מאחורי דרישת הכופר: כך פועלת תעשיית הכופרה המודרנית

מה מאפשר את הצמיחה הזו?

• עלויות כניסה נמוכות לעולם הפשיעה המקוונת
• זמינות של כלי תקיפה כשירות
• שוק מפותח של מכירת גישות לרשתות ארגוניות
• שימוש גובר בבינה מלאכותית לייעול מתקפות
• התמחות של כל גורם במשימה אחת בלבד

התוצאה היא מערכת יעילה במיוחד, שבה כל שחקן מתמקד בתחום ההתמחות שלו.

כופרה כשירות: המודל שמשנה את כללי המשחק

אחד המודלים הבולטים בשנים האחרונות הוא Ransomware as a Service.

בדומה למודל SaaS המוכר מעולם התוכנה, גם כאן קיימת פלטפורמה מרכזית המפותחת ומתוחזקת על ידי מפעילי הכופרה. שותפים שונים מצטרפים אליה ומבצעים את התקיפות בפועל, תוך חלוקת רווחים עם מפעילי הפלטפורמה.

בפועל, התוקף שמפעיל את המתקפה כלל אינו חייב לדעת כיצד לפתח נוזקות או לעקוף מנגנוני אבטחה מתקדמים. הוא יכול לרכוש שירותים מוכנים ולהתמקד רק בביצוע התקיפה.

מי משתתף בשרשרת?

• מפתחי הכופרה
• סוחרי גישה ראשונית לרשתות
• מפעילי מתקפות
• מפיצי נוזקות
• מומחי הלבנת כספים
• מנהלי משא ומתן מול הקורבנות

כל אחד מהגורמים הללו מרוויח מהצלחת המתקפה, גם אם אינו מעורב ישירות בכל שלב.

תעשיית הכופרה לא נעלמת כשקבוצה אחת נסגרת

רבים מניחים שסגירת קבוצת תקיפה מובילה לצמצום האיום. בפועל, המציאות שונה לחלוטין.

כאשר רשויות אכיפת החוק פועלות נגד קבוצת כופרה מסוימת, השוק מסתגל במהירות. שותפים עוברים לפלטפורמות אחרות, קבוצות חדשות נכנסות לתמונה והטכניקות המוצלחות ממשיכות להתקיים.

כך קרה לאחר הפגיעה בקבוצות LockBit ו-BlackCat, כאשר גורמים רבים עברו לפעול במסגרת ארגונים אחרים.

במילים אחרות, מדובר בשוק תחרותי שמתחדש באופן מתמיד.

ממודל הצפנה למודל סחיטה כפולה

בעבר מטרת הכופרה הייתה פשוטה: להצפין קבצים ולדרוש תשלום עבור שחזורם.

כיום רוב קבוצות הכופרה משתמשות בגישת הסחיטה הכפולה.

בשלב הראשון הן גונבות מידע רגיש מהארגון.

בשלב השני הן מצפינות את המערכות.

גם אם הארגון מצליח לשחזר את הנתונים מגיבויים, התוקפים מאיימים לפרסם את המידע הגנוב או למכור אותו.

גישה זו הגדילה משמעותית את הלחץ על ארגונים ומאפשרת לתוקפים להפעיל מנופי לחץ נוספים מעבר להשבתת המערכות בלבד.

המרוץ המתמשך בין התוקפים למגינים

אחד המאפיינים הבולטים של זירת הסייבר הוא מה שחוקרי אבטחה מכנים "אפקט המלכה האדומה". המשמעות היא שכל צד חייב להשתפר כל הזמן רק כדי לשמור על המצב הקיים.

כאשר פתרונות EDR ו-XDR משתפרים ומזהים יותר איומים, התוקפים מגיבים בפיתוח כלים ייעודיים שנועדו לנטרל אותם.

חוקרי ESET עוקבים כיום אחר עשרות כלים שונים המיועדים להשבית מערכות הגנה ארגוניות. חלקם מנצלים דרייברים פגיעים כדי לקבל הרשאות גבוהות ולנטרל מנגנוני אבטחה מתקדמים.

זוהי עדות ברורה לכך שפתרונות ההגנה המודרניים אכן מקשים על התוקפים, אך גם לכך שהמאבק הופך מורכב יותר.

כיצד בינה מלאכותית משנה את זירת הכופרה?

הבינה המלאכותית אינה משמשת רק להגנה.

ארגוני פשיעה עושים בה שימוש ליצירת קוד זדוני, שיפור קמפייני פישינג ופיתוח כלים המאפשרים לעקוף מנגנוני אבטחה.

המשמעות היא שיותר אנשים יכולים להיכנס לעולם הפשיעה המקוונת גם ללא ידע טכני מעמיק.

החסם הטכנולוגי שהיה קיים בעבר הולך ונשחק, והתוצאה היא גידול במספר השחקנים הפעילים בזירה.

מה ארגונים צריכים לשאול את עצמם?

• האם מערך ההגנה מסוגל לזהות פעילות חריגה לפני שלב ההצפנה?
• האם קיימת הגנה רב שכבתית על תחנות הקצה?
• האם הארגון יודע לזהות ניסיונות חדירה דרך ספקים ושותפים?
• האם קיימת יכולת תגובה מהירה לאירועי סייבר?
• האם מערך ההגנה מעודכן מול טכניקות התקיפה העדכניות ביותר?

שאלות נפוצות

האם כופרה עדיין מאיימת בעיקר על ארגונים גדולים?

לא. בשנים האחרונות נרשמת עלייה בתקיפות נגד ארגונים בינוניים ועסקים קטנים, שלעיתים מחזיקים בהגנות פחות מתקדמות.

האם גיבויים מספיקים להגנה מפני כופרה?

גיבויים הם מרכיב חשוב, אך אינם מספקים לבדם. במתקפות סחיטה כפולה המידע נגנב לפני ההצפנה ולכן קיים גם סיכון לחשיפת מידע רגיש.

מהו הצעד החשוב ביותר בהתגוננות?

אימוץ גישת Prevention First הכוללת הגנה רב שכבתית, ניטור מתמשך, זיהוי התנהגות חריגה והעלאת מודעות עובדים.

היערכות נכונה מתחילה בהבנת האיום

מתקפת כופרה אינה אירוע נקודתי ואינה תוצאה של תוקף בודד שפועל באופן אקראי. מדובר בתעשייה שלמה המבוססת על שיתופי פעולה, שירותים, ספקים ומודלים עסקיים מתקדמים.

ארגונים שמבינים את המציאות הזו יכולים לבנות אסטרטגיית הגנה אפקטיבית יותר, המבוססת לא רק על תגובה לאירועים אלא על מניעה, ניטור וזיהוי מוקדם של איומים.

ESET ממשיכה לחקור את זירת הכופרה העולמית ולספק לארגונים פתרונות מתקדמים, זיהוי התנהגותי והגנה רב שכבתית המותאמת לאיומים המשתנים של השנים הקרובות.