מתקפות כופרה – מה המדיניות של הארגון שלך?

כתב: עידן בן נאים, מנהל מכירות ב-FireEye ישראל.

שנת 2020 תיזכר כאחת השנים המאתגרות ביותר שחווה העולם בעת החדשה. תחום הסייבר חווה אף הוא טלטלה אדירה בעקבות השינויים בהרגלי העבודה, ובראשם המעבר המהיר לעבודה מרחוק.

לא ניתן להזכיר את תחום הסייבר מבלי להתייחס למתקפות הכופרה, שמספרן גדל בצורה משמעותית בתקופה מאתגרת זו. מאז פרוץ הקורונה ראינו הרבה מאוד קבוצות פשיעה במסגרת העבודה היומיומית שלנו, וסף הכניסה לתחום ירד מאוד, עקב התפוצה הרחבה של כלי פריצה זמינים ברשת, שנמכרים לכל דורש.

האבולוציה של מתקפות הכופרה

בעבר, מתקפות כופרה כמו CryptoLocker ו-Locky נשלחו במייל ולחיצה על קישור הובילה לנעילה של קבצים במנגנון אוטומטי. מטרת התוקפים הייתה להגיע לקורבנות רבים ולסחוט סכום לא משמעותי מכל קורבן. המתקפות היו מבוזרות והתוקף למעשה לא ידע אם הוא פגע בחברה של מיליארדי דולרים או בסבתא שמנסה להשיב את התמונות של הנכדים שלה. לכן, הוא דרש סכום פעוט עבור מפתחות ההצפנה.

מספר שנים מאוחר יותר התפרסמה כופרה בשם SamSam. התוקפים שהשתמשו בה ניהלו מתקפות ממוקדות על מטרות ספציפיות, דרשו סכומים גדולים יותר והיו מהראשונים להציע שירות ותמיכה נאותה ל-"לקוחות", עד כמה שהדבר נשמע מוזר. שיטות פעולה אלה היוו מודל עבור קבוצות תקיפה שונות, שהחלו גם הן לבצע מחקר על החברות שאותן הם תוקפים.

בשנת 2018 הוגשו כתבי אישום נגד תוקפים איראניים שהשתמשו בכופרת SamSam. אף על פי שסביר להניח שהיו תוקפים נוספים שעשו בכופרה זו שימוש, לא נתקלנו מאז בעוד מתקפות מסוג זה. ישנן מספר סברות להפסקת הפעילות, אבל אין ספק שאיום המעצרים יכול להרתיע תוקפים. מדובר לעתים בקבוצות שפועלות במדינות ללא הסכמי הסגרה עם המערב. בעוד התוקפים רוצים ליהנות מההון שאותו צברו, האפשרויות במדינות המקור לעתים מוגבלות ולכן, הם מטיילים ברחבי העולם בתקווה שסוכנויות המודיעין אינן יודעות מי הם – וכך מתאפשר מעצרם. עם זאת, ישנה כמות גדולה מאוד של תוקפים ולא נראה כרגע שיש פתרון פשוט לבעיה.

עליית מדרגה במתקפות בחסות הקורונה

אין ספק שמתקפות הכופרה עלו עלתה מדרגה משמעותית בשנה האחרונה. בדצמבר האחרון נחשפנו לכופרת MAZE. תוכנה זו שינתה את כללי המשחק בכל מה שנוגע למתקפות המדוברות. לאחר פריצה לארגון, קבוצת ההאקרים שחדרה למערכות המחשוב שלו "תזליג" מידע רגיש אל מחוצה לו, ולאחר מכן תצפין מערכות ארגוניות במטרה לגרום לקורבנות לשלם בין מאות אלפי לעשרות מיליוני דולרים. כלומר, הקבוצה דורשת דרישה כפולה – הן עבור מפתחות הצפנה, לטובת גישה למערכות הארגוניות, והן עבור אי פרסום המידע הרגיש. דפוס פעולה זה זכה לכינוי Name and Shame.

תוקפים שהשתמשו עד כה בכופרת MAZE גם הציעו לנתקפים דו"ח הערכת פגיעויות (Vulnerability Assessment) והסבר כיצד פרצו לרשת הארגון. הדו"חות שהם מפיקים לרוב גנריים למדי, אבל הדפוס מלמד על שיטות עבודה וחשיבה עסקית.

מתקפות כופרה. אילוסטרציה: BigStock

שינוי במדיניות התגובה

חשוב לציין שקבוצות אחרות הולכות בעקבותיה ומנסות לחקות את ההצלחה הכלכלית שלה, תוך שהן משתמשות בטקטיקת Name and Shame. טקטיקה חדשה זו, שחושפת את הארגונים לאיום כפול, גורמת להם שינוי מדיניות משמעותי – ארגונים שבעבר לא נהגו לשלם כופר מחליטים לעשות זאת כעת, מכיוון שהם מעוניינים למנוע את הזלגת המידע הרגיש שלהם לכל דורש ולשחרר את המערכות הארגוניות שלהם בהקדם.

בחלק מהמקרים, המידע שהוצפן אינו חיוני דיו עבור הקורבן, אך ברשות התוקף נמצא מידע אחר שהפצתו תגרום נזק לארגון, לעתים ללא ידיעת התוקף. על כן, לרוב, נטיית הקורבן תהיה לשלם את הכופר ולמנוע את הפצת המידע.

מבצע מסוג זה רווחי מאוד ומושך שחקנים רבים לזירה. תוקפים מיומנים יכולים להשיג הרשאות של רשת ארגונית לטובת הצפנת והזלגת המידע תוך מספר ימים, כך שהתקבול ביחס להשקעה הוא גבוה מאוד למול סוגים של מתקפות קודמות. לדוגמה, מבצע של גניבת ומכירת פרטי כרטיסי אשראי היה אורך זמן לא מבוטל עד קבלת תשלום, וכן היה נדרש מספר גדול מאוד של כרטיסי אשראי על מנת להגיע לסכום משמעותי.

לסיכום, ניתן לומר שאין פתרון פשוט, אך הכנת הארגון ותרגולו על ידי צוותים מקצועיים עם ניסיון מבצעי רב, דוגמת FireEye Mandiant, תוך הגברת המודעות הארגונית ליום פקודה יוכלו לתת למובילי מדיניות הסייבר בארגון ביטחון רב יותר בכשירותם המבצעית של אנשי הצוות, וכן ביכולתם לצמצם את הנזק למינימום ולהתמודד עם אירוע סייבר בצורה הטובה והמהירה ביותר.

מתעניינים בסייבר? רוצים לשמוע עוד? הירשמו לאירוע הגנת הסייבר של FireEye ו-Mandiant.