בחזרה לעבר: האקרים תוקפים מערכות ונקודות תורפה ישנות מאד

האקרים משתמשים באסטרטגית תקיפה של מערכות ישנות ובאיתור נקודות תורפה שאינן מאובטחות. חוקרי מעבדות פורטיגארד, גוף המחקר של פורטינט, גילו כי הפושעים מתמקדים בנקודות תורפה בנות 12 שנים ויותר, לעיתים קרובות יותר מאשר בהתקפות חדשות.

עוד עולה מדו"ח מפת האיומים, כי האקרים ממשיכים לחפש אחר הזדמנויות התקפה חדשות לאורך כל שטח התקיפה הדיגיטלי, ובמקביל – הם משנים את וקטורי התקיפה ומתמקדים בשירותי קצה, הזמינים לציבור הרחב, כדי להתנגד למאמצי החינוך וההכשרה של הארגונים, אשר נועדו להיאבק בטכניקות פופולריות, כמו פישינג.

כך, עולה מהדו"ח של פורטינט, כי ההאקרים משנים טכניקות כדי להפתיע את הארגונים: מרבית הנוזקות מגיעות אלינו באמצעות הדואר האלקטרוני ולכן, ארגונים רבים נאבקים בהתקפות פישינג באמצעות הדרכות של משתמשי הקצה וכלי אבטחת דואר אלקטרוני מתקדמים. כתוצאה מכך, ההאקרים מרחיבים את היכולת שלהם לספק נוזקות זדוניות באמצעים אחרים, אשר כוללים התמקדות בשירותי קצה המיועדים לציבור הרחב, כמו תשתיות אינטרנט, פרוטוקולים של רשתות תקשורת ועקיפת כלים אשר חוסמים פרסומות – כדי לפתוח וקטורי תקיפה שאינם מסתמכים על טכניקות פישינג מסורתיות.

בחודשים האחרונים החוקרים איתרו מתקפות נגד נקודות תורפה אשר הפגיעה בהן הייתה מאפשרת הוצאה לפועל של קוד מרחוק המתמקד בשירותי קצה, כאשר המתקפות אותרו בשכיחות גבוהה באזורים שונים ברחבי העולם. אמנם, הם ציינו, לא מדובר בשיטה חדשה – שינויים בטכניקות התקפה שנועדו למנוע מצוות האבטחה לשים אליהן לב, זו  דרך מוצלחת של האקרים להגביר את הסיכויים שלהם ולהגיע לארגונים שאינם ערוכים כראוי להתמודד עם מתקפות אלו. "שיטה זו עלולה להיות בעייתית ביותר בתקופה הנוכחית, בעיצומה של חגיגת הקניות המקוונת, כשהשירותים המקוונים חווים גידול מסיבי בפעילות", ציינו החוקרים.

הכופרות לא נעלמו, ההפך

ההאקרים, נכתב, מגבירים את פוטנציאל הרווח מכופרות. כך, הכופרה הרווחית GandCrab – שזמינה בדארקנט ככופרה-כשירות (RaaS), גרמה לארגוני פשיעת סייבר להשיק שירותים חדשים, כדי להרחיב את פוטנציאל הרווח שלהם. על ידי ביסוס רשת של שותפים, ההאקרים מסוגלים להפיץ את הכופרות שלהם בצורה רחבה, ומגדילים את הרווחים בצורה משמעותית. חוקרי פורטינט זיהו לפחות 2 משפחות משמעותיות של כופרות – Sodinokibi ו-Nemty, שנפרסו כפתרונות כופרה-כשירות, "מדובר רק בשלב ראשון של מה שעלול להפוך לשיטפון של שירותים דומים בעתיד".

פורטינט

ליטוש נוזקות עד כדי הצלחה

ההאקרים, כך לפי החוקרים, מלטשים נוזקות כדי להימנע מאיתורן ולספק התקפות זדוניות מתוחכמות אף יותר, כפי שקרה עם ההתפתחות של נוזקת Emotet. "מדובר בהתפתחות מטרידה עבור ארגונים, היות שההאקרים ממשיכים לעשות שימוש בנוזקות כדי להוריד מטענים ייעודיים (payloads) אחרים על מערכות נגועות ולמקסם את ההזדמנויות שלהם לרווח כספי", נכתב בדו"ח. באחרונה, התוקפים החלו להשתמש בנוזקת Emotet כמכניזם אספקה של מטען ייעודי עבור כופרות, גניבת מידע וסוסים טרויאנים בתחום הבנקאות, כמו TricBot, IcedID ו-Zeus Panda. בנוסף, על ידי חטיפה של שרשורי התכתבות בדואר האלקטרוני מגורמים אמינים, ושתילת נוזקות זדוניות לתוך שרשורים אלה, ההאקרים מגבירים משמעותית את הסבירות לפתיחת הקבצים המצורפים הזדוניים הללו.

המגמה של מקסום הזדמנויות קיימות, קובעים חוקרי פורטינט, תקפה גם בכל הנוגע לבוטנטים. הבוטנטים ממשיכים להופיע בראש רשימת האיומים יותר מכל איום אחר, לאורך זמן ובכל אזור. "הדבר מצביע על כך כי תשתית הבקרה היא קבועה יותר מיכולות או כלים מסוימים, וכי ההאקרים לא עוקבים רק אחר הזדמנויות חדשות, אלא בדומה לכל עסק לגיטימי אחר, גם הם ממנפים תשתית קיימת במידת האפשר, במטרה להגביר את היעילות שלהם ולהפחית את התקורה".

עופר ישראלי, מנהל פעילות פורטינט ישראל, אמר כי "שטח התקיפה המתרחב והשינוי באסטרטגיות ההתקפה של האקרים, משמעם שהארגונים לא יכולים להרשות לעצמם להתמקד יתר על המידה בקבוצה מצומצמת של מגמות איומים, אלא מוכרחים לאמץ גישה הוליסטית לצורך אבטחת סביבות הרשת המבוזרות שלהם".

דרק מאנקי, ראש תחום תובנות אבטחה ובריתות איומים גלובליות בפורטינט, אמר כי "האקרים ממשיכים לנסות להיות צעד אחד לפני מומחי אבטחת הסייבר. לא רק שהם מפתחים נוזקות והתקפות

 zero-day חדשות, הם גם פורסים מחדש טקטיקות מוצלחות ששימשו אותם בעבר, כדי למקסם את ההזדמנויות שלהם לאורך כל שטח התקיפה. ארגונים צריכים ליישם אסטרטגיות חיוניות, כמו עדכונים, סגמנטציה והדרכות עובדים, יחד עם אימוץ אוטומציה ובינה מלאכותית, כדי לשפר את היכולת שלהם לתאם מודיעין איומים ולהגיב לאיומים בזמן אמת".