$
סייבר ואבטחת מידע

דוח מפת האיומים של פורטינט חושף: פושעי הסייבר משתמשים בטכניקות התחמקות ומניעת ניתוח פעולותיהם כדי להימנע מגילוי

לפי הדוח של פורטינט, תוכנות הכופר עוברות מהתקפות מפוזרות להתקפות המתמקדות בארגונים בעלי יכולת לשלם דמי כופר

בשיתוף פורטינט 13:3313.08.19
פורטינט (נאסד"ק: FTNT), מובילה עולמית בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דוח מפת האיומים הרבעוני של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה כי פושעי הסייבר ממשיכים לחפש אחר הזדמנויות התקפה חדשות לאורך כל שטח התקיפה הדיגיטלי וממנפים טכניקות התחמקות ומניעת ניתוח פעולותיהם בעודם הופכים למתוחכמים יותר בניסיונות התקיפה שלהם. להלן ממצאי הדוח העיקריים:

 

שימוש בטכניקות התחמקות מתוחכמות: כלים זדוניים מודרניים רבים כבר כוללים מאפיינים המשמשים להתחמקות מאנטי-וירוסים או משיטות אחרות של גילוי איומים ופושעי הסייבר פועלים כל העת כדי להפוך את טכניקות ההתחמקות למתוחכמות יותר ואותם – קשים יותר לאיתור. למשל, חוקרי מעבדות FortiGuard גילו לאחרונה קמפיין ספאם אשר משתמש במייל פישינג עם מסמך אקסל מצורף, אשר מריץ סדרת הוראות זדוניות לאחר פתיחת הקובץ. התקפה זו נועדה כדי להשבית כלי אבטחה, להוציא לפועל פקודות בצורה שרירותית, לגרום לבעיות זיכרון ולוודא כי היא פועלת רק על מערכות יפניות.

 

דוגמא נוספת היא גרסה של הסוס הטרויאני הבנקאי Dridex, אשר משנה את שמות הקבצים ומבלגנת אותם בכל פעם שהמשתמש מתחבר ובכך, הופכת את גילוי הנוזקה למורכב ביותר על מערכות מארחות נגועות. כדי להתמודד עם טכניקות התחמקות שונות המיושמות על ידי פושעי הסייבר, ארגונים צריכים לפרוס הגנות אבטחה בעלות מספר שכבות וליישם טכניקות של איתור איומים.

 

התקפות מתחת לרדאר מכוונות לטווח ארוך: נוזקת Zegost אשר אוספת מידע היא הבסיס של קמפיין פישינג ממוקד. בדומה לנוזקות אוספות מידע אחרות, המטרה העיקרית של Zegost היא לאסוף מידע לגבי המכשיר של הקורבן ולגנוב אותו. אך בשונה מהנוזקות האחרות, Zegost בנויה בתצורה מיוחדת אשר מטרתה היא להחביא אותה מעיני כל, כאשר יש לה את היכולת לנקות יומני אירועים (לוגים). כמו כן, לנוזקה הייתה פקודה אשר שמרה את תכונת איסוף המידע במצב של קיפאון עד לתאריך ה-14 בפברואר 2019, והחלה בפעולתה רק לאחר תאריך זה. פושעי הסייבר העומדים מאחורי הנוזקה מנצלים מאגר של נקודות תורפה כדי לוודא כי הם מבססים ומשמרים את הקשר לקורבנות המיועדים שלהם, ועל ידי כך שותלים איום לטווח ארוך בהשוואה לנוזקות דומות אחרות.

 

תוכנות הכופר עוברות להתקפות ממוקדות יותר: ההתקפות על ערים ברחבי העולם, ממשלות מקומיות ומערכות חינוך משמשות כתזכורת כי תוכנות הכופר לא נעלמות, אלא ממשיכות להוות איום משמעותי עבור ארגונים רבים גם כיום. התקפות כופר ממשיכות להתרחק משיטות של התקפות מפוזרות בנפח גבוה ועוברות להתקפות אשר מתמקדות בארגונים בעלי היכולת או התמריץ לשלם דמי כופר. במקרים מסוימים, פושעי הסייבר אף עורכים סיורים נרחבים אצל יעד התקיפה שלהם לפני פריסת תוכנת הכופר על מערכות אשר נבחרו בקפידה וזאת במטרה למקסם את הזדמנויות הרווח שלהם.

 

למשל, תוכנת הכופר RobbinHood תוכננה כדי לתקוף את תשתית הרשת הארגונית והיא מסוגלת לנטרל את שירותי Windows אשר מונעים הצפנת נתונים ולנתק אותם מכוננים משותפים. איום נוסף עבור ארגונים זוהי תוכנת כופר חדשה בשם Sodinokibi. מבחינה פונקציונלית, היא לא שונה מאוד מרוב כלי תוכנות הכופר הזמינים, אך וקטור התקיפה שלה הוא הגורם המטריד. הוקטור מנצל נקודת תורפה חדשה יותר אשר מאפשרת הוצאה לפועל של קוד בצורה שרירותית מבלי הצורך באינטראקציה של המשתמש, וזאת בשונה מתוכנות כופר אחרות, אשר נשלחות דרך מיילים של פישינג.

עופר ישראלי, מנהל פעילות פורטינט ישראל עופר ישראלי, מנהל פעילות פורטינט ישראל צילום: באדיבות פורטינט

 

כמו כן, נקודות תורפה בפרוטוקול שולחן עבודה מרחוק (RDP) כמו BlueKeep משמשות כסימן אזהרה לכך כי שירותי גישה מרחוק יכולים לשמש את פושעי הסייבר כוקטור תקיפה כדי להפיץ תוכנות כופר. תוכנות כופר ממשיכות להוות איום משמעותי עבור ארגונים והן מתריעות על כך כי יש לתעדף עדכוני אבטחה קבועים וחינוך למודעות לאבטחת סייבר כאשר אנו בונים אסטרטגיית אבטחה לארגון.

 

הזדמנויות תקיפה חדשות בשטח התקיפה הדיגיטלי: שטח התקיפה הדיגיטלי ממשיך להתרחב והוא מתחיל במדפסת הביתית ומגיע עד לתשתיות הקריטיות וכולל בתוכו מערכות בקרה לשימוש ביתי ועסקי. אם בעבר מערכות חכמות ביתיות ומערכות המיועדות לעסקים קטנים משכו תשומת לב פחותה יותר אצל פושעי הסייבר מאשר המערכות התעשייתיות, הדבר משתנה בהתבסס על פעילות מוגברת אשר מתמקדת במכשירי בקרה של מערכות סביבתיות, מצלמות אבטחה ומערכות בטיחות. חתימה הקשורה לפתרונות ניהול הבניין נמצאה פעילה ב-1% מהארגונים, מה שלא נראה כהרבה, אך מדובר בנתון גבוה יותר מאשר נראה לרוב עבור מוצרים של מערכות בקרה תעשייתיות (ICS) או SCADA.

 

פושעי הסייבר מחפשים אחר הזדמנויות חדשות להשתלט על מכשירי בקרה בבתים ובעסקים. לפעמים, סוגי מכשירים אלו לא מתועדפים כמו אחרים או שהם נמצאים מחוץ לתחום של ניהול ה-IT המסורתי. אבטחת מערכות של בתים חכמים או של עסקים קטנים זקוקה לתשומת לב רבה יותר, זאת כיוון שלגישה אליהן עלולות להיות השלכות אבטחה חמורות.

 

עופר ישראלי, מנהל פעילות פורטינט ישראל, אמר כי, "הגנת הארגון שלכם מפני התקפות של פושעי הסייבר דורשת אבטחה מקיפה, משולבת ואוטומטית. מודיעין איומים דינמי, יזום וזמין בזמן אמת יכול לסייע לזהות מגמות המצביעות על התפתחות שיטות ההתקפה אשר מתמקדות בשטח התקיפה הדיגיטלי ולתת דגש על העדיפות של היגיינת הסייבר בארגונכם. הערך והיכולת לנקוט בפעולה בעקבות מודיעין איומים יקטנו משמעותית אם הם לא יהיו ברי פעולה בזמן אמת בכל התקן אבטחה. רק מארג אבטחה (Security Fabric) מקיף, משולב ואוטומטי יוכל לספק הגנה עבור סביבת הרשת כולה החל מה-IoT, דרך הקצה וליבת הרשת וכלה בריבוי עננים במהירות ובצורה מותאמת".

 

פיל קוודה, CISO בפורטינט, אמר כי, "ההיקף המתרחב ללא הפסקה והתחכום של שיטות ההתקפה של פושעי הסייבר משמשים כתזכורת חשובה לדרכים שבהן הם מנסים למנף את המהירות והחיבוריות לטובתם. לכן, צוותי ה-IT אשר תפקידם להגן על הרשת צריכים לנהוג בצורה דומה ולתעדף את יסודות האבטחה הבסיסיים כדי למצב את הארגונים בעמדה טובה יותר לנהל ולמנוע סיכוני סייבר. אימוץ גישה של מארג אבטחה לאורך כל האלמנטים של האבטחה המאמצים סגמנטציה ואינטגרציה, מודיעין איומים אשר ניתן לפעול לפיו ואוטומציה משולבת עם למידת מכונה הם קריטיים כדי לשמור על הרשת שלכם בצורה הטובה ביותר".

x