03-5615507
 
מגה מיכשור
כתבות
מגה סייבר מיכשור
לעמוד קודם

סופוס: תחזית איומי סייבר ל-2023

מתקפות כופרה ממשיכות להיות אחד מאיומי הסייבר הגדולים ביותר על ארגונים

28/11/2022
זמן קריאה: 5 דק'

סופוס (Sophos), ספקית עולמית של אבטחת מידע וסייבר כשירות, פרסמה את תחזית איומי הסייבר שלה לשנת 2023. הסקירה מתארת את פריחת מודל פשיעת סייבר כשירות (RaaS), המאפשר לתוקפים לא מיומנים ובעלי יכולות טכנולוגיות מוגבלות לקבל גישה לכלי תקיפה מתקדמים. מאחר שמתקפות הכופרה ממשיכות להיות מתוחכמות יותר ועולה הביקוש לפרטי הזדהות גנובים, מתקפות הכופרה ממשיכות להיות אחד האיומים העיקריים על ארגונים.

זירות סחר של פשיעת סייבר כגון ג'נסיס (Genesis) מאפשרות זה מכבר לקנות נוזקות ושירותים לצורך הפצתן (במודל 'נוזקה כשירות'), וכן מסדי נתונים המכילים שמות משתמש וסיסמאות גנובים ומידע אישי רגיש נוסף. הצלחתן של מתקפות הכופרה בעשור האחרון הביאה לאימוצו של מודל הכופרה כשירות, המאפשר גם לתוקפים בעלי משאבים כלכליים ויכולות טכנולוגיות מוגבלים לקבל גישה לכלי תקיפה, ולהוציא לפועל מתקפות כופרה ללא מאמץ.

נכון לנובמבר 2022, מודל פשיעת הסייבר כשירות התרחב, וכיום אפשר לקנות כמעט כל יכולת ומרכיב של מתקפת הסייבר: מהדבקה ראשונית של מערכת היעד ועד לדרכים להסוות את הפעילות הזדונית כדי להתחמק מגילוי על ידי אמצעי אבטחת סייבר מסורתיים.

"לא מדובר עוד רק במכירת ערכות כופרה, דיוג או הונאה בסיסיות", מסביר שון גלאגר, חוקר איומים בכיר בסופוס. "פושעי סייבר בעלי יכולות טכנולוגיות מתקדמות החלו למכור לכל דורש כלים ויכולות שהיו פעם נחלתם הבלעדית של תוקפי הסייבר המתוחכמים ביותר בעולם. לדוגמה, בשנה האחרונה הבחנו בצמיחת מודל 'OPSEC כשירות', שבמסגרתו המוכרים מציעים לסייע לתוקפים להסוות את פעילותה של תוכנת Cobalt Strike במערכת היעד, וכן בהצעות ל'סריקה כשירות' שבמסגרתה מקבלים הקונים גישה לכלים מסחריים לגיטימיים כגון Metasploit, שדרכם הם יכולים לאתר חולשות אבטחה שאותן יוכלו לנצל.

"למסחור פשיעת הסייבר השלכות מרחיקות לכת על מרחב איומי הסייבר, והוא מתמרץ גם תוקפים לא מיומנים, החסרים את היכולות הטכנולוגיות להוציא לפועל מתקפות כאלו בכוחות עצמם, לנסות את מזלם."

על רקע התגברות הביקוש למודל פשיעת הסייבר כשירות, גם זירות הסחר ברשת האפלה שינו את פניהן והחלו לפעול כמו ענף שוק לגיטימי. המוכרים לא מסתפקים בפרסום כלי תקיפה ושירותי תקיפה, אלא מנסים לגייס תוקפים בעלי יכולות מסוימות. חלק מזירות הסחר הקימו מדור דרושים ייעודי ומעסיקים צוותי גיוס, ומחפשי העבודה מפרסמים קורות חיים המבליטים ומדגישים את היכולות והכישורים שלהם בתחום פשיעת הסייבר.

"היקפן של מתקפות הכופרה הראשונות היה מוגבל למדי משום שהן בוצעו על ידי קבוצות תקיפה שחבריהן היו אחראים לכל היבטי המתקפה, מתחילתה ועד סופה. ברגע שמתקפות הכופרה התבררו כרווחיות מאוד, פנו התוקפים לחפש דרכים חדשות שבאמצעותן יוכלו לייעל את המתקפות ולהוציא יותר מהן לפועל. לשם כך התחילו להוציא חלק משלבי המתקפה למיקור חוץ, וכך יצרו את מודל הכופרה כשירות. פושעי סייבר מתחומים אחרים ראו כי טוב, והחלו לפעול בדרך דומה", ממשיך גלאגר.

 

 

על אף התרחבות שוק פשיעת הסייבר, מתקפות הסייבר ממשיכות להיות רווחיות מאוד ואחד האיומים הגדולים ביותר על ארגונים. לראיה, בשנה האחרונה עברו ספקי כופרה כשירות להתמקד במערכות הפעלה מלבד Windows, והחלו לאמץ שפות תכנות חדשות כגון Rust ו-Go כדי להתחמק מגילוי על ידי אמצעי אבטחת הסייבר המסורתיים. חלק מקבוצות הכופרה, ובראשן Lockbit 3.0, החלו להשתמש בתמהיל כלי תקיפה ופיתחו מתקפות כופרה חדשות ומתוחכמות יותר, שמגדילות את הסיכוי שהקורבנות ייכנעו ויישלמו את דמי הכופר.

"כשמדברים על התחכום הגדל של פושעי הסייבר, מתכוונים בראש ובראשונה לקבוצות הכופרה. לדוגמה, קבוצת Lockbit 3.0 מציעה כיום תמריצים כספיים במסגרת תוכניות Bug bounty למוצאי באגים בכלי התקיפה שלה, ונעזרת במשוב מקהילת פשיעת הסייבר כדי לשפר אותם. קבוצות אחרות החלו לגבות דמי מנוי חודשיים תמורת גישה למסדי נתונים המכילים מידע שדלף או מעמידות למכירה מסדי נתונים המכילים מידע אישי רגיש לכל המרבה במחיר. מתקפות הכופרה נהיו עסק לכל דבר", מסכם גלאגר.

התרחבות שוק פשיעת הסייבר כשירות לא תרמה רק לעלייה בשכיחותן של מתקפות הכופרה, אלא הובילה להתגברות הביקוש לפרטי הזדהות גנובים. על רקע המעבר של ארגונים לענן, אפשר לנצל אמצעי הזדהות מסוימים, ובראשם קובצי Cookie, כדי לקבל גישה לרשת הארגון ואפילו לעקוף מנגנוני אימות רב-גורמי. גניבת פרטי הזדהות ממשיכה להיות אחת הדרכים הקלות ביותר לפושעי סייבר מתחילים לבסס דריסת רגל בזירות הסחר של פושעי הסייבר, ולהתחיל לבנות לעצמם מוניטין בקהילת פשיעת הסייבר.

בסופוס מציינים גם את המגמות האלו:

* המלחמה באוקראינה טלטלה את מרחב איומי הסייבר העולמי. זמן קצר לאחר פלישת רוסיה לאוקראינה, נרשמה עלייה חדה בהונאות פיננסיות לצד פילוג שנוצר בקרב פושעי סייבר, ובעיקר בין קבוצות כופרה, על רקע הזדהות חבריהן עם רוסיה או אוקראינה.

* פושעי סייבר ממשיכים לנצל תוכנות לגיטימיות (LOLBins) כבסיס לסוגים שונים של מתקפות סייבר, כולל מתקפות כופרה. בחלק מהמקרים השתמשו התוקפים במנהלי התקן לגיטימיים אך לא מאובטחים כדי להוציא לפועל מתקפות 'Bring your own driver' בניסיון להשבית אמצעי אבטחת סייבר וכך להתחמק מגילוי.

* מכשירים ניידים עומדים במרכזן של מתקפות סייבר חדשות. לצד המשך השימוש באפליקציות מזויפות כדי להערים על המשתמשים להשתיל במכשיר שלהם קוד זדוני, תוכנות ריגול או נוזקות בנקאיות, ניכרת עלייה בהונאות סייבר חדשות כגון 'Pig butchering' (בתרגום חופשי לעברית: כצאן לטבח). האיום הזה הוא לא מקור דאגה רק למשתמשי אנדרואיד אלא מסכן גם את משתמשי iOS.

התרסקותו של מונרו (Monero), אחד מהמטבעות המבוזרים הנפוצים ביותר בשימושם של פושעי סייבר, הביאה לירידה במספר המתקפות לכריית מטבעות קריפטוגרפים שהיו בין מתקפות הסייבר הנפוצות ביותר. עם זאת כריית מטבעות קריפטוגרפיים ממשיכה להתפשט דרך הדבקת מחשבים עם מערכות הפעלה Windows ולינוקס ליצירת בוטנטים.

מידע נוסף על השינויים במפת איומי הסייבר בשנת 2022 והאיומים שאיתם צפויים להתמודד צוותי אבטחת הסיבר בשנת 2023 אפשר למצוא בגרסה המלאה של סקירת איומי הסייבר של סופוס לשנת 2023.

הסקירה מבוססת על עבודת מחקר של צוות מומחי הסייבר Sophos X-Ops, יחידה חדשה המאגדת את מומחיות הסייבר של שלוש מחלקות בסופוס (ophosLabs, Sophos SecOps ו-Sophos AI). בצוות Sophos X-Ops חברים יותר מ-500 מומחי אבטחת סייבר מרחבי העולם, ותכליתו לספק ניתוח מלא של מרחב איומי הסייבר.

תגובות
הוספת תגובה
הוספת תגובה
 
כותרת
תוכן