שחקנים חדשים וטקטיקות חדשות מופיעים בעולם הכופרות – ועסקים נדרשים לשפר את מערך ההגנה שלהם

פושעי סייבר מגבירים את השימוש בכופרות במודל כופרה כשירות (Ransomware as a Service) ומשתמשים בנוזקות לנטרול EDR. ESET מתמודדת עם האתגר באמצעות גישה המתמקדת במניעה תחילה.

שנת 2024 הסתמנה כשנה משמעותית ביותר במאבק נגד כופרות, והביאה איתה כמה חדשות טובות יחד עם כמה חדשות רעות.
נתחיל בטובות: משרד המשפטים האמריקאי והיורופול הצליחו לתפוס את כנופיית הכופרות הידועה לשמצה LockBit, מה שהביא לפגיעה משמעותית שזעזעה את עולם הכופרות.

והרעות? ESET גילתה שחקנים חדשים שממהרים למלא את מקומן של קבוצות הכופרה הידועות לשמצה שמאבדות מכוחן, באמצעות שימוש ב- ״אסטרטגיות עסקיות״ וכלים אגרסיביים כדי לכבות הגנות בתחנות הקצה. כדי להתמודד עם האיומים האלה, עסקים צריכים להיות ערוכים עם הגנה רב - שכבתית שמתמקדת במניעה ומסוגלת להקדים את פושעי הסייבר.

כוכבים עולים עם כלים מתוחכמים

מבין כל השחקנים החדשים בעולם הכופרות, RansomHub היא הקבוצה הבולטת ביותר, בעיקר בגלל הטקטיקות וקצב הגדילה שלה. הקבוצה הודיעה על הקורבן הראשון שלה בפברואר 2024, אך עד סוף השנה תפסה מקום דומיננטי בעולם הכופרות.

כמו כל מפעיל חדש של כופרות במודל כופרה כשירות (Ransomware as a Service – RaaS), RansomHub נדרשה למשוך אליה שותפים בתחילת הדרך. כדי ליצור בסיס ״לקוחות״ בקצב מהיר, הקבוצה הרשתה לשותפיה לשמור 90% מסך הכופר שנאסף, הבטיחה שהתשלום יועבר ישירות לארנקו של השותף, והציעה מספר דרכים להצטרפות לתוכנית ה-RaaS שלה, כך שגם שותפים לא-מיומנים יכלו לנסות את מזלם.

במהלך הזמן הזה, הקבוצה פרסמה מספר עדכונים, ובמאי 2024 התקדמה צעד חשוב נוסף, והשיקה את ה-EDR Killer שלה (נוזקה לנטרול מנגנוני EDR – Endpoint Detection and Response) – נוזקה שנועדה לכבות, לעוור או להקריס את פתרון האבטחה שמותקן בתחנת הקצה, כאשר לרוב זה נעשה באמצעות ניצול חולשות אבטחה בדרייברים.

הנוזקה לנטרול ה-EDR של RansomHub, שכונתה ע״י חברת Sophos בשם EDRKillShifter, היא כלי מותאם אישית שמפותח ומתוחזק ע״י המפעיל. הגישה הייחודית הזאת מנוגדת לאסטרטגיה המסורתית של מחזור קוד קיים ברשת (עם שינויים מינוריים במידת הצורך), או שימוש בכלים קיימים מהרשת האפלה.

בינתיים, חוקרי ESET חשפו גורם איום יחיד שמחזיק בשתי דגימות של EDRKillShifter, המקושר למספר קבוצות כופרה שונות (BianLian, RansomHub, Medusa ו-Play). הנ״ל מהווה דוגמה למגמה נוספת בעולם הכופרות – שותפים מיומנים עובדים עבור מספר מפעילים במקביל, מה שמחזק עוד יותר את היכולות הזדוניות של המפעילים.

כנופיות כופרה חולבות עסקים

בשנת 2023, ארגונים מכל העולם זיהו 317.59 מיליון ניסיונות תקיפה באמצעות כופרה. בתעשיות הייצור והמזון ומשקאות זוהו שיעורי התקיפות הגבוהים ביותר.

בין 2022 ו-2024, השילוב בין כופרות ובין שיטות סחיטה אחרות היה אחראי למעט פחות משני שליש (השיעור נע בין 59% ל-66%) מהמתקפות המונעות ממניע כספי, על פי דוח חקירת הדלפות הנתונים של Verizon לשנת 2024. הסיבה לכך פשוטה מאוד – זה עובד, ולגורמי איום בעלי מניע כספי אין אף סיבה להחליף את הטקטיקה שנותנת להם את התמורה הטובה ביותר למחיר.

מניעה לעומת תגובה

העלות הכלכלית של תשלום הכופר היא גדולה, אך ההפרעה להמשכיות הפעילות העסקית ותחושת אי - הנוחות שנובעת מהגישה הבלתי מוגבלת של הגורמים הזדוניים היא גרועה יותר. אך זה לא כל הסיפור:

• לאחר מתקפת סייבר מוצלחת, אובדן ההכנסות כתוצאה מזמן השבתת המערכות וההזדמנויות שהוחמצו מגיע בממוצע ל-9%
  מההכנסות השנתיות של החברה, ומחיר המניות יורד ב- 2.5% בממוצע.
• העלות של חקירה פורנזית בעקבות מתקפה כזאת עומדת על בין 10 אלף דולר ל- 100 אלף דולר, בהתאם לגודל העסק.
• מבין הארגונים שחוו מתקפת סייבר במהלך 2024, 47% דיווחו על קושי בגיוס לקוחות חדשים, ו-43% דיווחו על כך שאיבדו
  לקוחות.

כפי שהוצג בדוח עלויות הדלפות הנתונים של IBM לשנת 2024, זיהוי והכלה של מתקפת כופרה נמשכו 284 ימים בממוצע. זה פרק זמן ארוך מאוד להתמודדות עם פריצה. אם נשים בצד השני של המאזניים את ההפרעה המתמשכת לפעילות העסקית, יהיה הגיוני למנות כמה דרכים למניעת מתקפות כופרה, למשל:

• הכשרת עובדים ובינה מלאכותית, שהם חלק מהגורמים החשובים ביותר בדרך לצמצום העלויות של דליפת נתונים.
• באמצעות הטמעה נרחבת של בינה מלאכותית ואוטומציות, העלות הממוצעת של דליפת נתונים בשנת 2024 צנחה ב-2.2
  מיליון דולר בממוצע.
• בתרחיש בו חברה מסוימת חוותה שתי מתקפות סייבר בתקופה של עשר שנים, העלות הישירה של המתקפה עמדה על 17
  מיליון דולר בגישה הריאקטיבית (מגיבה), לעומת 8 מיליון דולר בגישה הפרו-אקטיבית.

כדי לתמוך באמצעי אבטחה מועילים ויעילים כמו אלה, חשוב לדון גם באופן בו חלק מפתרונות האבטחה יכולים להתמודד עם מתקפות של כופרות ונוזקות לנטרול EDR, וכך למנוע מהן להפריע לפעילות העסקית.

כיצד ESET מגנה מפני כופרות

מומחי ESET השקיעו זמן רב של מחשבה ומחקר בנוגע למלחמה בכופרות. באמצעות שימוש בגישה פרו-אקטיבית שמתמקדת במניעה תחילה, ESET משפרת את הפתרונות שלה באופן קבוע בהתאם למגמות והתגליות העדכניות.

נתחיל בבסיס – כדי להגיע למצב של הגנה רב-שכבתית, ESET PROTECT משלבת בין אבטחה לתחנות קצה ובין הצפנה מלאה של כונני אחסון וניתוח דגימות חשודות בארגז חול (Sandbox) מבוסס-ענן. בנוסף, ESET פיתחה כלי שתוכנן במיוחד כדי לתפוס כופרות – ESET Ransomware Shield, שמזהה וחוסם תהליכים שההתנהגות שלהם דומה להתנהגות של כופרות. וזה ״רק״ קו ההגנה הראשון. כדי לשפר עוד יותר את הזיהוי, ESET PROTECT משתלבת עם טכנולוגיית זיהוי האיומים של אינטל (Intel® Threat Detection Technology – TDT) ברמת המעבד כדי לשפר את הזיהוי של סוגי כופרות חדשים.

משתמשים מתקדמים יותר יכולים לנסות את ESET Inspect, רכיב המהווה חלק מה- XDR שלESET PROTECT , שיכול לזהות התנהגויות זדוניות בקלות הודות למנוע מבוסס הבינה המלאכותית שלו. כפי שאפשר לראות בתמונה מטה, קל מאוד להבין את הזיהויים ולהשתמש בהם כדי לאתר ניסיונות פריצה מורכבים כמו מתקפות שמנצלות חולשות בדרייברים (Bring Your Own Vulnerable Driver – BYOVD), שיכולות להחדיר נוזקות לנטרול EDR במערכות שנפגעו.