נחשפה קבוצת האקרים שתוקפת תשתיות קריטיות ברחבי העולם
לפי חוקרי סיגניה הישראלית, ההאקרים חברי RangarLocker גונבים מידע רב מהארגון שנופל קורבן ברשתם, ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר
נחשפה קבוצת תקיפה שמכונה RagnarLocker, אשר מתמקדת במתקפות כופרה נגד תשתיות קריטיות וארגונים ברחבי העולם. את הקבוצה חשפו באחרונה חוקרי חברת הסייבר הישראלית סיגניה. לפי החוקרים, ההאקרים גונבים מידע רב מהארגון שנופל קורבן ברשתם, ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר – על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו.
לדברי אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה, "מדובר בקבוצה ותיקה יחסית, שמוכרת עוד מ-2020, אבל חלק מהכלים והשיטות שבהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור שממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בארגונים ששייכים למגזרים של תשתיות קריטיות, כגון בתי חולים, מפעלים חיוניים וחברות ממשלתיות".
בידרמן ציין כי חברי הקבוצה כתבו קוד שמאפשר להם "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה.
"ההאקרים יוצרים כלים חדשים כל הזמן – כדי למנוע זיהוי"
על פי המחקר, ההאקרים חברי RagnarLocker מנצלים את המידע שאליו הם נחשפו על מנת לבנות רשימת מטרות בתוך הארגון הקורבן, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגונית. בנוסף, הם משתמשים בכלי רוסי לניהול גישה מרחוק שנקרא RMS (remote manipulator system) כמנגנון פיקוד ובקרה. כלי גישה מרחוק אחר, AnyDesk, משמש אותם להוצאת נתונים מהארגון ומאפשר להם להישאר "מתחת לרדאר" מבלי לעורר חשד, כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.
"ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם", אמר בידרמן. "השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שעל אף שמדובר בקבוצה ותיקה, הם עדיין מצליחים להוציא לפועל תקיפות שגובות מחיר כבד מארגונים". לדבריו, "יש לקבוצה קורבנות רבים בצפון אמריקה – ארצות הברית וקנדה, וגם באירופה. בשלב זה לא ידוע על קורבנות בישראל".
"היענות למתקפת כופרה מסוג זה אינה גזירת גורל"
הוא קרא לארגונים "להבין שהיענות למתקפת כופרה מסוג זה היא לא גזירת גורל. ארגונים יכולים להתכונן ולהיות מוגנים יותר מפני מתקפות כאלה, באמצעות כמה צעדים בסיסיים – ובראשם, עליהם לדאוג שמערכות שחשופות לאינטרנט יעברו עדכוני אבטחה בזמן. זאת, כיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה. אנחנו רואים שמרבית הארגונים שהותקפו לא עדכנו את שרתי הארגון כנדרש".
בסיגניה עדכנו את גורמי אכיפת החוק הגלובליים ושיתפו אותם בממצאים טרם פרסומם.
קבוצה שכבר פועלת המון זמן, לא איזה משהו חדש.... מביך קצת