כופרה חדשה פגעה ב-30 ארגונים בתריסר ארצות

קבוצת האקרים הפועלת עם כופרה חדשה פגעה ב-30 ארגוני ממשל, שירותים פיננסיים, שירותי בריאות וחברות אנרגיה בארצות הברית, בריטניה ותריסר מדינות נוספות, כך על פי מחקר שפורסם על ידי פאלו אלטו (Palo Alto Networks).

הקבוצה, שחוקרי יחידת המודיעין Unit 42 של ענקית הסייבר כינו אותה "פרומתיאוס" (Prometheus), מכוונת לרוב לארגונים מתעשיית הייצור, אולם לא רק.

החוקרים עקבו בארבעת החודשים האחרונים אחרי קבוצת פרומתיאוס, שחקן חדש בזירת הכופרות, שמשתמשת בטקטיקות דומות לאלו של Thanos – הידועה יותר. שיטת הפעולה שלהם היא כופרה כשירות – Ransomware-as-a-service, שבמסגרתה קבוצות האקרים אחרות משכירות את הקוד הזדוני ואת התשתית שלהן לשימוש, וכך הן תוקפות עוד ועוד ארגונים.

פרומתיאוס מתפעלת אתר דליפות, שם הקבוצה מתארת את שמות קורבנותיה ומעלה נתונים גנובים, הזמינים לרכישה. אתר הדליפות של הקבוצה מארח מאגרי מידע, דוא"ל, חשבוניות ומסמכים שדלפו. אלה כוללים מידע המאפשר זיהוי אישי, השייך לכאורה לקורבנות שלא שילמו את דמי הכופר בפרק זמן שנקבע.

לטענת קבוצת התקיפה, עד כה נפגעו 30 ארגוני ממשל, שירותים פיננסיים, ייצור, לוגיסטיקה, ייעוץ, חקלאות, שירותי בריאות, סוכנויות ביטוח, משרדי אנרגיה ועורכי דין בארצות הברית, בבריטניה ובתריסר מדינות נוספות באסיה, באירופה, במזרח התיכון ובדרום אמריקה.

פרומתיאוס מתנהלת כמו מיזם מקצועי

כמו כנופיות כופר רבות, פרומתיאוס מתנהלת כמו מיזם מקצועי. הם מכנים את קורבנותיהם כ-"לקוחות", מתקשרים איתם באמצעות מערכת שירות לקוחות, המזהירה אותם כאשר מועדי התשלומים מתקרבים ואף משתמשים ב-"שעון עצר" כדי לספור את השעות, הדקות והשניות – עד למועד האחרון לתשלומים. "התחלנו במכירה הפומבית של הנתונים שלך", מאיימת הקבוצה כשקורבנות לא מצליחים לשלם. אבל, ציינו החוקרים, יש גם דרך מפלט, "יציאה": הקורבנות יכולים לפתוח "כרטיס לקוח" חדש, אם הם מוכנים לשלם, כדי להפסיק את המכירה הפומבית ולשחזר את הנתונים שלהם.

רק ארבעה קורבנות שילמו עד היום את דמי הכופר, על פי אתר ההדלפות של הקבוצה. לטענתה, חברה חקלאית פרואנית, ספק שירותי בריאות ברזילאי וארגוני תחבורה ולוגיסטיקה באוסטריה ובסינגפור כבר עשו זאת. חוקרי יחידה 42 לא יכלו לאשר את סכומי הכופר.

תובנה מעניינת שעולה מהמעקב של החוקרים היא, שפרומתיאוס טוענת, כי היא חלק מחבורת הכופר הידועה לשמצה  REvil –  קבוצת האקרים המבוססת ברוסיה. זו, על פי ה-FBI, תקפה את ספק הבשר העולמי JBS. חוקרי פאלו אלטו לא ראו כל אינדיקציה לכך ששתי כנופיות הכופר קשורות ביניהן בצורה כלשהי. הטענה, שיערו החוקרים, עשויה להיות ניסיון לנצל את שמה של REvil כדי לשכנע את הקורבנות לשלם, או ניסיון להסב את תשומת הלב.

"לחברי פרומתאוס יש פוטנציאל להתמקד בארגונים שיובילו לדאגות לאומיות", כתב דואל סנטוס, אנליסט מודיעין האיומים ביחידה 42. "שחקני האיומים האלה הם אופורטוניסטים. הם מוכנים לפגוע ולתקוף כל ארגון". סנטוס תיאר את ההאקרים מקבוצת פרומתאוס כ"חסרי רחמים".

הופעתה של הקבוצה החדשה, ציינו מומחי אבטחה בארה"ב אתמול (ש'), "מדגישה את הצמיחה המהירה של כנופיות כופרה, בין השאר, 'בזכות' הגידול בשימוש במודל 'כופרה כשירות', שבו קבוצות אחרות שוכרות את הקוד והתשתית".

קבוצות כופרה מודרניות מתפקדות בדרך כלל בסביבת "שוק שותפים" גדולה יותר. כך, קבוצה אחת עשויה להתמחות בפיתוח נוזקות, למשל, ואז להשכיר גישה לאותו כלי לארגון שותף – בתמורה לחלק ברווח מכל פריצה שצלחה. ידוע, כי קבוצות הכופרה Egregor, Thanos ו-Conti – פועלות באופן זה, על פי מומחים של חברות מודיעין האיומים Intel 471 וטרנד מיקרו (Trend Micro).

מספר קבוצות הסייבר התוקפות בכופרות הולך וגדל, ומקשה על רשויות אכיפת החוק להתמודד עמן. כריסטופר ריי, מנהל ה-FBI, אמר באחרונה לוול סטריט ז'ורנל כי הסוכנות בחנה 100 סוגים שונים של כופרות.

בחודש אפריל, סייבריזן (Cybereason) דיווחה על רשת בוטים בשם Prometei, שההאקרים ממנפים אותה לכרייה של מטבעות קריפטו בלא ידיעת הקורבנות, כמו גם להונאות פיננסיות אחרות. "פרומטי" הוא התרגום לרוסית לפרומתיאוס, אם כי לא ברור אם קיים קשר בין שני כלי הפריצה.