דוח מפת האיומים של פורטינט חושף: זינוק של פי 10 במתקפות כופר

לפי הדוח האחרון של פורטינט, ארגונים במגזר התקשורת היו היעד המרכזי של מתקפות הכופר. אחריהם ברשימה היו המגזר הממשלתי, ספקי שירותי אבטחה מנוהלים, תעשיית הרכב והייצור

פורטינט (נאסד"ק: FTNT), מובילה עולמית בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים אשר נאסף במחצית הראשונה של 2021 מראה עלייה משמעותית בנפח המתקפות המתוחכמות המתמקדות באנשים פרטיים, ארגונים ותשתיות קריטיות. שטח התקיפה המתרחב, הכולל את העובדים המרוחקים והתלמידים הנמצאים בתוך הרשת המסורתית ומחוצה לה, ממשיך להוות מטרה. שיתופי פעולה מתוזמנים בין גורמי אכיפת החוק, המגזר הציבורי והפרטי, יכולים לשמש כהזדמנות לשבש את מרחב הפעילות של פושעי הסייבר במחצית השנייה של 2021. להלן ממצאי הדוח העיקריים:  

המטרה של מתקפות הכופר היא לא רק כספית: לפי הנתונים של מעבדות FortiGuard, הפעילות הממוצעת של מתקפות הכופר בחודש יוני 2021 הייתה גבוהה פי 10 מאשר באותו פרק זמן בשנה שעברה. עובדה זו ממחישה את העלייה העקבית בפעילות לאורך שנה. מתקפות הכופר גרמו לנזק לשרשראות אספקה של ארגונים רבים – במיוחד במגזרים בעלי חשיבות קריטית – והשפיעו על חיי היום-יום, הייצור והמסחר יותר מאשר אי פעם. ארגונים במגזר התקשורת היו היעד המרכזי, כאשר אחריהם ברשימה היו המגזר הממשלתי, ספקי שירותי אבטחה מנוהלים, תעשיית הרכב והייצור. בנוסף, כמה ממפעילי מתקפות הכופר שינו את האסטרטגיה שלהם, אשר כללה קודם לכן מטענים ייעודיים המתמקדים בדוא"ל, להתמקדות בקבלת גישה לרשתות הארגוניות ומכירת פרטי הגישה, מה שמעיד אף יותר על ההתפתחות המתמשכת של פשיעת סייבר מסוג מתקפות כופר כשירות (RaaS). 

שכיחות איתור מתקפות כופר לפי מגזרים במחצית הראשונה של 2021 

המסקנה העיקרית העולה מממצאי הדוח היא כי מתקפות כופר עדיין מהוות סכנה ברורה עבור כל סוגי הארגונים, ללא קשר לתעשייה שהם פועלים בה או לגודל שלהם. ארגונים צריכים לנקוט בגישה יזומה באמצעות פתרונות הגנה, איתור ותגובה אוטומטיים לנקודות קצה בזמן אמת כדי לאבטח סביבות, בנוסף להשקעה באסטרטגיות של גישת zero-trust, סגמנטציית רשת והצפנה.    

עלייה באיתור מתקפות כופר במהלך 12 החודשים האחרונים (יולי 20 – יוני 21)

ניסיונות Malvertising אותרו ב-1 מכל 4 ארגונים: לפי ממצאי הדוח, חלה עלייה בשכיחות של איתור תוכנות זדוניות מסוג malverstising (פרסומות מקוונות הכוללות בתוכן תוכנות זדוניות) וב-scareware (שימוש בטקטיקות הפחדה כדי לגרום למשתמשים לרכוש תוכנות שמכילות תוכנות זדוניות). למעלה מ-1 מכל 4 ארגונים איתרו ניסיונות malverstising או scareware, כאשר משפחת ה-Cryxos נמצאת בראש הרשימה. חלק גדול מהתוכנות שאותרו שולבו לרוב עם פעילויות JavaScript דומות שניתן להחשיבן כ-malverstising. המציאות של העבודה ההיברידית ללא ספק עודדה מגמה זו כחלק מהטקטיקות של פושעי הסייבר לניצול המצב, כאשר המטרה שלהם היא לא רק להפחיד, אלא גם לסחוט. כדי להימנע מליפול בפח מטקטיקות של malvertising או scareware, חשוב לספק חינוך והדרכה למודעות לאבטחת סייבר. 

מגמות השימוש בבוטנטים מעידות כי התוקפים מתמקדים בקצוות: מעקב אחר השכיחות של איתור בוטנטים מראה עלייה בפעילות שלהם. בתחילת השנה, 35% מהארגונים איתרו פעילות של בוטנטים מסוגים שונים ולאחר שישה חודשים, הנתון עמד על 51%. הטלטלה הגדולה בפעילות של TrickBot אחראית לעלייה הכללית בפעילות הבוטנטים במהלך חודש יוני. הבוטנט TrickBot הופיע במקור כסוס טרויאני שהתמקד בתחום הבנקאות, אך מאז התפתח לערכת כלים מתוחכמת ובעלת שלבים רבים אשר תומכת במגוון רחב של פעילויות בלתי חוקיות. בוטנט ה-Mirai היה השכיח ביותר מבין כולם; הוא עקף את Gh0st בתחילת שנת 2020 ומאז נמצא במקום הראשון. Mirai המשיך להוסיף נשקי סייבר חדשים לאוסף שלו, אך ככל הנראה, העליונות שלו נובעת גם הודות לפושעי סייבר שמחפשים לנצל התקני IoT המשמשים אנשים אשר עובדים או לומדים מהבית. גם הפעילות של Gh0st ראויה לציון, כאשר מדובר בבוטנט של גישה מרחוק המאפשר לתוקפים לקבל שליטה מלאה על המערכת הנגועה, ללכוד תמונות ממצלמות רשת ומיקרופונים או להוריד קבצים. חלפה כבר למעלה משנה מאז המעבר לעבודה ולימודים מרחוק ופושעי הסייבר ממשיכים להתמקד בהרגלי היום-יום המתפתחים שלנו כדי לנצל זאת לטובתם. כדי להגן על רשתות ויישומים, ארגונים צריכים ליישם מודל של גישת zero-trust ולספק את הגישה המינימלית הדרושה למשתמשים וזאת כדי להגן על עצמם מפני התקני IoT ונקודות קצה אשר נכנסים לרשת. 

שכיחות איתור בוטנטים במחצית הראשונה של 2021

שיבוש הפעילות של פושעי הסייבר מביא לירידה באיומים: באבטחת סייבר, לא לכל פעולה יש השפעה מידית או מתמשכת, אך מספר אירועים בשנת 2021 מעידים על התפתחויות חיוביות כתוצאה מנקיטת פעולה לשיבוש למשל, הפעילות של פושעי הסייבר. המפתח המקורי של ה-TrickBot הועמד לדין עקב מספר רב של אישומים בחודש יוני. כמו כן, השבתת הפעילות המתואמת של Emotet, אחת מהתוכנות הזדוניות המשגשגות ביותר שנראו לאחרונה, יחד עם פעולות שנועדו כדי להשבית את הפעילות של תוכנות הכופר Egregor, NetWalker ו-CI0p, מייצגים מומנטום משמעותי מצד  גורמי אבטחת הסייבר, הכוללים, בין היתר, ממשלות ורשויות אכיפת החוק, כדי לרסן את פשיעת הסייבר. בנוסף לכך, חלק ממתקפות הכופר זכו לתשומת לב רבה, אשר הפחידה את התוקפים וגרמה להם להכריז על הפסקת הפעילות. לפי הנתונים של מעבדות FortiGuard, נרשמה האטה בפעילות איומים בעקבות ההשבתה של Emotet. אומנם פעילות הקשורה לגרסאות של TrickBot ו-Ryuk המשיכה לאחר שבוטנט ה-Emotet הורד מהרשת, אך בנפח מופחת. אירועים אלו מסמלים הישגים חשובים במאבק בפשיעת סייבר וגם מהווים תזכורת לקושי למגר את איומי הסייבר ושרשראות האספקה של הפושעים באופן מידי. 

התחמקות מאיתור והסלמת הרשאות – הטכניקות המועדפות על פושעי הסייבר: ממצאי הדוח חושפים מסקנות בעלות ערך בנוגע להתפתחויות הנוכחיות בטכניקות ההתקפה. חוקרי מעבדות FortiGuard ניתחו את התוצאות הצפויות עבור פושעי הסייבר באמצעות המחשה של שימוש בתוכנות זדוניות. מתוצאות הניסוי עלה כי, במידה ופושעי הסייבר היו מוציאים לפועל את התוכנות הזדוניות, הם היו מנצלים פגמים במערכות או ביישומים לצורך קבלת גישה ללא צורך בהרשאות (Privilege Escalation), מתחמקים מאמצעי הגנה (Defensive Evasion), נעים מסביב למערכות פנימיות במטרה לחלץ נתונים שנפגעו ועוד. לדוגמה, 55% מפונקציונליות הסלמת ההרשאות שנצפתה מינפה את שיטת hooking המשמשת לשינוי ההתנהגות של מערכת הפעלה, תוכנה או קוד ו-40% ניצלה את שיטת process injection. המסקנה העולה מהממצאים היא כי התוקפים מתמקדים בטכניקות של התחמקות מאיתור והסלמת הרשאות. למרות שלא מדובר בטכניקות חדשות, צוותי האבטחה יהיו מסוגלים לספק אבטחה טובה יותר נגד מתקפות עתידיות אם יהיה ברשותם הידע לגביהן בזמן המתאים. גישות של פלטפורמה משולבת ומבוססת בינה מלאכותית, המונעת על ידי מודיעין איומים אשר ניתן לפעול לפיו, הן הכרחיות כדי להגן על כל הקצוות, לזהות ולתקן בזמן אמת את האיומים המשתנים שהארגונים מתמודדים עמם כיום. 

שיתופי פעולה, הדרכה, מניעה, איתור ותגובה מבוססי בינה מלאכותית יסייעו לעצור את פשיעת הסייבר: בזמן שהממשלה ורשויות אכיפת החוק נקטו בפעולות הקשורות להתמודדות עם פשיעת סייבר בעבר, האיומים אשר נראו במחצית הראשונה של 2021 יכולים לשנות את חוקי המשחק העתידיים. כדי לעשות זאת, יש צורך בשיתוף פעולה עם ספקים בתעשייה, ארגוני מודיעין איומים וארגונים גלובליים נוספים כדי לשלב משאבים ומודיעין איומים בזמן אמת במטרה להתמודד עם פושעי הסייבר. כמו כן, יש צורך באיתור איומים אוטומטי ובינה מלאכותית כדי לאפשר לארגונים להתמודד עם מתקפות בזמן אמת ולמנוע מתקפות במהירות ובקנה מידה גדול לאורך כל הקצוות. בנוסף לכך, חשוב ליישם הדרכות מודעות לאבטחת סייבר למשתמשים עבור כל אחד אשר מהווה מטרה עבור התוקפים. 

דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט, אמר כי, "אנו רואים עלייה במתקפות סייבר יעילות והרסניות אשר משפיעות על אלפי ארגונים בתקרית בודדת, מה שיוצר נקודת הטיה חשובה עבור המלחמה בפשיעת סייבר. כיום, יותר מתמיד, לכל אחד יש תפקיד חשוב בחיזוק שרשרת ההרג של המתקפות. יש להתמקד בשיתופי פעולה בין גורמים שונים כדי לשבש את שרשראות האספקה של פושעי הסייבר, כאשר שיתוף נתונים יכול לאפשר תגובות יעילות יותר ולחזות בצורה טובה יותר את הטכניקות העתידיות לסיכול הפעולות של פושעי הסייבר. גם הדרכות מודעות מתמשכות לאבטחת סייבר, יחד עם טכנולוגיות מניעה, איתור ותגובות מבוססות בינה מלאכותית המשולבות לאורך נקודות קצה, רשתות והענן, כולן חיוניות למאבק בפשיעת הסייבר". 

תמונות- יח"ץ