שתי קבוצות כופרה תקפו ארגון במקביל – והודעת הכופר הוצפנה…
הודעות הסחיטה שמפעילי תוכנת הכופר Karma השאירו הוצפנו 24 שעות לאחר מכן, על ידי Conti - כנופיית מתקפות כופר ששהתה ברשת הקורבן באותו הזמן בדיוק.
מתקפה כפולה: זוהתה מתקפת כופר, שבמסגרתה הודעות הסחיטה שמפעילי תוכנת הכופר Karma השאירו הוצפנו 24 שעות לאחר מכן, על ידי Conti – כנופיית מתקפות כופר ששהתה ברשת הקורבן באותו הזמן בדיוק.
חוקרי סופוס (Sophos) פרסמו את מחקרם על המקרה, והסבירו כיצד מפעילי ההתקפות השיגו גישה לרשת, דרך שרת Microsoft Exchange שלא עודכן, ולאחר מכן השתמשו בטקטיקות שונות כדי להוציא לפועל את ההתקפות.
"לחטוף פגיעה כפולה ממתקפות כופרה הוא תרחיש אימה עבור כל ארגון", אמר שון גלגאהר, חוקר איומים ראשי בסופוס. "לאורך רצף הזמן המשוער היו כארבעה ימים שבהם תוקפי Conti ו-Karma היו פעילים, במקביל – ברשת הקורבן. הם נעו אחד סביב השני, כשהם מורידים ומריצים קוד, מתקינים beacons , אוספים ומחלצים נתונים ועוד". גלגאהר ציין, כי "Karma הפעילה ראשונה את השלב הסופי של ההתקפה שלה, והשאירה הודעת סחיטה במחשבים עם דרישה לתשלום בביטקוין בתמורה לאי פרסום נתונים שנגנבו. לאחר מכן פגעה Conti – כשהיא מצפינה את נתוני הקורבן באמצעות מתקפת כופרה מסורתית יותר. בהשתלשלות המוזרה של הדברים, הודעות הסחיטה של Karma הוצפנו על ידי Conti".
הוא הוסיף כי "ראינו כמה מקרים כאלה באחרונה, שבהם גורמי ההפצה של כופרות, כולל מפיצים של Conti, השתמשו בחולשות של ProxyShell כדי לחדור לרשתות של מטרות. ראינו גם דוגמאות של כמה גורמים הפורצים דרך אותה חולשה, כדי להשיג גישה לקורבן. עם זאת, רק במעט מהמקרים נצפו קבוצות כופרה תוקפות את הקורבן במקביל. הדבר מראה עד כמה אופק איומי הכופרות הפך לתחרותי וצפוף".
חוקרי סופוס מעריכים, כי האירוע הראשון החל ב-10 באוגוסט האחרון, כשהתוקפים, כנראה גורמים המתמחים בהשגה ומכירה של גישה ראשונית (Initial Access Brokers) – השתמשו בחולשת ProxyShell כדי להשיג גישה לרשת ולבסס נוכחות בשרת הפגוע. החקירה העלתה, כי עברו כמעט ארבעה חודשים לפני שאנשי Karma הופיעו ב-30 בנובמבר וחילצו אל הענן יותר מ-52 גיגה-בייט של נתונים. לדבריהם, "תוקפי Karma העלו את הודעות הסחיטה ב-20 מחשבים, עם דרישת הכופר והסבר שהם לא הצפינו את הנתונים, כיוון שמדובר בארגון שהוא ספק שירותי בריאות".
הם ציינו, כי "Conti פעל בשקט, ברקע, כשגם הוא מחלץ נתונים". אז, ציינו, "הארגון הכניס את צוות התגובה של סופוס לזירת האירועים כדי לסייע עם Karma. כשסופוס נכנסה למעגל התגובה, Conti הפעילו את הכופרה ב-4 בדצמבר. החוקרים איתרו את מקור ההתקפה של Conti בחולשת ProxyShell אחרת, שנוצלה ב-25 בנובמבר.
שתי המתקפות על ציר הזמן. מקור: סופוס
"בין אם הפורץ הראשוני מכר את הגישה לשתי קבוצות כופר שונות, או ששרת Exchange הפגוע היה פשוט מטרה חסרת מזל למפעילי הכופרה", סיכם גלגאהר, "העובדה שהתקפה כפולה התאפשרה היא תזכורת חזקה לצורך לעדכן פגיעויות עם קישוריות לאינטרנט בהקדם האפשרי. עומק הגנתי הוא חיוני כדי לזהות ולחסום תוקפים בכל שלב של שרשרת ההתקפה. במקביל, נדרשת הגנה פרו אקטיבית, בהובלת ציידי איומים אנושיים, כדי לחקור כל התנהגות חשודה, כגון גישה מרחוק בלתי צפויה, או שימוש בכלים לגיטימיים מחוץ לתבניות השימוש המוכרות. כל אלה יכולים לשמש כהתראות מוקדמות למתקפת כופרה מתקרבת".
חקירות פשעי סחיתה צריכים לעבור ממחלקת גנבות למחלקת פלילי או במקרים מסוימים לטיפול מודיעין הצבאי. אם מתכנתים אלו יבינו שהם מסכנים את החופש או אפילו את החיים שלהם, מספרם יקטן משמעותי וכך, יהיה קל יותר לתפוש את ראשי הרוע האמיתיים.