דוח חדש של סופוס חושף כיצד מתקפות כופר מתבצעות בתוך שעות ספורות

סופוס, פרסמה דוח (Active Adversary Report for Security Practitioners) שבמסגרתו היא חושפת כיצד קבוצות תקיפה מנהלות היום מתקפות כופר זריזות המתבצעות בתוך שעות ספורות. הדו"ח בוחן מקרי תגובה לאירועים (IR) שנאספו ונותחו על ידי סופוס מינואר 2022 ועד המחצית הראשונה של 2023.

הדו"ח של Sophos X-Ops מנתח סוג תקיפה הנקרא Smash-and-grab ransomware  (ריסוק ותפיסה) ואת הטקטיקות, הטכניקות והתהליכים המדויקים (TTPs) שבהם משתמשים התוקפים בצורת התקיפה החדשה הזו – כולל כלי LOLBins (living-off-the-land binaries) וכלים והתנהגויות אחרים המאפשרים להם לתפוס ולהשתלט על משאבים קריטיים שהם רוצים לנצל. הראיות המוצגות בדו"ח וההסברים המפורטים מציגים כיצד מתפתחות התקפות מסוימות מדגימות את הצורך בפתרונות אבטחה מותאמים כדי להגן, לזהות ולשבש בזריזות את שרשרת התקיפה.

בנוסף חושף הדוח כי נתוני טלמטריה היו חסרים בכמעט 42% ממקרי התקיפה שנחקרו. ב-82% מהמקרים, פושעי סייבר השביתו או מחקו את נתוני הטלמטריה כדי לכסות את עקבותיהם. פערים בטלמטריה מפחיתים את הויזביליות החיונית ברשתות ובמערכות של ארגונים, בעיקר משום שזמן השהייה של התוקף (הזמן שחולף מהגישה הראשונית ועד לזיהוי) ממשיך להתקצר, מה שמקצר גם את הזמן העומד לרשות המגינים כדי להגיב ביעילות לאירוע.

"כאשר מגיבים לאיום פעיל, הזמן הוא עניין קריטי; הזמן בין זיהוי הגישה הראשונית לבין סיכול מלא של האיום צריך להיות קצר ככל האפשר. ככל שהתוקף מתקדם בשרשרת ההתקפה, כך כאב הראש של צוותי התגובה לאירועים גדול יותר. טלמטריה חסרה רק מוסיפה זמן לתיקון שרוב הארגונים לא יכולים להרשות לעצמם. זו הסיבה שתיעוד מלא ומדויק הוא חיוני, אבל אנחנו רואים שלעיתים קרובות מדי, לארגונים אין את הנתונים שהם צריכים", אומר ג'ון שייר,  מנהל טכנולוגיות ראשי בסופוס.

בדוח, סופוס מסווגת מתקפות כופר עם זמן שהייה של פחות מחמישה ימים כ"מתקפות מהירות". מתקפות אלו היוו 38% מהמקרים שנחקרו. התקפות כופר "איטיות" יותר, עם זמן שהייה של יותר מחמישה ימים, היוו 62% מהמקרים.