמי האיום. במקום להסתמך על פרסומים בפורומים או דליפות בצ'אטים, צוות מומחי האבטחה שלנו חוקרים טקטיקות חדשות של תוכנת כופר ומפתחים בינת איומים שעליה מתבססים פתרונות האבטחה שלנו.
הגנה מפני איומים שמשלבת במכשירים, בזהויות, באפליקציות, בדוא"ל, בנתונים ובענן עוזרת לנו לזהות מתקפות שהיו יכולות להיות מיוחסות לתוקפים רבים, כאשר למעשה הן מתבצעות על-ידי קבוצה אחת של פושעי סייבר. היחידה שלנו לפשעי מחשב, המורכבת ממומחים טכניים, משפטיים ועסקיים ממשיכה לעבוד עם גורמי אכיפת החוק כדי לעצור את פשע הסייבר
ל- Microsoft יש המלצות מעמיקות ב- https://go.microsoft.com/fwlink/?linkid=2262350.
האזינט לאנליסטית בינת האיומים אמילי האקר, לגבי האופן שבו הצוות שלה מתמודד בהצלחה עם הנוף המשתנה של תוכנת כופר כשירות.
מתודולוגיה: לצורך קבלת נתוני תמונת דוח, פלטפורמות של Microsoft, כולל Defender ו- Azure AD והיחידה שלנו לפשעי מחשב סיפקו נתונים אנונימיים לגבי פעילות איומים, כגון חשבונות דוא"ל זדוניים, הודעות דוא"ל לדיוג ותנועת תוקף בתוך רשתות. תובנות נוספות מגיעות מ- 43 טריליון אותות אבטחה יומיים שהתקבלו מרחבי Microsoft, כולל הענן, נקודות קצה וקצה חכם, ומ- Compromise Security Recovery Practice וצוותי הזיהוי והתגובה שלנו.
עקוב אחר Microsoft