מה הם גנבי מידע ומדוע העסק שלי צריך להיות מודאג?

מאת פיל מונקסטר • 6 אוגוסט 2024

ביוני השנה התגלה קמפיין סחיטה המוני נגד לקוחות של מומחה ענני הנתונים Snowflake. לפי דיווחים, הקורבנות אוימו בחשיפה לנתונים אם לא ישלמו כופר של עד 5 מיליון דולר. שחקני האיום הצליחו להתפשר על למעלה מ-500 מיליון רשומות של Ticketmaster ו-30 מיליון השייכים ללקוחות סנטנדר. קורבנות רבים נוספים של תאגידים עדיין צפויים לצוץ מתוך 160+ המחשבה שנתפסו בקמפיין גניבת הנתונים.

ספק מודיעין איומים מנדיאנט, שחוקרת, טוענת שהשחקנים הרעים גרמו למעורפל הזה תוך שימוש בטקטיקות פשוטות להחריד. הם השתמשו בכניסות של לקוחות Snowflake שהושגו על ידי תוכנות זדוניות של infostealer ולאחר מכן ניצלו את היעדר אימות רב-גורמי (MFA) כדי לעבור דרך דלת פתוחה. זו סיבה מספקת כדי להבטיח שהגנת הסייבר שלך תוכל לעמוד במתקפת גניבת מידע.

מה הם גנבי מידע?

גנבי מידע הם סוג נפוץ יותר ויותר של תוכנות זדוניות שנועדו, כפי שהשם מרמז, לחלץ מידע רגיש בחשאי מהמחשב או מהמכשיר הנייד של הקורבן. נתונים אלה ישמשו ישירות על ידי אותם גורמי איום או, סביר יותר, יימכרו במחתרת לפשעי הסייבר לשימוש בהונאת זהות המשך והתקפות סייבר כמו הקמפיין נגד לקוחות Snowflake.

התוכנה הזדונית עשויה לחפש מידע כגון:

קבצים המאוחסנים במכשיר/מכשיר נקודת הקצה
זרימת נתונים מאפליקציות הודעות מיידיות כמו טלגרם
נכסים הכלולים בארנקי קריפטו, כגון NFTs ומטבעות
אישורים המאוחסנים בלקוחות דואר או FTP, פלטפורמות משחקים או פרופילי VPN
מידע המאוחסן בדפדפן, שיכול לכלול סיסמאות ואישורים ממספר אתרים, כרטיסי אשראי מאוחסנים, עוגיות אימות/הפעלה, כניסות במילוי אוטומטי ועוד הרבה יותר

לכידת קובצי Cookie של הפעלה יכולה לאפשר לשחקני איומים לעקוף את MFA, מה שהופך אותם לאיום חזק. לפי טרנד מיקרו, מידע המאוחסן בדפדפן מכשיר "הוא ללא ספק היעד המועדף על גנבי נתונים". לאחר סיום עבודתו, גנב המידע אוסף את כל המידע הגנוב שלו ומכניס אותו לארכיון שנקרא יומן - שיכול למכור עבור מעל 100$ בהתאם לאיכות וכמות הנתונים שהוא מכיל.

גנבי מידע מסתובבים במחתרת לפשעי הסייבר מאז 2011 בערך. במהלך 15 השנים האחרונות או משהו כזה, מפתחי תוכנות זדוניות המשיכו לשכלל ולהתאים אישית את ההצעות שלהם כדי למקד לפלטפורמות שונות - ממכשירי אנדרואיד ועד מחשבי Windows וחשבונות עסקיים בפייסבוק. ישנן מספר דרכים שניתן לספק אותם, כולל פישינג או סמישינג (דיוג ב-SMS), הורדות דרך כונן מאתרים נגועים, משחקים מפוצצים, מוסתרים ביישומים בעלי מראה לגיטימי, כולל תוכנת פגישות מזויפת, Google Ads ואפילו YouTube תיאורי וידאו.

הם מהווים סיכון הולך וגובר לארגונים בסביבות עבודה היברידיות שלאחר מגיפה, שבהן עובדים עשויים לבקר באתרים מסוכנים במכשירים האישיים שלהם, שלאחר מכן נדבקים בגנבי מידע. בגלל מדיניות BYOD, למכשירים כאלה עשויה להיות גישה למשאבים ולנתונים של החברה, מה שמעמיד אותם בסכנת גניבה. למעלה ממחצית (51%) מה אומרים ראשי IT הם ראו עדויות למכשירים אישיים שנפגעו הניגשים לנתונים ארגוניים רגישים.

מתחמק מלכידה

כיום, לפושעי סייבר ורמאים מתחילים יש שפע של אפשרויות לבחירה בשווקי המחתרת של פשעי סייבר. הם כוללים גנבי מידע פופולריים כמו RedLine, Raccoon, Vidar ו-Taurus. מודל תוכנה זדונית-כשירות (MaaS) עזר לדמוקרטיזציה של גישה לכלים כאלה לבסיס משתמשים פלילי רחב בהרבה. ומאמצי החדשנות ממשיכים. מקומות שוק מסוימים מציעים שירותי ניתוח יומנים כדי לעזור לגורמי איומים לחלץ נתונים מיומנים גולמיים לשימוש או למכירה חוזרת.

מפתחי Infostealer גם משקיעים מאמצים רבים כדי להבטיח שהתוכנה הזדונית שלהם תישאר מוסתרת מכלי אבטחה. חלקם, כמו וריאנט Rhadamanthys, פועלים בזיכרון המערכת כדי להתחמק מזיהוי. אחרים, כמו דביבון, מציגים שינויים ב-UserAgents ו-mutexes במטרה לעקוף זיהוי מבוסס מחוונים, לפי אחד לדווח. גרסה חדשה של גרסת Lumma הפופולרית הופיע בשנה שעברה עם יכולות מתוחכמות נגד ארגז חול. גם הגברים והנשים שמאחורי הכלים האלה מתאמצים להישאר מוסתרים - מפרסמים את מרכולתם בטלגרם, מסטדון ובאתרים אחרים במקום דרך שווקים פליליים מרכזיים שמועדים למעקב והפרעה של אכיפת החוק.

כיצד להפחית את האיום מגנבי מידע

מה שאין ספק הוא האיום הפוטנציאלי החמור שהם מהווים על אבטחת הסייבר הארגונית. מלבד הפרות בחשבון Snowflake, גנב מידע שהורד בלי משים למחשב נייד של עובד היה אחראי על פרצת נתונים חמורה בפלטפורמת האינטגרציה והאספקה המתמשכת CircleCI בשנה שעברה. ספק אחד טענות ש-10 מיליון מכשירים נתקלו בתוכנה זדונית גניבת מידע בשנת 2023, עלייה של פי שבעה מאז 2020.

החדשות הטובות הן ששיטות עבודה מומלצות בדוקות יכולות להרחיק גונבי מידע ממערכות ארגוניות, לפי המנהל הטכני של Trend Micro UK & Ireland, Bharat Mistry.

"ארגונים יכולים לצמצם את האיום של גנבי מידע על ידי יישום אמצעי מניעה כגון הדרכת עובדים, אימות חזק והגנה על נקודות קצה", הוא אומר ל-ISMS.online. "עדכוני תוכנה קבועים ואבטחת רשת הם גם חיוניים. אסטרטגיות זיהוי כוללות זיהוי מתקדם של איומים, ביקורת אבטחה קבועה וניטור רציף".

עם זאת, מובילי אבטחת IT יכולים גם להפחית את הסיכון של גנבי מידע באמצעות עמידה בתקני שיטות עבודה מומלצות.

"עמידה בתקנים כמו ISO 27001 משפרת באופן משמעותי את מאמצי אבטחת הסייבר על ידי הצעת גישה מובנית לניהול סיכונים ויישום בקרות אבטחה מקיפות, החיוניות להגנה חזקה", טוען Mistry.

"ביקורות סדירות מבטיחות ערנות מתמשכת מפני איומים מתעוררים. הכשרה ומודעות עובדים הם חיוניים, והופכים את הצוות שלך לקו ההגנה הראשון. בנוסף, דרישות ניהול האירועים המחמירות של התקן מבטיחות שכל הפרות יטופלו במהירות וביעילות."

בהשוואה למתקפות כופר שעלולות להיות מסכנות חיים, ייתכן שגנבי מידע לא נשמעים כמו סיכון אבטחת סייבר משמעותי. עם זאת, כפי שמדגיש תקרית פתית השלג, הם ממלאים תפקיד חשוב יותר ויותר במערכת האקולוגית של פשעי הסייבר. כמאפשר גניבת אישורים ומעקף MFA, הם עשויים להיות השלב הראשון בפרצת מידע הרסנית וסחיטה. הגיע הזמן לנקות אבק מהשיטות המומלצות לאבטחת סייבר.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.