מתקפות כופר: המטרה שונה – הדרך זהה

בסוף השנה שעברה פרסמה סייבר ארק תחזיות להתפתחויות צפויות בתחום הסייבר לשנת 2016. בין היתר, חזתה החברה שתוכנות כופר יעברו להתמקד בארגונים ורשתות ארגוניות, במקום במשתמשים הפרטיים. ברשתות ארגוניות, תוכנות הכופר מתמקדות במניעת גישה למידע עסקי קריטי – פיננסי, רפואי, משאבי אנוש, תוכניות עסקיות וכו', בהתאם לאופי הארגון – ובאיום לפרסם מידע מזיק לארגון שנפל קורבן למתקפה.

בין היתר, נכתב כי "נראה יותר מקרים כאלה ככל שהתוקפים מוצאים דרכים יצירתיות לסחוט אנשים או תאגידים; המתקפות תמשכנה להשתנות ולהתאים עצמן לסביבות ארגוניות, תוך שימוש בטכניקות תולעת (worm) וגניבת הרשאות אפליקטיביות".

בשבועות האחרונים אנו עוקבים בצער אחר התממשות תחזית זו, כאשר מתקפות הכופר נגד ארגונים הגיעו לתפוצה רחבה בעולם, ואף בישראל. הקורבנות הם צרכנים פרטיים, אך גם ארגונים גדולים כגון בית חולים, משרד האוצר, רשות האנרגיה ועוד.

חלק מהתקיפות אינן יעודיות לארגונים ועושות שימוש באותן נוזקות הרלוונטיות גם למשתמשים פרטיים, אך חלקן עושות שימוש בנוזקות יעודיות המותאמות לאופי הארגוני ולמטרות האופייניות לרשתות ארגוניות, כגון מאגרי נתונים ושרתי אפליקציה.

אחיזה בתחנה בודדת

פעמים רבות, ברשת הארגונית התנהגותו של התוקף תהיה שונה מאשר במתקפה על משתמשים פרטיים. התוקפים לא בהכרח מנסים לתקוף תקיפה רחבה המדביקה מספר רב של תחנות קצה (שכן הם חוששים מרעש ברשת שיוביל לגילוי מהיר בטרם השיגו את מטרותיהם), ולא מנסים להשיג אחיזה בתחנה בודדת או מספר תחנות ברשת הארגונית ולפעול מהן לתוך הרשת.

מעניין לראות, שמתקפות כופר על ארגונים מבוצעות לעיתים קרובות בטכניקות דומות למתקפות מכוונות אחרות על רשתות ארגוניות – מתקפות שמטרותיהן הן הרס, גניבת מידע, תקיפת קופות רושמות לשם גניבת כרטיסי אשראי, גניבת תוכניות עסקיות ועוד. דוגמאות למתקפות הרס כוללות את התקיפות על Aramco הסעודית, סוני (Sony) ו-Sands האמריקניות. ההבדל בין התקיפות הוא בעיקר במטרת הקצה – הרס תשתיות מחשוב, גניבה של מידע רגיש או הצפנת המידע לצורך דרישת כופר.

אך על אף המטרה השונה, פעילות התוקף בדרך אליה דומה עד מאוד בין התקיפות השונות, ובמרכזה – השתלטות תוקף על חשבונות פריבלגיים, חשבונות בעלי הרשאה גבוהה ברשת הארגונית, וניצולם לצורך הפעילות ברשת.

אטרקטיביים ביותר לתוקף

כך, לדוגמא, בדו"ח M-Trends 2016 של Mandiant מתואר מקרה של תקיפת כופר בה התוקפים נכנסו לרשת הארגונית, איתרו חשבון של מנהל תשתיות, השתלטו באמצעותו על שרתי ה-Active Directory והפיצו באמצעותם לכל התחנות בארגון רכיב תוכנה שהצפין את המידע בהן. שיטת פעולה זו אופיינית מאוד לתקיפות נגד ארגונים ואף התפרסמה כאשר מעבדות קספרסקי (Kaspersky) פרסמו תקיפה מתוחכמת ברמת מדינה שהשתמשה ביכולות דומות כדי לתקוף את רשתות המחשוב של בתי מלון בהן התקיימו שיחות הגרעין האיראניות.

דוגמא מעניינת נוספת התרחשה לאחרונה ברצף תקיפות נגד ארגונים בהודו, בהן התוקף נכנס לרשתות הארגוניות, השתלט על חשבונות של אדמיניסטרטורים והשתמש בהם כדי לפתוח חיבורים מרוחקים (RDP) לתחנות בארגון ולהריץ בהן, אחת אחת, את תוכנת הכופר שהצפינה קבצים.

ככלל, החשבונות הפריבילגיים כוללים חשבונות משתמש, חשבונות אפליקטיביים ועוד, כאשר ייחודם הוא בהרשאות הגישה והפעולה הגבוהות שלהם, מה שהופך אותם לאטרקטיביים ביותר לתוקף המנסה להתקדם ברשת תוך הסתרת פעילות, לאתר את נכסי המידע הארגוניים ולהצפינם לשם דרישת הכופר.

למקד מאמצים נגד רשתות ארגוניות

לאור שיטת פעולה זו ופוטנציאל הנזק הרב, ארגונים רבים מבינים את הצורך לשלוט, לנטר ולהגביל את הפעילות הפריבילגית ברשת. בין השיטות היותר אפקטיביות למניעת מתקפות כופר על ארגונים ניתן למנות:

● הגבלת הרשאות בתחנות קצה ארגוניות והטמעת גישת least privileged, לפיה כל משתמש ותהליך רצים בהרשאות המינימליות הנדרשות לביצוע המשימה. בדרך זו, גם אם תוכנת הכופר הגיעה לתחנת הקצה – לרוב תוך הטעיית המשתמש או ניצול חולשת תוכנה – לא תהיינה לה הרשאות פעולה גבוהות ברשת גישה אדמיניסטריטיבית רק דרך שרתים מוגדרים ומניעת הימצאות סיסמאות ומפתחות של משתמשים פריבילגיים בתחנות קצה הנתונות לסיכוני הדבקה.

● ניטור רשת ומעקב אחר הפעילות הפריבילגית, על מנת לזהות דפוסי פעילות תקינים ולהתריע על דפוסי פעילות חשודים וזדוניים ברשת הארגונית.

פעילות תוכנות הכופר היא פעילות אטרקטיבית מאוד עבור התוקפים, שכן היא יחסית קלה לביצוע ומבטיחה הכנסה גבוהה יחסית תוך שמירה על אנונימיות (תשלום הכופר לתוקפים מתבצע באמצעות מטבע וירטואלי, כגון הביטקוין). תקיפת ארגונים במקום משתמשים פרטיים מאפשרת להגדיל את ההכנסות אף יותר, על כן התוקפים עוברים למקד את מאמציהם נגד רשתות ארגוניות. לאור זאת, חשוב שארגונים המודעים לחשיבות המידע ברשתותיהם ינקטו באמצעי הגנה אפקטיביים שיקטינו את הסיכון ופוטנציאל הנזק הנובעים מתקיפות אלה.

הכותב הינו מנהל חדשנות סייבר בסייבר ארק