מודל Ransomware as a Service והקשר בין כופר לפיצה

למאמר הבא
ESET

הקלות בה אפשר להזמין תוכנת כופר, לקנות קורבנות ולהשתמש בשירותי ייעוץ של חברות תקיפה הופכות כל עבריין פשוט לפושע סייבר בפוטנציה

התקפות כופר לא חדשות לנו, כולנו חיים אירועי אבטחה ברמה יומיומית אם זה כצרכנים פרטיים שמקבלים הודעות פישינג שמנסות להפיל אותנו בפח או מתקפות על ארגונים ישראלים.

בשנת 2020 התוקפים עלו מדרגה ותעשיית הכופר הגיעה למימדים מפלצתיים: אירועי סייבר חמורים בהם הותקפו חברות שנאלצו לשלם דרישות כופר בסכומים דמיוניים כמו המקרה בארה"ב של חברת colonial pipline ששילמו כופר של 5 מיליון דולר, או חברת JBS ששילמו 11 מיליון דולר.

מערכות הבריאות של אירלנד וניו זילנד הותקפו וכך גם בית חולים בגרמניה שהושבת בשל מתקפת כופר – מקרה שעלה בחיי אדם.

אם בעבר רוב התוקפים נקטו בשיטת spray and pray, המתקפות שינו צורה למתקפות הרבה יותר ממוקדות ובעלות ראייה יותר אסטרטגית עבור התוקפים. הארגונים שמותקפים הם ארגונים אסטרטגיים שהסבירות שהם ישלמו כופר היא גבוהה יותר, כמו מוסדות מערכת הבריאות וחברות שקטיעה בשרשרת האספקה שלהם משתקת חצי מדינה (כמו המקרה של colonial pipeline שמספקת אנרגיה למחצית מתושבי ארה"ב)

בישראל עצמה גם רואים מתקפות ממוקדות, המקרה האחרון היה של התקיפה שלהלל יפה וניסיונות תקיפה של 9 בתי חולים נוספים.

הפעלת אמצעי לחץ אגרסיביים יותר

השיטות להפעלת אמצעי לחץ על הארגונים לשלם את דמי הכופר הפכו להיות הרבה יותר אגרסיביות. התוקפים משתכללים בטכניקות הסחיטה שלהם ולא מסתפקים רק בתקשורת ישירה מול הארגון המותקף:
• הם גונבים ומצפינים את המידע
• מאיימים בהדלפת המידע
• מתקיפים אתרים של הארגונים ומשביתים אותם
• פונים ללקוחות הארגונים המותקפים במטרה לייצר עוד אמצעי לחץ על הארגון

במקרה של מתקפת הכופר על Cyberserve שאיחסנו את אתר "אטרף", התוקפים הפעילו לחץ על המשתמשים לשלם את דמי הכופר והגדילו לעשות כאשר פנו אליהם בדרישה לשלם כופר בסכום של מיליון דולר תוך 48 שעות - אחרת המידע עליהם יודלף.

על פי סקר של התאחדות התעשיינים, בשנת 2020 סה"כ שולמו דרישות כופר בסכום של יותר ממיליארד דולר.

כאשר אנחנו ממשיכים לראות את 3 וקטורי התקיפה הפופולאריים
• חולשות בחיבור מרחוק RDP
• פישינג
• חולשות ופגיעויות בתוכנות

שנת 2021 נכון לחצי השנה הראשונה היא שנת השיא באירועי סייבר עם גידול של 150% בניסיונות התקיפה בחציון הראשון של השנה.

התוקפים דורשים יותר כסף

בשנת 2020 נרשם גידול של 171% בשנת 2020 בהשוואה ל-2019 לסכום הכופר הממוצע שמשולם לתוקפים ובחציון הראשון של שנת 2021 כבר הגענו לסכום של חצי מיליון דולר

הנזק המוערך לשנת 2021 הוא 20 מיליארד דולר וכולל:
• עלויות של השבתה
• שחזור הדאטה
• נזק תדמיתי ופגיעה במוניטין
• נטישה של לקוחות
• קנסות כספיים כבדים (על פי רגולציה)
• הוצאות על פתרונות אבטחה חזקים יותר

שימו לב לנתון המדהים הבא: 80% מהארגונים שחוו מתקפת כופר ושילמו לתוקפים, חוו מתקפה שנייה

תעשיית הכופר תפסה תאוצה בשנתיים האחרונות במיוחד בגלל גורמים שמניעים מתדלקים את התעשייה ומגבירים את האטרקטיביות שלה:

1. קודם כל האנונימיות שמתאפשרת בשל תשלום במטבעות וירטואלים בדארקנט

2. הקורונה והמעבר לעבודה מרחוק יצרו פגיעויות וחולשות שהתוקפים הזדרזו לנצל

3. רווח גבוה בשילוב של ארגונים שממהרים לשלם ולסיים את אירוע האבטחה

4. אקלים פוליטי ומתיחות בין מדינות שתורם לתעשייה.

5. ביטוחי הסייבר שבאיזה שהוא אופן מנרמלים את התעשייה וגורמים לכך שייתכן שארגונים מרגישים שאננים מדי או מעדיפים
    לשלם את הכופר כי יש ביטוח. זה מעגל קסמים שיהיה קשה לשבור, כי כל עוד משלמים את דמי הכופר, זה רק יחזק את
    התעשייה

6. ומודל הRansomware as a Service שיצא גידול אקספוננציאלי בכמות התוקפים. המודל הוריד בעצם את חסמי הכניסה
    והפך את תוכנת הכופר למוצר מדף

מודל Ransomware as a service

מודל שמוכר לנו מהעולם העסקי, מאפשר לעבריינים להיכנס לתעשיית הכופר.

נוזקות הכופר הפכו להיות מוצר מדף. פשוט לרכישה כמעט כמו שזה פשוט להזמין פיצה

אז איך זה עובד?

פשוט מאד. ניתן לרכוש ערכות של כופר בדראקנט מקבוצות תקיפה שמציעות את השירותים האלה במגוון תוכניות מנויים למשל:

1. מנוי חודשי – בצורה זו יש תשלום חודשי לשימוש בכופרות, ללא חלוקה ברווח (בצורה זו, הספק מקבל תשלום בכל מקרה גם
    אם אין הדבקות מוצלחות)
2. "תוכנית שותפים" (Affiliate program) – כלומר האפיליאטור משתמש בכופרה ובמקרה שיש הדבקה מוצלחת, הוא מקבל
    אחוז מסוים וספק הכופרה מקבל את השאר. לכל אפיליאטור יש מזהה ייחודי וכל כל תקיפה מוצלחת המפעיל של האפיליאטור
    מקבל אחוז מהרווחים (כל אחד מהקבוצות תקיפה מציעה עמלה שונה. גם בזה יש תחרות כמו בעולם העסקי)
3. תשלום חד פעמי לרישיון קבוע לכל החיים ללא חלוקת רווחים
4. חלוקת רווחים – במודל הזה יש חלוקת רווחים על פי אחוז מסוים שנקבע בין הספק למשתמש בתוכנת הכופר

כנראה שגם בהמשך השיטות יהיו יותר יצירתיות ומגוונות וכל עוד הן יספקו מצב של WIN-WIN אז כנראה שתהיה גמישות בין קבוצת התקיפה לאפיליאטורים שלה

זה כבר לא רק תוכנת כופר אלא מודל עסקי לכל דבר

וככזה גם מוצעות ערכות כופר מגוונות עם "תוספות" למשל בתוכנת הכופר של פילידלפיה יש פיצ'ר שנקרא mercy למקרה שהקורבנות מתחננים לתוקפים יש ממשק משתמש עם אזור אישי ודשבורד

כנראה שגם בהמשך השיטות יהיו יותר יצירתיות ומגוונות וכל עוד הן יספקו מצב של WIN-WIN אז כנראה שתהיה גמישות בין קבוצת התקיפה לאפיליאטורים שלה

קבוצות התקיפה שמפעילות את מודל הRaaS מבינות שבמודל הזה הן יכולות להרוויח כסף גם על שירותים נוספים כמו ייעוץ:
• ייעוץ בבחירת קורבנות
• ייעוץ במו"מ
• שירות ותמיכה ועוד

בנוסף, קבוצות התקיפה שמציעות שירותי Raas מתנהלות כמו חברות עסקיות לכל דבר עם מחלקות של גיוס, שיווק, שירות, פיתוח ועוד ומשתמשות בכלים וטקטיקות הנהוגים בעולם העסקי:
• מודעות דרושים
• סרטוני מיתוג מעסיק
• פורטל שיש בו ביקורות, פורומים, אפשרות לשדרג לשנות

היווצרות קרטלים

יש עדויות לכך שקבוצות תקיפה החלו לחבור אחת לשנייה כי הן מבינות שהן יכולות להשיג או להרוויח יותר כקרטל ובו הן משתפות ידע כישורים ומשאבים. יש להן יותר כוח יחד.

קבוצת תקיפה בשם twisted spider הודיעה בנובמבר 2020 שהם סוגרים את פעילות התקפות הכופר שלהם שנקראית MAZE והודיעו על פרישה.

בפועל ניתן לזהות עדויות שקושרות אותן לקבוצות תקיפה אחרות כמו wizard spider, lockbit gang, sunscrypt gang ן-viking spider. הקשר הראשון היה שקבוצות התקיפה גנבו מידע אבל קבוצה אחרת פרסמה באתר שלה ולקחה את האחריות למו"מ.

החבירה של קבוצות התקיפה לקרטל מאפשרת לקבוצות תקיפה לחלוק משאבים ולהגדיל את כוח התקיפה שלהם, להרחיב את רשת הקורבנות, להשתמש במומחיות של הקבוצות בשביל למקסם את התקיפה.

התוקפים נעשים אגרסיביים יותר, מתוחכמים יותר ומסוכנים יותר

אירוע סייבר הוא אירוע אסטרטגי

האיום ממנו הכי חוששים מנהלי אבטחה בישראל הוא מתקפות כופר 

• 20% ממנהלי אבטחת המידע שנפלו קורבן להתקפות סייבר אינם יכולים להצביע במדויק כיצד התוקף השיג כניסה לארגון

• 17% לא יודעים כמה זמן האיום היה בסביבה לפני שזוהה.

• 197 ימים בממוצע לוקח לזהות חדירה לארגון (MTTI)

הסיכונים והאיומים הם לא רק באחריותו של מנהלי אבטחת המידע, אלה החלטות אסטרטגיות ברמת הנהלת הארגון. כי כשכופר מגיע לארגון – כל החברה צריכה להתארגן מחדש.

ולכן חשוב שברמת ההנהלה יתקלו החלטות אסטרטגיות כמו תקציב להגנה על הארגון, תכנית לניהול משברים וכו'

חשובה הסתכלות על הגנה על הארגון בשכבות הגנה, כמה שיותר מעגלי אבטחה לצמצום הסיכונים שאיומים יחדרו לרשת הארגון

כמו שאנחנו דואגים להגנה על הבית שלנו בכל מיני אמצעי הגנה, אותה גישה צריכה לשמש אותנו כאשר אנחנו מגנים על הארגון שלנו.

נדרשת שיטה של מספר שכבות הגנה כדי להבטיח הגנה מירבית.

ESET משקיעה משאבים ובוחנת את הפתרונות מתוך הסתכלות הוליסטית 360 ולא רק על היבטים מסוימים כמו רק זיהוי ותגובה.

יש חשיבות גדולה במערך שנעשה מאחורי הקלעים על מנת למנוע מאיומים לחדור וכמובן זיהוי, תחקור ותגובה.

מנהלי אבטחה בארגון צריכים פתרונות שיענו על כל אחד מההיבטים, מנהלי אבטחה זקוקים לעיניים ברשת הארגונית

פתרון הEDR של ESET נותן עיניים ברשת למנהלי אבטחת המידע.

מאפשר להם לראות את כל אותם תהליכים חשודים שיכולים לחדור ולהתבסס במערכת חודשים ארוכים 

• נראות של הרשת 
• ניטור הפעילות ברשת הארגון, ולתגובה בזמן אמת לאירועים
• תחקור של אירועים שמתרחשים או התרחשו

לקבלת הצעת מחיר לפתרון הגנה לארגון ניתן ליצור איתנו קשר: