תוכנת כופר היא איום אבטחת הסייבר המשמעותי ביותר העומד בפני ארגונים כיום. אבל לאחרונה, מנהיגים מהסוכנות לביטחון לאומי וה-FBI שניהם ציינו שהפיגועים פחתו במהלך המחצית הראשונה של 2022. ייתכן שהשילוב של סנקציות על רוסיה, שבה מקורן כנופיות פושעי סייבר רבות, ושווקי מטבעות קריפטוגרפיים מתרסקים, השפיעו, והקשו על כנופיות תוכנות כופר לחלץ כספים ולקבל את התשלומים שלהם.
אבל עדיין לא יצאנו מהיער. למרות צניחה זמנית, תוכנת הכופר לא רק משגשגת אלא גם מתפתחת. כיום, תוכנת כופר כשירות (RaaS) התפתחה ממודל ממוחשב, אוטומטי המסתמך על ערכות ניצול ארוזות מראש, לפעולה עסקית מנוהלת על ידי אדם, ממוקדת ומתוחכמת. זו סיבה לעסקים בכל גודל להיות מודאגים.
הופך ל-RaaS
ידוע לכל כי פושעי הסייבר של היום מצוידים היטב, בעלי מוטיבציה גבוהה ויעילים מאוד. הם לא קיבלו את זה במקרה, והם לא נשארו כל כך יעילים בלי ברציפות מפתחים את הטכנולוגיות והמתודולוגיות שלהם. המוטיבציה של רווח כספי מסיבי היה הקבוע היחיד.
התקפות מוקדמות של תוכנות כופר היו התקפות פשוטות מונעות טכנולוגיה. ההתקפות הביאו להתמקדות מוגברת ביכולות הגיבוי והשחזור, מה שהוביל יריבים לחפש גיבויים מקוונים ולהצפין גם אותם במהלך התקפה. הצלחת התוקף הובילה לכופר גדול יותר, ודרישות הכופר הגדולות יותר הפחיתו את הסיכוי שהקורבן ישלם, ויותר את הסיכוי שרשויות אכיפת החוק יתערבו. כנופיות תוכנת כופר הגיבו בסחיטה. הם עברו לא רק להצפנת נתונים, אלא לסינון ולאיום לפרסם את הנתונים הרגישים לעתים קרובות של הלקוחות או השותפים של הקורבן, מה שמכניס סיכון מורכב יותר לפגיעה במותג ובמוניטין. כיום, זה לא יוצא דופן שתוקפי תוכנות כופר מחפשים את פוליסת ביטוח הסייבר של הקורבן כדי לעזור להגדיר את דרישת הכופר ולהפוך את כל התהליך (כולל תשלום) ליעיל ככל האפשר.
ראינו גם התקפות של תוכנות כופר פחות ממושמעות (אך מזיקות באותה מידה). לדוגמה, בחירה בתשלום כופר מזהה בתורו גם את הקורבן כמי שמתאים להתקפה עתידית, מה שמגדיל את הסבירות שהוא ייפגע שוב, על ידי אותה כנופיית תוכנות כופר או אחרת. הערכות מחקר בין 50% ל 80% (PDF) של ארגונים ששילמו כופר ספגו מתקפה חוזרת.
ככל שהתפתחו התקפות תוכנות כופר, כך התפתחו גם טכנולוגיות האבטחה, במיוחד בתחומים של זיהוי וחסימת איומים. טכנולוגיות אנטי-פישינג, מסנני דואר זבל, אנטי-וירוס וזיהוי תוכנות זדוניות כוונו כולן כדי לטפל באיומים מודרניים כדי למזער את האיום של פשרה באמצעות דואר אלקטרוני, אתרים זדוניים או וקטורי התקפה פופולריים אחרים.
משחק "חתול ועכבר" פתגמי זה בין יריבים וספקי אבטחה המספקים הגנות טובות יותר וגישות מתוחכמות לעצירת התקפות כופר הוביל ליותר שיתוף פעולה בתוך טבעות פושעי סייבר גלובליות. בדומה לפצחי כספות ומומחי אזעקה המשמשים בשוד מסורתי, מומחים בפיתוח תוכנות זדוניות, גישה לרשת וניצול מניעים את ההתקפות של היום יצרו תנאים לאבולוציה הבאה בתוכנת כופר.
דגם RaaS היום
RaaS התפתחה והפכה לפעילות מתוחכמת בהובלת אנוש עם מודל עסקי מורכב ומתחלק ברווחים. מפעיל RaaS שייתכן ועבד באופן עצמאי בעבר מתקשר כעת עם מומחים כדי להגדיל את סיכויי ההצלחה.
מפעיל RaaS - שמתחזק כלים ספציפיים של תוכנות כופר, מתקשר עם הקורבן ומאובטח תשלומים - יעבוד כעת לעתים קרובות לצד האקר ברמה גבוהה, שיבצע את החדירה בעצמו. קיום תוקף אינטראקטיבי בתוך סביבת היעד מאפשר קבלת החלטות בזמן אמת במהלך המתקפה. בעבודה משותפת, הם מזהים חולשות ספציפיות ברשת, מסלימים הרשאות ומצפינים את הנתונים הרגישים ביותר כדי להבטיח תשלומים. בנוסף, הם מבצעים סיור כדי למצוא ולמחוק גיבויים מקוונים ולהשבית כלי אבטחה. ההאקר החוזה יעבוד לרוב לצד מתווך גישה, שאחראי לספק גישה לרשת באמצעות אישורים גנובים או מנגנוני התמדה שכבר קיימים.
ההתקפות הנובעות משיתוף הפעולה הזה של המומחיות הן בעלות תחושה ומראה של התקפות מתקדמות בסגנון איום מתמשך "מיושן", בחסות המדינה, אך הן נפוצות הרבה יותר.
כיצד ארגונים יכולים להגן על עצמם
מודל RaaS החדש, המופעל על ידי אנוש, הוא הרבה יותר מתוחכם, ממוקד והרסני ממודלים של RaaS בעבר, אך עדיין ישנן שיטות עבודה מומלצות שארגונים יכולים לפעול כדי להגן על עצמם.
ארגונים חייבים להיות ממושמעים לגבי היגיינת האבטחה שלהם. ה-IT תמיד משתנה, ובכל פעם שמתווסף נקודת קצה חדשה, או מערכת מתעדכנת, יש לה פוטנציאל להציג פגיעות או סיכון חדשים. צוותי אבטחה חייבים להישאר ממוקדים בשיטות עבודה מומלצות לאבטחה: תיקון, שימוש באימות רב-גורמי, אכיפת אישורים חזקים, סריקת ה-Dark Web לאיתור אישורים שנפגעו, הדרכת עובדים כיצד לזהות ניסיונות דיוג ועוד. אלה שיטות עבודה מומלצות עוזרות להפחית את משטח ההתקפה ולצמצם את הסיכון שמתווך גישה יוכל לנצל פגיעות כדי להשיג כניסה. בנוסף, ככל שלארגון יש היגיינת אבטחה חזקה יותר, כך יהיה פחות "רעש" עבור אנליסטים למיין במרכז המבצעים האבטחה (SOC), מה שיאפשר להם להתמקד באיום האמיתי כאשר הוא מזוהה.
מעבר לשיטות העבודה המומלצות לאבטחה, ארגונים חייבים גם להבטיח שיש להם יכולות מתקדמות של זיהוי איומים ותגובה. מכיוון שברוקרי גישה מבלים זמן בביצוע סיור בתשתית הארגון, לנתחי אבטחה יש הזדמנות לזהות אותם ולעצור את המתקפה בשלביה המוקדמים - אבל רק אם יש להם את הכלים הנכונים. ארגונים צריכים לחפש פתרונות זיהוי ותגובה מורחבים שיכולים לזהות ולהתאים טלמטריה מאירועי אבטחה על פני נקודות הקצה, הרשתות, השרתים, מערכות הדוא"ל והענן והיישומים שלהם. הם גם צריכים את היכולת להגיב בכל מקום שבו מזוהה ההתקפה כדי לכבות אותה במהירות. לארגונים גדולים עשויות להיות יכולות אלו מובנות ב-SOC שלהם, בעוד שארגונים בינוניים עשויים לרצות לשקול את מודל הזיהוי והתגובה המנוהלים לניטור ותגובה של איומים 24/7.
למרות הירידה האחרונה במתקפות כופר, אנשי אבטחה לא צריכים לצפות שהאיום ייכחד בקרוב. RaaS ימשיך להתפתח, כשההתאמות האחרונות הוחלפו בגישות חדשות בתגובה לחידושי אבטחת סייבר. אבל עם התמקדות בשיטות עבודה מומלצות לאבטחה בשילוב עם טכנולוגיות מפתח למניעת איומים, איתור ותגובה, ארגונים יהפכו עמידים יותר בפני התקפות.
