צוותי אבטחה ארגוניים יכולים להוסיף עוד שלוש גרסאות של תוכנות כופר לרשימה ההולכת וגדלה של איומי תוכנות כופר שעבורם הם צריכים לנטר.
שלושת הגרסאות - Vohuk, ScareCrow ו- AESRT - כמו רוב כלי תוכנות הכופר, מכוונות למערכות Windows ונראה שהן מתפשטות במהירות יחסית במערכות השייכות למשתמשים במספר מדינות. חוקרי אבטחה במעבדות FortiGuard של Fortinet, שעוקבים אחר האיומים השבוע, תיארו את דגימות תוכנות הכופר כצוברות אחיזה במסד הנתונים של תוכנות הכופר של החברה.
הניתוח של פורטינט מבין שלושת האיומים הראו שהם כלי תוכנת כופר סטנדרטיים מהסוג שבכל זאת היו יעילים מאוד בהצפנת נתונים במערכות שנפגעו. ההתראה של Fortinet לא זיהתה כיצד המפעילים של דגימות תוכנות הכופר החדשות מפיצים את התוכנה הזדונית שלהם, אך היא ציינה שדוא"ל דיוג היה בדרך כלל הווקטור הנפוץ ביותר להדבקות בתוכנות כופר.
מספר הולך וגדל של גרסאות
"אם הגידול של תוכנות הכופר ב-2022 מצביע על מה צופן העתיד, צוותי אבטחה בכל מקום צריכים לצפות לראות את וקטור ההתקפה הזה הופך לפופולרי עוד יותר ב-2023", אומר פרד גוטיירז, מהנדס אבטחה בכיר, במעבדות FortiGuard של Fortinet.
רק במחצית הראשונה של 2022, מספר גרסאות תוכנת הכופר החדשות ש-FortiGuard זיהתה גדל בכמעט 100% בהשוואה לתקופה של ששת החודשים הקודמים, הוא אומר. צוות FortiGuard Labs תיעד 10,666 גרסאות חדשות של תוכנות כופר במחצית הראשונה של 2022 לעומת 5,400 בלבד במחצית השנייה של 2021.
"הצמיחה הזו בגרסאות חדשות של תוכנות כופר היא בעיקר הודות ליותר תוקפים שניצלו את תוכנת הכופר כשירות (RaaS) ברשת האפלה", הוא אומר.
הוא מוסיף: "בנוסף, אולי ההיבט המדאיג ביותר הוא שאנו רואים עלייה במתקפות כופר הרסניות יותר בקנה מידה וברחבי כמעט כל סוגי הסקטורים, שאנו מצפים להמשיך עד 2023."
זני כופר סטנדרטיים אך יעילים
נראה שגרסת תוכנת הכופר של Vohuk שחוקרים פורטינט ניתחו נמצאת באיטרציה השלישית שלה, מה שמעיד על כך שהמחברים שלה מפתחים אותה באופן פעיל.
התוכנה הזדונית מטילה פתק כופר, "README.txt", על מערכות שנפגעו, המבקשת מהקורבנות ליצור קשר עם התוקף באמצעות דואר אלקטרוני עם מזהה ייחודי, אמר פורטינט. הפתק מודיע לקורבן כי התוקף אינו ממניעים פוליטיים אלא מעוניין רק ברווח כספי - ככל הנראה כדי להרגיע את הקורבנות שהם יקבלו את הנתונים שלהם בחזרה אם ישלמו את הכופר הנדרש.
בינתיים, "ScareCrow היא עוד תוכנת כופר טיפוסית שמצפינה קבצים במכונות של קורבנות", אמר פורטינט. "פתק הכופר שלו, שכותרתו גם 'readme.txt', מכיל שלושה ערוצי טלגרם שבהם הקורבנות יכולים להשתמש כדי לדבר עם התוקף."
למרות שפתק הכופר אינו מכיל דרישות כספיות ספציפיות, ניתן להניח כי הקורבנות יצטרכו לשלם כופר כדי לשחזר קבצים שהוצפנו, אמר פורטינט.
המחקר של ספק האבטחה הראה גם חפיפה מסוימת בין ScareCrow לבין הידוע לשמצה גרסה של תוכנת כופר Conti, אחד מכלי תוכנת הכופר הפוריים ביותר אי פעם. שניהם, למשל, משתמשים באותו אלגוריתם כדי להצפין קבצים, ובדיוק כמו Conti, ScareCrow מוחק עותקי צל באמצעות כלי שורת הפקודה WMI (wmic) כדי להפוך את הנתונים לבלתי ניתנים לשחזור במערכות נגועות.
הגשות ל-VirusTotal מצביעות על כך של-ScareCrow נדבקו מערכות בארצות הברית, גרמניה, איטליה, הודו, הפיליפינים ורוסיה.
ולבסוף, ל-AESRT, משפחת תוכנות הכופר החדשה השלישית ש-Fortinet זיהתה לאחרונה בטבע, יש פונקציונליות שדומה לשני האיומים האחרים. ההבדל העיקרי הוא שבמקום להשאיר פתק כופר, התוכנה הזדונית מספקת חלון קופץ עם כתובת האימייל של התוקף, ושדה המציג מפתח לפענוח קבצים מוצפנים לאחר שהקורבן שילם את הכופר הנדרש.
האם קריסת קריפטו תאט את איום תוכנת הכופר?
הגרסאות הטריות מוסיפות לרשימה הארוכה - והצומחת ללא הרף - של איומי תוכנות כופר שארגונים נאלצים להתמודד איתם כעת על בסיס יומי, שכן מפעילי תוכנות הכופר ממשיכים להכות ללא הפוגה על ארגונים ארגוניים.
נתונים על התקפות כופר ש-LookingGlass ניתחה מוקדם יותר השנה הראו שיש כאלה 1,133 התקפות כופר מאושרות במחצית הראשונה של 2022 לבדה - יותר ממחצית (52%) מהם השפיעו על חברות אמריקאיות. LookingGlass גילתה שקבוצת תוכנות הכופר הפעילה ביותר הייתה זו שמאחורי גרסת LockBit, ואחריה קבוצות מאחורי Conti, Black Basta ו-Alphy.
עם זאת, קצב הפעילות אינו יציב. כמה ספקי אבטחה דיווחו על האטה קלה בפעילות תוכנות הכופר במהלך חלקים מסוימים של השנה.
בדו"ח של אמצע השנה, SecureWorks, למשל, אמרה שההתקשרויות לתגובה לאירועים שלה בחודשים מאי ויוני הצביעו על כך שהקצב שבו התרחשו התקפות כופר חדשות מוצלחות הואט מעט.
SecureWorks זיהתה שהמגמה עשויה להיות קשורה, לפחות חלקית, לשיבוש פעולת Conti RaaS השנה וגורמים אחרים כגון ההשפעה המשבשת של המלחמה באוקראינה על כנופיות תוכנות כופר.
דוח נוסף, ממרכז המשאבים לגניבת זהות (ITRC), דיווח על ירידה של 20% במתקפות כופר שהביאה לפרצה במהלך הרבעון השני של 2022 בהשוואה לרבעון הראשון של השנה. ITRC, כמו SecureWorks, זיהה את הירידה כקשורה למלחמה באוקראינה, ובאופן משמעותי, לקריסת מטבעות קריפטוגרפיים שמפעילי תוכנות הכופר מעדיפים לתשלומים.
בריאן וור, מנכ"ל LookingGlass, אומר שהוא מאמין שקריסת הקריפטו עלולה להפריע למפעילי תוכנות הכופר ב-2023.
"בשערוריית ה-FTX האחרונה יש טנקים של מטבעות קריפטוגרפיים, וזה משפיע על המונטיזציה של תוכנות כופר ובעצם הופך אותה לבלתי צפויה", הוא אומר. "זה לא מבשר טובות עבור מפעילי תוכנות כופר מכיוון שהם יצטרכו לשקול צורות אחרות של מונטיזציה בטווח הארוך."
וור אומר את מגמות סביב מטבעות קריפטוגרפיים יש כמה קבוצות של תוכנות כופר ששוקלות להשתמש במטבעות קריפטוגרפיים משלהן: "אנחנו לא בטוחים שזה יתממש, אבל בסך הכל, קבוצות של תוכנות כופר מודאגות לגבי האופן שבו הן ירוויחו רווחים וישמרו על רמה מסוימת של אנונימיות בעתיד."
