פריחת שוק פשיעת הסייבר כשירות והתגברות הביקוש לפרטי הזדהות גנובים. מתקפות כופרה ממשיכות להיות אחד מאיומי הסייבר הגדולים ביותר על ארגונים
סופוס (Sophos), ספקית עולמית מובילה של אבטחת מידע וסייבר כשירות, פרסמה היום את תחזית איומי הסייבר שלה לשנת 2023. הסקירה מתארת את פריחת מודל פשיעת סייבר כשירות (RaaS) המאפשר גם לתוקפים לא מיומנים ובעלי יכולות טכנולוגיות מוגבלות לקבל גישה לכלי תקיפה מתקדמים וכי לנוכח המשך הפיכת מתקפות הכופרה למתוחכמות יותר ועליית הביקוש לפרטי הזדהות גנובים ממשיכות להיות מתקפות הכופרה אחד האיומים העיקריים על ארגונים.
זירות סחר של פשיעת סייבר כמו ג'נסיס (Genesis) מאפשרות זה מכבר לקנות נוזקות ושירותים לצורך הפצתן (במודל 'נוזקה כשירות'), וכן מסדי נתונים המכילים שמות משתמש וסיסמאות גנובים ומידע אישי רגיש נוסף. הצלחתן של מתקפות הכופרה בעשור האחרון הובילה לאימוצו של מודל הכופרה כשירות המאפשר גם לתוקפים בעלי משאבים כלכליים ויכולות טכנולוגיות מוגבלים לקבל גישה לכלי תקיפה ולהוציא לפועל מתקפות כופרה ללא מאמץ. נכון לנובמבר 2022, התרחב מודל פשיעת הסייבר כשירות וכיום אפשר לקנות כמעט כל יכולת ומרכיב של מתקפת הסייבר: מהדבקה הראשונית של מערכת היעד ועד לדרכים להסוות את הפעילות הזדונית כדי להתחמק מגילוי על ידי אמצעי אבטחת הסייבר המסורתיים.
"לא מדובר עוד רק במכירת ערכות כופרה, דיוג או הונאה בסיסיות," מסביר שון גלאגר, חוקר איומים בכיר בסופוס. "פושעי סייבר בעלי יכולות טכנולוגיות מתקדמות החלו למכור לכל דורש כלים ויכולות שהיו פעם נחלתם הבלעדית של תוקפי הסייבר המתוחכמים ביותר בעולם. לדוגמה, בשנה האחרונה הבחנו בצמיחת מודל 'OPSEC כשירות' שבמסגרתו מציעים המוכרים לסייע לתוקפים להסוות את פעילותה של תוכנת Cobalt Strike במערכת היעד, וכן בהצעות ל'סריקה כשירות' שבמסגרתו מקבלים הקונים גישה לכלים מסחריים לגיטימיים כמו Metasploit שדרכם הם יכולים לאתר חולשות אבטחה שאותן יוכלו לנצל. למסחור פשיעת הסייבר השלכות מרחיקות לכת על מרחב איומי הסייבר והוא מתמרץ גם תוקפים לא מיומנים החסרים את היכולות הטכנולוגיות להוציא לפועל מתקפות כאלו בכוחות עצמם לנסות את מזלם."
על רקע התגברות הביקוש למודל פשיעת הסייבר כשירות, גם זירות הסחר ברשת האפלה שינו את פניהן והחלו לפעול כמו ענף שוק לגיטימי. המוכרים לא מסתפקים רק בפרסום כלי ושירותי תקיפה, אלא גם מנסים לגייס לשורותיהם תוקפים בעלי יכולות מאוד מסוימות. חלק מזירות הסחר הקימו מדור דרושים ייעודי ומעסיקים צוותי גיוס, בעוד שמחפשי העבודה מפרסמים קורות חיים המבליטים ומדגישים את היכולות והכישורים שלהם בתחום פשיעת הסייבר.
"היקפן של מתקפות הכופרה הראשונות היה מוגבל למדי משום שהן בוצעו על ידי קבוצות תקיפה שחבריהן היו אחראיים לכל היבטי המתקפה מתחילתה ועד סופה. ברגע שמתקפות הכופרה התבררו כרווחיות מאוד, פנו התוקפים לחפש דרכים חדשות שבאמצעותן יוכלו לייעל את המתקפות ולהוציא יותר מהן לפועל. לשם כך, הם התחילו להוציא חלק משלבי המתקפה למיקור חוץ וכך יצרו את מודל הכופרה כשירות. פושעי סייבר מתחומים אחרים ראו כי טוב, והחלו לפעול בדרך דומה," ממשיך גלאגר.
על אף התרחבות שוק פשיעת הסייבר, ממשיכות מתקפות הסייבר להיות רווחיות מאוד ואחד האיומים הגדולים ביותר על ארגונים. לראייה, בשנה האחרונה עברו ספקי כופרה כשירות להתמקד גם במערכות הפעלה נוספות מלבד Windows והחלו לאמץ שפות תכנות חדשות כמו Rust ו־Go כדי להתחמק מגילוי על ידי אמצעי אבטחת הסייבר המסורתיים. חלק מקבוצות הכופרה, ובראשן Lockbit 3.0, החלו להשתמש בתמהיל כלי תקיפה ופיתחו מתקפות כופרה חדשות ומתוחכמות יותר שמגדילות את הסיכוי שהקורבנות ייכנעו ויישלמו את דמי הכופר.
"כשמדברים על התחכום ההולך וגדל של פושעי הסייבר, מתכוונים בראש ובראשונה לקבוצות הכופרה. לדוגמה, קבוצת Lockbit 3.0 מציעה כיום תמריצים כספיים במסגרת תוכניות Bug bounty למוצאי באגים בכלי התקיפה שלה ונעזרת במשוב מקהילת פשיעת הסייבר כדי לשפר אותם בעוד שקבוצות אחרות החלו לגבות דמי מינוי חודשיים תמורת גישה למסדי נתונים המכילים מידע שדלף או מעמידות למכירה מסדי נתונים המכילים מידע אישי רגיש לכל המרבה במחיר. מתקפות הכופרה הפכו לעסק לכל דבר", מסכם גלאגר.
התרחבות שוק פשיעת הסייבר כשירות לא תרמה רק לעלייה בשכיחותן של מתקפות הכופרה, אלא הובילה גם להתגברות הביקוש לפרטי הזדהות גנובים. על רקע המעבר של ארגונים לענן, אפשר לנצל אמצעי הזדהות מסוימים, ובראשם קובצי Cookie, כדי לקבל גישה לרשת הארגון ואפילו לעקוף מנגנוני אימות רב־גורמי. גניבת פרטי הזדהות ממשיכה להיות אחת מהדרכים הקלות ביותר עבור פושעי סייבר מתחילים לבסס דריסת רגל בזירות הסחר של פושעי הסייבר ולהתחיל לבנות לעצמם מוניטין בקהילת פשיעת הסייבר."
כמו כן, מציינת סופוס את המגמות הבאות:
המלחמה באוקראינה טלטלה את מרחב איומי הסייבר העולמי. זמן קצר לאחר פלישת רוסיה לאוקראינה, נרשמה עלייה חדה בהונאות פיננסיות לצד פילוג שנוצר בקרב פושעי סייבר, ובעיקר בין קבוצות כופרה, על רקע הזדהות חבריהן עם רוסיה או אוקראינה.
פושעי סייבר משיכים לנצל תוכנות לגיטימיות (LOLBins) כבסיס לסוגים שונים של מתקפות סייבר, כולל מתקפות כופרה. בחלק מהמקרים, השתמשו התוקפים במנהלי התקן לגיטימיים אך לא מאובטחים כדי להוציא לפועל מתקפות 'Bring your own driver' בניסיון להשבית אמצעי אבטחת סייבר וכך להתחמק מגילוי.
מכשירים ניידים עומדים במרכזן של מתקפות סייבר חדשות. לצד המשך השימוש באפליקציות מזוייפות כדי להערים על המשתמשים להשתיל במכשיר שלהם קוד זדוני, תוכנות ריגול או נוזקות בנקאיות, אנחנו עדים לעלייה בהונאות סייבר חדשות כמו 'Pig butchering' (בתרגום חופשי לעברית: כצאן לטבח) והאיום הזה הוא כבר לא מקור דאגה רק למשתמשי אנדראודי אלא מסכן גם את משתמשי iOS.
התרסקותו של מונרו ( Monero), אחד מהמטבעות המבוזרים הנפוצים ביותר בשימושם של פושעי סייבר, הובילה לירידה במספר המתקפות לכריית מטבעות קריפטוגרפים שהיו בין מתקפות הסייבר הנפוצות ביותר. עם זאת, כריית מטבעות קריפטוגרפיים ממשיכה להתפשט דרך הדבקת מחשבים עם מערכות ההפעלה Windows ולינוקס ליצירת בוטנטים.
מידע נוסף על השינויים במפת איומי הסייבר בשנת 2022 והאיומים שאיתם צפויים להתמודד צוותי אבטחת הסיבר בשנת 2023 אפשר למצוא בגרסה המלאה של סקירת איומי הסייבר של סופוס לשנת 2023.
סקירת איומי הסייבר של סופוס לשנת 2023 מבוססת על עבודת המחקר של צוות מומחי הסייבר Sophos X-Ops, יחידה חדשה המאגדת את מומחיות הסייבר המוכחת של שלוש מחלקות בסופוס (ophosLabs, Sophos SecOps ו־Sophos AI). בצוות Sophos X-Ops חברים יותר מ־500 מומחי אבטחת סייבר מכל רחבי העולם ותכליתו לספק ניתוח מקיף ומלא של מרחב איומי הסייבר שהולך והופך למורכב יותר. למידע נוסף על מתקפות סייבר בזמן אמת, וכן על טקטיקות, שיטות וסממנים (TTP) חדשים במרחב הסייבר, כדאי לעקוב אחרי חשבון צוות Sophos X-Ops בטוויטר לקבלת עדכונים, חדשות, מאמרים וסקירות מהמומחים הניצבים בחזית המלחמה בפשיעת הסייבר.
