כאשר תוכנת כופר מכה בלילה, כיצד יכול הארגון שלך להישאר בטוח?

מאת פיל מונקסטר • 3 אוקטובר 2024

תוכנת כופר היא סיפור אבטחת הסייבר של העשור האחרון. אבל במהלך הזמן הזה, הטקטיקות, הטכניקות והנהלים של היריב (TTPs) המשיכו להשתנות בהתאם למירוץ החימוש המתפתח ללא הרף בין תוקפים למגיני רשת. עם מספרים נמוכים היסטורית של חברות קורבנות שבוחרות לשלם לסחטנים שלהן, שותפי תוכנת כופר מתמקדים במהירות, תזמון והסוואה.

השאלה היא: כאשר רוב ההתקפות מגיעות כעת בסופי שבוע ובשעות הבוקר המוקדמות, האם למגני הרשת עדיין יש את הכלים והתהליכים הנכונים כדי להפחית את האיום? ארגוני שירותים פיננסיים, בפרט, יזדקקו לתשובה דחופה לשאלות כאלה לפני עמידה בדרישות של האיחוד האירופי חוק חוסן תפעולי דיגיטלי (DORA).

כוח לחוזק /

לפי מדד אחד, תוכנות הכופר ממשיכות לשגשג. השנה אמורה להיות הרווחית ביותר אי פעם, על פי ניתוח תשלומי קריפטו לכתובות הקשורות לפלילים. על פי דיווח אוגוסט של חוקר בלוקצ'יין שרשרת, "הזרימות" של תוכנות כופר עד כה (YTD) עומדות על 460 מיליון דולר, עלייה של כ-2% לעומת התקופה המקבילה אשתקד (449 מיליון דולר). החברה טוענת שהעלייה הזו נובעת בעיקר מ"ציד ציד גדול" - הטקטיקה של רדיפה אחרי פחות קורבנות תאגידים גדולים שעשויים להיות מסוגלים ומוכנים יותר לשלם כופר גדול יותר. התיאוריה באה לידי ביטוי בתשלום אחד של 75 מיליון דולר על ידי חברה ללא שם, לקבוצת תוכנות הכופר Dark Angels מוקדם יותר השנה - הגדול ביותר שנרשם אי פעם.

בסך הכל, תשלום הכופר החציוני לזני תוכנות הכופר הנפוצות ביותר עלה אף הוא - מקצת פחות מ-200,000 דולר בתחילת 2023 ל-1.5 מיליון דולר באמצע יוני 2024. Chainalysis טוענת כי הדבר מצביע על כך "שהזנים הללו נותנים עדיפות להתמקדות לעסקים גדולים יותר ולספקי תשתית קריטיים. עשוי להיות בעל סיכוי גבוה יותר לשלם כופר גבוה בשל כיסיהם העמוקים וחשיבותם המערכתית. ”

החוזק הנראה של מערכת הסביבה של תוכנות הכופר מרשים יותר בהתחשב בזכיות רשויות אכיפת החוק של מוקדם יותר השנה, מה שנראה היה משבש שתי קבוצות עיקריות: LockBit ו-ALPHV/BlackCat. Chainalysis טוענת שהמאמצים הללו פיצלו במידת מה את פשעי הסייבר במחתרת, כאשר שותפים עברו ל"זנים פחות יעילים" או השיקו את שלהם. זה מצלצל עם ניתוח ברבעון השני של 2 על ידי מומחה תוכנות הכופר Coveware, אשר טוען הבחינו בעלייה במספר קבוצות "זאב בודד" שאינן קשורות ל"מותג" גדול של תוכנות כופר. רבים קיבלו החלטה זו "בשל האיום הגובר של חשיפה, הפרעות ואובדן רווח הקשורים למותגי תוכנות כופר 'רעילים'", נכתב.

עם זאת, השורה התחתונה היא ששחקני האיום הללו עדיין פעילים. ועם שיעורי התשלומים בירידה משיא של כ-85% מהקורבנות ב-2019 לכשליש מזה היום, הם תמיד מחפשים דרכים להפוך את המאמצים שלהם ליעילים יותר.

תזמון הוא הכל

דו"ח חדש מקבוצת ThreatDown של Malwarebytes חושף בדיוק איך הם מקווים לעשות זאת. היא טוענת שבמהלך השנה האחרונה, קבוצות נוספות של תוכנות כופר תקפו קורבנות בסופי שבוע ובשעות הבוקר המוקדמות. צוות האיומים טיפל ברוב התקיפות בין 1 ל-5 לפנות בוקר שעון מקומי.

הסיבה ברורה: שחקני האיום מקווים לתפוס ארגון כשצוות ה-IT שלו ישן שינה עמוקה או יטען את המצברים שלו בסוף השבוע.

יתרה מכך, הדוח טוען שההתקפות נעשות מהירות יותר. עוד בשנת 2022, א מחקר ספונקי בדק את 10 גרסאות הכופר המובילות ומצא שהמהירות החציונית להצפנת 100,000 קבצים הייתה רק 43 דקות, כאשר LockBit המהירה מכולם בארבע דקות בלבד. אבל מה ש-Malwarebytes רואה הוא האצה של כל שרשרת ההתקפה - מגישה ראשונית לתנועה לרוחב, חילוץ נתונים ולבסוף, הצפנה. זה נותן למגיני רשת עפרורי עיניים אפילו פחות זמן להגיב ולהכיל איום לפני שיהיה מאוחר מדי.

הדו"ח גם טוען ששחקנים זדוניים יותר משתמשים בטכניקות Living Off the Land (LOTL), המשתמשות בכלים ותהליכים לגיטימיים כדי להישאר מוסתרים בתוך רשתות תוך השגת מטרות אלו. "תקריות לקוחות אחרונות של כנופיות מובילות כמו LockBit, Akira ומדוזה חושפות שרוב שרשרת התקפות תוכנת הכופר המודרנית מורכבת כעת מטכניקות LOTL", נכתב.

כיצד להפחית את הסיכון של תוכנת כופר בשנת 2024

התקפות ציד גדולות עשויות לצבור את רוב הכותרות, אבל האמת היא שרוב נפגעי תוכנות הכופר הם מבחינה טכנית SMBs. Coveware טוענת שהגודל החציוני ברבעון השני של 2 היה רק 2024 עובדים. אז איך הארגונים האלה יכולים לקוות להתגונן מפני התקפות חמקניות בלילה ובסופי שבוע?

"הפתרון היחיד הוא להבטיח שהנכסים האלה יהיו מנוטרים באותה הקפדה בשעה 1:1 כפי שהם נמצאים בשעה XNUMX:XNUMX", אומר חוקר מודיעין האיומים הבכיר של Malwarebytes, מארק סטוקלי, ל-ISMS.online.

"ניתן להשיג זאת על ידי איוש מרכז פעולות אבטחה פנימי (SOC) הפועל 24/7. אבל עבור רוב הארגונים, זה מעשי וחסכוני יותר להשתמש בשירות של צד שלישי, כמו Managed Detection and Response (MDR), או לספק שירות מנוהל (MSP) לעשות זאת."

ככל שעידן DORA מתקרב, צעדים כאלה יהיו נחוצים יותר ויותר עבור ארגוני שירותים פיננסיים וספקיהם. ניטור רציף, מוכנות לתגובה לאירועים 24/7, תכנון המשכיות עסקית איתנה ובדיקות שוטפות יידרשו כולם כדי להבטיח את הרגולטורים שהחוסן הוא ברמה המתאימה.

סטוקלי מאמין שתקני שיטות עבודה מומלצות ומסגרות כמו ISO 27001 יכולים לעזור להביא ארגונים לנקודה זו.

"כמו כל תקן או מסגרת, ISO 27001 הוא אמצעי להשגת מטרה. ארגונים יכולים להגיע לרמת אבטחת המידע שהם צריכים בלעדיה, אבל תקנים ומסגרות יכולים לשמש כמפות שימושיות כדי לעזור להם להגיע לשם ולהישאר שם", הוא מוסיף. "הבחירה הנכונה של המסגרת תלויה ברמת הבשלות האבטחה של הארגון. בסופו של דבר, לפושעי סייבר לא אכפת אילו אישורים יש לך; אכפת להם רק אם יעצרו אותם".

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.