פושעי סייבר הופכים ליותר אסטרטגיים ומקצועיים בנושא ransomware. הם יותר ויותר מחקים את האופן שבו עסקים לגיטימיים פועלים, כולל מינוף שרשרת אספקה צומחת של פשעי סייבר כשירות.
מאמר זה מתאר ארבע מגמות מפתח של תוכנת כופר ומספק עצות כיצד להימנע מליפול קורבן להתקפות החדשות הללו.
1. IABs בעלייה
פשעי סייבר הופכים לרווחיים יותר, כפי שמעידה צמיחתם של מתווכים בגישה ראשונית (IABs) המתמחים בהפרת חברות, גניבת אישורים ומכירת גישה זו לתוקפים אחרים. IABs הם החוליה הראשונה בשרשרת ההרג של פשעי סייבר כשירות, כלכלת צל של שירותי מדף שכל פושע יכול לרכוש כדי לבנות רשתות כלים מתוחכמות לביצוע כמעט כל עבירה דיגיטלית שאפשר להעלות על הדעת.
הלקוחות המובילים של IABs הם מפעילי תוכנות כופר, שמוכנים לשלם עבור גישה לקורבנות מוכנים בזמן שהם ממקדים את מאמציהם בסחיטה ובשיפור התוכנה שלהם.
בשנת 2021, היו יותר מ 1,300 רישומים של IAB בפורומים גדולים של פשעי סייבר המנוטרים על ידי מרכז מודיעין הסייבר של KELA, כאשר כמעט מחציתם מגיעים מ-10 IABs. ברוב המקרים, מחיר הגישה היה בין 1,000 ל-10,000 דולר, עם מחיר מכירה ממוצע של 4,600 דולר. מבין כל ההצעות הזמינות, אישורי VPN וגישה למנהל דומיין היו בין הכי יקר.
2. התקפות חסרות קבצים עפות מתחת לרדאר
פושעי סייבר לוקחים רמז מתוקפי איום מתמשך מתקדם (APT) ותוקפים במדינות לאום על ידי שימוש בטכניקות חיים מחוץ לאדמה (LotL) ובטכניקות חסרות קבצים כדי לשפר את סיכוייהם להתחמק מגילוי כדי לפרוס בהצלחה תוכנות כופר.
התקפות אלו ממנפות כלי תוכנה לגיטימיים וזמינים לציבור הנמצאים לעתים קרובות בסביבת היעד. לדוגמה, 91% מ תוכנת כופר DarkSide התקפות כללו כלים לגיטימיים, כאשר רק 9% השתמשו בתוכנה זדונית דו"ח מאת Picus Security. התגלו התקפות אחרות שהיו ללא 100% קבצים.
בדרך זו, גורמי איומים מתחמקים מזיהוי על ידי הימנעות מחוונים "ידועים רעים", כגון שמות תהליכים או גיבוב של קבצים. רשימות התרת יישומים, המאפשרות שימוש ביישומים מהימנים, גם לא מצליחות להגביל משתמשים זדוניים, במיוחד עבור אפליקציות בכל מקום.
3. קבוצות תוכנות כופר המכוונות ליעדים בעלי פרופיל נמוך
פרופיל גבוה צינור קולוניאלי התקפת תוכנת כופר במאי 2021 פגעה בתשתית קריטית בצורה כה חמורה עד שהפעילה אירוע בינלאומי ו תגובת הממשלה.
התקפות תופסות כותרות כאלה מעוררות בדיקה ומאמצים מאוחדים של רשויות אכיפת החוק וההגנה לפעול נגד מפעילי תוכנות כופר, מה שמוביל לשיבוש פעולות פליליות, כמו גם מעצרים והעמדה לדין. רוב הפושעים מעדיפים לשמור על פעילותם מתחת לרדאר. בהתחשב במספר היעדים הפוטנציאליים, המפעילים יכולים להרשות לעצמם להיות אופורטוניסטים תוך מזעור הסיכון לפעילות שלהם. שחקני תוכנת כופר הפכו הרבה יותר סלקטיביים במיקוד שלהם לקורבנות, וזאת על ידי הפירמוגרפיה המפורטת והמפורטת שסופקה על ידי IABs.
4. מקורבים מתפתים עם חתיכת עוגה
מפעילי תוכנות כופר גם גילו שהם יכולים לגייס עובדים נוכלים כדי לעזור להם לקבל גישה. שיעור ההמרה עשוי להיות נמוך, אבל התמורה יכולה להיות שווה את המאמץ.
A סקר של Hitachi ID שצולמו בין ה-7 בדצמבר 2021 ל-4 בינואר 2022, מצאו כי 65% מהמשיבים אמרו שגורמי איומים פנו לעובדיהם כדי לסייע במתן גישה ראשונית. למקורבים שלוקחים את הפיתיון יש סיבות שונות להיות מוכנים לבגוד בחברות שלהם, אם כי חוסר שביעות רצון מהמעסיק שלהם הוא המניע השכיח ביותר.
תהיה הסיבה אשר תהיה, ההצעות שמציעות קבוצות של תוכנות כופר יכולות להיות מפתות. בסקר Hitachi ID, ל-57% מהעובדים שפנו אליהם הוצעו פחות מ-500,000 דולר, ל-28% הוצעו בין 500,000 ל-1 מיליון דולר, ול-11% הוצעו יותר ממיליון דולר.
שלבים מעשיים לשיפור ההגנה
הטקטיקות המתפתחות הנדונות כאן מגבירות את האיום של מפעילי תוכנות כופר, אך ישנם צעדים שארגונים יכולים לנקוט כדי להגן על עצמם:
- פעל לפי שיטות עבודה מומלצות ללא אמון, כגון אימות רב-גורמי (MFA) וגישה לפחות הרשאות, כדי להגביל את ההשפעה של אישורים שנפגעו ולהגדיל את הסיכוי לזיהוי פעילות חריגה.
- התמקדו בהפחתת איומים פנימיים, פרקטיקה שיכולה לעזור להגביל פעולות זדוניות לא רק של עובדים אלא גם של גורמים חיצוניים (שאחרי הכל נראים כמקורבים לאחר שקיבלו גישה).
- בצע ציד איומים קבוע, מה שיכול לעזור לזהות התקפות חסרות קבצים ושחקני איומים שפועלים להתחמק מההגנה שלך מוקדם.
תוקפים תמיד מחפשים דרכים חדשות לחדור למערכות של ארגונים, והתחבולות החדשות שאנו רואים בהחלט מוסיפות ליתרונות שיש לפושעי סייבר על פני ארגונים שאינם מוכנים להתקפות. עם זאת, ארגונים רחוקים מלהיות חסרי אונים. על ידי נקיטת הצעדים המעשיים והמוכחים המתוארים במאמר זה, ארגונים יכולים לעשות חיים קשים מאוד עבור IABs וקבוצות תוכנות כופר, למרות מערך הטקטיקות החדש שלהם.
