עברו כמה חודשים עמוסים עבור תוכנות כופר. בסוף אוגוסט הזהירו מספר ארגוני אבטחת סייבר בארה"ב מפני קבוצת תוכנת כופר כשירות מזיקה בשם RansomHub. התלבושת הפלילית הזו, שנודעה בעבר כ-Cyclops ו-Knight, הייתה פעילה מאז פברואר השנה והיא אוספת שותפים מקבוצות אחרות כמו LockBit.
RansomHub הצפין וגנבו נתונים מלפחות 210 קורבנות, לפי מייעץ מ הבולשת הפדרלית של ארה"ב, הסוכנות לאבטחת סייבר ותשתיות, המרכז לשיתוף וניתוח מידע רב-מדינות ומחלקת הבריאות ושירותי האנוש. הם השתרעו על מגזרים רבים שממשלת ארה"ב רואה כחלק מהתשתית הלאומית הקריטית שלה, כולל מים ומי שפכים, IT, שירותי המגזר הציבורי, שירותי בריאות, שירותי חירום, מזון וחקלאות ושירותים פיננסיים.
איום מתפתח
RansomHub מתפתח. זה לאחרונה משולב כלי בשם EDRKillShifter משבית תוכנת זיהוי נקודות קצה, ומאפשר לה להדביק מערכות בצורה מוצלחת יותר. שותפי כופר המשתמשים בכלי לאחר מכן מתפשטים לרוחב דרך רשת היעד, מדביקים מערכות וגם מחלצים ומצפינים תוכנות זדוניות במתקפת סחיטה כפולה.
עם איומים כמו זה ממשיכים להציק לתשתית לאומית קריטית, אין זה פלא שממשלת ארה"ב עושה יותר רעש מאי פעם בנוגע לאיום תוכנת הכופר. החודש הזהיר מנהל הסייבר הלאומי, הארי קוקר, מפני האיום הגובר של התקפות כופר. הבית הלבן גם אירח את הפסגה הבינלאומית הרביעית של יוזמת כופר נגד תוכנות כופר, שבה השתתפו 68 מדינות (כולל 18 תוספות חדשות) כדי לנסות להעלים תוכנות כופר.
הפסגה האחרונה הקימה קרן נגד תוכנות כופר כדי לסייע לארגונים חברים לחזק את היכולות שלהם נגד תוכנות כופר, יחד עם הדרכה לקורבנות כיצד להתמודד עם מתקפת כופר. אן נויברגר, סגנית היועצת לביטחון לאומי לסייבר ולטכנולוגיה מתפתחת, הזהירה שוב את חברות הביטוח מפני מימון תשלומי כופר.
לורה פיין, מנכ"לית חברת ייעוץ אבטחת הסייבר הקנדית White Tuque, אומרת שהימנעות מתשלומים היא מדיניות מוצקה. "אתה לא יודע למי הכסף הזה הולך, וסביר להניח שהוא הולך למשהו שיהיה לו קשר לפעילות טרור. זה מציב אותך במקום מסוכן מבחינה משפטית", היא אומרת.
נויברגר נעצר מלהמליץ על מדיניות כמו איסור מוחלט על מימון תשלומי כופר. עם זאת, זה עשוי להיות מיותר מכיוון שמבטחים מתמודדים עם לחץ כספי מוגבר מתביעות כופר. א לדווח מאת חברת ביטוח הסייבר Coalition מצאה שבעוד שמספרי התביעות ירדו במחצית הראשונה של השנה בהשוואה ל-1H 2023, ההפסדים גדלו ב-14% בסך הכל. הוא אמר שההפסד הממוצע של תוכנת הכופר עלה ב-68% ל-$353,000.
"בקנדה לפני כמה שנים, שמעתי את אחד המבטחים מדבר על זה, והם אמרו שהדבר היחיד שהיה עסק ביטוח פחות רווחי הוא נזקי ברד, מה שאומר לך כמה המצב גרוע", אמר פיין.
מניעה עדיפה על ריפוי
כמובן, מניעה עדיפה על ריפוי. כיצד ארגונים יכולים להגן על עצמם מפני התקפות כופר? הייעוץ של RansomHub ממליץ על מספר שלבים, החל מתוכנית הבראה ואימות רב-גורמי. הוא מוסיף כי זה גם קריטי לעדכן את כל התוכנות והקושחה, מה שיעזור לחסום תוכנות כופר המסתמכות על נקודות תורפה ידועות.
מכיוון שפולשים של תוכנות כופר פועלות על ידי התפשטות לרוחב בארגון, הייעוץ ממליץ גם לפלח רשתות כדי למנוע מתוקפים לגשת בקלות לחלקים אחרים של התשתית.
הייעוץ ממליץ גם על סיסמאות בין שמונה ל-64 תווים, מה שמתאים להמלצות NIST. "ארוך זה חזק", מסכים פיין. יש לה גם כמה עצות אחרות בנושא היגיינת סייבר.
"תהיה לך הגנה בסיסית טובה ושירות איכותי נגד תוכנות זדוניות", היא מוסיפה. ודא שהרשתות שלך מוגדרות עם התקן האלחוטי הנוכחי, שיהיה WPA2 או WPA3 עם סיסמה. אל תשתמש ב-Wi-Fi ציבורי, ותגבה את הדברים שלך."
מחברי הייעוץ ממליצים שגיבויים אלה יהיו מוצפנים ובלתי ניתנים לשינוי כך שתוקפים לא יוכלו להתעסק בהם. שמירה על גיבויים לא מקוונים היא אסטרטגיה טובה כאן, אך מספר מערכות אחסון בשוק הופכות את נתוני הגיבוי לבלתי ניתנים לשינוי ברמת מערכת ההפעלה. ארגונים יכולים גם להשתמש בחומרה לכתוב-פעם-קריאה-רבה (WORM) עבור גיבויים כאלה להגנה ברמת החומרה.
הייעוץ ממליץ על הגנות אחרות, כולל ניהול קפדני של הרשאות פנימיות. לדוגמה, השבתת כלי סקריפטים רבים של שורת פקודה יכולה לעזור למנוע מתוקפים 'לחיות מהאדמה' בכך שהיא מאפשרת להם לנוע לרוחב ולגנוב נתונים מבלי להפעיל אזעקה.
המסמך גם ממליץ על ביקורת חשבונות כדי להבטיח גישה בעלת הרשאות מינימליות וגישה מגבילת זמן לחשבונות מנהליים כדי לסגור את חלון ההתקפה. זה גם מזהיר מנהלי מערכת להשבית יציאות שאינן בשימוש ולהשתמש בכלי ניטור רשת כדי לזהות ולעקוב אחר פעילות חריגה.
הארגונים שמאחורי הייעוץ ממליצים גם להגן על האימייל - מערכת מסירה נפוצה עבור תוכנות כופר - על ידי הצבת באנרים על מיילים שמגיעים מחוץ לארגון והשבתת היפר-קישורים בכל המיילים המתקבלים.
המלצות אלו משקפות היגיינת אבטחת סייבר בסיסית, ובדומה לדיון על תוכנת הכופר עצמו, הן מסתובבות כבר שנים. "לא אכפת לי לחזור עליהם", אומר פיין. היא חייבת, כמו גם סוכנויות ממשלתיות כי כל כך הרבה חברות לא מקשיבות. עד שיעשו זאת, המשבר יימשך.
