כלכלת סחיטה
צפה בתקציר הדיגיטלי 'אותות סייבר' שבו Vasu Jakkal, CVP באבטחה של Microsoft, מראיין מומחים מובילים בינת איומים לגבי כלכלת תוכנת הכופר וכיצד ארגונים יכולים להגן על עצמם.
תקציר דיגיטלי: להתגונן מפני כלכלה של תוכנת כופר
מודל עסקי חדש מציע תובנות חדשות לצוותי ההגנה
בדומה לתעשיות רבות שעברו לעובדים זמניים כדי להתייעל, פושעי הסייבר משכירים או מוכרים את כלי תוכנת הכופר שלהם תמורת חלק מהרווח במקום לבצע את המתקפות בעצמם.
RaaS מנמיכה את רף הכניסה ומטשטשת את הזהות של התוקפים שמאחורי תוכנת הכופר. בחלק מהתוכנות יש מעל 50 'שותפים', כך הם מכנים את המשתמשים בשירות שלהם, עם כלים, סודות מקצוע ויעדים שונים. בדיוק כפי שכל אחד שיש לו מכונית יכול לנהוג עבור שירות של נסיעות משותפות, כל אחד שיש לו מחשב נישא וכרטיס אשראי ומוכן לחפש ב- Dark Web כלי בדיקת חדירה או תוכנה זדונית מוכנה לשימוש יכול להצטרף לכלכלה זו.
התיעוש הזה של פשע סייבר יצר תפקידים מיוחדים, כמו סוכני גישה שמוכרים גישה לרשתות. לעתים קרובות, חשיפה אחת לסכנה מערבת פושעי סייבר רבים בשלבים שונים של הפלישה.
לא קשה למצוא ערכות RaaS ב- Dark Web ומפרסמים אותן בדומה לפרסום של סחורות באינטרנט.
ערכת RaaS עשויה לכלול שירות לקוחות, מבצעי חבילה, ביקורות של משתמשים, פורומים ותכונות נוספות. פושעי סייבר יכולים לשלם מחיר קבוע עבור ערכת RaaS, וקבוצות אחרות שמוכרות RaaS במודל שותפים יכולים לקחת אחוז מהרווחים.
מתקפות של תוכנת כופר כוללות החלטות שמבוססות על תצורות של רשתות ומשתנות מקורבן לקורבן, אפילו אם תוכן המנה של תוכנת הכופר זהה. תוכנת הכופר מסיימת מתקפה שיכולה לכלול חילוץ נתונים והשפעות אחרות. בגלל האופי המחובר של כלכלת פושעי הסייבר, חדירות שאינן ניראות קשורות זו לזו יכולות להסתמך אחת על השנייה. תוכנה זדונית לגניבת מידע שגונבת סיסמאות וקובצי Cookie מקבלת יחס פחות מחמיר, אבל פושעי הסייבר מוכרים את הסיסמאות האלה כדי לאפשר מתקפות אחרות.
המתקפות האלה פועלות לפי תבנית של גישה ראשונית דרך זיהום בתוכנה זדונית או ניצול לרעה של פגיעות ולאחר מכל גניבת אישורים כדי למנף הרשאות ולנוע לרוחב. התיעוש מאפשר הוצאה לפועל של מתקפות תוכנת כופר רבות השפעה ופוריות על-ידי תוקפים שאינם מתוחכמים או בעלי מיומנויות מתקדמות. מאז הסגירה של Conti הבחנו בתזוזה בנוף תוכנת הכופר. חלק מהשותפים עם פריסה של Conti עברו לתכני מנה מאקוסיסטמות RaaS מבוססות כמו LockBit ו- Hive, ואחרים פורסים בו זמנית תכני מנה מאקוסיסטמות RaaS מרובות.
שירותי RaaS חדשים כמו QuantumLocker ו- Black Basta ממלאים את החלל שנוצר עם הסגירה של Conti. מכיוון שרוב הכיסוי של תוכנת כופר מתמקד בתוכני מנה במקום מבצעי פעולה, מעבר זה של תוכני מנה עשוי לבלבל ממשלות, גורמי אכיפת חוק, תקשורת, חוקרי אבטחה וצוותי הגנה לגבי הגורמים שמאחורי המתקפות.
דיווח על תוכנת כופר עשוי להיראות כבעיית קנה מידה שאינה נגמרת, אבל למעשה יש קבוצה מוגבלת של גורמים המשתמשים בקבוצת הטכניקות.
המלצות:
- קביעת היגיינה של פרטי כניסה: פיתוח חלוקה לוגית של רשת למקטעים על סמך הרשאות שניתן ליישם לצד חלוקת רשת למקטעים להגבלה של תנועה לרוחב.
- בדיקה של חשיפת פרטי כניסה: בדיקה של חשיפת פרטי כניסה היא חיונית למניעת מתקפות תוכנת כופר ופשע סייבר באופן כללי. צוותי אבטחת IT ומרכזי SOC יכולים לפעול יחד כדי לצמצם את הרשאות הניהול ולהבין את המידה שבה פרטי הכניסה נחשפו.
- צמצום שטח התקיפה: חשוב לקבוע כללים לצמצום שטח התקיפה כדי למנוע טכניקות תקיפה נפוצות המשמשות במתקפות של תוכנת כופר. במתקפות שנצפו ממספר קבוצות הקשורות לפעילות תוכנת כופר, ארגונים עם כללים מוגדרים בבירור הצליחו להתמודד עם המתקפות בשלבים ההתחלתיים שלהן תוך מניעה של מתקפות ידניות.
פושעי הסייבר מוסיפים סחיטה כפולה לאסטרטגיית המתקפה
המטרה של תוכנת כופר היא לסחוט תשלום מקורבן. רוב תוכניות RaaS הנוכחיות גם מדליפות את הנתונים שנגנבו, מה שמכונה 'סחיטה כפולה'. מכיוון שהשבתה גורמת לתגובה חריפה והממשלות מחזקות את הפעילות להשבתת מפעילי תוכנת כופר, חלק מהקבוצות מוותרות על תוכנת הכופר ופועלות לסחיטת נתונים.
שתי קבוצות המתמקדות בסחיטה הן DEV-0537 (המכונה גל LAPSUS$) ו- DEV-0390 (שותפה לשעבר של Conti). החדירות של DEV-0390 מתחילות בתוכנה זדונית אך משתמשות בכלים לגיטימיים כדי לחלץ נתונים ולסחוט תשלום. הן פורסות כלי בדיקת חדירה כמו Cobalt Strike, Brute Ratel C4 וכלי העזר הלגיטימי Atera לשליטה מרחוק כדי לגשת לקורבן. DEV-0390 תנצל את ההרשאות באמצעות גניבת פרטי כניסה, איתור של נתונים רגישים (לעתים קרובות בשרתי קבצים וגיבוי ארגוניים) ושליחת הנתונים לאתר שיתוף קבצים בענן באמצעות כלי עזר לגיבוי קבצים.
DEV-0537 משתמשת באסטרטגיה ובשיטה שונות מאוד. הגישה הראשונית מתקבלת באמצעות רכישה של פרטי כניסה ברשת המחתרתית או מעובדים בארגונים המהווים מטרה.
בעיות
- סיסמאות גנובות וזהויות שאינן מוגנות
כדי להצליח, תוקפים זקוקים לאישורים יותר משהם זקוקים לתוכנה זדונית. כמעט בכל הפריסות המוצלחות של תוכנת כופר, התוקפים מקבלים גישה לחשבונות עם הרשאות ברמת מנהל מערכת שמעניקות גישה רחבה לרשת הארגונית. - מוצרי אבטחה חסרים או מושבתים
כמעט בכל תקרית תוכנת כופר שנצפתה, לפחות במערכת אחת שמנוצלת לרעה במתקפה היו מוצרי אבטחה חסרים או שלו הוגדרו כראוי שאיפשרו לפולשים לטפל שלא כדין בהגנות מסוימות או להשבית אותן. - תצורה שגויה או ניצול לרעה של אפליקציות
יכול להיות שתשתמש באפליקציה פופולרית למטרה אחת, אבל זה לא אומר שפושעים לא יכולים לנצל אותה למטרה אחרת. לעתים קרובות מדי, המשמעות של תצורות 'מדור קודם' היא שאפליקציה נמצאת במצב ברירת המחדל שלה, ומאפשרת לכל משתמש גישה נרחבת לארגונים שלמים. אסור להתעלם מהסיכון הזה או להסס לשנות הגדרות של אפליקציות מחשש לשיבושים. - ביצוע תיקונים איטי
זה קלישה, כמו 'תאכלו ירקות, זה בריא!' – אבל זו עובדה חיונית: הדרך הטובה ביותר לחזק תוכנה היא לעדכן אותה. בעוד שחלק מהאפליקציות המבוססות על ענן מתעדכנות ללא צורך בפעולה של המשתמש, חברות חייבות להחיל תיקונים של ספקים אחרים באופן מיידי. ב- 2022, Microsoft זיהתה שפגיעויות ישנות יותר עדיין מהוות גורם ראשי במתקפות. - סיסמאות גנובות וזהויות שאינן מוגנות
כדי להצליח, תוקפים זקוקים לאישורים יותר משהם זקוקים לתוכנה זדונית. כמעט בכל הפריסות המוצלחות של תוכנת כופר, התוקפים מקבלים גישה לחשבונות עם הרשאות ברמת מנהל מערכת שמעניקות גישה רחבה לרשת הארגונית. - מוצרי אבטחה חסרים או מושבתים
כמעט בכל תקרית תוכנת כופר שנצפתה, לפחות במערכת אחת שמנוצלת לרעה במתקפה היו מוצרי אבטחה חסרים או שלו הוגדרו כראוי שאיפשרו לפולשים לטפל שלא כדין בהגנות מסוימות או להשבית אותן. - תצורה שגויה או ניצול לרעה של אפליקציות
יכול להיות שתשתמש באפליקציה פופולרית למטרה אחת, אבל זה לא אומר שפושעים לא יכולים לנצל אותה למטרה אחרת. לעתים קרובות מדי, המשמעות של תצורות 'מדור קודם' היא שאפליקציה נמצאת במצב ברירת המחדל שלה, ומאפשרת לכל משתמש גישה נרחבת לארגונים שלמים. אסור להתעלם מהסיכון הזה או להסס לשנות הגדרות של אפליקציות מחשש לשיבושים. - ביצוע תיקונים איטי
זה קלישה, כמו 'תאכלו ירקות, זה בריא!' – אבל זו עובדה חיונית: הדרך הטובה ביותר לחזק תוכנה היא לעדכן אותה. בעוד שחלק מהאפליקציות המבוססות על ענן מתעדכנות ללא צורך בפעולה של המשתמש, חברות חייבות להחיל תיקונים של ספקים אחרים באופן מיידי. ב- 2022, Microsoft זיהתה שפגיעויות ישנות יותר עדיין מהוות גורם ראשי במתקפות.
פעולות
- אימות זהויות חשוב לאכוף אימות רב-גורמי (MFA) בכל החשבונות, ולתעדף תפקידי מנהל מערכת ותפקידים רגישים אחרים. עם כוח עבודה היברידי, יש לדרוש MFA בכל המכשירים, בכל המיקומים, בכל עת. יש להפעיל אימות ללא סיסמה כמו מפתחות FIDO או Microsoft Authenticator לאפליקציות שתומכות בו.
- טיפול ב'שטחים מתים' באבטחה
בדומה לגלאי עשן, יש להתקין מוצרי אבטחה בחללים המתאימים ולבדוק אותם לעתים קרובות. ודא שכלי האבטחה פועלים בתצורה המאובטחת ביותר שלהם, ושכל חלקי הרשת יהיו מוגנים. - הקשחת הנכסים שפונים לאינטרנט
שקול למחוק אפליקציות כפולות או שאינן בשימוש כדי להסיר שירותים מסוכנים שלא משתמשים בהם. שים לב היכן יש הרשאה לאפליקציות עזרה מרחוק כמו TeamViewer. אפליקציות אלה ידועות בכך שגורמי האיום משתמשים בהן כדי לקבל גישה מהירה למחשבים נישאים. - שמירה על מערכות עדכניות
הפוך את רישום המלאי של תוכנה לתהליך שוטף. עקוב אחר התוכנות המופעלות ותעדף את התמיכה במוצרים אלה. השתמש ביכולת שלך לבצע תיקונים במהירות ובאופן סופי כדי למדוד היכן כדאי לעבור לשירותים המבוססים על ענן.
חובה להבין את האופן המחובר של זהויות ומערכות יחסים של אמון באקוסיסטמות טכנולוגיה מודרניות. פושעי הסייבר מתמקדים בטלקומוניקציה, טכנולוגיה, שירותי IT ובחברות תמיכה כדי למנף את הגישה מארגון אחד לקבלת כניסה לרשתות של שותפים או ספקים. מתקפות של סחיטה בלבד מדגימות שצוותי ההגנה על רשתות חייבים להתבונן מעבר לתוכנת כופר בשלב הסופי ולעקוב מקרוב על חילוץ נתונים ועל תנועה לרוחב.
אם גורם איום מתכנן לסחוט ארגון כדי לא לחשוף את הנתונים שלו לציבור, תוכן מנה של תוכנת כופר הוא החלק המשמעותי ביותר – ובעל הערך המועט ביותר – באסטרטגיית התקיפה. בסופו של דבר, המפעיל יבחר מה ברצונו לפרוס, ותוכנת כופר לא תמיד תביא את הקופה הגדולה שבה מעוניין כל גורם איום.
בעוד שתוכנת כופר או סחיטה כפולה עשויות להיתפס כתוצאה בלתי נמנעת של מתקפה על-ידי תוקף מתוחכם, תוכנת כופר היא אסון שניתן למנוע. העובדה שהתוקפים מסתמכים על נקודות תורפה באבטחה פירושה שהשקעות בהיגיינת סייבר תורמות המון.
הניראות הייחודית של Microsoft מעניקה לנו הצצה על פעילות גורמי האיום. במקום להסתמך על פרסומים בפורומים או דליפות בצ'אטים, צוות מומחי האבטחה שלנו חוקרים טקטיקות חדשות של תוכנת כופר ומפתחים בינת איומים שעליה מתבססים פתרונות האבטחה שלנו.
הגנה מפני איומים שמשלבת במכשירים, בזהויות, באפליקציות, בדוא"ל, בנתונים ובענן עוזרת לנו לזהות מתקפות שהיו יכולות להיות מיוחסות לתוקפים רבים, כאשר למעשה הן מתבצעות על-ידי קבוצה אחת של פושעי סייבר. היחידה שלנו לפשעי מחשב, המורכבת ממומחים טכניים, משפטיים ועסקיים ממשיכה לעבוד עם גורמי אכיפת החוק כדי לעצור את פשע הסייבר
המלצות:
ל- Microsoft יש המלצות מעמיקות ב- https://go.microsoft.com/fwlink/?linkid=2262350.
האזינט לאנליסטית בינת האיומים אמילי האקר, לגבי האופן שבו הצוות שלה מתמודד בהצלחה עם הנוף המשתנה של תוכנת כופר כשירות.
הנחתה להסיר מעל 531,000 כתובות URL ייחודיות לדיוג ו- 5,400 ערכות דיוג בין יולי 2021 ליוני 2022, וכתוצאה מכך זוהו ונסגרו מעל 1,400 חשבונות דוא"ל זדוניים המשמשים לאיסוף פרטי כניסה גנובים של לקוחות.1
פרק הזמן החציוני הנדרש לתוקף כדי לגשת לנתונים הפרטיים שלך אם תיפול קורבן לדוא"ל דיוג הוא שעה אחת ו- 12 דקות.1
פרק הזמן החציוני שעובר עד שתוקף מתחיל לנוע לרוחב ברשת הארגונית שלך אם מכשיר נחשף לסכנה הוא שעה אחת ו- 42 דקות.1
- [1]
מתודולוגיה: לצורך קבלת נתוני תמונת דוח, פלטפורמות של Microsoft, כולל Defender ו- Azure AD והיחידה שלנו לפשעי מחשב סיפקו נתונים אנונימיים לגבי פעילות איומים, כגון חשבונות דוא"ל זדוניים, הודעות דוא"ל לדיוג ותנועת תוקף בתוך רשתות. תובנות נוספות מגיעות מ- 43 טריליון אותות אבטחה יומיים שהתקבלו מרחבי Microsoft, כולל הענן, נקודות קצה וקצה חכם, ומ- Compromise Security Recovery Practice וצוותי הזיהוי והתגובה שלנו.
עקוב אחר 'האבטחה של Microsoft'