שלוש פסילות – וכופרת Maze יצאה מהמשחק

מזה כשנתיים פועלת הכופרה Maze, ובהצלחה לא מועטה עבור קבוצות ההאקרים המפעילות אותה. ענקית האבטחה סופוס פרסמה בסוף השבוע דו"ח שמראה כיצד התוקפים ניסו להפעיל את הכופרה בשלוש דרכים שונות במהלך מתקפה יחידה, תוך שהם דורשים כופר בשווי של 15 מיליון דולר. זהות הקורבן לא צוינה.

על פי החוקרים, בניסיון השלישי, המפעילים של Maze ניסו להסתמך על טכניקה של שימוש במכונה וירטואלית (VM) כדי להפיץ את הכופרה – טכניקה שקבוצת Ragnar Locker הייתה חלוצה בהפעלתה, כפי שסופוס דיווחה כבר בחודש מאי השנה. מדובר באחת הכופרות הידועות ביותר. היא פעילה מאז 2019, לאחר שהתפתחה מהכופרה ChaCha , והייתה מהראשונות לשלב הצפנת נתונים עם גניבת מידע.

עוד במאי השנה אירעה מתקפת Maze על פירמת עורכי הדין הניו-יורקית GSMS, שמטפלת בסלבס – בהם אלטון ג'ון, ליידי גאגא, ברברה סטרייסנד ומדונה. ההאקרים דרשו מהחברה כופר של 42 מיליון דולר ואיימו לשחרר פרטים אישיים על הלקוחות הידוענים אם לא ישולם הכסף. כנופיות ההאקרים שמשתמשות בכופרה תוקפות ארגוני בריאות, תשתיות קריטיות וטכנולוגיה – הנוזקה שימשה השנה לתקיפת ענקית ה-IT קוגניזאנט – ואפילו חברות ביטוחי סייבר. ה-FBI הזהיר עוד בדצמבר האחרון ארגונים רבים שנצפתה עלייה בהיקף המתקפות מבוססות ה-Maze ושהיא מסוכנת יותר בגלל תכונת גניבת המידע שלה. עוד נפגעו מהכופרה חברת המוליכים למחצה השלישית בגודלה בעולם, SK Hynix מדרום קוריאה, יצרנית השבבים מקסיליניאר, חברת הלוגיסטיקה הנינג הרדר, וכן LG וקאנון.

כיצד התפתחה המתקפה הנוכחית?

חוקרי סופוס העלו כי התוקפים חדרו לרשת לפחות שישה ימים לפני הניסיון הראשון להפעלת המטען הנפיץ של Maze. במהלך זמן זה, הם חקרו את הרשת, הפעילו כלים לגיטימיים לשימוש בסביבה הארגונית, יצרו קישורים וחילצו נתונים לשירות אחסון ענן – בעוד שהם נערכים להפעלת מרכיב הכופרה של המתקפה.

במתקפה הראשונה, ההאקרים דרשו מהקורבן כופר בשווי של 15 מיליון דולר. הקורבן לא שילם, וכשהתוקפים הבינו שהמתקפה נכשלה, הם הפעילו גל שני, שונה מעט מהראשון. הניסיון יורט על ידי כלי אבטחה וצוות התגובה המנוהלת לאיומים (MTR) של סופוס טיפל במאמצי התגובה. בניסיון השלישי, התוקפים השתמשו בגרסה מעודכנת של טכניקת VM של Ragnar Locker – הפעם, כשהם מריצים Windows 7 במקום את המכונה הווירטואלית של Windows XP שבה השתמשה הקבוצה המקורית, וכאשר הם תוקפים רק שרת קבצים אחד. המתקפה והטכניקה שהגתה Ragnar Locker זוהו מידית ונחסמו.

"מומלץ לעבור למערכות אבטחה רב שכבתיות, שכוללות אנטי-כופרה"

"שרשרת ההתקפה שנחשפה על ידי צוות התגובה שלנו מציגה את הגמישות של תוקפים אנושיים, עם היכולת להחליף כלים ולעדכן אותם במהירות על מנת לחזור לזירת הקרב לסיבוב התגוששות נוסף", אמר פיטר מק'נזי, מנהל צוות התגובה של סופוס. "השימוש בטכניקת המכונה הווירטואלית הרעשנית של Ragnar Locker עם תביעת הרגל המשמעותית והשימוש הרב ב-CPU (בניסיון התקיפה השלישי – י"ה) משקפים את התסכול הגובר מצד התוקפים, לאחר ששני הניסיונות הראשונים שלהם להצפין נתונים נכשלו".

הוא ציין כי "כדי למנוע מתקפות סייבר, ובמיוחד של כופרות, אנחנו ממליצים לצוותי אבטחת מידע לצמצם את מישור המתקפה על ארגוניהם באמצעות מעבר למערכות אבטחה רב שכבתיות, מבוססות ענן, שכוללות טכנולוגיות מניעת כופרה (Anti ransomware). עוד מומלץ שהם יפעילו הדרכות עובדים עם הנחיות ממה צריך להיזהר וישקלו הפעלה של שירות ציד איומים אנושי, כדי לזהות רמזים לגבי מתקפות פעילות שכבר יצאו לדרך".

"כל ארגון הוא מטרה", אמר מק'נזי. "כל ספאם או הודעת פישינג, פורט RDP חשוף, נקודת גישה פגיעה או סיסמה שנגנבה מספיקים כדי לשמש כנקודת פריצה עבור תוקפים".