בזמן שיצאתם להפסקה – הכופרה השתלטה על המחשב שלכם

לא כל כופרה זוכה לאותה תהודה פרסומית, וחבל שכך. בחודשים האחרונים הכופרה Conti תקפה 180 ארגונים לכל הפחות, בהם מערכות ה-IT של בית משפט בלואיזיאנה ומחשבי יצרנית השבבים אדבנטק מטאיוואן. ייחודה, בין השאר, הוא ביכולת לקבל גישה להרשאות מנהל דומיין בתוך 16 דקות מרגע ניצול הפרצה בפיירוול.

סופוס (Sophos) פרסמה סדרת תחקירים על הכופרה Conti  – כופרה ב"סחיטה כפולה", המופעלת על ידי גורם אנושי. התוקפים גונבים נתונים מיעדיהם לפני שהם מצפינים אותם, ואז מאיימים לחשוף את המידע הגנוב באתר "Conti News" אם הארגון לא משלם את דמי הכופר. האתר מפרסם נתונים שנגנבו מהקורבנות.

המחקר הראשון הציג את רצף הזמן של מתקפת Conti פעילה, מהפריצה הראשונית ועד החזרה לעבודה של ארגון המטרה, לצד פעילות צוות התגובה של סופוס, שנטרל וחקר את ההתקפה. בצד הטכני, הציגו חוקרי מעבדות סופוס כיצד התוקפים מסוגלים לחסום ניתוח של הכופרה באמצעות פריסת אותות של Cobalt Strike – תוכנה המשמשת לבחינת הגנות בארגון, על גבי המכונות המותקפות. לאחר מכן ההאקרים טוענים את הקוד ישירות אל תוך הזיכרון, כך שהם אינם משאירים ממצאים שהחוקרים יכולים לבחון.

"זו הייתה התקפה מהירה ובעלת פוטנציאל הרסני מאוד", אמר פיטר מקינזי, מנהל צוות תגובה מהירה בסופוס. "גילינו כי התוקפים הצליחו לפרוץ לרשת המטרה ולקבל גישה להרשאות מנהל דומיין תוך 16 דקות מרגע ניצול הפרצה בפיירוול. תוך שעות, התוקפים הצליחו להפעיל את אותות Cobalt Strike על השרתים – שהפכו לשדרה המרכזית למתקפת הכופרה".

לדבריו, "בהתקפות הנשלטות על ידי אנשים, התוקפים יכולים לבצע התאמות ולהגיב למצבים משתנים בזמן אמת. במקרה הזה, התוקפים השיגו במקביל גישה לשני שרתים, כך שכאשר המותקפים זיהו ונטרלו אחד מהם – הם האמינו שהצליחו לעצור את ההתקפה בזמן – אבל התוקפים פשוט החליפו שרת והמשיכו את ההתקפה באמצעות השרת החלופי. יצירת תוכנית ב' היא גישה נפוצה בהתקפות בהפעלה אנושית. זו תזכורת לכך, שגם אם נעצרה פעילות חשודה מסוימת ברשת, אין להסיק מכך שההתקפה באמת הסתיימה".

הארגונים שהמידע שלהם פורסם באתר Conti News, לפי מדינות. תרשים: סופוס

מקינזי הוסיף, כי "לאחר חילוץ הנתונים, התוקפים הפעילו Cobalt Strike בכמעט 300 מכשירים והפעילו את הכופרה. הצד המותקף  נותר בלא אפשרויות, אלא לכבות תשתית חיונית ולעצור את הפעילות השוטפת. אנשי המקצוע שלנו הצליחו לנטרל ולהכיל את ההתקפה תוך 45 דקות. בתוך יום אחד הארגון המותקף  הצליח לאחזר מחשבים שנפגעו ולחזור לפעילות מלאה".

לדבריו, "יש חברות שאין להן גישה לצוות אבטחת IT ייעודי, ולעיתים קרובות זהו המנמ"ר שנמצא בקו ההתקפה הראשון של הכופרה. הם אלה שמגיעים לעבודה בוקר אחד כדי לגלות שהכל נעול ומוצאים את מכתב דרישת הכופר על המסך. לעיתים, דרישות אלו מלוות בהודעות דואר אלקטרוני מאיימות או בשיחות".

המחקר מסתיים בשורת המלצות מעשיות: כבו פרוטוקולים לשליטה מרחוק הפונים לרשת, RDP, כדי למנוע מהעבריינים גישה לרשת; אם יש צורך בגישה ל-RDP, עשו זאת מאחורי חיבור VPN; השתמשו באבטחת מידע רב שכבתית כדי למנוע, להגן ולזהות מתקפות סייבר, כולל יכולות זיהוי ותגובה בנקודות קצה (EDR) וצוותים לתגובה מנוהלת אשר צופים ברשת 24/7; היו מודעים לסממנים המוקדמים לנוכחות תוקפים כדי לעצור מתקפות כופרה; צרו תוכנית תגובה יעילה לאירועים ועדכנו אותה על פי הצורך; אם אתם חשים שאין לכם את המשאבים או הכישורים כדי לעשות זאת – לנטר איומים או להגיב לאירועים, שקלו לפנות למומחים חיצוניים.