השנה הזו בדרך להיות שוברת שיא עבור קבוצות תוכנות כופר. ניתוח בלוקצ'יין מגלה כי "הזרמות" לכתובות של מטבעות קריפטוגרפיים הקשורים לפושעים הגיעו ל-460 מיליון דולר במחצית הראשונה של 2024, לעומת 449 מיליון דולר בתקופה המקבילה אשתקד. ותשלום הכופר החציוני עבור כמה מקבוצות תוכנות הכופר הפוריות ביותר זינק מקצת פחות מ-200,000 דולר בתחילת 2023 ל-1.5 מיליון דולר באמצע יוני 2024.
כעת, ישנן סיבות רבות לכך שקבוצות תוכנות כופר, ומחתרת פשעי הסייבר בכלל, ממשיכות לפרוח. אבל חלק גדול מהצלחתם טמון בברוקר הגישה הראשוני (IAB): שחקן קריטי בשרשרת האספקה של פשעי הסייבר. מציאת דרך להפחית את הטקטיקות, הטכניקות והנהלים שלהם (TTPs) תהיה חיונית אם ארגונים רוצים למזער את החשיפה שלהם לסיכון פיננסי ומוניטין.
עיניים על הפרס
ברמה פשוטה מאוד, IABs הם כל כך חשובים כי הם מתמקדים בדבר אחד ועושים אותו בצורה יוצאת דופן. על ידי התרכזות בשלב הראשון של התקפה בלבד, הם מבודדים את עצמם מאכיפת החוק - דבר שהם משיגים גם על ידי עבודה פרטית עם שותפי כופר כשירות (RaaS). מצד שני, על ידי מיקור חוץ ל-IAB את העבודה שגוזלת זמן של בחירת יעדים והשגת גישה לארגוני קורבנות, פושעי סייבר אחרים יכולים להתמקד יותר מזמנם בהגדלת מאמציהם.
כאשר לא עובדים באופן פרטי עם קבוצות RaaS, IABs מפרטים את השירותים שלהם בפורומי פריצה, מה שמאפשר לחוקרים לקבל תמונה מושכלת יותר של השוק. לפי חדש דו"ח Cyberint, חלקם מציעים עסקאות משולבות, בעוד שאחרים מוכרים גישה בנפרד, ואנשים מהימנים מאוד עשויים לדרוש מהקונים לפנות אליהם ישירות מבלי לספק מידע כלל.
הדוח מדגיש שלושה סוגים עיקריים של IAB. אלה שמוכרים גישה ל:
- מערכות שנפגעו על ידי דלתות אחוריות ותוכנות זדוניות אחרות המותקנות במחשבים ברשת
- שרתים נפגעו באמצעות פרוטוקול שולחן עבודה מרוחק (RDP) בכוח גס
- התקני רשת שנפגעו, כגון שרתי VPN וחומות אש, המספקים קפיצה לרשת הארגונית
לפי Cyberint, גישת RDP הייתה הנפוצה ביותר בשנת 2023, והיוותה למעלה מ-60% מהרישומים של IAB. עם זאת, עד כה השנה, גישת RDP (41%) אותגרה על ידי פשרה של VPN (45%).
סוגי גישה אחרים כוללים:
- Email: לעתים קרובות באמצעות אישורים שנפגעו, מה שמאפשר לתוקפים לקרוא, לשלוח ולתפעל מיילים
- מאגר מידע: באמצעות אישורים גנובים או ניצול פגיעות
- Webshell: אלו סקריפטים המאפשרים לשחקני איומים לנהל/להוציא מרחוק פקודות בשרת ממוקד
- גישה למעטפת/שורת פקודה: מתן ממשק שורת פקודה למערכת נפגעת, המאפשר ביצוע ישיר של פקודות
- שיתופי קבצים: גישה לכוננים משותפים ולשרתי קבצים, לעתים קרובות באמצעות אישורים שנפגעו או תנועה לרוחב
IABs עשויים גם לרשום את המכירות שלהם לפי סוג הרשאות - מנהל דומיין, מנהל מקומי או משתמש דומיין - כאשר הגישה הגבוהה יותר עולה יותר. למרות שגישה לסביבות חשובות מסוימות עשויה לגרום לרישומים במחיר של יותר מ-$10,000, רוב הפוסטים של IAB נופלים בין $500 ל-$2000. זה אינדיקציה לאופי המסחרי של השוק. למעשה, למרות ש-IAB מתמקדים יותר ויותר בנפגעי תאגידים בעלי הכנסה גבוהה, המחיר הממוצע לרישומים ירד ב-60% מדי שנה ל-$1,295, לפי Cyberint.
האם IABs יבואו אחרי הארגון שלך?
יותר מרבע (27%) מהרישומים שניתחו על ידי Cyberint בשנת 2024 היו לגישה לארגונים של למעלה ממיליארד דולר בהכנסות. למעשה, ההכנסה הממוצעת של הקורבנות עד כה השנה היא 1 מיליארד דולר. אבל זה לא אומר שארגונים קטנים יותר יורדים מהקרס, לדברי חוקר אבטחת סייברינט, עדי בליה.
"במחצית הראשונה של 2024, הנתונים שלנו מגלים שארגונים עם הכנסות מתחת ל-10 מיליון דולר היוו 18.5% מכלל רישומי הגישה בפורומים המחתרתיים הגדולים. זה מתורגם לכמעט אחד מכל חמישה ארגונים ממוקדים שהם SMBs, מה שמדגיש סיכון משמעותי למגזר הזה", הוא אומר ל-ISMS.online.
"בהסתכלות רחבה יותר על עסקים בינוניים עם הכנסות בין 10 מיליון דולר ל-100 מיליון דולר, 29.5% מכל הארגונים הממוקדים נמצאים בטווח הזה. המשמעות היא שעסקים שמרוויחים מתחת ל-100 מיליון דולר מהווים 48% מכלל יעדי הגישה הראשוניים של ברוקר".
במקומות אחרים, סביר להניח שארגונים אמריקאים יהיו על הכוונת, והם מהווים כמעט מחצית (48%) מהרישומים של IAB שנחקרו. אחריו צרפת, ברזיל, הודו ואיטליה. עם זאת, בהתחשב שבריטניה היא יעד מוביל של תוכנות כופר, יש הרבה כדי לשמור על CISOs בריטיים ערים בלילה. על פי הדו"ח, המגזרים הממוקדים ביותר הם שירותים עסקיים, פיננסים, קמעונאות, טכנולוגיה וייצור. האחרון גדל מ-14% מהרישומים ב-2023 ל-23% עד כה השנה.
חסימת גישה ראשונית ומעבר לכך
למרות שאף ארגון אינו בטוח באמת מפני התקפות IAB, החדשות הטובות הן ששחקני האיום עצמם נוטים לדבוק בטכניקות פריצה בדוקות. זה אומר שאבטחת שיטות עבודה מומלצות תעזור למגני הרשת להגיע רחוק לנטרול גישה ראשונית או מה שיבוא אחר כך. Cyberint ממליצה על שלבים פשוטים כמו אימות רב-גורמי (MFA), מדיניות גישה לפחות הרשאות, תיקון קבוע, הדרכה למודעות אבטחה, שימוש מוגבל ב-RDP, זיהוי חדירה (IDS), פילוח רשת וניטור אינטרנט אפל.
למרבה המזל, סטנדרטים ומסגרות של שיטות עבודה מומלצות הן דרך מצוינת לפורמליזציה של שיטות עבודה כאלה.
לדוגמא, ISO 27001 מתייחס לדברים הבאים:
- בקרת גישה: (נספח A.9). עוזר להפחית את הסיכוי של IABs לחדור לרשתות שלהם.
- ניהול ותגובה לאירועים: (נספח A.16) זיהוי מהיר ותגובה לגישה ראשונית יכולים לעזור להכיל הפרות לפני שניתן להפיק מהם רווחים.
- מודעות והדרכה לאבטחה: (נספח A.7.2.2) זה מפחית את הסבירות של IABs לקבל גישה באמצעות טעות אנוש, כגון פישינג או סיסמאות חלשות.
- בקרות אבטחת רשת: (נספח A.13) חלוקת הרשת למקטעים קטנים יותר ומבודדים מגבילה את יכולתם של שחקני האיום לנוע לרוחב פעם אחת בתוך הרשת.
- ניטור ורישום: ניטור ורישום רציף של פעילות הרשת מזהה ומתריע על כל ניסיונות גישה לא מורשית.
- חומת אש ותצורת IDS/IPS: תצורה נכונה עוזרת לזהות ולחסום פעילויות חשודות ברשת בצורה יעילה יותר.
- ניהול תיקונים וניהול פגיעות: (נספח A.12.6.1) מפחית את מספר הפגיעויות הניתנות לניצול ש-IAB עשוי להשתמש כדי לקבל גישה ראשונית.
- אבטחת שרשרת אספקה: (נספח A.15) עוזר למנוע מ-IAB לקבל גישה לא מורשית דרך צדדים שלישיים לא מאובטחים.
- קריפטוגרפיה והגנה על נתונים: (נספח A.10) הצפנת נתונים תגביל את הערך של מה שניגשים אליו בעקבות הפרת IAB.
- אבטחה פיזית וסביבתית: (נספח A.11) מפחית את הסיכון של IABs לקבל גישה ראשונית באמצעים פיזיים, כגון עובד בסיכון.
תקן ISO 27001 מבוסס על מחזור Plan-Do-Check-Act (PDCA), המדגיש שיפור מתמיד של מערכת ניהול אבטחת המידע (ISMS). ביקורות פנימיות סדירות, סקירות ההנהלה ועדכוני אבטחה בהתאם לאיומים המתפתחים ללא הרף ישמרו על הגנות הארגוניות מתאימות למטרה לאורך זמן. התקפות IAB הן בלתי נמנעות. אבל הפרות מוצלחות לא חייבות להיות.
