הארגון שלכם הבא בתור? מתברר שיש פרופיל לקורבן הבא של מתקפת כופר

מחקר חדש עקב אחר התכתבויות של שחקני מפתח בדארקנט וגילה מה מחפשים תוקפי סייבר ומיהו הקורבן האולטימטיבי שלהם. המטרה העיקרית, כמובן, היא כסף – וכמה שיותר

"סטנדרט תעשייתי" הכולל רשימות שחורות, רמת הכנסות ומיקום גאוגרפי מבוקש (צילום: Dreamstime)

מאת אירינה נסטרובסקי, סמנכ"לית מחקר ב-KELA

הקורונה והמעבר לעבודה מרחוק העלו בצורה משמעותית את מספר תקיפות הסייבר על ארגונים. אחד הדברים שקורים מאחורי הקלעים הוא עלייה חדה בביקוש להרשאות גישה, שהפכו פופולריות בקרב תוקפים. הכוונה אינה בהכרח לגישה לרשת: הרשאת גישה היא מונח כללי לתיאור וקטורי תקיפה ונקודות כניסה שונות – מהזרקת SQL ו-Webshells ועד גישה מבוססת RDP ו-VPN.

פרטי גישה הם נקודת מפתח למתקפות סייבר מתוחכמות: חלק מהתוקפים ישתמשו בהם להתקנת נוזקה לגניבת מידע (Info-Stealing Malware) וביצוע פעילויות זדוניות נוספות; תוקפים אחרים עלולים להשתמש בפרטי גישה להתקנת תוכנת כופר (Ransomware) וגניבת מאגרי נתונים.

כדי לעקוב אחר התופעה ולהבין אותה לעומק, ביולי 2021 עקבנו אחר מגוון התכתבויות ופוסטים של תוקפים בפורומים שונים בדארקנט, שעסקו בכוונותיהם לרכוש Access (פרטי גישה) וכללו את תנאי הרכישה. חקרנו מה חשוב לתוקפים הרוכשים הרשאות גישה ובנינו פרופיל של הקורבן האידיאלי למתקפת כופר.

איזו הרשאת גישה מחפשים התוקפים?

במסגרת המחקר זיהינו 48 שרשורים שהוקדשו לרכישת הרשאות גישה, שנוצרו או היו פעילים ביולי 2021 (שרשור פעיל הוגדר ככזה שעודכן לפחות פעם אחת על ידי השחקן שיצר אותו). כמעט חצי מהם נוצרו בחודש יולי עצמו, דבר המצביע על קצב וביקוש גובר להרשאות גישה. בחינה של השרשורים העלתה את השאלה המתבקשת: איזו הרשאת גישה מחפשים התוקפים ומהי מטרתם הסופית?

לאחר שניתחנו את השרשורים הפעילים שהוקדשו לרכישת גישות, מצאנו כי נוסף על הגישה הראשונית לרשת, שנמכרה על ידי סוחרי גישה ראשונית (IABs – Initial Access Brokers), נכללו בהם גם גישה לפלטפורמות ניהול של חנויות מקוונות, למאגרי מידע לא מוגנים, לשרתי Microsoft Exchange ועוד. כל סוגי הגישה הללו מסוכנים כאשר הם נמצאים בידיים הלא נכונות, והם מאפשרים לתוקפים לבצע פעולות זדוניות שונות, אך נדיר שהם מספקים גישה לרשת הארגונית.

סעיפים המוקדשים לגישה בפורומי פשעי סייבר XSS ו-Exploit

לאחר חקירת הדרישות של התוקפים ושל פעילותם בדארקנט, קבענו כי הפעילים שמאחורי השרשורים שנבדקו נוטים לנצל גישה עבור סוגים שונים של פעילויות זדוניות: גניבת מידע (על ידי התקנת תוכנה זדונית לגניבת מידע או הזרקת סקריפטים זדוניים לאתרים), כריית מטבעות דיגיטליים (קריפטו), דואר זבל וקמפיינים של פישינג.

משתמש שמסביר כיצד להשתמש בגישה באמצעות shells למטרות זדוניות

התוקפים מחפשים גישה כדי לנצל ולהטמיע "רחרחנים" או כדי לשלוח דואר זבל

עם זאת, איום אחד בלט מעל השאר. קרוב ל-40% מהשרשורים שנבדקו נוצרו על ידי פעילים שקשורים לשרשרת האספקה של RaaS – Ransomware as a Service  – מפעילים או שותפים. לנוכח העלייה בגידול מתקפות כופר זיהינו קבוצות כופר שונות שמשתמשות בשירותי IABs. הפרסום על הרצון לרכוש גישת הרשאה עוזר להם לאתר זה את זה ולשתף פעולה. חלק מקבוצות הכופר, בהן BlackMatter ו-Avos, אף הפיצו פרסומים על כך שהם מעוניינים לרכוש גישה בפומבי. אחרים, כמו למשל חברי קבוצת הכופר Crylock, ציינו במפורש כי הם מחפשים מוכרים קבועים לעבודה שוטפת.

קבוצת הכופר BlackMatter מחפשת Initial Access Brokers בפומבי

קבוצת הכופר Crylock מחפשת ספקי גישה קבועים

לא מדובר בדבר חדש, אך לנוכח הצמיחה של עולם ה-RaaS הפוסטים בנושא הפכו שכיחים יותר. במקום לשלוח הודעת "אני מעוניין לקנות גישה" פשוטה, מקפידים התוקפים לפרט כעת את מאפייני הקורבנות הפוטנציאליים ואת סוגי הגישה, והם יודעים בדיוק מה הם מחפשים כדי להפוך את המתקפה לקלה יותר ובסופו של דבר לקבל את דמי הכופר.

מודל התמחור: גיאוגרפיה ועומק הכיס של הקורבן

כאשר חקרנו את מודל התמחור של IABs גילינו כי הוא תלוי ברובו ברווח ובגודל החברה הנפגעת, אם כי לעתים יש חשיבות גם למיקום גיאוגרפי. רמת ההרשאות ברשת המותקפת משפיעה אף היא על המחיר (לדוגמה, חשבון Domain Administrator עולה לפחות פי 10 מגישה אל מחשב עם הרשאת User Rights). באופן טבעי, אותם המדדים חשובים לתוקפי הכופר משום ש-IABs תמיד התאימו עצמם לדרישות לקוחותיהם.

רוב הדרישות מציינות את המיקום הרצוי של הקורבנות: ארה"ב היא הפופולרית ביותר – 47% מהתוקפים ציינו אותה; מקומות מובילים נוספים הם קנדה (37%), אוסטרליה (37%) ומדינות באירופה (31%). רוב המודעות כוללות דרישה לכמה מדינות, משום שהתוקפים בוחרים בחברות העשירות ביותר ואלו אמורות להימצא במדינות הגדולות והמפותחות ביותר.

גם הכנסות הקורבן הן פקטור: ברוב הפעמים התוקפים ציינו רק את ההכנסה המינימלית הרצויה בניסיון לסנן קורבנות שכנראה לא ישלמו סכום כופר גדול – מחזור ההכנסות המינימלי הממוצע של קורבן אטרקטיבי הוא 100 מיליון דולר. לעתים ההכנסה הרצויה היא תלוית מיקום, ואחד התוקפים תיאר את הנוסחה הבאה: מחזור ההכנסות צריך להיות יותר מ-5 מיליון דולר עבור קורבנות בארה"ב; יותר מ-20 מיליון דולר עבור קורבנות באירופה; ויותר מ-40 מיליון דולר עבור קורבנות במדינות עולם שלישי.

התוקף קובע מחיר לגישה בהתאם לרווח מהקורבן הפוטנציאלי

הרשימות השחורות

אחד הדברים הבולטים שראינו בשרשורים של רכישת גישה למטרת מתקפת כופר היה שכמעט חצי מהם כלל רשימה שחורה של מגזרים שהתוקפים מסרבים לקנות אליהם גישה. 47% מהתוקפים סירבו לרכוש גישה לחברות בתחום שירותי הבריאות והחינוך; 37% סירבו לרכוש גישה למגזר הממשלתי; ו-26% טענו שלא יקנו גישה לארגונים שאינם למטרת רווח.

כאשר תוקפים מסרבים להצעות בתחום שירותי הבריאות או ארגונים שאינם למטרת רווח, קרוב לוודאי שהסיבה לכך היא הקוד האתי-מצפוני שלהם. מגזר החינוך עשוי להיות מושחר מאותה סיבה או מכיוון שקורבנות בתחום החינוך פשוט לא יוכלו להרשות לעצמם לשלם סכומים גבוהים. הסירוב לתקוף חברות ממשלתיות הוא אמצעי זהירות והישארות מתחת לרדאר מבלי לעורר תשומת לב בלתי רצויה.

גם מדינות מסוימות נשארו מחוץ לתחום. הבולטת והלא מפתיעה בהן היא חבר העמים (CIS), בהתאם לכלל הוותיק של ההאקרים דוברי הרוסית: "לא פועלים ברוסיה" (בארצות דוברות רוסית). התוקפים שנמצאים ב-CIS מניחים שאם לא יתמקדו במדינות הללו, הרשויות המקומיות לא ינסו לתפוס אותם. מדינות נוספות שהוזכרו כלא רצויות כוללות את מדינות דרום אמריקה ומדינות העולם השלישי – ככל הנראה בגלל הסיכוי הנמוך לרווח כספי גבוה.

תקציב הרכישה של התוקפים

כאשר הקורבנות המתאימים מסומנים, תוקפי כופר מוכנים לרכוש את כל סוגי הגישה לרשת. הדרישה הבסיסית ביותר היא גישות המאפשרות התחברות מרחוק – RDP ו-VPN. על רשימת המוצרים הנחשקים המאפשרים גישה לרשת נמנות Citrix ,Palo Alto Networks (במיוחד GlobalProtect VPN), יVMware (במיוחד ESXi),יFortinet ו-Cisco. וכשמדובר ברמת ההרשאות, חלק מהתוקפים ציינו שהם מעדיפים הרשאות Domain Admin, אם כי לא נראה שהדבר קריטי עבורם.

תוקף שקשור בפעילות הכופרה Nefilim מחפש סוגים שונים של גישה

כמה ישלמו תוקפי הכופר עבור גישה כזו לחברות מוגדרות? טווח המחירים נע מ-100 דולר ועד 100 אלף דולר. מחיר המינימום הממוצע לגישה הינו 1,600 דולר, בעוד שהמקסימום הממוצע עשוי להגיע ל-56,250 דולר. כמו כן, 32% מתוקפי הכופר מוכנים לשלם אחוזים מהכופר.

מסקנות

הדמיון בין דרישות תוקפי כופר לסוגי הקורבנות ולהרשאות גישה, לבין התנאים שהם מציבים ל-IABs, ממחיש שפעילות RaaS מתנהלת בדיוק כמו עסק. הם מגדירים סטנדרט חדש בתעשייה הכולל רשימות שחורות של מגזרים ומדינות, רמת הכנסות ומיקום גאוגרפי מבוקש, ומציעים מחיר תחרותי למי שיספק להם את הסחורה הרצויה. התמודדות עם מערכת מאורגנת כזו של פשיעת סייבר מחייבת השקעת מאמצים בניטור מקורות הדארקנט בהם פועלים אותם תוקפים.

הכתבה בחסות KELA

קלע (KELA) עוזרת לארגונים להתמודד עם איומים מעולמות הדארקנט (הרשת האפלה) ומסירה את החשש מהלא נודע. הפתרון של קלע, המשלב טכנולוגיית מודיעין איומים אוטומטית עם ניסיון מודיעיני עשיר, מייצר מודיעין איומי סייבר המותאם לצורכי ונכסי הארגון. החברה מגיעה למקומות האפלים ביותר ברשת ומציפה את הסכנות הרלוונטיות - בכך קלע מאפשרת לארגונים להישאר מוגנים ולנקוט בפעולות אבטחה יזומות וממוקדות.

כתבת אורחת

הגב

1 תגובה על "הארגון שלכם הבא בתור? מתברר שיש פרופיל לקורבן הבא של מתקפת כופר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דג בקשת
Guest

יוzמה טובה ומעניינת. להמשיך !
כי רק חודש אחד וכמה פוסטים – אינם מספיקים כדי ליצור פרופיל מנחה 'חזק'.
צריכים להמשיך כמה חודשים ברציפות, ולהגיע ליותר מקורות.
לשקלל כי יש עניין עונתי, תקופת פעילות שונה של קבוצות, המשך השרשור בחודש הבא ועוד פרמטרים לשקלל.
אגב, למה ליידע 4 חודשים אחרי קרות הבדיקה? כל כך הרבה זמן לעבד מידע טטטי כזה?

wpDiscuz

תגיות לכתבה: